核電廠安全系統(tǒng)冗余度研究

吳宇翔，尚 臣，閆 林,袁 霞

(中國(guó)核電工程有限公司，北京100840)

?

核電廠安全系統(tǒng)冗余度研究

吳宇翔，尚 臣，閆 林,袁 霞

(中國(guó)核電工程有限公司，北京100840)

本文對(duì)核電廠安全系統(tǒng)冗余度的概念進(jìn)行了澄清，認(rèn)為不能簡(jiǎn)單地將安全系列的數(shù)量機(jī)械地等效于冗余度。N+1的冗余度滿足單一故障準(zhǔn)則的強(qiáng)制性要求，N+2的冗余度是實(shí)現(xiàn)在線維修的可選項(xiàng)。進(jìn)而介紹了國(guó)際上主要核電機(jī)型的安全系統(tǒng)配置和冗余度，說(shuō)明了冗余度與運(yùn)行靈活性的具體關(guān)系。在冗余度研究的基礎(chǔ)上，對(duì)三環(huán)路壓水堆的兩種安全系統(tǒng)配置方案(兩個(gè)系列帶母管和三個(gè)獨(dú)立系列)進(jìn)行了分析比較。兩種方案均為N+1冗余度，但是對(duì)非能動(dòng)部件(母管)單一故障的考慮有所差異。通過(guò)對(duì)我國(guó)和國(guó)際核安全法規(guī)、用戶要求文件及相關(guān)標(biāo)準(zhǔn)的研究發(fā)現(xiàn)，非能動(dòng)部件的單一故障問題不應(yīng)成為這兩個(gè)方案選擇的決定因素。綜合考慮安全性利益及經(jīng)濟(jì)性代價(jià)，兩個(gè)系列帶母管的方案是更加優(yōu)化更平衡的設(shè)計(jì)。

安全系統(tǒng)；冗余度；單一故障；非能動(dòng)部件

保證核安全是核電廠設(shè)計(jì)中考慮的首要因素，為此需要對(duì)核電廠的設(shè)計(jì)進(jìn)行評(píng)價(jià)或者分析，以確認(rèn)是否滿足核安全目標(biāo)，并且反過(guò)來(lái)指導(dǎo)設(shè)計(jì)。核電廠安全分析的方法包括確定論方法和概率論方法。

確定論方法是核電發(fā)展史上長(zhǎng)期使用的方法，以縱深防御概念為基礎(chǔ)，以確保核電廠基本安全功能為目的，針對(duì)一套確定的設(shè)計(jì)基準(zhǔn)工況，采用一套保守的假設(shè)和分析方法，以檢驗(yàn)是否滿足特定的驗(yàn)收準(zhǔn)則[1]。針對(duì)從假設(shè)始發(fā)事件得出的設(shè)計(jì)基準(zhǔn)事故，設(shè)計(jì)上需要設(shè)置若干安全系統(tǒng)(或?qū)ＴO(shè)安全設(shè)施)。在發(fā)生設(shè)計(jì)基準(zhǔn)事故時(shí)，通過(guò)安全系統(tǒng)的成功響應(yīng)，保證基本安全功能的實(shí)現(xiàn)，保障核電廠始終處于安全可控的狀態(tài)。壓水堆核電廠典型的安全系統(tǒng)包括安全注入系統(tǒng)、安全殼噴淋系統(tǒng)和輔助給水系統(tǒng)等。

在分析設(shè)計(jì)基準(zhǔn)工況可能導(dǎo)致的后果時(shí)，需要采用保守的假設(shè)和分析方法，比如參數(shù)選取對(duì)后果不利的偏差，只考慮安全級(jí)設(shè)備的作用等。一個(gè)重要的保守假設(shè)就是單一故障準(zhǔn)則，即在緩解事故的系統(tǒng)和設(shè)備中假設(shè)一個(gè)隨機(jī)故障，導(dǎo)致其不能執(zhí)行預(yù)定的安全功能。為了在滿足單一故障準(zhǔn)則的條件下完成特定安全功能，設(shè)計(jì)中采用多于最少套數(shù)的設(shè)備，稱為多重配置或冗余配置。在此條件下，一套設(shè)備出現(xiàn)故障或失效是可以承受的，不致于導(dǎo)致功能喪失。安全系統(tǒng)必須采用冗余配置，即一個(gè)系統(tǒng)包括多套設(shè)備(或稱為多個(gè)安全系列)。

從冗余性(或多重性)進(jìn)而可以引出冗余度的概念，即冗余的程度。但是實(shí)際中往往對(duì)于冗余度的認(rèn)識(shí)出現(xiàn)偏差，將安全系列的數(shù)量機(jī)械地等效于冗余度，比如將2×100%的安全系統(tǒng)認(rèn)為是N+1冗余度，將3×100%的安全系統(tǒng)認(rèn)為是N+2冗余度，并且將其作為判斷安全系統(tǒng)配置方案優(yōu)劣的決定因素。本文旨在對(duì)核電廠安全系統(tǒng)冗余度的概念進(jìn)行澄清，在此基礎(chǔ)上針對(duì)兩種具體的安全系統(tǒng)配置方案的選擇給出建議。

