HAF102-2016核動力廠設(shè)計安全規(guī)定

附件HAF102-2016

核動力廠設(shè)計安全規(guī)定

（2016年修訂，2016年10月26日國家核安全局批準發(fā)布）

1引言

1.1目的

為實現(xiàn)核動力廠的安全運行，防止或減輕可能危及安全的事件

后果，本規(guī)定提出了核動力廠安全重要的構(gòu)筑物、系統(tǒng)和部件的設(shè)

計，以及規(guī)程和組織流程所必須滿足的要求。

本規(guī)定適用于核動力廠設(shè)計、建造、運行和退役階段的分析、

驗證和審查，技術(shù)支持以及核安全監(jiān)督。

1.2范圍

1.2.1本規(guī)定提出了進行全面安全評價的要求，以確定核動力

廠在各種運行狀態(tài)和事故工況下可能產(chǎn)生的潛在危險。安全評價過

程涉及確定論安全分析和概率論安全分析這兩種互為補充的技術(shù)，

分析中必須考慮各種假設(shè)始發(fā)事件，包括可能單獨地或組合地影響

安全的諸多因素。這些事件有如下幾種類型：

（1）源自核動力廠運行本身；

（2）由人員行為引起；

（3）與核動力廠及廠址環(huán)境直接相關(guān)。

1.2.2本規(guī)定不涉及極不可能影響核安全的一般工業(yè)安全和由

—3—

核動力廠運行所引起的非放射性影響。

1.2.3本規(guī)定中的核動力廠主要是指為發(fā)電或其他供熱應(yīng)用

（諸如集中供熱或海水淡化）而設(shè)計的，采用水冷反應(yīng)堆的陸上固

定式核動力廠。

1.2.4其他類型或采用革新技術(shù)的反應(yīng)堆設(shè)計可參照本規(guī)定，

但應(yīng)經(jīng)過細致的評價和判斷。

2安全目標和縱深防御概念

2.1安全目標

2.1.1基本安全目標：在核動力廠中建立并保持對放射性危害

的有效防御，以保護人與環(huán)境免受放射性危害。

2.1.2為了實現(xiàn)基本安全目標，必須采取以下措施：

（1）控制在運行狀態(tài)下對人員的輻射照射和放射性物質(zhì)向環(huán)境

的釋放；

（2）限制導(dǎo)致核動力廠反應(yīng)堆堆芯、乏燃料、放射性廢物或任

何其他輻射源失控事件發(fā)生的可能性；

（3）如果上述事件發(fā)生，減輕這些事件產(chǎn)生的后果。

2.1.3基本安全目標適用于核動力廠的所有活動，包括規(guī)劃、選

址、設(shè)計、制造、建造、調(diào)試、運行和退役，以及有關(guān)放射性物質(zhì)

的運輸、乏燃料和放射性廢物的管理等。

2.2輻射防護設(shè)計

2.2.1為了實現(xiàn)基本安全目標，輻射防護設(shè)計必須保證在所有

—4—

運行狀態(tài)下核動力廠內(nèi)的輻射照射或由于該核動力廠任何計劃排放

放射性物質(zhì)引起的輻射照射低于規(guī)定限值，且可合理達到的盡量低。

同時，還應(yīng)采取措施減輕任何事故的放射性后果。

2.2.2為了實現(xiàn)基本安全目標，輻射防護設(shè)計必須使得核動力

廠所有輻射照射的來源都處在嚴格的技術(shù)和管理措施控制之下。但

不排除人員受到有限的照射，也不排除法規(guī)許可數(shù)量的放射性物質(zhì)

從處于運行狀態(tài)的核動力廠向環(huán)境的排放。此種照射和排放必須受

到嚴格控制，并符合運行限值和輻射防護標準，且可合理達到的盡

量低。

2.3安全設(shè)計

2.3.1安全設(shè)計必須：

（1）防止由于反應(yīng)堆堆芯或其他輻射源失控所引起有害后果的

事故，并在一旦發(fā)生事故時減輕其后果；

（2）保證在設(shè)計中考慮的所有事故的放射性后果都低于相關(guān)限

值，并保持在可合理達到的盡量低的水平；

（3）保證有嚴重放射性后果的事故發(fā)生的可能性極低，并盡最

大可能減輕這種事故的放射性后果。

2.3.2為了證明在核動力廠的設(shè)計中實現(xiàn)了基本安全目標，必

須對設(shè)計進行全面的安全評價，以確定所有輻射照射的來源，并評

估核動力廠工作人員和公眾可能受到的輻射劑量，以及對環(huán)境的可

能影響。此種安全評價要考慮以下內(nèi)容：（1）核動力廠的正常運行；

（2）預(yù)計運行事件時核動力廠的性能；（3）事故工況。在分析的

基礎(chǔ)上，確認設(shè)計抵御假設(shè)始發(fā)事件和事故的能力，驗證安全重要

—5—

物項的有效性，以及確定應(yīng)急計劃的輸入。

2.3.3盡管采取措施將所有運行狀態(tài)下的輻射照射控制在可合

理達到的盡量低的水平，并將導(dǎo)致輻射源失控事故的可能性減至最

小，但仍然存在發(fā)生事故的可能性。這就需要采取措施以保證減輕

放射性后果。這些措施包括：安全設(shè)施和安全系統(tǒng)，營運單位制定

的核動力廠事故管理規(guī)程，以及國家和地方有關(guān)部門制定的場外干

預(yù)措施。

2.3.4核動力廠的安全設(shè)計必須采取實際措施，以減輕核與輻

射事故對人的生命、健康以及環(huán)境造成的影響。必須實際消除可能

導(dǎo)致高輻射劑量或大量放射性釋放的核動力廠事故序列；必須保證

發(fā)生頻率高的核動力廠事故序列沒有或僅有微小的潛在放射性后

果。安全設(shè)計的基本目標是在技術(shù)上實現(xiàn)減輕放射性后果的場外防

護行動是有限的甚至是可以取消的。

2.4縱深防御概念

2.4.1防止核動力廠發(fā)生事故和減輕事故后果的主要手段是應(yīng)

用縱深防御概念。該概念貫徹于安全有關(guān)的全部活動，涉及核動力

廠各種功率及停堆狀態(tài)下有關(guān)的組織、人員行為或設(shè)計，以保證這

些活動均置于各種獨立的、不同層次措施的防御之下。即使有一種

故障發(fā)生，它將由適當?shù)拇胧┨綔y、補償或糾正。在整個設(shè)計和運

行中貫徹縱深防御，以應(yīng)對廠內(nèi)設(shè)備故障或人因引起的各種預(yù)計運

行事件和事故，以及外部事件引起的后果。

2.4.2縱深防御概念的應(yīng)用主要是通過一系列連續(xù)和獨立的防

御層次的結(jié)合，防止事故對人員和環(huán)境造成危害。如果某一層次的

—6—

防護失效，則由后一層次提供保護。每一層次防御的獨立有效性都

是縱深防御的必要組成部分。

（1）第一層次防御的目的是防止偏離正常運行及防止安全重要

物項的故障。這一層次要求：按照恰當?shù)馁|(zhì)量水平和經(jīng)驗證的工程

實踐，正確并保守地選址、設(shè)計、建造、維修和運行核動力廠。為

此，應(yīng)十分注意選擇恰當?shù)脑O(shè)計規(guī)范和材料，并對部件的制造、核

動力廠的建造和調(diào)試進行質(zhì)量控制。在這一層次，降低內(nèi)部危險可

能性的設(shè)計措施有助于事故的預(yù)防。還應(yīng)重視涉及設(shè)計、制造、建

造、在役檢查、維修和試驗的過程和規(guī)程，以及進行這些活動時良

好的可達性、核動力廠的運行方式和運行經(jīng)驗的利用等方面。整個

過程以確定核動力廠運行和維修要求及其質(zhì)量管理要求的詳細分析

為基礎(chǔ)。

（2）第二層次防御的目的是檢測和控制偏離正常運行狀態(tài)，以

防止預(yù)計運行事件升級為事故工況。盡管注意預(yù)防，核動力廠在其

壽期內(nèi)仍然可能發(fā)生某些假設(shè)始發(fā)事件。這一層次要求在設(shè)計中設(shè)

置特定的系統(tǒng)和設(shè)施，通過安全分析確認其有效性，并制定運行規(guī)

程以防止這些始發(fā)事件的發(fā)生，或盡量減小其造成的后果，使核動

力廠回到安全狀態(tài)。

（3）設(shè)置第三層次防御是基于以下假定：盡管極不可能，某些

預(yù)計運行事件或假設(shè)始發(fā)事件的升級仍有可能未被前一層次防御所

制止，而演變成事故。在核動力廠的設(shè)計中，假定這些事故會發(fā)生。

這就要求必須通過固有安全特性和（或）專設(shè)安全設(shè)施、安全系統(tǒng)

