1、ICS 27. 120. 20 F 65 备案号:19515-2007中华人民业八和国核行业标准EJ/T 1198-2006 核电厂安全重要功能电气联锁的设计和实施Nuclear power plants-Electrical interlocks for functions important to safety-Recommendations for design and implementation CIEC 61497:1998,MOD) 2006-12-15发布2007-05一01实施国防科学技术工业委员会发布EJ/T 1198一一2006目次前吉口引言. . . . . . . .
2、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I I I U语略件缩文、义用义定引定和U性和语围范语术范规术14,由内吨Un4U3.2 缩略语. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3、 . . . . . . . . . . . . . . . . . . . . . 2 4要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 4. 1 系统要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 4.2 系统设计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 4.3 联锁完整性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 4.4 联锁设备. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 4.5 文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 4.6 基于计算机的设备. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 4. 7 操纵员操作. . . . . . . . . . . . . . . . . . . . . . . . . . .
7、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 4.8 电源. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 5 试验方法. . . . . . . . . . . . . . . . . . . . .
8、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 5. 1 试验和监测设备. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 5.2 自动试验. . . . . . . . . . . . . . . . .
9、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 5.3 自检和监测. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 附录A(资料性附录)典型的联锁. . . . . . . . .
10、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 A. 1安全重要联锁. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 A.2对反应堆可用性重要的联锁.9 A.3典型的联锁系统.9 附录B(资料性附录)单通道、双通道或多通道联锁的应用指导四I EJ/T 1198-2006 _
