1、ICS 2712020F 83 鳕园中华人民共和国国家标准GBT 1328412008代替GB 13284-1998核电厂安全系统第1部分:设计准则The safety systems for nuclear power plants-Part 1:Design criteria20080324发布 20081 I-01实施宰瞀徽紫瓣訾麟瞥星发布中国国家标准化管理委员会促19GBT 1328412008目 次前言一I1范围-12规范性引用文件23术语和定义一24安全系统的设计基准一45安全系统准则66监测指令设备的功能和设计要求97执行装置的功能和设计要求118对动力源的要求12附录A(资料性
2、附录)安全系统范围演变过程的一些基本概念的图解13附录B(资料性附录) 电磁兼容性19附录c(资料性附录)提供附加信息的其他标准22刖 昌GBT 1328412008GBT 13284(核电厂安全系统的预计结构由七部分组成:第1部分:设计准则;第2部分:数字计算机的适用准则;第3部分:整定值;第4部分:定期试验与监测;第5部分:仪表通道响应时间试验;第6部分:仪表通道性能验证方法;第7部分:逻辑装置的特性和检验方法。本部分为GBT 13284的第1部分,对应于IEEE Std 603:1998核电厂安全系统准则(英文版)。本部分与IEEE Std 603:1998的一致性程度为非等效,其主要差
3、异如下:将IEEE Std 603:1998的图2、图3和图4合并为图2;将IEEE Std 603:1998中引用的美国标准改为我国相应的标准;增加了442、443、444。本部分代替GB 13284 1998核电厂安全系统准则。本部分与GB 132841998相比主要有以下变化:第5章中增加了“共因故障准则”;增加了附录B(资料性附录)“电磁兼容性”。本部分的附录A、附录B和附录c都是资料性附录。本部分由国防科学技术工业委员会提出。本部分由核工业标准化研究所归口。本部分起草单位:核工业标准化研究所。本部分主要起草人:高丽艳、牛祝年、肖晨。本部分于1991年11月首次发布,1998年11月第
4、一次修订。1范围核电厂安全系统第1部分:设计准则GBT 1328412008GBT 13284的本部分规定了核电厂安全系统动力源、仪表和控制部分最低限度的功能和设计要求。为了符合本部分的规定,也对安全系统其他部分(见图1)提出了接口要求。本部分适用于为防止或减轻设计基准事件后果、保护公众健康和安全所需要的那些系统。对于保护整个核电厂安全所需的所有与安全有关的系统、构筑物和设备,亦可参照使用。图1本部分的适用范围和接口图2用33矩阵的形式说明本部分的范围,矩阵顶部一行的名称说明安全系统可以分为监测指令设备、执行装置和动力源三个通用单元,它们代表一组设备为很多独立的安全功能提供类似的功能特性。矩阵
5、左边一列的名称说明安全系统可分为反应堆停堆系统和专设安全设施、辅助支持设施及其他辅助设施三个工作单元。监铡指令设备 执行装置 动力源反应堆停堆 过程传癌器 过程控制器 反应堆停堆系统专设安全设施 (动力潭属于辅助系统和专设 信号处理 操纵员操作显示器 停堆断路嚣 电动机、启动嚣 支持设麓或其他辅安全设捕 判断逻辑 行程开关 专设安全设麓 专设安全设麓电 助设施)手动开关 控制电路 断路嚣 动阀门、电磁随专设安全设施桑 辅助支持 室温传盛墨 柴油机启动逻辑 采暖、通风和 空气压缩机和 设施 设备温度传 柴油机加载程序 空调风机、过滤嚣 储气tt 寡器 行程开关 润滑油泵 蓄电池 压力开关和 控制
6、电路 设备冷却幕 柴油发电机组 调节署 斯路器,启动 逆变嚣l 电压互感器 器、电动机 变压器 欠电压继电器 柴油机启动线圈 工作母线G配电盘其他辅助 自动检验设备 行程开关 安全系统隔离装置 蓄电池充电器设旌 和电路 柴油机过热和 非重要负载断路器 变压器旁通和复位 润滑缺油显示器 工作母线电路 手动开关 配电盘电气保护继电器图2表示安全系统的3X 3矩阵GBT 1328412008图2同时给出了矩阵每一部分典型设备的例子,可以看出某些部件根据其用途可能分属于几个部分。注1:根据定义,动力源属于辅助支持设施或其他辅助设施,因此,在图2中没有作为反应堆停堆系统及专设安全设施的一部分。注2:从图