1 冗余度的概念

由單一故障準(zhǔn)則可進(jìn)一步引出安全系統(tǒng)設(shè)計(jì)冗余度的要求,通常用N+1和N+2這樣的說(shuō)法來(lái)指代。假如完成某項(xiàng)特定安全功能需要N套設(shè)備(或N個(gè)安全系列)，在設(shè)計(jì)上多配置一套，那么這一設(shè)計(jì)的冗余度就是N+1；如果多配兩套，冗余度就是N+2。

需要指出的是，N+1和N+2只是一個(gè)約定俗成的說(shuō)法，尚沒有查到文獻(xiàn)對(duì)其給出權(quán)威的定義，因此對(duì)于N的定義即“完成特定安全功能所需的最少套數(shù)設(shè)備”就存在不同的理解。例如對(duì)于獨(dú)立連接每個(gè)環(huán)路的安注系統(tǒng)來(lái)說(shuō)，從表面上看，一個(gè)100%容量的系列就可以滿足系統(tǒng)承擔(dān)的應(yīng)急堆芯冷卻功能(即N=1)。但是在安注系統(tǒng)主要針對(duì)的冷卻劑喪失事故(LOCA)中，非常有可能因?yàn)橐涣邪沧⑾到y(tǒng)所連接的環(huán)路發(fā)生破口而使得該列安注系統(tǒng)功能喪失。對(duì)于這種設(shè)計(jì)，完成應(yīng)急堆芯冷卻的功能至少需要兩個(gè)容量分別為100%的安注系列(即N=2)，在此基礎(chǔ)上考慮單一故障準(zhǔn)則再增加一個(gè)系列(即N+1冗余度)。因此有理由認(rèn)為，N應(yīng)當(dāng)考慮始發(fā)事件可能導(dǎo)致的安全系列失效，即某個(gè)安全系列有可能因始發(fā)事件失效時(shí)，至少還需要另一個(gè)安全系列才能保證“完成特定安全功能”，此時(shí)至少兩個(gè)安全系列才是“完成特定安全功能所需的最少套數(shù)設(shè)備”。

很多地方對(duì)N的理解比較膚淺，簡(jiǎn)單地將3×100%和4×50%即作為N+2的冗余度。其實(shí)不能簡(jiǎn)單地將安全系列的數(shù)量和容量等效為冗余度，而是需要結(jié)合具體的系統(tǒng)設(shè)計(jì)進(jìn)行判斷。例如，如果一個(gè)安注系列注入一個(gè)環(huán)路或者直接注入壓力容器，則該系列完全有可能受到始發(fā)事件的影響而失效，這種設(shè)計(jì)至少需要兩個(gè)安注系列才能保證完成所需的安全功能；如果每個(gè)系列有多個(gè)注入點(diǎn),例如在環(huán)路和壓力容器上均有注入點(diǎn)，或者在多個(gè)環(huán)路上有注入點(diǎn),可以認(rèn)為不受始發(fā)事件的影響，則一個(gè)系列即能保證完成所需的安全功能。對(duì)于配置為3×100%(或4×50%)的安注系統(tǒng)，注入點(diǎn)數(shù)量不同的這兩種設(shè)計(jì)，其冗余度分別為N+1和N+2。

根據(jù)以上解釋，N+1冗余度的作用在于滿足單一故障準(zhǔn)則，是所有核電廠安全系統(tǒng)設(shè)計(jì)都必須滿足的基本要求；N+2冗余度除了滿足單一故障準(zhǔn)則，最大的意義在于能夠?qū)崿F(xiàn)一個(gè)安全系列的在線維修，是提高機(jī)組運(yùn)行經(jīng)濟(jì)性的可選措施之一。

2 主要核電機(jī)型的安全系統(tǒng)冗余度

根據(jù)上節(jié)對(duì)安全系統(tǒng)冗余度的定義，表1中列出了國(guó)際上主要壓水堆核電機(jī)型安全系統(tǒng)的配置和冗余度。在同一個(gè)堆型中，各個(gè)安全系統(tǒng)之間，以及同一個(gè)安全系統(tǒng)的子系統(tǒng)之間，安全系列的配置可能不盡相同。由于安注系統(tǒng)與一回路壓力邊界連接，需要考慮始發(fā)事件，并且單一故障主要是針對(duì)能動(dòng)設(shè)備，因此這里主要考慮能動(dòng)安注子系統(tǒng)的配置。

從表1可以看出，對(duì)于三環(huán)路壓水堆來(lái)說(shuō)，安全系統(tǒng)配置一般有2×100%和3×100%兩種配置(圖1a)，區(qū)別在于前者采用考慮母管設(shè)計(jì)。兩種配置的冗余度均為N+1，滿足單一故障準(zhǔn)則。在2×100%的配置方案中，兩個(gè)安注系列通過(guò)母管連接到三個(gè)環(huán)路上。假設(shè)一個(gè)系列發(fā)生能動(dòng)單一故障，剩余的另一列能夠以100%的容量通過(guò)非破口的兩個(gè)環(huán)路注入到堆芯。在3×100%的配置方案中，三個(gè)安注系列分別獨(dú)立地連接在三個(gè)環(huán)路上。如果假設(shè)始發(fā)事件導(dǎo)致一個(gè)系列失效，同時(shí)考慮另一個(gè)系列能動(dòng)單一故障，最終剩余一個(gè)系列能夠提供執(zhí)行功能所需的100%容量。

