(高清版)GBT 13626-2021 單一故障準則應用于核電廠安全系統(tǒng)

單一故障準則應用于核電廠安全系統(tǒng)I前言 2規(guī)范性引用文件 3術語和定義 4單一故障準則 3 6單一故障的設計分析 6附錄A(資料性)不可探測故障實例 8參考文獻 9Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件代替GB/T13626—2008《單一故障準則應用于核電廠安全系統(tǒng)》,與GB/T13626—2008相比，除結構調整和編輯性改動外，主要技術變化如下：——更改了共因故障的定義(見3.4,2008年版的3.4);——增加了對于不可探測故障的評估要求(見5.2);——刪除了“級聯(lián)故障”中的例子(見2008年版的5.3);——更改了對設計基準事件分析要求的描述(見5.4,2008年版的5.4);——明確共因故障超出單一故障準則的范疇，并補充共因故障的篩查過程(見5.5,2008年版的——更改了“單一故障的設計分析”中的相關描述和章節(jié)號(見第6章，2008年版的第6章);——刪除了“概率評價特性”(見2008年版的6.3.2);——增加了不可探測故障舉例說明(見附錄A)。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國核儀器儀表標準化技術委員會(SAC/TC30)提出并歸口。本文件起草單位：中國核電工程有限公司、核工業(yè)標準化研究所。本文件及其所代替文件的歷次版本發(fā)布情況為：——1992年8月首次發(fā)布為GB/T13626—1992,2001年4月第一次修訂，2008年7月第二次修訂；——本次為第三次修訂。1單一故障準則應用于核電廠安全系統(tǒng)本文件規(guī)定了單一故障準則應用于核電廠安全系統(tǒng)的電源、儀表和控制部分的一般原則和要求。本文件闡明單一故障準則，指導安全系統(tǒng)如何應用單一故障準則并提出了一個可接受的單一故障分析方法，適用于核電廠安全系統(tǒng)。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T7163核電廠安全系統(tǒng)的可靠性分析要求GB/T9225核電廠安全系統(tǒng)可靠性分析一般原則3術語和定義下列術語和定義適用于本文件。故障failure失效某物項喪失規(guī)定的功能?？商綔y故障detectablefailure可以通過定期試驗鑒別的故障，或通過報警或異常顯示發(fā)現(xiàn)的故障。注1:在通道級、序列級或系統(tǒng)級檢測出的部件故障都是可探測故障。注2:可判別但不可探測的故障是通過分析來判斷的故障，這些故障不能通過定期試驗發(fā)現(xiàn)，也不能通過報警或異常顯示發(fā)現(xiàn)。定期試驗periodictest為探測故障和檢查可運行性，按計劃的時間間隔所進行的試驗。由特定的單一事件或起因導致兩個或多個構筑物、系統(tǒng)或部件失效的故障。在設計中采用的假設始發(fā)事件，以便確定構筑物、系統(tǒng)和部件可接受的性能要求。驅動設備actuationdevice,actuator直接控制執(zhí)行裝置原動力(電力、壓縮空氣、液壓流體等)的部件或一些部件的集合。2完成一個保護動作的原動機和被驅動設備的組合。注：原動機的例子有汽輪機和電磁線圈。被驅動設備的例子有控制棒、泵和閥門。輔助支持設施auxiliarysupportingfeatures為安全系統(tǒng)完成其安全功能提供服務(如冷卻、潤滑和動力服務)的系統(tǒng)或設備。安全上重要的系統(tǒng)，用于保證反應堆安全停堆、從堆芯排出余熱或限制預計運行事件和設計基準事故的后果。由電氣設備和機械設備及其連接件組成，在接到來自監(jiān)測指令設施的信號后，執(zhí)行與安全功能直接或間接有關的某一功能的設施。注1:執(zhí)行設施的范圍從監(jiān)測指令設施的輸出端開始直到并且包括執(zhí)行裝置與過程的耦合處。注2:某種瞬態(tài)，保護動作可以通過執(zhí)行設施(如止回閥，自驅動釋放閥等)對過程條件的響應來完成。產生與安全功能直接或間接有關的信號的電氣和機械設備及其連接件。注：監(jiān)測指令設施的范圍是從被測過程變量開始，直到執(zhí)行設施輸入端為止。