7、2矩阵的一行可以看到一个工作单元可组成一个系统,如厂用水系统;从一列可以看到,该列通用单元表示一组设备,为完成很多独立安全功能提供类似的功能特性(如传感器)。注3:每一个工作单元包括一个或几个通用单元,但不一定包括所有通用单元。注4:属于某一通用单元的设备不限于在一个工作单元中使用。2规范性引用文件下列文件中的条款通过GBT 13284的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包含勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最瓤版本。凡是不注日期的引用文件,其最新版本适用于本部分。GBT 5204核电厂安全
8、系统定期试验与监测(GBT 5204-1994,neq ANSIIEEE 338:1987)GBT 7163核电厂安全系统的可靠性分析要求(GBT 7163-1999,eqv IEEC Std577:1976)GBT 9225核电厂安全系统可靠性分析一般原则(GBT 9225-1999,eqv ANSIIEEC Std352:1987)GBT 12727核电厂 安全系统电气设备质量鉴定(GBT 12727-2002,IEC 60780:1998,MOD)GBT 12788核电厂安全级电力系统准则(GBT 12788-2000,eqv IEEE 308:1991)GBT 12790核电厂安全级电
9、气设备和系统文件标识方法(GBT 12790-1991,IEEE 494:1975,NEQ)GBT 13286核电厂安全级电气设备和电路独立性准则GBT 13626单一故障准则应用于核电厂安全系统GBT 136272核电厂事故监测仪表准则仪表准则GBT 13629核电厂安全系统中数字计算机的适用准则(GBT 13629-1998,eqv IEEE Std7432:1993)EJT 562核安全有关的操纵员动作时间响应设计准则EJT 574核电厂安全级控制仪表盘(屏)和机架的设计与鉴定EJT 797人因工程原则在核电厂系统、设备和设施中的应用EJT 799核电厂安全系统仪表触发整定值的确定和保持
10、HAF 102核动力厂设计安全规定HAD00301核电厂质量保证大纲的制定3术语和定义下列术语和定义适用于GBT 13284的本部分。31可接受的acceptable通过核电厂安全分析证明是满足要求的。32行政管理administrative controls法律、法令、指示、程序、政策、习惯作法授予的权利与职责。2GBT 132841200833分析限值analytical limit根据安全分析确定的被测量或计算量的限值,以保证其不超过安全限值。34相关电路associated circuits非安全级(非1E级)电路,但是和安全级电路没有通过可接受的分隔距离、安全级构筑物、屏障或隔离器件
11、进行实体分隔或电气隔离。35辅助支持设施auxiliary supporting features为安全系统完成其安全功能提供服务(如冷却、润滑和动力)的系统或设备。36通道channeI在核电厂工况需要时,为产生一个单一保护动作信号所需要的元器件和组件的种配置。一个通道在各单一保护动作信号的汇合处终止。37安全级classlE核电厂电气设备和系统的一个安全级别。它们是完成反应堆紧急停堆、安全壳隔离、堆芯冷却以及从安全壳和反应堆排出热量所必需的,或者是防止放射性物质向环境大量排放所必需的。注:“安全级”(1E级)是功能性的术语。设备和系统只有完成本部分列举的功能才能划归安全级;不应根据其他功能
12、将系统或设备定为安全级。38共因故障common-eause failure归因于一个共同原因的多个故障。39部件components组成一个系统的各个独立物项。例如:导线、晶体管、开关、电动机、继电器、电磁线圈、管路、配件、泵、罐、阀门等。310设计基准事件design basis events为确定构筑物、系统和部件可接受的性能要求,在设计中采用的假设始发事件。311可探测故障detectable failures可以通过定期试验鉴别的故障,或通过报警或异常显示发现的故障。在通道级、序列级或系统级测出的部件故障都是可探测故障。注:可判别但不可探测的故障是通过分析来判断的故障,这类故障不能通
