活動鏈接：2013年控制網(wǎng)技術專題---新時代的安全變革


                         
                             北京廣利核系統(tǒng)工程有限公司總工程師 白濤 

  《自動化博覽》：自日本福島核電站泄漏事件以來，核電站的安全問題已提高到了國家戰(zhàn)略層面，儀控系統(tǒng)作為保障核電站安全的中樞，其安全性都包括哪些方面？它如何來保障核電站的安全運行？

   白濤：談到核電站儀控安全性主要考慮功能安全、信息安全和電氣安全。核電站的運行狀態(tài)分為：正常運行、預計運行事件、設計基準事件和超設計基準事故，功能安全就是要確保核電站在發(fā)生設計基準事件以及超設計基準事故時儀控系統(tǒng)安全功能不喪失，維持核電站處于安全狀態(tài)；信息安全就是確保儀控系統(tǒng)不受外部惡意破壞而影響安全；電氣安全就是不因電氣原因對人員、設備、財產、環(huán)境等造成影響。

   儀控系統(tǒng)主要包括控制系統(tǒng)和保護系統(tǒng)兩大部分，控制系統(tǒng)是維持核電站的正常運行并限制核電站的預計運行事件防止其發(fā)展成更嚴重的事件，保護系統(tǒng)是在核電站處于設計基準事件時啟動反應堆停堆和專設安全設施以確保核電站安全。為了確保儀控系統(tǒng)的安全性，儀控系統(tǒng)設計應滿足單一故障準則、故障安全準則、多樣性準則、縱深防御準則、獨立性與隔離準則等設計準則要求，同時還需考慮儀控系統(tǒng)整體可靠性、高度自診斷、冗余、系統(tǒng)負荷、試驗與校準、設備質量和質量鑒定、接近控制、人因工程等要求。對于數(shù)字化儀控系統(tǒng)還要確保滿足：系統(tǒng)確定性、完整性、驗證與確認、數(shù)據(jù)通訊安全、商品級計算機質量鑒定、軟件共因故障等防御要求。

   《自動化博覽》：以近年來的核電站泄漏事故之鑒，中國政府在保障核電站安全方面做了哪些工作？是否推出了具有針對性的法律法規(guī)或者標準？目前應用情況如何？ 廣利核是否參與了相關標準的制定當中？

   白濤：我國政府始終把核安全放在一切工作的首位，提出了“安全第一，質量第一”和“預防為主”的要求。“安全第一”的原則一直貫穿核工業(yè)一切工作的始終。安全第一，要求在核電廠各項工作中特別是核安全與其他問題產生沖突時，始終把核安全作為第一出發(fā)點。預防為主，就是對影響核安全的人員、機具、材料、方法和環(huán)境實施全過程的全面監(jiān)控，把事故隱患消滅在萌芽狀態(tài)。

   福島事件屬于超設計基準事故，發(fā)生概率極低，一旦發(fā)生需要立即啟動相關應急程序。福島事件后，我國針對已投入運行的核電站進行了全面的審查分析和整改，并在儀控系統(tǒng)設計上加大了對獨立性和多樣性等方面的設計考慮以降低超設計基準事故發(fā)生概率。同時能源局作為國家核電行業(yè)標準相關制修訂的歸口單位，已經啟動了三代標準需求的研究，并取得了階段性成果。福島事件后能源局積極響應國家對于標準建設提出的新的要求，截至2012年共下達了112項與儀控電相關的標準。我公司作為核電領域的儀控設備供應商也有職責和義務參與到核電行業(yè)標準制修訂工作中。廣利核公司將在核電領域中取得的工作經驗與國際先進技術相結合同時參考國外先進標準承擔或參與了十余項核電儀控方面標準的制修訂工作。截止到2011年底公司共完成了4項行業(yè)標準的發(fā)布，2012年，廣利核公司繼續(xù)承擔6項標準的制修訂工作，目前正在穩(wěn)步推進中。今年，它也正在積極推進將相關成熟經驗固化，進而形成行業(yè)標準的相關工作。

   《自動化博覽》：眾所周知，核電用的控制系統(tǒng)設備分為兩類，一類是通用設備，一類則是核電專用的安全系統(tǒng)平臺。通用設備我國早已實現(xiàn)國產化，但是安全級DCS的技術門檻高，研發(fā)成本高，能給我們講講目前我國安全級DCS安全系統(tǒng)平臺的研發(fā)情況嗎？據(jù)悉，廣利核在此方面也取得了階段性的成果，可否為我們簡單介紹一下？其主要優(yōu)勢在哪里？是否已經有成功應用？

   白濤：廣利核公司從成立之初就關注并積極開展核安全級DCS的國產化工作。公司于2006年正式啟動核安全級數(shù)字化儀控平臺（FirmSys）的研制工作。在經歷了可行性分析、產品預研、概念樣機、驗證樣機階段后，于2010年10月完成第一代產品發(fā)布，并于2012年12月完成平臺的設備鑒定工作。

