CPR1000與AP1000機組主控室應急運行方式對比

王小林,申中祥，張兆虎，炊曉東，徐 鵬

(核動力運行研究所，湖北 武漢 430000)

應急操作規程(Emergency Operating Procedure,EOP)是核電廠處理設計基準事故和超設計基準事故的重要依據。早期，全世界核電機組均采用事件導向應急操作規程，該類規程必須通過具體事件序列的診斷，協助操縱員采取最佳恢復策略，即一個被診斷出的事件對應一個操作規程。 三里島事故處理過程充分暴露了事件導向EOP的局限性，事故發生后，以美、法為代表的核電強國積極的展開了EOP的研究工作，并在規程中引入物理狀態法，將征兆導向的設計思路融入應急規程設計中。這種方法依據具有代表性的核蒸汽供應系統的熱工水力參數來辨識反應堆的狀態，通過控制反應堆狀態的表征參數控制反應堆。

基于我國核電技術路線多樣性的歷史背景，相關單位在消化、吸收原技術出口國應急規程設計理念基礎上，逐步形成了主要以法、美應急規程為特征的應急規程體系。目前，廣東核電集團CPR1000機組均采用完全基于征兆/狀態的應急操作規程(State-oriented Procedure，SOP)，AP1000、CP300及華龍一號機組采用事件導向法與征兆導向法相結合的EOP(以下稱為SEOP)，其他大部分電廠采用事件導向法應急處理規程(以下稱為傳統EOP)，如表1所示。

表1 國內部分核電廠應急規程應用統計

隨著華龍一號項目的穩步推進，未來SEOP勢必廣泛應用于我國新建三代機組。鑒于CPR1000機組SOP事故處理方式與AP1000機組SEOP事故處理方式差異性較為明顯，同時在當前或未來的機組上應用最為廣泛，因此，有必要對二者進行對比研究，取長補短，相互借鑒，為后續機組應急規程及主控室應急運行方式的設計提供參考。

1 應急規程原理

1.1 SOP原理

SOP規程選用了六個基本狀態功能參數分別代表一回路，二回路及安全殼的狀態。六個狀態功能的不同組合就代表了機組在某個時刻所處的總體狀態。通過判斷六個狀態功能及其相對應的參數(見表2)就能確定機組所處的狀態，并決定采用對應的控制策略。

SOP程序包括八大控制策略(見表3)。在故障或事故工況框架內，控制策略分解為三個步驟：機組物理狀態的識別、操作目標的確定、為了達到操作目標采取的行動組合。策略的選擇依據狀態功能參數降級的嚴重程度，一旦有多個狀態參數降級(或嚴重降級)，就需要由功能目標的分級原則來確定需要采取的控制策略[1]。例如，一旦一回路水裝量嚴重降級，堆芯完全裸露，有融化的危險，相應的控制策略是實施堆芯最終保護措施;如果僅僅一回路三個狀態功能參數中的一個降級，它對堆芯損壞的貢獻就非常重要，那這個功能的控制就需要優先考慮?；謴推涔δ艿目刂撇呗詫⒁来芜x擇為:恢復一回路水裝量、恢復堆芯余熱導出(P，T 嚴重過熱)、處理ΔTsat(P，T 過冷，壓力殼冷沖擊)、恢復次臨界狀態；如果沒有一回路狀態參數降級，短期內將不會對堆芯有損壞的風險，因此總體目標是將機組帶到或維持在后備狀態。

表2 SOP六大功能狀態

表3 SOP八大控制策略

操縱員根據對物理狀態參數的診斷，確定需要采取的最佳事故處理行動，不需要識別導致該物理狀態惡化的具體初因事件，以保證機組達到安全停堆狀態或最終狀態。要處理疊加事故，必須對機組狀態參數定期進行監視和診斷。SOP采用了循環的處理方式(見圖1)，當有新事件或事故發生時，會導致狀態功能惡化，操縱人員根據診斷選擇合適的事故處理策略。同時，在事故演變過程中，可以定期對機組狀態進行診斷，并據此判斷目前執行的程序是否適合當前機組狀態[2]。

圖1 SOP程序執行邏輯原理Fig.1 Execution logic principle of SOP

圖2 改進型EOP執行邏輯原理Fig.2 Execution logic principle of EOP

1.2 SEOP原理

SEOP基于事件導向法與征兆導向法相結合的設計理念(見圖2)，包括三部分：最佳恢復規程(E，ES，ECA系列規程)、關鍵安全功能診斷規程(F-0、SDF規程)和關鍵安全功能恢復規程(FR、SDP系列規程)。最佳恢復規程是基于事件的操作規程，沿用傳統EOP事故處理思路；關鍵安全功能診斷及恢復規程是在應急運行狀態中執行以征兆為基礎、以控制關鍵安全功能為對策的規程。