對(duì)于二環(huán)路或四環(huán)路壓水堆，安全系統(tǒng)配置一般有2×100%、4×100%和4×50%三種形式(圖1b至圖1d)。2×100%配置方案也是采用母管設(shè)計(jì)，和三環(huán)路中考慮的2×100%方案相同。后兩個(gè)方案中的四個(gè)安全系列則是分別獨(dú)立地連接在四個(gè)環(huán)路上(或者直接注入壓力容器)。4×100%配置方案的冗余度為N+2，如果一個(gè)系列處于維修狀態(tài)，另一個(gè)系列因假設(shè)始發(fā)事件而失效，第三個(gè)系列發(fā)生單一故障，則還剩一個(gè)系列可以投入使用，執(zhí)行規(guī)定的安全功能。因此這種配置方案最大的好處就是可以實(shí)現(xiàn)安全系統(tǒng)設(shè)備的在線維修。4×50%配置方案中，至少兩個(gè)系列投入才能完成系統(tǒng)的設(shè)計(jì)功能，通常的設(shè)計(jì)只是考慮了環(huán)路注入和壓力容器直接注入兩種方式之一，因此冗余度為N+1。

根據(jù)第1章的定義，N+1設(shè)計(jì)的目的在于滿足單一故障準(zhǔn)則，N+2設(shè)計(jì)的意義在于實(shí)現(xiàn)在線維修。對(duì)于上表中列出的配置方案為3×100%和4×50%的機(jī)型，并未在其技術(shù)資料中發(fā)現(xiàn)關(guān)于允許安全系統(tǒng)設(shè)備在線維修的描述，因此認(rèn)為其冗余度為N+1是合理的。

表1 主要核電機(jī)型安全系統(tǒng)冗余度Table 1 Redundant Degree of Safety System of Main Nuclear Power Models

注：① 如果不同的能動(dòng)安注子系統(tǒng)之間的冗余度不同，以冗余度高的為準(zhǔn)，除非存在與其他系統(tǒng)共用設(shè)備的情況； ② 在多數(shù)事故情況下，容量可視為4×100%。

圖1 各種安全系統(tǒng)配置示意圖Fig.1 Diagram of Different Configurations of Safety System(a) 三環(huán)路，3×100%配置(ATMEA1)；(b) 二環(huán)路，4×50%配置(APR1400)；(c) 四環(huán)路，2×100%配置(N4)；(d) 四環(huán)路，4×50%配置(APWR)

3 安全系統(tǒng)冗余度與運(yùn)行靈活性

如前所述，N+1和N+2的冗余度對(duì)于核電廠的主要影響在于運(yùn)行靈活性方面，本章對(duì)這部分內(nèi)容進(jìn)行一個(gè)更詳細(xì)的說(shuō)明。

3.1 故障維修靈活性

故障維修是指在核電站正常功率運(yùn)行期間，因?yàn)槟撤N原因?qū)е禄虬l(fā)現(xiàn)了某一設(shè)備的不可用而對(duì)該設(shè)備進(jìn)行的緊急維修，這一類維修一般具有故障比較簡(jiǎn)單，易于修復(fù)的特點(diǎn)。

對(duì)于N+1冗余度的核電廠，按照西屋標(biāo)準(zhǔn)技術(shù)規(guī)格書(NUREG-1431)編制的運(yùn)行技術(shù)規(guī)格書規(guī)定了以下要求[2]：

(1) 在一個(gè)系列不可用時(shí)，應(yīng)在3天內(nèi)進(jìn)行修復(fù)，如果不能按期修復(fù)則進(jìn)行停堆后撤；

(2) 在兩個(gè)系列不可用時(shí)，應(yīng)在1小時(shí)內(nèi)開始停堆后撤。

因此對(duì)于隨機(jī)出現(xiàn)的故障，操作人員和維修人員有3天的時(shí)間進(jìn)行維修。根據(jù)已運(yùn)行核電廠的經(jīng)驗(yàn)反饋，3天的修復(fù)時(shí)間足夠進(jìn)行一般的故障性維修，未出現(xiàn)過(guò)超出3天不能修復(fù)而導(dǎo)致停堆的情況。

EPR和VVER是典型的N+2核電廠，一列安全設(shè)備發(fā)生故障時(shí)，仍有足夠的冗余度完成特定的安全功能，因此在運(yùn)行技術(shù)規(guī)格書(參照NUREG-1431編制)中的要求為[2]：

