91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

作者；張毅

  根據(jù)核反應(yīng)堆保護(hù)與監(jiān)測系統(tǒng)( PMS)的典型功能需求，設(shè)計了一種全新的、基于ALS平臺的保護(hù)與監(jiān)測系統(tǒng)(PMS)，并對該系統(tǒng)進(jìn)行了數(shù)據(jù)通信、完整性等方面的分析。本文依據(jù)NUREG/CR 6303的多樣性與縱深防御( D3)要求，對全新設(shè)計的PMS進(jìn)行分析，并按NUREG/CR 7007的方法計算了該系統(tǒng)的多樣性量化值。分析表明，該方案基本滿足NRC對系統(tǒng)多樣性的定量要求，并給出了可不單獨設(shè)置多樣性驅(qū)動系統(tǒng)( DAS)的初步結(jié)論。

  需要明確指出的是，本文進(jìn)行的D3分析所針對的保護(hù)與監(jiān)測系統(tǒng)( PMS)不是三代核電技術(shù)引進(jìn)涉及的PMS系統(tǒng)方案，而是具有與其相同典型功能的全新設(shè)計的保護(hù)與監(jiān)測系統(tǒng)。同時，為了方便敘述和理解，盡管本文中使用了許多與三代核電技術(shù)引進(jìn)相同的縮略語（如DAS、DDS、PLS、PMS、QDPS等），但其原理同樣適用于其他核電項目類似功能的系統(tǒng)。

1  基于ALS的PMS總體架構(gòu)

文獻(xiàn)[2]介紹了以文獻(xiàn)[5]和文獻(xiàn)[6]為基準(zhǔn)、結(jié)合ALS平臺的功能以及其在Wolf Creek、Diablo Canyon等核電廠安全系統(tǒng)部分技術(shù)改進(jìn)工程中的實踐，設(shè)計了一種可以替代文獻(xiàn)[5]和文獻(xiàn)[6]的儀控(I&C)總體結(jié)構(gòu)的方案。該設(shè)計不考慮非安全級DCS平臺的變更，而著重考慮安全級平臺Comon Q的替代方案。其中，PMS采用獨立、隔離、冗余的四序列設(shè)計。單序列的總體架構(gòu)如圖1所示，單序列的安全信號路徑如圖2、圖3所示。

  文獻(xiàn)[2]指出，圖2所示的基于ALS平臺的架構(gòu)設(shè)計考慮了文獻(xiàn)[5]和文獻(xiàn)[6]所有的信號接口，理論上是一個完整可行的方案，但需要根據(jù)有關(guān)的法規(guī)、導(dǎo)則、標(biāo)準(zhǔn)的要求對其符合性進(jìn)行論證。本文在文獻(xiàn)[1]對ALS平臺D3要求評估的基礎(chǔ)上，對于本設(shè)計采用ALS平臺所搭建的PMS系統(tǒng)，依照NUREG/CR 6303對數(shù)字化I&C系統(tǒng)D3評估的導(dǎo)則進(jìn)行一致性分析，并根據(jù)NUREG/CR 7007的方法計算該系統(tǒng)的多樣性量化值。

2多樣性與縱深防御( D3)概要分析

  本文所關(guān)注的保護(hù)與監(jiān)測系統(tǒng)不是基于較常見的微處理器架構(gòu)的系統(tǒng)，而是基于FPGA邏輯的ALS平臺所搭建的新型安全系統(tǒng)。由于沒有專門的評估導(dǎo)則，NRC在對ALS平臺進(jìn)行安全評估時，采用了一系列針對微處理器平臺評估導(dǎo)則的適用部分，明確了對ALS平臺本身評估的有限范圍，并要求對于基于ALS的安全系統(tǒng)整體，必須在ALS平臺評估報告的基礎(chǔ)上，就通信、完整性、多樣性等方面進(jìn)行評估。本文針對該PMS的縱深防御及多樣性與NUREG/CR 6303的一致性進(jìn)行研究。由于本文不是一個D3的報告，因此并不依據(jù)NUREG/CR 6303的要求，對每個安全功能進(jìn)行詳細(xì)的描述，而是關(guān)注整個I&C系統(tǒng)架構(gòu)設(shè)計，特別是PMS的設(shè)計。