11、._ 目lji=:i 本标准修改采用IEC61497: 1998核电厂一安全重要功能电气联锁一设计和l实现的推荐方法。本标准与IEC61497的主要差异:II 一一“l范围”按照GJB6000-2001的规定进行了改写,将一些说明性的内容放入“引言”中:一一在2规蔽性引用文件”中,对已有相应国家标准、核行业标准、核安全法规或导则的国际标准和文件,改为我国的标准或法规文件,增加了盯IT1131一2001核电厂环境辐射监测规定,删去了未在标准正文中出现的标准:一一本标准引用的GB/T15474-1995核电厂仪表和控制系统及其供电设备安全分级将设备分为安全级(lE)、安全有关(SR)级和非安全重要
12、(NS)级。GB/T15474是修改采用IEC61226 -1993核电厂一安全重要仪表和控制系统一分级,但在安全分级上稍有差别。IEC61226 将安全级别分为A级、B级、C级或非安全级(unclassified), lE级对应A级,SR级对应B级和C级,NS级对应非安全级;一一在“3术语和定义、缩略语”中,增加“故障安全”,将“电气联锁”和“联锁”两条术语合井,删去“联锁功能”,缩略语增加了PWR、lE、SR、NS、CMF;一一“4.2. 1联锁配置”的第四段“采用双通道或多通道联锁时,冗余通道之间应独立,”后面增加了“应重点考虑通道之间的实体分隔和电气隔离、同类元件或信号的相关性以及抗共
13、因故障符合相应安全级别的要求。”;一一附录A的A.2的c)删去“或BWR”。本标准的引言修改采用IEC61497: 1998的引言。. 本标准和下列标准结合使用,能更好地满足HAF102(2004) 核动力厂设计安全规定的要求:a) GB 13284-1998核电厂安全系统准则;b) GB/T 15474-1995 核电厂仪表和控制系统及其供电设备安全分级:c) GB/T 13629-1998 核电厂安全系统中数字计算机的适用准则:d) GB/T 13286-2001 核电厂安全级电气设备和电路独立性准则。本标准的附录A和附录B是资料性附录。本标准由中国核工业集团公司提出。本标准由核工业标准化
14、研究所归口。本标准起草单位:核工业标准化研究所。本标准主要起草人:张京长、牛祝年。EJ/T 1198一2006寻核电厂的联锁功能可预防核电厂的不安全状态E,JG运行,防止可能导致或增加电广危险或危害的动作,保护人员免受伤害,但通常不采取纠正措施。为防止某工况的演变,联锁功能可限制后续动作或防止可能发生的动作p因此能预防不希望的工况发生。联锁功能可产生一个允许信号,使仪表只有在其工作范围内的输出才能用于反应堆保护系统或控制系统,以便控制反应堆当前功率、温度和状态。可采用机械式、行政管理方式、操纵员动作或电气方法实现联锁功能。行政管理是在棋电厂管理部门的控制之下,涉及到批准运行的签字和记录,可用于
15、控制人员进入工作区,允许操纵员使用某一控制器,授权使用钥匙(该钥匙能打开闭锁的控制器成允许进入某区域执行因特殊的或非常规的理由所需的操作)。行政管理不属本标准范围。电气方法包括使用反应堆保护系统、控制系统的内部逻辑、基于计算机设备的逻辑、开关设备的互连和专用继电器单元或固态逻辑口提供电气联锁的典型联锁功能和方法见附录Ao对联锁的核安全要求可能不同于消防、人员安全或电厂保护等的联锁要求。这些联锁之间可能有矛盾,本标准给出这些联锁优先权的考虑。安全重要仪表和控制系统的分级和可靠性要求见GB/T15474-1995。为了与其要求一致,电气联锁应按该标准分级。适用于安全系统联锁的要求见HAD102/1
