HAF102-2016核動(dòng)力廠設(shè)計(jì)安全規(guī)定

附件HAF102-2016

核動(dòng)力廠設(shè)計(jì)安全規(guī)定

（2016年修訂，2016年10月26日國(guó)家核安全局批準(zhǔn)發(fā)布）

1引言

1.1目的

為實(shí)現(xiàn)核動(dòng)力廠的安全運(yùn)行，防止或減輕可能危及安全的事件

后果，本規(guī)定提出了核動(dòng)力廠安全重要的構(gòu)筑物、系統(tǒng)和部件的設(shè)

計(jì)，以及規(guī)程和組織流程所必須滿(mǎn)足的要求。

本規(guī)定適用于核動(dòng)力廠設(shè)計(jì)、建造、運(yùn)行和退役階段的分析、

驗(yàn)證和審查，技術(shù)支持以及核安全監(jiān)督。

1.2范圍

1.2.1本規(guī)定提出了進(jìn)行全面安全評(píng)價(jià)的要求，以確定核動(dòng)力

廠在各種運(yùn)行狀態(tài)和事故工況下可能產(chǎn)生的潛在危險(xiǎn)。安全評(píng)價(jià)過(guò)

程涉及確定論安全分析和概率論安全分析這兩種互為補(bǔ)充的技術(shù)，

分析中必須考慮各種假設(shè)始發(fā)事件，包括可能單獨(dú)地或組合地影響

安全的諸多因素。這些事件有如下幾種類(lèi)型：

（1）源自核動(dòng)力廠運(yùn)行本身；

（2）由人員行為引起；

（3）與核動(dòng)力廠及廠址環(huán)境直接相關(guān)。

1.2.2本規(guī)定不涉及極不可能影響核安全的一般工業(yè)安全和由

—3—

核動(dòng)力廠運(yùn)行所引起的非放射性影響。

1.2.3本規(guī)定中的核動(dòng)力廠主要是指為發(fā)電或其他供熱應(yīng)用

（諸如集中供熱或海水淡化）而設(shè)計(jì)的，采用水冷反應(yīng)堆的陸上固

定式核動(dòng)力廠。

1.2.4其他類(lèi)型或采用革新技術(shù)的反應(yīng)堆設(shè)計(jì)可參照本規(guī)定，

但應(yīng)經(jīng)過(guò)細(xì)致的評(píng)價(jià)和判斷。

2安全目標(biāo)和縱深防御概念

2.1安全目標(biāo)

2.1.1基本安全目標(biāo)：在核動(dòng)力廠中建立并保持對(duì)放射性危害

的有效防御，以保護(hù)人與環(huán)境免受放射性危害。

2.1.2為了實(shí)現(xiàn)基本安全目標(biāo)，必須采取以下措施：

（1）控制在運(yùn)行狀態(tài)下對(duì)人員的輻射照射和放射性物質(zhì)向環(huán)境

的釋放；

（2）限制導(dǎo)致核動(dòng)力廠反應(yīng)堆堆芯、乏燃料、放射性廢物或任

何其他輻射源失控事件發(fā)生的可能性；

（3）如果上述事件發(fā)生，減輕這些事件產(chǎn)生的后果。

2.1.3基本安全目標(biāo)適用于核動(dòng)力廠的所有活動(dòng)，包括規(guī)劃、選

址、設(shè)計(jì)、制造、建造、調(diào)試、運(yùn)行和退役，以及有關(guān)放射性物質(zhì)

的運(yùn)輸、乏燃料和放射性廢物的管理等。

2.2輻射防護(hù)設(shè)計(jì)

2.2.1為了實(shí)現(xiàn)基本安全目標(biāo)，輻射防護(hù)設(shè)計(jì)必須保證在所有

—4—

運(yùn)行狀態(tài)下核動(dòng)力廠內(nèi)的輻射照射或由于該核動(dòng)力廠任何計(jì)劃排放

放射性物質(zhì)引起的輻射照射低于規(guī)定限值，且可合理達(dá)到的盡量低。

同時(shí)，還應(yīng)采取措施減輕任何事故的放射性后果。

2.2.2為了實(shí)現(xiàn)基本安全目標(biāo)，輻射防護(hù)設(shè)計(jì)必須使得核動(dòng)力

廠所有輻射照射的來(lái)源都處在嚴(yán)格的技術(shù)和管理措施控制之下。但

不排除人員受到有限的照射，也不排除法規(guī)許可數(shù)量的放射性物質(zhì)

從處于運(yùn)行狀態(tài)的核動(dòng)力廠向環(huán)境的排放。此種照射和排放必須受

到嚴(yán)格控制，并符合運(yùn)行限值和輻射防護(hù)標(biāo)準(zhǔn)，且可合理達(dá)到的盡

量低。

2.3安全設(shè)計(jì)

2.3.1安全設(shè)計(jì)必須：

（1）防止由于反應(yīng)堆堆芯或其他輻射源失控所引起有害后果的

事故，并在一旦發(fā)生事故時(shí)減輕其后果；

（2）保證在設(shè)計(jì)中考慮的所有事故的放射性后果都低于相關(guān)限

值，并保持在可合理達(dá)到的盡量低的水平；

（3）保證有嚴(yán)重放射性后果的事故發(fā)生的可能性極低，并盡最

大可能減輕這種事故的放射性后果。

2.3.2為了證明在核動(dòng)力廠的設(shè)計(jì)中實(shí)現(xiàn)了基本安全目標(biāo)，必

須對(duì)設(shè)計(jì)進(jìn)行全面的安全評(píng)價(jià)，以確定所有輻射照射的來(lái)源，并評(píng)

估核動(dòng)力廠工作人員和公眾可能受到的輻射劑量，以及對(duì)環(huán)境的可

能影響。此種安全評(píng)價(jià)要考慮以下內(nèi)容：（1）核動(dòng)力廠的正常運(yùn)行；

（2）預(yù)計(jì)運(yùn)行事件時(shí)核動(dòng)力廠的性能；（3）事故工況。在分析的

基礎(chǔ)上，確認(rèn)設(shè)計(jì)抵御假設(shè)始發(fā)事件和事故的能力，驗(yàn)證安全重要

—5—

物項(xiàng)的有效性，以及確定應(yīng)急計(jì)劃的輸入。

2.3.3盡管采取措施將所有運(yùn)行狀態(tài)下的輻射照射控制在可合

理達(dá)到的盡量低的水平，并將導(dǎo)致輻射源失控事故的可能性減至最

小，但仍然存在發(fā)生事故的可能性。這就需要采取措施以保證減輕

放射性后果。這些措施包括：安全設(shè)施和安全系統(tǒng)，營(yíng)運(yùn)單位制定

的核動(dòng)力廠事故管理規(guī)程，以及國(guó)家和地方有關(guān)部門(mén)制定的場(chǎng)外干

預(yù)措施。

2.3.4核動(dòng)力廠的安全設(shè)計(jì)必須采取實(shí)際措施，以減輕核與輻

射事故對(duì)人的生命、健康以及環(huán)境造成的影響。必須實(shí)際消除可能

導(dǎo)致高輻射劑量或大量放射性釋放的核動(dòng)力廠事故序列；必須保證

發(fā)生頻率高的核動(dòng)力廠事故序列沒(méi)有或僅有微小的潛在放射性后

果。安全設(shè)計(jì)的基本目標(biāo)是在技術(shù)上實(shí)現(xiàn)減輕放射性后果的場(chǎng)外防

護(hù)行動(dòng)是有限的甚至是可以取消的。

2.4縱深防御概念

2.4.1防止核動(dòng)力廠發(fā)生事故和減輕事故后果的主要手段是應(yīng)

用縱深防御概念。該概念貫徹于安全有關(guān)的全部活動(dòng)，涉及核動(dòng)力

廠各種功率及停堆狀態(tài)下有關(guān)的組織、人員行為或設(shè)計(jì)，以保證這

些活動(dòng)均置于各種獨(dú)立的、不同層次措施的防御之下。即使有一種

故障發(fā)生，它將由適當(dāng)?shù)拇胧┨綔y(cè)、補(bǔ)償或糾正。在整個(gè)設(shè)計(jì)和運(yùn)

行中貫徹縱深防御，以應(yīng)對(duì)廠內(nèi)設(shè)備故障或人因引起的各種預(yù)計(jì)運(yùn)

行事件和事故，以及外部事件引起的后果。

2.4.2縱深防御概念的應(yīng)用主要是通過(guò)一系列連續(xù)和獨(dú)立的防

御層次的結(jié)合，防止事故對(duì)人員和環(huán)境造成危害。如果某一層次的

—6—

防護(hù)失效，則由后一層次提供保護(hù)。每一層次防御的獨(dú)立有效性都

是縱深防御的必要組成部分。

（1）第一層次防御的目的是防止偏離正常運(yùn)行及防止安全重要

物項(xiàng)的故障。這一層次要求：按照恰當(dāng)?shù)馁|(zhì)量水平和經(jīng)驗(yàn)證的工程

實(shí)踐，正確并保守地選址、設(shè)計(jì)、建造、維修和運(yùn)行核動(dòng)力廠。為

此，應(yīng)十分注意選擇恰當(dāng)?shù)脑O(shè)計(jì)規(guī)范和材料，并對(duì)部件的制造、核

動(dòng)力廠的建造和調(diào)試進(jìn)行質(zhì)量控制。在這一層次，降低內(nèi)部危險(xiǎn)可

能性的設(shè)計(jì)措施有助于事故的預(yù)防。還應(yīng)重視涉及設(shè)計(jì)、制造、建

造、在役檢查、維修和試驗(yàn)的過(guò)程和規(guī)程，以及進(jìn)行這些活動(dòng)時(shí)良

好的可達(dá)性、核動(dòng)力廠的運(yùn)行方式和運(yùn)行經(jīng)驗(yàn)的利用等方面。整個(gè)

過(guò)程以確定核動(dòng)力廠運(yùn)行和維修要求及其質(zhì)量管理要求的詳細(xì)分析

為基礎(chǔ)。

（2）第二層次防御的目的是檢測(cè)和控制偏離正常運(yùn)行狀態(tài)，以

防止預(yù)計(jì)運(yùn)行事件升級(jí)為事故工況。盡管注意預(yù)防，核動(dòng)力廠在其

壽期內(nèi)仍然可能發(fā)生某些假設(shè)始發(fā)事件。這一層次要求在設(shè)計(jì)中設(shè)

置特定的系統(tǒng)和設(shè)施，通過(guò)安全分析確認(rèn)其有效性，并制定運(yùn)行規(guī)

程以防止這些始發(fā)事件的發(fā)生，或盡量減小其造成的后果，使核動(dòng)

力廠回到安全狀態(tài)。

（3）設(shè)置第三層次防御是基于以下假定：盡管極不可能，某些

預(yù)計(jì)運(yùn)行事件或假設(shè)始發(fā)事件的升級(jí)仍有可能未被前一層次防御所

制止，而演變成事故。在核動(dòng)力廠的設(shè)計(jì)中，假定這些事故會(huì)發(fā)生。

這就要求必須通過(guò)固有安全特性和（或）專(zhuān)設(shè)安全設(shè)施、安全系統(tǒng)

—7—

和規(guī)程，防止造成反應(yīng)堆堆芯損傷或需要采取場(chǎng)外干預(yù)措施的放射

性釋放，并能使核動(dòng)力廠回到安全狀態(tài)。

（4）第四層次防御的目的是減輕第三層次縱深防御失效所導(dǎo)致

的事故后果。通過(guò)控制事故進(jìn)展和減輕嚴(yán)重事故的后果來(lái)實(shí)現(xiàn)第四

層次的防御。安全目標(biāo)是，在嚴(yán)重事故下僅需要在區(qū)域和時(shí)間上采

取有限的防護(hù)行動(dòng)，且避免場(chǎng)外放射性污染或?qū)⑵錅p至最小。這要

求可能導(dǎo)致早期放射性釋放或者大量放射性釋放的事件序列被實(shí)際

消除。

（5）第五層次，即最后層次防御的目的是減輕可能由事故工況

引起的潛在放射性釋放造成的放射性后果。該層次要求配備恰當(dāng)?shù)?/p>

應(yīng)急設(shè)施，制定用于場(chǎng)內(nèi)、場(chǎng)外應(yīng)急響應(yīng)的應(yīng)急計(jì)劃和應(yīng)急程序。

2.4.3縱深防御概念應(yīng)用的另一方面是在設(shè)計(jì)中設(shè)置一系列的

實(shí)體屏障，并采用能動(dòng)、非能動(dòng)設(shè)施和固有安全特性的組合，以使

實(shí)體屏障能夠有效地將放射性物質(zhì)包容在特定區(qū)域。所需實(shí)體屏障

的數(shù)目取決于放射性核素總量和同位素成份表征的初始源項(xiàng)、單個(gè)

