1、3附件HAF102-2016核动力厂设计安全规定(2016年修订,2016年10月26日国家核安全局批准发布)1引言1.1 目的为实现核动力厂的安全运行,防止或减轻可能危及安全的事件后果,本规定提出了核动力厂安全重要的构筑物、系统和部件的设计,以及规程和组织流程所必须满足的要求。本规定适用于核动力厂设计、建造、运行和退役阶段的分析、验证和审查,技术支持以及核安全监督。1.2 范围1.2.1 本规定提出了进行全面安全评价的要求,以确定核动力厂在各种运行状态和事故工况下可能产生的潜在危险。安全评价过程涉及确定论安全分析和概率论安全分析这两种互为补充的技术,分析中必须考虑各种假设始发事件,包括可能单
2、独地或组合地影响安全的诸多因素。这些事件有如下几种类型:(1)源自核动力厂运行本身;(2)由人员行为引起;(3)与核动力厂及厂址环境直接相关。1.2.2 本规定不涉及极不可能影响核安全的一般工业安全和由4核动力厂运行所引起的非放射性影响。1.2.3 本规定中的核动力厂主要是指为发电或其他供热应用(诸如集中供热或海水淡化)而设计的,采用水冷反应堆的陆上固定式核动力厂。1.2.4 其他类型或采用革新技术的反应堆设计可参照本规定,但应经过细致的评价和判断。2安全目标和纵深防御概念2.1 安全目标2.1.1 基本安全目标:在核动力厂中建立并保持对放射性危害的有效防御,以保护人与环境免受放射性危害。2.
3、1.2 为了实现基本安全目标,必须采取以下措施:(1)控制在运行状态下对人员的辐射照射和放射性物质向环境的释放;(2)限制导致核动力厂反应堆堆芯、乏燃料、放射性废物或任何其他辐射源失控事件发生的可能性;(3)如果上述事件发生,减轻这些事件产生的后果。2.1.3 基本安全目标适用于核动力厂的所有活动,包括规划、选址、设计、制造、建造、调试、运行和退役,以及有关放射性物质的运输、乏燃料和放射性废物的管理等。2.2 辐射防护设计2.2.1 为了实现基本安全目标,辐射防护设计必须保证在所有5运行状态下核动力厂内的辐射照射或由于该核动力厂任何计划排放放射性物质引起的辐射照射低于规定限值,且可合理达到的尽
4、量低。同时,还应采取措施减轻任何事故的放射性后果。2.2.2 为了实现基本安全目标,辐射防护设计必须使得核动力厂所有辐射照射的来源都处在严格的技术和管理措施控制之下。但不排除人员受到有限的照射,也不排除法规许可数量的放射性物质从处于运行状态的核动力厂向环境的排放。此种照射和排放必须受到严格控制,并符合运行限值和辐射防护标准,且可合理达到的尽量低。2.3 安全设计2.3.1 安全设计必须:(1)防止由于反应堆堆芯或其他辐射源失控所引起有害后果的事故,并在一旦发生事故时减轻其后果;(2)保证在设计中考虑的所有事故的放射性后果都低于相关限值,并保持在可合理达到的尽量低的水平;(3)保证有严重放射性后
5、果的事故发生的可能性极低,并尽最大可能减轻这种事故的放射性后果。2.3.2 为了证明在核动力厂的设计中实现了基本安全目标,必须对设计进行全面的安全评价,以确定所有辐射照射的来源,并评估核动力厂工作人员和公众可能受到的辐射剂量,以及对环境的可能影响。此种安全评价要考虑以下内容:(1)核动力厂的正常运行;(2)预计运行事件时核动力厂的性能;(3)事故工况。在分析的基础上,确认设计抵御假设始发事件和事故的能力,验证安全重要6物项的有效性,以及确定应急计划的输入。2.3.3 尽管采取措施将所有运行状态下的辐射照射控制在可合理达到的尽量低的水平,并将导致辐射源失控事故的可能性减至最小,但仍然存在发生事故
6、的可能性。这就需要采取措施以保证减轻放射性后果。这些措施包括:安全设施和安全系统,营运单位制定的核动力厂事故管理规程,以及国家和地方有关部门制定的场外干预措施。2.3.4 核动力厂的安全设计必须采取实际措施,以减轻核与辐射事故对人的生命、健康以及环境造成的影响。必须实际消除可能导致高辐射剂量或大量放射性释放的核动力厂事故序列;必须保证发生频率高的核动力厂事故序列没有或仅有微小的潜在放射性后果。安全设计的基本目标是在技术上实现减轻放射性后果的场外防护行动是有限的甚至是可以取消的。2.4 纵深防御概念2.4.1 防止核动力厂发生事故和减轻事故后果的主要手段是应用纵深防御概念。该概念贯彻于安全有关的
