常 猛，彭雄俊，韓 旭，宋祖榮，*，趙 斌，李大波，孟利利，馬 馳

（1.環(huán)境保護部核與輻射安全中心，北京 100082；2.中核核電運行管理有限公司，海鹽 314300；3.中國核電工程有限公司，北京 100084）

單一故障準則是一項在核能、化工及航天等領(lǐng)域中普遍應(yīng)用的設(shè)計原則，該原則旨在通過冗余設(shè)計提高系統(tǒng)的可靠性，同時又不造成系統(tǒng)過于復(fù)雜［1］。單一故障準則對全面研究系統(tǒng)的可靠性具有重要作用［2］。止回閥是流體控制工程的基本元件，應(yīng)用十分廣泛，它通過制止流體逆流，起到限定流體流動方向，保護其他流體機械及管線安全的作用［3］。在以往的核電廠安全分析中，通常認為止回閥屬于一種非能動的高可靠性設(shè)備，不考慮其失效，其設(shè)計及安全評估中也不涉及對單一故障準則的應(yīng)用［4，5］。但隨著核電廠實際運行經(jīng)驗的積累，越來越多的現(xiàn)場反饋信息顯示，止回閥不但可能失效，而且其失效造成的后果也將非常嚴重。在止回閥相關(guān)設(shè)計及安全評估中應(yīng)用單一故障準則與否是我們面臨的現(xiàn)實問題。

1 核電廠止回閥失效案例分析

1.1 止回閥分類及其主要失效模式

如圖1所示，核電廠典型止回閥主要可分為旋啟式、升降式、雙碟式、斜碟式及截止型，其余的類型歸類為未定義、未知及其他［6］。

止回閥的失效模式可分為卡關(guān)（無法開啟）、卡開（無法關(guān)閉）、卡滯（不能完全開啟、關(guān)閉或給定壓差下不能開啟、關(guān)閉）、水擊（啟閉過速）及結(jié)構(gòu)破壞等。止回閥卡關(guān)將導(dǎo)致所在管線的流體導(dǎo)通功能失效，繼而導(dǎo)致相應(yīng)的系統(tǒng)功能喪失。止回閥卡開將導(dǎo)致管線中工質(zhì)逆流，造成系統(tǒng)設(shè)備損壞或管線阻力增大，或系統(tǒng)功能部分喪失。止回閥水擊通常由于止回閥過速啟閉引起，其直接結(jié)果是導(dǎo)致系統(tǒng)內(nèi)工質(zhì)壓力快速波動，管線及設(shè)備發(fā)生震蕩，如果水擊作用劇烈且系統(tǒng)存在缺陷，則可能引發(fā)系統(tǒng)功能的部分或完全喪失。

如圖1所示，國外核電廠運行經(jīng)驗的反饋提供了各種止回閥的故障占比，各種止回閥的使用占比及定義為二者比值的故障系數(shù)［6］。

圖1 國外核電廠止回閥使用及故障情況Fig.1 Operation and failure status of check valves in foreign NPPs

根據(jù)對上述數(shù)據(jù)的總結(jié)及對不同閥門結(jié)構(gòu)分析的結(jié)論，對各類型止回閥發(fā)生不同事故的可能性進行了比較［6］，見表1。

表1 各類型止回閥發(fā)生不同事故的可能性比較Table 1 Comparison of check valves with different failure modes

1.2 核電廠止回閥失效案例及分析

（1）某核電廠應(yīng)急柴油機多次啟動失?。?］

2011年5月，某核電廠根據(jù)計劃執(zhí)行應(yīng)急柴油機維修后帶載試驗，試驗前維修人員進行了兩次吹車操作。之后，運行人員從就地控制屏上按下啟動按鈕啟動柴油機，由于柴油機在6s內(nèi)沒有達到350 rpm，出現(xiàn)啟動失敗報警并保護停機。經(jīng)就地調(diào)取轉(zhuǎn)速曲線，發(fā)現(xiàn)柴油機最高轉(zhuǎn)速為225 rpm。維修人員再次進行吹車操作后又啟動了兩次，上述故障現(xiàn)象依然存在。

