HAF 102 核动力厂设计安全规定2004.pdf

《HAF 102 核动力厂设计安全规定2004.pdf》由会员分享，可在线阅读，更多相关《HAF 102 核动力厂设计安全规定2004.pdf（59页珍藏版）》请在麦多课文档分享上搜索。

1、HAF102 核动力厂设计安全规定 （2004 年 4月 18日国家核安全局批准发布，2004 年修改） 本规定自 2004年 4 月 18日起实施 本规定由国家核安全局负责解释 1 引 言 1.1 目的 本规定提出了陆上固定式热中子反应堆核动力厂的核安全 原则，确定了保证核安全所必需的基本要求。这些要求适用于 核动力厂安全功能及相关的构筑物、系统和部件，并适用于核 动力厂中的安全重要规程。规定中只强调设计中必须满足的要 求，对于如何满足这些要求则不作具体规定。 附件、与本规定具有同等法律效力。 附录是对本规定的说明和补充。 本规定适用于核动力厂设计、制造、建造、运行和监督管 理。 1.2 范

2、围 1.2.1 本规定阐述了安全重要构筑物、系统和部件为实现核动 力厂的安全运行和防止或减轻可能危及安全的事件后果所必须 满足的设计要求。本规定还提出了进行全面安全评价的要求， 以确定核动力厂在各种运行状态和事故工况下可能产生的潜在 危险。这种安全评价过程涉及确定论安全分析和概率论安全分 析这两种互补的技术。这些分析必须考虑假设始发事件，包括1可能单独地或组合地影响安全的诸多因素。这些事件有如下几 种类型： (1) 源自核动力厂运行本身； (2) 由人员行动引起； (3) 直接与核动力厂及其环境有关。 1.2.2 本规定还涉及到极不可能发生的事件，例如可能导致大 量放射性释放的严重事故，设计中

3、对此类事件提供预防或缓解 措施是适当的和可行的。 1.2.3 本规定不考虑下列事件： (1) 极不可能发生的外部自然事件或人为事件 （诸如陨石或 人造卫星撞击）； (2) 极不可能影响核动力厂安全的工业事故； (3) 由核动力厂运行引起的非放射性影响。 1.2.4 本规定中的核动力厂主要系指用于发电或其他供热应用 （诸如集中供热或海水淡化）而设计的，采用水冷反应堆的陆 上固定式核动力厂。 本规定原则上也适用于其他类型的陆上固定式热中子反应 堆核动力厂。 2 安全目标和纵深防御概念 2.1 安全目标 2.1.1 总的核安全目标：在核动力厂中建立并保持对放射性危 害的有效防御，以保护人员、社会和环

4、境免受危害。 2.1.2 总的核安全目标由辐射防护目标和技术安全目标所支 持，这两个目标互相补充、相辅相成，技术措施与管理性和程 序性措施一起保证对电离辐射危害的防御。 (1) 辐射防护目标： 保证在所有运行状态下核动力厂内的辐2(2) 技术安全目标： 采取一切合理可行的措施防止核动力厂 事故，并在一旦发生事故时减轻其后果；对于在设计该核动力 厂时考虑过的所有可能事故，包括概率很低的事故，要以高可 信度保证任何放射性后果尽可能小且低于规定限值；并保证有 严重放射性后果的事故发生的概率极低。 2.1.3 安全目标要求核动力厂的设计和运行使得所有辐射照射 的来源都处在严格的技术和管理措施控制之下。

5、辐射防护目标 不排除人员受到有限的照射，也不排除法规许可数量的放射性 物质从处于运行状态的核动力厂向环境的排放。此种照射和排 放必须受到严格控制， 并且必须符合运行限值和辐射防护标准。 2.1.4 为了实现上述安全目标，在设计核动力厂时，要进行全 面的安全分析，以便确定所有照射的来源，并评估核动力厂工 作人员和公众可能受到的辐射剂量， 以及对环境的可能影响 （见 4.4.1条）。此种安全分析要考察以下内容：(1)核动力厂所有 计划的正常运行模式；(2)发生预计运行事件时核动力厂的性 能；(3)设计基准事故；(4)可能导致严重事故的事件序列。在 分析的基础上， 确认工程设计抵御假设始发事件和事故

6、的能力， 验证安全系统和安全相关物项或系统的有效性，以及确定应急 响应的要求。 2.1.5 尽管采取措施将所有运行状态下的辐射照射控制在合理 可行尽量低， 并将能导致辐射来源失控事故的可能性减至最小， 但仍然存在发生事故的可能性。这就需要采取措施以保证减轻 放射性后果。这些措施包括：专设安全设施、营运单位制定的 厂内事故处理规程以及国家和地方有关部门制定的厂外干预措 施。核动力厂的安全设计适用以下原则：能导致高辐射剂量或3大量放射性释放的核动力厂状态的发生概率极低；具有大的发 生概率的核动力厂状态只有较小或者没有潜在的放射性后果。 2.2 纵深防御概念 2.2.1纵深防御概念贯彻于安全有关的全

