1、ICS 27. 120. 10 F 61 备案号:15830-2005EJ 中华人民共和国核行业标准EJ/T 603-2005 代替EJ/T603-1991. EJ/T 627-1992 研究堆安全系统准则Criteria f。rsafety systems 。fresearch react。rs2005一04一11发布2005-07一01实施国防科学技术工业委员会发布EE- 1 . . EE- EE-Qd lJ MHMMMMM叫凯JU们川川HHHHHHHnu呻Ianu配UUUUUUUnuHHHMMmmmmmF问U啤啤EEtt配配。白配肌刷刷UU3EEEtt配川剧nu川门川川叫noaEEEEE
2、EInu -E l -EE-E E-az-EE - EJ/T 603-2005 目次Ti1A141A9。,“呵,“少“ququqdqdA哇A哇A亏A峙AFDPDFDRUEd3的求目uu一些实全uu的安统克非识系dfji- 件完1非王Euuuuu3用准与安配义U求障川全发例统校督制级化系与监控分子正引定准则要故性安触值动性和基准般一余立障动走通全护哈源远全数iu围范语计计一单冗独故手整旁安保弘电接安对量言范规术设设012345质ltEA9LM叮JA叶ARDnb巧iQUQd1A141i1Ai1i- AH口1i9“qu4A卢。卢bnDMDmDmbFDmbmDEUPUomhd”。”。DnbEJ/T 6
3、03-2005 目lj 本标准是对EJ/T603一1991试验堆安全系统准则(以下简称原标准)的修订。原标准参照采用美国国家标准A1SI/ANS 15 . 15-1978 Criteria for the reactor safety systems of research reactors制定,1986年该标准重新确认。由于技术不断进步,原标准的一些技术内容己显落后(例如辐射防护安全限值的改变等),为保证标准的先进性,需对原标准进行修订。同时考虑到标准的完整性,减少技术内容的重复,修订时将钮T13628-1992核反应堆保护系统用于非安全目的准则、EJ/T627-1992保护动作的手动触发中
4、的技术内容合并到本标准中。此次修订内容符合HAF201研究堆设计安全规定“5.6保护系统”的规定。II 本标准与原标准相比主要有以下变化:a)将标准名称改为研究堆安全系统准则b) “2规范性引用文件”中将GB8703-1988辐射防护规定改为其修汀版GB18871-2002电高福肘防护与辐射源安全基本标准,井增加了GB/T5204-1994核电厂去全系统定期试验与监测、GB丁13285-1999核电厂安全重要系统和部件的实体防护)I,GB/T 13629-1998核电广安全系统中数字计算机的适用准则、EJ汀529一1990用于核电广安全重要系统数字计算机、EJ/T 1058-1998 核电厂安
5、全系统计算机软件、HAF201(1995) 研究堆设计安全规定和HAD201/010996) 研究堆安全分析报告的格式和内容:c) “3术语和l定义”中增加“置信度”:d) 3 . 4中引用GB18871一2002电离辐射防护与辐射源安全基本标准附录B规定的职业照射和公众照射的剂量限值,对原标准规定的剂量限值作了修改:的“5.6手动触发”补充了EJ/T627的技术内容:f)增加了叮.10保护系统用于非安全目的”CGB/T13628的技术内容):g)增加了“5. 12电源监督”:h)增加了“5. 15对数字化安全系统的要求”;i)对图l作了修改,增加图注。本标准发布之日起,同时代替盯T603-1
6、991、EJ/T627-1992,可代替GB丁13628一1992。本标准由中国核王业集团公司提出。本标准由核工业标准化研究所归口。本标准起草单位:核工业标准化研究所。本标准主要起草人:张京长、牛祝年。本标准于1991年10月首次发布。EJ/T 603-2005 研究堆安全系统准则1 范围本标准规定了研究堆安全系统设计的基本要求。本标准适用于进行研究、开发、教学、培训I、实验、试验或生产同位素的反应堆。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注目期的引用文件,其随后所有的修改单(不包含勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
