GB 13284-1998 核电厂安全系统准则.pdf

《GB 13284-1998 核电厂安全系统准则.pdf》由会员分享，可在线阅读，更多相关《GB 13284-1998 核电厂安全系统准则.pdf（21页珍藏版）》请在麦多课文档分享上搜索。

1、GB 13284 1998 前t圣，.E士本标准是对GB13284 1991核电厂安全系统设计基准的修订。本标准等效采用IEEEStd 603 1991核电r安全系统准则u)(“Criteria for Safety Systems for Nuclear Power Generating Stations勺，技术内容等同，只是将IEEE603-1991的图2、图3和图4合并为图2，保留IEEE603的1980年版的图以GB13284 1991中删去图6.本标准中保留为图3)将IEEE603一1991中引用的美国标准改为我国相应的标准。编写方法和格式符合GB/T1. 1 1993的要求。GB

2、13284 1991核电厂安全系统设计基准等效采用美国国家标准ANSI/ANS 4. 1 1978核电厂安全系统设计基准准则）（Am盯icanNational Standard “ Design Basis Criteria for Safety Systems in Nuclear Power Generating Stations勺，该标准已经废止，但其基本内容仍然保留在IEEEStd 603 1991“第4章安全系统设计基准”中；IEEE Std 6031980引用了ANSl/ANS-4.1-1978,IEEE Std 603 1991不再引用ANSI/ANS 4. 1，而是引用ANSI

3、/ANS 51. 1 1983和ANSI/ANS52.1 1983 （对应的是我国核安全法规HAF0200(91）核电厂设计安全规定）。所以此次修订后的GB13284 1998 核电厂安全系统准则，其技术内容包括GB13284一1991和GB/T13629 1992核电厂安全系统准则的内容。本标准与下列标准结合使用，能对核电厂安全系统的设计与审评提供指导gGB/T 5204一1994核电厂安全系统定期试验与监测（neqIEEE 338一1987)GB/T 13286-1991 核电厂安全级电气设备和电路独立性准则（eqvIEEE 384-1981) GB/T 13628 1992 核反应堆保护

4、系统用于非安全目的准则（eqv!EC 639 1979) EJ 627 92 保护系统的手动触发（neqU. S RGl. 62) EJ 799 93 核电厂安全重要仪表整定值（eqvISA S67. 04 82) 采用可编程数字计算机的安全系统如何应用这些准则的指导见GB/T13629 1998核电！安全系统数字计算机的适用准则（eqvIEEE/ ANS 7. 4. 3. 2一1993）。本标准从实施之日起，同时代替GB132841991和GB/T13629一1992。本标准的附录A和附录B都是提示的附录。本标准由全国核仪器仪表标准化技术委员会提出并归口。本标准起草单位核工业标准化研究所。本

5、标准主要起草人2牛祝年、张京长768 GB 13284-1998 IEEE前言（本前言不是IEEEStd 603-1991核电厂安全系统准则的一部分）本标准规定了核电厂安全系统动力源、仪表和控制部分的最低限度的功能设计准则。目的是提供一种方法，促进安全系统性能和可靠性的设计和评估，遵守这些准则不一定能保证安全系统的性能和可靠性非常完善，但忽略其中的任何要求都表明安全系统很可能不完善。1 应用本标准规定的准则适用于安全系统，但不一定适用于核电厂整体安全所需的所有系统、构筑物和设备。虽然适用范围限于安全系统，但许多原则也可适用于安全停堆设备、事故监测显示仪表、预防性联锁设施，或者与安全有关的其他系

6、统、构筑物或设备，或上述全部。为了确定哪些系统必须满足这些准则，应分析核电厂整体对假设设计基准事故的响应。分析中应进行良好的工程判断，以保证设计中对保护公众的健康和安全有足够的裕度，同时对设计也没有过分的限制。（译者注：此处删去1980年版引用的ANSI/ANS 4. 1-1978核电厂安全系统设计基准编制准则）2 各学科的研究方法与具体的工程学科（如电气、机械或民用）研究方法不同，这里规定的安全系统准则对安全系统的动力源、仪表和控制部分的设计采用系统方法。应该认清，没有机械设备、电气设备和电路就不可能实现安全功能，因此，电气工程学科之外的设计，主要是机械与核工程设计也应考虑这些准则。为了使安

