侯明亮(台灣電力公司 核能技術處)
伍、 核能電廠的安全基準
主題A:核能安全政策 類別:核能安全管理安全基準
1. 核能安全政策的發行和溝通1.1 各持照者 ( Licensee ) 應發行一份核能安全政策。
1.2 核能安全政策必須清楚地給予核能安全一個凌駕一切電廠作業的優先權。
1.3 在核能安全政策中,應承諾持續促進安全。
1.4 核能安全政策必須與現場從事重要安全工作的所有人員溝通直至完全膫解並能應用。
1.5 核能安全政策的重點必須與承包商溝通,並讓承包商瞭解持照者的期望及規定,並融入他們的作業之中。
2. 核能安全政策的施行及安全績效的監測
2.1 核能安全政策應有要求施行該政策之指令並監測施行績效。
2.2 核能安全政策應有安全的目的及目標,並有清楚的形式可讓電廠的管理階層易於監測及追蹤。
3. 核能安全政策之評估
3.1 核能安全政策應由持照者定期評估其妥適性及施行情形,其評估頻率應高於定期安全審查 ( Periodic Safety Review)。
主題B:營運組織 類別:核能安全管理安全基準
1. 組織架構
1.1 組織架構之建立,必須證明可以妥善維護電廠的安全及可靠的運轉,並可確保在緊急狀況下可以做適當的應變,其組織圖並應予正式登錄。
1.2 依據1.1.建立適當之組織架構後,如需要變更時,由於可能影響安全,因此在變更前必須先做評估,並於施行後確認其成效。
1.3 所有負有核能安全重要責任之人員,其責任、授權、及指揮、溝通系統均應清楚界定並應予正式登錄。
2. 核能安全及品質的管理
2.1 持照者應確保電廠運轉在安全狀態下,並符合所有相關的法律及法規之規定。
2.2 持照者應確保各項安全事務的決策均經適當的調查及徵詢並經審慎考量;有關核能安全問題,均應透過適任而獨立之審查機制給以適當之安全審查。
2.3 持照者應確保提供工作人員具備所需的設施及作業條件,以便能在安全的狀態下執行任務。
2.4 持照者應確保已設置適當之審查系統並持續監測核能安全績效,以確保核能安全的維持,並可在必要時予以進一步的改善。
2.5 持照者應確保相關的運轉經驗、國際間核能安全標準的發展,以及經由研究發展取得之新技術,均經由有系統的方法予以分析,並應用於改善電廠的設計及持照者的各項作業。
2.6 持照者應確保電廠的各項作業及處理過程,均透過一個經正式登錄的管理系統控制,該系統應涵蓋所有的作業,並包括廠家及承包商可能影響電廠安全運轉的各項相關作業。
3. 充足及勝任的人力
3.1 安全運轉所需之人力、及各從業人員是否具備勝任的能力,必須經由一個有系統並以正式登錄的方法加以分析及檢驗。
3.2 安全運轉所需之人力、及各從業人員是否具備勝任的能力,以及是否適宜從事安全工作,均必須定期檢驗並予以正式登錄。
3.3 與安全有重要相關的各項作業,必須有一份長程的人力補充計畫,一般而言,應有3至5年的詳細規劃,及至少十年的退休預估表。
3.4 人力改變可能影響安全時,必須事先評估並仔細規劃;在施行之後,應再予以評估。
3.5 持照者應永久保有足夠且勝任的自有人力及資源,以全盤了解電廠的執照基礎 ( 譬如:安全分析報告、安全事項、及其他相關文件 ) 及電廠的實際設計狀況,並能清楚掌握在各種狀態下的運作方式。
3.6 持照者應維持足夠且勝任的自有人力及資源,以便在承包商進行安全相關工作時,能夠給予規範並設定管理及評估標準。
主題C:管理系統 類別:核能安全管理安全基準
1. 目標
持照者應建立、施行、評估、並持續改進其所整合之管理系統,管理系統的主要目的在達成並促進核能安全,並確保持照者的其他需求 ( 譬如:保健、環境、保安、品質及經濟上的要求等 ),不至於背離核能安全的各項規定,並能有助於預防其可能對核能安全造成負面的衝擊。
2. 一般規定
2.1 管理系統各項規定的施行,必須基於下列的考量予以分級,以利資源的適當配置:
─ 每項作業及其產品的重要性及複雜度。
─ 每項作業及其產品的危害性及可能衝擊的程度。
─ 某項作業施作不正確或某項產品失效可能導致之後果。
2.2 管理系統的檔案應包括下列各項:
─ 持照者的政策聲明。
─ 管理系統的描述。
─ 持照者組織架構的描述。
─ 有關管理、執行和評估工作之功能責任、當責、授權層級、及互動等之描述。
─ 與相關外部組織間互動之描述。
─ 說明工作如何準備、審查、執行、紀錄、評估、和改進之過程及相關資訊之描述。
2.3 管理系統的檔案必須讓使用者易於了解,檔案資料必須更新、可讀、易於識別,且需用時即可取得。
3. 管理階層的承諾
3.1 持照者應使其組織所有成員,對於整體目標、策略、計畫、和目的等,有共同的認知及參與,以使該等政策的執行對核能安全的整體影響,易於瞭解及管理。
3.2 持照者應確保在其管理系統之內,可以很明確的知道,何時、如何及由誰來做決策,特別是衝擊核能安全運轉的決策。
3.3 持照者應確保在其管理系統的每一層級均能證明,各該層級均已依其承諾建立、施行、評估,並持續改進其管理系統,且有足夠的資源來進行這些作業。
3.4 持照者應鼓勵所有的員工參與其管理系統的施行及持續的改進。
4. 資源
4.1 持照者應確定其所需資源之數量,包括人員、基礎設施、工作環境、資訊及知識,與財務等資源,並應提供這些資源以供進行管理系統的建立、施行、評估,並持續改進各項作業。
5. 施作程序
