附件HAF102-2016

核動力廠設計安全規定

（2016年修訂，2016年10月26日國家核安全局批準發布）

1引言

1.1目的

為實現核動力廠的安全運行，防止或減輕可能危及安全的事件

后果，本規定提出了核動力廠安全重要的構筑物、系統和部件的設

計，以及規程和組織流程所必須滿足的要求。

本規定適用于核動力廠設計、建造、運行和退役階段的分析、

驗證和審查，技術支持以及核安全監督。

1.2范圍

1.2.1本規定提出了進行全面安全評價的要求，以確定核動力

廠在各種運行狀態和事故工況下可能產生的潛在危險。安全評價過

程涉及確定論安全分析和概率論安全分析這兩種互為補充的技術，

分析中必須考慮各種假設始發事件，包括可能單獨地或組合地影響

安全的諸多因素。這些事件有如下幾種類型：

（1）源自核動力廠運行本身；

（2）由人員行為引起；

（3）與核動力廠及廠址環境直接相關。

1.2.2本規定不涉及極不可能影響核安全的一般工業安全和由

—3—

核動力廠運行所引起的非放射性影響。

1.2.3本規定中的核動力廠主要是指為發電或其他供熱應用

（諸如集中供熱或海水淡化）而設計的，采用水冷反應堆的陸上固

定式核動力廠。

1.2.4其他類型或采用革新技術的反應堆設計可參照本規定，

但應經過細致的評價和判斷。

2安全目標和縱深防御概念

2.1安全目標

2.1.1基本安全目標：在核動力廠中建立并保持對放射性危害

的有效防御，以保護人與環境免受放射性危害。

2.1.2為了實現基本安全目標，必須采取以下措施：

（1）控制在運行狀態下對人員的輻射照射和放射性物質向環境

的釋放；

（2）限制導致核動力廠反應堆堆芯、乏燃料、放射性廢物或任

何其他輻射源失控事件發生的可能性；

（3）如果上述事件發生，減輕這些事件產生的后果。

2.1.3基本安全目標適用于核動力廠的所有活動，包括規劃、選

址、設計、制造、建造、調試、運行和退役，以及有關放射性物質

的運輸、乏燃料和放射性廢物的管理等。

2.2輻射防護設計

2.2.1為了實現基本安全目標，輻射防護設計必須保證在所有

—4—

運行狀態下核動力廠內的輻射照射或由于該核動力廠任何計劃排放

放射性物質引起的輻射照射低于規定限值，且可合理達到的盡量低。

同時，還應采取措施減輕任何事故的放射性后果。

2.2.2為了實現基本安全目標，輻射防護設計必須使得核動力

廠所有輻射照射的來源都處在嚴格的技術和管理措施控制之下。但

不排除人員受到有限的照射，也不排除法規許可數量的放射性物質

從處于運行狀態的核動力廠向環境的排放。此種照射和排放必須受

到嚴格控制，并符合運行限值和輻射防護標準，且可合理達到的盡

量低。

2.3安全設計

2.3.1安全設計必須：

（1）防止由于反應堆堆芯或其他輻射源失控所引起有害后果的

事故，并在一旦發生事故時減輕其后果；

（2）保證在設計中考慮的所有事故的放射性后果都低于相關限

值，并保持在可合理達到的盡量低的水平；

（3）保證有嚴重放射性后果的事故發生的可能性極低，并盡最

大可能減輕這種事故的放射性后果。

2.3.2為了證明在核動力廠的設計中實現了基本安全目標，必

須對設計進行全面的安全評價，以確定所有輻射照射的來源，并評

估核動力廠工作人員和公眾可能受到的輻射劑量，以及對環境的可

能影響。此種安全評價要考慮以下內容：（1）核動力廠的正常運行；

（2）預計運行事件時核動力廠的性能；（3）事故工況。在分析的

基礎上，確認設計抵御假設始發事件和事故的能力，驗證安全重要

—5—

物項的有效性，以及確定應急計劃的輸入。

2.3.3盡管采取措施將所有運行狀態下的輻射照射控制在可合

理達到的盡量低的水平，并將導致輻射源失控事故的可能性減至最

小，但仍然存在發生事故的可能性。這就需要采取措施以保證減輕

放射性后果。這些措施包括：安全設施和安全系統，營運單位制定

的核動力廠事故管理規程，以及國家和地方有關部門制定的場外干

預措施。

2.3.4核動力廠的安全設計必須采取實際措施，以減輕核與輻

射事故對人的生命、健康以及環境造成的影響。必須實際消除可能

導致高輻射劑量或大量放射性釋放的核動力廠事故序列；必須保證

發生頻率高的核動力廠事故序列沒有或僅有微小的潛在放射性后

果。安全設計的基本目標是在技術上實現減輕放射性后果的場外防

護行動是有限的甚至是可以取消的。

2.4縱深防御概念

2.4.1防止核動力廠發生事故和減輕事故后果的主要手段是應

用縱深防御概念。該概念貫徹于安全有關的全部活動，涉及核動力

廠各種功率及停堆狀態下有關的組織、人員行為或設計，以保證這

些活動均置于各種獨立的、不同層次措施的防御之下。即使有一種

故障發生，它將由適當的措施探測、補償或糾正。在整個設計和運

行中貫徹縱深防御，以應對廠內設備故障或人因引起的各種預計運

行事件和事故，以及外部事件引起的后果。

2.4.2縱深防御概念的應用主要是通過一系列連續和獨立的防

御層次的結合，防止事故對人員和環境造成危害。如果某一層次的

—6—

防護失效，則由后一層次提供保護。每一層次防御的獨立有效性都

是縱深防御的必要組成部分。

（1）第一層次防御的目的是防止偏離正常運行及防止安全重要

物項的故障。這一層次要求：按照恰當的質量水平和經驗證的工程

實踐，正確并保守地選址、設計、建造、維修和運行核動力廠。為

此，應十分注意選擇恰當的設計規范和材料，并對部件的制造、核

動力廠的建造和調試進行質量控制。在這一層次，降低內部危險可

能性的設計措施有助于事故的預防。還應重視涉及設計、制造、建

造、在役檢查、維修和試驗的過程和規程，以及進行這些活動時良

好的可達性、核動力廠的運行方式和運行經驗的利用等方面。整個

過程以確定核動力廠運行和維修要求及其質量管理要求的詳細分析

為基礎。

（2）第二層次防御的目的是檢測和控制偏離正常運行狀態，以

防止預計運行事件升級為事故工況。盡管注意預防，核動力廠在其

壽期內仍然可能發生某些假設始發事件。這一層次要求在設計中設

置特定的系統和設施，通過安全分析確認其有效性，并制定運行規

程以防止這些始發事件的發生，或盡量減小其造成的后果，使核動

力廠回到安全狀態。

（3）設置第三層次防御是基于以下假定：盡管極不可能，某些

預計運行事件或假設始發事件的升級仍有可能未被前一層次防御所

制止，而演變成事故。在核動力廠的設計中，假定這些事故會發生。

這就要求必須通過固有安全特性和（或）專設安全設施、安全系統

—7—

和規程，防止造成反應堆堆芯損傷或需要采取場外干預措施的放射

性釋放，并能使核動力廠回到安全狀態。

（4）第四層次防御的目的是減輕第三層次縱深防御失效所導致

的事故后果。通過控制事故進展和減輕嚴重事故的后果來實現第四

層次的防御。安全目標是，在嚴重事故下僅需要在區域和時間上采

取有限的防護行動，且避免場外放射性污染或將其減至最小。這要

求可能導致早期放射性釋放或者大量放射性釋放的事件序列被實際

消除。

（5）第五層次，即最后層次防御的目的是減輕可能由事故工況

引起的潛在放射性釋放造成的放射性后果。該層次要求配備恰當的

