高温气冷堆停堆保护系统的多样性分析.doc

1、高温气冷堆停堆保护系统的多样性分析 徐智 薛峰 高泉源 那福利 苏州热工研究院有限公司核安全技术中心 摘 要： 为评价高温气冷堆 (HTR) 停堆保护系统的多样性特征, 基于 NUREG/CR-6303 的分析方法, 通过导则中 D3 评估方法来确定必需的多样性, 并采用 NUREG/CR-7007 的多样性量化评估方法, 分析并识别出停堆保护系统 7 大多样性属性的 25条因素值, 计算出标准化的多样性量化值。针对系统多样性存在的薄弱点及工程的实际情况, 提出了可行的改进方案。重新核算结果表明, 改进方案能有效提升系统的多样性量化值。关键词： 高温气冷堆; NUREG/CR-7007; 共因

2、故障; 多样性; 停堆保护; 多样性驱动系统; 作者简介：徐智 (1973) , 男, 安徽庐江人, 高级工程师, 博士, 从事核电仪控审评工作收稿日期：2017-08-18Diversity Analysis of HTR Reactor Trip Protection SystemXU Zhi XUE Feng GAO Quan-yuan NA Fu-li Nuclear Safety Technology Center, Suzhou Nuclear Power Research Institute Co., Ltd.; Abstract： To evaluate the diversi

3、ty features of the HTR reactor trip protection system, the assessment method defined in NUREG/CR-6303 was used and the quantitative diversity evaluation method defined in NUREG/CR-7007 was selected for calculating the standardized diversity value, upon the analysis and identification of the 25 diver

4、sity attributes among 7 categories.On account of the weakness that the diversity value of the system failed to meet the acceptance threshold of NRC and from point view of the reality of the project, a feasible improvement was proposed.The recalculation result shows that the proposal can significantl

5、y improve the quantitative diversity value of the system.Keyword： HTR; NUREG/CR-7007; common cause failure; diversity; reactor trip protection; diversity actuation system; Received： 2017-08-18模块式高温气冷堆 (HTR) 具有安全特性好、发电效率高及可提供高温工艺供热的特点。清华大学自主研发设计了世界上第 1 座具有第 4 代核反应堆主要技术特征的 HTR 核电厂1。该先进堆具有应对反应性瞬变的固有安全特

6、性、非能动的余热排出系统、惰性冷却剂、功率密度低、热惯性大、温度裕量大、阻止放射性释放的多重屏障等优良安全特性1-2。HTR 的数字化保护系统是高温气冷堆核电厂重大专项关键技术及相关试验研究项目之一3, 以和睦系统 (FirmSys) 平台为基础, 由清华大学、广利核系统工程有限公司合作研发4。FirmSys 是广利核系统工程有限公司拥有完全自主知识产权的核级 DCS 平台, 已应用于阳江等核电厂。FirmSys 是基于计算机软件的系统5, 难以消除基于软件的数字化系统的共因故障 (CCF) 是广泛共识, 核电厂通常设置多样性的保护系统 (DAS) 作为应对措施。为评价 HTR 保护系统的多样

7、性特征, 本文基于 NUREG/CR-6303 的分析方法6, 通过导则中 D3 评估方法先识别出必需的多样性功能, 再采用 NUREG/CR-7007 的多样性量化评估方法7, 定量评价 HTR 保护系统的多样性特性。1 HTR 保护系统结构HTR 专用的数字化保护系统采用四通道冗余和两级四取二 (2oo4) 表决的结构。对同一个保护变量 4 个冗余监测信号进行 2oo4 局部符合逻辑, 可降低误动作概率并提高可维护性。每个通道的主要装置包括:传感器/变送器、信号隔离装置、信号处理装置、逻辑符合装置和旁通逻辑装置。信号处理装置和逻辑符合装置均由彼此独立的 X 和 Y 两部分组成。输入信号由信