13、过定期试验发现,也不能通过报警或异常显示发现。312序列division某一给定系统或设备组的名称,它们能与其他冗余设备组在实体、电气和功能上保持独立。313执行装置execute features由电气设备和机械设备及其连接件组成,接到来自监测指令设备的信号后,执行与安全功能直接或阈接有关的某一功能。执行装置的范围是从监测指令设备的输出端开始,直到并且包括执行装置与过3GBT 1328412008程的耦合处。注1:在某些情况下,保护动作可由直接对过程工况进行响应的执行装置(例如止回阀、自力式卸压阀)完成。注2:执行装置通常包括驱动设备、原动机及被驱动设备。314组件 module构成一个单独
14、的装置、仪表或设备的互相连接的部件组合,一个组件能作为一个单元断开、拆卸和使用备件更换,它有固定的功能特性,可作为一个单元被试验。只要符合此定义,一个组件可以是一台大型装置的一块印制板、一个可抽出的断路器或其他子组件。315动力源power SOUlCe$为产生或转换动力所必需的电气设备、机械设备及其连接件。316保护动作protective action为完成某一安全功能,在监测指令设备内产生一个信号,或是执行装置内设备的运行。317冗余设备或系统redundant equipment or system重复另一设备或系统必要功能达裂如下程度的设备或系统,不管哪一个处于工作或故障状态,另一个
15、均能完成要求的功能。实现冗余可采用相同设备、设备的多样性或功能的多样性。318安全功能safety function为了把核电厂参数保持在按设计基准事件确定的可接受的限值内,所必需的一种过程或状态(例如应急负反应性引入、事故后热量排出、应急堆芯冷却、事故后放射性物质清除和安全壳隔离)。注:完成某一安全功能是反应堆停堆系统和辅助支持设施完成所有必需的保护动作,或者是专设安全设施和辅助支持设施完成所有必需的保护动作,或者由两者共同实现(参见附录A)。319安全组safety group某一假设始发事件发生时,能完成其要求的安全功能的一组最少量的部件、组件和设备组合。一个安全组包括一个或多个序列(参
16、见附录A)。320安全系统safety system与安全有重要关系的系统,用于在任何工况下保证反应堆安全停堆、从堆芯排出热量或限制预计运行事件和事故工况的后果。安全系统执行安全功能,其电气部分属于安全级(1E级)。321监测指令设备sense and command features产生与安全功能直接或间接有关的信号的电气和机械设备及其连接件,其范围是从被测过程变量开始,直到执行装置输入端为止。4安全系统的设计基准对核电厂每个安全系统的设计都应规定具体的基准,根据需要,设计基准还可用于确定安全系统及其设计变更的正确性。设计基准应符合HAFl02的规定,至少应按下列内容形成文件。41适用于核电
17、厂每种运行方式的设计基准事件,以及对应每一事件的核电厂工况的初始条件和允许限值。42对应每个设计基准事件的安全功能和执行装置的相应保护动作。4GBT 132841200843对所提供的每种运行旁通能力的允许条件。44对42规定的每个保护动作应给出如下数据:441为确保保护动作的正确完成,需要监测的变量、变量组或两者之和(监测的目的是为了手动、自动或以两种方式控制每一保护动作)、与每个变量有关的分析限值和范围(包括正常、异常和事故工况)以及这些受控变量的变化率。442适用于每一被测变量或变量组的安全限值(见图3中曲线A)。443对47和48所述情况适当组合时的最低性能要求:a) 每种变量或变量组
18、的分析限值(见图3中曲线B);b) 由于仪表的不准确度、校准的不确定度和误差而需给出的增量(见图3中增量c);c)在核电厂安全分析中确定分析限值所用的安全系统总响应时间。应提供证据以证明由于仪表的不准确度、校准的不确定度、误差和时间响应所用的假定值是可以接受的和合理的。444为了考虑各次校准和验证试验的时间间隔之内的漂移,给出分析限值和保护动作整定值(见图3中曲线D)之间的增量(觅图3中增量E)。应提供证据证明对仪表漂移所用的假定值是可以接受的和合理的。变量Y(倒如口温度)A安全限值,表示安全状态的限值;B分析限值,表示任何时候都可能存在的限制性最少的整定值;c考虑校准误差、仪表准确度和瞬态超
