中國(guó)實(shí)驗(yàn)快堆保護(hù)系統(tǒng)可靠性評(píng)價(jià)

宋 維

（中國(guó)原子能科學(xué)研究院，北京102413）

核電安全性始終是世界公眾關(guān)注的焦點(diǎn)。概率安全評(píng)價(jià)（PSA）是以概率論為基礎(chǔ)的風(fēng)險(xiǎn)定量評(píng)價(jià)技術(shù)，目前PSA已是核電廠安全評(píng)價(jià)的標(biāo)準(zhǔn)方法之一，用概率論的方法對(duì)核電廠各個(gè)系統(tǒng)進(jìn)行可靠性評(píng)價(jià)已成為必不可少的安全分析手段。

中國(guó)實(shí)驗(yàn)快堆（CEFR）是我國(guó)第一座池式鈉冷快中子反應(yīng)堆，其概率安全評(píng)價(jià)和可靠性評(píng)價(jià)對(duì)其安全運(yùn)行具有重要意義。本文作為CEFR概率安全評(píng)價(jià)工作的一部分，運(yùn)用故障樹的方法對(duì)CEFR保護(hù)系統(tǒng)進(jìn)行可靠性建模，計(jì)算其系統(tǒng)不可用度，并進(jìn)行重要度、敏感度、不確定度和共因分析。

1 系統(tǒng)描述

1．1 系統(tǒng)功能

CEFR保護(hù)系統(tǒng)的主要功能是檢測(cè)反應(yīng)堆運(yùn)行中出現(xiàn)的異常瞬態(tài)事件或事故工況，并為中止這些事件或緩解事故工況后果觸發(fā)相應(yīng)的系統(tǒng)動(dòng)作：當(dāng)CEFR的保護(hù)參數(shù)達(dá)到或超過(guò)系統(tǒng)動(dòng)作的設(shè)計(jì)限制時(shí)，自動(dòng)觸發(fā)緊急停堆動(dòng)作，使三根安全棒在電磁離合器斷電后0．7s內(nèi)插入堆芯；兩根調(diào)節(jié)棒和三根補(bǔ)償棒在驅(qū)動(dòng)機(jī)構(gòu)電源斷開后2．5s內(nèi)插入堆芯；根據(jù)不同的保護(hù)參數(shù)，觸發(fā)其它相關(guān)系統(tǒng)動(dòng)作，確保安全停堆。

1．2 系統(tǒng)組成及簡(jiǎn)化流程圖

CEFR設(shè)置了兩套獨(dú)立的停堆系統(tǒng)。每套停堆系統(tǒng)都能獨(dú)立地完成停堆功能，并滿足卡棒準(zhǔn)則，即每套系統(tǒng)中反應(yīng)性價(jià)值最大的一根控制棒卡于堆外時(shí)，兩套系統(tǒng)中的任何一套系統(tǒng)都能使反應(yīng)堆從任何工況轉(zhuǎn)到停堆狀態(tài)。第一停堆系統(tǒng)由三根補(bǔ)償棒和兩根調(diào)節(jié)棒及相應(yīng)的監(jiān)測(cè)、控制觸發(fā)單元和執(zhí)行機(jī)構(gòu)組成；第二停堆系統(tǒng)有三根安全棒及相應(yīng)的監(jiān)測(cè)、控制觸發(fā)單元和執(zhí)行機(jī)構(gòu)組成。

保護(hù)系統(tǒng)針對(duì)假設(shè)始發(fā)事件設(shè)置多個(gè)保護(hù)停堆監(jiān)測(cè)參數(shù)，保護(hù)參數(shù)各獨(dú)立通道，實(shí)體隔離。保護(hù)系統(tǒng)各個(gè)通道包括下列裝置：核參數(shù)監(jiān)測(cè)裝置；過(guò)程參數(shù)檢測(cè)裝置；隔離裝置；邏輯處理裝置；斷路器裝置等。保護(hù)系統(tǒng)各個(gè)環(huán)節(jié)原理示意圖如圖1、圖2、圖3所示。

圖1 第I列安全監(jiān)測(cè)裝置與2／3邏輯裝置連接原理示意圖Fig．1 Principle sketch of safety monitoring device and 2／3logical device train No．1