5.1 持照者組織要達成目標必須透過各類程序,這些程序提供各種執行方法,以使各項作業符合所有的規定,並產出產品。因此,各類施作程序在作業之前就必須先予確定,其訂定以至於後續的發展,應包括規劃、施行、評估,並能持續改進;此外,各類程序間之順序必須明確清楚,其相互作用關係亦必須能夠確定。
5.2 對於確保各類程序有效施行及控制的方法,必須事先訂定並確實執行。
5.3 各類程序之文件 (包括:政策、程序書、指引、規範、圖說、訓練教材、描述程序之參考書、特別要求、及所建立之產品規格) 應予妥善控管,各項文件之修改必須經過審查及紀錄,並提報該文件所屬之核准層級;此外,應確定各文件之使用者充分瞭解,並正確而適當地使用各項文件。
5.4 在檔案管理系統內,對於紀錄應有特別的規定及妥善的控管,所有的紀錄在規定的保存期間內,均應可讀、完整、可識別,並易於檢索。
5.5 如果有程序的控制或某一製程內的工作之執行,已承包給外部之組織時,必須在管理系統內標明,當任何程序或在一個製程內的工作之執行外包時,持照者仍應負完全的責任。
5.6 產品及服務之供應商的選擇,必須有特定的準則,而且應評估他們的績效。
5.7 採購時,應制定相關採購規定,並於採購文件中訂明;持照者決定採用某項產品或服務,應有證據顯示該產品或服務可符合這些規定。
5.8 採購時,應確認 ( 在接收、施作或運作某項產品之前,先予檢驗、測試、查核及驗證後確認之 ) 各項作業及其產品符合已訂定之規定,並應確定該產品能有令人滿意之效益。
6. 量測、評估和改善
6.1 為確保各類程序可以達成預期效果,並能找出應改進事項,持照者應注意下列各項:
─ 管理系統的有效性應持續監控和量測。
─ 應確認各級經理人對所負責之工作績效,已確實進行自我評量。
─ 獨立評估(可由外部組織或由內部獨立單位為之)應由持照者的代表定期執行。
6.2 應建置一個組織單位,以負責獨立評估工作,此一單位應具有充分的授權以履行其責任;執行獨立評估工作之個人,不得擔任其本職工作之評估作業。
6.3 持照者應對評估結果進行評鑑 ( Evaluate ),並應採取必要的改善行動,評鑑結果應予以記錄保存,擬採取之改善行動,其決策理由應在組織內部進行充分的溝通。
6.4 應定期執行管理系統的審查,以確保其有效性。
6.5 不符合規定之事項,應確實找出其原因,並立即採取補救措施以防止再發生。
6.6 改善計畫應包括適當的資源提撥計畫,改善行動應予監測直至完成,改善效果應予檢查。
主題D:核能電廠從事重要安全工作人員之訓練與授權 類別:核能安全管理安全基準
1. 政策
1.1 有鑑於長期能力的維持及訓練,對核能安全具有關鍵性的影響,持照者應建立一套整體的訓練政策和全面的訓練計畫,而且,此一計畫必須不斷地更新。
1.2 應使用有系統的訓練方式,以合乎邏輯性進展之要求;從鑑別執行某項工作所需能力,到開發並執行整套訓練計畫,其中,包括達成所需能力相關之教材,以及嗣後對於此項訓練成效之評估等。
2. 能力和資格
2.1 只有具備所需之知識、技能、及安全認知態度之合格人員,始能允許其執行重要之安全工作,持照者應確保所有從事安全相關責任人員,包括承包商人員,均經充分之訓練並經檢定合格(Qualified)。
2.2 持照者訂定其所屬員工所需具備能力之規定,應清楚、明確、並列入檔案。
2.3 每位從事重要安全工作之個人,均應建立並維持其適當之訓練紀錄,及對其依規定應具備之專業能力所作之評估紀錄。
2.4 經檢定可從事重要安全職位之人員應定期進行體檢,以確定其對所指定之工作及責任之適應性。
3. 訓練計畫及設備
3.1 對於所有從事重要安全工作人員,應實施以績效為基礎的訓練計劃,計畫中應包括基本訓練,以利於某些職位之資格檢定,並應視需要進行再訓練。
3.2 所有技術人員,包括現場承包商人員,對於核能安全、輻射安全、防火安全、現場緊急應變措施、及工業安全,均應有基本之瞭解。
3.3 控制室運轉員訓練應使用具代表性的模擬器設施,俾能在實際運轉中,有效操作正常和緊急運轉程序,此一模擬器應具備可以涵蓋正常運轉、預期的運轉狀況、以及相當程度的事故狀態之軟體,此通常稱之為全功能模擬器 ( Full-Scope Simulator )。
3.4 對於控制室運轉員而言,在初次及每年的再訓練中,均應包括具代表性的全功能模擬器,年度再訓練最少應有五天的模擬器操作訓練。
3.5 控制室運轉員再訓練應包括下列各項:
─ 電廠在正常運轉狀態、特定的暫態、及事故狀況之運轉。
─ 值班人員之團隊精神。
─ 運轉經驗、電廠及操作程序書之變更。
3.6 電廠之維護及技術支援人員,包括承包商人員,所負責之工作如屬重要安全作業者,應先接受實務訓練。
4. 授權
4.1 負責控制電廠運轉狀態變更的工作人員,必須在該運轉期間內獲得有效之授權,為使工作人員即時取得授權,持照者應建立書面程序,對於個人是否有能力及是否適合各項授權之評估,應依已正式建檔之準則辦理。
4.2 對於一個已獲得某項授權之個人,調動到另外一個需要有授權之職位,或已離開獲得授權之職位一段長時間後再回任原職,除要求進行個人的必要準備外,均應予以重新授權。
4.3 承包商人員於對重要安全的結構物、系統、或組件進行工作時,必須先經核准,並由持照者指派具備適當能力的職員加以監督。
主題E :現有反應器的設計基礎封包 ( Envelope ) 類別:設計安全基準
1. 目標
