陳 果 方紅宇 初 曉 徐青藍 喻 娜

（中國核動力研究設(shè)計院核反應(yīng)堆系統(tǒng)設(shè)計技術(shù)重點實驗室，四川 成都 610213）

0 引言

在田灣核電站擴建工程5&6 號機組上，設(shè)置了多樣性保護系統(tǒng)（Diverse Actuation System，DAS），用以應(yīng)對可能發(fā)生的整個安全級儀控系統(tǒng)的軟件共模故障（Software Common Cause Failure，SWCCF）。

本文所提的SWCCF 是指發(fā)生在安全級數(shù)字化儀控平臺軟件的共模故障。當(dāng)發(fā)生SWCCF 時，安全級數(shù)字化儀控平臺完全失效，從而使得通過該平臺實現(xiàn)的系統(tǒng)或功能失效， 包括正常保護系統(tǒng)的緊急停堆功能、專設(shè)安全設(shè)施驅(qū)動功能等。 在這種情況下，只能通過不同于該平臺的非安全級平臺進行保護。

DAS 系統(tǒng)采用了獨立于安全級數(shù)字化儀控平臺的非安全級數(shù)字化儀控平臺，該系統(tǒng)與反應(yīng)堆保護系統(tǒng)之間有最大限度的實體隔離和電氣隔離，不接收經(jīng)反應(yīng)堆保護系統(tǒng)軟件處理后的信號，同時也不送出信號參與反應(yīng)堆保護系統(tǒng)的軟件處理，從而滿足了多樣性和獨立性的設(shè)計原則。

本文針對安全級儀控系統(tǒng)因軟件共模故障而失效，操作員沒有充分的手動干預(yù)時間的情況下，研究和提出需要在多樣性保護系統(tǒng)（DAS）中設(shè)置的自動保護信號和功能，并通過驗證分析，證明依靠DAS 系統(tǒng)能夠保證事故后果滿足相關(guān)驗收準則，為多樣性保護系統(tǒng)中自動保護信號的選定及論證提供經(jīng)驗。

1 論證方法及驗收準則

DAS 驗證分析的目的是評價在發(fā)生軟件共模故障的情況下， 多樣性保護系統(tǒng)的設(shè)計是否能夠確保反應(yīng)堆裝置的安全。 DAS 驗證分析的是始發(fā)事件疊加軟件共模故障SWCCF 的工況， 原則上屬于超設(shè)計基準事故分析的范疇，因此應(yīng)采用最佳估算方法（現(xiàn)實性假設(shè)），主要體現(xiàn)在以下一些方面：不考慮單一故障、不疊加考慮喪失廠外電源、有關(guān)參數(shù)取名義值（如電廠的初始功率、初始溫度、壓力、中子學(xué)參數(shù)、余熱曲線、安注流量、閥門的容量等參數(shù)可以采用現(xiàn)實性假設(shè)）等。

由于安全級數(shù)字化儀控平臺失效，因此不考慮由該平臺實現(xiàn)的正常緊急停堆功能和專設(shè)安全設(shè)施驅(qū)動功能等，只考慮通過非安全級數(shù)字化儀控平臺實現(xiàn)的保護功能（如ATWT 緩解系統(tǒng)等）。 同時，分析中考慮了不受SWCCF 影響的有關(guān)操縱員手動動作， 并且假定事故發(fā)生10 分鐘以后操縱員的手動緊急停堆和對專設(shè)安全設(shè)施的操作才有效。

此外，DAS 驗證分析的驗收準則與設(shè)計基準事故存在差異。 NUREG—0800/BTP7-19 和NUREG/CR—6303 中介紹了有關(guān)的DAS 驗證分析驗收準則， 本文基于這些技術(shù)文件中的準則，并結(jié)合多樣性保護設(shè)計原則和DAS 驗證分析的目的，對驗收準則作了進一步研究，確定了重要的和具體的驗收準則：要求最佳估算結(jié)果滿足屏障完整性準則（不能導(dǎo)致一回路壓力邊界和安全殼完整性喪失）、滿足放射性后果準則、滿足根據(jù)多樣性原則及保證堆芯可冷卻幾何形狀等確定的堆芯狀態(tài)相關(guān)準則。 針對具體事故工況及分類，確定的具體驗收準則如表1 所示。

表1 DAS 驗證分析驗收準則

2 DAS 驗證分析

2.1 驗證分析的事故工況

為評價SWCCF 對各個事故的影響， 本文篩選出17 個特定事故進行分析，包括零功率及滿功率工況下給水流量增加、 零功率及滿功率工況下蒸汽管道破裂、汽輪機事故停機、主給水管道破裂、反應(yīng)堆冷卻劑強迫流量完全喪失、反應(yīng)堆冷卻劑泵軸卡住、一組棒束控制組件在次臨界或低功率啟動工況下失控抽出、RCCA 組在功率運行工況下失控抽出、 單個控制棒組件彈出、棒束控制組件彈出、一個穩(wěn)壓器先導(dǎo)安全閥誤開、蒸汽發(fā)生器傳熱管破裂、蒸汽發(fā)生器傳熱管破裂加安全閥卡開、失水事故以及硼稀釋事故。