縱深防御是核電廠設(shè)計、建造和運行安全有關(guān)全部活動中必須貫徹的一個重要原則。核電廠一般設(shè)有五個層次的縱深防御措施，即：①防止偏離正常運行及系統(tǒng)失效；②檢測和糾偏，防止預(yù)計運行事件升級為事故工況；③提供固有安全、故障安全、附加設(shè)備以控制預(yù)計事件之后達(dá)到穩(wěn)定和可接受的狀態(tài)；④應(yīng)對嚴(yán)重事故，保證放射性釋放在合理可行、盡可能低的水平；⑤減輕事故工況下可能的放射性物質(zhì)釋放后果。I&C系統(tǒng)作為核電廠的重要組成部分，其設(shè)計也應(yīng)遵從上述原則。針對I&C系統(tǒng)的特點，NUREG/CR 6303確定了I&C系統(tǒng)的四個縱深防御等級。本設(shè)計I&C系統(tǒng)的四個等級如表1所示。表1中，*為各層級具有的特點。

2.1儀控系統(tǒng)

  I&C系統(tǒng)的非1E級手動或自動設(shè)備，一般用于日常的發(fā)電運行管控操縱，其中縱深防御功能用于防止反應(yīng)堆往不安全運行狀態(tài)偏移，避免反應(yīng)堆停堆或驅(qū)動專設(shè)安全設(shè)施( ESF)。本設(shè)計的I&C系統(tǒng)功能及實現(xiàn)方法與文獻(xiàn)[5]、[6]、[9]-致。

  在PMS本身具有足夠的多樣性前提下，控制系統(tǒng)也應(yīng)該包括一些滿足10 CFR 50. 62要求的專用設(shè)備( anticipated transient without scram，ATWS)。這些高質(zhì)量的非1E級專用設(shè)備應(yīng)可以減小1E級的PMS設(shè)備產(chǎn)生極為罕見的共模故障的影響。

  反應(yīng)堆緊急停堆用于快速減少堆芯反應(yīng)性。緊急停堆系統(tǒng)采用能夠探測潛在或?qū)嶋H偏移正常狀態(tài)的儀表裝置，在必要時快速完全地向堆芯插入反應(yīng)堆控制棒。本設(shè)計的緊急停堆系統(tǒng)不包括中子慢化系統(tǒng)，如硼酸緊急注入。如圖2所示，安全級PMS的輸出信號驅(qū)動停堆斷路器( RTCB)觸發(fā)邏輯矩陣，實現(xiàn)RTCB的欠壓( UV)線圈的斷電和加電(ST)線圈的加電，進(jìn)而導(dǎo)致RTCB打開斷電，控制棒由重力作用跌落堆芯，實現(xiàn)反應(yīng)堆緊急停堆。ATWS作為后備，也提供滿足10 CFR 50. 62要求的多樣化緊急停堆功能。

  專設(shè)安全設(shè)施( ESF)是用于導(dǎo)出堆芯余熱和維持放射性防護(hù)的三道實體屏障（燃料包殼、壓力容器、安全殼）完整性的安全級設(shè)備。如圖3所示，ALS輸出驅(qū)動信號，通過設(shè)備接口模塊( CIM)最終驅(qū)動各支持系統(tǒng)或裝置（閥門、斷路器等），以便滿足緊急冷卻、卸壓或降壓、隔離和控制ESF設(shè)備運行的需要。非安全級的電廠控制系統(tǒng)( PLS)也能發(fā)出ESF部件驅(qū)動／控制命令，但須經(jīng)過設(shè)備接口模塊( CIM)進(jìn)行優(yōu)選后執(zhí)行。

  如圖1所示，監(jiān)測和指示功能由非安全級的數(shù)據(jù)顯示和處理系統(tǒng)( DDS)和安全級的PMS提供。每個ALS機(jī)箱的ALS - 102的TXB2端口在信號隔離后連接至非安全級網(wǎng)關(guān)，單向發(fā)送相關(guān)信息至非安全級DDS系統(tǒng)網(wǎng)絡(luò)。經(jīng)鑒定的數(shù)據(jù)處理系統(tǒng)(QDPS)主要用于處理RGl. 97要求的1E級變量等。

