HAD 103-14-2023 核動力廠修改的管理

核安全導(dǎo)則HAD103/14-2023

核動力廠修改的管理

（國家核安全局2023年2月9日批準發(fā)布）

國家核安全局

I

核動力廠修改的管理

（2023年2月9日國家核安全局批準發(fā)布）

本導(dǎo)則自2023年2月9日起實施

本導(dǎo)則由國家核安全局負責解釋

本導(dǎo)則是指導(dǎo)性文件。在實際工作中可以采用不同于本導(dǎo)則

的方法和方案，但必須向國家核安全局證明所采用的方法和方案

符合《核動力廠調(diào)試和運行安全規(guī)定》的要求。

II

1.引言

1.1概述

核動力廠在運行期間通常會由于法規(guī)以及適用標準的變化、與承諾的法規(guī)標準的偏差、

消除缺陷或故障、經(jīng)驗反饋、技術(shù)和管理能力的進步、對定期安全評價給出的潛在薄弱環(huán)節(jié)

的改進以及經(jīng)濟性需求等原因進行修改。

《核動力廠調(diào)試和運行安全規(guī)定》（以下簡稱《規(guī)定》）已對核動力廠修改提出了原則

要求。本導(dǎo)則是對《規(guī)定》有關(guān)條款的說明和補充。

1.2目的

本導(dǎo)則為核動力廠的修改相關(guān)活動提供指導(dǎo)和建議，以確保營運單位對涉及修改的各類

活動風險進行有效管理，保證核動力廠的配置始終得到控制并滿足安全基準。

1.3范圍

1.3.1本導(dǎo)則適用于營運單位對核動力廠運行期間修改的管理。本導(dǎo)則給出了適用于核

動力廠修改的通用要求，明確了構(gòu)筑物、系統(tǒng)和設(shè)備的修改、運行限值和條件的修改以及程

序和文件的修改的技術(shù)要求和監(jiān)管方式。

營運單位對核動力廠建造期間初步安全分析報告中描述的構(gòu)筑物、系統(tǒng)和設(shè)備的變更，

也可參考本導(dǎo)則第3章判斷是否需要報送國家核安全局審查。

1.3.2核動力廠的修改包括：

（1）構(gòu)筑物、系統(tǒng)和設(shè)備的修改；

（2）運行限值和條件的修改；

（3）程序和文件的修改；

（4）上述各項的組合。

2.總體要求

2.1概述

2.1.1營運單位對核動力廠進行的任何修改，應(yīng)當滿足核安全法規(guī)以及適用的標準要求，

并在修改活動中貫徹縱深防御概念，以保證核動力廠配置滿足安全基準。

2.1.2營運單位應(yīng)當制定和實施修改管理程序，并指定具體負責的部門或組織機構(gòu)，以

實現(xiàn)對修改各環(huán)節(jié)的有效管理。修改管理程序需要明確規(guī)定下列環(huán)節(jié)的責任：

（1）修改的需求識別、設(shè)計或方案（包括初步設(shè)計（方案）和詳細設(shè)計（方案））、

1

分類和申請、審查和批準、實施、投用前的試驗、驗證和檢查、結(jié)果評價等；

（2）修改的跟蹤、記錄與協(xié)調(diào)（包括審查的接口關(guān)系）；

（3）修改的文件編制及發(fā)送。

2.1.3營運單位應(yīng)當在修改的各個環(huán)節(jié)中關(guān)注相同或類似修改的經(jīng)驗反饋。

2.1.4修改應(yīng)當滿足核動力廠質(zhì)量保證大綱和程序、工作管理體系等要求。

2.1.5本章給出了修改各環(huán)節(jié)應(yīng)當遵循的總體要求。本章的條款是通用性要求，但也有

部分條款主要適用于構(gòu)筑物、系統(tǒng)和設(shè)備的修改，應(yīng)當在修改過程中根據(jù)實際情況執(zhí)行。

2.2修改的需求識別

營運單位應(yīng)當準確識別修改需求，謹慎評價修改的必要性，避免頻繁修改對核動力廠安

全運行可能造成的不利影響。同時，營運單位還應(yīng)當關(guān)注修改的累積效應(yīng)，在定期安全審查

期間或按照適當周期對修改累積的整體影響進行評價。

2.3修改的設(shè)計或方案

2.3.1初步設(shè)計（方案）的內(nèi)容主要是修改的可行性研究，包括修改的目標和邊界，可

執(zhí)行的修改方案，試驗的項目和目的等。

2.3.2詳細設(shè)計（方案）的內(nèi)容包括修改的實施、試驗、驗證和檢查方案，修改的安全

分析，修改所影響的程序或文件，老化管理，運行和退役期間的維修等。

2.3.3應(yīng)當全面評價修改的后果，并確定出修改的邊界和影響（包括實體、系統(tǒng)和控制

的邊界，以及修改實施的環(huán)境條件）。由于核動力廠內(nèi)許多系統(tǒng)是互相關(guān)聯(lián)的，一個區(qū)域的

修改可能影響其他區(qū)域，因此需要對修改實施的區(qū)域進行全面審查，審查中應(yīng)參考進行過類

似修改的其他核動力廠的經(jīng)驗。

2.3.4應(yīng)當適當?shù)貙彶樾薷膶藙恿S安全造成的所有影響并完成必要的安全分析，確

保修改滿足安全基準。當修改可能對安全基準造成影響時，應(yīng)當采用確定論、概率論方法或

二者相結(jié)合的方式對其進行詳細評價。

2.4修改的分類和申請、審查和批準

2.4.1根據(jù)《規(guī)定》，營運單位應(yīng)當對修改進行分類管理，按照修改的安全重要程度分

為安全重要修改和一般修改。本導(dǎo)則提供了判斷修改是否屬于安全重要修改的技術(shù)指南，分

別參見第3章（構(gòu)筑物、系統(tǒng)和設(shè)備的修改）、第4章（運行限值和條件的修改）和第5

章（程序和文件的修改）；當修改為各項修改組合時，應(yīng)當針對每項修改分別參考相應(yīng)章節(jié)

