GB/T 13626-2021 单一故障准则应用于核电厂安全系统

　　ICS 27 . 120 . 20 CCS F 83

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 13626—2021

　　代替 GB/T 13626—2008

　　单一故障准则应用于核电厂安全系统

　　Applicationofthesingle-failurecriterionfornuclearpowerplantsafetysystems

　　2021-12-31 发布 2022-07-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　发

　　布

　　GB/T 13626—202 1

　　GB/T 13626—202 1

　　前 言

　　本文件按照 GB/T 1 . 1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规定起草。

　　本文件代替 GB/T 13626—2008《单一故障准则应用于核电厂安全系统》，与 GB/T 13626—2008相比，除结构调整和编辑性改动外，主要技术变化如下：

　　— 更改了共因故障的定义(见 3 . 4 , 2008 年版的 3 . 4) ;

　　— 增加了对于不可探测故障的评估要求(见 5 . 2) ;

　　— 删除了“级联故障”中的例子(见 2008 年版的 5 . 3) ;

　　— 更改了对设计基准事件分析要求的描述(见 5 . 4 , 2008 年版的 5 . 4) ;

　　— 明确共因故障超出单一故障准则的范畴，并补充共因故障的筛查过程(见 5 . 5 , 2008 年版的5 . 5) ;

　　— 更改了“单一故障的设计分析”中的相关描述和章节号(见第 6 章，2008 年版的第 6 章);

　　— 删除了“概率评价特性”(见 2008 年版的 6 . 3 . 2) ;

　　— 增加了不可探测故障举例说明(见附录 A) 。

　　请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别专利的责任。

　　本文件由全国核仪器仪表标准化技术委员会(SAC/TC 30)提出并归口 。

　　本文件起草单位：中国核电工程有限公司、核工业标准化研究所。

　　本文件主要起草人：邢继、陈日罡、廖圣勇、姜明月、崔明路、张冬、王少华、李鹏飞、焦丽玲、杜建。

　　本文件及其所代替文件的历次版本发布情况为：

　　— 1992 年 8 月 首次发布为 GB/T 13626—1992 , 2001 年 4 月 第一次修订，2008 年 7 月 第二次修订;

　　— 本次为第三次修订。

　　GB/T 13626—202 1

　　单一故障准则应用于核电厂安全系统

　　1 范围

　　本文件规定了单一故障准则应用于核电厂安全系统的电源、仪表和控制部分的一般原则和要求。

　　本文件阐明单一故障准则，指导安全系统如何应用单一故障准则并提出了一个可接受的单一故障分析方法，适用于核电厂安全系统。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中，注 日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 7163 核电厂安全系统的可靠性分析要求