  和控制級、緊急停堆級、ESF級一樣，操縱員總是基于準(zhǔn)確的傳感器信息來完成任務(wù)。但操縱員能夠通過監(jiān)測和指示級給出的信息、時間和工具，執(zhí)行預(yù)先未定的邏輯計算以響應(yīng)意外事件。監(jiān)測和指示級包括名義上分配給其他3個等級運行需要的1E級和非1E級的手動控制器、監(jiān)視器和指示器。DDS的設(shè)備處理正常和應(yīng)急運行工況可能產(chǎn)生的非安全級報警和顯示的數(shù)據(jù)，同時產(chǎn)生數(shù)據(jù)顯示和報警，并提供電廠數(shù)據(jù)分析、電廠數(shù)據(jù)日志和歷史數(shù)據(jù)存儲和恢復(fù)功能，給電廠運行人員提供操作支持。DDS是一個冗余的實時數(shù)據(jù)網(wǎng)絡(luò)，連接儀表和控制系統(tǒng)的各單元。

2.2縱深防御特性

  共因故障( CCF)有可能破壞縱深防御的多層防線，本I&C結(jié)構(gòu)具有以下應(yīng)對CCF的設(shè)計特性，用來滿足執(zhí)照申請、提高電廠可靠性和可用性等要求。

  采用分布式處理結(jié)構(gòu)將I&C系統(tǒng)的不同功能分配到多個不同的子系統(tǒng)，并采用了獨立的序列，使得一定的CCF僅局限于一個單獨的子系統(tǒng)，不會導(dǎo)致整個系統(tǒng)故障；冗余的子系統(tǒng)能探測包括存在足夠時間間隔的CCF故障，只要故障之間存在足夠時間可用于探測和修復(fù)，就能保證冗余子系統(tǒng)可響應(yīng)事件；安全級PMS的四個冗余序列是實體隔離的，也與非安全級系統(tǒng)隔離。電源也采用相應(yīng)的實體隔離。實體隔離都應(yīng)滿足IEEE - 384，防止由于物理現(xiàn)象引起的CCF；模塊化設(shè)計提高了隔離和故障修復(fù)的快速性。只要CCF的故障之間存在足夠時間可用于探測和修復(fù)，模塊設(shè)計就能保證冗余子系統(tǒng)可響應(yīng)事件；故障安全設(shè)計，如失能跳閘或驅(qū)動，提供了在單一故障和特定類型的多故障后，自動或手動將電廠帶入安全工況的能力。功能多樣性和冗余性的容錯設(shè)計，能提供在單一故障和特定類型的多故障后，自動或手動將電廠帶入安全工況的能力；電氣隔離將I&C系統(tǒng)分段，以防止電氣故障的傳播。

  PLS采用信號選擇器算法防止來自PMS傳感器信號的故障，如果冗余傳感器的輸出信號的差異超過限值，信號選擇器會報警。I&C的設(shè)備應(yīng)按其安全分級和應(yīng)用采用相應(yīng)的準(zhǔn)則，對環(huán)境要求，包括對溫度、濕度、震動／地震、電磁干擾( EMI)/射頻干擾(RFI)，以及防浪涌等進(jìn)行鑒定，確保了只要不超過設(shè)計要求就不會發(fā)生CCF。I&C具有保護(hù)和濾波的AC供電線路、EMI/RFI設(shè)計、防浪涌的信號調(diào)理輸入卡件等，能防止特定的故障，因此只有超過了設(shè)計和鑒定測試極限，才會導(dǎo)致多重故障。

  報警系統(tǒng)能夠?qū)�I&C本身的故障包括多重故障通知操縱員。主報警系統(tǒng)是DDS的一部分，使用不同于PMS的硬件和軟件。由于DDS系統(tǒng)是有人值守的，因此報警系統(tǒng)本身的故障可由操縱員及時發(fā)現(xiàn)。

  I&C各子系統(tǒng)不間斷地執(zhí)行自診斷程序�；刈x和看門狗等不間斷地監(jiān)測重要子系統(tǒng)的運行。這些自診斷特性用于探測并報告硬件故障，便于操縱員及時采取措施；測試子系統(tǒng)能快速而不間斷地驗證系統(tǒng)運行，不但提高了及時探測故障的能力，也提高了電廠人員快速診斷并修復(fù)這些故障的能力。

