核电厂安全系统设计基准 GB 13284-91
- 发布时间:2008年04月28日
- 作者:本站整理
- 来源:本站整理
- 浏览:
次
- 查看所有评论
- 【打印文章】
【颁布单位】:
【发 文 号】:
【颁布日期】:
【实施日期】:
【标 题】:
发布时间:1991-11-1 |
1 主题内容与适用范围 本标准规定了确定和验证核电厂安全系统设计基准准则及其文件编制准则,这些准则考虑了核电厂中反应堆、构筑物、流体系统、机械设备、仪表系统和电气系统对与放射性物质扩散有关的各种事件的综合响应。 本标准适用于核电厂保护系统、安全驱动系统(安全执行系统)和安全系统辅助设施(统称安全系统)。 2 引用标准 GB 6249 核电厂环境辐射防护规定 3 术语 3.1 极限运行条件 limiting conditions for operation 为使电厂在对公众健康和安全无过度风险的条件下连续运行,要求设备具有的最低功能或最低性能。 3.2 可运行的 operational 能够按被测变量的要求或操纵员的操作完成预定的动作。 3.3 优先电源 preferred power supply 在事故或事故后工况下,从输电系统优先给安全级电力系统供电的电源。 3.4 备用电源 standby power supply 在优先电源不能用时,被选来提供电能的电源。 3.5 监督 surveillance 监测、校核、试验、标定或检查有关系统或部件,以保证安全系统可运行并满足它们的极限运行条件的要求。 3.6 后备安全功能 back-up safety function 假设某安全功能丧失时,能代替它提供克服某些事件影响的功能。 4 设计基准要求 安全系统的设计基准要求规定: a. 根据事件发生的频度对事件的分类; b. 每类事件的极限安全后果; c. 确定需要安全功能的事件,即设计基准事件; d. 通过对设计基准事件的分析,确定安全功能以保证电厂处于安全运行限值(安全限值)之内; e. 系统的性能要求。 要通过整体响应分析(见第5章)和有关文件(见第6章)来验证设计基准。 4.1 事件分类 对于各种运行方式下的预计或假想事件,必须按表1的定义进行分类,这种分类考虑了事件的起因、预计发生的频度及需要的安全功能。每一类事件的极限后果,都必须使放射性物质的释放低于GB 6249对该频度事件所规定的限值。 4.2 极限安全后果 对表1中定义的每类事件,都必须规定一组极限安全后果。极限安全后果的限值必须足以保证事件的发生不会导致一组与该事件预计发生频度不相容的安全后果。 表1
4.2.1 正常事件的极限安全后果 任何正常事件的极限安全后果必须是: a. 所有过程变量保持在它们的运行限值之内; b. 放射性物质向环境的实际排放在GB 6249规定的正常限值内; c. 正常事件的直接后果不会造成燃料元件破损;但是,偶然的元件缺陷可能使裂变产物泄漏到反应堆冷却剂中; d. 反应堆冷却剂边界和安全壳屏障内的应力在工业规范规定的正常运行允许限值之内。 4.2.2 预计事件的极限安全后果 任何预计事件的极限安全后果必须是: a. 所有设备均处于它的极限运行条件范围内,所有过程变量都在过程安全限值以内,所有设计变量都在4.3条中规定的设计安全限值内; b. 放射性物质向环境的实际排放在GB 6249规定的限值以内; c. 事件引起的预期瞬变的直接后果不会造成燃料元件破损; d. 事件引起的负载集合在反应堆冷却剂边界和安全壳屏障内产生的应力,要在工业规范对该频度事件规定的允许限值内。 4.2.3 事故的极限安全后果 任何事故的极限安全后果必须是: a. 放射性物质向环境排放的计算值,必须在GB 6249规定的限值之内,以便放射性物质的实际排放不妨碍或不限制公众利用核电厂非居住区以外的区域; b. 堆芯的几何形状要允许堆芯得到足够冷却,以维持相应的设计变量在其设计安全限值以内(见4.3条); c. 可运行的安全系统足以在规定的时间内,把热量从堆芯传到最终热阱,维持相应的设计变量在其设计安全限值以内; d. 事件引起的负载集合在反应堆冷却剂和安全壳屏障内产生的应力,要在工业规范对该频度事件规定的允许限值内。 4.2.4 严重事故的极限安全后果 严重事故的极限安全后果必须是: a. 放射性物质向环境的实际排放在GB 6249规定的限值内; b. 