GB∕T 13626-2021 单一故障准则应用于核电厂安全系统.pdf

  • GB∕T 13626-2021 单一故障准则应用于核电厂安全系统.pdf为pdf格式
  • 文件大小:1 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2022-02-11
  • 发 布 人: 老实牛仔裤
  • 文档部分内容预览:
  • GB∕T 13626-2021 单一故障准则应用于核电厂安全系统.pdf

    事件号起的故障,安全设备 应开展分析确定由设计基准 事件引起的安全系统故障的后果。 系统,当出现由于设计基准事件导致的故 障,可判别的不可探测故魔以及任

    对安全系统在共因故障时执行功能的要求超出了单一故障准则和本文件的范畴。但是,在进行单 故障分析时筛除潜在的共因故障是非常重要的。作为评估安全系统整体可靠性的一部分, GB/T9225在故障模式及影响分析(FMEA)或故障树分析的基础上对于定性分析进行了扩展,考虑了 共因故障。因此,应该采用GB/T9225中扩展的可靠性定性分析,来识别和筛查那些在独立部件故障 的分析中通常不被考虑的共因故障机制, 不属于单一故障分析范围的共因故障包括:可能由外部环境(如电压、频率、辐射、温度、相对湿度 压力、振动和电磁干扰)、设计缺陷、制造错误、维护错误和运行错误引起的故障。设备鉴定和质量保证 大纲可用于防范外部环境影响、设计缺陷和制造错误。人员培训、正确的控制室设计和运行、维护、监督 现程可用于防范维护和运行人员错误。对数字化安全系统,共因故障的薄弱环节应进行安全系统相关 的多样性和纵深防御评估。GB/T9225给出了导致共因故障的因素以及对于这些筛查出的潜在共因 放障可能采取的预防性措施。从单一故障中筛查共因故障(CCF)的流程图见图1。对于识别出的其他 设有预防措施的故障,宜作为单一故障来处理并包含在单一故障的分析中。

    适用于有共用系统的机组的单一故障准则如下。 a)假设在共用系统内,或辅助支持设施内,或与共用系统接口的其他系统存在单一故障的情况 下,所有机组的安全系统都应有能力完成其所要求的安全功能。 示例:双机组电站的每一机组中相同的安全系统共用相同的应急电源。但是,共用电源不应以额定值同时为 两个系统供电。每个机组的安全系统设有联锁,以避免两个机组中的某些负荷同时运行。联锁可防止一个机 组内的单一故障影响另一个机组的安全功能。 b)在每一机组未共用的系统内同时存在一个单一故障时,每一机组的安全系统都应有能力完成 其所要求的功能 设计应保证在一个机组内的单一故障不影响(不扩展到)另一机组,从而不妨碍共用系统完成其要 的安全功能。 在单一故障分析时,不需要同时考虑a)和b)的故障,即先对电厂进行单一故障分析论证满足准则 然后重复单一故障分析论证满足准则b)

    水利标准1从单一故障中筛查共因故障(CCF)的流程图

    应系统地对设计进行分析,以确定是否存在违反单一故障准则的情况。本章将按下述步骤对每个 设计基准事件进行系统的分析。本章所建议的方法是一种可接受的分析系统的方法,但不是唯一的方 法。进行单一故障分析的其他方法见GB/T9225

    接下述步骤对每个设计基准事件进行系统的分析 a)应确定要进行分析的安全功能(例如降功率、安全壳隔离、堆芯冷却等)。 b)应确定用以完成安全功能的系统级保护动作(例如快速插人控制棒、关闭安全壳隔离阀、安 注人、安全壳喷淋等)

    GB/T 136262021

    c)应确定足以满足所要求安全功能的安全组。 d)在单一故障分析中,应开展系统性的分析来识别单一故障对保护动作的影响。故障的例子有 短路故障、开路故障、接地、直流或交流电压过低、直流或交流电丧失,以及那些由引人的可信 最大直流或交流电势引起的或其后果导致的故障。对于数字化系统,还应考虑控制器、数据通 信等故障对保护动作可能的影响。 e) 应验证c)项所确定的安全组的独立性,即通过检查存在足够的安全组,这些安全组没有共用 设备(例如共用继电器、开关装置、母线、电源等)或薄弱点(例如安全组间设备的隔离、位置和 布置不满足要求等)来验证独立性。一且确立了独立性,单一故障分析就可以假设d)项所述 的故障只在一个几余部分之内发生,确保不违背单一故障准则。 注:在某些情况下不能确立独立性(如允余通道或余序列汇集在一起的三取二结构的系统),而在另一些情况下 较容易地确立独立性(如允余通道或允余序列不汇集在一起的二取一结构的系统),对此,进一步说明见6.3.2 和6.3.3。 f 对不能实现独立性的系统或系统的某些部分,单一故障分析应假设在几余部件发生的d)中定 义的故障均不违反单一故障准则。 g 可靠性分析、概率评估、运行经验、工程判断,或其组合可以用来确定单一故障分析的范围。不 应使用概率评估代替单一故障分析。可靠性分析和概率评估应符合GB/T9225和 GB/T7163的要求 h 应分析电气的、机械的和系统逻辑的故障模式。 i 应分析维护旁通、共用系统、互连设备、临近设备以及与其他系统的交互。 一个部件可能有不同的故障模式,应对每一种模式进行单独的分析

