Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 62988:2018 — 核电厂 — 安全重要仪控系统中无线设备的选择和使用
💡 核心洞察: IEC 62988是首个涉及无线技术在核电厂安全系统中使用的国际标准,具有里程碑意义。该标准采取保守但务实的方法:无线设备禁止用于A类和B类安全功能,仅允许用于C类功能,且须符合严格的网络安全和鉴定要求。
一、基本要求与安全分级
IEC 62988对核电厂安全重要仪控(I&C)系统中使用的无线设备制定了要求。该标准围绕安全分级决定无线技术适用性这一原则构建。一个明确且无歧义的要求是:无线设备不得用于执行A类或B类功能(最高安全等级)的系统。只有执行C类功能的系统可以集成无线设备,且必须满足该标准的所有要求。
这种保守方法反映了核行业对安全关键应用中无线通信的可靠性、安全性和确定性方面的合理关切。该标准强调无线技术不得损害核安全的基本原则:纵深防御、单一故障准则和多样性。
⚠ 安全分级影响: A类功能是那些故障可能导致严重后果的事故序列的功能。B类功能是那些故障可能削弱事故缓解能力的功能。C类功能支持安全,但其故障不会直接导致或显著加重事故。通过将无线设备限制为仅用于C类,该标准确保无线技术应用于风险可接受的场景,同时为关键功能维持最高安全标准。
二、无线系统的技术要求
2.1 网络架构与性能
该标准规定了安全相关应用中无线网络架构的全面要求:
| 要求领域 | 关键规定 | 实施考虑 |
|---|---|---|
| 网络架构 | 冗余通信路径;确定性行为;降级模式 | 具有明确定义故障切换机制的网状、星形或混合拓扑 |
| 性能 | 最大延迟;最小吞吐量;误包率 | 须在最坏负载和干扰条件下验证 |
| 监视 | 持续网络健康监测;故障检测和报告 | 在连接降级或丢失时自动报警 |
| 电源供应 | 无线设备的备用电源;断电时的优雅降级 | 关键无线节点采用电池备用或双路供电 |
| 物理安全 | 防篡改检测;对无线基础设施的物理访问控制 | 锁定机箱、防篡改开关、监控摄像头 |
| 电磁安全 | EMC抗扰度;防止有意或无意的干扰 | 频谱监测;自适应跳频;屏蔽 |
2.2 设备选择与鉴定
该标准建立了选择安全相关应用无线设备的严格标准。设备选择必须考虑:整个制造过程中的质量保证、预期应用的功能和性能适用性、与现有I&C基础设施的集成要求,以及设备自监测能力(包括看门狗定时器和健康状态报告)。
✅ 工程见解: 该标准的一个关键原则是,无线设备应通过型式测试、环境鉴定(温度、湿度、振动、辐射)和电磁兼容性测试的组合,为其预期的安全应用进行”鉴定”。软件鉴定是特别关注的焦点,认识到无线设备包含嵌入式软件,必须使用适合安全等级的严格方法进行开发和验证。
三、网络安全与无线电频谱管理
3.1 无线特定网络安全要求
网络安全是核应用中无线设备的首要关注点,因为无线通信引入了有线系统中不存在的额外攻击面。该标准制定了特定的网络安全要求:
- 数据记录:全面记录所有无线通信事件,用于取证分析
- 现场拓扑:无线基础设施物理部署拓扑的文档化记录和控制
- 与有线网络连接:在无线和有线域之间使用带认证、加密和入侵检测的安全网关
- 网络监视:持续监视异常活动、未授权访问尝试和潜在网络攻击
3.2 无线电频谱与EMC管理
该标准要求核安全应用中使用的无线设备必须遵守适用的无线电频谱法规,且不得对其他安全相关设备造成电磁干扰。关键要求包括:
| 要求 | 说明 | 验证方法 |
|---|---|---|
| EMC抗扰度 | 无线设备必须承受电磁扰动而不发生故障 | 按适当严酷等级进行IEC 61000-4系列测试 |
| 无线电覆盖 | 在整个运行区域内有足够的信号强度和质量 | 现场勘察和覆盖映射;裕量分析 |
| 频谱管理 | 使用符合国家法规的授权或免授权频谱 | 法规合规性文件 |
| 频率灵活性 | 更改工作频率以避免干扰的能力 | 自适应跳频或动态频率选择 |
🚨 关键考量: 该标准强调,核安全应用中的无线设备必须在通信丢失时设计为安全状态。这一”故障安全”原则是根本性的:如果无线连接因干扰、设备故障或网络攻击而中断,系统必须默认进入安全配置,而不是继续使用可能受损的数据或控制进行操作。该要求对无线协议选择和系统架构设计有重大影响。
四、文档与生命周期管理
安全应用中使用的无线设备的整个生命周期都需要全面的文档记录。这包括:设计文档、鉴定记录、配置管理、维护程序以及无线技术持续适用性的定期审查。该标准认识到无线技术发展迅速,必须主动管理设备以应对过时、安全漏洞和不断变化的监管要求。
常见问题解答
问1:为什么无线设备禁止用于A类和B类安全功能?
这一禁令反映了当前技术状态下,无线通信的可靠性、安全性和确定性还无法保证达到最高安全功能所需的水平。有线系统仍然是这些关键应用的标准,无线技术保留用于益处(减少布线、改善监测、操作灵活性)超过额外风险的较次关键功能。
问2:根据该标准,核电厂通常使用哪些类型的无线设备?
典型应用包括用于环境监测(温度、湿度、辐射)的无线传感器、设备状态监测(振动、温度)、人员跟踪和安全,以及用于非安全操作数据的补充通信网络。所有这些设备必须符合IEC 62988的要求。
问3:该标准如何处理无线技术的快速演进?
该标准侧重于原则而非特定技术,以便随着无线技术的发展保持相关性。要求以性能、安全性和可靠性结果的形式表达,而不是强制规定特定的协议或频段。这种技术中立的方法使该标准能够适应未来的无线技术。
问4:IEC 62988与国际原子能机构核安全指南的关系是什么?
IEC 62988与IAEA核安全系列保持一致,特别是NSS-17(核设施计算机安全)。该标准中的网络安全要求与IAEA推荐的纵深防御安全方法一致,并增加了针对无线电通信引入的独特漏洞的无线特定措施。
