- 核动力厂能承受会经历的物理和环境条件,这包括极端的环境和其他条件;
- 已充分涉及了人为因素及人的行为问题;
- 已识别、监视和管理在整个核动力厂寿期内会降低其可靠性的长期老化机理(如通过升级、整修或更换),以不影响安全性且不增加风险。
4.1.2.8 安全分析应该通过试验、评价、计算或工程分析证实:用于防止预计运行事件升级、或者设计基准事故升级为严重事故且减轻其后果的设备、以及应急运行规程和事故管理措施,可有效将风险降低到可接受的水平。
4.1.2.9 安全分析过程在足够的范围、质量、完整性和精确性方面应该是高度可信的,以增强设计单位、国家核安全监管部门、营运单位和公众对核动力厂设计安全性的信心。安全分析的结果将以高的置信度保证核动力厂将会按设计来运行并在调试及整个寿期内均能够符合所有设计验收准则。
4.1.3 确定论和概率论评价
4.1.3.1 应该主要以确定论方法证实核动力厂具备高水平的安全性。但是,安全分析应该采用确定论和概率论相结合的方法。确定论和概率论的方法是相互补充的,并且这两种方法应该用于对拟取得许可证的核动力厂的安全性和能力方面进行决策的过程中。在确定论方法不能处理的某些方面,如核动力厂性能、纵深防御以及风险,概率论分析方法却可以对其进行深入分析。
4.1.3.2 确定论方法的目的是给出核动力厂在特定的预定运行状态及事故工况下的行为,并且运用一组特定的规则判断设计的充分性。
4.1.3.3 用于设计的确定论分析通常应该是保守的。超设计基准事故的分析一般不如设计基准事故的分析来得保守。
4.1.3.4 概率安全分析应该侧重于确定所有造成核动力厂风险的重要贡献,并且应该评价总体系统配置设计是良好平衡的,确定没有风险遗漏和设计符合基本概率安全目标。概率安全分析应最好采用最佳估算方法。
4.1.3.5 应该在决策过程中同时采用从确定论分析和概率安全分析中得出的结论。一般来说,来自确定论分析和概率安全分析的结论是一致的。特别是,在核动力厂设计或运行中识别的缺陷往往与用于执行一个或多个安全功能的安全系统的多重性或多样性的不足有关。
4.1.3.6 也存在确定论分析和概率安全分析得到的结论不一致的情况。这时应该具体问题具体分析。
4.1.4 重要信息
4.1.4.1 安全分析应基于完整而准确的核动力厂设计资料。这些资料应该包括核动力厂所有的构筑物、系统、部件、与厂外的接口以及厂址特征。
4.1.4.2 核动力厂设计应该形成文件,并且随着核动力厂设计的批准、竣工和修改而不断更新。
4.1.4.3 对于正在运行的核动力厂,安全分析(如用于设计修改)应该使用核动力厂实际的运行数据。这些数据包括核动力厂正常运行时运行人员的辐照剂量和放射性物质从厂区的日常排放。对核动力厂系统,采集的数据应该包括正常运行的温度、压力、水位和流量以及对所有运行事件的瞬态响应特性和运行事件的时间。
4.1.4.4 运行数据还应该包括下述有关信息:系统和部件的性能、始发事件频率、部件故障率数据、故障模式、维修或试验期间系统的不可用性以及系统和部件的维修次数。
4.1.4.5 对于设计阶段的核动力厂,使用的数据应该取自类似设计的运行核动力厂的通用数据,或来自研究或试验结果。对正在运行的核动力厂,随核动力厂自身的运行和维修数据以及试验和检查结果的特定数据的积累,通用数据库中的某些数据会随时间增加。
4.1.4.6 安全分析应该包括核动力厂中放射性物质的所有来源。除反应堆堆芯外,放射性物质还包括运输和储存中的辐照过的燃料以及储存的放射性废物。
