核電站多樣性保護(hù)系統(tǒng)的信號(hào)設(shè)置及驗(yàn)證分析

陳 果 方紅宇 初 曉 徐青藍(lán) 喻 娜

（中國(guó)核動(dòng)力研究設(shè)計(jì)院核反應(yīng)堆系統(tǒng)設(shè)計(jì)技術(shù)重點(diǎn)實(shí)驗(yàn)室，四川 成都 610213）

0 引言

在田灣核電站擴(kuò)建工程5&6 號(hào)機(jī)組上，設(shè)置了多樣性保護(hù)系統(tǒng)（Diverse Actuation System，DAS），用以應(yīng)對(duì)可能發(fā)生的整個(gè)安全級(jí)儀控系統(tǒng)的軟件共模故障（Software Common Cause Failure，SWCCF）。

本文所提的SWCCF 是指發(fā)生在安全級(jí)數(shù)字化儀控平臺(tái)軟件的共模故障。當(dāng)發(fā)生SWCCF 時(shí)，安全級(jí)數(shù)字化儀控平臺(tái)完全失效，從而使得通過(guò)該平臺(tái)實(shí)現(xiàn)的系統(tǒng)或功能失效， 包括正常保護(hù)系統(tǒng)的緊急停堆功能、專設(shè)安全設(shè)施驅(qū)動(dòng)功能等。 在這種情況下，只能通過(guò)不同于該平臺(tái)的非安全級(jí)平臺(tái)進(jìn)行保護(hù)。

DAS 系統(tǒng)采用了獨(dú)立于安全級(jí)數(shù)字化儀控平臺(tái)的非安全級(jí)數(shù)字化儀控平臺(tái)，該系統(tǒng)與反應(yīng)堆保護(hù)系統(tǒng)之間有最大限度的實(shí)體隔離和電氣隔離，不接收經(jīng)反應(yīng)堆保護(hù)系統(tǒng)軟件處理后的信號(hào)，同時(shí)也不送出信號(hào)參與反應(yīng)堆保護(hù)系統(tǒng)的軟件處理，從而滿足了多樣性和獨(dú)立性的設(shè)計(jì)原則。

本文針對(duì)安全級(jí)儀控系統(tǒng)因軟件共模故障而失效，操作員沒(méi)有充分的手動(dòng)干預(yù)時(shí)間的情況下，研究和提出需要在多樣性保護(hù)系統(tǒng)（DAS）中設(shè)置的自動(dòng)保護(hù)信號(hào)和功能，并通過(guò)驗(yàn)證分析，證明依靠DAS 系統(tǒng)能夠保證事故后果滿足相關(guān)驗(yàn)收準(zhǔn)則，為多樣性保護(hù)系統(tǒng)中自動(dòng)保護(hù)信號(hào)的選定及論證提供經(jīng)驗(yàn)。

1 論證方法及驗(yàn)收準(zhǔn)則

DAS 驗(yàn)證分析的目的是評(píng)價(jià)在發(fā)生軟件共模故障的情況下， 多樣性保護(hù)系統(tǒng)的設(shè)計(jì)是否能夠確保反應(yīng)堆裝置的安全。 DAS 驗(yàn)證分析的是始發(fā)事件疊加軟件共模故障SWCCF 的工況， 原則上屬于超設(shè)計(jì)基準(zhǔn)事故分析的范疇，因此應(yīng)采用最佳估算方法（現(xiàn)實(shí)性假設(shè)），主要體現(xiàn)在以下一些方面：不考慮單一故障、不疊加考慮喪失廠外電源、有關(guān)參數(shù)取名義值（如電廠的初始功率、初始溫度、壓力、中子學(xué)參數(shù)、余熱曲線、安注流量、閥門的容量等參數(shù)可以采用現(xiàn)實(shí)性假設(shè)）等。

由于安全級(jí)數(shù)字化儀控平臺(tái)失效，因此不考慮由該平臺(tái)實(shí)現(xiàn)的正常緊急停堆功能和專設(shè)安全設(shè)施驅(qū)動(dòng)功能等，只考慮通過(guò)非安全級(jí)數(shù)字化儀控平臺(tái)實(shí)現(xiàn)的保護(hù)功能（如ATWT 緩解系統(tǒng)等）。 同時(shí)，分析中考慮了不受SWCCF 影響的有關(guān)操縱員手動(dòng)動(dòng)作， 并且假定事故發(fā)生10 分鐘以后操縱員的手動(dòng)緊急停堆和對(duì)專設(shè)安全設(shè)施的操作才有效。

