1、ICS 2712020F 83 圆雪中华人民共和国国家标准GBT 1 3626-2008代替GBT 13626-2001单一故障准则应用于核电厂安全系统2008-07-18发布Application of the single failurecriterion to safety systems in nuclear power plant2009-04-0 1实施宰瞀鹳鬻瓣警矬瞥星发布中国国家标准化管理委员会覆111刖 罱GBT 1 3626-2008本标准修改采用IEEE Std 379-2000单一故障准则应用于核电厂安全系统(英文版)。本标准根据IEEE Std 379 2000重新起
2、草,与IEEE Std 3792000的技术性差异为:IEEE Std 3792000引用的其他国际标准中有被修改采用为我国标准的,本标准用引用我国标准代替国外标准;删除了“保护系统”的术语和定义。为便于使用,本标准还做了下列编辑性修改:“本IEEE Std”一词改为“本标准”;删除了IEEE的前言。本标准代替GBT 13626-2001单一故障准则应用于核电厂安全系统。本标准与GBT 13626-2001相比主要有以下变化:引用标准增加了GBT 13629;在“3术语和定义”中进行了修改;与安全系统耦合的其他系统明确为非安全系统及其他安全系统(631);删除了“安全执行系统”术语和定义;修改
3、了“安全系统”定义中的“注”;删除了“单一故障”标题及其相关内容(54);补充了“共因故障”中对外部环境影响条件,并增加了防范共因故障措施的内容(55);故障例子中取消了“高阻抗短接到地,热短路”(615);将62i的标题改为“冗余通道间相互联接”。本标准由中国核工业集团公司提出。本标准由全国核仪器仪表标准化技术委员会归口。本标准起草单位:中国核电工程有限公司。本标准主要起草人:奚绍黄,陈日罡。本标准所代替标准的历次版本发布情况为:GB 13626-1992,GBT 13626-2001。单一故障准则应用于核电厂安全系统GBT 13626-20081范围本标准规定了单一故障准则应用于核电厂安全
4、系统的电源、仪表和控制部分的一般原则和要求。本标准阐明单一故障准则,探讨各类故障,指导安全系统如何应用单一故障准则并提出了一个可接受的单一故障分析方法。本标准不规定哪些系统服从单一故障准则。本标准适用于核电厂安全系统。本标准的应用应与GB 132841 2008的要求及规定的单一故障准则一致。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GBT 7163核电厂安全系统的可靠
5、性分析要求GBT 9225-1995核电厂安全系统可靠性分析一般原则GBT 12788核电厂安全级电力系统准则GBT 1328412008核电厂安全系统第1部分:设计准则GBT 13286核电厂安全级电气设备和电路独立性准则GBT 13629核电厂安全系统中数字计算机的适用准则3术语和定义下列术语和定义适用于本标准。31故障(失效)failure某物项丧失规定的功能。32可探测故障detectable failure通过定期试验发现的故障或由报警、异常指示揭示的故障。在通道级、序列级或系统级探测到的部件故障是可探测故障。注:可判明的但不可探测的故障是那些不能通过定期试验发现或不能由报警、异常指
6、示揭示的,但由分析判明的故障。33定期试验periodic test按计划的时间间隔,为探测故障和证实可运行性所进行的试验。34共因故障COllLrnon cause failure由一个公共原因引起的多重故障。】GBJT 13626-200835设计基准事件design basis events为确定构筑物、系统和部件可接受的性能要求,在设计中采用的假设始发事件。36驱动设备actuation device,actuator直接控制执行装置原动力(电力、压缩空气、液压流等)的部件或一些部件的集合,例如电路断路器、继电器和先导阀等。37执行装置actuated equipment用来完成一个保
