核電廠儀控系統安全分級及其設計要求

宿俊海，孫 娜

（華龍國際核電技術有限公司，北京 100036）

核電廠在正常運行、災害、事故過程中的安全是依靠構筑物、系統和部件（SSC）執行安全功能來實現的。分級的目的是確保物項的設計、制造、建造、調試和運行采用恰當的要求，以確保物項在所有預期的運行工況下有適宜的質量，確保安全功能的實現。因此，為了保證物項完成其功能，需要先對物項進行合適的級別劃分。儀控系統和設備安全分級就是對儀控系統和設備在其所應完成的核安全功能方面進行分析和評估，并在安全重要性分析的基礎上進行功能分類，系統和設備安全分級。再根據其功能和安全等級確定其在設計、建造、調試和運行中要采用的設計、試驗和維修措施，以達到相應的設備質量和可靠性要求。

1 儀控系統的安全分級

1.1 儀控安全分級的發展

美國原子能委員會（AEC）于1970年頒布了聯邦法規，規定了“質量保證”要求，并要求對安全重要的構筑物和設備進行“質量分組”。由于聯邦法規的要求，安全分級問題得到了核工業界的高度重視。經過不斷的探索和實踐，美國機械工程師協會（ASME）編制了相應的規范，對承壓設備確定了安全1、2、3級的要求，對應于聯邦法規的質量A、B、C組要求，并得到了監管當局的認可。針對安全級電氣儀控系統，美國電氣工程師學會發布了IEEE 603，其中規定“用于緩解設計基準事故后果以保護公眾健康和安全”的儀控系統被定義為安全級[1]，包括安全停堆、事故后參數監測等。同期，其他標準對儀控系統安全分級的劃分是類似的，同樣也沒有系統地給出功能及物項分級的邏輯方法，而是直接對安全級進行定義。此后，法國參考N4機組的經驗反饋，提出了IPS-NC級概念，即：某些承壓或非承壓的機械、儀控設備，在“可能發生的運行工況”或“極不可能發生的運行工況”下，其失效會影響到安全功能完成的那些非安全級設備，稱為非安全級的安全重要設備（IPS-NC）。

當前發展了根據EUR、SSG-30等基于功能分類進行物項分級的方法論，即4級（1、2、3和非安全級）物項等級設置，所有的物項分級（包括儀控物項分級）基于功能分類確定其相應的安全分級[2,3]，不再直接給出安全級儀控系統的定義和物項分級表，而是系統地給出功能及物項分級的邏輯方法，增設了“設計預防措施”的篩選要求進而完善了分級流程，適應性更加廣泛。

1.2 安全分級方法

當前核電廠普遍采用基于IAEA SSG-30的安全分級方法，以下給出安全分級的基本流程[2]，如圖1所示。

安全分級工作開始之前，需要對電廠設計有一個全面的了解。通過安全分析（包括對始發事件的分析），確定主要的安全功能是如何實現的。系統地識別所有電廠狀態下需要執行的安全功能，然后根據安全分析結果識別各安全功能對安全目標實現的重要性，并對其進行分類，再根據物項在安全功能實現過程中的重要性對物項進行分級。對于一些直接執行具體設計預防措施的物項，機組正常運行期間，可以直接根據其失效后的后果進行分級。事故工況下，其分級還需要考慮事故工況本身發生的可能性，即考慮需要物項實施其設計措施的可能性。

設計預防措施用于預防事故、限制危害的影響，或保護工作人員、公眾和環境免受運行條件下的放射性風險。設計預防措施主要采用高質量的物項、高質量的設計，防止工作人員和公眾在正常運行狀態下遭受輻射危害的屏蔽，保護安全重要部件免受內部和外部災害破壞的混凝土墻，以及防甩擊裝置和固定裝置等。一般設計預防措施無需儀控功能進行控制，故儀控系統的分級不涉及設計預防措施的分級。

電廠工況分為設計基準工況（DBC）和設計擴展工況（DEC），設計基準工況包括：正常運行和正常運行瞬態（I類工況）、預計運行事件（II類工況）、稀有事故（III類工況）、極限事故（IV類工況），設計擴展工況包括DEC-A、DEC-B。

根據IAEA SSR-2/1和SSG-30的要求，參照以往工程實踐經驗，對于II類、III類和IV類工況定義了可控狀態和安全狀態，對于DEC工況定義了安全狀態[4]。

將安全功能分為安全1類（FC1）功能、安全2類（FC2）功能和安全3類（FC3）功能。如果一個功能在不同工況中使用，其功能類別取決于功能類別要求最高的工況。核電廠各工況下功能的分類見表1。非FC1類、FC2類和FC3類功能用“NC”表示。

表1 各工況下安全功能分類Table 1 Classification of safety functions under various working conditions

執行具體安全功能的安全重要儀控系統分級應該與其執行的安全功能類別相一致，即執行安全1類功能（FC1）物項應為功能1級物項（F-SC1）；執行安全2類功能（FC2）物項應為功能2級物項（F-SC2）；執行功能3類功能（FC3）物項應為功能3級物項（F-SC3）。如果一個物項執行多個功能，其分級取決于功能類別最高的功能，可使用高等級設備實現低安全等級功能。例如，可采用F-SC1級設備實現FC2儀控功能。

2 基于安全分級的儀控系統設計要求

在確定物項的分級后，需要給出每個物項相應的設計要求。

2.1 設計總要求

安全分級一旦建立，就應確定和應用相應的工程設計要求。工程設計要求的選擇應使得核動力廠設計滿足發生概率高的事件對公眾產生很少或無不利后果，同時極端事件的發生概率極低。

2.2 系統設計要求

系統設計要求直接影響執行功能的具體物項設計要求，設計要求主要包括：單一故障、實體隔離和電氣隔離、應急供電、定期試驗、災害防護和環境鑒定。

各安全分級的儀控系統的設計要求見表2。

表2 儀控系統的設計要求Table 2 Design requirements of instrument control system

2.3 各儀控系統安全分級與設計規范要求

對于各儀控系統的安全等級與設計規范要求見表3。

表3 儀控系統安全分級與設計規范要求Table 3 Safety classification and design specification requirements of instrument control system

3 總結

制定核動力廠系統和設備分級的目的是為了對那些核電站安全起作用的系統和設備按照其執行安全功能的重要性進行分級，進而在核動力廠的設計、制造、建造、調試和運行等方面提出相應的要求，保證這些系統和設備的質量和可靠性達到相應的要求水平，確保完成其所承擔的安全功能。本文采用當前普遍采用的安全分級原則和方法給出了儀控功能分類和儀控系統安全分級的基本流程，并在此基礎上給出了各儀控系統的設計要求和設計規范要求。