Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC TR 61497-1998:核电厂——安全系统电气联锁设计原则
IEC TR 61497-1998 是一份关于核电厂安全系统电气联锁设计原则的技术报告。电气联锁在电厂保护系统(负责发出安全动作指令)与被驱动设备(如阀门、断路器和泵)之间构成了关键的保护层。该报告阐述了核环境下联锁的独特要求,包括故障安全设计、多样性、可测试性和对软件逻辑的独立性。
提示: 在核 I&C 中,”联锁”(interlock)特指强制安全动作前提条件的硬接线逻辑路径,与 IEC 60880 涵盖的基于软件的保护逻辑不同。
1. 联锁架构与分类
IEC TR 61497 根据联锁的安全功能及其失效后果对其进行分类:
| 联锁类型 | 功能描述 | 失效后果 | 设计冗余度 |
|---|---|---|---|
| 预防性联锁 | 在条件满足前阻止操作进行 | 可能阻止必要安全动作 | 2取2(2oo2)优先 |
| 许可性联锁 | 仅在条件满足时允许操作 | 意外驱动或阻塞 | 1取2(1oo2)带测试 |
| 顺序联锁 | 强制执行正确的操作顺序 | 设备损坏或工艺异常 | 2取3(2oo3)高风险用 |
| 保护性联锁 | 直接触发安全功能 | 安全功能丧失 | 四重冗余(4oo4) |
每种联锁类型对冗余度提出了不同的要求。保护性联锁——那些直接触发反应堆停堆或应急堆芯冷却的联锁——需要最高级别的冗余,并且必须与非安全控制逻辑在物理上隔离。标准建议保护性联锁逻辑采用硬接线继电器或固态电路实现,而非可编程逻辑控制器,以避免共因软件故障。
注意: 预防性联锁中的单一故障可能使整个安全系统无法运行。务必根据电厂安全分析报告中定义的标准验证联锁逻辑对单一故障准则的覆盖范围。
2. 故障安全设计原则与多样性
标准强调了核安全联锁设计的三个基本原则:
2.1 故障安全状态定义
每个联锁必须有明确的故障安全状态。对于失电跳闸(DTT)系统,故障安全状态定义为线圈失电(触点断开)。标准规定故障安全状态必须对应最安全的电厂条件,即使这会导致电厂停堆。元件故障(如触点熔接、断线、二极管短路)都必须将联锁推向故障安全状态。
2.2 联锁逻辑的多样性
IEC TR 61497 建议在联锁实现中采用多样性策略,以防止共因故障。例如,单一冗余联锁功能不应依赖同一制造商生产的相同型号继电器。多样性策略包括使用不同的技术类型(机电继电器 vs. 固态器件)、不同的工作原理(常开 vs. 常闭逻辑)以及来自独立 1E 级电源总线的独立供电。
2.3 可测试性与在线监控
核安全系统中的联锁必须能够在电厂运行期间进行测试,且不影响安全功能。标准建议内置测试功能,如带自动恢复定时器的可测试输入旁路开关、带指示灯测试功能的状态指示器以及不超过 24 个月的定期验证测试间隔。对于无法在线测试的联锁,电厂技术规格书必须规定在停堆期间的特殊测试条件。
工程建议: 在 CANDU 或压水堆核电厂中,设计良好的联锁系统在冗余联锁通道之间使用物理隔离(独立电缆桥架、独立机柜)。在进行数字化升级改造时,即使新系统是基于软件的,也要保持这种隔离——切勿将两个通道路由通过同一个 FPGA 或 PLC。
3. 核电气联锁的工程设计要点
3.1 与保护系统逻辑的独立性
报告强调,电气联锁必须与电厂保护系统(PPS)功能上独立,尽管它们共享相同的安全目标。联锁直接作用于被驱动设备,而 PPS 发出安全指令。这种独立性防止联锁逻辑中的单一故障同时禁用启动路径和执行路径。
3.2 触点扩展与隔离
当单个联锁信号需要控制多个设备时,应使用触点扩展继电器,并为每个分支配备独立的隔离二极管。标准警告不要在无隔离的情况下并联继电器触点,因为一个分支中的熔接触点可能会反供电,从而破坏所有分支中的联锁功能。
3.3 时序与顺序协调
核安全执行机构(如电动阀门、断路器)具有有限的操作时间。顺序联锁必须纳入时序裕量,以考虑温度、老化和电压波动引起的变化。标准建议在任何被驱动设备的最大预期操作时间基础上增加至少 50% 的时序裕量。
危险: 切勿在安全关键联锁顺序中使用基于软件的定时器而不搭配多样化的硬接线后备定时器。基于 PLC 的定时器可能因 CPU 负载而漂移,单个软件故障可能同时禁用联锁系统中所有基于软件的定时功能。
4. 常见问题
问:电气联锁是否包含在 IEC 61513(核 I&C 一般要求)中?
是的,IEC TR 61497 被 IEC 61513 引用为联锁设计的专用指南。IEC 61513 提供了整体架构和分类框架,而 IEC TR 61497 给出了联锁子系统的详细实施建议。
是的,IEC TR 61497 被 IEC 61513 引用为联锁设计的专用指南。IEC 61513 提供了整体架构和分类框架,而 IEC TR 61497 给出了联锁子系统的详细实施建议。
问:联锁能否用软件(FPGA/PLC)实现,而不是硬接线继电器?
标准允许对非保护性联锁采用软件实现,但需按照 IEC 60880 进行验证。然而,保护性和安全关键性联锁即使主要逻辑是基于软件的,也应有硬接线的多样化后备。软件实现还必须证明与其他安全软件无共因故障风险。
标准允许对非保护性联锁采用软件实现,但需按照 IEC 60880 进行验证。然而,保护性和安全关键性联锁即使主要逻辑是基于软件的,也应有硬接线的多样化后备。软件实现还必须证明与其他安全软件无共因故障风险。
问:标准如何处理维护期间的联锁旁路?
IEC TR 61497 要求任何旁路功能必须由钥匙锁开关或管理控制措施进行控制。旁路持续时间必须由自动定时器限制,且被旁路联锁的状态必须在主控室中连续显示。电厂技术规格书必须定义最大允许旁路时间(通常为 72 小时)。
IEC TR 61497 要求任何旁路功能必须由钥匙锁开关或管理控制措施进行控制。旁路持续时间必须由自动定时器限制,且被旁路联锁的状态必须在主控室中连续显示。电厂技术规格书必须定义最大允许旁路时间(通常为 72 小时)。
问:核 I&C 中联锁与许可信号的区别是什么?
联锁是强制执行前提条件的硬接线安全逻辑路径(例如”阀门必须打开后才能启动泵”)。许可是允许控制动作进行的有条件信号。在核领域,联锁通常与安全系统相关联,而许可信号可能用于安全和非安全应用。
联锁是强制执行前提条件的硬接线安全逻辑路径(例如”阀门必须打开后才能启动泵”)。许可是允许控制动作进行的有条件信号。在核领域,联锁通常与安全系统相关联,而许可信号可能用于安全和非安全应用。