—7—

和規(guī)程，防止造成反應(yīng)堆堆芯損傷或需要采取場外干預(yù)措施的放射

性釋放，并能使核動力廠回到安全狀態(tài)。

（4）第四層次防御的目的是減輕第三層次縱深防御失效所導(dǎo)致

的事故后果。通過控制事故進展和減輕嚴重事故的后果來實現(xiàn)第四

層次的防御。安全目標是，在嚴重事故下僅需要在區(qū)域和時間上采

取有限的防護行動，且避免場外放射性污染或?qū)⑵錅p至最小。這要

求可能導(dǎo)致早期放射性釋放或者大量放射性釋放的事件序列被實際

消除。

（5）第五層次，即最后層次防御的目的是減輕可能由事故工況

引起的潛在放射性釋放造成的放射性后果。該層次要求配備恰當?shù)?/p>

應(yīng)急設(shè)施，制定用于場內(nèi)、場外應(yīng)急響應(yīng)的應(yīng)急計劃和應(yīng)急程序。

2.4.3縱深防御概念應(yīng)用的另一方面是在設(shè)計中設(shè)置一系列的

實體屏障，并采用能動、非能動設(shè)施和固有安全特性的組合，以使

實體屏障能夠有效地將放射性物質(zhì)包容在特定區(qū)域。所需實體屏障

的數(shù)目取決于放射性核素總量和同位素成份表征的初始源項、單個

屏障的有效性、可能的內(nèi)部與外部危險以及各種失效的潛在后果。

3設(shè)計安全管理

3.1設(shè)計安全管理職責

營運單位必須保證提交國務(wù)院核安全監(jiān)管部門的設(shè)計符合所有

適用的安全要求。所有從事與核動力廠安全設(shè)計重要活動相關(guān)的組

織，包括設(shè)計單位，都有責任保證將安全事務(wù)放在最優(yōu)先的位置。

—8—

3.2質(zhì)量保證

3.2.1必須制定和實施描述核動力廠設(shè)計的管理、執(zhí)行和評價

的總體安排的質(zhì)量保證大綱。該大綱包括保證核動力廠每個構(gòu)筑物、

系統(tǒng)和部件以及總體設(shè)計的設(shè)計質(zhì)量的措施,包括確定和糾正設(shè)計

缺陷、檢驗設(shè)計的恰當性和控制設(shè)計變更的措施。

3.2.2設(shè)計，包括變更、修改或安全改進，必須按照合適的工

程規(guī)范和標準所確定的程序進行，并必須體現(xiàn)適用的要求和設(shè)計基

準，必須確定和控制設(shè)計接口。

3.2.3設(shè)計（包括設(shè)計手段和設(shè)計輸入與輸出）的恰當與否，

必須由原先從事此工作的人員以外的個人或團體進行驗證和確認。

在設(shè)計和建造過程中應(yīng)盡早完成驗證、確認和批準,最遲不晚于核動

力廠首次裝料。

3.3全壽期內(nèi)保持核動力廠設(shè)計的安全和完整性

3.3.1營運單位對安全負全面責任。營運單位必須建立一套正

式的體系，在整個壽期內(nèi)始終保證核動力廠設(shè)計的安全和完整性。

3.3.2為便于安全分析報告、設(shè)計手冊和其他設(shè)計文件等詳細

的設(shè)計資料轉(zhuǎn)移至營運單位，應(yīng)盡早設(shè)立全面負責設(shè)計過程的部門，

并制定管理流程，在營運單位的管理體系內(nèi)負責核動力廠設(shè)計安全

和完整性。

3.3.3核動力廠的設(shè)計工作可以由許多組織分擔：工程公司、

反應(yīng)堆及其輔助系統(tǒng)供應(yīng)商、主要設(shè)備供應(yīng)商、電氣系統(tǒng)的設(shè)計單

位以及對核動力廠安全重要的其它系統(tǒng)的供應(yīng)商等。營運單位必須

對委托給外部組織的設(shè)計活動進行管理。

—9—

3.3.4全面負責設(shè)計過程的部門必須保證核動力廠設(shè)計滿足安

全性、可靠性和質(zhì)量方面的驗收準則。這些準則符合相關(guān)的法律法

規(guī)和標準規(guī)范。必須建立并明確工作范圍和職責，以保證：

（1）設(shè)計符合其目標，并滿足防護和安全最優(yōu)化的要求，使輻

射風險保持在可合理達到的盡量低的水平；

（2）持續(xù)保證設(shè)計安全的方式包括設(shè)計驗證、確定工程規(guī)范和

標準及要求、采用經(jīng)驗證的工程實踐、提供建造經(jīng)驗反饋、批準重

要工程文件、開展安全評價和保持安全文化；

（3）安全運行、維修（包括合適的試驗周期）和修改所需的設(shè)

計資料應(yīng)該是可用的，設(shè)計資料應(yīng)適當考慮以往的運行經(jīng)驗和經(jīng)驗

證的研究成果，并由營運單位維護在最新狀態(tài)；

（4）保持對設(shè)計要求和狀態(tài)控制的管理；

（5）建立和控制責任設(shè)計者和參與設(shè)計工作的供應(yīng)商之間必要

的接口；

（6）營運單位需維護必要的工程專業(yè)資料和科技資料；

（7）所有設(shè)計變更都經(jīng)過審查、驗證、形成文檔并批準；

（8）維護充分的文件，以便今后開展核動力廠退役工作。

4主要技術(shù)要求

4.1基本安全功能

4.1.1必須保證在核動力廠所有狀態(tài)下實現(xiàn)以下基本安全功

能：

—10—

（1）控制反應(yīng)性；

（2）排出堆芯余熱，導(dǎo)出乏燃料貯存設(shè)施所貯存燃料的熱量；

（3）包容放射性物質(zhì)、屏蔽輻射、控制放射性的計劃排放，以

及限制事故的放射性釋放。

4.1.2必須用全面、系統(tǒng)的方法來確定完成基本安全功能所必

需的安全重要物項，以及在核動力廠所有狀態(tài)下用于實現(xiàn)或影響基

本安全功能的固有特性。

4.1.3必須提供對核動力廠狀態(tài)進行監(jiān)測的手段，以保證實現(xiàn)