7、护动作的原动机和被驱动设备的组合。注:原动机的侧子有汽轮机和电磁线圈。被驱动设备的例子有控制棒、泵和阀门。38辅助支持设施auxiliary supporting features为安全系统完成其安全功能提供诸如冷却、润滑和动力服务的系统或设备。39安全系统safety system与安全有重要关系的系统,用于在任何工况下保证反应堆安全停堆、从堆芯排出热量和(或)限制预计运行事件和事故工况的后果。注:为完成安全功能的安全系统的电气部分属安全级(IE级)。310执行设施execute features由电气设备和机械设备及其连接件组成,接到来自监测指令设施的信号后,执行与安全功能直接或间接有关的
8、某一功能。执行设施的范围从监测指令设施的输出端开始直到并且包括执行装置与过程的耦合处。311监测指令设施sense and command features产生与安全功能直接或间接有关的信号的电气和机械设备及其连接件。其范围是从被测过程变量开始直到执行设施输入端为止。312安全组safety group能完成某一安全功能的一组最少量部件、组件和设备的组合。313安全功能safety function为了把核电厂参数保持在按设计基准事件确定的可接受的限值内所必需的一种过程或条件(例如应急负反应性引入、事故后热量排出、应急堆芯冷却、事故后放射性物质清除和安全壳隔离)。注;完成某一安全功能是由反应堆
9、停堆系统和辅助支持设施、或者是由专设安全设施和辅助支持设施、或者是由两者完成所有必需的保护动作来实现的。314保护动作protection action为完成某一安全功能在监测指令设施内产生一个信号或触发执行设施内设备的运行。315通道channel在核电厂工况需要时,为产生一个单一保护动作信号需要的元器件和组件的一种配置。一个通道的边界在单一保护动作信号的汇合处。2GBT 13626-2008316冗余设备或系统redundant equipment or system功能相同的两个或两个以上的设备或系统,其中任何一个都可以完成要求的功能,而与其他设备或系统是否处于正常状态无关。注:可通过相
10、同的设备、设备多样性或功能多样性来实现冗余。317共享系统shared systems在多机组电厂内,能为一个以上机组完成功能的构筑物、系统和部件。共享包括下述含意:a)系统同时由两个机组共享;b)时间序列共享,或者说,按照事件序列在不同时间由两个机组共享;c)系统在某一给定时问仅由一个机组使用,但它可按指令从该机组断开由另一机组使用。318系统逻辑system togic监测两个或两个以上通道的输出并按预定的组合规则(如三取二、四取二等)给出信号的设备。4单一故障准则对某一设计基准事件,并同时存在下述情况时,安全系统应有能力完成全部要求的安全功能:a)在安全系统内存在任何单一可探测故障,并同
11、时存在所有可判别的但不可探测的故障;b) 由单一故障引起的所有故障;c)导致要求安全功能的设计基准事件或由设计基准事件引起的所有故障和误动作。单一故障可能出现在要求安全系统动作的设计基准事件之前或设计基准事件期间的任何时间。5要求在单一故障准则应用于安全系统设计时,应考虑满足5156的有关要求,其中有些条件是隐含的。51独立性和冗余性独立性原则是有效应用单一故障准则的基础。安全系统的设计应使某一部件的单一故障不影响任一独立的与其冗余的部件或系统的正确运行。52不可探测的故障单一故障准则应用隐含了故障的可探测性。可探测性是系统设计和规定试验的功能之一。不能由定期试验发现或不能由报警、异常指示揭示
