核电厂仪表和控制系统及其供电设备安全分级

核电厂仪和控制系统及其供电设备安全分级 中华人民共和国国家 核电厂仪表和控制系统及其供电设备 安 全 分 级 GB/T 15474-1995 Safety classification of instrumentation and control systems and their electrical equipment of nuclear power plants 国家技术监督局1995-01-27批准 1995-10-01实施 1 主题内容与适用范围 本标准了核电厂仪表和控制系统以及它们的供电设备的核安全级别、分 级的方法和要求。 本标准适用于核电厂仪表和控制系统以及它们的供电设备(以下简称仪表及其 供电设备)。 2 引用标准 GB 7163 核反应堆保护系统的可靠性分析要求 GB 8993.1,8993.12 核仪器环境试验基本要求与方法 GB/T 9225 核反应堆保护系统可靠性分析一般原则 GB 12727 核电厂安全系统 电气物项质量鉴定 GB 13625 核电厂安全系统电气设备 抗震鉴定 GB 13629 核电厂安全系统 GB/T 15475 核电厂仪表和控制系统及其供电设备质量保证分级 HAF 0203 核电厂保护系统及有关设施 HAF 0207 核电厂应急动力系统 HAF 0208 核电厂安全有关仪表和控制系统 HAF 0400 核电厂质量保证安全规定 3 仪表及其供电设备的安全分级 核电厂在正常工况下产生的放射性释放是可控的;在事故工况下，这种放射 性释放可能是不可控的。核安全就是预防或减轻事故，使厂区人员、公众和环境不 受过量辐射危害。为保证安全，核电厂遵循以下纵深防御原则: a.依靠设计和制造质量保证电厂在正常工况下不发生故障; b.依靠安全停堆系统将异常瞬态或事件的影响减到最小; c.依靠专设安全设施将事故工况的后果减到最小。 上述a、b是预防事故，要求控制和保护系统设计能保证电厂可靠地正常运行，或 者预防假设始发事件(PIE)或缓解其后果，从而保持燃料包壳和反应堆冷却剂系统边 界的完整性。 c是事故保护，专设安全设施对放射性的释放提供最后一道防护。 仪表和控制系统设备按其所在系统功能对电厂安全的重要性分为三类:安全级 设备、安全有关的设备和非安全重要设备。它们的供电设备按其所在系统功能对电 厂安全的重要性分为两类:安全级设备和非安全重要设备。 3.1 安全级(1E级)设备 安全级(简称1E级)的仪表及其供电设备，是完成反应堆安全停堆、安全壳隔 离、堆芯冷却以及从安全壳和反应堆排出热量所必需的，或者是防止放射性物质向 环境过量排放所必需的。 安全级仪表及其供电设备的功能是预防PIE或缓解PIE的后果，因此要限制其 功能范围和复杂程度，以保证其高度的可用性和可靠性。 3.2 安全有关的(S)设备 安全有关的(简称SR)设备，在实现或保持核电厂安全方面起补充、支持或间接 的作用，因此有可能避免触发安全级系统和设备，也可能避免或缓解PIE的后果， 或者改善安全级设备功能的效果。安全有关仪表的供电设备可以是1E级的，也可 以是非安全重要的，根据此类仪表对供电的要求决定。 3.3 非安全重要(NS)设备 非安全重要(简称NS)仪表及其供电设备，在实现或保持核电厂安全方面无明显 作用。 4 核安全分级的方法和要求 4.1 概述 正确划分仪表及其供电设备的安全级别是正确选择和采用设计规范、标准的前 提。通常采用确定论法，即按其执行的功能对电厂核安全的重要性分级，不考虑失 效的概率或缓解效应。但是在可能的情况下，也应考虑概率论法，即仪表及其供电 设备执行的功能失效的后果、要求执行该功能的频度和该功能在需要时不能被执行 的概率，这三个因子的乘积必须低于可接受的水平。 4.2 分级准则 4.2.1 安全级(1E级)设备 执行下述功能，或对核安全有下述影响的仪表及其供电设备属核安全级: a.预防PIE或缓解PIE后果，例如，反应堆紧急停堆并维持在次临界状态， 堆芯余热和安全壳热量排出，应急堆芯冷却，安全壳隔离; b.若在需要它们动作响应PIE时失效(拒动)，可能产生严重后果; c.它们的故障或误动作直接导致严重后果; d.为允许操纵员干予以预防事故或缓解事故后果而提供信息或控制能力; e.