常 猛，彭雄俊，韓 旭，宋祖榮，*，趙 斌，李大波，孟利利，馬 馳

（1.環(huán)境保護(hù)部核與輻射安全中心，北京 100082；2.中核核電運(yùn)行管理有限公司，海鹽 314300；3.中國(guó)核電工程有限公司，北京 100084）

單一故障準(zhǔn)則是一項(xiàng)在核能、化工及航天等領(lǐng)域中普遍應(yīng)用的設(shè)計(jì)原則，該原則旨在通過冗余設(shè)計(jì)提高系統(tǒng)的可靠性，同時(shí)又不造成系統(tǒng)過于復(fù)雜［1］。單一故障準(zhǔn)則對(duì)全面研究系統(tǒng)的可靠性具有重要作用［2］。止回閥是流體控制工程的基本元件，應(yīng)用十分廣泛，它通過制止流體逆流，起到限定流體流動(dòng)方向，保護(hù)其他流體機(jī)械及管線安全的作用［3］。在以往的核電廠安全分析中，通常認(rèn)為止回閥屬于一種非能動(dòng)的高可靠性設(shè)備，不考慮其失效，其設(shè)計(jì)及安全評(píng)估中也不涉及對(duì)單一故障準(zhǔn)則的應(yīng)用［4，5］。但隨著核電廠實(shí)際運(yùn)行經(jīng)驗(yàn)的積累，越來(lái)越多的現(xiàn)場(chǎng)反饋信息顯示，止回閥不但可能失效，而且其失效造成的后果也將非常嚴(yán)重。在止回閥相關(guān)設(shè)計(jì)及安全評(píng)估中應(yīng)用單一故障準(zhǔn)則與否是我們面臨的現(xiàn)實(shí)問題。

1 核電廠止回閥失效案例分析

1.1 止回閥分類及其主要失效模式

如圖1所示，核電廠典型止回閥主要可分為旋啟式、升降式、雙碟式、斜碟式及截止型，其余的類型歸類為未定義、未知及其他［6］。

止回閥的失效模式可分為卡關(guān)（無(wú)法開啟）、卡開（無(wú)法關(guān)閉）、卡滯（不能完全開啟、關(guān)閉或給定壓差下不能開啟、關(guān)閉）、水擊（啟閉過速）及結(jié)構(gòu)破壞等。止回閥卡關(guān)將導(dǎo)致所在管線的流體導(dǎo)通功能失效，繼而導(dǎo)致相應(yīng)的系統(tǒng)功能喪失。止回閥卡開將導(dǎo)致管線中工質(zhì)逆流，造成系統(tǒng)設(shè)備損壞或管線阻力增大，或系統(tǒng)功能部分喪失。止回閥水擊通常由于止回閥過速啟閉引起，其直接結(jié)果是導(dǎo)致系統(tǒng)內(nèi)工質(zhì)壓力快速波動(dòng)，管線及設(shè)備發(fā)生震蕩，如果水擊作用劇烈且系統(tǒng)存在缺陷，則可能引發(fā)系統(tǒng)功能的部分或完全喪失。

如圖1所示，國(guó)外核電廠運(yùn)行經(jīng)驗(yàn)的反饋提供了各種止回閥的故障占比，各種止回閥的使用占比及定義為二者比值的故障系數(shù)［6］。

圖1 國(guó)外核電廠止回閥使用及故障情況Fig.1 Operation and failure status of check valves in foreign NPPs

根據(jù)對(duì)上述數(shù)據(jù)的總結(jié)及對(duì)不同閥門結(jié)構(gòu)分析的結(jié)論，對(duì)各類型止回閥發(fā)生不同事故的可能性進(jìn)行了比較［6］，見表1。

表1 各類型止回閥發(fā)生不同事故的可能性比較Table 1 Comparison of check valves with different failure modes

