六性協同設計方法在快堆蒸汽發生器事故保護系統中的應用探討

裴志勇，許業強

(中國原子能科學研究院，北京 102413)

傳統的六性設計由設備層出發，根據系統的配置，按照設備串聯、并聯、混聯等關系進行可靠性的設計與分析，最終得出系統層的六性設計，這樣的分析設計方法可確保系統及設備滿足可靠、安全的要求，但由于在六性分配時未考慮系統配置可能帶來功能的缺失，無法對系統功能的實現給予理論支持，本文討論的設計方法從系統功能出發，在相同的系統配置時，結合“六性”的分析，確保設計過程中系統功能的高可靠性及其他系統功能的完整，以快堆蒸汽發生器事故保護系統為例，闡述系統設計方法，本項研究可推廣到其他復雜系統的設計中，具有一定的理論意義和實際應用價值。

1 蒸汽發生器事故保護系統的功能及設計原理

蒸汽發生器事故保護系統的功能如下所述。

(1)在蒸汽發生器模塊換熱管發生微小泄漏時，通過及時和可靠的探測泄漏并報警，識別出現缺陷單元并將其退出運行以保持其余蒸汽發生器的運行；

(2)發生鈉水反應事故時，保護蒸汽發生器、二回路管道和設備避免超壓以及失去密封的可能性；

(3)當出現蒸汽發生器模塊泄漏的情況下，通過快速切除二回路和三回路中的缺陷單元，保持故障蒸汽發生器處于可維修的狀態，并將介質以最短的時間從事故單元腔體中排放并用惰性氣體進行封存；

(4)盡可能使鈉和水的反應產物在二回路中擴展減到最低限度，防止鈉進入三回路。

中國實驗快堆(CEFR)的蒸汽發生器是從俄羅斯進口，其主要的性能試驗、結構部件試驗等都是在俄羅斯完成，CEFR的蒸汽發生器事故保護系統工藝設計及試驗驗證也是由俄羅斯完成，其保護系統采用傳統的基于功能的設計方法。600 MW示范快堆(CFR600)的蒸汽發生器與CEFR相比，其熱功率、尺寸規模、模塊數量等都有大的變化，系統運行工況更為復雜。因此，必須對CFR600蒸汽發生器事故保護系統進行設計研究，對鈉水反應事故擴展、探測穩定性、排放包容鈉水反應產物的可靠性、事故控制邏輯保護等進行分析。

CFR600蒸汽發生器事故保護系統原理圖如圖1所示。

圖1 蒸汽發生器事故保護系統原理圖(單模塊)Fig.1 Schematic diagram of steamgenerator accident protection system (single module)1—一級事故排放罐;2—二級事故排放罐;3—爆破片裝置;4—氫濃度探測裝置;5—氣泡噪聲探測器;6—阻火器

該流程圖為Ⅰ環路蒸汽發生器事故保護系統單模塊原理圖，在Ⅱ環路有相同的一套蒸汽發生器事故保護系統，兩個環路共有16個模塊。該方案為CFR600蒸汽發生器事故保護系統初步設計方案。系統在反應堆正常運行工況下處于熱備用狀態，一級事故排放罐和鈉排放管道的溫度維持在250 ℃，壓力維持在0.05 MPa。

當蒸汽發生器發生泄漏時，事故保護系統應具備能夠探測到鈉水反應的發生，并形成鈉水反應信號報警，觸發保護動作，隔離故障蒸汽發生器模塊，并處理鈉水反應產物。

2 系統功能與“六性”協同設計方法

裝備“六性”是指裝備的可靠性、維修性、保障性、測試性、安全性和環境適應性，裝備“六性”是產品質量的重要指標。本文將“六性”概念引入系統設計，將系統設計與“六性”要求相結合，鑒別不同功能模塊的相應“六性”要求，規范系統設計時需要考慮的問題，分析系統設計為滿足“六性”要求的關鍵技術點，在設計過程中著重考慮。本文對設備本身的可靠性指標不做分析，關注整個系統及各模塊的功能實現。

2.1 系統功能與“六性”協同的意義

常規設計中，經驗性的成分較多，如基于安全系數的設計。常規設計可通過公式(1)體現[1]：

(1)

