1 范围

      本文件规定了单一故障准则应用于核电厂安全系统的电源、仪表和控制部分的一般原则和要求。

      本文件阐明单一故障准则，指导安全系统如何应用单一故障准则并提出了一个可接受的单一故障分析方法，适用于核电厂安全系统。

2 规范性引用文件

      下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 7163 核电厂安全系统的可靠性分析要求

      GB/T 9225 核电厂安全系统可靠性分析一般原则

3 术语和定义

      下列术语和定义适用于本文件。

3.1

      故障 failure

      失效

      某物项丧失规定的功能。

3.2

      可探测故障 detectable failure

      可以通过定期试验鉴别的故障，或通过报警或异常显示发现的故障。

      注1：在通道级、序列级或系统级检测出的部件故障都是可探测故障。

      注2：可判别但不可探测的故障是通过分析来判断的故障，这些故障不能通过定期试验发现，也不能通过报警或异常显示发现。

3.3

      定期试验 periodic test

      为探测故障和检查可运行性，按计划的时间间隔所进行的试验。

3.4

      共因故障 common cause failure

      由特定的单一事件或起因导致两个或多个构筑物、系统或部件失效的故障。

3.5

      设计基准事件 design basis events

      在设计中采用的假设始发事件，以便确定构筑物、系统和部件可接受的性能要求。

3.6

      驱动设备 actuation device，actuator

      直接控制执行装置原动力（电力、压缩空气、液压流体等）的部件或一些部件的集合。

      注：例如电路断路器、继电器和先导阀等。

3.7

      执行装置 actuated equipment

      完成一个保护动作的原动机和被驱动设备的组合。

      注：原动机的例子有汽轮机和电磁线圈。被驱动设备的例子有控制棒、泵和阀门。

3.8

      辅助支持设施 auxiliary supporting features

      为安全系统完成其安全功能提供服务（如冷却、润滑和动力服务）的系统或设备。

3.9

      安全系统 safety system

      安全上重要的系统，用于保证反应堆安全停堆、从堆芯排出余热或限制预计运行事件和设计基准事故的后果。

3.10

      执行设施 execute features

      由电气设备和机械设备及其连接件组成，在接到来自监测指令设施的信号后，执行与安全功能直接或间接有关的某一功能的设施。

      注1：执行设施的范围从监测指令设施的输出端开始直到并且包括执行装置与过程的耦合处。

      注2：某种瞬态，保护动作可以通过执行设施（如止回阀，自驱动释放阀等）对过程条件的响应来完成。

3.11

      监测指令设施 sense and command features

      产生与安全功能直接或间接有关的信号的电气和机械设备及其连接件。

      注：监测指令设施的范围是从被测过程变量开始，直到执行设施输入端为止。

3.12

      安全组 safety group

      某一假设始发事件发生时，能完成其要求的安全功能的一组最少量的部件、组件和设备的组合。

      注：一个安全组包括一个或多个序列。

3.13

      安全功能 safety function

      为把核电厂参数保持在按设计基准事件确定的可接受的限值内，所必需的一种过程或状态（例如应急负反应性引入、事故后热量排出、应急堆芯冷却、事故后放射性物质清除和安全壳隔离）。