事故后分析表明，止回閥部分開啟，導(dǎo)致管道油流不暢，繼而使管路內(nèi)的空氣不能排出，形成氣堵，最終造成了柴油機啟動階段進油不足而無法啟動。

（2）某核電廠止回閥密封失效影響一回路完整性

2012年4月，某核電廠1號機組在執(zhí)行定期試驗時，發(fā)現(xiàn)RIS 040VP升壓速率為7.2 bar·h-1，RIS 041VP升壓速率為4.2 bar·h-1，RIS 042VP升壓速率為131.4 bar·h-1，密封性均不合格。RIS 040/041/042VP均為高壓安注冷端注入管線止回閥，為一回路邊界，監(jiān)督大綱要求每循環(huán)進行止回閥密封性試驗，要求泄漏率＜60 D（ml·h-1）。止回閥密封性不合格將影響一回路壓力邊界的完整性。

上述問題不會造成即時的事故后果，但可能影響一回路壓力邊界完整性。

（3）某核電廠止回閥失效導(dǎo)致高壓安注系統(tǒng)及安注箱不可用

某核電廠1號機組在一回路降壓至40 bar后，按程序要求驗證安全注入系統(tǒng)安注箱RIS 002BA與一回路連接的止回閥RCP 221VP的開啟功能，在上下游壓差不超過4 bar時應(yīng)正常開啟，而此次驗證壓差達到4 bar時還沒有正常開啟，導(dǎo)致安注箱不能正常投運。

事故分析表明RCP 221VP閥門在給定壓差下不能開啟，即存在卡滯現(xiàn)象。

1.3 關(guān)于置信止回閥可靠性的反思

綜上所述，不能認為止回閥是完全可靠而不發(fā)生事故的，尤其是止回閥卡滯事故，可能在電廠運行的任何階段，在任何系統(tǒng)中發(fā)生。考慮止回閥故障的可能性在非能動電廠安全系統(tǒng)的設(shè)計中尤為重要［1］，美國NRC已經(jīng)在聯(lián)邦法規(guī)10 CFR 50中對止回閥的故障加以高度關(guān)注。

2 應(yīng)用單一故障準則改進止回閥相關(guān)設(shè)計的實踐

2.1 AP1000-PXS系統(tǒng)止回閥的安全評價

AP1000技術(shù)作為第三代核電技術(shù)的代表，是在第二代基礎(chǔ)上研發(fā)的先進輕水堆核電廠［8］，其非能動堆芯冷卻系統(tǒng)(PXS)中包含各種止回閥，有些止回閥必須在靜止的含硼水環(huán)境下長時間（換料時進行試驗，周期為18個月）保持關(guān)閉狀態(tài)后，在較低壓差的情況下打開，如：安全殼內(nèi)置換料水箱（IRWST）和安全殼循環(huán)注入管線上的旋起式止回閥，堆芯補水箱（CMT）注入管線上的斜碟式止回閥，安注箱注入管線上的旋起式止回閥等［9］。這些止回閥工作所處的環(huán)境工況與目前運行的壓水堆（PWR）核電廠安全系統(tǒng)上安裝的止回閥有很大的不同，因此參照已有壓水堆（PWR）核電廠運行經(jīng)驗［10］，認為這些止回閥具有高可靠度的特性，略顯依據(jù)不足。正如本文1.3所述，不能認為止回閥是完全可靠而不發(fā)生事故的。

本文以CMT注入管線上的斜碟式止回閥為例，分析其可能因失效而造成的后果。

如圖2、圖3所示，AP1000-CMT注入管線上設(shè)置有兩個串聯(lián)的止回閥。在CMT安注過程中，只要有一個止回閥發(fā)生卡關(guān)，則安注將不能進行；只要有一個止回閥發(fā)生卡滯，則安注流量將受到影響。鑒于止回閥并非絕對可靠，上述設(shè)計的缺陷顯而易見。如圖2及圖4所示，可應(yīng)用單一故障準則對AP1000-CMT注入管線進行改造，即設(shè)置一個并聯(lián)的止回閥支路。

圖2 改進前注入管線結(jié)構(gòu)示意圖Fig.2 Sketch of pipe design before improvement

圖3 改進前注入管線故障樹Fig.2 Failure tree of pipe design before improvement

表2 改進前頂事件失效概率2E-06Table 2 Failure probability before improvement 2E-06

圖4 改進后注入管線結(jié)構(gòu)示意圖Fig.4 Sketch of pipe design after improvement

圖5 改進后注入管線故障樹Fig.5 Failure tree of pipe design after improvement

表3 改進后頂事件失效概率4E-12Table 3 Failure probability after improvement 4E-12

從表2、表3可以看出，分別以這兩個方案為基礎(chǔ)建立故障樹模型進行分析，結(jié)果顯示， 應(yīng)用單一故障準則進行安注管線設(shè)置后，止回閥卡關(guān)導(dǎo)致CMT安注失效的可能性將大為降低，因止回閥產(chǎn)生卡滯而導(dǎo)致安注流量不足的問題也將得到有效緩解。

