Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC TS 61973:核电站控制室设计 — 人因工程与功能要求
✅ 标准速览
IEC TS 61973 由 IEC 第 45 技术委员会(核仪表)于 2012 年发布,是关于核电站主控制室设计、评估和验证的全面技术规范。该标准确立了人因工程(HFE)要求,确保操作员能够在正常运行、预期运行事件和事故工况下安全有效地控制电厂。它既适用于新建核电站设计,也适用于现有控制室的改造升级。
IEC TS 61973 由 IEC 第 45 技术委员会(核仪表)于 2012 年发布,是关于核电站主控制室设计、评估和验证的全面技术规范。该标准确立了人因工程(HFE)要求,确保操作员能够在正常运行、预期运行事件和事故工况下安全有效地控制电厂。它既适用于新建核电站设计,也适用于现有控制室的改造升级。
🔌 一、核电控制室的功能架构
1.1 设计理念与安全原则
IEC TS 61973 的基本理念是控制室作为操作员与核电站之间的核心接口。标准采用纵深防御方法进行控制室设计,识别出操作员干预的三个层次:
| 设计层次 | 目标 | 操作员角色 | 时间范围 |
|---|---|---|---|
| 层次 1:正常运行 | 所有正常工况下的高效电厂控制 | 监督监视、设定值优化、负荷跟踪 | 稳态持续;瞬态:数分钟至数小时 |
| 层次 2:预期运行事件 | 从预期事件(汽轮机脱扣、给水泵故障等)中安全恢复 | 基于规程的响应、系统重构、参数验证 | 数秒至数分钟 |
| 层次 3:事故工况 | 设计基准及超设计基准事故的缓解 | 基于症状的应急规程、严重事故管理指南 | 数分钟至数天 |
标准要求控制室设计必须在所有三个层次上支持操作员,无需物理移动或使用不同的工作站。这种统一设计方法使现代核电控制室(基于 IEC TS 61973)区别于旧式设计,后者中的操作员在紧急情况下需在主控制室、安全盘室和技术支持中心之间移动。
💡 工程直觉
IEC TS 61973 引入的一个关键概念是操作员任务负荷分析(OTLA)。与主要关注单个显示质量的传统 HMI 设计标准不同,IEC TS 61973 要求对每种电厂运行状态下施加给操作员的认知和体力总负荷进行系统评估。标准规定,设计基准事故期间操作员的工作负荷不得超过最大可持续负荷水平的 70%,以留出应对意外事件的余量。这种工作负荷管理的量化方法是该标准最先进的特性之一,直接源于航空工业实践(NUREG-0711 方法)。
IEC TS 61973 引入的一个关键概念是操作员任务负荷分析(OTLA)。与主要关注单个显示质量的传统 HMI 设计标准不同,IEC TS 61973 要求对每种电厂运行状态下施加给操作员的认知和体力总负荷进行系统评估。标准规定,设计基准事故期间操作员的工作负荷不得超过最大可持续负荷水平的 70%,以留出应对意外事件的余量。这种工作负荷管理的量化方法是该标准最先进的特性之一,直接源于航空工业实践(NUREG-0711 方法)。
1.2 控制室配置
IEC TS 61973 确认了两种主要的控制室配置,各有不同的设计要求:
传统硬面板控制室:使用专用物理开关、指示器、记录仪和光字牌。标准要求关键安全参数(CSP)在专用的硬接线指示器上连续显示,即使在计算机系统完全故障的情况下也能保持功能。布局必须遵循功能分组方法,相关系统(如反应堆保护、应急堆芯冷却、安全壳隔离)在空间上组合在一起。
计算机化(软控制)控制室:使用大屏幕概览显示器、多 VDU 操作员工作站和计算机化规程跟踪系统。IEC TS 61973 对基于软件的系统施加了严格要求,包括 HMI 硬件的多样性和冗余性、显示功能的优雅降级,以及安全关键功能的独立硬接线备用。标准特别规定,没有任何单一计算机故障可导致一个以上安全组的监视或控制能力丧失。
⚠️ 设计警告
IEC TS 61973 中经常被低估的要求涉及报警管理。在事故工况下,一个始发事件可能在数秒内产生数百个报警。标准要求采用分级报警处理系统,将报警分为三个优先级(紧急、提示、一般),并通过基于状态的滤波抑制干扰报警。设计人员必须通过验证测试证明,在任何设计基准始发事件发生后,报警系统在任何 10 秒内产生的紧急报警不超过 10 个。超过此阈值需要重新设计报警逻辑或增加额外的报警抑制算法。