   FirmSys平臺是廣利核公司完全獨立自主研發(fā)的擁有自主知識產權的產品，產品關鍵技術指標均達到國際同類產品水平。FirmSys在產品研制過程中以CPR1000核電站需求為輸入，并結合了三代以及四代等先進反應堆需求不斷完善和豐富產品功能。平臺即將通過功能安全SIL3的評估，產品在可靠性、安全性、故障容錯、故障安全、自診斷及結構抗震方面做了重點的設計考慮。

   FirmSys平臺已經于2010年首次實現(xiàn)在寧德1、2號機組PX泵房項目中的降級應用，并穩(wěn)定運行2年。后續(xù)將在石島灣高溫氣冷堆安全控制保護系統(tǒng)、大亞灣核電站RIC系統(tǒng)、嶺澳核電站應急柴油機采集系統(tǒng)中進行應用，最終將應用于陽江5、6號的反應堆控制保護系統(tǒng)中。

   《自動化博覽》：未來我國發(fā)展核安全儀控系統(tǒng)面臨哪些挑戰(zhàn)和機遇？廣利核為此做了怎樣的準備？

   白濤：國家已經確立了積極發(fā)展核電的戰(zhàn)略，預計到2020年要完成8000萬千瓦裝機容量。目前我國新建、在建核電站項目中，核電站數(shù)字化儀控系統(tǒng)關鍵技術仍然被國外公司壟斷。據(jù)國外媒體的報道，針對Siemens控制系統(tǒng)的Stuxnet病毒攻擊伊朗核設施，造成核電站設備損壞，懷疑是因為在控制設備中被植入惡意代碼。這個案例向我們提出了警示：我國必須實現(xiàn)大型先進壓水堆關鍵設備的全面自主化和國產化，擺脫核電站數(shù)字化儀控系統(tǒng)平臺依賴進口的局面。立足國內，在已經具有的技術基礎上，全面掌握滿足二代改進型壓水堆和三代大型先進壓水堆要求的數(shù)字化儀控系統(tǒng)平臺自主設計和制造的核心技術，是保證國家安全的需要。

   核安全級數(shù)字化儀控系統(tǒng)的設備鑒定和軟件驗證與確認技術是確保核電站儀控系統(tǒng)具有高可靠性的關鍵技術之一，目前國內的核安全級數(shù)字化儀控系統(tǒng)技術標準和技術審查體系還不夠完善，這就使得我國自主研制開發(fā)的核安全級數(shù)字化儀控設備面臨重大的技術瓶頸。國家核安全法規(guī)對于核安全級設備的設計和制造有嚴格的規(guī)定，如請國外機構進行認證將面臨著費用巨大、時間長，且面臨關鍵技術泄密的風險。因此必須在國內開展核安全級數(shù)字化儀控系統(tǒng)的技術標準的研究，建立全面的、可信賴的技術審查和產品認定體系，實現(xiàn)從設備設計、產品制造、工程設計、系統(tǒng)集成、技術審查的完整產業(yè)鏈和技術體系，掌握核心技術，實現(xiàn)核安全級數(shù)字化儀控系統(tǒng)的全面自主化。

   廣利核公司自主研發(fā)的安全級數(shù)字化儀控系統(tǒng)平臺（FirmSys）目前已經在2010年10月完成了產品發(fā)布。為了保證FirmSys平臺能夠順利應用于核電廠安全級保護系統(tǒng)，公司通過降級使用、安全級系統(tǒng)應用等多種途徑不斷的對產品進行優(yōu)化。目前安全級產品正在和清華合作的高溫氣冷堆項目中開展研究，為產品適用于更多堆型奠定基礎。2011年～2013年，承擔國家科技重大專項“自主知識產權的核電站數(shù)字化儀控系統(tǒng)平臺研制”，是研制具有自主知識產權的可用于二代改進型和三代壓水堆的數(shù)字化儀控系統(tǒng)平臺，是實現(xiàn)我國大型先進壓水堆核電站重大技術裝備國產化和自主化目標的關鍵步驟，也是掌握核電儀控核心技術的必由之路。基于上述已有的堅實核電數(shù)字化儀控系統(tǒng)研發(fā)基礎和工程實施經驗，廣利核的目標是通過陽江5、6號機組控制保護系統(tǒng)，完全的實現(xiàn)安全級儀控系統(tǒng)的國產化。

   《自動化博覽》：信息安全也已經成為不可忽視的焦點問題，在核電站中尤其如此，您如何看待信息安全的問題？廣利核在保障核電站信息安全方面做了哪些工作？

   白濤：隨著核電站控制系統(tǒng)中計算機技術的引入，核電站的信息安全問題也隨之而來，所謂信息安全就是防止非法的攻擊和病毒的傳播，保證計算機系統(tǒng)和通信系統(tǒng)的正常運作，保證信息不被非法訪問和篡改。核電領域目前正迫切需要加強信息安全的研究，來防止核電儀控系統(tǒng)受到惡意攻擊而影響安全，針對核電儀控系統(tǒng)的信息安全，以下談幾點看法：