2.2 安全注入系統(tǒng)取水管線止回閥設(shè)計

安全注入系統(tǒng)是核電廠重要的專設(shè)安全系統(tǒng)，其可靠性將直接影響到該系統(tǒng)應(yīng)對事故的能力，對保證核電廠安全具有非常重要的作用。在某型第三代核電系統(tǒng)設(shè)計中，安全注入系統(tǒng)考慮采用高壓安注加低壓安注的基本配置，并對高壓安注系統(tǒng)和低壓安注系統(tǒng)設(shè)計進行優(yōu)化，以提高系統(tǒng)可靠性，從而提高該堆型應(yīng)對事故的整體能力。高壓安注泵和低壓安注泵布置在安全殼外的安全廠房內(nèi)，其共用水源為安全殼內(nèi)置換料水箱。為減少安全殼貫穿件數(shù)量，高壓安注泵和低壓安注泵共用一條從內(nèi)置換料水箱取水的母管，當取水母管穿出安全殼后，再以支管形式分別接至高、低壓安注泵吸入口。為滿足系統(tǒng)隔離功能，需在泵入口設(shè)置截止閥和止回閥，就閥門的具體配置方式曾先后提出兩種不同的方案。

方案一：在取水母管上設(shè)置共用的隔離閥和止回閥，如圖6所示。該方案配置簡單，設(shè)備數(shù)量少。

圖6 取水母管設(shè)置共用隔離閥及止回閥方案Fig.6 Design of common supply pipe with common globe valves and check valves

方案二：在取水母管上設(shè)置共用的隔離閥，但考慮在兩個支路上分別設(shè)置止回閥，如圖7所示。

圖7 兩支管分別設(shè)置止回閥方案Fig.7 Design of branch pipes with separated check valves

表4 兩種止回閥設(shè)計方案對比Table 4 Comparison of different designs related to check valves

從表4可以看出，分別以這兩個方案為基礎(chǔ)建立故障樹模型進行分析，結(jié)果顯示，對于方案一，如果系統(tǒng)投入運行，止回閥的卡關(guān)將導(dǎo)致高壓安注和低壓安注同時喪失，即安注系統(tǒng)向堆芯的注水功能將完全喪失，對最終的堆芯熔毀概率的貢獻很大；如果采用方案二，則某一止回閥的卡關(guān)只影響止回閥所在的支路，而另一條支路仍可以發(fā)揮功能，對最終堆芯熔毀概率的貢獻明顯降低。

上述兩個案例的共同特點是止回閥的有效性對系統(tǒng)功能至關(guān)重要，因此是否將單一故障準則應(yīng)用于設(shè)計將對系統(tǒng)的可靠性有明顯的影響。假設(shè)止回閥的失效概率為1次每106堆年，則采用單一故障準則并設(shè)置并聯(lián)支路的設(shè)計將使系統(tǒng)因止回閥故障引起的失效概率大為降低 。

3 基于概率風險分析目標對止回閥相關(guān)設(shè)計應(yīng)用單一故障準則

根據(jù)NUREG/CR-6928中止回閥可用度/不可用度數(shù)據(jù)［11］，止回閥失效打開概率低于1E-5，這說明，雖然在核電廠中出現(xiàn)過多起止回閥失效事故，但從總體上講，止回閥的可靠性仍比其他能動設(shè)備高得多，這就產(chǎn)生了一個問題：什么條件下應(yīng)在止回閥相關(guān)設(shè)計及安全評估中使用單一故障準則。

本文建議基于概率風險分析目標對止回閥相關(guān)設(shè)計應(yīng)用單一故障準則。

概率風險分析目標應(yīng)包括總體設(shè)計目標和對系統(tǒng)可靠性的要求，其中，總體設(shè)計目標包括堆芯熔毀頻率、大規(guī)模放射性物質(zhì)釋放頻率等涉及整個核電廠的概率風險分析目標［12］；系統(tǒng)可靠性的要求則指一套時間和空間標準，在多大的時間和空間尺度內(nèi)確定系統(tǒng)可靠性閾值，從而置信止回閥不發(fā)生故障［13］。確定是否對止回閥相關(guān)設(shè)計應(yīng)用單一故障準則的步驟如圖8所示。