16、09. 1保护联锁”,但该要求不适用于所有安全重要的联锁。本标准给出的要求仅适用于IE级、SR级的系统、设计、可靠性和设备要求。本标准根据四月15474:-1995对安全重要联锁应考虑的要求给出设计、可靠性和试验的准则,采用该标准规定的店、SR和NS分级。本标准考虑了联锁的安全重要性、功能以及操纵员在一些联锁中的作用。在涉及高可用率或完整性的地方,或共棋故障可能限制可靠性的场合,本标准给出实现联锁所用设备的冗余性和多样性指导。本标准也介绍基于计算机的设备用于联锁功能,并给出实现多样性的推荐方法。对软件要求和验证与确认的要求见EJ/T1058-1998. 核电厂的许多系统都需要联锁功能,但实现联
17、锁功能的方法可能不同,整个核电厂应采用一致的方法实现联锁功能。为了满足核电厂要求的性能、可靠性和一致性水平,本标准规定了电气联锁的设计和实现方法。III EJ/T 1198一2006核电厂安全重要功能电气联锁的设计和实施1 范围为了在核电厂运行期间防止出现非安全工况且!,(;保持特定的安全条件和状态,本际推给出了设计丰IJ实施能动或非能动电气联锁的推荐方法。本标准适用于安全重要功能的电气联锁,包捂监测电厂状态的传感器例如测量装置和限位开关)、联锁逻辑和控制电源,还包括为预防或限制不安全操作提供逻辑功能所需的控制和仪表设备,以及与特定功能有关的电缆、机电部件、控制和运行规程。2 规范性引用文件下
18、列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包含勘误的内容或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 4728. 12 电气筒图用图形符号第12部分:二进制逻辑元件GB/T 15474-1995 核电厂仪表和控制系统及其供电设各安全分级EJ/T 529 用于核电厂安全重要系统数字计算机EJ/T 760 核电厂安全重要仪表和控制系统的供电要求EJ/T 1058 核电厂安全系统计算机软件.EJ/T 1131-2001 核电厂环境辐射监测规定H
19、AF102 (2004) 核动力厂设计安全规定HAD102/10 (1988) 核电厂保护系统及有关设施HAD102/14 (1988) 核电广安全有关仪表和控制系统IEC 60812 系统可靠性分析技术一失效模式和效应分析CFMEA)程序!EC 61500 核电厂安全重要仪表和控制系统多路数据传输的功能要求3 术语和定义、缩略语3. 1 术语和定义下列术语和定义适用于本标准。3. 1. 1 可用率ava i I ab i I i ty 系统实际能完成其使命的时间份额。3. 1. 2 级别category 按照GB/T154 7 4-1995的分级原则将功能、系统或设备划分的安全级别,即lE、
20、SR和NS级。3. 1. 3 通道channel 信息流传输的独立路径,该路径可以是冗余的。3. 1. 4 多样性diversity 1 EJ/T 1198-2006 为实现某一特定目际存在两个或多个不同的途径成方法。多样性专用于防御共棋故障。多样性可以采用实体不同的系统实现DJG通过功能多样性获得,功能多样性是类似的系统以不同的方法实现特定的目标。3. 1. 5 完整性integrity 系统或设备在执行其预定功能时表现出的完善、可靠和无缺陷的特性及程度。3. 1. 6 电气联锁e I ectr i ca I inter I ocks 通过与设备电气连接的辅助触点或设备的作用,来保证该设备按
21、要求的方式或顺序安全运行。电气联锁包括单通道、双通道和l多通道联锁。3. 1. 6. 1 单通道联锁sing I e-channe I inter I ocks 由传感器、逻辑单元和一个驱动装置(例如一个接触器或继电器组成的单一通道的联锁。3. 1. 6. 2 双通道联锁double-channel intelocks由设备和传感器组成的两个通道,其布置使每个通道都能独立防止出现非安全工况或状态。两个迫道可以采用基本相同的设备。也可以采用两个不同的通道分别完成联锁功能,或两个相似的通道一个正常工作,另一个处于备用状态以便在第一个通道故障时防止出现非安全工况或状态。3. 1. 6. 3 多通道联