為盡可能地確保三道安全屏障在所有時間和工況下的完整性，SEOP選擇了六個關鍵安全功能，按照優先級由高到低排序為：次臨界度(S)、堆芯冷卻(C)、二次熱阱(H)、主系統完整性(P)、安全殼完整性(Z)、主系統水裝量(I)。當機組偏離正常運行工況或發生事故，操縱人員首先進入診斷程序(E-0)對機組狀態進行判斷，如果能夠識別事故，則轉入最佳恢復規程[3]。與此同時，安全工程師執行安全功能診斷規程F-0(關鍵安全功能狀態樹-Critical Safety Function Status Trees，CSFST)連續監測核電廠的狀態。關鍵安全功能又分顏色等級，從高到低依次為紅、橙、黃、綠四種顏色，顏色分級優先于功能分級。例如，當我們正在執行次臨界橙燈規程時，如果安全殼出現了紅燈工況，盡管次臨界功能的優先級要遠高于安全殼，但仍需立即轉至執行紅燈工況規程。

F-0規程共有六棵關鍵安全功能狀態樹(以下簡稱狀態樹)，每個狀態樹由若干個狀態診斷點組成，每個診斷點選定若干個安全參數，用其實際值與安全定值相比較來判斷安全狀態。一旦起動狀態樹，六個安全狀態樹需依次進行診斷(次臨界CSFST-堆芯冷卻CSFST-熱阱CSFST-RCS完整性CSFST-安全殼CSFST-RCS水裝量CSFST)，當第六個安全狀態樹診斷完畢，再轉入第一個狀態樹，往返循環診斷。

例如，根據次臨界CSFST執行邏輯(見圖3)，次臨界CSFST的判定依據是4個中間量程中子探測器的信號，儀控系統通過4個中子探測器的信號計算出每個通道的啟動率和中子通量，取最大值與整定值進行比較，進而判定當前機組的次臨界度是否滿足要求，并在次臨界CSFST(見圖4)上顯示出對應的顏色及FR規程。

圖3 次臨界CSFST執行邏輯圖Fig.3 Sub-critical CSFST execution logic diagram

1.3 對比分析

SOP及SEOP均能處理單一事故和疊加事故，均滿足核電機組事故處理要求，但二者設計理念的不同導致了一些差異(見表4)。

表4 SOP及SEOP原理對比

SOP中，沒有具體事故的概念，即對于某一具體事故，沒有單獨的事故規程與之對應，只根據反應堆系統的狀態進行引導，執行相應的操作。SOP要求定期監測和診斷六大狀態功能，監測和診斷周期要求盡可能短，以便操縱員可以盡早改變事故策略。而對于實際情況，所有的診斷都是操縱員手動執行，操縱員既要執行事故規程中的操作又要執行定期診斷，將會大大的增加操縱員的工作負荷。

SEOP 中的最佳恢復規程著眼點在于“事故”，一旦“事故”診斷確認，即執行該事故所對應的規程(如SGTR事故執行E-3 規程)，操作員完全根據該規程進行操作，直至規程完畢；同時對于疊加事故，SEOP也引入六大狀態功能，關鍵安全功能狀態樹規程實現對狀態功能是否惡化的診斷，診斷均通過內部邏輯實現計算機自動診斷[4]，直接給出需要執行的程序編碼，功能狀態的判斷更為迅速、直觀，事故處理效率更高。

2 應急規程組成

2.1 SOP組成

SOP事故規程包括以下幾種，不同程序對應不同事故處理工況(見表5)。

(1)診斷程序(DOS，DOSR)

該程序可用于確定不同機組狀態下(從功率運行直到蒸汽發生器冷卻狀態或從余熱排出系統連接直到維修停堆、換料停堆狀態)核熱系統的整體物理狀態。

(2)事故處理主程序(ECPi,ECTi,ECPRi,ECTRi,ECPRO,ECTRO,ECS,ECSO)

ECPi、ECPRi、ECPRO為一回路操縱員使用的事故處理程序，ECP按狀態功能降級的嚴重程度分為ECP1/ECP2/ECP3/ECP4；ECS,ECSO為二回路操縱員使用的事故處理程序。ECTi、ECTRi、ECTRO為協調員使用的事故處理程序。

(3)用于超設計基準事故的程序(H4程序)

H4程序詳細說明了超設計基準事故下安全注入系統和安全殼噴淋系統互為備用的操作準則與方法。H4事故規程沒有二回路操縱員文件。

(4)用于極限運行工況的應急運行程序(U2、U5程序)