(1) 在一個(gè)系列不可運(yùn)行時(shí)，允許30天的檢修時(shí)間，如果不能按期修復(fù)則進(jìn)行停堆后撤；

(2) 在兩個(gè)系列不可運(yùn)行時(shí)，允許3天的檢修時(shí)間，如果不能按期修復(fù)則進(jìn)行停堆后撤；

(3) 在三個(gè)系列不可運(yùn)行時(shí)，應(yīng)在1小時(shí)內(nèi)開始停堆后撤。

N+2冗余度的核電廠允許一個(gè)系列不可運(yùn)行的時(shí)間為30天，故可進(jìn)行在線的預(yù)防性維修，而且即使在進(jìn)行預(yù)防性維修時(shí)發(fā)現(xiàn)了另一個(gè)系列不可用，也有3天的時(shí)間進(jìn)行故障維修。

3.2 預(yù)防性維修靈活性

預(yù)防性維修是指為保證設(shè)備的可靠性而對(duì)核電廠的能動(dòng)設(shè)備進(jìn)行解體檢查和更換易磨損、老化設(shè)備的活動(dòng)。這一類維修一般具有工作量大、耗時(shí)長(zhǎng)等特點(diǎn)。

N+1冗余度的核電廠，在換料大修期間(工期主要取決于汽輪發(fā)電機(jī)組的檢修)完成所有能動(dòng)設(shè)備的預(yù)防性維修工作，不必在功率運(yùn)行期間進(jìn)行預(yù)防性維修。

EPR和VVER等N+2冗余度的核電廠采用四個(gè)安全系列，逐列檢修時(shí)間較長(zhǎng)，無(wú)法在換料大修期間完成所有能動(dòng)設(shè)備的預(yù)防性維修工作，而其N+2的設(shè)計(jì)允許在功率運(yùn)行期間退出一個(gè)系列進(jìn)行預(yù)防性檢修工作。從這個(gè)意義上說(shuō)，部分核電廠采用N+2設(shè)計(jì)或許也有其能動(dòng)設(shè)備多，無(wú)法在換料大修期間完成所有的預(yù)防性維修工作的原因。

4 安注系列的母管問題

對(duì)于三環(huán)路壓水堆安注系統(tǒng)來(lái)說(shuō)，2×100%的配置和3×100%的配置都能實(shí)現(xiàn)N+1的冗余度，滿足單一故障準(zhǔn)則，區(qū)別在于兩種方案的具體設(shè)計(jì)，即每個(gè)安注系列是否只有一個(gè)注入點(diǎn)。2×100%安注系列配置方案一般采用母管設(shè)計(jì)，使得每個(gè)系列有超過(guò)一個(gè)注入點(diǎn)，這樣不會(huì)因?yàn)槭及l(fā)事件而導(dǎo)致一個(gè)安全系列完全不可用。而3×100%安注系列配置方案中，三個(gè)系列各自獨(dú)立連接一個(gè)環(huán)路，每個(gè)系列只有一個(gè)注入點(diǎn)。這兩種配置方案冗余度均滿足單一故障準(zhǔn)則，對(duì)其安全性最大的爭(zhēng)論在于是否需要考慮非能動(dòng)設(shè)備的單一故障。

三個(gè)獨(dú)立系列的方案中(圖2a)，第一列由于始發(fā)事件失效，第二列發(fā)生單一故障(無(wú)論是能動(dòng)或者非能動(dòng)單一故障)，第三列總能以100%容量滿足所需的安全功能。如果第二列發(fā)生的是非能動(dòng)單一故障，也有可能在操作員的干預(yù)下被隔離，從而減少泄漏損失。

兩個(gè)系列帶母管的方案也可以有不同的設(shè)計(jì)。一種設(shè)計(jì)是每個(gè)安全系列的管線先分成三個(gè)子管，來(lái)自不同系列的兩個(gè)子管再合并成一個(gè)母管，注入到一個(gè)環(huán)路中(設(shè)計(jì)A，圖2b)；另一種設(shè)計(jì)是兩個(gè)安全系列的管線先合并成一個(gè)母管，再分出三個(gè)子管分別注入三個(gè)環(huán)路(設(shè)計(jì)B，圖2c)。

無(wú)論是設(shè)計(jì)A還是設(shè)計(jì)B，如果假設(shè)始發(fā)事件導(dǎo)致一個(gè)環(huán)路失效，同時(shí)考慮一個(gè)系列能動(dòng)單一故障，剩余的一列以100%容量提供補(bǔ)水，并通過(guò)非破口的兩個(gè)環(huán)路注入到堆芯，因此功能的執(zhí)行是有效的，但是一部分補(bǔ)水流量(大約1/3)通過(guò)破口流失。[3]

如果假設(shè)發(fā)生非能動(dòng)單一故障，即母管發(fā)生泄漏，設(shè)計(jì)A和設(shè)計(jì)B的情況略有不同。對(duì)于設(shè)計(jì)A來(lái)說(shuō)，兩列都可以運(yùn)行，但一個(gè)母管因始發(fā)事件無(wú)法注水，一個(gè)母管因非能動(dòng)單一故障發(fā)生破口，僅剩下一個(gè)母管完好，此時(shí)不能保證注入到堆芯的容量能夠滿足100%容量的要求。[3]對(duì)于設(shè)計(jì)B來(lái)說(shuō)，母管的泄漏則會(huì)導(dǎo)致全部喪失中壓安注冷段注入或低壓安注冷段注入。另外這種發(fā)生在母管上的非能動(dòng)單一故障隔離難度也很大。