22、锁mu It i-channe I inter Icks 由设备和传感器组成的多个通道,其布置使每个通道都能独立防止出现非安全工况或状态。通道的设计应是故障安全的。使用多通道系统可允许在结维修,只需旁通维修通道,可不要求其他通道旁路。3. 1. 7 冗余redundancy 设置数量多于最低需求的元件或系统(相同的或不同的的一种措施,使得任一元件或系统的失效不致引起所需的总体功能丧失。3. 1. 8 安全联锁系统safety interlock system 保护系统的组成部分,能防止某些可能影响反应堆安全的操作,但在能满足预先规定条件的情况下,可以解除。3. 1. 9 安全有关联锁系统int
23、erlock system related to safety 安全有关的电气、仪表和控制系统的组成部分,能预防或限制某些可能影响反应堆安全的操作,但在能满足预先规定条件的情况下,可以解除。3. 1. 10 软件software与计算机系统运行有关的大纲、程序、规则和任何相关文件。3. 1. 11 故障安全fai I safe 系统中发生任何部件故障时能使该系统趋于安全动作的一种设计原则。3.2 缩略语下列缩略语适用于本标准。lE一一classlE;安全级:CMF一commonmode failure,共模故障;2 EJ/T 1198-2006 NS一non-safety,:11:安全重要;P
24、IE-postulated initiating event,假设始发事件;PLC一programmablelogic controller,可编程逻辑控制器;PWR一pressurizedwater reactor,压7j(住:SR一safetyrelated,安全有关的。4 要求4. 1 系统要求4. 1. 1 联锁功能要求应规定联锁功能并形成文件,确定其安全作用。应依据GB/T15474-1995对联锁的功能、系统和设备进行分级(lE、SR或NS)并确定与功能、可靠性、性能、环境耐受性以及质量保证和控制有关的要求。联锁功能通常包括:a) 预防操纵员采取的或自动系统引起的不安全或不正确动作
25、:b) 通过限制控制动作来防止核电厂向不安全或不正确工况演变;c) 在达到安全工况前禁止进一步的操作;d) 产生一个信号,以允许选择仪表在其工作范围内的输出;e) 当设备只有在一种运行方式下才能安全运行时,防止设备在另一种方式下投入运行;f) 如果设备在超设计基准的工况下运行能提高核安全性,允许设备在其原定功能以外或超设计基准的工况下运行;g)预防危险,例如火灾和重物掉落引起的非安全工况或状态。典型的操作联锁功能如停止和启动泵、在阀门限位处停止间门驱动装置、在关闭阀门时防止泵启动以及类似的控制或限制功能。核电厂保护联锁功能可预防电动机或驱动装置过载、防止核电厂运行工况超出其正常范围和事故工况,
26、在联锁分级过程中应考虑这些功能。安全重要和运行重要的典型联锁功能参见附录A。应依据核电厂的安全分析验证联锁所要达到的要求,验证可采用逻辑运算或模拟演示。4. 1.2 联锁可靠性要求应依据核电厂的安全分析确定对每种联锁功能的可靠性和完整性要求。依据可靠性和完整性要求确定对冗余的设计要求,并按GB/T15474-1995的要求确定分级所用的可靠性保证方法。在设计过程中,对安全性、可用率或出于经济考虑都可规定可靠的联锁,应及早确定对安全性和可用率联锁的可靠性和完整性要求。与维修可达有关的联锁可能要求更高的可靠性。确定联锁的可靠性要求应考虑联锁拒动和误动故障的后果。4. 2 系统设计4. 2. 1 联
27、锁配置核电厂许多系统都设置联锁功能,电气联锁主要采用三种设计方案,见3.1. 6 (单通道、双通道和多通道)。当联锁具有安全系统功能时,它成为安全系统的一部分,应按保护系统的要求设计。不属于安全系统的lE级联锁也应按保护系统的要求设计。在保护系统中可以设置lE级多通道联锁,通常包括传感器、逻辑部件和表决功能单元组成的几个独立通道。具有驱动表决功能单元的多通道或双通道联锁通常是lE级,也可用SR级联锁;对于非安全重要的联锁可用NS级联锁。采用双通道或多通道联锁时,冗余通道之间应独立,应重点考虑通道之间的实体分隔和电气隔离、同类元件或信号的相关性以及抗共因故障符合相应安全级别的要求。尽量避免部件的
