李永進(jìn) 劉洋

【摘 要】結(jié)合臺(tái)山EPR總體儀控試驗(yàn)設(shè)計(jì)策劃的方法，系統(tǒng)闡述試驗(yàn)程序結(jié)構(gòu)設(shè)計(jì)過程中的識(shí)別初始事件、排除驗(yàn)證工況和優(yōu)化程序結(jié)構(gòu)三個(gè)關(guān)鍵過程。通過對(duì)試驗(yàn)設(shè)計(jì)方法的淺析，旨在為后續(xù)中方企業(yè)自主規(guī)劃和設(shè)計(jì)先進(jìn)核電站總體儀控試驗(yàn)提供借鑒和參考。

【關(guān)鍵詞】總體儀控；最終安全分析報(bào)告；單一故障；失電試驗(yàn)；切換試驗(yàn)

中圖分類號(hào)： TM623 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 2095-2457（2018）13-0045-003

DOI：10.19694/j.cnki.issn2095-2457.2018.13.020

【Abstract】Combined with Taishan EPR Overall I&C; test design methodology，this document will give a detail description about how to build the Overall I&C; test structure with three Key steps：Identify initial events，Eliminate tested scenarios，Optimize test structures.The purpose for this overview introduction is to support other Chinese groups to design and build the similar Overall I&C; test structures for new developed nuclear power plant.

【Key words】Overall I&C;；Finally Safety Analysis Report；Single Failure；Power loss test；Switchover test

0 引言

臺(tái)山核電廠1、2號(hào)機(jī)組采用歐洲壓水堆核電廠（EPRTM）機(jī)組。由AREVA聯(lián)合EDF以及德國(guó)用戶開發(fā)，以法國(guó)N4和德國(guó)KONVOI機(jī)組為基礎(chǔ)，采用先進(jìn)核電技術(shù)演變而來。

EPR核電機(jī)組采用全新供電方式，廠用電系統(tǒng)接線設(shè)計(jì)為4列x 50%冗余，滿足N+2原則。執(zhí)行安全功能的電氣系統(tǒng)在各種運(yùn)行瞬態(tài)和假設(shè)事故狀態(tài)下，即使一列檢修加上一列單一故障仍然可以保證安全功能。因此，EPR與CPR1000機(jī)組供電方式不同。

對(duì)于安全級(jí)系統(tǒng)，冗余序列的數(shù)量滿足N+2準(zhǔn)則：

N=正常運(yùn)行時(shí)所需要的列數(shù)（如果單列=100%能力，則只需1列；如果單列=50%能力，則需2列；如果單列=33%能力，則需3列）

+2=除了正常運(yùn)行所需的N外，還附加同樣容量的兩列作為備用，用于應(yīng)對(duì)兩種特殊運(yùn)行工況：1）發(fā)生事故而喪失一列；2）計(jì)劃維修而導(dǎo)致一列不可用。

基于EPR全新的供電方式和儀控設(shè)計(jì)，AREVA聯(lián)合臺(tái)山調(diào)試團(tuán)隊(duì)為臺(tái)山EPR設(shè)計(jì)和策劃了全新的總體儀控試驗(yàn)程序結(jié)構(gòu)體系，并且將其命名為OIC試驗(yàn)（Overall I&C; test）。該試驗(yàn)為核島綜合性聯(lián)調(diào)試驗(yàn)，包括機(jī)組降級(jí)運(yùn)行試驗(yàn)、儀控系統(tǒng)切換試驗(yàn)、儀控系統(tǒng)性能試驗(yàn)和特殊工況試驗(yàn)等類別，用以驗(yàn)證核島工藝和儀控系統(tǒng)設(shè)計(jì)，同時(shí)滿足儀控系統(tǒng)試驗(yàn)驗(yàn)證策略完整性的要求。

本分析報(bào)告將淺述EPR總體儀控試驗(yàn)的設(shè)計(jì)策劃方法，用于為后續(xù)機(jī)組策劃類似大型試驗(yàn)提供指導(dǎo)和借鑒。