7、部活动，包括与组织、 人员行为或设计有关的方面，以保证这些活动均置于重叠措施 的防御之下，即使有一种故障发生，它将由适当的措施探测、 补偿或纠正。在整个设计和运行中贯彻纵深防御，以便对由厂 内设备故障或人员活动及厂外事件等引起的各种瞬变、预计运 行事件及事故提供多层次的保护。 2.2.2 纵深防御概念应用于核动力厂的设计，提供一系列多层 次的防御（固有特性、设备及规程），用以防止事故并在未能 防止事故时保证提供适当的保护。 (1) 第一层次防御的目的是防止偏离正常运行及防止系统 失效。这一层次要求：按照恰当的质量水平和工程实践，例如 多重性、独立性及多样性的应用，正确并保守地设计、建造、 维修

8、和运行核动力厂。为此，应十分注意选择恰当的设计规范 和材料，并控制部件的制造和核动力厂的施工。能有利于减少 内部灾害的可能、减轻特定假设始发事件的后果或减少事故序 列之后可能的释放源项的设计措施均在这一层次的防御中起作 用。还应重视涉及设计、制造、建造、在役检查、维修和试验 的过程，以及进行这些活动时良好的可达性、核动力厂的运行 方式和运行经验的利用等方面。整个过程是以确定核动力厂运 行和维修要求的详细分析为基础。 (2) 第二层次防御的目的是检测和纠正偏离正常运行状态， 以防止预计运行事件升级为事故工况。尽管注意预防，核动力 厂在其寿期内仍然可能发生某些假设始发事件。这一层次要求 设置在安全

9、分析中确定的专用系统，并制定运行规程以防止或4(3) 设置第三层次防御是基于以下假定：尽管极少可能，某 些预计运行事件或假设始发事件的升级仍有可能未被前一层次 防御所制止，而演变成一种较严重的事件。这些不大可能的事 件在核动力厂设计基准中是可预计的，并且必须通过固有安全 特性、故障安全设计、附加的设备和规程来控制这些事件的后 果，使核动力厂在这些事件后达到稳定的、可接受的状态。这 就要求设置的专设安全设施能够将核动力厂首先引导到可控制 状态，然后引导到安全停堆状态，并且至少维持一道包容放射 性物质的屏障。 (4) 第四层次防御的目的是针对设计基准可能已被超过的 严重事故的，并保证放射性释放保持

10、在尽实际可能的低。这一 层次最重要的目的是保护包容功能。除了事故管理规程之外， 这可以由防止事故进展的补充措施与规程，以及减轻选定的严 重事故后果的措施来达到。由包容提供的保护可用最佳估算方 法来验证。 (5) 第五层次， 即最后层次防御的目的是减轻可能由事故工 况引起潜在的放射性物质释放造成的放射性后果。这方面要求 有适当装备的应急控制中心及厂内、厂外应急响应计划。 2.2.3 纵深防御概念应用的另一方面是在设计中设置一系列的 实体屏障，以包容规定区域的放射性物质。所必需的实体屏障 的数目取决于可能的内部及外部灾害和故障的可能后果。就典 型的水冷反应堆而言，这些屏障可能是燃料基体、燃料包壳、

11、 反应堆冷却剂系统压力边界和安全壳。 53 安全管理要求 3.1 管理职责 营运单位对安全负全面责任。但是，所有从事安全重要活动 的单位，都有责任保证将安全事务放在最优先的位置。设计单 位必须保证核动力厂设计满足营运单位的要求，包括用户 的 标准化要求；保证设计考虑了安全方面的最新进展；保证设计 与设计规格书和安全分析一致；保证设计满足国家有关监管要 求；保证设计满足有效的质量保证大纲的各项要求；并保证正 确地考虑了任何设计变更的安全性。为此，设计单位必须遵循 下述要求： (1) 明确划分职责以及相应的权限范围与联系渠道； (2) 保证它在所有层次上都拥有足够的技术上合格且受过 适当培训的人员

12、； (3) 明确地规定负责设计的不同部分的各个小组之间的接 口，并明确设计单位、用户、设备供应厂商、建造单位和其他 承包单位之间恰当的接口； (4) 制定并严格遵守完备的程序； (5) 定期审查、监督和监查一切与安全有关的设计事务； (6) 保证保持良好的安全文化水平。 3.2 设计管理 3.2.1 核动力厂设计管理必须保证安全重要构筑物、系统和部 件有合适的性能、技术规范和材料成份，使得安全功能得到执 行，并使核动力厂在其整个设计寿命期间能够安全运行和具有 必要的可靠性，且能防止事故的发生和把保护厂区人员、公众 和环境作为首要任务。 这里用户系指营运单位、电力公司和供热公司等。63.2.2