19、调量的容差(它可能是变量z或变量,或两者的函数);D保护动作整定值,设置在此值时可确保漂移不会使整定值超过整定点的允许值B。E考虑仪器和整定值漂移的容差(它可能是变量z或变量,或两者的函数)。图3安全系统整定值与安全状态限值的关系45对可以手动触发或触发后可以手动控制的42规定的保护动作应符合以下要求(详见日T 562):a) 允许手动控制的时刻与核电厂工况;b)允许只用手动触发或触发后只用手动控制的理由;c)操纵员应在正常、异常和事故工况期间进行手动操作时的环境条件范围;d)为了便于手动操作,应向操纵员显示的变量(见441)。46对于441所述变量中的空间相关变量(即在某特定区域内变量是位置
20、的函数),为保护目的所需要的传感器的最小数量和位置。47在安全系统应工作的正常、异常和事故工况期间,动力源、控制电源和环境条件(如电压、频率、辐射、温度、湿度、压力、振动和电磁干扰)的稳态及瞬态变化范围。对电磁干扰的有关信息参见附录B。6BT 132841200848可能引起安全系统功能劣化的情况(如飞射物、管道破裂、火灾、失去通风、消防系统误动作、操纵员差错、非安全有关系统中的故障),以及针对这些情况为保持安全系统完成安全功能的能力而应采取的预防措施。49为确定安全系统设计的可靠性适合于每个安全系统设计以及适合于对系统设计提出的任何定性或定量可靠性目标所采用的方法。410某一设计基准事件发生
21、后的关键时刻或核电厂工况,包括:a) 应触发安全系统保护动作的时刻或核电厂工况;b)确定安全功能正确完成的时刻或核电厂工况;c) 需要自动控制保护动作的时刻或核电厂工况;d)允许安全系统恢复正常的时刻或核电厂工况。41 1 阻止安全系统执行其安全功能的设备保护装置。412可能对安全系统设计提出的其他特殊的设计基准(例如多样性、联锁、管理规定)。5安全系统准则安全系统应准确、可靠地把核电厂参数保持在可接受的限值之内,这些限值是按相应的设计基准事件规定的。每个安全系统的动力源、仪表和控制部分都应由一个以上的安全组组成,其中任何一个安全组都能完成该系统的安全功能(参见附录A)。51单一故障准则安全系
22、统在下列情况下应完成某一设计基准事件需要的全部安全功能:a)安全系统内存在单一可探测故障,同时存在可判别但不可探测的故障;b) 由上述单一故障引起的所有故障;c) 导致需要执行安全功能的设计基准事件或由这种事件引起的所有故障和系统误动作。在要求安全系统执行安全功能的设计基准事件之前或期间的任何时间都可能发生单一故障。不管安全系统的控制是手动的还是自动的,单一故障准则都适用于安全系统,详见GBT 13626。对于数字计算机的共因故障要求见GBT 13629。本部分并不要求在一个安全组内使用符合逻辑(或多通道),但根据其他标准要求,或者为使核电厂的可用性或可靠性达到最高也可以采用符合逻辑。在其他标
23、准中已进行过评价并形成文件,证明某些流体系统中的故障可不遵守单一故障准则(参见附录c的c3)。可以对安全系统进行概率评价,证明使用单一故障准则时不必考虑某些假想故障。概率评价的目的在于排除对不可信的事件和故障的考虑,但不能代替单一故障准则。可靠性分析的指导见GBT 7163和GBT 9225。如果有合理的证据,表明一个安全系统的设计符合单一故障准则,但可能不满足49规定的所有可靠性要求时,就应对该系统进行概率评价,评价应不限于只考虑单一故障。如果评价表明不满足设计基准的要求,则应采取设计措施改进设计或校正修改,以保证该系统满足规定的可靠性要求。52保护动作的完成安全系统应设计成一旦被自动或手动