8、号隔离装置处理为相互隔离的多路输出信号, 分别送至输入信号处理装置的每个部分、事故后监测装置和/或 DCS 等。信号采集、保护变量的计算、与定值比较等功能由信号处理装置执行。只要保护变量超过整定值, 就形成该变量的局部触发信号, 并同时发送到同一子系统所有的逻辑符合装置;每个逻辑符合装置接收来自同一子系统所有信号处理装置的输出结果, 并对每个保护变量的局部触发信号进行 2oo4 逻辑运算, 再对所有保护变量的逻辑运算结果进行或运算, 产生逻辑符合装置的紧急停堆触发信号和/或专设安全设施驱动信号。逻辑符合装置的紧急停堆触发信号输出至相应的停堆断路器驱动装置, 控制所对应的 2 个停堆断路器的触点

9、。实现2oo4 逻辑符合运算的 8 个停堆断路器触点的连接及保护系统的结构如图 18所示。采用经过认证的安全级控制系统平台, 通过裁剪、组态搭建目标核电厂的保护系统是业界常见的方式9。HTR 保护系统是基于计算机软件的 FirmSys 平台。为了简单和可靠, HTR 保护系统采用定制专用数字化系统的方式实现。无需专门开发安全系统的平台软件及用于组态的工具软件, 而直接开发实现保护功能所需的安全软件, 并将其固化在硬件插件单元的非易失芯片中, 运行时无需操作系统支持。核电厂现场无软件库, 不配置较复杂的组态工具软件。图 1 HTR 保护系统结构 Fig.1 HTR protection syst

10、em architecture 下载原图2 D3 分析虽然 HTR 保护系统采用专用定制方式, 但是其开发、维护等离不开软件工具, 运行仍依赖软件。任意一条软件指令执行发生异常, 均可能影响系统的正常运行, 甚至引发系统的崩溃, 丧失执行安全功能的能力。由于软件的设计可能存在缺陷与错误, 尤其是软件可能存在 CCF, 而目前的技术手段无法证明软件设计完全无故障, 因而独立验证和确认 (IV事故经论证分析能符合验收准则, 不需其他分析的工程论证;当事故不能用定性分析的方式处理时, 需使用计算模型进行工程分析。本文主要采用第 1、2 种方式进行分析。2.2 验收准则BTP 7-19 给出了预计运行

11、瞬态/假想事故 (AOO/PA) 并发 CCF 时的验收准则。HTR 的 D3 分析时采用的验收准则列于表 2, 其中压力容器压力小于限值 8.0 MPa, 燃料元件温度小于限值 1 620。表 1 D3 分析与事故分析假设的主要异同点 Table 1 Assumption in D3analysis vs accident analysis 下载原表 表 2 HTR D3 分析的验收准则 Table 2 Acceptance criteria in D3analysis for HTR 下载原表 2.3 多样性功能需求评估DAS 常用于应对数字化仪控系统发生的 CCF。目前采用数字化仪控系统

12、的各种堆型, 如 AP1000、US-EPR 及 US-APWR 等均设有 DAS12。HTR 亦设有 DAS 作为数字化保护系统的多样性后备。但 HTR 的 DAS 仅设置有停主氦风机和关闭风机挡板的功能, 并未按照 NUREG/CR-6303 及 BTP 7-19 的要求设置如图 2 所示的多样性停堆、停机功能12。图 2 DAS 结构简图 Fig.2 Scheme of DAS 下载原图HTR 的安全分析报告将设计基准事故分为反应性事故、主换热系统事故、一回路失压事故及一回路进水事故等 4 类。1) 反应性事故HTR 的 SAR 分析表明, 功率运行、低功率运行、次临界工况时 1 根控制

13、棒失控提升、运行基准地震下球床堆芯密实化、主氦风机误加速这 5 种事故进程相近。事故触发的反应堆保护均为停堆保护, 最恶劣工况时燃料元件最高温度峰值为1 142.6, 且未造成一回路超压。由于燃料元件和堆内构件有较大的热惯性, 燃料元件的升温滞后于功率上升。假定第 1 停堆信号失效, 在第 2 停堆信号触发前, 反应堆功率由于较大的温度负反馈作用会自动下降, 因而不会造成反应堆功率的失控上升。图 3 为满功率运行工况下 1 根控制棒误提出时堆功率的变化曲线。因此在 D3 分析中, 假设所有的保护系统由于 CCF 失效, 使用最佳估算的假设条件计算, 堆芯后果不会比 SAR 中的分析结果更恶劣。

