Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 61304:核反应堆仪表与控制系统设计详解
要点提示:IEC 61304 为核反应堆中安全重要的仪表与控制系统设计提出了基础性要求。该标准是核电领域 I&C 工程师、反应堆物理学家和安全分析人员的必读文件。
一、标准范围与目标
IEC 61304 确立了在核反应堆中执行安全重要功能的仪表与控制系统的设计要求。该标准适用于所有堆型,特别强调轻水堆(PWR、BWR)、加压重水堆(PHWR/CANDU)和气冷堆。它涵盖了从概念设计到详细工程、制造、安装、调试、运行和定期测试的整个 I&C 生命周期。
标准将 I&C 功能分为两大类:直接与反应堆安全相关的功能(反应堆保护、工程安全设施驱动和事故后监测)和安全重要但不属于安全相关的功能(反应堆功率调节、过程控制和电厂监测)。对于每个类别,标准规定了可靠性、可用性、可测试性和独立性要求。
重要区分:IEC 61304 不应与 IEC 61226 混淆,后者涉及根据安全重要性对 I&C 功能进行分类。IEC 61304 建立在 IEC 61226 的分类方案基础上,并为每个类别提供设计要求。这两个标准在核电厂 I&C 系统设计中一起使用。
标准定义了安全 I&C 设计的三个基本原则:纵深防御(多重独立且多样的保护层)、单一故障准则(系统在发生任何单一随机故障时必须仍能执行其安全功能)和故障安全设计(在电源丧失或系统故障时,系统必须默认进入最安全的状态)。这些原则应用于 I&C 架构的每个层级,从传感器选型到信号处理再到最终驱动。
二、反应堆保护系统架构
反应堆保护系统(RPS)是 IEC 61304 涉及的最高优先级 I&C 功能。RPS 必须持续监测关键反应堆参数,并在任何参数超过其安全限值时自动触发反应堆停堆。通常监测的参数包括中子通量(功率量程和中/源量程)、反应堆冷却剂温度、稳压器压力和液位、反应堆冷却剂流量和安全壳压力。
| 监测参数 | 传感器 | 停堆设定值 | 所需响应时间 |
|---|---|---|---|
| 中子通量(功率量程) | 非补偿电离室/裂变室 | 额定功率的 120% | < 50 ms |
| 中子通量(中间量程) | 裂变室(Campbell模式) | 随对数功率变化 | < 100 ms |
| 反应堆冷却剂温度 | RTD(Pt100)或热电偶 | 随压力变化 | < 200 ms |
| 稳压器压力 | 压力变送器(4–20 mA) | 低:15.5 MPa / 高:16.6 MPa | < 100 ms |
| 冷却剂流量 | 文丘里 + 差压变送器 | < 每环路额定流量 85% | < 200 ms |
| 安全壳压力 | 压力变送器 | 高:15–20 kPa(g) | < 500 ms |
IEC 61304 要求 RPS 采用4 通道冗余(四重冗余)设计,配备 2 取 4 表决逻辑。这种架构确保任何单一通道故障既不会阻止真正的停堆(单一故障不会破坏安全功能),也不会导致误停堆(单一故障不会导致不必要的电厂停运)。四个通道必须物理分离、电气隔离并由独立电源供电,以防止共因故障。
2 取 4 RPS 表决逻辑:
通道 A │ 通道 B │ 通道 C │ 通道 D
│ │ │ │
├─┬─└ 停堆逻辑 └─┬─┘
│ │ │ │
│ ├───2/4 表决───┘ │
│ │ │
└───┬───┘ │
│ │
停堆输出 A 停堆输出 B
│ │
└───两个 RPS 序列──┘
每个 RPS 序列使用 2 取 4 表决:至少 4 个通道中的
2 个必须请求停堆,该序列才能驱动。
标准还涉及反应性控制系统,包括控制棒驱动机构(CRDM)和化学补偿(硼酸)注入系统。对于 CRDM,IEC 61304 要求棒位指示系统的精度达到满行程的 ±3% 或更高,并持续监测是否有落棒或失控棒移动。对于 PWR 化学补偿,标准要求使用中子吸收法或电导率测量法设置冗余的硼浓度监测仪,并在检测到异常条件时自动隔离。
三、中子通量监测与工程安全设施
IEC 61304 对中子通量监测系统(NFMS)给予了充分关注,该系统提供从源量程(次临界)到满功率运行的连续反应堆功率测量。NFMS 通常分为三个重叠量程:源量程(满功率的 10⁻¹⁰ 到 10⁻⁷ %)、中间量程(10⁻⁷ 到 10⁻¹ %)和功率量程(1% 到 120%)。每个量程使用针对预期通量水平优化的不同探测器类型。