1.1 設計基礎的目標,必須能夠預防預期的運轉狀況及設計基礎事故的發生,而且一旦其機制失效,亦能減輕事故的後果,以確保大眾及現場工作人員所可能接受的輻射劑量不會超過規定的限值,而且是在其設計合理可及的範圍內儘可能的低水準 ( As Low As Reasonably Achievable,ALARA )。
2. 安全策略
2.1 深度防禦必須應用於有害輻射物質之外洩的預防,而且一旦其機制失效,亦能減輕事故的後果,因此,設計上應具備多重的物理屏障,以阻擋輻射物質在未加控制下釋放至環境,並宜適當的保護各個屏障。
2.2 設計上應儘量避免以下情況發生:
─ 威脅各個屏障的完整性。
─ 某個屏障受到挑戰即整體失效。
─ 某個屏障失效將導致另一個屏障也一 併失效。
3. 安全功能
3.1 核能電廠應在正常運轉、預期的運轉狀況、及設計基礎事故下,均能滿足下列各項基本安全功能:
─ 控制核子反應度。
─ 移除爐心的熱量。
─ 圍堵輻射性物質。
4. 設計基礎的建立
4.1 設計基礎應載明電廠在輻射防護規定範圍內,能應付電廠各種特定運轉狀態之能力,包括正常運轉、預期的運轉狀況、及設計基礎事故等。因此,設計基礎應包括以下各項之詳細說明:正常運轉及由於假想肇因事件 ( Postulated Initiating Events,PIEs ) 引發的暫態及事故狀況、安全等級分類、重要的假設,以及在某些特別狀況下的分析方法。
4.2 應建立一份可以涵蓋所有可能衝擊電廠安全的假想肇因事件 ( PIE ) 清單 ,利用此一清單可以定值法 ( Deterministic ) 或機率法或兩種方法合併起來選出一套設計基礎事件,並用以設定出邊界條件,進而依照此等條件得知各重要的安全結構物、系統、或組件應如何設計,以確證所需之安全功能可以達成,而且可以達成各項安全目標。
4.3 設計基礎應予有系統地界定並建立檔案,以反映電廠的真實狀況。
5. 設計基礎事件之組合
5.1 內部事件,譬如:冷卻水流失事故、設備故障、操作錯誤、及各種損害,以及其後續的各種事件,均須列入電廠的設計考量,此一事件清單應因各廠而異 ( Plant Specific ),施行評估時應參考附錄之清單以避免遺漏。
5.2 事件之組合依電廠廠址的個別情況而有所不同,但下列各種形式之天然及人為事件是列入電廠設計考量的基本項目:
─ 極端的風力負荷。
─ 極端的外界氣溫。
─ 極端的降雨量、降雪量、及廠區淹水。
─ 極端的冷卻水溫度和結冰。
─ 地震。
─ 飛機撞擊。
─ 其他鄰近的運輸、工業活動、及廠址地區狀況,在合理推斷之下,有可能造成火災、爆炸或其他威脅核能電廠安全者。
6. 事件之組合
6.1 個別事件的可信組合,包括內部及外部之傷害,可能導致預期之運轉狀況或設計基礎事故狀況者,均應在設計中列入考慮,可使用工程判斷及概率法來選定各種事件之組合。
7. 技術上的可接受條件之定義和運用
7.1 肇因事件必須依照電廠的各種運轉狀態及其發生之機率,加以分類成為有限的類別,並就輻射及技術上的可接受條件,必須依其發生之機率及其後果,針對每一種電廠運轉狀態分別訂定,譬如:可能經常發生之肇因事件,必須只有微小的輻射或無輻射後果,而輻射後果嚴重的事故,其發生機率必須非常的低。
7.2 保護燃料棒完整性之準則,包括:燃料溫度、DNB、及護套溫度均應分別予以訂定,此外亦應訂定,在任何設計基礎事故下可允許之最大燃料受損之準則。
7.3 為保護一次側冷卻水壓力邊界,應訂定之準則,包括:最大壓力、最高溫度、熱及壓力暫態及各種應力。
7.4 如果二次側冷卻水壓力邊界之保護適用前項7.3準則的話,亦應予以比照訂定。
7.5 保護圍阻體應訂定之準則,包括:溫度、壓力、及洩漏率。
8. 合理保守度及餘裕之證明
8.1 應以保守之方式訂定電廠的初始及邊界狀況。
8.2 進行設計基礎事故分析時,應假設發生了最壞的單項故障 ( Worst Single Failure ),換言之,要假設肇因事故發生在最不利的時間點及最不利的配置之下,且伴隨發生安全功能最重要的組件故障情事;但不必假設被動組件失效,因為通常這種組件的故障機會甚小,而且它的功能也不太可能因遭受假想肇因事件 ( PIE ) 的衝擊即因而受損。
8.3 只有安全系統可賴以執行安全功能,非安全系統的運轉與否,則必須視其是否會使肇因事件更形惡化而定,亦即若其運作時,會使事故惡化,則應假設該非安全系統在事故期間發揮了功能,反之亦然。
8.4 進行設計基礎事故分析時,應假設有一支控制棒卡住 ( Stuck Control Rod ),以此做為一個額外的惡化故障,這項假設是為了要確保反應器的停機餘裕足夠,因此這支卡住的控制棒必須是熱零功率 ( Hot Zero Power ) 時具有最高棒值者;但若在設計基礎事故分析時,有一支控制棒卡住即為該項事故的最壞單項故障,即可直接以該單項故障進行分析。
8.5 安全系統運作的性能標準,應假設是處在肇因事故中最不利的之情況下。
8.6 任何因假想的肇因事件(PIE)而連帶發生的故障,則應視為PIE的一部份。
8.7 如果在某些情況下有不確定因素會影響分析結果,則必須在設計基礎事故分析中有所交待。
9. 安全功能的設計
通則9.1 失靈保安 ( Fail-Safe ) 原則應在重要安全系統及組件的設計中予以納入。
9.2 正常運轉所需的系統若失效時,不得波及其他系統的安全功能。
9.3 安全功能的啟動及操作必須以能動,或以非能動方式完成操作,此項設計應可使運轉員在初始事件發生後30分鐘之內不必介入。設計上有任何必須運轉員於肇因事件發生之後30分鐘之內介入者,均必須有合理的評估,並須有明確登錄於程序書之操作方法,且應於全功能的模擬器經常練習。