　　GB/T 9225 核电厂安全系统可靠性分析一般原则

　　3 术语和定义

　　下列术语和定义适用于本文件。

　　3.1

　　故障 failure

　　失效

　　某物项丧失规定的功能。

　　3.2

　　可探测故障 detectablefailure

　　可以通过定期试验鉴别的故障，或通过报警或异常显示发现的故障。

　　注 1 ：在通道级、序列级或系统级检测出的部件故障都是可探测故障。

　　注 2：可判别但不可探测的故障是通过分析来判断的故障，这些故障不能通过定期试验发现，也不能通过报警或异常显示发现。

　　3.3

　　定期试验 periodictest

　　为探测故障和检查可运行性，按计划的时间间隔所进行的试验。

　　3.4

　　共因故障 commoncausefailure

　　由特定的单一事件或起因导致两个或多个构筑物、系统或部件失效的故障。

　　3.5

　　设计基准事件 designbasisevents

　　在设计中采用的假设始发事件，以便确定构筑物、系统和部件可接受的性能要求。

　　3.6

　　驱动设备 actuationdevice，actuator

　　直接控制执行装置原动力(电力、压缩空气、液压流体等)的部件或一些部件的集合。

　　GB/T 13626—202 1

　　注：例如电路断路器、继电器和先导阀等。

　　3.7

　　执行装置 actuatedequipment

　　完成一个保护动作的原动机和被驱动设备的组合。

　　注：原动机的例子有汽轮机和电磁线圈。 被驱动设备的例子有控制棒、泵和阀门。

　　3.8

　　辅助支持设施 auxiliarysupportingfeatures

　　为安全系统完成其安全功能提供服务(如冷却、润滑和动力服务)的系统或设备。

　　3.9

　　安全系统 safetysystem

　　安全上重要的系统，用于保证反应堆安全停堆、从堆芯排出余热或限制预计运行事件和设计基准事故的后果。

　　3 . 10

　　执行设施 executefeatures

　　由电气设备和机械设备及其连接件组成，在接到来自监测指令设施的信号后，执行与安全功能直接或间接有关的某一功能的设施。

　　注 1 ：执行设施的范围从监测指令设施的输出端开始直到并且包括执行装置与过程的耦合处。

　　注 2：某种瞬态，保护动作可以通过执行设施(如止回阀，自驱动释放阀等)对过程条件的响应来完成。

　　3 . 1 1

　　监测指令设施 senseandcommandfeatures

　　产生与安全功能直接或间接有关的信号的电气和机械设备及其连接件。

　　注：监测指令设施的范围是从被测过程变量开始，直到执行设施输入端为止。

　　3 . 12

　　安全组 safetygroup

　　某一假设始发事件发生时，能完成其要求的安全功能的一组最少量的部件、组件和设备的组合。

　　注：一个安全组包括一个或多个序列。

　　3 . 13

　　安全功能 safetyfunction

　　为把核电厂参数保持在按设计基准事件确定的可接受的限值内，所必需的一种过程或状态(例如应急负反应性引入、事故后热量排出、应急堆芯冷却、事故后放射性物质清除和安全壳隔离)。

　　注：完成某一安全功能是由反应堆停堆系统和辅助支持设施，或者是由专设安全设施和辅助支持设施，或者是由两者共同完成所有必需的保护动作来实现的。

　　3 . 14

　　保护动作 protectionaction

　　为完成某一安全功能，在监测指令设施内产生一个信号，或是执行设施内设备的运行。

　　3 . 15

　　通道 channel

　　在核电厂工况需要时，为产生一个单一保护动作信号所需要的元器件和组件的一种配置。

　　注：一个通道在各单一保护动作信号的汇合处终止。

　　3 . 16

　　冗余设备或系统 redundantequipmentorsystem

　　重复另一设备或系统的必要功能，且不管哪一个处于工作或故障状态，另一个均能完成要求的功能的设备或系统。

　　注：可通过相同的设备、设备多样性或功能多样性来实现冗余。

　　GB/T 13626—202 1

　　3 . 17

　　共用系统 sharedsystems

　　在多机组电厂内，能为一个以上机组完成功能的构筑物、系统和部件。

　　注：共用包括下述含义：

　　a) 系统同时由多个机组共用;

　　b ) 系统按时间序列共用，或者说，按照事件序列在不同时间由两个机组共用;

　　c) 系统在某一给定时间仅由一个机组使用，但它可按指令从该机组断开由另一机组使用。

　　3 . 18

　　系统逻辑 system logic

　　监测两个或两个以上通道的输出并按预定的组合规则(如三取二、四取二等)给出信号的设备。

　　4 单一故障准则

　　对某一设计基准事件，并同时存在下述情况时，安全系统应有能力完成全部要求的安全功能：

　　a) 在安全系统内存在任何单一可探测故障，并同时存在所有可判别的但不可探测的故障;

　　b ) 由单一故障引起的所有故障;

　　c) 导致要求安全功能的设计基准事件或由设计基准事件引起的所有故障和误动作。

　　单一故障可能出现在要求安全系统动作的设计基准事件之前或设计基准事件期间的任何时间。

　　5 要求

　　5 . 1 独立性和冗余性

　　独立性原则是有效应用单一故障准则的基础。 安全系统的设计应使某一部件的单一故障不影响与其冗余的独立部件或系统的正确运行。

　　5 . 2 不可探测的故障

　　单一故障准则应用隐含了故障的可探测性。 可探测性是系统设计和规定试验的功能之一 。不能通过定期试验探测或通过报警、异常显示发现的故障是不可探测故障。 安全系统分析 目 的之一是判别不可探测故障。

　　应通过评估安全系统的设计来判别不可探测故障，包括假定部件级故障，并评估这些故障的影响以及探测这些故障的能力。 某些设计采用冗余的部件，以缓解故障影响、提高系统可用性，或在不影响系统可用性的前提下支持维护。 当对这种结构配置进行失效影响评估时，应特别关注其故障不会被定期试验、报警或异常指示所发现的部件。 不可探测故障的实例见附录 A。

　　当判别了不可探测故障，应采取下列措施之一：

　　— 优先采取的措施是重新设计系统或重新制定试验方案，以使故障成为可探测的;