4.1.5 安全分析的验收准则
4.1.5.1 对于确定论评价和概率安全分析都应该确定验收准则。这些验收准则通常反映了设计单位或营运单位应用的准则,也与国家核安全监管部门的要求相一致。
4.1.5.2 准则应该充分满足《核动力厂设计安全规定》中规定的总的核安全目标、辐射防护目标和技术安全目标。
4.1.5.3 应该制定详细的准则以保证符合更高级别的目标(见4.3.2.9.3.1~4.3.2.9.3.6)。这通常将使分析简化。
4.2 假设始发事件
4.2.1 假设始发事件的确定
4.2.1.1 安全分析的起始点是需要涉及的假设始发事件组。假设始发事件按照《核动力厂设计安全规定》的定义是“在设计时确定的能导致预计运行事件或事故工况的事件”。假设始发事件包括设备故障、人员差错、人为事件以及自然事件。确定论安全分析和概率安全分析通常应该采用一组通用的假设始发事件。
4.2.1.2 为安全分析而制定的假设始发事件组应该是全面的,并且应该包括在核动力厂的任何运行模式(如启动、停堆和换料)期间可能发生的核动力厂系统、部件所有可信故障以及人员差错。这应包括内部和外部始发事件。
4.2.1.3 应该用系统的方法确定一组假设始发事件。这应采用结构型的方法来确定假设始发事件,它包括:
- 采用如危害性和可运行性分析、故障模式和效果分析以及主逻辑图的分析方法;
- 与类似核动力厂安全分析用的假设始发事件清单进行对比(但是该方法不应该不加选择地使用,因为可能传播或继承先前的错误);
- 对类似核动力厂的运行经验数据进行分析。
4.2.1.4 提出的假设始发事件组还应该包括会对风险有重大贡献的设备的部分故障。
4.2.1.5 随着设计和安全评价的进展,应审查假设始发事件组,并且这两种活动之间应有一个迭代过程。
4.2.1.6 假设始发事件组还应该包括概率极低或后果不大的事件,至少在过程起始时应该包括它们。排除掉某些假设始发事件是有可能的。然而,任何假设始发事件的排除都应有充分论证,并且将其理由形成文件。许多假设始发事件将保留至分析结束,并仅在得出分析结论时才被确定是不重要的。
4.2.1.7 所有假设始发事件的发生频率均应加以定量。它应定量地用于概率安全分析中,定性地用于确定论中。
4.2.2 内部假设始发事件
4.2.2.1 为了确定对基本安全功能可能的影响,应该明确内部假设始发事件(那些在核动力厂内部发生的事件)。执行安全功能的方式取决于反应堆的具体设计。但已确认的始发事件的类别一般包括:
- 反应堆冷却剂系统排出热量的增加或减少;
- 反应堆冷却剂系统流量的增加或减少;
- 反应性和功率分布异常;
- 反应堆冷却剂装量的增加或减少;
- 来自于子系统或部件的放射性物质释放。
4.2.2.2 内部假设始发事件组的确认还应该考虑安全系统和部件的各种故障形式,以及会影响到基本安全功能的或安全系统的非安全系统和部件的故障。这些故障中的大部分均能够归结到上述类别中的一种。但是,某些基于假设始发事件的故障并不属于上述的类别,应该对其单独分组。到目前为止,已由概率安全分析确定的这些其他故障的实例包括:⑴支持系统故障,如设备冷却水或厂用水丧失;⑵由于循环水、厂用水、消防系统或高架波动水箱等的破损造成的内部水淹;⑶虚假的安全壳隔离信号导致的主冷却剂泵的冷却丧失;⑷卸压阀的误动作。
4.2.2.3 内部假设始发事件组的确认过程还应该计及反应堆承压边界的各种故障模式。这应该包括所有可能位置的管道破裂,包括会出现在安全壳外的管道破裂。
