《EJT 917-1994池式研究堆安全功能及部件分级》专题研究报告深度

《EJ/T917-1994池式研究堆安全功能及部件分级》专题研究报告深度目录一、专家视角：从标准起源窥探池式研究堆安全哲学的演变脉络二、深度剖析：安全功能分级——构筑纵深防御体系的理论基石三、核心聚焦：部件安全分级方法论——如何界定“安全相关

”边界？四、热点解构：安全级、质量级与抗震级的关联与差异化管控五、疑点澄清：非安全级部件的“安全角色

”与分级实践中的灰色地带六、未来趋势：数字化浪潮下，安全分级原则面临的新挑战与适应性思考七、实战指南：从设计到退役——安全分级在反应堆全生命周期中的贯彻八、

国际比较：

EJ/T917

与

IAEA

安全标准体系的对接与本土化特色九、深度拷问：现行分级标准在面对极端外部事件时的完备性审视十、前瞻瞭望：小型模块化反应堆（SMRs）

时代的安全分级范式革新预判专家视角：从标准起源窥探池式研究堆安全哲学的演变脉络历史坐标：EJ/T917诞生于中国核安全监管体系构建的关键期该标准制定于1994年，正值中国在汲取国内外核能发展经验基础上，系统性建立自身核安全法规标准体系的重要阶段。它并非孤立产生，而是与当时国际原子能机构（IAEA）的安全理念、以及国内大亚湾等核电项目引进的法国技术标准体系（如RCC系列）相互激荡的产物。理解其历史背景，有助于把握其技术条款背后所承载的、从“技术导向”向“安全导向”过渡的初期核安全文化思想。承前启后：标准如何反映九十年代初期的安全设计理念？标准内容直接体现了当时对池式研究堆安全特性的认知深度。它将安全功能置于首位，强调通过分级实现安全措施的“有的放矢”和资源优化配置。这种思路，相较于更早时期可能存在的“泛安全化”或经验主义做法，是一种显著的进步。它标志着中国在研究堆安全领域，开始采用系统化、工程化的方法论，将有限资源集中于对安全最为关键的系统和部件上，这一核心理念至今仍具指导价值。哲学内核：标准中蕴含的“合理可行尽量低”（ALARA）与“纵深防御”思想尽管标准文本未直接引用“ALARA”术语，但其分级逻辑本身就体现了这一原则：通过对部件进行安全等级划分，要求与安全功能相关性越高的部件，在设计、制造、检验等方面的要求越严格，这实质上是将有限的安全投入进行优化分配。同时，安全功能的识别与保障，是构筑“纵深防御”各道屏障的物质基础。标准可视为将宏观安全哲学（纵深防御）转化为具体工程实践（部件分级）的一座关键桥梁。深度剖析：安全功能分级——构筑纵深防御体系的理论基石基石定义：标准如何界定与归类池式研究堆的“安全功能”？标准首要任务在于明确“安全功能”的内涵。这通常指那些为预防事故、或在事故发生时控制其后果、直至达到稳定安全状态所必需的功能。对于池式研究堆，典型安全功能包括：反应性控制、堆芯热量排出、放射性包容（尤其是水池密封性）、以及监测与显示功能。标准需对这些功能进行系统性的识别与列表，这是所有后续分级工作的起点和依据。12逻辑演绎：从安全功能到安全系统的分解路径1识别出安全功能后，下一步是确定实现每一项安全功能所需的“系统”。例如，“堆芯热量排出”功能，可能由正常运行的冷却系统、以及专设的安全冷却系统共同实现。标准需要提供一种清晰的逻辑，将抽象的功能要求，分解到具体的、可设计的系统层面。这一分解过程确保了安全功能在工程上得以“落地”，并为后续针对具体部件进行分级提供了清晰的归属路径。2分级映射：不同安全功能等级对应的设计基准差异01并非所有安全功能都同等重要。标准需要建立安全功能自身的分级体系（例如，基于其失效后果的严重性）。通常，与预防或缓解设计基准事故（DBA）直接相关的功能被赋予最高等级。