所要求的安全功能。

4.2輻射防護

4.2.1設(shè)計必須保證工作人員和公眾在整個壽期內(nèi)受到的輻射

劑量，在運行狀態(tài)下不超過劑量限值，在事故工況下不超過可接受

限值，并可合理達到的盡量低。

4.2.2設(shè)計必須實際消除可能導(dǎo)致高輻射劑量或大量放射性釋

放的核動力廠狀態(tài)，并必須保證發(fā)生可能性較高的核動力廠狀態(tài)沒

有或僅有微小的潛在放射性后果。

4.2.3基于輻射防護目的，必須制定與核動力廠各類狀態(tài)相對

應(yīng)且符合監(jiān)管要求的可接受限值。

4.3設(shè)計管理

4.3.1設(shè)計必須保證核動力廠及其安全重要物項具有合適的性

能，以保證其能可靠地執(zhí)行安全功能；在設(shè)計壽期內(nèi)核動力廠能夠

在運行限值和條件范圍內(nèi)安全運行，并能夠安全退役；對環(huán)境的影

—11—

響最小。

4.3.2設(shè)計必須保證滿足營運單位的安全要求，滿足國務(wù)院核

安全監(jiān)管部門和相關(guān)法律法規(guī)的要求，并適當考慮營運單位人員的

能力與局限性以及可能影響人員行為的各種因素。必須提供充分的

設(shè)計資料，保證核動力廠的安全運行和維修，并允許以后能對核動

力廠進行修改。同時推薦可納入核動力廠管理規(guī)程和運行規(guī)程的實

踐（即運行限值和條件）。

4.3.3設(shè)計必須適當考慮其他核動力廠在設(shè)計、建造和運行中

獲得的相關(guān)經(jīng)驗，以及相關(guān)的研究成果。

4.3.4設(shè)計必須適當考慮確定論安全分析和概率論安全分析的

結(jié)果，保證已經(jīng)適當考慮了事故的預(yù)防和事故后果的緩解。

4.3.5設(shè)計必須保證采用合適的設(shè)計措施以及運行和退役實

踐，使產(chǎn)生和排放的放射性廢物活度和體積達到實際可行的最低水

平。

4.4縱深防御的應(yīng)用

4.4.1設(shè)計必須體現(xiàn)縱深防御。縱深防御的各層次之間必須盡

實際可能地相互獨立，避免一個層次防御的失效降低其他層次的有

效性。

4.4.2設(shè)計必須應(yīng)用縱深防御概念，提供多層次防御，預(yù)防可

能對人與環(huán)境產(chǎn)生有害影響的事故后果，并保證在防護失效時，采

取適當措施保護人與環(huán)境，減輕事故后果。

4.4.3設(shè)計必須適當考慮這樣的事實：當缺少某一層次防御時，

—12—

多層次防御的存在并不能作為繼續(xù)運行的基礎(chǔ)?？v深防御的各層次

必須總是可用的，對任何特定運行模式下的放松都必須進行論證。

4.4.4設(shè)計：

（1）必須設(shè)置多道實體屏障，阻止放射性物質(zhì)向環(huán)境釋放；

（2）必須采用保守的設(shè)計和高質(zhì)量的建造，以保證核動力廠的

故障和偏離正常運行減至最少，保證盡實際可能地預(yù)防事故，保證

核動力廠不存在陡邊效應(yīng)；

（3）必須利用固有特性和工程設(shè)施控制核動力廠的行為，盡可

能減少或排除那些需要啟動安全系統(tǒng)的故障和偏離正常運行；

（4）必須對核動力廠提供附加控制，這些附加控制采用安全系

統(tǒng)的自動觸發(fā)，以能夠高置信度地控制那些超出控制系統(tǒng)能力的故

障和偏離正常運行，并使得早期階段對操縱員動作的需求減至最少；

（5）必須提供構(gòu)筑物、系統(tǒng)和部件以及規(guī)程，以控制超出安全

系統(tǒng)能力的故障和偏離正常運行的進程，并盡實際可能地限制其后

果；

（6）必須提供多種手段來保證實現(xiàn)每項基本安全功能，從而保

證各道屏障的有效性，并減輕任何故障和偏離正常運行的后果。

4.4.5為了貫徹縱深防御概念，設(shè)計必須盡實際可能地防止：

（1）出現(xiàn)影響實體屏障完整性的情況；

（2）一道或多道屏障失效；

（3）一道屏障因另一道屏障的失效而失效；

（4）運行和維修差錯產(chǎn)生有害后果的可能性。

4.4.6在核動力廠運行壽期內(nèi)，設(shè)計必須盡實際可能地使第一

—13—

層次防御至多第二層次防御能夠阻止可能發(fā)生的所有故障或偏離正

常運行升級為事故工況。

4.4.7用于設(shè)計擴展工況的安全設(shè)施（如用于減輕燃料熔化事

故后果的設(shè)施）應(yīng)盡實際可能地與安全系統(tǒng)獨立。

4.5實物保護

4.5.1必須設(shè)置實物保護措施，即核安保措施，包括實物保護

系統(tǒng)和相關(guān)管理措施，以防止、偵查和應(yīng)對涉及核材料和核動力廠

相關(guān)設(shè)施的偷竊、蓄意破壞、未經(jīng)授權(quán)的接觸，非法轉(zhuǎn)讓或其他惡

意行為，以及防范恐怖分子獲取材料、破壞核動力廠等。

4.5.2應(yīng)根據(jù)保護目標的重要程度和潛在風險確定核動力廠實

物保護的等級，并按照確定的等級進行實物保護系統(tǒng)設(shè)計。應(yīng)合理

布置核動力廠的控制區(qū)、保護區(qū)和要害區(qū)，實現(xiàn)分區(qū)保護，并為各

區(qū)配備相應(yīng)的設(shè)施和設(shè)備。

4.5.3實物保護系統(tǒng)必須考慮出入口控制、探測、報警、集中

控制、照明、通訊、供電和巡更等方面，并設(shè)置多重實體屏障。

4.5.4核動力廠應(yīng)配備武警或守衛(wèi)，制定實物保護相關(guān)管理程

序，使得管理措施與技防措施有機結(jié)合，以保證實物保護系統(tǒng)的完

整、可靠與有效。

4.5.5應(yīng)對實物保護設(shè)計方案進行風險分析和有效性評估。

4.5.6必須以統(tǒng)籌兼顧的方式設(shè)計和實施核動力廠的核安全措

施、核安保措施及國家核材料衡算和控制體系，以免其相互制約。

—14—

4.6經(jīng)驗證的工程實踐

4.6.1必須鑒別和評價用于核動力廠安全重要物項設(shè)計準則的

規(guī)范和標準，以確定其適用性、恰當性和充分性，并根據(jù)需要進行

補充或修改，以保證設(shè)計質(zhì)量與所需的安全功能相適應(yīng)。

4.6.2核動力廠的安全重要物項必須是此前在相當使用條件下

驗證過的，否則該物項必須具有高質(zhì)量且其技術(shù)經(jīng)過鑒定或試驗。

4.6.3當引入未經(jīng)驗證的設(shè)計或設(shè)施，或存在偏離已有工程實

踐的情況時，必須借助適當?shù)闹С中匝芯坑媱?、特定驗收準則的性

能試驗，或通過其他相關(guān)應(yīng)用中獲得的運行經(jīng)驗的檢驗，來證明其

安全性是合適的。新的設(shè)計、設(shè)施或?qū)嵺`必須在投入使用前經(jīng)過充

分的試驗，并在使用中進行監(jiān)測，以驗證達到了預(yù)期效果。

4.7安全評價

4.7.1必須在核動力廠的整個設(shè)計過程中進行全面的確定論安

全評價和概率論安全評價，以保證在核動力廠壽期內(nèi)的各個階段滿

足全部設(shè)計安全要求，并確認在竣工、運行和修改時交付的設(shè)計滿

足制造和建造的要求。

4.7.2設(shè)計過程中必須盡早開展安全評價。隨著設(shè)計和確認性

分析活動之間的不斷迭代，安全評價的范圍和詳細程度隨著設(shè)計計

劃的進展不斷地擴大和提高。

4.7.3必須將安全評價形成文件以便于獨立評估。

4.8便于建造的要求

4.8.1核動力廠安全重要物項的設(shè)計必須使其能夠按照確定的

流程進行制造、建造、裝配和安裝，以保證滿足設(shè)計規(guī)范和所要求

—15—

的安全水平。

4.8.2核動力廠的建造和運行，必須適當考慮從其他類似核動

力廠及其相關(guān)構(gòu)筑物、系統(tǒng)和部件建造中獲得的相關(guān)經(jīng)驗。如果采

用其他相關(guān)工業(yè)的良好實踐，則必須表明其適用于核動力廠。

4.9放射性廢物管理和退役

4.9.1在設(shè)計階段，必須專門考慮便于核動力廠放射性廢物管

理以及核動力廠退役和拆除的特性。

4.9.2在設(shè)計中必須適當考慮：

（1）材料的選取，以使放射性廢物量盡實際可能地少，并便于

去污；

（2）必要的可達性和可操作性；

（3）管理（例如分離或分揀、表征、分類、預(yù)處理、處理和整

備）和貯存核動力廠在運行過程中產(chǎn)生的放射性廢物所需的設(shè)施，

以及管理核動力廠在退役時所產(chǎn)生的放射性廢物的措施。

5核動力廠總體設(shè)計

5.1總的設(shè)計基準

5.1.1核動力廠狀態(tài)分類

5.1.1.1必須確定核動力廠狀態(tài)并主要按發(fā)生頻率將核動力廠

狀態(tài)分成有限的幾類。

5.1.1.2核動力廠狀態(tài)通常包括：

（1）正常運行；

—16—

（2）預(yù)計運行事件，即在核動力廠運行壽期內(nèi)預(yù)計會發(fā)生的事

件；

（3）設(shè)計基準事故；

（4）設(shè)計擴展工況，包括堆芯熔化事故。

5.1.1.3必須為每類核動力廠狀態(tài)確定準則，使得發(fā)生頻率高

的核動力廠狀態(tài)必須沒有或僅有微小的放射性后果，而可能導(dǎo)致嚴

重后果的核動力廠狀態(tài)的發(fā)生頻率必須很低。

5.1.2安全重要物項的設(shè)計基準

5.1.2.1安全重要物項的設(shè)計基準，必須針對有關(guān)的運行狀態(tài)、

事故工況以及由內(nèi)部和外部危險導(dǎo)致的工況，詳細說明其必需的能

力、可靠性和功能，以在核動力廠整個壽期內(nèi)滿足特定的驗收準則。

5.1.2.2必須系統(tǒng)地論證安全重要物項設(shè)計基準的合理性，并

形成文件。這些文件必須能為營運單位安全運行核動力廠提供必要

的信息。

5.1.3設(shè)計限值

針對運行狀態(tài)和事故工況，必須為安全重要物項規(guī)定一套相應(yīng)

的設(shè)計限值。設(shè)計限值必須符合核安全法規(guī)和相關(guān)的監(jiān)管要求。

5.1.4假設(shè)始發(fā)事件

5.1.4.1必須使用系統(tǒng)化的方法確定一套全面的假設(shè)始發(fā)事件，

以在設(shè)計中考慮所有可預(yù)見的具有嚴重后果的事件和發(fā)生頻率高的

事件。

5.1.4.2必須在工程判斷、確定論和概率論評價相結(jié)合的基礎(chǔ)

—17—

上確定假設(shè)始發(fā)事件。必須論證確定論安全分析和概率論安全分析

的應(yīng)用范圍，以表明已考慮所有可預(yù)見的事件。

5.1.4.3假設(shè)始發(fā)事件必須包括在各種功率及停堆狀態(tài)下，所

有可預(yù)見的核動力廠構(gòu)筑物、系統(tǒng)和部件失效、人員差錯，以及內(nèi)

部和外部危險可能引起的失效。

5.1.4.4必須對假設(shè)始發(fā)事件進行分析，以確定為執(zhí)行所要求

的安全功能所必需的預(yù)防和緩解措施。

5.1.4.5核動力廠對任何假設(shè)始發(fā)事件的預(yù)期響應(yīng)，必須是下

列可合理達到的情況（按優(yōu)先順序）：

（1）依靠核動力廠的固有特性，使假設(shè)始發(fā)事件不會對安全產(chǎn)

生重大影響，或只使核動力廠產(chǎn)生趨向于安全狀態(tài)的變化；

（2）發(fā)生假設(shè)始發(fā)事件后，可借助非能動安全設(shè)施或在此狀態(tài)

下連續(xù)運行的系統(tǒng)的作用，以控制該事件，使核動力廠趨于安全；

（3）發(fā)生假設(shè)始發(fā)事件后，可借助為響應(yīng)該事件而必須投入運

行的那些安全系統(tǒng)的作用，使核動力廠趨于安全；

（4）發(fā)生假設(shè)始發(fā)事件后，可借助執(zhí)行專門規(guī)程使核動力廠趨

于安全或使核動力廠狀態(tài)得到控制。

5.1.4.6在核動力廠總體安全評價和詳細分析中，用于確定安

全重要物項性能要求的假設(shè)始發(fā)事件，必須劃分成若干具有代表性

的事件序列。這些具有代表性的事件序列包絡(luò)所有同類事件，并為

安全重要物項的設(shè)計和運行限值提供基準。

5.1.4.7在設(shè)計中從已確定的假設(shè)始發(fā)事件清單中排除某一假

—18—

設(shè)始發(fā)事件，則必須提供技術(shù)論證。

5.1.4.8對于需要立即采取可靠響應(yīng)行動的假設(shè)始發(fā)事件，設(shè)