圖2 第II列安全監(jiān)測(cè)裝置與2／3邏輯裝置連接原理示意圖Fig．2 Principle sketch of safety monitoring device and 2／3 logical device train No．2

圖3 單根棒的斷路器連接原理示意圖Fig．3 Principle sketch of breaker connection of single control rod

1．3 系統(tǒng)設(shè)備

1．3．1 核參數(shù)監(jiān)測(cè)裝置

本裝置監(jiān)測(cè)反應(yīng)堆從源量程至功率量程范圍內(nèi)的中子注量率水平及周期，一旦中子注量率水平或周期達(dá)到或超過(guò)規(guī)定的限制，則向邏輯裝置給出中子參數(shù)的觸發(fā)信號(hào)。

1．3．2 過(guò)程參數(shù)檢測(cè)裝置

本裝置監(jiān)測(cè)反應(yīng)堆一、二、三回路的有關(guān)工藝過(guò)程參數(shù)，一旦被監(jiān)測(cè)的參數(shù)達(dá)到或超過(guò)規(guī)定的限制，則向邏輯裝置給出該參數(shù)的觸發(fā)信號(hào)。

1．3．3 隔離裝置

隔離裝置接收來(lái)自監(jiān)測(cè)裝置的參數(shù)級(jí)觸發(fā)信號(hào)，經(jīng)隔離和派生把該參數(shù)及觸發(fā)信號(hào)送給邏輯裝置。

1．3．4 邏輯處理裝置

邏輯處理裝置接收從隔離裝置送來(lái)的參數(shù)級(jí)觸發(fā)信號(hào)，對(duì)這些信號(hào)進(jìn)行“三取二”（或“二取一”）的邏輯表決，表決后生成通道級(jí)觸發(fā)信號(hào)，去控制本通道的斷路器。每個(gè)通道設(shè)置一個(gè)邏輯裝置機(jī)柜，其中安裝有該通道的所有保護(hù)參數(shù)的2／3邏輯組件，一些條件2／3邏輯組件，以及停堆綜合組件1、停堆綜合組件2、停堆擴(kuò)展組件、1／3綜合組件、投運(yùn)控制組件和擴(kuò)展組件等。

1．3．5 斷路器裝置

每個(gè)通道控制8組斷路器，每組斷路器分別控制一根控制棒。正常運(yùn)行時(shí)，8組斷路器均接通，使安全棒電磁離合器供電，補(bǔ)償棒和調(diào)節(jié)棒驅(qū)動(dòng)機(jī)構(gòu)供電。緊急停堆時(shí)，8組斷路器均斷開，使安全棒的電磁離合器失電釋放，從而使安全棒快速插入堆芯；補(bǔ)償棒和調(diào)節(jié)棒的驅(qū)動(dòng)機(jī)構(gòu)也失去供電，棒快速插入堆芯。每個(gè)通道的斷路器是否接通，由該通道的邏輯處理裝置控制。

1．4 系統(tǒng)運(yùn)行

CEFR假設(shè)始發(fā)事件發(fā)生時(shí)，由獨(dú)立的安全監(jiān)測(cè)裝置給出觸發(fā)信號(hào)，之后分別傳送至獨(dú)立的6個(gè)監(jiān)測(cè)通道（分為2列）中，保護(hù)系統(tǒng)每列每個(gè)通道的隔離組件接收來(lái)自該列的三個(gè)監(jiān)測(cè)通道傳來(lái)的參數(shù)級(jí)觸發(fā)信號(hào)，各通道的2／3邏輯組件接收來(lái)自該通道隔離組件的參數(shù)級(jí)觸發(fā)信號(hào)，進(jìn)行3取2生成通道級(jí)觸發(fā)信號(hào)，該通道級(jí)觸發(fā)信號(hào)傳給該通道的停堆綜合組件1、停堆綜合組件2以及停堆綜合擴(kuò)展組件等，與該通道的其他保護(hù)觸發(fā)信號(hào)一起進(jìn)行N取一表決，表決后的輸出信號(hào)分別傳送給該通道的8組斷路器驅(qū)動(dòng)組件，繼而傳送給該通道的8組斷路器，每組斷路器與該列其他兩個(gè)通道的斷路器組按“三取二”方式連接，進(jìn)行3取2表決，切斷8根控制棒驅(qū)動(dòng)機(jī)構(gòu)的電源，從而實(shí)現(xiàn)控制棒的落棒，完成停堆功能。其工作原理圖如圖4所示。

