CSA N290.15-10 (2016)：核电站安全停堆系统设计与验证要求

在核电站安全设计中，安全停堆系统是最后一道防线。CSA N290.15-10 (2016) 由加拿大标准协会 (CSA Group) 制定，经加拿大核安全委员会 (CNSC) 认可为技术规范，旨在规定核电站安全停堆功能的设计、分析、试验及维护要求。该标准最新版本于 2016 年发布，取代 2005 年版，是加拿大核工业实施纵深防御原则的关键技术文件。

1. 标准概况与适用范围

CSA N290.15-10 的全称为 Requirements for the safe shutdown of nuclear power plants，直接聚焦于“安全停堆”。该标准适用于采用 CANDU 型反应堆的核电站，也适用于其他水冷堆型在加拿大许可框架下的改造项目。其核心目标是确保核电站能够从正常运行状态或事故工况下安全过渡到并维持在安全的停堆状态，同时保证余热充分导出。

标准明确覆盖以下两类场景：

正常停堆：计划内的停堆操作，用于换料、维护等。
事故停堆：由保护系统触发或在丧失正常热阱时启动的非计划停堆。

需要特别注意的是，该标准不涉及停堆后的长期维护或退役阶段的停堆管理，也不直接规范停堆系统的具体机械设计细节（如阀门、泵的选型），而是着眼功能性能与系统级可靠性。

技术要点： CSA N290.15-10 (2016) 强调“安全停堆状态”必须同时满足三个条件——反应性足够负（次临界）、堆芯余热持续排出、反应堆冷却剂压力边界完整性维持。任何设计均需对这三个功能分别论证可靠性。

2. 主要技术内容与要求

2.1 安全停堆功能体系

标准将安全停堆功能分解为三个层级：

反应性控制：通过控制棒、液体毒物注入等装置使堆芯进入次临界状态，要求停堆裕度至少满足安全分析假设条件下的限值。
余热排除：依靠独立于正常热阱的余热排出系统（如停堆冷却系统）将衰变热及显热转移至最终热阱（如大气、水体）。
反应堆冷却剂系统完整性：在停堆过程中和停堆后维持压力边界不超压，防止冷却剂丧失事故。

每个功能必须由至少两套多样化的系统/手段提供，以应对共因故障的风险。

2.2 系统设计准则

CSA N290.15-10 引用了经典的核安全设计准则，并加以具体化：

单一故障准则：停堆系统在其执行功能的任意状态下，应能承受单一随机故障而不丧失完成安全停堆的能力。
多样性：停堆触发信号和驱动手段应基于不同原理（如物理效应、电气逻辑）实现，避免共因模式失效。
独立性：各冗余通道之间在电气、机械和物理上隔离，防止级联故障。
故障安全：系统应在丧失动力源或信号时自动导向安全停堆状态。
可测试性：关键设备应在电站正常运行期间具备在线检测或定期试验的接口，不可用度不得长期累积。

安全关键要求： 标准明确规定，安全停堆功能的平均不可用度（因试验或维修占用的时间）不得超过 1×10⁻³ 次/需求。触发信号至棒/毒物注入的响应时间必须在安全分析确定的限值内，任何超出均需视为不可接受的事件进行报告。

2.3 主要性能参数速览

下表汇总了标准中对安全停堆系统的主要量化要求（典型数值，具体需依据安全分析）：

参数类别	指标	参考要求
反应性停堆裕度	停堆后堆芯有效增值因数 k_eff	≤ 0.98（所有棒全插并考虑卡棒裕度）
单套系统失效概率	每套停堆系统年度不可用度	≤ 1×10⁻³ /要求（单一系统）
响应时间	保护信号发出到控制棒开始插入	≤ 1秒（典型值，堆型相关）
余热排除容量	停堆后 72 小时内的热量导出能力
冗余度	每个执行功能（反应性、余热、完整性）	≥ 2个独立通道

实施效益： 严格遵循 CSA N290.15-10 可使核电站的安全停堆系统设计有章可循，大大降低设计返工概率，同时其在役检查要求也为持续安全运行提供了可靠保障。加拿大运行经验表明，满足该标准设计的停堆系统能够有效应对设计基准事故。

