Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC TR 61911:2003 核电厂——控制室
核设施主控制室设计、人机接口与操作员绩效的工程原则
📌 标准范围: IEC TR 61911:2003 为核电厂控制室的设计、评估和验证提供了技术指南。它涵盖人因工程(HFE)、人机接口(HSI)设计、报警管理、信息显示以及许可审批所需的系统化验证与确认(V&V)流程。
一、人因工程与控制室架构
IEC TR 61911 确立了以人因工程为中心的控制室设计方法,认识到操作员绩效是异常和紧急情况下电厂安全的最终决定因素。该标准定义了一个贯穿生命周期的HFE流程,从概念设计开始,延续至详细设计、实施和运行反馈。
控制室架构围绕几个关键功能区进行组织:主控制室(MCR)用于正常和紧急操作、远程停堆站(RSS)作为多样化后备、技术支持中心(TSC)用于应急管理协调、以及本地控制站(LCS)用于特定设备操作。每个功能区都有定义的通信路径、信息优先级和人员配置要求。
| 控制室区域 | 主要功能 | 最低人员配置 | 设计基准事件 |
|---|---|---|---|
| 主控制室(MCR) | 正常运行、事故管理 | 2-3名操作员+值班长 | 设计基准事故(DBA) |
| 远程停堆站(RSS) | MCR的多样化后备 | 1-2名操作员 | MCR撤离场景 |
| 技术支持中心(TSC) | 应急响应协调 | 3-5名技术人员 | 超设计基准事故 |
| 本地控制站(LCS) | 本地设备操作 | 每站1人 | 设备级故障 |
⚠️ 工程考量: 操作员与自动化系统之间的功能分配必须遵循系统化的决策过程。需要模式识别、对意外事件的灵活响应以及基于价值判断的功能应保留给操作员。需要快速、精确和一致响应的功能——如反应堆跳闸触发或安全注入驱动——通常采用自动化并配备手动后备。
二、人机接口与报警管理
IEC TR 61911 中的HSI设计要求强调态势感知、工作负荷管理和容错性。标准规定信息显示应遵循重要性层级:安全关键参数(如反应堆冷却剂系统压力、堆芯功率水平)必须在专用指示器上连续显示,而非安全信息可通过计算机化显示系统按需呈现。
报警管理被视为关键HFE要素。标准要求建立结构化的报警理念,包括报警优先级划分(至少三个级别:紧急、警告和提示)、预期瞬态工况的报警暂挂、以及重大电厂扰动期间的报警泛滥抑制。一个关键设计要求是报警系统在稳态运行期间每分钟呈现的报警数不得超过10个,并在设计基准事件期间提供有效抑制以防止操作员过载。
| 报警优先级 | 颜色代码 | 操作员响应时间 | 示例 |
|---|---|---|---|
| 紧急 | 红色(闪烁) | 立即(<1分钟) | 反应堆跳闸、LOCA、SGTR |
| 警告 | 黄色(常亮) | 迅速(1-10分钟) | 稳压器高液位、汽轮机振动 |
| 提示 | 白色(常亮) | 酌情(>10分钟) | 维护提醒、模式变更 |
✅ 工程见解: 第三代以上反应堆(如AP1000、HPR1000)的现代控制室已过渡到完全数字化的HSI平台,配备大屏幕概述显示。IEC TR 61911 为这些设计提供了基础性HFE要求。该标准强调多样化指示——为确定关键安全参数提供至少两种独立手段——已成为现代核电厂高安全性能的关键因素。
三、验证、确认与许可审批支持
IEC TR 61911 规定了控制室设计的全面V&V计划。验证确认设计符合规定要求,而确认确认设计在现实条件下支持安全有效运行。标准要求使用经认证的电厂模型在全范围模拟器上进行集成系统确认,由持证操作员在人因专家监督下执行。
V&V过程包括HFE任务分析、HSI设计审查、动态仿真测试和正式的操作员在环评估。验证期间收集的绩效指标包括:完成关键任务的时间、错误率、操作员工作负荷(使用NASA-TLX或类似工具测量)和态势感知(使用SAGAT或SART方法测量)。标准规定验证结果须作为电厂许可审批依据的一部分进行记录。
🔥 关键设计挑战: 标准规定的最具挑战性的验证场景之一是”跳闸后恢复功率”事件——操作员必须在自动紧急停堆后稳定反应堆,然后安全恢复功率运行。此场景测试高应力条件下的HSI可用性、瞬态抑制期间的报警系统有效性以及操作员培训充分性。验证标准通常要求操作团队在30分钟内稳定电厂,且不得违反安全限值。
四、常见问题解答
问1:IEC TR 61911与NUREG-0711标准有何关系?
答:IEC TR 61911和NUREG-0711(人因工程计划审查模型)具有相似的HFE生命周期,但服务于不同的监管环境。IEC TR 61911是非美国市场使用的国际IEC标准,而NUREG-0711是美国核管会的导则。两者都采用结构化的HFE流程,包括规划、分析、设计和V&V阶段,但详细程度和验收标准根据监管要求有所不同。
问2:设计基准事故期间允许的最小报警数量是多少?
答:IEC TR 61911没有规定固定的最小或最大数量,而是建立了基于性能的判据。在设计基准事故期间,报警系统的呈现不应超过操作团队能够有效处理的数量——通常在峰值时不超过100个活动报警,新增报警速率不超过每分钟20个。报警抑制和优先级划分必须防止操作员在非必要指示中遗漏关键安全报警。
问3:标准是否涵盖计算机化规程(COP)?
答:是的,该标准为基于计算机的规程系统提供了指南,这些系统在HSI屏幕上显示应急运行规程(EOP)和异常运行规程(AOP)。计算机化规程必须包括:步骤跟踪和完成验证、与规程设定值的自动参数比较、以及活动规程步骤的清晰指示。V&V过程必须专门评估模拟事故条件下COP的可用性。
问4:远程停堆站(RSS)的设计应与MCR有何不同?
答:RSS是一种多样化后备设计,用于在MCR不可进入时将电厂带入并维持安全停堆状态。IEC TR 61911要求RSS在功能上独立于MCR(独立的电源、电缆路径和HSI设备)。虽然RSS不需要复制MCR的所有功能,但它必须包括热停堆和冷停堆操作所需的所有安全相关控制和指示。RSS通常使用简化的硬接线控制,而非MCR的全套数字HSI系统。