4.2.2.4 内部假设始发事件应该包括核动力厂所有运行模式中可能出现的故障模式(例如,初始堆芯临界时的反应性瞬态和安全壳敞开时换料模式期间的冷却剂装量损失),但持续时间可忽略的运行模式除外。只有在慎重考虑并通过保守分析证实这些运行模式与由其他假设始发事件计算的堆芯损坏频率相比是不重要时,才能够排除这些持续时间可忽略的模式。
4.2.2.5 假设始发事件组应该包括作为人员差错的后果会引发的初因事件组。这些人员差错的范围是从错误或不完善的维修操作到错误地设定控制设备的限值或运行人员的误操作。这些假设始发事件不一定与由设备故障导致的假设始发事件类似,因为其除始发事件外,还可能引发共因故障。
4.2.2.6 内部假设始发事件组还应该包括火灾、爆炸、汽轮机飞射物撞击和源自内部的水淹,它们可能影响反应堆安全和导致对该始发事件提供保护的某些安全系统设备的故障。这些假设始发事件已经在第3章中讨论。
4.2.3 外部假设始发事件
4.2.3.1 所确定的假设始发事件组应该包括发生在核动力厂外部并会影响核安全的所有事件,包括自然发生的事件和人为引起的事件。这些外部始发事件可能导致内部始发事件,并且可能会导致用于事件保护的某些安全系统设备故障。例如,地震除了能够导致厂外电源丧失外,还会引起核动力厂设备故障。
4.2.3.2 用于安全分析的假设始发事件组,应该包括在选定厂址可信的自然事件。这些事件应该包括地震、发生在核动力厂外部的火灾和洪水(包括由于水坝、河堤或防洪堤坍塌引起的洪水),极端的气象条件(温度、雨、雪、飓风)和火山爆发。
4.2.3.3 用于安全分析的假设始发事件组应该包括选定厂址可信的外部人为事件。这些事件应该包括坠机、附近工厂的影响和运输系统爆炸。
4.3 确定论安全分析
4.3.1 正常运行
4.3.1.1 引言
4.3.1.1.1 正常运行安全分析的目的在于评价:
- 核动力厂能够安全地正常运行,
由此确认:
- 工作人员和公众的辐照剂量在可接受限值内;
- 核动力厂放射性物质的计划释放量在可接受限值内。
4.3.1.1.2 正常运行的安全分析应该针对没有内部或外部灾害且系统和设备按预期正常运行时的所有核动力厂工况。这包括核动力厂在整个寿期内处于正常运行和维修过程(包括功率运行和停堆)中的所有运行阶段。
4.3.1.1.3 核动力厂正常运行一般包括如下工况:
- 首次逼近反应堆临界;
- 反应堆从停堆经临界到功率运行的正常启动;
- 包括满功率和低功率在内的功率运行;
- 反应堆功率变化,包括负荷跟踪模式(如果已使用);
- 从功率运行到停堆;
- 热备用模式停堆;
- 冷停堆模式停堆;
- 换料模式停堆或等效维修模式停堆,即敞开反应堆冷却剂压力边界的主封盖;
- 以其他模式或在核动力厂具有独特的温度、压力和冷却剂装量的配置下停堆;
- 新燃料和辐照过的燃料的装卸和储存。
4.3.1.1.4 安全分析应该评价在核动力厂运行的参数值不超出运行限值时是否能安全地正常运行。
4.3.1.1.5 安全分析应该确定核动力厂安全运行的条件和限制,包括:
- 反应堆保护和控制系统以及其他专设安全系统的安全限值;
- 控制系统的运行限值和参考整定值;
- 运行过程控制的程序限制;
- 确定允许的运行配置。
4.3.1.1.6 正常运行设计的安全评价应该确认正常运行中只有当需要时才发生反应堆停堆或触发安全系统。误停堆和安全系统的误启动一般不利于核动力厂的安全。
4.3.1.2 正常运行时工作人员和公众的辐照剂量