24、触发,执行装置就能按预定程序完成全部安全动作;只有操纵员有意识地操作才能使安全系统恢复到正常状态。这一要求不应妨碍使用设计基准411规定的设备保护措施或操纵员有意识的干预措施。对各个通道不要求自保持。53质量部件和组件的质量应符合维修最少和故障率低的要求,优先选用可预计故障模式(拒动或误动)的设备。安全系统设备应按规定的质量保证大纲进行设计、制造、检查、安装、试验、运行和维修(见HAD00301)。对于采用数字计算机和程序或固件的安全系统,应用这些准则的指导详见GBT 13629。6GBT 132841200854设备质量鉴定对安全系统设备应采用型式试验、以往的运行经验、分析或这三种方法的任意
25、组合进行质量鉴定,证实它能满足设计基准规定的性能要求。安全级(1E级)电气设备的质量鉴定应满足GBT 12727的要求。对于采用数字计算机和程序或固件的安全系统,应用这些准则的指导详见GBT 13629。55系统的完整性设计的安全系统应在设计基准中列举的所有适用工况下都能完成其安全功能。对于采用数字计算机和程序或固件的安全系统,应用这些准则的指导详见GBT 13629。56独立性561安全系统内部各冗余部分之间对于提供某一安全功能的安全系统,其内部各冗余部分彼此之间应独立且实体分隔到必要程度,以便在需要这一安全功能的设计基准事件期间和事件后,能保持完成该安全功能的能力。562安全系统与设计基准
26、事件影响之间为缓解某一特定设计基准事件后果所需的安全系统设备,应与该设计基准事件的影响独立且实体分隔到必要程度,以保持满足本部分要求的能力。按54规定进行设备质量鉴定是满足这一要求的一种可用方法。563安全系统与其他系统之间安全系统应设计成其他系统存在的可信故障或其他系统动作引起的可信故障(例如设计基准48所列的可信故障)不应妨碍安全系统满足本部分的要求。5631接口设备接口设备应:a)分级:用于安全和非安全两种功能的设备应属于安全系统,用于安全系统边界的隔离装置也应属于该安全系统;b)隔离:一个隔离装置非安全侧的任何可信故障,不得妨碍安全系统任何部分在需要执行安全功能的设计基准事件期间或事件
27、后满足其最低性能要求。隔离装置的故障应与安全系统其他设备的故障一样进行评价。5632邻近的设备邻近的设备应:a)分隔:其他系统在实体上靠近安全系统设备,但不是相关电路也不是另一安全级电路的设备,应与安全系统的设备实体分隔到必要程度,以便在非安全级设备故障时安全系统仍能保持完成其安全功能的能力。实现实体分隔可以采用实体屏障或可以接受的分隔距离,或两者组合。安全级电气设备的分隔应符合GBT 13286的规定;b)屏障:对某一安全系统起边界作用的实体屏障,应在设计基准47和48规定的使用条件下满足5355的要求。5633单一随机故障的影响在非安全系统中的单一随机故障可能引起某一设计基准事件,同时又妨
28、碍安全系统对该事件进行保护的那部分正确动作时,该安全系统的其余部分即使由于另外独立的单一故障引起性能劣化,也应具有完成这个安全功能的能力。对这一要求的应用指导详见GBT 13626。564详细准则安全级(1E级)电气设备和电路独立性准则详见GBT 13286。对于这些准则应用于互连计算机数据处理功能的分隔和隔离的指导详见GBT 13629。57试验和校准能力在保持安全系统执行其安全功能能力的同时,应在功率运行期间提供对其设备进行试验和校准的能力,并且应尽可能接近实际地再现安全功能的特性。安全系统的试验应符合GBT 5204的规定。在7GBT 1328412008不提供试验和校准能力对核电厂的安
29、全或可用性也没有不利影响的情况下,允许在功率运行期间不进行试验和校准,在这种情况下:a) 应提出合适的理由(例如证明不存在切实可行的设计方案);b)应证明设备运行具有可接受的可靠性;c)应在核电厂停运期间提供试验和校准的能力。58信息显示581用于手动控制操作的显示对于没有自动控制又是安全系统完成其安全功能所必需的手动控制操作,为其提供信息的显示仪表应是安全系统的一部分,并且应满足对核电厂事故监测仪表的要求,见GBT 136272。显示仪表的设计应使可能引起操纵员混淆的不明确显示减到最少。582系统状态显示显示仪表应提供有关安全系统状态的准确、完整和及时的信息。这些信息应包括监测指令设备和执行