7、全部活动,涉及核动力厂各种功率及停堆状态下有关的组织、人员行为或设计,以保证这些活动均置于各种独立的、不同层次措施的防御之下。即使有一种故障发生,它将由适当的措施探测、补偿或纠正。在整个设计和运行中贯彻纵深防御,以应对厂内设备故障或人因引起的各种预计运行事件和事故,以及外部事件引起的后果。2.4.2 纵深防御概念的应用主要是通过一系列连续和独立的防御层次的结合,防止事故对人员和环境造成危害。如果某一层次的7防护失效,则由后一层次提供保护。每一层次防御的独立有效性都是纵深防御的必要组成部分。(1)第一层次防御的目的是防止偏离正常运行及防止安全重要物项的故障。这一层次要求:按照恰当的质量水平和经验
8、证的工程实践,正确并保守地选址、设计、建造、维修和运行核动力厂。为此,应十分注意选择恰当的设计规范和材料,并对部件的制造、核动力厂的建造和调试进行质量控制。在这一层次,降低内部危险可能性的设计措施有助于事故的预防。还应重视涉及设计、制造、建造、在役检查、维修和试验的过程和规程,以及进行这些活动时良好的可达性、核动力厂的运行方式和运行经验的利用等方面。整个过程以确定核动力厂运行和维修要求及其质量管理要求的详细分析为基础。(2)第二层次防御的目的是检测和控制偏离正常运行状态,以防止预计运行事件升级为事故工况。尽管注意预防,核动力厂在其寿期内仍然可能发生某些假设始发事件。这一层次要求在设计中设置特定
9、的系统和设施,通过安全分析确认其有效性,并制定运行规程以防止这些始发事件的发生,或尽量减小其造成的后果,使核动力厂回到安全状态。(3)设置第三层次防御是基于以下假定:尽管极不可能,某些预计运行事件或假设始发事件的升级仍有可能未被前一层次防御所制止,而演变成事故。在核动力厂的设计中,假定这些事故会发生。这就要求必须通过固有安全特性和(或)专设安全设施、安全系统8和规程,防止造成反应堆堆芯损伤或需要采取场外干预措施的放射性释放,并能使核动力厂回到安全状态。(4)第四层次防御的目的是减轻第三层次纵深防御失效所导致的事故后果。通过控制事故进展和减轻严重事故的后果来实现第四层次的防御。安全目标是,在严重
10、事故下仅需要在区域和时间上采取有限的防护行动,且避免场外放射性污染或将其减至最小。这要求可能导致早期放射性释放或者大量放射性释放的事件序列被实际消除。(5)第五层次,即最后层次防御的目的是减轻可能由事故工况引起的潜在放射性释放造成的放射性后果。该层次要求配备恰当的应急设施,制定用于场内、场外应急响应的应急计划和应急程序。2.4.3 纵深防御概念应用的另一方面是在设计中设置一系列的实体屏障,并采用能动、非能动设施和固有安全特性的组合,以使实体屏障能够有效地将放射性物质包容在特定区域。所需实体屏障的数目取决于放射性核素总量和同位素成份表征的初始源项、单个屏障的有效性、可能的内部与外部危险以及各种失
11、效的潜在后果。3设计安全管理3.1 设计安全管理职责营运单位必须保证提交国务院核安全监管部门的设计符合所有适用的安全要求。所有从事与核动力厂安全设计重要活动相关的组织,包括设计单位,都有责任保证将安全事务放在最优先的位置。93.2 质量保证3.2.1 必须制定和实施描述核动力厂设计的管理、执行和评价的总体安排的质量保证大纲。该大纲包括保证核动力厂每个构筑物、系统和部件以及总体设计的设计质量的措施,包括确定和纠正设计缺陷、检验设计的恰当性和控制设计变更的措施。3.2.2 设计,包括变更、修改或安全改进,必须按照合适的工程规范和标准所确定的程序进行,并必须体现适用的要求和设计基准,必须确定和控制设
12、计接口。3.2.3 设计(包括设计手段和设计输入与输出)的恰当与否,必须由原先从事此工作的人员以外的个人或团体进行验证和确认。在设计和建造过程中应尽早完成验证、确认和批准,最迟不晚于核动力厂首次装料。3.3 全寿期内保持核动力厂设计的安全和完整性3.3.1 营运单位对安全负全面责任。营运单位必须建立一套正式的体系,在整个寿期内始终保证核动力厂设计的安全和完整性。3.3.2 为便于安全分析报告、设计手册和其他设计文件等详细的设计资料转移至营运单位,应尽早设立全面负责设计过程的部门,并制定管理流程,在营运单位的管理体系内负责核动力厂设计安全和完整性。3.3.3 核动力厂的设计工作可以由许多组织分担
13、:工程公司、反应堆及其辅助系统供应商、主要设备供应商、电气系统的设计单位以及对核动力厂安全重要的其它系统的供应商等。营运单位必须对委托给外部组织的设计活动进行管理。103.3.4 全面负责设计过程的部门必须保证核动力厂设计满足安全性、可靠性和质量方面的验收准则。这些准则符合相关的法律法规和标准规范。必须建立并明确工作范围和职责,以保证:(1)设计符合其目标,并满足防护和安全最优化的要求,使辐射风险保持在可合理达到的尽量低的水平;(2)持续保证设计安全的方式包括设计验证、确定工程规范和标准及要求、采用经验证的工程实践、提供建造经验反馈、批准重要工程文件、开展安全评价和保持安全文化;(3)安全运行
