严重事故仪表系统设计标准分析

肖 洲 刘智寅 许 丹 何大宇 董孝胜 姜晓玲

(深圳中广核工程设计有限公司，广东 深圳 518172)

0 引言

随着福岛事故的发生，社会各界更加关注严重事故的危害。严重事故相关的仪表设计及鉴定标准并不完善，而我国核电行业存在多技术路线并存、遵循的标准有差异等现状，导致设计标准不统一。因此，我国需要完善标准规范，形成基于我国工业标准、满足发达国家(如美国、法国等)核电规范要求的严重事故相关的仪表设计及鉴定标准。

对美国、法国、国际电工委员会(IEC)标准提炼分析相应的标准进行研究分析，形成严重事故设计要求和质量鉴定方法。

1 设计准则相关标准分析

1.1 法国核电设计标准

RCC-P《压水堆核电站系统设计和建造规则》［1］为法国引进核电厂的执行标准，电仪分级为安全级(1E 级)和非安全级(NC 级)。1E 级包括的范围是反应堆停堆、应急堆芯冷却、余热排出、反应堆厂房热量导出、防止放射性物质释放。严重事故氢气测量功能属于NC 级。

RCC -E《压水堆核电站核岛电气设备设计和建造规则》1993 版是早期法国引进的核电厂参考执行标准。严重事故氢气测量作为NC 级设备，在标准中无要求。因此，早期的标准规范中对严重事故仪表系统无环境试验鉴定等要求，严重事故仪表系统设计也未引起各方重视。

RCC-E 2005 版将功能分级分为C1、C2、C3。其中严重事故仪表系统对应C3等级，该仪表要求系统冗余和独立，物理和电气隔离(遵循RCC -E D7000)、应急供电(遵循RCC-E C1400);周期测试(遵循RCC -E C3000)、可编程系统可用(遵循RCC-E C5000)等。硬件设备质量保证大纲遵循RCC - E A5000，硬件设计鉴定要求遵循RCC-E B3000 +B7000。

系统软件设计要求:严重事故仪表系统的软件设计属于C3级，RCC -E 2005 版C5000 定义:参考IEC 62138 -5 中C 类软件的设计要求执行。设计和制造的分析可按照NF EN ISO9000 -3 进行。可编程系统按照IEC 61513 -6 规定要求设计和制造［2］。

RCC-E 2005 版B7000 规定了严重事故质量鉴定程序，但未详细说明具体的试验方法，仅简述与B6000(K1 级鉴定程序)程序类似，即相同的序列，但是与B6000 中对应事故状态下的热力、化学方面的严重性、方法、误差要求不同。如果将RCC - E B7000 作为RCC-E B6000 补充时，B6000 发布的质量鉴定程序的经验反馈可简化严重事故试验序列谱和试验体系。抗震载荷在K1 级程序中已被证明，不需要重复试验。辐照试验在试验室中相继进行β 和γ 试验，严重事故鉴定仅需在B6000 基础上开展严重事故工况模拟试验。

1.2 IEC 核电设计标准

依据IEC 61226［3］《核电厂对安全重要的仪表和控制 仪表和控制功能的分类》功能分类要求，严重事故仪表系统属于C 类分级(C 类:指对于达到或维持核电厂安全起辅助或间接作用的功能，包括那些有一定安全重要性但不属于A 类或B 类的功能)。C 类功能可以是应对整个DBA 的一部分(但不直接参与缓解事故的后果，或者是超设计基准事故所必须功能)。

相关质量鉴定及试验要求如下。

根据执行的功能，C 类设备可能需要鉴定，应确定设备运行过程中预期最恶劣的环境条件，并在技术规格书中规定，应依据技术规格书系统全面地检查设备的设计。对一个新设备或者商用设备(通常不进行抗震和极端环境条件设计)，应制定一组规则来指导设备设计，或者评估既定设计。这些规则应根据从A 类设备的特殊设计要求中获得的经验制定。