28、共用,例如单一开关装置或相关的脱扣继电器。对联锁功能应尽可能考虑功能的多样性,例如:在某些工况下,防止3 EJ/T 1198-2006 流体梳动的眼t方法可采用一个防止泵启动的单通道联fl、与一个防止阀门开启允许流动)的单通道联锁一起来实现。采用计算机或可编程逻辑控制器(PLC)实现联锁时,依据联锁的安全重要性和安全分级,还应满足EJ/T529和IEJ/T1058的要求。多通道配置的适用要求见IEC61500。4.2.2 联锁优先权设计中应规定在响应控制指令和联锁时电气开关或驱动装置动作的优先权,其优先次序为:接安全、消防、人员防护、电厂保护和电厂运行。应按国家核安全监管部门的规定未确定适用于
29、特定核电厂的指令优先权,以便给出一致的方法。核电厂保护联锁的指令具有最高的优先权,并且不会因电厂受损而危及核安全、引起火灾或人员伤害。核电厂保护联锁的设计及其优先权应考虑(某些核电厂超出电厂保护需求的情况,以便在特定情况下启动安全动作。因此,在大多数情况下,核电厂保护联锁的优先权应最高(即任何指令都不能对电厂造成损害),但在某些情况下,电厂运行可能超出其初始预定的功能范围和设计基准,如果强调核安全,电厂保护的优先权可以低于安全执行系统指令的优先权。P联锁动作和指令的优先权取决于具体情况和国家核安全监管部门的规定,除了核电厂保护联锁外,其他功能指令的优先权顺序通常如下:1) lE级联锁或安全执行
30、系统的指令:2)消防启动指令或泊防安全联锁:的人员防护联锁或SR级联锁;4)控制室操作指令或运行联锁。在上述优先权顺序中,如果发现同一级别的功能之间抵触,则前者具有较高的优先权。注z特定电厂的指令优先权可以与上述顺序不同。给出的优先权表明核安全最为重要,其次是消防虫全(因为它常常涉及核安全和人员安全J,再次是人员安全和SR级联销的优先权其顺序依据GB/T15474-1995确定,最后是控制室和电厂运行联锁或指令的优先权比核安全或人员安全低得多。4. 3 联锁完整性4. 3. 1 联锁方法确定联锁功能应从确定该功能的可靠性要求开始。可采用电气、机械和行政管理的方法实现联锁功能。实际上,在无法采用
31、电气和机械方法来防止某一操作时,通常采取行政管理措施。为提高电气联锁的可靠性也需要行政管理措施。为了满足可靠性要求,可采用两种或多种不同的方法提供一个联锁功能。这可能捞及核电厂相关物项的联锁(例如泵和阀门或同时使用行政管理和电气联锁两种方法。下述各条推荐电气联锁方法。4. 3.2 冗余要求应依据联锁功能的安全分级和可靠性要求来确定采用单通道、双通道或多通道联锁,并确定对传感器或联锁多样性的需求,lE级功能的要求见GB/T15474-1995中5.2.1。为了使多通道联锁的可靠性更高,可再配置一个多样化的联锁通道。为了满足单一故障准则,安全联锁功能要求系统冗余。因此,应根据潜在故障来评价联锁功能
32、能否实现。lE级联锁的故障如果仅影响核电厂冗余物项中的一个且不会阻止另一个的缓解作用,可采用单通道联锁:如果联锁故障可能引起假设始发事件(PIE)gj(;影响多个冗余通道,或导致放射性释放,就应提供冗余的联锁,以便使单一故障不能妨碍安全动作。如果阀门试验或维修操作在适宜的行政管理之下持按时间有限,IE级联锐的某些功能可允许该试验或维修优先于可能的安全操作,并且可采用单通道联锁。为了满足可靠性或安全分摄的特殊要求,特定电厂的设计技确定的依据可能要求双通道联锁。因此,lE组联锁可能要求双通道或多通道联锁,GB/T15474-:1995的5.2.2对SR级功能也优先推荐冗余。不使用计算机而采用单通道