14、、维修(包括合适的试验周期)和修改所需的设计资料应该是可用的,设计资料应适当考虑以往的运行经验和经验证的研究成果,并由营运单位维护在最新状态;(4)保持对设计要求和状态控制的管理;(5)建立和控制责任设计者和参与设计工作的供应商之间必要的接口;(6)营运单位需维护必要的工程专业资料和科技资料;(7)所有设计变更都经过审查、验证、形成文档并批准;(8)维护充分的文件,以便今后开展核动力厂退役工作。4主要技术要求4.1 基本安全功能4.1.1 必须保证在核动力厂所有状态下实现以下基本安全功能:11(1)控制反应性;(2)排出堆芯余热,导出乏燃料贮存设施所贮存燃料的热量;(3)包容放射性物质、屏蔽辐
15、射、控制放射性的计划排放,以及限制事故的放射性释放。4.1.2 必须用全面、系统的方法来确定完成基本安全功能所必需的安全重要物项,以及在核动力厂所有状态下用于实现或影响基本安全功能的固有特性。4.1.3 必须提供对核动力厂状态进行监测的手段,以保证实现所要求的安全功能。4.2 辐射防护4.2.1 设计必须保证工作人员和公众在整个寿期内受到的辐射剂量,在运行状态下不超过剂量限值,在事故工况下不超过可接受限值,并可合理达到的尽量低。4.2.2 设计必须实际消除可能导致高辐射剂量或大量放射性释放的核动力厂状态,并必须保证发生可能性较高的核动力厂状态没有或仅有微小的潜在放射性后果。4.2.3 基于辐射
16、防护目的,必须制定与核动力厂各类状态相对应且符合监管要求的可接受限值。4.3 设计管理4.3.1 设计必须保证核动力厂及其安全重要物项具有合适的性能,以保证其能可靠地执行安全功能;在设计寿期内核动力厂能够在运行限值和条件范围内安全运行,并能够安全退役;对环境的影12响最小。4.3.2 设计必须保证满足营运单位的安全要求,满足国务院核安全监管部门和相关法律法规的要求,并适当考虑营运单位人员的能力与局限性以及可能影响人员行为的各种因素。必须提供充分的设计资料,保证核动力厂的安全运行和维修,并允许以后能对核动力厂进行修改。同时推荐可纳入核动力厂管理规程和运行规程的实践(即运行限值和条件)。4.3.3
17、 设计必须适当考虑其他核动力厂在设计、建造和运行中获得的相关经验,以及相关的研究成果。4.3.4 设计必须适当考虑确定论安全分析和概率论安全分析的结果,保证已经适当考虑了事故的预防和事故后果的缓解。4.3.5 设计必须保证采用合适的设计措施以及运行和退役实践,使产生和排放的放射性废物活度和体积达到实际可行的最低水平。4.4 纵深防御的应用4.4.1 设计必须体现纵深防御。纵深防御的各层次之间必须尽实际可能地相互独立,避免一个层次防御的失效降低其他层次的有效性。4.4.2 设计必须应用纵深防御概念,提供多层次防御,预防可能对人与环境产生有害影响的事故后果,并保证在防护失效时,采取适当措施保护人与
18、环境,减轻事故后果。4.4.3 设计必须适当考虑这样的事实:当缺少某一层次防御时,13多层次防御的存在并不能作为继续运行的基础。纵深防御的各层次必须总是可用的,对任何特定运行模式下的放松都必须进行论证。4.4.4 设计:(1)必须设置多道实体屏障,阻止放射性物质向环境释放;(2)必须采用保守的设计和高质量的建造,以保证核动力厂的故障和偏离正常运行减至最少,保证尽实际可能地预防事故,保证核动力厂不存在陡边效应;(3)必须利用固有特性和工程设施控制核动力厂的行为,尽可能减少或排除那些需要启动安全系统的故障和偏离正常运行;(4)必须对核动力厂提供附加控制,这些附加控制采用安全系统的自动触发,以能够高
19、置信度地控制那些超出控制系统能力的故障和偏离正常运行,并使得早期阶段对操纵员动作的需求减至最少;(5)必须提供构筑物、系统和部件以及规程,以控制超出安全系统能力的故障和偏离正常运行的进程,并尽实际可能地限制其后果;(6)必须提供多种手段来保证实现每项基本安全功能,从而保证各道屏障的有效性,并减轻任何故障和偏离正常运行的后果。4.4.5 为了贯彻纵深防御概念,设计必须尽实际可能地防止:(1)出现影响实体屏障完整性的情况;(2)一道或多道屏障失效;(3)一道屏障因另一道屏障的失效而失效;(4)运行和维修差错产生有害后果的可能性。4.4.6 在核动力厂运行寿期内,设计必须尽实际可能地使第一14层次防