13、设计管理必须保证满足营运单位的要求，并对营运单位 人员的能力和局限性给予适当的考虑。设计单位必须提供充分 的安全设计资料，以保证核动力厂的安全运行、维修和允许以 后能对核动力厂进行修改，同时推荐可纳入核动力厂的管理规 程和运行规程（即运行限值和条件）的实践。 3.2.3 设计管理必须考虑确定论安全分析和补充性的概率论安 全分析的结果，并通过合适的迭代过程以保证适当考虑防止事 故的发生及减轻其后果。 3.2.4 设计管理必须保证采用合适的设计措施以及运行与退役 实践，使产生的放射性废物的活度和体积保持尽可能的小。 3.3 经验证的工程实践 3.3.1 只要可能，安全重要构筑物、系统和部件就必须按

14、照经 批准的最新的或当前适用的规范和标准进行设计；其设计必须 是此前在相当使用条件下验证过的；并且这些物项的选择必须 与安全所要求的核动力厂可靠性目标相一致。对于用作设计准 则的规范和标准必须加以鉴别和评价，以确定其适用性、恰当 性和充分性，并根据需要进行补充或修改，以保证最后的质量 与所需的安全功能相适应。 3.3.2 当引入未经验证的设计或设施，或存在着偏离已有的工 程实践时，必须借助适当的支持性研究计划，或通过其他相关 的应用中获得的运行经验的检验，来证明其安全性是合适的。 这种开发性工作必须在投入使用前经过充分的试验，并在使用 中进行监测，以便验证已达到了预期效果。 3.3.3 选择设

15、备时必须考虑到误动作和不安全的故障模式（例 如要求脱扣时不能脱扣）。对构筑物、系统和部件预期会发生 故障并需采取设计措施的地方，必须优先选择具有可预见的和 已揭示的故障模式的且便于修理或更换的设备。 73.4 运行经验和安全研究 设计必须充分考虑从运行的核动力厂中取得的相关运行经 验和相关研究的成果。 3.5 安全评价 3.5.1 必须进行全面的安全评价，以证实交付制造、建造和竣 工的设计满足设计过程开始时提出的安全要求。 3.5.2 安全评价必须成为设计过程的一部分，同时在设计和证 实性分析活动之间存在迭代过程，而且随着设计计划的进展其 范围不断扩大和详细程度不断提高。 3.5.3 安全评价

16、必须基于安全分析得到的数据、以往的运行经 验、支持性研究的成果，以及经验证的工程实践。 3.6 安全评价的独立验证 在提交国家核安全监管部门以前，营运单位必须保证由未参 与相关设计的个人或团体对安全评价进行独立验证。 3.7 质量保证 3.7.1 必须制定和实施描述核动力厂设计的管理、执行和评价 的总体安排的质量保证大纲。这个大纲必须由每个构筑物、系 统和部件的更详细计划来支持，以便始终保证设计质量。 3.7.2 设计，包括后来的变更或安全的改进，必须按照合适的 工程规范和标准所确定的程序进行，并必须体现适用的要求和 设计基准。必须确定和控制设计接口。 3.7.3 设计（包括设计手段和设计输入

17、与输出）的恰当与否， 必须由原先从事此工作的人员以外的个人或团体进行验证或核 实。验证、确认和批准必须在做施工设计之前完成。 84 主要技术要求 4.1 纵深防御要求 4.1.1 第 2 章中所描述的纵深防御概念必须在设计过程中加以 体现： (1) 设计必须提供多重的实体屏障， 防止放射性物质不受控 制地释放到环境； (2) 设计必须是保守的，建造必须是高质量的，从而为使核 动力厂的故障和偏离正常运行减至最少并为防止事故提供了可 信度； (3) 设计必须利用固有特性和专设设施在发生假设始发事 件期间及之后控制核动力厂的行为，即必须通过设计尽可能地 使不受控制的瞬变过程减至最少甚至排除； (4)

18、 设计必须对核动力厂提供附加控制， 这些附加控制采用 安全系统的自动触发，以便在假设始发事件的早期阶段尽量减 少操纵员的动作，附加控制包括操纵员的动作； (5) 设计必须尽实际可能提供控制事故过程和限制其后果 的设备和规程； (6) 设计必须提供多种手段来保证实现每项基本安全功能， 即控制反应性、排出热量和包容放射性物质，从而保证各道屏 障的有效性和减轻任何假设始发事件的后果。 4.1.2为了贯彻纵深防御概念，设计必须尽实际可能地防止： (1) 出现影响实体屏障完整性的情况； (2) 屏障在需要它发挥作用时失效； (3) 一道屏障因另一道屏障的失效而失效。 4.1.3 除极不可能的假设始发事件

19、外，设计必须使第一层次至 多第二层次防御能够阻止所有假设始发事件升级为事故工况。 4.1.4 设计必须考虑到这样的事实：当缺少某一层次防御时，9多层次防御的存在并不是继续进行功率运行的充分条件。虽然 对于除功率运行以外的各种运行模式来说，可视情况规定某些 放松条件， 但在功率运行下所有各层次防御都必须总是可用的。 4.2 安全功能 4.2.1 整个安全措施的目标必须是：提供充分的手段使核动力 厂保持正常的运行状态；保证发生假设始发事件之后立即作出 正确的短期响应；以及发生任何设计基准事故期间和之后及发 生那些所选定的超设计基准事故的事故工况之后便于对核动力 厂进行管理。 4.2.2 为了保证安

