Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 62084 核电站硬接线仪控安全系统设计要求
核安全级仪表与控制系统的设计规范
IEC 62084 适用于核电站中执行安全功能的硬接线仪控系统,涵盖从反应堆保护到专设安全设施驱动的各类系统。该标准确立了基于独立性、多样性和纵深防御原则的设计要求,确保安全系统在整个设计寿命周期内保持其可靠性。
1. 设计原则——独立性、多样性与纵深防御
IEC 62084 要求核安全级硬接线仪控系统必须遵循独立性、多样性和纵深防御三大基本设计原则。独立性要求冗余安全通道之间实现物理和电气隔离,以防止共因故障——包括间距距离、电缆敷设路径和物理屏障均需明确规定并验证。多样性要求存在可信共因故障机制时,冗余通道采用不同的技术方案,例如在跳机逻辑中同时使用模拟电子线路和数字逻辑电路作为多样性手段。
纵深防御通过多级保护来实现。标准定义了三级安全仪控功能:反应堆保护系统(RPS),在检测到异常工况时自动触发反应堆停堆;专设安全设施驱动系统(ESFAS),控制安全壳隔离、应急冷却和其他事故后缓解功能;以及安全显示与监测系统,在事故期间为操作员提供可靠的电站状态信息。每一级保护在功能上必须保持独立,同时维持一致的故障响应逻辑。
一个经常被忽视的设计要点是跳机设定值的系统性多样性要求。当两个冗余保护通道使用相同的传感器技术和信号处理算法时,共模校准漂移可能同时导致两个通道失效。标准建议对关键参数使用不同类型的传感器(如 RTD 与热电偶)或不同的信号调理路径。
| 设计原则 | 要求 | 实施示例 |
|---|---|---|
| 独立性 | 冗余通道的物理/电气隔离 | 独立电缆桥架、物理隔断、专用电源 |
| 多样性 | 冗余功能采用不同技术 | 模拟跳机单元 + 数字逻辑解算器并联 |
| 纵深防御 | 多层独立保护 | RPS + ESFAS + 安全显示系统 |
| 故障安全 | 失电/失信号时达到预定安全状态 | 失电跳闸继电器逻辑 |
| 可测试性 | 在线定期测试不停堆 | 许可旁路测试架构 |
2. 鉴定试验与环境生存能力
IEC 62084 要求所有安全级硬接线仪控设备必须通过鉴定试验,证明其能在设计基准事故预期的最恶劣环境条件下执行安全功能。这包括在正常运行和事故工况下承受高温、高压、辐射、湿度和振动的能力。鉴定方法遵循 IEC 60780(核设备鉴定)的原则,可采用型式试验、运行经验或分析作为可接受的证据。
加速老化是鉴定的关键组成部分。标准要求设备在模拟事故工况测试之前,先经历相当于设计寿命的热老化、辐照老化和机械循环老化。老化顺序至关重要——先辐照老化、再热老化、最后事故模拟的序列能够复现安装在核安全壳内设备的真实时序老化过程。标准给出了事故工况曲线定义的具体指导,包括温度上升速率、峰值温度和各工况条件的持续时间。
对于数字化仪控设备的鉴定,应特别关注按 IEC 62003 标准执行的电磁兼容性(EMC)测试。标准要求安全仪控系统对传导和辐射干扰具备足够抗扰度,干扰水平应代表电站实际电磁环境,包括事故条件下应急响应团队可能使用便携式无线电通信的情况。
3. 故障模式分析与可靠性目标
标准要求对所有安全仪控功能进行全面的故障模式与影响分析(FMEA)。每个部件和子系统都必须经过分析,识别可信的故障模式、其对安全功能的影响以及检测和缓解措施的有效性。反应堆跳机功能的不可靠性目标通常要求需求失效概率(PFD)低于 10⁻⁵,而专设安全功能的 PFD 目标根据具体应用和监管框架可能为 10⁻⁴。
共因故障(CCF)分析对硬接线系统尤为重要。标准规定必须通过多样性、物理隔离和定期测试的组合策略来证明 CCF 防御能力。使用多样化的跳机参数——例如将中子通量变化率与冷却剂温度和压力测量值组合用于反应堆跳机触发——被认为是最佳实践方法。标准引用 NUREG/CR-6303 和 IEC 61508 的方法论进行定量 CCF 评估。
| 安全功能 | 典型 PFD 目标 | 主要故障模式 | CCF 防御策略 |
|---|---|---|---|
| 反应堆跳机 | < 10⁻⁵ | 传感器漂移、继电器卡涩、电源故障 | 多样化跳机参数、四通道冗余 |
| 专设安全驱动 | < 10⁻⁴ | 阀门卡死、泵故障、信号路径断开 | 多样化驱动逻辑、机械多样性 |
| 安全显示 | < 10⁻³ | 显示器故障、数据链路丢失 | 冗余显示器、独立数据通道 |
| 手动触发 | < 10⁻⁴ | 开关故障、接线开路、人为失误 | 多重开关、分散布置的面板 |
硬接线仪控可靠性评估的一个关键挑战是模拟维护和测试的影响。标准要求可靠性分析必须考虑测试间隔、修复时间和在线测试的覆盖率。任何在电站运行期间无法测试的系统部分都必须证明其风险可接受或由多样性备份手段覆盖。
常见问题解答
Q1: IEC 62084 与 IEC 61513 的关系是什么?
IEC 62084 专门针对硬接线仪控系统,而 IEC 61513 提供核仪控整体架构的要求——包括基于软件的系统。IEC 62084 可视为 IEC 61513 框架下的”硬接线实施配套标准”,为硬接线实现提供详细的设计指导。
Q2: A 类和 B 类安全仪控有何区别?
A 类功能失效可能直接导致严重的堆芯损坏事故——典型如反应堆跳机和重要安全驱动功能。B 类功能支持事故缓解但不是唯一的预防手段。IEC 62084 主要适用于 A 类硬接线系统,其可靠性目标和鉴定要求比 B 类更加严格。
Q3: 如何实现在线测试而不引起意外跳机?
通过”许可旁路”架构实现:测试信号注入到一个冗余通道,同时该通道的跳机输出在操作员确认后暂时被抑制(旁路),其余通道继续提供保护。测试完成后,被旁路的通道自动恢复。这种设计需要旁路管理逻辑的精心设计,以防止旁路功能本身出现共因故障。
Q4: 现代微处理器能否用于安全级硬接线系统?
可以,但有严格限制:固件范围和复杂性必须受限,需经过形式化验证,硬件必须包含独立的看门狗监视。标准推荐使用 FPGA 或简单微控制器架构而非全功能处理器,因为简单器件的故障模式可以被更彻底地分析。