9.4 系統的可靠度必須經由選擇妥當的設計方法來達成,包括:使用驗證過之組件、多重的設計、多樣化的設計(視需要採用,以減少共因失效,並提高可靠度)、實體的及功能的分離與隔離。
反應器停機功能9.5 反應器的停機方法必須最少由兩種多樣化的系統組成。
9.6 兩種多樣化系統中,最少有一個系統可以單獨地將反應器自運轉狀態及在設計基礎事故之中,以4~6秒之間快速地帶至次臨界狀態,而且還須具有適當的餘裕,並且要假設另有一單項故障伴隨發生。
熱的移除功能
9.7 反應器停機後,預期運轉狀況發生之中及之後,以及事故狀況之下,將爐心餘熱移除之方法,必須考慮另有一單項故障伴隨發生,並假設喪失了廠外電源。
圍阻功能9.8 為確保在設計基礎事故之下,任何輻射物質外釋至環境之中可以低於預設限值,必須具備圍阻體系統,此一系統應包括:
– 以防漏結構物來包容一次側系統所有的緊要之組件,
– 具備可用以控制壓力及溫度的附屬系統,
– 具備各項隔離裝置,
– 具備各項可用於處理及移除釋放至圍阻體內部的分裂產物、氫氣、氧氣及其他物質之裝置。
9.9 每一條穿越圍阻體的管線,若是屬於反應器冷卻劑壓力邊界的一部份,或是直接連結到圍阻體內部空間,就必須能在設計基礎事故下可自動並有效的密封,該管線必須以串連方式配置最少兩個圍阻體隔離閥,各隔離閥之裝置必須儘可能地靠近圍阻體。
9.10 若是穿越圍阻體的管線,非屬反應器冷卻劑壓力邊界,亦非直接連結到圍阻體內部空間,亦必須裝設最少一只圍阻體隔離閥,該隔離閥應裝設於圍阻體外側,且應儘量靠近圍阻體。
10 儀器及控制系統
10.1 所有可能涉及到分裂過程、反應器爐心完整性、反應器冷卻系統、及圍阻體的主要變數,以及電廠安全運轉所需資訊之提供者,均須裝設儀器以度量之,重要安全參數之度量必須有自動之記錄,可以電腦取樣或列印方式為之。
10.2 考慮電廠不同的運轉狀態,儀器必須能配合電廠參數準確地量取,也必須通過環境品質檢驗。
控制室10.3 電廠必須具備控制室,在控制室中,電廠的所有運轉狀態均可安全的操作,並可在此採取各種措施,使電廠維持在安全的狀態之下,或將電廠自預期的運轉狀況發生及設計基礎事故等不利情況,帶回至安全的狀態之下。
10.4 電廠必須具備各項設施,以便能夠在運轉狀態及過程偏離正常並可能衝擊安全時,提供有效的視覺方式,或在適當之處,亦提供發聲警示;設計控制室時,人因工程必須列入考慮,運轉員必須有適當的資訊以監測自動動作之效果。
10.5 必須特別注意並確定控制室內部或外部可能迫使無法繼續運轉的各種事件,並應提供合理可行的措施以減輕這些事件的衝擊。
10.6 在某些時候,當控制室無法使用時,必須有某一個與控制室在實質上及電氣上隔離的獨立空間內,裝設有足夠的儀器及控制設備,以便能操作反應器,令其置於並維持在停機狀態,並使餘熱可以移除,而且重要的電廠參數可繼續監測。
保護系統10.7 保護系統的設計必須具有足夠的多重性及獨立性,且最少要能確定以下各項:
─ 沒有任何一個單項故障會導致保護功能的喪失;
─ 任何單一組件或控道失效時 ( Removal from Service ),均不致於失去所需之最低多重設計之規定。
10.8 保護系統的設計必須要使其所有各方面的功能,自感測器至信號的輸入以及最後的驅動器,均能在運轉中予以測試,有例外的話,則必須有合理的評估。
10.9 反應器保護系統的設計,必須能減輕運轉員在正常運轉及發生預期運轉狀況時,因操作失誤而破壞保護系統效用之可能性,更有進者,反應器保護系統必須在設計基礎事故時,不能阻礙運轉員在必要時所採取的改正措施。
10.10 使用在保護系統中之電腦系統,必須滿足下列規定:
─ 必須使用最高品質及最佳作業之軟體及硬體,
─ 設計變更的整體發展過程,包括控制、測試及試車,均必須具備系統化的記錄及審查。
─ 為提升對電腦系統可靠度之信心,應由獨立於設計者及供應者之外的專家進行該電腦系統的評估。
─ 當無法證明對於系統所需之完整性具有高度信心時,必須以不同的方法來確定保護功能仍能符合規定。
緊急電源10.11 緊急電源必須確保可以在任何運轉狀態下或在設計基礎事故中,均能提供重要安全系統及組件所需之電力,而且要假設另有一單項故障發生,並伴隨發生喪失廠外電源。
11. 設計基礎的審查
11.1 真實的設計基礎應定期審查,此外,在相關的運轉經驗回饋或有重要的安全資訊時,也應再加以審查,該項審查可使用定值法或機率法,以確定是否有改善之需要,在以安全之觀點評估後,若有回溯或其他改善需求時,即必須採取合理可行的措施。
主題E 附錄:最少應做安全分析的內部事件之型態一覽表
一、肇因事件:
─ 小型、中型、及大型冷卻水流失事故(反應器冷卻劑壓力邊界最大直徑管路破裂)
─ 主蒸氣及主飼水系統破裂
─ 反應器冷卻劑流量被迫減少
─ 主飼水流量被迫增加或減少
─ 主蒸汽流量被迫增加或減少
─ 不當打開調壓器上的閥門 ( PWR )
─ 不當運轉緊急爐心冷卻系統
─ 不當打開蒸汽產生器上的閥門 ( PWR )
─ 不當打開主蒸汽釋壓/安全閥 ( BWR )
─ 不當關閉主蒸汽隔離閥
─ 蒸汽產生器傳熱管破裂 ( PWR )
─ 控制棒不受控制的移動
─ 控制棒不受控制的抽出/噴出
─ 爐心不穩定狀態 ( BWR )
─ 化學及容量控制系統 ( CVCS ) 功能失常 ( PWR )
