1 范圍

      本文件規定了單一故障準則應用于核電廠安全系統的電源、儀表和控制部分的一般原則和要求。

      本文件闡明單一故障準則，指導安全系統如何應用單一故障準則并提出了一個可接受的單一故障分析方法，適用于核電廠安全系統。

2 規范性引用文件

      下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 7163 核電廠安全系統的可靠性分析要求

      GB/T 9225 核電廠安全系統可靠性分析一般原則

3 術語和定義

      下列術語和定義適用于本文件。

3.1

      故障 failure

      失效

      某物項喪失規定的功能。

3.2

      可探測故障 detectable failure

      可以通過定期試驗鑒別的故障，或通過報警或異常顯示發現的故障。

      注1：在通道級、序列級或系統級檢測出的部件故障都是可探測故障。

      注2：可判別但不可探測的故障是通過分析來判斷的故障，這些故障不能通過定期試驗發現，也不能通過報警或異常顯示發現。

3.3

      定期試驗 periodic test

      為探測故障和檢查可運行性，按計劃的時間間隔所進行的試驗。

3.4

      共因故障 common cause failure

      由特定的單一事件或起因導致兩個或多個構筑物、系統或部件失效的故障。

3.5

      設計基準事件 design basis events

      在設計中采用的假設始發事件，以便確定構筑物、系統和部件可接受的性能要求。

3.6

      驅動設備 actuation device，actuator

      直接控制執行裝置原動力（電力、壓縮空氣、液壓流體等）的部件或一些部件的集合。

      注：例如電路斷路器、繼電器和先導閥等。

3.7

      執行裝置 actuated equipment

      完成一個保護動作的原動機和被驅動設備的組合。

      注：原動機的例子有汽輪機和電磁線圈。被驅動設備的例子有控制棒、泵和閥門。

3.8

      輔助支持設施 auxiliary supporting features

      為安全系統完成其安全功能提供服務（如冷卻、潤滑和動力服務）的系統或設備。

3.9

      安全系統 safety system

      安全上重要的系統，用于保證反應堆安全停堆、從堆芯排出余熱或限制預計運行事件和設計基準事故的后果。

3.10

      執行設施 execute features

      由電氣設備和機械設備及其連接件組成，在接到來自監測指令設施的信號后，執行與安全功能直接或間接有關的某一功能的設施。

      注1：執行設施的范圍從監測指令設施的輸出端開始直到并且包括執行裝置與過程的耦合處。

      注2：某種瞬態，保護動作可以通過執行設施（如止回閥，自驅動釋放閥等）對過程條件的響應來完成。

3.11

      監測指令設施 sense and command features

      產生與安全功能直接或間接有關的信號的電氣和機械設備及其連接件。

      注：監測指令設施的范圍是從被測過程變量開始，直到執行設施輸入端為止。

3.12

      安全組 safety group

      某一假設始發事件發生時，能完成其要求的安全功能的一組最少量的部件、組件和設備的組合。

      注：一個安全組包括一個或多個序列。

3.13

      安全功能 safety function

      為把核電廠參數保持在按設計基準事件確定的可接受的限值內，所必需的一種過程或狀態（例如應急負反應性引入、事故后熱量排出、應急堆芯冷卻、事故后放射性物質清除和安全殼隔離）。