1.2 核電廠止回閥失效案例及分析

（1）某核電廠應(yīng)急柴油機(jī)多次啟動(dòng)失?。?］

2011年5月，某核電廠根據(jù)計(jì)劃執(zhí)行應(yīng)急柴油機(jī)維修后帶載試驗(yàn)，試驗(yàn)前維修人員進(jìn)行了兩次吹車操作。之后，運(yùn)行人員從就地控制屏上按下啟動(dòng)按鈕啟動(dòng)柴油機(jī)，由于柴油機(jī)在6s內(nèi)沒有達(dá)到350 rpm，出現(xiàn)啟動(dòng)失敗報(bào)警并保護(hù)停機(jī)。經(jīng)就地調(diào)取轉(zhuǎn)速曲線，發(fā)現(xiàn)柴油機(jī)最高轉(zhuǎn)速為225 rpm。維修人員再次進(jìn)行吹車操作后又啟動(dòng)了兩次，上述故障現(xiàn)象依然存在。

事故后分析表明，止回閥部分開啟，導(dǎo)致管道油流不暢，繼而使管路內(nèi)的空氣不能排出，形成氣堵，最終造成了柴油機(jī)啟動(dòng)階段進(jìn)油不足而無(wú)法啟動(dòng)。

（2）某核電廠止回閥密封失效影響一回路完整性

2012年4月，某核電廠1號(hào)機(jī)組在執(zhí)行定期試驗(yàn)時(shí)，發(fā)現(xiàn)RIS 040VP升壓速率為7.2 bar·h-1，RIS 041VP升壓速率為4.2 bar·h-1，RIS 042VP升壓速率為131.4 bar·h-1，密封性均不合格。RIS 040/041/042VP均為高壓安注冷端注入管線止回閥，為一回路邊界，監(jiān)督大綱要求每循環(huán)進(jìn)行止回閥密封性試驗(yàn)，要求泄漏率＜60 D（ml·h-1）。止回閥密封性不合格將影響一回路壓力邊界的完整性。

上述問題不會(huì)造成即時(shí)的事故后果，但可能影響一回路壓力邊界完整性。

（3）某核電廠止回閥失效導(dǎo)致高壓安注系統(tǒng)及安注箱不可用

某核電廠1號(hào)機(jī)組在一回路降壓至40 bar后，按程序要求驗(yàn)證安全注入系統(tǒng)安注箱RIS 002BA與一回路連接的止回閥RCP 221VP的開啟功能，在上下游壓差不超過4 bar時(shí)應(yīng)正常開啟，而此次驗(yàn)證壓差達(dá)到4 bar時(shí)還沒有正常開啟，導(dǎo)致安注箱不能正常投運(yùn)。

事故分析表明RCP 221VP閥門在給定壓差下不能開啟，即存在卡滯現(xiàn)象。

1.3 關(guān)于置信止回閥可靠性的反思

綜上所述，不能認(rèn)為止回閥是完全可靠而不發(fā)生事故的，尤其是止回閥卡滯事故，可能在電廠運(yùn)行的任何階段，在任何系統(tǒng)中發(fā)生?？紤]止回閥故障的可能性在非能動(dòng)電廠安全系統(tǒng)的設(shè)計(jì)中尤為重要［1］，美國(guó)NRC已經(jīng)在聯(lián)邦法規(guī)10 CFR 50中對(duì)止回閥的故障加以高度關(guān)注。

2 應(yīng)用單一故障準(zhǔn)則改進(jìn)止回閥相關(guān)設(shè)計(jì)的實(shí)踐

2.1 AP1000-PXS系統(tǒng)止回閥的安全評(píng)價(jià)

AP1000技術(shù)作為第三代核電技術(shù)的代表，是在第二代基礎(chǔ)上研發(fā)的先進(jìn)輕水堆核電廠［8］，其非能動(dòng)堆芯冷卻系統(tǒng)(PXS)中包含各種止回閥，有些止回閥必須在靜止的含硼水環(huán)境下長(zhǎng)時(shí)間（換料時(shí)進(jìn)行試驗(yàn)，周期為18個(gè)月）保持關(guān)閉狀態(tài)后，在較低壓差的情況下打開，如：安全殼內(nèi)置換料水箱（IRWST）和安全殼循環(huán)注入管線上的旋起式止回閥，堆芯補(bǔ)水箱（CMT）注入管線上的斜碟式止回閥，安注箱注入管線上的旋起式止回閥等［9］。這些止回閥工作所處的環(huán)境工況與目前運(yùn)行的壓水堆（PWR）核電廠安全系統(tǒng)上安裝的止回閥有很大的不同，因此參照已有壓水堆（PWR）核電廠運(yùn)行經(jīng)驗(yàn)［10］，認(rèn)為這些止回閥具有高可靠度的特性，略顯依據(jù)不足。正如本文1.3所述，不能認(rèn)為止回閥是完全可靠而不發(fā)生事故的。