應急設施，制定用于場內、場外應急響應的應急計劃和應急程序。

2.4.3縱深防御概念應用的另一方面是在設計中設置一系列的

實體屏障，并采用能動、非能動設施和固有安全特性的組合，以使

實體屏障能夠有效地將放射性物質包容在特定區域。所需實體屏障

的數目取決于放射性核素總量和同位素成份表征的初始源項、單個

屏障的有效性、可能的內部與外部危險以及各種失效的潛在后果。

3設計安全管理

3.1設計安全管理職責

營運單位必須保證提交國務院核安全監管部門的設計符合所有

適用的安全要求。所有從事與核動力廠安全設計重要活動相關的組

織，包括設計單位，都有責任保證將安全事務放在最優先的位置。

—8—

3.2質量保證

3.2.1必須制定和實施描述核動力廠設計的管理、執行和評價

的總體安排的質量保證大綱。該大綱包括保證核動力廠每個構筑物、

系統和部件以及總體設計的設計質量的措施,包括確定和糾正設計

缺陷、檢驗設計的恰當性和控制設計變更的措施。

3.2.2設計，包括變更、修改或安全改進，必須按照合適的工

程規范和標準所確定的程序進行，并必須體現適用的要求和設計基

準，必須確定和控制設計接口。

3.2.3設計（包括設計手段和設計輸入與輸出）的恰當與否，

必須由原先從事此工作的人員以外的個人或團體進行驗證和確認。

在設計和建造過程中應盡早完成驗證、確認和批準,最遲不晚于核動

力廠首次裝料。

3.3全壽期內保持核動力廠設計的安全和完整性

3.3.1營運單位對安全負全面責任。營運單位必須建立一套正

式的體系，在整個壽期內始終保證核動力廠設計的安全和完整性。

3.3.2為便于安全分析報告、設計手冊和其他設計文件等詳細

的設計資料轉移至營運單位，應盡早設立全面負責設計過程的部門，

并制定管理流程，在營運單位的管理體系內負責核動力廠設計安全

和完整性。

3.3.3核動力廠的設計工作可以由許多組織分擔：工程公司、

反應堆及其輔助系統供應商、主要設備供應商、電氣系統的設計單

位以及對核動力廠安全重要的其它系統的供應商等。營運單位必須

對委托給外部組織的設計活動進行管理。

—9—

3.3.4全面負責設計過程的部門必須保證核動力廠設計滿足安

全性、可靠性和質量方面的驗收準則。這些準則符合相關的法律法

規和標準規范。必須建立并明確工作范圍和職責，以保證：

（1）設計符合其目標，并滿足防護和安全最優化的要求，使輻

射風險保持在可合理達到的盡量低的水平；

（2）持續保證設計安全的方式包括設計驗證、確定工程規范和

標準及要求、采用經驗證的工程實踐、提供建造經驗反饋、批準重

要工程文件、開展安全評價和保持安全文化；

（3）安全運行、維修（包括合適的試驗周期）和修改所需的設

計資料應該是可用的，設計資料應適當考慮以往的運行經驗和經驗

證的研究成果，并由營運單位維護在最新狀態；

（4）保持對設計要求和狀態控制的管理；

（5）建立和控制責任設計者和參與設計工作的供應商之間必要

的接口；

（6）營運單位需維護必要的工程專業資料和科技資料；

（7）所有設計變更都經過審查、驗證、形成文檔并批準；

（8）維護充分的文件，以便今后開展核動力廠退役工作。

4主要技術要求

4.1基本安全功能

4.1.1必須保證在核動力廠所有狀態下實現以下基本安全功

能：

—10—

（1）控制反應性；

（2）排出堆芯余熱，導出乏燃料貯存設施所貯存燃料的熱量；

（3）包容放射性物質、屏蔽輻射、控制放射性的計劃排放，以

及限制事故的放射性釋放。

4.1.2必須用全面、系統的方法來確定完成基本安全功能所必

需的安全重要物項，以及在核動力廠所有狀態下用于實現或影響基

本安全功能的固有特性。

4.1.3必須提供對核動力廠狀態進行監測的手段，以保證實現

所要求的安全功能。

4.2輻射防護

4.2.1設計必須保證工作人員和公眾在整個壽期內受到的輻射

劑量，在運行狀態下不超過劑量限值，在事故工況下不超過可接受

限值，并可合理達到的盡量低。

4.2.2設計必須實際消除可能導致高輻射劑量或大量放射性釋

放的核動力廠狀態，并必須保證發生可能性較高的核動力廠狀態沒

有或僅有微小的潛在放射性后果。

4.2.3基于輻射防護目的，必須制定與核動力廠各類狀態相對

應且符合監管要求的可接受限值。

4.3設計管理

4.3.1設計必須保證核動力廠及其安全重要物項具有合適的性

能，以保證其能可靠地執行安全功能；在設計壽期內核動力廠能夠

在運行限值和條件范圍內安全運行，并能夠安全退役；對環境的影

—11—

響最小。

4.3.2設計必須保證滿足營運單位的安全要求，滿足國務院核

安全監管部門和相關法律法規的要求，并適當考慮營運單位人員的

能力與局限性以及可能影響人員行為的各種因素。必須提供充分的

設計資料，保證核動力廠的安全運行和維修，并允許以后能對核動

力廠進行修改。同時推薦可納入核動力廠管理規程和運行規程的實

踐（即運行限值和條件）。

4.3.3設計必須適當考慮其他核動力廠在設計、建造和運行中

獲得的相關經驗，以及相關的研究成果。

4.3.4設計必須適當考慮確定論安全分析和概率論安全分析的

結果，保證已經適當考慮了事故的預防和事故后果的緩解。

4.3.5設計必須保證采用合適的設計措施以及運行和退役實

踐，使產生和排放的放射性廢物活度和體積達到實際可行的最低水

平。

4.4縱深防御的應用

4.4.1設計必須體現縱深防御。縱深防御的各層次之間必須盡

實際可能地相互獨立，避免一個層次防御的失效降低其他層次的有

效性。

4.4.2設計必須應用縱深防御概念，提供多層次防御，預防可

能對人與環境產生有害影響的事故后果，并保證在防護失效時，采

取適當措施保護人與環境，減輕事故后果。

4.4.3設計必須適當考慮這樣的事實：當缺少某一層次防御時，

—12—

多層次防御的存在并不能作為繼續運行的基礎。縱深防御的各層次

必須總是可用的，對任何特定運行模式下的放松都必須進行論證。

4.4.4設計：

（1）必須設置多道實體屏障，阻止放射性物質向環境釋放；

（2）必須采用保守的設計和高質量的建造，以保證核動力廠的

故障和偏離正常運行減至最少，保證盡實際可能地預防事故，保證

核動力廠不存在陡邊效應；

（3）必須利用固有特性和工程設施控制核動力廠的行為，盡可

能減少或排除那些需要啟動安全系統的故障和偏離正常運行；

（4）必須對核動力廠提供附加控制，這些附加控制采用安全系

統的自動觸發，以能夠高置信度地控制那些超出控制系統能力的故

障和偏離正常運行，并使得早期階段對操縱員動作的需求減至最少；

（5）必須提供構筑物、系統和部件以及規程，以控制超出安全

系統能力的故障和偏離正常運行的進程，并盡實際可能地限制其后

果；

（6）必須提供多種手段來保證實現每項基本安全功能，從而保

證各道屏障的有效性，并減輕任何故障和偏離正常運行的后果。

4.4.5為了貫徹縱深防御概念，設計必須盡實際可能地防止：

（1）出現影響實體屏障完整性的情況；

（2）一道或多道屏障失效；

（3）一道屏障因另一道屏障的失效而失效；

（4）運行和維修差錯產生有害后果的可能性。