─ 系統連接至反應器冷卻劑系統 ( RCS ) 之管路破裂,或熱交換器傳熱管洩漏且有部份位於圍阻體外面 ( 系統介面冷卻水流失事故,Interfacing System LOCA )
─ 燃料操作事故
─ 喪失廠外電源
─ 因起重設備故障致重物墜落
二、肇因事件及相應事件 ( 也可能兩者同時發生 ):
─ 水災
─ 爆炸
─ 淹水
三、相應事件 ( Consequential Event ):
─ 產生投射物,包括汽機投射物
─ 來自失效系統的流體 ( 如油料等 ) 之洩漏
─ 振動
─ 管路揮動
─ 射流衝擊 ( Jet Impact )
註:表列各項基本上適用於壓水式反應器及沸水式反應器,其他型式反應器要應用時,宜先自我評估,確實的清單應該依個別電廠而有所不同。
主題F:現有反應器之設計延伸 類別:設計安全基準
1.1 設計延伸 ( Design Extension ) 是個較新的名詞,其意是指採取各項措施,以應付電廠在設計時未能預見的額外事件或事件的組合,這些措施不需應用保守的工程設計,但可以根據實際的或最佳估算之假設、方法、及分析準則予以處理。
設計延伸分析應檢視電廠處在某些特定的超越設計基礎 ( Beyond the design basis ) 事故,包括某些選定的嚴重核子事故之效能,以期萬一發生此等機率極低之事故下,仍能在合理可行的情況下,盡力減輕輻射物質外釋,避免傷害大眾及環境。
2. 超越設計基礎事故之選定及分析
2.1 超越設計基礎事故應予選定,其選取方法可由定值法及機率法之組合,再加上工程判斷為之,並在安全分析中考量以確定其事故序列,依此可確定並採行合理的預防或減輕措拖,施行評估時,應參考附錄清單,以避免遺漏。
2.2 超越設計基礎事故分析時可使用符合實際需要的假設,並可酌予修改在設計基礎分析中所用之保守可接受條件。
3. 超越設計基礎事故狀況處理所需之儀器
3.1依據嚴重核子事故指引/程序書,應有適當的儀器可運用於嚴重核子事故下之環境,以供處理該等事故之用。
3.2為求在嚴重核子事故發生時,能及時評估電廠狀況及緊要的安全功能,來自各儀器之必要資訊應妥當地傳送到並顯示在控制室,以及另外一個不同位置的後備控制室或特定的位置。
4. 在超越設計基礎下,某些特定事故中圍阻體之保護
在此等情況下之保護,已屬深度防禦第四層級,此等保護應先評估現有設備可否達成保護之目的,如考量因應嚴重核子事故狀況之需要,可進一步評估修改或增設新的設備之必要性,而前述兩者均可以最佳估算模式為之。
4.1 在超越設計基礎事故中,圍阻體應予隔離,萬一未能隔離,其後果就必須以其他方法予以減輕。在進行嚴重核子事故分析時,對於停機期間圍阻體處於開放狀態應該予以特別注意,如果在此情況下發生嚴重核子事故,必須要能夠及時將圍阻體關閉並隔離,否則,必須要有同等有效之補救措施。
4.2 在嚴重核子事故後的一段合理時間內,圍阻體的密封性不得有顯著的下降。
4.3 在嚴重核子事故之中,圍阻體的壓力和溫度必須妥善控制。
4.4 在嚴重核子事故之中,可燃性氣體必須妥善控制。
4.5 在嚴重核子事故之中,圍阻體必須妥當保護避免過壓。此點與前面第4.3不同之處在於,此點特別強調必要時須有特別的措施以快速減壓,同時也應有方法使其不至於加壓過快。
4.6 應防止發生高壓爐心熔損情事。
4.7 必須避免圍阻體因熔損燃料而致毀壞,在難以避免的情況下,應在合理可行的範圍內盡力減輕其後果。
主題F附錄:在設計基礎中如未納入則在設計延伸之分析中最少應納入之事故型態組合
─ 預期暫態未急停 (ATWS )
─ 廠區全黑
─ 飼水完全喪失
─ 冷卻水流失事故伴隨喪失全部高壓或全部低壓緊急爐心冷卻系統
─ 在半充水運轉 ( Mid-Loop Operation ) 期間或在填換燃料期間,發生水位未受控制的下降情況 ( PWR )
─ 完全喪失組件冷卻系統
─ 在餘熱去除模式下喪失爐心冷卻
─ 喪失燃料池冷卻
─ 喪失終極熱沉功能
─ 未受控制的硼稀釋 ( PWR )
─ 多支蒸氣產生器傳熱管破裂 ( PWR )
─ 在假想的肇因事件後,長時間喪失所必需的安全系統
主題G:結構物、系統、及組件的安全分類 類別:設計安全基準
1. 目標
1.1 所有重要的安全結構物、系統、及組件 ( SCC ),包括儀器系統的軟體,均應基於其對安全的重要性予以確認和分類。
2. 分類程序
2.1 SCC 的分類應先以定值法為之,有需要時再輔以機率法及工程判斷。
2.2 下列各個項目安全等級之分類應予確定:
─ 設計、製造、建造、及檢驗之適用法規及標準。
─ 緊急電源及環境條件合格證明之要求。
─ 在定值法的安全分析之中,所考慮之各系統是應該處於可用或不可用的狀態以發揮其安全功能。
─ 適用的品質規定。
3. 可靠度的確保
3.1 重要安全的SCC,應設計、製造、建造、並維持其可靠度能與其安全分類相對稱。
3.2 某一安全等級的SCC故障,不應造成另一更高等級SCC的故障,輔助重要安全設備必須依此原則予以適當的分類。
4. 材料的選擇及設備的合格證明
4.1 重要安全的SCC之設計及材料的選用,必須考慮電廠整個運轉壽命期間所有運轉狀況,以及設計基礎事故對其特質及性能之影響。
4.2 應採用一套檢定程序書,以確定重要安全的SCC,在整個運轉壽命期間可執行其功能;並須考慮電廠壽命期間的各種環境條件,包括:振動、溫度、壓力、噴流衝擊、電磁干擾、輻射、濕度、以及上述各種環境狀況之組合;此外,並視需要考慮各種預期運轉狀況及事故之環境條件。