控制放射性释放。 典型的安全级仪表及其供电设备如:反应堆保护系统，安全执行系统的仪表和 控制设备，专设安全设施(如应急堆芯冷却系统、安全壳喷淋系统、安全壳空气控 制系统、蒸汽发生器辅助给水系统和安全壳隔离系统)的某些仪表和控制设备，安全 系统辅助设施(如设备冷却水系统、应急厂用水系统)的某些仪表和控制设备，某些 辐射监测系统以及逆变装置等。 4.2.2 安全有关的(SR)设备 执行下述功能的仪表和控制系统设备属于核安全有关的: a.控制电厂运行，使得过程变量保持在安全限值以内; b.其故障或失效可能要求安全级系统或设备动作; c.在电厂设计基准范围之内，预防或减轻较小的放射性排放，或较小的燃料性 能劣化; d.记录或监测电厂安全级系统和设备的状态，向控制室操纵员发出故障警告; e.减少对安全级系统或设备的性能要求，或提高其性能; f.为安全级设备和运行人员提供一个可接受的环境，例如在电厂有放射性释放 时; g.PIE的监测和报警(属1E级的除外)，以降低其频度; h.监测可控放射性排出物，保持放射性物质排放率和排放总量在安全限值之 内，警告核电厂人员现场有大量放射性物质释放或有辐照危险。 典型的核安全有关的系统如:反应堆控制系统、电厂数据处理系统、报警系统、 区域辐射监测系统、排出流辐射监测系统、厂区通信系统。 4.2.3 非安全重要(NS)设备 非安全重要仪表及其供电设备对核安全没有明显影响。 4.3 分级方法 4.3.1 分级步骤 仪表及其供电设备安全分级步骤如下: a.核实设计基准，包括:电厂主要特性和冗余度要求，运行方式，假设始发事 件及其发生频度，起保护作用的功能、系统和设备表，系统和设备故障可能引起假设 始发事件或严重后果表; b.仪表及其供电设备以及它们的功能清单; c.根据功能将仪表及其供电设备初步分级; d.确定对仪表及其供电设备的详细要求; e.核实每个子系统和设备的功能; f.将每个子系统和设备明确分级，根据需要从C项开始重复若干次; g.列出最后的分级表。 每个核电厂都应有仪表及其供电设备分级表，附录A(参考件)对分级给出指 导。 4.3.2 核实设计基准 仪表及其供电设备分级的主要依据是核电厂类型(压水堆、沸水堆等)，应核实 电厂设计采用的假设始发事件，机械、仪表及其供电冗余度的设计准则。此外，还 应核实对每个假设始发事件的主要限制系统及其支持系统。 分级时应考虑仪表及其供电设备在电厂所有运行方式(例如启动、正常运行、 换料)下，在预防PIE和缓解PIE后果方面的作用，因为它们可能只在某些运行方 式下或只在假设始发事件后起明显作用。 4.3.3 仪表及其供电设备的核实与分级 从设计开始，就应尽可能全面地核实仪表及其供电设备的功能，按4.2条的规 定将它们初步分级，凡是不明确的地方均应注释。随着设计的进行，不断核实仪表 及其供电设备执行的功能，确定每个系统内部各子系统或设备的安全级别，最终形 成仪表及其供电设备的分级表。 应该指出，安全级的系统中，有些设备可能是非安全级的;在安全有关的系统 中，有些设备可能是安全级的。此外，由于某个系统或设备可能执行一个以上的安 全功能，所以分级时可能将其分为不同的安全级别，这时，它们的最终级别应是其 中的最高级别。 5 确定对各级别的要求 设计准则包括功能、可靠性、性能、耐环境能力的保证要求和质量保证及质量控 制。 5.1 功能保证要求 功能由适用的法规、标准和技术规格书规定，功能保证要求必须优先考虑高度 的可用性和简单性。 5.1.1 安全级(1E级)设备 必须制定清晰、完整、明确的技术规格书，在设计、制造、安装和运行的全过 程都根据此规格书检查仪表及其供电设备，它也是在役更改时必要的参考文件。 设计必须符合HAF0203、HAF0207和GB13629的要求，设计应力求简单， 限制功能范围，不增加不必要的功能，以实现高度的可用性。 设计应尽量采用有可靠运行经历(在类似情况下使用过并有文件证明)的系统和 设备。 5.1.2 安全有关的(SR)设备 核安全有关的设备应符合HAF0208和认可的标准的要求，或者选用有可靠运 行经历(在类似情况下使用过并有文件证明)的系统和设备。 5.1.3 非安全重要(NS)设备 可选用符合要求的工业产品。 