2.2 事故分析驗證

對于每一個事故，首先評價發(fā)生SWCCF 時，采用最佳估算的方法以及本文第2 節(jié)中提到的假設(shè)條件（包括操縱員可在事故發(fā)生10 分鐘后手動停堆、執(zhí)行其他必要的安全功能）， 核反應(yīng)堆裝置是否可以轉(zhuǎn)至安全的狀態(tài)。 如果結(jié)果不能滿足安全準則的要求，則進一步研究需要在多樣性保護系統(tǒng)DAS 中設(shè)置什么自動保護信號才能確保結(jié)果達到安全準則的要求。

因而，驗證分析的結(jié)果可分為兩種情況：一種是即使不在DAS 中設(shè)置相應(yīng)的自動保護信號，事故的結(jié)果也能滿足驗收準則的要求， 如汽輪機事故停機等；另一種情況是需要在DAS 中設(shè)置專門的自動保護信號對事故后果進行緩解，如給水管道破裂事故、失水事故等。

以下分別以汽輪機事故停機和給水管道破裂事故、失水事故為例說明DAS 驗證分析的方法和過程。

2.2.1 汽輪機事故停機

當(dāng)發(fā)生汽輪機事故停機的事件時，二回路蒸汽流量快速減少，排熱能力降低，同時由于發(fā)生SWCCF，導(dǎo)致通過安全級數(shù)字化儀控平臺實現(xiàn)的正常緊急停堆功能、大氣排放系統(tǒng)排放功能（GCT-A）及啟動輔助給水的功能均失效，導(dǎo)致短時間內(nèi)一回路冷卻劑的溫度和壓力上升。 考慮了以下兩種不同的工況：

工況A，假設(shè)正常給水不受影響，蒸汽發(fā)生器二次側(cè)依靠蒸汽旁路排放至冷凝器（GCT-C）和蒸汽發(fā)生器安全閥進行排熱。

工況B， 假設(shè)正常給水很快喪失， 且能夠觸發(fā)ATWT 緩解系統(tǒng)進行保護。

采用最佳估算的方法，初始電廠狀態(tài)為額定滿功率狀態(tài)，考慮了壽期初和壽期末兩種情況，不考慮通過安全級數(shù)字化儀控平臺實現(xiàn)功能，并且假設(shè)事故后10 分鐘可以手動停堆和啟動輔助給水。 分析結(jié)果表明：對于工況A，正常給水不受影響，發(fā)生汽輪機事故停機后，通過給水、蒸汽發(fā)生器安全閥及GCT-C 可以有效導(dǎo)出堆芯熱量， 并且事故后10 分鐘手動停堆降低堆芯功率，10 分鐘后根據(jù)需要手動啟動輔助給水系統(tǒng)， 確保順利導(dǎo)出堆芯余熱， 瞬態(tài)過程中最小DNBR及系統(tǒng)壓力均滿足限制準則的要求；對于工況B，雖然喪失了正常給水，當(dāng)通過ATWT 緩解系統(tǒng)觸發(fā)緊急停堆，并且啟動輔助給水系統(tǒng)，同樣使得堆芯余熱可以順利導(dǎo)出，最小DNBR 及系統(tǒng)壓力也沒有超過限制準則的要求。

因此， 當(dāng)發(fā)生汽輪機事故停機疊加SWCCF 的瞬態(tài)時，無論是否可以自動觸發(fā)ATWT 緩解系統(tǒng)，事故過程中不會發(fā)生偏離泡核沸騰（DNB），系統(tǒng)壓力不會超限，不需要在DAS 中專門針對此事故設(shè)置自動保護信號。

2.2.2 給水管道破裂事故

對給水管道破裂事故分析同樣考慮是否可能觸發(fā)ATWT 緩解系統(tǒng)兩種工況，分別記為工況1、工況2。

對于工況1， 發(fā)生主給水管道雙端剪切破裂后，給水流量將瞬時減為0， 隨后由ATWT 緩解信號觸發(fā)停堆，同時延時一段時間啟動輔助給水泵。 結(jié)果表明，反應(yīng)堆可以得到保護，堆芯是安全的。 此事故下反應(yīng)堆很快由ATWT 緩解信號觸發(fā)緊急停堆，核功率急劇下降，且堆芯內(nèi)未發(fā)生DNB， 這也意味著燃料包殼和芯塊的溫度符合限值要求。 事故過程中一回路系統(tǒng)壓力低于限值，因此一回路壓力邊界的完整性也得到了保障。