進行判斷。

2.4.2營運單位應(yīng)當根據(jù)修改的分類和涉及的范圍，在修改實施前按管理程序的要求逐

級（最高可至核動力廠安全委員會或相當?shù)陌踩珜徸h機構(gòu)）進行申請、審查和批準。

2

2.4.3必要時，例如涉及評價方法的變化，使用了新的計算機程序或新技術(shù)等，營運單

位應(yīng)當對修改的范圍、安全影響、后果以及相關(guān)質(zhì)量保證要求執(zhí)行情況開展獨立審查。獨立

審查由未直接參與修改設(shè)計和實施的人員參與，參與人員應(yīng)當熟悉有關(guān)核動力廠的設(shè)計。如

開展獨立審查，獨立審查應(yīng)當在營運單位批準修改前完成。

2.4.4對于安全重要修改，營運單位應(yīng)當按照本單位管理程序批準，并報國家核安全局

批準后，方可實施。安全基準的改變屬于安全重要修改。對于一般修改，營運單位應(yīng)當按照

本單位的管理程序批準后實施。營運單位向國家核安全局提交的構(gòu)筑物、系統(tǒng)和設(shè)備安全重

要修改申請文件的格式和內(nèi)容參照附錄A。

2.5修改的實施

2.5.1修改的實施應(yīng)當進行特定的安全考慮，例如：

（1）輻射防護；

（2）放射性廢物管理（包括去污、拆除和運輸?shù)拳h(huán)節(jié)）；

（3）其他污染物排放的控制；

（4）修改期間核動力廠的安全運行及潛在風險的應(yīng)急方案；

（5）潛在火災(zāi)、化學制品或者爆炸物的使用對核安全的影響；

（6）軟件修改的安全防范措施（如儲存介質(zhì)的管理）。

2.5.2營運單位應(yīng)當制定并執(zhí)行合理的修改實施程序。在某些涉及多個修改的特定實施

步驟中，后續(xù)的修改可能依賴于先前的修改，在實施前應(yīng)當確認所依賴的修改是否已經(jīng)完成。

2.5.3營運單位應(yīng)當在修改實施部位和有關(guān)控制位置（包括實體位置和相關(guān)文件）進行

明確標識。

2.5.4營運單位應(yīng)當確保參與實施修改的所有人員（包括承包單位的人員）具備應(yīng)有的

資質(zhì)、經(jīng)驗和培訓(xùn)經(jīng)歷。

2.5.5對于安全重要修改，營運單位應(yīng)當按照國家核安全局批準的方案實施。由于特殊

情況必須對修改方案進行調(diào)整時，營運單位應(yīng)當在修改計劃完成時間前向國家核安全局書面

說明原因并分析對核動力廠安全的影響。當原修改的安全評價范圍或結(jié)論無法覆蓋調(diào)整后的

修改方案時，營運單位應(yīng)當重新提交修改申請并獲得國家核安全局批準。

2.6修改投用前的試驗、驗證和檢查

2.6.1營運單位應(yīng)當在修改正式投用前進行必要的試驗和驗證，以證明修改滿足設(shè)計要

求及驗證核動力廠的安全運行能力，例如：

（1）對于構(gòu)筑物、系統(tǒng)和設(shè)備的修改，應(yīng)當進行必要的試驗（如鑒定和調(diào)試）以保證

已達到修改的目的，并滿足運行限值和條件；

（2）對于運行限值和條件及運行規(guī)程的修改，應(yīng)當驗證其與構(gòu)筑物、系統(tǒng)和設(shè)備的狀

3

態(tài)和運行方式相匹配；

（3）對于原調(diào)試試驗結(jié)果無法包絡(luò)的安全重要修改，如反應(yīng)堆冷卻劑壓力邊界修改、

堆芯修改等情況，應(yīng)當在修改正式投用前進行類似調(diào)試階段的有關(guān)試驗（詳見有關(guān)調(diào)試的核

安全導(dǎo)則）；

（4）對于軟件的安全重要修改，應(yīng)當在軟件投用前進行完全離線的運行試驗；軟件可

在核動力廠運行期間以并行方式運行，但不與現(xiàn)場設(shè)備相連，以核查是否與設(shè)計和現(xiàn)場條件

相符。

所有的試驗項目都當應(yīng)在修改識別設(shè)計時考慮其必要性和可行性。當修改實施后的條件

不允許進行試驗時，試驗應(yīng)當在修改實施前通過模擬模型或在專門的試驗裝置上完成，以驗

證修改可達到預(yù)期效果。

2.6.2營運單位應(yīng)當在修改正式投用前進行必要的檢查，例如：

（1）及時更新修改涉及的相關(guān)文件并組織相關(guān)培訓(xùn)，以確保執(zhí)行相關(guān)工作時所需文件

完成更新并可用，人員培訓(xùn)已完成；

（2）應(yīng)當由授權(quán)人員按批準的程序，對修改后的構(gòu)筑物、系統(tǒng)和設(shè)備的功能、性能及

其修改后的運行限值和條件進行檢查；

（3）應(yīng)當對修改后的構(gòu)筑物、系統(tǒng)和設(shè)備重新檢驗（詳見有關(guān)在役檢查的核安全導(dǎo)則），

其檢驗結(jié)果將作為以后在役檢查的基準；

（4）核查在修改中使用的所有臨時性的連接件、布置和程序已經(jīng)拆除或恢復(fù)。

2.7修改結(jié)果的評價

2.7.1營運單位應(yīng)當對修改的結(jié)果進行評價并形成報告，確認修改已按預(yù)期要求完成。

2.7.2安全重要修改結(jié)果的評價報告應(yīng)當在修改結(jié)束后一個月內(nèi)報送國家核安全局，評

價報告的內(nèi)容應(yīng)當包括：

（1）評價修改是否遵循了有關(guān)設(shè)計、采購、建造、試驗以及文件和圖紙管理等方面的

質(zhì)量保證要求；

（2）確認修改的結(jié)果是否與設(shè)計（方案）一致；

（3）評價構(gòu)筑物、系統(tǒng)和設(shè)備修改后的功能和性能試驗和驗證結(jié)果是否滿足預(yù)期或者

驗收準則；

（4）確認運行限值和條件及其他程序和文件的修改接受了與原來相同水平的審查和批

準；

（5）評價修改實施期間的輻射防護、流出物和廢物管理等方面的情況。

2.8修改相關(guān)的文件或記錄、培訓(xùn)和通報

2.8.1所有修改的設(shè)計、申請、審查和批準、實施、修改后的試驗和檢查、結(jié)果評價都

4

要形成文件或記錄。

2.8.2營運單位應(yīng)當對修改相關(guān)的文件或記錄進行控制管理，以符合核動力廠質(zhì)量保證

有關(guān)法規(guī)的要求，并在核動力廠壽期內(nèi)可以查閱。

2.8.3營運單位應(yīng)當對修改相關(guān)培訓(xùn)進行管理，包括：

（1）在修改的構(gòu)筑物、系統(tǒng)和設(shè)備的運行、維修和試驗前，應(yīng)當對有關(guān)人員完成適當

的培訓(xùn)并形成記錄，以保證其熟悉修改的內(nèi)容，并充分了解如何以安全和可靠的方式完成相

關(guān)工作。培訓(xùn)內(nèi)容取決于修改的復(fù)雜性以及其對核動力廠運行、維修、試驗等方面的影響；

（2）對人員操作產(chǎn)生重要影響的修改，應(yīng)當在人員操作前對其進行培訓(xùn)和重新授權(quán)，

授權(quán)的審查應(yīng)當根據(jù)修改后的電廠配置進行。

2.8.4對于對構(gòu)筑物、系統(tǒng)和設(shè)備設(shè)計功能產(chǎn)生影響的一般修改，營運單位應(yīng)根據(jù)《核

動力廠營運單位核安全報告規(guī)定》，在定期報告中將其作為重要修改活動向國家核安全局報

告。

3.構(gòu)筑物、系統(tǒng)和設(shè)備的修改

3.1概述

3.1.1構(gòu)筑物、系統(tǒng)和設(shè)備的修改是指構(gòu)筑物、系統(tǒng)和設(shè)備或相關(guān)規(guī)程的變更、增加或

移除，這類活動可能影響構(gòu)筑物、系統(tǒng)和設(shè)備的設(shè)計功能、執(zhí)行或控制設(shè)計功能的方式或者

論證其完成設(shè)計功能的評價方法。此外，構(gòu)筑物、系統(tǒng)和設(shè)備的修改還包括實施最終安全分

析報告中沒有描述的測試或試驗。

其中，設(shè)計功能是指最終安全分析報告1,2中描述的安全功能，支持或者影響安全功能的

構(gòu)筑物、系統(tǒng)和設(shè)備的功能，還包括執(zhí)行預(yù)期功能的條件，如設(shè)備響應(yīng)時間、過程條件、設(shè)

備鑒定和單一故障要求等。

3.1.2本章主要給出了對核動力廠運行期間的構(gòu)筑物、系統(tǒng)和設(shè)備修改進行分類、設(shè)計

和審查的要求和指南。

3.1.3營運單位應(yīng)當按照圖1所示的流程判斷修改是否屬于安全重要修改，并對分析過

程和結(jié)論進行書面記錄。記錄應(yīng)當包括分析過程中所采用的工程判斷和邏輯（尤其是缺少行

業(yè)共識的領(lǐng)域），記錄的詳細程度應(yīng)當與修改的安全重要性和復(fù)雜程度相匹配。

1當建造期間構(gòu)筑物、系統(tǒng)和設(shè)備的重要設(shè)計變更參照本導(dǎo)則進行判斷時，應(yīng)采用初步安全分析報告。

2.本導(dǎo)則中所述安全分析報告均指國家核安全局認可的當前有效版本。

5

圖1構(gòu)筑物、系統(tǒng)和設(shè)備的修改分類判斷流程

3.2安全重要修改的篩選范圍

3.2.1本小節(jié)關(guān)注修改是否對構(gòu)筑物、系統(tǒng)和設(shè)備的設(shè)計功能、執(zhí)行或控制設(shè)計功能的

方式以及論證完成設(shè)計功能的評價方法產(chǎn)生影響。當修改產(chǎn)生不利影響或者既有有利影響又

有不利影響時，屬于篩選范圍內(nèi)的修改，應(yīng)當采用3.3節(jié)篩選準則進行進一步篩選。

3.2.2當修改對具有設(shè)計功能的構(gòu)筑物、系統(tǒng)和設(shè)備產(chǎn)生以下方面影響時，屬于篩選范

圍內(nèi)的修改：

（1）降低了構(gòu)筑物、系統(tǒng)和設(shè)備完成設(shè)計功能的可靠性；

（2）降低了原有的多重性、多樣性或縱深防御；

（3）增加或刪除了構(gòu)筑物、系統(tǒng)和設(shè)備的自動或手動設(shè)計功能；

（4）改變了控制方式，如將自動改為手動或反之；

（5）導(dǎo)致系統(tǒng)或者材料間產(chǎn)生非預(yù)期的或是沒有審查過的相互作用；

（6）對動作執(zhí)行能力或響應(yīng)時間造成了不利影響，如：改變設(shè)備的可達性或者增加執(zhí)

