1 引言.............................................................. 1

1.1 目的 ........................................................ 1

1.2 范围 ........................................................ 1

2 基本概念与要求.................................................... 1

2.1 应急状态等级 ................................................ 1

2.2 初始条件（IC）和应急行动水平（EAL） 2

2.3 IC和EAL的识别类............................................2

2.4 IC和EAL的适用条件..........................................3

2.5 应急行动水平制定的核动力厂特定信息 .......................... 3

2.6 应急状态的分级 ..............................................4

3 初始条件与应急行动水平............................................6

3.1 概述 ........................................................6

3.2 A类初始条件与应急行动水平...................................6

3.3 F类初始条件与应急行动水平.................................. 12

3.4 H类初始条件与应急行动水平..................................23

3.5 S类初始条件与应急行动水平..................................29

3.6 C类初始条件与应急行动水平..................................38

3.7 E类初始条件与应急行动水平..................................45

附录1 缩略语对照表 ................................................48

1 引言

1.1 目的

应急行动水平（Emergency Action Levels，EAL）是核动力厂启动应急与评判应急状态等级的重要依据。营运单位应根据其核动力厂的设计特征和厂址特征，确定用于应急状态分级的初始条件（Initiating Condition, IC）及其相应的应急行动水平。

本文件为压水堆核动力厂营运单位应急行动水平的制定及国务院核安全监督管理部门对应急行动水平的审查和监督提供指导。

压水堆核动力厂营运单位应根据本文件制定符合其特点的应急行动水平。如果核动力厂的特征与本文件中的初始条件和应急行动水平的示例不兼容，则应确定可替代的IC或EAL。

1.2 范围

本文件适用于压水堆核动力厂营运单位应急行动水平的制定，其他核设施应急行动水平的制定可参照执行。

本文件描述了压水堆核动力厂营运单位应急行动水平制定的通用方法，主要包括：

（1）制定应急行动水平的基本要求；

（2）初始条件矩阵；

（3）应急行动水平示例。

2 基本概念与要求

2.1 应急状态等级

应急状态分级是对核动力厂偏离正常运行工况的事件或事故，根据其潜在或实际的影响或后果，将应急状态分为不同的等级。核动力厂的应急状态等级分为应急待命（U）、厂房应急（A）、场区应急（S）和场外应急（G）。

（1）应急待命出现可能危及核动力厂安全的某些特定工况或事件，表明

核动力厂安全水平处于不确定状态或可能有明显降低。

（2）厂房应急核动力厂的安全水平有实际的或潜在的大的降低，但事件的后果仅限于厂房或场区的局部区域，不会对场外产生威胁。

（3）场区应急核动力厂的工程安全设施可能严重失效，安全水平发生重大降低，事故后果扩大到整个场区，场区边界外放射性照射水平不会超过¹紧急防护行动干预水平，早期的信息和评价表明场外尚不必采取防护措施。

（4）场外应急发生或可能发生放射性物质的大量释放，事故后果超越场区边界，导致场外的放射性照射水平超过紧急防护行动干预水平，以至于有必要采取场外防护措施。

2.2 初始条件（IC）和应急行动水平（EAL）

2.2.1 初始条件是预先确定的，能触发核动力厂进入某种应急状态的工况或事件。初始条件所描述的工况或事件，其严重性或后果要与其应急状态等级相一致。

2.2.2 初始条件可以表示为连续的、可测量的变量（如一回路水位）或事件（如地震），或者一道或多道裂变产物屏障的状态（如反应堆冷却剂系统（RCS）屏障丧失）。

2.2.3 应急行动水平是为某一初始条件预先确定的、核动力厂特定的、可观测的阈值，当满足或超过该阈值时，核动力厂进入相应的应急状态等级。

2.2.4 应急行动水平可以是仪表读数、设备状态指示、可测量参数（场内或场外）、可观察的事件、分析结果、特定操作规程的入口或其他导致进入特定应急状态等级的情况。

2.2.5 初始条件和应急行动水平应当是明确且易于操作的。

2.3 IC和EAL的识别类

2.3.1 将初始条件及应急行动水平按照一定的方式分为若干识别类，识别类应能够覆盖所有应急行动水平。

2.3.2 营运单位可根据机组特性，从便于操作的角度出发确定所适用的识别

类。识别类一般可分为如下几种²：

辐射水平/流出物放射性异常类（A类）

裂变产物屏障类（F类）

影响核动力厂安全的危害和其他事件类（H类）

热态下的系统故障类（S类）

冷态下的系统故障类（C类）

独立乏燃料贮存设施类（E类）³

2.4 IC和EAL的适用条件

2.4.1 核动力厂营运单位制定应急行动水平时，IC和EAL的适用条件随核动力厂的运行模式而变化。比如，一些基于征兆的IC和EAL只能在功率运行、启动或热备用/热停堆模式下进行评估，此时所有裂变产物屏障都在正常状态下，且核动力厂仪表和安全系统处于完全运行状态。而在冷停堆和换料模式下，计划维修会带来系统的开放，某些安全系统部件可能不可用，因此，要使用不同的基于征兆的IC和EAL以反映这些特征。

2.4.2 营运单位需要将机组技术规格书中的标准运行模式纳入应急状态分级中。IC和EAL的适用条件中所使用的运行模式应与该核动力厂技术规格书中规定的运行模式保持一致。

2.4.3 不同压水堆堆型的运行模式会有不同，但通常可分为：反应堆功率运行、启动、热备用、热停堆、冷停堆、换料、卸料。其中，反应堆功率运行、启动、热备用、热停堆运行模式归为热态，冷停堆、换料、卸料运行模式归为冷态。 IC和EAL的适用条件应能全面覆盖所适用的运行模式。

2.4.4 营运单位应给出核动力厂每个运行模式下所适用的识别类。每一个给定的识别类的IC和EAL适用于指定的运行模式。

2.5 应急行动水平制定的核动力厂特定信息

2.5.1 核动力厂营运单位应根据核动力厂的厂址条件、设计、运行等特征，确定应急状态分级的初始条件及其相应的应急行动水平。

2 在考虑了所有运行模式的适用性要求的情况下，也可将识别类别S和C中的IC和EAL合并。

3 E类仅适用于场内有独立乏燃料贮存设施的核动力厂。

2.5.2 影响应急行动水平制定的核动力厂设计特征主要有：安全功能设计；监测系统仪表、设备的配置特征；技术规格书；特定操作规程；严重事故分析（如概率安全分析）中得到的相关信息等。

2.5.3 应考虑在核动力厂的特定操作规程中设置适当的可视的提示（例如，步骤、注释、警告等），提醒用户参考应急状态分级程序。例如，可以在RCS泄漏异常操作规程的开头设置一个步骤、注释或警告，提醒用户应进行应急状态分级。

2.5.4 虽然不推荐将IC和EAL精准严格地结合到核动力厂的特定操作规程中，但应保持操作规程中的操作诊断和应急状态等级评估之间的良好的一致性。比如，裂变产物屏障阈值中使用的值可从特定操作规程中提取。

2.5.5 应急行动水平中所用到的仪表的设定值，应是对所描述的事件或工况最具操作意义的值，并确保设定值在仪器的有效测量范围内。

2.6 应急状态的分级

2.6.1 为了进行应急状态分级，要将工况或事件（如核动力厂相关的状态指示和事件报告等）与EAL进行比较，确定是否达到或超过EAL。EAL的评估必须与相关运行模式的适用性一致。如果达到或超过EAL，则认为IC满足，并根据程序宣布进入相应的应急状态等级。

2.6.2 对于有规定时长（如15分钟、30分钟等）的IC和EAL，应在判定该情况已超过或可能超过规定时间后立即宣布，而不应等到完全达到该规定时长。如果监测到正在进行放射性释放，而释放开始时间未知，则应假定已超过IC/EAL 中规定的释放持续时间。

2.6.3 有些计划内的工作活动，如系统或部件的测试、操作、维修、维护或修改等，可能导致预期事件或状态达到或超过 EAL，如果这些活动是按计划进行的，且仍在运行许可证规定的限制范围内，则不需要进入应急状态。