7、全系统满足本标准和其他支持标准的要求，可能不得不对安全系统进行整体设计而不再分学科。这种限制本身就意味着对系统各组成部分提出接口要求，以保证安全系统整体性能满足标准要求。本标准与其他标准的接口部分见图10 尽管本标准对安全系统的动力源、仪表和控制部分的设计采用系统方法，但并不想对机械设备或部件规定新的或不同的准则，用户有此想法是对本标准的误用。本标准也不规定按机械或民用设备可能需要的系统级要求，如有意删去管道的在役检查。本标准对安全系统提供的准则与现有的标准并无抵触，也不想重复设备的设计规范（例如，ASME锅炉和压力容器规定）或与其相矛盾。相反，本标准补充了现有标准并且互相有联系。本标准和其他

8、一些标准（例如，ANSI/ANS51. 1-1983和ANSI/ANS52. 1-1983）都规定了系统准则，而另外一些法规和标准规定了详细的设计要求，这些要求是保证安全系统各组成部分功能完善性所必须的。3 编制过程本标准是在IEEEStd 603一1980核电厂安全系统准则的基础上编写的，它是第6分技术委员会(SC 6）系统标准的第5版，该系列的第1版是IEEEStd 279 1968 （试用的保护系统标准），其次是IEEE Std 279一1971（完整的保护系统标准，第3版是IEEEStd 603-1977 （试用的安全系统标准），第4版是IEEEStd 603 1980（完整的安全系统

9、标准）。4 与其他标准的关系本标准规定安全系统功能和设计的一般原则，还需要一些支持标准规定一般准则和详细要求，以构成对安全系统的一组最低要求。为支持本标准而编制的其他IEEE标准都是本标准的参考文件。还有一些美国国家标准，特别是ANSI/ ANS 51. 1 1983和ANSI/ANS 52. 1-1983也包括安全系统的功能和设计准则。5 修订的目的769 GB 13284一1998在编制IEEEStd 603一1980的过程中，明确了6项未来的任务，现在已经完成这些任务。考虑到共用系统的一些定义和准则，结果发现对该标准的修订很有必要。此外，还准备了一些技术见解文件提交给动力工程协会的安全停

10、堆CIEEE-PES-WM1983）和保护动作自动终止。EEEPES-SM 1985）会议。一份有关多样性的见解文件已经完稿并且计划不久发表。美国标准协会于1987年批准IEEEStd 60319钩，其正式版本规定为ANSI/IEEEStd 603-1980，它主要包括编键性修改、参考文件的变更和少量的条文说明。这次修订巳注明ANSI提出的修改。美国核管会（USNRCl于1985年12月用管理导贝1R. G. 1. 153认可IEEEStd 603二1980,R.G. 1. 153对IEEEStd 603-1980提出5点修改和（或）补充，此次修订包括了其中3点，涉及到本标准1980年版图7的

11、说明、监测指令设施与其他系统间相互作用的解释，以及安全系统定义中的文字修改。术语“安全系统”的定义现在与联邦法规！OCFR50中50.49条所用的定义一致。USNRC指出的其余两点只涉及NRC如何使用本标准中引用的标准，这不会导致修改本标准回美国仪表协会（ISA）征询整定值的定义与其标准ISAS67. 04的规定如何协调一致，本标准已经参考ISA标准作了修改。其他修改包括考虑人的因素、按时间或核电厂工况的关键点阐明设计基准事件的要求，以及更新参考文件。6 未来的工作各种定义在工业领域中不断变化，与ASME、ANS和ISA一同复审定义是工作组的一项未来工作，曰的是使术语标准化和最大限度的明确。本

12、标准由IEEE核动力工程委员会的安全有关系统工作组SC6-3）起草。770 中华人民共和国国家标准核电厂安全系统准则Criteria for safety systems for nuclear power plants 1 范围GB 13284-1998 代替GB13284 1991 GB/T 13629 1992 本标准规定了核电厂安全系统动力源、仪表和控制部分最低限度的功能和设计要求。为了符合本标准的规定，也对安全系统其他部分（见图1）提出了接口要求。本标准适用于为减轻设计基准事故后果、保护公众健康和安全所需要的那些系统。对于保护整个核电广安全所需的所有与安全有关的系统、构筑物和设备，亦

13、可参照使用。安全矗统本标准的接口植围本标准的适用范围2动力源、仪表和控制部分本标准的接口范围过程与传感器桐告执行装置与过程榈告图l本标准的适用范围和接口图2用33矩阵的形式说明本标准的范围，矩阵顶部一行的名称说明安全系统可以分为监测指令设备、执行装璧初动力源三个通用单元，它们代表一组设备为很多独立的安全功能提供类似的功能特性。矩阵左边一列的名称说明安全系统可分为反应堆停堆系统和专设安全设施、辅助支持设施及其他辅助设施三个工作单元。安全矗统通用单元监测指令设备执行装置反应堆停堆过程传感器过程控制糯反应堆停堆矗统专设安圭世施革统和专设信号处理操纵员操作显示器停堆断路嚣电动机、启动器安全世匾判断理辄