某一假設始發(fā)事件發(fā)生時，能完成其要求的安全功能的一組最少量的部件、組件和設備的組合。注：一個安全組包括一個或多個序列。為把核電廠參數(shù)保持在按設計基準事件確定的可接受的限值內，所必需的一種過程或狀態(tài)(例如應注：完成某一安全功能是由反應堆停堆系統(tǒng)和輔助支持設施，或者是由專設安全設施和輔助支持設施，或者是由兩者共同完成所有必需的保護動作來實現(xiàn)的。為完成某一安全功能，在監(jiān)測指令設施內產生一個信號，或是執(zhí)行設施內設備的運行。在核電廠工況需要時，為產生一個單一保護動作信號所需要的元器件和組件的一種配置。冗余設備或系統(tǒng)redundantequipmentorsystem重復另一設備或系統(tǒng)的必要功能，且不管哪一個處于工作或故障狀態(tài)，另一個均能完成要求的功能的設備或系統(tǒng)。3在多機組電廠內，能為一個以上機組完成功能的構筑物、系統(tǒng)和部件。a)系統(tǒng)同時由多個機組共用；b)系統(tǒng)按時間序列共用，或者說，按照事件序列在不同時間c)系統(tǒng)在某一給定時間僅由一個機組使用，但它可按指令從該機組斷開由另一機組使用。系統(tǒng)邏輯systemlogic監(jiān)測兩個或兩個以上通道的輸出并按預定的組合規(guī)則(如三取二、四取二等)給出信號的設備。4單一故障準則對某一設計基準事件，并同時存在下述情況時，安全系統(tǒng)應有能力完成全部要求的安全功能：a)在安全系統(tǒng)內存在任何單一可探測故障，并同時存在所有可判別的但不可探測的故障；b)由單一故障引起的所有故障；c)導致要求安全功能的設計基準事件或由設計基準事件引起的所有故障和誤動作。單一故障可能出現(xiàn)在要求安全系統(tǒng)動作的設計基準事件之前或設計基準事件期間的任何時間。5要求5.1獨立性和冗余性獨立性原則是有效應用單一故障準則的基礎。安全系統(tǒng)的設計應使某一部件的單一故障不影響與其冗余的獨立部件或系統(tǒng)的正確運行。5.2不可探測的故障單一故障準則應用隱含了故障的可探測性。可探測性是系統(tǒng)設計和規(guī)定試驗的功能之一。不能通過定期試驗探測或通過報警、異常顯示發(fā)現(xiàn)的故障是不可探測故障。安全系統(tǒng)分析目的之一是判別不可探測故障。應通過評估安全系統(tǒng)的設計來判別不可探測故障，包括假定部件級故障，并評估這些故障的影響以及探測這些故障的能力。某些設計采用冗余的部件，以緩解故障影響、提高系統(tǒng)可用性，或在不影響系統(tǒng)可用性的前提下支持維護。當對這種結構配置進行失效影響評估時，應特別關注其故障不會被定期試驗、報警或異常指示所發(fā)現(xiàn)的部件。不可探測故障的實例見附錄A。當判別了不可探測故障，應采取下列措施之一：——優(yōu)先采取的措施是重新設計系統(tǒng)或重新制定試驗方案，以使故障成為可探測的；——另一可采取的措施是在分析每個單一故障的影響時，假定已存在了所有已判別的不可探測故障。5.3級聯(lián)故障當有理由認為系統(tǒng)中的一些附加故障是由于任一來源的單一故障引起時，則應把這些級聯(lián)故障統(tǒng)一考慮為單一故障。5.4設計基準事件導致需要執(zhí)行安全功能的設計基準事件可引起系統(tǒng)部件、組件或通道故障。為了預防由設計基準4事件引起的故障，安全設備的設計、鑒定和安裝宜考慮對此類故障的防護。應開展分析確定由設計基準事件引起的安全系統(tǒng)故障的后果。對于滿足單一故障準則的系統(tǒng)，當出現(xiàn)由于設計基準事件導致的故障，可判別的不可探測故障以及任何其他單一故障的情況下，應證明所需的安全功能仍能執(zhí)行。5.5共因故障對安全系統(tǒng)在共因故障時執(zhí)行功能的要求超出了單一故障準則和本文件的范疇。但是，在進行單一故障分析時篩除潛在的共因故障是非常重要的。作為評估安全系統(tǒng)整體可靠性的一部分，GB/T9225在故障模式及影響分析(FMEA)或故障樹分析的基礎上對于定性分析進行了擴展，考慮了共因故障。因此，應該采用GB/T9225中擴展的可靠性定性分析，來識別和篩查那些在獨立部件故障的分析中通常不被考慮的共因故障機制。不屬于單一故障分析范圍的共因故障包括：可能由外部環(huán)境(如電壓、頻率、輻射、溫度、相對濕度、壓力、振動和電磁干擾)、設計缺陷、制造錯誤、維護錯誤和運行錯誤引起的故障。