不同等级的安全功能，对其实现系统的可靠性、冗余性、多样性、独立性等方面的设计要求存在显著差异。这种差异化的要求，正是安全分级制度的核心价值体现，旨在实现安全与经济的平衡。02核心聚焦：部件安全分级方法论——如何界定“安全相关”边界？判定准则：部件归属“安全级”的充分必要条件探析这是标准执行中最关键也最易产生争议的环节。标准需明确规定，一个部件被划分为“安全级”（或某一具体安全等级）的逻辑准则。通常，这基于“功能重要性准则”：即该部件对执行某一已确定的安全功能是否是必需的？以及“故障后果准则”：其失效是否会直接导致安全功能丧失或显著降级？标准应提供清晰的判断流程图或决策树，指导设计者进行一致性的判定。12接口管理：安全级与非安全级部件接口处的特殊要求在复杂的反应堆系统中，安全级部件与非安全级部件之间存在大量的物理或信息接口。标准必须关注这些接口的管理。例如，一个非安全级的控制信号如果错误触发了一个安全级动作，可能引发问题。因此，标准需要对接口提出要求，如采用隔离措施、确保非安全系统的故障不会危及安全系统的功能，或者对接口部件本身提出特定的可靠性要求，这常常是分级实践的难点和重点。共因故障防范：分级制度中如何体现对系统性失效的抵御？01部件分级不能孤立进行，必须考虑共因故障（CCF）的风险。即某些共同的原因（如地震、火灾、洪水、设计缺陷、维护错误）可能导致多个相同或不同等级的部件同时失效。标准在分级方法论中，应要求对安全级部件进行独立性分析和评估，通过物理分离、电气隔离、功能多样等手段，减少共因故障的可能性。这意味着分级不仅是“贴标签”，更影响着系统的整体架构设计。02热点解构：安全级、质量级与抗震级的关联与差异化管控概念辨析：三个“级”的本质内涵与隶属关系1“安全级”是一个总括性概念，指部件所归属的安全重要性类别。“质量级”（或质量保证等级）主要指为达到该安全等级所需的设计、制造、检验、运行和质保要求的总和，更侧重于过程控制和文档化要求。“抗震级”则特指部件在地震载荷下的设计和鉴定要求，是“安全级”要求在抗震这一具体领域的体现。一个安全级部件，必然对应相应的质量级要求，并通常（但不绝对，需根据其在地震中的作用分析）具有特定的抗震等级。三者环环相扣，但维度不同。2要求矩阵：如何建立安全等级与质量保证要求的对应关系？标准应提供或引导建立一套清晰的对应关系矩阵。例如，安全1级部件，必须遵循最高级别的质量保证大纲（如核工业现行的HAF003系列要求），在材料选择、工艺评定、无损检验、过程记录、人员资格等方面有最严格的规定。而较低安全等级的部件，则可以适用相对简化的质量要求。这种差异化的质量管控，是实现资源优化配置的关键，确保“好钢用在刀刃上”。标准的可操作性很大程度上取决于此矩阵的合理性。抗震分类：基于安全功能与位置的双重考量抗震分级不仅取决于部件的安全等级，还与其在反应堆厂房内的地理位置、所支持的抗震类别构筑物的关系，以及其自身失效对安全功能的直接影响方式有关。标准需提供抗震分类的方法。例如，直接执行安全功能的部件，即使位于低抗震类别的厂房中，也可能因其功能重要性而被要求按较高抗震水平设计。反之，一个安全级部件若其功能在地震后仍有充足时间恢复，则抗震要求可能调整。这是一个需要深入工程判断的领域。疑点澄清：非安全级部件的“安全角色”与分级实践中的灰色地带支持性角色：非安全级部件失效会如何“拐弯抹角”地影响安全？1并非所有非安全级部件都可以被忽视。某些部件虽然不直接执行安全功能，但其失效可能通过间接途径影响安全级部件的可用性或可靠性。例如，为安全级仪表供电的普通电源的失效，虽然电源本身非安全级，却会导致安全级仪表失灵。再如，非安全级的冷却水系统失效，可能导致厂房环境温度升高，进而影响安全级电气设备的工作。标准应要求进行接口分析和间接影响评估，识别这些“支持性”角色并施加适当要求。