4.3.1.2.1 正常运行的安全分析应该包括对核动力厂总体设计和运行的分析,目的是:预期工作人员和公众可能遭受的辐照剂量;评价辐照剂量是在可接受的限值内;保证辐照剂量满足合理可行尽量低的原则。
4.3.1.2.2 对于现场工作人员的辐照剂量预期,应该以其在核动力厂运转和服役中执行规定的操作为依据。辐照剂量的预期值既应该包括直接辐射的贡献又应该包括摄入放射性物质的贡献。分析应该考虑每次活动的持续时间、频率和操作人数。应该估计出最高的个人辐照剂量和小组平均年辐照剂量。
4.3.1.2.3 对于公众,辐照剂量的预期值应该包括直接辐射的贡献和摄入的放射性物质的贡献,以及由核动力厂放射性物质排放结果而通过食物链受到的辐照剂量的贡献。辐照剂量应该对关键居民组进行评估。
4.3.1.2.4 当辐照剂量预期值存在不确定性时,应作保守假设。
4.3.1.2.5 当辐照剂量预期值取决于由放射性物质总量累积或由污染水平引起的剂量率时,该预期值应该以核动力厂寿期内可能出现的最大值为依据。
4.3.1.2.6 辐照剂量估计值应该考虑所有相关的运行经验数据。这些数据可以从该核动力厂或类似的核动力厂的运行中推导得到。
4.3.1.2.7 剂量估计值应该与为核动力厂制定的辐射准则进行对比。该准则应该包括法规要求的或监管机构要求的剂量限值。
4.3.1.2.8 应该对剂量估计的结果进行评价,以确定核动力厂设计或运行的系统的缺陷,并应该对核动力厂进行合理可行的改进。
4.3.1.3 核动力厂放射性物质的计划排放
4.3.1.3.1 正常运行的安全分析应该包括估计核动力厂放射性物质的计划排放。
4.3.1.3.2 核动力厂放射性物质计划排放的估计应该与为核动力厂制定的辐射准则(包括法规要求或监管机构的要求)进行对比,并且应该按合理可行尽量低的原则进行审查。应对核动力厂的设计和运行情况进行评价,并且为了降低计划排放量进行合理可行的改进。
4.3.2 预计运行事件和设计基准事故
4.3.2.1 设计基准分析中考虑的核动力厂工况包括预计运行事件和设计基准事故。划分是基于事件的发生频率。
4.3.2.2 预计运行事件是比核动力厂正常运行的操作更为复杂的事件,并且可能会影响反应堆安全。预计这些事件至少会在整个核动力厂寿期内发生一次。一般来说,预计运行事件的发生频率大于每堆年10-2。
4.3.2.3 设计基准事故的发生频率低于预计运行事件的发生频率。设计基准事故在核动力厂寿期内预计不会发生,但是,根据纵深防御原则,他们仍然需要在核动力厂的设计中予以考虑。设计基准事故的发生频率介于每堆年10-2到10-5之间,但是,设计基准分析习惯上包括对某些发生频率更低的假设始发事件组的分析。
4.3.2.4 设计基准分析的目的是为工程设计故障容限和安全系统有效性提供强有力的证明。这种分析通过考虑了构建模型中不确定性的保守分析来实现的。
4.3.2.5 导致预计运行事件的假设始发事件
4.3.2.5.1 对于多数假设始发事件,控制系统会补偿事件的影响,不会导致反应堆停堆,也不会要求安全系统动作(第二层次纵深防御)。但是,预计运行事件的范畴应该包括在核动力厂寿期内所有预计可发生的假设始发事件,并且在纠正其故障后,核动力厂能恢复运行。
4.3.2.5.2 导致预计运行事件的假设始发事件的典型实例可包括以下几类。下列清单有广泛的代表性,具体清单取决于反应堆的类型和核动力厂系统的实际设计:
- 反应堆排热增加:蒸汽卸压阀误开启;二回路压力控制误动作导致蒸汽流量增加;给水系统误动作导致排热率增加。
- 反应堆排热减少:给水泵跳闸;由于各种原因导致的蒸汽流量减少(如:控制故障、主蒸汽阀关闭、汽轮机跳闸、失去外负荷、失去动力、失去冷凝器真空)。