除非设备有特殊要求(例如地震或防火要求，或者防止C 类设备内过压或电噪声影响A 类或B 类功能)，C 类设备一般可以遵从常规商业设计标准。异常环境条件下的运行要求应有文件证明。

IEC 61226 中对严重事故仪表系统的鉴定要求设备依据常规商业设计标准，但需要满足严重事故可用的功能需求，可以参考A 类标准制定鉴定程序。

质量鉴定:C 类系统和设备可以接受的商业质量保证(quality assurance，QA)。如果制造商的试验足以证明能够达到性能，即可接受，这些试验应对同类设备进行。必要时宜进行特定类型的试验和功能试验，但一般情况下不要求。

可进行现场验收(site acceptance test，SAT)试验来证明达到规定的安全有关功能和性能。对那些不连续运行的功能，定期性能试验可限制在换料大修阶段，或者类似停堆期间进行。

1.3 美国核电设计标准

第一层联邦法规10CFR 50 准则说明:10CFR 50.49 将电气设备分为安全重要系统(1E 级)和非安全相关电气设备。严重事故仪表系统属于非安全相关的电气设备。

第二层RG 导则说明:RG 1.97［3］将事故信号分为A、B、C、D、E 类，信号又分为3 级。严重事故系统主要为C 类变量(C 类变量是能够为操作员提供反映裂变产物屏障可能存在破损或实际发生破损情况的基本情况)。严重事故仪表系统多为第3 级变量，提供备用信息和严重事故下的备用监测手段，第3 级变量仅要求主要使用成熟可靠的仪表系统，无特殊鉴定要求。

IEEE 497 -2002 版严重事故准则中提到未来会将严重事故监测仪表加入该标准。但是在IEEE 497 -2010 版中未补充描述。IEEE 497 中说明C 类变量的设计抗震鉴定要求满足IEEE 344、质量鉴定满足IEEE 323，IEEE 497 较RG 导则中第3 级变量要求高。

1.4 中国核电设计

中国核电厂安全相关的仪表和控制系统设计标准主要从IEC 标准和美国标准(IEEE、ISA 等)转化而来。国家能源局组织指定并发布了《压水堆核电厂标准体系表》，确定了大量待制定的与安全相关的仪表和控制系统标准以及采用国际或国外先进标准(简称采标)的策略，即“以IEC 标准为主”，辅以IEEE 标准、ISA 标准和RCC-E［4］。

针对法国、美国、IEC 的严重事故仪表系统相关标准的研究分析如表1 所示。

表1 严重事故仪表系统设计标准对比表Tab. 1 Contrast of the design standards for severe accident related instruments and systems

续表1

由此可知，以IEC 标准为主线的标准，可较为完善地指导严重事仪表设计、鉴定等工作;法国标准虽然也比较成体系，但设计准则多遵循IEC 标准;美国现行标准对严重事故仪表系统设计、鉴定要求不明确，由此进一步印证，目前采标策略正确。

结合以上分析，建议国内核电严重事故仪表系统设计、鉴定以IEC 为主，结合各技术路线特点，辅以对应技术引入国外标准作为参考。

2 质量鉴定标准分析

美国标准对严重事故仪表系统无特殊的质量鉴定要求。法国标准RCC-E 和IEC 标准均提出严重事故仪表系统可参考核级设备形成自己的质量鉴定方法和流程，但无明确规定。为指导国内严重事故仪表系统研发和设备鉴定，需形成一套可供参考的鉴定方法和流程。严重事故仪表系统质量鉴定一般推荐使用型式试验法或组合方法进行设备鉴定。严重事故仪表系统鉴定流程与核级设备鉴定主要差异体现在事故辐照试验剂量、模拟事故工况下的环境条件差异等，试验稍有不同，可以参考其他主要流程。