2.6.4 分级过程中运行模式变化的考虑

IC 所适用的运行模式是在事件或条件发生时的模式，以及在机组或操作员采取任何响应之前的模式。如果某个工况或事件发生，并在宣布应急之前导致了模式的变化，则应急状态分级仍应基于工况或事件触发时（而不是宣布时）的运行模式。一旦达到不同的运行模式，如果出现与原始工况或事件无关的、需要应

急状态分级的新的工况或事件，则应根据新工况或事件发生时的运行模式进行评估。

对于在冷停堆或换料过程中发生的事件，即使在随后的核动力厂响应过程中进入热停堆（或反应堆功率运行、启动、热备用等更高的模式），仍应通过适用于冷停堆或换料模式的EAL进行升级。特别是裂变产物屏障类的EAL，仅适用于在热停堆模式或更高模式下触发的那些事件。

2.6.5 应急状态等级的升级

对于进展迅速或复杂的事件，在宣布某一应急状态等级后，如因事件造成的风险进一步扩大，则需要对应急状态等级进行升级：

（1）对于迅速发展的事件，若经应急指挥判断，可能在较短的时间内就会发生应急状态等级的变化，若随后出现的应急行动水平对应更高的应急状态等级，则应按照已经达到该应急行动水平提高应急状态等级；

（2）已知或预期的潜在辐射影响明显高于当前应急行动水平划分的最高应急状态，可考虑升级；

（3）超过核动力厂设计、安全和运行范围的程度明显高于当前应急行动水平对应的最高应急状态，可考虑升级。

2.6.6 应急状态等级的终止和降级

当达到最高IC和EAL的工况或事件不再存在，并且达到核动力厂特定的应急终止条件，应急状态直接予以终止。

对于因仪表显示值不准确或有误，或因初始征兆判断不准确或有误，而导致应急状态等级评判过高的情况，当发现并核实后，可作降级处理。

2.6.7 多重事件和工况的分级

应识别所有达到或超过的 EAL，应急状态等级为所触发的最高应急状态等级。例如：当厂房应急和场区应急的应急行动水平都达到时，不管是同一机组还是不同机组都应该宣布场区应急。

一般情况下，满足相同应急状态等级的多个 EAL，应急状态等级不变，例如：如果达到两个厂房应急的 EAL，不管是同一机组还是不同机组都应该宣布厂房应急。

但当不同事件触发应急状态等级相同的多个EAL并且对核动力厂的安全威

胁明显增大时，或对于导致同一应急状态的非共因事件（或无法判断是否为共因事件）时，应急指挥应参照应急状态等级的定义和2.6.5节的升级条件，综合判断是否升级。

2.6.8 瞬态工况的分级

对于可能触发应急行动水平的瞬态工况，应立即进行分析判断，并与应急行动水平比较，在15分钟内给出应急状态等级的判断：

（1）如在15分钟内满足以下条件之一，可以不进入应急状态。

a）核动力厂已恢复正常，经确认没有造成后果，在实施纠正措施的过程中，核动力厂没有进一步受损；

b）满足其他的终止准则。

（2）如在实施纠正措施的过程中，核动力厂进一步受损，经确认无法恢复正常，则应根据应急行动水平立即进入应急状态。

（3）对确认已发生的某些瞬态事件，若发现时已经结束，即使发生时达到或超过了某个EAL，也不再对其进行应急状态分级并进入应急状态。

（4）在核动力厂正常运行中，对设定的工况或因操作员正当操作导致的工况，即使导致某些参数或判据达到某个 EAL，若该工况仍在可控范围内，也不据此进入应急状态。

3 初始条件与应急行动水平

3.1 概述

3.1.1 初始条件矩阵用于描述初始条件和核动力厂应急状态的对应关系，给出可能触发核动力厂应急状态的初始条件，快速判断是否需要进入应急状态以及确定应急状态的等级。初始条件矩阵是应急行动水平制定的基本框架。

3.1.2 在初始条件矩阵中，通常按应急状态等级递增或递减的顺序说明各种识别类中每一个初始条件与应急状态等级之间的对应关系以及这种对应关系的适用条件。

3.2 A类初始条件与应急行动水平

3.2.1 A类初始条件和应急行动水平针对的是非计划和不可控的放射性物质

的释放以及辐射水平的异常情况，适用于所有运行模式。

3.2.2 A类的分级主要依据辐射监测仪表的读数和环境放射性后果评价结果。对于基于流出物辐射监测仪表读数的分级的前提是已经发生了经过该仪表监测路径的排放，如果采取了措施对该排放路径进行了隔离，阻止了该路径的排放，则这些仪表的读数不再用于分级。

3.2.3 表1给出了A类初始条件矩阵，压水堆核动力厂营运单位可在此基础上确定适用于本核动力厂的初始条件和应急行动水平。A类初始条件主要包括非计划的流出物放射性异常、辐照过的燃料事件和区域辐射水平异常等事件类别。

事件类别	应急待命	厂房应急	场区应急	场外应急
非计划的流出物放射性异常	AU1：流出物排放的放射性水平超过设施相关排放管理限值的2 倍，持续时间达到或超过60分钟。适用条件：全部运行模式	AA1：流出物排放的放射性水平超过设施相关排放管理限值的 200倍，持续时间达到或超过15 分钟。适用条件：全部运行模式	AS1：在实际或预期释放时间内，释放的气态放射性物质导致场区边界处或场区边界外个人有效剂量大于1mSv，或甲状腺待积吸收剂量大于10mGy。适用条件：全部运行模式	AG1：在实际或预期释放时间内，释放的气态放射性物质导致场区边界处或场区边界外个人有效剂量大于10mSv，或甲状腺待积吸收剂量大于100mGy。适用条件：全部运行模式
辐照过的燃料事件	AU2：辐照过的燃料上方水位非计划下降。适用条件：全部运行模式	AA2：辐照过的燃料上方水位发生显著下降，或者辐照过的燃料发生严重损坏。适用条件：全部运行模式	AS2：乏燃料池水位下降导致乏燃料裸露。适用条件：全部运行模式	AG2：乏燃料池水位下降导致乏燃料裸露60分钟以上或更长时间。适用条件：全部运行模式
区域辐射水平异常		AA3：区域⁴辐射水平异常导致无法正常实施操作，影响了核动力厂的正常运行、冷却或者停堆。适用条件：全部运行模式

3.2.4 AU1针对非计划排放的流出物的放射性水平超过机组相关排放管理限值的2倍且持续时间达到或超过60分钟的情况。该初始条件主要指超过了管理限值的低水平的放射性物质的排放，并且该排放持续了一段时间，表明核动力厂安全水平发生了潜在下降。AU1可包括：

（1）流出物（如气态排放的流出物）辐射监测仪表的读数（包括仪表监测路径上的连续排放与批量排放的情况）大于机组相关排放管理限值的2倍且持续时间达到或超过60分钟；

（2）流出物（如气态排放的流出物）放射性取样分析表明其浓度或释放率大于机组相关排放管理限值的2倍且持续时间达到或超过60分钟。

3.2.5 AA1针对非计划排放的流出物的放射性水平超过机组相关排放管理限值的200倍且持续时间达到或超过15分钟的情况。该初始条件主要指超过了管理限值的放射性物质的排放，并且持续了一段时间，表明核动力厂的安全水平发生了实际的或潜在的重大下降。AA1可包括：

（1）流出物（如气态排放的流出物）辐射监测仪表的读数（包括仪表监测路径上的连续排放与批量排放的情况）大于机组相关排放管理限值的200倍且持续时间达到或超过15分钟；

（2）流出物（如气态排放的流出物）放射性取样分析表明其浓度或释放率大于机组相关排放管理限值的200倍且持续时间达到或超过15分钟。

3.2.6 AS1针对的是在实际或预期释放时间内，释放的气态放射性物质导致场区边界处或场区边界外个人有效剂量大于 1mSv 或甲状腺待积吸收剂量大于 10mGy 的情况。该初始条件主要指气态放射性物质的释放（包括监测到或未监测到的）导致场外实际或预期的剂量大于通用干预水平的10%，表明与保护公众相关的一些安全系统失效。AS1可包括：