14、行程开关专世安全设施专设安全设施电手动开关控制电路断路器动阀门、电磁闽专设安全世施军辅助支持室撮传感器柴油机启动逻槐果疆、矗风和起童电动机旧岱tH斟酌川崎州啊啊直赢世岳温度传感柴油机加载程序空调风机过滤器器行程开关润滑油噩压力开关和控制电路设备睁却辈调节器断路器、启动测量用变压器器、电动机欠电压继电器柴油机启动线圈J飞真他辅助自动检验设备限位开关安全矗统隔离辈置设施相电路肇油机过热和非重要负载断路嚣旁遇和重原润滑缺油显示器电路于动开关电气保护继电器图2表示安全系统的33矩阵国家质量技术监督局199811 17批准动力源（动力摞属于辅助直持设施或其他世施）空气压缩机和储气罐苗电池柴油发电机组逆苦

15、E器变压器工作母线配电盘蓄电池克电器变压器工作母线配电盘1999 07 01实施771 分。GB 13284-1998 快J2同时给出f矩阵每一部分典型设备的例子，可以看出某些部件根据其用途可能分属于几个部注1 丰标准和GB4083中的保护旱统都是指反应堆停堆系统和专设安全设施的监测指令设备。2 根据定义，动力摞属于辅助支持设施或其他辅助设施，因此在图2中没有作为反应堆停堆是统和专设安全设施的d部分。3 从图2矩阵的一行可以看到，一个工作单元可组成个系统，如厂用水系统$从列可以看到，该列通用单元表示组设备，为完成很多独立安全功能提供类似的功能特性（如传感器。4 每句个工作单元包括一个或几个通用

16、单元但不定包括所有通用单元5属于某通用单元的设备不限于在个工作单元中使用。2 51用标准F列标准所包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。c;B/T 4083-1983 核反应堆保护系统安全准则c;B/T 5204 1994 核电厂安全系统定期试验与监测(;B/T 5963 1995 反应堆保护系统的隔离准则c;B/T 7163一1987核反应堆保护系统的可靠性分析要求c;B/T 9225 1988 核反应堆保护系统可靠性分析一般原则GB/T 12727一1991核电厂安全系统电

17、气物项质量鉴定GB/T 12788 1991 核电厂安全级电力系统准则GB 12790 1991 核电厂安全级电气设备和系统文件标识方法GB/T 13286-1991 核电厂安全级电气设备和电路独立性准则GB/T 13626-1992单一故障准则应用于核电厂安全级电气系统c;B/T 13627. 2-1992核电厂事故监测仪表准则仪表准则EJ/T 562 1991 核安全有关的操纵员动作时间响应设计准则EJ/T 574 1991 核电厂安全级控制仪表盘（屏和机架的设计与鉴定t:J/T 797一1993人因工程原则在核电厂系统、设备和设施中的应用EJ/T 799-1993 核电厂安全重要仪表整定

18、值HAF 0200(1991) 核电厂设计安全规定3 定义本标准采用下列定义。3. 1 可接受的acceptable 通过核电厂安全分析证明是满足要求的3.2 驱动设备actuationdevice 一个直接控制执行装置动力（电、压缩空气和有压液体等）的部件或组件，例如断路器、继电器和先导阀。3. 3 行政管理administrativecontrols 指法律、法令、指示、程序、政策、习惯作法授予的权利与职责。3.4 分析限值analytical limit 根据安全分析确定的被测量或计算量的限值，以保证其不超过安全限值。3. 5 相关电路associated circuits 是非安全级非

19、lE级）电路，但是和安全级电路没有通过可接受的分隔距离、安全级构筑物、屏障772 GB 13284 1998 或隔离器件进行实体分隔或电气隔离。3.6 辅助支持设施auxiliary supporting features 为安全系统完成其安全功能提供服务（如冷却、润滑和动力）的系统或设备。3. 7 通道channel 在核电厂工况需要时，为产生一个单一保护动作信号所需要的元器件和组件的一种配宵。一个通道在各单一保护动作信号汇合处就丧失其独立性。3.8 安全级classlE 是反应堆、核电厂电气设备和系统的一个安全级别。它们是完成反应堆紧急停堆、安全壳隔离、堆在、冷却以及从安全壳和反应堆排出热