可以看出，對(duì)于兩個(gè)系列帶母管和三個(gè)系列獨(dú)立配置的兩種方案進(jìn)行比較的關(guān)鍵在于，如何對(duì)非能動(dòng)部件的單一故障進(jìn)行考慮。非能動(dòng)部件由于其無(wú)需外部動(dòng)力以及動(dòng)力設(shè)備，因此一般認(rèn)為其可靠性很高，且在設(shè)計(jì)時(shí)不假設(shè)單一故障。

圖2 三環(huán)路壓水堆安注系統(tǒng)簡(jiǎn)化流程圖Fig.2 Simplified Flow Diagram of Safety Injection System of 3-loop Pressurized Water Reactor(a) 三個(gè)安注系列方案；(b) 兩個(gè)安注系列方案(設(shè)計(jì)A)；(c) 兩個(gè)安注系列方案(設(shè)計(jì)B)

5 相關(guān)的規(guī)定和要求

本章對(duì)我國(guó)和國(guó)際的核安全法規(guī)、三代核電用戶需求文件和相關(guān)標(biāo)準(zhǔn)進(jìn)行了調(diào)研，試圖解決以下兩個(gè)問題：

(1) 對(duì)于安全系統(tǒng)的冗余度(N+1或N+2)是否有明確規(guī)定；

(2) 對(duì)于非能動(dòng)設(shè)備的單一故障是否有更加嚴(yán)格的要求。

5.1 我國(guó)核安全法規(guī)

HAF102《核動(dòng)力廠設(shè)計(jì)安全規(guī)定》(2004版)中對(duì)于冗余度沒有明確規(guī)定，但是有這樣一句話：“設(shè)計(jì)必須通過(guò)采用諸如增加多重性等措施保證在毋需核動(dòng)力廠停堆的情況下進(jìn)行安全重要系統(tǒng)合理的在線維修和試驗(yàn)?！彪m然原則上N+1的配置方案不是為了滿足在線維修而設(shè)計(jì)的，但是運(yùn)行技術(shù)規(guī)格書中規(guī)定，一個(gè)系列不可用的修復(fù)時(shí)間為3天，3天時(shí)間對(duì)于一個(gè)系列的試驗(yàn)和維修都是足夠的。因此N+1能夠滿足這條要求。

HAF102對(duì)于非能動(dòng)部件的單一故障規(guī)定如下：“某一非能動(dòng)部件的設(shè)計(jì)、制造、在役檢查和維修均達(dá)到很高的質(zhì)量水平，并且保持不受到假設(shè)始發(fā)事件的影響，則在單一故障分析中可以不必假設(shè)它會(huì)發(fā)生故障?！盵4]

5.2 IAEA核安全標(biāo)準(zhǔn)

SSR-2/1《核電廠安全：設(shè)計(jì)》(2016版)中對(duì)于冗余度沒有明確規(guī)定。值得注意的是，HAF102中“設(shè)計(jì)必須通過(guò)采用諸如增加多重性等措施保證在毋需核動(dòng)力廠停堆的情況下進(jìn)行安全重要系統(tǒng)合理的在線維修和試驗(yàn)”的要求已經(jīng)從最新版的SSR-2/1中刪除。HAF102升版過(guò)程中也建議這條按照新版SSR2/1修改，從法規(guī)中刪除。

SSR-2/1對(duì)于非能動(dòng)部件的單一故障規(guī)定如下：“在設(shè)計(jì)中，必須充分考慮非能動(dòng)部件的故障，除非能夠在具有高置信度的單一故障分析中證實(shí)：該部件的故障極不可能發(fā)生，并且其功能保持不受到假設(shè)始發(fā)事件的影響?！盵5]

5.3 西歐核監(jiān)管協(xié)會(huì)(WENRA)的法規(guī)

WENRA《新建核電廠設(shè)計(jì)的安全性》(2013版)只是聚焦于福島事故之后的幾個(gè)專題，比如縱深防御層次的獨(dú)立性、多重失效、實(shí)際消除、外部災(zāi)害等，對(duì)于安全系列的冗余度和非能動(dòng)部件的單一故障均未涉及。[8]

WENRA《現(xiàn)有核電廠的安全參考水平》(2014版)對(duì)于安全系統(tǒng)冗余度沒有明確規(guī)定。對(duì)于非能動(dòng)部件的單一故障規(guī)定與SSR-2/1基本相同：“設(shè)計(jì)基準(zhǔn)事件的分析中應(yīng)假設(shè)最嚴(yán)重的單一故障。但是沒有必要假設(shè)非能動(dòng)部件的故障，如果能夠證明該部件的故障極不可能發(fā)生，并且其功能的保持不受到假設(shè)始發(fā)事件的影響?！盵7]