   首先，信息不安全，會導致安全功能的多種基本原則失效，具體表現(xiàn)為：在需要時不能自動執(zhí)行預定安全功能，存在非預期的自動功能和行為，手動控制等后備防護手段受到干擾和無法執(zhí)行，設備或是系統(tǒng)失效時不能導向安全等基本原則；其次，保障信息安全面臨著諸多挑戰(zhàn)，如泄密途徑多，系統(tǒng)設備類別多、外設接口多，導致侵入途徑多，再加之受到被動防護、實時入侵檢測的副作用等防護局限性影響，導致信息安全的保障面臨很多困難。此外，核電數(shù)字化儀控系統(tǒng)信息安全又呈現(xiàn)新特點，如：不完全以竊取信息和破壞計算機系統(tǒng)本體為目的，轉而以破壞工業(yè)控制系統(tǒng)的被控對象為目的，還有針對特定工業(yè)生產控制系統(tǒng)進行攻擊，這些行為不會在測試環(huán)境中出現(xiàn)等特定。

   作為核電儀控領域的制造商，廣利核公司也在信息安全方面做了很多研究。在核安全級儀控系統(tǒng)平臺Firmsys研制過程中，廣利核公司針對儀控信息安全特點，開展了信息安全方面的研究。在管理機制和工作平臺建設方面，實施信息系統(tǒng)等級保護，加強信息安全過程監(jiān)控，進行保密和信息安全培訓，提高全員信息安全意識，提升核電信息系統(tǒng)的安全保護能力。在產品的研發(fā)過程中，通過開展信息安全審查和驗證， 針對產品的整個生命周期進行信息安全分析、信息安全設計等活動來保障核電儀控系統(tǒng)的信息安全。例如：在系統(tǒng)接口的設計方面，考慮系統(tǒng)構成各部分的靜態(tài)確認，并實施身份鑒別；在敏感信息的處理方面，采用多種信息完整性校驗方法；在軟件設計方面，不使用商用操作系統(tǒng)和功能庫，100%白盒化，采用加密算法、通信協(xié)議、信息完整性校驗算法，降低實現(xiàn)的復雜度。由于國內在信息安全方面的起步較晚，目前尚沒有成熟的關于核電儀控系統(tǒng)信息安全的標準和規(guī)范。因此，我國迫切需要發(fā)展自主知識產權的、滿足信息安全要求的核電數(shù)字化儀控系統(tǒng)，并逐步完善并制訂核電領域信息安全方面的標準。

   《自動化博覽》：您如何看待未來核安全儀控系統(tǒng)的技術發(fā)展趨勢？

  白濤：核安全級儀控系統(tǒng)是核電站的“控制中樞”和“神經中樞”，從上個世紀六十年代到現(xiàn)在其依次經歷了模擬系統(tǒng)、模擬系統(tǒng)加數(shù)字系統(tǒng)、全數(shù)字系統(tǒng)的發(fā)展過程。與模擬控制技術相比，數(shù)字化控制技術具有明顯的先進性及優(yōu)勢，對于提高核電站運行的安全性、可靠性、可用性以及經濟性，改善核電廠的安全狀況及穩(wěn)定運行水平、降低設備的維修成本具有重要的意義。隨著以AP1000、EPR等為代表的高安全等級三代核電站廣泛應用，以及以CAP1400、ACPR1000+、HTR為代表的先進堆型國產化研制，給數(shù)字化儀控系統(tǒng)的國產化大發(fā)展提供了寬闊的空間。

   與數(shù)字化儀控系統(tǒng)密切相關的關鍵技術包括：（1）安全級DCS平臺系統(tǒng)設計技術（系統(tǒng)可靠性設計技術、系統(tǒng)自診斷設計技術）；（2）安全網(wǎng)絡設計技術（點對點通信網(wǎng)絡設計技術、多點通信網(wǎng)絡設計技術）；（3）安全軟件設計技術（嵌入式操作系統(tǒng)軟件設計技術、基于形式化方法的圖形化算法組態(tài)環(huán)境設計技術）；（4）高可靠抗惡劣環(huán)境硬件設計技術（低功耗設計技術、電磁兼容性設計技術）；（5）機械結構設計技術（系統(tǒng)抗震設計技術）；（6）驗證與確認技術（軟件專項分析技術、形式化驗證技術、故障插入測試技術）。作為儀控設備供應商應采用積極、謹慎的態(tài)度來看待這些關鍵技術，通過多點環(huán)網(wǎng)等優(yōu)秀設計技術來提升可用性和安全性指標，通過形式化等多種驗證方法來執(zhí)行質量控制和驗證確認，嚴格控制不使用未經廣泛認可的技術、不使用未經可信驗證的技術，由此才能使儀控系統(tǒng)得以健康可持續(xù)發(fā)展。 

   摘自《自動化博覽》2013年3月刊