      注：完成某一安全功能是由反應堆停堆系統和輔助支持設施，或者是由專設安全設施和輔助支持設施，或者是由兩者共同完成所有必需的保護動作來實現的。

3.14

      保護動作 protection action

      為完成某一安全功能，在監測指令設施內產生一個信號，或是執行設施內設備的運行。

3.15

      通道 channel

      在核電廠工況需要時，為產生一個單一保護動作信號所需要的元器件和組件的一種配置。

      注：一個通道在各單一保護動作信號的匯合處終止。

3.16

      冗余設備或系統 redundant equipment or system

      重復另一設備或系統的必要功能，且不管哪一個處于工作或故障狀態，另一個均能完成要求的功能的設備或系統。

      注：可通過相同的設備、設備多樣性或功能多樣性來實現冗余。

3.17

      共用系統 shared systems

      在多機組電廠內，能為一個以上機組完成功能的構筑物、系統和部件。

      注：共用包括下述含義：

      a）系統同時由多個機組共用；

      b）系統按時間序列共用，或者說，按照事件序列在不同時間由兩個機組共用；

      c）系統在某一給定時間僅由一個機組使用，但它可按指令從該機組斷開由另一機組使用。

3.18

      系統邏輯 system logic

      監測兩個或兩個以上通道的輸出并按預定的組合規則（如三取二、四取二等）給出信號的設備。

4 單一故障準則

      對某一設計基準事件，并同時存在下述情況時，安全系統應有能力完成全部要求的安全功能：

      a）在安全系統內存在任何單一可探測故障，并同時存在所有可判別的但不可探測的故障；

      b）由單一故障引起的所有故障；

      c）導致要求安全功能的設計基準事件或由設計基準事件引起的所有故障和誤動作。

      單一故障可能出現在要求安全系統動作的設計基準事件之前或設計基準事件期間的任何時間。

5 要求

5.1 獨立性和冗余性

      獨立性原則是有效應用單一故障準則的基礎。安全系統的設計應使某一部件的單一故障不影響與其冗余的獨立部件或系統的正確運行。

5.2 不可探測的故障

      單一故障準則應用隱含了故障的可探測性。可探測性是系統設計和規定試驗的功能之一。不能通過定期試驗探測或通過報警、異常顯示發現的故障是不可探測故障。安全系統分析目的之一是判別不可探測故障。

      應通過評估安全系統的設計來判別不可探測故障，包括假定部件級故障，并評估這些故障的影響以及探測這些故障的能力。某些設計采用冗余的部件，以緩解故障影響、提高系統可用性，或在不影響系統可用性的前提下支持維護。當對這種結構配置進行失效影響評估時，應特別關注其故障不會被定期試驗、報警或異常指示所發現的部件。不可探測故障的實例見附錄A。

      當判別了不可探測故障，應采取下列措施之一：

      ——優先采取的措施是重新設計系統或重新制定試驗方案，以使故障成為可探測的；

      ——另一可采取的措施是在分析每個單一故障的影響時，假定已存在了所有已判別的不可探測故障。

5.3 級聯故障

      當有理由認為系統中的一些附加故障是由于任一來源的單一故障引起時，則應把這些級聯故障統一考慮為單一故障。

5.4 設計基準事件

      導致需要執行安全功能的設計基準事件可引起系統部件、組件或通道故障。為了預防由設計基準事件引起的故障，安全設備的設計、鑒定和安裝宜考慮對此類故障的防護。應開展分析確定由設計基準事件引起的安全系統故障的后果。對于滿足單一故障準則的系統，當出現由于設計基準事件導致的故障，可判別的不可探測故障以及任何其他單一故障的情況下，應證明所需的安全功能仍能執行。

5.5 共因故障

      對安全系統在共因故障時執行功能的要求超出了單一故障準則和本文件的范疇。但是，在進行單一故障分析時篩除潛在的共因故障是非常重要的。作為評估安全系統整體可靠性的一部分，GB/T 9225在故障模式及影響分析（FMEA）或故障樹分析的基礎上對于定性分析進行了擴展，考慮了共因故障。因此，應該采用GB/T9225中擴展的可靠性定性分析，來識別和篩查那些在獨立部件故障的分析中通常不被考慮的共因故障機制。

      不屬于單一故障分析范圍的共因故障包括：可能由外部環境（如電壓、頻率、輻射、溫度、相對濕度、壓力、振動和電磁干擾）、設計缺陷、制造錯誤、維護錯誤和運行錯誤引起的故障。設備鑒定和質量保證大綱可用于防范外部環境影響、設計缺陷和制造錯誤。人員培訓、正確的控制室設計和運行、維護、監督規程可用于防范維護和運行人員錯誤。對數字化安全系統，共因故障的薄弱環節應進行安全系統相關的多樣性和縱深防御評估。GB/T 9225給出了導致共因故障的因素以及對于這些篩查出的潛在共因故障可能采取的預防性措施。從單一故障中篩查共因故障（CCF）的流程圖見圖1。對于識別出的其他沒有預防措施的故障，宜作為單一故障來處理并包含在單一故障的分析中。

      在GB/T 13629中提供了應用多樣性和縱深防御來應對數字計算機共因故障的指導。

5.6 共用系統

      適用于有共用系統的機組的單一故障準則如下。

      a）假設在共用系統內，或輔助支持設施內，或與共用系統接口的其他系統存在單一故障的情況下，所有機組的安全系統都應有能力完成其所要求的安全功能。

      示例：雙機組電站的每一機組中相同的安全系統共用相同的應急電源。但是，共用電源不應以額定值同時為兩個系統供電。每個機組的安全系統設有聯鎖，以避免兩個機組中的某些負荷同時運行。聯鎖可防止一個機組內的單一故障影響另一個機組的安全功能。

      b) 在每一機組未共用的系統內同時存在一個單一故障時，每一機組的安全系統都應有能力完成其所要求的功能。

      設計應保證在一個機組內的單一故障不影響（不擴展到）另一機組，從而不妨礙共用系統完成其要求的安全功能。

      在單一故障分析時，不需要同時考慮a）和b）的故障，即先對電廠進行單一故障分析論證滿足準則a），然后重復單一故障分析論證滿足準則b）。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。