1 范圍

      本文件規(guī)定了單一故障準(zhǔn)則應(yīng)用于核電廠安全系統(tǒng)的電源、儀表和控制部分的一般原則和要求。

      本文件闡明單一故障準(zhǔn)則，指導(dǎo)安全系統(tǒng)如何應(yīng)用單一故障準(zhǔn)則并提出了一個(gè)可接受的單一故障分析方法，適用于核電廠安全系統(tǒng)。

2 規(guī)范性引用文件

      下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 7163 核電廠安全系統(tǒng)的可靠性分析要求

      GB/T 9225 核電廠安全系統(tǒng)可靠性分析一般原則

3 術(shù)語(yǔ)和定義

      下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      故障 failure

      失效

      某物項(xiàng)喪失規(guī)定的功能。

3.2

      可探測(cè)故障 detectable failure

      可以通過(guò)定期試驗(yàn)鑒別的故障，或通過(guò)報(bào)警或異常顯示發(fā)現(xiàn)的故障。

      注1：在通道級(jí)、序列級(jí)或系統(tǒng)級(jí)檢測(cè)出的部件故障都是可探測(cè)故障。

      注2：可判別但不可探測(cè)的故障是通過(guò)分析來(lái)判斷的故障，這些故障不能通過(guò)定期試驗(yàn)發(fā)現(xiàn)，也不能通過(guò)報(bào)警或異常顯示發(fā)現(xiàn)。

3.3

      定期試驗(yàn) periodic test

      為探測(cè)故障和檢查可運(yùn)行性，按計(jì)劃的時(shí)間間隔所進(jìn)行的試驗(yàn)。

3.4

      共因故障 common cause failure

      由特定的單一事件或起因?qū)е聝蓚€(gè)或多個(gè)構(gòu)筑物、系統(tǒng)或部件失效的故障。

3.5

      設(shè)計(jì)基準(zhǔn)事件 design basis events

      在設(shè)計(jì)中采用的假設(shè)始發(fā)事件，以便確定構(gòu)筑物、系統(tǒng)和部件可接受的性能要求。

3.6

      驅(qū)動(dòng)設(shè)備 actuation device，actuator

      直接控制執(zhí)行裝置原動(dòng)力（電力、壓縮空氣、液壓流體等）的部件或一些部件的集合。

      注：例如電路斷路器、繼電器和先導(dǎo)閥等。

3.7

      執(zhí)行裝置 actuated equipment

      完成一個(gè)保護(hù)動(dòng)作的原動(dòng)機(jī)和被驅(qū)動(dòng)設(shè)備的組合。

      注：原動(dòng)機(jī)的例子有汽輪機(jī)和電磁線圈。被驅(qū)動(dòng)設(shè)備的例子有控制棒、泵和閥門。

3.8

      輔助支持設(shè)施 auxiliary supporting features

      為安全系統(tǒng)完成其安全功能提供服務(wù)（如冷卻、潤(rùn)滑和動(dòng)力服務(wù)）的系統(tǒng)或設(shè)備。

3.9

      安全系統(tǒng) safety system

      安全上重要的系統(tǒng)，用于保證反應(yīng)堆安全停堆、從堆芯排出余熱或限制預(yù)計(jì)運(yùn)行事件和設(shè)計(jì)基準(zhǔn)事故的后果。

3.10

      執(zhí)行設(shè)施 execute features

      由電氣設(shè)備和機(jī)械設(shè)備及其連接件組成，在接到來(lái)自監(jiān)測(cè)指令設(shè)施的信號(hào)后，執(zhí)行與安全功能直接或間接有關(guān)的某一功能的設(shè)施。

      注1：執(zhí)行設(shè)施的范圍從監(jiān)測(cè)指令設(shè)施的輸出端開(kāi)始直到并且包括執(zhí)行裝置與過(guò)程的耦合處。