20、御至多第二层次防御能够阻止可能发生的所有故障或偏离正常运行升级为事故工况。4.4.7 用于设计扩展工况的安全设施(如用于减轻燃料熔化事故后果的设施)应尽实际可能地与安全系统独立。4.5 实物保护4.5.1 必须设置实物保护措施,即核安保措施,包括实物保护系统和相关管理措施,以防止、侦查和应对涉及核材料和核动力厂相关设施的偷窃、蓄意破坏、未经授权的接触,非法转让或其他恶意行为,以及防范恐怖分子获取材料、破坏核动力厂等。4.5.2 应根据保护目标的重要程度和潜在风险确定核动力厂实物保护的等级,并按照确定的等级进行实物保护系统设计。应合理布置核动力厂的控制区、保护区和要害区,实现分区保护,并为各区配
21、备相应的设施和设备。4.5.3 实物保护系统必须考虑出入口控制、探测、报警、集中控制、照明、通讯、供电和巡更等方面,并设置多重实体屏障。4.5.4 核动力厂应配备武警或守卫,制定实物保护相关管理程序,使得管理措施与技防措施有机结合,以保证实物保护系统的完整、可靠与有效。4.5.5 应对实物保护设计方案进行风险分析和有效性评估。4.5.6 必须以统筹兼顾的方式设计和实施核动力厂的核安全措施、核安保措施及国家核材料衡算和控制体系,以免其相互制约。154.6 经验证的工程实践4.6.1 必须鉴别和评价用于核动力厂安全重要物项设计准则的规范和标准,以确定其适用性、恰当性和充分性,并根据需要进行补充或修
22、改,以保证设计质量与所需的安全功能相适应。4.6.2 核动力厂的安全重要物项必须是此前在相当使用条件下验证过的,否则该物项必须具有高质量且其技术经过鉴定或试验。4.6.3 当引入未经验证的设计或设施,或存在偏离已有工程实践的情况时,必须借助适当的支持性研究计划、特定验收准则的性能试验,或通过其他相关应用中获得的运行经验的检验,来证明其安全性是合适的。新的设计、设施或实践必须在投入使用前经过充分的试验,并在使用中进行监测,以验证达到了预期效果。4.7 安全评价4.7.1 必须在核动力厂的整个设计过程中进行全面的确定论安全评价和概率论安全评价,以保证在核动力厂寿期内的各个阶段满足全部设计安全要求,
23、并确认在竣工、运行和修改时交付的设计满足制造和建造的要求。4.7.2 设计过程中必须尽早开展安全评价。随着设计和确认性分析活动之间的不断迭代,安全评价的范围和详细程度随着设计计划的进展不断地扩大和提高。4.7.3 必须将安全评价形成文件以便于独立评估。4.8 便于建造的要求4.8.1 核动力厂安全重要物项的设计必须使其能够按照确定的流程进行制造、建造、装配和安装,以保证满足设计规范和所要求16的安全水平。4.8.2 核动力厂的建造和运行,必须适当考虑从其他类似核动力厂及其相关构筑物、系统和部件建造中获得的相关经验。如果采用其他相关工业的良好实践,则必须表明其适用于核动力厂。4.9 放射性废物管
24、理和退役4.9.1 在设计阶段,必须专门考虑便于核动力厂放射性废物管理以及核动力厂退役和拆除的特性。4.9.2 在设计中必须适当考虑:(1)材料的选取,以使放射性废物量尽实际可能地少,并便于去污;(2)必要的可达性和可操作性;(3)管理(例如分离或分拣、表征、分类、预处理、处理和整备)和贮存核动力厂在运行过程中产生的放射性废物所需的设施,以及管理核动力厂在退役时所产生的放射性废物的措施。5核动力厂总体设计5.1 总的设计基准5.1.1 核动力厂状态分类5.1.1.1 必须确定核动力厂状态并主要按发生频率将核动力厂状态分成有限的几类。5.1.1.2 核动力厂状态通常包括:(1)正常运行;17(2
25、)预计运行事件,即在核动力厂运行寿期内预计会发生的事件;(3)设计基准事故;(4)设计扩展工况,包括堆芯熔化事故。5.1.1.3 必须为每类核动力厂状态确定准则,使得发生频率高的核动力厂状态必须没有或仅有微小的放射性后果,而可能导致严重后果的核动力厂状态的发生频率必须很低。5.1.2 安全重要物项的设计基准5.1.2.1 安全重要物项的设计基准,必须针对有关的运行状态、事故工况以及由内部和外部危险导致的工况,详细说明其必需的能力、可靠性和功能,以在核动力厂整个寿期内满足特定的验收准则。5.1.2.2 必须系统地论证安全重要物项设计基准的合理性,并形成文件。这些文件必须能为营运单位安全运行核动力
26、厂提供必要的信息。5.1.3 设计限值针对运行状态和事故工况,必须为安全重要物项规定一套相应的设计限值。设计限值必须符合核安全法规和相关的监管要求。5.1.4 假设始发事件5.1.4.1 必须使用系统化的方法确定一套全面的假设始发事件,以在设计中考虑所有可预见的具有严重后果的事件和发生频率高的事件。5.1.4.2 必须在工程判断、确定论和概率论评价相结合的基础18上确定假设始发事件。必须论证确定论安全分析和概率论安全分析的应用范围,以表明已考虑所有可预见的事件。5.1.4.3 假设始发事件必须包括在各种功率及停堆状态下,所有可预见的核动力厂构筑物、系统和部件失效、人员差错,以及内部和外部危险可