屏障的有效性、可能的內(nèi)部與外部危險(xiǎn)以及各種失效的潛在后果。

3設(shè)計(jì)安全管理

3.1設(shè)計(jì)安全管理職責(zé)

營(yíng)運(yùn)單位必須保證提交國(guó)務(wù)院核安全監(jiān)管部門(mén)的設(shè)計(jì)符合所有

適用的安全要求。所有從事與核動(dòng)力廠安全設(shè)計(jì)重要活動(dòng)相關(guān)的組

織，包括設(shè)計(jì)單位，都有責(zé)任保證將安全事務(wù)放在最優(yōu)先的位置。

—8—

3.2質(zhì)量保證

3.2.1必須制定和實(shí)施描述核動(dòng)力廠設(shè)計(jì)的管理、執(zhí)行和評(píng)價(jià)

的總體安排的質(zhì)量保證大綱。該大綱包括保證核動(dòng)力廠每個(gè)構(gòu)筑物、

系統(tǒng)和部件以及總體設(shè)計(jì)的設(shè)計(jì)質(zhì)量的措施,包括確定和糾正設(shè)計(jì)

缺陷、檢驗(yàn)設(shè)計(jì)的恰當(dāng)性和控制設(shè)計(jì)變更的措施。

3.2.2設(shè)計(jì)，包括變更、修改或安全改進(jìn)，必須按照合適的工

程規(guī)范和標(biāo)準(zhǔn)所確定的程序進(jìn)行，并必須體現(xiàn)適用的要求和設(shè)計(jì)基

準(zhǔn)，必須確定和控制設(shè)計(jì)接口。

3.2.3設(shè)計(jì)（包括設(shè)計(jì)手段和設(shè)計(jì)輸入與輸出）的恰當(dāng)與否，

必須由原先從事此工作的人員以外的個(gè)人或團(tuán)體進(jìn)行驗(yàn)證和確認(rèn)。

在設(shè)計(jì)和建造過(guò)程中應(yīng)盡早完成驗(yàn)證、確認(rèn)和批準(zhǔn),最遲不晚于核動(dòng)

力廠首次裝料。

3.3全壽期內(nèi)保持核動(dòng)力廠設(shè)計(jì)的安全和完整性

3.3.1營(yíng)運(yùn)單位對(duì)安全負(fù)全面責(zé)任。營(yíng)運(yùn)單位必須建立一套正

式的體系，在整個(gè)壽期內(nèi)始終保證核動(dòng)力廠設(shè)計(jì)的安全和完整性。

3.3.2為便于安全分析報(bào)告、設(shè)計(jì)手冊(cè)和其他設(shè)計(jì)文件等詳細(xì)

的設(shè)計(jì)資料轉(zhuǎn)移至營(yíng)運(yùn)單位，應(yīng)盡早設(shè)立全面負(fù)責(zé)設(shè)計(jì)過(guò)程的部門(mén)，

并制定管理流程，在營(yíng)運(yùn)單位的管理體系內(nèi)負(fù)責(zé)核動(dòng)力廠設(shè)計(jì)安全

和完整性。

3.3.3核動(dòng)力廠的設(shè)計(jì)工作可以由許多組織分擔(dān)：工程公司、

反應(yīng)堆及其輔助系統(tǒng)供應(yīng)商、主要設(shè)備供應(yīng)商、電氣系統(tǒng)的設(shè)計(jì)單

位以及對(duì)核動(dòng)力廠安全重要的其它系統(tǒng)的供應(yīng)商等。營(yíng)運(yùn)單位必須

對(duì)委托給外部組織的設(shè)計(jì)活動(dòng)進(jìn)行管理。

—9—

3.3.4全面負(fù)責(zé)設(shè)計(jì)過(guò)程的部門(mén)必須保證核動(dòng)力廠設(shè)計(jì)滿(mǎn)足安

全性、可靠性和質(zhì)量方面的驗(yàn)收準(zhǔn)則。這些準(zhǔn)則符合相關(guān)的法律法

規(guī)和標(biāo)準(zhǔn)規(guī)范。必須建立并明確工作范圍和職責(zé)，以保證：

（1）設(shè)計(jì)符合其目標(biāo)，并滿(mǎn)足防護(hù)和安全最優(yōu)化的要求，使輻

射風(fēng)險(xiǎn)保持在可合理達(dá)到的盡量低的水平；

（2）持續(xù)保證設(shè)計(jì)安全的方式包括設(shè)計(jì)驗(yàn)證、確定工程規(guī)范和

標(biāo)準(zhǔn)及要求、采用經(jīng)驗(yàn)證的工程實(shí)踐、提供建造經(jīng)驗(yàn)反饋、批準(zhǔn)重

要工程文件、開(kāi)展安全評(píng)價(jià)和保持安全文化；

（3）安全運(yùn)行、維修（包括合適的試驗(yàn)周期）和修改所需的設(shè)

計(jì)資料應(yīng)該是可用的，設(shè)計(jì)資料應(yīng)適當(dāng)考慮以往的運(yùn)行經(jīng)驗(yàn)和經(jīng)驗(yàn)

證的研究成果，并由營(yíng)運(yùn)單位維護(hù)在最新?tīng)顟B(tài)；

（4）保持對(duì)設(shè)計(jì)要求和狀態(tài)控制的管理；

（5）建立和控制責(zé)任設(shè)計(jì)者和參與設(shè)計(jì)工作的供應(yīng)商之間必要

的接口；

（6）營(yíng)運(yùn)單位需維護(hù)必要的工程專(zhuān)業(yè)資料和科技資料；

（7）所有設(shè)計(jì)變更都經(jīng)過(guò)審查、驗(yàn)證、形成文檔并批準(zhǔn)；

（8）維護(hù)充分的文件，以便今后開(kāi)展核動(dòng)力廠退役工作。

4主要技術(shù)要求

4.1基本安全功能

4.1.1必須保證在核動(dòng)力廠所有狀態(tài)下實(shí)現(xiàn)以下基本安全功

能：

—10—

（1）控制反應(yīng)性；

（2）排出堆芯余熱，導(dǎo)出乏燃料貯存設(shè)施所貯存燃料的熱量；

（3）包容放射性物質(zhì)、屏蔽輻射、控制放射性的計(jì)劃排放，以

及限制事故的放射性釋放。

4.1.2必須用全面、系統(tǒng)的方法來(lái)確定完成基本安全功能所必

需的安全重要物項(xiàng)，以及在核動(dòng)力廠所有狀態(tài)下用于實(shí)現(xiàn)或影響基

本安全功能的固有特性。

4.1.3必須提供對(duì)核動(dòng)力廠狀態(tài)進(jìn)行監(jiān)測(cè)的手段，以保證實(shí)現(xiàn)

所要求的安全功能。

4.2輻射防護(hù)

4.2.1設(shè)計(jì)必須保證工作人員和公眾在整個(gè)壽期內(nèi)受到的輻射

劑量，在運(yùn)行狀態(tài)下不超過(guò)劑量限值，在事故工況下不超過(guò)可接受

限值，并可合理達(dá)到的盡量低。

4.2.2設(shè)計(jì)必須實(shí)際消除可能導(dǎo)致高輻射劑量或大量放射性釋

放的核動(dòng)力廠狀態(tài)，并必須保證發(fā)生可能性較高的核動(dòng)力廠狀態(tài)沒(méi)

有或僅有微小的潛在放射性后果。

4.2.3基于輻射防護(hù)目的，必須制定與核動(dòng)力廠各類(lèi)狀態(tài)相對(duì)

應(yīng)且符合監(jiān)管要求的可接受限值。

4.3設(shè)計(jì)管理

4.3.1設(shè)計(jì)必須保證核動(dòng)力廠及其安全重要物項(xiàng)具有合適的性

能，以保證其能可靠地執(zhí)行安全功能；在設(shè)計(jì)壽期內(nèi)核動(dòng)力廠能夠

在運(yùn)行限值和條件范圍內(nèi)安全運(yùn)行，并能夠安全退役；對(duì)環(huán)境的影

—11—

響最小。

4.3.2設(shè)計(jì)必須保證滿(mǎn)足營(yíng)運(yùn)單位的安全要求，滿(mǎn)足國(guó)務(wù)院核

安全監(jiān)管部門(mén)和相關(guān)法律法規(guī)的要求，并適當(dāng)考慮營(yíng)運(yùn)單位人員的

能力與局限性以及可能影響人員行為的各種因素。必須提供充分的

設(shè)計(jì)資料，保證核動(dòng)力廠的安全運(yùn)行和維修，并允許以后能對(duì)核動(dòng)

力廠進(jìn)行修改。同時(shí)推薦可納入核動(dòng)力廠管理規(guī)程和運(yùn)行規(guī)程的實(shí)

踐（即運(yùn)行限值和條件）。

4.3.3設(shè)計(jì)必須適當(dāng)考慮其他核動(dòng)力廠在設(shè)計(jì)、建造和運(yùn)行中

獲得的相關(guān)經(jīng)驗(yàn)，以及相關(guān)的研究成果。

4.3.4設(shè)計(jì)必須適當(dāng)考慮確定論安全分析和概率論安全分析的

結(jié)果，保證已經(jīng)適當(dāng)考慮了事故的預(yù)防和事故后果的緩解。

4.3.5設(shè)計(jì)必須保證采用合適的設(shè)計(jì)措施以及運(yùn)行和退役實(shí)

踐，使產(chǎn)生和排放的放射性廢物活度和體積達(dá)到實(shí)際可行的最低水

平。

4.4縱深防御的應(yīng)用

4.4.1設(shè)計(jì)必須體現(xiàn)縱深防御?？v深防御的各層次之間必須盡

實(shí)際可能地相互獨(dú)立，避免一個(gè)層次防御的失效降低其他層次的有

效性。

4.4.2設(shè)計(jì)必須應(yīng)用縱深防御概念，提供多層次防御，預(yù)防可

能對(duì)人與環(huán)境產(chǎn)生有害影響的事故后果，并保證在防護(hù)失效時(shí)，采

取適當(dāng)措施保護(hù)人與環(huán)境，減輕事故后果。

4.4.3設(shè)計(jì)必須適當(dāng)考慮這樣的事實(shí)：當(dāng)缺少某一層次防御時(shí)，

—12—

多層次防御的存在并不能作為繼續(xù)運(yùn)行的基礎(chǔ)?？v深防御的各層次

必須總是可用的，對(duì)任何特定運(yùn)行模式下的放松都必須進(jìn)行論證。

4.4.4設(shè)計(jì)：

（1）必須設(shè)置多道實(shí)體屏障，阻止放射性物質(zhì)向環(huán)境釋放；

（2）必須采用保守的設(shè)計(jì)和高質(zhì)量的建造，以保證核動(dòng)力廠的

故障和偏離正常運(yùn)行減至最少，保證盡實(shí)際可能地預(yù)防事故，保證

核動(dòng)力廠不存在陡邊效應(yīng)；

（3）必須利用固有特性和工程設(shè)施控制核動(dòng)力廠的行為，盡可

能減少或排除那些需要啟動(dòng)安全系統(tǒng)的故障和偏離正常運(yùn)行；

（4）必須對(duì)核動(dòng)力廠提供附加控制，這些附加控制采用安全系

統(tǒng)的自動(dòng)觸發(fā)，以能夠高置信度地控制那些超出控制系統(tǒng)能力的故

障和偏離正常運(yùn)行，并使得早期階段對(duì)操縱員動(dòng)作的需求減至最少；

（5）必須提供構(gòu)筑物、系統(tǒng)和部件以及規(guī)程，以控制超出安全

系統(tǒng)能力的故障和偏離正常運(yùn)行的進(jìn)程，并盡實(shí)際可能地限制其后

果；

（6）必須提供多種手段來(lái)保證實(shí)現(xiàn)每項(xiàng)基本安全功能，從而保

證各道屏障的有效性，并減輕任何故障和偏離正常運(yùn)行的后果。

4.4.5為了貫徹縱深防御概念，設(shè)計(jì)必須盡實(shí)際可能地防止：

（1）出現(xiàn)影響實(shí)體屏障完整性的情況；

（2）一道或多道屏障失效；

（3）一道屏障因另一道屏障的失效而失效；

（4）運(yùn)行和維修差錯(cuò)產(chǎn)生有害后果的可能性。

4.4.6在核動(dòng)力廠運(yùn)行壽期內(nèi)，設(shè)計(jì)必須盡實(shí)際可能地使第一

—13—

層次防御至多第二層次防御能夠阻止可能發(fā)生的所有故障或偏離正

常運(yùn)行升級(jí)為事故工況。

4.4.7用于設(shè)計(jì)擴(kuò)展工況的安全設(shè)施（如用于減輕燃料熔化事

故后果的設(shè)施）應(yīng)盡實(shí)際可能地與安全系統(tǒng)獨(dú)立。

4.5實(shí)物保護(hù)