- 反应堆冷却剂系统流量减少:一台主冷却剂泵跳闸;一个主冷却剂系统环路误隔离(如适用的话)。
- 反应性和功率分布异常:控制棒误抽出;化学和容积控制系统误动作引起硼稀释(对压水堆而言);燃料组件装错位。
- 反应堆冷却剂装量增加:化学和容积控制系统误动作。
- 反应堆冷却剂装量减少:仪表管破裂引起极小的失水事故。
- 放射性物质从子系统或部件释放:放射性废物系统的少量泄漏。
4.3.2.6 导致设计基准事故的假设始发事件
4.3.2.6.1 应该确定会导致设计基准事故的假设始发事件子集。引发预计运行事件的所有假设始发事件也应该考虑可引发设计基准事故。虽然通常不包括那些发生频率很低的假设始发事件引发设计基准事故,但是任何阈值的确定应该考虑为该反应堆规定的安全目标。
4.3.2.6.2 导致设计基准事故的假设始发事件的典型实例可包括以下几类。下列实例有广泛的代表性,具体清单取决于反应堆的类型和核动力厂系统的实际设计:
- 反应堆排热增加:蒸汽管道破裂;
- 反应堆排热减少:给水管道破裂;
- 反应堆冷却剂系统流量减少:所有主冷却剂泵跳闸;主冷却剂泵卡轴或断轴;
- 反应性和功率分布异常:控制棒失控提升;控制棒弹出;非在役环路启动导致的硼稀释(对压水堆而言);
- 反应堆冷却剂装量增加:应急堆芯冷却系统的误运行;
- 反应堆冷却剂装量减少:各种可能的冷却剂丧失事故;主系统卸压阀的误开启;一回路系统冷却剂向二回路系统泄漏;
- 子系统或部件的放射性物质释放:乏燃料在运输或储存中过热或损坏;气体或液体废物处理系统的破损。
4.3.2.6.3 应该指出,曾经作为设计基准事故处理的某些事故引发因素可能发生频率低于每年十万分之一。这些事件可能是一些假设始发事件的事例,如按现代标准设计和建造的核动力厂的大破口失水事故等。但是核安全法规仍然要求在设计基准事故的类别内考虑这类假设始发事件。
4.3.2.7 分组
4.3.2.7.1 大量的假设始发事件可以通过上面提供的指导加以确认,并不需要分析所有的假设始发事件。通常的做法是将其分组,对每一组,仅选择包络情况进行分析。
4.3.2.7.2 包络情况应是那些对已确定的每个主要安全功能给予最严重挑战的事故。在某些情况下,一个事故可能从某一个安全参数角度为最严重(如反应堆冷却系统压力峰值),而另一个事故则可能从其他一个安全参数角度为最严重(如燃料温度峰值)。在这种情况下,所有这些事故序列在设计过程中均作为包络情况处理。
4.3.2.7.3 安全分析应该确认始发事件的分组和包络始发事件是可接受的。
4.3.2.8 预计运行事件和设计基准事故分析的目标
4.3.2.8.1 预计运行事件和设计基准事故的分析应该证实安全系统有能力满足以下安全要求:
- 停闭反应堆并在设计基准事故工况期间及其后使反应堆维持在安全停堆状态;
- 在所有运行状态和所有设计基准事故工况停堆后从堆芯排出剩余热量;
- 减少放射性物质释放的可能性,并且保证在核动力厂处于运行状态时任何释放均低于规定限值;在设计基准事故期间,放射性释放低于可接受的限值。
4.3.2.8.2 安全分析应该表明,核动力厂各参数限值和放射性限值均未超出。特别是,应该证实用于防止放射性物质从核动力厂释放的某些或全部屏障将在所要求的程度内维持其完整性。
4.3.2.8.3 安全分析应该确定设计的能力和保护系统的整定值,以保证核动力厂总能维持其基本安全功能。设计基准事件是下列系统设计的基础:反应性控制系统、反应堆冷却剂系统、专设安全设施(如应急堆芯冷却系统、安全壳系统、安全壳保护系统),电力系统以及各种安全重要的支持系统。