計必須有自動安全動作來啟動所需的安全系統(tǒng)，以防止發(fā)展為更嚴

重的工況。

5.1.4.9對于不需要立即采取響應(yīng)行動的假設(shè)始發(fā)事件，可允

許依靠手動啟動系統(tǒng)或操縱員的其他動作。從探測到異常事件和事

故到采取行動之間必須有足夠的時間，以及有適當?shù)囊?guī)程（如管理

規(guī)程、運行規(guī)程和應(yīng)急規(guī)程），以保證這些行動的執(zhí)行。必須對因

操縱員錯誤操作或錯誤診斷而導(dǎo)致事故序列惡化的可能性作出評

價。

5.1.4.10如果假設(shè)始發(fā)事件發(fā)生后，需要操縱員的行動來診斷

核動力廠的狀態(tài)并使核動力廠及時進入長期穩(wěn)定停堆工況，則必須

設(shè)置適當?shù)膬x表以有利于監(jiān)測核動力廠的狀態(tài)，同時設(shè)置適當?shù)目?/p>

制措施以便于設(shè)備的手動操作。

5.1.4.11設(shè)計必須確定必要的設(shè)備及所需的規(guī)程，以保持對核

動力廠的控制并減輕喪失控制的后果。

5.1.4.12手動響應(yīng)和恢復(fù)過程所需的任何設(shè)備，必須放置在最

合適的位置，以保證需要時可用和在預(yù)期環(huán)境條件下允許人員安全

可達。

5.1.5內(nèi)部和外部危險

5.1.5.1必須識別所有可預(yù)見的內(nèi)部和外部危險，包括潛在的

可能直接或間接影響核動力廠安全的人為事件，并評價其影響。在

—19—

核動力廠布置的設(shè)計和確定有關(guān)的安全重要物項的設(shè)計中使用的假

設(shè)始發(fā)事件及其產(chǎn)生的荷載時，都必須考慮內(nèi)部和外部危險的影響。

5.1.5.2設(shè)計和布置安全重要物項，必須考慮其安全重要性，

使其能夠承受內(nèi)部和外部危險的影響，或防御內(nèi)部和外部危險及其

產(chǎn)生的共因失效，同時適當考慮對安全的其他影響。

5.1.5.3對多機組廠址，設(shè)計必須適當考慮特定危險同時影響

廠址上若干或所有機組的可能性。

5.1.5.4設(shè)計必須適當考慮內(nèi)部危險，比如火災(zāi)、爆炸、水淹、

飛射物、結(jié)構(gòu)坍塌和重物墜落、管道甩擊、噴射流沖擊、以及來自

破損系統(tǒng)或現(xiàn)場其他設(shè)施的流體釋放。必須提供適當?shù)念A(yù)防和緩解

措施，以保證安全不受到損害。

5.1.5.5設(shè)計必須適當考慮在廠址評價過程中識別的自然和人

為外部事件（即源于廠外的事件）。在假定可能的危險時，必須考

慮其發(fā)生的原因和可能性。在短期內(nèi)，核動力廠的安全不能依賴于

諸如電力供應(yīng)和消防服務(wù)等廠外服務(wù)。設(shè)計必須適當考慮廠址的特

定情況，以確定廠外服務(wù)就位需要的最大延遲時間。

5.1.5.6必須采取措施，使得設(shè)計基準外部事件發(fā)生時，包含

有安全重要物項（包括動力電纜和控制電纜）的廠房與其他核動力

廠結(jié)構(gòu)之間的相互影響最小。

5.1.5.7核動力廠設(shè)計必須提供適當?shù)脑Ａ?，在設(shè)計基準外部

危險（由廠址危險性評價確定的）發(fā)生時保護安全重要物項，并避

免產(chǎn)生陡邊效應(yīng)。

—20—

5.1.5.8核動力廠設(shè)計還必須提供適當?shù)脑Ａ?，在超設(shè)計基準

自然災(zāi)害事件發(fā)生時，保護用于防止早期放射性釋放或大量放射性

釋放所需的物項。

5.1.6設(shè)計規(guī)范

5.1.6.1必須規(guī)定核動力廠安全重要物項的設(shè)計規(guī)范，并必須

使其符合核安全法規(guī)和相關(guān)的監(jiān)管要求，以及經(jīng)驗證的工程實踐，

同時適當考慮其與核動力廠技術(shù)的相關(guān)性。

5.1.6.2設(shè)計必須采用保證穩(wěn)健性設(shè)計的方法，必須遵循經(jīng)驗

證的工程實踐，以保證在所有運行狀態(tài)和事故工況下執(zhí)行基本安全

功能。

5.1.7安全運行的運行限值和條件

5.1.7.1設(shè)計必須為核動力廠安全運行確定一套運行限值和條

件。

5.1.7.2核動力廠設(shè)計中確定的要求，以及運行限值和條件必

須包括：

（1）安全限值；

（2）安全系統(tǒng)整定值；

（3）正常運行限值和條件；

（4）工藝變量和其他重要參數(shù)的控制系統(tǒng)限制和規(guī)程限制；

（5）對核動力廠的監(jiān)督、維修、試驗和檢查的要求，以保證各

構(gòu)筑物、系統(tǒng)和部件執(zhí)行設(shè)計中預(yù)定的功能，并使輻射風險保持在

可合理達到的盡量低的水平；

—21—

（6）規(guī)定的運行配置，包括在安全系統(tǒng)或安全相關(guān)系統(tǒng)不可用

時的運行限制；

（7）行動說明，包括在響應(yīng)偏離運行限值和條件時所采取行動

的完成時間。

5.1.8設(shè)計基準事故

5.1.8.1必須根據(jù)假設(shè)始發(fā)事件清單得出一套設(shè)計基準事故，

用于設(shè)定核動力廠需承受的邊界條件，以保證滿足輻射防護限值。

5.1.8.2必須使用設(shè)計基準事故來確定控制設(shè)計基準事故所必

需的安全系統(tǒng)和其他安全重要物項的設(shè)計基準，包括性能準則等，

目的是使核動力廠返回到安全狀態(tài)和減輕事故后果。

5.1.8.3針對設(shè)計基準事故工況，設(shè)計必須使核動力廠關(guān)鍵參

數(shù)不超出規(guī)定的設(shè)計限值。基本目標是控制所有的設(shè)計基準事故以

使廠內(nèi)、外沒有或僅有微小的放射性后果，并且無需采取任何場外

防護行動。

5.1.8.4必須用保守的方法來分析設(shè)計基準事故。該方法包括

在分析中假定安全系統(tǒng)的某些故障模式，規(guī)定設(shè)計準則，采用保守

的假設(shè)、模型和輸入?yún)?shù)等。

5.1.9設(shè)計擴展工況

5.1.9.1必須在工程判斷、確定論和概率論評價的基礎(chǔ)上得出

一套設(shè)計擴展工況，目的是增強核動力廠應(yīng)對比設(shè)計基準事故更嚴

重的或包含多重故障的事故的承受能力，避免不可接受的放射性后

果，以進一步改進核動力廠的安全性。設(shè)計必須考慮這些設(shè)計擴展

—22—

工況來確定額外的事故情景，并針對這類事故制定切實可行的預(yù)防

和緩解措施。

5.1.9.2必須對核動力廠開展設(shè)計擴展工況分析。考慮設(shè)計擴

展工況的主要技術(shù)目標是預(yù)防核動力廠發(fā)生超過設(shè)計基準事故的事

故工況，或合理可行地減輕這類事故工況的后果。這可能會要求增

設(shè)附加的用于設(shè)計擴展工況的安全設(shè)施，或擴展安全系統(tǒng)的能力，

來預(yù)防嚴重事故的發(fā)生或減輕嚴重事故的后果，或保持安全殼的完

整性。這些附加的用于設(shè)計擴展工況的安全設(shè)施或能力擴展的安全

系統(tǒng)，必須保證具有控制事故工況的能力，這些事故工況可能導(dǎo)致

安全殼內(nèi)存在大量放射性物質(zhì)（包括來自堆芯嚴重損傷所釋放的放

射性物質(zhì)）。必須保證核動力廠能進入可控狀態(tài)并維持安全殼功能，

從而能實際消除導(dǎo)致早期放射性釋放或大量放射性釋放的核動力廠

狀態(tài)發(fā)生的可能性。相關(guān)的分析可采用最佳估算方法。

5.1.9.3必須使用設(shè)計擴展工況來確定安全設(shè)施和其他安全重

要物項的設(shè)計規(guī)格書，這些設(shè)施和物項用于預(yù)防此類工況的發(fā)生或

在此類工況發(fā)生后用于控制和減輕其后果。

5.1.9.4所開展的分析必須包括確定用于或能夠預(yù)防設(shè)計擴展

工況并減輕其后果的設(shè)施。這些設(shè)施需滿足如下要求：

（1）必須盡實際可能與發(fā)生頻率更高的事故中使用的設(shè)施保持

獨立；

（2）必須能在設(shè)計擴展工況對應(yīng)的環(huán)境條件中執(zhí)行預(yù)期功能；

（3）必須有與要求其實現(xiàn)的功能相符的可靠性。

—23—

5.1.9.5安全殼及其安全設(shè)施必須能夠承受包括堆芯熔化在內(nèi)

的極端事故情景。必須采用工程判斷和概率安全評價結(jié)果來選擇這

些事故情景。

5.1.9.6設(shè)計必須做到實際消除可能導(dǎo)致早期放射性釋放或大

量放射性釋放的核動力廠工況發(fā)生的可能性。

5.1.9.7對于設(shè)計擴展工況，保護公眾所采取的防護行動在持

續(xù)時間和范圍上必須是有限的，并必須有足夠的時間來采取這些防

護行動。

5.1.10事件組合

如果由工程判斷、確定論安全分析和概率論安全分析的結(jié)果表

明事件組合將可能導(dǎo)致預(yù)計運行事件或事故工況，則必須主要根據(jù)

其發(fā)生的可能性，將這些事件組合納入設(shè)計基準事故或設(shè)計擴展工

況。某些事件可能是其他事件的后果，例如地震后的水淹。這種繼

發(fā)效應(yīng)應(yīng)視為初始假設(shè)始發(fā)事件的一部分。

5.1.11商用飛機的惡意撞擊

5.1.11.1如果核動力廠所處的地形條件使其有可能遭受商用

飛機的惡意撞擊，則設(shè)計上應(yīng)考慮這種撞擊的影響。

5.1.11.2應(yīng)合理選定用于評價撞擊影響的商用飛機的機型，并

根據(jù)這種機型起降的機場與核動力廠的相對距離，來確定可能的飛

機燃料裝載量。

5.1.11.3可根據(jù)核動力廠所處的地形條件和廠房布置，確定可

能的撞擊角度和速度，并采用現(xiàn)實模型來評價和確定核動力廠抗商

—24—

用飛機撞擊的措施。

5.1.11.4評價結(jié)果應(yīng)表明，設(shè)計可以維持反應(yīng)堆堆芯的冷卻或

安全殼的完整性，以及乏燃料的冷卻或乏燃料水池的完整性。

5.2安全系統(tǒng)的獨立性

5.2.1必須通過實體隔離、電氣隔離、功能獨立和通訊（數(shù)據(jù)