（1）气态流出物的辐射监测仪表的读数大于预先设置的阈值且监测仪表的

读数超过阈值的时长持续或超过15分钟；

（2）使用实际气象条件的剂量评价结果表明场区边界处或场区边界外个人有效剂量大于1mSv或甲状腺待积吸收剂量大于10mGy；

（3）环境辐射监测仪表的读数大于1mSv/h且预期持续时间等于或大于60 分钟，或者监测样品分析表明60分钟吸入导致甲状腺剂量超过10mGy等情形。

3.2.7 AG1针对的是在实际或预期释放时间内，释放的气态放射性物质导致场区边界处或场区边界外个人有效剂量大于10mSv或甲状腺待积吸收剂量大于 100mGy的情况，表明需要采取保护公众的场外防护行动。AG1可包括：

（1）气态流出物的辐射监测仪表的读数大于预先设置的阈值且监测仪表的读数超过阈值的时长持续或超过15分钟；

（2）使用实际气象条件的剂量评价结果表明场区边界处或场区边界外个人有效剂量大于10mSv或甲状腺待积吸收剂量大于100mGy；

（3）环境辐射监测仪表的读数大于10mSv/h且持续时间等于或超过60分钟，或者现场监测样品分析表明60分钟吸入导致甲状腺剂量超过100mGy等情形。

3.2.8 AU2针对的是辐照过的燃料上方水位非计划下降的情况，主要指换料路径上（反应堆水池、燃料传输通道、乏燃料水池）辐照过的燃料上方水位下降同时导致辐射水平升高。该状态可能是更为严重的事态的先兆，表明了核动力厂安全水平的潜在下降。有关压力容器内辐照过的燃料上部水位下降的应急状态可归到C类中进行分级。

3.2.9 AA2针对的是辐照过的燃料上方水位发生显著下降或者辐照过的燃料发生严重损坏的情形，主要指辐照过的燃料组件即将或者已经受到了损坏以及乏燃料池的水位严重下降的状态。该类事件威胁到核动力厂员工的安全，且有可能引发放射性物质向环境的释放，因而导致核动力厂安全水平发生了实际或潜在的

重大降级。有关压力容器内辐照过的燃料上部水位下降的应急状态可归到C类中进行分级。AA2可包括：

（1）位于反应堆换料路径上辐照过的燃料的裸露；

（2）辐照过的燃料组件损伤导致放射性物质泄漏；

（3）乏燃料水池水位下降到人员辐射屏蔽水位下限位置。

3.2.10 AS2 针对的是乏燃料池的水位发生重大下降导致需要立即补水的情况。该初始条件主要指乏燃料池的水装量控制和补水能力严重丧失导致燃料元件即将裸露的情形，表明核动力厂保护公众的安全功能严重失效。该情况对应的水位阈值一般指的是乏燃料仍然保持覆盖但需要立刻进行补水的水位值。

3.2.11 AG2 针对的是乏燃料池的水位下降到导致乏燃料裸露的高度且持续时间超过60分钟或更长时间的情况。该初始条件主要指乏燃料池的水装量控制和补水能力严重丧失导致燃料元件长期裸露，将导致燃料损坏和放射性物质向环境释放。该情况对应的水位阈值一般指的是乏燃料仍然保持覆盖但需要立刻进行补水的水位值。

3.2.12 AA3 针对的是区域辐射水平异常导致无法正常实施操作以致影响了核动力厂的正常运行、冷却或者停堆的情况。该初始条件主要指由于某个厂房或者区域的辐射水平升高导致工作人员无法维持核动力厂正常运行或实施冷却及停堆操作，或者使这些操作活动受到阻碍的情形，表明核动力厂的安全水平发生了实际或者潜在的重大降级。AA3可包括：

（1）在需要连续停留以维持核动力厂正常运行、实施正常冷却或者停堆的区域（如主控室）的剂量率大于0.15mSv/h；

（2）异常事件导致相关区域辐射水平增加使得进入这些区域实施上述操作的行动延迟或者无法实施的情形。

3.3 F类初始条件与应急行动水平

3.3.1 F 类初始条件和应急行动水平表征了反应堆堆芯中裂变产物屏障受到威胁的程度。该程度体现在屏障的损坏程度（丧失或潜在丧失）和同时受威胁的屏障数目。适用于反应堆功率运行、启动、热备用、热停堆模式。与裂变产物屏障相关的应急待命初始条件在系统故障类（S类）中考虑。

3.3.2 反应堆堆芯中裂变产物的屏障包括燃料包壳、反应堆冷却剂系统（RCS）压力边界和安全壳。燃料包壳屏障包括所有堆芯燃料芯块的包壳。RCS 压力边界屏障包括RCS一回路侧、稳压器安全阀、卸压阀，直至一回路隔离阀及其上游的所有连接管线和阀门。安全壳屏障包括安全壳构筑物，安全壳隔离阀及其上游的所有部件。该屏障还包括主蒸汽管线、给水管线、吹除管线，二次侧隔离阀及其上游的所有连接部件。

3.3.3 F 类初始条件和应急行动水平的判定主要依赖于核动力厂运行模式下指示安全系统状态的监测系统能力。当运行模式为功率运行、启动、热备用、热停堆时，所有屏障正常，仪表和应急设施按技术规格书的要求使用，此时通常由仪表读数或定期取样来识别一道或多道屏障是否受到威胁。当核动力厂进入冷停堆和换料、卸料运行模式时，RCS 压力边界或安全壳可能开放，对裂变产物的屏障能力下降。此时，在功率运行阶段运行的安全系统只有少数维持在原有的运行状态，对安全系统状态的监测能力也受到很大限制，基于仪表读数的F类初始条件和应急行动水平可能不适用。

3.3.4 表2给出了F类的初始条件矩阵，使用流程如图1所示。在这些初始条件中应注意：

（1）燃料包壳和RCS压力边界屏障比安全壳屏障的重要性更高。

（2）对于涉及放射性释放的事故工况，裂变产物屏障阈值的评估需要与剂量评估一起进行，以确保正确和及时地升级应急状态等级。例如，对裂变产物屏

厂房应急

场区应急

场外应急

FA1：燃料包壳或RCS压力边界屏障丧失或潜在丧失。

适用条件：功率运行、启动、热备用、热停堆

FS1：有两道裂变产物屏障丧失或潜在丧失。

适用条件：功率运行、启动、热备用、热停堆

FG1：有两道裂变产物屏障丧失，且第三道裂变产物屏障丧失或潜在丧失。

适用条件：功率运行、启动、热备用、热停堆

燃料包壳屏障		RCS压力边界屏障		安全壳屏障
丧失	潜在丧失	丧失	潜在丧失	丧失	潜在丧失
1 RCS或蒸汽发生器传热管泄漏		1 RCS或蒸汽发生器传热管泄漏		1 RCS或蒸汽发生器传热管泄漏
不适用	A RCS/反应堆压力容器水位低于【核动力厂特定水位】。	A 以下任一情况需要自动或手动启动 ECCS（SI）： 1.不可隔离的RCS泄漏；或 2.蒸汽发生器传热管破裂。	A 以下任一情况泄漏超过上充补偿能力： 1.不可隔离的RCS泄漏；或 2.蒸汽发生器传热管泄漏。或 B RCS冷却速率大于【核动力厂特定承压热冲击准则/由核动力厂特定指示定义的限值】。	A 一台蒸汽发生器泄漏或传热管破裂，且该蒸汽发生器不能隔离（安全壳外）。	不适用
2 热量导出能力不足		2 热量导出能力不足		2 热量导出能力不足
A 堆芯出口热电偶读数大于【核动力厂特定温度值】。	A 堆芯出口热电偶读数大于【核动力厂特定温度值】；或 B 蒸汽发生器【核动力厂特定指示】表明，RCS 热量导出能力不足。	不适用	A 蒸汽发生器【核动力厂特定指示】显示，RCS热量导出能力不足。	不适用	A 1.【核动力厂特定的堆芯冷却恢复程序入口条件】且 2.恢复程序在 15分钟内没有效果。