27、能引起的失效。5.1.4.4 必须对假设始发事件进行分析,以确定为执行所要求的安全功能所必需的预防和缓解措施。5.1.4.5 核动力厂对任何假设始发事件的预期响应,必须是下列可合理达到的情况(按优先顺序):(1)依靠核动力厂的固有特性,使假设始发事件不会对安全产生重大影响,或只使核动力厂产生趋向于安全状态的变化;(2)发生假设始发事件后,可借助非能动安全设施或在此状态下连续运行的系统的作用,以控制该事件,使核动力厂趋于安全;(3)发生假设始发事件后,可借助为响应该事件而必须投入运行的那些安全系统的作用,使核动力厂趋于安全;(4)发生假设始发事件后,可借助执行专门规程使核动力厂趋于安全或使核动力
28、厂状态得到控制。5.1.4.6 在核动力厂总体安全评价和详细分析中,用于确定安全重要物项性能要求的假设始发事件,必须划分成若干具有代表性的事件序列。这些具有代表性的事件序列包络所有同类事件,并为安全重要物项的设计和运行限值提供基准。5.1.4.7 在设计中从已确定的假设始发事件清单中排除某一假19设始发事件,则必须提供技术论证。5.1.4.8 对于需要立即采取可靠响应行动的假设始发事件,设计必须有自动安全动作来启动所需的安全系统,以防止发展为更严重的工况。5.1.4.9 对于不需要立即采取响应行动的假设始发事件,可允许依靠手动启动系统或操纵员的其他动作。从探测到异常事件和事故到采取行动之间必须
29、有足够的时间,以及有适当的规程(如管理规程、运行规程和应急规程),以保证这些行动的执行。必须对因操纵员错误操作或错误诊断而导致事故序列恶化的可能性作出评价。5.1.4.10 如果假设始发事件发生后,需要操纵员的行动来诊断核动力厂的状态并使核动力厂及时进入长期稳定停堆工况,则必须设置适当的仪表以有利于监测核动力厂的状态,同时设置适当的控制措施以便于设备的手动操作。5.1.4.11 设计必须确定必要的设备及所需的规程,以保持对核动力厂的控制并减轻丧失控制的后果。5.1.4.12 手动响应和恢复过程所需的任何设备,必须放置在最合适的位置,以保证需要时可用和在预期环境条件下允许人员安全可达。5.1.5
30、 内部和外部危险5.1.5.1 必须识别所有可预见的内部和外部危险,包括潜在的可能直接或间接影响核动力厂安全的人为事件,并评价其影响。在20核动力厂布置的设计和确定有关的安全重要物项的设计中使用的假设始发事件及其产生的荷载时,都必须考虑内部和外部危险的影响。5.1.5.2 设计和布置安全重要物项,必须考虑其安全重要性,使其能够承受内部和外部危险的影响,或防御内部和外部危险及其产生的共因失效,同时适当考虑对安全的其他影响。5.1.5.3 对多机组厂址,设计必须适当考虑特定危险同时影响厂址上若干或所有机组的可能性。5.1.5.4 设计必须适当考虑内部危险,比如火灾、爆炸、水淹、飞射物、结构坍塌和重
31、物坠落、管道甩击、喷射流冲击、以及来自破损系统或现场其他设施的流体释放。必须提供适当的预防和缓解措施,以保证安全不受到损害。5.1.5.5 设计必须适当考虑在厂址评价过程中识别的自然和人为外部事件(即源于厂外的事件)。在假定可能的危险时,必须考虑其发生的原因和可能性。在短期内,核动力厂的安全不能依赖于诸如电力供应和消防服务等厂外服务。设计必须适当考虑厂址的特定情况,以确定厂外服务就位需要的最大延迟时间。5.1.5.6 必须采取措施,使得设计基准外部事件发生时,包含有安全重要物项(包括动力电缆和控制电缆)的厂房与其他核动力厂结构之间的相互影响最小。5.1.5.7 核动力厂设计必须提供适当的裕量,
32、在设计基准外部危险(由厂址危险性评价确定的)发生时保护安全重要物项,并避免产生陡边效应。215.1.5.8 核动力厂设计还必须提供适当的裕量,在超设计基准自然灾害事件发生时,保护用于防止早期放射性释放或大量放射性释放所需的物项。5.1.6 设计规范5.1.6.1 必须规定核动力厂安全重要物项的设计规范,并必须使其符合核安全法规和相关的监管要求,以及经验证的工程实践,同时适当考虑其与核动力厂技术的相关性。5.1.6.2 设计必须采用保证稳健性设计的方法,必须遵循经验证的工程实践,以保证在所有运行状态和事故工况下执行基本安全功能。5.1.7 安全运行的运行限值和条件5.1.7.1 设计必须为核动力