  設(shè)計也考慮了人因故障問題，如I&C對整定值和調(diào)節(jié)參數(shù)的調(diào)整實行多級權(quán)限的實體和行政的管控，防止維護(hù)失誤導(dǎo)致輸入錯誤常量引發(fā)的CCF；I&C的整定值和整定常數(shù)的輸入值采用工程單位量而不是刻度值，減少由于刻度變化而產(chǎn)生的CCF。

  設(shè)計全過程的驗證和確認(rèn)。這些設(shè)計特性提高了儀控系統(tǒng)應(yīng)對各種故障的能力，符合核電廠設(shè)計的縱深防御理念。

2.3與NUREG/CR - 6303 -致性的評估

  NUREG/CR - 6303提供了14條用于進(jìn)行多樣性和縱深防御分析的導(dǎo)則。本文針對所設(shè)計的I&C系統(tǒng)，特別是基于ALS的PMS，對這些導(dǎo)則的一致性進(jìn)行了初步的評估。

  ①導(dǎo)則1和5。

  PMS分為4個冗余序列。非安全級PLS使用冗余的傳感器和冗余的子系統(tǒng)來提供縱深防御功能。由于ALS特有的多樣性能力和PMS的特別設(shè)計，假設(shè)CCF引起相似的或者相同的設(shè)備都發(fā)生故障，則不認(rèn)為PMS功能同時完全喪失。

  ②導(dǎo)則2。

  本文第3.2節(jié)給出了基于NUREG/CR - 7007的多樣性詳細(xì)分析，包含了NUREG/CR - 6303多樣性內(nèi)容。

  ③導(dǎo)則3。

  NUREG/CR - 6303描述了3種不同儀表裝置故障類型。第一類故障是某等級中的假想故障，該故障導(dǎo)致需要一個保護(hù)功能去緩解電廠瞬態(tài)；第二類故障是不可探測的故障，只有在要求驅(qū)動一個部件或系統(tǒng)時才能發(fā)現(xiàn)該故障；第三類故障是由于電廠過程不以一個可預(yù)期的方式響應(yīng)或者測量電廠過程的傳感器以異常的方式響應(yīng)而引起。本設(shè)計存在上述故障類型。

  對于PLS來說，PMS是多樣性的系統(tǒng)。因此PLS的第一類故障不會導(dǎo)致多層防御失效。

  本設(shè)計的4個等級內(nèi)和等級之間存在多樣性，因此整個I&C不易受到第二類故障影響。

  對于第三類故障，本設(shè)計采用多樣性的傳感器來測量電廠對一個初始事件的響應(yīng)。例如，使用汽輪機(jī)沖動級壓力和堆外中子探測來測量反應(yīng)堆功率；采用反應(yīng)堆冷卻劑系統(tǒng)的過冷度和堆芯出口熱電偶溫度來測量堆芯冷卻等。

  ④導(dǎo)則4。

  I&C結(jié)構(gòu)有4個防御的等級�？刂频燃壥怯蒔LS提供的，PLS通過隔離的數(shù)據(jù)鏈接，從保護(hù)系統(tǒng)獲得特定的輸入。PMS和ATWS提供反應(yīng)堆緊急停堆級。在PMS中的反應(yīng)堆保護(hù)子系統(tǒng)、表決邏輯、專用的數(shù)據(jù)鏈接、反應(yīng)堆停堆斷路器接口和反應(yīng)堆停堆斷路器提供反應(yīng)堆緊急停堆功能。非安全級的ATWS和控制棒驅(qū)動電動發(fā)電機(jī)組斷路器提供一個多樣性的反應(yīng)堆緊急停堆功能。另外，PLS通過維持電廠在可接受的限值內(nèi)，避免緊急停堆。

  PMS提供ESF驅(qū)動級。在電廠保護(hù)子系統(tǒng)中的ESF子系統(tǒng)、ESF符合邏輯、ESF驅(qū)動子系統(tǒng)、專用的數(shù)據(jù)鏈接在PMS中提供ESF功能。PLS的縱深防御功能避免非能動安全系統(tǒng)不必要的驅(qū)動。ATWS提供少量的ESF功能，如非能動余熱排除系統(tǒng)的啟動等。