傳輸）獨立等適當手段，防止安全系統(tǒng)之間或一個系統(tǒng)的冗余組成

部分之間發(fā)生相互干擾。

5.2.2在核動力廠安全系統(tǒng)中相互冗余的設(shè)備（包括電纜和電

纜管道）必須易于識別。

5.3安全分級

5.3.1必須識別所有安全重要物項，并根據(jù)其功能和安全重要

性對其進行分級。

5.3.2劃分安全重要物項的安全重要性的方法，必須主要基于

確定論方法，并適當輔以概率論方法。使用概率論方法時，應(yīng)考慮

以下因素：

（1）該物項要執(zhí)行的安全功能；

（2）未能執(zhí)行其安全功能的后果；

（3）需要該物項執(zhí)行某一安全功能的可能性；

（4）假設(shè)始發(fā)事件發(fā)生后，需要該物項執(zhí)行某一安全功能的時

刻或持續(xù)時間。

5.3.3設(shè)計必須防止物項之間的相互影響，以保證劃分為較低

級別的物項中的任何故障不會蔓延到劃分為較高級別的物項，從而

—25—

保證安全功能的執(zhí)行。

5.3.4對執(zhí)行多個功能的設(shè)備，必須按照其執(zhí)行的最重要功能

劃分其安全等級。

5.4安全重要物項的可靠性

5.4.1安全重要物項的可靠性必須與其安全重要性相適應(yīng)。

5.4.2安全重要物項的設(shè)計，必須保證設(shè)備可鑒定、采購、安

裝、調(diào)試、操作及維修，使其能夠承受該物項設(shè)計基準中規(guī)定的所

有工況，并具有足夠的可靠性和有效性。

5.4.3選擇設(shè)備時必須考慮到誤動作與不安全的故障模式。必

須優(yōu)先選擇具有可預(yù)見的和已揭示的故障模式的設(shè)備，且該設(shè)備便

于修理或更換。

5.4.4共因故障

設(shè)備的設(shè)計必須適當考慮安全重要物項發(fā)生共因故障的可能

性，以確定應(yīng)該如何應(yīng)用多樣性、多重性、獨立性原則來實現(xiàn)所需

的可靠性。

5.4.5單一故障準則

5.4.5.1必須對核動力廠設(shè)計中所包括的每個安全組合都應(yīng)用

單一故障準則。

5.4.5.2當把單一故障準則應(yīng)用于一個安全組合或安全系統(tǒng)

時，必須將誤動作視為故障的一種模式。

5.4.5.3不符合單一故障準則的情況必須是極個別的，并必須

在安全分析中明確證明是正當?shù)摹?/p>

—26—

5.4.5.4設(shè)計必須適當考慮非能動部件的故障，除非能夠在具

有高置信度的單一故障分析中證實：該部件的故障極不可能發(fā)生，

并保持其功能不受到假設(shè)始發(fā)事件的影響。

5.4.6故障安全設(shè)計

必須恰當?shù)乜紤]故障安全設(shè)計原則，并貫徹到核動力廠安全重

要系統(tǒng)和部件的設(shè)計中。在適用時，應(yīng)將安全重要系統(tǒng)和部件設(shè)計

為故障安全，使其自身的故障或支持設(shè)施的故障不妨礙預(yù)定安全功

能的執(zhí)行。

5.4.7支持系統(tǒng)和輔助系統(tǒng)

5.4.7.1支持系統(tǒng)和輔助系統(tǒng)用于保證構(gòu)成安全重要系統(tǒng)部分

的設(shè)備可運行性時，必須相應(yīng)地分級。

5.4.7.2支持系統(tǒng)和輔助系統(tǒng)的可靠性、多重性、多樣性和獨

立性，以及用于其隔離和功能試驗的措施，必須與其所支持的系統(tǒng)

的安全重要性相適應(yīng)。

5.4.7.3不允許支持系統(tǒng)和輔助系統(tǒng)的任一失效，同時影響安

全系統(tǒng)的多重部件或執(zhí)行多樣化安全功能的安全系統(tǒng)。

5.5核動力廠全壽期內(nèi)的安全運行設(shè)計

5.5.1安全重要物項的標定、試驗、維護、修理、更換、檢查

和監(jiān)測

5.5.1.1設(shè)計應(yīng)保證安全重要物項能夠進行標定、試驗、維護、

修理或更換、檢查和監(jiān)測，以在設(shè)計基準規(guī)定的所有條件下保證其

執(zhí)行功能的能力并保持功能的完整性。

—27—

5.5.1.2核動力廠布置必須便于執(zhí)行標定、試驗、維護、修理

或更換、檢查和監(jiān)測等活動。這些活動能夠按照相關(guān)的規(guī)范和標準

執(zhí)行，并必須與所執(zhí)行的安全功能的重要性相一致，且工作人員不

致于受到過量的照射。

5.5.1.3在功率運行期間，設(shè)計必須使安全重要物項在進行標

定、試驗或維護時各系統(tǒng)安全功能的可靠性沒有顯著降低。設(shè)計必

須考慮在停堆期間執(zhí)行安全重要物項標定、試驗、維護、修理、更

換或檢查的有關(guān)措施，以便于在開展這些活動時相關(guān)物項所執(zhí)行的

安全功能的可靠性沒有顯著降低。

5.5.1.4如果某項安全重要物項的設(shè)計不能滿足試驗、檢查或

監(jiān)測的要求，必須采取下列方法以說明其正當性：

（1）指定其他經(jīng)過驗證的替代方法和（或）間接方法，如監(jiān)視

參考物項的試驗，或使用經(jīng)過驗證和確認的計算方法；

（2）采用保守的安全裕度或其他適當?shù)念A(yù)防措施，以應(yīng)對可能

預(yù)計不到的故障。

5.5.2安全重要物項的鑒定

5.5.2.1必須采用安全重要物項的鑒定程序來確認核動力廠安

全重要物項，這些物項能夠在其整個設(shè)計壽期內(nèi)以及支配性環(huán)境條

件下執(zhí)行其必要的預(yù)期功能，這里考慮的環(huán)境條件包括核動力廠的

維修和試驗。

5.5.2.2在核動力廠安全重要物項的鑒定程序中，所考慮的環(huán)

境條件必須包括核動力廠設(shè)計基準中所預(yù)期的周圍環(huán)境條件的變

—28—

化。

5.5.2.3安全重要物項鑒定程序必須考慮到安全重要物項預(yù)期

壽期內(nèi)由各種環(huán)境因素（如振動、輻照、濕度、溫度）引起的老化

效應(yīng)。對于易遭受到外部自然事件的影響并需要在這種事件中及事

件后執(zhí)行其安全功能的安全重要物項，鑒定程序必須通過試驗、分

析或者兩者的結(jié)合的方式，盡可能地復(fù)現(xiàn)安全重要物項所經(jīng)受的工

況。

5.5.2.4在鑒定程序中必須考慮合理可預(yù)計的環(huán)境條件，以及

可能由特定運行工況（如安全殼泄漏率定期試驗）引起的異常環(huán)境

條件。在可能的范圍內(nèi)，應(yīng)該以合理的可信度表明在嚴重事故中必

須運行的設(shè)備（如某些儀表）能夠達到設(shè)計要求。

5.5.3老化管理

5.5.3.1必須確定核動力廠安全重要物項的設(shè)計壽命。設(shè)計必

須提供適當?shù)脑６?，以考慮有關(guān)老化、中子輻照脆化和磨損機理，

以及與服役年限有關(guān)的性能劣化的可能性，從而保證安全重要物項

在其整個設(shè)計壽期內(nèi)執(zhí)行所必需的安全功能的能力。

5.5.3.2必須考慮到在所有正常運行狀態(tài)，包括試驗、維修和

維修停役，以及在假設(shè)始發(fā)事件中及其后的核動力廠狀態(tài)下的老化

和磨損效應(yīng)。

5.5.3.3必須采取監(jiān)測、試驗、取樣和檢查措施，以評價設(shè)計

階段預(yù)計的老化機理，以及識別在使用中可能發(fā)生的未預(yù)期到的行

為或性能劣化。

—29—

5.6人因

5.6.1優(yōu)化運行人員效能的設(shè)計

5.6.1.1必須在核動力廠設(shè)計過程初期就系統(tǒng)地考慮人因（包

括人機接口），并貫徹于設(shè)計全過程。

5.6.1.2必須規(guī)定運行人員的最低配置，以滿足核動力廠進入

安全狀態(tài)所需全部同步操作的要求。

5.6.1.3應(yīng)盡實際可能地促使有類似核動力廠運行經(jīng)驗的運行

人員積極參與設(shè)計過程，以保證在設(shè)計過程中盡早考慮未來的運行

和設(shè)備維護的需求。

5.6.1.4設(shè)計必須支持運行人員履行職責和執(zhí)行任務(wù)，并必須

限制操作差錯的可能性及其對安全造成的影響。設(shè)計過程必須適當

考慮核動力廠布置、設(shè)備布置、以及包括維修程序和檢查程序在內(nèi)

