Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 61500-2018:核电厂——安全重要仪控系统——复用数据传输技术要求
IEC 61500-2018 规定了核电厂安全重要仪控系统中复用数据传输的要求。随着核电厂从硬接线模拟控制向数字化 I&C 架构过渡,多路复用技术在减少电缆数量和实现高级诊断功能方面变得至关重要。然而,多路复用引入了独特的故障模式——共因故障、数据损坏、延迟变化和隔离失效——必须针对安全分级应用进行严格处理。
提示: IEC 61500 于 2018 年修订,以纳入现代通信协议(基于以太网、光纤)和早期版本未涵盖的网络安全要求。所有新建核电厂的 I&C 设计应引用此版本。
1. 功能类别与完整性要求
标准根据安全重要性将复用数据传输功能分为三个类别:
| 类别 | 安全重要性 | 完整性要求 | 典型应用 |
|---|---|---|---|
| A 类 | 直接安全功能(反应堆停堆、ESF 驱动) | BER < 10^-9,延迟 < 10 ms,100% 冗余,多样化介质 | 反应堆保护系统数据链路 |
| B 类 | 间接安全功能(安全显示、操作员辅助) | BER < 10^-7,延迟 < 50 ms,建议冗余带多样性 | 事故后监测显示 |
| C 类 | 非安全但对安全运行重要 | BER < 10^-6,延迟 < 200 ms,单通道可接受 | 厂区计算机数据记录、趋势显示 |
误码率(BER)要求尤为严格。对于 A 类链路,标准要求在应用层 BER 不超过 10^-9,这通常需要在数据链路层实施前向纠错(FEC)或自动重传请求(ARQ)。延迟要求必须在最大负载条件下验证——而不仅仅是平均负载——因为多路复用引入的争用可能导致最坏情况延迟超过平均值的 3-5 倍。
注意: 核安全系统中的基于以太网的多路复用必须使用确定性调度(如时间敏感网络 TSN)或专用时隙。标准尽力投递的交换式以太网在故障条件下无法满足 A 类延迟要求。
2. 复用系统中的隔离与独立性
IEC 61500 解决的一个关键问题是冗余安全序列之间以及共享复用传输介质的安全与非安全系统之间的隔离:
- 物理隔离: 冗余安全序列(压水堆通常为四个序列)不得共享任何公共传输设备——无共享交换机、路由器、中继器或电源。每个序列必须拥有位于物理分隔区域的专用多路复用设备。
- 电气隔离: 安全与非安全接口必须提供至少额定最大故障电压(1E 级设备通常为 2 kV)的电流隔离。光纤介质天然提供这种隔离,使其成为 A 类链路的首选物理层。
- 功能隔离: 当安全和非安全数据共享多路复用链路时(允许用于 B/C 类),标准要求进行数据完整性检查,防止非安全数据错误传播到安全功能。这通常通过具有独立 CRC 保护的独立虚拟通道实现。
工程建议: 在为新建核电厂设计复用 I&C 时,从一开始就为所有 A 类链路指定光纤传输。虽然带隔离变压器的铜缆以太网理论上可以满足要求,但消除接地回路风险、EMP 抗扰度和简化布线使光纤成为安全分级数据传输的低风险选择。
3. 核级复用 I&C 的工程设计要点
3.1 数据传输介质的多样性
IEC 61500 建议对最关键的功能采用复用介质的多样性。例如,A 类反应堆停堆信号应在两种独立的介质类型上传输——一条光纤路径和一条硬接线铜缆路径,或两条具有不同布线路径和不同发射器/接收器技术的光纤路径。这可以防止共因故障,如光纤电缆切断(单一物理路径)、光收发器老化(单一元件批次)或同时影响所有铜缆的电磁干扰。
3.2 错误检测与故障响应
标准规定了每个类别的最低错误检测能力。对于 A 类,复用系统必须在一个通信周期内检测并响应以下情况:单个比特错误、最多 32 比特的突发错误、同步丢失、载波丢失和协议违规。故障响应必须是从容降级到已知安全状态,而非完全丧失通信。设计人员应实现”心跳”看门狗机制,超时设置为标称通信周期的 2-3 倍。
3.3 复用安全系统的网络安全
IEC 61500-2018 纳入了与 IEC 62645 一致的网络安全要求。复用通信系统必须防止可能中断、拦截或修改安全数据的未授权访问。对于 A 类链路,标准强制要求:所有数据帧的密码学认证、通过序列号或时间戳防止重放攻击、以及对所有复用设备的物理访问控制。然而,这些网络安全措施不得增加超出 A 类限制的延迟——这一设计挑战通常需要硬件加速加密而非基于软件的解决方案。
危险: 切勿在 A 类安全数据链路上实施基于软件的 ARQ(自动重传请求)。重传时序的变异性使得最坏情况延迟分析难以处理。应使用具有固定处理时间和可预测纠错能力的 FEC(前向纠错)作为替代方案。
4. 常见问题
问:单根光纤能否同时传输安全和安全数据?
可以,但前提是复用系统能提供安全与非安全虚拟通道之间的可靠隔离。这要求每个通道具有独立的 CRC、独立的缓冲,并且证明非安全通道故障(如缓冲区溢出)不会损坏安全通道数据。波分复用(WDM)在独立波长上提供最强的隔离保证。
可以,但前提是复用系统能提供安全与非安全虚拟通道之间的可靠隔离。这要求每个通道具有独立的 CRC、独立的缓冲,并且证明非安全通道故障(如缓冲区溢出)不会损坏安全通道数据。波分复用(WDM)在独立波长上提供最强的隔离保证。
问:IEC 61500 与 IEC 61513(核 I&C 架构)的关系是什么?
IEC 61513 定义了核 I&C 系统的整体架构和分类。IEC 61500 为该架构中的复用数据传输子系统提供了具体要求。IEC 61500 是一个”特殊要求”标准,针对多路复用领域补充了 IEC 61513。
IEC 61513 定义了核 I&C 系统的整体架构和分类。IEC 61500 为该架构中的复用数据传输子系统提供了具体要求。IEC 61500 是一个”特殊要求”标准,针对多路复用领域补充了 IEC 61513。
问:安全 I&C 的最大推荐复用比是多少?
标准未规定固定比例,但核应用的工程实践建议将 A 类比保持在 16:1 以下,B 类保持在 32:1 以下。较高的复用比会增加单个复用器故障的后果并使延迟分析复杂化。
标准未规定固定比例,但核应用的工程实践建议将 A 类比保持在 16:1 以下,B 类保持在 32:1 以下。较高的复用比会增加单个复用器故障的后果并使延迟分析复杂化。
问:核安全 I&C 是否允许无线复用传输?
2018 版未禁止无线传输,但要求无线链路满足与有线链路相同的 BER、延迟和可用性要求。实际上,由于对有意干扰、信号衰落和频谱可用性的担忧,尚无核安全监管机构批准将无线多路复用用于 A 类功能。
2018 版未禁止无线传输,但要求无线链路满足与有线链路相同的 BER、延迟和可用性要求。实际上,由于对有意干扰、信号衰落和频谱可用性的担忧,尚无核安全监管机构批准将无线多路复用用于 A 类功能。