IEC TS 61973 中经常被低估的要求涉及报警管理。在事故工况下,一个始发事件可能在数秒内产生数百个报警。标准要求采用分级报警处理系统,将报警分为三个优先级(紧急、提示、一般),并通过基于状态的滤波抑制干扰报警。设计人员必须通过验证测试证明,在任何设计基准始发事件发生后,报警系统在任何 10 秒内产生的紧急报警不超过 10 个。超过此阈值需要重新设计报警逻辑或增加额外的报警抑制算法。
💡 二、人因工程要求
2.1 人机工程学与人体测量
IEC TS 61973 基于国际人体测量数据(ISO 7250、IEC 60960)规定了详细的人机工程学要求,涵盖第 5 至第 95 百分位的操作员人群:
| 参数 | 要求 | 参考标准 |
|---|---|---|
| 控制台视距 | 400-800 mm(主显示器);可达 1000 mm(辅助显示器) | ISO 9241-5 |
| 显示屏角度 | 水平视线下方 15-40° | IEC 60960 |
| 座椅高度可调范围 | 380-500 mm,带独立靠背调节 | ISO 9241-5 |
| 控制装置触及范围 | 所有关键控制在操作员肩枢轴 650 mm 以内 | IEC TS 61973 第 9.2 条 |
| 控制台下腿部空间 | 最小高度 450 mm,宽度 600 mm,深度 600 mm | ISO 9241-5 |
| 环境照明(正常) | 控制台面 200-500 lux,可分区调节 | IEC TS 61973 第 8.3 条 |
| 环境噪声水平 | 最大 45 dB(A) 连续,55 dB(A) 峰值 | ISO 11690-1 |
💡 工程直觉
IEC TS 61973 中最具挑战性的人机工程学要求之一是控制装置的触及范围。在采用触摸屏界面的现代软控制室中,标准仍然要求安全关键操作无需超过两级的菜单导航即可完成。这意味着安全显示层次结构的设计必须使所有 CSP 及其相关控制在默认概览屏幕的两次触摸操作内可达。对于具有超过 200 个安全相关参数的典型压水堆电厂,这需要特别精心设计的显示导航逻辑,并且通常需要为最关键的功能(反应堆停堆、安全壳隔离、应急硼注入)配备专用的硬接线快捷按钮。
IEC TS 61973 中最具挑战性的人机工程学要求之一是控制装置的触及范围。在采用触摸屏界面的现代软控制室中,标准仍然要求安全关键操作无需超过两级的菜单导航即可完成。这意味着安全显示层次结构的设计必须使所有 CSP 及其相关控制在默认概览屏幕的两次触摸操作内可达。对于具有超过 200 个安全相关参数的典型压水堆电厂,这需要特别精心设计的显示导航逻辑,并且通常需要为最关键的功能(反应堆停堆、安全壳隔离、应急硼注入)配备专用的硬接线快捷按钮。
2.2 信息显示与编码
标准为信息呈现制定了严格规则,以最大程度减少操作员错误:
颜色编码:红色专用于需要立即操作员行动的报警条件。黄/琥珀色表示需要注意但不需立即行动的异常状况。绿色表示正常运行。标准禁止将红色用于任何非安全信息(如系统标签、装饰元素),以避免混淆。
数字与模拟显示:IEC TS 61973 要求变化率信息(如反应堆功率变化率、稳压器水位趋势)以模拟格式(趋势图、条形图)而非数字读数显示,因为操作员从图形表示中识别发展趋势的速度显著更快。数字读数更适合精确的设定值验证。
安全参数显示系统(SPDS):标准强制要求专用的 SPDS 持续监视和显示关键安全功能:反应性控制、反应堆冷却剂总量、堆芯热量排出、安全壳完整性和放射性控制。SPDS 必须独立于常规电厂计算机系统,并由应急电源供电。
💻 三、验证、确认与运行经验
3.1 V&V 过程要求
IEC TS 61973 强制要求控制室设计执行全面的验证与确认(V&V)计划,遵循结构化的生命周期方法:
| V&V 阶段 | 方法 | 参与人员 | 验收准则 |
|---|---|---|---|
| 1. 概念设计验证 | 任务分析、功能分配、初步 HFE 审查 | 人因专家、高级反应堆操作员 | 所有安全功能分配到至少一个控制机制 |
| 2. 详细设计确认 | 启发式评估、专家评审、走查、 控制室模型评估 |
HFE 团队、控制室设计师、培训教员 | ≥90% 的启发式准则满足 |