4.5.1必須設(shè)置實(shí)物保護(hù)措施，即核安保措施，包括實(shí)物保護(hù)

系統(tǒng)和相關(guān)管理措施，以防止、偵查和應(yīng)對(duì)涉及核材料和核動(dòng)力廠

相關(guān)設(shè)施的偷竊、蓄意破壞、未經(jīng)授權(quán)的接觸，非法轉(zhuǎn)讓或其他惡

意行為，以及防范恐怖分子獲取材料、破壞核動(dòng)力廠等。

4.5.2應(yīng)根據(jù)保護(hù)目標(biāo)的重要程度和潛在風(fēng)險(xiǎn)確定核動(dòng)力廠實(shí)

物保護(hù)的等級(jí)，并按照確定的等級(jí)進(jìn)行實(shí)物保護(hù)系統(tǒng)設(shè)計(jì)。應(yīng)合理

布置核動(dòng)力廠的控制區(qū)、保護(hù)區(qū)和要害區(qū)，實(shí)現(xiàn)分區(qū)保護(hù)，并為各

區(qū)配備相應(yīng)的設(shè)施和設(shè)備。

4.5.3實(shí)物保護(hù)系統(tǒng)必須考慮出入口控制、探測(cè)、報(bào)警、集中

控制、照明、通訊、供電和巡更等方面，并設(shè)置多重實(shí)體屏障。

4.5.4核動(dòng)力廠應(yīng)配備武警或守衛(wèi)，制定實(shí)物保護(hù)相關(guān)管理程

序，使得管理措施與技防措施有機(jī)結(jié)合，以保證實(shí)物保護(hù)系統(tǒng)的完

整、可靠與有效。

4.5.5應(yīng)對(duì)實(shí)物保護(hù)設(shè)計(jì)方案進(jìn)行風(fēng)險(xiǎn)分析和有效性評(píng)估。

4.5.6必須以統(tǒng)籌兼顧的方式設(shè)計(jì)和實(shí)施核動(dòng)力廠的核安全措

施、核安保措施及國(guó)家核材料衡算和控制體系，以免其相互制約。

—14—

4.6經(jīng)驗(yàn)證的工程實(shí)踐

4.6.1必須鑒別和評(píng)價(jià)用于核動(dòng)力廠安全重要物項(xiàng)設(shè)計(jì)準(zhǔn)則的

規(guī)范和標(biāo)準(zhǔn)，以確定其適用性、恰當(dāng)性和充分性，并根據(jù)需要進(jìn)行

補(bǔ)充或修改，以保證設(shè)計(jì)質(zhì)量與所需的安全功能相適應(yīng)。

4.6.2核動(dòng)力廠的安全重要物項(xiàng)必須是此前在相當(dāng)使用條件下

驗(yàn)證過(guò)的，否則該物項(xiàng)必須具有高質(zhì)量且其技術(shù)經(jīng)過(guò)鑒定或試驗(yàn)。

4.6.3當(dāng)引入未經(jīng)驗(yàn)證的設(shè)計(jì)或設(shè)施，或存在偏離已有工程實(shí)

踐的情況時(shí)，必須借助適當(dāng)?shù)闹С中匝芯坑?jì)劃、特定驗(yàn)收準(zhǔn)則的性

能試驗(yàn)，或通過(guò)其他相關(guān)應(yīng)用中獲得的運(yùn)行經(jīng)驗(yàn)的檢驗(yàn)，來(lái)證明其

安全性是合適的。新的設(shè)計(jì)、設(shè)施或?qū)嵺`必須在投入使用前經(jīng)過(guò)充

分的試驗(yàn)，并在使用中進(jìn)行監(jiān)測(cè)，以驗(yàn)證達(dá)到了預(yù)期效果。

4.7安全評(píng)價(jià)

4.7.1必須在核動(dòng)力廠的整個(gè)設(shè)計(jì)過(guò)程中進(jìn)行全面的確定論安

全評(píng)價(jià)和概率論安全評(píng)價(jià)，以保證在核動(dòng)力廠壽期內(nèi)的各個(gè)階段滿(mǎn)

足全部設(shè)計(jì)安全要求，并確認(rèn)在竣工、運(yùn)行和修改時(shí)交付的設(shè)計(jì)滿(mǎn)

足制造和建造的要求。

4.7.2設(shè)計(jì)過(guò)程中必須盡早開(kāi)展安全評(píng)價(jià)。隨著設(shè)計(jì)和確認(rèn)性

分析活動(dòng)之間的不斷迭代，安全評(píng)價(jià)的范圍和詳細(xì)程度隨著設(shè)計(jì)計(jì)

劃的進(jìn)展不斷地?cái)U(kuò)大和提高。

4.7.3必須將安全評(píng)價(jià)形成文件以便于獨(dú)立評(píng)估。

4.8便于建造的要求

4.8.1核動(dòng)力廠安全重要物項(xiàng)的設(shè)計(jì)必須使其能夠按照確定的

流程進(jìn)行制造、建造、裝配和安裝，以保證滿(mǎn)足設(shè)計(jì)規(guī)范和所要求

—15—

的安全水平。

4.8.2核動(dòng)力廠的建造和運(yùn)行，必須適當(dāng)考慮從其他類(lèi)似核動(dòng)

力廠及其相關(guān)構(gòu)筑物、系統(tǒng)和部件建造中獲得的相關(guān)經(jīng)驗(yàn)。如果采

用其他相關(guān)工業(yè)的良好實(shí)踐，則必須表明其適用于核動(dòng)力廠。

4.9放射性廢物管理和退役

4.9.1在設(shè)計(jì)階段，必須專(zhuān)門(mén)考慮便于核動(dòng)力廠放射性廢物管

理以及核動(dòng)力廠退役和拆除的特性。

4.9.2在設(shè)計(jì)中必須適當(dāng)考慮：

（1）材料的選取，以使放射性廢物量盡實(shí)際可能地少，并便于

去污；

（2）必要的可達(dá)性和可操作性；

（3）管理（例如分離或分揀、表征、分類(lèi)、預(yù)處理、處理和整

備）和貯存核動(dòng)力廠在運(yùn)行過(guò)程中產(chǎn)生的放射性廢物所需的設(shè)施，

以及管理核動(dòng)力廠在退役時(shí)所產(chǎn)生的放射性廢物的措施。

5核動(dòng)力廠總體設(shè)計(jì)

5.1總的設(shè)計(jì)基準(zhǔn)

5.1.1核動(dòng)力廠狀態(tài)分類(lèi)

5.1.1.1必須確定核動(dòng)力廠狀態(tài)并主要按發(fā)生頻率將核動(dòng)力廠

狀態(tài)分成有限的幾類(lèi)。

5.1.1.2核動(dòng)力廠狀態(tài)通常包括：

（1）正常運(yùn)行；

—16—

（2）預(yù)計(jì)運(yùn)行事件，即在核動(dòng)力廠運(yùn)行壽期內(nèi)預(yù)計(jì)會(huì)發(fā)生的事

件；

（3）設(shè)計(jì)基準(zhǔn)事故；

（4）設(shè)計(jì)擴(kuò)展工況，包括堆芯熔化事故。

5.1.1.3必須為每類(lèi)核動(dòng)力廠狀態(tài)確定準(zhǔn)則，使得發(fā)生頻率高

的核動(dòng)力廠狀態(tài)必須沒(méi)有或僅有微小的放射性后果，而可能導(dǎo)致嚴(yán)

重后果的核動(dòng)力廠狀態(tài)的發(fā)生頻率必須很低。

5.1.2安全重要物項(xiàng)的設(shè)計(jì)基準(zhǔn)

5.1.2.1安全重要物項(xiàng)的設(shè)計(jì)基準(zhǔn)，必須針對(duì)有關(guān)的運(yùn)行狀態(tài)、

事故工況以及由內(nèi)部和外部危險(xiǎn)導(dǎo)致的工況，詳細(xì)說(shuō)明其必需的能

力、可靠性和功能，以在核動(dòng)力廠整個(gè)壽期內(nèi)滿(mǎn)足特定的驗(yàn)收準(zhǔn)則。

5.1.2.2必須系統(tǒng)地論證安全重要物項(xiàng)設(shè)計(jì)基準(zhǔn)的合理性，并

形成文件。這些文件必須能為營(yíng)運(yùn)單位安全運(yùn)行核動(dòng)力廠提供必要

的信息。

5.1.3設(shè)計(jì)限值

針對(duì)運(yùn)行狀態(tài)和事故工況，必須為安全重要物項(xiàng)規(guī)定一套相應(yīng)

的設(shè)計(jì)限值。設(shè)計(jì)限值必須符合核安全法規(guī)和相關(guān)的監(jiān)管要求。

5.1.4假設(shè)始發(fā)事件

5.1.4.1必須使用系統(tǒng)化的方法確定一套全面的假設(shè)始發(fā)事件，

以在設(shè)計(jì)中考慮所有可預(yù)見(jiàn)的具有嚴(yán)重后果的事件和發(fā)生頻率高的

事件。

5.1.4.2必須在工程判斷、確定論和概率論評(píng)價(jià)相結(jié)合的基礎(chǔ)

—17—

上確定假設(shè)始發(fā)事件。必須論證確定論安全分析和概率論安全分析

的應(yīng)用范圍，以表明已考慮所有可預(yù)見(jiàn)的事件。

5.1.4.3假設(shè)始發(fā)事件必須包括在各種功率及停堆狀態(tài)下，所

有可預(yù)見(jiàn)的核動(dòng)力廠構(gòu)筑物、系統(tǒng)和部件失效、人員差錯(cuò)，以及內(nèi)

部和外部危險(xiǎn)可能引起的失效。

5.1.4.4必須對(duì)假設(shè)始發(fā)事件進(jìn)行分析，以確定為執(zhí)行所要求

的安全功能所必需的預(yù)防和緩解措施。

5.1.4.5核動(dòng)力廠對(duì)任何假設(shè)始發(fā)事件的預(yù)期響應(yīng)，必須是下

列可合理達(dá)到的情況（按優(yōu)先順序）：

（1）依靠核動(dòng)力廠的固有特性，使假設(shè)始發(fā)事件不會(huì)對(duì)安全產(chǎn)

生重大影響，或只使核動(dòng)力廠產(chǎn)生趨向于安全狀態(tài)的變化；

（2）發(fā)生假設(shè)始發(fā)事件后，可借助非能動(dòng)安全設(shè)施或在此狀態(tài)

下連續(xù)運(yùn)行的系統(tǒng)的作用，以控制該事件，使核動(dòng)力廠趨于安全；

（3）發(fā)生假設(shè)始發(fā)事件后，可借助為響應(yīng)該事件而必須投入運(yùn)

行的那些安全系統(tǒng)的作用，使核動(dòng)力廠趨于安全；

（4）發(fā)生假設(shè)始發(fā)事件后，可借助執(zhí)行專(zhuān)門(mén)規(guī)程使核動(dòng)力廠趨

于安全或使核動(dòng)力廠狀態(tài)得到控制。

5.1.4.6在核動(dòng)力廠總體安全評(píng)價(jià)和詳細(xì)分析中，用于確定安

全重要物項(xiàng)性能要求的假設(shè)始發(fā)事件，必須劃分成若干具有代表性

的事件序列。這些具有代表性的事件序列包絡(luò)所有同類(lèi)事件，并為

安全重要物項(xiàng)的設(shè)計(jì)和運(yùn)行限值提供基準(zhǔn)。

5.1.4.7在設(shè)計(jì)中從已確定的假設(shè)始發(fā)事件清單中排除某一假

—18—

設(shè)始發(fā)事件，則必須提供技術(shù)論證。

5.1.4.8對(duì)于需要立即采取可靠響應(yīng)行動(dòng)的假設(shè)始發(fā)事件，設(shè)

計(jì)必須有自動(dòng)安全動(dòng)作來(lái)啟動(dòng)所需的安全系統(tǒng)，以防止發(fā)展為更嚴(yán)

重的工況。

5.1.4.9對(duì)于不需要立即采取響應(yīng)行動(dòng)的假設(shè)始發(fā)事件，可允

許依靠手動(dòng)啟動(dòng)系統(tǒng)或操縱員的其他動(dòng)作。從探測(cè)到異常事件和事

故到采取行動(dòng)之間必須有足夠的時(shí)間，以及有適當(dāng)?shù)囊?guī)程（如管理

規(guī)程、運(yùn)行規(guī)程和應(yīng)急規(guī)程），以保證這些行動(dòng)的執(zhí)行。必須對(duì)因

操縱員錯(cuò)誤操作或錯(cuò)誤診斷而導(dǎo)致事故序列惡化的可能性作出評(píng)