33、、政迪道和多通道联锁可能获得的可靠性典型示例参见附录B。4 EJ/T 1198 2006 4. 3. 3 可靠性评价为了评价安全重要联锁(lE级或SR级)的可靠性,应对联锁系统的设计进行评价。还应评价其他联锁CNS摄)的可靠性以证明满足可用性要求。评价时应考虑共模故障的概率。使用基于计算机的联锁设备时,应评价计算机暖件的可靠性。应依据GB/T15474一1995确定联锁的安全级别,软件开发方法应符合EJ/T1058对联锁分级的适用要求。可靠性评价应考虑za)设各类型(工艺设计、新设计或己证实的设计、固有的故障安全);b)设计的复杂t性;c)联锁中使用的装置数量:d)设备故障率:的环境:f)通道
34、隔离:g)试验、自检和故障显示:h)试验和自检措施所覆盖的故障范围:i)试验和自检的问隔时间:j)使用联锁的操作频次:k) 出入控制:1)故障维修的开始和完成时间。可靠性评价还应考虑如何揭示故障,可使用日常记录、功能测试成全性能测试即时揭示故障。应考虑操纵员的校正操作和功能测试可能是一种共因故障。应依据硬件可靠性分析来确定适宜的试验间隔时间,试验应证实联锁能正确起作用。如果某一动作在己知的时间内产生,为了证明联锁功能的正确性可在该动作之前及时试验有关的联锁。对于联锁的IE级和SR级系统应按IEC60812的方法进行故障模式和影响分析CFMEA)。4.4 联锁设备4. 4. 1 输入情号双通道和
35、多通道联锁的每个通道都应使用独立的输入信号(来自独立的传感器、触点和限位开关。在使用冗余信号监视冗余通道的一种状态时,应单独处理每个信号。如果使用满足故障安全要求的缓冲寄存装置,则单一触发信号可用于取通道或多迢迢联锁。在可能出现传感器故障井导致联锁失效又探测不到危险的情况下,测量或状态探测应是冗余的,并且应采用双通道或多通道联锁。应注意同一装置上的多个开关例如阅杆移动所驱动的限位开关)可能在不同的时间动作并导致联锁表决要求的不同步。4. 4. 2 联锁逻辑设备联锁功能可包括在安全级别相同的其他设备(例如开关装置、控制设备、保护系统或安全执行系统功能中。在联锁功能与系统其他功能独立的情况下,联锁
36、设备应是系统的独立单元或置于单独的机箱内。在维修期间,为了限制联锁动作优先权可能被不正确地超越,可能需要独立于其他有关设备的联锁。一个系统的运行联锁和保护联锁之间应独立。在可能的情况下,保护联锁设备应与任何正常控制电路实体分隔:保护联锁之间不共用传感器、电路和驱动装置。使用双通道或多通道联锁时,通道之间应独立以限制共因故障的影响,或按HAD102/10C见3(7)、7.5、9.1)、HAD102/14C见2.2 ( 1)、(7)、(8)、(9)、(10)和4.3. 1)或HAF102(见6.4. 9)的要求进行隔离。在进行多项检查时,在安全触发或正确启动某一动作之前,联锁设备可为操纵员直接提供
37、信息,或通过控制室状态显示系统提供必要的信号。5 EJ/T 1198-2006 用于简单系统的电气联锁可使用有可靠记录的继电设备,最好使用由体组件。但限位开关、灯泡、电动机接触器、输出电路所用的继电器和l手动开关可以例外。地电设备应按适用的国家标准制造。IE级和SR级联锁应采用动作时故障安全的逻辑设备。对于lE级联锁,特别是功能简单的联锁,为了减少验证要求(与使用计算机软件的系统相比),建议使用硬件逻辑。在电气隔离重要的场合,可使用继电器逻辑。基于计算机的系统适用于大量的联锁和顺序操作。单通道联锁可使用标准的高质量电厂设备,通常用于开关设备的联锁。单通道的保护联锁或运行联锁可通过连接设备的限位
38、开关与开关设备的继电器来实现,这些继电器可置于开关设备内,或安装在靠近开关设备的机箱、盒子中成仪表盘上。双迪道或多通道联锁的每个通道都应独立执行联锁逻辑。双通道联锁可由两个相似的通道组成,一个通道正常工作,另一个处于备用状态以防止第一个通道故障时出现不安全工况或状态。双通道联锁也可以是一个通道完成一种联锁功能,而另一个通道完成独立的且功能多样化的安全联锁。在某些情况下,一个系统内的运行联锁可能需要独立的保护联锁,保护联锁可能存在于一个独立的单元或一个独立的系统中。当所有联锁迪道相同时,为了探测故障和提供报警,应分别比较每个通道探测或处理的状态,但不应损害冗余通道之间的独立性。检测到两个通道之间