30、装置保护动作的显示和识别。显示的设计应将不明确显示的可能性减到最少,以免操纵员混淆。为安全系统状态显示提供的仪表不必是安全系统的一部分。583旁通的显示如果安全系统某个部分的保护动作因为运行旁通以外的目的而被旁通或处于不工作状态,就应在控制室连续显示每一个受影响的安全组的情况。5831这种显示仪表不必是安全系统的一部分。5832如果上述旁通和不工作状态预期每年出现一次以上,并且预期在要求受影响的系统工作时出现,那末这种显示应自动产生。5833在控制室内应具备手动触发这种显示的能力。584位置信息显示装置应位于操纵员能接近的地方。为手动控制保护动作提供的信息显示,应在进行相应操作的控制设备处能看
31、得见。59接近控制安全系统的设计应对接近安全系统设备能实施行政管理,行政控制应得到安全系统内部措施、核电厂设计措施或两者的支持。510维护设计安全系统应易于对故障设备及时识别、定位、更换、修理和调整。511标识为了保证本部分规定的要求能在核电厂的设计、建造、维修和运行期间应用,应满足下列要求:a)对安全系统的设备,应清楚地标识各个冗余部分,标识应符合GBT 13286和EJT 574的规定;b) 在已清楚标识的安全系统某一冗余部分安装的设备或组件,其内部的部件或组件本身不再要求标识;c)安全系统设备的标识应与设备上用于其他目的而设置的标志(如消防设备标志、动力电缆的相位标志)分辨开;d) 安全
32、系统设备及其序列划分的标识不得要求频繁引用参考资料;e)有关文件应按GBT 12790的规定清晰标识;f)计算机程序和软件的版本应按GBT 13629的规定清晰标识。512辅助设施5121 辅助支持设施应满足本部分的所有要求。5122其他辅助设施执行的功能不是安全系统完成其安全功能所必需的,由于相关(即与安全系统没8GBT 1328412008有隔离)而成为安全系统的一部分,其设计应满足一些必要的准则,以保证这些系统的部件、设备和系统本身不会使安全系统的性能劣化到可接受的水平以下。其他辅助设施的例子见图2。附录A给出应用本部分的一些说明。513多机组核电厂在多机组核电厂中,只要在所有机组中同时
33、执行所需安全功能的能力不受损害,则允许机组之间共用构筑物、系统和设备。机组间共用电力系统的要求见GBT 12788,单一故障准则用于共用系统的指导见GBT 13626。514人因工程考虑在设计的开始阶段和设计全过程中,应按EJT 797的规定考虑人因工程,以保证分配给操纵员和维护人员的整体功能和每部分功能都能成功地完成,实现安全系统的设计目标。515可靠性对于已经定量或定性地规定了可靠性目标的安全系统,应进行适当的设计分析,以便证实已经实现了可靠性目标。对可靠性分析的指导见GBT 7163和GBT 9225。采用数字计算机和程序或固件的安全系统设备,本部分的应用指导详见GBT 13629。51
34、6共因故障准则对存在单一共因故障的每一个设计基准事件,电厂参数应维持在规定的可接受限值内(见GBT 13626)。应对软件,包括采用手动操作和非安全相关系统和(或)部件的共因故障进行工程评价,以便提供实现功能的手段,否则该功能将因共因故障而失效,对此GBT 13629给出了指导。6监测指令设备的功能和设计要求除了第5章规定的功能和设计要求以外,监测指令设备还应满足以下(6168)要求。61 自动控制除了45判定的情况以外,对所有保护动作都应提供自动触发和控制的手段,安全系统的设计应在每一设计基准事件发生之后,在45规定的时刻与规定的核电厂工况出现之前,不需要操纵员采取任何操作。在选择安全系统设
35、计方案时,对45所述保护动作也可以提供自动触发和控制的手段。62手动控制62,1应在控制室中对自动触发的序列级保护动作提供手动触发的方法,手动方法应使操纵员的随机操作次数减到最少,并且在符合561规定的前提下使用的设备最少。622应在控制室对45鉴别的并且没有按61选为自动控制的保护动作提供手动触发和控制的方法。为这些动作提供的显示应符合581的规定。623按410的规定完成保护动作以后,应提供保持安全状态所必需的手动操作方法。给操纵员提供的信息、要求操纵员采取的动作以及有关的显示与控制设备的数量和位置,应与要求完成这些动作的时间和能参与操作的合格操纵员的数目相适应。上述的显示和控制设备应安装