主題H:運轉的限制及條件 核能安全類別:運轉安全基準
1. 目標
1.1 持照者應建立一套運轉的限制及條件 ( Operational Limits and Conditions,OLC ),以確定電廠依照安全分析報告 ( SAR ) 所記載的設計假設和原意運轉。
1.2 OLC應界定某些條件必須符合,以預防可能導致事故發生之情況,或當事故發生時,可以減輕其後果。
2. OLC的建立及審查
2.1 每項OLC的建立均應依據電廠的設計、安全分析、及試車測試結果確定其正確性。
2.2 OLC應保持更新以反映電廠的經驗、科技的新發展、及每一次設計和 安全分析的修改。
3. OLC的運用
3.1 OLC應讓控制室運轉人員可以很容易地取得。
3.2 控制室運轉員應對OLC 及其技術基礎具有高度的瞭解,相關的運轉決策者必須瞭解OLC對電廠運轉安全的重要性。
4. OLC的應用範圍
4.1 OLC應涵蓋所有電廠的運轉狀態,包括:功率運轉、停機、更換燃料、任何界於這些狀態的中間狀況,以及由於維護及測試產生的各種臨時狀況。
5. 安全限值、安全系統設定值及運轉限值
5.1 在運轉限值與已建立之安全系統設定值之間,必須具有適當的餘裕,以免經常不必要的啟動安全系統。
5.2 安全限值應以保守的方法建立,並須考慮安全分析的不準度。
6. 不可用之限制
6.1 正常運轉的限制及條件必須包括運轉參數、最低可用設備之數量、運轉人員在電廠偏離了OLC時所應採行之措施、以及完成這些動作所允許的時間等之規定。
6.2 當電廠無法符合各項可運轉性規定時,將電廠帶到一個較安全狀態所應採取之行動應予明訂,並說明採取行動所許可之時間限制。
6.3 各種不同的正常運轉模式之可運轉性規定,均應將各項重要安全系統或組件處於運轉狀態或備用狀態之數目予以明訂。
7. 非預期狀況 ( Unconditional ) 規定
7.1 如果運轉人員無法確定電廠是否在運轉限值之內運轉,或電廠已處於非預期狀況之下,必須毫不遲疑地採取行動,將電廠帶到一個安全穩定的狀態。
7.2 電廠在非計畫性停機後,除非已證明可以安全運轉,否則不得恢復運轉。
8. 工作人員人數
8.1 電廠值班工作人員最少應有的人數,應在OLC說明。
9. 定期試驗
9.1 持照者應確保已建立並維持一套適當的定期試驗計畫,以資確定電廠符合OLC,定期試驗結果應予評估並保存。( 註:定期試驗計畫的目的在維持及改善設備的可用率,確定符合各項運轉限制及條件,並在任何異常狀況可能惡化之前予以檢測出來並改善。與定期試驗計畫相關的異常狀況,除應包括SCC及軟體性能的缺陷、作業規程的錯誤、以及人為錯誤等,並應包括在可接受限值之內的趨勢之分析,以期藉此分析指出電廠是否正在偏離設計原意。)
10. 不符合OLC事項
10.1 當有不符合事項發生時,必須立即採行補救措施,使之符合OLC各項規定。
10.2 不符合事項報告應予調查,且必須施行改正行動,以預防未來再次發生類此事項。
主題I:老化管理 類別:運轉安全基準
1. 目標
1.1 運轉的組織內應建立一套老化管理方案 ( AMP ),以找出重要的安全結構物、系統、及組件 ( SCC ) 之所有老化相關的各項機制 ( Mechanisms ),判定它們的可能後果,並確定應採行的措施,以維持這些SCC的可運轉能力及可靠性。
2. 技術上的規定、方法、及作業規程
2.1 持照者應評估重要的安全結構物、系統、及組件有關老化及磨耗相關的機制,以及因隨著使用時間而產生的潛在之退化現象,以確保電廠在整個壽命期間,處於設計基礎狀況下,均能發揮其安全效能。
2.2 在運轉期間,持照者應進行監測、測試、取樣、及檢驗等作業,以評估老化的衝擊情形,並找出各種未預見的行為或退化情形等。
2.3 可利用定期安全審查(PSR)來確定老化及磨耗的各項機制均已列入考慮,並藉此發現未預見之問題。
2.4 持照者的老化管理方案 ( AMP ),應考慮到環境狀況、運作程序狀況、工作循環 ( Duty Cycles )、維修週期、使用壽命、測試週期及更換策略 ( Replacement Strategy )。
2.5 AMP應予審查及更新,至少應與PSR一齊執行,應將可利用的新資訊納入,將已產生的新議題設法解決,將已可獲得的更精巧的工具及方法用上,並評估整個電廠壽命期間維護作業的成效。
3. 主要的結構物及組件
3.1 反應器壓力槽及其焊道之老化管理應考慮的相關因素有脆化、熱老化效應、及疲勞等,應在整個電廠壽命期間與預測的性能做比較。
3.2 應對主結構物及組件進行監測,及時發現老化效應的徵兆,進行相關之預防及補救措施。
主題J:事件和運轉經驗回饋之調查研究 方案 類別:運轉安全基準
1. 方案和責任
1.1 持照者應以系統化的方法蒐集、過濾、分析電廠運轉經驗及事件,並建立檔案妥善保管;其他電廠的運轉經驗及事件報告亦應納入本方案之中。
1.2 電廠的運轉經驗應予評估,以期能發現任何潛在的安全相關之故障或可能的先行指標,以及安全性能退化或降低安全餘裕的可能趨勢。
1.3 持照者應指定專人負責這些檔案,並傳佈重要的安全發現,必要時,應提出改善方案,若有重要的發現及趨勢,必須提報至持照者的最高管理階層。
1.4 負責運轉經驗評估及事件調查的人員,應接受適當的訓練,擁有足夠的資源,以及管理體系的支持。