行任務(wù)的必要步驟；

（7）降低了構(gòu)筑物、系統(tǒng)和設(shè)備的抗震鑒定等級或環(huán)境鑒定要求；

（8）在多機組廠址中影響其他機組；

（9）影響了用于建立設(shè)計基準或者安全分析的評價方法；

（10）雖然不是最終安全分析報告中描述的構(gòu)筑物、系統(tǒng)和設(shè)備的修改，但是對最終安

全分析報告中描述的電氣布置、結(jié)構(gòu)完整性、環(huán)境條件或者其他設(shè)計功能產(chǎn)生了間接影響。

3.2.2.1構(gòu)筑物、系統(tǒng)和設(shè)備往往有很多部件，如果部件的修改對設(shè)計功能產(chǎn)生了潛在不

利影響，即使部件沒有在最終安全分析報告中描述，也屬于篩選范圍內(nèi)的修改。

3.2.2.2非安全相關(guān)的構(gòu)筑物、系統(tǒng)和設(shè)備的修改，如果對設(shè)計功能產(chǎn)生了間接的不利影

6

響，屬于篩選范圍內(nèi)的修改。

非安全相關(guān)的構(gòu)筑物、系統(tǒng)和設(shè)備在抗震鑒定、防飛射物、防水淹、防火、環(huán)境鑒定、

防重物墜落、防高能管線破口效應(yīng)以及防甩設(shè)施等方面的修改，會對設(shè)計功能產(chǎn)生間接或次

生影響，篩選過程應(yīng)當予以關(guān)注。

3.2.2.3對于采用物項替代方式（如物項的本地化替代、換型和供應(yīng)商更換等）進行的修

改，如經(jīng)營運單位評價確認替代物項不改變原構(gòu)筑物、系統(tǒng)和設(shè)備的設(shè)計功能，且性能已得

到充分驗證（驗證范圍應(yīng)當與原構(gòu)筑物、系統(tǒng)和設(shè)備相當），則不屬于篩選范圍內(nèi)的修改。

3.2.3對構(gòu)筑物、系統(tǒng)和設(shè)備設(shè)計功能的執(zhí)行或控制方式造成不利影響的規(guī)程修改，屬

于篩選范圍內(nèi)的修改。對于完全改變或替換設(shè)計功能的執(zhí)行或控制方式的規(guī)程修改，應(yīng)當保

守地認為產(chǎn)生了不利影響，屬于篩選范圍內(nèi)的修改。

規(guī)程通常包括對設(shè)計功能執(zhí)行或控制方式的描述，如操縱員動作順序或響應(yīng)時間，構(gòu)筑

物、系統(tǒng)和設(shè)備運行和運行模式的描述（文字或圖表）、運行控制和放射性控制等類似信息。

3.2.4論證構(gòu)筑物、系統(tǒng)和設(shè)備完成預(yù)期設(shè)計功能的評價方法是指最終安全分析報告中

描述的，且用于最終安全分析報告的安全分析或者建立設(shè)計基準的評價方法，包括：

（1）用于證明滿足裂變產(chǎn)物屏障設(shè)計基準的評價方法；

（2）用于對安全殼、應(yīng)急堆芯冷卻系統(tǒng)和事故開展安全分析（通常在最終安全分析報

告第6章和第15章）的評價方法，以證明事故后果不會超過法規(guī)標準要求；

（3）用于證明設(shè)計基準下設(shè)計功能能夠?qū)崿F(xiàn)的評價方法，設(shè)計基準包括自然現(xiàn)象、環(huán)

境條件、動態(tài)影響等，以及法規(guī)或核安全管理要求中明確要求的典型超設(shè)計基準事故，例如

全廠斷電和未能緊急停堆的預(yù)計運行事件等。

對上述評價方法進行修改，當滿足以下任一條件時，屬于篩選范圍內(nèi)的修改：

（1）對現(xiàn)有評價方法的要素進行偏不保守的修改；

（2）使用另一種評價方法來替代現(xiàn)有的評價方法。

3.2.5最終安全分析報告中沒有描述的測試或試驗是指采用與執(zhí)照文件中分析或描述不

一致的方式，或超出執(zhí)照文件中描述的設(shè)計基準參考范圍的方式使用或控制構(gòu)筑物、系統(tǒng)和

設(shè)備（不包括維修相關(guān)的測試或試驗）的行為。這類測試或試驗屬于篩選范圍內(nèi)的修改，例

如：

（1）執(zhí)照文件中未描述的堆芯物理試驗（如組件堆內(nèi)輻照考驗、動態(tài)刻棒試驗等）；

（2）影響余熱排出能力的應(yīng)急堆芯冷卻系統(tǒng)的流量試驗；

（3）超過運行限值和條件的功率躍增試驗。

當測試或試驗滿足下列條件時，不屬于篩選范圍內(nèi)的修改：

（1）能夠被最終安全分析報告中描述的測試或試驗的邊界所包絡(luò)；

（2）能夠可靠地對測試或試驗所影響的構(gòu)筑物、系統(tǒng)和設(shè)備進行隔離。

3.2.6核動力廠數(shù)字化方面的修改通常涉及軟件、硬件以及人機接口相關(guān)內(nèi)容，在判斷

7

其對部件（或系統(tǒng)）的影響時，應(yīng)當從軟件和數(shù)字化設(shè)備的使用、多個部件（或系統(tǒng)）或功

能的組合、人因工程評價三個方面進行分析。

3.2.6.1在軟件和數(shù)字化設(shè)備的使用方面，對冗余系統(tǒng)進行數(shù)字化修改可能會對系統(tǒng)的設(shè)

計功能造成不利影響，因為會增加共因失效的可能性。但是，如果證明修改設(shè)計能夠消除共

因失效，可以認為修改未產(chǎn)生不利影響。

對于相對簡單的數(shù)字化修改，可以從數(shù)字化修改的物理特征（如有限的影響范圍、相對

簡單的內(nèi)部數(shù)字架構(gòu)、有限的功能和可進行充分測試等）和工程評估（如設(shè)計質(zhì)量、數(shù)字化

設(shè)備的單一故障可被已有的故障模式包絡(luò)和廣泛且適用的應(yīng)用經(jīng)驗等）方面論證修改未產(chǎn)生

不利影響。

以下數(shù)字化修改可能對構(gòu)筑物、系統(tǒng)和設(shè)備的設(shè)計功能產(chǎn)生不利影響，需要在篩選中具

體分析：

（1）增加或者移除死區(qū)；

（2）采用瞬時讀數(shù)代替平均讀數(shù)（或與之相反）。

3.2.6.2在多個部件（或系統(tǒng)）或功能組合方面，最終安全分析報告會描述部件（或系統(tǒng)）

的數(shù)量、布置以及功能分配。對于采用數(shù)字化設(shè)備代替模擬設(shè)備的修改，可能會將多個部件

（或系統(tǒng)）或功能合并到單一部件（或系統(tǒng)），如果這種合并對設(shè)計功能產(chǎn)生不利影響，例

如數(shù)字化設(shè)備失效會導(dǎo)致多個設(shè)計功能喪失，則屬于篩選范圍內(nèi)的修改。

另外，對于涉及到網(wǎng)絡(luò)，不同系統(tǒng)設(shè)計功能合并，跨通道、系統(tǒng)和分區(qū)的連接，以及資

源共享（例如雙向通信、電源、控制器和多功能顯示控制站）的數(shù)字化修改，應(yīng)當重點分析

其是否降低了設(shè)計功能的冗余性、多樣性、隔離性或獨立性。如有降低，則屬于篩選范圍內(nèi)

的修改。

3.2.6.3在人因工程評價方面，人機接口應(yīng)當確保使用者能夠準確感知、理解和響應(yīng)系統(tǒng)

