HAF 102-2016 核动力厂设计安全规定

—3—附件HAF102-2016核动力厂设计安全规定（2016年修订，2016年10月26日国家核安全局批准发布）1引言1.1目的为实现核动力厂的安全运行，防止或减轻可能危及安全的事件后果，本规定提出了核动力厂安全重要的构筑物、系统和部件的设计，以及规程和组织流程所必须满足的要求。本规定适用于核动力厂设计、建造、运行和退役阶段的分析、验证和审查，技术支持以及核安全监督。1.2范围1.2.1本规定提出了进行全面安全评价的要求，以确定核动力厂在各种运行状态和事故工况下可能产生的潜在危险。安全评价过程涉及确定论安全分析和概率论安全分析这两种互为补充的技术，分析中必须考虑各种假设始发事件，包括可能单独地或组合地影响安全的诸多因素。这些事件有如下几种类型：（1）源自核动力厂运行本身；（2）由人员行为引起；（3）与核动力厂及厂址环境直接相关。1.2.2本规定不涉及极不可能影响核安全的一般工业安全和由—4—核动力厂运行所引起的非放射性影响。1.2.3本规定中的核动力厂主要是指为发电或其他供热应用（诸如集中供热或海水淡化）而设计的，采用水冷反应堆的陆上固定式核动力厂。1.2.4其他类型或采用革新技术的反应堆设计可参照本规定，但应经过细致的评价和判断。2安全目标和纵深防御概念2.1安全目标2.1.1基本安全目标：在核动力厂中建立并保持对放射性危害的有效防御，以保护人与环境免受放射性危害。2.1.2为了实现基本安全目标，必须采取以下措施：（1）控制在运行状态下对人员的辐射照射和放射性物质向环境的释放；（2）限制导致核动力厂反应堆堆芯、乏燃料、放射性废物或任何其他辐射源失控事件发生的可能性；（3）如果上述事件发生，减轻这些事件产生的后果。2.1.3基本安全目标适用于核动力厂的所有活动，包括规划、选址、设计、制造、建造、调试、运行和退役，以及有关放射性物质的运输、乏燃料和放射性废物的管理等。2.2辐射防护设计2.2.1为了实现基本安全目标，辐射防护设计必须保证在所有—5—运行状态下核动力厂内的辐射照射或由于该核动力厂任何计划排放放射性物质引起的辐射照射低于规定限值，且可合理达到的尽量低。同时，还应采取措施减轻任何事故的放射性后果。2.2.2为了实现基本安全目标，辐射防护设计必须使得核动力厂所有辐射照射的来源都处在严格的技术和管理措施控制之下。但不排除人员受到有限的照射，也不排除法规许可数量的放射性物质从处于运行状态的核动力厂向环境的排放。此种照射和排放必须受到严格控制，并符合运行限值和辐射防护标准，且可合理达到的尽量低。2.3安全设计2.3.1安全设计必须：（1）防止由于反应堆堆芯或其他辐射源失控所引起有害后果的事故，并在一旦发生事故时减轻其后果；（2）保证在设计中考虑的所有事故的放射性后果都低于相关限值，并保持在可合理达到的尽量低的水平；（3）保证有严重放射性后果的事故发生的可能性极低，并尽最大可能减轻这种事故的放射性后果。2.3.2为了证明在核动力厂的设计中实现了基本安全目标，必须对设计进行全面的安全评价，以确定所有辐射照射的来源，并评估核动力厂工作人员和公众可能受到的辐射剂量，以及对环境的可能影响。此种安全评价要考虑以下内容：（1）核动力厂的正常运行；（2）预计运行事件时核动力厂的性能；（3）事故工况。在分析的基础上，确认设计抵御假设始发事件和事故的能力，验证安全重要—6—物项的有效性，以及确定应急计划的输入。2.3.3尽管采取措施将所有运行状态下的辐射照射控制在可合理达到的尽量低的水平，并将导致辐射源失控事故的可能性减至最小，但仍然存在发生事故的可能性。这就需要采取措施以保证减轻放射性后果。这些措施包括：安全设施和安全系统，营运单位制定的核动力厂事故管理规程，以及国家和地方有关部门制定的场外干预措施。2.3.4核动力厂的安全设计必须采取实际措施，以减轻核与辐射事故对人的生命、健康以及环境造成的影响。