7、是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本道用于本标准。GB/T 5204 核电厂安全系统定期试验与监测GB/T 13285 核电厂安全重要系统和部件的实体防护GB/T 13629 核电厂安全系统中数字计算机的适用准则GB 18871-2002 电离辐射防护与辐射源安全基本标准盯IT529 用于核电厂安全重要系统数字计算机盯IT1058 核电厂安全系统计算机软件HAF201 (1995) 研究堆设计安全规定HAD201/01 ( 1996) 研究堆安全分析报告的格式和内容3 术语和定义下列术语和定义适用于本标准。3. 1 旁通bypass 为了维修、试验、修复或改变运行方
8、式使安全系统一个或一个以上的组成部分退出运行所采取的措施。3.2 置信度confidence level 一个约定真值落入其预定间隔内的概率,通常用百分数表示。3. 3 可信的credible 己证明某一事件或工况发生的概率不会小到事实上不可能发生的程度的限定词。3.4 凤险可忽略的研究堆neg I i g i b I e - risk research reactor 在研究堆安全系统完全失效同时又发生最严重的设计基准事故的情况下,其放射性后果仍可忽略的反应堆。3.5 注:所谓放射性后果是可忽略的,是指事故状态下一天内的照射量或放射性物质释放量不超过正常运行一年的限值,如不应超过GB1887
9、1-2002附录B规定的职业照射和公众照射的剂量限值。保护子系统protective instrument subsystem 一个变量的安全监测装置与符合逻辑(如三取二)的组合(见图I)。EJ/T 603一20053.6 安全联锁safety interlock 安全系统的一个功能,除非满足所有规定的条件,否则它将禁止可能影响反应堆安全的一些操作。4 设计基准研究堆安全系统应有设计基准文件,该文件用来判断安全系统的设计(包括设计变更)是否合适。依据HAD201/01 C 1996)中2、7、8.1和8.4编写设计基准文件。对于研究堆的每种运行方式,设计基准文件应至少包括:a)安全系统应起作用
10、的每一个设计基准事故,对应每一个设计基准事故所允许的研究堆运行工况的限值:b)判断可能需要安全联锁或专设安全设施处理事故的准则;c)要设置的安全联锁及其特定功能:d)应自动完成的安全动作和仅靠手动完成的安全动作:e)安全动作的整定值:f)为适应研究堆不同运行方式而改变整定值的要求:g)为探测每一个设计基准事故需监测的过程变量;对空间相关变量,为了安全所需探测器的最低数量及其配置:h)监测每一个设计基准事故有关变量所需的保护子系统,每一个子系统所需的安全监测装置的数目,冗余通道间及其连接的隔离要求,对符合逻辑的要求:i)每一个保护子系统的最低性能要求,例如量程、准确度、响应时间等:j)安全设备的
11、性能要求,包括响应时间和保护系统的接口:k)在稳态、瞬态以及在正常、异常和事故工况下,要求安全系统保持其功能的环境条件(例如电源、温度、温度、压力、振动、辐射)及其变化范围:1)可能损害安全系统功能的外部事件(火灾、爆炸、地震、水淹、雷击、飞射物、龙卷风和咫风),以及为了保持执行安全动作的能力需采取的保护措施(见GB/T13285) ; m)对安全系统任一部分旁通的要求,允许使用旁通的条件和有关的具体措施:n)安全系统设计的可靠性目标:研究堆运行期间所使用的试验设备、试验目的、方法和可接受限值1o)对安全系统检查、试验和校准的时间间隔:p)除了通常的质量保证措施之外,由于安全系统设计的特殊性所
12、要求的其他质量保证要求:q)依据安全系统的实际特性,为满足本标准要求所需的行政管理程序。5 设计准则5. 1 一般要求研究堆安全系统的设计应符合HAF201 (1995)中5.6的规定。应通过安全系统的保守设计、质量鉴定、固有安全性和非能动安全特性等措施实现事故预防。5.2 单一故障5.2. 1 单一故障准则在发生始发事件的同时安全系统内出现单一故障(包括其引起的所有继发故障)的情况下,能完成所需的安全动作。所需的安全动作是:a)执行每一个安全联锁:b)完成每一个设计基准事故的预期要求,例如自动探测、报警和紧急停堆:2 EJ/T 603一2005c)执行手动安全停堆。5.2.2 单一故障准则的