39、存在差别就应启动趋向更安全或保持原有安全状态的联锁。双通道联锁的功能可在核电厂两个物项上作为独立的单通道联锁来实现,例如:在潜在危险消除之前,联锁应使两个物项都不能操作。两个通道中任一通道的故障都应给出报警,并且辅助触点或信号用于监测电厂状态。在要求独立性时,应保证一个通道的故障不能危及其他通道。4.4. 3 联锁连接移动式设备联锁可要求软电缆和l接插件连接,这对于反应堆装换料设备和大型部件的装部设备非常重要,应特别注意这些接插件和电榄的可靠性。联锁设备可置于移动式设备上,以减少接插件的数量。移动式设备的实体布置应保证只有全部有关的联锁都起作用时设备才能运行。在联锁系统某一部分探测到的允许信号
40、可能是该联锁系统其他部分或其他设备所需要的。该信号的配置应在其断开或无效时启动联锁,以实现安全工况或保持原有的安全状态。对多路系统中信号传输的要求见IEC61500。对于用螺丝拧紧的接线端、逻辑板连接器或插头与插座来连接联锁信号和允许信号的配置,在电路开路或信号断开时应启动趋向更安全或保持原有安全状态的联锁。在连接器、逻辑板、模块或插件板断开时应提供示踪连接触发报警。4.4.4 联锁启动从逻辑装置输出的信号启动联锁,以防止或允许开关、阀门控制装置、电磁阀、控制器或电动机等设备动作。当需要双通道或多通道联锁时,为了防止设备动作,应对电厂终端电源或其等效设备分别提供两处或多处中断。可用于双通道或多
41、通道联锁的配置包括但不限于下述方法:a) 在最终驱动设备的任一侧实现电路两处断电;b) 在直流电源的正、负两端断开电路;c) 一个电据的三相接触器,其中至少有两相电路独立中断;d) 最终驱动器断电可作为禁止动作的一种方法,禁止动作的另一种方法可单独采用制动力;e) 采用一个备用通道的安全动作抑制处于危险状态下的某一通道动作。对于包含联锁通道的设备,应要求所有通道都处于允许状态才能操作。一些功能可要求任一通道都能禁止运行,其他功能可要求半数或多数通道处于禁止运行状态才能防止运行。配置联锁驱动器应在其故障时趋向更安全或保持原有的安全状态。4.5 文件6 EJ/T 1198一2006文件应明确规定每
42、个联锁的功能及其与保护、控制成随后远行的关系,或者与操纵员动作的关系。应以标准格式的逻辑图表示每个联锁功能的联锁逻辑,重复的或相似的联锁功能应以同一标准格式表示,以便易于识别电路或逻辑的相似性。包含联锁的系统的其余部分也可采用同样格式。标准格式的逻辑图见GB/T4728. 120 核电厂文件应包括所有安全重要联锁的一览表。4.6 基于计算机的设备应重点考虑盯IT1058和EJ/T529对文件、验证与确认以及自检的要求。按GB/T15474-1995的分级规定,EJ/T1058的要求适用于基于计算机的安全重要联锁使用的软件。非安全重要的联锁CGB/T15474-1995中的“NS联锁可以采用常规
43、软件产品(工业级。质量已证实的基于计算机的设备可用于单通道联锁。对于双通道或多通道联锁采用两个或多个基于计算机的通道,由于未发现的软件缺陷可能对共模故障CCMF)敏感,应分析对CMF的敏感度,分析的方法见盯IT10580 在使用标准的、工业级的、基于计算机的设备时,其可靠性和完整性可能受软件性能的限制。在要求可靠性高于单通道联锁能达到的可靠性时,应附加配置一个独立的和或多样化的联锁通道。联锁所用的计算机系统应配备可编程的器件以便能简明定义逻辑,该系统能显示和记录其动作和逻辑状态。联锁应用软件应能提供在线监测措施,以便允许直接监测逻辑驱动通道来跟踪联锁逻辑。对于试验和调试,应能显示联锁状态和电厂