| 3. 集成系统验证 | 全范围模拟器测试,使用代表性场景 | 持证反应堆操作员(最少 3 个班组) | 所有安全功能正确执行;操作员负荷 ≤70% |
| 4. 运行反馈确认 | 投产后数据收集、事件分析、操作员调查 | 运行班组、轮班技术顾问、维修人员 | 每 1000 运行小时中归因于 HMI 设计的操作错误 < 2 个 |
集成系统验证阶段被认为最为关键。必须在全范围复制模拟器上使用至少三个完整的运行班组进行,使用至少 12 个经过验证的场景,包括正常启动/停机、预期运行事件、设计基准事故和超设计基准事件。
✅ V&V 最佳实践
欧洲用户要求(EUR)和美国 EPR 项目的经验表明,最有效的验证演练结合使用基准场景(用于交叉班组比较的标准事件)和异常场景(测试适应性问题解决的意外事件)。基准场景建立基准性能指标,而异常场景揭示结构化走查可能遗漏的设计缺陷。EPR、AP1000 和 VVER-1200 的现代控制室设计均采用了与 IEC TS 61973 一致的大规模模拟器验证计划,通常涉及 18-24 个月的迭代测试和重新设计。
欧洲用户要求(EUR)和美国 EPR 项目的经验表明,最有效的验证演练结合使用基准场景(用于交叉班组比较的标准事件)和异常场景(测试适应性问题解决的意外事件)。基准场景建立基准性能指标,而异常场景揭示结构化走查可能遗漏的设计缺陷。EPR、AP1000 和 VVER-1200 的现代控制室设计均采用了与 IEC TS 61973 一致的大规模模拟器验证计划,通常涉及 18-24 个月的迭代测试和重新设计。
3.2 从传统到数字化控制室的过渡
IEC TS 61973 为从传统模拟仪表向数字控制系统现代化改造的电厂提供了专门指导。标准强调数字化升级不能简单地在计算机屏幕上复制模拟 HMI 设计——这种”数字化模拟”方法被视为设计失败,因为它没有利用数字系统(趋势分析、报警滤波、规程集成)的能力,而且常常引入新的故障模式(软件崩溃、显示延迟、导航复杂性)。
推荐的方法是对现有控制室进行全面 HFE 任务分析,识别操作员错误和工作负荷的最重要来源,并使用以人为中心的设计流程重新设计受影响的界面。IEC TS 61973 建议分阶段实施,至少完成一个完整安全通道的升级和验证后再进行其余通道。
❓ 常见问题
❔ IEC TS 61973 与 IAEA 控制室安全标准的关系是什么?
IEC TS 61973 与 IAEA 安全标准(特别是 IAEA SSR-2/1 和 IAEA NS-G-1.3)互补。IAEA 标准确立了控制室的高层级安全目标和功能要求,而 IEC TS 61973 提供了实现这些目标所需的详细工程设计要求和 HFE 方法。该技术规范还引用并协调了其他 IEC 核标准(IEC 60960、IEC 61772、IEC 62241),形成完整的控制室设计框架。
❔ IEC TS 61973 对大屏幕概览显示器的要求是什么?
标准强制要求大屏幕概览显示器(通常宽 2-4 m),为所有运行班组人员提供连续、一目了然的电厂整体状态指示。概览显示器必须至少显示:反应堆功率、冷却剂温度和压力、安全壳状态以及关键安全系统状态。这不仅是一个便利功能,而且是班组态势感知的必要元素,特别是在事故工况下,当个别操作员可能专注于其工作站的详细规程时,概览显示屏使得轮班主管能够保持整体电厂意识并有效协调班组行动。
❔ IEC TS 61973 能否应用于小型模块化反应堆(SMR)?
可以,但需适当调整。IEC TS 61973 的 HFE 原则和 V&V 方法通常适用于 SMR 控制室。然而,SMR 设计通常采用多机组控制室,即一个运行班组同时监视和控制多个反应堆模块。这种多机组概念引入了当前版本 IEC TS 61973 未完全涵盖的额外 HFE 要求,特别是在操作员注意力分配、跨机组报警优先级划分和工作负荷管理方面。该标准目前正在审查中,可能更新以解决 SMR 特定控制室配置的问题。
❔ 标准如何处理计算机化规程系统的使用?
IEC TS 61973 支持使用计算机化规程系统(CPS),但要求纸质规程作为多样性备用手段仍然可用。CPS 必须显示当前规程步骤、跟踪完成状态、提供规程间的导航,并自动显示相关的电厂参数。标准警示不要过度自动化规程执行——操作员必须保持在决策回路中的主动性。验证测试必须证明,使用 CPS 不会增加执行关键安全行动的时间,与纸质规程相比不得更慢。