此外，對于給水管道破裂事故，存在這樣的較小破口，其不會導(dǎo)致流往三臺蒸汽發(fā)生器的主給水流量都全部喪失，可能存在流往2 臺或全部蒸汽發(fā)生器的給水流量維持在額定流量的6%以上的情況， 此時無法觸發(fā)ATWT 緩解信號。 此種工況定為工況2，假設(shè)只有某2 臺蒸汽發(fā)生器的給水流量維持在額定流量的6%，另一臺蒸汽發(fā)生器的給水流量為0，則ATWT緩解信號無法發(fā)出。 工況2 的計算結(jié)果表明，一回路系統(tǒng)壓力峰值超過了限值。

通過工況1 和工況2 的分析可知：對于可以觸發(fā)ATWT 緩解信號的較大破口的給水管道破裂事故，不要求在DAS 中設(shè)置其他自動保護信號；對于不能觸發(fā)ATWT 緩解信號的較小破口的給水管道破裂事故，要求在DAS 中設(shè)置其他自動保護信號。根據(jù)給水管道破裂事故的特點， 反應(yīng)堆一回路系統(tǒng)壓力會快速上升，因此考慮在DAS 系統(tǒng)中設(shè)置“穩(wěn)壓器壓力高信號”自動觸發(fā)緊急停堆。 同時，在事故發(fā)生后10 分鐘，操作員啟動輔助給水泵向完好SG 注水，帶走堆芯余熱。這一工況記為工況3。

工況3 的計算結(jié)果表明，對于DAS 中設(shè)置穩(wěn)壓器壓力高緊急停堆保護的情況下， 在10 分鐘后手動隔離破損SG，啟動輔助給水系統(tǒng)；堆芯未發(fā)生DNB，燃料包殼和芯塊不會發(fā)生損毀， 反應(yīng)堆堆芯是安全的；一回路峰值壓力為17.46MPa，未超過壓力限值，一回路壓力邊界的完整性也得到了保障。

對于可以自動觸發(fā)ATWT 緩解信號的較大破口的主給水系統(tǒng)管道破裂事故，ATWT 緩解系統(tǒng)可以有效保護反應(yīng)堆，不要求在DAS 中設(shè)置其他的自動保護信號。對于無法觸發(fā)ATWT 緩解信號的較小破口的主給水系統(tǒng)管道破裂事故，要求在DAS 中設(shè)置“穩(wěn)壓器壓力高緊急停堆信號”。

2.2.3 失水事故（大LOCA）

SWCCF 導(dǎo)致安全級數(shù)字化儀控平臺完全失效，將導(dǎo)致自動停堆失效、自動啟動安注功能失效、自動停運主給水泵和自動啟動輔助給水泵等失效。

分析中假定事故發(fā)生后10 分鐘操縱員手動停堆、執(zhí)行專設(shè)安全功能。 結(jié)果表明，在安注箱注入完成后，由于反應(yīng)堆在較長時間內(nèi)沒有冷卻堆芯所需的足夠安注流量， 直至事故后10 分鐘操縱員才手動啟動安注，事故發(fā)生后燃料包殼溫度超過了1 204℃，不滿足驗收準則，因此需要在DAS 中專門針對此工況設(shè)置自動保護信號。

根據(jù)大LOCA 的事故進程特征，選擇穩(wěn)壓器壓力低信號觸發(fā)停堆和穩(wěn)壓器壓力低低信號觸發(fā)安注，不考慮設(shè)置其他保護功能，結(jié)果表明，在這一工況下燃料包殼峰值溫度為961.3℃，不會超過限值（1204℃），滿足驗收準則的要求。 因而，需要在DAS 中設(shè)置穩(wěn)壓器壓力低停堆信號和穩(wěn)壓器壓力低低安注信號，為反應(yīng)堆提供必要的保護。

2.2.4 DAS 驗證分析結(jié)果

通過對2.1 節(jié)中提及的17 個事故進行驗證分析，主要結(jié)果如表2 所示。

表2 DAS 驗證分析結(jié)果

總體而言，為應(yīng)對安全級儀控系統(tǒng)發(fā)生SWCCF 所帶來的影響，需要在DAS 中設(shè)置的自動保護信號如下：

（1）自動停堆信號

功率量程中子注量率高自動緊急停堆信號。

穩(wěn)壓器壓力高自動緊急停堆信號。

穩(wěn)壓器壓力低與P7 符合自動緊急停堆信號。

兩臺環(huán)路反應(yīng)堆冷卻劑流量低信號（與P7 符合）自動緊急停堆信號。

（2）專設(shè)驅(qū)動信號

穩(wěn)壓器壓力低低自動安注信號。

蒸汽流量高與低補償蒸汽壓力符合自動隔離主蒸汽信號。

3 結(jié)語

本文采用最佳估算的方法，對初因事件疊加軟件共模故障的工況進行了分析，提出了需要在多樣性保護系統(tǒng)DAS 中設(shè)置的緊急停堆信號和專設(shè)驅(qū)動信號，從而確保了田灣核電站擴建工程5&6 號機組在該類故障下仍然能夠處于安全可控的狀態(tài)。