14、对于这些反应性事故, DAS不需增加其他保护动作。2) 主换热系统事故本类事故包括丧失厂用电源、一回路排热增加、丧失正常给水流量。3 种事故的反应堆保护均为紧急停堆。SAR 分析结果表明, 假定一回路排热增加事故时无任何保护动作, 燃料温度峰值及一回路压力均未超出验收准则。因此在本类事故的 D3 分析中假设所有的保护系统由于 CCF 失效, 堆芯后果不会比 SAR 的分析结果更恶劣。图 3 满功率运行时 1 根控制棒误提出 (0.5%正反应性引入) 时的堆功率 Fig.3 Reactor power for uncontrolled rod withdraw from full power (

15、0.5%reactivity insertion) 下载原图丧失厂用电会造成主氦风机和二回路给水泵停运, 一、二回路系统的排热能力急剧下降。反应堆热量在堆芯和一回路累积, 导致一回路升温升压和燃料元件温度升高。由于温度负反馈, 在停堆信号触发前反应堆功率已下降, 燃料温度峰值小于限值。对于在 D3 分析中假定停堆保护失效时丧失厂用电源以及丧失正常给水流量的事故, 其进程可由 SAR 丧失厂用电及丧失正常给水这两类 ATWS 事故所包络。基于最佳估算假设的事故进程缓慢, 燃料温度峰值在 5h 后才达到, 且未超出设计基准事故限值。DAS 的停主氦风机和关闭主氦风机挡板功能可等价代替保护系统中停风

16、机及关挡板功能, 能保证堆芯壳和压力容器温度不超出限值。3) 一回路失压事故压力容器与一回路隔离阀前的 1 根大连接管断裂事故为类事故。事故的保护为停堆及一回路隔离。事故停堆信号触发前, 堆芯功率由于温度负反馈已下降, 由于热惯性燃料最高温度在 30h 左右才达到, 操纵员有足够长时间进行干预, 因此 D3 分析不考虑停堆保护, 堆芯后果也不会比 SAR 中分析结果更恶劣。对于隔离阀前的破口工况, 一回路系统隔离无法阻止一回路冷却剂的流失, 因此 D3分析可不考虑专设安全设施触发, 其放射性释放结果可由 SAR 的分析结果所包络。DAS 的停主氦风机和关闭主氦风机挡板功能可等价代替保护系统中停

17、风机及关挡板功能, 因此可保证堆芯壳和压力容器等设备的温度不超出限值。4) 一回路进水事故一回路进水事故是 HTR 特有的、可能产生严重后果的事故。蒸汽发生器 (SG) 1 根传热管双端断裂事故为类事故。事故的保护为停堆及 SG 事故排放、二回路隔离。HTR 正常运行时, 二回路的压力要远高于一回路。当 SG 传热管发生破裂时, 二回路的高压蒸汽和水会进入一回路, 并随氦气的流动进入堆芯。由于水对热中子的慢化能力远大于石墨, 因而向堆芯引入正反应性。此外水和石墨在高温下产生氧化腐蚀反应。水蒸气的分压、正反应性引入导致的堆功率和温度上升、化学反应生成的水煤气等均会造成一回路系统压力上升, 可能导

18、致安全阀开启和冷却剂的超压排放13。HTR 的 SAR 及文献13均认为 SG 单根传热管双端断裂事故发生后, 燃料元件的最高温度远低于设计限值, 化学反应所引起的石墨腐蚀不会造成反应堆结构强度的破坏和燃料元件的意外破损, 释放到反应堆舱室的可燃气体含量也不存在爆炸危险。这样的结论均基于一回路进水量为600kg, 最大的喷放流量不超过 5kg/s 的假设。而这样假设的基础是进水过程存在恒定速率、逐渐降低及缓慢扩散这 3 个阶段。即当事故发生后, 保守地假设二回路质量损失由调节系统所补偿, 水/蒸汽会以较恒定的泄漏率进入一回路。当保护系统由于一回路湿度过高而触发紧急停堆、主氦风机停机、风机挡板关