設備鑒定和質量保證大綱可用于防范外部環(huán)境影響、設計缺陷和制造錯誤。人員培訓、正確的控制室設計和運行、維護、監(jiān)督規(guī)程可用于防范維護和運行人員錯誤。對數(shù)字化安全系統(tǒng)，共因故障的薄弱環(huán)節(jié)應進行安全系統(tǒng)相關的多樣性和縱深防御評估。GB/T9225給出了導致共因故障的因素以及對于這些篩查出的潛在共因故障可能采取的預防性措施。從單一故障中篩查共因故障(CCF)的流程圖見圖1。對于識別出的其他沒有預防措施的故障，宜作為單一故障來處理并包含在單一故障的分析中。在GB/T13629中提供了應用多樣性和縱深防御來應對數(shù)字計算機共因故障的指導。適用于有共用系統(tǒng)的機組的單一故障準則如下。a)假設在共用系統(tǒng)內，或輔助支持設施內，或與共用系統(tǒng)接口的其他系統(tǒng)存在單一故障的情況下，所有機組的安全系統(tǒng)都應有能力完成其所要求的安全功能。示例：雙機組電站的每一機組中相同的安全系統(tǒng)共用相同的應急電源。但是，共用電源不應以額定值同時為兩個系統(tǒng)供電。每個機組的安全系統(tǒng)設有聯(lián)鎖，以避免兩個機組中的某些負荷同時運行。聯(lián)鎖可防止一個機組內的單一故障影響另一個機組的安全功能。b)在每一機組未共用的系統(tǒng)內同時存在一個單一故障時，每一機組的安全系統(tǒng)都應有能力完成其所要求的功能。設計應保證在一個機組內的單一故障不影響(不擴展到)另一機組，從而不妨礙共用系統(tǒng)完成其要求的安全功能。在單一故障分析時，不需要同時考慮a)和b)的故障，即先對電廠進行單一故障分析論證滿足準則a),然后重復單一故障分析論證滿足準則b)。5判別假定的共因故障是數(shù)字化共因故障?否是外部環(huán)境影響?否是通過質量保證流程解決否通過人員培訓，控制室設計，運行，維護以及臨督規(guī)程解決否在單一故障分析中評估故障影響錯誤?設計缺陷或制造錯誤?故障模式篩查準則解決方案見GB/T13629通過設備鑒定解決是圖1從單一故障中篩查共因故障(CCF)的流程圖6單一故障的設計分析6.1概述應系統(tǒng)地對設計進行分析，以確定是否存在違反單一故障準則的情況。本章將按下述步驟對每個設計基準事件進行系統(tǒng)的分析。本章所建議的方法是一種可接受的分析系統(tǒng)的方法，但不是唯一的方法。進行單一故障分析的其他方法見GB/T9225。6.2步驟按下述步驟對每個設計基準事件進行系統(tǒng)的分析。a)應確定要進行分析的安全功能(例如降功率、安全殼隔離、堆芯冷卻等)。b)應確定用以完成安全功能的系統(tǒng)級保護動作(例如快速插入控制棒、關閉安全殼隔離閥、安全6c)應確定足以滿足所要求安全功能的安全組。d)在單一故障分析中，應開展系統(tǒng)性的分析來識別單一故障對保護動作的影響。故障的例子有短路故障、開路故障、接地、直流或交流電壓過低、直流或交流電喪失，以及那些由引入的可信最大直流或交流電勢引起的或其后果導致的故障。對于數(shù)字化系統(tǒng)，還應考慮控制器、數(shù)據(jù)通信等故障對保護動作可能的影響。e)應驗證c)項所確定的安全組的獨立性，即通過檢查存在足夠的安全組，這些安全組沒有共用設備(例如共用繼電器、開關裝置、母線、電源等)或薄弱點(例如安全組間設備的隔離、位置和布置不滿足要求等)來驗證獨立性。一旦確立了獨立性，單一故障分析就可以假設d)項所述的故障只在一個冗余部分之內發(fā)生，確保不違背單一故障準則。注：在某些情況下不能確立獨立性(如冗余通道或冗余序列匯集在一起的三取二結構的系統(tǒng)),而在另一些情況下較容易地確立獨立性(如冗余通道或冗余序列不匯集在一起的二取一結構的系統(tǒng)),對此，進一步說明見6.3.2和6.3.3。f)對不能實現(xiàn)獨立性的系統(tǒng)或系統(tǒng)的某些部分，單一故障分析應假設在冗余部件發(fā)生的d)中定義的故障均不違反單一故障準則。g)可靠性分析、概率評估、運行經驗、工程判斷，或其組合可以用來確定單一故障分析的范圍。不應使用概率評估代替單一故障分析?？煽啃苑治龊透怕试u估應符合GB/T9225和GB/T7163的要求。h)應分析電氣的、機械的和系統(tǒng)邏輯的故障模式。i)應分析維護旁通、共用系統(tǒng)、互連設備、臨近設備以及與其他系統(tǒng)的交互。