圖4 自動(dòng)停堆工作原理Fig．4 Principle of automatic shutdown

2 故障樹構(gòu)模

2．1 頂事件確定

CEFR保護(hù)系統(tǒng)設(shè)置了多個(gè)保護(hù)參數(shù)，針對(duì)不同的假設(shè)始發(fā)事件會(huì)觸發(fā)多個(gè)保護(hù)信號(hào)發(fā)出，由于不同始發(fā)事件的停堆觸發(fā)信號(hào)有可能發(fā)生重疊，所以，本次分析按照觸發(fā)信號(hào)的不同，對(duì)系統(tǒng)進(jìn)行單獨(dú)分析。

2．1．1 成功準(zhǔn)則

CEFR具有兩套獨(dú)立的停堆系統(tǒng)。每套系統(tǒng)都能使反應(yīng)堆停下來(lái)，且每套停堆系統(tǒng)都能滿足卡棒準(zhǔn)則。即在運(yùn)行狀態(tài)和事故工況下，當(dāng)價(jià)值最大的一根控制棒卡于堆芯外時(shí)，該套停堆系統(tǒng)都能使反應(yīng)堆停閉，并且保證有一定的停堆深度；考慮到調(diào)節(jié)棒的價(jià)值相對(duì)于補(bǔ)償棒和安全棒來(lái)說(shuō)很低，在停堆反應(yīng)性控制中不考慮調(diào)節(jié)棒的作用，由此得到反應(yīng)堆停堆功能的成功準(zhǔn)則：任意一套停堆系統(tǒng)中至少兩根控制棒能夠插入堆芯，即第一停堆系統(tǒng)的至少兩根補(bǔ)償棒插入堆芯或是第二停堆系統(tǒng)的至少兩根安全棒完成插入堆芯。

2．1．2 頂事件確定

根據(jù)成功準(zhǔn)則和不同的保護(hù)信號(hào)，確定了20個(gè)故障樹頂事件，如表1所示。

表1頂事件確定Table 1 Top event determination

續(xù)表

2．2 構(gòu)模假設(shè)與簡(jiǎn)化

（1）分析的停堆保護(hù)系統(tǒng)包括產(chǎn)生停堆信號(hào)的儀控部分、停堆斷路器的電氣部分和控制棒的機(jī)械部分。

（2）系統(tǒng)進(jìn)行在役檢驗(yàn)或維修時(shí)，維修通道置“0”，其余的通道以“二取一”方式符合來(lái)執(zhí)行安全功能，以滿足單一故障準(zhǔn)則。因此對(duì)停堆拒動(dòng)無(wú)影響，故在故障樹中不考慮保護(hù)系統(tǒng)維修和定期試驗(yàn)的影響。

（3）分析中不考慮各項(xiàng)電源的影響，因?yàn)楫?dāng)失去控制電源以后，停堆保護(hù)系統(tǒng)趨于動(dòng)作。系統(tǒng)采用安全動(dòng)作的“0”觸發(fā)方式，以保證系統(tǒng)失電時(shí)，給出安全動(dòng)作。因此，系統(tǒng)的失電及斷線故障模式趨于安全。

2．3 人員可靠性模化

在反應(yīng)堆運(yùn)行期間進(jìn)行的定期試驗(yàn)中，將進(jìn)行試驗(yàn)的通道旁通后，并不會(huì)造成保護(hù)系統(tǒng)失效，因此不考慮試驗(yàn)后人因未恢復(fù)系統(tǒng)狀態(tài)而導(dǎo)致的失效。在換料檢修期間對(duì)停堆保護(hù)系統(tǒng)的儀器標(biāo)定和功能性試驗(yàn)等人員活動(dòng)后，有規(guī)范的校驗(yàn)和檢查，而且設(shè)備狀態(tài)在主控室有指示、報(bào)警，這種人員失誤導(dǎo)致潛在的設(shè)備失效很小，在建模時(shí)可以忽略。另外，本次分析不考慮事故后手動(dòng)停閉反應(yīng)堆的人員行動(dòng)。