  ⑤導(dǎo)則6。

  保守地假設(shè)CCF會導(dǎo)致一種類型的所有模塊會失效。由于ALS的并行、簡單、高確定性的“硬件”架構(gòu)以及高冗余的設(shè)計，ALS的無軟件、無操作系統(tǒng)等使得系統(tǒng)運行時不存在一般的軟件CCF，PMS的并行運行特性可參照模擬系統(tǒng)，因此這些受影響的模塊不會同時失效。此外ATWS因為多樣性的設(shè)計，不會喪失其功能。

  ⑥導(dǎo)則7。

  應(yīng)結(jié)合隨機(jī)故障假定儀表和控制結(jié)構(gòu)中的CCF情況進(jìn)行概率安全分析( PRA)，對于I&C的CCF導(dǎo)致堆芯損壞方面的評估尚未進(jìn)行PRA�；�于ALS的特性以及不單獨設(shè)置多樣性驅(qū)動系統(tǒng)( DAS)的考慮，在PRA中應(yīng)保守地假設(shè)一種類型的所有模塊會失效，但不是同時失效。

  ⑦導(dǎo)則8。

  ATWS的輸入信號與其他系統(tǒng)不共享。

  對于PMS中的CCF，假設(shè)受影響的部分沒有按時驅(qū)動需要的保護(hù)動作。

  ⑧導(dǎo)則9。

  在子系統(tǒng)之間提供光纖的或者阻抗隔離，來阻止電氣故障的傳播。PMS的4個序列，包括1E的供電系統(tǒng)，是實體隔離的。此外，I&C硬件的設(shè)計保證了信號調(diào)制設(shè)備的故障對傳感器性能影響最小。

  ⑨導(dǎo)則10和11。

  一個假想事故與PMS的CCF -起發(fā)生，同時ATWS也失效的概率應(yīng)在PRA中計算。如果計算的結(jié)果不能滿足核電廠的總體目標(biāo)，應(yīng)作相應(yīng)的調(diào)整，如增加DAS等。

  ⑩導(dǎo)則12。

  對于一個反應(yīng)堆緊急停堆事件與一個PMS中假想CCF -起發(fā)生這種低概率情況，ATWS以一個多樣性的方式觸發(fā)反應(yīng)堆緊急停堆。另外，PMS提供手動緊急停堆方式。為了支持手動停堆，PMS提供電廠信息給操縱員，同時提供1E級QDPS指示。

  對于一個或者多個ESF驅(qū)動事件與一個PMS中CCF -起發(fā)生這種低概率情況、不同時發(fā)生故障的假設(shè)，使得冗余通道的驅(qū)動成為可能。連接至PMS驅(qū)動路徑下游的系統(tǒng)級手動驅(qū)動，提高了驅(qū)動能力。此外具有最高權(quán)限的CIM現(xiàn)場手動操作進(jìn)一步提高了驅(qū)動的能力。為了支持手動ESF驅(qū)動，PMS給操縱員提供電廠信息，同時提供1E級QDPS指示。

  反應(yīng)堆緊急停堆和ESF驅(qū)動功能由ALS一102執(zhí)行，它們之間是隔離、獨立的。ALS - 102的并行、獨立的FPGA邏輯分別處理反應(yīng)堆緊急停堆和ESF驅(qū)動，它們之間不存在共用的資源，如存儲器、處理器等，因此反應(yīng)堆緊急停堆功能故障不會阻止ESF驅(qū)動功能響應(yīng)其他輸入，ESF驅(qū)動功能故障也不會阻止反應(yīng)堆停堆功能響應(yīng)其他輸入。

  ⑩導(dǎo)則13。

  I&C結(jié)構(gòu)的3個層次提供了支持手動操作的指示。這些手動操作具有將核電廠維持在運行限值范圍內(nèi)、停閉反應(yīng)堆以及驅(qū)動ESF的功能。DDS通過實時數(shù)據(jù)網(wǎng)絡(luò)向操縱員提供非安全級的電廠顯示和報警數(shù)據(jù)，而PMS的QDPS提供安全級的顯示，ATWS可提供極少量的相關(guān)顯示。