36、在操纵员可以接近的地方和适于操纵员工作的环境中,其布置应适合操纵员的监视和操作。63监测指令设备与其他系统之间的相互作用631要求单一可信事件及其直接后果和继发后果可能引起一个非安全系统动作,该动作又可能导致需要保护动作的某种工况,与此同时又可能妨碍对这种工况提供主要保护的那些监测指令设备通道中的保护动作,此时应满足下述任一要求。6311应提供不会由该单一事件引起故障的备用通道,以便探测该事件并将其后果限制在设计基准规定的限值之内。备用通道应从下列通道中选择:a)监测的变量组与主通道不同的通道;b)监测同样变量但所用设备与主通道不同的通道;9GBT 1328412008c)监测的变量组与主通道
37、不同,所用设备与主通道也不同的通道;d) 主通道和备用通道都应是监测指令设备的一部分。6312应提供不会由该单一可信事件引起故障的设备,以便探测该事件并将其后果限制在设计基准规定的限值之内。应认为这样的设备是安全系统的一部分。631的解释见图4。图4本部分631的图解632措施如果某一通道处于维修旁通状态,则应采取措施以便能同时满足831和67的要求。采取的措施包括降低符合度的要求,使取自冗余通道的非安全系统信号无效,或者由被旁通的通道触发一个保护动作。64系统输入只要实际可行,监测指令设备的输入应是变量的直接测量信号,这些变量是在设计基准中规定的。65试验和校准能力651检查运行的可用性在反
38、应堆运行期间应提供具有高置信度的方法,用于检查安全功能所需的监测指令设备的每个传感器的可用性。有多种方法可以实现这一要求,例如:a)扰动被测变量;b)在86限定的范围内,适用时向传感器引入一个与被测变量性质相同的替代信号并使其变化;c)通道间的交叉检查,但这些通道的相互关系要已经知道并且有合适的读出设备。652保证运行的可用性对于事故后一段时间内需要工作的每个监测指令设备,都应提供下述方法之一来保证其运行可用性:a) 采用651所述方法检查传感器的运行可用性;1 0GBT 1328412008b)确定设备在事故后一段时间内是稳定的,并且确定保持其校准能力的时间段。66运行旁通无论何时,只要不满
39、足允许的应用条件,安全系统就应自动防止运行旁通,或触发适宜的安全功能。如果核电厂工况的变化使得已经实施的运行旁通不再是允许的,安全系统就应自动完成下述动作中的一个:a)撤销相应的现行运行旁通;b)使核电厂恢复原来的工况,以便再次出现允许运行旁通的条件;c)触发适宜的安全功能。67维修旁通在监测指令设备处于维修旁通状态时,安全系统应保持完成其安全功能的能力。在维修旁通期间,监测指令设备应继续满足51和63的要求。注:在维修旁通期间,对于不能满足51和63要求的部分监测指令设备,应证明设备运行具有可接受的可靠性(例如,为了维修旁通而允许退出运行的时间足够短,或者采取附加措施,或者两者均备,从而对整
40、个监测指令设备的可用性没有明显的有害影响)。68整定值681应采用形成文件的方法确定44中规定的过程分析限值和设备整定值之间不确定度的容差,见EJx 799。682在需要对特定的一种运行方式或一组运行条件的充分保护提供多重整定值时,设计中应提供有效的方法,保证在需要时采用限制性更多的整定值。防止误用限制性较少的整定值的装置,应是监测指令设备的一部分。7执行装置的功能和设计要求除了第5章提出的功能和设计要求以外,执行装置还应满足7175的要求。71 自动控制执行装置应能接受监测指令设备的自动控制信号,并且按信号完成符合设计基准44规定的动作。72手动控制如果对执行装置中任一执行部件提供手动控制,
41、那么为完成这种手动控制在执行装置中增加的设计措施不应违反51和62的要求。执行装置应能接受监测指令设备的手动控制信号,并且按信号完成符合设计基准规定的动作。73保护动作的完成执行装置的设计应是一经触发,就应完成其保护动作。这一要求不应排除使用设计基准411规定的设备保护装置,也不应排除操纵员有意识干预的措施。当监测指令设备恢复正常时,执行装置不应自动恢复正常,需要操纵员有意识的独立操作才能恢复正常。在最初的保护动作完成以后,执行装置可以要求手动或自动(即周期性的)控制特定的设备,以继续完成安全功能。74运行旁通无论何时,只要不满足允许的应用条件,安全系统就应自动防止运行旁通,或触发适宜的安全功