堆芯几何形状允许堆芯得到足够冷却,维持相应的设计变量在其设计安全限值以内(见4.3条); c. 可运行的安全系统足以在规定的时间内,把热量从堆芯传到最终热阱,维持相应的设计变量在其设计安全限值以内; d. 事件引起的负载集合在反应堆冷却剂边界和安全壳屏障内产生的应力,要在工业规范对这种频度事件规定的允许限值内。 4.3 安全限值 核电厂的安全限值是对保护实体屏障完整性所必需的重要过程变量的限值,这些实体屏障用以防止不可控的放射性释放。如果超过任何安全限值,就必须停堆。这时,许可证持有者必须报告国家核安全部门,对事件进行检查并记录检查的结果,包括事件的起因以及为预防事件再次发生而采取的纠正措施的依据。在国家核安全部门批准以前,不得恢复运行。 为了说明确定需要安全功能的依据和便于叙述对各类事件的性能目标,本标准采用了设计安全限值和过程安全限值两个概念,但在大多数情况下,设计或过程安全限值与技术规格书中使用的安全限值是同义的。 4.3.1 设计安全限值 对预计事件、事故和严重事故,必须确定一些设计变量(如最小临界热流密度比、偏离泡核沸腾比、包壳温度和反应堆冷却剂压力),不论它们是否可测量,但能够预示没有超过极限安全后果。对每类事件,必须对每一设计变量规定一限值,只要这个设计变量处于此限值内,就保证不会超过相应的极限安全后果。这一设计变量限值称为设计安全限值。 4.3.2 过程安全限值 对于预计事件,必须确定一些可测量的并可指示的过程变量或相关过程变量(如流量、中子注量率、压力)的组合,它们在规定设计安全限值时是与设计变量等效的。必须对每一过程变量或它们的组合规定一个确定的限值,只要这个可测的过程变量或变量组合在此限值以内,就保证不会超过设计安全限值。这一过程变量的限值称作过程安全限值。 某些设计安全限值或过程安全限值并不严格地适用于短期瞬变(例如,在瞬变期间释放的能量小于承受这些能量的系统能力时),因此必须单独地考虑每种短期瞬变。 4.4 设计基准事件 通过下述程序决定的、要求某种安全功能以防止超过相应安全限值的每一事件都称为设计基准事件。必须根据电厂瞬变、故障、自然事件或意外事件引起的设计基准事件来确定对安全系统的要求。 设计基准事件特性和分类如下: 4.4.1 鉴别电厂瞬变、系统或设备故障、某个意外动作引起的所有事件,这些事件可能导致下列基本参数的变化: a. 反应性增加; b. 反应堆冷却剂流量变化; c. 反应堆冷却剂压力变化; d. 反应堆冷却剂温度变化; e. 二次冷却剂液位或总量变化; f. 电厂动力源变化; g. 电厂冷却剂供给变化; h. 安全系统及其辅助系统的变化; i. 堆芯功率分布变化; j. 放射性物质排放变化; k. 具有限值的任何其他变量的变化。 4.4.2 确定电厂在没有保护功能的情况下,对每一事件综合响应所引起的参数变化是否会超过设计安全限值或过程安全限值,确定每一事件对电厂设备的影响,评价中必须考虑两种事件,一种事件的初始条件是假定电厂应付该事件的能力降低到极限运行条件,另一种事件是假定在正常运行工况下发生的事件。 4.4.3 鉴别每一设计基准事件的起因、初始条件、发生频度及其对基本参数和安全系统的影响。 4.4.4 根据每个设计基准事件预计的起因或发生的频度,将它划分为正常事件、预计事件、事故或严重事故。 必须研究由自然事件或电厂设计应该考虑的意外事件引起的那此事件,它们可能是电厂瞬变的起因。自然事件可能有风、雨、雪、冰雹、洪水、台风、海啸、龙卷风、地震或滑坡。意外事件可能有火灾、运输工具(陆上、水上或空中)撞击、爆炸、水喷淋、水或蒸气喷射、设备淹没、厂内出现飞射物撞击。此外还必须利用这些自然事件和意外事件所引起的事件来确定对安全系统的防护要求。 4.5 安全功能 研究了电厂对事件的响应后表明需要某一安全功能时,必须考虑下述两种可供选择的方法: a. 修改电厂设计,使其不再需要该安全功能; b. 增加设计特征,提供该安全功能。 正常事件(例如,按规定程序进行的审慎操作:装料和换料、提升功率、功率运行、热备用、降功率、停堆和维修)不需要安全功能来防止超过过程安全限值。 对预计事件、事故或严重事故选定的安全功能必须在预计事件期间或以后足以防止超过过程安全限值,在事故或严重事故期间或之后足以防止超过相应的设计安全限值。 当过程安全限值与设计安全限值不同时,必须根据设计安全限值判断事件的后果。 