價(jià)。

5.1.4.10如果假設(shè)始發(fā)事件發(fā)生后，需要操縱員的行動(dòng)來(lái)診斷

核動(dòng)力廠的狀態(tài)并使核動(dòng)力廠及時(shí)進(jìn)入長(zhǎng)期穩(wěn)定停堆工況，則必須

設(shè)置適當(dāng)?shù)膬x表以有利于監(jiān)測(cè)核動(dòng)力廠的狀態(tài)，同時(shí)設(shè)置適當(dāng)?shù)目?/p>

制措施以便于設(shè)備的手動(dòng)操作。

5.1.4.11設(shè)計(jì)必須確定必要的設(shè)備及所需的規(guī)程，以保持對(duì)核

動(dòng)力廠的控制并減輕喪失控制的后果。

5.1.4.12手動(dòng)響應(yīng)和恢復(fù)過(guò)程所需的任何設(shè)備，必須放置在最

合適的位置，以保證需要時(shí)可用和在預(yù)期環(huán)境條件下允許人員安全

可達(dá)。

5.1.5內(nèi)部和外部危險(xiǎn)

5.1.5.1必須識(shí)別所有可預(yù)見(jiàn)的內(nèi)部和外部危險(xiǎn)，包括潛在的

可能直接或間接影響核動(dòng)力廠安全的人為事件，并評(píng)價(jià)其影響。在

—19—

核動(dòng)力廠布置的設(shè)計(jì)和確定有關(guān)的安全重要物項(xiàng)的設(shè)計(jì)中使用的假

設(shè)始發(fā)事件及其產(chǎn)生的荷載時(shí)，都必須考慮內(nèi)部和外部危險(xiǎn)的影響。

5.1.5.2設(shè)計(jì)和布置安全重要物項(xiàng)，必須考慮其安全重要性，

使其能夠承受內(nèi)部和外部危險(xiǎn)的影響，或防御內(nèi)部和外部危險(xiǎn)及其

產(chǎn)生的共因失效，同時(shí)適當(dāng)考慮對(duì)安全的其他影響。

5.1.5.3對(duì)多機(jī)組廠址，設(shè)計(jì)必須適當(dāng)考慮特定危險(xiǎn)同時(shí)影響

廠址上若干或所有機(jī)組的可能性。

5.1.5.4設(shè)計(jì)必須適當(dāng)考慮內(nèi)部危險(xiǎn)，比如火災(zāi)、爆炸、水淹、

飛射物、結(jié)構(gòu)坍塌和重物墜落、管道甩擊、噴射流沖擊、以及來(lái)自

破損系統(tǒng)或現(xiàn)場(chǎng)其他設(shè)施的流體釋放。必須提供適當(dāng)?shù)念A(yù)防和緩解

措施，以保證安全不受到損害。

5.1.5.5設(shè)計(jì)必須適當(dāng)考慮在廠址評(píng)價(jià)過(guò)程中識(shí)別的自然和人

為外部事件（即源于廠外的事件）。在假定可能的危險(xiǎn)時(shí)，必須考

慮其發(fā)生的原因和可能性。在短期內(nèi)，核動(dòng)力廠的安全不能依賴(lài)于

諸如電力供應(yīng)和消防服務(wù)等廠外服務(wù)。設(shè)計(jì)必須適當(dāng)考慮廠址的特

定情況，以確定廠外服務(wù)就位需要的最大延遲時(shí)間。

5.1.5.6必須采取措施，使得設(shè)計(jì)基準(zhǔn)外部事件發(fā)生時(shí)，包含

有安全重要物項(xiàng)（包括動(dòng)力電纜和控制電纜）的廠房與其他核動(dòng)力

廠結(jié)構(gòu)之間的相互影響最小。

5.1.5.7核動(dòng)力廠設(shè)計(jì)必須提供適當(dāng)?shù)脑Ａ?，在設(shè)計(jì)基準(zhǔn)外部

危險(xiǎn)（由廠址危險(xiǎn)性評(píng)價(jià)確定的）發(fā)生時(shí)保護(hù)安全重要物項(xiàng)，并避

免產(chǎn)生陡邊效應(yīng)。

—20—

5.1.5.8核動(dòng)力廠設(shè)計(jì)還必須提供適當(dāng)?shù)脑Ａ浚诔O(shè)計(jì)基準(zhǔn)

自然災(zāi)害事件發(fā)生時(shí)，保護(hù)用于防止早期放射性釋放或大量放射性

釋放所需的物項(xiàng)。

5.1.6設(shè)計(jì)規(guī)范

5.1.6.1必須規(guī)定核動(dòng)力廠安全重要物項(xiàng)的設(shè)計(jì)規(guī)范，并必須

使其符合核安全法規(guī)和相關(guān)的監(jiān)管要求，以及經(jīng)驗(yàn)證的工程實(shí)踐，

同時(shí)適當(dāng)考慮其與核動(dòng)力廠技術(shù)的相關(guān)性。

5.1.6.2設(shè)計(jì)必須采用保證穩(wěn)健性設(shè)計(jì)的方法，必須遵循經(jīng)驗(yàn)

證的工程實(shí)踐，以保證在所有運(yùn)行狀態(tài)和事故工況下執(zhí)行基本安全

功能。

5.1.7安全運(yùn)行的運(yùn)行限值和條件

5.1.7.1設(shè)計(jì)必須為核動(dòng)力廠安全運(yùn)行確定一套運(yùn)行限值和條

件。

5.1.7.2核動(dòng)力廠設(shè)計(jì)中確定的要求，以及運(yùn)行限值和條件必

須包括：

（1）安全限值；

（2）安全系統(tǒng)整定值；

（3）正常運(yùn)行限值和條件；

（4）工藝變量和其他重要參數(shù)的控制系統(tǒng)限制和規(guī)程限制；

（5）對(duì)核動(dòng)力廠的監(jiān)督、維修、試驗(yàn)和檢查的要求，以保證各

構(gòu)筑物、系統(tǒng)和部件執(zhí)行設(shè)計(jì)中預(yù)定的功能，并使輻射風(fēng)險(xiǎn)保持在

可合理達(dá)到的盡量低的水平；

—21—

（6）規(guī)定的運(yùn)行配置，包括在安全系統(tǒng)或安全相關(guān)系統(tǒng)不可用

時(shí)的運(yùn)行限制；

（7）行動(dòng)說(shuō)明，包括在響應(yīng)偏離運(yùn)行限值和條件時(shí)所采取行動(dòng)

的完成時(shí)間。

5.1.8設(shè)計(jì)基準(zhǔn)事故

5.1.8.1必須根據(jù)假設(shè)始發(fā)事件清單得出一套設(shè)計(jì)基準(zhǔn)事故，

用于設(shè)定核動(dòng)力廠需承受的邊界條件，以保證滿(mǎn)足輻射防護(hù)限值。

5.1.8.2必須使用設(shè)計(jì)基準(zhǔn)事故來(lái)確定控制設(shè)計(jì)基準(zhǔn)事故所必

需的安全系統(tǒng)和其他安全重要物項(xiàng)的設(shè)計(jì)基準(zhǔn)，包括性能準(zhǔn)則等，

目的是使核動(dòng)力廠返回到安全狀態(tài)和減輕事故后果。

5.1.8.3針對(duì)設(shè)計(jì)基準(zhǔn)事故工況，設(shè)計(jì)必須使核動(dòng)力廠關(guān)鍵參

數(shù)不超出規(guī)定的設(shè)計(jì)限值?；灸繕?biāo)是控制所有的設(shè)計(jì)基準(zhǔn)事故以

使廠內(nèi)、外沒(méi)有或僅有微小的放射性后果，并且無(wú)需采取任何場(chǎng)外

防護(hù)行動(dòng)。

5.1.8.4必須用保守的方法來(lái)分析設(shè)計(jì)基準(zhǔn)事故。該方法包括

在分析中假定安全系統(tǒng)的某些故障模式，規(guī)定設(shè)計(jì)準(zhǔn)則，采用保守

的假設(shè)、模型和輸入?yún)?shù)等。

5.1.9設(shè)計(jì)擴(kuò)展工況

5.1.9.1必須在工程判斷、確定論和概率論評(píng)價(jià)的基礎(chǔ)上得出

一套設(shè)計(jì)擴(kuò)展工況，目的是增強(qiáng)核動(dòng)力廠應(yīng)對(duì)比設(shè)計(jì)基準(zhǔn)事故更嚴(yán)

重的或包含多重故障的事故的承受能力，避免不可接受的放射性后

果，以進(jìn)一步改進(jìn)核動(dòng)力廠的安全性。設(shè)計(jì)必須考慮這些設(shè)計(jì)擴(kuò)展

—22—

工況來(lái)確定額外的事故情景，并針對(duì)這類(lèi)事故制定切實(shí)可行的預(yù)防

和緩解措施。

5.1.9.2必須對(duì)核動(dòng)力廠開(kāi)展設(shè)計(jì)擴(kuò)展工況分析。考慮設(shè)計(jì)擴(kuò)

展工況的主要技術(shù)目標(biāo)是預(yù)防核動(dòng)力廠發(fā)生超過(guò)設(shè)計(jì)基準(zhǔn)事故的事

故工況，或合理可行地減輕這類(lèi)事故工況的后果。這可能會(huì)要求增

設(shè)附加的用于設(shè)計(jì)擴(kuò)展工況的安全設(shè)施，或擴(kuò)展安全系統(tǒng)的能力，

來(lái)預(yù)防嚴(yán)重事故的發(fā)生或減輕嚴(yán)重事故的后果，或保持安全殼的完

整性。這些附加的用于設(shè)計(jì)擴(kuò)展工況的安全設(shè)施或能力擴(kuò)展的安全

系統(tǒng)，必須保證具有控制事故工況的能力，這些事故工況可能導(dǎo)致

安全殼內(nèi)存在大量放射性物質(zhì)（包括來(lái)自堆芯嚴(yán)重?fù)p傷所釋放的放

射性物質(zhì)）。必須保證核動(dòng)力廠能進(jìn)入可控狀態(tài)并維持安全殼功能，

從而能實(shí)際消除導(dǎo)致早期放射性釋放或大量放射性釋放的核動(dòng)力廠

狀態(tài)發(fā)生的可能性。相關(guān)的分析可采用最佳估算方法。

5.1.9.3必須使用設(shè)計(jì)擴(kuò)展工況來(lái)確定安全設(shè)施和其他安全重

要物項(xiàng)的設(shè)計(jì)規(guī)格書(shū)，這些設(shè)施和物項(xiàng)用于預(yù)防此類(lèi)工況的發(fā)生或

在此類(lèi)工況發(fā)生后用于控制和減輕其后果。

5.1.9.4所開(kāi)展的分析必須包括確定用于或能夠預(yù)防設(shè)計(jì)擴(kuò)展

工況并減輕其后果的設(shè)施。這些設(shè)施需滿(mǎn)足如下要求：

（1）必須盡實(shí)際可能與發(fā)生頻率更高的事故中使用的設(shè)施保持

獨(dú)立；

（2）必須能在設(shè)計(jì)擴(kuò)展工況對(duì)應(yīng)的環(huán)境條件中執(zhí)行預(yù)期功能；

（3）必須有與要求其實(shí)現(xiàn)的功能相符的可靠性。

—23—

5.1.9.5安全殼及其安全設(shè)施必須能夠承受包括堆芯熔化在內(nèi)

的極端事故情景。必須采用工程判斷和概率安全評(píng)價(jià)結(jié)果來(lái)選擇這

些事故情景。

5.1.9.6設(shè)計(jì)必須做到實(shí)際消除可能導(dǎo)致早期放射性釋放或大

量放射性釋放的核動(dòng)力廠工況發(fā)生的可能性。

5.1.9.7對(duì)于設(shè)計(jì)擴(kuò)展工況，保護(hù)公眾所采取的防護(hù)行動(dòng)在持

續(xù)時(shí)間和范圍上必須是有限的，并必須有足夠的時(shí)間來(lái)采取這些防

護(hù)行動(dòng)。

5.1.10事件組合

如果由工程判斷、確定論安全分析和概率論安全分析的結(jié)果表

明事件組合將可能導(dǎo)致預(yù)計(jì)運(yùn)行事件或事故工況，則必須主要根據(jù)