燃料包壳屏障		一回路压力边界屏障		安全壳屏障
丧失	潜在丧失	丧失	潜在丧失	丧失	潜在丧失
3 一回路活度、安全壳放射性		3 一回路活度、安全壳放射性		3 一回路活度、安全壳放射性
A 安全壳内剂量率监测仪表读数大于【核动力厂特定值】；或 B 核动力厂特定指示表明反应堆冷却剂活度大于【核动力厂特定值】。	不适用	A 安全壳内剂量率监测仪表读数大于【核动力厂特定值】。	不适用	不适用	A 安全壳内剂量率监测仪表读数大于【核动力厂特定值】。
4 安全壳完整性、安全壳旁路		4 安全壳完整性、安全壳旁路		4 安全壳完整性、安全壳旁路
不适用	不适用	不适用	不适用	A 已要求实施安全壳隔离且经判定安全壳完整性已丧失或存在不可隔离的安全壳向环境排放的路径；或 B 存在一回路冷却剂向安全壳外泄漏的指征。	A 安全壳压力超过【核动力厂特定值】；或 B 安全壳内存在爆炸性混合物；或 C 1.安全壳压力大于【核动力厂特定值】，且 2.没有一个完整系列（核动力厂特定的安全壳排热/泄压所需的设备）可投入运行，时间超过15分钟或更长时间。

燃料包壳屏障		一回路压力边界屏障		安全壳屏障
丧失	潜在丧失	丧失	潜在丧失	丧失	潜在丧失
5 其他指示		5 其他指示		5 其他指示
【核动力厂特定（如适用）】		【核动力厂特定（如适用）】		【核动力厂特定（如适用）】
6 应急指挥的判断		6 应急指挥的判断		6 应急指挥的判断
A 应急指挥判断任何指示燃料包壳屏障丧失的工况。	A 应急指挥判断任何指示燃料包壳屏障潜在丧失的工况。	A 应急指挥判断任何指示RCS压力边界屏障丧失的工况。	A 应急指挥判断任何指示RCS压力边界屏障潜在丧失的工况。	A 应急指挥判断任何指示安全壳屏障丧失的情况。	A 应急指挥判断任何指示安全壳屏障潜在丧失的情况。

3.3.5 表3给出了压水堆核动力厂裂变产物屏障判据参考表，以此来判断三道屏障的丧失或潜在丧失。具体判据如下。

3.3.5.1 燃料包壳屏障完整性判据

（1）RCS或蒸汽发生器传热管泄漏

潜在丧失1.A，针对反应堆压力容器水位下降导致燃料包壳破损的情况。可使用特定操作规程中确定堆芯冷却能力降级的反应堆压力容器水位值，也可使用燃料活性区顶部高度所对应的反应堆压力容器水位值。

（2）热量导出能力不足

丧失2.A，针对堆芯内温度过高导致反应堆冷却剂显著过热的情况。可使用与反应堆冷却剂堆芯内显著过热相对应的核动力厂特定温度值。

潜在丧失2.A，针对堆芯内的温度过高导致燃料包壳可能开始出现破损的情况。该温度值对应于包壳损伤开始时的堆芯条件（例如，RCS完好无损情况下形成过热蒸汽的温度）。

潜在丧失2.B，针对利用蒸汽发生器无法导出RCS热量（即失去有效的二次侧热阱）的情况。这种情况表征了燃料包壳屏障的潜在丧失。

（3）一回路活度、安全壳放射性

丧失 3.A，针对安全壳内剂量率监测仪表读数大于核动力厂特定值的情况。

核动力厂特定值可对应于所有冷却剂瞬时释放到安全壳内的情况，一般假设反应堆冷却剂I-131当量活度1.11×10⁷Bq/g（300μCi/g ）。冷却剂活度水平高于预期的碘峰值，对应于约2%至5%的燃料包壳损伤。

丧失 3.B，针对反应堆冷却剂I-131当量活度大于核动力厂特定值的情况。

一般假设反应堆冷却剂 I-131当量活度大于1.11×10⁷Bq/g（300μCi/g）。冷却剂活度水平高于预期的碘峰值，对应于约2%至5%的燃料包壳损伤。

（4）安全壳完整性、安全壳旁路

不适用。

3.3.5.2 RCS压力边界屏障完整性判据

（1）RCS或蒸汽发生器传热管泄漏

丧失1.A，针对一回路出现破口尺寸足够大的不可隔离的RCS泄漏，使得应急堆芯冷却系统（ECCS）自动或手动启动的情况。这种情况表明RCS压力边界屏障的丧失。

该判据适用于一回路压力边界可识别和不可识别的泄漏，也适用于界面系统上的RCS不可隔离的泄漏。冷却剂可能泄漏至安全壳内部、二次侧（即蒸汽发生器传热管泄漏）或安全壳外。

对需要安注启动的蒸汽发生器传热管泄漏，如果该破损的蒸汽发生器不能隔离（安全壳外），意味着存在向安全壳外环境排放的路径，则将同时满足安全壳屏障丧失的准则，将升级至场区应急。

潜在丧失1.A，针对一回路出现破口尺寸超过上充补偿能力（超过一台或者需要启用备用上充泵）的不可隔离泄漏的情形，此情形下稳压器水位不能维持在规定的限值内，但未启动ECCS（安全注入系统（SI））。

对不需安注启动的蒸汽发生器传热管泄漏，如果存在泄漏的蒸汽发生器不可隔离（安全壳外），意味着存在向安全壳外环境排放的路径，则将同时满足安全壳屏障丧失的准则，将升级至场区应急。

潜在丧失1.B，针对压力容器面临较严重的承压热冲击或冷超压风险的情况，压力容器可能面临脆性断裂风险。

（2）热量导出能力不足

潜在丧失 2.A，针对利用蒸汽发生器无法导出RCS热量（即失去有效的二次侧热阱）的情况。这种情况表征了燃料包壳屏障的潜在丧失。

（3）一回路活度、安全壳放射性

丧失 3.A，针对安全壳内剂量率监测仪表读数大于核动力厂特定值的情况。

核动力厂特定值为反应堆冷却剂活度等于技术规格书限值时，所有反应堆冷却剂瞬时释放到安全壳内的剂量率水平。该值低于燃料包壳屏障丧失阈值3.A的规定值，仅表示RCS压力边界屏障的丧失。

（4）安全壳完整性、安全壳旁路

不适用。

3.3.5.3 安全壳屏障完整性判据

（1）一回路或蒸汽发生器传热管泄漏

丧失 1.A，针对一台蒸汽发生器泄漏或传热管破裂，且该存在泄漏或破裂的

蒸汽发生器传热管泄漏率	状态	向安全壳外环境的排放是否隔离？
蒸汽发生器传热管泄漏率	状态	是	否
超过技术规格书限值	超过技术规格书限值	应急待命（SU4）	应急待命（SU4）
超过上充补偿能力（RCS 压力边界屏障潜在丧失）	蒸汽发生器泄漏	厂房应急（FA1）	场区应急（FS1）
需要安注启动（RCS压力边界屏障丧失）	蒸汽发生器传热管破裂	厂房应急（FA1）	场区应急（FS1）

潜在丧失2.A，针对一个即将发生的堆芯熔化序列，如果不纠正，可能导致压力容器失效并增加安全壳失效的可能性。该情况下，RCS压力边界屏障和燃料包壳屏障已经丧失。如果在15分钟内恢复足够堆芯冷却的程序实施无效，则可能导致堆芯熔化，并对安全壳屏障产生潜在威胁。

（3）一回路活度、安全壳放射性

潜在丧失 3.A，针对安全壳内剂量率监测仪表读数大于核动力厂特定值的情况。

核动力厂特定值应基于20%的燃料包壳破损、所有反应堆冷却剂瞬时释放到安全壳的假设来确定。

（4）安全壳完整性、安全壳旁路

丧失 4.A，针对已要求实施安全壳隔离且安全壳完整性已丧失或存在不可隔离的安全壳向环境排放的路径的情况。

安全壳的实际泄漏率超过相应的泄漏限值即意味着安全壳完整性丧失。事故工况下随着一回路冷却剂向安全壳内的质能释放，一系列因素会导致安全壳压力的波动。安全壳完整性丧失可能（也可能不）伴随有安全壳压力不明原因的显著下降。鉴于在事故工况下较难判断安全壳的泄漏率，该初始条件主要取决于应急指挥在合理考虑当前机组状态、可用的运行数据和放射性数据（如，安全壳压力、