1 EPR總體儀控試驗(yàn)設(shè)計(jì)總述

EPR核電機(jī)組作為三代商用核電機(jī)組，其設(shè)計(jì)理念和運(yùn)行方式不同與傳統(tǒng)的國(guó)內(nèi)二代核電機(jī)組CPR1000。僅僅在儀控系統(tǒng)和電氣系統(tǒng)設(shè)計(jì)方面，與CPR1000機(jī)組相比，就有非常大的變化，所以適用于CPR1000機(jī)組的總體儀控試驗(yàn)設(shè)計(jì)策略不再適用于EPR核電機(jī)組。對(duì)于EPR機(jī)組來說，需要重新研究和設(shè)計(jì)與其相對(duì)應(yīng)的總體儀控試驗(yàn)策略。

根據(jù)臺(tái)山核電站最終安全分析報(bào)告FSAR（Final Safety Analysis Report）第7章中的設(shè)計(jì)承諾，儀控系統(tǒng)要能夠防御內(nèi)部和外部災(zāi)害所導(dǎo)致的共模故障。在各種災(zāi)害之下，儀控系統(tǒng)可以通過降級(jí)運(yùn)行、運(yùn)行模式切換等手段實(shí)現(xiàn)電站的安全控制，嚴(yán)重事故情況時(shí)可以通過安全停堆來保護(hù)核電站。

由于EPR核電機(jī)組不僅工藝和電氣系統(tǒng)采用了冗余的安全序列供電方式，DCS設(shè)備也采用了雙路冗余供電的模式，所以單一電源失電（單一故障）不會(huì)對(duì)機(jī)組產(chǎn)生較大的影響。然而，在電站正常運(yùn)行階段，仍然存在著其它各種誘因，使得儀控系統(tǒng)必然存在眾多潛在風(fēng)險(xiǎn)，從而導(dǎo)致部分功能不能正常運(yùn)行甚至不可用，此類潛在風(fēng)險(xiǎn)來自于：

1）電站正常運(yùn)行期間的維修工作，需要停運(yùn)部分機(jī)柜或者設(shè)備；

2）電站外部災(zāi)害，導(dǎo)致某一區(qū)域的儀控設(shè)備無法正常工作。比如飛機(jī)撞擊；

3）電站內(nèi)部災(zāi)害，導(dǎo)致部分儀控設(shè)備不可用；比如特定區(qū)域的蓄電池組爆炸；

4）儀控系統(tǒng)組件故障，比如卡件故障、網(wǎng)關(guān)失效、總線通訊喪失等；

5）儀控支持系統(tǒng)故障，比如供電故障、通風(fēng)喪失、冷卻喪失等；

……

正因上述潛在風(fēng)險(xiǎn)的存在，所以儀控系統(tǒng)在最初設(shè)計(jì)階段已經(jīng)協(xié)同機(jī)組總體設(shè)計(jì)，配套設(shè)計(jì)考慮了機(jī)組運(yùn)行階段的降級(jí)運(yùn)行及運(yùn)行模式切換等各種運(yùn)行方式。同時(shí)，上述風(fēng)險(xiǎn)也為總體儀控試驗(yàn)設(shè)計(jì)提出了新的要求。在設(shè)計(jì)策劃試驗(yàn)階段，不應(yīng)該將總體儀控試驗(yàn)僅僅定位于儀控系統(tǒng)自身的范疇，而應(yīng)該結(jié)合設(shè)計(jì)初始分析后適當(dāng)擴(kuò)大試驗(yàn)范圍，從總體儀控的角度出發(fā)考慮對(duì)機(jī)組整體運(yùn)行的影響。

結(jié)合EPR機(jī)組最終安全分析報(bào)告的設(shè)計(jì)承諾，EPR總體儀控試驗(yàn)設(shè)計(jì)從機(jī)組總體設(shè)計(jì)及運(yùn)行的角度出發(fā)，統(tǒng)籌考慮了儀控、電氣及各工藝系統(tǒng)的設(shè)計(jì)特點(diǎn)，最終完成了試驗(yàn)框架的設(shè)計(jì)和策劃工作。