其發(fā)生的可能性，將這些事件組合納入設(shè)計(jì)基準(zhǔn)事故或設(shè)計(jì)擴(kuò)展工

況。某些事件可能是其他事件的后果，例如地震后的水淹。這種繼

發(fā)效應(yīng)應(yīng)視為初始假設(shè)始發(fā)事件的一部分。

5.1.11商用飛機(jī)的惡意撞擊

5.1.11.1如果核動(dòng)力廠所處的地形條件使其有可能遭受商用

飛機(jī)的惡意撞擊，則設(shè)計(jì)上應(yīng)考慮這種撞擊的影響。

5.1.11.2應(yīng)合理選定用于評(píng)價(jià)撞擊影響的商用飛機(jī)的機(jī)型，并

根據(jù)這種機(jī)型起降的機(jī)場(chǎng)與核動(dòng)力廠的相對(duì)距離，來(lái)確定可能的飛

機(jī)燃料裝載量。

5.1.11.3可根據(jù)核動(dòng)力廠所處的地形條件和廠房布置，確定可

能的撞擊角度和速度，并采用現(xiàn)實(shí)模型來(lái)評(píng)價(jià)和確定核動(dòng)力廠抗商

—24—

用飛機(jī)撞擊的措施。

5.1.11.4評(píng)價(jià)結(jié)果應(yīng)表明，設(shè)計(jì)可以維持反應(yīng)堆堆芯的冷卻或

安全殼的完整性，以及乏燃料的冷卻或乏燃料水池的完整性。

5.2安全系統(tǒng)的獨(dú)立性

5.2.1必須通過(guò)實(shí)體隔離、電氣隔離、功能獨(dú)立和通訊（數(shù)據(jù)

傳輸）獨(dú)立等適當(dāng)手段，防止安全系統(tǒng)之間或一個(gè)系統(tǒng)的冗余組成

部分之間發(fā)生相互干擾。

5.2.2在核動(dòng)力廠安全系統(tǒng)中相互冗余的設(shè)備（包括電纜和電

纜管道）必須易于識(shí)別。

5.3安全分級(jí)

5.3.1必須識(shí)別所有安全重要物項(xiàng)，并根據(jù)其功能和安全重要

性對(duì)其進(jìn)行分級(jí)。

5.3.2劃分安全重要物項(xiàng)的安全重要性的方法，必須主要基于

確定論方法，并適當(dāng)輔以概率論方法。使用概率論方法時(shí)，應(yīng)考慮

以下因素：

（1）該物項(xiàng)要執(zhí)行的安全功能；

（2）未能執(zhí)行其安全功能的后果；

（3）需要該物項(xiàng)執(zhí)行某一安全功能的可能性；

（4）假設(shè)始發(fā)事件發(fā)生后，需要該物項(xiàng)執(zhí)行某一安全功能的時(shí)

刻或持續(xù)時(shí)間。

5.3.3設(shè)計(jì)必須防止物項(xiàng)之間的相互影響，以保證劃分為較低

級(jí)別的物項(xiàng)中的任何故障不會(huì)蔓延到劃分為較高級(jí)別的物項(xiàng)，從而

—25—

保證安全功能的執(zhí)行。

5.3.4對(duì)執(zhí)行多個(gè)功能的設(shè)備，必須按照其執(zhí)行的最重要功能

劃分其安全等級(jí)。

5.4安全重要物項(xiàng)的可靠性

5.4.1安全重要物項(xiàng)的可靠性必須與其安全重要性相適應(yīng)。

5.4.2安全重要物項(xiàng)的設(shè)計(jì)，必須保證設(shè)備可鑒定、采購(gòu)、安

裝、調(diào)試、操作及維修，使其能夠承受該物項(xiàng)設(shè)計(jì)基準(zhǔn)中規(guī)定的所

有工況，并具有足夠的可靠性和有效性。

5.4.3選擇設(shè)備時(shí)必須考慮到誤動(dòng)作與不安全的故障模式。必

須優(yōu)先選擇具有可預(yù)見(jiàn)的和已揭示的故障模式的設(shè)備，且該設(shè)備便

于修理或更換。

5.4.4共因故障

設(shè)備的設(shè)計(jì)必須適當(dāng)考慮安全重要物項(xiàng)發(fā)生共因故障的可能

性，以確定應(yīng)該如何應(yīng)用多樣性、多重性、獨(dú)立性原則來(lái)實(shí)現(xiàn)所需

的可靠性。

5.4.5單一故障準(zhǔn)則

5.4.5.1必須對(duì)核動(dòng)力廠設(shè)計(jì)中所包括的每個(gè)安全組合都應(yīng)用

單一故障準(zhǔn)則。

5.4.5.2當(dāng)把單一故障準(zhǔn)則應(yīng)用于一個(gè)安全組合或安全系統(tǒng)

時(shí)，必須將誤動(dòng)作視為故障的一種模式。

5.4.5.3不符合單一故障準(zhǔn)則的情況必須是極個(gè)別的，并必須

在安全分析中明確證明是正當(dāng)?shù)摹?/p>

—26—

5.4.5.4設(shè)計(jì)必須適當(dāng)考慮非能動(dòng)部件的故障，除非能夠在具

有高置信度的單一故障分析中證實(shí)：該部件的故障極不可能發(fā)生，

并保持其功能不受到假設(shè)始發(fā)事件的影響。

5.4.6故障安全設(shè)計(jì)

必須恰當(dāng)?shù)乜紤]故障安全設(shè)計(jì)原則，并貫徹到核動(dòng)力廠安全重

要系統(tǒng)和部件的設(shè)計(jì)中。在適用時(shí)，應(yīng)將安全重要系統(tǒng)和部件設(shè)計(jì)

為故障安全，使其自身的故障或支持設(shè)施的故障不妨礙預(yù)定安全功

能的執(zhí)行。

5.4.7支持系統(tǒng)和輔助系統(tǒng)

5.4.7.1支持系統(tǒng)和輔助系統(tǒng)用于保證構(gòu)成安全重要系統(tǒng)部分

的設(shè)備可運(yùn)行性時(shí)，必須相應(yīng)地分級(jí)。

5.4.7.2支持系統(tǒng)和輔助系統(tǒng)的可靠性、多重性、多樣性和獨(dú)

立性，以及用于其隔離和功能試驗(yàn)的措施，必須與其所支持的系統(tǒng)

的安全重要性相適應(yīng)。

5.4.7.3不允許支持系統(tǒng)和輔助系統(tǒng)的任一失效，同時(shí)影響安

全系統(tǒng)的多重部件或執(zhí)行多樣化安全功能的安全系統(tǒng)。

5.5核動(dòng)力廠全壽期內(nèi)的安全運(yùn)行設(shè)計(jì)

5.5.1安全重要物項(xiàng)的標(biāo)定、試驗(yàn)、維護(hù)、修理、更換、檢查

和監(jiān)測(cè)

5.5.1.1設(shè)計(jì)應(yīng)保證安全重要物項(xiàng)能夠進(jìn)行標(biāo)定、試驗(yàn)、維護(hù)、

修理或更換、檢查和監(jiān)測(cè)，以在設(shè)計(jì)基準(zhǔn)規(guī)定的所有條件下保證其

執(zhí)行功能的能力并保持功能的完整性。

—27—

5.5.1.2核動(dòng)力廠布置必須便于執(zhí)行標(biāo)定、試驗(yàn)、維護(hù)、修理

或更換、檢查和監(jiān)測(cè)等活動(dòng)。這些活動(dòng)能夠按照相關(guān)的規(guī)范和標(biāo)準(zhǔn)

執(zhí)行，并必須與所執(zhí)行的安全功能的重要性相一致，且工作人員不

致于受到過(guò)量的照射。

5.5.1.3在功率運(yùn)行期間，設(shè)計(jì)必須使安全重要物項(xiàng)在進(jìn)行標(biāo)

定、試驗(yàn)或維護(hù)時(shí)各系統(tǒng)安全功能的可靠性沒(méi)有顯著降低。設(shè)計(jì)必

須考慮在停堆期間執(zhí)行安全重要物項(xiàng)標(biāo)定、試驗(yàn)、維護(hù)、修理、更

換或檢查的有關(guān)措施，以便于在開(kāi)展這些活動(dòng)時(shí)相關(guān)物項(xiàng)所執(zhí)行的

安全功能的可靠性沒(méi)有顯著降低。

5.5.1.4如果某項(xiàng)安全重要物項(xiàng)的設(shè)計(jì)不能滿(mǎn)足試驗(yàn)、檢查或

監(jiān)測(cè)的要求，必須采取下列方法以說(shuō)明其正當(dāng)性：

（1）指定其他經(jīng)過(guò)驗(yàn)證的替代方法和（或）間接方法，如監(jiān)視

參考物項(xiàng)的試驗(yàn)，或使用經(jīng)過(guò)驗(yàn)證和確認(rèn)的計(jì)算方法；

（2）采用保守的安全裕度或其他適當(dāng)?shù)念A(yù)防措施，以應(yīng)對(duì)可能

預(yù)計(jì)不到的故障。

5.5.2安全重要物項(xiàng)的鑒定

5.5.2.1必須采用安全重要物項(xiàng)的鑒定程序來(lái)確認(rèn)核動(dòng)力廠安

全重要物項(xiàng)，這些物項(xiàng)能夠在其整個(gè)設(shè)計(jì)壽期內(nèi)以及支配性環(huán)境條

件下執(zhí)行其必要的預(yù)期功能，這里考慮的環(huán)境條件包括核動(dòng)力廠的

維修和試驗(yàn)。

5.5.2.2在核動(dòng)力廠安全重要物項(xiàng)的鑒定程序中，所考慮的環(huán)

境條件必須包括核動(dòng)力廠設(shè)計(jì)基準(zhǔn)中所預(yù)期的周?chē)h(huán)境條件的變

—28—

化。

5.5.2.3安全重要物項(xiàng)鑒定程序必須考慮到安全重要物項(xiàng)預(yù)期

壽期內(nèi)由各種環(huán)境因素（如振動(dòng)、輻照、濕度、溫度）引起的老化

效應(yīng)。對(duì)于易遭受到外部自然事件的影響并需要在這種事件中及事

件后執(zhí)行其安全功能的安全重要物項(xiàng)，鑒定程序必須通過(guò)試驗(yàn)、分

析或者兩者的結(jié)合的方式，盡可能地復(fù)現(xiàn)安全重要物項(xiàng)所經(jīng)受的工

況。

5.5.2.4在鑒定程序中必須考慮合理可預(yù)計(jì)的環(huán)境條件，以及

可能由特定運(yùn)行工況（如安全殼泄漏率定期試驗(yàn)）引起的異常環(huán)境

條件。在可能的范圍內(nèi)，應(yīng)該以合理的可信度表明在嚴(yán)重事故中必

須運(yùn)行的設(shè)備（如某些儀表）能夠達(dá)到設(shè)計(jì)要求。

5.5.3老化管理

5.5.3.1必須確定核動(dòng)力廠安全重要物項(xiàng)的設(shè)計(jì)壽命。設(shè)計(jì)必

須提供適當(dāng)?shù)脑６龋钥紤]有關(guān)老化、中子輻照脆化和磨損機(jī)理，

以及與服役年限有關(guān)的性能劣化的可能性，從而保證安全重要物項(xiàng)

在其整個(gè)設(shè)計(jì)壽期內(nèi)執(zhí)行所必需的安全功能的能力。

5.5.3.2必須考慮到在所有正常運(yùn)行狀態(tài)，包括試驗(yàn)、維修和

維修停役，以及在假設(shè)始發(fā)事件中及其后的核動(dòng)力廠狀態(tài)下的老化

和磨損效應(yīng)。

5.5.3.3必須采取監(jiān)測(cè)、試驗(yàn)、取樣和檢查措施，以評(píng)價(jià)設(shè)計(jì)

階段預(yù)計(jì)的老化機(jī)理，以及識(shí)別在使用中可能發(fā)生的未預(yù)期到的行

為或性能劣化。

—29—

5.6人因

5.6.1優(yōu)化運(yùn)行人員效能的設(shè)計(jì)

5.6.1.1必須在核動(dòng)力廠設(shè)計(jì)過(guò)程初期就系統(tǒng)地考慮人因（包

括人機(jī)接口），并貫徹于設(shè)計(jì)全過(guò)程。

5.6.1.2必須規(guī)定運(yùn)行人員的最低配置，以滿(mǎn)足核動(dòng)力廠進(jìn)入

安全狀態(tài)所需全部同步操作的要求。

5.6.1.3應(yīng)盡實(shí)際可能地促使有類(lèi)似核動(dòng)力廠運(yùn)行經(jīng)驗(yàn)的運(yùn)行

人員積極參與設(shè)計(jì)過(guò)程，以保證在設(shè)計(jì)過(guò)程中盡早考慮未來(lái)的運(yùn)行

和設(shè)備維護(hù)的需求。

5.6.1.4設(shè)計(jì)必須支持運(yùn)行人員履行職責(zé)和執(zhí)行任務(wù)，并必須

限制操作差錯(cuò)的可能性及其對(duì)安全造成的影響。設(shè)計(jì)過(guò)程必須適當(dāng)

