单一故障准则应用于核电厂安全系统

单一故障准则应用于核电厂安全系统

国家标准 GB/T13626一2021 代替GB/T13626一2008 单一故障准则应用于核电厂安全系统 Applieationofthesingle-failureeriterionfornuelearpowerplantsafetysystems 2021-12-31发布 2022-07-01实施 国家市场监督管理总局 发布 国家标涯花管理委员会国家标准
GB/T13626一2021 目 次 前言 范围 规范性引用文件 术语和定义 ，， 单一故障准则 要求 单一故障的设计分析 附录A资料性不可探测故障实例 参考文献
GB/T13626一2021 前 言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草 本文件代替GB/T13626一2008《单一故障准则应用于核电厂安全系统》,与GB/T136262008 相比,除结构调整和编辑性改动外,主要技术变化如下 -更改了共因故障的定义见3.4,2008年版的3.4) -增加了对于不可探测故障的评估要求(见5.2); -删除了“级联故障”中的例子(见2008年版的5.3) 更改了对设计基准事件分析要求的描述(见5.4,2008年版的5.4); -明确共因故障超出单一故障准则的范睛,并补充共因故障的筛查过程(见5.5,2008年版的 5.5); 更改了“单一故障的设计分析”中的相关描述和章节号(见第6章,2008年版的第6章): 删除了“概率评价特性"(见2008年版的6.3.2)5 -增加了不可探测故障举例说明(见附录A. 请注意本文件的某些内容可能涉及专利 本文件的发布机构不承担识别专利的责任 本文件由全国核仪器仪表标准化技术委员会(sAC/Tc30)提出并归口 本文件起草单位;核电工程有限公司、核工业标准化研究所 本文件主要起草人;邢继、陈日罡、廖圣勇、姜明月、崔明路、张冬、王少华、李鹏飞、焦丽玲、杜建 本文件及其所代替文件的历次版本发布情况为 1992年8月首次发布为GB/T13626-1992,2001年4月第一次修订,2008年7月第二次 修订; 本次为第三次修订
GB/T13626一2021 单一故障准则应用于核电厂安全系统 范围 本文件规定了单一故障准则应用于核电厂安全系统的电源、仪表和控制部分的一般原则和要求 本文件阐明单一故障准则,指导安全系统如何应用单一故障准则并提出了一个可接受的单一故障 分析方法,适用于核电厂安全系统 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件 G;B/T7163核电厂安全系统的可靠性分析要求 GB/T9225核电厂安全系统可靠性分析一般原则 术语和定义 下列术语和定义适用于本文件 3.1 故障 failure 失效 某物项丧失规定的功能 3.2 可探测故障deteetableftailure 可以通过定期试验鉴别的故障,或通过报警或异常显示发现的故障 注1:在通道级、序列级或系统级检测出的部件故障都是可探测故障 注2，可判别但不可探测的故障是通过分析来判断的故障,这些故障不能通过定期试验发现,也不能通过报警或异 常显示发现 3.3 定期试验periodictest 为探测故障和检查可运行性,按计划的时间间隔所进行的试验 3.4 共因故障commomcausetailure 由特定的单一事件或起因导致两个或多个构筑物、系统或部件失效的故障 3.5 设计基准事件designbasisevents 在设计中采用的假设始发事件,以便确定构筑物、系统和部件可接受的性能要求 3.6 驱动设备 actuationdevice,actuator 直接控制执行装置原动力(电力、压缩空气、液压流体等)的部件或一些部件的集合
GB/T13626一2021 注:例如电路断路器,继电器和先导阀等 3.7 执行装置aetuatedequipment 完成一个保护动作的原动机和被驱动设备的组合 注:原动机的例子有汽轮机和电磁线圈 被驱动设备的例子有控制棒、泵和阀门 3.8 suppurtinftetures 辅助支持设施awilary 为安全系统完成其安全功能提供服务(如冷却、,润滑和动力服务)的系统或设备 3.9 安全系统safetysystem 安全上重要的系统,用于保证反应堆安全停堆,从堆芯排出余热或眼制颜计运行事件和设计基准事 故的后果 3.10 执行设施executefeatures 由电气设备和机械设备及其连接件组成,在接到来自监测指令设施的信号后,执行与安全功能直接 或间接有关的某一功能的设施 注1执行设施的范围从监测指令设施的输出端开始直到并且包括执行装置与过程的鹏合处 注2:某种瞬态,保护动作可以通过执行设施如止回阀,自驱动释放阀等)对过程条件的响应来完成 3.11 监测指令设施 senseandcommandfeatures 