4.5.1 安全动作 必须规定完成每一安全功能所需的安全动作,并规定动作和进程的时间顺序和空间关系及必须执行动作的环境条件。 4.5.2 安全系统通道 安全系统通道,必须足以监测与安全限值有关的变量,向相应的安全驱动设施发出信号,并完成实现安全功能所必需的动作。任一安全系统通道都可用来完成一类或几类事件或后果所要求的一个安全动作。 4.5.3 安全系统的极限整定值 必须对安全系统中与安全限值有关的每一被测变量或相关的几个被测变量的组合规定一极限整定值。此整定值必须使系统能在足够时间内触发对预计事件合适的安全动作,防止超过有关的过程或设计安全限值。另外,此整定值必须使系统能在足够的时间内触发对事故或严重事故合适的安全动作,防止超过相应的设计安全限值。规定此整定值必须考虑安全系统的响应时间、仪表误差、校准的不确定性和漂移的极限偏差。 4.6 性能 4.6.1 一般要求 安全系统必须足以保证: a. 在任何设计基准事件之后,堆芯发热率不会明显大于排热率; b. 当反应堆在运行后处于次临界状态时,能以某种速率将热量从堆芯排出,此速率由放射性物质的衰变和堆芯贮能的释放决定; c. 将任何预计事件、事故和严重事故的后果限制在适合于该事件的极限安全后果之内。 安全系统必须能在引起某一设计基准事件的工况或由此事件产生的工况之前、之中或其后一个适当的时间内,完成该事件所要求的安全动作。 当安全系统内部发生单一故障,同时预计设计基准事件的直接或间接后果可能引起系统多故障或系统受损害的情况下,安全系统必须能完成该事件所要求的安全功能。 误触发和执行安全动作不得导致裂变产物屏障或安全系统出现不符合误动作这类事件的极限安全后果的损坏。 同自然事件或意外事件(如火灾、交通工具撞击、爆炸、淹没和飞射物)有关的设计基准事件不得使安全系统的性能退化到低于它们的极限运行条件。 4.6.2 正常事件 每一过程变量的正常运行值与其安全整定值之差必须足以保证正常事件不会以不可接受的频度触发安全动作。 4.6.3 预计事件 安全系统必须能探测预计事件、触发和完成适当的安全动作,以防止相应的过程变量超过它们的过程安全限值。 4.6.4 事故和严重事故 安全系统必须能够探测事故和严重事故、触发和完成适当的安全动作,以防止事件后果超过适用于该类事件的设计安全限值。 4.6.5 安全系统辅助设施 在安全系统辅助设施退化到其极限运行条件的情况下,安全系统必须能完成其安全功能。 安全系统辅助设施中的故障不得引起需要保护动作而又妨碍这种动作的设计基准事件,不能使安全系统辅助设施退化到其极限运行条件以下水平。 当动力源参量(如频率、电压、气体压力)在安全系统设计基准范围内变化时,安全系统必须能完成它们的安全功能。动力源任何部分的任一部件故障引起动力源的任何变化都不得使安全系统的性能低于对它的最低要求。 冷却剂参量(质量和热焓)在安全系统设计基准范围之内变化时,安全系统必须能完成其安全动作。 4.6.6 操纵员的干预 每一设计基准事件发生后,在规定的时间限值之前,勿需反应堆操纵员采取任何操作,安全系统必须能完成其安全功能。在这段时间之后,操纵员可进行干预以维持反应堆的安全。此时间限值必须对所需要的操纵员的操作、操纵员的数目和配置、操纵员可得到的信息、控制器的数目和配置、以及为保护操纵人员所设计的设备都合适。 4.6.7 可靠度 为规定安全系统完成每个安全功能的可靠度,设计者必须考虑: a. 预计每一堆年内发生需要安全功能的设计基准事件的数目; b. 在需要安全功能的设计基准事件发生之后,不能完成该安全功能的后果。 4.6.8 共因故障 冗余或多样性的通道,不一定只有独立模式的故障,必须设法排除由共同原因引起的多通道故障。为确定是否存在可预料的共因故障,必须研究冗余和多样性的设备、通道和系统的故障模式,以及对它们共同的工况或操作。设计者必须通过系统分析确定: a. 被监测的过程变量在设计基准事件期间能提供所需要的信息; b. 设备能在其安装限定的方位下运行; c. 由设计基准事件引起的或引起设计基准事件的安全动作、控制动作和环境变化之间的相互影响不得妨碍减轻该事件的后果; d. 操纵和维修人员的误动作,不会轻易使处于安装方位下的设备变得不能运行。 在没有充分理由证明确实有益的情况下,设计者不得增加零部件、通道、系统或使设计复杂化。 