的有關(guān)程序，以便于在核動力廠各種狀態(tài)下運行人員和核動力廠之

間的互動。

5.6.1.5人機接口的設(shè)計必須能按照決策所需時間和行動所需

時間給操縱員提供全面且易于管理的信息。向操縱員提供的用于決

策和行動所需的信息必須簡潔明了且無歧義。

5.6.1.6必須向操縱員提供能夠進行下列工作的必要信息：

（1）評估核動力廠在任何工況下的總體狀態(tài)；

（2）在系統(tǒng)和設(shè)備規(guī)定的參數(shù)限值（運行限值和條件）內(nèi)運行

核動力廠；

（3）確認啟動安全系統(tǒng)所需的安全動作在需要時自動觸發(fā)，且

—30—

相關(guān)系統(tǒng)按預(yù)期要求執(zhí)行功能；

（4）確定手動啟動特定安全動作的必要性和時間。

5.6.1.7在適當考慮可用時間、預(yù)期工況和操縱員心理壓力的

情況下，設(shè)計必須有利于操縱員動作的成功執(zhí)行。

5.6.1.8必須把對操縱員在短時間內(nèi)進行干預(yù)的需求降至最

低，并必須證明操縱員有足夠的時間作出決策和采取行動。

5.6.1.9設(shè)計必須能夠保證當某一影響核動力廠的事件發(fā)生

后，控制室或輔助控制室以及通往輔助控制室的通道的環(huán)境條件不

會損害運行人員的防護和安全。

5.6.1.10運行人員的工作場所和工作環(huán)境的設(shè)計必須符合工

效學(xué)概念。

5.6.1.11在適當階段必須對人因有關(guān)的特性進行驗證和確認

（包括使用模擬機），以確認操縱員確需采取的動作，并確認這些

動作能夠正確執(zhí)行。

5.7其他設(shè)計考慮

5.7.1多機組核動力廠的安全系統(tǒng)和用于設(shè)計擴展工況的安全

設(shè)施

5.7.1.1多機組核動力廠中的每臺機組，必須具備各自的安全

系統(tǒng)和用于設(shè)計擴展工況的安全設(shè)施。

5.7.1.2為進一步提高安全性，設(shè)計應(yīng)適當考慮允許多機組核

動力廠各機組間相互連接的手段。

5.7.2含有易裂變或放射性物質(zhì)的系統(tǒng)

—31—

核動力廠中所有可能含有易裂變或放射性物質(zhì)的系統(tǒng)的設(shè)計，

必須能夠：防止可能導(dǎo)致放射性不受控制地向環(huán)境釋放的事件發(fā)生；

防止出現(xiàn)意外臨界和過熱；保證放射性釋放量在正常運行工況下保

持在允許的排放限值內(nèi)，在事故工況下保持在可接受的限值內(nèi)，并

可合理達到的盡量低；便于減輕事故的放射性后果。

5.7.3用于熱電聯(lián)產(chǎn)、供熱或海水淡化的核動力廠

與熱利用裝置（如區(qū)域集中供熱）和/或海水淡化裝置連接的核

動力廠的設(shè)計，必須能夠防止在運行狀態(tài)和事故工況下放射性核素

從核動力廠遷移到海水淡化裝置或區(qū)域集中供熱裝置。

5.7.4撤離路線

5.7.4.1核動力廠內(nèi)必須設(shè)置足夠數(shù)量的撤離路線。這些路線

必須具有持久醒目的標識，并配備可靠的應(yīng)急照明、通風和其他輔

助設(shè)施。

5.7.4.2撤離路線必須符合輻射分區(qū)、防火、工業(yè)安全，以及

核動力廠安保方面的有關(guān)要求。

5.7.4.3設(shè)計中考慮的內(nèi)、外部事件或多個事件的組合發(fā)生后，

必須至少有一條路線可供位于場區(qū)內(nèi)工作場所和其他區(qū)域的人員撤

離。

5.7.5通信系統(tǒng)

5.7.5.1必須在整個核動力廠范圍內(nèi)設(shè)置有效的通信手段，以

有助于所有正常運行模式下的安全運行，并在所有假設(shè)始發(fā)事件后

和在事故工況下可用。

—32—

5.7.5.2必須設(shè)置適當?shù)木瘓笙到y(tǒng)和通信手段，以便在各種運

行狀態(tài)下和事故工況下，所有在核動力廠現(xiàn)場和廠區(qū)的人員都能得

到警報和指令。

5.7.5.3必須設(shè)置適當且多樣化的通信手段，以滿足在核動力

廠范圍內(nèi)和毗鄰區(qū)域的安全所需，以及與相關(guān)場外機構(gòu)進行通信的

需要。

5.7.6核動力廠出入口控制

5.7.6.1必須適當布置各種構(gòu)筑物，使核動力廠與其周圍環(huán)境

隔離，并控制核動力廠的出入口。

5.7.6.2必須在廠房設(shè)計和廠區(qū)布置時，采取必要的措施控制

運行人員和（或）設(shè)備（包括應(yīng)急響應(yīng)人員和車輛）進出核動力廠，

并必須考慮防止未經(jīng)授權(quán)的人員和物品進入核動力廠。

5.7.7防止擅自接近或干擾安全重要物項

必須防止未經(jīng)批準接近或干擾安全重要物項，包括計算機硬件

和軟件。

5.7.8防止安全重要系統(tǒng)間不利的相互作用

5.7.8.1如果存在要求核動力廠安全重要系統(tǒng)同時運行的情

況，必須評價其可能的不利相互作用，并必須防止任何不利相互作

用的影響。

5.7.8.2在安全重要系統(tǒng)可能的不利相互作用分析中，必須適

當考慮實體的相互連接，以及一個系統(tǒng)的運行、誤操作或故障對其

他重要系統(tǒng)局部環(huán)境的影響，以保證環(huán)境條件的變化不會影響到系

—33—

統(tǒng)或部件執(zhí)行預(yù)定功能的可靠性。

5.7.8.3如果兩個安全重要流體系統(tǒng)相互連接，并在不同的壓力

下運行，則兩個系統(tǒng)都必須設(shè)計成能夠承受較高的壓力，或必須采取

措施防止在較低壓力下運行的系統(tǒng)出現(xiàn)超出其設(shè)計壓力的情況。

5.7.9電網(wǎng)對核動力廠的影響

核動力廠安全重要物項的功能應(yīng)不受電網(wǎng)擾動（包括預(yù)期的電

網(wǎng)電壓和頻率變化）的影響。

5.8安全分析

5.8.1核動力廠設(shè)計的安全分析

5.8.1.1必須對核動力廠的設(shè)計進行安全分析，在分析中必須

采用確定論和概率論的安全分析方法來論證在核動力廠各類狀態(tài)下

是否安全。

5.8.1.2在安全分析的基礎(chǔ)上，必須確認安全重要物項的設(shè)計

基準，以及其與始發(fā)事件和事件序列的聯(lián)系。必須論證所設(shè)計的核

動力廠能夠滿足各類運行狀態(tài)下批準的排放限值和劑量限值，并能

夠滿足事故工況下的可接受限值。

5.8.1.3安全分析必須保證在核動力廠設(shè)計中已實施縱深防

御。

5.8.1.4安全分析必須保證在核動力廠設(shè)計中適當考慮了不確

定性。尤其是應(yīng)有適當?shù)脑Ａ?，以避免出現(xiàn)陡邊效應(yīng)以及早期放射

性釋放或大量放射性釋放。

5.8.1.5必須基于當前狀態(tài)或竣工狀態(tài)，更新和驗證核動力廠

—34—

設(shè)計中所采用的各項分析假設(shè)、方法的適用性和保守程度。

5.8.2確定論方法

確定論安全分析方法必須包括：

（1）制定和確認所有安全重要物項的設(shè)計基準；

（2）表征與核動力廠設(shè)計和廠址相適應(yīng)的假設(shè)始發(fā)事件；

（3）分析和評價假設(shè)始發(fā)事件導(dǎo)致的事件序列，以確認鑒定要求；

（4）將分析結(jié)果與驗收準則、設(shè)計限值、劑量限值以及可接受

限值進行比較，以滿足輻射防護要求；

（5）論證通過安全系統(tǒng)的自動響應(yīng)并結(jié)合所規(guī)定的操縱員動

作，能夠管理預(yù)計運行事件和設(shè)計基準事故；

（6）論證通過安全系統(tǒng)的自動響應(yīng)和利用安全設(shè)施功能并結(jié)合

預(yù)期的操縱員動作，能夠管理設(shè)計擴展工況。

5.8.3概率論方法

設(shè)計必須適當考慮核動力廠所有運行模式和所有狀態(tài)（包括停

堆工況）下的概率安全分析，特別是：

（1）論證整個設(shè)計是平衡的，沒有任何一個設(shè)施或假設(shè)始發(fā)事

件對于總的風險會有過大的或明顯不確定的貢獻，且縱深防御的各

層次應(yīng)盡實際可能獨立；

（2）確認核動力廠不存在陡邊效應(yīng)；

（3）將分析結(jié)果和已規(guī)定的風險準則進行比較。

6核動力廠系統(tǒng)設(shè)計要求

—35—

6.1反應(yīng)堆堆芯和相關(guān)特性

6.1.1燃料元件和燃料組件性能

設(shè)計必須使核動力廠燃料元件和燃料組件能夠保持結(jié)構(gòu)完整

性，并在考慮運行狀態(tài)下所有可能導(dǎo)致其性能劣化的因素后，能夠

承受預(yù)期的堆內(nèi)輻照和環(huán)境條件。

6.1.1.1需考慮如下原因引起的性能劣化：

（1）膨脹差和形變差；

（2）冷卻劑外壓；

（3）燃料元件內(nèi)裂變產(chǎn)物疊加氦氣導(dǎo)致的附加內(nèi)壓；

（4）燃料組件中燃料和其他材料的輻照效應(yīng)；

（5）功率變化引起的溫度和壓力變化；

（6）化學(xué)效應(yīng)；

（7）靜態(tài)和動態(tài)載荷，包括流致振動和機械振動；

（8）由于變形和化學(xué)效應(yīng)導(dǎo)致的傳熱性能變化。

設(shè)計必須為數(shù)據(jù)、計算和制造中的不確定性因素留有裕量。

6.1.1.2燃料設(shè)計限值必須包括預(yù)計運行事件中容許的燃料裂

變產(chǎn)物泄漏量限值，從而使燃料仍能繼續(xù)使用。

6.1.1.3燃料元件和燃料組件必須能夠承受燃料吊裝過程中的

載荷和應(yīng)力。

6.1.2反應(yīng)堆堆芯結(jié)構(gòu)性能

在運行工況以及除嚴重事故外的其他事故工況下，設(shè)計必須使

核動力廠燃料元件和燃料組件及其支撐件能夠維持可冷卻的幾何形

—36—

狀且不妨礙控制棒插入。

6.1.3反應(yīng)堆堆芯控制

6.1.3.1在核動力廠各種狀態(tài)（包括停堆后、換料期間和換料

后、預(yù)計運行事件和未導(dǎo)致堆芯嚴重損傷的事故工況）下，堆芯中

子注量率分布必須具有固有穩(wěn)定性。堆芯設(shè)計應(yīng)盡量減少依賴控制

系統(tǒng)使中子注量率分布、水平和穩(wěn)定性在各種運行狀態(tài)下保持在規(guī)