19、闭及 SG 事故排放等保护动作后, SG 及其连接管内的水、汽将迅速排入排放罐, 在短时间内排空 SG 内的水, 直至一、二次侧压力平衡, SG 内只残余一定质量的蒸汽。随着二回路压力的不断下降, 水/蒸汽向一回路的泄漏速率会逐渐减小。当一、二回路压力达到平衡后, 排放阀关闭, SG 内残余的蒸汽只能通过扩散和渗透非常缓慢地进入一回路。主氦风机停机、风机挡板关闭使得一回路氦气流通途径被阻断, 从而有效地限制水蒸气随着氦气流进入堆芯。表 3 列出满功率运行时 SG 1 根传热管断裂事故的发展序列, 图 4 为一回路压力变化情况。表 3 满功率运行时 SG 1 根传热管断裂事故的发展序列 Tabl

20、e 3 Double-ended SG tube rupture sequence of event at full power 下载原表 图 4 满功率运行时 SG 1 根传热管断裂时一回路压力变化 Fig.4 Pressure transient upon SG tube rupture at full power 下载原图在 D3 分析时, 假定保护系统 CCF 失效, 因而由保护系统驱动的停风机、关挡板、二回路隔离及 SG 的事故排放等均未能执行。而 HTR 目前所设计的 DAS 只有停风机及关挡板的驱动能力, 因而不能自动完成所需的二回路隔离及 SG 事故排放驱动等安全功能, 一、二

21、回路的压力不会按上述事故进程分析的那样较快达到平衡状态, 600kg 进水量的假设不再成立, 事故的后果可能更加严重。DI&C-ISG-02 规定不可依赖操纵员在事故发生后 30min 内的动作, 然而满功率运行时 SG 1 根传热管断裂事故分析表明, 一、二回路应在 120s 内达到平衡。如果由保护系统自动驱动的二回路隔离、SG 事故排放功能等失效, DAS 也无相应的自动驱动功能, 缓解事故的手段只能通过操纵员的手动干预, 因此一回路持续进水时间长度由操纵员完成手动驱动的时间决定。假定操纵员在事故发生30min 后手动执行二回路隔离、SG 事故排放功能成功, 一、二回路的压力达到平衡, 一

22、回路持续进水的时间 (1 800s) 会远大于事故分析所用的 120s, 进水量保守估计量可达 9 000kg, 远大于假设的 600kg。虽然 SG 的低位布置使二回路的水不能直接进入堆芯, 但是这样的进水量会引入更大的正反应性并导致石墨的腐蚀量远大于 SAR 中假设的 22kg, 化学反应产生的气体也远大于原来的计算值。若燃料包覆颗粒的石墨包壳被腐蚀失效, 在一回路压力触发安全阀开启后, 向环境的放射性释放量会远高于 SAR 中的分析结果。这样可能引发更加严重, 甚至是不可接受的后果。5) 分析结果基于以上事故 (除 SG 传热管破裂) 的分析, 当数字化保护系统因 CCF 而不触发停堆保

23、护时, HTR 仍能靠较大的温度负反馈实现反应堆的自动停堆, 从而使事故后果不会超出设计基准事故的验收准则, 因此 DAS 不设置控制棒停堆保护是可行的。表 4 列出了一回路主要部件的温度限值。由于 HTR 氦气温度高于一回路部件的温度限值, 因而事故工况下必须将风机停止并关闭风机挡板, 否则堆芯内高温氦气会形成逆向的自然对流, 给压力容器、堆芯壳带来过大的热载荷, 可能会造成一回路边界设备的损坏。作为数字化保护系统 CCF 失效的后备, DAS 需自动触发主氦风机停止和关闭风机挡板, 以防止一回路主要部件的温度超出限值。表 4 一回路主要部件的温度限值 Table 4 Temperature