某一特定设计基准事件的后果,不得妨碍被指定对付该事件影响的那一部分安全系统去完成它们的安全动作。 4.6.9 变量 安全系统必须监测确定安全限值所必需的每一个过程变量或相关过程变量的组合。仪表通道的敏感元件必须这样布置: a. 在引起预计事件、事故、严重事故的工况下或由这些事件引起的工况下,过程变量必须能触发在这些工况下为防止超过有关的安全限值所需要的安全动作; b. 从过程变量达到触发自动安全动作的值到实际触发该动作之间的时间,必须小于由分析证明足以防止该变量超过有关安全限值的最长时间; c. 能测得有代表性的随空间变化的过程变量。 4.7 设备性能验证 必须通过分析或试验证明,完成安全动作所需要的安全系统所有设备,在与需要安全系统工作的设计基准事件相应的环境条件下,能完成其功能。 必须通过分析或试验表明所有设备在工作寿期内,在它们退化到最低情况下的工作状况。 验证设备性能的分析方法必须通过论证性试验来确认。 4.8 运行和维修 安全系统的设计必须在不诱发设计基准事件或有保护的条件下,完成对保护系统和安全驱动系统的监督、校准、调节和修理,设计者必须特别注意防止可能违反系统设计意图的误修改。 4.9 监督 必须设置安全系统的监督手段,它们必须适于: a. 确定安全系统的性能在预定值内; b. 保证维修操作正确进行; c. 探测向不可接受工况变化的趋势; d. 确定冗余或多样性系统保持了它们的独立性; e. 证实仪表通道、逻辑通道和驱动设施的可运行性。 5 设计基准验证 必须通过模拟核电厂对设计基准事件的整体响应的分析来证明安全系统的设计是适当的。此分析必须证实在每一设计基准事件中,过程和设计变量的值不超过各自的过程安全限值和设计安全限值。在分析时除了对在设计基准事件期间和之后起作用而专门设计的那些系统功能之外,对其他系统功能不必评价。此分析必须证实: 5.1 对每种设计基准事件,安全系统在无故障和有4.6条规定的故障两种情况下,能满足设计基准要求。 5.2 安全系统可依靠备用电源运行,并且不受设计基准事件期间任何时候出现的切换瞬态的损害。这一要求必须包括估价下述三种假设条件: a. 优先电源是可用的; b. 备用电源是可用的; c. 优先电源在短时间内适用,随后在关键的时刻转换到备用电源。 5.3 在与设计基准事件相关的环境条件下,在需要维持电厂适当工况的时间内,安全系统能完成其功能。 5.4 任何设计基准事件对裂变产物屏障的影响不超过该设计基准事件的极限安全后果。对裂变产物屏障影响的分析,必须适当考虑电厂内发生设计基准事件时可能出现的所有环境条件以及技术规格书允许的所有运行工况。 6 设计基准文件 6.1 响应分析 设计基准事件的选择和分析以及整体响应分析都必须形成文件,并保持其现行有效。这一文件必须是电厂技术规格书的适用基准,也是论证电厂改进不会有害于安全的适用基准。 6.2 设计基准 必须以对各种安全系统设计者都适用的简明形式将安全系统的设计基准形成文件。每种安全功能和后备安全功能的设计基准必须包括: a. 安全功能; b. 需要安全功能的设计基准事件; c. 设计安全限值; d. 过程安全限值; e. 保护系统通道的数目、位置和性能(4.6条规定的合适性能,至少应包括响应时间、精度和量程)要求; f. 敏感元件的数目、位置和性能(4.6条规定的合适性能,至少应包括响应时间、精度和量程)要求; g. 安全驱动设施的数目、位置和性能(4.6条规定的合适性能,至少应包括响应时间、精度和量程)要求; h. 安全系统极限整定值; i. 安全系统实际整定值; j. 完成安全动作允许的时间; k. 确定安全动作完成的条件; l. 要求安全动作延续的时间; m. 各种场所的正常环境条件; n. 由需要安全功能的设计基准事件引起的或引起这种设计基准事件的环境条件。例如:电源的瞬态和稳态条件(电压、频率);其他用途的动力源(冷却剂、压缩空气或压缩气体)的瞬态和稳态条件,温度、湿度、压力、振动、辐射场、负载集合; o. 监督试验; p. 针对下述后果的保护手段:下落的物体、单一结构故障、供水管道泄漏或破裂(局部淹没)、局部火灾、局部爆炸、飞射物、前面第n项规定的环境条件; q. 安全辅助系统的数目、位置和性能要求; r. 启动安全动作的操纵员。
|
责任编辑 :小洋葱 (易 安 网 版 权 所 有 ,未 经 授 权 禁 止 使 用 ,不 能 转 载 ! )
分享或转发本文