Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC TS 61545:核反应堆控制系统功能要求
技术要点:IEC TS 61545:1996是一份技术规范,为核反应堆控制系统的功能要求提供指导。它涉及反应堆仪表与控制(I&C)特有的挑战,包括冗余、多样性和故障安全设计原则——这些对于核安全至关重要。
一、标准范围与系统分级
IEC TS 61545:1996建立了核电厂安全重要仪表与控制系统(I&C)的功能要求。该技术规范适用于执行反应堆停堆、工程安全设施驱动和关键控制功能的系统。它涵盖了从概念、设计、实施、调试到维护的整个I&C生命周期。
标准根据安全重要性将I&C系统分为三个类别。A类系统执行安全功能,其失效可能导致不可接受的放射性释放。B类系统执行安全功能,其失效可能降低电厂安全性但不会导致不可接受的释放。C类系统执行与安全相关的功能,为安全系统提供支持但不直接在安全分析中计及。这一三级分类体系驱动了冗余、多样性、鉴定和质量保证的设计要求。
背景说明:IEC TS 61545开发于1990年代中期,反映了模拟和早期数字I&C技术的最新水平。其原则在很大程度上已被更全面的IEC 61513标准系列所取代,后者为核I&C架构提供了更现代的框架。然而,该技术规范中建立的纵深防御和多样性基本概念仍然是核安全设计的基础。
二、冗余与架构要求
标准要求安全关键的I&C功能至少通过两个独立且物理隔离的通道实现。这种冗余确保了硬件、软件或环境应力导致的单一故障不会阻止安全功能的执行。所需冗余程度取决于安全类别:
| 安全类别 | 最小冗余度 | 隔离要求 | 多样性要求 | 鉴定等级 |
|---|---|---|---|---|
| A类 | 4个独立通道 | 物理和电气隔离;防火屏障 | 必需(多样化驱动) | 抗震、环境、EMI鉴定 |
| B类 | 2个独立通道 | 建议物理隔离 | 实际可行时推荐 | 环境鉴定 |
| C类 | 单通道,具备定期测试能力 | 优先与A/B类分离 | 不要求 | 商业级加验证 |
IEC TS 61545定义的架构遵循纵深防御原则,要求多层保护使得任何单一层的失效都能被另一层补偿。标准明确要求反应堆保护系统独立于过程控制系统——即使两者使用类似技术实现,它们也不得共享可能产生共因故障模式的共用电源、信号路径或数据通信链路。
对于A类系统,推荐的投票架构是2取4(2oo4),它同时提供了高可靠性和高可用性。与1oo2相比,它消除了单故障导致的误停堆;与2oo3相比,它在功能降级前提供了额外一级的容错能力。
工程分析:核I&C中使用的2oo4投票架构代表了安全完整性和运行可用性之间的最佳平衡。对于通道可靠性为0.99(任务时间内)的系统,2oo4配置的需求失效概率约为4×10^-8,而误停堆概率约为6×10^-4——与1oo2配置相比,安全完整性提升了三个数量级,同时保持了可接受的可用性水平。
三、故障安全设计与诊断
IEC TS 61545确立了I&C系统必须设计为在故障状态下进入安全状态的原则。这意味着在失电、信号丢失或检测到内部故障时,系统必须自动启动或维持安全状态——通常是反应堆停堆或安全系统驱动。标准定义了以下几项具体的故障安全实施要求:
- 失电脱扣:最终驱动元件(继电器、阀门、断路器)必须配置为失去驱动能量时安全动作发生。这确保了电源失效不会使安全功能失效。
- 故障检测:系统必须包含连续自诊断功能,能够在允许的验证测试间隔内检测危险故障。A类系统的故障覆盖率目标应超过90%的可能故障模式。
- 缺陷容限:系统应设计为即使存在至少一个未检测到的故障,仍然能够执行安全功能。这需要对故障模式和效应分析(FMEA)进行细致的分析。
- 手动触发:对于A类和B类系统,应提供独立于自动检测逻辑的手动触发能力,使操作员即使在自动系统失效时也能驱动安全功能。
关键要求:A类系统必须进行共因失效(CCF)分析。标准要求设计团队系统性地识别潜在的CCF机制——包括设计错误、制造缺陷、环境应力和维护错误——并证明冗余通道之间的多样性足以防范已识别的CCF脆弱性。
四、环境鉴定与测试
IEC TS 61545规定安全I&C设备必须经过鉴定,以证明其能在所有电厂工况下运行,包括正常运行、预期运行事件和设计基准事故工况。鉴定计划必须证明设备在其可能暴露的最恶劣环境条件下能够执行安全功能:
| 环境条件 | 正常运行 | 设计基准事故 | 鉴定方法 |
|---|---|---|---|
| 温度 | 10-40°C | 60-180°C(安全壳内) | 型式试验+加速老化 |
| 压力 | 大气压力 | 最高8 bar(安全壳内) | 型式试验 |
| 相对湿度 | 20-75% | 最高100%冷凝 | 型式试验 |
| 辐射(总剂量) | <1 Gy | 10-1000 Gy(取决于位置) | 型式试验+钴60源 |
| 地震(SSE) | OBE 0.1 g | SSE 0.3-0.5 g | 振动台型式试验 |
鉴定方法遵循证明设备能够承受最严重预期条件并留有适当余量的原则。对于老化机理——特别是热老化和辐射老化——使用加速老化方法。标准要求在设备经受设计基准事故测试序列之前,鉴定计划应包括预处理以模拟设备的寿命末期状态。
设计指导:在核应用I&C设备设计时,鉴定要求驱动着许多基本设计决策。元件降额至关重要——半导体结温不超过额定温度的50%,电容器电压不超过额定电压的60%——以实现20年以上的鉴定寿命。连接器的选择不仅要考虑电气性能,还要考虑对辐射诱导聚合物降解的敏感性。
五、常见问题
问1:IEC TS 61545与IEC 61513标准之间有何关系?
IEC TS 61545是早期的技术规范,奠定了核反应堆I&C系统的基础原则。IEC 61513首次出版于2001年,随后经过修订,是覆盖核电厂I&C系统的完整生命周期和架构要求的综合标准。IEC 61513吸收了IEC 61545的原则,并扩展为与IAEA SSR-2/1等现代安全标准相一致的更系统化的框架。
问2:核I&C中冗余与多样性有何区别?
冗余是指提供多个相同的通道或组件执行同一功能,使得一个通道的失效不会阻止功能执行。多样性是指使用不同的技术、设计方法或工作原理来实现同一功能,防范可能同时影响所有冗余通道的共因失效。例如,多样化保护系统可能结合数字跳闸通道和模拟备用通道,使用不同的传感技术和驱动机构。
问3:IEC TS 61545如何处理基于软件的I&C系统?
作为1996年的技术规范,IEC TS 61545没有为基于软件的系统提供详细要求。它主要涉及适用于模拟和数字实现的通用功能和架构要求。对于软件特定要求,它引用了当时新兴的IEC 60880系列标准(用于A类软件)和更广泛的IEC 61513框架。现代核I&C软件开发遵循IEC 60880(安全关键应用)和IEC 62138(非安全系统)。
问4:”失电脱扣”原则有何意义?
失电脱扣(de-energize-to-trip)是指安全动作(如反应堆停堆或安全注入)应通过断电而非通电来触发的原则。这确保了失电——任何电气系统中最常见的故障模式——会导致安全状态而非禁用安全功能。在实践中,这意味着安全继电器在电厂正常运行期间通常处于励磁状态,通过失电来脱扣,并需要储能装置(电容器或弹簧)来保证即使在电厂完全失电后仍能执行动作。