12、的故障是不可探测的故障。安全系统分析目的之一是判别不可探测故障。当判别了不可探测故障,应采取下列措施:a)优先采取的措施是重新设计系统或重新制定试验方案以使故障成为可探测的;b) 另一可采取的措施是在分析每个单一故障的影响时,假定已存在了所有已判定的不可探测故障。53级联故障当有理由认为系统中的一些附加故障是由于任一来源的(机械的、电气的或环境的)单一故障引起时,则应把这些级联故障统一考虑为单一故障。54设计基准事件导致需要安全功能的设计基准事件可引起系统部件、组件或通道故障。为了预防由设计基准事件引起的故障,系统的设计、质量鉴定和安装应避免这类预期故障。当分析表明设计基准事件将导致安全系统的
13、部件、组件或通道故障时,则应把这些故障考虑为该设计基准事件的后果。3GBT 1 3626-200855共因故障当进行单一故障分析时,应把某些共因故障考虑为单一故障。这些故障可能存在于不同的都件,并有不同的故障模式。53和54已分别讨论了来自级联故障和设计基准事件的故障。它们应包括在单一故障分析中。不属于单一故障分析范围的共因故障包括:可能由外部环境(如电压、频率、辐射、温度、湿度、压力、振动和电磁干扰)、设计缺陷、制造错误、维修错误和运行错误引起的故障。设计鉴定和质量保证程序是为了防范外部环境影响、设计缺陷和制造错误。人员培训、正确的控制室设计和运行、维修、监督规程是用来防范维修和运行人员错误
14、的。另外,宜采取措施来应对共因故障。技术措施的例子是详细的纵深防御研究、故障模式和后果分析以及异常工况或事件的分析。可采用诸如多样性和纵深防御等设计技术来防范共因故障。在GBT 13629中提供了应用多样性来防范数字计算机中共因故障的指导。56共享系统适用于有共享系统的机组的单一故障准则如下:a)假设在共享系统内或在与共享系统接口的辅助支持设施或其它系统内存在一个单一故障,则所有机组的安全系统都应有能力完成其所要求的安全功能;b)在每一机组未共享的系统内同时存在一个单一故障时,每一机组的安全系统都应有能力完成其所要求的功能。设计应保证在一个机组内的单一故障不影响(不扩展到)另一机组,从而不妨碍
15、共享系统完成其要求的安全功能。在单一故障分析时,不必要同时考虑a)和b)的故障,即对电厂进行单一故障分析,论证满足准则a),然后重复单一故障分析论证满足准则b)。6单一故障的设计分析应系统地对设计进行分析,以确定是否存在违反单一故障准则的情况。本章将对进行单一故障分析给予指导。本章所建议的方法是一种可接受的分析系统的方法,但不是唯一的方法。进行单一故障分析的其他步骤见GBT 9225-:1999第5章。61步骤按下述步骤对每个设计基准事件进行系统的分析。611应确定要进行分析的安全功能(例如降功率、安全壳隔离、堆芯冷却等)。612应确定用以完成安全功能的系统级保护动作(例如快速插入控制棒、关闭
16、安全壳隔离阀、安全注入、堆芯喷淋等)。613应确定足以满足所要求安全功能的安全组。例如两个堆芯喷淋子系统或一个堆芯喷淋子系统和两个低压冷却荆注入子系统都足以冷却堆芯。614应验证在613所确定的安全组的独立性,即通过检查至少有两个安全组,这些安全组没有共享设备或易损点(例如其位置和布置低于可接受实体分隔要求的继电器、开关装置、母线、电源等)来验证独立性。一旦确立了独立性,就证明了存在完成安全功能的冗余能力,就不需要为满足单一故障准则去进一步考虑存在于冗余部分内的潜在故障。注:在某些情况下不能程容易地确立独立性(如冗余通道或冗余序列汇集在一起的三取二结构的系统),而在另一些情况下较容易地确立独立
17、性(如冗余通道或冗余序列不汇集在一起的二取一结构的系统),对此。进一步指导见621和622。615对独立性不易被证明的系统或系统的某些部分,应进行潜在故障的系统性研究以确保不违反单一故障准则。故障例子有短路、开路、接地、交流或直流低电压以及那些由引入的可信最大交流或直流电势引起的或其后果的故障。4GBT 13626-2008应考虑电气的、机械的和系统逻辑的故障。一个部件可能有不同的故障模式,应对每一种模式进行单独的分析。应分析安全设备的位置和布置以确定共因故障的影响。62系统某些特定部分的分析当进行单一故障分析时,安全系统的某些部分可能要求一些特殊考虑,621-625列出这些部分应用单一故障准