總體而言，EPR核電廠總體儀控試驗(yàn)設(shè)計(jì)可以分為如下三個(gè)階段：識(shí)別初始事件、排除驗(yàn)證工況和優(yōu)化程序結(jié)構(gòu)。

2 EPR核電廠總體儀控試驗(yàn)設(shè)計(jì)方法簡(jiǎn)介

2.1 識(shí)別初始事件

作為設(shè)計(jì)策劃總體儀控試驗(yàn)的第一步，識(shí)別初始事件主要通過對(duì)輸入文件的分析來完成。通過對(duì)最終安全分析報(bào)告（FSAR）、電站運(yùn)行技術(shù)規(guī)范（OTS）、EPR核電廠應(yīng)急事故程序（EOP）和儀控系統(tǒng)總體設(shè)計(jì)文件等輸入文件的分析，確定導(dǎo)致儀控系統(tǒng)及電站降級(jí)運(yùn)行的所有初始事件。

本階段工作主要基于如下設(shè)計(jì)分析展開：

1）EPR機(jī)組總體運(yùn)行設(shè)計(jì)文件分析（源于FSAR，包括預(yù)防性維修策略PM），主要用于研究分析機(jī)組運(yùn)行期間的特殊運(yùn)行工況管理；

2）EPR設(shè)計(jì)基準(zhǔn)工況（DBC）/超設(shè)計(jì)工況（DEC）設(shè)計(jì)分析（源于FSAR，包括單一故障準(zhǔn)則），主要用于研究適用于總體儀控試驗(yàn)的驗(yàn)證工況；

3）運(yùn)行技術(shù)規(guī)范分析（OTS），主要用于試驗(yàn)驗(yàn)證范圍及內(nèi)容的確定；

4）儀控總體設(shè)計(jì)分析（源于FSAR），主要用于研究分析試驗(yàn)程序設(shè)置的范圍，比如PICS切換至SICS運(yùn)行、MCR切換至RSS運(yùn)行、T2000切換至HKS運(yùn)行等；

5）災(zāi)害研究分析（源于FSAR），主要用于確定總體儀控試驗(yàn)可以覆蓋驗(yàn)證的災(zāi)害范圍，比如電氣廠房失火、通風(fēng)喪失等；

6）EPR核電廠應(yīng)急事故程序分析，主要用于研究分析試驗(yàn)程序場(chǎng)景的設(shè)置和試驗(yàn)邏輯的確定；

……

上述所有設(shè)計(jì)文件的分析工作，用于設(shè)計(jì)策劃總體儀控試驗(yàn)的程序結(jié)構(gòu)，最終編制調(diào)試大綱文件SCP。在這些設(shè)計(jì)輸入中，DBC設(shè)計(jì)基準(zhǔn)工況的分析是核心關(guān)鍵。

DBC設(shè)計(jì)基準(zhǔn)工況分析中，首先通過分析研究，梳理出所有的初始事件（Postulated Initiating Events：PIE）；然后，結(jié)合單一事故準(zhǔn)則（SFC）、預(yù)防性維修（PM）的要求和EPR電站應(yīng)急事故管理策略（EOP），最終研究確定與電站運(yùn)行及總體儀控設(shè)計(jì)相關(guān)的試驗(yàn)驗(yàn)證場(chǎng)景。

對(duì)于各種工況和試驗(yàn)序列的設(shè)計(jì)驗(yàn)證，可以通過不同的試驗(yàn)場(chǎng)景設(shè)置來完成。比如，對(duì)于電氣和安全廠房通風(fēng)喪失（及火災(zāi)）而引起儀控設(shè)備失效的試驗(yàn)場(chǎng)景設(shè)置，可以模擬環(huán)境溫度惡化來驗(yàn)證設(shè)備的真實(shí)動(dòng)作，也可以通過模擬設(shè)備斷電工況來驗(yàn)證設(shè)備失效的動(dòng)作響應(yīng)。

經(jīng)過全面分析和等效論證，最終選用了相對(duì)折中和保守的方案來策劃總體儀控試驗(yàn)方案。以儀控系統(tǒng)環(huán)境惡化、部分失效等情況為例，最終確認(rèn)通過模擬機(jī)組失電的工況來進(jìn)行驗(yàn)證。