信息并完成其任務(wù)。對于涉及人機接口的數(shù)字化修改，應(yīng)當識別修改所涉及的基本任務(wù)（包

括監(jiān)視和識別、狀態(tài)評價、計劃響應(yīng)、執(zhí)行響應(yīng)四類），然后分析修改是否對人員完成基本

任務(wù)的能力造成了不利影響。對設(shè)計功能的執(zhí)行造成不利影響的例子包括但不限于：

（1）誤操作概率增加；

（2）狀態(tài)評價的難度增加；

（3）執(zhí)行動作的難度增加；

（4）響應(yīng)時間增加；

（5）引入了新的失效模式。

3.2.7構(gòu)筑物、系統(tǒng)和設(shè)備的臨時性修改是指在一定時限內(nèi)實施的且非反復(fù)出現(xiàn)的修改，

如：跳線端子、導(dǎo)線提起、臨時障礙物、旁路、腳手架和支撐以及臨時的物項替代等。

對于已建立維修有效性評價體系的核動力廠，應(yīng)當按照下列要求對臨時性修改進行管

理：

8

（1）對于與維修活動無關(guān)的臨時性修改，以及作為補償措施以解決物項降級或不符合

項而采用的臨時性修改，按照本導(dǎo)則管理；

（2）對于與維修活動有關(guān)的臨時性修改，如果在機組功率運行期間的實際和預(yù)計影響

時間不超過90天，且維修活動結(jié)束時恢復(fù)到初始條件，按照維修規(guī)則進行評價和管理；否

則按照本導(dǎo)則進行管理。

對于未建立維修有效性評價體系的核動力廠，臨時性修改與永久修改一致，按照本導(dǎo)則

進行管理。

3.2.8當構(gòu)筑物、系統(tǒng)和設(shè)備的修改涉及最終安全分析報告時，營運單位應(yīng)當對最終安

全分析報告進行及時修訂，以使其能夠反映構(gòu)筑物、系統(tǒng)和設(shè)備的最新狀態(tài)。

3.3安全重要修改的篩選準則

3.3.1根據(jù)3.2節(jié)判斷屬于篩選范圍內(nèi)的修改，并不一定是安全重要修改，營運單位應(yīng)當

按照以下八條篩選準則進行進一步的分析評價。各篩選準則的詳細說明見附錄B，其中準則

（1）至（7）適用于除評價方法以外的修改，準則（8）適用于評價方法的修改。滿足任一

篩選準則的修改屬于安全重要修改。

（1）導(dǎo)致最終安全分析報告中評價過的事故發(fā)生頻率的增加超過篩選限值；

（2）導(dǎo)致最終安全分析報告中評價過的安全重要構(gòu)筑物、系統(tǒng)和設(shè)備故障概率的增加

超過篩選限值；

（3）導(dǎo)致最終安全分析報告中評價過的事故后果的增加超過篩選限值；

（4）導(dǎo)致最終安全分析報告中評價過的安全重要構(gòu)筑物、系統(tǒng)和設(shè)備故障后果的增加

超過篩選限值；

（5）導(dǎo)致最終安全分析報告中未曾評價過的事故；

（6）導(dǎo)致安全重要構(gòu)筑物、系統(tǒng)和設(shè)備產(chǎn)生最終安全分析報告中未曾評價過后果的故

障；

（7）導(dǎo)致超過或者改變裂變產(chǎn)物屏障設(shè)計基準限值；

（8）導(dǎo)致與最終安全分析報告中用于建立設(shè)計基準或者安全分析的評價方法的偏離。

3.3.2修改涉及的每一個要素都應(yīng)當獨立評價，如果要素之間相互關(guān)聯(lián)，則可以一起評

價，例如：

（1）要素之間是互相依存的關(guān)系。如修改某一系統(tǒng)或部件時，還需要修改其他系統(tǒng)或

規(guī)程；

（2）多個要素共同完成一個設(shè)計或運行功能。例如：對某個泵進行升級改造，那么其

支持系統(tǒng)（如冷卻水系統(tǒng)）也需要修改。

9

3.4修改的設(shè)計與審查

3.4.1修改應(yīng)當盡可能地減小對原設(shè)計功能的偏離。當這些偏離不可避免時，應(yīng)當根據(jù)

《核動力廠設(shè)計安全規(guī)定》（HAF102）進行評價，以表明該偏離是可以接受的。

3.4.2營運單位應(yīng)當在修改設(shè)計階段考慮建造、安裝、調(diào)試、設(shè)備驗收、試驗（包括驗

收標準）和運行維修的要求，并根據(jù)修改的重要性進行安全分析。

3.4.3安全分析

3.4.3.1安全分析應(yīng)當由具備相應(yīng)能力的人員采用系統(tǒng)的方法完成，并由與執(zhí)行安全分析

人員無關(guān)的安全專家審查。

3.4.3.2安全分析用以確定修改是否會產(chǎn)生安全后果以及是否符合核動力廠設(shè)計和運行

相關(guān)要求。分析范圍除了修改的構(gòu)筑物、系統(tǒng)和設(shè)備外，還應(yīng)當包括修改的構(gòu)筑物、系統(tǒng)和

設(shè)備及其相關(guān)系統(tǒng)對其鄰近的構(gòu)筑物、系統(tǒng)和設(shè)備的影響，以及對與其相連接的系統(tǒng)或者支

持系統(tǒng)（例如電力供應(yīng)）的影響。當修改對其它構(gòu)筑物、系統(tǒng)和設(shè)備造成影響時，還應(yīng)當評

價這些影響是否滿足本章所給出的篩選準則。

3.4.3.3安全分析應(yīng)當包括修改實施期間以及實施后的核動力廠調(diào)試、試驗、維修和運行

中可能引起的放射性危害后果的分析。

3.4.3.4安全分析應(yīng)當表明，修改后的核動力廠能夠安全運行并滿足相關(guān)安全要求，并且

應(yīng)當在修改實施前特別考慮以下內(nèi)容：

（1）所有核動力廠狀態(tài)均滿足相關(guān)安全要求；

（2）與核安保相關(guān)的接口；

（3）在任何核動力廠狀態(tài)下，修改后的構(gòu)筑物、系統(tǒng)和設(shè)備對其他安全重要構(gòu)筑物、

系統(tǒng)和設(shè)備的設(shè)計功能不會產(chǎn)生明顯不利的影響；

（4）修改未充分執(zhí)行或未恰當執(zhí)行的潛在后果；

（5）修改既不會明顯增加職業(yè)照射或公眾照射風險（符合ALARA原則），也不會明顯

增加事故風險；

（6）修改對核動力廠安全的不利影響，或者可能引起的新的危害；

（7）充分評價修改的構(gòu)筑物、系統(tǒng)和設(shè)備對安全分析報告考慮的事故序列在技術(shù)和運

行上的影響；

（8）采用適當?shù)脑u價方法對修改的構(gòu)筑物、系統(tǒng)和設(shè)備的每種確定的故障模式進行評

價；

（9）評價和分析潛在內(nèi)、外部事件的影響和未經(jīng)充分鑒定的構(gòu)筑物、系統(tǒng)和設(shè)備在承

受內(nèi)、外部事件時引起的后果；

（10）評價修改的環(huán)境影響；

（11）評價修改實施過程產(chǎn)生的安全后果（包括臨時設(shè)備對核動力廠運行的影響），以

10

及修改實施過程中核動力廠承受預(yù)計運行事件和事故的能力；

（12）審查與其他設(shè)計修改的潛在相互影響，因為后續(xù)的修改可能依賴于先前的修改；

（13）調(diào)試試驗的范圍應(yīng)當滿足系統(tǒng)規(guī)格書；

（14）對修改產(chǎn)生的放射性廢物的管理；

（15）考慮修改實施中所需要閉鎖的安全信號和調(diào)整的運行限值和條件，并保證必要時

復(fù)原這些措施的步驟已準備就緒；

（16）對于已在相似電廠執(zhí)行過的修改，在采用其設(shè)計文檔、應(yīng)用程序或者測試程序前，

應(yīng)當充分評估電廠之間的差異。

3.4.3.5安全分析應(yīng)當包括確定論安全分析，并在必要時應(yīng)進行概率論安全分析。如果用

于概率安全分析的核動力廠專用模型是適用和可靠的，應(yīng)當進行定量評價來確定修改對核動

力廠總風險的影響，以支持修改方案和提出補充要求。

3.5修改之間的相互影響

3.5.1應(yīng)當特別注意修改之間的內(nèi)在關(guān)聯(lián)，避免在核動力廠同一部分或相關(guān)聯(lián)部分同時

進行兩個或多個可能互相沖突的修改，以及避免同時進行多個修改導(dǎo)致共因失效。

3.5.2應(yīng)當注意各項修改之間的相互關(guān)系。對構(gòu)筑物、系統(tǒng)和設(shè)備修改時，有關(guān)的運行

指令和程序應(yīng)當進行相應(yīng)修改；當運行限值和條件修改時，有關(guān)的運行指令和程序通常應(yīng)相

應(yīng)更新，在某些情況下相關(guān)的構(gòu)筑物、系統(tǒng)和設(shè)備可能也要修改。

3.5.3應(yīng)當考慮修改對培訓(xùn)程序和核動力廠模擬機的影響，當修改影響了其適用性或培

訓(xùn)效果時，應(yīng)當及時對其進行升版或改造。并在必要時基于改造后的模擬機對相關(guān)人員重新

進行相關(guān)培訓(xùn)和授權(quán)。

3.5.4設(shè)計、施工、運行、維修和培訓(xùn)人員之間應(yīng)當密切聯(lián)系與合作，以保證有效地完

成所有必需的支持活動，從而確保修改完成后的核動力廠安全運行。

4.運行限值和條件的修改

4.1運行限值和條件的修改均屬于安全重要修改，應(yīng)當符合《核動力廠調(diào)試和運行安全

規(guī)定》（HAF103）相關(guān)規(guī)定。

4.2隨著核動力廠修改的實施、安全基準的變化、經(jīng)驗積累和技術(shù)發(fā)展，應(yīng)當在必要時

重新評價和修改運行限值和條件。對運行限值和條件的修改還需要分析和考慮定期試驗或調(diào)

試試驗的結(jié)果。

4.3對運行限值和條件進行修改時，通常與之相互關(guān)聯(lián)的程序和文件也應(yīng)當進行相應(yīng)修

改，某些情況下相關(guān)的構(gòu)筑物、系統(tǒng)和設(shè)備也可能需要進行修改。

4.4對于運行限值和條件的臨時性修改，應(yīng)特別注意分析這些修改的安全后果。即使是

11

臨時性修改，也應(yīng)當接受與永久性修改相同水平的評價和批準。當永久性修改可以作為理想

方案時，應(yīng)當采用永久性修改。

5.程序和文件的修改

5.1對于程序和文件的修改，營運單位應(yīng)當在正式使用前對其有效性進行驗證與確認，

對其他受影響的程序和文件進行修訂，并對相關(guān)人員進行必要的補充培訓(xùn)。

5.2對于以下程序和文件進行的修改屬于安全重要修改：

（1）核設(shè)施運行申請書；

（2）國家核安全局規(guī)定需要報送的安全分析報告的相關(guān)內(nèi)容；

（3）核動力廠運行質(zhì)量保證大綱；

（4）核動力廠場內(nèi)核事故應(yīng)急預(yù)案；

（5）在役檢查大綱；

（6）裝換料大綱；

（7）維修大綱；

（8）調(diào)試大綱；

（9）國家核安全局批準的其他與核安全有關(guān)的程序和文件。

對于這些程序和文件的修改，營運單位應(yīng)當保存相關(guān)資料并在核動力廠壽期內(nèi)可以查

閱，以備監(jiān)管單位進行監(jiān)督檢查。

5.3當程序和文件的修改是由營運單位組織機構(gòu)調(diào)整所導(dǎo)致時，組織機構(gòu)的調(diào)整應(yīng)遵循

《規(guī)定》《核動力廠營運單位的組織和安全運行管理》（HAD103/06）以及《核動力廠營運

單位的應(yīng)急準備和應(yīng)急響應(yīng)》（HAD002/01）的相關(guān)要求。組織機構(gòu)調(diào)整前應(yīng)進行必要的內(nèi)