1.5 持照者應確保所作之調查及評估可獲得結果,可得出結論,已有良好的作業典範,並已及時落實執行了各項改善方案,以預防再度發生並防堵對安全有任何不利的發展。
2. 資訊的蒐集與保存
2.1 來自正常及異常運轉相關經驗之資訊及其他重要的安全相關資訊,均應有妥善的編碼、記錄並保存,以便能容易存取,供指定之專人作有系統的檢索、過濾及評估之用。
3. 重要的安全資訊之提報及傳佈
3.1 持照者應依已建立的程序及準則,提出重要的安全事件報告。
3.2 電廠人員必須提報異常事件報告,並鼓勵舉發電廠內部臨近發生的安全相關之失誤。
3.3 運轉經驗所得的資訊應傳佈給相關人員,並應與國內及國際機構分享。
3.4 電廠有關的運轉經驗及他廠相關的事件報告,應有適當的處理程序,以確保能夠適時納入電廠從事安全相關工作人員的訓練教材。
4. 事件的評估與調查
4.1 重要的安全事件必須立即先予初步評估,以確定是否需要立刻採取緊急措施。
4.2 持照者應有特定的作業規程,明定適當的調查方法,包括人因的分析方法。
4.3 事件的調查應配合事件的重要程度訂定時程,調查內容應包括:
─ 建立完整的事件序列。
─ 確定偏差程度。
─ 找出直接原因及分析肇因。
─ 評估安全的重要度,及可能造成的後果。
─ 確定改正措施。
4.4 運轉組織應與設計及建造的組織,包括製造者、研究機構、及設計者,維持適當的聯繫,以提供運轉經驗回饋,如果有設備故障或異常事件發生,也可徵詢其意見。
4.5 當分析有了結果,應採取及時的改正行動,譬如:技術上的修改、管理措施的施行、或人員訓練的強化,以恢復安全狀態,避免再次發生類似事件,進而增進核能安全。
5. 運轉經驗回饋程序的審查及持續的改進
5.1 運轉經驗回饋程序應定期進行以績效準則為基礎的審查,不論是內部自我評量或由專家審查小組為之,均應予以確實記錄並保存。
議題K:維修、運轉中檢查及功能測試 類別:運轉安全基準
1. 範圍及目標
1.1 持照者應制定並執行重要的安全結構物、系統、及組件 ( SSCs ) 之維護、測試、定期試驗及檢驗計畫,以確保其在電廠壽命期間的可用性、可靠性、及功能均能與設計相符,該計畫應將運轉的限制和條件列入考量,並應反映運轉經驗隨時予以再評估。
1.2 上項計畫應包括有重要的安全 SSCs之定期檢驗和測試,以確定其是否可以繼續安全運轉,或需進行補強措施。
2. 計畫的建立和審查
2.1 各項SSC 預防保養、定期試驗、測試、及檢驗的範圍和頻率的決定,應以下列各項為基礎,並以系統化的方法執行:
─ 執行標的對安全的重要性。
─ 執行標的先天性之可靠度。
─ 執行標的劣化的可能性 ( 依據運轉經驗、研究、及廠家的建議 )。
─ 運轉及其他相關的經驗,以及監測的結果。
2.2 核能電廠應執行運轉中檢查,其週期長度之決定,應以最可能劣化的組件為指標,在其失效之前能發掘出來為原則。
2.3 各項SSC的維護、定期試驗、測試、及檢驗資料應予紀錄、審查、保存、及分析,以期找出初始的或經常發生的故障,以啟動改正措施,並依此審查預防保養計畫。
2.4 維護計畫為反映運轉經驗應定期予以審查,其頻率應高於十年一次的定期安全審查,如果該計畫有任何修改,應先分析評估其對系統可用率的影響、對電廠安全的衝擊,以及是否符合相關規定。
2.5 維護作業對電廠安全的可能衝擊亦應納入評估。
3. 施行
3.1 重要安全的SSC之設計,應可在電廠的壽命期間,就其完整性及功能進行定期之測試、修理、及檢查或定期試驗,而不致造成工作人員的不當風險,或顯著地降低系統的可用率;如果無法達到此一要求,則應訂定可行的替代方案,或採用間接的方法,並應有適當的安全防範措施,以彌補有潛在故障而未能發現之問題。
3.2 維護、監測、測試、及檢查工作所需之作業規程,應先予制定、審查、及驗證。
3.3 應建立一套完整的工作計畫與管制系統,以確保維護、定期試驗、測試、及檢查工作均依照作業規程正確執行。
3.4 在設備從系統運作中移除或回裝,均必須對構型配置 ( Configuration ) 的改變有充分的考量並經核准,作業之後應將正確的構型配置記入檔案之中,而且若可行的話,應再重做功能測試。
3.5 在作業規程中,應訂明各項維修、定期試驗、測試、及檢查工作發現有偏離可接受標準時,應採取之行動。
3.6 SSCs的修護工作應有規劃、有授權,並應儘快施作;如發現結構物、系統、或組件 有缺陷時,應排定優先次序,重要的安全相關項目應予優先處理。
3.7 發生事故之後,若任何組件或系統的安全功能及功能的完整性因而有所改變時,持照者應予確認並應重新驗證其安全功能,並進行必要的補救措施,包括檢查、測試、維護、修理等。
3.8 反應器停機過程中,若反應器冷卻劑邊界之密封性可能已破壞時,再恢復運轉前,應做系統洩漏測試。
3.9 在每次重大檢查時或接近結束時,反應器冷卻劑邊界均應做一次系統壓力測試。
3.10 所有用於檢驗或測試之設備,再度使用之前均應連同其附屬配件一併進行檢定和校正,所有設備均應在校正記錄上有確實的鑑別,而校正的有效性應依持照者管理系統的規定定期驗證。
3.11 任何運轉中檢查過程均應有合格證明,包括檢查區域、非破壞性測試的方法、缺陷的發現、及檢查的有效性,詳細的規定可參考下列兩份文件:
─ European Regulators Common Position on NDT Qualification,ENIQ Methodology;及
─ IAEA-EBP-VVER-11.