20、全，在各种运行状态下、在发生设计基准事 故期间和之后，以及尽实际可能在发生所选定的超设计基准事 故的事故工况下，都必须执行下列基本安全功能： (1) 控制反应性； (2) 排出堆芯热量； (3) 包容放射性物质和控制运行排放，以及限制事故释放。 这三项基本安全功能进一步详细划分的实例见附录。 4.2.3 必须用全面的、系统的方法来确定在发生假设始发事件 后的各个时期中完成这些安全功能所必需的构筑物、系统和部 件。 4.3 事故预防和核动力厂安全特性 核动力厂设计必须使其对假设始发事件的敏感性减到最小。 核动力厂对任何假设始发事件的预期响应，必须是下列可合理 达到的情况（以重要性为序）： (1)

21、 依靠核动力厂的固有特性， 使假设始发事件不会产生与 安全有关的重大影响，或只使核动力厂产生趋向于安全状态的 变化； (2) 发生假设始发事件后， 核动力厂借助非能动安全设施或10(3) 发生假设始发事件后， 借助为了响应该事件而必需投入 运行的那些安全系统的作用使核动力厂趋于安全； (4) 发生假设始发事件后， 借助专门规程使核动力厂趋于安 全。 4.4 辐射防护和验收准则 4.4.1为了在设计核动力厂时实现 2.1.12.1.2条中给出的安 全目标，必须逐一确定并适当考虑所有现实的和潜在的辐射来 源，并必须采取措施，保证这些辐射来源保持在严格的技术和 管理控制之下。 4.4.2 必须采取措

22、施保证实现 2.1.2 条中给出的辐射防护目标 和技术安全目标，并保证公众和厂区人员在包括维修和退役的 所有运行状态下受到的辐射剂量不超过规定限值并且合理可行 尽量低。 4.4.3 设计必须以防止或减轻（在无法防止时）由设计基准事 故和选定的严重事故引起的辐射照射作为目标。设计必须采取 措施保证公众和厂区人员可能受到的辐射剂量不超过可接受限 值并且合理可行尽量低。 4.4.4 必须将有可能导致高辐射剂量或放射性释放的核动力厂 状态发生的概率限制在很低的水平，并必须保证发生概率高的 核动力厂状态仅产生微小的潜在放射性后果。必须以这些要求 为基础，规定核动力厂设计的放射性验收准则。 4.4.5 通

23、常有为数有限的几组放射性验收准则，并与核动力厂 不同的状态相对应。这些核动力厂状态一般包括：正常运行、 预计运行事件、设计基准事故和严重事故。这几种状态的放射 性验收准则，作为一个最低的安全水平，必须满足国家核安全11监管部门的要求。 5 核动力厂设计要求 5.1 安全分级 5.1.1 必须首先确定属于安全重要物项的所有构筑物、系统和 部件，包括仪表和控制软件，然后根据其安全功能和安全重要 性分级。它们的设计、建造和维修必须使其质量和可靠性与这 种分级相适应。 5.1.2 划分某一构筑物、系统或部件安全重要性的方法必须主 要基于确定论方法，适当时辅以概率论方法和工程判断，同时 考虑如下因素：

24、(1) 该物项要执行的安全功能； (2) 未能执行其功能的后果； (3) 需要该物项执行某一安全功能的可能性； (4) 假设始发事件后需要该物项投入运行的时刻或持续运 行时间。 5.1.3 必须在不同级别的构筑物、系统和部件之间提供合适的 接口设计，以保证划分为较低级别的系统中的任何故障不会蔓 延到划分为较高级别的系统。 5.2 总的设计基准 5.2.1 概述 5.2.1.1 设计基准必须规定核动力厂的必备能力，以适应在规 定的辐射防护要求范围内所确定的运行状态和设计基准事故。 设计基准必须包括正常运行技术规格、假设始发事件造成的核 动力厂状态、安全分级、重要假设，以及在某些情况下特定的 分析

25、方法。 125.2.1.2 在正常运行、预计运行事件和设计基准事故的设计基 准中，必须采用保守的设计措施和良好的工程实践，以保障不 会发生反应堆堆芯的任何重大损坏；辐射剂量保持在规定限值 内，并合理可行尽量低。 5.2.1.3 除设计基准外，设计中还必须考虑核动力厂在特定的 超设计基准事故包括选定的严重事故中的行为。这些评价所使 用的假设和方法可以最佳估算为基础。 5.2.2 核动力厂状态分类 必须确定核动力厂状态并按其发生的概率分成几类。这些类 别通常包括正常运行、预计运行事件、设计基准事故和严重事 故。必须为每个类别确定验收准则，并且这些准则考虑到如下 要求：频繁发生的假设始发事件必须仅有