2．4 故障樹基本信息

本次分析總共建立20棵主故障樹，各樹的基本信息由表2給出。

表2 故障樹結(jié)構(gòu)信息Table 2 Information on the fault trees structure

續(xù)表

3 定性和定量分析

限于篇幅，本文除故障樹頂事件不可用度之外，其余分析僅以一棵故障樹——堆芯出口鈉溫超過(guò)565℃但未能實(shí)現(xiàn)保護(hù)停堆為例，給出計(jì)算結(jié)果。

3．1 故障樹頂事件不可用度計(jì)算結(jié)果

對(duì)各故障樹頂事件不可用度的計(jì)算結(jié)果見表3。

表3 故障樹頂事件不可用度計(jì)算結(jié)果Table 3 Calculated results of top events unavailability

3．2 最小割集計(jì)算結(jié)果

最小割集計(jì)算結(jié)果如表4所示。計(jì)算結(jié)果表明，由于多個(gè)冗余通道的設(shè)計(jì)，不存在單部件故障導(dǎo)致頂事件發(fā)生的情況，并且最小割集發(fā)生概率分布比較均勻，不存在明顯的薄弱環(huán)節(jié)。

表4 最小割集計(jì)算結(jié)果Table 4 Calculated results of MCS

3．3 重要度和靈敏度分析結(jié)果

基本事件的重要度和敏感度的計(jì)算結(jié)果如表5所示，在此僅列出重要度位于前10個(gè)基本事件。計(jì)算結(jié)果表明：各部件對(duì)頂事件發(fā)生概率的貢獻(xiàn)比較均勻。

表5 重要度計(jì)算結(jié)果Table 5 Calculated results of importance

續(xù)表

3．4 不確定性分析結(jié)果

本次分析，可靠性參數(shù)采用MGL模型進(jìn)行計(jì)算，求得90%置信水平下，其5%置信下限為4．05E－11，95%置信上限為8．80E－7。

3．5 共因分析

為保證保護(hù)系統(tǒng)的可靠性，設(shè)計(jì)時(shí)采用了多個(gè)冗余通道以保證停堆功能的實(shí)現(xiàn)。上述分析也表明，系統(tǒng)具有較高的可靠性。但是對(duì)于冗余度較高的系統(tǒng)而言，共因的存在可能會(huì)導(dǎo)致可靠性的降低，因此對(duì)于保護(hù)系統(tǒng)而言，共因分析就十分重要。本次分析中，選取典型位置的部件進(jìn)行共因分析，包括：各列的探測(cè)器、各列的2／3邏輯部件、各棒的斷路器、補(bǔ)償棒驅(qū)動(dòng)機(jī)構(gòu)、安全棒驅(qū)動(dòng)機(jī)構(gòu)。

在充分分析保護(hù)系統(tǒng)的結(jié)構(gòu)以及各部件類在系統(tǒng)中的位置及作用后，考慮并聯(lián)部件的共因，共分析18組共因組的影響。分析結(jié)果如表6所示，在此僅列出重要度位于前10個(gè)共因組。

表6 共因分析結(jié)果Table 6 Calculated results of CCFs

4 結(jié)論

本文建立了中國(guó)實(shí)驗(yàn)快堆保護(hù)系統(tǒng)的故障樹模型，并進(jìn)行了定性和定量分析計(jì)算。建立20個(gè)故障樹，分別計(jì)算了各頂事件的發(fā)生概率。對(duì)各個(gè)故障樹進(jìn)行了重要度、敏感度和不確定度分析，并對(duì)典型位置的部件進(jìn)行了共因評(píng)價(jià)，分析結(jié)果表明：由于多個(gè)冗余通道的設(shè)計(jì)，最小割集發(fā)生概率分布比較均勻，中國(guó)實(shí)驗(yàn)快堆保護(hù)系統(tǒng)的設(shè)計(jì)是平衡的，不存在明顯的薄弱環(huán)節(jié)，能夠滿足反應(yīng)堆在發(fā)生異常事件時(shí)的停堆要求。

［1］ 孫新利．工程可靠性教程［M］．北京：國(guó)防工業(yè)出版社，2005．

［2］ IAEA．IAEA-TECDOC-930．Generic component reliability data for research reactor PSA［R］．Vienna：IAEA，F(xiàn)ebruary 1997．