4.4.6在核動力廠運行壽期內，設計必須盡實際可能地使第一

—13—

層次防御至多第二層次防御能夠阻止可能發生的所有故障或偏離正

常運行升級為事故工況。

4.4.7用于設計擴展工況的安全設施（如用于減輕燃料熔化事

故后果的設施）應盡實際可能地與安全系統獨立。

4.5實物保護

4.5.1必須設置實物保護措施，即核安保措施，包括實物保護

系統和相關管理措施，以防止、偵查和應對涉及核材料和核動力廠

相關設施的偷竊、蓄意破壞、未經授權的接觸，非法轉讓或其他惡

意行為，以及防范恐怖分子獲取材料、破壞核動力廠等。

4.5.2應根據保護目標的重要程度和潛在風險確定核動力廠實

物保護的等級，并按照確定的等級進行實物保護系統設計。應合理

布置核動力廠的控制區、保護區和要害區，實現分區保護，并為各

區配備相應的設施和設備。

4.5.3實物保護系統必須考慮出入口控制、探測、報警、集中

控制、照明、通訊、供電和巡更等方面，并設置多重實體屏障。

4.5.4核動力廠應配備武警或守衛，制定實物保護相關管理程

序，使得管理措施與技防措施有機結合，以保證實物保護系統的完

整、可靠與有效。

4.5.5應對實物保護設計方案進行風險分析和有效性評估。

4.5.6必須以統籌兼顧的方式設計和實施核動力廠的核安全措

施、核安保措施及國家核材料衡算和控制體系，以免其相互制約。

—14—

4.6經驗證的工程實踐

4.6.1必須鑒別和評價用于核動力廠安全重要物項設計準則的

規范和標準，以確定其適用性、恰當性和充分性，并根據需要進行

補充或修改，以保證設計質量與所需的安全功能相適應。

4.6.2核動力廠的安全重要物項必須是此前在相當使用條件下

驗證過的，否則該物項必須具有高質量且其技術經過鑒定或試驗。

4.6.3當引入未經驗證的設計或設施，或存在偏離已有工程實

踐的情況時，必須借助適當的支持性研究計劃、特定驗收準則的性

能試驗，或通過其他相關應用中獲得的運行經驗的檢驗，來證明其

安全性是合適的。新的設計、設施或實踐必須在投入使用前經過充

分的試驗，并在使用中進行監測，以驗證達到了預期效果。

4.7安全評價

4.7.1必須在核動力廠的整個設計過程中進行全面的確定論安

全評價和概率論安全評價，以保證在核動力廠壽期內的各個階段滿

足全部設計安全要求，并確認在竣工、運行和修改時交付的設計滿

足制造和建造的要求。

4.7.2設計過程中必須盡早開展安全評價。隨著設計和確認性

分析活動之間的不斷迭代，安全評價的范圍和詳細程度隨著設計計

劃的進展不斷地擴大和提高。

4.7.3必須將安全評價形成文件以便于獨立評估。

4.8便于建造的要求

4.8.1核動力廠安全重要物項的設計必須使其能夠按照確定的

流程進行制造、建造、裝配和安裝，以保證滿足設計規范和所要求

—15—

的安全水平。

4.8.2核動力廠的建造和運行，必須適當考慮從其他類似核動

力廠及其相關構筑物、系統和部件建造中獲得的相關經驗。如果采

用其他相關工業的良好實踐，則必須表明其適用于核動力廠。

4.9放射性廢物管理和退役

4.9.1在設計階段，必須專門考慮便于核動力廠放射性廢物管

理以及核動力廠退役和拆除的特性。

4.9.2在設計中必須適當考慮：

（1）材料的選取，以使放射性廢物量盡實際可能地少，并便于

去污；

（2）必要的可達性和可操作性；

（3）管理（例如分離或分揀、表征、分類、預處理、處理和整

備）和貯存核動力廠在運行過程中產生的放射性廢物所需的設施，

以及管理核動力廠在退役時所產生的放射性廢物的措施。

5核動力廠總體設計

5.1總的設計基準

5.1.1核動力廠狀態分類

5.1.1.1必須確定核動力廠狀態并主要按發生頻率將核動力廠

狀態分成有限的幾類。

5.1.1.2核動力廠狀態通常包括：

（1）正常運行；

—16—

（2）預計運行事件，即在核動力廠運行壽期內預計會發生的事

件；

（3）設計基準事故；

（4）設計擴展工況，包括堆芯熔化事故。

5.1.1.3必須為每類核動力廠狀態確定準則，使得發生頻率高

的核動力廠狀態必須沒有或僅有微小的放射性后果，而可能導致嚴

重后果的核動力廠狀態的發生頻率必須很低。

5.1.2安全重要物項的設計基準

5.1.2.1安全重要物項的設計基準，必須針對有關的運行狀態、

事故工況以及由內部和外部危險導致的工況，詳細說明其必需的能

力、可靠性和功能，以在核動力廠整個壽期內滿足特定的驗收準則。

5.1.2.2必須系統地論證安全重要物項設計基準的合理性，并

形成文件。這些文件必須能為營運單位安全運行核動力廠提供必要

的信息。

5.1.3設計限值

針對運行狀態和事故工況，必須為安全重要物項規定一套相應

的設計限值。設計限值必須符合核安全法規和相關的監管要求。

5.1.4假設始發事件

5.1.4.1必須使用系統化的方法確定一套全面的假設始發事件，

以在設計中考慮所有可預見的具有嚴重后果的事件和發生頻率高的

事件。

5.1.4.2必須在工程判斷、確定論和概率論評價相結合的基礎

—17—

上確定假設始發事件。必須論證確定論安全分析和概率論安全分析

的應用范圍，以表明已考慮所有可預見的事件。

5.1.4.3假設始發事件必須包括在各種功率及停堆狀態下，所

有可預見的核動力廠構筑物、系統和部件失效、人員差錯，以及內

部和外部危險可能引起的失效。

5.1.4.4必須對假設始發事件進行分析，以確定為執行所要求

的安全功能所必需的預防和緩解措施。

5.1.4.5核動力廠對任何假設始發事件的預期響應，必須是下

列可合理達到的情況（按優先順序）：

（1）依靠核動力廠的固有特性，使假設始發事件不會對安全產

生重大影響，或只使核動力廠產生趨向于安全狀態的變化；

（2）發生假設始發事件后，可借助非能動安全設施或在此狀態

下連續運行的系統的作用，以控制該事件，使核動力廠趨于安全；

（3）發生假設始發事件后，可借助為響應該事件而必須投入運

行的那些安全系統的作用，使核動力廠趨于安全；

（4）發生假設始發事件后，可借助執行專門規程使核動力廠趨

于安全或使核動力廠狀態得到控制。

5.1.4.6在核動力廠總體安全評價和詳細分析中，用于確定安

全重要物項性能要求的假設始發事件，必須劃分成若干具有代表性

的事件序列。這些具有代表性的事件序列包絡所有同類事件，并為

安全重要物項的設計和運行限值提供基準。

5.1.4.7在設計中從已確定的假設始發事件清單中排除某一假

—18—

設始發事件，則必須提供技術論證。

5.1.4.8對于需要立即采取可靠響應行動的假設始發事件，設

計必須有自動安全動作來啟動所需的安全系統，以防止發展為更嚴

重的工況。

5.1.4.9對于不需要立即采取響應行動的假設始發事件，可允

許依靠手動啟動系統或操縱員的其他動作。從探測到異常事件和事

故到采取行動之間必須有足夠的時間，以及有適當的規程（如管理

規程、運行規程和應急規程），以保證這些行動的執行。必須對因

操縱員錯誤操作或錯誤診斷而導致事故序列惡化的可能性作出評

價。

5.1.4.10如果假設始發事件發生后，需要操縱員的行動來診斷