5.4 用戶要求文件(URD)

URD第II卷第5章中要求，安全系列的數(shù)量至少應(yīng)確保在假設(shè)導(dǎo)致事故的失效疊加最極限的單一故障的條件下所需安全功能的實(shí)現(xiàn)。同時(shí)URD也解釋道，安全系列的數(shù)量涉及設(shè)備可靠性和代價(jià)(投資、運(yùn)行和復(fù)雜度)的平衡。

URD第II卷第1章中要求在始發(fā)事件24小時(shí)之后考慮非能動(dòng)單一故障，包括閥門泄漏、密封泄漏、法蘭泄漏等。第II卷第5章的附錄中也說(shuō)明，流體系統(tǒng)非能動(dòng)設(shè)備的單一故障假設(shè)是長(zhǎng)期的，符合目前的監(jiān)管實(shí)踐。[8]

5.5 歐洲用戶要求(EUR)

EUR第2卷第8章中要求：“單一故障準(zhǔn)則應(yīng)用于提供安全功能的設(shè)備時(shí)，應(yīng)根據(jù)N+1概念提供冗余設(shè)備”，“一些執(zhí)行安全功能的特定設(shè)備的預(yù)防性維修預(yù)計(jì)會(huì)在電廠正常運(yùn)行期間實(shí)施，應(yīng)根據(jù)執(zhí)行功能的水平和所需功能的設(shè)計(jì)工況，在具體問題具體分析的基礎(chǔ)上應(yīng)用N+2概念(考慮由維修和單一故障導(dǎo)致的不可用)”。

EUR第2卷第1章中對(duì)于非能動(dòng)部件的單一故障有以下規(guī)定：“在單一故障分析中，可不假設(shè)非能動(dòng)部件的失效，如果這個(gè)部件的設(shè)計(jì)、制造、安裝、檢查和維修達(dá)到很高的質(zhì)量水平。但是假設(shè)非能動(dòng)部件不會(huì)失效時(shí)，需要考慮始發(fā)事件之后部件所需的時(shí)間長(zhǎng)度證明其合理性?！?在注釋中進(jìn)一步說(shuō)明，“非能動(dòng)泄漏在始發(fā)事件之后的頭24小時(shí)內(nèi)不考慮”。[9]

5.6 我國(guó)行業(yè)標(biāo)準(zhǔn)

NB標(biāo)準(zhǔn)《壓水堆核電廠重要流體系統(tǒng)單一故障準(zhǔn)則》尚未正式發(fā)布，由核動(dòng)力院和廣核工程公司起草，參考美國(guó)國(guó)家標(biāo)準(zhǔn)ANSI/ANS-58.9-2002《輕水堆安全重要流體系統(tǒng)單一故障準(zhǔn)則》。標(biāo)準(zhǔn)中規(guī)定：“在事故的長(zhǎng)期階段要考慮的單一故障可以是能動(dòng)故障或者非能動(dòng)故障”，“若某非能動(dòng)故障為泄漏的情況，應(yīng)在適當(dāng)考慮運(yùn)行工況和可能的故障或泄漏模式的同時(shí)，通過(guò)系統(tǒng)中現(xiàn)實(shí)的非能動(dòng)故障機(jī)理的分析來(lái)規(guī)定發(fā)生非能動(dòng)故障時(shí)的設(shè)計(jì)泄漏流量”。在不作為單一故障考慮的情況中，說(shuō)明“若某非能動(dòng)故障為有限的泄漏，該故障不會(huì)導(dǎo)致機(jī)組喪失所需的安全功能，則單一故障分析中則不必考慮這種有限的泄漏”。[10]

5.7 小結(jié)

目前我國(guó)、IAEA 和WENRA的和核安全法規(guī)只是要求安全系列提供冗余性滿足單一故障準(zhǔn)則，并未對(duì)N+1或是N+2的冗余度進(jìn)行進(jìn)一步規(guī)定。URD中則指出，安全系列的數(shù)量涉及設(shè)備可靠性和代價(jià)(投資、運(yùn)行和復(fù)雜度)的平衡。EUR中提到了N+1和N+2的概念，將N+1作為強(qiáng)制要求，N+2作為考慮設(shè)備在線維修后的可選項(xiàng)。

法規(guī)中允許不考慮非能動(dòng)部件的單一故障，前提是證明該部件的故障極不可能發(fā)生并且不會(huì)受假設(shè)始發(fā)事件的影響。而根據(jù)URD和EUR要求，至少事故短期內(nèi)(24小時(shí))不用考慮非能動(dòng)單一故障。

6 安全系統(tǒng)配置方案的選擇

以上研究和考慮的最終目的是為核電廠安全系統(tǒng)配置方案的選擇提供支持。

冗余度是核電廠安全系統(tǒng)配置方案選擇需要考慮的因素之一，N+1的冗余度即可滿足單一故障準(zhǔn)則，滿足法規(guī)的強(qiáng)制性要求。在滿足冗余度要求的前提下，可以選擇不同數(shù)量的安全系列，這時(shí)需要綜合考慮各方面的因素選擇最優(yōu)的方案。