20、量所必需的，或者是防止放射性物质向环境大量排放所必需的。注2“安全级叫IE级）是功能性的术语。设备和系统只有完成本标准列举的功能才能划归安全级s不应根据其他要求将系统或设备定为安全级3.9 部件components 组成一个系统的各个独立物项。例如导线、晶体管、开关、电动机、继电器、电磁线圈、管路、配件、泵、罐、阀门等。3. 10设计基准事故designbasis accidents (events) 为确定构筑物、系统和部件可接受的性能要求，在设计中采用的假设始发事件l0 3 11 可探测故障detectablefailures 可以通过定期试验鉴别的故障，或通过报警或异常显示发现的故障。在

21、通道级、序列级或系统级测出的部件故障都是可探测故障Y主z可判别但不可探测的故障是通过分析来判断的故障，这类故障不能通过定期试验发现，也不能通过报警或异常显示发现，3. 12 序列division 某一给定系统或设备组的名称，它们能与其他冗余设备组在实体、电气和功能上保持独立。3. 13 执行装置execute features 由电气设备和机械设备及其连接件组成，接到来自监测指令设备的信号后，执行与安全功能直接或间接有关的某4功能。执行装置的范围是从监测指令设备的输出端开始，直到并且包括执行装景与过程的桐合处。1在某些情况下，保护动作可由直接对过程工况进行响应的执行装置（例如止回阀、自力式卸压

22、阀）完成。3. 14组件module构成一个单独的装置、仪表或设备的互相连接的部件组合，一个组件能作为一个单元断开、拆卸和使用备件更换，它有固定的功能特性，可作为一个单元被试验。只要符合此定义一个组件可以是一台大型装置的一块印制板、一个可抽出的断路器或其他子组件。3. 15 动力源powersources 为产生或转换动力所必须的电气设备、机械设备及其连接件。3. 16 保护动作protectiveaction 为完成某一安全功能，在监测指令设备内产生一个信号，或是执行装置内设备的运行。3. 17 冗余设备或系统redundant吨uipmentor system 重复另一设备或系统必要功能达

23、到如下程度的设备或系统，不管哪一个处于工作或故障状态，另一个均能完成要求的功能。实现冗余可采用相同设备、设备的多样性或功能的多样性。3. 18 安全功能safety function 为了把核电厂参数保持在按设计基准事故确定的可接受的限值内，所必需的一种过程或状态（例如采用说明2I此处IEEE603原文为“假设事件”，按HAF0200(91）的术语改为“假设始发事件7;:1 GB 13284-1998 应急负反应性引入、事故后热量排出、应急堆芯冷却、事故后放射性物质清除和安全壳隔离）。注完成某一安全功能是反应堆停堆系统和辅助支持设施完成所有必需的保护动作，或者是专设安全设施和辅助支持设施完成所

24、有必需的保护动作，或者由两者共同实现见附录A（提示的附录门。3. 19安全组safety group 某一假设始发事件发生时，能完成其要求的安全功能的一组最少量的部件、组件和设备组合。一个安全组包括一个或多个序列（见附录A）。3.20 安全系统safetysystem 与安全有重要关系的系统，用于在任何工况下保证反应堆安全停堆、从堆芯排出热量或限制预计运行事件和事故工况的后果。安全系统的电气部分执行安全功能，属于安全级。E级。3. 21 监测指令设备sense and command features 产生与安全功能直接或间接有关的信号的电气和机械设备及其连接件，其范围是从被测过程变量开始，直

25、到执行装置输入端为止。4 安全系统设计基准对核电厂每个安全系统的设计都应规定具体的基准，根据需要，设计基准对确定安全系统及其设计变更的适用程度也应适用设计基准应符合HAF0200(1991）的规定，至少应按下列内容形成文件。4. 1 适用于核电厂每种运行方式和初始状态的设计基准事故，以及对应每一事故的核电厂工况的初始条件和允许限值。4. 2 对应每个设计基准事故的安全功能和执行装置的相应保护动作。4. 3 对所提供的每种运行旁通能力的允许条件。4. 4, J 对4.2规定的每个保护动作，应给出如下数据4. 4. 1 为确保保护动作的正确完成，需要监测的变量、变量组或两者监测的目的是为了手动、自