　　— 另一可采取的措施是在分析每个单一故障的影响时，假定已存在了所有已判别的不可探测故障。

　　5 . 3 级联故障

　　当有理由认为系统中的一些附加故障是由于任一来源的单一故障引起时，则应把这些级联故障统一考虑为单一故障。

　　5 . 4 设计基准事件

　　导致需要执行安全功能的设计基准事件可引起系统部件、组件或通道故障。 为了预防由设计基准

　　GB/T 13626—202 1

　　事件引起的故障，安全设备的设计、鉴定和安装宜考虑对此类故障的防护。 应开展分析确定由设计基准事件引起的安全系统故障的后果。 对于满足单一故障准则的系统，当出现由于设计基准事件导致的故障，可判别的不可探测故障以及任何其他单一故障的情况下，应证明所需的安全功能仍能执行。

　　5 . 5 共因故障

　　对安全系统在共因故障时执行功能的要求超出了单一故障准则和本文件的范畴。 但是，在进行单一故障分 析 时 筛 除 潜 在 的 共 因 故 障 是 非 常 重 要 的 。 作 为 评 估 安 全 系 统 整 体 可 靠 性 的 一 部 分， GB/T 9225在故障模式及影响分析(FMEA)或故障树分析的基础上对于定性分析进行了扩展，考虑了共因故障。 因此，应该采用 GB/T 9225 中扩展的可靠性定性分析，来识别和筛查那些在独立部件故障的分析中通常不被考虑的共因故障机制。

　　不属于单一故障分析范围的共因故障包括：可能由外部环境(如电压、频率、辐射、温度、相对湿度、压力、振动和电磁干扰)、设计缺陷、制造错误、维护错误和运行错误引起的故障。 设备鉴定和质量保证大纲可用于防范外部环境影响、设计缺陷和制造错误。 人员培训、正确的控制室设计和运行、维护、监督规程可用于防范维护和运行人员错误。 对数字化安全系统，共因故障的薄弱环节应进行安全系统相关的多样性和纵深防御评估。 GB/T 9225 给出了导致共因故障的因素以及对于这些筛查出的潜在共因故障可能采取的预防性措施。 从单一故障中筛查共因故障(CCF) 的流程图见图 1 。对于识别出的其他没有预防措施的故障，宜作为单一故障来处理并包含在单一故障的分析中。

　　在 GB/T 13629 中提供了应用多样性和纵深防御来应对数字计算机共因故障的指导。

　　5 . 6 共用系统

　　适用于有共用系统的机组的单一故障准则如下。

　　a) 假设在共用系统内，或辅助支持设施内，或与共用系统接 口 的其他系统存在单一故障的情况下，所有机组的安全系统都应有能力完成其所要求的安全功能。

　　示例：双机组电站的每一机组中相同的安全系统共用相同的应急电源。 但是，共用电源不应以额定值同时为两个系统供电。 每个机组的安全系统设有联锁，以避免两个机组中的某些负荷同时运行。 联锁可防止一个机组内的单一故障影响另一个机组的安全功能。

　　b ) 在每一机组未共用的系统内同时存在一个单一故障时，每一机组的安全系统都应有能力完成其所要求的功能。

　　设计应保证在一个机组内的单一故障不影响(不扩展到)另一机组，从而不妨碍共用系统完成其要求的安全功能。

　　在单一故障分析时，不需要同时考虑 a)和 b) 的故障，即先对电厂进行单一故障分析论证满足准则a),然后重复单一故障分析论证满足准则 b ) 。

　　GB/T 13626—202 1

　　图 1 从单一故障中筛查共因故障(CCF)的流程图

　　6 单一故障的设计分析

　　6 . 1 概述

　　应系统地对设计进行分析，以确定是否存在违反单一故障准则的情况。 本章将按下述步骤对每个设计基准事件进行系统的分析。 本章所建议的方法是一种可接受的分析系统的方法，但不是唯一的方法 。进行单一故障分析的其他方法见 GB/T 9225 。