式中：F、L、E、μ、σlim等各物理量均視為確定性變量，安全系數則是一個經驗性很強的系數。上式給出的結論是：若σ≤[σ]則安全；反之則不安全。

應該說，上述觀點不夠嚴謹。首先，設計中的許多物理量是隨機變量；基于前一個觀點，當σ≤[σ]時，未必一定安全，可能因隨機數的存在而仍有不安全的可能性。

在常規設計中，代入的變量是隨機變量的一個樣本值或統計量，如均值。按概率的觀點，當μσ=μ[σ]時，σ≤[σ]的概率為50%，即可靠度為50%，或失效的概率為50%，這是很不安全的[2]。

顯然，如建立量化的“六性”協同設計方法，并與系統功能結合，可有效避免部件或子功能模塊間無功能關系計算的弊端。

系統可靠性設計中的串聯、并聯、混聯等系統模型是可靠性概率設計中的重要模型，概率設計就是要在原常規設計的計算中引入隨機變量和概率運算，并給出滿足強度條件(安全)的概率，即所謂的可靠度，但對于工藝系統特別是安全相關的工藝系統并不完全試用[3]。

系統功能與“六性”協同設計就是借助傳統“六性”設計辦法，將“六性”設計思想融入系統設計中來，針對系統中不同功能的模塊從“六性”的角度分別提出設計要求，規范系統設計過程，約束設計過程包含安全性、可靠性、維修性等內容，使設計的流程固化，設計環節有據可依。

2.2 系統功能與“六性”協同設計的收益

2.2.1 有助于明確并細化工藝系統總體要求

在系統設計之初，明確工藝系統的總體要求，該要求將作為系統設計自始至終的原則，指導設計滿足要求。然后形成設計輸入，確定性能指標，根據系統功能進行劃分，分析能夠實現系統功能的各種設計方案，已有參考的方案進行詳細計算驗證，沒有參考的方案在計算驗證的同時要設計驗證試驗，通過試驗來最終確定設計和理論分析的結果。將系統看做一個整體，系統功能的可靠性是確保系統性能要求的重要因素。

2.2.2 有助于根據“六性”原則進行系統功能單元分解

對系統進行功能模塊分解，根據“六性”原則，分別將系統執行不同功能的模塊進行劃分，對于不止要滿足“六性”中單一指標的系統功能模塊要進行重點突出，在功能模塊內部細致劃分，而系統整體應該滿足“六性”全部要求。

對每一個功能模塊進行方案論證，不僅需要滿足該模塊本身的功能要求，還要在多模塊集成之后滿足系統總體的功能要求。

從分解后的功能模塊向設備層深入，根據功能及“六性”要求對標準設備進行選型，非標設備進行設計，形成最初的工藝原理設計。

2.2.3 有助于識別關鍵功能模塊，并采取重點措施和對策

這一階段的工作包括對預先設計的改進和詳細的論證分析，在方案論證階段產生的一個或者多個設計方案，必須仔細的加以考察和研究，以確定所選擇的方案是否真正滿足功能要求。對關鍵功能模塊可行性論證的目的是：將方案轉化為具有實際功能的系統，并論證其實際工作狀況；論證該模塊是否滿足總體階段所確定的要求。

論證的內容包括：工藝計算、設備方案、可靠性分析、性能匹配、監測控制要求、驗證性試驗方案。

根據分析所得的結論為系統設計及試驗驗證提供參考依據。確定系統工藝流程，工況、材料、壓力、溫度、流量、管道規格、位差、保溫、測點、控制、閥門設備選型和系統布置要求等。

2.2.4 有助于系統綜合優化和識別故障點

在此階段，系統設計根據非標設備的驗證結論、關鍵系統的設計驗證結論等更新設計流程圖，同時進行故障影響模式分析、工況分析、性能評價等，為廠房設計提供最終的設計輸入，其中包括工藝間、公共管廊、通道的設置，設備布置、管道布置、支吊架布置等。在廠房設計的樓層反應譜、混凝土結構、鋼結構等設計完成后，再一次進行驗證性復核，確定階段性評價、成熟度分析以及技術風險分析，最終完成設計工作。

3 蒸汽發生器事故保護系統設計及功能模塊分解

3.1 功能模塊分解

CFR600二回路主冷卻系統有兩個環路，每個環路各有一套蒸汽發生器事故保護系統。主要過程設備有：一級事故排放罐、二級事故排放罐、微氫探測系統、脈沖噪聲探測器、爆破片裝置、阻火器和安全閥，以及相關的閥門、管道、管件、儀表測量、電氣控制和信號報警系統等組成。