产生与安全功能直接或间接有关的信号的电气和机械设备及其连接件 注:监测指令设施的范围是从被测过程变量开始,直到执行设施输人端为止 3.12 安全组 safetygroup 某一假设始发事件发生时,能完成其要求的安全功能的一组最少量的部件、组件和设备的组合 注一个安全组包括一个或多个序列 3.13 安全功能safetyfunectiom 为把核电厂参数保持在按设计基准事件确定的可接受的限值内,所必需的一种过程或状态(例如应 急负反应性引人,事故后热量排出、应急堆芯冷却,事故后放射性物质清除和安全壳隔离》 注;完成某一安全功能是由反应堆停堆系统和辅助支持设施,或者是由专设安全设施和辅助支持设施,或者是由两 者共同完成所有必需的保护动作来实现的 3.14 保护动作 protectionaction 为完成某一安全功能,在监测指令设施内产生一个信号,或是执行设施内设备的运行 3.15 通道 channel 在核电厂工况需要时,为产生一个单一保护动作信号所需要的元器件和组件的一种配置 注:一个通道在各单一保护动作信号的汇合处终止 3.16 冗余设备或系统 redundanteguipmentorsystem 重复另一设备或系统的必要功能,且不管哪一个处于工作或故障状态，另一个均能完成要求的功 能的设备或系统 注;可通过相同的设备,设备多样性或功能多样性来实现冗余
GB/T13626一2021 3.17 共用系统sharedsems 在多机组电厂内,能为一个以上机组完成功能的构筑物、系统和部件 注共用包括下述含义 a)系统同时由多个机组共用 系统按时间序列共用,或者说按照事件序列在不同时间由两个机组共用 b c 系统在某一给定时间仅由一个机组使用,但它可按指令从该机组断开由另一机组使用 3.18 系统逻辑 systemmlogic 监测两个或两个以上通道的输出并按预定的组合规则如三取二,四取二等)给出信号的设备 单一故障准则 一设计基准事件,并同时存在下述情况时,安全系统应有能力完成全部要求的安全功能 对某一 在安全系统内存在任何单一可探测故障,并同时存在所有可判别的但不可探测的故障 aa bb) 由单一故障引起的所有故障 导致要求安全功能的设计基准事件或由设计基准事件引起的所有故障和误动作 co 单一故障可能出现在要求安全系统动作的设计基准事件之前或设计基准事件期间的任何时间 要求 5.1独立性和冗余性 独立性原则是有效应用单一故障准则的基础 安全系统的设计应使某一部件的单一故障不影响与 其冗余的独立部件或系统的正确运行 5.2不可探测的故障 单一故障准则应用隐含了故障的可探测性 可探测性是系统设计和规定试验的功能之一 不能通 过定期试验探测或通过报警、异常显示发现的故障是不可探测故障 安全系统分析目的之一是判别不 可探测故障 应通过评估安全系统的设计来判别不可探测故障,包括假定部件级故障,并评估这些故障的影响以 及探测这些故障的能力 某些设计采用冗余的部件,以缓解故障影响,提高系统可用性,或在不影响系 统可用性的前提下支持维护 当对这种结构配置进行失效影响评估时,应特别关注其故障不会被定期 试验、报警或异常指示所发现的部件 不可探测故障的实例见附录A 当判别了不可探测故障,应采取下列措施之一 -优先采取的措施是重新设计系统或重新制定试验方案,以使故障成为可探测的 另一可采取的措施是在分析每个单一故障的影响时,假定已存在了所有已判别的不可探测 故阵 5.3级联故障 当有理由认为系统中的一些附加故障是由于任一来源的单一故障引起时,则应把这些级联故障统 -考虑为单一故障 5.4设计基准事件 导致需要执行安全功能的设计基准事件可引起系统部件、组件或通道故障 为了预防由设计基准
GB/T13626一202 事件引起的故障,安全设备的设计,鉴定和安装宜考虑对此类故障的防护 应开展分析确定由设计基准 事件引起的安全系统故障的后果 对于满足单一故障准则的系统,当出现由于设计基准事件导致的故 障,可判别的不可探测故障以及任何其他单一故障的情况下,应证明所需的安全功能仍能执行 5.5共因故障 对安全系统在共因故障时执行功能的要求超出了单一故障准则和本文件的范 但是,在进行单 -故障分析时筛除潜在的共因故障是非常重要的 作为评估安全系统整体可靠性的一部分 GB/T9225在故障模式及影响分析(FMEA)或故障树分析的基础上对于定性分析进行了扩展,考虑了 共因故障 因此,应该采用GB/T9225中扩展的可靠性定性分析,来识别和筛查那些在独立部件故障 的分析中通常不被考虑的共因故障机制 不属于单一故障分析范围的共因故障包括:可能由外部环境如电压、频率、辐射温度,相对湿度、 压力,振动和电磁干扰,设计缺陷、制造错误、维护错误和运行错误引起的故障 设备鉴定和质量保证 大纲可用于防范外部环境影响、设计缺陷和制造错误 人员培训、正确的控制室设计和运行、维护监督 规程可用于防范维护和运行人员错误 