部獨立審查，以確認有關(guān)安全管理（包括充分的控制和監(jiān)督）的規(guī)定不會受到影響。

應(yīng)做好培訓(xùn)工作以確保相關(guān)人員充分了解組織機構(gòu)調(diào)整后的職能、分工和職責，并避

免組織機構(gòu)頻繁調(diào)整對核動力廠安全運行可能造成的不利影響。

12

名詞解釋

設(shè)計基準

用于確定核動力廠構(gòu)筑物、系統(tǒng)和設(shè)備執(zhí)行特定功能的信息，以及用于確定設(shè)計參考邊

界的控制參數(shù)特定值或取值范圍。這些值可能是（1）為實現(xiàn)功能目標，來自普遍接受的“達

到最高水準的”實踐限制，或（2）來自假想事故影響分析（基于計算和/或?qū)嶒灒┑囊螅?/p>

假想事故中構(gòu)筑物、系統(tǒng)和設(shè)備必須滿足其功能目標。

安全基準

在核動力廠運行許可證申請和運行期間，營運單位為滿足核安全管理要求所作的，并由

國家核安全局批準或認可的承諾。

安全基準應(yīng)當包括：

（1）有效的核動力廠安全分析報告中與安全重要物項有關(guān)的內(nèi)容及安全重要物項設(shè)計、

建造、運行所遵循的核安全標準和規(guī)范；

（2）由國家核安全局批準的其它核動力廠運行許可證申請文件；

（3）沒有納入安全分析報告的國家核安全局所要求或批準的安全重要修改；

（4）核動力廠運行許可證條件；

（5）在核安全審評或檢查等活動中，營運單位為滿足核安全管理要求向國家核安全局

所作的書面承諾。

核動力廠配置

核動力廠的構(gòu)筑物、系統(tǒng)和設(shè)備以及其他組成部分的物理、功能和運行特征，包括：

（1）構(gòu)筑物、系統(tǒng)和設(shè)備；

（2）運行限值和條件；

（3）程序和文件；

（4）計算機系統(tǒng)；

（5）組織機構(gòu)及規(guī)章制度。

數(shù)字化修改

涉及到一臺或多臺計算機的修改，例如：計算機、計算機程序、數(shù)據(jù)（及其演示）、嵌

入式數(shù)字設(shè)備、軟件、固件、硬件、人機接口、微處理器和可編程數(shù)字設(shè)備等修改。通常包

括以下三類活動：

（1）軟件相關(guān)活動；

（2）硬件相關(guān)活動；

（3）人機界面相關(guān)活動。

13

篩選限值

構(gòu)筑物、系統(tǒng)和設(shè)備的安全重要修改篩選準則中給出的事故頻率、故障概率或放射性后

果的增加限值。

14

附錄A

構(gòu)筑物、系統(tǒng)和設(shè)備安全重要修改申請報告的格式和內(nèi)容

1修改的申請說明

說明擬修改的構(gòu)筑物、系統(tǒng)和設(shè)備的現(xiàn)狀、修改原因和必要性、修改要達到的目標。

2修改方案

2.1總體情況

全面、完整、清晰地描述修改范圍、對象和實施方式，詳略程度根據(jù)修改的安全分析

所需的輸入條件確定，必要時輔以相關(guān)圖紙說明。

2.2相關(guān)的程序和文件修改

描述修改可能影響的相關(guān)程序和文件清單，并給出更新時限，例如：運行規(guī)程、維修

規(guī)程、定期試驗規(guī)程、事故規(guī)程、嚴重事故管理導(dǎo)則等。重點說明最終安全分析報告等執(zhí)照

申請文件中需要相應(yīng)修改的內(nèi)容，給出原始頁和修訂頁。

2.3實施計劃

說明修改計劃實施的步驟和時間安排。

2.4質(zhì)量保證工作

說明與修改有關(guān)的質(zhì)量保證要求和落實計劃。

3修改的設(shè)計論證

3.1設(shè)計依據(jù)

說明構(gòu)筑物、系統(tǒng)和設(shè)備修改有關(guān)的法律、法規(guī)、標準和規(guī)范。

3.2經(jīng)驗反饋

通過調(diào)研，說明其他電廠是否實施過類似的修改；如是，說明本修改方案在設(shè)計時如何

分析和應(yīng)用其他電廠的實施經(jīng)驗。

15

3.3可行性分析和結(jié)論

說明修改方案的合理性、可行性以及能否達到修改預(yù)期目標。

4修改的安全分析

對修改方案（包括實施過程和完成后）所造成的影響進行分析，評價這些影響是否會產(chǎn)