上述機(jī)組失電及降級(jí)運(yùn)行模式的研究確認(rèn)，僅針對(duì)與總體儀控相關(guān)的設(shè)計(jì)工況，其它與儀控失效或者降級(jí)運(yùn)行無關(guān)的設(shè)計(jì)工況不在試驗(yàn)策劃考慮的范疇之內(nèi)。

通過研究分析發(fā)現(xiàn)，對(duì)于EPR核島設(shè)計(jì)而言，最有可能出現(xiàn)的工況為：

1）失去廠外電LOOP（>2H）工況疊加一臺(tái)柴油機(jī)單一故障或預(yù)防性維修（PM）工況，從而導(dǎo)致某單一核島電氣列完全失電（包括所在列儀控系統(tǒng)）；

2）失去廠外電LOOP（>2H）工況疊加一臺(tái)柴油機(jī)單一故障，再疊加其它列一臺(tái)柴油機(jī)預(yù)防性維修（PM）工況，從而導(dǎo)致產(chǎn)生核島兩個(gè)電氣列同時(shí)失電（包括所在列儀控系統(tǒng)）。

在機(jī)組正常運(yùn)行過程中，結(jié)合EPR應(yīng)急事故管理策略（EOP），導(dǎo)致出現(xiàn)核島單列喪失事故的工況除了失電之外，還包括核島部分區(qū)域火災(zāi)工況。對(duì)于臺(tái)山EPR核電機(jī)組，當(dāng)核島某一區(qū)域出現(xiàn)火災(zāi)工況時(shí)，為了更好的控制機(jī)組狀態(tài)，避免操作人員不恰當(dāng)?shù)母深A(yù)，在應(yīng)急事故管理策略中，將要求操縱人員利用火災(zāi)處理程序（FAIOp）停運(yùn)對(duì)應(yīng)列的所有電氣盤。這種特殊的運(yùn)行干預(yù)措施，也進(jìn)一步佐證了總體儀控試驗(yàn)利用失電來模擬部分設(shè)備失效工況的合理性。

最后，結(jié)合DEC超設(shè)計(jì)工況、儀控總體設(shè)計(jì)要求（FSAR第七章節(jié)）和災(zāi)害分析，研究制定了其它總體儀控試驗(yàn)相關(guān)的特殊驗(yàn)證場(chǎng)景。

通過本階段的研究和策劃，總體儀控試驗(yàn)的初始程序范圍如圖1所示。

2.2 排除驗(yàn)證工況

在通過第一階段的研究策劃之后，已初步分析設(shè)計(jì)了所有與總體儀控試驗(yàn)相關(guān)的特殊驗(yàn)證工況。

然而，在這些特殊的試驗(yàn)場(chǎng)景之中：一些驗(yàn)證工作已在工廠測(cè)試期間進(jìn)行了相應(yīng)的測(cè)試論證；另外一些工況由于在實(shí)際調(diào)試試驗(yàn)中無法模擬，因而只能在軟件平臺(tái)進(jìn)行驗(yàn)證；還有一些工況已經(jīng)被分散安排在其它的各個(gè)單系統(tǒng)調(diào)試試驗(yàn)中進(jìn)行生效驗(yàn)證……所有這些特殊的工況將在本階段中逐一分析排除。

2.2.1 工廠測(cè)試論證

對(duì)于EPR機(jī)組，在工廠測(cè)試期間，已經(jīng)全面對(duì)安全級(jí)和非安全級(jí)儀控功能進(jìn)行了測(cè)試驗(yàn)證。因此，與此相關(guān)的測(cè)試場(chǎng)景不需要進(jìn)一步在現(xiàn)場(chǎng)進(jìn)行重復(fù)驗(yàn)證。

通過該階段分析論證后，可以排除初始程序清單中的如下場(chǎng)景：

1）儀控非抗震設(shè)備失效驗(yàn)證

2）喪失保護(hù)系統(tǒng)PS

2.2.2 單系統(tǒng)試驗(yàn)驗(yàn)證

對(duì)于總體儀控試驗(yàn)初始清單中部分場(chǎng)景所涉及的內(nèi)容，相關(guān)的試驗(yàn)驗(yàn)證工作已經(jīng)分解在單系統(tǒng)試驗(yàn)驗(yàn)證程序中。因此，在總體儀控試驗(yàn)程序設(shè)計(jì)中，也將進(jìn)一步進(jìn)行排除。比如：