      注：完成某一安全功能是由反应堆停堆系统和辅助支持设施，或者是由专设安全设施和辅助支持设施，或者是由两者共同完成所有必需的保护动作来实现的。

3.14

      保护动作 protection action

      为完成某一安全功能，在监测指令设施内产生一个信号，或是执行设施内设备的运行。

3.15

      通道 channel

      在核电厂工况需要时，为产生一个单一保护动作信号所需要的元器件和组件的一种配置。

      注：一个通道在各单一保护动作信号的汇合处终止。

3.16

      冗余设备或系统 redundant equipment or system

      重复另一设备或系统的必要功能，且不管哪一个处于工作或故障状态，另一个均能完成要求的功能的设备或系统。

      注：可通过相同的设备、设备多样性或功能多样性来实现冗余。

3.17

      共用系统 shared systems

      在多机组电厂内，能为一个以上机组完成功能的构筑物、系统和部件。

      注：共用包括下述含义：

      a）系统同时由多个机组共用；

      b）系统按时间序列共用，或者说，按照事件序列在不同时间由两个机组共用；

      c）系统在某一给定时间仅由一个机组使用，但它可按指令从该机组断开由另一机组使用。

3.18

      系统逻辑 system logic

      监测两个或两个以上通道的输出并按预定的组合规则（如三取二、四取二等）给出信号的设备。

4 单一故障准则

      对某一设计基准事件，并同时存在下述情况时，安全系统应有能力完成全部要求的安全功能：

      a）在安全系统内存在任何单一可探测故障，并同时存在所有可判别的但不可探测的故障；

      b）由单一故障引起的所有故障；

      c）导致要求安全功能的设计基准事件或由设计基准事件引起的所有故障和误动作。

      单一故障可能出现在要求安全系统动作的设计基准事件之前或设计基准事件期间的任何时间。

5 要求

5.1 独立性和冗余性

      独立性原则是有效应用单一故障准则的基础。安全系统的设计应使某一部件的单一故障不影响与其冗余的独立部件或系统的正确运行。

5.2 不可探测的故障

      单一故障准则应用隐含了故障的可探测性。可探测性是系统设计和规定试验的功能之一。不能通过定期试验探测或通过报警、异常显示发现的故障是不可探测故障。安全系统分析目的之一是判别不可探测故障。

      应通过评估安全系统的设计来判别不可探测故障，包括假定部件级故障，并评估这些故障的影响以及探测这些故障的能力。某些设计采用冗余的部件，以缓解故障影响、提高系统可用性，或在不影响系统可用性的前提下支持维护。当对这种结构配置进行失效影响评估时，应特别关注其故障不会被定期试验、报警或异常指示所发现的部件。不可探测故障的实例见附录A。

      当判别了不可探测故障，应采取下列措施之一：

      ——优先采取的措施是重新设计系统或重新制定试验方案，以使故障成为可探测的；

      ——另一可采取的措施是在分析每个单一故障的影响时，假定已存在了所有已判别的不可探测故障。

5.3 级联故障

      当有理由认为系统中的一些附加故障是由于任一来源的单一故障引起时，则应把这些级联故障统一考虑为单一故障。

5.4 设计基准事件

      导致需要执行安全功能的设计基准事件可引起系统部件、组件或通道故障。为了预防由设计基准事件引起的故障，安全设备的设计、鉴定和安装宜考虑对此类故障的防护。应开展分析确定由设计基准事件引起的安全系统故障的后果。对于满足单一故障准则的系统，当出现由于设计基准事件导致的故障，可判别的不可探测故障以及任何其他单一故障的情况下，应证明所需的安全功能仍能执行。

5.5 共因故障

      对安全系统在共因故障时执行功能的要求超出了单一故障准则和本文件的范畴。但是，在进行单一故障分析时筛除潜在的共因故障是非常重要的。作为评估安全系统整体可靠性的一部分，GB/T 9225在故障模式及影响分析（FMEA）或故障树分析的基础上对于定性分析进行了扩展，考虑了共因故障。因此，应该采用GB/T9225中扩展的可靠性定性分析，来识别和筛查那些在独立部件故障的分析中通常不被考虑的共因故障机制。

      不属于单一故障分析范围的共因故障包括：可能由外部环境（如电压、频率、辐射、温度、相对湿度、压力、振动和电磁干扰）、设计缺陷、制造错误、维护错误和运行错误引起的故障。设备鉴定和质量保证大纲可用于防范外部环境影响、设计缺陷和制造错误。人员培训、正确的控制室设计和运行、维护、监督规程可用于防范维护和运行人员错误。对数字化安全系统，共因故障的薄弱环节应进行安全系统相关的多样性和纵深防御评估。GB/T 9225给出了导致共因故障的因素以及对于这些筛查出的潜在共因故障可能采取的预防性措施。从单一故障中筛查共因故障（CCF）的流程图见图1。对于识别出的其他没有预防措施的故障，宜作为单一故障来处理并包含在单一故障的分析中。

      在GB/T 13629中提供了应用多样性和纵深防御来应对数字计算机共因故障的指导。

5.6 共用系统

      适用于有共用系统的机组的单一故障准则如下。

      a）假设在共用系统内，或辅助支持设施内，或与共用系统接口的其他系统存在单一故障的情况下，所有机组的安全系统都应有能力完成其所要求的安全功能。

      示例：双机组电站的每一机组中相同的安全系统共用相同的应急电源。但是，共用电源不应以额定值同时为两个系统供电。每个机组的安全系统设有联锁，以避免两个机组中的某些负荷同时运行。联锁可防止一个机组内的单一故障影响另一个机组的安全功能。

      b) 在每一机组未共用的系统内同时存在一个单一故障时，每一机组的安全系统都应有能力完成其所要求的功能。

      设计应保证在一个机组内的单一故障不影响（不扩展到）另一机组，从而不妨碍共用系统完成其要求的安全功能。

      在单一故障分析时，不需要同时考虑a）和b）的故障，即先对电厂进行单一故障分析论证满足准则a），然后重复单一故障分析论证满足准则b）。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。