2裕度与可靠性：对非安全级部件的“隐含”期望1在实际运行中，许多非安全级系统被期望具有较高的可靠性和一定的设计裕度，以尽量减少其对安全级系统的需求，这是提高反应堆整体可用性和经济性的需要，也间接提升了安全水平。例如，正常功率运行的主冷却系统虽属非安全级，但设计时仍会考虑一定的冗余和可靠性，以减少其故障触发安全系统动作的频率。这种“非安全级的高可靠性”设计，是工程实践中普遍存在的灰色地带，标准虽不强制，但可通过最佳实践指南加以引导。2分级争议的典型场景与仲裁原则1在工程实践中，常会出现对一个部件是否应划归安全级产生争议的情况。例如，某些用于事故后监测的仪表，或者用于缓解超设计基准事故的设备。标准需要为处理这些争议提供原则性指导。可能的仲裁原则包括：保守决策原则（当判断不清时，倾向于划入更高等级）、功能追溯原则（严格追溯其是否为实现某一明确定义的安全功能所必需）、以及后果导向原则（分析其失效的最坏可能后果）。清晰的仲裁原则有助于统一设计团队的认识。2未来趋势：数字化浪潮下，安全分级原则面临的新挑战与适应性思考数字化仪控系统（DI&C）的安全分级难题传统的安全分级方法主要基于硬件部件（泵、阀、管道）。而现代及未来的研究堆将广泛采用数字化仪控系统。软件、网络、数字处理单元的安全分级成为一个新课题。软件没有物理失效模式，其“失效”源于错误。如何将基于硬件可靠性的分级逻辑应用于软件？标准需要前瞻性地思考：是基于软件实现的功能重要性来分级，还是基于软件的复杂度和开发过程的严格度来分级？这涉及到对软件生命周期（如需求、设计、编码、测试、V&V）提出差异化要求。网络安全因素的融入：信息安全的“安全级”考量随着系统数字化、网络化，网络安全成为核设施安全的新维度。一个用于控制或监测安全级功能的数字系统，其网络接口可能成为攻击入口。传统的安全分级未涵盖网络安全。未来的标准修订或衍生指南，需要考虑将网络安全要求与安全等级挂钩。例如，安全级仪控系统必须满足最高级别的网络安全防护要求，包括物理隔离、访问控制、入侵检测、软件完整性保护等。网络安全已成为功能安全不可分割的一部分。基于风险指引与性能导向的分级方法演进1传统的确定论分级方法可能略显保守和固化。未来趋势是引入更多风险指引和性能导向的元素。即在坚持确定论基础的同时，利用概率安全分析（PSA）的结果，对某些部件的安全重要性进行再评估，从而可能对其分级进行优化调整（升级或降级）。例如，PSA可能揭示某个传统上认为重要的部件对堆芯损伤频率（CDF）的贡献其实很小，这为适当调整其质量要求提供了依据。这种灵活性是未来标准发展的方向之一。2实战指南：从设计到退役——安全分级在反应堆全生命周期中的贯彻设计源头：如何在初步设计和详细设计阶段落实分级？1分级工作必须始于设计初期。在概念设计和初步设计阶段，就应根据安全分析报告（SAR）识别出的安全功能和事故序列，初步确定主要系统和部件的安全等级，这直接影响系统架构设计和设备选型。在详细设计阶段，分级需细化到每一个阀门、传感器、电缆，并体现在设备规格书、采购技术条件和施工图纸中。设计文件必须建立并维护一份完整的“安全相关部件清单”，作为后续所有活动的基准。2采购与制造：不同安全等级部件的差异化管控实践1采购部门必须依据设计文件中的安全等级，向制造商传递明确的要求。对于安全级设备，采购合同必须引用严格的质量保证标准，并要求制造商具备相应的核资质。制造过程中，需执行特定的工艺评定、见证点、停工待检点（H点）和文件审查。而非安全级部件则可按常规工业标准采购。这一环节是确保“纸上分级”变为“实体质量”的关键，任何要求的混淆或降低都可能导致安全隐患。