    6.3系统某些特定部分的分析

    5.3.2穴余通道间相互联接

    穴余通道间的相互联接(通过数据记录仪和试验电路等装置)是可能丧失独立性的区域。应分析 互联接部分以保证单一故障不会导致丧失安全功能。对那些可能导致丧失安全功能的单一故障 析余通道的隔离措施

    在单一故障分析中,系统逻辑的分析特 明在系统逻辑中的单一故障,不会在通道

    应对那些设计有失电时优先失效模式的驱动设备进行分析,例如应分析使驱动设备端不能断开电 源的故障或妨碍设备运动到首选位置的机械粘结故障,以确保单一故障不引起安全功能的丧失, 应分析那些在要求保护动作时需接入动力源的驱动设备,以确保单一的开路、短路或失去动力源不 会导致安全功能的丧失。 应从可能影响系统能力的故障出发,对整个驱动器系统(可能包含气动、机械、电气和液压部件)进 行分析,以满足单一故障准则。应特别注意要保证驱动设备机械部件的故障不引起穴余设备的电气故 障,电气故障也不引起穴余设备的机械故障

    电源有可能以几种方式号 压可能导致穴余通道的故障 如晶体管故障),低压可能导致丧失 和波形的变化可能引起允余通道整定值的漂 指导见GB/T12788

    6.3.6辅助支持设施

    任一应用单一故障准则的安全系统正常运行所需要的辅助支持设施,应作为其支持系统的一部分 包含在单一故障分析中。例如当安全系统的一部分依赖于受控环境的保持时,除非能证明环境系统故 章不会导致所要求安全功能的丧失,否则环境系统的故障就可能成为违反单一故障准则的潜在原因。 如果辅助支持设施的设计不满足单一故障准则,则不管是否丧失辅助支持设施,均应确保完成所要求安 全功能的能力

    6.4.1与安全系统耦合的其他系统

    应检查以某种方式与应用单一故障准则的安全系统耦合的所有非安全系统(如非安全级的试验电 路)或其他安全系统(如其他通道),以确定在这些系统内的任何故障是否能使安全系统劣化。如果它们 能使安全系统的某部分劣化到失效程度,则应以假定存在这些故障作为初始条件,进行安全系统的单 故障分析。有关这指导见GB/T13286

    6.4.2由单一故障引起系统动作的可能性

    9应检查由单一故障引起的系统动作的可能性,以判定这样的动作是否会构成一个具有不可接受安 全后果的事件。对任何被判定为不可接受的动作安全生产标准规范范本,应满足单一故障准则(即系统中存在所有可判别但不 可探测的故障以及任一单个可探测故障时,不应引起安全系统驱动)

    GB/T 136262021

    附录A (资料性) 不可探测故障实例

    可探测故障是指那些可以通过定期试验鉴别,或通过报警或异常显示发现的故障。不可探测故障 则不能通过可探测故障使用的方法来判别。不可探测的故障对单一故障分析非常重要的。不同于可探 则故障,不可探测故障可能在保护系统中长期存在。实际上,它们可能在制造阶段就已存在于系统中 了。正如5.2所要求的,当判别了不可探测故障,优先采取的措施是重新设计系统或设备,使得故障变 得可探测。三位置开关和数字化系统是两种设备存在不可探测故障的实例以及故障被判别后的处理 方式。

    三位置目返回开关故障是一个故障不能被定期试验或被异常指示所发现的例子。当开关故障的时 ,虽然它仍处于正确的中间位置,但由于指示灯回路接线方式的原因,中间位触点连接性丧失这一故 章无法被发现(也就是指示灯不能随时向操纵员提供相应的显示信息),这一故障直到通过开关对设备 进行操作的时候才可能被发现。 这就是一个不可探测故障,因为正如5.2所指出的,它不能“通过定期试验探测或通过报警、异常显 示发现”。如5.2指出的那样,处理这种故障优先采取的措施是“重新制定试验方案”,执行定期的连续 性测试。另外,在这个例子里,需“重新设计系统”使得这种故障能够通过指示灯显示

    由于一台机组的柴油发电机可编程逻辑控制器加载序列软件逻辑缺陷,导致该柴油发电机没有正 确响应来自同一厂址另外一个机组的安注信号(当时第一个机组在运行,另一机组停运做综合安全误 验)。该缺陷可能会禁止四台柴油发电机加载序列中任意一台或全部四台对输入信号的响应。加载序 列应设计成:加载序列在进行试验时,如果收到一个紧急信号时,测试信号被复位,同时加载序列控制的 专设安全设施启动。而在实现时,在收到安注信号15S后的某一特定测试情境下,测试信号被复位,但 是防止安全动作触发的禁止信号仍然被锁存逻辑所保持。因此,若在该试验情境15S后出现紧急信 号,虽然测试信号已经被复位了,但是锁存逻辑仍然禁止安全动作。 由于逻辑设计人员和独立的设计验证人员都没有识别出禁止逻辑和测试逻辑之间的这种相互作 用,在加载序列手动和自动试验模式中都存在闭锁安全动作的情况。这使得故障变得不可探测。之后 的研究表明,在最开始的验证和确认(V&V)过程中,并没有对所有自动和手动试验模式的加载序列功 能进行确认。为了消除软件逻辑问题,在停堆换料期间“重新设计系统”,这也是本文件中推荐的处理 方式之一

    安全生产标准GB/T 136262021

    [1]GB/T12788核电厂安全级电力系统准则 [2]GB/T13286 核电厂安全级电气设备和电路独立性准则 [3]GB/T 13629 核电厂安全系统中数字计算机的适用准则

    ....
  • 安全标准
  • 相关专题:

相关下载

常用软件