核動力廠的狀態并使核動力廠及時進入長期穩定停堆工況，則必須

設置適當的儀表以有利于監測核動力廠的狀態，同時設置適當的控

制措施以便于設備的手動操作。

5.1.4.11設計必須確定必要的設備及所需的規程，以保持對核

動力廠的控制并減輕喪失控制的后果。

5.1.4.12手動響應和恢復過程所需的任何設備，必須放置在最

合適的位置，以保證需要時可用和在預期環境條件下允許人員安全

可達。

5.1.5內部和外部危險

5.1.5.1必須識別所有可預見的內部和外部危險，包括潛在的

可能直接或間接影響核動力廠安全的人為事件，并評價其影響。在

—19—

核動力廠布置的設計和確定有關的安全重要物項的設計中使用的假

設始發事件及其產生的荷載時，都必須考慮內部和外部危險的影響。

5.1.5.2設計和布置安全重要物項，必須考慮其安全重要性，

使其能夠承受內部和外部危險的影響，或防御內部和外部危險及其

產生的共因失效，同時適當考慮對安全的其他影響。

5.1.5.3對多機組廠址，設計必須適當考慮特定危險同時影響

廠址上若干或所有機組的可能性。

5.1.5.4設計必須適當考慮內部危險，比如火災、爆炸、水淹、

飛射物、結構坍塌和重物墜落、管道甩擊、噴射流沖擊、以及來自

破損系統或現場其他設施的流體釋放。必須提供適當的預防和緩解

措施，以保證安全不受到損害。

5.1.5.5設計必須適當考慮在廠址評價過程中識別的自然和人

為外部事件（即源于廠外的事件）。在假定可能的危險時，必須考

慮其發生的原因和可能性。在短期內，核動力廠的安全不能依賴于

諸如電力供應和消防服務等廠外服務。設計必須適當考慮廠址的特

定情況，以確定廠外服務就位需要的最大延遲時間。

5.1.5.6必須采取措施，使得設計基準外部事件發生時，包含

有安全重要物項（包括動力電纜和控制電纜）的廠房與其他核動力

廠結構之間的相互影響最小。

5.1.5.7核動力廠設計必須提供適當的裕量，在設計基準外部

危險（由廠址危險性評價確定的）發生時保護安全重要物項，并避

免產生陡邊效應。

—20—

5.1.5.8核動力廠設計還必須提供適當的裕量，在超設計基準

自然災害事件發生時，保護用于防止早期放射性釋放或大量放射性

釋放所需的物項。

5.1.6設計規范

5.1.6.1必須規定核動力廠安全重要物項的設計規范，并必須

使其符合核安全法規和相關的監管要求，以及經驗證的工程實踐，

同時適當考慮其與核動力廠技術的相關性。

5.1.6.2設計必須采用保證穩健性設計的方法，必須遵循經驗

證的工程實踐，以保證在所有運行狀態和事故工況下執行基本安全

功能。

5.1.7安全運行的運行限值和條件

5.1.7.1設計必須為核動力廠安全運行確定一套運行限值和條

件。

5.1.7.2核動力廠設計中確定的要求，以及運行限值和條件必

須包括：

（1）安全限值；

（2）安全系統整定值；

（3）正常運行限值和條件；

（4）工藝變量和其他重要參數的控制系統限制和規程限制；

（5）對核動力廠的監督、維修、試驗和檢查的要求，以保證各

構筑物、系統和部件執行設計中預定的功能，并使輻射風險保持在

可合理達到的盡量低的水平；

—21—

（6）規定的運行配置，包括在安全系統或安全相關系統不可用

時的運行限制；

（7）行動說明，包括在響應偏離運行限值和條件時所采取行動

的完成時間。

5.1.8設計基準事故

5.1.8.1必須根據假設始發事件清單得出一套設計基準事故，

用于設定核動力廠需承受的邊界條件，以保證滿足輻射防護限值。

5.1.8.2必須使用設計基準事故來確定控制設計基準事故所必

需的安全系統和其他安全重要物項的設計基準，包括性能準則等，

目的是使核動力廠返回到安全狀態和減輕事故后果。

5.1.8.3針對設計基準事故工況，設計必須使核動力廠關鍵參

數不超出規定的設計限值。基本目標是控制所有的設計基準事故以

使廠內、外沒有或僅有微小的放射性后果，并且無需采取任何場外

防護行動。

5.1.8.4必須用保守的方法來分析設計基準事故。該方法包括

在分析中假定安全系統的某些故障模式，規定設計準則，采用保守

的假設、模型和輸入參數等。

5.1.9設計擴展工況

5.1.9.1必須在工程判斷、確定論和概率論評價的基礎上得出

一套設計擴展工況，目的是增強核動力廠應對比設計基準事故更嚴

重的或包含多重故障的事故的承受能力，避免不可接受的放射性后

果，以進一步改進核動力廠的安全性。設計必須考慮這些設計擴展

—22—

工況來確定額外的事故情景，并針對這類事故制定切實可行的預防

和緩解措施。

5.1.9.2必須對核動力廠開展設計擴展工況分析。考慮設計擴

展工況的主要技術目標是預防核動力廠發生超過設計基準事故的事

故工況，或合理可行地減輕這類事故工況的后果。這可能會要求增

設附加的用于設計擴展工況的安全設施，或擴展安全系統的能力，

來預防嚴重事故的發生或減輕嚴重事故的后果，或保持安全殼的完

整性。這些附加的用于設計擴展工況的安全設施或能力擴展的安全

系統，必須保證具有控制事故工況的能力，這些事故工況可能導致

安全殼內存在大量放射性物質（包括來自堆芯嚴重損傷所釋放的放

射性物質）。必須保證核動力廠能進入可控狀態并維持安全殼功能，

從而能實際消除導致早期放射性釋放或大量放射性釋放的核動力廠

狀態發生的可能性。相關的分析可采用最佳估算方法。

5.1.9.3必須使用設計擴展工況來確定安全設施和其他安全重

要物項的設計規格書，這些設施和物項用于預防此類工況的發生或

在此類工況發生后用于控制和減輕其后果。

5.1.9.4所開展的分析必須包括確定用于或能夠預防設計擴展

工況并減輕其后果的設施。這些設施需滿足如下要求：

（1）必須盡實際可能與發生頻率更高的事故中使用的設施保持

獨立；

（2）必須能在設計擴展工況對應的環境條件中執行預期功能；

（3）必須有與要求其實現的功能相符的可靠性。

—23—

5.1.9.5安全殼及其安全設施必須能夠承受包括堆芯熔化在內

的極端事故情景。必須采用工程判斷和概率安全評價結果來選擇這

些事故情景。

5.1.9.6設計必須做到實際消除可能導致早期放射性釋放或大

量放射性釋放的核動力廠工況發生的可能性。

5.1.9.7對于設計擴展工況，保護公眾所采取的防護行動在持

續時間和范圍上必須是有限的，并必須有足夠的時間來采取這些防

護行動。

5.1.10事件組合

如果由工程判斷、確定論安全分析和概率論安全分析的結果表

明事件組合將可能導致預計運行事件或事故工況，則必須主要根據

其發生的可能性，將這些事件組合納入設計基準事故或設計擴展工

況。某些事件可能是其他事件的后果，例如地震后的水淹。這種繼

發效應應視為初始假設始發事件的一部分。

5.1.11商用飛機的惡意撞擊

5.1.11.1如果核動力廠所處的地形條件使其有可能遭受商用

飛機的惡意撞擊，則設計上應考慮這種撞擊的影響。

5.1.11.2應合理選定用于評價撞擊影響的商用飛機的機型，并

根據這種機型起降的機場與核動力廠的相對距離，來確定可能的飛

機燃料裝載量。

5.1.11.3可根據核動力廠所處的地形條件和廠房布置，確定可