33、厂安全运行确定一套运行限值和条件。5.1.7.2 核动力厂设计中确定的要求,以及运行限值和条件必须包括:(1)安全限值;(2)安全系统整定值;(3)正常运行限值和条件;(4)工艺变量和其他重要参数的控制系统限制和规程限制;(5)对核动力厂的监督、维修、试验和检查的要求,以保证各构筑物、系统和部件执行设计中预定的功能,并使辐射风险保持在可合理达到的尽量低的水平;22(6)规定的运行配置,包括在安全系统或安全相关系统不可用时的运行限制;(7)行动说明,包括在响应偏离运行限值和条件时所采取行动的完成时间。5.1.8 设计基准事故5.1.8.1 必须根据假设始发事件清单得出一套设计基准事故,用于设定核
34、动力厂需承受的边界条件,以保证满足辐射防护限值。5.1.8.2 必须使用设计基准事故来确定控制设计基准事故所必需的安全系统和其他安全重要物项的设计基准,包括性能准则等,目的是使核动力厂返回到安全状态和减轻事故后果。5.1.8.3 针对设计基准事故工况,设计必须使核动力厂关键参数不超出规定的设计限值。基本目标是控制所有的设计基准事故以使厂内、外没有或仅有微小的放射性后果,并且无需采取任何场外防护行动。5.1.8.4 必须用保守的方法来分析设计基准事故。该方法包括在分析中假定安全系统的某些故障模式,规定设计准则,采用保守的假设、模型和输入参数等。5.1.9 设计扩展工况5.1.9.1 必须在工程判
35、断、确定论和概率论评价的基础上得出一套设计扩展工况,目的是增强核动力厂应对比设计基准事故更严重的或包含多重故障的事故的承受能力,避免不可接受的放射性后果,以进一步改进核动力厂的安全性。设计必须考虑这些设计扩展23工况来确定额外的事故情景,并针对这类事故制定切实可行的预防和缓解措施。5.1.9.2 必须对核动力厂开展设计扩展工况分析。考虑设计扩展工况的主要技术目标是预防核动力厂发生超过设计基准事故的事故工况,或合理可行地减轻这类事故工况的后果。这可能会要求增设附加的用于设计扩展工况的安全设施,或扩展安全系统的能力,来预防严重事故的发生或减轻严重事故的后果,或保持安全壳的完整性。这些附加的用于设计
36、扩展工况的安全设施或能力扩展的安全系统,必须保证具有控制事故工况的能力,这些事故工况可能导致安全壳内存在大量放射性物质(包括来自堆芯严重损伤所释放的放射性物质)。必须保证核动力厂能进入可控状态并维持安全壳功能,从而能实际消除导致早期放射性释放或大量放射性释放的核动力厂状态发生的可能性。相关的分析可采用最佳估算方法。5.1.9.3 必须使用设计扩展工况来确定安全设施和其他安全重要物项的设计规格书,这些设施和物项用于预防此类工况的发生或在此类工况发生后用于控制和减轻其后果。5.1.9.4 所开展的分析必须包括确定用于或能够预防设计扩展工况并减轻其后果的设施。这些设施需满足如下要求:(1)必须尽实际
37、可能与发生频率更高的事故中使用的设施保持独立;(2)必须能在设计扩展工况对应的环境条件中执行预期功能;(3)必须有与要求其实现的功能相符的可靠性。245.1.9.5 安全壳及其安全设施必须能够承受包括堆芯熔化在内的极端事故情景。必须采用工程判断和概率安全评价结果来选择这些事故情景。5.1.9.6 设计必须做到实际消除可能导致早期放射性释放或大量放射性释放的核动力厂工况发生的可能性。5.1.9.7 对于设计扩展工况,保护公众所采取的防护行动在持续时间和范围上必须是有限的,并必须有足够的时间来采取这些防护行动。5.1.10 事件组合如果由工程判断、确定论安全分析和概率论安全分析的结果表明事件组合将
38、可能导致预计运行事件或事故工况,则必须主要根据其发生的可能性,将这些事件组合纳入设计基准事故或设计扩展工况。某些事件可能是其他事件的后果,例如地震后的水淹。这种继发效应应视为初始假设始发事件的一部分。5.1.11 商用飞机的恶意撞击5.1.11.1 如果核动力厂所处的地形条件使其有可能遭受商用飞机的恶意撞击,则设计上应考虑这种撞击的影响。5.1.11.2 应合理选定用于评价撞击影响的商用飞机的机型,并根据这种机型起降的机场与核动力厂的相对距离,来确定可能的飞机燃料装载量。5.1.11.3 可根据核动力厂所处的地形条件和厂房布置,确定可能的撞击角度和速度,并采用现实模型来评价和确定核动力厂抗商2
39、5用飞机撞击的措施。5.1.11.4 评价结果应表明,设计可以维持反应堆堆芯的冷却或安全壳的完整性,以及乏燃料的冷却或乏燃料水池的完整性。5.2 安全系统的独立性5.2.1 必须通过实体隔离、电气隔离、功能独立和通讯(数据传输)独立等适当手段,防止安全系统之间或一个系统的冗余组成部分之间发生相互干扰。5.2.2 在核动力厂安全系统中相互冗余的设备(包括电缆和电缆管道)必须易于识别。5.3 安全分级5.3.1 必须识别所有安全重要物项,并根据其功能和安全重要性对其进行分级。5.3.2 划分安全重要物项的安全重要性的方法,必须主要基于确定论方法,并适当辅以概率论方法。使用概率论方法时,应考虑以下因