对数字化安全系统,共因故障的薄弱环节应进行安全系统相关 GByT925给出了导致共因故障的因素以及对于这些筛查出的潜在共因 的多样性和纵深防御评估 故障可能采取的预防性措施 从单一故障中筛查共因故障(cCF)的流程图见图1 对于识别出的其他 没有预防措施的故障,宜作为单一故障来处理并包含在单一故障的分析中 在GB/T13629中提供了应用多样性和纵深防御来应对数字计算机共因故障的指导 5.6共用系统 适用于有共用系统的机组的单一故障准则如下 假设在共用系统内,或辅助支持设施内,或与共用系统接口的其他系统存在单一故障的情况 a 下,所有机组的安全系统都应有能力完成其所要求的安全功能 示例;双机组电站的每一机组中相同的安全系统共用相同的应急电源 但是,共用电源不应以额定值同时为 两个系统供电 每个机组的安全系统设有联锁,以避免两个机组中的某些负荷同时运行 联锁可防止一个机 组内的单一故障影响另一个机组的安全功能 b 在每一机组未共用的系统内同时存在 一个单一故障时,每一机组的安全系统都应有能力完成 其所要求的功能 设计应保证在一个机组内的单一故障不影响(不扩展到)另一机组,从而不妨碍共用系统完成其要 求的安全功能 在单一故障分析时,不需要同时考虑a)和b)的故障,即先对电厂进行单一放障分析论证满足准则 a),然后重复单一故障分析论证满足准则b)
GB/T13626一2021 使用GBT9225流程、工程判断等， 判别假定的共因故障 数字化共因故障? 解决方案见GBT13629 通过设备鉴定解决 外部环境影响? 否 故 障 模 设计缺陷成 通过质量保证流程解决 制造错误？? 则 通过人员培训，控制室设计 运行，维护以及监督规程解决 错误？? 否 在单一故障分析中评估故障影响 图1从单一故障中筛查共因故障(cCF)的流程图 单一故障的设计分析 6.1概述 应系统地对设计进行分析,以确定是否存在违反单一故障准则的情况 本章将按下述步骤对每个 设计基准事件进行系统的分析 本章所建议的方法是一种可接受的分析系统的方法,但不是唯一的方 法 进行单一故障分析的其他方法见GB/T9225 6.2步骤 按下述步骤对每个设计基准事件进行系统的分析 应确定要进行分析的安全功能(例如降功率,安全壳隔离、堆芯冷却等. aa b 应确定用以完成安全功能的系统级保护动作(例如快速插人控制棒,关闭安全壳隔离阀,安全 注人、安全壳喷淋等
GB/T13626一202 应确定足以满足所要求安全功能的安全组 c d)在单一故障分析中,应开展系统性的分析来识别单一故障对保护动作的影响 故障的例子有 短路故障,开路故障,接地、直流或交流电压过低、直流或交流电丧失,以及那些由引人的可信 最大直流或交流电势引起的或其后果导致的故障 对于数字化系统,还应考虑控制器、数据通 信等故障对保护动作可能的影响 应验证c)项所确定的安全组的独立性,即通过检查存在足够的安全组,这些安全组没有共用 设备(例如共用继电器、开关装置、母线、电源等)或薄弱点例如安全组间设备的隔离、位置和 布置不满足要求等)来验证独立性 -旦确立了独立性,单一故障分析就可以假设d)项所述 的故障只在一个冗余部分之内发生,确保不违背单一故障准则 注在某些情况下不能确立独立性(如冗余通道或冗余序列汇集在一起的三取二结构的系统),而在另一些情况下 较容易地确立独立性(如冗余通道或冗余序列不汇集在一起的二取一结构的系统),对此,进一步说明见6.3.2 和6.3.3 对不能实现独立性的系统或系统的某些部分,单一故障分析应假设在冗余部件发生的d)中定 义的故障均不违反单一故障准则 可靠性分析、概率评估、运行经验、工程判断,或其组合可以用来确定单一故障分析的范围 不 g 应使用概率评估代替单一故障分析 可靠性分析和概率评估应符合GB/T9225和 GB/7163的要求 h)应分析电气的、机械的和系统逻辑的故障模式 应分析维护旁通、共用系统、互连设备、临近设备以及与其他系统的交互 -个部件可能有不同的故障模式,应对每一种模式进行单独的分析 6.3系统某些特定部分的分析 6.3.1概述 当进行单一故障分析时,安全系统的某些部分可能要求一些特殊考虑,6.3.2一6.3.7列出这些部分 应用单一故障准则时可能关注的几个方面和要求 6.3.2冗余通道间相互联接 冗余通道间的相互联接(通过数据记录仪和试验电路等装置)是可能丧失独立性的区域 应分析这 些相互联接部分以保证单一故障不会导致丧失安全功能 对那些可能导致丧失安全功能的单一故障 应分析冗余通道的隔离措施 6.3.3 系统逻辑 在单一故障分析中,系统逻辑的分析特别重要,因为冗余通道和冗余的驱动电路在这里汇集 分析 应证明在系统逻辑中的单一故障,不会在通道或驱动电路中引起可能导致安全功能丧失的故障 6.3.4驱动设备 应对那些设计有失电时优先失效模式的驱动设备进行分析,例如应分析使驱动设备端不能断开电 源的故障或妨碍设备运动到首选位置的机械粘结故障,以确保单一故障不引起安全功能的丧失 应分析那些在要求保护动作时需接人动力源的驱动设备,以确保单一的开路、短路或失去动力源不 会导致安全功能的丧失 应从可能影响系统能力的故障出发,对整个驱动器系统(可能包含气动、机械、电气和液压部件)进 行分析,以满足单一故障准则 应特别注意要保证驱动设备机械部件的故障不引起冗余设备的电气故 障,电气故障也不引起冗余设备的机械故障