能的撞擊角度和速度，并采用現實模型來評價和確定核動力廠抗商

—24—

用飛機撞擊的措施。

5.1.11.4評價結果應表明，設計可以維持反應堆堆芯的冷卻或

安全殼的完整性，以及乏燃料的冷卻或乏燃料水池的完整性。

5.2安全系統的獨立性

5.2.1必須通過實體隔離、電氣隔離、功能獨立和通訊（數據

傳輸）獨立等適當手段，防止安全系統之間或一個系統的冗余組成

部分之間發生相互干擾。

5.2.2在核動力廠安全系統中相互冗余的設備（包括電纜和電

纜管道）必須易于識別。

5.3安全分級

5.3.1必須識別所有安全重要物項，并根據其功能和安全重要

性對其進行分級。

5.3.2劃分安全重要物項的安全重要性的方法，必須主要基于

確定論方法，并適當輔以概率論方法。使用概率論方法時，應考慮

以下因素：

（1）該物項要執行的安全功能；

（2）未能執行其安全功能的后果；

（3）需要該物項執行某一安全功能的可能性；

（4）假設始發事件發生后，需要該物項執行某一安全功能的時

刻或持續時間。

5.3.3設計必須防止物項之間的相互影響，以保證劃分為較低

級別的物項中的任何故障不會蔓延到劃分為較高級別的物項，從而

—25—

保證安全功能的執行。

5.3.4對執行多個功能的設備，必須按照其執行的最重要功能

劃分其安全等級。

5.4安全重要物項的可靠性

5.4.1安全重要物項的可靠性必須與其安全重要性相適應。

5.4.2安全重要物項的設計，必須保證設備可鑒定、采購、安

裝、調試、操作及維修，使其能夠承受該物項設計基準中規定的所

有工況，并具有足夠的可靠性和有效性。

5.4.3選擇設備時必須考慮到誤動作與不安全的故障模式。必

須優先選擇具有可預見的和已揭示的故障模式的設備，且該設備便

于修理或更換。

5.4.4共因故障

設備的設計必須適當考慮安全重要物項發生共因故障的可能

性，以確定應該如何應用多樣性、多重性、獨立性原則來實現所需

的可靠性。

5.4.5單一故障準則

5.4.5.1必須對核動力廠設計中所包括的每個安全組合都應用

單一故障準則。

5.4.5.2當把單一故障準則應用于一個安全組合或安全系統

時，必須將誤動作視為故障的一種模式。

5.4.5.3不符合單一故障準則的情況必須是極個別的，并必須

在安全分析中明確證明是正當的。

—26—

5.4.5.4設計必須適當考慮非能動部件的故障，除非能夠在具

有高置信度的單一故障分析中證實：該部件的故障極不可能發生，

并保持其功能不受到假設始發事件的影響。

5.4.6故障安全設計

必須恰當地考慮故障安全設計原則，并貫徹到核動力廠安全重

要系統和部件的設計中。在適用時，應將安全重要系統和部件設計

為故障安全，使其自身的故障或支持設施的故障不妨礙預定安全功

能的執行。

5.4.7支持系統和輔助系統

5.4.7.1支持系統和輔助系統用于保證構成安全重要系統部分

的設備可運行性時，必須相應地分級。

5.4.7.2支持系統和輔助系統的可靠性、多重性、多樣性和獨

立性，以及用于其隔離和功能試驗的措施，必須與其所支持的系統

的安全重要性相適應。

5.4.7.3不允許支持系統和輔助系統的任一失效，同時影響安

全系統的多重部件或執行多樣化安全功能的安全系統。

5.5核動力廠全壽期內的安全運行設計

5.5.1安全重要物項的標定、試驗、維護、修理、更換、檢查

和監測

5.5.1.1設計應保證安全重要物項能夠進行標定、試驗、維護、

修理或更換、檢查和監測，以在設計基準規定的所有條件下保證其

執行功能的能力并保持功能的完整性。

—27—

5.5.1.2核動力廠布置必須便于執行標定、試驗、維護、修理

或更換、檢查和監測等活動。這些活動能夠按照相關的規范和標準

執行，并必須與所執行的安全功能的重要性相一致，且工作人員不

致于受到過量的照射。

5.5.1.3在功率運行期間，設計必須使安全重要物項在進行標

定、試驗或維護時各系統安全功能的可靠性沒有顯著降低。設計必

須考慮在停堆期間執行安全重要物項標定、試驗、維護、修理、更

換或檢查的有關措施，以便于在開展這些活動時相關物項所執行的

安全功能的可靠性沒有顯著降低。

5.5.1.4如果某項安全重要物項的設計不能滿足試驗、檢查或

監測的要求，必須采取下列方法以說明其正當性：

（1）指定其他經過驗證的替代方法和（或）間接方法，如監視

參考物項的試驗，或使用經過驗證和確認的計算方法；

（2）采用保守的安全裕度或其他適當的預防措施，以應對可能

預計不到的故障。

5.5.2安全重要物項的鑒定

5.5.2.1必須采用安全重要物項的鑒定程序來確認核動力廠安

全重要物項，這些物項能夠在其整個設計壽期內以及支配性環境條

件下執行其必要的預期功能，這里考慮的環境條件包括核動力廠的

維修和試驗。

5.5.2.2在核動力廠安全重要物項的鑒定程序中，所考慮的環

境條件必須包括核動力廠設計基準中所預期的周圍環境條件的變

—28—

化。

5.5.2.3安全重要物項鑒定程序必須考慮到安全重要物項預期

壽期內由各種環境因素（如振動、輻照、濕度、溫度）引起的老化

效應。對于易遭受到外部自然事件的影響并需要在這種事件中及事

件后執行其安全功能的安全重要物項，鑒定程序必須通過試驗、分

析或者兩者的結合的方式，盡可能地復現安全重要物項所經受的工

況。

5.5.2.4在鑒定程序中必須考慮合理可預計的環境條件，以及

可能由特定運行工況（如安全殼泄漏率定期試驗）引起的異常環境

條件。在可能的范圍內，應該以合理的可信度表明在嚴重事故中必

須運行的設備（如某些儀表）能夠達到設計要求。

5.5.3老化管理

5.5.3.1必須確定核動力廠安全重要物項的設計壽命。設計必

須提供適當的裕度，以考慮有關老化、中子輻照脆化和磨損機理，

以及與服役年限有關的性能劣化的可能性，從而保證安全重要物項

在其整個設計壽期內執行所必需的安全功能的能力。

5.5.3.2必須考慮到在所有正常運行狀態，包括試驗、維修和

維修停役，以及在假設始發事件中及其后的核動力廠狀態下的老化

和磨損效應。

5.5.3.3必須采取監測、試驗、取樣和檢查措施，以評價設計

階段預計的老化機理，以及識別在使用中可能發生的未預期到的行

為或性能劣化。

—29—

5.6人因

5.6.1優化運行人員效能的設計

5.6.1.1必須在核動力廠設計過程初期就系統地考慮人因（包

括人機接口），并貫徹于設計全過程。

5.6.1.2必須規定運行人員的最低配置，以滿足核動力廠進入

安全狀態所需全部同步操作的要求。

5.6.1.3應盡實際可能地促使有類似核動力廠運行經驗的運行

人員積極參與設計過程，以保證在設計過程中盡早考慮未來的運行

和設備維護的需求。

5.6.1.4設計必須支持運行人員履行職責和執行任務，并必須

限制操作差錯的可能性及其對安全造成的影響。設計過程必須適當

考慮核動力廠布置、設備布置、以及包括維修程序和檢查程序在內

的有關程序，以便于在核動力廠各種狀態下運行人員和核動力廠之

間的互動。

5.6.1.5人機接口的設計必須能按照決策所需時間和行動所需