26、动或两种方式控制每一保护动作）、与每个变量有关的分析限值和范围（包括正常、异常和事故工况）以及这些受控变量的变化率。4.4. 2 适用于每一被测变量或变量组的安全限值（见图3中曲线A）。4.4.3对4.7和4.8所述情况适当组合时的最低性能要求包括2a）每种变量或变量组的分析限值见图3中曲线B)b）由于仪表的不准确度、校准的不确定度和误差而需给出的增量（见图3中增量C)c）在核电厂安全分析中确定分析限值所用的安全系统总响应时间。应提供证据以证明由于仪表的不准确度、校准的不确定度、误差和时间响应所用的假定值是可以接受的和合理的。4.4.4 为了考虑各次校准和验证试验的时间间隔之内的漂移，给出分析

27、限值和保护动作整定值见图3中曲线D）之间的增量（见图3中增量E）。应提供证据证明对仪表漂移所用的假定值是可以接受的和合理的。采用说明g！此处IEEE6031991删去了1980年版的4.4. 2 4. 4. 4条和图s只保留4.4. 1条，同时引入“分析限值”的术语。本标准仍然保留4.4. 14.4.4和图3.774 GB 13284 1998 变量y A 非工作仄（超过茸全限值的区城口温度D 、飞EI C 入) 工作区变量x（例如功率）注zA 安全限值，表示安全状态的限值；H 分析限值，表示任何时候都可能存在的限制性最少的整定值sc: 考虑校准误差、仪表准确度和瞬态超调量的容差（它可能是变量

28、z或变量y或两者的函数hn 保护动作整定值，此值可确保漂移不会使整定值超过分析限值B。E一一考虑仪器和整定值漂移的容差（它可能是变量z或变量y或两者的函数）。图3安全系统整定值与安全状态限值的关系4. 5 对4.2规定的每个保护动作，应从下述各方面给出可以手动触发或触发后可以手动控制的最低限度的要求（详见EJ/T562): a）允许手动控制的时刻与核电厂工况；b）允许只用手动触发或触发后只用手动控制的理由pc）操纵员必须在正常、异常和事故工况期间进行手动操作时的环境条件范围gd）为了便于手动操作，必须向操纵员显示的4.4. 1所述的变量。4.6 对于4.4. 1所述变量中的空间相关变量（即在某

29、特定区域内变量是位置的函数），为保护目的所需要的传感器的最小数量和位置。4. 7 在安全系统应工作的正常、异常和事故工况期间，动力源、控制电源和环境参数（如电压、频率、辐射、温度、湿度、压力和振动）的瞬态和稳态条件。4. 8 可能会引起安全系统功能劣化的情况（如飞射物、管道破裂、火灾、失去通风、消防系统误动作、操纵员差错、非安全有关系统中的故障），以及针对这些情况为保持安全系统完成安全功能的能力而应采取的预防捕施。4. 9 确定安全系统设计的可靠性适合于每个安全系统设计所用的方法，以及把可靠性的定性或定量目标分配给系统设计所用的方法。4. 10 某一设汁基准事故发生后的关键时刻或核电厂工况，包

30、括za）应触发安全系统保护动作的时刻j或核电厂工况；b）确定安全功能正确完成的时刻或核电厂工况；c）需要自动控制保护动作的时刻或核电厂工况gd）允许安全系统恢复正常的时刻或核电厂工况。4. 11 妨碍安全系统执行其安全功能的设备保护措施。4. 12 可以对安全系统设计提出的其他特殊的设计基准（例如多样性、联锁、管理规定）。5 安全系统准则安全系统应准确、可靠地把核电厂参数保持在可接受的限值之内，这些限值是按相应的设计基准书77S GB 13284 1998 故圳定的每个安全系统的功J源、仪表和控制部分都应由个以上的安全组组成.:ft巾任何个必全组栩Ifi完成该系统的安全功能，见附录A提示的附录

31、）。5. 1 单故障准则安全系统在JC911情况F应完成任一设计基准字故需要的全部安全功能：川安全系统内ff在单口I探视故障，同时存在可判别但不可探测的故障；1仆山上述吁：故障引起的所有故障：c）导致需要执行安全功能的设汁基准字故或由这种事故引起的所有故障和系统误动作。斗；1去食系统的控制l是F功的还是自动的掌一故障准则都适用于安全系统见c;B/T13626的规定。本标准并不要求在个安全组内使用符合逻辑（或多通道），但根据其他标准要求，或者为使核电！的nf川件二或叮靠性达到最高也可以采用符合逻辑。在其他标准中已进行过评价并形成文件，证明某些ifii体系统中的故障叮不遵守单故障准则见附录B提示的