U2程序規定了當發生第一道或第二道安全屏障失效事故后，放射性超過相關閾值時，應立即采取的措施、監視手段及恢復安全殼性能的方法。U5程序用于事故后安全殼的過濾與排放。

(5)各類操作單匯總(RCR/RCE/RCT/RPS/RMS/RFLL/RFLE/RFA等)

(6)事件/事故期間連續監測程序(SPE/SPEO程序)

SPE、SPEO為機組狀態連續監測程序，一般由安全工程師執行。

表5 SOP程序覆蓋的典型工況

2.2 SEOP組成

EOP規程分為以下三類：

(1)最佳恢復規程(ORP)

通常應用于事件征兆明確、發生單一事故的情況下，執行的結果可以將電廠恢復至最佳的安全停堆狀態。

ORP規程包括三種：

① E：用于分析診斷和從設計基準事件中恢復；②ES：對E規程恢復操作的補充；③ECA(特定事件規程)：作為E規程和ES規程的補充，對小概率事件或獨特事件提供恢復操作。

(2)關鍵安全功能狀態樹及功能恢復規程

該類規程是對最佳恢復規程的一種補充，它通常應用于安全功能受到嚴重破壞的多重事件并發的情況下。包括以下兩種：

①F：用來分析診斷狀態樹中的關鍵安全功能所受威脅的規程。②FR：關鍵安全功能恢復規程。FR規程碼后面一般都尾隨一個相應的關鍵安全功能碼，分別是：S—次臨界，C—堆芯冷卻，H—熱阱，P—主系統完整性，Z—安全殼，I—主系統水裝量；

(3)停堆關鍵安全功能狀態樹及功能恢復規程

該類規程與功率運行狀態下的F和FR規程類似，在模式5和模式6，由此類規程對各種關鍵安全功能進行診斷和恢復。

包括以下2種：

①SDF：用于在停堆狀態下關鍵安全功能診斷；②SDP：停堆時關鍵安全功能恢復規程。

2.3 對比分析

SOP涵蓋了喪失機組廠用交流電源、儀用直流/交流電源、儀用壓空系統、循環水系統、閉式冷卻水系統等異常事件和各種事故工況，而SEOP僅覆蓋事故工況，異常事件屬于AOP(異常運行事件處理程序)的處理范疇，兩者的文件體系差異較大(見表6)。

表6 SOP及SEOP程序組成對比

SOP對于一些容易識別的事件/事故的處理不夠直接，沒有針對性的處理程序，所有的事故處理均需要從頭到尾執行程序。而且SOP單份主程序的頁數過多、導向點過多，操縱人員容易導向錯誤的規程。好在SOP采用循環結構設計，能及時糾正人因失誤，根據事故的演化及時調整運行策略。SOP程序體系覆蓋全面、分工細致，而且將溝通等行為規范融入程序，能防止人為失誤造成嚴重后果，操縱人員只要按照程序執行就能將機組帶入安全狀態。也正因為這種設計，在事故中操縱員的能動性及提前干預的可行性上存在不足，在一定程序上影響了規程執行效率，所以，實際機組上SOP程序還配有一套“中斷準則”，即機組出現某些規定的條件時可以轉換規程。

SEOP設計有針對特定事故的處理程序，同時關鍵安全功能狀態樹程序的存在克服了事件導向程序無法處理疊加事故的不足，而且關鍵安全功能的監測由計算機自動執行(可直接給出需要執行的規程)，減少了事故程序間的導向，執行效率更高。

兩種應急規程對常見的事故處理思路一致，但由于CPR1000和AP1000系統方面存在差異，應急程序中實現同一效果的操作方法不盡相同，AP1000采用非能動技術，因此SEOP中增加了事故72 h后對一些系統的操作程序。

3 SGTR事故工況應急規程的應用

3.1 SGTR事故工況SOP的應用

以機組滿功率運行時發生蒸汽發生器傳熱管破裂事故(SGTR事故)為例，破口面積較大直接觸發停堆和安注。

根據機組出現的DOS報警，一回路操縱員(RO1)申請執行SOP程序，經協調員批準后RO1進入一回路DOS程序(DOS1)對機組進行診斷，并通知二回路操縱員(RO2)執行二回路DOS程序(DOS2)。協調員同步執行協調員程序(DOS、ECT)監督、驗證操縱員執行規程的正確性[4]。SOP程序的事故響應如圖5所示。