13、应用除了下述五种情况以外,每一个研究堆安全系统的设计都应满足单一故障准则。5.2.2. 1 利用安全系统的概率安全评价CPSA )方法确定的不可信假定故障(例如发生概率小于10-6;堆年)可不考虑。5. 2.2.2 对于风险可忽略的研究堆,5.2. 1中a)和b)所述的安全动作不必遵从单一故障准则。5.2.2.3 脉冲堆安全系统中仅对反应性偏离型事件起保护作用的那一部分,5.2.1中b)所述的安全动作不必遵从单一故障准则。5.2.2.4 有可信的故障率数据,且可靠性分析证明安全系统的可靠性达到了5.2.1中a)和b)允许不满足单一故障准则的目标。通常,此目标的最低限值是在研究堆的整个运行寿期内
14、,出现对设计基准事故无保护动作的运行情况不多于一次,其置信度为95%,并且安全系统的这种故障可在定期试验或下次启动过程中探测到,其置信度为95%。5.2.2.5 如果满足下述要求,安全系统就能即时探测非安全故障并通知操纵员,则5.2. 1中a)、b)所述的安全动作可不必遵从单一故障准则。a)安全系统本身及相关故障探测方法的总体可靠性与遵从单一故障准则所达到的可靠性相当:b)故障探测方法不会引入可信的共因故障:c)相应的行政管理程序规定了在探测到故障时应采取的具体行动。5. 3 冗余应尽实际可能按下列顺序考虑元余:a)功能的多样性,如监测与某个设计基准事故相关的不同过程变量:b)设备的多样性,如
15、使用不同工作原理的设备监测同一过程变量:c)简单的冗余,如用多套相同的设备监测同一过程变量。5.4独立性在遵守单一故障准则时,还应满足以下要求。5.4. 1 为了适应设计基准中规定的外部条件,冗余通道之间应实体分隔,可采取适当的实体屏障或空间分隔。5.4.2 为了防止某一装置的非安全故障引起其他冗余装置的非安全故障,在不同冗余装置信号汇集点(例如逻辑装置的输入端),应对这些信号进行充分的电气隔离。5.4. 3 在安全系统与非安全系统设备之间的接口处,对它们应进行足够的电气隔离和实体分隔。5.4.4 在可信的单一故障引起设计基准事故的同时又引起通道级或子系统级丧失相应安全功能的情况(例如控制系统
16、与安全系统共用中子注量率监测信号)下,可增加元余度以保证不丧失系统级安全功能。增加的装置自身要满足5.2.2及本标准的其他要求。5. 5 故障安全安全系统应设计成故障安全型。在设计基准规定的范围内,环境条件的变化和可能发生损害安全系统功能的情况引起的系统内部故障不得形成非安全故障。5. 6 手动触发手动触发包括:自动触发安全动作的手动后备、手动启动或停止安全动作、安全动作完成后的手动复位。应向操纵员提供简单直接的手动触发安全停堆的设备。手动触发要求:a) 自动触发通道中的故障不妨碍手动触发的完成:b)操作简便,设备最少,而且与自动系统共用的设备最少:c)操作部件应醒目而可靠,符合人因工程原则。
17、3 EJ/T 603一20055. 7 整定值在研究堆运行方式改变时,保证安全系统能自动切换到合适的整定值,l!X;按运行规程、行政管理理序实现手动切换,或者同时具有上述两种功能。5.8 旁通5. 8. 1 在研究堆运行期间,安全系统为实现必要的功能(例如改变运行方式或进行定期试验)应具有旁通能力。5.8.2 不得旁通安全系统的手动触发装置。5. 8.3 安全系统应通过实体设备或简便的行政管理程序实现下述要求:a)防止未经许可而使用旁通:b)对于设计基准允许的每一种运行方式,限制同时旁通的类型和数量;c)防止意外触发旁通。5.8.4在运行期间触发旁通应立即给出视听信号,其后应连续显示每一个正在