j)一個部件可能有不同的故障模式，應對每一種模式進行單獨的分析。6.3系統(tǒng)某些特定部分的分析當進行單一故障分析時，安全系統(tǒng)的某些部分可能要求一些特殊考慮，6.3.2～6.3.7列出這些部分應用單一故障準則時可能關注的幾個方面和要求。6.3.2冗余通道間相互聯(lián)接冗余通道間的相互聯(lián)接(通過數(shù)據(jù)記錄儀和試驗電路等裝置)是可能喪失獨立性的區(qū)域。應分析這些相互聯(lián)接部分以保證單一故障不會導致喪失安全功能。對那些可能導致喪失安全功能的單一故障，應分析冗余通道的隔離措施。在單一故障分析中，系統(tǒng)邏輯的分析特別重要，因為冗余通道和冗余的驅動電路在這里匯集。分析應證明在系統(tǒng)邏輯中的單一故障，不會在通道或驅動電路中引起可能導致安全功能喪失的故障。應對那些設計有失電時優(yōu)先失效模式的驅動設備進行分析，例如應分析使驅動設備端不能斷開電源的故障或妨礙設備運動到首選位置的機械粘結故障，以確保單一故障不引起安全功能的喪失。應分析那些在要求保護動作時需接入動力源的驅動設備，以確保單一的開路、短路或失去動力源不會導致安全功能的喪失。應從可能影響系統(tǒng)能力的故障出發(fā)，對整個驅動器系統(tǒng)(可能包含氣動、機械、電氣和液壓部件)進行分析，以滿足單一故障準則。應特別注意要保證驅動設備機械部件的故障不引起冗余設備的電氣故障，電氣故障也不引起冗余設備的機械故障。7電源有可能以幾種方式引起安全功能的喪失，例如電源故障引起的高壓可能導致冗余通道的故障(如晶體管故障),低壓可能導致喪失冗余通道，電源的頻率和波形的變化可能引起冗余通道整定值的漂移。單一故障分析應包括整個電源系統(tǒng)，包括卸載裝置。有關指導見GB/T12788。6.3.6輔助支持設施任一應用單一故障準則的安全系統(tǒng)正常運行所需要的輔助支持設施，應作為其支持系統(tǒng)的一部分包含在單一故障分析中。例如當安全系統(tǒng)的一部分依賴于受控環(huán)境的保持時，除非能證明環(huán)境系統(tǒng)故障不會導致所要求安全功能的喪失，否則環(huán)境系統(tǒng)的故障就可能成為違反單一故障準則的潛在原因。如果輔助支持設施的設計不滿足單一故障準則，則不管是否喪失輔助支持設施，均應確保完成所要求安全功能的能力。6.3.7儀表管路連接傳感器和工藝系統(tǒng)的管路(包括平衡容器、儀表閥組和隔離閥等)應包括在單一故障分析內。6.4其他考慮6.4.1與安全系統(tǒng)耦合的其他系統(tǒng)應檢查以某種方式與應用單一故障準則的安全系統(tǒng)耦合的所有非安全系統(tǒng)(如非安全級的試驗電路)或其他安全系統(tǒng)(如其他通道),以確定在這些系統(tǒng)內的任何故障是否能使安全系統(tǒng)劣化。如果它們能使安全系統(tǒng)的某部分劣化到失效程度，則應以假定存在這些故障作為初始條件，進行安全系統(tǒng)的單一故障分析。有關這指導見GB/T13286。6.4.2由單一故障引起系統(tǒng)動作的可能性應檢查由單一故障引起的系統(tǒng)動作的可能性，以判定這樣的動作是否會構成一個具有不可接受安全后果的事件。對任何被判定為不可接受的動作，應滿足單一故障準則(即系統(tǒng)中存在所有可判別但不可探測的故障以及任一單個可探測故障時，不應引起安全系統(tǒng)驅動)。8(資料性)不可探測故障實例A.1背景可探測故障是指那些可以通過定期試驗鑒別，或通過報警或異常顯示發(fā)現(xiàn)的故障。不可探測故障則不能通過可探測故障使用的方法來判別。不可探測的故障對單一故障分析非常重要的。不同于可探測故障，不可探測故障可能在保護系統(tǒng)中長期存在。實際上，它們可能在制造階段就已存在于系統(tǒng)中了。正如5.2所要求的，當判別了不可探測故障，優(yōu)先采取的措施是重新設計系統(tǒng)或設備，使得故障變得可探測。三位置開關和數(shù)字化系統(tǒng)是兩種設備存在不可探測故障的實例以及故障被判別后的處理方式。A.2三位置開關三位置自返回開關故障是一個故障不能被定期試驗或被異常指示所發(fā)現(xiàn)的例子。當開關故障的時候，雖然它仍處于正確的中間位置，但由于指示燈回路接線方式的原因，中間位觸點連接性喪失這一故障無法被發(fā)現(xiàn)(也就是指示燈不能隨