18、则时可能关注的几个方面和要求。621 冗余通道间相互联接冗余通道间的相互联接(通过数据记录仪和试验电路等装置)是可能丧失独立性的区域。应分析这些相互联接部分以保证单一故障不会导致丧失安全功能。对那些可能导致丧失安全功能的单一故障,应分析冗余通道的隔离措施。622系统逻辑在单一故障分析中,系统逻辑的分析特别重要,因为冗余通道和冗余的驱动电路在这里汇集。分析应证明在系统逻辑中的单一故障不会在通道或驱动电路中引起可能导致安全功能丧失的故障。623驱动设备为了确保单一故障不引起安全功能的丧失,应分析按失电时以最可能的失效模式所设计的驱动设备,例如应分析使驱动设备端不能断开电源或引起妨碍移动到优先位置的
19、机械粘结故障。应分析那些在要求保护动作时接人动力源的驱动设备,以确保单一的开路、短路或失去动力源不会导致丧失安全功能。应从可能影响系统能力的故障出发,对整个驱动器系统(可能包含气动、机械、电气、和液压部件)进行分析,以满足单一故障准则。应特别注意要保证驱动设备机械部件的故障不引起冗余设备的电气故障,电气故障也不引起冗余设备的机械故障。624电源电源有可能以几种方式引起安全功能的丧失,例如电源故障引起的高压可能导致冗余通道的故障(如晶体管故障),低压可能导致丧失冗余通道,电源的频率和波形的变化可能引起冗余通道整定值的漂移。单一故障分析应包括整个电源系统,包括可卸去非主要负荷的装置。有关这方面的进
20、一步指导见GBT 12788。625辅助支持设施任何为应用单一故障准则的安全系统的正常运行所需要的辅助支持设施,应作为它支持的系统的一部分被包括在单一故障分析中。例如当安全系统的一部分和保持受控环境相关时,除非能证明环境系统故障不会导致丧失所要求的安全功能,否则环境系统的故障就可能成为违反单一故障准则的潜在原因。如果辅助支持设施的设计不满足单一故障准则,则不管是否丧失辅助支持设施,均应确保完成所要求安全功能的能力。626仪表管路连接传感器和工艺系统的管路(例如平衡容器、平衡阀和隔离阀等)应包括在单一故障分析内。63其他考虑631 与安全系统耦合的其他系统应检查以某种方式与应用单一故障准则的安全
21、系统耦合的所有非安全系统(如非安全级的试验电路)或其他安全系统(如其他通道),以确定在这些系统内的任何故障是否能使安全系统劣化。如果它们能使安全系统的某部分失效,则应假定存在那些故障作为初始条件,进行安全系统的单一故障分析。有关这方面的进一步指导见GBT 13286。632概率评价特性不应该用概率评价来取代单一故障分析。但是安全系统的可靠性分析、概率评价、运行经验、工程5GBT 13626-2008判断或它们的组合可用于确定从单一故障分析中排除某一特定故障的依据。有关进行可靠性分析和概率评价的进一步指导见GBT 7163和GBT 92251995。633由单一故障引起系统驱动的可能性应检查由单
22、一故障引起的系统驱动的可能性,以判定这样的驱动是否会构成一个具有不可接受安全后果的事件。对任何被判定为不可接受的驱动,应满足单一故障准则,也就是,在系统中存在所有不可探测的故障外,还存在任一单个可探测故障时,不得引起安全系统驱动。参考文献GBT 13626-200813 CRF Publication 10CFR5049(1994)Environmental Qualification of Electric EquipmentImportant to Safety for Nuclear Power Plants2CRF Publication 10CRFl00(1994)Reactor Site Criteria3IAEA Safety Series No50一P一1(1990)Application of the Single Failure Criterion4IEEE 100 The Authoritative Dictionary of IEEE Standards TermsSeventh Edition