此外，DAS 驗(yàn)證分析的驗(yàn)收準(zhǔn)則與設(shè)計(jì)基準(zhǔn)事故存在差異。 NUREG—0800/BTP7-19 和NUREG/CR—6303 中介紹了有關(guān)的DAS 驗(yàn)證分析驗(yàn)收準(zhǔn)則， 本文基于這些技術(shù)文件中的準(zhǔn)則，并結(jié)合多樣性保護(hù)設(shè)計(jì)原則和DAS 驗(yàn)證分析的目的，對(duì)驗(yàn)收準(zhǔn)則作了進(jìn)一步研究，確定了重要的和具體的驗(yàn)收準(zhǔn)則：要求最佳估算結(jié)果滿足屏障完整性準(zhǔn)則（不能導(dǎo)致一回路壓力邊界和安全殼完整性喪失）、滿足放射性后果準(zhǔn)則、滿足根據(jù)多樣性原則及保證堆芯可冷卻幾何形狀等確定的堆芯狀態(tài)相關(guān)準(zhǔn)則。 針對(duì)具體事故工況及分類，確定的具體驗(yàn)收準(zhǔn)則如表1 所示。

表1 DAS 驗(yàn)證分析驗(yàn)收準(zhǔn)則

2 DAS 驗(yàn)證分析

2.1 驗(yàn)證分析的事故工況

為評(píng)價(jià)SWCCF 對(duì)各個(gè)事故的影響， 本文篩選出17 個(gè)特定事故進(jìn)行分析，包括零功率及滿功率工況下給水流量增加、 零功率及滿功率工況下蒸汽管道破裂、汽輪機(jī)事故停機(jī)、主給水管道破裂、反應(yīng)堆冷卻劑強(qiáng)迫流量完全喪失、反應(yīng)堆冷卻劑泵軸卡住、一組棒束控制組件在次臨界或低功率啟動(dòng)工況下失控抽出、RCCA 組在功率運(yùn)行工況下失控抽出、 單個(gè)控制棒組件彈出、棒束控制組件彈出、一個(gè)穩(wěn)壓器先導(dǎo)安全閥誤開(kāi)、蒸汽發(fā)生器傳熱管破裂、蒸汽發(fā)生器傳熱管破裂加安全閥卡開(kāi)、失水事故以及硼稀釋事故。

2.2 事故分析驗(yàn)證

對(duì)于每一個(gè)事故，首先評(píng)價(jià)發(fā)生SWCCF 時(shí)，采用最佳估算的方法以及本文第2 節(jié)中提到的假設(shè)條件（包括操縱員可在事故發(fā)生10 分鐘后手動(dòng)停堆、執(zhí)行其他必要的安全功能）， 核反應(yīng)堆裝置是否可以轉(zhuǎn)至安全的狀態(tài)。 如果結(jié)果不能滿足安全準(zhǔn)則的要求，則進(jìn)一步研究需要在多樣性保護(hù)系統(tǒng)DAS 中設(shè)置什么自動(dòng)保護(hù)信號(hào)才能確保結(jié)果達(dá)到安全準(zhǔn)則的要求。

因而，驗(yàn)證分析的結(jié)果可分為兩種情況：一種是即使不在DAS 中設(shè)置相應(yīng)的自動(dòng)保護(hù)信號(hào)，事故的結(jié)果也能滿足驗(yàn)收準(zhǔn)則的要求， 如汽輪機(jī)事故停機(jī)等；另一種情況是需要在DAS 中設(shè)置專門的自動(dòng)保護(hù)信號(hào)對(duì)事故后果進(jìn)行緩解，如給水管道破裂事故、失水事故等。

以下分別以汽輪機(jī)事故停機(jī)和給水管道破裂事故、失水事故為例說(shuō)明DAS 驗(yàn)證分析的方法和過(guò)程。

2.2.1 汽輪機(jī)事故停機(jī)

當(dāng)發(fā)生汽輪機(jī)事故停機(jī)的事件時(shí)，二回路蒸汽流量快速減少，排熱能力降低，同時(shí)由于發(fā)生SWCCF，導(dǎo)致通過(guò)安全級(jí)數(shù)字化儀控平臺(tái)實(shí)現(xiàn)的正常緊急停堆功能、大氣排放系統(tǒng)排放功能（GCT-A）及啟動(dòng)輔助給水的功能均失效，導(dǎo)致短時(shí)間內(nèi)一回路冷卻劑的溫度和壓力上升。 考慮了以下兩種不同的工況：