本文以CMT注入管線上的斜碟式止回閥為例，分析其可能因失效而造成的后果。

如圖2、圖3所示，AP1000-CMT注入管線上設(shè)置有兩個(gè)串聯(lián)的止回閥。在CMT安注過程中，只要有一個(gè)止回閥發(fā)生卡關(guān)，則安注將不能進(jìn)行；只要有一個(gè)止回閥發(fā)生卡滯，則安注流量將受到影響。鑒于止回閥并非絕對(duì)可靠，上述設(shè)計(jì)的缺陷顯而易見。如圖2及圖4所示，可應(yīng)用單一故障準(zhǔn)則對(duì)AP1000-CMT注入管線進(jìn)行改造，即設(shè)置一個(gè)并聯(lián)的止回閥支路。

圖2 改進(jìn)前注入管線結(jié)構(gòu)示意圖Fig.2 Sketch of pipe design before improvement

圖3 改進(jìn)前注入管線故障樹Fig.2 Failure tree of pipe design before improvement

表2 改進(jìn)前頂事件失效概率2E-06Table 2 Failure probability before improvement 2E-06

圖4 改進(jìn)后注入管線結(jié)構(gòu)示意圖Fig.4 Sketch of pipe design after improvement

圖5 改進(jìn)后注入管線故障樹Fig.5 Failure tree of pipe design after improvement

表3 改進(jìn)后頂事件失效概率4E-12Table 3 Failure probability after improvement 4E-12

從表2、表3可以看出，分別以這兩個(gè)方案為基礎(chǔ)建立故障樹模型進(jìn)行分析，結(jié)果顯示， 應(yīng)用單一故障準(zhǔn)則進(jìn)行安注管線設(shè)置后，止回閥卡關(guān)導(dǎo)致CMT安注失效的可能性將大為降低，因止回閥產(chǎn)生卡滯而導(dǎo)致安注流量不足的問題也將得到有效緩解。

2.2 安全注入系統(tǒng)取水管線止回閥設(shè)計(jì)

安全注入系統(tǒng)是核電廠重要的專設(shè)安全系統(tǒng)，其可靠性將直接影響到該系統(tǒng)應(yīng)對(duì)事故的能力，對(duì)保證核電廠安全具有非常重要的作用。在某型第三代核電系統(tǒng)設(shè)計(jì)中，安全注入系統(tǒng)考慮采用高壓安注加低壓安注的基本配置，并對(duì)高壓安注系統(tǒng)和低壓安注系統(tǒng)設(shè)計(jì)進(jìn)行優(yōu)化，以提高系統(tǒng)可靠性，從而提高該堆型應(yīng)對(duì)事故的整體能力。高壓安注泵和低壓安注泵布置在安全殼外的安全廠房?jī)?nèi)，其共用水源為安全殼內(nèi)置換料水箱。為減少安全殼貫穿件數(shù)量，高壓安注泵和低壓安注泵共用一條從內(nèi)置換料水箱取水的母管，當(dāng)取水母管穿出安全殼后，再以支管形式分別接至高、低壓安注泵吸入口。為滿足系統(tǒng)隔離功能，需在泵入口設(shè)置截止閥和止回閥，就閥門的具體配置方式曾先后提出兩種不同的方案。

方案一：在取水母管上設(shè)置共用的隔離閥和止回閥，如圖6所示。該方案配置簡(jiǎn)單，設(shè)備數(shù)量少。

圖6 取水母管設(shè)置共用隔離閥及止回閥方案Fig.6 Design of common supply pipe with common globe valves and check valves

方案二：在取水母管上設(shè)置共用的隔離閥，但考慮在兩個(gè)支路上分別設(shè)置止回閥，如圖7所示。

圖7 兩支管分別設(shè)置止回閥方案Fig.7 Design of branch pipes with separated check valves

表4 兩種止回閥設(shè)計(jì)方案對(duì)比Table 4 Comparison of different designs related to check valves