以第4章提到的兩種安全系統(tǒng)配置方案為例，由于核安全法規(guī)允許在證明故障極不可能發(fā)生并且不會(huì)受假設(shè)始發(fā)事件影響的前提下，不考慮非能動(dòng)部件的單一故障，因此設(shè)計(jì)中不必考慮母管泄漏的可能性，兩種配置方案均滿足法規(guī)的要求。即使退一步根據(jù)用戶需求文件的要求，非能動(dòng)部件的單一故障也只需在事故后長(zhǎng)期階段(24小時(shí)后)才需要考慮。此時(shí)堆芯衰變熱已經(jīng)比事故剛發(fā)生時(shí)大大降低，而且安注系統(tǒng)已經(jīng)進(jìn)入冷熱段同時(shí)注入模式，即使全部喪失冷段注入，熱段注入也仍然有效，仍然能夠?qū)崿F(xiàn)補(bǔ)水功能。因此母管問題不會(huì)成為這兩種配置方案選擇的制約因素。

對(duì)于方案選擇真正起決定作用的應(yīng)當(dāng)是安全性和經(jīng)濟(jì)性的平衡，而安全性的考慮中又需要關(guān)注冗余性和多樣性的平衡。

非能動(dòng)系統(tǒng)一般結(jié)構(gòu)相對(duì)簡(jiǎn)單，本身的失效概率較低，減少了對(duì)電源、冷卻水等支持系統(tǒng)的依賴，提高了系統(tǒng)的可靠性，同時(shí)由于啟動(dòng)和運(yùn)行方式簡(jiǎn)單也減少了人員失誤的可能性。在兩個(gè)能動(dòng)安全系列的基礎(chǔ)上增加一個(gè)能動(dòng)安全系列，雖然能夠消除母管，提高各系列之間的獨(dú)立性，但是能動(dòng)部件的共因失效仍占主要貢獻(xiàn)，降低堆芯損壞頻率(CDF)的作用有限。而在兩個(gè)能動(dòng)安全系列的基礎(chǔ)上增加一個(gè)非能動(dòng)系列，能夠有效避免共因失效導(dǎo)致多列系統(tǒng)故障，因而安全性的提高更加明顯。這一結(jié)論也被不同安全系統(tǒng)配置的三環(huán)路壓水堆的概率安全分析(PSA)結(jié)果(表2)所支持。近年來(lái)國(guó)際上新研發(fā)的核電機(jī)型也往往采用了在兩個(gè)或三個(gè)能動(dòng)安全系列的基礎(chǔ)上增加一個(gè)多樣化安全系列的設(shè)計(jì)。

從經(jīng)濟(jì)性角度來(lái)說(shuō)，增加安全系列的數(shù)量無(wú)疑會(huì)增加設(shè)備的采購(gòu)費(fèi)用，對(duì)廠房布置以及電氣、儀控、冷卻水等支持系統(tǒng)的要求更高，將大大增加核電廠的建設(shè)成本。另一方面，三個(gè)獨(dú)立系列也為N+1冗余度，運(yùn)行靈活性相對(duì)于兩個(gè)系列帶母管的方案并無(wú)明顯優(yōu)勢(shì)，無(wú)法通過(guò)在線維修提高機(jī)組經(jīng)濟(jì)性。在換料大修期間完成三個(gè)系列預(yù)防性維修的工作量更大，甚至有可能導(dǎo)致大修時(shí)間的延長(zhǎng)。

因此在冗余度相當(dāng)?shù)那闆r下，綜合考慮安全性利益和經(jīng)濟(jì)性代價(jià)，兩個(gè)系列帶母管的方案是比三個(gè)獨(dú)立系列更加優(yōu)化和平衡的設(shè)計(jì)。

表2 安全系統(tǒng)不同配置方案的PSA結(jié)果Table 2 PSA Results of Different Configurations of Safety System

3 結(jié)論

核電廠設(shè)計(jì)中通常用N+1和N+2這樣的說(shuō)法來(lái)指代安全系統(tǒng)冗余度，但是經(jīng)常出現(xiàn)將安全系列數(shù)量機(jī)械地等效于冗余度的認(rèn)識(shí)誤區(qū)，比如將2×100%安全系統(tǒng)認(rèn)為是N+1冗余度，將3×100%安全系統(tǒng)認(rèn)為是N+2冗余度。本文對(duì)冗余度的概念進(jìn)行了澄清，將N定義為“完成特定安全功能所需的最少套數(shù)設(shè)備”，具體取值需考慮每個(gè)安全系列是否會(huì)受到始發(fā)事件的影響，對(duì)于安注系統(tǒng)來(lái)說(shuō)這與每個(gè)系列注入點(diǎn)的設(shè)計(jì)有關(guān)。

N+1的冗余度滿足單一故障準(zhǔn)則的強(qiáng)制性要求，N+2冗余度是提高運(yùn)行靈活性的可選項(xiàng)。N+2冗余度的核電廠允許一個(gè)系列不可運(yùn)行的時(shí)間為30天，故可進(jìn)行在線的預(yù)防性維修，其代表機(jī)型包括EPR和VVER。