一級事故排放罐主要用于接收蒸汽發生器鈉水反應后排放的鈉水反應產物，在該設備中液態反應產物和氣態反應產物經初步分離，氣態產物排向二級事故排放罐，液態反應產物則留在罐中等待處理。一級事故排放罐體積為150 m3。

二級事故排放罐的主要功能是包容蒸汽發生器鈉水反應的氣態反應產物，并在其內部對反應產物進行氣液分離。由于該設備在運行期間不加熱，因此氣態鈉水反應產物可以通過與設備壁面的接觸得到冷卻，進而可以降低設備內的氣體壓力，減少安全閥的啟動頻率。二級事故排放罐體積為10 m3。

根據蒸汽發生器事故保護系統功能要求將系統劃分為7個功能模塊，各功能模塊及主要功能如圖2所示。

圖2 蒸汽發生器事故保護系統功能模塊分解圖Fig.2 Function module decomposition diagram ofsteam generator accident protection system

3.2 功能模塊與“六性”設計對應關系

系統功能與“六性”的協同設計貫穿整個設計過程，執行不同功能的模塊側重點不同，根據系統各個模塊的功能特點，對應各模塊重點關注的特性，圖3為設計過程中系統功能模塊根據“六性”內容重點考慮的對應關系，其他內容也在考慮范圍內，但不作重點關注。

圖3 系統功能與“六性”重點對應關系Fig.3 The corresponding relation betweensystem function and six-characteristic

3.3 鈉水反應監測模塊設計方法

鈉水反應監測功能模塊主要設備是氫計，氫計本身的可靠性要求由設備可靠性設計中提出。監測模塊可靠性是指多臺氫計及控制系統合理布置組成的監測功能模塊在運行時能夠可靠的探測鈉水反應的發生并且發出報警信號、無誤報警的能力。監測模塊的可靠性是該模塊的最重要的指標。

鈉水反應監測功能模塊設計時重點關注可靠性、測試性與功能實現的協同一致。鈉水反應監測功能模塊設計時要從如下幾方面考慮：

(1)調研鈉水反應事故，了解蒸汽發生器結構，確定發生鈉水反應概率最高的位置；

(2)通過計算或實驗，確定發生小泄漏時回路中氫離子的輸運過程和氫離子濃度的空間分布；

(3)結合系統布置、鈉流向選擇監測點，并通過實驗或計算進行優化；

(4)確定回路中氫離子濃度本底值，設置氫計合理的報警閾值；

(5)分析回路溫度、壓力、流量等參數對監測模塊穩定性的影響，確定其敏感性；

(6)設計合理控制程序和動作序列，模擬小/大泄漏信號，驗證控制系統的可靠性；

(7)設計監測模塊試驗程序，在調試過程中滿足其測試性要求。

3.4 超壓保護模塊設計方法

蒸汽發生器事故保護系統超壓保護模塊功能是：當發生鈉水反應引起回路壓力升高時該模塊通過非能動方式排放泄壓，保證蒸汽發生器和二回路壓力不超過容許值。

超壓保護模塊主要設備為爆破片裝置，分為排鈉和排氣，安裝在蒸汽發生器鈉側出口腔室和過熱器鈉側入口腔室處的爆破片裝置用于排鈉。安裝在鈉緩沖罐氣側和二級事故排放罐排放管道側的爆破片裝置用于排氣。

超壓保護功能模塊設計時重點關注可靠性、維修性、保障性與功能實現的協同一致。

超壓保護功能模塊設計時要從如下幾方面考慮：

(1)通過試驗或計算確定發生鈉水反應時壓力波的傳遞過程，包括在不同位置出現小/大泄漏對壓力傳遞的影響；

(2)根據蒸汽發生器確定排鈉爆破片裝置布置位置，根據蒸汽發生器事故保護系統氣腔布置排氣爆破片布置位置；

(3)結合二回路系統壓力參數確定爆破片爆破壓力，選擇滿足要求的爆破片裝置；

(4)通過試驗或計算得出發生大鈉水反應時的壓力峰值，確定爆破片選擇的準確性與合理性；

(5)提出爆破片裝置維修要求，同時定制統一規格的爆破片裝置作為備件。

3.5 隔離、排放模塊設計方法

蒸汽發生器事故保護系統隔離排放模塊功能是：在探測到小泄漏或已發生大鈉水反應時，通過快速隔離閥隔離蒸汽發生器及過熱器(沿二回路切斷鈉循環，沿三回路切斷水循環)，并且快速將蒸汽發生器和過熱器中的鈉排放至一級事故排放罐。