4.3.2.8.4 应有评价事件的充分时间,以确定设计基准事件的所有后果。这意味着,核动力厂瞬态的计算应该超出核动力厂停堆及安全冷却系统启动的时刻(即一直达到长期稳定状态为止)。
4.3.2.8.5 对新建的核动力厂和正在接受定期安全评价的核动力厂,应该对其设计基准事件进行全面的确认和评价。对现有核动力厂的修改,评价工作应该着重于受该修改影响的设计基准事件。
4.3.2.8.6 对现有核动力厂进行修改或重新评价时,由于下列原因,可能需要变更原设计使用的方法和假设:
- 原设计基准或验收准则可能不再适合;
- 原设计使用的安全分析工具可能已由更先进的工具所代替;
- 原设计基准可能已不再满足。
4.3.2.8.7 预计运行事件的安全分析实质上相同于事故分析。但预计运行事件分析不必具有设计基准事故分析的全部保守性。例如预计运行事件分析不需要假设所有非安全系统和设备均不可用。
4.3.2.8.8 对主要用于防范设计基准事故的安全设备,预计运行事件不应该对其提出任何不必要的挑战。
4.3.2.9 预计运行事件和设计基准事故分析的方法和假设
4.3.2.9.1 方法
4.3.2.9.1.1 预计运行事件和设计基准事故的安全分析应该采用合适的中子物理学、热工水力学、结构和放射学的计算机程序,以便确定反应堆对考虑的运行事件和事故的响应。
4.3.2.9.1.2 应该对用于预计运行事件和设计基准事故分析的计算机程序进行适当地验证和确认。这包括用于计算反应堆堆芯行为的程序和热工水力学的程序,以及用于计算放射性物质释放及其后果的程序。此外,分析人员和程序使用人员应该具有适当的资格、经验并经过培训。
4.3.2.9.1.3 用于预计运行事件和设计基准事故分析的计算机程序应该引用从类似的核动力厂获得的运行经验和相关的实验数据。由于预计运行事件在核动力厂寿期内预计会发生一次或更多,因此,通常已经积累了这类瞬态的运行经验和数据。
4.3.2.9.1.4 作为应用基础的计算机程序的模型参数、初始条件和设备可用性假设按惯例是高度保守的,并且所有的分析参数均采用极端保守值。但是,以往的经验表明,这样有时会导致错误的事件序列、不切实际的时序和遗漏某些物理现象。考虑到这些缺陷和目前最佳估算程序的成熟性,安全分析应使用最佳估算程序,选择合理保守的输入数据,并充分评估结果的不确定性。
4.3.2.9.1.5 应用最佳估算程序与初始和边界条件作现实假设相结合的方法也可接受。该方法应该基于在规定的高可信度条件下相应的核动力厂工况和程序模型的统计组合的不确定性,使计算结果满足验收准则。
4.3.2.9.1.6 安全分析应该遵守适当的质量保证大纲。特别是,数据的所有来源均应该指明出处并形成文件,整个分析过程应该记录并编档保存以便于独立检查。
4.3.2.9.2 假设
4.3.2.9.2.1 为设计基准分析作的典型保守假设应包括如下:
- 始发事件发生在反应堆初始条件最不利的时刻(包括功率水平、余热水平、反应性状态以及反应堆冷却剂系统的温度、压力和装量);
- 任一控制系统仅在其执行功能会加剧始发事件的影响时,才假设其运行。应认为可减轻始发事件后果的控制系统的运行是不可信的;
- 对于正在作分析的假设始发事件,应假设所有未被指定及维持安全级(充分的质量保证、抗震和设备鉴定)的系统和设备都失效,其失效方式会对假设始发事件造成最严重影响;