5.2 可靠性保证要求 5.2.1 安全级(1E级)设备 在技术规格书中必须规定对安全级仪表及其供电设备的可靠性要求，除另有规 定之外，安全级系统必须满足单一故障准则，因此必须采用冗余、实体分隔和电气 隔离，并应能定期试验。 应根据GB7163和GB/T9225对安全级仪表及其供电设备进行可靠性分析。必 须考虑共因故障，当分析表明冗余系统和设备的可靠性不能满足要求时，就应考 虑多样性。 5.2.2 安全有关的(SR)设备 在技术规格书中应对安全有关的设备规定可靠性要求，需要时可参照GB 7163和GB/T9225进行可靠性分析，如果达不到可靠性要求，则应采取有效措 施，例如冗余。 5.2.3 非安全重要(NS)设备 非安全重要仪表及其供电设备可按工业产品要求。 5.3 性能保证要求 性能由对部件、系统和设备的制造与安装的技术要求，质量控制程序，预运行 和在役定期试验来保证。 5.3.1 安全级(1E)设备 对安全级仪表及其供电设备性能保证的基本要求如下: a.必须规定性能要求; b.必须按HAF 0400的要求制定质量保证(QA)大纲; c.必须按QA计划进行部件、组件、子系统和系统试验; d.必须考虑在运行期间的定期检验。 对于安全级的仪表及其供电设备，必须在制造厂检查部件、组件、子系统，只 要有可能还应检查系统;必须符合型式检验要求，证明该设备可以完成每一个规定 的功能。现场试验必须尽可能实际证明，已安装的设备和系统的所有规定的安全功 能均能被完成;在不可能证明能完成所有规定的功能时，则要求实际证明合适性。 定期试验必须证明能完成要求的所有安全功能，包括证实所有子系统的功能能 力。一旦探查出故障或缺陷，就必须按管理程序进行校正，并应保管好校正记录。 试验的间隔时间必须与估算的故障率相适应，一般是每月一次到每年一 次，这与设 计的复杂性、动态运行情况和自检能力有关。 性能试验可能需要合适的输入信号，抑制输出信号，或者旁通。如果引入旁通 设施，则必须评估其可用性，证明使用旁通时不会妨碍系统的安全运行。例如，对 于冗余系统单个序列的旁通时间实际上是有限制的。 5.3.2 安全有关的(SR)设备 对核安全有关的设备应根据需要进行型式检验，定期试验的间隔时间根据设备 可靠性决定，其他要求参照安全级的要求。 5.3.3 非安全重要(NS)设备 非安全重要仪表及其供电设备，可根据买方与制造厂的合同提出性能保证要 求。 5.4 耐环境能力保证要求 耐环境能力按设备质量鉴定大纲鉴定。设备质量鉴定大纲应保证设备在老化影 响下和必须运行时所处的环境条件下，该设备的可靠性不低于设计要求值。 5.4.1 安全级(1E级)设备 安全级的仪表及其供电设备必须按要求进行环境试验，鉴定的具体要求见GB 8993.1,8993.12;再经受下列三种鉴定程序中的一种试验。 5.4.1.1 A类质量鉴定程序 A类质量鉴定程序适用于安装在安全壳内、在正常环境条件下和地震荷载下以 及事故和(或)事故后条件下必须正常运行的安全级仪表及其供电设备。试验顺序如 下: a.设备老化试验; b.抗地震试验，试验要求见GB 13625; c.事故环境条件下试验; d.事故后环境条件下试验。 试验要求见GB 12727。 5.4.1.2 B类质量鉴定程序 B类质量鉴定程序适用于安装在安全壳内、在正常环境条件下和地震荷载下必 须正常运行的安全级仪表及其供电设备。它们必须经受5.4.1.1a、b两项试验，试 验要求见GB 12727和GB 13625。 5.4.1.3 C类质量鉴定程序 C类质量鉴定程序适用于安装在安全壳外面、在正常环境条件下和地震荷载下 必须能正常运行的安全级仪表及其供电设备。它们必须经受抗地震试验，试验要求 见GB 13625。 5.4.2 安全有关的(SR)设备 核安全有关的设备，一般可按常规的工业标准进行质量鉴定。但是，如果要 求它们在特定条件(例如地震、辐照等)下运行，则应在技术规格书中指明，并参照 安全级的有关规定进行质量鉴定，或根据买方与制造厂的合同协议规定质量鉴定 要求。 5.4.3 非安全重要(NS)设备 对非安全重要的仪表及其供电设备，可以按常规的工业标准进行质量鉴定。 