      注2：某種瞬態(tài)，保護(hù)動(dòng)作可以通過(guò)執(zhí)行設(shè)施（如止回閥，自驅(qū)動(dòng)釋放閥等）對(duì)過(guò)程條件的響應(yīng)來(lái)完成。

3.11

      監(jiān)測(cè)指令設(shè)施 sense and command features

      產(chǎn)生與安全功能直接或間接有關(guān)的信號(hào)的電氣和機(jī)械設(shè)備及其連接件。

      注：監(jiān)測(cè)指令設(shè)施的范圍是從被測(cè)過(guò)程變量開(kāi)始，直到執(zhí)行設(shè)施輸入端為止。

3.12

      安全組 safety group

      某一假設(shè)始發(fā)事件發(fā)生時(shí)，能完成其要求的安全功能的一組最少量的部件、組件和設(shè)備的組合。

      注：一個(gè)安全組包括一個(gè)或多個(gè)序列。

3.13

      安全功能 safety function

      為把核電廠參數(shù)保持在按設(shè)計(jì)基準(zhǔn)事件確定的可接受的限值內(nèi)，所必需的一種過(guò)程或狀態(tài)（例如應(yīng)急負(fù)反應(yīng)性引入、事故后熱量排出、應(yīng)急堆芯冷卻、事故后放射性物質(zhì)清除和安全殼隔離）。

      注：完成某一安全功能是由反應(yīng)堆停堆系統(tǒng)和輔助支持設(shè)施，或者是由專設(shè)安全設(shè)施和輔助支持設(shè)施，或者是由兩者共同完成所有必需的保護(hù)動(dòng)作來(lái)實(shí)現(xiàn)的。

3.14

      保護(hù)動(dòng)作 protection action

      為完成某一安全功能，在監(jiān)測(cè)指令設(shè)施內(nèi)產(chǎn)生一個(gè)信號(hào)，或是執(zhí)行設(shè)施內(nèi)設(shè)備的運(yùn)行。

3.15

      通道 channel

      在核電廠工況需要時(shí)，為產(chǎn)生一個(gè)單一保護(hù)動(dòng)作信號(hào)所需要的元器件和組件的一種配置。

      注：一個(gè)通道在各單一保護(hù)動(dòng)作信號(hào)的匯合處終止。

3.16

      冗余設(shè)備或系統(tǒng) redundant equipment or system

      重復(fù)另一設(shè)備或系統(tǒng)的必要功能，且不管哪一個(gè)處于工作或故障狀態(tài)，另一個(gè)均能完成要求的功能的設(shè)備或系統(tǒng)。

      注：可通過(guò)相同的設(shè)備、設(shè)備多樣性或功能多樣性來(lái)實(shí)現(xiàn)冗余。

3.17

      共用系統(tǒng) shared systems

      在多機(jī)組電廠內(nèi)，能為一個(gè)以上機(jī)組完成功能的構(gòu)筑物、系統(tǒng)和部件。

      注：共用包括下述含義：

      a）系統(tǒng)同時(shí)由多個(gè)機(jī)組共用；

      b）系統(tǒng)按時(shí)間序列共用，或者說(shuō)，按照事件序列在不同時(shí)間由兩個(gè)機(jī)組共用；

      c）系統(tǒng)在某一給定時(shí)間僅由一個(gè)機(jī)組使用，但它可按指令從該機(jī)組斷開(kāi)由另一機(jī)組使用。

3.18

      系統(tǒng)邏輯 system logic

      監(jiān)測(cè)兩個(gè)或兩個(gè)以上通道的輸出并按預(yù)定的組合規(guī)則（如三取二、四取二等）給出信號(hào)的設(shè)備。

4 單一故障準(zhǔn)則

      對(duì)某一設(shè)計(jì)基準(zhǔn)事件，并同時(shí)存在下述情況時(shí)，安全系統(tǒng)應(yīng)有能力完成全部要求的安全功能：

      a）在安全系統(tǒng)內(nèi)存在任何單一可探測(cè)故障，并同時(shí)存在所有可判別的但不可探測(cè)的故障；

      b）由單一故障引起的所有故障；

      c）導(dǎo)致要求安全功能的設(shè)計(jì)基準(zhǔn)事件或由設(shè)計(jì)基準(zhǔn)事件引起的所有故障和誤動(dòng)作。

      單一故障可能出現(xiàn)在要求安全系統(tǒng)動(dòng)作的設(shè)計(jì)基準(zhǔn)事件之前或設(shè)計(jì)基準(zhǔn)事件期間的任何時(shí)間。