32、附录）的B2。dJ以对安全系统进行概3引出罚电i1E日月使用单故障准回lj时不必考虑不可信事件和某些假设故障，但不能用来代替单故障准则。概率风F合刊；TI的指导见。BIT7163和GB/T9225 如果白合理的证据，表明个安全系统的设计符合单故障准则，但可能不满足4.9规定的所有11f靠性it求时就成对该系统进行概率估算，这种估算应不限于只考虑单一故障。如果估算表明不满足设it茶叶在的要求则应采取措施改进设计或进行正确的更改，以保证该系统满足规定的可靠性要求m5. 2 保护动作的完成安全系统应设计成一旦被自动或手动触发，执行装置就能按预定程序完成全部保护动作；只有操纵员有意识地操作才能使安全系

33、统恢复到正常状态。这要求不应妨碍使用设计基准4.11规定的设备保护情施或4.5指出的操纵员有意识的干预。对各个通道不要求自保持。5. 3 ！岳址部件和组件的质量应符合维修最少和故障；低的要求，优先选用可预计故障模式（拒功或误功）的设备1安全系统设备应按规定的质量保证大纲进行设计、制造、检查、安装、试验、运行和维修。s. 4 设备质量鉴定对安全系统设备应采用型式检验、以往的运行经验、分析或这三种方法的任意组合进行质盐鉴定，证实它能满足设it基准规定的性能要求。安全级（lE级）电气设备的质量鉴定应满足GB/T12727的耍求”5. 5 系统的完整性设计的安全系统应在设计基准中列举的所有适用条件范围

34、内都能完成其安全功能。5- 6 蚀主性5. 6- 1 安全系绞肉部各冗余部分之间1、tr提供某一安全功能的安全系统，其内部各冗余部分彼此之间应独立旦实体分隔到必要程度，以便在市要这安全功能的设计基准事故期间和事故后，能保持完成该安全功能的能力。s. 6.2 安全系统与设计基准事故影响之间沟缓解某一特定设计基准事故后果所需的安全系统设备，应与该设计基准事故的影响独立旦实体分隔到必餐程度，以保持满足本标准要求的能力。按5.4规定进行设备质量鉴定是满足这要求的一种df Ill方法。5. 6. 3 安全系统与其他系统之间安全系统应设计成其他系统存在的可信故障或其他系统动作引起的可借故障（例如设计基准4

35、.8 果用说明。l .此处引用了HAF0203 1991核电厂保护单统及有关设施7.9. I条的内容。77付GB 13284 1998 所列的可信故障）不应妨碍安全系统满足本标准的要求。5.6.3.1 接口设备接门设备应该z孔）分级用于安全相非安全两种功能的设备应属于安全系统用于安全系统边界的隔离装11也所属j一该安全系统；七）隔离zp个隔离装（非安全侧的任何叮信故障，不得妨碍安全系统任何部分在需雯执行安全功能的设计基准非故期间或事故后满足其最低性能要求。隔离装宵的故障应与安全系统其他设备的故障样进行评价们5. 6. 3. 2 邻近的设备邻近的设备应该a）分隔：实体上靠近安全系统设备，但既不是

36、相关电路也不是另一安全级电路的其他系统的设备j过Lj安全系统的设备实体分隔到必要程度，以便在非安全级设备故障时安全系统仍能保持完成真安全功能的能力。实现实体分隔可以采用实体屏障，或可以接受的分隔距离，或两者组合。安全级电气设备的分隔应符合GB/T13286的规定gbl屏障2对某一安全系统起边界作用的实体屏障，应在设计基准4.7和4.8规定的使用条件F满足：.3 5. 5的要求。5. 6. 3. 3 单一随机故障的影响在非安全系统中的单一随机故障可能引起某一设汁基准事故，同时又妨碍安全系统对该事故进行保护的那部分正确动作时，该安全系统的其余部分即使由于另外独立的单一故障引起性能劣化也成具有完成这

37、个安全功能的能力。这一要求的应用指导见GB/T13626。5.6.4 详细准则见GB/T5963和GB/T13286。5. 7 试验和校准能力应在保持安全系统执行其安全功能能力的同时，提供对其设备进行试验和校准的能力。应在功率运行期间提供这种能力，并且应尽可能接近实际地再现安全功能的特性。安全系统的试验应符合(;B/f 5204的规定。在不提供试验和校准能力对核电厂的安全或可用性也没有不利影响的情况F，允许在功率运行期间不进行试验和校准，在这种情况下za）应提出合适的理由（例如：证明不存在切实可行的设计方案）I b）应证明设备运行具有可接受的可靠性sc）应在核电厂停运期间提供试验和校准能力。5

