核电厂远程停堆站事故准则的标准研究

程 波 梅世柏 周毅超 张建波 邹 杰

(深圳中广核工程设计有限公司，广东 深圳 518172)

0 引言

当核电厂主控制室不可用时，运行人员撤离到远程停堆站(remote shutdown station，RSS)，将反应堆迅速带到热停堆，配合就地控制达到冷停堆。但是由于主控制室不可用而撤离到远程停堆站时是否考虑核电厂处于事故工况，或者考虑何种事故工况，还需要进一步明确。远程停堆站是核电厂的辅助控制点/辅助控制室，关于辅助控制点/辅助控制室的法规标准，要求适用于远程停堆站。本文通过对国内外法规标准的分析研究，确定远程停堆站是否考虑事故的设计原则。

1 核电厂RSS 介绍

常规核电厂的远程停堆站(也称为应急停堆盘)主要包括的人机接口设备为常规盘台，盘台上包含有限数量的常规监控设备，用于与主控制室设备间的功能切换和完成远程停堆站的功能。

采用数字化控制系统后，核电厂远程停堆站的人机接口主要设备包括与主控制室之间进行控制功能切换的开关和用于停堆监控的数字化工作站。根据人因工程的要求，远程停堆站数字化工作站的人机界面设计与主控制室相似。

2 RSS 设计原则的国内法规标准分析

2.1 HAF102 -2004 相关内容分析

核安全法规《HAF102 -2004 核动力厂设计安全规定》对核电厂辅助控制室相关规定如下。

①辅助控制室与主控制室实体隔离、电气隔离，并完成停堆功能，未明确远程停堆站是否需要考虑事故。

②必须在与控制室电气分隔和实体隔离的一个独立的地点(辅助控制室)配置足够的仪表和控制设备，借以在控制室丧失执行重要安全功能时完成下述任务:使反应堆进入并保持在停堆状态，排出余热并监测核动力厂的主要变量［1］。

2.2 HAD 002/01 -2010 相关内容分析

核安全导则《HAD 002/01 -2010 核动力厂营运单位的应急准备和应急响应》的相关要求遵循《HAF102 -2004 核动力厂设计安全规定》，也未明确远程停堆站是否需要考虑事故。相关内容如下:在与核动力厂主控制室实体和电气分隔的辅助控制室内，应有足够的仪表及控制设备，以便在主控制室丧失其完成基本安全功能的能力时，能实施停堆、保持停堆状态、导出余热并监测电厂基本参数［2］。

2.3 GB/T 13631 -92 相关内容分析

国标《GB/T 13631 -92 核电厂辅助控制点设计准则》是与IEC 60965 -89 等效的标准，本标准概述性地指出了在核电厂主控制室不可用转移到辅助控制点所考虑的电厂事故工况情况。

GB/T 13631 -92 相关内容如下所示。

①如果设立辅助控制点，则应该不需进入控制室就能从辅助控制点停闭反应堆，使核电厂转到安全停闭工况并保持在这种工况［3］。

②因为导致控制室不能进入的事件很少发生，所以本标准假设这些事件与核电厂中的任何其他独立事件不能同时发生，特别是认为一次冷却剂回路是完整无损的，但必须考虑其预期频度足以使其与辅助控制点的使用可能同时发生的电厂故障［3］。

3 RSS 设计原则的国外法规标准分析

3.1 IEC 60965 -1989 相关内容分析

国际标准《IEC 60965 -1989 不进入主控制室实现反应堆停堆的辅助控制点》中，关于主控制室不可用而转移到辅助控制点时所考虑的核电厂工况描述如下所示。

如果设立辅助控制点，则应该不需进入控制室就能从辅助控制点停闭反应堆，使核电厂转到安全停闭工况和保持在这种工况［4］。

因为导致控制室不能进入的事件很少发生，所以本标准假设这些事件与核电厂中的任何其他独立事件不能同时发生，特别是认为一次冷却剂回路是完整无损的，但必须考虑其预期频度足以使其与辅助控制点的使用可能同时发生的电厂故障［4］。