26、微小的或根本没有放 射性的后果， 而可能导致严重后果的事件的发生概率必须很低。 5.2.3 假设始发事件 设计核动力厂时，必须认识到纵深防御的各层次都可能受到 考验，因而必须提供设计措施，以保证完成所需的安全功能和 满足安全目标。这些考验来源于假设始发事件，这些事件是根 据确定论方法或概率论方法或这两者的组合选定的。在设计中 通常不考虑概率很低的各种独立事件同时发生。 5.2.4 内部事件 必须分析假设始发事件（见附件），以便确定所有可能影 响核动力厂安全的内部事件。这些事件可能包括设备故障或误 操作。 5.2.4.1火灾和爆炸 设计和布置安全重要构筑物、系统和部件时，除满足其他 安全要求外，

27、还必须尽量降低外部或内部事件引发火灾和爆炸 的可能性及其后果。必须保持停堆、排出余热、包容放射性物 质和监测核动力厂状态的能力。为满足这些要求，必须通过采13用多重部件、多样系统、实体分隔和故障安全设计的适当组合， 以便实现下述目标： (1) 防止火灾发生； (2) 及时探测发生的火灾并迅速灭火，以限制火灾后果； (3) 防止未扑灭的火势蔓延， 以使其对核动力厂重要功能的 影响减至最小。 必须进行核动力厂火灾危害性分析，以确定所需的防火屏 障耐火能力，并且提供必要能力的火灾探测系统和灭火系统。 必要时，灭火系统必须能自动启动，系统的设计和布置必 须保证在其出现破裂、误动作或意外操作时不至于显著

28、损害安 全重要构筑物、系统和部件的功能，并不会同时影响多重安全 组合而使为满足单一故障准则所采取的措施变得无效。 在整个核动力厂中，尤其是在诸如安全壳和控制室等场所 中，只要可行，必须采用不可燃的或阻燃的和耐热的材料。 5.2.4.2其他内部灾害 核动力厂设计必须考虑发生诸如以下内部灾害的可能性： 内部水淹、飞射物、管道甩动、喷射流冲击或者破损系统或现 场其他设施中的流体释放。必须提供适当的预防和缓解措施， 以保证核安全不受到损害。一些外部事件可能引发内部火灾或 水灾和可能导致飞射物的产生。适当时，也必须在设计中考虑 这种外部和内部事件的相互影响。 如果不同压力下运行的两个流体系统是相互连接的

29、，那么 这两个系统或者都必须按较高的压力设计， 或者必须采取措施， 防止发生单一故障时在较低压力下运行的系统超过设计压力。 5.2.5 外部事件 5.2.5.1 必须针对计划的厂址和核动力厂的组合确定作为设计 基准的外部自然事件和外部人为事件。必须考虑所有那些可能 造成重大放射性风险的事件。必须组合使用确定论方法和概率14论方法来选定核动力厂设计应承受的一组外部事件，并确定设 计基准。 5.2.5.2 必须考虑的外部自然事件包括在描述厂址特征时已确 定的那些事件，如地震、洪水、狂风、龙卷风、海啸（潮汐波） 和极端气象条件。必须考虑的外部人为事件包括描述厂址特征 时已确定的那些事件和由此导出设计

30、基准的事件。在设计过程 初期必须重新评价这些事件清单的完整性。 5.2.6 厂址特征 5.2.6.1 在确定核动力厂设计基准时，必须考虑核动力厂与环 境之间的各种相互作用，包括人口、气象、水文、地质和地震 等因素。还必须考虑核动力厂安全和保护公众可能依赖的电力 供应和消防服务之类的厂外服务的可用性。 5.2.6.2 必须对在热带、干旱或火山附近地区选址的核动力厂 项目进行专门评价，以确定因该厂址的特征可能需要的特殊设 计设施。 5.2.7 事件的组合 若随机发生的单个事件的组合能可信地导致预计运行事件 或事故工况，则必须在设计中考虑到这种组合。某些事件可能 是其他事件的后果，如地震后发生水灾。

31、这种随之发生的效应 必须视为原假设始发事件的一部分。 5.2.8 设计规范 5.2.8.1 必须规定构筑物、系统和部件的工程设计规范，并且 必须使其符合国家有关监管机构认可的合适的国家标准和工程 实践（见 3.3条），或国际上使用的、其使用是合适的、而且 是国家有关监管机构认可的标准或实践。 5.2.8.2 核动力厂的抗震设计必须提供充分的安全裕度，以抵 御地震事件的影响。 5.2.9 设计限值 15必须为各种运行状态和设计基准事故规定一套与每个构筑 物、系统或部件的主要物理参数相适应的设计限值。 5.2.10运行状态 5.2.10.1核动力厂必须设计成能够在规定的各种参数（例如压 力、温度和