美国现行标准未明确说明严重事故仪表系统的鉴定思路，而美国核级设备鉴定标准IEEE STD 323 与IEC 60780 标准在鉴定内容实质上并无差异，仅在鉴定寿命理念上有区别。IEC 60780 着重规定了鉴定程序等具体实施的内容，可操作性强，具有手册的特点;建立了老化标准尺度，考虑老化影响，寿命是不确定的。IEEE STD 323 系统性规定了安全级电气设备鉴定的基本要求，侧重方法论，逻辑性强［6］。这两套标准也在融合中。

因此，以下重点以IEC 标准和法国标准为基础进行说明，形成质量鉴定的参考依据，用于美国技术路线的标准，辅助部分差异性试验验证设备性能。

2.1 IEC 标准

结合IEC 60780 型式试验要求，开展严重事故仪表系统鉴定，可同样分三组试验。三组试验可独立进行，并可采用不同的样本，如图1 所示。

图1 IEC 标准的鉴定流程图Fig.1 Appraisal process of IEC standard

2.2 法国标准

结合RCC-E 的K1 级设备鉴定要求，可参考图2所示主要试验顺序开展严重事故仪表系统鉴定。安全壳外设备，可以参考K3 类设备鉴定流程和方法。

图2 法国标准的鉴定流程图Fig.2 Appraisal process of French standard

2.3 对比说明

IEC 标准和法国标准的流程和鉴定项目大同小异，均开展基准试验、极限参数试验、耐久性试验(各种老化试验、辐照老化试验)、抗震试验、事故工况环境试验。

法国标准主要参考NF M64 -001 相关的法国鉴定程序，IEC 标准以IEC 体系内标准为依据，但两个体系内引用标准多等效，法国标准也是从早期的IEC 标准转化而来。抗震试验均参考IEC 60980 标准。

对于新设备的研发，建议以IEC 标准为主开展鉴定工作，由此可形成较详细的指导性大纲指导鉴定试验。如果不同技术路线有特殊要求，可以结合对应技术路线特点，开展差异性试验。针对安全壳内设备，事故工况环境试验模拟多以严重事故环境模拟，但是在严重事故期间，多发生设计基准事故。为了保证严重事故仪表系统在设计基准事故期间功能不丧失，部分设备要求开展设计基准事故鉴定叠加严重事故环境下功能性验证。如果通过论证，在设计基准事故情况下不会影响该仪表系统的后续测量功能，可以直接开展严重事故环境模拟验证，一般严重事故环境条件较设计基准事故恶劣。

3 结束语

本文结合法国、美国、IEC 标准，最终形成严重事故仪表系统设计要求。仪表和系统要求满足事故监测的功能需求，硬件的质量鉴定参考核级设备鉴定要求开展;软件设计参考IEC 62138 -5 执行。其中，IEC 和法国标准较美国标准完善，法国标准多引用或参考IEC 标准，未来严重事故仪表系统研发建议以IEC 标准为主开展，其他标准为辅作为补充。

本文对比分析了IEC 标准和法国标准，最终形成严重事故仪表系统鉴定流程和方法，建议以IEC 标准规定为基础，结合严重事故环境条件的要求，形成一套可用的鉴定流程及方法。

［1］ 法国核岛设计和建造规程协会. RCC -E -2005 核岛电气设备设计和建造规则［S］. 2005.

［2］ 国际电工委员会. IEC 61226 - 2009. Nuclear power plants -instrumentation and control important to safety - classification of instrumentation and control functions［S］.2009.

［3］ U. S. Nuclear Regulatory Commission. RG 1. 97 Rev. 3 Instrumentation for Light-water -cooled nuclear power plants to assess plant and environs conditions during and following and accident［S］.washington:1983.

［4］ 章坚青，王根生. 压水堆核电厂安全重要电气设备概述［J］.核标准计量与质量，2011(1):2 -6.

［5］ U.S. Nuclear Regulatory Commission. RG1.152 Criteria for use of computers in safety systems of nuclear power plants ［S］.Washington，2011.

［6］邱建文，张丽芹，王建. 欧美核电厂安全级电气设备鉴定标准对比［J］. 仪器仪表用户，2013(6):52 -54.