  如圖1所示，PMS通過隔離裝置單向發(fā)送數(shù)據(jù)到DDS。用于和PLS或DDS連接的隔離裝置防止PLS或者DDS中的故障影響到PMS的運行。與這些信號有關(guān)的信號調(diào)制和數(shù)據(jù)處理功能是由PMS中的獨立的子系統(tǒng)執(zhí)行的，不與反應(yīng)堆緊急停堆或者ESF驅(qū)動功能相關(guān)聯(lián)。一旦信號通過隔離裝置離開PMS，就不再是安全相關(guān)的，也不用于任何安全功能。連接DDS與PMS的單向網(wǎng)關(guān)，用于電廠狀態(tài)的監(jiān)視，包括PMS系統(tǒng)的狀態(tài)。

  ⑥導(dǎo)則14。

  PMS中提供監(jiān)測和指示級的手動停堆和手動ESF驅(qū)動功能。非安全級ATWS也提供手動反應(yīng)堆緊急停堆能力和有限的ESF驅(qū)動。如圖2所示，PMS通過一個硬接線直接控制反應(yīng)堆停堆斷路器的線圈通路。ATWS提供一個多樣性的硬接線停堆到控制棒驅(qū)動電動發(fā)電機(jī)組斷路器。PMS提供系統(tǒng)級和部件級驅(qū)動ESF功能的手動措施。

  除了PRA相關(guān)的工作沒有完成外，本設(shè)計滿足NUREG/CR 6303的14條導(dǎo)則要求。

3  系統(tǒng)多樣性量化值計算

3.1  基于NUREG/CR - 7007的計算方法

NUREG/CR - 7007在NUREG/CR 6303的基礎(chǔ)上給出了多樣性的7大屬性25條準(zhǔn)則／措施，典型的應(yīng)對方案詳見表2。在對系統(tǒng)的多樣性進(jìn)行量化計算時，先確定所評估的系統(tǒng)是否滿足某項準(zhǔn)則／措施，再根據(jù)公式進(jìn)行計算，得出系統(tǒng)的多樣性量化目標(biāo)值。當(dāng)量化目標(biāo)值大于1時，NRC則認(rèn)可其滿足多樣性要求。文獻(xiàn)[4]基于全球范圍內(nèi)的航天、航空、軌道運輸?shù)确呛诵袠I(yè)及核行業(yè)大量的多樣性實際應(yīng)用情況的處理和分析，給出了措施的多樣性準(zhǔn)則的有效性（diversity criterion effectiveness．DCE）權(quán)重和每一項多樣性屬性的有效性(diversity attribute effectiveness，DAE)權(quán)重值。

根據(jù)NUREG/CR - 7007，有如下多樣性量化目標(biāo)值計算公式：

式中：A為系統(tǒng)的多樣性量化目標(biāo)值；xi為取決于表2中的7個多樣性屬性的第i多樣性屬性中的第_『個措施的存在與否，存在該措施，x。=1，未采用此措施，xi =O;w。為第i多樣性屬性的DAE權(quán)重；wi為第i多樣性屬性中的第_『個措施的DCE權(quán)重；C為歸一化基準(zhǔn)常數(shù)；i EI={l ,2,3 ,4,5,6,7};jEJ,={1,2,3,4};X,jEx={0，l}。

3.2 PMS多樣性措施值的確定

3. 2.1設(shè)計多樣性

  除了PC Node Box及ASU等用于人機(jī)界面部分功能采用了基于微處理器的計算機(jī)系統(tǒng)以外，PMS的其他功能均采用ALS平臺實現(xiàn)。所有安全級的自動控制均通過基于FPGA的ALS平臺實現(xiàn)。雖然PMS所有的ALS卡件均采用了多樣雙核(core diversity)，以及圖2、圖3的ALS機(jī)柜額外采用了內(nèi)置式多樣性設(shè)計（embedded design diversity），但它們均基于WEC的FPGA技術(shù)。因此，根據(jù)NRC的評估準(zhǔn)則，認(rèn)為基于ALS的PMS不具備設(shè)計屬性多樣性，本計算將其相關(guān)的措施值x1，取0。