24、 limit for key component in primary loop 下载原表 对于 SG 传热管发生破裂的事故, 应在 DAS 中增加能自动监测 SG 传热管断裂事故及自动隔离二回路、触发 SG 事故排放的功能, 以满足 D3 分析的要求。3 多样性量化分析为了解决 NUREG/CR-6303 评估中的不确定性问题, 美国橡树岭国家实验室对轨道运输、化工、航天、航空等非核工业及全球范围内核电厂的多样性系统进行了深入的调查研究, 利用统计分析学理论, 给出了量化仪控系统多样性程度的方法。NRC 根据此报告发布了 NUREG/CR-7007, 解决了如果保护系统需要采用多样性措施来应

25、对 CCF 时, 什么样的多样性是足够的问题。文献10给出了多样性 7 大属性的 25 条准则。HTR 的非核级 DCS 采用广利核系统工程有限公司的 HoLLiAS-N 平台, 实现核岛、常规岛和大部分 BOP 系统及设备的监测控制功能14。HTR 的 DAS 也基于该平台实现。除了共用传感器信号和执行机构, DAS 柜与反应堆保护系统机柜保持独立。DAS 设有定期试验的功能, DAS 柜上电启动后即投入运行, 无需操纵员手动投入或干预, 在需要时自动触发。DAS 采集一回路氦气冷端温度测量信号。系统由隔离装置, 逻辑符合后产生 DAS触发信号的处理装置, 实现与主氦风机断路器、主氦风机变频

26、器、主氦风机挡板的电气驱动接口, 完成停主氦风机和关闭挡板功能的驱动装置、直流电源及定期试验用面板组成。DAS 为非安全级设备, 不满足单一故障准则, 不按照失电安全设计。根据 HTR 保护系统及 DAS 的特性, 按照文献10中多样性属性及准则表的判定准则, 得出表 5 所列的 HTR 保护系统的多样性属性值。基于 NUREG/CR-7007 的计算方法, 常数 DAE、DCE 的权重与 NUREG/CR-7007 中的数值相同, 得到 HTR 保护系统的多样性量化值为 0.851。而 NUREG/CR-7007 要求的多样性量化下限值为 17。表 5 HTR 保护系统的多样性属性 Tabl

27、e 5 Diversity attribute for HTR protection system 下载原表 进一步分析可知, 如果 DAS 采用与保护系统相独立且具有多样性的传感器, 则多样性量化值即上升为 1.011, 可满足 NUREG/CR-7007 对多样性的要求。目前HTR 的 DAS 仅设置 4 个量程范围为 0400C 的温度传感器, 将其替换为独立且具有多样性的传感器的代价较小。若考虑增加应对 SG 传热管破裂事故的功能, 需增加的传感器、驱动装置的数目也极有限, 易于实现。4 结论基于 D3 分析中有关等同保护及工程论证的评价方法, 可接受 HTR 的 DAS 不设置控制棒

28、停堆保护。所设置的自动停主氦风机和关闭挡板功能可应对除 SG 传热管破裂以外的事故。DAS 应增设对 SG 传热管破裂事故的自动探测及对二回路隔离、SG 事故排放设备的驱动功能, 以满足 D3 分析对 SG 传热管破裂事故的要求。DAS 与保护系统共用传感器及驱动设备导致 HTR 的多样性量化值不能满足NUREG/CR-7007 的要求。改用多样性的传感器能满足对多样性的定量要求, 且具有工程可行性。参考文献1李志容, 陈立强, 徐校飞, 等.模块式高温气冷堆的固有安全特性J.核安全, 2013, 12 (3) :1-4.LI Zhirong, CHEN Liqiang, XU Xiaofei

29、, et al.Inherent safety features of the modular HTGTJ.Nuclear Safety, 2013, 12 (3) :1-4 (in Chinese) . 2吴宗鑫, 肖宏才.模块式高温气冷堆的安全特性J.高技术通讯, 1994 (11) :34-38.WU Zongxin, XIAO Hongcai.Safety features of the modular HTGRJ.High Technology Letters, 1994 (11) :34-38 (in Chinese) . 3李铎, 熊华胜, 郭超, 等.HTR-PM 反应堆保护系