5.5 质量保证(QA)和质量控制(QC)要求 从核电厂概念设计开始，在设计、制造、试验、安装、试运行和交付运行的每 个阶段，都必须考虑对仪表及其供电设备的功能、可靠性、性能和耐环境能力的保 证要求，这是通过在适用的QA和QC大纲管理下完成每个阶段的工作来 保证的。 质量控制的目标是配置管理、变更控制和跟踪能力。仪表及其供电设备的QA 要求见GB/T 15475。 5.5.1 安全级(1E级)设备 安全级仪表及其供电设备的QA要求是QA1级或QA2级，QA1级质量保证 大纲要符合HAF0400的全部要求，QA2级质量保证大纲要符合HAF0400的部分 要求。QA文件必须包括设备的设计、制造和运行三方面的历史，详细到组件级 的所有设备。配置上必须控制到能追踪的最小元件和材料，其跟踪能力要达到整 个系统，详细到独立的组件级。 QC文件必须能使审查人员从一个硬件或软件追溯到对其规定要求的技术规格 书，也能根据技术规格书的任一要求查到执行该要求的部件。 5.5.2 安全有关的(SR)设备 对核安全有关的设备的QA要求是QA2级或QA3级，QA3级不要求供方制定 质量保证大纲，但要求供方满足合同和买方文件中的质量保证要求。 5.5.3 非安全重要(NS)设备 对非安全重要仪表及其供电设备，除了要求QA3级的以外，可以接受相应的 工业QA水平。 附 录 A 核电厂仪表和控制系统及其供电设备安全分级实例 (参考件) 表A1中参见标准栏内列举的标准名称如下: GB 4083 核反应堆保护系统安全准则 GB 5204 核反应堆保护系统的定期试验与监测 GB 7165.1,7165.6 气体排出流(放射性)活度连续监测设备 GB 7166 核动力堆堆芯或堆主包壳内温度测量 特性和测试方法 GB/T 8995 核反应堆中子注量率测量 堆芯仪表 GB 9232 数字计算机在核反应堆仪表和控制中的应用 GB 10253 液态排出流β、γ放射性活度连续监测设备 GB/T 11807 探查松脱零件的音响监测系统的特性、设计和运行程序 GB 12172 核电厂安全系统计算机软件 GB 12726.1 核电厂事故和事故后辐射监测设备 第一部分:一般要求 GB 12788 核电厂安全级电力系统准则 GB 13538 核电厂安全壳构筑物上的电气贯穿件 GB 13624 核电厂安全参数显示系统的功能设计准则 GB 13627 核电厂事故监测仪表准则 GB/T 13630 核电厂控制室的设计 GB/T 13631 核电厂辅助控制点设计准则 GB/T 13632 监督压水堆堆芯充分冷却的测量要求 EJ 531 核电厂安全级阀门驱动装置的鉴定 EJ 534 核电厂安全级电路和电缆系统的设计与安装 EJ 574 核电厂安全级控制仪表盘(屏)和机架的设计与鉴定 EJ/T 637 核电厂安全有关通信系统 EJ 642 核电厂管道电热系统的设计和安装 EJ/T 675 反应堆用裂变电离室 EJ/T 676 中子正比计数管 EJ/T 677 中子电离室 表A1 续表A1 续表A1 续表A1 续表A1 续表A1 续表A1 续表A1 续表A1 续表A1 注:?抗震要求栏里的““表示系统或设备能承受极限安全地震动I(S2)产生 的荷载，保持: a.反应堆冷却剂系统承压边界的完整性; b.停堆能力和保持反应堆在安全停闭状态下的能力; c.防止事故或缓解事故后果的能力。 ?质量鉴定程序栏是指1E级或SR级设备专门要承受的。 1)如果作为事故后测量用，则应承受A类鉴定。 2 2)在蒸汽管道出现很小破口(90,180cm)之后，要求在短时间内能触 发保护动作所用到的电气设备要作的特殊鉴定。 3)在堆芯欠热度测量系统为非1E级时(如为SR)，堆芯出口温度测量用于 事故后监测的部分(至少16只热电偶)为1E级，用于一般功能为SR级。 4)根据设备和部件的安装地点确定采用哪类鉴定。 5)本附录中为1E级，根据情况也可定为SR。 6)由于结构原因要求抗震。 7)不要求冗余。 8)一般是SR设备，但其鉴定要满足从热停堆至冷停堆的冷却要求。 9)用于全厂断电后事故操作规程。 10)个别装在安全壳内的阀门，应经受A类鉴定(不要求抗震)。 ____________________________ 附加说明: 本标准由中国核工业总公司提出。 本标准经国家核安全局审查并认可。 本标准由核工业标准化研究所负责起草。 本标准主要起草人牛祝年、李洪才。