必须实际消除可能导致高辐射剂量或大量放射性释放的核动力厂事故序列；必须保证发生频率高的核动力厂事故序列没有或仅有微小的潜在放射性后果。安全设计的基本目标是在技术上实现减轻放射性后果的场外防护行动是有限的甚至是可以取消的。2.4纵深防御概念2.4.1防止核动力厂发生事故和减轻事故后果的主要手段是应用纵深防御概念。该概念贯彻于安全有关的全部活动，涉及核动力厂各种功率及停堆状态下有关的组织、人员行为或设计，以保证这些活动均置于各种独立的、不同层次措施的防御之下。即使有一种故障发生，它将由适当的措施探测、补偿或纠正。在整个设计和运行中贯彻纵深防御，以应对厂内设备故障或人因引起的各种预计运行事件和事故，以及外部事件引起的后果。2.4.2纵深防御概念的应用主要是通过一系列连续和独立的防御层次的结合，防止事故对人员和环境造成危害。如果某一层次的—7—防护失效，则由后一层次提供保护。每一层次防御的独立有效性都是纵深防御的必要组成部分。（1）第一层次防御的目的是防止偏离正常运行及防止安全重要物项的故障。这一层次要求：按照恰当的质量水平和经验证的工程实践，正确并保守地选址、设计、建造、维修和运行核动力厂。为此，应十分注意选择恰当的设计规范和材料，并对部件的制造、核动力厂的建造和调试进行质量控制。在这一层次，降低内部危险可能性的设计措施有助于事故的预防。还应重视涉及设计、制造、建造、在役检查、维修和试验的过程和规程，以及进行这些活动时良好的可达性、核动力厂的运行方式和运行经验的利用等方面。整个过程以确定核动力厂运行和维修要求及其质量管理要求的详细分析为基础。（2）第二层次防御的目的是检测和控制偏离正常运行状态，以防止预计运行事件升级为事故工况。尽管注意预防，核动力厂在其寿期内仍然可能发生某些假设始发事件。这一层次要求在设计中设置特定的系统和设施，通过安全分析确认其有效性，并制定运行规程以防止这些始发事件的发生，或尽量减小其造成的后果，使核动力厂回到安全状态。（3）设置第三层次防御是基于以下假定：尽管极不可能，某些预计运行事件或假设始发事件的升级仍有可能未被前一层次防御所制止，而演变成事故。在核动力厂的设计中，假定这些事故会发生。这就要求必须通过固有安全特性和（或）专设安全设施、安全系统—8—和规程，防止造成反应堆堆芯损伤或需要采取场外干预措施的放射性释放，并能使核动力厂回到安全状态。（4）第四层次防御的目的是减轻第三层次纵深防御失效所导致的事故后果。通过控制事故进展和减轻严重事故的后果来实现第四层次的防御。安全目标是，在严重事故下仅需要在区域和时间上采取有限的防护行动，且避免场外放射性污染或将其减至最小。这要求可能导致早期放射性释放或者大量放射性释放的事件序列被实际消除。（5）第五层次，即最后层次防御的目的是减轻可能由事故工况引起的潜在放射性释放造成的放射性后果。该层次要求配备恰当的应急设施，制定用于场内、场外应急响应的应急计划和应急程序。2.4.3纵深防御概念应用的另一方面是在设计中设置一系列的实体屏障，并采用能动、非能动设施和固有安全特性的组合，以使实体屏障能够有效地将放射性物质包容在特定区域。所需实体屏障的数目取决于放射性核素总量和同位素成份表征的初始源项、单个屏障的有效性、可能的内部与外部危险以及各种失效的潜在后果。3设计安全管理3.1设计安全管理职责营运单位必须保证提交国务院核安全监管部门的设计符合所有适用的安全要求。所有从事与核动力厂安全设计重要活动相关的组织，包括设计单位，都有责任保证将安全事务放在最优先的位置。—9—3.2质量保证3.2.1必须制定和实施描述核动力厂设计的管理、执行和评价的总体安排的质量保证大纲。该大纲包括保证核动力厂每个构筑物、系统和部件以及总体设计的设计质量的措施,包括确定和纠正设计缺陷、检验设计的恰当性和控制设计变更的措施。3.2.2设计，包括变更、修改或安全改进，必须按照合适的工程规范和标准所确定的程序进行，并必须体现适用的要求和设计基准，必须确定和控制设计接口。3.2.3设计（包括设计手段和设计输入与输出）的恰当与否，必须由原先从事此工作的人员以外的个人或团体进行验证和确认。