　　6 . 2 步骤

　　按下述步骤对每个设计基准事件进行系统的分析。

　　a) 应确定要进行分析的安全功能(例如降功率、安全壳隔离、堆芯冷却等)。

　　b ) 应确定用以完成安全功能的系统级保护动作(例如快速插入控制棒、关闭安全壳隔离阀、安全注入、安全壳喷淋等)。

　　GB/T 13626—202 1

　　c) 应确定足以满足所要求安全功能的安全组。

　　d) 在单一故障分析中，应开展系统性的分析来识别单一故障对保护动作的影响。 故障的例子有短路故障、开路故障、接地、直流或交流电压过低、直流或交流电丧失，以及那些由引入的可信最大直流或交流电势引起的或其后果导致的故障。 对于数字化系统，还应考虑控制器、数据通信等故障对保护动作可能的影响。

　　e) 应验证 c)项所确定的安全组的独立性，即通过检查存在足够的安全组，这些安全组没有共用设备(例如共用继电器、开关装置、母线、电源等)或薄弱点(例如安全组间设备的隔离、位置和布置不满足要求等)来验证独立性。 一旦确立了独立性，单一故障分析就可以假设 d)项所述的故障只在一个冗余部分之内发生，确保不违背单一故障准则。

　　注：在某些情况下不能确立独立性(如冗余通道或冗余序列汇集在一起的三取二结构的系统)，而在另一些情况下较容易地确立独立性(如冗余通道或冗余序列不汇集在一起的二取一结构的系统)，对此，进一步说明见 6 . 3 . 2和 6 . 3 . 3 。

　　f) 对不能实现独立性的系统或系统的某些部分，单一故障分析应假设在冗余部件发生的 d) 中定义的故障均不违反单一故障准则。

　　g) 可靠性分析、概率评估、运行经验、工程判断，或其组合可以用来确定单一故障分析的范围。 不应使用 概 率 评 估 代 替 单 一 故 障 分 析。 可 靠 性 分 析 和 概 率 评 估 应 符 合 GB/T 9225 和GB/T 7163的要求。

　　h) 应分析电气的、机械的和系统逻辑的故障模式。

　　i ) 应分析维护旁通、共用系统、互连设备、临近设备以及与其他系统的交互。

　　j) 一个部件可能有不同的故障模式，应对每一种模式进行单独的分析。

　　6 . 3 系统某些特定部分的分析

　　6 . 3 . 1 概述

　　当进行单一故障分析时，安全系统的某些部分可能要求一些特殊考虑，6 . 3 . 2~6 . 3 . 7 列出这些部分应用单一故障准则时可能关注的几个方面和要求。

　　6 . 3 . 2 冗余通道间相互联接

　　冗余通道间的相互联接(通过数据记录仪和试验电路等装置)是可能丧失独立性的区域。 应分析这些相互联接部分以保证单一故障不会导致丧失安全功能。 对那些可能导致丧失安全功能的单一故障，应分析冗余通道的隔离措施。

　　6 . 3 . 3 系统逻辑

　　在单一故障分析中，系统逻辑的分析特别重要，因为冗余通道和冗余的驱动电路在这里汇集。 分析应证明在系统逻辑中的单一故障，不会在通道或驱动电路中引起可能导致安全功能丧失的故障。

　　6 . 3 . 4 驱动设备

　　应对那些设计有失电时优先失效模式的驱动设备进行分析，例如应分析使驱动设备端不能断开电源的故障或妨碍设备运动到首选位置的机械粘结故障，以确保单一故障不引起安全功能的丧失。

　　应分析那些在要求保护动作时需接入动力源的驱动设备，以确保单一的开路、短路或失去动力源不会导致安全功能的丧失。

　　应从可能影响系统能力的故障出发，对整个驱动器系统(可能包含气动、机械、电气和液压部件)进行分析，以满足单一故障准则。 应特别注意要保证驱动设备机械部件的故障不引起冗余设备的电气故障，电气故障也不引起冗余设备的机械故障。

　　GB/T 13626—202 1

　　6 . 3 . 5 电源

　　电源有可能以几种方式引起安全功能的丧失，例如电源故障引起的高压可能导致冗余通道的故障(如晶体管故障)，低压可能导致丧失冗余通道，电源的频率和波形的变化可能引起冗余通道整定值的漂移 。单一故障分析应包括整个电源系统，包括卸载装置。 有关指导见 GB/T 12788 。

　　6 . 3 . 6 辅助支持设施

　　任一应用单一故障准则的安全系统正常运行所需要的辅助支持设施，应作为其支持系统的一部分包含在单一故障分析中。 例如当安全系统的一部分依赖于受控环境的保持时，除非能证明环境系统故障不会导致所要求安全功能的丧失，否则环境系统的故障就可能成为违反单一故障准则的潜在原因。如果辅助支持设施的设计不满足单一故障准则，则不管是否丧失辅助支持设施，均应确保完成所要求安全功能的能力。