32、功率参数）范围内安全运行，并且最低限度必须有 一套特定的安全系统辅助设施 （例如辅助给水能力和应急电源） 是可用的。核动力厂的设计必须是，对范围广泛的预计运行事 件的响应允许核动力厂安全运行或必要时停堆，不必采取超出 纵深防御第一层次或至多不超出第二层次的措施。 5.2.10.2 在诸如启动、换料和维修之类的低功率和停堆状态 下，安全系统的可用性可能降低，在设计中必须考虑此时发生 事故的可能性， 并且必须规定对安全系统不可用性的适当限制。 5.2.10.3设计过程中必须针对核动力厂安全运行的要求，制定 一组运行要求和限制，包括： (1) 安全系统整定值； (2) 工艺变量和其他重要参数的控制系

33、统和过程限制； (3) 为保证各构筑物、系统和部件执行设计中预定的功能， 对核动力厂规定维修、试验和检查的要求，并考虑合理可行尽 量低的辐射防护原则； (4) 明确地规定运行配置， 包括安全系统停役情况下的运行 限制。 5.2.10.4 这些要求和限制必须是营运单位制定核动力厂的运 行限值和条件的依据，在这种条件下，营运单位将获准运行核 动力厂。 5.2.11设计基准事故 5.2.11.1必须根据假设始发事件（见附件）清单得出一套设 计基准事故，以便设定设计安全重要构筑物、系统和部件的边 界条件。 165.2.11.2 在为响应某一假设始发事件而需要立即采取可靠行 动时，必须采取措施自动启动所

34、需的安全系统，以防止发展成 可能威胁下一道屏障的更严重工况。在不需要立即动作的情况 下，可允许手动启动系统或操纵员的其他行动，条件是需要有 足够的时间来判断这种行动的必要性和确定合适的规程（如管 理规程、运行规程和应急规程），以保证这些行动的可靠性。 5.2.11.3 必须考虑诊断核动力厂状态和使核动力厂及时地进 入长期稳定停堆工况可能需要的操纵员行动，并必须通过设置 适当的仪表以有利于监测核动力厂状态和监控设备的手动操 作。 5.2.11.4 手动响应和恢复过程所需的任何设备必须放置在最 合适的位置，以保证需要时随时能用和在预计环境条件下允许 人员接近。 5.2.12严重事故 超设计基准事故

35、中的某些概率很低的核动力厂状态，可能 由安全系统多重故障而引起，并导致堆芯明显恶化，它们可能 危及多层或所有用于防止放射性物质释放的屏障的完整性。这 些事件序列被称之为严重事故。必须采用工程判断和概率论相 结合的方法来考虑这些严重事故序列，针对这些序列确定合理 可行的预防或缓解措施。可接受的方法应该基于现实的或最佳 估算的假设、方法和分析准则，而不必运用确定和评价设计基 准事故时所采用的保守的工程方法。根据运行经验、有关的安 全分析和安全研究的结果，针对严重事故，设计中必须考虑的 事项有： (1) 必须采用概率论、 确定论和正确的工程判断相结合的方 法，确定可能导致严重事故的重要事件序列。 (

36、2) 必须对照有关准则审查这些事件序列， 以确定必须在设 计中考虑哪些严重事故。 17(3) 对于能降低这些选定事件发生的概率或者当这些选定 事件发生时能减轻其后果的可能的设计修改或规程修改，必须 加以评价，如属合理可行则必须实施这种修改。 (4) 必须考虑核动力厂整个设计能力， 包括超过其原来预定 功能和预计运行状态下可能使用某些系统（即安全系统和非安 全系统）和使用附加的临时系统，使核动力厂回到受控状态和/ 或减轻严重事故的后果，条件是可以表明这些系统能够在预计 的环境条件下起作用。 (5) 对于多机组核动力厂， 必须考虑使用其他机组可利用的 手段和/或支持，条件是其他机组的安全运行不会受

37、到损害。 (6) 必须在计及有代表性和起主导作用的严重事故情况下 制定事故管理规程。 5.3 构筑物、系统和部件的可靠性设计 安全重要构筑物、系统和部件必须设计成能以足够的可靠性 承受所有确定的假设始发事件（见附件）。 5.3.1 共因故障 必须考虑安全重要物项发生共因故障的可能性，以确定应 该在哪些地方应用多样性、多重性和独立性原则来实现所需的 可靠性。 5.3.2 单一故障准则 5.3.2.1 必须对核动力厂设计中所包括的每个安全组合都应用 单一故障准则。 5.3.2.2 为检验核动力厂是否符合单一故障准则，必须对有关 安全组合进行下述分析：假设单一故障（及其全部继发故障） 依次发生在安全