安全壳外放射性监测数据、安全壳喷淋系统的运行状态等）基础上的判断。

丧失 4.B，针对存在一回路冷却剂安全壳外泄漏指示的情况。

如果反应堆冷却剂泄漏到安全壳内，安全壳地坑水位、安全壳温度、压力和 /或放射性水平将升高。如果这些参数没有升高，则反应堆冷却剂可能泄漏到安全壳外（安全壳旁路）。安全壳外地坑水位、温度、压力、流量和/或放射性水平读数的增加可能表明RCS泄漏至安全壳外。

潜在丧失 4.A，针对安全壳内压超过核动力厂特定值的情况。

如果安全壳压力超过设计压力，则存在失去安全壳屏障的可能性。

潜在丧失 4.B，针对安全壳内爆炸性混合物浓度达到氢气爆炸极限下限的情况。氢气燃烧将提高安全壳压力，并可能导致附带设备损坏，导致安全壳完整性丧失。

潜在丧失 4.C，针对安全壳压力大于安全壳热量排出系统自动启动设定值，并且在15分钟内没有一个完整系列能投入运行的情况。15分钟的时间是自动启动失败，需要操作员手动启动的时间。该阈值表示安全壳排热/泄压系统（如安全壳喷淋、冰冷凝器风扇等，但不包括安全壳通风策略）丧失或以降级方式运行时安全壳的潜在丧失。

3.4 H类初始条件与应急行动水平

3.4.1 H类初始条件和应急行动水平依据可能或即将发生的危害和其他事件对核动力厂安全的损害程度确定相应的应急状态等级，适用于全部运行模式。

3.4.2 表5给出了H类初始条件矩阵。压水堆核动力厂营运单位应在此基础上确定适用于本核动力厂的初始条件和应急行动水平。H类可包括安保事件、地震、灾害事件、火灾或爆炸、有毒气体、主控室撤离、应急指挥判断等事件类别。

事件类别	应急待命	厂房应急	场区应急	场外应急
安保事件	HU1：经确认的安保事件或威胁，核动力厂设施的安全水平潜在降级。适用条件：全部运行模式	HA1：控制区内的敌对行动或30 分钟内将对厂址发生空中攻击威胁。适用条件：全部运行模式	HS1：保护区内的敌对行动。适用条件：全部运行模式	HG1：敌对行动导致对设施的实体控制丧失。适用条件：全部运行模式
地震⁶	HU2：发生了大于厂址 OBE （SL-1）的地震事件。适用条件：全部运行模式	HA2：发生了影响当前运行模式所需安全系统的地震事件。适用条件：全部运行模式
灾害事件	HU3：发生了导致核动力厂安全水平潜在下降的强风、外部洪水或内部水淹、其他厂址特定自然灾害事件等灾害事件。适用条件：全部运行模式	HA3：发生了影响当前运行模式所需安全系统的强风、外部洪水或内部水淹、其他厂址特定自然灾害事件等灾害事件。适用条件：全部运行模式

事件类别	应急待命	厂房应急	场区应急	场外应急
火灾或爆炸	HU4：发生了导致核动力厂安全水平潜在降级的火灾或爆炸。适用条件：全部运行模式	HA4：发生了影响核动力厂安全系统运行的火灾或爆炸。适用条件：全部运行模式
有毒有害气体	HU5：确认发生了危及正常核动力厂运行的有毒、腐蚀性、窒息性或可燃性气体等的释放。适用条件：全部运行模式	HA5：气体释放阻碍进入维持核动力厂正常运行、冷却或停堆所需操作设备的区域。适用条件：全部运行模式
主控室撤离		HA6：主控室撤离导致核动力厂控制转移到备用场所。适用条件：全部运行模式	HS6：在主控室外任意一项关键安全功能的控制未能建立。适用条件：全部运行模式
应急指挥判断	HU7：根据应急指挥判断需批准进入应急待命的其他条件。适用条件：全部运行模式	HA7：根据应急指挥判断需批准进入厂房应急的其他条件。适用条件：全部运行模式	HS7：根据应急指挥判断需批准进入场区应急的其他条件。适用条件：全部运行模式	HG7：根据应急指挥判断需批准进入场外应急的其他条件。适用条件：全部运行模式

3.4.3 HU1，针对会对核动力厂人员或安全系统设备构成威胁的安保事件，造成核动力厂安全水平的潜在降级。HU1包括：

（1）核动力厂安保部门报告核动力厂营运单位安保专项预案所包括的安保事件（不包括敌对行动）。

（2）接到国家有关部门确认的可靠通知，厂址将受到飞行器撞击威胁或其他安全威胁。

3.4.4 HA1，针对控制区内的敌对行动或将发生空中攻击威胁的情况。HA1 包括：

（1）核动力厂安保部门报告在控制区内的敌对行动正在进展或已经发生。

（2）接到国家有关部门确认的可靠通知，厂址将在30分钟内受到飞行器撞击威胁。

3.4.5 HS1，针对保护区内的敌对行动。HS1包括：

核动力厂安保部门报告在保护区内的敌对行动正在进展或已经发生。

3.4.6 HG1，针对敌对行动导致对设施的实体控制丧失的情况。HG1包括：

（1）核动力厂安保部门报告敌对行动正在发生或已经发生，导致核动力厂人员无法对维持安全功能的系统进行操作。

（2）核动力厂安保部门报告敌对行动正在发生或已经发生，导致乏燃料损坏或即将损坏。

3.4.7 HU2，针对发生了大于厂址运行基准地震OBE（SL-1）的地震事件。

HU2包括：

核动力厂显示发生超过OBE的地震（特定厂址指示表明地震事件达到或超过了OBE限值），并且经相关手段确认。

3.4.8 HA2，针对发生了影响当前运行模式所需安全系统的地震事件。HA2

核动力厂显示发生地震事件，且影响到当前运行模式所需的安全系统。

3.4.9 HU3，针对发生了导致核动力厂安全水平潜在下降的灾害事件。HU3 包括：

强风、外部洪水或内部水淹、其他厂址特定自然灾害事件等。

3.4.10 HA3，针对发生了影响当前运行模式所需安全系统的灾害事件。HA3 包括：

强风、外部洪水或内部水淹、其他厂址特定自然灾害等，造成至少一个序列安全系统出现性能下降或安全系统部件或构筑物出现可见损坏。

3.4.11 HU4，针对发生了导致核动力厂安全水平潜在下降的火灾或爆炸。HU4 包括：

（1）发生在核动力厂特定房间和区域的火灾被以下任一方式（现场报告、多于1个火灾报警或指示、现场确认的单一火灾报警）探测到，且没有在15分钟内扑灭；15分钟的持续时间旨在确定火灾的大小并区分易于熄灭的小火灾（例如阴燃的废纸篓）。

（2）核动力厂保护区内火灾在初始报告、报警或显示后60分钟内未扑灭；电厂保护区内的火灾在60分钟内未被扑灭可能会降低电厂安全水平。

（3）核动力厂保护区内发生爆炸事件。

3.4.12 HA4，针对发生了影响核动力厂安全运行的火灾或爆炸。HA4包括：

火灾或爆炸造成当前运行模式所需的至少一个序列安全系统出现性能下降或安全系统部件或构筑物出现可见损坏。

3.4.13 HU5，针对确认发生了危及正常核动力厂运行的有毒、腐蚀性、窒息性或可燃性气体的释放。HU5包括：

有毒、腐蚀性、窒息性或可燃性气体的量已危及或可能危及核动力厂的正常运行。

3.4.14 HA5，针对气体释放阻碍进入维持核动力厂正常运行、冷却或停堆所需操作设备的区域。HA5包括：

有毒、腐蚀性、窒息性或可燃性气体释放入核动力厂特定房间或区域，导致无法进入或影响进入这些厂房或区域。

3.4.15 HA6，针对主控室撤离导致核动力厂控制转移到备用场所。HA6包括：

导致对核动力厂的控制转移到备用场所，如远程停堆站或应急停堆盘的事件。

3.4.16 HS6，针对在主控室外任意一项关键安全功能的控制未能建立。HS6 包括：

导致对核动力厂的控制转移到远程停堆站或应急停堆盘且在规定时间内无法实现对关键安全功能（反应性控制、堆芯冷却、RCS热量导出）控制的事件。

3.5 S类初始条件与应急行动水平

3.5.1 S类初始条件和应急行动水平表征了系统故障对核动力厂安全的影响，依据核动力厂执行安全功能的系统、监测安全功能的系统及执行安全功能系统的支持系统的故障程度确定相应的应急状态等级。系统故障识别类S按照核动力厂运行工况的不同可分为热态（功率运行、启动、热备用、热停堆运行模式）和冷态（冷停堆、换料、卸料运行模式）。本文件中将识别类S（热态）归为识别类S，识别类S（冷态）归为识别类C。因燃料包壳、反应堆冷却剂系统压力边界、安全壳屏障降级而触发“应急待命”的初始条件也包括在S识别类中。