　　6 . 3 . 7 仪表管路

　　连接传感器和工艺系统的管路(包括平衡容器、仪表阀组和隔离阀等)应包括在单一故障分析内。

　　6 . 4 其他考虑

　　6 . 4 . 1 与安全系统耦合的其他系统

　　应检查以某种方式与应用单一故障准则的安全系统耦合的所有非安全系统(如非安全级的试验电路)或其他安全系统(如其他通道)，以确定在这些系统内的任何故障是否能使安全系统劣化。 如果它们能使安全系统的某部分劣化到失效程度，则应以假定存在这些故障作为初始条件，进行安全系统的单一故障分析。 有关这指导见 GB/T 13286 。

　　6 . 4 . 2 由单一故障引起系统动作的可能性

　　应检查由单一故障引起的系统动作的可能性，以判定这样的动作是否会构成一个具有不可接受安全后果的事件。 对任何被判定为不可接受的动作，应满足单一故障准则(即系统中存在所有可判别但不可探测的故障以及任一单个可探测故障时，不应引起安全系统驱动)。

　　GB/T 13626—202 1

　　附 录 A

　　(资料性)

　　不可探测故障实例

　　A.1 背景

　　可探测故障是指那些可以通过定期试验鉴别，或通过报警或异常显示发现的故障。 不可探测故障则不能通过可探测故障使用的方法来判别。 不可探测的故障对单一故障分析非常重要的。 不同于可探测故障，不可探测故障可能在保护系统中长期存在。 实际上，它们可能在制造阶段就已存在于系统中了 。正如 5 . 2 所要求的，当判别了不可探测故障，优先采取的措施是重新设计系统或设备，使得故障变得可探测。 三位置开关和数字化系统是两种设备存在不可探测故障的实例以及故障被判别后的处理方式。

　　A.2 三位置开关

　　三位置自返回开关故障是一个故障不能被定期试验或被异常指示所发现的例子。 当开关故障的时候，虽然它仍处于正确的中间位置，但由于指示灯回路接线方式的原因，中间位触点连接性丧失这一故障无法被发现(也就是指示灯不能随时向操纵员提供相应的显示信息)，这一故障直到通过开关对设备进行操作的时候才可能被发现。

　　这就是一个不可探测故障，因为正如 5 . 2 所指出的，它不能“通过定期试验探测或通过报警、异常显示发现”。如 5 . 2 指出的那样，处理这种故障优先采取的措施是“重新制定试验方案”，执行定期的连续性测试。 另外，在这个例子里，需“重新设计系统”使得这种故障能够通过指示灯显示。

　　A.3 数字化系统

　　由于一台机组的柴油发电机可编程逻辑控制器加载序列软件逻辑缺陷，导致该柴油发电机没有正确响应来自同一厂址另外一个机组的安注信号(当时第一个机组在运行，另一机组停运做综合安全试验)。该缺陷可能会禁止四台柴油发电机加载序列中任意一台或全部四台对输入信号的响应。 加载序列应设计成：加载序列在进行试验时，如果收到一个紧急信号时，测试信号被复位，同时加载序列控制的专设安全设施启动。 而在实现时，在收到安注信号 15 s后的某一特定测试情境下，测试信号被复位，但是防止安全动作触发的禁止信号仍然被锁存逻辑所保持。 因此，若在该试验情境 15 s 后出现紧急信号，虽然测试信号已经被复位了，但是锁存逻辑仍然禁止安全动作。

　　由于逻辑设计人员和独立的设计验证人员都没有识别出禁止逻辑和测试逻辑之间的这种相互作用，在加载序列手动和自动试验模式中都存在闭锁安全动作的情况。 这使得故障变得不可探测。 之后的研究表明，在最开始的验证和确认(V&V)过程中，并没有对所有 自动和手动试验模式的加载序列功能进行确认。 为了消除软件逻辑问题，在停堆换料期间 “重新设计系统”，这也是本文件中推荐的处理方式之一 。

　　GB/T 13626—202 1

　　参 考 文 献

　　[1] GB/T 12788 核电厂安全级电力系统准则

　　[2] GB/T 13286 核电厂安全级电气设备和电路独立性准则

　　[3] GB/T 13629 核电厂安全系统中数字计算机的适用准则