時間給操縱員提供全面且易于管理的信息。向操縱員提供的用于決

策和行動所需的信息必須簡潔明了且無歧義。

5.6.1.6必須向操縱員提供能夠進行下列工作的必要信息：

（1）評估核動力廠在任何工況下的總體狀態；

（2）在系統和設備規定的參數限值（運行限值和條件）內運行

核動力廠；

（3）確認啟動安全系統所需的安全動作在需要時自動觸發，且

—30—

相關系統按預期要求執行功能；

（4）確定手動啟動特定安全動作的必要性和時間。

5.6.1.7在適當考慮可用時間、預期工況和操縱員心理壓力的

情況下，設計必須有利于操縱員動作的成功執行。

5.6.1.8必須把對操縱員在短時間內進行干預的需求降至最

低，并必須證明操縱員有足夠的時間作出決策和采取行動。

5.6.1.9設計必須能夠保證當某一影響核動力廠的事件發生

后，控制室或輔助控制室以及通往輔助控制室的通道的環境條件不

會損害運行人員的防護和安全。

5.6.1.10運行人員的工作場所和工作環境的設計必須符合工

效學概念。

5.6.1.11在適當階段必須對人因有關的特性進行驗證和確認

（包括使用模擬機），以確認操縱員確需采取的動作，并確認這些

動作能夠正確執行。

5.7其他設計考慮

5.7.1多機組核動力廠的安全系統和用于設計擴展工況的安全

設施

5.7.1.1多機組核動力廠中的每臺機組，必須具備各自的安全

系統和用于設計擴展工況的安全設施。

5.7.1.2為進一步提高安全性，設計應適當考慮允許多機組核

動力廠各機組間相互連接的手段。

5.7.2含有易裂變或放射性物質的系統

—31—

核動力廠中所有可能含有易裂變或放射性物質的系統的設計，

必須能夠：防止可能導致放射性不受控制地向環境釋放的事件發生；

防止出現意外臨界和過熱；保證放射性釋放量在正常運行工況下保

持在允許的排放限值內，在事故工況下保持在可接受的限值內，并

可合理達到的盡量低；便于減輕事故的放射性后果。

5.7.3用于熱電聯產、供熱或海水淡化的核動力廠

與熱利用裝置（如區域集中供熱）和/或海水淡化裝置連接的核

動力廠的設計，必須能夠防止在運行狀態和事故工況下放射性核素

從核動力廠遷移到海水淡化裝置或區域集中供熱裝置。

5.7.4撤離路線

5.7.4.1核動力廠內必須設置足夠數量的撤離路線。這些路線

必須具有持久醒目的標識，并配備可靠的應急照明、通風和其他輔

助設施。

5.7.4.2撤離路線必須符合輻射分區、防火、工業安全，以及

核動力廠安保方面的有關要求。

5.7.4.3設計中考慮的內、外部事件或多個事件的組合發生后，

必須至少有一條路線可供位于場區內工作場所和其他區域的人員撤

離。

5.7.5通信系統

5.7.5.1必須在整個核動力廠范圍內設置有效的通信手段，以

有助于所有正常運行模式下的安全運行，并在所有假設始發事件后

和在事故工況下可用。

—32—

5.7.5.2必須設置適當的警報系統和通信手段，以便在各種運

行狀態下和事故工況下，所有在核動力廠現場和廠區的人員都能得

到警報和指令。

5.7.5.3必須設置適當且多樣化的通信手段，以滿足在核動力

廠范圍內和毗鄰區域的安全所需，以及與相關場外機構進行通信的

需要。

5.7.6核動力廠出入口控制

5.7.6.1必須適當布置各種構筑物，使核動力廠與其周圍環境

隔離，并控制核動力廠的出入口。

5.7.6.2必須在廠房設計和廠區布置時，采取必要的措施控制

運行人員和（或）設備（包括應急響應人員和車輛）進出核動力廠，

并必須考慮防止未經授權的人員和物品進入核動力廠。

5.7.7防止擅自接近或干擾安全重要物項

必須防止未經批準接近或干擾安全重要物項，包括計算機硬件

和軟件。

5.7.8防止安全重要系統間不利的相互作用

5.7.8.1如果存在要求核動力廠安全重要系統同時運行的情

況，必須評價其可能的不利相互作用，并必須防止任何不利相互作

用的影響。

5.7.8.2在安全重要系統可能的不利相互作用分析中，必須適

當考慮實體的相互連接，以及一個系統的運行、誤操作或故障對其

他重要系統局部環境的影響，以保證環境條件的變化不會影響到系

—33—

統或部件執行預定功能的可靠性。

5.7.8.3如果兩個安全重要流體系統相互連接，并在不同的壓力

下運行，則兩個系統都必須設計成能夠承受較高的壓力，或必須采取

措施防止在較低壓力下運行的系統出現超出其設計壓力的情況。

5.7.9電網對核動力廠的影響

核動力廠安全重要物項的功能應不受電網擾動（包括預期的電

網電壓和頻率變化）的影響。

5.8安全分析

5.8.1核動力廠設計的安全分析

5.8.1.1必須對核動力廠的設計進行安全分析，在分析中必須

采用確定論和概率論的安全分析方法來論證在核動力廠各類狀態下

是否安全。

5.8.1.2在安全分析的基礎上，必須確認安全重要物項的設計

基準，以及其與始發事件和事件序列的聯系。必須論證所設計的核

動力廠能夠滿足各類運行狀態下批準的排放限值和劑量限值，并能

夠滿足事故工況下的可接受限值。

5.8.1.3安全分析必須保證在核動力廠設計中已實施縱深防

御。

5.8.1.4安全分析必須保證在核動力廠設計中適當考慮了不確

定性。尤其是應有適當的裕量，以避免出現陡邊效應以及早期放射

性釋放或大量放射性釋放。

5.8.1.5必須基于當前狀態或竣工狀態，更新和驗證核動力廠

—34—

設計中所采用的各項分析假設、方法的適用性和保守程度。

5.8.2確定論方法

確定論安全分析方法必須包括：

（1）制定和確認所有安全重要物項的設計基準；

（2）表征與核動力廠設計和廠址相適應的假設始發事件；

（3）分析和評價假設始發事件導致的事件序列，以確認鑒定要求；

（4）將分析結果與驗收準則、設計限值、劑量限值以及可接受

限值進行比較，以滿足輻射防護要求；

（5）論證通過安全系統的自動響應并結合所規定的操縱員動

作，能夠管理預計運行事件和設計基準事故；

（6）論證通過安全系統的自動響應和利用安全設施功能并結合

預期的操縱員動作，能夠管理設計擴展工況。

5.8.3概率論方法

設計必須適當考慮核動力廠所有運行模式和所有狀態（包括停

堆工況）下的概率安全分析，特別是：

（1）論證整個設計是平衡的，沒有任何一個設施或假設始發事

件對于總的風險會有過大的或明顯不確定的貢獻，且縱深防御的各

層次應盡實際可能獨立；

（2）確認核動力廠不存在陡邊效應；

（3）將分析結果和已規定的風險準則進行比較。

6核動力廠系統設計要求

—35—

6.1反應堆堆芯和相關特性

6.1.1燃料元件和燃料組件性能

設計必須使核動力廠燃料元件和燃料組件能夠保持結構完整

性，并在考慮運行狀態下所有可能導致其性能劣化的因素后，能夠

承受預期的堆內輻照和環境條件。

6.1.1.1需考慮如下原因引起的性能劣化：

（1）膨脹差和形變差；

（2）冷卻劑外壓；

（3）燃料元件內裂變產物疊加氦氣導致的附加內壓；

（4）燃料組件中燃料和其他材料的輻照效應；

（5）功率變化引起的溫度和壓力變化；

（6）化學效應；

（7）靜態和動態載荷，包括流致振動和機械振動；