考慮核動(dòng)力廠布置、設(shè)備布置、以及包括維修程序和檢查程序在內(nèi)

的有關(guān)程序，以便于在核動(dòng)力廠各種狀態(tài)下運(yùn)行人員和核動(dòng)力廠之

間的互動(dòng)。

5.6.1.5人機(jī)接口的設(shè)計(jì)必須能按照決策所需時(shí)間和行動(dòng)所需

時(shí)間給操縱員提供全面且易于管理的信息。向操縱員提供的用于決

策和行動(dòng)所需的信息必須簡(jiǎn)潔明了且無(wú)歧義。

5.6.1.6必須向操縱員提供能夠進(jìn)行下列工作的必要信息：

（1）評(píng)估核動(dòng)力廠在任何工況下的總體狀態(tài)；

（2）在系統(tǒng)和設(shè)備規(guī)定的參數(shù)限值（運(yùn)行限值和條件）內(nèi)運(yùn)行

核動(dòng)力廠；

（3）確認(rèn)啟動(dòng)安全系統(tǒng)所需的安全動(dòng)作在需要時(shí)自動(dòng)觸發(fā)，且

—30—

相關(guān)系統(tǒng)按預(yù)期要求執(zhí)行功能；

（4）確定手動(dòng)啟動(dòng)特定安全動(dòng)作的必要性和時(shí)間。

5.6.1.7在適當(dāng)考慮可用時(shí)間、預(yù)期工況和操縱員心理壓力的

情況下，設(shè)計(jì)必須有利于操縱員動(dòng)作的成功執(zhí)行。

5.6.1.8必須把對(duì)操縱員在短時(shí)間內(nèi)進(jìn)行干預(yù)的需求降至最

低，并必須證明操縱員有足夠的時(shí)間作出決策和采取行動(dòng)。

5.6.1.9設(shè)計(jì)必須能夠保證當(dāng)某一影響核動(dòng)力廠的事件發(fā)生

后，控制室或輔助控制室以及通往輔助控制室的通道的環(huán)境條件不

會(huì)損害運(yùn)行人員的防護(hù)和安全。

5.6.1.10運(yùn)行人員的工作場(chǎng)所和工作環(huán)境的設(shè)計(jì)必須符合工

效學(xué)概念。

5.6.1.11在適當(dāng)階段必須對(duì)人因有關(guān)的特性進(jìn)行驗(yàn)證和確認(rèn)

（包括使用模擬機(jī)），以確認(rèn)操縱員確需采取的動(dòng)作，并確認(rèn)這些

動(dòng)作能夠正確執(zhí)行。

5.7其他設(shè)計(jì)考慮

5.7.1多機(jī)組核動(dòng)力廠的安全系統(tǒng)和用于設(shè)計(jì)擴(kuò)展工況的安全

設(shè)施

5.7.1.1多機(jī)組核動(dòng)力廠中的每臺(tái)機(jī)組，必須具備各自的安全

系統(tǒng)和用于設(shè)計(jì)擴(kuò)展工況的安全設(shè)施。

5.7.1.2為進(jìn)一步提高安全性，設(shè)計(jì)應(yīng)適當(dāng)考慮允許多機(jī)組核

動(dòng)力廠各機(jī)組間相互連接的手段。

5.7.2含有易裂變或放射性物質(zhì)的系統(tǒng)

—31—

核動(dòng)力廠中所有可能含有易裂變或放射性物質(zhì)的系統(tǒng)的設(shè)計(jì)，

必須能夠：防止可能導(dǎo)致放射性不受控制地向環(huán)境釋放的事件發(fā)生；

防止出現(xiàn)意外臨界和過(guò)熱；保證放射性釋放量在正常運(yùn)行工況下保

持在允許的排放限值內(nèi)，在事故工況下保持在可接受的限值內(nèi)，并

可合理達(dá)到的盡量低；便于減輕事故的放射性后果。

5.7.3用于熱電聯(lián)產(chǎn)、供熱或海水淡化的核動(dòng)力廠

與熱利用裝置（如區(qū)域集中供熱）和/或海水淡化裝置連接的核

動(dòng)力廠的設(shè)計(jì)，必須能夠防止在運(yùn)行狀態(tài)和事故工況下放射性核素

從核動(dòng)力廠遷移到海水淡化裝置或區(qū)域集中供熱裝置。

5.7.4撤離路線(xiàn)

5.7.4.1核動(dòng)力廠內(nèi)必須設(shè)置足夠數(shù)量的撤離路線(xiàn)。這些路線(xiàn)

必須具有持久醒目的標(biāo)識(shí)，并配備可靠的應(yīng)急照明、通風(fēng)和其他輔

助設(shè)施。

5.7.4.2撤離路線(xiàn)必須符合輻射分區(qū)、防火、工業(yè)安全，以及

核動(dòng)力廠安保方面的有關(guān)要求。

5.7.4.3設(shè)計(jì)中考慮的內(nèi)、外部事件或多個(gè)事件的組合發(fā)生后，

必須至少有一條路線(xiàn)可供位于場(chǎng)區(qū)內(nèi)工作場(chǎng)所和其他區(qū)域的人員撤

離。

5.7.5通信系統(tǒng)

5.7.5.1必須在整個(gè)核動(dòng)力廠范圍內(nèi)設(shè)置有效的通信手段，以

有助于所有正常運(yùn)行模式下的安全運(yùn)行，并在所有假設(shè)始發(fā)事件后

和在事故工況下可用。

—32—

5.7.5.2必須設(shè)置適當(dāng)?shù)木瘓?bào)系統(tǒng)和通信手段，以便在各種運(yùn)

行狀態(tài)下和事故工況下，所有在核動(dòng)力廠現(xiàn)場(chǎng)和廠區(qū)的人員都能得

到警報(bào)和指令。

5.7.5.3必須設(shè)置適當(dāng)且多樣化的通信手段，以滿(mǎn)足在核動(dòng)力

廠范圍內(nèi)和毗鄰區(qū)域的安全所需，以及與相關(guān)場(chǎng)外機(jī)構(gòu)進(jìn)行通信的

需要。

5.7.6核動(dòng)力廠出入口控制

5.7.6.1必須適當(dāng)布置各種構(gòu)筑物，使核動(dòng)力廠與其周?chē)h(huán)境

隔離，并控制核動(dòng)力廠的出入口。

5.7.6.2必須在廠房設(shè)計(jì)和廠區(qū)布置時(shí)，采取必要的措施控制

運(yùn)行人員和（或）設(shè)備（包括應(yīng)急響應(yīng)人員和車(chē)輛）進(jìn)出核動(dòng)力廠，

并必須考慮防止未經(jīng)授權(quán)的人員和物品進(jìn)入核動(dòng)力廠。

5.7.7防止擅自接近或干擾安全重要物項(xiàng)

必須防止未經(jīng)批準(zhǔn)接近或干擾安全重要物項(xiàng)，包括計(jì)算機(jī)硬件

和軟件。

5.7.8防止安全重要系統(tǒng)間不利的相互作用

5.7.8.1如果存在要求核動(dòng)力廠安全重要系統(tǒng)同時(shí)運(yùn)行的情

況，必須評(píng)價(jià)其可能的不利相互作用，并必須防止任何不利相互作

用的影響。

5.7.8.2在安全重要系統(tǒng)可能的不利相互作用分析中，必須適

當(dāng)考慮實(shí)體的相互連接，以及一個(gè)系統(tǒng)的運(yùn)行、誤操作或故障對(duì)其

他重要系統(tǒng)局部環(huán)境的影響，以保證環(huán)境條件的變化不會(huì)影響到系

—33—

統(tǒng)或部件執(zhí)行預(yù)定功能的可靠性。

5.7.8.3如果兩個(gè)安全重要流體系統(tǒng)相互連接，并在不同的壓力

下運(yùn)行，則兩個(gè)系統(tǒng)都必須設(shè)計(jì)成能夠承受較高的壓力，或必須采取

措施防止在較低壓力下運(yùn)行的系統(tǒng)出現(xiàn)超出其設(shè)計(jì)壓力的情況。

5.7.9電網(wǎng)對(duì)核動(dòng)力廠的影響

核動(dòng)力廠安全重要物項(xiàng)的功能應(yīng)不受電網(wǎng)擾動(dòng)（包括預(yù)期的電

網(wǎng)電壓和頻率變化）的影響。

5.8安全分析

5.8.1核動(dòng)力廠設(shè)計(jì)的安全分析

5.8.1.1必須對(duì)核動(dòng)力廠的設(shè)計(jì)進(jìn)行安全分析，在分析中必須

采用確定論和概率論的安全分析方法來(lái)論證在核動(dòng)力廠各類(lèi)狀態(tài)下

是否安全。

5.8.1.2在安全分析的基礎(chǔ)上，必須確認(rèn)安全重要物項(xiàng)的設(shè)計(jì)

基準(zhǔn)，以及其與始發(fā)事件和事件序列的聯(lián)系。必須論證所設(shè)計(jì)的核

動(dòng)力廠能夠滿(mǎn)足各類(lèi)運(yùn)行狀態(tài)下批準(zhǔn)的排放限值和劑量限值，并能

夠滿(mǎn)足事故工況下的可接受限值。

5.8.1.3安全分析必須保證在核動(dòng)力廠設(shè)計(jì)中已實(shí)施縱深防

御。

5.8.1.4安全分析必須保證在核動(dòng)力廠設(shè)計(jì)中適當(dāng)考慮了不確

定性。尤其是應(yīng)有適當(dāng)?shù)脑Ａ?，以避免出現(xiàn)陡邊效應(yīng)以及早期放射

性釋放或大量放射性釋放。

5.8.1.5必須基于當(dāng)前狀態(tài)或竣工狀態(tài)，更新和驗(yàn)證核動(dòng)力廠

—34—

設(shè)計(jì)中所采用的各項(xiàng)分析假設(shè)、方法的適用性和保守程度。

5.8.2確定論方法

確定論安全分析方法必須包括：

（1）制定和確認(rèn)所有安全重要物項(xiàng)的設(shè)計(jì)基準(zhǔn)；

（2）表征與核動(dòng)力廠設(shè)計(jì)和廠址相適應(yīng)的假設(shè)始發(fā)事件；

（3）分析和評(píng)價(jià)假設(shè)始發(fā)事件導(dǎo)致的事件序列，以確認(rèn)鑒定要求；

（4）將分析結(jié)果與驗(yàn)收準(zhǔn)則、設(shè)計(jì)限值、劑量限值以及可接受

限值進(jìn)行比較，以滿(mǎn)足輻射防護(hù)要求；

（5）論證通過(guò)安全系統(tǒng)的自動(dòng)響應(yīng)并結(jié)合所規(guī)定的操縱員動(dòng)