3.5.2 表6给出了S类初始条件矩阵。压水堆核动力厂营运单位应在此基础上确定适用于本核动力厂的初始条件和应急行动水平。S 类可包括交流电源故障、控制监测能力丧失、燃料包壳降级、反应堆冷却剂系统压力边界降级、停堆系统失效、通讯能力丧失、安全壳降级、直流电源失效、冷源丧失等事件类别。

事件类别	应急待命	厂房应急	场区应急	场外应急
交流电源故障	SU1：应急母线的所有场外交流电源丧失，时间达到或超过15分钟。适用条件：功率运行、启动、热备用、热停堆	SA1：应急母线的交流电源只剩一路，时间达到或超过15分钟。适用条件：功率运行、启动、热备用、热停堆	SS1：应急母线丧失所有场外和场内交流电源，时间达到或超过 15分钟。适用条件：功率运行、启动、热备用、热停堆	SG1：应急母线长期丧失所有场外和场内交流电源。适用条件：功率运行、启动、热备用、热停堆
控制监测能力丧失	SU2：机组主控室安全系统参数指示非计划丧失，时间达到或超过 15分钟。适用条件：功率运行、启动、热备用、热停堆	SA2：机组主控室安全系统参数指示非计划丧失，且处于重大瞬态过程中，时间达到或超过 15 分钟。适用条件：功率运行、启动、热备用、热停堆
燃料包壳降级	SU3：一回路放射性高于技术规格书限值。适用条件：功率运行、启动、热备用、热停堆

事件类别	应急待命	厂房应急	场区应急	场外应急
反应堆冷却剂系统压力边界降级	SU4：一回路泄漏，时间达到或超过15分钟。适用条件：功率运行、启动、热备用、热停堆
停堆系统失效	SU5：自动或手动停堆失效。适用条件：功率运行⁷	SA5：自动或手动停堆失效，并且随后从反应堆控制台进行手动操作也无法成功停堆。适用条件：功率运行⁷	SS5：反应堆无法停堆造成堆芯和一回路的热量无法充分排出。适用条件：功率运行⁷
通信能力丧失	SU6：场内或场外通信能力全部丧失。适用条件：功率运行、启动、热备用、热停堆

事件类别	应急待命	厂房应急	场区应急	场外应急
安全壳降级	SU7：安全壳隔离失败或安全壳压力失去控制。适用条件：功率运行、启动、热备用、热停堆
直流电源失效			SS8：失去所有关键直流电源，时间达到或超过15分钟。适用条件：功率运行、启动、热备用、热停堆	SG8：失去所有交流电源，并且关键直流电源全部丧失，时间达到或超过15分钟。适用条件：功率运行、启动、热备用、热停堆
冷源丧 _失8			SS9：设备冷却水系统（RRI）/ 重要厂用水系统（SEC）全部丧失。适用条件：功率运行、启动、热备用、热停堆	SG9：设备冷却水系统（RRI）/ 重要厂用水系统（SEC）全部丧失且堆芯冷却降级。适用条件：功率运行、启动、热备用、热停堆

3.5.3 SU1，针对应急母线丧失场外电源的情况。长期丧失场外交流电源使应急母线电源的冗余性降低，容易出现丧失全部交流电源的工况，降低了核动力厂的安全水平。选择15分钟作为阈值，以排除短暂或瞬间的电源丧失。SU1可包括：

应急母线丧失场外交流电源，时间达到或超过15分钟。

3.5.4 SA1，针对的是应急母线供电单一的情况。SA1是SU1的进一步恶化，场外和场内应急交流电源系统的严重降级，以至于任何附加的单一失效都会导致安全系统的所有交流电源的丧失。在这种情况下，唯一的交流电源可以为一列或多列与安全相关的设备供电。SA1可包括：

（1）除了一个应急电源（例如，一台场内柴油发电机组）外，所有场外电源、场内交流动力电源均丧失的情况；

（2）失去所有场外电源和所有应急电源（例如，场内柴油发电机组），只剩一列应急母线由机组主发电机供电的情况；

（3）失去应急电源（例如，场内柴油发电机组），只剩一列应急母线由场外电源供电的情况。

3.5.5 SS1，针对应急母线交流电源的全部丧失，影响了所有需要电源的安全系统，包括应急堆芯冷却、安全壳热量排出/压力控制、乏燃料热量导出和最终热阱。选择15分钟作为阈值，以排除短暂或瞬间的电源丧失。SS1可包括：

应急母线丧失所有场外和场内交流电源，时间达到或超过15分钟。

3.5.6 SG1，针对应急母线长期丧失所有交流电源的情况。交流电源的全部丧失，意味着所有需要电源的安全系统，包括应急堆芯冷却、安全壳热量排出/压力控制、乏燃料热量导出和最终热阱的丧失。应急母线的长时间失电将导致一个或多个裂变产物屏障的丧失，而且对裂变产物屏障的监测能力可能也会降低。 SG1可包括：

应急母线丧失所有场内外交流电源并且厂址特定指示表明无法充分排出堆芯的热量。厂址特定指示可以是有关堆芯出口热电偶温度、反应堆压力容器水位的数值等。

3.5.7 SU2，针对的是机组正常运行期间主控室丧失安全系统参数监测能力的情况。该EAL重点关注与反应性控制、堆芯冷却和RCS热量导出等关键安全功

能相关的核动力厂参数。选择15分钟作为阈值，以排除短暂或瞬间的指示丧失。 SU2可包括：

非计划事件导致无法在主控室内监控关键安全功能相关的核动力厂参数，时间达到或超过15分钟。

3.5.8 SA2，针对的是机组重大瞬态期间无法在主控室内获取安全系统参数，使得监测快速变化的核动力厂工况变得困难的情况。该EAL重点关注与反应性控制、堆芯冷却和RCS热量导出等关键安全功能相关的核动力厂参数。该EAL 中的重大瞬态是指：（1）自动或手动快速降负荷超过25%反应堆热功率；（2）甩负荷超过满负荷的 25%；（3）反应堆跳堆；（4）安注启动。SA2 代表裂变产物屏障裕量的潜在下降，代表着核动力厂安全水平的潜在的重大降级。SA2可包括：

非计划事件导致无法在主控室内监控关键安全功能相关的核动力厂参数，时间达到或超过15分钟，并且核动力厂正处于任一重大瞬态过程中。

3.5.9 SU3，针对的是反应堆冷却剂活度值超过技术规格书限值的情况。这种情况是更严重事件的前兆，代表着核动力厂安全水平的潜在降级。SU3可包括：

（1）厂址特定辐射监测仪表读数大于厂址特定值；

（2）取样分析表明，反应堆冷却剂活度值（碘、惰性气体）大于技术规格书限值（注意要区分稳态和瞬态）。

3.5.10 SU4，针对的是反应堆冷却剂系统压力边界完整性问题，这可能是更

严重事件的前兆。在这种情况下，已监测到反应堆冷却剂系统冷却剂泄漏，操作员无法按照适用程序及时隔离破口。这种情况被认为是核动力厂安全水平的潜在降级。对一回路泄漏类事件，应急待命层级的一回路微小泄漏由S 类判别，更严重的泄漏由F 类初始条件判别。SU4可包括：