1）SAR喪失試驗(yàn)

2）激活嚴(yán)重事故儀控SA I&C;

2.2.3 其它聯(lián)調(diào)試驗(yàn)程序覆蓋

在EPR機(jī)組中，還設(shè)計(jì)有其它幾個(gè)與總體儀控試驗(yàn)相似的虛擬系統(tǒng)聯(lián)調(diào)試驗(yàn)，比如：電源切換試驗(yàn)（BAS）。這些虛擬系統(tǒng)聯(lián)調(diào)試驗(yàn)各自驗(yàn)證的范圍雖然不盡相同，但是部分驗(yàn)證內(nèi)容卻有交叉之處。

在電源切換試驗(yàn)（BAS）最初設(shè)計(jì)中，其已經(jīng)考慮了部分總體儀控試驗(yàn)所分析的試驗(yàn)場(chǎng)景。

另外，部分總體儀控試驗(yàn)場(chǎng)景也將覆蓋另外一部分試驗(yàn)場(chǎng)景。比如：核島單列喪失試驗(yàn)場(chǎng)景已經(jīng)覆蓋了單個(gè)機(jī)柜喪失場(chǎng)景的驗(yàn)證測(cè)試。

因此，通過該步驟的分析，又可以進(jìn)一步刪減部分總體儀控試驗(yàn)場(chǎng)景：

1）失去兩列核島電氣列試驗(yàn)工況

2）全廠失電（SBO）試驗(yàn)工況

3）喪失單個(gè)DCS機(jī)柜工況

……

最終，經(jīng)過本階段分析之后，總體儀控試驗(yàn)測(cè)試場(chǎng)景變化如圖2所示。

2.3 優(yōu)化程序結(jié)構(gòu)

結(jié)合參考電站的經(jīng)驗(yàn)反饋，總體儀控試驗(yàn)的試驗(yàn)窗口基本都在熱停堆工況，每份試驗(yàn)執(zhí)行的時(shí)間均在0.5-1天左右，耗時(shí)較長(zhǎng)。如果在總體儀控試驗(yàn)策劃初期沒有綜合考慮到試驗(yàn)周期的影響，那么勢(shì)必將影響到熱試的整個(gè)工期。

因此，對(duì)于前兩個(gè)階段已經(jīng)初步設(shè)計(jì)確定的試驗(yàn)測(cè)試場(chǎng)景必須進(jìn)行進(jìn)一步的程序結(jié)構(gòu)優(yōu)化，從而讓整個(gè)總體儀控試驗(yàn)既能夠滿足全面驗(yàn)證的要求，又可以在程序數(shù)量和時(shí)間窗口方面滿足工程進(jìn)度的需要。

為了實(shí)現(xiàn)優(yōu)化程序結(jié)構(gòu)的目標(biāo)，在整個(gè)策劃過程中采取了如下的措施：

1）經(jīng)過研究分析發(fā)現(xiàn)，EPR機(jī)組的核島第一區(qū)和核島第四區(qū)、核島第二區(qū)和核島第三區(qū)在初始設(shè)計(jì)方面，已經(jīng)考慮了對(duì)稱設(shè)計(jì)的原則，所以在相同的試驗(yàn)工況下可以精簡(jiǎn)一半的程序數(shù)量；

2）在總體儀控試驗(yàn)階段選擇方面，目前主要選定的試驗(yàn)階段為標(biāo)準(zhǔn)熱停堆工況和標(biāo)準(zhǔn)冷停堆工況（RIS-RHR）兩種工況平臺(tái)；

3）對(duì)于喪失最終熱阱LUHS（Loss of Ultime Heat Sink）和喪失冷鏈LOCC（Loss of Coolant Chain）兩種工況，由于對(duì)機(jī)組總體運(yùn)行和儀控的影響與部分總體儀控試驗(yàn)及SBO工況相同，所以將統(tǒng)一在總體儀控及BAS SBO試驗(yàn)中進(jìn)行驗(yàn)證；