在设计和建造过程中应尽早完成验证、确认和批准,最迟不晚于核动力厂首次装料。3.3全寿期内保持核动力厂设计的安全和完整性3.3.1营运单位对安全负全面责任。营运单位必须建立一套正式的体系，在整个寿期内始终保证核动力厂设计的安全和完整性。3.3.2为便于安全分析报告、设计手册和其他设计文件等详细的设计资料转移至营运单位，应尽早设立全面负责设计过程的部门，并制定管理流程，在营运单位的管理体系内负责核动力厂设计安全和完整性。3.3.3核动力厂的设计工作可以由许多组织分担：工程公司、反应堆及其辅助系统供应商、主要设备供应商、电气系统的设计单位以及对核动力厂安全重要的其它系统的供应商等。营运单位必须对委托给外部组织的设计活动进行管理。—10—3.3.4全面负责设计过程的部门必须保证核动力厂设计满足安全性、可靠性和质量方面的验收准则。这些准则符合相关的法律法规和标准规范。必须建立并明确工作范围和职责，以保证：（1）设计符合其目标，并满足防护和安全最优化的要求，使辐射风险保持在可合理达到的尽量低的水平；（2）持续保证设计安全的方式包括设计验证、确定工程规范和标准及要求、采用经验证的工程实践、提供建造经验反馈、批准重要工程文件、开展安全评价和保持安全文化；（3）安全运行、维修（包括合适的试验周期）和修改所需的设计资料应该是可用的，设计资料应适当考虑以往的运行经验和经验证的研究成果，并由营运单位维护在最新状态；（4）保持对设计要求和状态控制的管理；（5）建立和控制责任设计者和参与设计工作的供应商之间必要的接口；（6）营运单位需维护必要的工程专业资料和科技资料；（7）所有设计变更都经过审查、验证、形成文档并批准；（8）维护充分的文件，以便今后开展核动力厂退役工作。4主要技术要求4.1基本安全功能4.1.1必须保证在核动力厂所有状态下实现以下基本安全功能：—11—（1）控制反应性；（2）排出堆芯余热，导出乏燃料贮存设施所贮存燃料的热量；（3）包容放射性物质、屏蔽辐射、控制放射性的计划排放，以及限制事故的放射性释放。4.1.2必须用全面、系统的方法来确定完成基本安全功能所必需的安全重要物项，以及在核动力厂所有状态下用于实现或影响基本安全功能的固有特性。4.1.3必须提供对核动力厂状态进行监测的手段，以保证实现所要求的安全功能。4.2辐射防护4.2.1设计必须保证工作人员和公众在整个寿期内受到的辐射剂量，在运行状态下不超过剂量限值，在事故工况下不超过可接受限值，并可合理达到的尽量低。4.2.2设计必须实际消除可能导致高辐射剂量或大量放射性释放的核动力厂状态，并必须保证发生可能性较高的核动力厂状态没有或仅有微小的潜在放射性后果。4.2.3基于辐射防护目的，必须制定与核动力厂各类状态相对应且符合监管要求的可接受限值。4.3设计管理4.3.1设计必须保证核动力厂及其安全重要物项具有合适的性能，以保证其能可靠地执行安全功能；在设计寿期内核动力厂能够在运行限值和条件范围内安全运行，并能够安全退役；对环境的影—12—响最小。4.3.2设计必须保证满足营运单位的安全要求，满足国务院核安全监管部门和相关法律法规的要求，并适当考虑营运单位人员的能力与局限性以及可能影响人员行为的各种因素。必须提供充分的设计资料，保证核动力厂的安全运行和维修，并允许以后能对核动力厂进行修改。同时推荐可纳入核动力厂管理规程和运行规程的实践（即运行限值和条件）。4.3.3设计必须适当考虑其他核动力厂在设计、建造和运行中获得的相关经验，以及相关的研究成果。4.3.4设计必须适当考虑确定论安全分析和概率论安全分析的结果，保证已经适当考虑了事故的预防和事故后果的缓解。4.3.5设计必须保证采用合适的设计措施以及运行和退役实践，使产生和排放的放射性废物活度和体积达到实际可行的最低水平。4.4纵深防御的应用4.4.1设计必须体现纵深防御。纵深防御的各层次之间必须尽实际可能地相互独立，避免一个层次防御的失效降低其他层次的