5 要求

5.1 獨(dú)立性和冗余性

      獨(dú)立性原則是有效應(yīng)用單一故障準(zhǔn)則的基礎(chǔ)。安全系統(tǒng)的設(shè)計(jì)應(yīng)使某一部件的單一故障不影響與其冗余的獨(dú)立部件或系統(tǒng)的正確運(yùn)行。

5.2 不可探測(cè)的故障

      單一故障準(zhǔn)則應(yīng)用隱含了故障的可探測(cè)性?？商綔y(cè)性是系統(tǒng)設(shè)計(jì)和規(guī)定試驗(yàn)的功能之一。不能通過(guò)定期試驗(yàn)探測(cè)或通過(guò)報(bào)警、異常顯示發(fā)現(xiàn)的故障是不可探測(cè)故障。安全系統(tǒng)分析目的之一是判別不可探測(cè)故障。

      應(yīng)通過(guò)評(píng)估安全系統(tǒng)的設(shè)計(jì)來(lái)判別不可探測(cè)故障，包括假定部件級(jí)故障，并評(píng)估這些故障的影響以及探測(cè)這些故障的能力。某些設(shè)計(jì)采用冗余的部件，以緩解故障影響、提高系統(tǒng)可用性，或在不影響系統(tǒng)可用性的前提下支持維護(hù)。當(dāng)對(duì)這種結(jié)構(gòu)配置進(jìn)行失效影響評(píng)估時(shí)，應(yīng)特別關(guān)注其故障不會(huì)被定期試驗(yàn)、報(bào)警或異常指示所發(fā)現(xiàn)的部件。不可探測(cè)故障的實(shí)例見(jiàn)附錄A。

      當(dāng)判別了不可探測(cè)故障，應(yīng)采取下列措施之一：

      ——優(yōu)先采取的措施是重新設(shè)計(jì)系統(tǒng)或重新制定試驗(yàn)方案，以使故障成為可探測(cè)的；

      ——另一可采取的措施是在分析每個(gè)單一故障的影響時(shí)，假定已存在了所有已判別的不可探測(cè)故障。

5.3 級(jí)聯(lián)故障

      當(dāng)有理由認(rèn)為系統(tǒng)中的一些附加故障是由于任一來(lái)源的單一故障引起時(shí)，則應(yīng)把這些級(jí)聯(lián)故障統(tǒng)一考慮為單一故障。

5.4 設(shè)計(jì)基準(zhǔn)事件

      導(dǎo)致需要執(zhí)行安全功能的設(shè)計(jì)基準(zhǔn)事件可引起系統(tǒng)部件、組件或通道故障。為了預(yù)防由設(shè)計(jì)基準(zhǔn)事件引起的故障，安全設(shè)備的設(shè)計(jì)、鑒定和安裝宜考慮對(duì)此類故障的防護(hù)。應(yīng)開(kāi)展分析確定由設(shè)計(jì)基準(zhǔn)事件引起的安全系統(tǒng)故障的后果。對(duì)于滿足單一故障準(zhǔn)則的系統(tǒng)，當(dāng)出現(xiàn)由于設(shè)計(jì)基準(zhǔn)事件導(dǎo)致的故障，可判別的不可探測(cè)故障以及任何其他單一故障的情況下，應(yīng)證明所需的安全功能仍能執(zhí)行。