40、素:(1)该物项要执行的安全功能;(2)未能执行其安全功能的后果;(3)需要该物项执行某一安全功能的可能性;(4)假设始发事件发生后,需要该物项执行某一安全功能的时刻或持续时间。5.3.3 设计必须防止物项之间的相互影响,以保证划分为较低级别的物项中的任何故障不会蔓延到划分为较高级别的物项,从而26保证安全功能的执行。5.3.4 对执行多个功能的设备,必须按照其执行的最重要功能划分其安全等级。5.4 安全重要物项的可靠性5.4.1 安全重要物项的可靠性必须与其安全重要性相适应。5.4.2 安全重要物项的设计,必须保证设备可鉴定、采购、安装、调试、操作及维修,使其能够承受该物项设计基准中规定的所
41、有工况,并具有足够的可靠性和有效性。5.4.3 选择设备时必须考虑到误动作与不安全的故障模式。必须优先选择具有可预见的和已揭示的故障模式的设备,且该设备便于修理或更换。5.4.4 共因故障设备的设计必须适当考虑安全重要物项发生共因故障的可能性,以确定应该如何应用多样性、多重性、独立性原则来实现所需的可靠性。5.4.5 单一故障准则5.4.5.1 必须对核动力厂设计中所包括的每个安全组合都应用单一故障准则。5.4.5.2 当把单一故障准则应用于一个安全组合或安全系统时,必须将误动作视为故障的一种模式。5.4.5.3 不符合单一故障准则的情况必须是极个别的,并必须在安全分析中明确证明是正当的。27
42、5.4.5.4 设计必须适当考虑非能动部件的故障,除非能够在具有高置信度的单一故障分析中证实:该部件的故障极不可能发生,并保持其功能不受到假设始发事件的影响。5.4.6 故障安全设计必须恰当地考虑故障安全设计原则,并贯彻到核动力厂安全重要系统和部件的设计中。在适用时,应将安全重要系统和部件设计为故障安全,使其自身的故障或支持设施的故障不妨碍预定安全功能的执行。5.4.7 支持系统和辅助系统5.4.7.1 支持系统和辅助系统用于保证构成安全重要系统部分的设备可运行性时,必须相应地分级。5.4.7.2 支持系统和辅助系统的可靠性、多重性、多样性和独立性,以及用于其隔离和功能试验的措施,必须与其所支
43、持的系统的安全重要性相适应。5.4.7.3 不允许支持系统和辅助系统的任一失效,同时影响安全系统的多重部件或执行多样化安全功能的安全系统。5.5 核动力厂全寿期内的安全运行设计5.5.1 安全重要物项的标定、试验、维护、修理、更换、检查和监测5.5.1.1 设计应保证安全重要物项能够进行标定、试验、维护、修理或更换、检查和监测,以在设计基准规定的所有条件下保证其执行功能的能力并保持功能的完整性。285.5.1.2 核动力厂布置必须便于执行标定、试验、维护、修理或更换、检查和监测等活动。这些活动能够按照相关的规范和标准执行,并必须与所执行的安全功能的重要性相一致,且工作人员不致于受到过量的照射。
44、5.5.1.3 在功率运行期间,设计必须使安全重要物项在进行标定、试验或维护时各系统安全功能的可靠性没有显著降低。设计必须考虑在停堆期间执行安全重要物项标定、试验、维护、修理、更换或检查的有关措施,以便于在开展这些活动时相关物项所执行的安全功能的可靠性没有显著降低。5.5.1.4 如果某项安全重要物项的设计不能满足试验、检查或监测的要求,必须采取下列方法以说明其正当性:(1)指定其他经过验证的替代方法和(或)间接方法,如监视参考物项的试验,或使用经过验证和确认的计算方法;(2)采用保守的安全裕度或其他适当的预防措施,以应对可能预计不到的故障。5.5.2 安全重要物项的鉴定5.5.2.1 必须采
45、用安全重要物项的鉴定程序来确认核动力厂安全重要物项,这些物项能够在其整个设计寿期内以及支配性环境条件下执行其必要的预期功能,这里考虑的环境条件包括核动力厂的维修和试验。5.5.2.2 在核动力厂安全重要物项的鉴定程序中,所考虑的环境条件必须包括核动力厂设计基准中所预期的周围环境条件的变29化。5.5.2.3 安全重要物项鉴定程序必须考虑到安全重要物项预期寿期内由各种环境因素(如振动、辐照、湿度、温度)引起的老化效应。对于易遭受到外部自然事件的影响并需要在这种事件中及事件后执行其安全功能的安全重要物项,鉴定程序必须通过试验、分析或者两者的结合的方式,尽可能地复现安全重要物项所经受的工况。5.5.