- 安全组最严重的单一故障应该假设发生在始发事件要求投运时。对于多重系统,通常假设最少数量的系列启动并运行;
- 应该假设安全系统在其最低性能水平下运行。对于反应堆停堆和安全系统触发系统,应该假设其动作发生在可能范围的最不利的时刻;
- 任何构筑物、系统或部件不能认为完全可运行的,或在事故发生期间达到设计人员并未证明其完全可运行的极限,则应该假设其不可用;
- 仅在确认核动力厂工作人员有足够的时间执行要求的操作、有足够的信息用于事件诊断(考虑始发事件的影响和单一故障准则)、有足够的书面操作规程可供应用以及对核动力厂的工作人员提供了足够的培训时,为防止或缓解事故的工作人员操作才可在分析中加以模拟。一般假设在事件发生10分钟以后,核动力厂工作人员才开始进行操作。
4.3.2.9.2.2 所作的保守假设应该考虑反应堆初始条件的不确定性,包括安全系统触发的整定值。
4.3.2.9.2.3 设计基准分析应该包括作为始发事件后果而出现的故障(因此是假设始发事件的一部分)。这些故障通常包括:
● 如果始发事件是配电系统某一部分的故障,设计基准事故分析应该假设所有由该部分供电的设备均不可用;
● 如果始发事件是高能事件,例如导致高温水泄漏或管道甩动的承压系统破损,设计基准事故应该包括会受高能事件影响的设备的故障;
● 对内部事件(如火灾或水淹)或外部事件(如地震),设计基准事件应该包括所有未设计能承受这些事件影响的也未受到保护的设备的故障。
4.3.2.9.2.4 由于这些假设非常保守,设计基准分析常常提供强有力的证明,在安全限值被超过前存在大的裕度。但是,在应用该分析时必须保持谨慎,因为分析结果并不总是如此。
4.3.2.9.2.5 预计运行事件的安全分析也应该包括许多在确定论设计基准事故分析中所做的保守假设,尤其是在这些瞬态期间用于维持关键安全功能的系统有关的那些假设。但是,没有必要假设所有非安全系统和设备均不可用,也没有必要假设控制系统在减轻始发事件影响中不可信,除非假设始发事件使得这些系统不可用。
4.3.2.9.2.6 评价的结果应该以适宜的格式书写并呈交,以便很好地了解事件过程,并易于核实是否满足每个验收准则。
4.3.2.9.3 验收准则
4.3.2.9.3.1 应该对《核动力厂设计安全规定》中规定的设计基准范围内的事件和工况制定验收准则。这些准则应该通过防止放射性物质释放的屏障损坏和防止放射性物质不可接受的释放,来保证核动力厂维持足够的纵深防御层次。
4.3.2.9.3.2 验收准则应该在如下两个层次内确定:
- 总的/高级别准则:涉及事故中公众遭受的辐照剂量以及防止事故引起压力边界破损。这些准则由国家核安全监管部门规定。
- 由设计人员或分析人员规定的详细准则:选择这类准则对满足总的验收准则是充分的,但不是必要的。另外,分析人员为了简化分析(如避免作极其复杂的计算),可以在更详细的层次上设置目标(更严的验收准则)。应该明确规定各项具体验收准则适用的范围和条件。
4.3.2.9.3.3 验收准则应该与事故的各种条件(如始发事件的发生频率或反应堆设计及核动力厂工况)有关。一般需要不同的准则来判断各屏障的薄弱环节和验收事故后果的不同方面。发生频率较高的事件常应用较严格的准则。
4.3.2.9.3.4 因为预计运行事件的发生频率较高,为其确定的放射性验收准则一般较为严格。总的来说,验收准则不容许任何实体屏障失效(燃料基体、燃料包壳、反应堆冷却剂压力边界或安全壳)和燃料损伤(或者如果已经存在运行限值内的燃料轻微泄漏,则要求没有额外的燃料损伤)。