5.5 共因故障

      對(duì)安全系統(tǒng)在共因故障時(shí)執(zhí)行功能的要求超出了單一故障準(zhǔn)則和本文件的范疇。但是，在進(jìn)行單一故障分析時(shí)篩除潛在的共因故障是非常重要的。作為評(píng)估安全系統(tǒng)整體可靠性的一部分，GB/T 9225在故障模式及影響分析（FMEA）或故障樹(shù)分析的基礎(chǔ)上對(duì)于定性分析進(jìn)行了擴(kuò)展，考慮了共因故障。因此，應(yīng)該采用GB/T9225中擴(kuò)展的可靠性定性分析，來(lái)識(shí)別和篩查那些在獨(dú)立部件故障的分析中通常不被考慮的共因故障機(jī)制。

      不屬于單一故障分析范圍的共因故障包括：可能由外部環(huán)境（如電壓、頻率、輻射、溫度、相對(duì)濕度、壓力、振動(dòng)和電磁干擾）、設(shè)計(jì)缺陷、制造錯(cuò)誤、維護(hù)錯(cuò)誤和運(yùn)行錯(cuò)誤引起的故障。設(shè)備鑒定和質(zhì)量保證大綱可用于防范外部環(huán)境影響、設(shè)計(jì)缺陷和制造錯(cuò)誤。人員培訓(xùn)、正確的控制室設(shè)計(jì)和運(yùn)行、維護(hù)、監(jiān)督規(guī)程可用于防范維護(hù)和運(yùn)行人員錯(cuò)誤。對(duì)數(shù)字化安全系統(tǒng)，共因故障的薄弱環(huán)節(jié)應(yīng)進(jìn)行安全系統(tǒng)相關(guān)的多樣性和縱深防御評(píng)估。GB/T 9225給出了導(dǎo)致共因故障的因素以及對(duì)于這些篩查出的潛在共因故障可能采取的預(yù)防性措施。從單一故障中篩查共因故障（CCF）的流程圖見(jiàn)圖1。對(duì)于識(shí)別出的其他沒(méi)有預(yù)防措施的故障，宜作為單一故障來(lái)處理并包含在單一故障的分析中。

      在GB/T 13629中提供了應(yīng)用多樣性和縱深防御來(lái)應(yīng)對(duì)數(shù)字計(jì)算機(jī)共因故障的指導(dǎo)。

5.6 共用系統(tǒng)

      適用于有共用系統(tǒng)的機(jī)組的單一故障準(zhǔn)則如下。

      a）假設(shè)在共用系統(tǒng)內(nèi)，或輔助支持設(shè)施內(nèi)，或與共用系統(tǒng)接口的其他系統(tǒng)存在單一故障的情況下，所有機(jī)組的安全系統(tǒng)都應(yīng)有能力完成其所要求的安全功能。

      示例：雙機(jī)組電站的每一機(jī)組中相同的安全系統(tǒng)共用相同的應(yīng)急電源。但是，共用電源不應(yīng)以額定值同時(shí)為兩個(gè)系統(tǒng)供電。每個(gè)機(jī)組的安全系統(tǒng)設(shè)有聯(lián)鎖，以避免兩個(gè)機(jī)組中的某些負(fù)荷同時(shí)運(yùn)行。聯(lián)鎖可防止一個(gè)機(jī)組內(nèi)的單一故障影響另一個(gè)機(jī)組的安全功能。

      b) 在每一機(jī)組未共用的系統(tǒng)內(nèi)同時(shí)存在一個(gè)單一故障時(shí)，每一機(jī)組的安全系統(tǒng)都應(yīng)有能力完成其所要求的功能。

      設(shè)計(jì)應(yīng)保證在一個(gè)機(jī)組內(nèi)的單一故障不影響（不擴(kuò)展到）另一機(jī)組，從而不妨礙共用系統(tǒng)完成其要求的安全功能。

      在單一故障分析時(shí)，不需要同時(shí)考慮a）和b）的故障，即先對(duì)電廠進(jìn)行單一故障分析論證滿足準(zhǔn)則a），然后重復(fù)單一故障分析論證滿足準(zhǔn)則b）。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。