38、. 8 信息显示5. a. 1 用于手动控制操作的显示对F没有自动控制又是安全系统完成其安全功能所必需的手动控制操作，为其提供信息的显示仪表应是安全系统的一部分，并且应满足对核电厂事故监测仪表的要求，见GB/T13627. 2o显示仪表的设计应使可能引起使操纵员混淆的不明确显示减到最少。5. 8. 2 系统状态显示显示仪表应提供有关安全系统状态的准确、完整和及时的信息。这些信息应包括监测指令设备和执行装r1.保护动作的显示和识别。显示的设计应将不明确显示的可能性减到最少，以免操纵员混淆。为安全系统状态显示提供的仪表不必是安全系统的一部分。5. 8. 3 旁通的显示如果安全系统某个部分的保护动作

39、因为运行旁通以外的目的而被旁通或处于不工作状态，就内在持制室连续显示每一个受影响的安全组的情况。5.8.3.1 这种显示仪表不必是安全系统的e部分。,/ GB 13284一19985.8. 3. 2 如果上述旁通和不工作状态预期每年出现一次以上，并且预期在要求受影响的系统工作时出现，那么这种显示应自动产生。5. 8. 3. 3 在控制室内应具备手动触发这种显示的能力。5.8.4 位宦信息显示装1：应位于操纵员能接近的地方。为子动控制保护动作提供的信息显示，应在进行相应操作的控制j设备处能看得见。5.9接近控制安全系统的设计应对接近安全系统设备能实施行政控制，行政控制应得到安全系统内部措施、核电

40、f设计措施或两者的支持。5. 10 维护设计安全系统应易于对故障设备及时识别、定位、更换、修理和调整。5. 11 标识为了保证本标准规定的要求能在核电r的设计、建造、维修和运行期间应用，应满足下列要求：a ）对安全系统的设备，应按各个冗余部分清楚地标识，标识应符合GB/T13286和EJ574的规定，扒在己清楚标识的安全系统某一冗余部分安装的设备或组件，其内部的部件或组件本身不再要求标识；c）安全系统设备的标识应与设备上用于其他目的而设置的标志（如消防设备标志、动力电缆的相优标志）分辨开；d）安全系统设备及其序列为j分的标识不得要求频繁引用参考资料se ）有关文件应按GB12790的规定明显标

41、识。5. 12 辅助支持设施5. 12. 1 辅助支持设施应满足本标准的所有要求。5. 12. 2 其他辅助设施执行的功能不是安全系统完成其安全功能所必需的，由于相关（即与安全系统没有隔离）而成为安全系统的一部分，其设计应满足一些必要的准则，以保证这些系统的部件、设备和系统本身不会使安全系统的性能劣化到可接受的水平以下。其他辅助设施的例子见图Zo附录A（提示的附录）给出了本条的解释。5. 13 多机组核电厂在多机组核电厂中，只要在所有机组中同时执行所需的安全功能的能力不受损害，则允许机组之间共用构筑物、系统和设备。机组！可共用电力系统的要求见GB/T12788，单一故障准则用于共用系统的指导见

42、GB/T13626 5. 14 人因工程考虑在设计的开始阶段和设计全过程中，应按EJ/T797的规定考虑人因工程，以保证分配给操纵员和维修人员的整体功能和各部分功能都能成功地完成，实现安全系统的设计目标。5. 15 可写在性对于已经定量或定性地规定了可靠性目标的安全系统，应进行适当的设计分析，以便证实已经实现了可靠性目标。对可靠性分析的指导见GB/T7163和GB/T9225。6监测指令设备的功能和设计要求除了第5章规定的功能和设计要求以外，监测指令设备还应满足以下要求。6. 1 自动控制除了4.5判定的情况以外，对所有保护动作都应提供自动触发和控制的手段，安全系统的设计应在每一设计基准11故

43、发生之后，在4.5规定的时刻与规定的核电厂工况出现之前，不需要操纵员采取任何操作在选择安全系统设计方案时，对4.5所述保护动作也可以提供自动触发和控制的方法。778 GB 13284-1998 6.2 手动控制6.2. 1 应在控制室对自动触发的序列级保护动作提供手动触发的方法，手动方法应使操纵员的离散操作次数减到最少，并且在符合5.6. 1规定的前提下使用的设备最少。6. 2. 2 应在控制室对4.5鉴别的并且没有按6.1选为自动控制的保护动作提供手动触发和控制的方法。为这些动作提供的显示应符合5.8.1的规定。6. 2. 3 按4.10的规定完成保护动作以后，应提供保持安全状态所必需的手动