工況A，假設(shè)正常給水不受影響，蒸汽發(fā)生器二次側(cè)依靠蒸汽旁路排放至冷凝器（GCT-C）和蒸汽發(fā)生器安全閥進(jìn)行排熱。

工況B， 假設(shè)正常給水很快喪失， 且能夠觸發(fā)ATWT 緩解系統(tǒng)進(jìn)行保護(hù)。

采用最佳估算的方法，初始電廠狀態(tài)為額定滿功率狀態(tài)，考慮了壽期初和壽期末兩種情況，不考慮通過(guò)安全級(jí)數(shù)字化儀控平臺(tái)實(shí)現(xiàn)功能，并且假設(shè)事故后10 分鐘可以手動(dòng)停堆和啟動(dòng)輔助給水。 分析結(jié)果表明：對(duì)于工況A，正常給水不受影響，發(fā)生汽輪機(jī)事故停機(jī)后，通過(guò)給水、蒸汽發(fā)生器安全閥及GCT-C 可以有效導(dǎo)出堆芯熱量， 并且事故后10 分鐘手動(dòng)停堆降低堆芯功率，10 分鐘后根據(jù)需要手動(dòng)啟動(dòng)輔助給水系統(tǒng)， 確保順利導(dǎo)出堆芯余熱， 瞬態(tài)過(guò)程中最小DNBR及系統(tǒng)壓力均滿足限制準(zhǔn)則的要求；對(duì)于工況B，雖然喪失了正常給水，當(dāng)通過(guò)ATWT 緩解系統(tǒng)觸發(fā)緊急停堆，并且啟動(dòng)輔助給水系統(tǒng)，同樣使得堆芯余熱可以順利導(dǎo)出，最小DNBR 及系統(tǒng)壓力也沒(méi)有超過(guò)限制準(zhǔn)則的要求。

因此， 當(dāng)發(fā)生汽輪機(jī)事故停機(jī)疊加SWCCF 的瞬態(tài)時(shí)，無(wú)論是否可以自動(dòng)觸發(fā)ATWT 緩解系統(tǒng)，事故過(guò)程中不會(huì)發(fā)生偏離泡核沸騰（DNB），系統(tǒng)壓力不會(huì)超限，不需要在DAS 中專門針對(duì)此事故設(shè)置自動(dòng)保護(hù)信號(hào)。

2.2.2 給水管道破裂事故

對(duì)給水管道破裂事故分析同樣考慮是否可能觸發(fā)ATWT 緩解系統(tǒng)兩種工況，分別記為工況1、工況2。

對(duì)于工況1， 發(fā)生主給水管道雙端剪切破裂后，給水流量將瞬時(shí)減為0， 隨后由ATWT 緩解信號(hào)觸發(fā)停堆，同時(shí)延時(shí)一段時(shí)間啟動(dòng)輔助給水泵。 結(jié)果表明，反應(yīng)堆可以得到保護(hù)，堆芯是安全的。 此事故下反應(yīng)堆很快由ATWT 緩解信號(hào)觸發(fā)緊急停堆，核功率急劇下降，且堆芯內(nèi)未發(fā)生DNB， 這也意味著燃料包殼和芯塊的溫度符合限值要求。 事故過(guò)程中一回路系統(tǒng)壓力低于限值，因此一回路壓力邊界的完整性也得到了保障。

此外，對(duì)于給水管道破裂事故，存在這樣的較小破口，其不會(huì)導(dǎo)致流往三臺(tái)蒸汽發(fā)生器的主給水流量都全部喪失，可能存在流往2 臺(tái)或全部蒸汽發(fā)生器的給水流量維持在額定流量的6%以上的情況， 此時(shí)無(wú)法觸發(fā)ATWT 緩解信號(hào)。 此種工況定為工況2，假設(shè)只有某2 臺(tái)蒸汽發(fā)生器的給水流量維持在額定流量的6%，另一臺(tái)蒸汽發(fā)生器的給水流量為0，則ATWT緩解信號(hào)無(wú)法發(fā)出。 工況2 的計(jì)算結(jié)果表明，一回路系統(tǒng)壓力峰值超過(guò)了限值。

通過(guò)工況1 和工況2 的分析可知：對(duì)于可以觸發(fā)ATWT 緩解信號(hào)的較大破口的給水管道破裂事故，不要求在DAS 中設(shè)置其他自動(dòng)保護(hù)信號(hào)；對(duì)于不能觸發(fā)ATWT 緩解信號(hào)的較小破口的給水管道破裂事故，要求在DAS 中設(shè)置其他自動(dòng)保護(hù)信號(hào)。根據(jù)給水管道破裂事故的特點(diǎn)， 反應(yīng)堆一回路系統(tǒng)壓力會(huì)快速上升，因此考慮在DAS 系統(tǒng)中設(shè)置“穩(wěn)壓器壓力高信號(hào)”自動(dòng)觸發(fā)緊急停堆。 同時(shí)，在事故發(fā)生后10 分鐘，操作員啟動(dòng)輔助給水泵向完好SG 注水，帶走堆芯余熱。這一工況記為工況3。