44、状态。4. 7 操纵员操作操纵员操作可以是联锁功能的一部分,当操纵员的意图是联锁功能(例如:在反应堆启动过程中安全系统所用注量率测量的正确选择与闭锁的一部分时,操纵员的操作就是必要的。可通过行政管理和或运行规程授权操纵员操作。操纵员的检查、解除禁止和释放闭锁的控制器可能是寂得某些联锁功能的唯一可行方法。在这种情况下,应考虑:a) 自动记录操纵员使用的控制器:b)使用两种不同的方法检查视觉信号,例如:物项标识码、通道识别、测量值:c) 自动记录批准的运行:d)操作时的人员通讯。一个操纵员完成的操作由第二个操纵员检查可减少人为失误。操纵员的误操作不应引起不相哭联锁的故障。在操纵员使用某一联锁上的允
45、许开关或控制器故障时,应使该联锁保持或趋向安全状态。在不能采用机械或电气联锁的特定情况下,操纵员采取性质不同的两种独立的操作可达到联锁可靠性的要求。4.8 电源联锁逻辑设备和输入信号的电源应满足EJ/T760的要求。双通道和多通道联锁的每个通道应由各自的独立电源供电。如果单个电源故障,联锁还能提供安全动作。在联锁驱动涉及核电厂电气开关设备时,低压驱动提置应使用开关控制继电器的电源,逻辑设备和输入信号也可由此电漉供电。5 试验方法5. 1 试验和监测设备为了能快速查找故障和提供每个逻辑条件和联锁的状态显示,联锁逻辑设备应具有全面监测功能,并配备自动试验设备。在没有内置的试验设备时,设计中应采取措
46、施保证试验完成后能及时断开试验设备。应具有测试输出驱动电路连续性的手段。为了能进行在役试验,试验信号可使用脉冲或高频信号。设计和制造联锁设备时应允许进行试验,以证明联锁在需要时能起作用。7 EJ/T 1198-2006 试验应能表明每个通道的每种联锁都能给山正确动作,试验设备不能使联锁失效。在分析联锁性能、完整性和l可靠性时应包括所有内置的试验设备。5. 2 自动试验设计时就应考虑自动试验设备,以便能正常准确地测试联锁功能。建议自动试验设备能给出试验及其结果的永久性记录。冗余通道的自动试验不应妨碍其余通道的正确联锁动作。自动试验设备可用于揭示潜在的危险故障,这时应考虑试验设备的完整性及其使联锁
47、失效的可能性。5.3 自检和监测设计中应包括监测功能,以便探测相似的冗余通道之间的差异,发现差异时应报警。动态系统的设计应提供其循环故障、动态信号源故障报警,或动态信号传输的故障报警。按EJ/T529的规定,基于计算机的联锁设备应包括自检功能。8 EJ/T 1198-2006 附录A(资料性附录)典型的联锁A. 1 安全重要联锁典型的安全重要电气联锁功能见表A.1 o 表A.1 序号正文4.1. 1 功能1 a) 防止活化的冷却剂、空气或其他流体与非放射性流体接触(例如放射性废液系统的联锁在探测到放射性的情况下能防止排出流进入冷却水2 b) 在运行模式下进行可能不利于安全的操作时禁止操作(见注
48、2)3 a) 防止装卸料机在反应堆或换料水地允许区域以外的区域运行见谊1)4 防止反应堆控制棒或闭环控制系统在超过技术规定限值的状态下运行(见垃1)5 在应急电源启动后按正确顺序加载前,防止泵启动6 防止控制棒单棒或成组超过规定限值的移动7 在高功率运行时,防止使用在启动或低功率运行期间的安全功能例如低功率注量率保护8 在所有其他运行方式下,防止只有在停堆时才使用的设备投入运行9 f) 在超设计基准工况下启动专设安全设施时,允许暂时的电气过载10 防止重物掉落到重要部件上例如在燃料厂房提升容器上方净空的最小限值注1:限制联锁的例子:a) 闭环控制范围的限制;的装卸料机移动范围的限制:c) 当稳压器低水位时,在采用能动阀门隔离的PWR中,稳压器的加热器断电。注2:动作联锁的许多实例是防止阀门的不正确动作,PWR阀门联锁的例子:a)安住期间应急冷却水箱和反应堆地坑阀门的正确匹配;的防止反应堆应急冷却安注箱加压的不正确隔离:c) 防止安注箱的不正确卸压;d) 防止低压管道系统与加压环路联通;e) 反应堆紧急停堆以后防止能稀释含棚补给水的阀门配置。A. 2 对反应堆可用率重要的联锁可能涉及操纵员操作的典型联