（1）RCS不可识别泄漏，或者压力边界泄漏大于核动力厂特定的技术规格书限值，时间达到或超过15分钟；

（2）可识别的RCS泄漏大于核动力厂特定的技术规格书限值，时间达到或超过15分钟；

（3）一台蒸汽发生器的一、二回路的泄漏大于核动力厂特定的技术规格书限值，时间达到或超过15分钟。

3.5.11 SU5，针对的是反应堆保护系统启动失败或反应堆保护系统无法完成自动停堆或手动停堆，随后操作员在反应堆控制台上采取的手动操作停堆成功或自动停堆成功的情况。该事件是更严重情况的前兆，因此可能会降低核动力厂的安全水平。SU5可包括：

（1）自动停堆系统没有成功停闭反应堆，但随后在反应堆控制台上采取的手动操作成功停闭反应堆；

（2）手动停堆没有成功停闭反应堆，且满足下面任意一项：a.随后在反应堆控制台上采取的手动操作成功地停闭了反应堆，或b.随后的自动停堆成功停闭反应堆。

3.5.12 SA5，针对的是反应堆保护系统启动失败或反应堆保护系统无法完成自动停堆或手动停堆的情况，随后操作员在反应堆控制台上采取的手动操作停堆也不成功的情况。这种情况表示核动力厂安全水平的实际或潜在实质性降低。即使随后采取了其他手动操作（如现场打开停堆断路器）而成功停闭反应堆，也需要宣布进入厂房应急状态，因为这一事件涉及到反应堆保护系统的重大故障。 SA5可包括：

自动停堆系统或手动停堆没有成功停闭反应堆，并且在反应堆控制台上采取的手动操作未能成功停闭反应堆。

3.5.13 SS5，针对的是反应堆保护系统启动失败或反应堆保护系统无法完成自动停堆或手动停堆的情况，随后操作员在反应堆控制台上采取的手动操作停堆也不成功的情况。此时，堆芯和一回路的热量无法充分排出。如果后续的缓解措

施不成功，将导致燃料损坏，因此需要宣布进入场区应急。SS5可包括：

自动停堆系统或手动停堆没有成功停闭反应堆，并且在反应堆控制台上采取的手动操作未能成功停闭反应堆，且出现以下条件之一：a.无法充分排出堆芯热量的核动力厂特定指示，或b.无法充分排出一回路热量的核动力厂特定指示。

3.5.14 SU6，针对的是场内或场外通信能力的重大丧失的情况。SU6可包括：（1）核动力厂所有场内通信能力丧失，影响核动力厂正常运行；

（2）核动力厂所有场外通信能力丧失，影响场外通告。

3.5.15 SU7，针对的是安全壳隔离信号触发但是一个或多个安全壳贯穿件未能成功隔离（关闭）的情况。同时，还针对安全壳压力高，且安全壳压力控制系统失效的事件。在其他裂变产物包容屏障未面临威胁的情况下，任何一种情况都代表了核动力厂安全水平的潜在降低。SU7可包括：

（1）安全壳隔离信号触发，且需要隔离的贯穿件未能全部隔离，时间超过或预计超过15分钟；

（2）安全壳压力大于核动力厂特定压力，且没有一个完整系列（核动力厂特定的安全壳排热/泄压所需的设备）可投入运行，时间超过15分钟或更长时间。如果发生 SU7的同时发生燃料包壳或RCS 裂变产物包容屏障的丧失或潜在丧失，则此事件将根据IC FS1升级到场区应急。

3.5.16 SS8，针对的是关键直流电源的丧失，损害了监测和控制安全系统的能力的情况。在冷停堆以上的模式中，这种情况涉及核动力厂保护公众所需功能的重大故障。SS8可包括：

在所有核动力厂特定重要的直流母线上，指示电压小于核动力厂特定母线电压值，时间达到或超过15分钟。“核动力厂特定母线电压值”应基于安全系统设备正常运行所需的最小母线电压。选择15分钟作为阈值，以排除短暂或瞬间的电源丧失。

3.5.17 SG8，针对的交流电源和关键直流电源同时长时间丧失的情况。交流电源的全部丧失，影响了所有需要电源的安全系统，包括应急堆芯冷却、安全壳热量排出/压力控制、乏燃料热量导出和最终热阱。关键直流电源的丧失，损害了监测和控制安全系统的能力。交流和直流电源的持续丧失将导致裂变产物包容屏障面临多重挑战。SG8可包括：

核动力厂特定应急母线丧失所有场外和场内交流电源，时间达到或超过 15 分钟且在所有核动力厂特定重要的直流母线上，指示电压小于核动力厂特定母线电压值，时间达到或超过15分钟。选择15分钟作为阈值，以排除短暂或瞬间的电源丧失。

3.5.18 SS9，针对的是设备冷却水系统（RRI）/重要厂用水系统（SEC）全部丧失的情况。RRI/SEC 的全部丧失将导致低压安注泵、安全壳喷淋系统、余热排出系统、反应堆换料水池和乏燃料水池的冷却和处理系统（PTR）冷却等安全功能全部失去，意味着核动力厂安全水平的显著下降。SS9可包括：

RRI/SEC 全部丧失，时间超过或预计超过 15 分钟。

3.5.19 SG9，针对的是RRI/SEC长期全部丧失的情况。RRI/SEC 的全部丧失将导致低压安注泵、安全壳喷淋系统、余热排出系统、PTR 冷却等安全功能全部失去，意味着核动力厂安全水平的显著下降。SG9可包括：

RRI/SEC 全部丧失，并且出现堆芯冷却降级的情况。

3.6 C类初始条件与应急行动水平

3.6.1 C类初始条件和应急行动水平表征了冷态工况下系统故障对核动力厂安全的影响，依据核动力厂执行安全功能的系统、监测安全功能的系统及执行安全功能系统的支持系统的故障程度确定相应的应急状态等级。

3.6.2 表7给出了C类初始条件矩阵。压水堆核动力厂营运单位应在此基础上确定适用于本核动力厂的初始条件和应急行动水平。C类可包括冷却剂装量丧失、交流电源系统故障、余热排出能力丧失、直流电源系统故障、通信能力丧失等事件类别。

事件类别	应急待命	厂房应急	场区应急	场外应急
冷却剂装量丧失	CU1：一回路的冷却剂装量非计划丧失。适用条件：冷停堆、换料	CA1：一回路的冷却剂装量丧失，出现对燃料冷却能力不足的征兆。适用条件：冷停堆、换料	CS1：一回路的冷却剂装量丧失影响到堆芯余热排出能力。适用条件：冷停堆、换料	CG1：一回路的冷却剂装量丧失影响到燃料包壳完整性，同时安全壳完整性受到威胁。适用条件：冷停堆、换料
交流电源系统故障	CU2：应急母线交流电源减少到只有一路电源供电，时间达到或超过15分钟。适用条件：冷停堆、换料、卸料	CA2：应急母线场内和场外交流电源全部丧失，时间达到或超过 15分钟。适用条件：冷停堆、换料、卸料
余热排出能力丧失	CU3：一回路冷却剂系统温度非计划升高。适用条件：冷停堆、换料	CA3：不能使核动力厂维持在冷停堆工况。适用条件：冷停堆、换料

事件类别

应急待命

厂房应急

场区应急

场外应急

直流电源系统故障

CU4：所需的关键直流电源丧失，

时间达到或超过15分钟。

适用条件：冷停堆、换料

通信能力丧失

CU5：场内或场外通信能力全部丧

失。

适用条件：冷停堆、换料、卸料

3.6.3 CU1，针对一回路冷却剂装量非计划丧失。表征冷停堆或换料模式下反应堆冷却剂装量的非计划丧失，无法恢复和维持所需的最低水位，或者冷却剂泄漏的同时一回路水位监测丧失的情况，该情况代表了核动力厂安全水平的降级而进入应急待命状态。应注意到在换料模式下，不同的阶段冷却剂水装量的最低水位限值是不同的，应选择适宜的限值以避免难以操作或与采取的应急行动不协调。CU1可包括：

（1）冷却剂非计划丧失导致的一回路水位降低到低水位限值以下达到或超过15分钟的情况；15分钟阈值持续时间是给操作员用于恢复和维持目标水位而采取快速行动的合理允许的时间，同时排除某些瞬态引起的水位短暂下降。

（2）一回路水位失去监控，同时地坑水位非计划升高。

3.6.4 CA1，针对冷却剂装量丧失的情况。表征在冷停堆或换料模式下，由于冷却剂装量丧失，出现对燃料棒冷却能力不足的征兆，威胁到燃料包壳的完整性。这种情形下，核动力厂安全水平存在潜在的重大降级，因此进入厂房应急。 CA1可包括：

（1）冷却剂装量丧失导致水位降到核动力厂特定液位以下。核动力厂特定液位可以是衰变热移出系统（如余热排出或停堆冷却）工作时一般允许的最低水位，如果有多个水位值，使用时注意应与适用的模式以及准则相适应；