38、组合的各个单元上，直至分析了全部可能故障 为止。然后对各有关安全组合逐一进行分析，直至考虑了所有 安全组合和全部故障为止。（在本规定中，为获得所必需的可18靠性而必须采用多重性设计的那些安全功能或执行这些安全功 能的系统均须由“假设单一故障”加以确认）在上述系统中假 设单一故障是所述过程中的一部分。单一故障分析中，不考虑 同时发生一个以上的随机故障。 5.3.2.3 当把此概念运用于一个安全组合或系统时，误动作必 须视为故障的一种模式。 5.3.2.4 当按照下列条件应用上述分析时，如果表明每个安全 组合均能完成各自的安全功能，则认为符合了单一故障准则的 要求： (1) 假定假设始发事件对该安

39、全组合会发生任何可能的有 害后果； (2) 假设执行所需安全功能的安全系统处于许可的最不利 配置，并考虑到维护、试验、检查和修理以及允许的设备停役 时间。 5.3.2.5 不符合单一故障准则的情况必须是极个别的，并必须 在安全分析中明确证明是正当的。 5.3.2.6 某一非能动部件的设计、制造、在役检查和维修均达 到很高的质量水平，并且保持不受到假设始发事件的影响，则 在单一故障分析中可以不必假设它会发生故障。但是，当假定 某一非能动部件不发生故障时，必须从该部件所受的载荷、所 处的环境以及始发事件发生后要求该部件执行其功能的全时程 的角度来论证这种分析方法的合理性。 5.3.3 故障安全设计

40、 故障安全设计原则必须恰当地考虑，并贯彻到核动力厂安 全重要系统和部件的设计中。核动力厂系统必须设计成在该系 统或其部件发生故障时不需要采取任何操作而使核动力厂进入 安全状态。 5.3.4 辅助设施 19辅助设施用于支持构成安全重要系统部分的设备时，必须 视作安全重要系统的一部分，并必须相应地分级。它们的可靠 性、多重性、多样性和独立性以及用于隔离和功能试验的措施 必须与其所支持的系统的可靠性相当。保持核动力厂安全状态 所必需的辅助设施包括供应电力、冷却水和压缩空气或其他气 体的设施以及润滑设施等。 5.3.5 设备停役 设计必须通过采用诸如增加多重性等措施保证在毋需核动 力厂停堆的情况下进行

41、安全重要系统合理的在线维修和试验。 必须考虑设备停役，包括系统或部件由于故障而不能使用，并 且在这种考虑中必须包括预计的维护、试验和修理工作对各个 安全系统的可靠性所产生的影响，以便保证仍能以所必需的可 靠性实现该安全功能。在核动力厂开始运行前，必须分析和确 定每种情况下允许设备停役的时间和要采取的行动，并将其包 括在核动力厂运行规程中。 5.4 在役试验、维护、修理、检查和监测的措施 5.4.1 除 5.4.2 条所述的以外，为保持安全重要构筑物、系统 和部件执行功能的能力，其设计必须符合下列要求：能在核动 力厂整个寿期内进行标定、试验、维护、修理或更换、检查和 监测，以证明满足可靠性目标。

42、核动力厂布置必须便于进行这 些活动，并能按照与所执行的安全功能的重要性一致的标准进 行，同时系统可用性没有显著减少，且厂区人员不致于受到过 量的照射。 5.4.2 安全重要构筑物、系统和部件的设计不能满足试验、检 查或监测的要求时，必须采取下列方法： (1) 规定其他一些经验证的替代方法和（或）间接方法，如 监视参考物项或使用经验证和确认的计算方法。 20(2) 应用保守的安全裕度或采取其他适当的预防措施， 以消 除可能的预计不到的故障影响。 5.5 设备鉴定 5.5.1 必须采用设备鉴定的程序来确认安全重要物项能够在其 整个设计运行寿期内满足处于需要起作用时的环境条件（如振 动、温度、压力、

43、喷射流冲击、电磁干扰、辐照、湿度或这些 因素的任何可能组合）下执行其安全功能的要求。考虑的环境 条件必须包括预计到的正常运行、预计运行事件和设计基准事 故期间的变化。鉴定程序中，必须考虑到设备预期寿期内由各 种环境因素（如振动、辐照和极端温度）引起的老化效应。对 于位于易遭受到外部自然事件的影响并且需要在这种事件中及 事件后执行其安全功能的设备，鉴定程序必须尽可能地取与有 关自然现象对该设备影响的相同条件，通过试验或通过分析或 两者的组合进行。 5.5.2 此外，在鉴定程序中必须列入可合理预计的和可能由特 定运行工况（如安全壳泄漏率定期试验）引起的异常环境条件。 在可能的范围内，应该以合理的可

44、信度表明在严重事故中必须 运行的设备（如某些仪表）能够达到设计要求。 5.6 老化 设计中必须为所有安全重要构筑物、系统和部件提供适当的 裕度，以便考虑到有关的老化和磨损机理以及与服役期有关的 可能的性能劣化，从而保证这些构筑物、系统或部件在其整个 设计寿期内能够执行所必需的安全功能的能力。必须考虑到在 所有正常运行工况、试验、维修、维修停役、以及在假设始发 事件中和其后的核动力厂状态下的老化和磨损效应。必须采取 监测、试验、取样和检查措施，以便评价设计阶段预计的老化 机理和鉴别在使用中可能发生的预计不到的情况或性能劣化。 215.7 优化运行人员操作的设计 5.7.1 人机的界面设计必须对操

