1 范圍

      本文件規(guī)定了單一故障準(zhǔn)則應(yīng)用于核電廠安全系統(tǒng)的電源、儀表和控制部分的一般原則和要求。

      本文件闡明單一故障準(zhǔn)則，指導(dǎo)安全系統(tǒng)如何應(yīng)用單一故障準(zhǔn)則并提出了一個可接受的單一故障分析方法，適用于核電廠安全系統(tǒng)。

2 規(guī)范性引用文件

      下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 7163 核電廠安全系統(tǒng)的可靠性分析要求

      GB/T 9225 核電廠安全系統(tǒng)可靠性分析一般原則

3 術(shù)語和定義

      下列術(shù)語和定義適用于本文件。

3.1

      故障 failure

      失效

      某物項喪失規(guī)定的功能。

3.2

      可探測故障 detectable failure

      可以通過定期試驗鑒別的故障，或通過報警或異常顯示發(fā)現(xiàn)的故障。

      注1：在通道級、序列級或系統(tǒng)級檢測出的部件故障都是可探測故障。

      注2：可判別但不可探測的故障是通過分析來判斷的故障，這些故障不能通過定期試驗發(fā)現(xiàn)，也不能通過報警或異常顯示發(fā)現(xiàn)。

3.3

      定期試驗 periodic test

      為探測故障和檢查可運行性，按計劃的時間間隔所進行的試驗。

3.4

      共因故障 common cause failure

      由特定的單一事件或起因?qū)е聝蓚€或多個構(gòu)筑物、系統(tǒng)或部件失效的故障。

3.5

      設(shè)計基準(zhǔn)事件 design basis events

      在設(shè)計中采用的假設(shè)始發(fā)事件，以便確定構(gòu)筑物、系統(tǒng)和部件可接受的性能要求。

3.6

      驅(qū)動設(shè)備 actuation device，actuator

      直接控制執(zhí)行裝置原動力（電力、壓縮空氣、液壓流體等）的部件或一些部件的集合。

      注：例如電路斷路器、繼電器和先導(dǎo)閥等。

3.7

      執(zhí)行裝置 actuated equipment

      完成一個保護動作的原動機和被驅(qū)動設(shè)備的組合。

      注：原動機的例子有汽輪機和電磁線圈。被驅(qū)動設(shè)備的例子有控制棒、泵和閥門。

3.8

      輔助支持設(shè)施 auxiliary supporting features

      為安全系統(tǒng)完成其安全功能提供服務(wù)（如冷卻、潤滑和動力服務(wù)）的系統(tǒng)或設(shè)備。

3.9

      安全系統(tǒng) safety system

      安全上重要的系統(tǒng)，用于保證反應(yīng)堆安全停堆、從堆芯排出余熱或限制預(yù)計運行事件和設(shè)計基準(zhǔn)事故的后果。

3.10

      執(zhí)行設(shè)施 execute features

      由電氣設(shè)備和機械設(shè)備及其連接件組成，在接到來自監(jiān)測指令設(shè)施的信號后，執(zhí)行與安全功能直接或間接有關(guān)的某一功能的設(shè)施。

      注1：執(zhí)行設(shè)施的范圍從監(jiān)測指令設(shè)施的輸出端開始直到并且包括執(zhí)行裝置與過程的耦合處。

      注2：某種瞬態(tài)，保護動作可以通過執(zhí)行設(shè)施（如止回閥，自驅(qū)動釋放閥等）對過程條件的響應(yīng)來完成。

3.11

      監(jiān)測指令設(shè)施 sense and command features

      產(chǎn)生與安全功能直接或間接有關(guān)的信號的電氣和機械設(shè)備及其連接件。

      注：監(jiān)測指令設(shè)施的范圍是從被測過程變量開始，直到執(zhí)行設(shè)施輸入端為止。

3.12

      安全組 safety group

      某一假設(shè)始發(fā)事件發(fā)生時，能完成其要求的安全功能的一組最少量的部件、組件和設(shè)備的組合。

      注：一個安全組包括一個或多個序列。

3.13

      安全功能 safety function

      為把核電廠參數(shù)保持在按設(shè)計基準(zhǔn)事件確定的可接受的限值內(nèi)，所必需的一種過程或狀態(tài)（例如應(yīng)急負(fù)反應(yīng)性引入、事故后熱量排出、應(yīng)急堆芯冷卻、事故后放射性物質(zhì)清除和安全殼隔離）。