對(duì)于三環(huán)路壓水堆來(lái)說(shuō)，安注系統(tǒng)配置一般有兩個(gè)系列帶母管和三個(gè)獨(dú)立系列兩種方式。兩種設(shè)計(jì)均為N+1冗余度，但是對(duì)于非能動(dòng)部件單一故障的考慮有所差異。通過(guò)對(duì)相關(guān)規(guī)定的研究發(fā)現(xiàn)，我國(guó)、IAEA和WENRA的核安全法規(guī)均允許不考慮非能動(dòng)部件的單一故障，前提是證明該部件的故障極不可能發(fā)生并且不會(huì)受假設(shè)始發(fā)事件的影響。而根據(jù)URD和EUR要求，至少事故短期內(nèi)(24小時(shí))不用考慮非能動(dòng)單一故障。

事故發(fā)生24小時(shí)后，安注系統(tǒng)已進(jìn)入冷熱管同時(shí)注入階段，單個(gè)母管破裂的影響是可控的。因此無(wú)論是按照核安全法規(guī)，還是按照三代核電用戶需求文件，母管問題都不會(huì)成為這兩種配置方案選擇的決定性因素。PSA分析表明，在兩個(gè)能動(dòng)系列的基礎(chǔ)上增加一個(gè)能動(dòng)系列帶來(lái)的安全性提高遠(yuǎn)不如增加非能動(dòng)措施消除共因故障帶來(lái)的安全性提高。同時(shí)增加一個(gè)系列會(huì)導(dǎo)致設(shè)備采購(gòu)費(fèi)用和維修工作量的大幅增加。綜合考慮安全性利益和經(jīng)濟(jì)性代價(jià)，兩個(gè)系列帶母管的方案是更加優(yōu)化和平衡的設(shè)計(jì)。

[1] “第二代改進(jìn)型核電廠安全水平的綜合評(píng)估”課題組. 第二代改進(jìn)型核電廠安全水平的綜合評(píng)估[J]. 核安全, 2007, (4):1-26.

[2] US Nuclear Regulatory Commission. NUREG-1431 Standard Technical Specifications: Westinghouse Plants [S]. Washington, DC: NRC, 2012.

[3] 張寧, 鄭華, 牛文華, 等. 核電廠安全系統(tǒng)的系列配置對(duì)可靠性與機(jī)組安全的影響方案研究. 核安全. 2014, 13(4): 84-89.

[4] 國(guó)家核安全局. HAF102 核動(dòng)力廠設(shè)計(jì)安全規(guī)定[S]. 北京: 國(guó)家核安全局, 2004.

[5] International Atomic Energy Agency. SSR-2/1 Safety of Nuclear Power Plants: Design[S]. Vienna：IAEA，2016.

[6] WENRA Reactor Harmonization Working Group. Safety of new NPP designs [R]. WENRA, 2013.

[7] WENRA Reactor Harmonization Working Group. Safety Reference Levels for Existing Reactors[R]. WENRA, 2014.

[8] EPRI. Advanced Light Water Reactor Utility Requirements Document[S]. California: EPRI, 2008.

[9] EUR. European Utility Requirements for LWR Nuclear Power Plants[S]. Villeurbanne: EUR, 2012.

[10] 國(guó)家能源局. 壓水堆核電廠安全重要流體系統(tǒng)單一故障準(zhǔn)則[S]. 待發(fā)布.

Study on the Redundant Degree of Nuclear Power Plant Safety System

WU Yu-xiang1，SHANG Chen2，YAN Lin1, YUAN Xia2

(1. China Nuclear Power Engineering Co. Ltd, Beijing 100840, China)

This article makes a clarification for the concept of the redundant degree of nuclear power plant safety system, which cannot be simply equivalent to the number of safety trains. The redundant degree of N+1 satisfies the single failure criteria which is a mandatory requirement, and the redundant degree of N+2 is an option for In-service Maintenance. The configurations and redundant degrees of safety systems of the main nuclear power models in the world are further introduced, and the specific relations between the redundant degree and operational flexibility are interpreted. On the basis of the study, the analysis and comparison is performed for two kinds of safety system configurations of three-loop pressurized water reactor, i.e. two trains with a common header and three independent trains. Both designs are of redundant degree of N+1, but are different in the way whether to consider the single failure of passive component (common header). The studies on nuclear safety codes, standards and utility requirements reveal that, the single failure of passive component should not be the decisive factor in selecting the two designs. With the comprehensive consideration of the safety benefit and economic cost, the design of two trains with a common header is more optimized and balanced.

Safety System；Redundant Degree；Single Failure；Passive Component

2016-08-29

國(guó)家高技術(shù)研究發(fā)展計(jì)劃(863計(jì)劃)資助課題 (2012AA050906)

吳宇翔(1983—)，男，安徽人，高級(jí)工程師，博士，現(xiàn)主要從事核電廠總體設(shè)計(jì)

TL364

A

0258-0918(2017)03-0413-09