45、纵员是“友好的”，并必须以 限制人为差错的影响为目标。必须优化核动力厂的布置和规程 （管理规程、运行规程和应急规程），包括维修和检查，以利 于运行人员和核动力厂之间的接口。 5.7.2 厂区人员的工作场所和工作环境必须按照人机工程学原 则设计。 5.7.3 必须在设计过程初期就系统地考虑人为因素和人机接 口，并贯彻于设计全过程，以保证适当而明确地区分运行人员 与所提供的自动化系统之间的各项功能。 5.7.4 人机接口必须设计成不但能够为操纵员提供全面而易处 理的信息，而且与作出决定和采取行动所需的时间相适应。必 须为辅助控制室采取类似措施。 5.7.5 在适当阶段必须对人为因素进行验证和确认，

46、以证实设 计完全适合操纵员所有必要的操作。 5.7.6 为有助于制定信息显示和控制的设计准则，必须考虑操 纵员能够承担系统管理者（包括事故管理）和设备操纵员的双 重任务。 5.7.7 在操纵员作为系统管理者时，必须为其提供能够进行下 列工作的信息： (1) 在任何工况（即正常运行、预计运行事件或事故工况） 下，迅速评估核动力厂的总体状态，并确认预定的自动安全动 作正在进行； (2) 确定操纵员要采取的适当的安全动作。 5.7.8 操纵员作为设备操纵员时，必须为其提供核动力厂各系 统和设备有关参数的充分信息，以确认能够安全启动所必需的 安全动作。 225.7.9 设计必须适当考虑有利于操纵员执行

47、行动可利用的时 间、预计的环境和对操纵员有心理压力的情况下成功地完成各 种行动。 必须把对操纵员在短时间内进行干预的要求降至最低。 设计中必须考虑到这种干预可以接受的前提是：设计者能够证 明操纵员有足够的时间作出决定和采取行动；向操纵员简单而 明确地提供决定行动所需的信息；以及事件发生后，控制室内 或辅助控制室内及通往辅助控制点的通道的环境是可以接受 的。 5.8 其他设计考虑 5.8.1 反应堆之间构筑物、系统和部件的共享 安全重要构筑物、系统和部件通常不得在核动力厂内两座 或多座反应堆之间共享。如果在特殊情况下，这种安全重要构 筑物、系统和部件要在两座或多座反应堆之间共享，则必须证 明对于

48、全部反应堆来说在所有运行状态（包括维修）下和在设 计基准事故中的所有安全要求都得到满足。在其中一个反应堆 发生严重事故情况下，其他反应堆必须能够有序地完成停堆、 冷却和余热排出。 5.8.2 含有易裂变或放射性物质的系统 设计必须保证核动力厂内可能含有易裂变或放射性物质的 所有系统在运行状态和设计基准事故下均有足够的安全性。 5.8.3 用于热电联供、供热或海水淡化的核动力厂 拥有热利用装置（如地区集中供热）和/或海水淡化装置的 核动力厂的设计必须防止放射性物质在正常运行、预计运行事 件、设计基准事故和选定的严重事故的任何状态下从核动力厂 转移到海水淡化装置或集中供热装置。 5.8.4 核燃料

49、和放射性废物的运输和包装 设计中必须包括适当的设施，以便于新燃料、乏燃料和放23射性废物的运输和装卸。必须考虑设施的可达性、吊装和包装 能力。 5.8.5 撤离路线和通信手段 核动力厂必须设置足够数量的、具有醒目而持久标识的安 全撤离路线，并配备为安全使用这些路线所必需的应急照明、 通风和其他辅助设施。撤离路线必须符合有关的辐射分区和防 火要求，以及有关的工业安全和核动力厂保安方面的要求。 为使核动力厂厂内和厂区全部人员即使在事故工况下也能 得到报警和通知，必须设置适当的报警系统和通信手段。 核动力厂范围内、邻近地区内以及与应急计划中所规定的 厂区外机构安全必需的通信手段必须保持昼夜畅通。在通信设 计和选择通信方法的多样性时，必须考虑这一要求。 5.8.6 出入口控制 为严密控制出入口，必须以适当的构筑物的布置方式，使 核动力厂与其周围相隔离。尤其是在进行厂房设计和厂区布置 时，必须为控制出入口的保卫人员和/或监测设备作出安排，并 注意防止未经批准的人员和物品进入核动力厂。 必须防止未经批准接近或以任何理由影响安全重要构筑 物、系统和部件。在维修、试验或检查需要出入的情况下，设 计中必须保证所需活动的进行不致明显降低安全相关设备的可 靠性。 5.8.7 系统的相互作用 如果存在较大的可能性需要安全重要系统同时运行时，必 须对其可能的相互作用进行评价。在分析中，