      注：完成某一安全功能是由反應(yīng)堆停堆系統(tǒng)和輔助支持設(shè)施，或者是由專設(shè)安全設(shè)施和輔助支持設(shè)施，或者是由兩者共同完成所有必需的保護動作來實現(xiàn)的。

3.14

      保護動作 protection action

      為完成某一安全功能，在監(jiān)測指令設(shè)施內(nèi)產(chǎn)生一個信號，或是執(zhí)行設(shè)施內(nèi)設(shè)備的運行。

3.15

      通道 channel

      在核電廠工況需要時，為產(chǎn)生一個單一保護動作信號所需要的元器件和組件的一種配置。

      注：一個通道在各單一保護動作信號的匯合處終止。

3.16

      冗余設(shè)備或系統(tǒng) redundant equipment or system

      重復(fù)另一設(shè)備或系統(tǒng)的必要功能，且不管哪一個處于工作或故障狀態(tài)，另一個均能完成要求的功能的設(shè)備或系統(tǒng)。

      注：可通過相同的設(shè)備、設(shè)備多樣性或功能多樣性來實現(xiàn)冗余。

3.17

      共用系統(tǒng) shared systems

      在多機組電廠內(nèi)，能為一個以上機組完成功能的構(gòu)筑物、系統(tǒng)和部件。

      注：共用包括下述含義：

      a）系統(tǒng)同時由多個機組共用；

      b）系統(tǒng)按時間序列共用，或者說，按照事件序列在不同時間由兩個機組共用；

      c）系統(tǒng)在某一給定時間僅由一個機組使用，但它可按指令從該機組斷開由另一機組使用。

3.18

      系統(tǒng)邏輯 system logic

      監(jiān)測兩個或兩個以上通道的輸出并按預(yù)定的組合規(guī)則（如三取二、四取二等）給出信號的設(shè)備。

4 單一故障準(zhǔn)則

      對某一設(shè)計基準(zhǔn)事件，并同時存在下述情況時，安全系統(tǒng)應(yīng)有能力完成全部要求的安全功能：

      a）在安全系統(tǒng)內(nèi)存在任何單一可探測故障，并同時存在所有可判別的但不可探測的故障；

      b）由單一故障引起的所有故障；

      c）導(dǎo)致要求安全功能的設(shè)計基準(zhǔn)事件或由設(shè)計基準(zhǔn)事件引起的所有故障和誤動作。

      單一故障可能出現(xiàn)在要求安全系統(tǒng)動作的設(shè)計基準(zhǔn)事件之前或設(shè)計基準(zhǔn)事件期間的任何時間。

5 要求

5.1 獨立性和冗余性

      獨立性原則是有效應(yīng)用單一故障準(zhǔn)則的基礎(chǔ)。安全系統(tǒng)的設(shè)計應(yīng)使某一部件的單一故障不影響與其冗余的獨立部件或系統(tǒng)的正確運行。

5.2 不可探測的故障

      單一故障準(zhǔn)則應(yīng)用隱含了故障的可探測性。可探測性是系統(tǒng)設(shè)計和規(guī)定試驗的功能之一。不能通過定期試驗探測或通過報警、異常顯示發(fā)現(xiàn)的故障是不可探測故障。安全系統(tǒng)分析目的之一是判別不可探測故障。

      應(yīng)通過評估安全系統(tǒng)的設(shè)計來判別不可探測故障，包括假定部件級故障，并評估這些故障的影響以及探測這些故障的能力。某些設(shè)計采用冗余的部件，以緩解故障影響、提高系統(tǒng)可用性，或在不影響系統(tǒng)可用性的前提下支持維護。當(dāng)對這種結(jié)構(gòu)配置進行失效影響評估時，應(yīng)特別關(guān)注其故障不會被定期試驗、報警或異常指示所發(fā)現(xiàn)的部件。不可探測故障的實例見附錄A。

      當(dāng)判別了不可探測故障，應(yīng)采取下列措施之一：

      ——優(yōu)先采取的措施是重新設(shè)計系統(tǒng)或重新制定試驗方案，以使故障成為可探測的；

      ——另一可采取的措施是在分析每個單一故障的影響時，假定已存在了所有已判別的不可探測故障。

5.3 級聯(lián)故障

      當(dāng)有理由認(rèn)為系統(tǒng)中的一些附加故障是由于任一來源的單一故障引起時，則應(yīng)把這些級聯(lián)故障統(tǒng)一考慮為單一故障。