生安全后果以及是否符合核動力廠設(shè)計和運行相關(guān)要求，確保修改滿足安全基準。分析應(yīng)以

確定論為主，必要時，還應(yīng)提供概率論安全分析評價過程和結(jié)果。

4.1修改的影響范圍

根據(jù)修改方案，分析修改對系統(tǒng)和環(huán)境造成的影響，確定修改的邊界和影響（包括實體、

系統(tǒng)和控制的邊界以及修改實施的環(huán)境條件）。

4.1.1受影響的構(gòu)筑物、系統(tǒng)和設(shè)備

逐項列出所有受影響的構(gòu)筑物、系統(tǒng)和設(shè)備（包括修改本身和其他受影響的構(gòu)筑物、系

統(tǒng)和設(shè)備）及其相關(guān)信息，包括：

（1）安全分級

包括安全等級、規(guī)范等級、質(zhì)保等級和抗震等級等。

（2）原設(shè)計功能

逐項說明在最終安全分析報告中描述的設(shè)計功能。

（3）設(shè)備鑒定要求

逐項說明在最終安全分析報告中描述的相關(guān)設(shè)備鑒定要求，如果實際鑒定要求與最終安

全分析報告的要求不同，需提交相關(guān)證明材料。

4.1.2設(shè)計功能影響分析

針對4.1.1中給出的受影響的構(gòu)筑物、系統(tǒng)和設(shè)備，逐項說明修改方案和實施方案對其

設(shè)計功能造成的影響（包括有利影響和不利影響），影響的分析可參考本導(dǎo)則第3章。

4.2報送理由

根據(jù)4.1中進行的影響分析，說明修改需要報送國家核安全局批準的原因。

16

4.2.1篩選范圍

說明修改屬于篩選范圍的原因，并列出所涉及的本導(dǎo)則3.2節(jié)中的具體條款。

4.2.2篩選準則

對本導(dǎo)則3.3節(jié)中每條篩選準則進行分析，逐一說明修改是否滿足篩選準則并給出分析

過程。

4.3修改方案的安全分析

對修改方案造成的安全后果進行分析與評價。

4.3.1對核動力廠安全運行的影響

評價修改方案（包括實施過程和完成后）是否會對核動力廠的運行控制、事故響應(yīng)和放

射性后果等造成的影響（包括對原有運行限值和條件及事故規(guī)程的影響），修改后核動力廠

的所有狀態(tài)均應(yīng)滿足相關(guān)安全要求。

4.3.2修改方案的危害評價

評價修改方案（包括實施過程和完成后）是否會增加內(nèi)、外部危害或受到內(nèi)、外部危害

的影響，如臨時性設(shè)備、潛在火災(zāi)、化學制品或者爆炸物的使用對核安全的影響。

4.3.3輻射防護措施和放射性廢物管理方案

對修改所涉及輻射防護措施和放射性廢物管理方案進行概述。

4.3.4與其他修改和維修的相互影響

分析修改方案（包括實施過程和完成后）與其他修改和維修活動是否相互影響，以保證

修改的可實施性及核動力廠的整體安全運行。

4.3.5安全分析結(jié)論

給出最終的安全分析結(jié)論，說明修改方案是否滿足核動力廠設(shè)計和運行相關(guān)要求。

5修改投用前的試驗、驗證和檢查

列出修改投用前需要進行的試驗、驗證和檢查項目和驗收準則，并說明這些項目是否足以

驗證修改達到預(yù)期目的和確保機組滿足運行限值和條件。

17

6營運單位對修改方案的審查意見

說明修改方案審查情況和審查結(jié)論，如開展了獨立審查，還應(yīng)包括獨立審查的情況。

7國家核安全局要求的其他資料

18

附錄B

安全重要修改的篩選準則

1.導(dǎo)致最終安全分析報告中評價過的事故發(fā)生頻率的增加超過篩選限值

首先識別出修改影響的最終安全分析報告中評價過的事故，然后再確定該事故的發(fā)生頻

率增加是否超過了篩選限值。

對于大多數(shù)反應(yīng)堆，基于發(fā)生的頻率對事故和瞬態(tài)進行分類。國內(nèi)壓水堆核動力廠通常

定義了以下幾種設(shè)計基準核動力廠狀態(tài)：

（1）正常運行；

（2）預(yù)計運行事件；

（3）稀有事故；

（4）極限事故。

在同一類狀態(tài)下，修改有可能導(dǎo)致事故的發(fā)生頻率變化超過篩選限值，當這種情況出現(xiàn)，

或者修改導(dǎo)致事故從一個狀態(tài)分類變?yōu)榱硪粋€狀態(tài)分類時，認為修改滿足篩選準則。

一般情況下，基于定性評價（采用與最終安全分析報告的分析假設(shè)相一致的工程評價）

確定頻率是否增加，也可通過核動力廠特定的事故頻率計算或者概率安全分析進行定量評

價。概率安全分析僅是評價修改影響的工具，使用概率安全分析不是本條準則篩選準則進行

評價的強制要求。

在適當?shù)那闆r下，可以采用工程實踐、工程判斷以及概率安全分析技術(shù)來確定修改是

否會導(dǎo)致事故發(fā)生頻率的增加超過篩選限值。通過特定核動力廠和通用性研究，在事故發(fā)生

頻率和風險重要序列領(lǐng)域得到的研究成果，在適當?shù)那闆r下可以用于確定哪些事故發(fā)生的頻

率增加大于篩選限值。只有在修改對事故頻率的影響可辨別并且能夠歸因到修改的情況下，

才考慮事故發(fā)生頻率的增加是否超過篩選限值。由于自然現(xiàn)象發(fā)生頻率是核安全許可內(nèi)容的

一部分，并且預(yù)計不會改變，對地震、龍卷風以及其他自然現(xiàn)象的設(shè)計要求的修改應(yīng)當視為

潛在影響構(gòu)筑物、系統(tǒng)和設(shè)備故障的概率，而不是影響事故發(fā)生頻率。

對于數(shù)字化修改，應(yīng)當特別關(guān)注以下幾點：

（1）重點分析是否導(dǎo)致了事故的始發(fā)事件概率增加。所有的始發(fā)事件均應(yīng)歸因于設(shè)備

或者人員，因此分析時應(yīng)當綜合考慮設(shè)備和人員的因素；

（2）始發(fā)事件的設(shè)備因素包括數(shù)字化特有的和非數(shù)字化特有的。數(shù)字化特有的因素例

19

如軟件本身的共因故障；非數(shù)字化特有的因素例如因數(shù)字化系統(tǒng)對環(huán)境的適應(yīng)性導(dǎo)致的共因

故障；

（3）要考慮修改中相互依存的有利和不利因素的綜合影響，例如軟件共因故障的不利

影響可能部分或者全部被數(shù)字系統(tǒng)的有利影響所抵消。

事故發(fā)生頻率變化是否超過篩選限值可進行如下判斷：

（1）當頻率變化很小或者頻率變化沒有增加趨勢時，修改對事故發(fā)生頻率的影響可以

忽略不計，認為未超過篩選限值；

（2）修改滿足適用的核安全要求以及設(shè)計、材料與建造等標準，則認為未超過篩選限

值。反之，則認為可能超過篩選限值；

（3）計算事故發(fā)生頻率的增加：

a.修改后事故頻率增加不超過10%，或；

b.修改后的事故或者瞬態(tài)頻率低于10-6或特定的核動力廠閾值。

滿足a或b時認為未超過篩選限值。

如果修改導(dǎo)致事故發(fā)生頻率增加且無法忽略，但無法給出定量的評價結(jié)果時，應(yīng)當保

守地認為修改滿足本條篩選準則。

需要說明的是，即使修改導(dǎo)致的事故頻率增加低于篩選限值，修改仍必須滿足適用的

法規(guī)、導(dǎo)則和所須遵循的其他驗收準則（如國家標準、行業(yè)標準及行業(yè)內(nèi)廣泛認可的標準規(guī)

范），以及相關(guān)的設(shè)計、制造、建造、測試和性能要求。

2.導(dǎo)致最終安全分析報告中評價過的安全重要構(gòu)筑物、系統(tǒng)和設(shè)備故障概率的增加超過篩選

限值

安全重要構(gòu)筑物、系統(tǒng)和設(shè)備的故障是指構(gòu)筑物、系統(tǒng)和設(shè)備無法執(zhí)行其安全分析報告

中描述的設(shè)計功能。在確定安全重要構(gòu)筑物、系統(tǒng)和設(shè)備故障概率是否發(fā)生變化時，首先應(yīng)

當確定修改影響哪些構(gòu)筑物、系統(tǒng)和設(shè)備，然后確定構(gòu)筑物、系統(tǒng)和設(shè)備受哪些影響。如果

修改涉及不同后果的故障，需要根據(jù)本附錄第6節(jié)來考慮故障的影響或者后果。

評價應(yīng)包括直接和間接影響。直接影響是指那些對構(gòu)筑物、系統(tǒng)和設(shè)備的直接修改。

間接影響是指修改影響一個構(gòu)筑物、系統(tǒng)和設(shè)備且該構(gòu)筑物、系統(tǒng)和設(shè)備影響另一構(gòu)筑物、

系統(tǒng)和設(shè)備執(zhí)行最終安全分析報告中描述的設(shè)計功能的能力；需要注意的是，某些設(shè)計功能

雖然沒有在安全分析中特別指明，但安全分析論證了這些設(shè)計功能的適宜性，因此也屬于評

價間接影響時需要考慮的范圍。

在確定修改對安全重要構(gòu)筑物、系統(tǒng)和設(shè)備的影響之后，需要確定安全重要構(gòu)筑物、

20

系統(tǒng)和設(shè)備故障概率增加是否超過篩選限值。只有在修改對故障概率的影響可辨別并且能夠

歸因到修改的情況下，才考慮故障概率是否超過篩選限值。

一般情況下，采用適當?shù)墓こ潭ㄐ耘袛嗷蚬こ滔壤齺泶_定故障概率是否超過篩選限值。

如果合適且可行的話，可采用適當?shù)挠嬎銇矶空撟C故障概率變化。

當故障概率變化很小或者沒有概率增加趨勢時，修改對故障概率的影響可以忽略不計，

即可認為不超過篩選限值。

修改對故障概率的影響要依據(jù)最終安全分析報告中描述的詳細程度進行評價。故障概

率是否超過篩選限值的評價要與最終安全分析報告描述的故障模式和影響分析的程度相一

致。評價除了需要考慮之前已經(jīng)評價過的故障以及始發(fā)事件或者緩解措施的影響外，還需要

考慮修改的本質(zhì)特征。例如，如果之前的評價是基于各通道相互獨立的，那么引起交叉或者

可信共模故障（比如，模擬升級到數(shù)字信號導(dǎo)致的）的修改需要進一步評價，以確定故障概

率是否增加。

地震、龍卷風和其他自然現(xiàn)象有關(guān)設(shè)計要求的修改應(yīng)當視為對構(gòu)筑物、系統(tǒng)和設(shè)備故

障概率的潛在影響。

對于數(shù)字化修改，應(yīng)當特別關(guān)注以下幾點：

（1）重點分析是否導(dǎo)致了事故的始發(fā)事件概率增加。所有的始發(fā)事件均應(yīng)歸因于設(shè)備

或者人員，因此分析時應(yīng)當綜合考慮設(shè)備和人員的因素；

（2）始發(fā)事件的設(shè)備因素包括數(shù)字化特有的和非數(shù)字化特有的。數(shù)字化特有的因素例

如軟件本身的共因故障，非數(shù)字化特有的因素例如因數(shù)字化系統(tǒng)對環(huán)境的適應(yīng)性導(dǎo)致的共因

故障；

（3）故障概率的定量數(shù)值通常難以獲得，所以使用定性分析是可行的。要考慮修改中

相互依存的兩方面的綜合影響，例如軟件共因故障的不利影響可能部分或者全部被數(shù)字系統(tǒng)