（8）由于變形和化學效應導致的傳熱性能變化。

設計必須為數據、計算和制造中的不確定性因素留有裕量。

6.1.1.2燃料設計限值必須包括預計運行事件中容許的燃料裂

變產物泄漏量限值，從而使燃料仍能繼續使用。

6.1.1.3燃料元件和燃料組件必須能夠承受燃料吊裝過程中的

載荷和應力。

6.1.2反應堆堆芯結構性能

在運行工況以及除嚴重事故外的其他事故工況下，設計必須使

核動力廠燃料元件和燃料組件及其支撐件能夠維持可冷卻的幾何形

—36—

狀且不妨礙控制棒插入。

6.1.3反應堆堆芯控制

6.1.3.1在核動力廠各種狀態（包括停堆后、換料期間和換料

后、預計運行事件和未導致堆芯嚴重損傷的事故工況）下，堆芯中

子注量率分布必須具有固有穩定性。堆芯設計應盡量減少依賴控制

系統使中子注量率分布、水平和穩定性在各種運行狀態下保持在規

定限值內。

6.1.3.2必須提供用于檢測堆內中子注量率分布以及變化的適

當方法，保證堆芯內不存在任何超過設計限值的部位。

6.1.3.3反應性控制裝置的設計，必須適當考慮到磨損以及輻

照效應（如燃耗、物理特性的變化和氣體的產生）。

6.1.3.4在運行狀態和未導致反應堆堆芯嚴重損傷的事故工況

下，必須對最大的正反應性引入量及其引入速率加以限制，以保證

不致引起反應堆壓力邊界失效，維持堆芯冷卻能力和防止反應堆堆

芯嚴重損傷。

6.1.4反應堆停堆

6.1.4.1必須提供在運行狀態和事故工況下安全停堆的手段。

必須保證即使在堆芯具有最大反應性的情況下，仍能維持停堆狀態。

6.1.4.2停堆手段的有效性、動作速度和停堆深度必須足以保

證不超出規定的燃料設計限值。

6.1.4.3判斷停堆手段是否足夠時，必須考慮到發生在核動力

廠任何部位的、可導致一部分停堆手段失靈（如控制棒插入故障）

—37—

或可能引起共因故障的故障。

6.1.4.4反應堆停堆手段必須至少由兩個多樣化的且獨立的系

統組成。

6.1.4.5即使在堆芯處于反應性最大的狀態下，必須至少有一個

系統能夠獨立地以足夠的深度和高可靠性使反應堆保持次臨界狀態。

6.1.4.6停堆手段必須足以防止，在停堆期間、換料操作期間

或停堆狀態下其他例行或非例行操作期間，出現的任何可預見的反

應性增加而導致的意外臨界。

6.1.4.7必須設置儀表并規定各項試驗，以保證停堆手段總是

處于所規定的狀態。

6.2反應堆冷卻劑系統

6.2.1反應堆冷卻劑系統的設計

6.2.1.1核動力廠反應堆冷卻劑系統部件的設計和制造，必須

具有高質量的材料、恰當的設計標準、可檢查性和高質量的加工，

以盡量降低其發生故障的可能性。

6.2.1.2與核動力廠反應堆冷卻劑系統壓力邊界相連接的管

道，必須設置適當的隔離裝置，以限制放射性流體（一回路冷卻劑）

的任何喪失，并防止冷卻劑通過接口系統流失。

6.2.1.3反應堆冷卻劑壓力邊界的設計必須使產生裂紋的可能

性極小；已產生的裂紋也極不易于按快速裂紋擴展方式發展成為失

穩斷裂，以便允許及時探測到裂紋。

6.2.1.4反應堆冷卻劑系統的設計必須保證避免使反應堆冷卻

—38—

劑壓力邊界的部件可能出現脆性斷裂的核動力廠狀態。

6.2.1.5必須使反應堆冷卻劑壓力邊界內部件（如泵的葉輪和

閥門部件）的設計，在所有運行狀態和設計基準事故下失效的可能

性以及隨后對一回路系統內其他安全重要部件造成的損傷最小，并

為使用中可能發生的性能劣化留有適當的裕量。

6.2.2反應堆冷卻劑壓力邊界的超壓保護

必須采取措施保證卸壓裝置的動作能夠避免反應堆冷卻劑系統

壓力邊界出現超壓，并不會導致放射性物質從核動力廠向環境直接

釋放。

6.2.3反應堆冷卻劑的裝量

必須采取措施來控制反應堆冷卻劑的裝量、溫度和壓力，以在

核動力廠任何運行狀態下（恰當考慮容積變化和泄漏）使其均不超

過規定的設計限值。

6.2.4反應堆冷卻劑的凈化

6.2.4.1必須在核動力廠內設置適當的設施，以去除反應堆冷

卻劑中的放射性物質（包括活化腐蝕產物和源自燃料的裂變產物）

和非放射性物質。

6.2.4.2所需系統的能力必須基于規定的容許燃料泄漏設計限

值和保守的裕量，以保證核動力廠可在回路中的放射性水平可合理

達到的盡量低的情況下運行。同時保證放射性釋放低于規定排放限

值，并可合理達到的盡量低。

6.2.5反應堆堆芯的余熱排出

—39—

在核動力廠停堆狀態下，必須為排出反應堆堆芯余熱提供手段，

以使燃料、反應堆冷卻劑壓力邊界和安全重要構筑物不超出設計限

值。

6.2.6反應堆堆芯的應急冷卻

6.2.6.1必須提供冷卻手段，以在核動力廠事故工況下（即使

沒有保持一回路冷卻劑系統壓力邊界的完整性），能夠恢復和維持

燃料的冷卻。

6.2.6.2冷卻反應堆堆芯的手段必須能夠保證：

（1）不超過包殼或燃料完整性參數限值（如溫度）；

（2）可能出現的化學反應保持在可接受水平；

（3）應急堆芯冷卻手段可有效補償燃料和堆內結構變形的影

響；

（4）反應堆堆芯冷卻能保持足夠長的時間。

6.2.6.3必須提供設計手段（如泄漏探測系統、適當的互相連

接和隔離能力）及考慮適當的多重性和多樣性，以對每個假設始發

事件都切實地滿足6.2.6.2節的要求。

6.2.7熱量向最終熱阱的傳輸

6.2.7.1在核動力廠所有狀態下，都必須保證具有將熱量傳輸

到最終熱阱的能力。

6.2.7.2在必須由熱量傳輸系統實現傳熱功能的核動力廠狀態

下，熱量傳輸系統必須具有足夠的可靠性。這可能要求采用多樣化

的最終熱阱或多樣化的排熱途徑將熱量傳輸至最終熱阱。

—40—

6.2.7.3在比設計基準自然災害（由廠址危險性評價確定的）

更嚴重水平下仍能夠實現傳熱功能。

6.3安全殼結構和安全殼系統

6.3.1安全殼系統

必須設置安全殼系統，以保證或有助于核動力廠實現以下安全

功能：

（1）在運行狀態和事故工況下包容放射性物質；

（2）保護反應堆使其免受外部自然事件和人為事件的影響；

（3）在運行狀態和事故工況下屏蔽輻射。

6.3.2控制放射性從安全殼釋放

6.3.2.1安全殼的設計必須能夠保證從核動力廠向環境的任何

放射性釋放是可合理達到的盡量低的水平，在運行狀態下不高于監

管排放限值，以及在事故工況下滿足可接受的限值。

6.3.2.2安全殼結構及影響安全殼系統密封性的系統和部件的

設計和建造，在安全殼的所有貫穿件安裝完成后和在核動力廠運行

壽期內，必須能夠進行泄漏率試驗，并在安全殼的設計壓力下能夠

進行泄漏率試驗。

6.3.2.3安全殼貫穿件的數量必須保持盡實際可能的少，所有

貫穿件都必須滿足與安全殼結構本身同樣的設計要求。必須保護貫

穿件，使其能夠承受由管道位移引起的反作用力，或承受諸如外部

或內部事件產生的飛射物、噴射力和管道甩擊引起的事故載荷。

6.3.3安全殼隔離

—41—

6.3.3.1在依靠安全殼密封性，防止放射性物質向環境的釋放

超過可接受限值的事故中，貫穿安全殼且屬于反應堆冷卻劑壓力邊

界組成部分的或直接與安全殼大氣相通的每根管線，必須能自動且

可靠地封閉。

6.3.3.2貫穿安全殼且屬于反應堆冷卻劑壓力邊界組成部分的