定限值內(nèi)。

6.1.3.2必須提供用于檢測堆內(nèi)中子注量率分布以及變化的適

當方法，保證堆芯內(nèi)不存在任何超過設(shè)計限值的部位。

6.1.3.3反應(yīng)性控制裝置的設(shè)計，必須適當考慮到磨損以及輻

照效應(yīng)（如燃耗、物理特性的變化和氣體的產(chǎn)生）。

6.1.3.4在運行狀態(tài)和未導(dǎo)致反應(yīng)堆堆芯嚴重損傷的事故工況

下，必須對最大的正反應(yīng)性引入量及其引入速率加以限制，以保證

不致引起反應(yīng)堆壓力邊界失效，維持堆芯冷卻能力和防止反應(yīng)堆堆

芯嚴重損傷。

6.1.4反應(yīng)堆停堆

6.1.4.1必須提供在運行狀態(tài)和事故工況下安全停堆的手段。

必須保證即使在堆芯具有最大反應(yīng)性的情況下，仍能維持停堆狀態(tài)。

6.1.4.2停堆手段的有效性、動作速度和停堆深度必須足以保

證不超出規(guī)定的燃料設(shè)計限值。

6.1.4.3判斷停堆手段是否足夠時，必須考慮到發(fā)生在核動力

廠任何部位的、可導(dǎo)致一部分停堆手段失靈（如控制棒插入故障）

—37—

或可能引起共因故障的故障。

6.1.4.4反應(yīng)堆停堆手段必須至少由兩個多樣化的且獨立的系

統(tǒng)組成。

6.1.4.5即使在堆芯處于反應(yīng)性最大的狀態(tài)下，必須至少有一個

系統(tǒng)能夠獨立地以足夠的深度和高可靠性使反應(yīng)堆保持次臨界狀態(tài)。

6.1.4.6停堆手段必須足以防止，在停堆期間、換料操作期間

或停堆狀態(tài)下其他例行或非例行操作期間，出現(xiàn)的任何可預(yù)見的反

應(yīng)性增加而導(dǎo)致的意外臨界。

6.1.4.7必須設(shè)置儀表并規(guī)定各項試驗，以保證停堆手段總是

處于所規(guī)定的狀態(tài)。

6.2反應(yīng)堆冷卻劑系統(tǒng)

6.2.1反應(yīng)堆冷卻劑系統(tǒng)的設(shè)計

6.2.1.1核動力廠反應(yīng)堆冷卻劑系統(tǒng)部件的設(shè)計和制造，必須

具有高質(zhì)量的材料、恰當?shù)脑O(shè)計標準、可檢查性和高質(zhì)量的加工，

以盡量降低其發(fā)生故障的可能性。

6.2.1.2與核動力廠反應(yīng)堆冷卻劑系統(tǒng)壓力邊界相連接的管

道，必須設(shè)置適當?shù)母綦x裝置，以限制放射性流體（一回路冷卻劑）

的任何喪失，并防止冷卻劑通過接口系統(tǒng)流失。

6.2.1.3反應(yīng)堆冷卻劑壓力邊界的設(shè)計必須使產(chǎn)生裂紋的可能

性極??；已產(chǎn)生的裂紋也極不易于按快速裂紋擴展方式發(fā)展成為失

穩(wěn)斷裂，以便允許及時探測到裂紋。

6.2.1.4反應(yīng)堆冷卻劑系統(tǒng)的設(shè)計必須保證避免使反應(yīng)堆冷卻

—38—

劑壓力邊界的部件可能出現(xiàn)脆性斷裂的核動力廠狀態(tài)。

6.2.1.5必須使反應(yīng)堆冷卻劑壓力邊界內(nèi)部件（如泵的葉輪和

閥門部件）的設(shè)計，在所有運行狀態(tài)和設(shè)計基準事故下失效的可能

性以及隨后對一回路系統(tǒng)內(nèi)其他安全重要部件造成的損傷最小，并

為使用中可能發(fā)生的性能劣化留有適當?shù)脑Ａ俊?/p>

6.2.2反應(yīng)堆冷卻劑壓力邊界的超壓保護

必須采取措施保證卸壓裝置的動作能夠避免反應(yīng)堆冷卻劑系統(tǒng)

壓力邊界出現(xiàn)超壓，并不會導(dǎo)致放射性物質(zhì)從核動力廠向環(huán)境直接

釋放。

6.2.3反應(yīng)堆冷卻劑的裝量

必須采取措施來控制反應(yīng)堆冷卻劑的裝量、溫度和壓力，以在

核動力廠任何運行狀態(tài)下（恰當考慮容積變化和泄漏）使其均不超

過規(guī)定的設(shè)計限值。

6.2.4反應(yīng)堆冷卻劑的凈化

6.2.4.1必須在核動力廠內(nèi)設(shè)置適當?shù)脑O(shè)施，以去除反應(yīng)堆冷

卻劑中的放射性物質(zhì)（包括活化腐蝕產(chǎn)物和源自燃料的裂變產(chǎn)物）

和非放射性物質(zhì)。

6.2.4.2所需系統(tǒng)的能力必須基于規(guī)定的容許燃料泄漏設(shè)計限

值和保守的裕量，以保證核動力廠可在回路中的放射性水平可合理

達到的盡量低的情況下運行。同時保證放射性釋放低于規(guī)定排放限

值，并可合理達到的盡量低。

6.2.5反應(yīng)堆堆芯的余熱排出

—39—

在核動力廠停堆狀態(tài)下，必須為排出反應(yīng)堆堆芯余熱提供手段，

以使燃料、反應(yīng)堆冷卻劑壓力邊界和安全重要構(gòu)筑物不超出設(shè)計限

值。

6.2.6反應(yīng)堆堆芯的應(yīng)急冷卻

6.2.6.1必須提供冷卻手段，以在核動力廠事故工況下（即使

沒有保持一回路冷卻劑系統(tǒng)壓力邊界的完整性），能夠恢復(fù)和維持

燃料的冷卻。

6.2.6.2冷卻反應(yīng)堆堆芯的手段必須能夠保證：

（1）不超過包殼或燃料完整性參數(shù)限值（如溫度）；

（2）可能出現(xiàn)的化學(xué)反應(yīng)保持在可接受水平；

（3）應(yīng)急堆芯冷卻手段可有效補償燃料和堆內(nèi)結(jié)構(gòu)變形的影

響；

（4）反應(yīng)堆堆芯冷卻能保持足夠長的時間。

6.2.6.3必須提供設(shè)計手段（如泄漏探測系統(tǒng)、適當?shù)幕ハ噙B

接和隔離能力）及考慮適當?shù)亩嘀匦院投鄻有?，以對每個假設(shè)始發(fā)

事件都切實地滿足6.2.6.2節(jié)的要求。

6.2.7熱量向最終熱阱的傳輸

6.2.7.1在核動力廠所有狀態(tài)下，都必須保證具有將熱量傳輸

到最終熱阱的能力。

6.2.7.2在必須由熱量傳輸系統(tǒng)實現(xiàn)傳熱功能的核動力廠狀態(tài)

下，熱量傳輸系統(tǒng)必須具有足夠的可靠性。這可能要求采用多樣化

的最終熱阱或多樣化的排熱途徑將熱量傳輸至最終熱阱。

—40—

6.2.7.3在比設(shè)計基準自然災(zāi)害（由廠址危險性評價確定的）

更嚴重水平下仍能夠?qū)崿F(xiàn)傳熱功能。

6.3安全殼結(jié)構(gòu)和安全殼系統(tǒng)

6.3.1安全殼系統(tǒng)

必須設(shè)置安全殼系統(tǒng)，以保證或有助于核動力廠實現(xiàn)以下安全

功能：

（1）在運行狀態(tài)和事故工況下包容放射性物質(zhì)；

（2）保護反應(yīng)堆使其免受外部自然事件和人為事件的影響；

（3）在運行狀態(tài)和事故工況下屏蔽輻射。

6.3.2控制放射性從安全殼釋放

6.3.2.1安全殼的設(shè)計必須能夠保證從核動力廠向環(huán)境的任何

放射性釋放是可合理達到的盡量低的水平，在運行狀態(tài)下不高于監(jiān)