的有利影響所抵消。

數(shù)字化修改引入的資源共享（例如雙向通信，電源，控制器和多功能顯示控制站）可

能會降低設(shè)計功能的多重性、多樣性、實體隔離或獨立性。如有降低，通常即認為安全重要

構(gòu)筑物、系統(tǒng)和設(shè)備故障發(fā)生概率的增加超過篩選限值；但這不包括營運單位將額外的多重

性、多樣性、實體隔離或獨立性降低到最終安全分析報告所認可程度的情況。

以下是構(gòu)筑物、系統(tǒng)和設(shè)備故障發(fā)生概率的增加不超過篩選限值的例子：

（1）安裝額外設(shè)備或者裝置的修改（比如電纜、手動閥門或保護設(shè)施），只要能夠滿

足所有適用的設(shè)計和功能要求（包括適用的法規(guī)和標準等）。比如，給斷路器增加保護裝置

21

或者安裝一個額外的疏水管道（有合適的隔離能力）不會導(dǎo)致故障概率超過篩選限值；

（2）一種部件替換另一功能相似的部件的修改，只要能夠滿足所有適用的設(shè)計和功能

要求（包括適用的法規(guī)，標準等），并且現(xiàn)有分析已經(jīng)包絡(luò)了任何新的故障模式；

（3）修改滿足適用的設(shè)計基準要求。比如地震和風力荷載，實體隔離準則，環(huán)境鑒

定等；

（4）涉及新增或者改變操縱員行動的修改，該行動支持安全分析中考慮的設(shè)計功能，

應(yīng)滿足以下要求：

—該行動（包括要求完成時間）已經(jīng)反映在核動力廠程序和操縱人員培訓(xùn)程序中；

—營運單位已經(jīng)論證該行動能夠在考慮了所需時間之內(nèi)完成。所需時間要考慮該行動

執(zhí)行時所處的工作負荷、環(huán)境條件；

—修改的評價考慮了從手動操作的可信錯誤中恢復(fù)的能力以及完成該恢復(fù)所需要的

時間；

—評價考慮了修改對核動力廠系統(tǒng)的影響。

以下是導(dǎo)致安全重要構(gòu)筑物、系統(tǒng)和設(shè)備故障概率增加超過篩選限值的例子：

（1）修改導(dǎo)致設(shè)計應(yīng)力超過法規(guī)或設(shè)計規(guī)范容許值、其他許用應(yīng)力或者變形極限（如

有），包括供應(yīng)商為確保泵功能而規(guī)定的泵殼應(yīng)力極限；

（2）修改降低系統(tǒng)/設(shè)備的冗余性、多樣性、實體隔離或者獨立性；

（3）修改（永久地）用手動操作代替自動動作，以執(zhí)行最終安全分析報告中描述的設(shè)

計功能；

（4）修改導(dǎo)致故障概率超過原來的2倍。注意：該評價需應(yīng)用在部件級別上。當滿足

該準則時，還可能滿足其他篩選準則，比如導(dǎo)致事故發(fā)生頻率的增加超過篩選限值。

如果修改導(dǎo)致的故障概率增加無法忽略，但無法給出定量評價結(jié)果時，應(yīng)當保守地認

為修改滿足本條準則。

需要說明的是，即使修改導(dǎo)致的故障概率增加低于篩選限值，修改仍必須滿足適用的

法規(guī)和導(dǎo)則要求和所遵循的其他驗收準則（如國家標準、行業(yè)標準及行業(yè)內(nèi)廣泛認可的標準

規(guī)范），以及相關(guān)的設(shè)計、制造、建造、測試和性能要求。

3.導(dǎo)致最終安全分析報告中評價過的事故后果的增加超過篩選限值

核動力廠的安全目標是在核動力廠中建立并保持對放射性危害的有效防御，以保護人

與環(huán)境免受放射性危害，因此本導(dǎo)則關(guān)注的后果增加是指對公眾或者從業(yè)人員的放射性劑量

增加。

22

后果包括最終安全分析報告評價過的所有事故引起的劑量，事故范圍包括在最終安全分

析報告專設(shè)安全設(shè)施和事故分析以及其他章節(jié)中描述的核動力廠設(shè)計中需要考慮的事故或

事件（如汽輪機飛射物和水淹），但是不包括日常運行、維護、試驗等引起的職業(yè)照射。職

業(yè)照射劑量應(yīng)當采用合理可行盡量低原則（ALARA）來控制和維持。

如果修改引起了屏障性能改變或者不會導(dǎo)致對公眾或者從業(yè)人員的放射性劑量增加的

后果，則依據(jù)本附錄第7節(jié)或者其他準則來評價其影響。

評價的第一步為定性判斷，確定最終安全分析報告中評價過的哪些事故的放射性后果可

能會受到修改的影響，一些有助于作出判斷的問題舉例如下：

（1）修改是否會改變、阻止或降低最終安全分析報告中描述或假設(shè)的事故應(yīng)對行動的

有效性？

（2）修改是否會改變最終安全分析報告中已描述的事故放射性后果評價的假設(shè)條件？

（3）修改是否會對緩解最終安全分析報告中描述的事故放射性后果產(chǎn)生影響？

評價的第二步為定量判斷，確定修改是否會增加最終安全分析報告中評價過的事故的

放射性后果，如果認為修改會對最終安全分析報告中描述的事故分析的放射性后果有影響，

那么必須進行以下分析：

（1）修改后的放射性后果是否能被原最終安全分析報告中的分析包絡(luò)；

（2）修改的影響是否超出篩選限值。

對于一個給定事故，最終安全分析報告中確定了劑量的計算值或邊界值。這些值滿足《核

動力廠環(huán)境輻射防護規(guī)定》（GB6249）或事故分析的驗收準則。

對于在主控室外執(zhí)行要求行動的人員劑量，如果任務(wù)劑量超出相關(guān)標準要求，則認為事

故后果的增加超過篩選限值。

事故導(dǎo)致的主控室內(nèi)和場外劑量后果變化不超過篩選限值需滿足以下條件：

（1）修改導(dǎo)致的劑量增加小于或等于原后果的計算值與標準限值差值的10%，標準限

值是指《核動力廠環(huán)境輻射防護規(guī)定》（GB6249）中規(guī)定的放射性限值；

（2）修改后事故的劑量滿足事故分析的驗收準則。

如果修改導(dǎo)致事故后果變化很小或者不確定后果是否發(fā)生變化以致不能合理得出后

果實際發(fā)生變化的結(jié)論（即后果增加趨勢不顯著）時，不認為后果增加。

如果修改導(dǎo)致事故后果增加且無法被原事故分析包絡(luò)，但無法給出定量評價結(jié)果時，

應(yīng)當保守地認為修改滿足本條準則。

4.導(dǎo)致最終安全分析報告中評價過的安全重要構(gòu)筑物、系統(tǒng)和設(shè)備故障后果的增加超過篩選

23

限值

要判斷修改是否會導(dǎo)致故障后果的增加超過篩選限值，第一步是判斷修改影響了哪些最

終安全分析報告中評價過的有放射性后果的故障。第二步是判斷修改是否增加放射性后果，

如果有增加的話，判斷是否超過了篩選限值。本準則的篩選限值與篩選準則3一致（參考本

附錄第3節(jié)）。

5.導(dǎo)致最終安全分析報告中未曾評價過的事故

最終安全分析報告中未曾評價的事故與評價過的事故在類型上有所區(qū)別，但具有相似

的概率和重要度，需要開展不同的事故分析，而不是對已有安全分析進行簡單修改。

要評價修改是否會引發(fā)最終安全分析報告中未曾評價過的事故，首先要確定最終安全

分析報告中已經(jīng)評價過的事故類型。

最終安全分析報告的事故分析所假設(shè)的事故通常指“設(shè)計基準事故”，包括LOCA、

其他管道破裂、彈棒等。在概率安全分析中，瞬態(tài)通常被視為始發(fā)事件，事故通常指核動力

廠和安全系統(tǒng)的各種響應(yīng)動作組合引起的序列。本條篩選準則關(guān)注與設(shè)計基準事故頻度和重

要性相類似的事故發(fā)生可能性。因此，多重獨立失效或其他情況造成的事故不滿足本條篩選

準則。

有些特定的事故不在最終安全分析報告進行討論，因為這些事故的影響能夠被其他分

析的事故所包絡(luò)。例如，一個小管線的假想管道破裂可能不會在最終安全分析報告中專門評

價，因為該事故沒有同一區(qū)域大管線的假想管道破裂嚴重。因此，如果一項修改可能在該區(qū)

域引入一個小管線破口，該小管線的破裂假設(shè)不作為最終安全分析報告中未曾評價過的事故

來考慮。

最終安全分析報告對許多瞬態(tài)和事故或始發(fā)事件進行了評價，并根據(jù)事故影響對事故

進行了分類，例如將造成一回路超壓進而可能威脅一回路完整性的事故分為一類。這種分類

方式為比較不同事故提供了基礎(chǔ)，可以通過對某類事故中的限制性事故序列（即可能挑戰(zhàn)驗

收準則的事故序列）進行識別和分析，這樣就不必再對非限制性事故序列作進一步分析，最

終安全分析報告中也不會對非限制性事故序列進行討論。為了幫助識別出未曾評價的事故，

要認識到最終安全分析報告的事故分析是基于已有設(shè)備的可信失效模式進行的，再判斷修改

是否改變了限制性事故序列的基礎(chǔ)。

未曾評價的事故僅限于那些與最終安全分析報告評價的事故概率相當?shù)氖鹿?，且在?/p>

前安全分析所采用的假設(shè)條件范圍（如隨機單一故障、喪失廠外電等）內(nèi)是可信的。對于導(dǎo)