30、统工程样机的研制J.仪器仪表用户, 2013, 20 (5) :36-38.LI Duo, XIONG Huasheng, GUO Chao, et al.Development of HTR-PM reactor protection system engineering prototypeJ.Instrumentation Customer, 2013, 20 (5) :36-38 (in Chinese) . 4路德才, 张斌, 左新, 等.高温气冷堆核电站保护系统定期试验方案设计J.自动化博览, 2016 (10) :60-62, 68.LU Decai, ZHANG Bin, ZUO

31、 Xin, et al.High temperature gas cooled reactor nuclear power plant protection system periodic test project designJ.Automation Panorama, 2016 (10) :60-62, 68 (in Chinese) . 5赵勇, 李刚, 白涛.基于 FirmSys 的三代压水堆核电站核安全级数字化保护系统设计概述J.自动化博览, 2012 (9) :56-60, 66.ZHAO Yong, LI Gang, BAI Tao.An overview on the Firm

32、Sys based design of digital protection system with nuclear safety standard for the third generation of PWR nuclear power stationJ.Automation Panorama, 2012 (9) :56-60, 66 (in Chinese) . 6US NRC.NUREG/CR-6303 Method for performing diversity and defense-in-depth analyses of reactor protection systemsS

33、.Washington D.C.:Nuclear Regulatory Commission, 1994. 7US NRC.NUREG/CR-7007 Diversity strategies for nuclear power plant instrumentation and control systemsS.Washington D.C.:Nuclear Regulatory Commission, 2009. 8郭超, 李铎, 熊华胜.高温气冷堆示范工程反应堆保护系统故障树模型的建立和分析J.原子能科学技术, 2013, 47 (11) :2 063-2 070.GUO Chao, L

34、I Duo, XIONG Huasheng.Development and analysis of fault tree model of HTRPM reactor protection systemJ.Atomic Energy Science and Technology, 2013, 47 (11) :2 063-2 070 (in Chinese) . 9XU Z, JIANG D Q.A new ALS based PMS design and its evaluationsJ.World Journal of Nuclear Science&Technology, 2016, 6

35、 (1) :1-14. 10徐智, 丁丁, 张瑜.基于 NUREG/CR-7007 的 DAS 优化设计J.原子能科学技术, 2016, 50 (1) :156-163.XU Zhi, DING Ding, ZHANG Yu.Optimized design of DAS based on NUREG/CR-7007J.Atomic Energy Science and Technology, 2016, 50 (1) :156-163 (in Chinese) . 11US NRC.BTP 7-19 Guidance for evaluation of diversity and defen

36、se-in-depth in digital computer-based instrumentation and control systemS.Washington D.C.:Nuclear Regulatory Commission, 2007. 12周卫华, 王巧燕, 彭锦, 等.各堆型 DAS 系统功能设计对比研究J.核科学与工程, 2012, 32 (增刊 2) :111-117.ZHOU Weihua, WANG Qiaoyan, PENG Jin, et al.Comparative study of DAS function design in different nucle

37、ar power plantJ.Nuclear Science and Engineering, 2012, 32 (Suppl.2) :111-117 (in Chinese) . 13郑艳华, 王岩, 石磊.250 MW 球床模块式高温气冷堆进水事故研究J.原子能科学技术, 2009, 43 (增刊) :232-235.ZHENG Yanhua, WANG Yan, SHI Lei.Water ingress accident of 250 MW pebble-bed modular high-temperature gas-cooled reactorJ.Atomic Energy Science and Technology, 2009, 43 (Suppl.) :232-235 (in Chinese) . 14张迎晓, 程鹏.高温气冷堆示范工程 DCS 控制系统J.自动化应用, 2015 (11) :59-60.ZHANG Yingxiao, CHENG Peng.DCS control system for HTR-PMJ.Automation Application, 2015 (11) :59-60 (in Chinese) .