IEC TS 61873-2001 核电厂——仪表与控制（I&C）系统技术规范

💡 核心要点：IEC TS 61873-2001是一项技术规范，为核电厂仪表与控制系统（I&C）的总体架构设计提供指导，涵盖安全分级、多样性设计、冗余配置和软件验证等关键方面。

1. 标准定位与适用范围

IEC TS 61873-2001《核电厂——仪表与控制》是一项技术规范（Technical Specification），而非正式国际标准（IS），旨在为核电厂I&C系统的架构设计提供前期指导。该规范适用于压水堆（PWR）、沸水堆（BWR）和重水堆（PHWR）等主流核电机型的I&C系统设计。

规范的核心目标是确保I&C系统在各类运行工况（包括正常运行、预期运行事件和设计基准事故）下都能可靠执行其安全功能和调节功能。其方法论基于IEC 61513（核电厂I&C系统通用要求）并进一步细化了技术实施路径。

⚠️ 技术说明：IEC TS 61873为技术规范（Technical Specification）级别，这意味着其内容具有前瞻性和指导性，尚未完全成熟为正式标准。在实际工程应用中，需结合各国核安全监管机构的具体要求（如中国的HAF 102、美国的RG 1.180）进行适配。

核电厂I&C系统的架构设计遵循纵深防御（Defense-in-Depth）原则，采用多层级结构确保单一故障不会导致安全功能丧失。

规范将I&C功能划分为三个安全等级：IE级（安全级，执行反应堆紧急停堆、安全壳隔离等安全功能）、非IE级（非安全级，执行功率调节、过程控制等常规功能）和辅助级（监测和诊断功能）。安全级与非安全级系统之间必须通过电气隔离（如光耦或继电器）实现物理分隔。

为防止共因故障（CCF），在安全级I&C系统中要求采用多样性设计。典型配置是”两列数字化系统 + 一套多样性驱动系统（DAS）”。数字化系统采用FPGA或微处理器实现，而DAS则采用简化的硬接线逻辑（继电器或模拟电路），在数字化系统因软件共因故障失效时作为后备。

✅ 工程最佳实践：核电厂I&C系统的数字化改造是当前行业趋势（即”数字升级”，Digital I&C Modernization）。在改造过程中，建议采用分阶段部署策略：先改造非安全级系统积累经验，再逐步推进到安全级系统的数字化替换。每阶段应保留6个月以上的并行运行期。

软件V&V（验证与确认）：安全级I&C系统的软件必须按照IEC 60880（核电厂安全系统软件）的要求进行严格的V&V流程。规范强调了四个关键阶段：需求分析、设计验证、代码审查（包括静态分析和动态测试）和系统集成测试。每个阶段都应有独立的验证团队参与，避免自我验证。

电磁兼容性（EMC）：核电厂环境存在强烈的电磁干扰源（如主发电机、大型变压器、变频器）。I&C系统的EMC设计需满足IEC 61000系列标准的要求，特别是辐射抗扰度应达到30 V/m（安全级）和10 V/m（非安全级）。屏蔽接地应采用单点接地方式防止接地环流。

🔥 关键警示：数字化I&C系统的共因故障（CCF）是核安全领域最具挑战性的问题之一。同一软件版本在不同通道中同时运行，如果存在软件缺陷，可能导致所有安全通道同时失效。解决方法是严格执行多样性设计和独立验证（IV&V），两种措施缺一不可。

A: IEC 61513是核电厂I&C系统的总体要求标准，提供了顶层的生命周期模型和安全等级划分框架。IEC TS 61873在此框架下提供更具体的技术指导，包括数字化系统的架构选择、通信协议推荐和验证方法细化。可理解为61513是”做什么”，61873是”怎么做”。

A: 商用PLC虽然在工业过程控制领域广泛应用，但其缺乏核安全级认证，且无法满足核电厂对故障容错（单点故障容错）、自诊断覆盖率（≥99%）和确定性响应时间（≤50 ms）的特殊要求。安全级应用需使用经认证的核安全级DCS平台。

A: DAS的设计基准是：当所有数字化安全系统因共因软件故障失效时，DAS仍能独立完成反应堆紧急停堆和关键安全功能（如应急堆芯冷却启动）。DAS的触发参数应独立于主保护系统传感器，通常采用不同的物理测量原理。

A: 目前大多数核安全监管机构对现场总线（如PROFIBUS、Foundation Fieldbus）在安全级系统中的应用持保守态度，主要原因是总线通信的不确定性延迟和潜在的通信拥塞风险。目前主流方案仍采用点对点硬接线连接安全级传感器和执行机构。现场总线仅用于非安全级系统。