或直接與安全殼大氣相通的管線，必須至少串聯設置兩個合適的安

全殼隔離閥或止回閥，并必須配備適當的泄漏探測系統。通常應在

安全殼內外各設置一個安全殼隔離閥或止回閥，安全殼隔離閥或止回

閥必須盡實際可能地靠近安全殼，每個閥門能夠可靠和獨立地動作及

進行定期試驗。如采取其他的設置方式則應論證其滿足設計要求。

6.3.3.3對于儀表管線等特定類別的管線，或在應用第6.3.3.2

節中所述安全殼隔離方法將會降低包含安全殼貫穿件的安全系統可

靠性的情況下，可允許第6.3.3.2節中所述的安全殼隔離要求存在

例外情況。

6.3.3.4貫穿安全殼，但既非反應堆冷卻劑壓力邊界的組成部

分，又不直接與安全殼內大氣相通的管線，必須至少設置一個適當

的安全殼隔離閥。安全殼隔離閥必須安裝在安全殼外側，并盡實際

可能地靠近安全殼。

6.3.4安全殼的進入

6.3.4.1運行人員必須通過若干道氣封閘門進入核動力廠安全

殼。這些閘門是聯鎖的，以保證反應堆功率運行和事故工況期間，

至少有一道閘門是關閉的。

—42—

6.3.4.2當運行人員出于監督目的進入安全殼時，設計必須采

取特定措施，以保證運行人員的防護和安全。如果有設備氣密閘門，

設計中也必須采取措施，以保證運行人員的防護和安全。

6.3.4.3貫穿安全殼的設備或材料運輸閘門的設計，必須保證

在需要對安全殼進行隔離時能夠快速和可靠地關閉。

6.3.5安全殼狀態控制

6.3.5.1必須采取措施控制核動力廠安全殼內的壓力和溫度，

控制裂變產物或其他氣態、液態或固態物質的任何積累，這些物質

可能在安全殼內釋放并可能影響安全重要系統運行。

6.3.5.2設計必須為安全殼內各獨立隔間之間提供足夠的氣流

通道。隔間之間各種開口的截面尺寸，必須能夠保證在事故工況壓

力平衡期間產生的壓力差，不會對承壓結構或減輕事故工況后果的

重要系統造成不可接受的損壞。

6.3.5.3必須保證安全殼的排熱能力，以在發生任何高能流體

意外釋放事故后，能夠降低安全殼中的壓力和溫度并使之維持在可

接受的水平。執行從安全殼中排熱功能的系統，必須具有足夠的可

靠性和多重性，以保證排熱功能得到實現。

6.3.5.4必須采取設計措施以防止在核動力廠所有狀態下喪失

安全殼結構的完整性。該措施必須不會導致早期放射性釋放或大量

放射性釋放。

6.3.5.5設計必須包含能安全使用移動設備恢復安全殼排熱能

力的手段，這些移動設備不必在廠區貯存。

—43—

6.3.5.6必要時，必須控制可能釋放到安全殼中的裂變產物、

氫氣、氧氣和其他物質，以便：

（1）減少事故工況下可能釋放到環境中的裂變產物數量；

（2）控制事故工況下安全殼大氣中的氫氣、氧氣和其他物質的

濃度，以防止可能危及安全殼完整性的燃爆或爆燃載荷。

6.3.6覆蓋層、保溫材料和涂層

必須審慎選擇安全殼系統內部件和結構的覆蓋層、保溫材料和

涂層，并必須明確規定其使用方法，以保證這些部件和結構的安全

功能得到實現，并在覆蓋層、保溫材料和涂層劣化時盡量減少對其

他安全功能的影響。

6.4儀器儀表和控制系統

6.4.1儀器儀表

6.4.1.1必須設置用于以下目的的儀器儀表：確定可能影響核

動力廠裂變過程、反應堆堆芯完整性、反應堆冷卻劑系統完整性和

安全殼完整性的所有主要變量的值；獲得核動力廠安全和可靠運行

所需的重要信息；確定核動力廠在事故工況下的狀態以及用于事故

管理的決策。

6.4.1.2必須設置儀器儀表和記錄設備，以保證獲得必不可少

的信息，用于監測重要設備的狀況和事故過程，預測可能出現放射

性物質釋放的位置和從設計預期釋放位置外逸的放射性物質釋放

量，以及進行事故后分析。

6.4.2控制系統

—44—

必須設置適當且可靠的控制系統，使得相關的過程變量保持在

規定的運行范圍內。

6.4.3保護系統

6.4.3.1必須設置能夠探測不安全狀態并自動觸發安全動作的

保護系統，以啟動必要的安全系統來實現和維持核動力廠安全狀態。

6.4.3.2保護系統的設計必須：

（1）能夠超越控制系統的不安全動作；

（2）具備故障安全特性，以在保護系統發生故障時能使核動力

廠達到安全狀態。

6.4.3.3設計：

（1）必須防止操縱員在運行狀態和事故工況下采取可能損害保

護系統有效性的動作，但不得阻礙操縱員在事故工況下采取正確行

動；

（2）必須能夠執行用于啟動安全系統的各種安全動作，以在預

計運行事件或事故工況開始后的合理時間范圍內無需操縱員干預；

（3）必須向操縱員提供相關信息，用于監測自動動作的效果。

6.4.4儀表和控制系統的可靠性和可試驗性

6.4.4.1核動力廠安全重要物項的儀表和控制系統，必須具有

與所執行的安全功能相適應的高可靠性和定期可試驗性。

6.4.4.2必須在實際可行的范圍內采用各種設計技術，如可試

驗性（必要時包括自檢能力）、故障安全特性、功能多樣性、部件

設計或工作原理的多樣性等，以防止安全功能的喪失。

—45—

6.4.4.3安全系統必須具有可在核動力廠運行時對其功能進行

定期試驗的條件，包括各通道分別進行試驗的可能性，以查明可能

發生的故障和多重性的喪失。設計必須允許對包括從傳感器到最終

的觸發驅動器和顯示單元所有環節的定期試驗。

6.4.4.4設計應考慮，當安全系統或安全系統的一部分由于試

驗或維修而必須退出運行時，在此期間應采取適當的措施對保護系

統旁通狀態進行明確的指示。

6.4.5基于計算機的設備在安全重要系統中的應用

6.4.5.1當安全重要系統設計成依賴于基于計算機的設備時，

必須確定或制定用于開發和測試/驗證計算機軟、硬件的適當的標準

和規范，并在整個壽期內執行，特別是在軟件開發過程中應執行這

些標準和規范。整個開發過程必須遵循質量保證大綱。

6.4.5.2安全系統或安全有關系統中基于計算機的設備：

（1）基于系統對安全的重要性，必須使用高質量和最佳實踐的

硬件和軟件；

（2）整個開發過程，包括設計變更的控制、試驗和調試，必須

系統地形成文件，并可供審查；

（3）必須由獨立于設計者和供應商的專業人員，對基于計算機

的設備進行評價，以保證其高可靠性；

（4）在安全功能對實現和保持安全狀態至關重要，且不能高置

信度的證明設備具有必要的高可靠性時，必須提供多樣化手段以保

證安全功能的執行；

—46—

（5）必須考慮由軟件引起的共因故障；

（6）必須提供防止系統運行意外中斷或受到蓄意干擾的保護

措施。

6.4.6保護系統和控制系統的分隔

6.4.6.1必須通過分隔、避免相互連接或采用適當的功能獨立

來防止核動力廠保護系統和控制系統之間的相互干擾。

6.4.6.2如果保護系統和控制系統共用信號，必須保證適當的

分隔措施（如有效的去耦），且信號系統必須按照屬于保護系統的

一部分來分級。

6.4.7控制室

6.4.7.1必須設置控制室，以進行下述活動：在各種運行狀態

下以自動或手動方式安全地運行核動力廠；出現預計運行事件和事

故工況后，采取相應措施，以使核動力廠保持在安全狀態或回到安

全狀態。

6.4.7.2必須采取適當的措