致最終安全分析報告中評價過的事故的新始發(fā)事件，不認為導(dǎo)致了最終安全分析報告中未曾

24

評價過的事故。

當修改引起以前認為不可信的事故的頻率增加到與最終安全分析報告中評價過的事故

的頻率相當時，認為修改導(dǎo)致了最終安全分析報告中未曾評價過的事故。例如，蒸汽發(fā)生器

多根傳熱管破裂等嚴重事故已經(jīng)被廣泛分析過，但是這些事故的概率極低因此沒有被考慮為

設(shè)計基準的一部分，如果修改導(dǎo)致蒸汽發(fā)生器多根傳熱管破裂這一事故成為可信的，修改就

導(dǎo)致了最終安全分析報告中未曾評價過的事故。

6.導(dǎo)致安全重要構(gòu)筑物、系統(tǒng)和設(shè)備產(chǎn)生最終安全分析報告中未曾評價過后果的故障

安全重要構(gòu)筑物、系統(tǒng)和設(shè)備的故障是指構(gòu)筑物、系統(tǒng)和設(shè)備無法執(zhí)行其安全分析報

告中描述的設(shè)計功能。通常假設(shè)構(gòu)筑物、系統(tǒng)和設(shè)備的單一故障來評價核動力廠性能，評價

重點為故障的后果而非故障原因或類型。本準則關(guān)注的“未曾評價過后果的故障”是指與之

有關(guān)的始發(fā)事件或失效的影響超出最終安全分析報告描述范圍的情形。換言之，如果新的失

效機理導(dǎo)致的故障或后果與最終安全分析報告中分析過的相同或者在其包絡(luò)范圍內(nèi)，那就不

屬于導(dǎo)致未曾評價過后果的故障，舉例如下：

（1）更改泵的設(shè)計，可能會引入新的失效機理導(dǎo)致泵運轉(zhuǎn)失效。如果最終安全分析報

告評價過或能包絡(luò)該影響，則修改不會產(chǎn)生與最終安全分析報告不同后果的故障。

（2）給水控制系統(tǒng)由模擬系統(tǒng)升級為數(shù)字系統(tǒng)，新增加的部件會以與原有設(shè)計不同的

方式失效。如果部件或子系統(tǒng)失效的最終后果與最終安全分析報告中描述的是相同的，或者

在其包絡(luò)范圍內(nèi)（即，最高性能要求的失效，最低性能要求的失效，正常性能要求的失效等），

則該升級不會導(dǎo)致不同后果的故障。

在最終安全分析報告中沒有描述某些特定故障，因為它們的影響在其他故障的包絡(luò)范

圍內(nèi)。例如，在最終安全分析報告中沒有描述為某設(shè)備供油的潤滑油泵的失效，因為已經(jīng)在

最終安全分析報告中描述了運行的輔助部件的失效。

在應(yīng)用本條準則評價修改時，應(yīng)當評價故障的模式和后果，既包括修改導(dǎo)致的，也包括

最終安全分析報告之前分析過的；評價采用的故障模式和影響分析方法應(yīng)與最終安全分析報

告采用的方法一致，某些修改可能需要重新進行分析。需要注意之前的事故分析是在部件級

或是系統(tǒng)級上評價故障的。評價應(yīng)考慮之前已經(jīng)評價過的故障、始發(fā)事件或緩解影響的級別，

還需要考慮修改的本身特性。比如，假設(shè)一個系列失效，由于系列之間是相互獨立的，應(yīng)該

進一步評價修改是否會導(dǎo)致共因或可信共模故障（如模擬系統(tǒng)升級為數(shù)字系統(tǒng)的結(jié)果），以

確定是否會產(chǎn)生未曾評價的后果。

未曾評價過后果的故障限于那些與最終安全分析報告描述的故障概率相當?shù)墓收?。?/p>

25

如，根據(jù)抗震標準設(shè)計的部件由地震引發(fā)的失效不會導(dǎo)致最終安全分析報告中未曾評價過的

后果。當修改引起以前認為不可信的故障概率增加到與最終安全分析報告中分析過的故障概

率相當時，認為修改產(chǎn)生了未曾評價過后果的故障。

一旦確定了最終安全分析報告中評價過的故障及其故障后果，也就可以確定修改導(dǎo)致

的故障模式的類型和后果，將兩項列表進行對比，可以得到評價結(jié)論?？赡軐?dǎo)致未曾評價過

后果的故障例子有：

（1）在應(yīng)急堆芯冷卻系統(tǒng)泵的排出系統(tǒng)上增加一條常開通風管道。新的故障是系統(tǒng)

潛在的排放導(dǎo)致系統(tǒng)不能正常運行。

（2）與安全重要構(gòu)筑物、系統(tǒng)和設(shè)備有關(guān)的主控室報警、控制和顯示的重要修改或者

升級，導(dǎo)致之前的分析或評價所不能包絡(luò)的新失效或者共因失效。

對于數(shù)字化修改，需要特別注意的是，評價是否導(dǎo)致未曾評價的故障需要從“故障發(fā)

生概率相當”和“故障后果的影響”兩個方面分析：

（1）對于“故障發(fā)生概率相當”，如果定性分析結(jié)論為：“故障概率足夠低”，那么

修改不會導(dǎo)致與最終安全分析報告描述的故障概率相當?shù)墓收希簿鸵馕吨薷牟粫?dǎo)致未

曾評價過后果的故障。如果定性分析結(jié)論不是足夠低，表明修改可能會導(dǎo)致與最終安全分析

報告描述的故障概率相當?shù)墓收?，進而可能產(chǎn)生未曾評價過后果的故障，需要采用與最終安

全分析報告相一致的假設(shè)，需要進一步分析潛在故障對安全分析結(jié)果的影響。

（2）對于“故障后果的影響”，通用的分析過程包括以下步驟：

a)識別修改直接或間接影響的功能；

b)識別受影響的功能屬于設(shè)計功能或安全功能；

c)判斷是否需要進行新的故障模式和影響分析評價；

d)判斷每一項安全功能是否仍可執(zhí)行或滿足；

e)識別最終安全分析報告中評價過的安全重要構(gòu)筑物、系統(tǒng)和設(shè)備的全部故障；

f)對安全重要構(gòu)筑物、系統(tǒng)和設(shè)備的每一項故障，比較修改引入的故障后果與已

評價過的故障后果。

7.導(dǎo)致超過或者改變裂變產(chǎn)物屏障設(shè)計基準限值

本條準則評價側(cè)重于裂變產(chǎn)物屏障（燃料包殼、反應(yīng)堆冷卻劑系統(tǒng)壓力邊界和安全殼）

和支持屏障完整性的關(guān)鍵設(shè)計信息。篩選準則的應(yīng)用由兩個步驟組成：

（1）確定受影響的裂變產(chǎn)物屏障設(shè)計基準限值；

（2）確定超出或改變設(shè)計基準限值的情況。

26

（一）確定受影響的裂變產(chǎn)物屏障設(shè)計基準限值

裂變產(chǎn)物屏障的設(shè)計基準限值是許可證審評時確定的控制值，在最終安全分析報告中

描述，用于確定裂變產(chǎn)物屏障完整性。這些設(shè)計基準限值具備三個特征：

（1）這些參數(shù)是屏障完整性的基礎(chǔ)。裂變產(chǎn)物屏障的設(shè)計基準限值為屏障設(shè)計建立了

參考范圍。這些參數(shù)直接決定了裂變產(chǎn)物屏障的性能，也即設(shè)計基準限值是屏障完整性的基

礎(chǔ)，突破設(shè)計基準限值可認為屏障可靠性開始下降。

為了本條準則的評價，需要將直接決定裂變產(chǎn)物屏障完整性的設(shè)計基準參數(shù)與間接影

響裂變產(chǎn)物性能的次級參數(shù)區(qū)分開來。對于次級參數(shù)的變化造成的間接影響，可通過其對保

證裂變產(chǎn)物屏障完整性的諸多重要設(shè)計基準參數(shù)或限值的影響進行評價。例如，輔助給水系

統(tǒng)設(shè)計流量是本條準則評價的次要參數(shù)，輔助給水系統(tǒng)設(shè)計流量降低的可接受程度要根據(jù)其

對反應(yīng)堆冷卻劑系統(tǒng)的設(shè)計基準限值（例如，反應(yīng)堆冷卻劑系統(tǒng)的壓力）的影響來確定。

（2）這些參數(shù)用數(shù)值表示。在核動力廠總體設(shè)計過程中使用數(shù)值來表示設(shè)計基準限值，

而不是功能要求的描述。設(shè)計基準限值通常是事故分析方法使用的數(shù)值驗收準則。核動力廠

最終安全分析報告中描述的相關(guān)設(shè)計和運行參數(shù)要符合或者低于（相比之下更加保守）設(shè)計

基準限值。

（3）設(shè)計基準限值在最終安全分析報告中明確。設(shè)計基準限值會在最終安全分析報告

中或最終安全分析報告所引用的參考資料中描述。

典型裂變產(chǎn)物屏障設(shè)計基準限值舉例如下：

屏障設(shè)計基準參數(shù)典型設(shè)計基準限值