3.2.2設(shè)備制造商多樣性

  PMS所采用的ALS平臺為WEC的產(chǎn)品，因此PMS不具有表2中設(shè)備制造商的多樣性屬性的前三項的多樣性。由于PMS采用了多樣雙核和內(nèi)置式多樣性設(shè)計，相應(yīng)的邏輯實現(xiàn)途徑不同，因此本文認(rèn)為PMS具有“相同的制造商、不同的版本”的多樣性措施，措施值X24取1。

3.2.3邏輯處理設(shè)備多樣性

  由于ALS平臺不采用軟件實現(xiàn)PMS功能，因此采用不同的邏輯處理架構(gòu)、不同的部件集成架構(gòu)、不同的數(shù)據(jù)流架構(gòu)等可以提高基于微處理器架構(gòu)系統(tǒng)多樣性的措施均不適用。本計算將相關(guān)的措施值x3i取0。

3.2.4功能多樣性

  功能的多樣性是一種重要的多樣性措施，故本設(shè)計中充分利用了功能多樣性的措施。如D3分析所示，PMS采用的傳感器、整定值、執(zhí)行機(jī)構(gòu)等均與非安全I(xiàn)&C系統(tǒng)不同，表2的“不同的機(jī)理”、“不同的目的、功能、控制邏輯或驅(qū)動方式”、“不同的響應(yīng)時間域”等諸多措施得到充分的應(yīng)用�？刂葡到y(tǒng)采用了控制棒位置調(diào)節(jié)、硼酸濃度調(diào)節(jié)，而PMS采用控制棒驅(qū)動機(jī)構(gòu)失電快速插入的方式，這既是對GDC25、26、27要求的響應(yīng)，也提供了所需的多樣性。就PMS本身來說，它是一個4序列隔離的1E級系統(tǒng)，能對每個預(yù)期運行事件和事故進(jìn)行多級防御。反應(yīng)堆緊急停堆功能和大多數(shù)ESF驅(qū)動功能采用了不同的傳感器并采用四取二表決，為每一個預(yù)期運行事件和事故提供多樣性的反應(yīng)堆緊急停堆功能和／或ESF驅(qū)動。此外，多種保護(hù)功能的后備保護(hù)也是一種功能多樣性的措施，如超功率AT為功率量程高中子注量率提供后備保護(hù)，穩(wěn)壓器的高液位停堆作為穩(wěn)壓器高壓力停堆的后備保護(hù)等�；�于這樣的設(shè)計，本計算將相關(guān)的措施值X4j取1。

3.2.5全壽命周期多樣性

  由于PMS的ALS平臺均由同一公司供貨，因此X51取0。為了能夠提高多樣性，規(guī)定PMS的平臺應(yīng)由“不同的管理團(tuán)隊”、“不同的設(shè)計／開發(fā)團(tuán)隊”以及“不同的實施／驗證團(tuán)隊”來實現(xiàn)。因此，本計算將相關(guān)的措施值X52、X53、X54取1。

3.2.6邏輯多樣性

  PMS采用了多樣雙核以及內(nèi)置式多樣性設(shè)計，ALS -102邏輯的開發(fā)，遵從和標(biāo)準(zhǔn)卡件開發(fā)一致的標(biāo)準(zhǔn)。安全功能是由不同的算法、邏輯，不同的時序和執(zhí)行順序來實現(xiàn)，因此，本計算將相關(guān)的措施值X6j取1。

3.2.7信號多樣性

  信號多樣性屬性和邏輯實現(xiàn)平臺并無直接關(guān)系。該屬性為提高多樣性的常見辦法，本設(shè)計充分利用多樣性的信號來提高系統(tǒng)多樣性。使用不同的參數(shù)去觸發(fā)保護(hù)動作，這些參數(shù)中的任何一個都是獨立的，它們中的任何一個出現(xiàn)故障都不會影響其他參數(shù)的保護(hù)功能。對于特定事件，為反應(yīng)堆緊急停堆和ESF驅(qū)動提供多樣性信號，PMS中用于產(chǎn)生反應(yīng)堆緊急停堆和ESF驅(qū)動的信號來自于不同類型的傳感器，如多種不同的信號用于停堆，采用堆芯補水箱液位低、穩(wěn)壓器壓力低、蓄電池電壓低、手動開關(guān)等不同類型的信號來驅(qū)動自動降壓系統(tǒng)�；�于這樣的設(shè)計，本計算將相關(guān)的措施值x7j取1。