作，能夠管理預(yù)計(jì)運(yùn)行事件和設(shè)計(jì)基準(zhǔn)事故；

（6）論證通過(guò)安全系統(tǒng)的自動(dòng)響應(yīng)和利用安全設(shè)施功能并結(jié)合

預(yù)期的操縱員動(dòng)作，能夠管理設(shè)計(jì)擴(kuò)展工況。

5.8.3概率論方法

設(shè)計(jì)必須適當(dāng)考慮核動(dòng)力廠所有運(yùn)行模式和所有狀態(tài)（包括停

堆工況）下的概率安全分析，特別是：

（1）論證整個(gè)設(shè)計(jì)是平衡的，沒(méi)有任何一個(gè)設(shè)施或假設(shè)始發(fā)事

件對(duì)于總的風(fēng)險(xiǎn)會(huì)有過(guò)大的或明顯不確定的貢獻(xiàn)，且縱深防御的各

層次應(yīng)盡實(shí)際可能獨(dú)立；

（2）確認(rèn)核動(dòng)力廠不存在陡邊效應(yīng)；

（3）將分析結(jié)果和已規(guī)定的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較。

6核動(dòng)力廠系統(tǒng)設(shè)計(jì)要求

—35—

6.1反應(yīng)堆堆芯和相關(guān)特性

6.1.1燃料元件和燃料組件性能

設(shè)計(jì)必須使核動(dòng)力廠燃料元件和燃料組件能夠保持結(jié)構(gòu)完整

性，并在考慮運(yùn)行狀態(tài)下所有可能導(dǎo)致其性能劣化的因素后，能夠

承受預(yù)期的堆內(nèi)輻照和環(huán)境條件。

6.1.1.1需考慮如下原因引起的性能劣化：

（1）膨脹差和形變差；

（2）冷卻劑外壓；

（3）燃料元件內(nèi)裂變產(chǎn)物疊加氦氣導(dǎo)致的附加內(nèi)壓；

（4）燃料組件中燃料和其他材料的輻照效應(yīng)；

（5）功率變化引起的溫度和壓力變化；

（6）化學(xué)效應(yīng)；

（7）靜態(tài)和動(dòng)態(tài)載荷，包括流致振動(dòng)和機(jī)械振動(dòng)；

（8）由于變形和化學(xué)效應(yīng)導(dǎo)致的傳熱性能變化。

設(shè)計(jì)必須為數(shù)據(jù)、計(jì)算和制造中的不確定性因素留有裕量。

6.1.1.2燃料設(shè)計(jì)限值必須包括預(yù)計(jì)運(yùn)行事件中容許的燃料裂

變產(chǎn)物泄漏量限值，從而使燃料仍能繼續(xù)使用。

6.1.1.3燃料元件和燃料組件必須能夠承受燃料吊裝過(guò)程中的

載荷和應(yīng)力。

6.1.2反應(yīng)堆堆芯結(jié)構(gòu)性能

在運(yùn)行工況以及除嚴(yán)重事故外的其他事故工況下，設(shè)計(jì)必須使

核動(dòng)力廠燃料元件和燃料組件及其支撐件能夠維持可冷卻的幾何形

—36—

狀且不妨礙控制棒插入。

6.1.3反應(yīng)堆堆芯控制

6.1.3.1在核動(dòng)力廠各種狀態(tài)（包括停堆后、換料期間和換料

后、預(yù)計(jì)運(yùn)行事件和未導(dǎo)致堆芯嚴(yán)重?fù)p傷的事故工況）下，堆芯中

子注量率分布必須具有固有穩(wěn)定性。堆芯設(shè)計(jì)應(yīng)盡量減少依賴(lài)控制

系統(tǒng)使中子注量率分布、水平和穩(wěn)定性在各種運(yùn)行狀態(tài)下保持在規(guī)

定限值內(nèi)。

6.1.3.2必須提供用于檢測(cè)堆內(nèi)中子注量率分布以及變化的適

當(dāng)方法，保證堆芯內(nèi)不存在任何超過(guò)設(shè)計(jì)限值的部位。

6.1.3.3反應(yīng)性控制裝置的設(shè)計(jì)，必須適當(dāng)考慮到磨損以及輻

照效應(yīng)（如燃耗、物理特性的變化和氣體的產(chǎn)生）。

6.1.3.4在運(yùn)行狀態(tài)和未導(dǎo)致反應(yīng)堆堆芯嚴(yán)重?fù)p傷的事故工況

下，必須對(duì)最大的正反應(yīng)性引入量及其引入速率加以限制，以保證

不致引起反應(yīng)堆壓力邊界失效，維持堆芯冷卻能力和防止反應(yīng)堆堆

芯嚴(yán)重?fù)p傷。

6.1.4反應(yīng)堆停堆

6.1.4.1必須提供在運(yùn)行狀態(tài)和事故工況下安全停堆的手段。

必須保證即使在堆芯具有最大反應(yīng)性的情況下，仍能維持停堆狀態(tài)。

6.1.4.2停堆手段的有效性、動(dòng)作速度和停堆深度必須足以保

證不超出規(guī)定的燃料設(shè)計(jì)限值。

6.1.4.3判斷停堆手段是否足夠時(shí)，必須考慮到發(fā)生在核動(dòng)力

廠任何部位的、可導(dǎo)致一部分停堆手段失靈（如控制棒插入故障）

—37—

或可能引起共因故障的故障。

6.1.4.4反應(yīng)堆停堆手段必須至少由兩個(gè)多樣化的且獨(dú)立的系

統(tǒng)組成。

6.1.4.5即使在堆芯處于反應(yīng)性最大的狀態(tài)下，必須至少有一個(gè)

系統(tǒng)能夠獨(dú)立地以足夠的深度和高可靠性使反應(yīng)堆保持次臨界狀態(tài)。

6.1.4.6停堆手段必須足以防止，在停堆期間、換料操作期間

或停堆狀態(tài)下其他例行或非例行操作期間，出現(xiàn)的任何可預(yù)見(jiàn)的反

應(yīng)性增加而導(dǎo)致的意外臨界。

6.1.4.7必須設(shè)置儀表并規(guī)定各項(xiàng)試驗(yàn)，以保證停堆手段總是

處于所規(guī)定的狀態(tài)。

6.2反應(yīng)堆冷卻劑系統(tǒng)

6.2.1反應(yīng)堆冷卻劑系統(tǒng)的設(shè)計(jì)

6.2.1.1核動(dòng)力廠反應(yīng)堆冷卻劑系統(tǒng)部件的設(shè)計(jì)和制造，必須

具有高質(zhì)量的材料、恰當(dāng)?shù)脑O(shè)計(jì)標(biāo)準(zhǔn)、可檢查性和高質(zhì)量的加工，

以盡量降低其發(fā)生故障的可能性。

6.2.1.2與核動(dòng)力廠反應(yīng)堆冷卻劑系統(tǒng)壓力邊界相連接的管

道，必須設(shè)置適當(dāng)?shù)母綦x裝置，以限制放射性流體（一回路冷卻劑）

的任何喪失，并防止冷卻劑通過(guò)接口系統(tǒng)流失。

6.2.1.3反應(yīng)堆冷卻劑壓力邊界的設(shè)計(jì)必須使產(chǎn)生裂紋的可能

性極?。灰旬a(chǎn)生的裂紋也極不易于按快速裂紋擴(kuò)展方式發(fā)展成為失

穩(wěn)斷裂，以便允許及時(shí)探測(cè)到裂紋。

6.2.1.4反應(yīng)堆冷卻劑系統(tǒng)的設(shè)計(jì)必須保證避免使反應(yīng)堆冷卻

—38—

劑壓力邊界的部件可能出現(xiàn)脆性斷裂的核動(dòng)力廠狀態(tài)。

6.2.1.5必須使反應(yīng)堆冷卻劑壓力邊界內(nèi)部件（如泵的葉輪和

閥門(mén)部件）的設(shè)計(jì)，在所有運(yùn)行狀態(tài)和設(shè)計(jì)基準(zhǔn)事故下失效的可能

性以及隨后對(duì)一回路系統(tǒng)內(nèi)其他安全重要部件造成的損傷最小，并

為使用中可能發(fā)生的性能劣化留有適當(dāng)?shù)脑Ａ俊?/p>

6.2.2反應(yīng)堆冷卻劑壓力邊界的超壓保護(hù)

必須采取措施保證卸壓裝置的動(dòng)作能夠避免反應(yīng)堆冷卻劑系統(tǒng)

壓力邊界出現(xiàn)超壓，并不會(huì)導(dǎo)致放射性物質(zhì)從核動(dòng)力廠向環(huán)境直接

釋放。

6.2.3反應(yīng)堆冷卻劑的裝量

必須采取措施來(lái)控制反應(yīng)堆冷卻劑的裝量、溫度和壓力，以在

核動(dòng)力廠任何運(yùn)行狀態(tài)下（恰當(dāng)考慮容積變化和泄漏）使其均不超

過(guò)規(guī)定的設(shè)計(jì)限值。

6.2.4反應(yīng)堆冷卻劑的凈化

6.2.4.1必須在核動(dòng)力廠內(nèi)設(shè)置適當(dāng)?shù)脑O(shè)施，以去除反應(yīng)堆冷

卻劑中的放射性物質(zhì)（包括活化腐蝕產(chǎn)物和源自燃料的裂變產(chǎn)物）

和非放射性物質(zhì)。

6.2.4.2所需系統(tǒng)的能力必須基于規(guī)定的容許燃料泄漏設(shè)計(jì)限

值和保守的裕量，以保證核動(dòng)力廠可在回路中的放射性水平可合理

達(dá)到的盡量低的情況下運(yùn)行。同時(shí)保證放射性釋放低于規(guī)定排放限

值，并可合理達(dá)到的盡量低。

6.2.5反應(yīng)堆堆芯的余熱排出

—39—

在核動(dòng)力廠停堆狀態(tài)下，必須為排出反應(yīng)堆堆芯余熱提供手段，

以使燃料、反應(yīng)堆冷卻劑壓力邊界和安全重要構(gòu)筑物不超出設(shè)計(jì)限

值。

6.2.6反應(yīng)堆堆芯的應(yīng)急冷卻

6.2.6.1必須提供冷卻手段，以在核動(dòng)力廠事故工況下（即使

沒(méi)有保持一回路冷卻劑系統(tǒng)壓力邊界的完整性），能夠恢復(fù)和維持

燃料的冷卻。

6.2.6.2冷卻反應(yīng)堆堆芯的手段必須能夠保證：

（1）不超過(guò)包殼或燃料完整性參數(shù)限值（如溫度）；

（2）可能出現(xiàn)的化學(xué)反應(yīng)保持在可接受水平；

（3）應(yīng)急堆芯冷卻手段可有效補(bǔ)償燃料和堆內(nèi)結(jié)構(gòu)變形的影

響；

（4）反應(yīng)堆堆芯冷卻能保持足夠長(zhǎng)的時(shí)間。

6.2.6.3必須提供設(shè)計(jì)手段（如泄漏探測(cè)系統(tǒng)、適當(dāng)?shù)幕ハ噙B

接和隔離能力）及考慮適當(dāng)?shù)亩嘀匦院投鄻有?，以?duì)每個(gè)假設(shè)始發(fā)

事件都切實(shí)地滿(mǎn)足6.2.6.2節(jié)的要求。

6.2.7熱量向最終熱阱的傳輸

6.2.7.1在核動(dòng)力廠所有狀態(tài)下，都必須保證具有將熱量傳輸

到最終熱阱的能力。

6.2.7.2在必須由熱量傳輸系統(tǒng)實(shí)現(xiàn)傳熱功能的核動(dòng)力廠狀態(tài)

下，熱量傳輸系統(tǒng)必須具有足夠的可靠性。這可能要求采用多樣化

的最終熱阱或多樣化的排熱途徑將熱量傳輸至最終熱阱。

—40—

6.2.7.3在比設(shè)計(jì)基準(zhǔn)自然災(zāi)害（由廠址危險(xiǎn)性評(píng)價(jià)確定的）

更嚴(yán)重水平下仍能夠?qū)崿F(xiàn)傳熱功能。

6.3安全殼結(jié)構(gòu)和安全殼系統(tǒng)

6.3.1安全殼系統(tǒng)

必須設(shè)置安全殼系統(tǒng)，以保證或有助于核動(dòng)力廠實(shí)現(xiàn)以下安全

功能：

（1）在運(yùn)行狀態(tài)和事故工況下包容放射性物質(zhì)；

（2）保護(hù)反應(yīng)堆使其免受外部自然事件和人為事件的影響；

（3）在運(yùn)行狀態(tài)和事故工況下屏蔽輻射。

6.3.2控制放射性從安全殼釋放

6.3.2.1安全殼的設(shè)計(jì)必須能夠保證從核動(dòng)力廠向環(huán)境的任何

放射性釋放是可合理達(dá)到的盡量低的水平，在運(yùn)行狀態(tài)下不高于監(jiān)