管排放限值，以及在事故工況下滿足可接受的限值。

6.3.2.2安全殼結(jié)構(gòu)及影響安全殼系統(tǒng)密封性的系統(tǒng)和部件的

設(shè)計和建造，在安全殼的所有貫穿件安裝完成后和在核動力廠運行

壽期內(nèi)，必須能夠進行泄漏率試驗，并在安全殼的設(shè)計壓力下能夠

進行泄漏率試驗。

6.3.2.3安全殼貫穿件的數(shù)量必須保持盡實際可能的少，所有

貫穿件都必須滿足與安全殼結(jié)構(gòu)本身同樣的設(shè)計要求。必須保護貫

穿件，使其能夠承受由管道位移引起的反作用力，或承受諸如外部

或內(nèi)部事件產(chǎn)生的飛射物、噴射力和管道甩擊引起的事故載荷。

6.3.3安全殼隔離

—41—

6.3.3.1在依靠安全殼密封性，防止放射性物質(zhì)向環(huán)境的釋放

超過可接受限值的事故中，貫穿安全殼且屬于反應(yīng)堆冷卻劑壓力邊

界組成部分的或直接與安全殼大氣相通的每根管線，必須能自動且

可靠地封閉。

6.3.3.2貫穿安全殼且屬于反應(yīng)堆冷卻劑壓力邊界組成部分的

或直接與安全殼大氣相通的管線，必須至少串聯(lián)設(shè)置兩個合適的安

全殼隔離閥或止回閥，并必須配備適當?shù)男孤┨綔y系統(tǒng)。通常應(yīng)在

安全殼內(nèi)外各設(shè)置一個安全殼隔離閥或止回閥，安全殼隔離閥或止回

閥必須盡實際可能地靠近安全殼，每個閥門能夠可靠和獨立地動作及

進行定期試驗。如采取其他的設(shè)置方式則應(yīng)論證其滿足設(shè)計要求。

6.3.3.3對于儀表管線等特定類別的管線，或在應(yīng)用第6.3.3.2

節(jié)中所述安全殼隔離方法將會降低包含安全殼貫穿件的安全系統(tǒng)可

靠性的情況下，可允許第6.3.3.2節(jié)中所述的安全殼隔離要求存在

例外情況。

6.3.3.4貫穿安全殼，但既非反應(yīng)堆冷卻劑壓力邊界的組成部

分，又不直接與安全殼內(nèi)大氣相通的管線，必須至少設(shè)置一個適當

的安全殼隔離閥。安全殼隔離閥必須安裝在安全殼外側(cè)，并盡實際

可能地靠近安全殼。

6.3.4安全殼的進入

6.3.4.1運行人員必須通過若干道氣封閘門進入核動力廠安全

殼。這些閘門是聯(lián)鎖的，以保證反應(yīng)堆功率運行和事故工況期間，

至少有一道閘門是關(guān)閉的。

—42—

6.3.4.2當運行人員出于監(jiān)督目的進入安全殼時，設(shè)計必須采

取特定措施，以保證運行人員的防護和安全。如果有設(shè)備氣密閘門，

設(shè)計中也必須采取措施，以保證運行人員的防護和安全。

6.3.4.3貫穿安全殼的設(shè)備或材料運輸閘門的設(shè)計，必須保證

在需要對安全殼進行隔離時能夠快速和可靠地關(guān)閉。

6.3.5安全殼狀態(tài)控制

6.3.5.1必須采取措施控制核動力廠安全殼內(nèi)的壓力和溫度，

控制裂變產(chǎn)物或其他氣態(tài)、液態(tài)或固態(tài)物質(zhì)的任何積累，這些物質(zhì)

可能在安全殼內(nèi)釋放并可能影響安全重要系統(tǒng)運行。

6.3.5.2設(shè)計必須為安全殼內(nèi)各獨立隔間之間提供足夠的氣流

通道。隔間之間各種開口的截面尺寸，必須能夠保證在事故工況壓

力平衡期間產(chǎn)生的壓力差，不會對承壓結(jié)構(gòu)或減輕事故工況后果的

重要系統(tǒng)造成不可接受的損壞。

6.3.5.3必須保證安全殼的排熱能力，以在發(fā)生任何高能流體

意外釋放事故后，能夠降低安全殼中的壓力和溫度并使之維持在可

接受的水平。執(zhí)行從安全殼中排熱功能的系統(tǒng)，必須具有足夠的可

靠性和多重性，以保證排熱功能得到實現(xiàn)。

6.3.5.4必須采取設(shè)計措施以防止在核動力廠所有狀態(tài)下喪失

安全殼結(jié)構(gòu)的完整性。該措施必須不會導(dǎo)致早期放射性釋放或大量

放射性釋放。

6.3.5.5設(shè)計必須包含能安全使用移動設(shè)備恢復(fù)安全殼排熱能

力的手段，這些移動設(shè)備不必在廠區(qū)貯存。

—43—

6.3.5.6必要時，必須控制可能釋放到安全殼中的裂變產(chǎn)物、

氫氣、氧氣和其他物質(zhì)，以便：

（1）減少事故工況下可能釋放到環(huán)境中的裂變產(chǎn)物數(shù)量；

（2）控制事故工況下安全殼大氣中的氫氣、氧氣和其他物質(zhì)的

濃度，以防止可能危及安全殼完整性的燃爆或爆燃載荷。

6.3.6覆蓋層、保溫材料和涂層

必須審慎選擇安全殼系統(tǒng)內(nèi)部件和結(jié)構(gòu)的覆蓋層、保溫材料和

涂層，并必須明確規(guī)定其使用方法，以保證這些部件和結(jié)構(gòu)的安全

功能得到實現(xiàn)，并在覆蓋層、保溫材料和涂層劣化時盡量減少對其

他安全功能的影響。

6.4儀器儀表和控制系統(tǒng)

6.4.1儀器儀表

6.4.1.1必須設(shè)置用于以下目的的儀器儀表：確定可能影響核

動力廠裂變過程、反應(yīng)堆堆芯完整性、反應(yīng)堆冷卻劑系統(tǒng)完整性和

安全殼完整性的所有主要變量的值；獲得核動力廠安全和可靠運行

所需的重要信息；確定核動力廠在事故工況下的狀態(tài)以及用于事故

管理的決策。

6.4.1.2必須設(shè)置儀器儀表和記錄設(shè)備，以保證獲得必不可少

的信息，用于監(jiān)測重要設(shè)備的狀況和事故過程，預(yù)測可能出現(xiàn)放射

性物質(zhì)釋放的位置和從設(shè)計預(yù)期釋放位置外逸的放射性物質(zhì)釋放

量，以及進行事故后分析。

6.4.2控制系統(tǒng)

—44—

必須設(shè)置適當且可靠的控制系統(tǒng)，使得相關(guān)的過程變量保持在

規(guī)定的運行范圍內(nèi)。

6.4.3保護系統(tǒng)

6.4.3.1必須設(shè)置能夠探測不安全狀態(tài)并自動觸發(fā)安全動作的

保護系統(tǒng)，以啟動必要的安全系統(tǒng)來實現(xiàn)和維持核動力廠安全狀態(tài)。

6.4.3.2保護系統(tǒng)的設(shè)計必須：

（1）能夠超越控制系統(tǒng)的不安全動作；

（2）具備故障安全特性，以在保護系統(tǒng)發(fā)生故障時能使核動力

廠達到安全狀態(tài)。

6.4.3.3設(shè)計：

（1）必須防止操縱員在運行狀態(tài)和事故工況下采取可能損害保

護系統(tǒng)有效性的動作，但不得阻礙操縱員在事故工況下采取正確行

動；

（2）必須能夠執(zhí)行用于啟動安全系統(tǒng)的各種安全動作，以在預(yù)

計運行事件或事故工況開始后的合理時間范圍內(nèi)無需操縱員干預(yù)；

（3）必須向操縱員提供相關(guān)信息，用于監(jiān)測自動動作的效果。

6.4.4儀表和控制系統(tǒng)的可靠性和可試驗性

6.4.4.1核動力廠安全重要物項的儀表和控制系統(tǒng)，必須具有

與所執(zhí)行的安全功能相適應(yīng)的高可靠性和定期可試驗性。

6.4.4.2必須在實際可行的范圍內(nèi)采用各種設(shè)計技術(shù)，如可試

驗性（必要時包括自檢能力）、故障安全特性、功能多樣性、部件

設(shè)計或工作原理的多樣性等，以防止安全功能的喪失。

—45—

6.4.4.3安全系統(tǒng)必須具有可在核動力廠運行時對其功能進行

定期試驗的條件，包括各通道分別進行試驗的可能性，以查明可能

發(fā)生的故障和多重性的喪失。設(shè)計必須允許對包括從傳感器到最終

的觸發(fā)驅(qū)動器和顯示單元所有環(huán)節(jié)的定期試驗。

6.4.4.4設(shè)計應(yīng)考慮，當安全系統(tǒng)或安全系統(tǒng)的一部分由于試

驗或維修而必須退出運行時，在此期間應(yīng)采取適當?shù)拇胧ΡＷo系

統(tǒng)旁通狀態(tài)進行明確的指示。

6.4.5基于計算機的設(shè)備在安全重要系統(tǒng)中的應(yīng)用

6.4.5.1當安全重要系統(tǒng)設(shè)計成依賴于基于計算機的設(shè)備時，

必須確定或制定用于開發(fā)和測試/驗證計算機軟、硬件的適當?shù)臉藴?/p>

和規(guī)范，并在整個壽期內(nèi)執(zhí)行，特別是在軟件開發(fā)過程中應(yīng)執(zhí)行這

些標準和規(guī)范。整個開發(fā)過程必須遵循質(zhì)量保證大綱。

6.4.5.2安全系統(tǒng)或安全有關(guān)系統(tǒng)中基于計算機的設(shè)備：

（1）基于系統(tǒng)對安全的重要性，必須使用高質(zhì)量和最佳實踐的

硬件和軟件；

（2）整個開發(fā)過程，包括設(shè)計變更的控制、試驗和調(diào)試，必須

系統(tǒng)地形成文件，并可供審查；

（3）必須由獨立于設(shè)計者和供應(yīng)商的專業(yè)人員，對基于計算機

的設(shè)備進行評價，以保證其高可靠性；

（4）在安全功能對實現(xiàn)和保持安全狀態(tài)至關(guān)重要，且不能高置

信度的證明設(shè)備具有必要的高可靠性時，必須提供多樣化手段以保

證安全功能的執(zhí)行；

—46—

（5）必須考慮由軟件引起的共因故障；

（6）必須提供防止系統(tǒng)運行意外中斷或受到蓄意干擾的保護

措施。

6.4.6保護系統(tǒng)和控制系統(tǒng)的分隔

6.4.6.1必須通過分隔、避免相互連接或采用適當?shù)墓δ塥毩?/p>

來防止核動力廠保護系統(tǒng)和控制系統(tǒng)之間的相互干擾。

6.4.6.2如果保護系統(tǒng)和控制系統(tǒng)共用信號，必須保證適當?shù)?/p>

分隔措施（如有效的去耦），且信號系統(tǒng)必須按照屬于保護系統(tǒng)的

一部分來分級。

6.4.7控制室

6.4.7.1必須設(shè)置控制室，以進行下述活動：在各種運行狀態(tài)

下以自動或手動方式安全地運行核動力廠；出現(xiàn)預(yù)計運行事件和事

故工況后，采取相應(yīng)措施，以使核動力廠保持在安全狀態(tài)或回到安

全狀態(tài)。

6.4.7.2必須采取適當?shù)拇?/p>