3.12 如果在某一取樣中發現有超過可接受標準的瑕疵,則該特定區域之相類似組件應進行額外的檢查,以供調查分析之用,進一步檢查的範圍視該缺陷的性質及其影響電廠核能安全評估之程度,以及潛在的後果而定。
3.13 證明圍阻體完整的監測方法應包括:(a) 洩漏率測試;(b) 穿越器之密封測試及關閉裝置,諸如氣鎖門及閥門等屬於圍阻體邊界設備之測試,必要時,亦應測試其可操作性;(c) 結構物完整性檢查。
議題L/M:緊急運轉操作規程及嚴重核子事故管理指引 類別:運轉安全基準
1. 目標
1.1 應備置一套完整的緊急操作規程 ( EOPs ),以供設計基礎事故 ( DBAs ) 及超越設計基礎事故 ( BDBAs ) 之用;同時亦應備妥各項指引,以備嚴重核子事故管理 ( SAMG ) 之用。
2. 範圍
2.1 EOPs應涵蓋各種設計基礎事故,並應有操作指引,以指示操作人員如何將電廠恢復至安全狀態。
2.2 EOPs應涵蓋各種超越設計基礎事故,至爐心開始受損為止,因此不包括爐心受損之事故,其目的在重新建立或彌補喪失的安全功能,並制定預防爐心受損之方針。
2.3 應備置 SAMGs,以便在 EOPs所提供的各項措施未能成功地預防爐心受損時,可用以減輕嚴重核子事故的後果。
2.4 設計基礎事故所使用的 EOPs,必須是以徵候為基礎 ( Symptom-Based ) 或以徵候為基礎與以事件為基礎 ( Event Based ) 兩種併用的程序書,至於超越設計基礎事故之EOP則必須是以徵候為基礎的程序書。
事件為基礎的EOP可讓運轉員辨識特定事故及下列各項事務:
─ 重要的電廠參數;
─ 在事故後可能已自動啟動之各項動作;及
─ 指示運轉員各項後續動作,以將反應器恢復至正常狀況,或帶到一個安全穩定的停機狀況。
徵候為基礎的EOP可讓運轉員直接反應事故狀況,但並無協助運轉員正確辨識發生何種事故之功能,程序中引導運轉員直接對徵候及電廠的狀態 ( 譬如:安全參數及緊急功能之數值 ) 做出反應。
3. 作業規程及指引的格式及內容
3.1 EOPs應以系統化的方式編訂,且應有特別為此目的而作的個廠實務 ( Realistic ) 安全分析來作佐證, EOPs必須與其他的運轉操作規程,譬如:警示反應程序 ( Alarm Response Procedures ) 及嚴重核子事故管理指引之間相互一致。
3.2 EOPs必須可使運轉員能迅速識別其所適用的事故狀況, EOPs的進入及退出條件應有清楚的規定,以利於運轉員能快速地在各EOPs之間瀏覽,以選出適當的EOP,並可從EOP繼續進入SAMGs。
3.3 SAMGs應以系統化的方式編訂,內容依各廠不同而異,SAMGs應提出應付嚴重核子事故分析所指出的各種事故狀態之策略。
4. 驗證和確認
4.1 EOPs及SAMGs的驗證和確認 ( Verification and Validation ) 應儘可能以實際操作方式為之,以確保其在管理上和技術上與電廠一致,以及與未來施行時之環境相容。
4.2 個別電廠的驗證和確認之作法應列入紀錄。操作規程和指引中所納入人因工程考量之效果,在驗證和確認時應予評估。EOPs之確認,如屬可行,仍應以具代表性模擬器之模擬演練為主。
5. EOPs及SAMGs的審查和更新
5.1 EOPs及SAMGs應隨時更新,以確保其適用性。
6. 訓練
6.1 值班人員和現場技術支援人員,應定期接受使用模擬器之EOPs訓練及演練;如情況許可,SAMGs亦應比照辦理。
6.2 由EOPs轉移至SAMGs,以處理嚴重核子事故之操作規程亦應演練。
6.3 SAMGs所訂之干預動作及恢復所需安全功能之操作,均應經常演練。
主題N:安全分析報告書的內容及更新 類別:安全確認安全基準
1. 目標
1.1 持照者應提出一套完整且持續更新的安全分析報告 ( Safety Analysis Report,SAR ),以作為支持繼續安全運轉的基礎。
1.2 持照者應以SAR作為評估電廠設計或運轉作業變更是否安全之基礎。
2. SAR應有之內容
2.1 SAR應描述廠址概況,電廠整體布置,電廠正常運轉概況,以及說明如何實現安全。
2.2 SAR應詳細說明所有安全系統、安全相關結構物、系統及組件,在所有運轉狀態,包括停機及事故狀況下之安全功能、設計基礎、及一般性功能等規定。
2.3 SAR應指出適用的法規及標準。
2.4 SAR應描述電廠相關的組織及安全管理事項。
2.5 SAR應有廠址相關的安全評估。
2.6 SAR應描述一般性的設計概念,以及符合基本安全目標所採用的方法。
2.7 SAR應描述電廠為因應各項假設的肇因事件之安全評估,以及評判是否符合各項安全準則及輻射外釋限制所作的各項安全分析。
2.8 SAR應描述緊急操作規程及事故管理指引、檢查和測試規定、人員資格及訓練、運轉經驗回饋計畫、及老化管理計畫。
2.9 SAR應有運轉限制及條件之技術基礎說明。
2.10 SAR應描述輻射防護之政策、策略、方法、及各項規定。
2.11 SAR應描述在廠緊急應變計畫,以及聯絡和協調廠外因應緊急狀況相關組織之準備情形。
2.12 SAR應描述在廠輻射廢棄物處理之規定。
2.13 SAR應描述電廠在運轉期間,如何預先考慮除役及壽命終了之相關問題。
3. SAR的審查和更新
3.1 持照者應更新SAR,以反映電廠的修改、新的法規規定、及相關標準的更新,並應在資訊取得後儘速處理。