42、能。如果核电厂工况的变化使得已经实施的运行旁通不再是允许的,安全系统就应自动完成下述动作之一:a)撤销相应的现行运行旁通;b)使核电厂恢复原来的工况,以便再次出现允许运行旁通的条件;c)触发适宜的安全功能。75维修旁通当执行装置的设备处于维修旁通状态时,安全系统应保持完成其安全功能的能力。执行装置中冗余度为一(即二取一、三取二或四取三等)的那部分应设计成,其中一部分处于维修旁通时(即将其冗余】1GBT 1328412008度暂时降为零,使其成为一取一、二取二或三取三等),其余部分应能提供可接受的可靠性。8对动力源的要求81 电源为安全系统供电的那部分电源(属于安全级)应符合本部分的规定,并且是
43、安全系统的一部分。其具体要求见GBT 12788。82非电气动力源为安全系统提供动力的非电气动力源,例如控制用空气系统、瓶装压缩气系统和液压系统,是安全系统的一部分,应按本部分的规定提供动力,但是其设计准则不属于本部分的范围。83维修旁通当动力源处于维修旁通状态时,安全系统应保持完成其安全功能的能力。动力源中冗余度为一的那部分应设计成,其中一部分处于维修旁通时(即暂时将其冗余度降为零),其余部分应能提供可接受的可靠性。附录A(资料性附录)安全系统范围演变过程的一些基本概念的图解GBT 1328412008A1 目的本附录的目的是利用安全系统范围演变过程中的一些基本概念,更好地理解和应用本部分。
44、A2安全功能安全系统范围演变过程的最基本和最明显的起点就是鉴别一项安全功能的范围。从任一典型事故分析中都可看到,为了缓解某些设计基准事件的后果,可能需要一个以上的安全功能。图A1以非常简单的形式解释了失水事故(LOCA)这一特定设计基准事件所需的安全功能,这些安全功能包括(但不限于):a)应急负反应性引入;b)应急堆芯冷却;c)事故后放射性清除;d)安全壳隔离;e)事故后热量排出。A3典型安全系统范围的阐述根据定义,一个安全系统应包括实现某个安全功能所需的全部设备。用应急堆芯冷却功能来图解一个典型的安全系统。图A2是一个典型的安全系统方框图,图A3是这个方框图转变成提供应急堆芯冷却所需具体设备
45、的图。图A4至图A8是对安全系统的一个序列,用流程图和单线格式,以逐个增加设备的方式组成应急堆芯冷却系统。从图A4的裸堆开始,图A5加上了应急堆芯冷却系统(ECCS)的监测指令设备;图A6加上了应急堆芯冷却系统的执行装置,即应急堆芯冷却系统的泵、热交换器、贮水箱、阀门、管线、仪表和控制器,从而构成这个安全系统的专设安全设施部分;图A7增加了一部分辅助支持设施,具体是厂用水、设备冷却水(CLCW)和采暖通风及空调系统;图A8增加了其余的辅助支持设施,即安全级(1E级)电源而构成了该安全系统的一个完整序列。A4安全组安全组是能够完成某一安全功能的一组数量最少的互相连接的部件、组件和设备。在每个序列
46、都能完成安全功能的设计中,一个序列就是一个安全组,如图A9所示。但是在一个安全系统的设计有3个能力为50的序列时,就有三个安全组,为了完成某一安全功能,每个安全组要求三个序列中有任两个序列(三取二)工作,这时安全组按图A10中的逻辑来分开。根据58的要求,为了识别安全组的状态,显示系统中应包括这种逻辑的显示。A5其他辅助设施绝大多数安全系统的设计都包括一些部件、设备和系统,它们的主要作用不是直接执行安全功能而是增加安全系统的可用性或可靠性。这些部件、设备和系统包括(但不限于)设备保护装置、内装式检验设备、隔离装置等,如图A2所示。正如512所述,安全系统中的这些部分只需满足本部分的部分要求,即保证它们不会使安全系统的性能降低到可接受的水平以下,它们可不必满足的安全系统准则的例13GBT 1328412008子如运行旁通、维修旁通和旁通显示。为了解释这些准则的应用,以安全级(1E级)电力系统继电保护为例。继电保护的一个功能是增加安全级电力系统的可用性和可靠性,但是从安全系统的观点出发,关键的功能是在需要安全系统工作时不引起误脱扣,所以实现这个关键功能就是本部分规定的准则。增加安全级电力系统可靠性和可用性的功能要求见GBT 12788。事敲后放射性物质清除:从安全壳大气里靖躲藏射性物质安全壳隔离:肪止放射性物质捧放到周围环境中去亲蓑莘蓄鬈嚣崔物质释放燃料中的放