從表4可以看出，分別以這兩個(gè)方案為基礎(chǔ)建立故障樹模型進(jìn)行分析，結(jié)果顯示，對(duì)于方案一，如果系統(tǒng)投入運(yùn)行，止回閥的卡關(guān)將導(dǎo)致高壓安注和低壓安注同時(shí)喪失，即安注系統(tǒng)向堆芯的注水功能將完全喪失，對(duì)最終的堆芯熔毀概率的貢獻(xiàn)很大；如果采用方案二，則某一止回閥的卡關(guān)只影響止回閥所在的支路，而另一條支路仍可以發(fā)揮功能，對(duì)最終堆芯熔毀概率的貢獻(xiàn)明顯降低。

上述兩個(gè)案例的共同特點(diǎn)是止回閥的有效性對(duì)系統(tǒng)功能至關(guān)重要，因此是否將單一故障準(zhǔn)則應(yīng)用于設(shè)計(jì)將對(duì)系統(tǒng)的可靠性有明顯的影響。假設(shè)止回閥的失效概率為1次每106堆年，則采用單一故障準(zhǔn)則并設(shè)置并聯(lián)支路的設(shè)計(jì)將使系統(tǒng)因止回閥故障引起的失效概率大為降低 。

3 基于概率風(fēng)險(xiǎn)分析目標(biāo)對(duì)止回閥相關(guān)設(shè)計(jì)應(yīng)用單一故障準(zhǔn)則

根據(jù)NUREG/CR-6928中止回閥可用度/不可用度數(shù)據(jù)［11］，止回閥失效打開概率低于1E-5，這說明，雖然在核電廠中出現(xiàn)過多起止回閥失效事故，但從總體上講，止回閥的可靠性仍比其他能動(dòng)設(shè)備高得多，這就產(chǎn)生了一個(gè)問題：什么條件下應(yīng)在止回閥相關(guān)設(shè)計(jì)及安全評(píng)估中使用單一故障準(zhǔn)則。

本文建議基于概率風(fēng)險(xiǎn)分析目標(biāo)對(duì)止回閥相關(guān)設(shè)計(jì)應(yīng)用單一故障準(zhǔn)則。

概率風(fēng)險(xiǎn)分析目標(biāo)應(yīng)包括總體設(shè)計(jì)目標(biāo)和對(duì)系統(tǒng)可靠性的要求，其中，總體設(shè)計(jì)目標(biāo)包括堆芯熔毀頻率、大規(guī)模放射性物質(zhì)釋放頻率等涉及整個(gè)核電廠的概率風(fēng)險(xiǎn)分析目標(biāo)［12］；系統(tǒng)可靠性的要求則指一套時(shí)間和空間標(biāo)準(zhǔn)，在多大的時(shí)間和空間尺度內(nèi)確定系統(tǒng)可靠性閾值，從而置信止回閥不發(fā)生故障［13］。確定是否對(duì)止回閥相關(guān)設(shè)計(jì)應(yīng)用單一故障準(zhǔn)則的步驟如圖8所示。

圖8 止回閥設(shè)計(jì)應(yīng)用單一故障準(zhǔn)則判斷流程圖Fig.8 Using the single failure criterion in design related to check valves

首先確定對(duì)象系統(tǒng)有效性的時(shí)間及空間閾值，并在此范圍內(nèi)確定某概率作為概率風(fēng)險(xiǎn)分析目標(biāo)及應(yīng)用單一故障準(zhǔn)則的判據(jù)。以止回閥為例，同時(shí)考慮其期望概率分級(jí)及功能重要度，并加權(quán)計(jì)算其可靠性，如果滿足概率風(fēng)險(xiǎn)分析目標(biāo)，則可不考慮在相關(guān)設(shè)計(jì)中使用單一故障準(zhǔn)則。