GB/T13626一2021 6.3.5电源 电源有可能以几种方式引起安全功能的丧失,例如电源故障引起的高压可能导致冗余通道的故障 如晶体管故障),低压可能导致丧失冗余通道,电源的频率和波形的变化可能引起冗余通道整定值的漂 移 单一故障分析应包括整个电源系统,包括卸载装置 有关指导见GB/T12788 6.3.6辅助支持设施 任一应用单一故障准则的安全系统正常运行所需要的辅助支持设施,应作为其支持系统的一部分 包含在单一故障分析中 例如当安全系统的一部分依赖于受控环境的保持时,除非能证明环境系统故 障不会导致所要求安全功能的丧失,否则环境系统的故障就可能成为违反单一故障准则的潜在原因 如果辅助支持设施的设计不满足单一故障准则,则不管是否丧失辅助支持设施,均应确保完成所要求安 全功能的能力 6.3.7仪表管路 连接传感器和工艺系统的管路(包括平衡容器,仪表阀组和隔离阀等)应包括在单 -故障分析内 6.4其他考虑 6.4.1与安全系统耦合的其他系统 应检查以某种方式与应用单一故障准则的安全系统耦合的所有非安全系统(如非安全级的试验电 路)或其他安全系统(如其他通道),以确定在这些系统内的任何故障是否能使安全系统劣化 如果它们 能使安全系统的某部分劣化到失效程度,则应以假定存在这些故障作为初始条件,进行安全系统的单一 故障分析 有关这指导见GB/T13286. 由单一故障引起系统动作的可能性 6,4.2 应检查由单一故障引起的系统动作的可能性,以判定这样的动作是否会构成一个具有不可接受安 全后果的事件 对任何被判定为不可接受的动作,应满足单一故障准则即系统中存在所有可判别但不 可探测的故障以及任一单个可探测故障时,不应引起安全系统驱动)
GB/T13626一2021 附 录 A 资料性) 不可探测故障实例 A.1背景 可探测故障是指那些可以通过定期试验鉴别,或通过报警或异常显示发现的故障 不可探测故障 则不能通过可探测故障使用的方法来判别 不可探测的故障对单一故障分析非常重要的 不同于可探 测故障,不可探测故障可能在保护系统中长期存在 实际上,它们可能在制造阶段就已存在于系统中 了 正如5.2所要求的,当判别了不可探测故障,优先采取的措施是重新设计系统或设备,使得故障变 得可探测 三位置开关和数字化系统是两种设备存在不可探测故障的实例以及故障被判别后的处理 方式 A.2三位置开关 三位置自返回开关故障是一个故障不能被定期试验或被异常指示所发现的例子 当开关故障的时 候,虽然它仍处于正确的中间位置,但由于指示灯回路接线方式的原因,中间位触点连接性丧失这一故 障无法被发现(也就是指示灯不能随时向操纵员提供相应的显示信息),这一故障直到通过开关对设备 进行操作的时候才可能被发现 这就是一个不可探测故障,因为正如5.2所指出的,它不能“通过定期试验探测或通过报警、异常显 示发现” 如5.2指出的那样,处理这种故障优先采取的措施是“重新制定试验方案”,执行定期的连续 性测试 另外,在这个例子里，需“重新设计系统”使得这种故障能够通过指示灯显示 A.3数字化系统 由于一台机组的柴油发电机可编程逻辑控制器加载序列软件逻辑缺陷,导致该柴油发电机没有正 确响应来自同一厂址另外一个机组的安注信号(当时第一个机组在运行,另一机组停运做综合安全试 验) 该缺陷可能会禁止四台柴油发电机加载序列中任意一台或全部四台对输人信号的响应 加载序 列应设计成:加载序列在进行试验时,如果收到一个紧急信号时,测试信号被复位,同时加载序列控制的 专设安全设施启动 而在实现时,在收到安注信号15s后的某一特定测试情境下,测试信号被复位,但 是防止安全动作触发的禁止信号仍然被锁存逻辑所保持 因此,若在该试验情境15、后出现紧急信 号,虽然测试信号已经被复位了,但是锁存逻辑仍然禁止安全动作 由于逻辑设计人员和独立的设计验证人员都没有识别出禁止逻辑和测试逻辑之间的这种相互作 用在加载序列手动和自动试验模式中都存在闭锁安全动作的情况 这使得故障变得不可探测 之后 的研究表明,在最开始的验证和确认(v8.V)过程中,并没有对所有自动和手动试验模式的加载序列功 能进行确认 为了消除软件逻辑问题,在停堆换料期间“重新设计系统”,这也是本文件中推荐的处理 方式之
GB/T13626一2021 考文 参 献 [1]GB/T12788核电厂安全级电力系统准则 [[2]GB/T13286核电厂安全级电气设备和电路独立性准则 [[3]GB/T13629核电厂安全系统中数字计算机的适用准则