工況3 的計(jì)算結(jié)果表明，對(duì)于DAS 中設(shè)置穩(wěn)壓器壓力高緊急停堆保護(hù)的情況下， 在10 分鐘后手動(dòng)隔離破損SG，啟動(dòng)輔助給水系統(tǒng)；堆芯未發(fā)生DNB，燃料包殼和芯塊不會(huì)發(fā)生損毀， 反應(yīng)堆堆芯是安全的；一回路峰值壓力為17.46MPa，未超過(guò)壓力限值，一回路壓力邊界的完整性也得到了保障。

對(duì)于可以自動(dòng)觸發(fā)ATWT 緩解信號(hào)的較大破口的主給水系統(tǒng)管道破裂事故，ATWT 緩解系統(tǒng)可以有效保護(hù)反應(yīng)堆，不要求在DAS 中設(shè)置其他的自動(dòng)保護(hù)信號(hào)。對(duì)于無(wú)法觸發(fā)ATWT 緩解信號(hào)的較小破口的主給水系統(tǒng)管道破裂事故，要求在DAS 中設(shè)置“穩(wěn)壓器壓力高緊急停堆信號(hào)”。

2.2.3 失水事故（大LOCA）

SWCCF 導(dǎo)致安全級(jí)數(shù)字化儀控平臺(tái)完全失效，將導(dǎo)致自動(dòng)停堆失效、自動(dòng)啟動(dòng)安注功能失效、自動(dòng)停運(yùn)主給水泵和自動(dòng)啟動(dòng)輔助給水泵等失效。

分析中假定事故發(fā)生后10 分鐘操縱員手動(dòng)停堆、執(zhí)行專設(shè)安全功能。 結(jié)果表明，在安注箱注入完成后，由于反應(yīng)堆在較長(zhǎng)時(shí)間內(nèi)沒(méi)有冷卻堆芯所需的足夠安注流量， 直至事故后10 分鐘操縱員才手動(dòng)啟動(dòng)安注，事故發(fā)生后燃料包殼溫度超過(guò)了1 204℃，不滿足驗(yàn)收準(zhǔn)則，因此需要在DAS 中專門針對(duì)此工況設(shè)置自動(dòng)保護(hù)信號(hào)。

根據(jù)大LOCA 的事故進(jìn)程特征，選擇穩(wěn)壓器壓力低信號(hào)觸發(fā)停堆和穩(wěn)壓器壓力低低信號(hào)觸發(fā)安注，不考慮設(shè)置其他保護(hù)功能，結(jié)果表明，在這一工況下燃料包殼峰值溫度為961.3℃，不會(huì)超過(guò)限值（1204℃），滿足驗(yàn)收準(zhǔn)則的要求。 因而，需要在DAS 中設(shè)置穩(wěn)壓器壓力低停堆信號(hào)和穩(wěn)壓器壓力低低安注信號(hào)，為反應(yīng)堆提供必要的保護(hù)。

2.2.4 DAS 驗(yàn)證分析結(jié)果

通過(guò)對(duì)2.1 節(jié)中提及的17 個(gè)事故進(jìn)行驗(yàn)證分析，主要結(jié)果如表2 所示。

表2 DAS 驗(yàn)證分析結(jié)果

總體而言，為應(yīng)對(duì)安全級(jí)儀控系統(tǒng)發(fā)生SWCCF 所帶來(lái)的影響，需要在DAS 中設(shè)置的自動(dòng)保護(hù)信號(hào)如下：

（1）自動(dòng)停堆信號(hào)

功率量程中子注量率高自動(dòng)緊急停堆信號(hào)。

穩(wěn)壓器壓力高自動(dòng)緊急停堆信號(hào)。

穩(wěn)壓器壓力低與P7 符合自動(dòng)緊急停堆信號(hào)。

兩臺(tái)環(huán)路反應(yīng)堆冷卻劑流量低信號(hào)（與P7 符合）自動(dòng)緊急停堆信號(hào)。

（2）專設(shè)驅(qū)動(dòng)信號(hào)

穩(wěn)壓器壓力低低自動(dòng)安注信號(hào)。

蒸汽流量高與低補(bǔ)償蒸汽壓力符合自動(dòng)隔離主蒸汽信號(hào)。

3 結(jié)語(yǔ)

本文采用最佳估算的方法，對(duì)初因事件疊加軟件共模故障的工況進(jìn)行了分析，提出了需要在多樣性保護(hù)系統(tǒng)DAS 中設(shè)置的緊急停堆信號(hào)和專設(shè)驅(qū)動(dòng)信號(hào)，從而確保了田灣核電站擴(kuò)建工程5&6 號(hào)機(jī)組在該類故障下仍然能夠處于安全可控的狀態(tài)。