46、2.4 在鉴定程序中必须考虑合理可预计的环境条件,以及可能由特定运行工况(如安全壳泄漏率定期试验)引起的异常环境条件。在可能的范围内,应该以合理的可信度表明在严重事故中必须运行的设备(如某些仪表)能够达到设计要求。5.5.3 老化管理5.5.3.1 必须确定核动力厂安全重要物项的设计寿命。设计必须提供适当的裕度,以考虑有关老化、中子辐照脆化和磨损机理,以及与服役年限有关的性能劣化的可能性,从而保证安全重要物项在其整个设计寿期内执行所必需的安全功能的能力。5.5.3.2 必须考虑到在所有正常运行状态,包括试验、维修和维修停役,以及在假设始发事件中及其后的核动力厂状态下的老化和磨损效应。5.5.3
47、.3 必须采取监测、试验、取样和检查措施,以评价设计阶段预计的老化机理,以及识别在使用中可能发生的未预期到的行为或性能劣化。305.6 人因5.6.1 优化运行人员效能的设计5.6.1.1 必须在核动力厂设计过程初期就系统地考虑人因(包括人机接口),并贯彻于设计全过程。5.6.1.2 必须规定运行人员的最低配置,以满足核动力厂进入安全状态所需全部同步操作的要求。5.6.1.3 应尽实际可能地促使有类似核动力厂运行经验的运行人员积极参与设计过程,以保证在设计过程中尽早考虑未来的运行和设备维护的需求。5.6.1.4 设计必须支持运行人员履行职责和执行任务,并必须限制操作差错的可能性及其对安全造成的
48、影响。设计过程必须适当考虑核动力厂布置、设备布置、以及包括维修程序和检查程序在内的有关程序,以便于在核动力厂各种状态下运行人员和核动力厂之间的互动。5.6.1.5 人机接口的设计必须能按照决策所需时间和行动所需时间给操纵员提供全面且易于管理的信息。向操纵员提供的用于决策和行动所需的信息必须简洁明了且无歧义。5.6.1.6 必须向操纵员提供能够进行下列工作的必要信息:(1)评估核动力厂在任何工况下的总体状态;(2)在系统和设备规定的参数限值(运行限值和条件)内运行核动力厂;(3)确认启动安全系统所需的安全动作在需要时自动触发,且31相关系统按预期要求执行功能;(4)确定手动启动特定安全动作的必要
49、性和时间。5.6.1.7 在适当考虑可用时间、预期工况和操纵员心理压力的情况下,设计必须有利于操纵员动作的成功执行。5.6.1.8 必须把对操纵员在短时间内进行干预的需求降至最低,并必须证明操纵员有足够的时间作出决策和采取行动。5.6.1.9 设计必须能够保证当某一影响核动力厂的事件发生后,控制室或辅助控制室以及通往辅助控制室的通道的环境条件不会损害运行人员的防护和安全。5.6.1.10 运行人员的工作场所和工作环境的设计必须符合工效学概念。5.6.1.11 在适当阶段必须对人因有关的特性进行验证和确认(包括使用模拟机),以确认操纵员确需采取的动作,并确认这些动作能够正确执行。5.7 其他设计
50、考虑5.7.1 多机组核动力厂的安全系统和用于设计扩展工况的安全设施5.7.1.1 多机组核动力厂中的每台机组,必须具备各自的安全系统和用于设计扩展工况的安全设施。5.7.1.2 为进一步提高安全性,设计应适当考虑允许多机组核动力厂各机组间相互连接的手段。5.7.2 含有易裂变或放射性物质的系统32核动力厂中所有可能含有易裂变或放射性物质的系统的设计,必须能够:防止可能导致放射性不受控制地向环境释放的事件发生;防止出现意外临界和过热;保证放射性释放量在正常运行工况下保持在允许的排放限值内,在事故工况下保持在可接受的限值内,并可合理达到的尽量低;便于减轻事故的放射性后果。5.7.3 用于热电联产
©2010-2025 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100