18、起作用的旁通,显示信号应便于操纵员观察。5.8.5 在研究堆运行期间,只有在安全系统其余部分满足5.2.2和5.4.4的要求时,才能将安全系统的一部分旁通。对于安全系统二取一的逻辑部分,为了定期试验而需旁通时如果能证明其余部分的可靠性是可接受的,则不必满足5.2.2的要求。5. 9 安全动作的完成5. 9. 1 应分别显示触发状态下的每个通道。5. 9.2 安全系统一经触发,就要保持系统级的触发状态,同时要显示触发停堆的保护子系统,直到安全动作完成,仅当保护变量恢复到整定值时系统才能手动复位。安全系统的手动复位装置不得妨碍安全动作的触发,并与报警装置和报警复位装置实体分隔和电气隔离。5. 10
19、 保护系统用于非安全目的5. 10. 1 通常应避免保护系统与控制系统之间的相互连接,安全监测装置的变量测量尽可能不用于非安全功能。5. 10. 2 当保护系统输出的信号同时用于安全目的或非安全目的时,信号通道应采取隔离措施,以满足本标准规定。当某个执行装置(例如控制棒、水泵电动机等)受控制系统和保护系统双重控制时,保护系统的控制优先。在保护系统用于非安全目的时,应在所获得的利益与潜在危险所采取措施之闯进行权衡。5. 10.3 在保护系统用于非安全目的时,潜在危险包括:a)由于安全系统与非安全系统之间的相互影响,保护系统内部出现某些故障时,非安全系统可能要求有故障的设备完成保护功能:b)非安全
20、级设备和线路的故障导致保护系统可靠性降低:c)由于非安全功能的最优化(例如提高设备的灵敏度、准确度或设备复杂化)而降低安全功能的性能或可靠性。5. 10.4 在保护系统用于非安全目的时,可能获得的利益包括:a)可减少传感器及其有关设备的数量:4 b)增强监督保护系统的能力,由于把保护系统信号输入到监测装置(包括计算机)因而加强了对保护功能的监督:c)能将保护系统的信号用于保护某些设备:EJ/T 603-2005 d)能通过控制系统的校正动作来避免保护动作。5. 10. 5 即使不存在安全问题,一些设计也为保护研究堆的设备(例如电源、驱动机构、试验设备等)提供保护动作的触发信号,但应尽量减少单纯
21、为了保护设备的保护动作。5. 11 试验与校准5. 11. 1 安全系统应具备可定期试验和校准的能力,见GB/T5204。定期试验可以有自动、半自动和手动方式。5. 11. 2 安全系统应能进行在线试验或离线试验。在采用在线定期试验时,如需要旁通,不得降低5.8.5 对安全系统的要求。5. 11. 3 在试验发现通道失效(例如由探测器开路引起)时,应及时修复,在研究堆启动前,要恢复安全系统运行所需的功能和性能要求。5. 12 电源监督保护系统应接不间断电源,并应监督其正常供电条件。供电不正常时应发出报警。5. 13 接近控制5. 13. 1 行政管理程序应规定禁止未经授权操作安全系统的措施。5
22、. 13. 2 安全系统应具备实体措施(例如配备钥匙开关,把整定值调整和校准用的调节器安装在凹槽里或加盖),以防止未经批准就使用其控制器,或误动调节器。5. 14 安全分级与标识5. 14. 1 研究堆安全系统一般属于核安全级ClE级),对于风险可忽略的研究堆(例如脉冲堆),安全系统可简化或降级。5. 14. 2 既执行安全动作又执行非安全动作的任何部件或设备都是安全系统的一部分。5. 14. 3 安全系统的所有设备,包括连接件都需标识,标识应明显、易于与其他设备相区别。在具有明显安全系统标志的设备内安装的元件或组件不要求标识。5. 14.4 安全系统的设计文件及其变更都应加以明显的标识。所有
23、安全系统的文件都应保持现行有效。5. 15 对数字化安全系统的要求采用数字化的安全系统应符合GB厅13629、EJ/T529和EJ厅1058的有关规定。a)对系统的要求见GB/T13629: b)对硬件的要求见EJ/T529; c)对软件的要求见盯IT1058。6 质量保证6. 1 对安全系统质量保证大纲的要求应与己批准的该研究堆质量保证大纲相一致。 6. 2 元器件和部件的质量院与其安全重要程度以及安全系统的可靠性目标相一致。如果采用新设计或未经验证的设计,则应进行鉴定并采用专门的质量保证措施。0 EJ/T 603-2005 俨二豆豆“r-安全停堆设备保护系统安全逻锦装置| 过程变量| 椭圆形中的“安全联锁”表示该功能贯穿于整个安全系统中。三角形中的“孚动触发”表示该动作由操纵员完成,下面的虚线箭头表示需要操纵员判断。保护子系统安全监测装置其他子系统注1:注2:反应堆安全系统方框图图16 的CONgd