5.4 設(shè)計基準(zhǔn)事件

      導(dǎo)致需要執(zhí)行安全功能的設(shè)計基準(zhǔn)事件可引起系統(tǒng)部件、組件或通道故障。為了預(yù)防由設(shè)計基準(zhǔn)事件引起的故障，安全設(shè)備的設(shè)計、鑒定和安裝宜考慮對此類故障的防護。應(yīng)開展分析確定由設(shè)計基準(zhǔn)事件引起的安全系統(tǒng)故障的后果。對于滿足單一故障準(zhǔn)則的系統(tǒng)，當(dāng)出現(xiàn)由于設(shè)計基準(zhǔn)事件導(dǎo)致的故障，可判別的不可探測故障以及任何其他單一故障的情況下，應(yīng)證明所需的安全功能仍能執(zhí)行。

5.5 共因故障

      對安全系統(tǒng)在共因故障時執(zhí)行功能的要求超出了單一故障準(zhǔn)則和本文件的范疇。但是，在進行單一故障分析時篩除潛在的共因故障是非常重要的。作為評估安全系統(tǒng)整體可靠性的一部分，GB/T 9225在故障模式及影響分析（FMEA）或故障樹分析的基礎(chǔ)上對于定性分析進行了擴展，考慮了共因故障。因此，應(yīng)該采用GB/T9225中擴展的可靠性定性分析，來識別和篩查那些在獨立部件故障的分析中通常不被考慮的共因故障機制。

      不屬于單一故障分析范圍的共因故障包括：可能由外部環(huán)境（如電壓、頻率、輻射、溫度、相對濕度、壓力、振動和電磁干擾）、設(shè)計缺陷、制造錯誤、維護錯誤和運行錯誤引起的故障。設(shè)備鑒定和質(zhì)量保證大綱可用于防范外部環(huán)境影響、設(shè)計缺陷和制造錯誤。人員培訓(xùn)、正確的控制室設(shè)計和運行、維護、監(jiān)督規(guī)程可用于防范維護和運行人員錯誤。對數(shù)字化安全系統(tǒng)，共因故障的薄弱環(huán)節(jié)應(yīng)進行安全系統(tǒng)相關(guān)的多樣性和縱深防御評估。GB/T 9225給出了導(dǎo)致共因故障的因素以及對于這些篩查出的潛在共因故障可能采取的預(yù)防性措施。從單一故障中篩查共因故障（CCF）的流程圖見圖1。對于識別出的其他沒有預(yù)防措施的故障，宜作為單一故障來處理并包含在單一故障的分析中。

      在GB/T 13629中提供了應(yīng)用多樣性和縱深防御來應(yīng)對數(shù)字計算機共因故障的指導(dǎo)。

5.6 共用系統(tǒng)

      適用于有共用系統(tǒng)的機組的單一故障準(zhǔn)則如下。

      a）假設(shè)在共用系統(tǒng)內(nèi)，或輔助支持設(shè)施內(nèi)，或與共用系統(tǒng)接口的其他系統(tǒng)存在單一故障的情況下，所有機組的安全系統(tǒng)都應(yīng)有能力完成其所要求的安全功能。

      示例：雙機組電站的每一機組中相同的安全系統(tǒng)共用相同的應(yīng)急電源。但是，共用電源不應(yīng)以額定值同時為兩個系統(tǒng)供電。每個機組的安全系統(tǒng)設(shè)有聯(lián)鎖，以避免兩個機組中的某些負(fù)荷同時運行。聯(lián)鎖可防止一個機組內(nèi)的單一故障影響另一個機組的安全功能。

      b) 在每一機組未共用的系統(tǒng)內(nèi)同時存在一個單一故障時，每一機組的安全系統(tǒng)都應(yīng)有能力完成其所要求的功能。

      設(shè)計應(yīng)保證在一個機組內(nèi)的單一故障不影響（不擴展到）另一機組，從而不妨礙共用系統(tǒng)完成其要求的安全功能。

      在單一故障分析時，不需要同時考慮a）和b）的故障，即先對電廠進行單一故障分析論證滿足準(zhǔn)則a），然后重復(fù)單一故障分析論證滿足準(zhǔn)則b）。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。