4 結(jié)論

隨著人們對(duì)核安全認(rèn)識(shí)的逐步提高和研究的深入，保守的確定論方法也面臨很大的爭(zhēng)議。單一故障準(zhǔn)則并不是一個(gè)非常合理的要求［14］，在實(shí)際應(yīng)用方面還有許多問題。非能動(dòng)安全系統(tǒng)已成為當(dāng)今核電發(fā)展的一個(gè)趨勢(shì)，如AP1000、ABWR等［15］。止回閥在非能動(dòng)安全系統(tǒng)的設(shè)計(jì)中具有非常重要的作用，對(duì)于本文所提到的止回閥設(shè)計(jì)在單一故障準(zhǔn)則方面的應(yīng)用，恰恰體現(xiàn)了在實(shí)踐中發(fā)展，在實(shí)踐中完善的核安全文化。概率論分析方法彌補(bǔ)了確定論分析方法的不足，把概率論分析方法引入到核電廠設(shè)計(jì)中也是發(fā)展的必然。理論上，概率論比確定論方法更合理，更加精確。

本文對(duì)核電廠中發(fā)生的幾起止回閥失效案例進(jìn)行了分析，獲得以下結(jié)論：

（1）應(yīng)重視止回閥發(fā)生失效的可能性，不能將其作為絕對(duì)可靠設(shè)備；

（2）鑒于止回閥的可靠性較高，不能采取一刀切的辦法對(duì)止回閥相關(guān)設(shè)計(jì)及安全評(píng)估都應(yīng)用單一故障準(zhǔn)則；

（3）應(yīng)基于概率風(fēng)險(xiǎn)分析目標(biāo)，進(jìn)而確定是否在止回閥相關(guān)設(shè)計(jì)及安全評(píng)估中應(yīng)用單一故障準(zhǔn)則。

［1］NRC.Appendix A to Part 50 General Design Criteria for Nuclear Power Plants［S］.Washington D.C.：NRC，1991.

［2］國(guó)家核安全局.單一故障準(zhǔn)則的應(yīng)用手冊(cè)和為保障系統(tǒng)可靠性的有關(guān)考慮［S］.北京：國(guó)家核安全局，1991.

［3］韓旭，周羽.對(duì)沖式止回閥原理及啟閉特性分析［J］.核動(dòng)力工程，2006：66-69.

［4］美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì). ANSI/ANS-58.9《輕水反應(yīng)堆關(guān)于安全的液體系統(tǒng)的單一故障準(zhǔn)則》［S］.華盛頓：美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)，1981.

［5］美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì). ANSI/ANS51.1《固定式壓水堆電廠設(shè)計(jì)的核安全準(zhǔn)則》［S］. 華盛頓：美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)，1981.

［6］Mcelhaney K L. An analysis of check valve performance characteristics based on valve design［J］. Nuclear Engineering and Design，2000（197）：169-182.

［7］江蘇核電有限公司. 2XKA40柴油機(jī)維修后無(wú)法正常啟動(dòng)原因分析及評(píng)價(jià)報(bào)告［R］. 連云港：江蘇核電有限公司，2011.

［8］未永飛，李穎，謝晨江. AP1000與二代壓水堆核電廠的嚴(yán)重事故預(yù)防與緩解策略比較［J］. 核安全，2009（4）：42-46.

［9］林城格，郁祖盛.非能動(dòng)安全先進(jìn)核電廠AP1000［M］.北京：原子能出版社，2008.

［10］遼寧紅沿河核電有限公司. 遼寧紅沿河核電有限公司1、2號(hào)機(jī)組初步安全分析報(bào)告［R］. 大連：遼寧紅沿河核電有限公司，2006.

［11］NRC. Industry-Average Performance for Components and Initiating Events at U.S. Commercial Nuclear Power Plants［R］.Washington D.C.：NRC，2007.

［12］國(guó)家核安全局.HAF 102核動(dòng)力廠設(shè)計(jì)安全規(guī)定［S］.北京：中國(guó)法制出版社，2004.

［13］韓旭. 廣義非能動(dòng)系統(tǒng)概念研究［J］. 核動(dòng)力工程，2009， 30 (3)：115-118.

［14］湯搏，種毅敏，張和林，等.關(guān)于PRA技術(shù)在國(guó)內(nèi)核安全管理中應(yīng)用的若干問題［J］.核安全，2007（3）：10-15.

［15］黃昌蕃， 匡波. 非能動(dòng)安全系統(tǒng)可靠性評(píng)估方法初步研究［J］. 核安全，2012（1）：35-41.