44、操作方法。给操纵员提供的信息、要求操纵员采取的动作以及有关的显示与控制设备的数量和位置，应与完成这些动作的时间和能参与操作的合格操纵员的数目相适应。上述的显示和控制设备应安装在操纵员可以接近的地方和适于操纵员工作的环境中，其布置应适合操纵员的监视和操作。6.3 监测指令设备与其他系统之间的相互作用6.3. 1 单一可信事件及其直接后果和继发后果可能引起一个非安全系统动作，该动作又可能导致需要保护动作的某种工况，而同时又可能妨碍对这种工况提供主要保护的那些监测指令设备通道中的保护动作，此时应满足下述任一要求。6.3.1.1 应提供不受该单一事件故障后果影响的备用通道，以便探测该事件并将其后果限制

45、在设计基准规定的限值之内。备用通道应从下列通道中选择：a）监测的变量组与主通道不同的通道；b）监测同样变量但所用设备与主通道不同的通道gc）监测的变量组与主通道不同，所用设备与主通道也不同的通道。主通道和备用通道都应是监测指令设备的一部分。6. 3. 1. 2 应提供不受该单一可信事件引起的故障影响的设备，以便探测该事件并将其后果限制在设计基准规定的限值之内。这样的设备应认为是安全系统的一部分。6.3.1的解释见图416.3.2 如果某一通道处于维修旁通状态，则应采取措施以便能同时满足6.3. 1和6.7的要求。采取的措施包括降低符合度的要求，使取自冗余通道的非安全系统f吉号无效，或者由被旁通

46、的通道触发一个保护动作。6.4 系统输入只要实际可行，监测指令设备的输入应是变量的直接测量信号，这些变量是在设计基准中规定的。6.5 试验和校准能力6.5. 1 在反应堆运行期间应提供具）高置信度的方法，用于检查安全功能所需的监测指令设备的每个传感器的可用性。有多种方法可以实现这一要求，例如：a）扰动被测变量；b）在6.6限定的范围内，适用时向传感器引入一个与被测变量性质相同的替代信号并使其变化；c）通道间的交叉检查，但这些通道的相互关系要已经知道并且有合适的读出设备。果用说明zl图4采用R.G. 1. 153 1985安全系统动力惊、仪表和控制部分准则中的图1没有采用IEEE603 1991

47、中的图5,; i.J GB 13284 1998 假设个I信守事件战6.3.J.l或6.3. I 的周定执行， Ii 11 图4本标准6.3. 1的图解IJ 6. 3. l唯则不追用6. 5.2 对于李故后一段时间内需要工作的每个监测指令设备都应提供下述方法之来保证其运行可用性z只）采用6.5. 1所述方法检查传感器的运行可用性z）确定设备在事故后段时间内是稳定的并且保留其校准能力。6.6 运行旁通元论何时，只要不满足允许的应用条件，安全系统就应自动防止运行旁通，或触发适宜的安全功能。如果核电厂工况的变化使得已经实施的运行旁通不再是允许的安全系统就应自动完成下述动作中的一个：a）撤销相应的现行

48、运行旁通；b）使核电厂恢复原来的L况，以便再次出现允许运行旁通的条件；c）触发适宜的安全功能。6. 7 维修旁通在监测指令设备处于维修旁通状态时，安全系统应保持完成其安全功能的能力。在维修旁通期间，监测指令设备应继续满足5.1和6.3的要求。例外的情况是，当监视l指令设备二取4逻辑中的部分附于不l：作状态时，只要能证明工作部分的运行有可接受的可靠性（即为了维修旁通而允许退出运行和时间足够短，对整个监测指令设备的可用性没有明显的有害影响），就不再要求二取一逻辑满足5.1和6.3 的要求。6.8 整定值6.8. 1 应采用形成文件的方法确定4.4中规定的过程分析限值和设备整定值之间不确定度的容茸：

49、见展；Hia月l l罔4果用R.G. !. 153 198日安全系统动力源、仪表和控制部分准则中的图1，没有果用IEEE603199 l 巾的罔5。7811 GB 13284一1998EJ/f 799, 6, 8. 2 在需要对特定的一种运行方式或一组运行条件的充分保护提供多重整定值时，设计中应提供有效的方法，保证在需要时采用限制性更多的整定值。防止误用限制性较少的整定值的装院，应是监测指令设备的一部分。7 执行装置的功能和设计要求除了第5章提出的功能和设计要求以外，执行装置还应满足节列要求。?. 1 自动控制执行装置应能接受监测指令设备的自动控制信号，并且按信号完成符合设计基准4.4规定的动作。7.2 于动控制如果对执行装置中任一执行部件提供手动控制，那么为完