单一故障准则在核电厂安全系统中的应用

单一故障准则是指在进行系统设计和分析时，假设只出现一个故障，并保证其他所有设备均正常运行，从而确保在该情况下系统依然可以正常工作。

单一故障准则的应用可以有效地识别和处理系统中可能出现的故障，并提高系统的可靠性和安全性。在核电厂中，由于其特殊的安全要求，单一故障准则尤为重要。

根据GB/T13626-2021标准，核电厂安全系统应满足以下两个条件：

• 当任何一个安全系统或者安全设备发生故障时，能够自动启动其他备用系统或者设备，保证核电厂的安全运行；
• 当任何一个重要安全功能发生故障时，能够不间断地维持该功能，并通过其他手段保证核电厂的安全运行。

为了满足这两个条件，单一故障准则在设计和分析中得到广泛应用。例如，在核电厂的控制系统中，单一故障准则可以保证只有一个传感器或执行器出现故障时，整个系统仍然可以正常工作。

此外，在核电厂的安全系统中，单一故障准则还可以应用于火灾监测、紧急电源、应急照明等方面，从而提高系统的可靠性和安全性。

总之，单一故障准则在核电厂的安全系统中具有非常重要的应用价值，可以为核电厂的安全运行提供可靠保障。

单一故障准则应用于核电厂安全系统的相关资料

和单一故障准则应用于核电厂安全系统类似的标准

GB/T13626-2021

单一故障准则应用于核电厂安全系统

2022/7/8 19:58:51 即将实施