2运行、维护与修改：基于分级的在役管理策略1运行阶段，安全分级指导着运行规程、预防性维修大纲、在役检查（ISI）计划和备件库存管理。安全级部件通常有更频繁的测试和校准要求，更短的维修周期，以及更严格的备件保管和可追溯性要求。当进行系统修改或设备更换时，必须执行严格的设计修改控制程序，重新评估修改对安全分级的影响，确保分级的一致性和有效性。安全分级是运行安全管理活动的核心依据之一。2退役考量：安全分级对退役计划与废物管理的指导1在反应堆退役阶段，安全分级依然发挥作用。安全级部件通常含有更高活性的放射性核素或位于关键部位，其拆除顺序、切割技术、去污要求和废物包装标准都更为严格。退役计划需要依据部件安全等级（结合其放射性存量）来制定详细的工作程序、辐射防护措施和废物分类方案。分级信息帮助退役团队识别和管理高风险作业，确保退役过程的安全。2国际比较：EJ/T917与IAEA安全标准体系的对接与本土化特色IAEA安全标准框架下的研究堆安全要求1IAEA发布了一系列安全标准（SSR系列）和安全导则（SSG系列），其中SSR-3《研究堆安全》和SSG-20《研究堆分级》是直接相关的国际基准。IAEA标准强调安全分级是研究堆安全的基础，其原则是通用和基础性的。EJ/T917在核心原则上与IAEA标准保持一致，例如都基于确定论方法，强调安全功能识别和纵深防御。比较研究可以确认我国标准在基本安全理念上与国际接轨的程度。2本土化特色：EJ/T917如何体现中国核工业实践与监管要求？1EJ/T917并非IAEA标准的简单翻译，它融入了当时中国核工业的具体实践和监管框架。例如，它在质量保证要求上，会与中国的核安全法规（如HAF系列）进行衔接；在具体的技术参数、材料标准、验收准则上，可能会引用当时的中国国家标准（GB）或行业标准（EJ）。此外，它可能针对中国当时池式研究堆的主流设计（如原型或改进型），在安全功能的列举和部件分级的示例上更具本土针对性。这些细节体现了标准的适用性。2趋同与差异：标准细节中的技术选择与文化折射1在趋同的大原则下，不同标准在细节上可能存在差异。例如，对于某个特定系统（如应急注硼系统）的安全等级划定，不同标准或不同国家的实践可能有所不同，这反映了各自的安全文化（保守程度）、设计传统和运行经验。分析这些差异点，并非判断孰优孰劣，而是理解不同技术路径背后的逻辑。随着中国更多参与国际协作，这种比较有助于我国标准的持续改进和国际化。2深度拷问：现行分级标准在面对极端外部事件时的完备性审视超设计基准事故（BDBA）情景下的分级局限性EJ/T917等标准主要基于设计基准事故（DBA）确定安全功能和部件分级。然而，福岛核事故后，业界高度重视超设计基准事故（BDBA）和极端外部事件（如超强地震、海啸、洪水、飞机撞击等）。对于这些“设计扩展工况”（DEC），原有安全分级可能不覆盖为缓解这些工况而专门增设的设备（如移动式电源、非固定式冷却设备）。标准是否需要扩展，将这些“补充性”安全设施纳入分级体系，是一个值得审视的问题。全厂断电（SBO）与共因故障对分级架构的考验全厂断电（SBO）是典型的共因故障场景，可能使依赖电力的多个安全级和非安全级系统同时失效。现有的分级制度虽然强调独立性，但在面对SBO这种长时间、全厂性的极端工况时，其有效性面临考验。标准应引导设计者深入分析在SBO等极端工况下，各级安全功能的可执行性，以及执行这些功能所需的设备是否具备非电动的多样性手段或足够的蓄电池续航能力。这要求分级思维从“单部件”向“全厂工况”延伸。长期堆芯冷却与放射性包容功能的再评估1对于池式研究堆，在极端事故导致正常冷却丧失后，维持水池完整性（放射性包容）和实现堆芯的长期冷却（即使功率很低）至关重要。标准中对于支持这些长期安全功能的系统（如厂用水系统、水池泄漏监测、事故后环境监