（2）一回路系统水位失去监控，时间达到15分钟或更长，同时，一回路失水导致地坑水位非计划升高。

3.6.5 CS1，针对一回路冷却剂装量丧失影响到堆芯余热排出能力的情况。表征在冷停堆或换料模式下，一回路冷却剂装量及其补给能力持续丧失导致堆芯即将损坏的情况，有必要进入场区应急。CS1可包括：

（1）安全壳关闭未建立，且冷却剂水位低于一回路环路底部；

（2）安全壳关闭已建立，且冷却剂水位低于燃料活性区顶部；

（3）冷却剂水位失去监测，达到或超过30分钟，且有指征表明堆芯裸露已发生。选择30分钟的阈值以保证有足够时间去监测、评估核动力厂状态，根据反应性和核动力厂状态判断堆芯裸露是否已发生，并采取行动终止泄漏、恢复冷却剂装量、维修设备或恢复水位监测。

3.6.6 CG1，针对一回路冷却剂装量丧失影响到燃料包壳完整性同时安全壳完整性受到威胁的情况。表征在冷停堆或换料模式下，无法保持或恢复一回路冷却剂水位高于燃料活性区顶部，同时安全壳完整性受到威胁的情况。这种情况表明堆芯即将或已经发生实质性安全降级或安全壳完整性存在潜在丧失风险，放射性物质释放极有可能超出场区范围且超过限值。如果一回路冷却剂系统水位不能及时恢复，燃料包壳受损将不可避免。在安全壳完整性未建立时，放射性物质有高度风险不受控地直接释放到环境中，据此进入场外应急。CG1可包括：

（1）一回路冷却剂水位低于燃料活性区顶部，时间达到或超过30分钟，且安全壳完整性受到威胁；

（2）一回路水位监测不可用，时间达到或超过30分钟，同时有证据表明堆芯裸露，且安全壳完整性受到威胁。

3.6.7 CU2，针对应急母线只剩一路交流电源，时间达到或超过15分钟的情况。表征在冷停堆、换料、卸料模式下，应急母线交流电源只剩下单一电源供电，时间持续或超过15分钟，且叠加任何单一电源故障就将导致核动力厂安全系统失去全部交流电源的情形。在冷停堆、换料、卸料模式下，由于堆芯的热功率、温度、压力降低，可以有更多的时间进行电源系统的恢复，所以认为上述故障情况属于核动力厂安全水平的潜在降级，核动力厂进入应急待命状态。CU2 可包括：

应急母线交流电源只剩下单一电源供电，时间持续或超过15分钟，且叠加任何单一电源故障就将导致核动力厂安全系统失去全部交流电源。15 分钟阈值

用以排除瞬时的电源丧失情况。

3.6.8 CA2，针对应急母线失去场内外所有交流电源，时间达到或超过15分钟的情况。表征在冷停堆、换料、卸料模式下，失去场内和场外全部的应急交流电源，安全系统（包括应急堆芯冷却、安全壳热量排出/压力控制、乏燃料热量导出和最终热阱）性能下降的情况。在冷停堆、换料、卸料模式下，较低的堆芯衰变热、较低的温度和压力允许有较长的时间来恢复应急母线工作。因此该 IC 认为是核动力厂安全水平的潜在重大降级而进入厂房应急。CA2可包括：

应急母线失去场内外所有的交流电源，时间达到或超过15分钟。15分钟阈值用以排除瞬时的电源丧失情况。

3.6.9 CU3，针对一回路冷却剂温度非计划升高的情况。表征冷停堆、换料模式下，一回路冷却剂温度非计划升高超过技术规格书中冷停堆温度限值，或者失去监测一回路冷却剂温度和水位能力的情况，这意味着核动力厂安全水平的潜在降级，据此进入应急待命。在堆芯余热排出系统可用的状态下，一回路温度短暂的非计划超过冷停堆技术规格书限值可认为不满足该条件。CU3可包括：

（1）一回路冷却剂温度非计划升高超过技术规格书规定的冷停堆时温度限值；

（2）失去所有一回路冷却剂温度和水位指示，时间达到或超过15分钟。15 分钟的阈值用以排除瞬时或暂时的监控功能丧失。

3.6.10 CA3，针对无法将核动力厂状态保持在冷停堆状态的情况。表征在冷停堆、换料模式下，余热排出能力的丧失或一回路增加的衰变热超出了排出能力。上述情况代表着核动力厂安全水平实际或潜在的重大降级，据此进入厂房应急。如果余热排出系统可以正常运行，一回路冷却剂温度暂时超出冷停堆温度限值可认为不满足该条款。CA3可包括：

（1）一回路冷却剂温度非计划升高超过技术规格书中冷停堆温度限值，持

续时间达到或超过0分钟（一回路打开或处于低水位运行，安全壳未关闭）、20 分钟（一回路打开或处于低水位运行，安全壳关闭）或60分钟（一回路完整且未处于低水位运行）；

（2）一回路非水实体工况下，压力非计划升高，并达到可以测量到的程度。

3.6.11 CU4，针对失去所需的关键直流电源，时间达到或超过15分钟的情况。表征在冷停堆或换料模式下，失去堆芯安全监控系统的关键直流电源的情况。 CU4可包括：

关键直流电源母线的电压指示值低于母线电压限值，时间达到或超过15分钟的情况。15分钟作为时间阈值以排除可能的瞬间的电源丧失。

3.6.12 CU5，针对在冷停堆、换料、卸料模式下，场内或场外通信能力的重大丧失情况。CU5可包括：

（1）核动力厂所有场内通信能力丧失，影响核动力厂正常运行；（2）核动力厂所有场外通信能力丧失，影响场外通告。

事件类别

应急待命

厂房应急

场区应急

场外应急

乏燃料贮存容器的损坏

E-HU1：已装载乏燃料的贮存容器

的损坏。

适用条件：全部运行模式

3.7.3 E-HU1，针对发生已装载乏燃料的贮存容器的损坏事件，适用于辐照过的燃料的干式贮存。所关注的问题主要有：产生向环境的潜在或实际的排放途径、一个或多个燃料组件因环境因素而降级、摆放布局的变化可能导致无法移动贮存容器或将燃料从贮存容器中取出。通过对乏燃料贮存容器表面放射性水平测量确定其是否损坏，2倍主要用于区分正常状态和应急状态。该条主要用于表征乏燃料贮存容器安全水平的降级。和独立乏燃料贮存设施相关的安保事件也可通过HU1和HA1进入应急状态。E-HU1可包括：

乏燃料贮存容器表面放射性水平超过技术规格书限值的2倍。

EAL IC RCS PSA ECCS SI

RRI SEC

PTR OBE SSE

应急行动水平

初始条件

反应堆冷却剂系统

概率安全分析

应急堆芯冷却系统

安全注入系统

设备冷却水系统

重要厂用水系统

反应堆换料水池和乏燃料水池的冷却和处理系统

运行基准地震

安全停堆地震

事件类别	应急待命	厂房应急	场区应急	场外应急
火灾或爆炸	HU4：发生了导致核动力厂安全水平潜在降级的火灾或爆炸。适用条件：全部运行模式	HA4：发生了影响核动力厂安全系统运行的火灾或爆炸。适用条件：全部运行模式
有毒有害气体	HU5：确认发生了危及正常核动力厂运行的有毒、腐蚀性、窒息性或可燃性气体等的释放。适用条件：全部运行模式	HA5：气体释放阻碍进入维持核动力厂正常运行、冷却或停堆所需操作设备的区域。适用条件：全部运行模式
主控室撤离		HA6：主控室撤离导致核动力厂控制转移到备用场所。适用条件：全部运行模式	HS6：在主控室外任意一项关键安全功能的控制未能建立。适用条件：全部运行模式
应急指挥判断	HU7：根据应急指挥判断需批准进入应急待命的其他条件。适用条件：全部运行模式	HA7：根据应急指挥判断需批准进入厂房应急的其他条件。适用条件：全部运行模式	HS7：根据应急指挥判断需批准进入场区应急的其他条件。适用条件：全部运行模式	HG7：根据应急指挥判断需批准进入场外应急的其他条件。适用条件：全部运行模式