IEC 60965-89 概述性地指出在主控制室不可用远程停堆站投用所需考虑的电厂事故情况，即:不假设核电厂同时发生任何独立的电厂事件，特别是认为一次冷却剂回路是完整无损的，但必须考虑其预期频度足以使其与辅助控制点的使用可能同时发生的电厂故障。

3.2 BS IEC 60965 -2009 相关内容分析

国际标准《BS IEC 60965 -2009 核电厂— 控制室—不进入主控制室实现反应堆停堆的辅助控制点》是对IEC 60965 -1989 的升版和替代版本，但是关于主控制室不可用时转移到辅助控制点所需考虑的电厂工况内容，与IEC 60965 -1989 差别不大，标准中的相关描述如下。

因为导致主控室失效的事件很少发生，因此核电厂安全分析假设这类事件与电厂中的任何其他独立事件同时发生的概率非常小，尤其假设一回路边界是完整无损的。但是，必须考虑到任何引起反应堆停堆的电厂故障，以及停堆维修期间发生的、预期频率足以使其与辅助控制点的投用同时发生的电厂故障。辅助控制点的设计尤其要考虑由于火灾或者其他原因引起的主控制室长期失效的可能性［5］。

IEC 60965 -2009 也是概述性地指出在主控制室不可用远程停堆站投用所需考虑的电厂事故情况，并没有明确具体考虑哪些事故工况。

3.3 IAEA NS-R-1 相关内容分析

实际上，IEC 60965 -2009 遵循国际标准《IAEA NS-R-1 核动力厂安全:设计》的原则要求。IAEA NS-R-1 6.75 章节中对应的相关描述如下。

必须配备足够的仪表和控制设备，最好是一个在实体上和电气与上述控制室相分离的单独场所(辅助控制室)，以便在控制室丧失执行重要安全功能的能力时，能够使反应堆置于和维持在停堆状态，能排出余热，并能监测最重要的动力厂变量［6］。

通过上述描述可知，IAEA NS -R -1 指出了在主控制室不可用时，对远程停堆站的功能要求，但未明确远程停堆站是否需要考虑事故。

3.4 NS-G-1.3 相关内容分析

IEC 60965 -2009 同样遵循国际标准《IAEA NS -G-1. 3 核电厂安全重要仪控系统》的原则要求。IAEA NS-G-1.3 标准6.19 中的相关描述如下。

核电厂的设计基准认为由于假想始发事件(postulated initiating event，PIE)导致主控制室不可用的频度很低，因为不假设主控制室失去转移到辅助控制点执行必要的安全功能时再次发生PIE 事件［7］。

IAEA NS -G -1.3 概述性地指出不假设主控制室失去转移到辅助控制点执行必要的安全功能时再次发生PIE 事件，但并未明确指出此时所需考虑的电厂工况。

3.5 EUR 相关内容分析

欧洲用户要求EUR 第2 卷第1 章 安全需求(第2部分)中的相关描述如下。

在与主控制室实体隔离和电气隔离的其他控制室及紧急的电厂控制应提供足够的仪表和控制设备。对于远程停堆盘，这些设备应能保证在主控制室失去安全功能时，在设计基准工况(design basis conditions，DBC)1 类和2 类工况下，使反应堆转到并保持在冷停堆状态，导出余热，必要的电厂参数得到监视。考虑到控制的可用时间和特性(可达性、必要的通信等)，就地控制也认为是可以接受的［8］。

上述EUR 2.1 6.12 较为具体地指出远程停堆站只需考虑DBC1 类和2 类工况，重点是导出余热、配合就地控制将反应堆带到冷停堆状态。

EUR 中关于DBC 工况分类和定义如表1 所示。

表1 DBC 工况分类和定义Tab.1 Classification and definitions of operating conditions of DBC