3.3計算與分析

  將第3.2節(jié)確定的這些xij值代人式(1)，DAE、DCE、C均取NUREG/CR - 7007的標(biāo)準(zhǔn)值，計算結(jié)果為0. 972，略微小于可接受值l。值得注意的是，在本計算中保守的將邏輯處理設(shè)備多樣性的4個措施均置為0。如果將NUREG/CR - 7007中表6.4的對應(yīng)項也置為0，則A策略基準(zhǔn)方案的多樣性值將降低0. 451；而B策略基準(zhǔn)方案的多樣性值至少降低0. 258，B策略基準(zhǔn)方案的多樣性值最多可降低0.386；C策略基準(zhǔn)方案的多樣性值最多可降低0. 258。根據(jù)文獻(xiàn)[11]，A、B、C、D策略方案最大可能歸一化多樣性的值分別為1. 400、1.315、1.235、1.192。將邏輯處理設(shè)備多樣性的措施置為0可極大地影響評價值。因此，在對基于FPGA的保護(hù)系統(tǒng)進(jìn)行評估時，NRC很有可能修正NUREG/CR - 7007中DAE和DCE系數(shù)，從而提高基于ALS平臺系統(tǒng)的多樣性量化值。

  鑒于PMS的多樣性值已經(jīng)接近可接受的范圍，因此作為初步的方案，可認(rèn)為PMS已經(jīng)具有足夠的多樣性，不必再單獨設(shè)置多樣性驅(qū)動系統(tǒng)。

  對于10CFR50. 62所要求的停堆、停機(jī)及啟動余熱排出等功能可由非安全級平臺實現(xiàn)。這樣的工程應(yīng)用在嶺澳核電廠已有先例，且可以簡化I&C系統(tǒng)及主控制室等設(shè)計。

4結(jié)束語

  本文依據(jù)NUREG/CR - 6303的相關(guān)要求，對基于ALS平臺的優(yōu)良特性而設(shè)計的PMS進(jìn)行了多樣性和縱深防御要求分析，并按NUREG/CR 7007的方法和標(biāo)準(zhǔn)參數(shù)計算了該系統(tǒng)的多樣性量化值。盡管由于ALS平臺不采用軟件實現(xiàn)邏輯，而將NUREG/CR 7007中7大評估屬性之一的“邏輯處理設(shè)備多樣性”的4條措施不計人多樣性貢獻(xiàn)的計算，但該PMS的多樣性量化仍接近于NRC的接受準(zhǔn)則，表明該方案整體上有較高的多樣性屬性，基本滿足NRC對系統(tǒng)多樣性的定量要求。因此，原則上得出可以不單獨設(shè)置多樣性系統(tǒng)的初步結(jié)論。

由于目前世界上沒有將ALS平臺開發(fā)作為PMS的工程實踐，因此本設(shè)計是一個全新方案。論證方案的可行性需進(jìn)行大量的研究工作，這些工作對于PMS的自主開發(fā)，甚至是平臺本身的國產(chǎn)化都具有重要的參考意義。

5摘要：2013年美國核管會通過了對西屋公司開發(fā)的新一代基于現(xiàn)場可編程門陣列技術(shù)的1E級先進(jìn)邏輯系統(tǒng)平臺的認(rèn)證。針對基于該平臺所設(shè)計的保護(hù)與監(jiān)測系統(tǒng)，依據(jù)NUREG/CR 6303的相關(guān)要求，進(jìn)行了多樣性和縱深防御要求分析，并按NUREG/CR 7007的方法計算了保護(hù)與監(jiān)測系統(tǒng)的多樣性量化值。分析結(jié)果表明，新設(shè)計的保護(hù)與監(jiān)測系統(tǒng)方案基本滿足美國核管會對系統(tǒng)多樣性的定量要求，并得出可以不單獨設(shè)置多樣性驅(qū)動系統(tǒng)的初步結(jié)論。