隔離排放模塊主要設備為不同口徑的鈉門，分為隔離電動鈉閥、快速動作鈉閥和汽水快速動作截斷閥等，在接收到報警信號時迅速啟動，該過程主要關注閥門動作的可靠性。

隔離排放模塊設計時要從如下幾方面考慮：

(1)根據蒸汽發生器布置快速隔離閥和排放閥的布置位置。

(2)對快速隔離閥和排放閥合理選型，對其提出嚴格技術要求。

(3)根據隔離閥和排放閥動作時間重新計算小/大鈉水反應時的壓力峰值，分別考慮在爆破片爆破和沒爆破的情況。

(4)通過試驗或計算確定隔離/排放的動作序列，選擇最佳邏輯順序。

3.6 包容功能模塊設計方法

蒸汽發生器事故保護系統包容模塊主要設備是一級事故排放罐和二級事故排放罐，一級事故排放罐主要用于接收包容蒸汽發生器鈉水反應后排放的鈉水反應產物，在該設備中液態反應產物和氣態產物經初步分離，液態產物留在罐中等待處理。二級事故排放罐用于包容來自一級事故排放罐的氣態反應產物，該設備運行時不加熱，可以起到一定冷卻作用。

包容功能模塊設計時主要考慮可靠性、安全性和環境適應性。作為實現安全功能設備組成的子系統，本身的可靠性也就是安全性，可一同考慮。

包容功能模塊設計時要從如下幾方面考慮：

(1)考慮一臺蒸汽發生器發生鈉水反應時反應產物的排放量，確定一級、二級事故排放罐的容積。

(2)根據二回路排放流量要求選擇排放管道直徑。

(3)根據鈉水反應產物溫度壓力計算排放時對一級事故排放罐的熱沖擊，設計一定結構避免直接對排放罐罐體造成熱沖擊。

(4)在二級事故排放罐氣體排放安全閥后設置阻火器，避免鈉水反應氣態產物中可燃氣體排放時自燃。

(5)規定一、二級事故排放罐安裝工藝間環境條件，滿足長期存放及運行要求。

3.7 試驗功能模塊設計方法

蒸汽發生器事故保護系統試驗模塊功能主要用于監測模塊的標定和試驗測試。在系統安裝后調試階段對監測系統進行本底值的標定，指導報警閾值的確定，同時可模擬小/大鈉水反應信號，測試監測系統是否滿足設計要求。

試驗功能模塊設計時主要考慮試驗性。該試驗性的含義是相對整個蒸汽發生器事故保護系統來說的。

設計過程中要考慮該功能模塊與整個系統的控制系統協調一致，可作為控制系統的一部分。主要設備有注氫裝置，其中注氫氣瓶為標準氣瓶，可作為標氣使用。

3.8 狀態監測功能模塊設計方法

蒸汽發生器事故保護系統狀態監測模塊主要功能是監測系統狀態，通過設置在不同位置的測點來實現，測點類型包括溫度、壓力、流量、液位等。

狀態監測功能模塊設計時主要考慮測試性。標準儀表出廠前進行標定，液位計等需要進行在線標定。溫度測點主要布置在一、二級事故排放罐、爆破片裝置、蒸汽發生器進出口、緩沖罐。壓力測點主要布置在一、二級事故排放罐、緩沖罐。通過這些測點確定系統是否處于正常運行狀態，該功能模塊能夠及時而準確地確定蒸汽發生器事故保護系統的狀態，滿足系統測試性的要求。

4 結論

本文對蒸汽發生器事故保護系統進行了描述，并對該系統功能模塊進行分解，同時根據各功能模塊的特點與“六性”內容進行對應，并對系統功能從“六性”角度提出設計應重點考慮的方面。在系統設計時區別于傳統“六性”分析方法，即由設備層開始的“六性”研究，再通過設備的有機組合到系統層的分析方法，直接在最初設計時針對系統功能進行“六性”相關研究，同時在設計過程中進行相應的評估、迭代，最終在滿足系統功能的同時最大程度上滿足“六性”相關的要求。

本文的研究成果為CFR600的系統設計提供了新的設計思路和規范的設計依據，將可靠性、安全性等融入設計過程，避免了傳統的可靠性分析所造成與功能實現的偏差，對于今后的設計方法具有實際意義。