圖8 止回閥設(shè)計應(yīng)用單一故障準則判斷流程圖Fig.8 Using the single failure criterion in design related to check valves

首先確定對象系統(tǒng)有效性的時間及空間閾值，并在此范圍內(nèi)確定某概率作為概率風險分析目標及應(yīng)用單一故障準則的判據(jù)。以止回閥為例，同時考慮其期望概率分級及功能重要度，并加權(quán)計算其可靠性，如果滿足概率風險分析目標，則可不考慮在相關(guān)設(shè)計中使用單一故障準則。

4 結(jié)論

隨著人們對核安全認識的逐步提高和研究的深入，保守的確定論方法也面臨很大的爭議。單一故障準則并不是一個非常合理的要求［14］，在實際應(yīng)用方面還有許多問題。非能動安全系統(tǒng)已成為當今核電發(fā)展的一個趨勢，如AP1000、ABWR等［15］。止回閥在非能動安全系統(tǒng)的設(shè)計中具有非常重要的作用，對于本文所提到的止回閥設(shè)計在單一故障準則方面的應(yīng)用，恰恰體現(xiàn)了在實踐中發(fā)展，在實踐中完善的核安全文化。概率論分析方法彌補了確定論分析方法的不足，把概率論分析方法引入到核電廠設(shè)計中也是發(fā)展的必然。理論上，概率論比確定論方法更合理，更加精確。

本文對核電廠中發(fā)生的幾起止回閥失效案例進行了分析，獲得以下結(jié)論：

（1）應(yīng)重視止回閥發(fā)生失效的可能性，不能將其作為絕對可靠設(shè)備；

（2）鑒于止回閥的可靠性較高，不能采取一刀切的辦法對止回閥相關(guān)設(shè)計及安全評估都應(yīng)用單一故障準則；

（3）應(yīng)基于概率風險分析目標，進而確定是否在止回閥相關(guān)設(shè)計及安全評估中應(yīng)用單一故障準則。

［1］NRC.Appendix A to Part 50 General Design Criteria for Nuclear Power Plants［S］.Washington D.C.：NRC，1991.

［2］國家核安全局.單一故障準則的應(yīng)用手冊和為保障系統(tǒng)可靠性的有關(guān)考慮［S］.北京：國家核安全局，1991.

［3］韓旭，周羽.對沖式止回閥原理及啟閉特性分析［J］.核動力工程，2006：66-69.

［4］美國國家標準學(xué)會. ANSI/ANS-58.9《輕水反應(yīng)堆關(guān)于安全的液體系統(tǒng)的單一故障準則》［S］.華盛頓：美國國家標準學(xué)會，1981.

［5］美國國家標準學(xué)會. ANSI/ANS51.1《固定式壓水堆電廠設(shè)計的核安全準則》［S］. 華盛頓：美國國家標準學(xué)會，1981.

［6］Mcelhaney K L. An analysis of check valve performance characteristics based on valve design［J］. Nuclear Engineering and Design，2000（197）：169-182.

［7］江蘇核電有限公司. 2XKA40柴油機維修后無法正常啟動原因分析及評價報告［R］. 連云港：江蘇核電有限公司，2011.

［8］未永飛，李穎，謝晨江. AP1000與二代壓水堆核電廠的嚴重事故預(yù)防與緩解策略比較［J］. 核安全，2009（4）：42-46.

［9］林城格，郁祖盛.非能動安全先進核電廠AP1000［M］.北京：原子能出版社，2008.

［10］遼寧紅沿河核電有限公司. 遼寧紅沿河核電有限公司1、2號機組初步安全分析報告［R］. 大連：遼寧紅沿河核電有限公司，2006.

［11］NRC. Industry-Average Performance for Components and Initiating Events at U.S. Commercial Nuclear Power Plants［R］.Washington D.C.：NRC，2007.

［12］國家核安全局.HAF 102核動力廠設(shè)計安全規(guī)定［S］.北京：中國法制出版社，2004.

［13］韓旭. 廣義非能動系統(tǒng)概念研究［J］. 核動力工程，2009， 30 (3)：115-118.

［14］湯搏，種毅敏，張和林，等.關(guān)于PRA技術(shù)在國內(nèi)核安全管理中應(yīng)用的若干問題［J］.核安全，2007（3）：10-15.

［15］黃昌蕃， 匡波. 非能動安全系統(tǒng)可靠性評估方法初步研究［J］. 核安全，2012（1）：35-41.