| 参数 | 源量程 | 中间量程 | 功率量程 |
|---|---|---|---|
| 探测器类型 | BF₃ 正比计数器或裂变室 | 裂变室(Campbell模式) | 非补偿电离室 |
| 中子通量范围 | 10⁻¹⁰–10⁻⁶ %FP | 10⁻⁶–10⁻¹ %FP | 1%–120% FP |
| 信号类型 | 脉冲计数 | 均方电压(Campbell) | 直流电流 |
| 所需灵敏度 | ≥ 1 cps/nv | 10⁻³–10 V/(n v) | ≥ 10⁻¹⁴ A/(n v) |
| 典型安装位置 | 堆内或堆外 | 堆外(贯穿件) | 堆外(通量导管) |
工程见解:NFMS 量程之间的切换是一个关键设计问题。标准要求相邻量程之间至少重叠一个数量级,以确保可以在重叠点验证校准。中间量程到功率量程的转换尤其重要,因为它涉及从 Campbell(波动)模式到 DC 电流模式的改变,每种模式具有不同的电子噪声特性。一个常见的设计缺陷是在转换点缺乏足够的噪声滤波,导致切换量程时指示通量出现阶跃变化。
工程安全设施驱动系统(ESFAS)是 IEC 61304 涵盖的另一个主要 I&C 功能。ESFAS 驱动安全系统,如应急堆芯冷却系统(ECCS)注入、安全壳隔离、安全壳喷淋和主蒸汽管线隔离。标准要求 ESFAS 独立于电厂过程控制系统,并使用独立的传感器、信号处理电子设备和驱动装置。ESFAS 必须设计为可进行定期测试而不会导致安全系统误驱动,并且必须包括独立于自动驱动逻辑的手动驱动能力。
关键设计要求:RPS 与 ESFAS 之间以及这两者与电厂控制系统之间的独立性是 IEC 61304 的基本要求。这意味着独立的传感器贯穿件、在物理分离的线槽中独立布线、位于不同房间(防火分区)的独立 I&C 机柜以及独立的不间断电源。任何跨越这些独立性边界的位置必须通过合格的隔离装置(光隔离器、隔离变压器)实现,并具有经过验证的故障耐受能力。
标准还涉及事故后监测仪表,该仪表必须在包括高温、高压、高湿度和高辐射在内的严重事故条件下保持功能正常。事故后监测系统包括反应堆冷却剂系统水位(使用加热结热电偶技术)、安全壳氢气浓度、安全壳水位的测量以及安全壳内的辐射水平。这些仪表必须根据 IEC 60780(核电厂电气设备鉴定)的规定,对设计基准事故期间预期的环境条件进行鉴定。
常见问题解答
问题1:IEC 61304 与 IEC 61513 有什么区别?
IEC 61304 专门关注安全重要的反应堆 I&C 系统,而 IEC 61513 提供核电厂整体 I&C 架构(包括非安全系统)的通用要求。IEC 61304 更具体地涉及反应堆保护、中子监测和反应性控制。IEC 61513 采用更广泛的自顶向下系统方法处理整个电厂 I&C 架构,并与 IAEA 安全标准保持一致。
问题2:IEC 61304 如何处理基于软件的 I&C 系统?
IEC 61304 引用 IEC 60880 来处理安全级 I&C 系统的软件方面。IEC 60880 要求安全软件使用严格的软件生命周期流程开发,包括形式化规范、多样性(防御共因软件故障),并由独立的验证和确认团队进行验证。标准还要求基于软件的系统设计为允许在不影响电厂运行的情况下进行安全功能的定期测试。
问题3:RPS 中传感器响应时间有什么要求?
IEC 61304 要求每个 RPS 通道的总响应时间——从传感器检测到始发事件到停堆动作完成(如控制棒插入)——应小于电厂安全分析中使用的分析限值。对于典型的 PWR 应用,高中子通量停堆所需的总响应时间小于 1 秒,温度和压力停堆小于 2 秒。单个传感器的响应时间必须通过定期测试验证,通常对 RTD 和压力变送器使用回路电流阶跃响应方法。
问题4:IEC 61304 适用于小型模块化反应堆(SMR)吗?
该标准主要为大型动力堆编写,但其原则适用于 SMR。然而,许多 SMR 设计采用集成 I&C 架构,与传统大型反应堆相比,传感器数量显著减少,保护逻辑更简单。纵深防御、单一故障准则和多样性的基本安全原则仍然适用,但通常可以通过更简单、更集成的 I&C 设计来实现。相关的 IEC 标准更新版本正在制定针对特定 SMR I&C 的指南。