3.6 美国联邦法规10 CFR 50 相关内容分析

美国联邦法规10 CFR 50 的相关描述如下。

准则19—控制室。控制室外适当地点应提供以下设备:(1)包括必要的仪表和控制，将反应堆带到热停堆，并保持在安全状态;(2)应用适当的规程将反应堆带到冷停堆［9］。10 CFR 50 中指出了在主控制室不可用时对远程停堆站的功能要求，没有说明如何考虑核电厂所处的工况尤其是事故工况。

3.7 RCC-P 900 1995 相关内容分析

法国核电标准《RCC -P 900 90 万千瓦压水堆核电站系统设计和建造规则》1995 年修订版相关描述如下。

安全停堆所需的系统，应急停堆盘按下述准则进行设计:应急停堆盘只设计成能使反应堆快速进入热停堆状态。

考虑到已经采取了一些措施，应急停堆盘的设计不考虑在控制室不可使用的同时又发生其他事故，特别是不考虑又发生要求使用专设安全设施的事故［10］。

根据上述有关应急停堆屏系统的设计要求，概述性地指出远程停堆站不考虑主控制室不可用的情况发生其他独立事故，特别不考虑又发生要求使用专设安全设施的事故。其中，没有直接明确此时所需考虑的电厂事故工况。

4 RSS 事故准则的标准研究

在上述与RSS 设计准则相关的10 个国内外标准中，HAF102-2004、HAD 002/01 -2010、IAEA NS -R -1、10 CFR 50 主要定位RSS 的总体功能，未明确RSS 投用时是否考虑事故的原则;GB/T 13631 - 92、IEC 60965-1989、BS IEC 60965-2009、NS -G-1.3、RCC -P 900 1995、EUR 描述了在核电厂主控制室不可用转移到远程停堆站时，所考虑事故的具体范围，EUR 更加具体地定义了远程停堆站只考虑DBC1 和DBC2类工况，为设计核电厂远程停堆站的事故准则提供了指导意见。但如果国际和国内标准对远程停堆站设计的事故准则均进一步明确，则对远程停堆站设计更有裨益。

5 结束语

基于上述对国内外法规标准的研究可以确定，远程停堆站需与主控制室实体隔离和电气隔离，其主要功能为:在主控制室不可用时，排出余热，使机组带到热停堆，并配合就地控制达到冷停堆。同时，基于上述国内外法规标准的要求及核电厂设计和运行中的安全性和经济性考虑，明确指出核电厂远程停堆站不考虑主控制室不可用的情况发生其他独立事故，特别不考虑又发生要求使用专设安全设施的事故。同时，根据在役和在建核电厂的设计经验，远程停堆站的设计考虑失去厂外电。故建议国际和国内相关标准升版时进一步明确远程停堆站的事故设计准则，最好定义出远程停堆站设计所考虑事故的具体分类。

本文研究成果在自主研发的三代电站项目的远程停堆站设计中得到了应用。

［1］ HAF102 -2004 核动力厂设计安全规定［S］.2004.

［2］ HAD002/01 -2010 核动力厂营运单位的应急准备和应急响应［S］.2010.

［3］ GB/T13631 -92 核电厂辅助控制点设计准则［S］.1992.

［4］ IEC 60965-1989 Supplementary control points for reactor shutdown without access to the main control room［S］.1989.

［5］ BS IEC 60965 - 2009 Nuclear power plants - control rooms -supplementary control points for reactor shutdown without access to the main control room［S］.2009.

［6］ IAEA NS-R-1 Safety of nuclear power plants:design［S］.

［7］ IAEA NS-G -1.3 Instrumentation and control systems important to safety in nuclear power plants［S］.

［8］ EUR 2.10 revision C-2001 European utility requirements for LWR nuclear power plants［S］.2001.

［9］ 10 CFR 50 Domestic licensing of production and utilization facilities［S］.

［10］RCC-P-1995 Design and construction rules for system design of 900MW PWR nuclear power plants［S］.1995.