4）對(duì)于部分區(qū)域火災(zāi)、通風(fēng)喪失、支持系統(tǒng)喪失等災(zāi)害或事故導(dǎo)致的工況，由于在調(diào)試期間無法正常模擬，所以可以通過失電的方式進(jìn)行統(tǒng)一模擬驗(yàn)證，從而達(dá)到程序結(jié)構(gòu)的優(yōu)化；

5）作為儀控總體測(cè)試策略完整性的補(bǔ)充，最終在總體儀控試驗(yàn)程序中也添加補(bǔ)充了部分特殊試驗(yàn)程序，來保證儀控試驗(yàn)的完整性。

……

最終，經(jīng)過識(shí)別初始事件、排除驗(yàn)證工況和優(yōu)化程序結(jié)構(gòu)的一體化研究分析，設(shè)計(jì)策劃了適用于臺(tái)山EPR的總體儀控試驗(yàn)程序體系。

上述程序結(jié)構(gòu)中，目前共計(jì)包括12份試驗(yàn)程序，該12份程序的設(shè)置、試驗(yàn)工況的選擇和傳統(tǒng)CPR試驗(yàn)相比有很大的不同之處。在EPR總體儀控試驗(yàn)程序中，這12份試驗(yàn)程序又可以按照試驗(yàn)內(nèi)容的不同劃分為四個(gè)不同的子項(xiàng)：

1）機(jī)組降級(jí)試驗(yàn)，包括TP OIC 101-104，主要通過在不同的試驗(yàn)平臺(tái)下，依次停運(yùn)核島四個(gè)分區(qū)的供電來模擬驗(yàn)證機(jī)組控制策略和儀控系統(tǒng)響應(yīng)。此部分試驗(yàn)通過失電來模擬。

2）總體儀控切換試驗(yàn)：包括TP OIC 105-109，主要驗(yàn)證EPR I&C;系統(tǒng)在整體儀控設(shè)計(jì)中的不同降級(jí)運(yùn)行方式。此部分試驗(yàn)分為：機(jī)組從PICS切換到SICS運(yùn)行、機(jī)組從MCR切換到RSS運(yùn)行及機(jī)組從SPPA-T2000控制切換到HKS運(yùn)行控制等。

3）儀控系統(tǒng)性能試驗(yàn)：此部分試驗(yàn)作為EPR儀控系統(tǒng)完整性試驗(yàn)策略的補(bǔ)充，包括TP OIC 112和901，主要用以驗(yàn)證特定工況下的DCS響應(yīng)時(shí)間測(cè)量和DCS負(fù)荷率。

4）特殊工況試驗(yàn)：此部分試驗(yàn)為TP OIC 902，用于驗(yàn)證確認(rèn)DCS對(duì)機(jī)組狀態(tài)計(jì)算的準(zhǔn)確性。

3 結(jié)論

總體儀控試驗(yàn)是當(dāng)前EPR機(jī)組中復(fù)雜程度最高的幾項(xiàng)聯(lián)調(diào)試驗(yàn)之一，在傳統(tǒng)二代機(jī)組中，該類型試驗(yàn)設(shè)計(jì)方法一直掌握在以EDF為代表的法國(guó)公司手中。通過對(duì)臺(tái)山EPR總體儀控試驗(yàn)程序結(jié)構(gòu)成型過程的研究分析，一方面將掌握核心調(diào)試技能；另一方面也將進(jìn)一步加強(qiáng)和提升中方公司在總體儀控系統(tǒng)試驗(yàn)策劃方面的能力，為后續(xù)其它技術(shù)路線核電站總體儀控試驗(yàn)策劃提供參考。

【參考文獻(xiàn)】

[1]臺(tái)山核電廠1、2號(hào)機(jī)組最終安全分析報(bào)告[內(nèi)部資料].

[2]臺(tái)山核電廠運(yùn)行技術(shù)規(guī)范[內(nèi)部資料].