管排放限值，以及在事故工況下滿(mǎn)足可接受的限值。

6.3.2.2安全殼結(jié)構(gòu)及影響安全殼系統(tǒng)密封性的系統(tǒng)和部件的

設(shè)計(jì)和建造，在安全殼的所有貫穿件安裝完成后和在核動(dòng)力廠運(yùn)行

壽期內(nèi)，必須能夠進(jìn)行泄漏率試驗(yàn)，并在安全殼的設(shè)計(jì)壓力下能夠

進(jìn)行泄漏率試驗(yàn)。

6.3.2.3安全殼貫穿件的數(shù)量必須保持盡實(shí)際可能的少，所有

貫穿件都必須滿(mǎn)足與安全殼結(jié)構(gòu)本身同樣的設(shè)計(jì)要求。必須保護(hù)貫

穿件，使其能夠承受由管道位移引起的反作用力，或承受諸如外部

或內(nèi)部事件產(chǎn)生的飛射物、噴射力和管道甩擊引起的事故載荷。

6.3.3安全殼隔離

—41—

6.3.3.1在依靠安全殼密封性，防止放射性物質(zhì)向環(huán)境的釋放

超過(guò)可接受限值的事故中，貫穿安全殼且屬于反應(yīng)堆冷卻劑壓力邊

界組成部分的或直接與安全殼大氣相通的每根管線(xiàn)，必須能自動(dòng)且

可靠地封閉。

6.3.3.2貫穿安全殼且屬于反應(yīng)堆冷卻劑壓力邊界組成部分的

或直接與安全殼大氣相通的管線(xiàn)，必須至少串聯(lián)設(shè)置兩個(gè)合適的安

全殼隔離閥或止回閥，并必須配備適當(dāng)?shù)男孤┨綔y(cè)系統(tǒng)。通常應(yīng)在

安全殼內(nèi)外各設(shè)置一個(gè)安全殼隔離閥或止回閥，安全殼隔離閥或止回

閥必須盡實(shí)際可能地靠近安全殼，每個(gè)閥門(mén)能夠可靠和獨(dú)立地動(dòng)作及

進(jìn)行定期試驗(yàn)。如采取其他的設(shè)置方式則應(yīng)論證其滿(mǎn)足設(shè)計(jì)要求。

6.3.3.3對(duì)于儀表管線(xiàn)等特定類(lèi)別的管線(xiàn)，或在應(yīng)用第6.3.3.2

節(jié)中所述安全殼隔離方法將會(huì)降低包含安全殼貫穿件的安全系統(tǒng)可

靠性的情況下，可允許第6.3.3.2節(jié)中所述的安全殼隔離要求存在

例外情況。

6.3.3.4貫穿安全殼，但既非反應(yīng)堆冷卻劑壓力邊界的組成部

分，又不直接與安全殼內(nèi)大氣相通的管線(xiàn)，必須至少設(shè)置一個(gè)適當(dāng)

的安全殼隔離閥。安全殼隔離閥必須安裝在安全殼外側(cè)，并盡實(shí)際

可能地靠近安全殼。

6.3.4安全殼的進(jìn)入

6.3.4.1運(yùn)行人員必須通過(guò)若干道氣封閘門(mén)進(jìn)入核動(dòng)力廠安全

殼。這些閘門(mén)是聯(lián)鎖的，以保證反應(yīng)堆功率運(yùn)行和事故工況期間，

至少有一道閘門(mén)是關(guān)閉的。

—42—

6.3.4.2當(dāng)運(yùn)行人員出于監(jiān)督目的進(jìn)入安全殼時(shí)，設(shè)計(jì)必須采

取特定措施，以保證運(yùn)行人員的防護(hù)和安全。如果有設(shè)備氣密閘門(mén)，

設(shè)計(jì)中也必須采取措施，以保證運(yùn)行人員的防護(hù)和安全。

6.3.4.3貫穿安全殼的設(shè)備或材料運(yùn)輸閘門(mén)的設(shè)計(jì)，必須保證

在需要對(duì)安全殼進(jìn)行隔離時(shí)能夠快速和可靠地關(guān)閉。

6.3.5安全殼狀態(tài)控制

6.3.5.1必須采取措施控制核動(dòng)力廠安全殼內(nèi)的壓力和溫度，

控制裂變產(chǎn)物或其他氣態(tài)、液態(tài)或固態(tài)物質(zhì)的任何積累，這些物質(zhì)

可能在安全殼內(nèi)釋放并可能影響安全重要系統(tǒng)運(yùn)行。

6.3.5.2設(shè)計(jì)必須為安全殼內(nèi)各獨(dú)立隔間之間提供足夠的氣流

通道。隔間之間各種開(kāi)口的截面尺寸，必須能夠保證在事故工況壓

力平衡期間產(chǎn)生的壓力差，不會(huì)對(duì)承壓結(jié)構(gòu)或減輕事故工況后果的

重要系統(tǒng)造成不可接受的損壞。

6.3.5.3必須保證安全殼的排熱能力，以在發(fā)生任何高能流體

意外釋放事故后，能夠降低安全殼中的壓力和溫度并使之維持在可

接受的水平。執(zhí)行從安全殼中排熱功能的系統(tǒng)，必須具有足夠的可

靠性和多重性，以保證排熱功能得到實(shí)現(xiàn)。

6.3.5.4必須采取設(shè)計(jì)措施以防止在核動(dòng)力廠所有狀態(tài)下喪失

安全殼結(jié)構(gòu)的完整性。該措施必須不會(huì)導(dǎo)致早期放射性釋放或大量

放射性釋放。

6.3.5.5設(shè)計(jì)必須包含能安全使用移動(dòng)設(shè)備恢復(fù)安全殼排熱能

力的手段，這些移動(dòng)設(shè)備不必在廠區(qū)貯存。

—43—

6.3.5.6必要時(shí)，必須控制可能釋放到安全殼中的裂變產(chǎn)物、

氫氣、氧氣和其他物質(zhì)，以便：

（1）減少事故工況下可能釋放到環(huán)境中的裂變產(chǎn)物數(shù)量；

（2）控制事故工況下安全殼大氣中的氫氣、氧氣和其他物質(zhì)的

濃度，以防止可能危及安全殼完整性的燃爆或爆燃載荷。

6.3.6覆蓋層、保溫材料和涂層

必須審慎選擇安全殼系統(tǒng)內(nèi)部件和結(jié)構(gòu)的覆蓋層、保溫材料和

涂層，并必須明確規(guī)定其使用方法，以保證這些部件和結(jié)構(gòu)的安全

功能得到實(shí)現(xiàn)，并在覆蓋層、保溫材料和涂層劣化時(shí)盡量減少對(duì)其

他安全功能的影響。

6.4儀器儀表和控制系統(tǒng)

6.4.1儀器儀表

6.4.1.1必須設(shè)置用于以下目的的儀器儀表：確定可能影響核

動(dòng)力廠裂變過(guò)程、反應(yīng)堆堆芯完整性、反應(yīng)堆冷卻劑系統(tǒng)完整性和

安全殼完整性的所有主要變量的值；獲得核動(dòng)力廠安全和可靠運(yùn)行

所需的重要信息；確定核動(dòng)力廠在事故工況下的狀態(tài)以及用于事故

管理的決策。

6.4.1.2必須設(shè)置儀器儀表和記錄設(shè)備，以保證獲得必不可少

的信息，用于監(jiān)測(cè)重要設(shè)備的狀況和事故過(guò)程，預(yù)測(cè)可能出現(xiàn)放射

性物質(zhì)釋放的位置和從設(shè)計(jì)預(yù)期釋放位置外逸的放射性物質(zhì)釋放

量，以及進(jìn)行事故后分析。

6.4.2控制系統(tǒng)

—44—

必須設(shè)置適當(dāng)且可靠的控制系統(tǒng)，使得相關(guān)的過(guò)程變量保持在

規(guī)定的運(yùn)行范圍內(nèi)。

6.4.3保護(hù)系統(tǒng)

6.4.3.1必須設(shè)置能夠探測(cè)不安全狀態(tài)并自動(dòng)觸發(fā)安全動(dòng)作的

保護(hù)系統(tǒng)，以啟動(dòng)必要的安全系統(tǒng)來(lái)實(shí)現(xiàn)和維持核動(dòng)力廠安全狀態(tài)。

6.4.3.2保護(hù)系統(tǒng)的設(shè)計(jì)必須：

（1）能夠超越控制系統(tǒng)的不安全動(dòng)作；

（2）具備故障安全特性，以在保護(hù)系統(tǒng)發(fā)生故障時(shí)能使核動(dòng)力

廠達(dá)到安全狀態(tài)。

6.4.3.3設(shè)計(jì)：

（1）必須防止操縱員在運(yùn)行狀態(tài)和事故工況下采取可能損害保

護(hù)系統(tǒng)有效性的動(dòng)作，但不得阻礙操縱員在事故工況下采取正確行

動(dòng)；

（2）必須能夠執(zhí)行用于啟動(dòng)安全系統(tǒng)的各種安全動(dòng)作，以在預(yù)

計(jì)運(yùn)行事件或事故工況開(kāi)始后的合理時(shí)間范圍內(nèi)無(wú)需操縱員干預(yù)；

（3）必須向操縱員提供相關(guān)信息，用于監(jiān)測(cè)自動(dòng)動(dòng)作的效果。

6.4.4儀表和控制系統(tǒng)的可靠性和可試驗(yàn)性

6.4.4.1核動(dòng)力廠安全重要物項(xiàng)的儀表和控制系統(tǒng)，必須具有

與所執(zhí)行的安全功能相適應(yīng)的高可靠性和定期可試驗(yàn)性。

6.4.4.2必須在實(shí)際可行的范圍內(nèi)采用各種設(shè)計(jì)技術(shù)，如可試

驗(yàn)性（必要時(shí)包括自檢能力）、故障安全特性、功能多樣性、部件

設(shè)計(jì)或工作原理的多樣性等，以防止安全功能的喪失。

—45—

6.4.4.3安全系統(tǒng)必須具有可在核動(dòng)力廠運(yùn)行時(shí)對(duì)其功能進(jìn)行

定期試驗(yàn)的條件，包括各通道分別進(jìn)行試驗(yàn)的可能性，以查明可能

發(fā)生的故障和多重性的喪失。設(shè)計(jì)必須允許對(duì)包括從傳感器到最終

的觸發(fā)驅(qū)動(dòng)器和顯示單元所有環(huán)節(jié)的定期試驗(yàn)。

6.4.4.4設(shè)計(jì)應(yīng)考慮，當(dāng)安全系統(tǒng)或安全系統(tǒng)的一部分由于試

驗(yàn)或維修而必須退出運(yùn)行時(shí)，在此期間應(yīng)采取適當(dāng)?shù)拇胧?duì)保護(hù)系

統(tǒng)旁通狀態(tài)進(jìn)行明確的指示。

6.4.5基于計(jì)算機(jī)的設(shè)備在安全重要系統(tǒng)中的應(yīng)用

6.4.5.1當(dāng)安全重要系統(tǒng)設(shè)計(jì)成依賴(lài)于基于計(jì)算機(jī)的設(shè)備時(shí)，

必須確定或制定用于開(kāi)發(fā)和測(cè)試/驗(yàn)證計(jì)算機(jī)軟、硬件的適當(dāng)?shù)臉?biāo)準(zhǔn)

和規(guī)范，并在整個(gè)壽期內(nèi)執(zhí)行，特別是在軟件開(kāi)發(fā)過(guò)程中應(yīng)執(zhí)行這

些標(biāo)準(zhǔn)和規(guī)范。整個(gè)開(kāi)發(fā)過(guò)程必須遵循質(zhì)量保證大綱。

6.4.5.2安全系統(tǒng)或安全有關(guān)系統(tǒng)中基于計(jì)算機(jī)的設(shè)備：

（1）基于系統(tǒng)對(duì)安全的重要性，必須使用高質(zhì)量和最佳實(shí)踐的

硬件和軟件；

（2）整個(gè)開(kāi)發(fā)過(guò)程，包括設(shè)計(jì)變更的控制、試驗(yàn)和調(diào)試，必須

系統(tǒng)地形成文件，并可供審查；

（3）必須由獨(dú)立于設(shè)計(jì)者和供應(yīng)商的專(zhuān)業(yè)人員，對(duì)基于計(jì)算機(jī)

的設(shè)備進(jìn)行評(píng)價(jià)，以保證其高可靠性；

（4）在安全功能對(duì)實(shí)現(xiàn)和保持安全狀態(tài)至關(guān)重要，且不能高置

信度的證明設(shè)備具有必要的高可靠性時(shí)，必須提供多樣化手段以保

證安全功能的執(zhí)行；

—46—

（5）必須考慮由軟件引起的共因故障；

（6）必須提供防止系統(tǒng)運(yùn)行意外中斷或受到蓄意干擾的保護(hù)

措施。

6.4.6保護(hù)系統(tǒng)和控制系統(tǒng)的分隔

6.4.6.1必須通過(guò)分隔、避免相互連接或采用適當(dāng)?shù)墓δ塥?dú)立

來(lái)防止核動(dòng)力廠保護(hù)系統(tǒng)和控制系統(tǒng)之間的相互干擾。

6.4.6.2如果保護(hù)系統(tǒng)和控制系統(tǒng)共用信號(hào)，必須保證適當(dāng)?shù)?/p>

分隔措施（如有效的去耦），且信號(hào)系統(tǒng)必須按照屬于保護(hù)系統(tǒng)的

一部分來(lái)分級(jí)。

6.4.7控制室

6.4.7.1必須設(shè)置控制室，以進(jìn)行下述活動(dòng)：在各種運(yùn)行狀態(tài)

下以自動(dòng)或手動(dòng)方式安全地運(yùn)行核動(dòng)力廠；出現(xiàn)預(yù)計(jì)運(yùn)行事件和事

故工況后，采取相應(yīng)措施，以使核動(dòng)力廠保持在安全狀態(tài)或回到安

全狀態(tài)。

6.4.7.2必須采取適當(dāng)?shù)拇?/p>