3. 实施与应用要点

3.1 设计阶段注意事项

设计方应在初步安全分析报告 (PSAR) 中明确安全停堆功能的设计基准事件清单，并依据标准逐项进行功能分配。尤其要关注以下几点：

对于由保护系统触发的自动停堆，其传感元件、逻辑处理、执行机构必须满足单一故障准则和多样性要求。
余热排出系统的电源、冷却水源必须具备备用（如独立的柴油发电机和冷却塔池）。
在反应性控制设计中需要考虑“卡棒”概率，多重系统间采用不同的停堆原理（如吸收棒与毒物注入）。
必须为每一停堆系统开展概率安全分析 (PSA)，验证其不可用度满足目标值。

常见误区： 停堆系统设计中不能认为“只要有两套系统就满足多样性”——如果两套系统都依赖同一电源或同一冷却水源，在共因故障下等同于单点失效。标准要求从能量来源、执行机理和信号来源三个层面分别论证独立性。

3.2 在役维护与定期试验

标准要求运营单位制定安全停堆系统维护大纲，包含：

各停堆通道的定期功能试验（周期一般为1～3个月）。
在线维修窗口管理，确保在任何可维护状态下仍保持一套系统可用。
对停堆响应时间的再验证（与安全分析假设比对）。
变更管理——任何涉及停堆系统的改造均需重新评估其对单一故障准则和不可用度的影响。

此外，CSA N290.15-10 与 CSA N290.6 (核电站仪表与控制) 及 CSA N290.0 (核安全通用要求) 紧密配合使用。安全停堆系统的逻辑设计应遵循 N290.6 中对保护系统的要求；其结构抗震分类则需遵循 N290.2。

4. 与其它标准的关系

相关标准	关系说明
CSA N290.0-16（核安全通用要求）	提供安全停堆作为基本安全功能的技术依据；CSA N290.15-10 是其细化和延伸。
CSA N290.6-16（核电站仪表与控制）	停堆触发信号及逻辑处理应符合 N290.6 对保护系统和安全执行机构的要求。
CSA N290.2-16（与核安全相关的结构）	停堆系统的抗震和抗水淹等环境要求依据 N290.2。
IAEA SSR-2/1 (Rev.1)（核电厂设计安全要求）	二者均要求至少两套多样化的停堆系统；CSA 标准将国际要求转化为加拿大适用导则。
IEC 61513（核电厂仪表与控制安全系统）	提供通用的 I&C 安全生命周期要求；CSA N290.15 引用该标准的可靠度分配方法。

协调应用建议： 当设计方同时需满足国际核安全软件标准（如 IEC 60880）时，应提前建立兼容矩阵，确保 CSA N290.15-10 对多样性和独立性的硬性要求能与数字 I&C 的软件分级协同实现。

综合来看，CSA N290.15-10 (2016) 是加拿大核工业安全停堆设计的核心标准，它既继承了国际核安全界的成熟理念（多样冗余、纵深防御），又结合本国 CANDU 反应堆的技术特点给出了可操作、可验证的具体要求。无论是新建双单元核电站还是现有设施的寿期优化，该标准都是不可回避的合规基准。

常见问题 FAQ

问： CSA N290.15-10 是否适用于小型模块化反应堆 (SMR)？
答：标准文本未明确排除 SMR，但传统上它针对的是 CANDU 型大型电站。对于采用非水冷却剂或自然循环余热排出的小型模块堆，设计方应逐条评估标准的适用性，并向加拿大核安全委员会 (CNSC) 申请替代方案。CNSC 近年来正推动建立更为包容的 SMR 许可框架。

问：该标准与 2005 版相比有哪些主要技术更新？
答： 2016 版引入了更严格的共因故障分析要求，并要求对数字化保护系统进行更详细的多样性论证；同时增加了对“停堆后长时间冷却（72小时至168小时）”阶段的余热排出能力要求，明确了热阱的极端环境边界（如极端干旱、低温）。

问：停堆系统设计中如何处理“卡棒”事故？
答：标准要求至少两套独立的停堆手段，其中一套基于重力下落（控制棒），另一套基于液体毒物注入（如硼酸溶液）。在单一系统最大可能的“卡棒”数量下，另一系统必须能单独使反应堆达到并维持次临界状态，且停堆裕度不低于初始限值。

问：现有核电站改造时必须完全符合本标准的全部要求吗？
答：对于已在运行的电厂，主要通过“合理可行尽低”原则 (ALARA) 实施改造。标准中新增的要求（如多样性示范）可通过概率安全分析证明补偿措施有效，但不可用度目标和响应时间底线通常必须满足。具体偏差需经 CNSC 个案审批。

📥 标准文件下载

🔒

请等待 10 秒，广告加载完成后将自动显示下载链接