宿俊海，孙 娜

（华龙国际核电技术有限公司，北京 100036）

核电厂在正常运行、灾害、事故过程中的安全是依靠构筑物、系统和部件（SSC）执行安全功能来实现的。分级的目的是确保物项的设计、制造、建造、调试和运行采用恰当的要求，以确保物项在所有预期的运行工况下有适宜的质量，确保安全功能的实现。因此，为了保证物项完成其功能，需要先对物项进行合适的级别划分。仪控系统和设备安全分级就是对仪控系统和设备在其所应完成的核安全功能方面进行分析和评估，并在安全重要性分析的基础上进行功能分类，系统和设备安全分级。再根据其功能和安全等级确定其在设计、建造、调试和运行中要采用的设计、试验和维修措施，以达到相应的设备质量和可靠性要求。

1 仪控系统的安全分级

1.1 仪控安全分级的发展

美国原子能委员会（AEC）于1970年颁布了联邦法规，规定了“质量保证”要求，并要求对安全重要的构筑物和设备进行“质量分组”。由于联邦法规的要求，安全分级问题得到了核工业界的高度重视。经过不断的探索和实践，美国机械工程师协会（ASME）编制了相应的规范，对承压设备确定了安全1、2、3级的要求，对应于联邦法规的质量A、B、C组要求，并得到了监管当局的认可。针对安全级电气仪控系统，美国电气工程师学会发布了IEEE 603，其中规定“用于缓解设计基准事故后果以保护公众健康和安全”的仪控系统被定义为安全级[1]，包括安全停堆、事故后参数监测等。同期，其他标准对仪控系统安全分级的划分是类似的，同样也没有系统地给出功能及物项分级的逻辑方法，而是直接对安全级进行定义。此后，法国参考N4机组的经验反馈，提出了IPS-NC级概念，即：某些承压或非承压的机械、仪控设备，在“可能发生的运行工况”或“极不可能发生的运行工况”下，其失效会影响到安全功能完成的那些非安全级设备，称为非安全级的安全重要设备（IPS-NC）。

当前发展了根据EUR、SSG-30等基于功能分类进行物项分级的方法论，即4级（1、2、3和非安全级）物项等级设置，所有的物项分级（包括仪控物项分级）基于功能分类确定其相应的安全分级[2,3]，不再直接给出安全级仪控系统的定义和物项分级表，而是系统地给出功能及物项分级的逻辑方法，增设了“设计预防措施”的筛选要求进而完善了分级流程，适应性更加广泛。

1.2 安全分级方法

当前核电厂普遍采用基于IAEA SSG-30的安全分级方法，以下给出安全分级的基本流程[2]，如图1所示。

安全分级工作开始之前，需要对电厂设计有一个全面的了解。通过安全分析（包括对始发事件的分析），确定主要的安全功能是如何实现的。系统地识别所有电厂状态下需要执行的安全功能，然后根据安全分析结果识别各安全功能对安全目标实现的重要性，并对其进行分类，再根据物项在安全功能实现过程中的重要性对物项进行分级。对于一些直接执行具体设计预防措施的物项，机组正常运行期间，可以直接根据其失效后的后果进行分级。事故工况下，其分级还需要考虑事故工况本身发生的可能性，即考虑需要物项实施其设计措施的可能性。

设计预防措施用于预防事故、限制危害的影响，或保护工作人员、公众和环境免受运行条件下的放射性风险。设计预防措施主要采用高质量的物项、高质量的设计，防止工作人员和公众在正常运行状态下遭受辐射危害的屏蔽，保护安全重要部件免受内部和外部灾害破坏的混凝土墙，以及防甩击装置和固定装置等。一般设计预防措施无需仪控功能进行控制，故仪控系统的分级不涉及设计预防措施的分级。

电厂工况分为设计基准工况（DBC）和设计扩展工况（DEC），设计基准工况包括：正常运行和正常运行瞬态（I类工况）、预计运行事件（II类工况）、稀有事故（III类工况）、极限事故（IV类工况），设计扩展工况包括DEC-A、DEC-B。

根据IAEA SSR-2/1和SSG-30的要求，参照以往工程实践经验，对于II类、III类和IV类工况定义了可控状态和安全状态，对于DEC工况定义了安全状态[4]。

将安全功能分为安全1类（FC1）功能、安全2类（FC2）功能和安全3类（FC3）功能。如果一个功能在不同工况中使用，其功能类别取决于功能类别要求最高的工况。核电厂各工况下功能的分类见表1。非FC1类、FC2类和FC3类功能用“NC”表示。

表1 各工况下安全功能分类Table 1 Classification of safety functions under various working conditions

执行具体安全功能的安全重要仪控系统分级应该与其执行的安全功能类别相一致，即执行安全1类功能（FC1）物项应为功能1级物项（F-SC1）；执行安全2类功能（FC2）物项应为功能2级物项（F-SC2）；执行功能3类功能（FC3）物项应为功能3级物项（F-SC3）。如果一个物项执行多个功能，其分级取决于功能类别最高的功能，可使用高等级设备实现低安全等级功能。例如，可采用F-SC1级设备实现FC2仪控功能。

2 基于安全分级的仪控系统设计要求

在确定物项的分级后，需要给出每个物项相应的设计要求。

2.1 设计总要求

安全分级一旦建立，就应确定和应用相应的工程设计要求。工程设计要求的选择应使得核动力厂设计满足发生概率高的事件对公众产生很少或无不利后果，同时极端事件的发生概率极低。

2.2 系统设计要求

系统设计要求直接影响执行功能的具体物项设计要求，设计要求主要包括：单一故障、实体隔离和电气隔离、应急供电、定期试验、灾害防护和环境鉴定。

各安全分级的仪控系统的设计要求见表2。

表2 仪控系统的设计要求Table 2 Design requirements of instrument control system

2.3 各仪控系统安全分级与设计规范要求

对于各仪控系统的安全等级与设计规范要求见表3。

表3 仪控系统安全分级与设计规范要求Table 3 Safety classification and design specification requirements of instrument control system

3 总结

制定核动力厂系统和设备分级的目的是为了对那些核电站安全起作用的系统和设备按照其执行安全功能的重要性进行分级，进而在核动力厂的设计、制造、建造、调试和运行等方面提出相应的要求，保证这些系统和设备的质量和可靠性达到相应的要求水平，确保完成其所承担的安全功能。本文采用当前普遍采用的安全分级原则和方法给出了仪控功能分类和仪控系统安全分级的基本流程，并在此基础上给出了各仪控系统的设计要求和设计规范要求。