3.2 SGTR事故工況SEOP的應用

同樣以機組滿功率運行時發生蒸汽發生器傳熱管破裂事故(SGTR事故)為例，破口面積較大直接觸發停堆和安注。

根據機組停堆及安注報警，副值長立即執行E-0規程，同時指派核島操縱員執行E-0規程，常規島操縱員執行AOP-332(汽輪機甩負荷)停機狀態檢查。核島操縱員(RO1)執行E-0規程時需持續反饋規程執行的步驟，并獲得副值長的許可后方能繼續執行E-0操作步驟。副值長根據E-0規程要求安全工程師(STA)執行F-0規程(監視關鍵功能狀態樹)，對機組狀態進行診斷。同時安排監護操縱員響應報警、執行插頁監視等機組工作[5,6]。在執行應急事故規程的過程中，以副值長為中心，主控室所有信息必須匯集于副值長，所有技術命令都由副值長下達(見圖6)。

圖5 SGTR事故CPR1000機組事故響應流程Fig.5 CPR1000 accident response process in SGTR accident

圖6 SGTR事故AP1000機組事故響應流程Fig.6 AP1000 accident response process in SGTR accident

3.3 對比分析

基于CPR1000和AP1000技術差異及兩類機組采用不同的應急規程體系，SGTR事故工況事故工況下兩類機組運行值的協調運作方式存在明顯不同。下面將從事故報警、機組監控、規程進入方式、信息交流方式、報警響應方式、指揮體系、任務切換方式及各崗位職責等方面對兩類機型在SGTR事故運行方式進行對比分析(見表8)。

可見，AP1000比CPR1000機組主控室多設置一名監護操縱員，能有效的分擔機組工作任務，但要投入更多的人力成本；CPR1000機組設置一名安工，來自電廠核安全部門，與運行值一起倒班工作，對核安全起到獨立監督作用，有利于機組安全規范運行。

表7 CPR1000和AP1000機組事故運行方式對比

續表CPR1000機組SOPAP1000機組SEOP崗位職責副值長可擔任協調員(當兩臺機組同時出現事故工況)或隔離經理負責主控技術工作,同時作為信息匯總中心;帶領RO執行事故規程E0-E3,并通過E0、E3規程驗證操縱員正確執行事故規程;對發現的報警進行優先級排序,并根據需要安排常規島或監護操縱員執行響應規程隔離經理根據操縱員或協調員指令執行電氣操作單兼任倒班技術顧問STA,協助值長履行主控室全局掌控職責;執行F-0規程,監督關鍵安全功能狀態樹RO1嚴格執行一回路DOS程序;通過DOS診斷進入ECP3事故規程處理事故;執行程序時必須大聲唱票,需要切換程序時需請示協調員在副值長帶領下執行事故規程(與副值長的規程完全一樣),重要規程每執行完關鍵步驟需向副值長匯報;根據副值長指令執行后續步驟,所有決策都應請示副值長,規程執行時不用大聲唱票RO2應RO1要求執行二回路DOS程序;應RO1要求執行ECS程序停堆初期主動執行《汽輪機甩負荷》的附件進行停機狀態檢查,保證二回路狀態穩定;之后根據副值長指令執行操作監護操縱員無此崗位根據副值長的指令執行相關操作,如監視插頁、執行響應報警現場操作員根據RO及協調員指令執行現場在線和電氣操作單RFLL/RFLE(如隔離故障SG的現場操作)根據操縱員指令執行現場操作安工執行SPE程序:監視安全系統和安全殼狀態;為事故控制提供建議無此崗位

CPR1000機組一路、二回路、機組長(協調員)所持的SOP主程序均不同，各崗位執行特定崗位程序。AP1000機組一回路、副值長(協調員)持有相同的主程序(主控室一般是一式三份)，協調員可以將主程序中的工作任務分解，分配給二回路、監護操縱員執行。因此，AP1000的規程執行更為靈活，對于主控室操縱人員負擔管理是有益的。不區分崗位執行連續步驟更有利于核心目標達成，減少一、二回路操縱員在規程結合點相互等待的時間。

AP1000采用小組短會方式集體決策規程轉入和轉出。CPR1000采用操縱員和協調員雙人確認方式進行規程的轉入和轉出。AP1000方式更有利于整個運行值對于機組狀態的掌握。AP1000采用單線指揮體系，副值長作為技術負責人，而且執行主程序時操縱員每執行一個步驟都需要副值長的指令，對副值長提出了更高的管理要求。

4 結束語

核電廠主控室應急運行方式是核電技術發展及持續運行過程中不斷積累和總結的寶貴經驗，是根植于核電機組運營企業的一種文化。不同堆型的核電機組主控室應急運行方式與核電機組采用的技術類型相輔相成。CPR1000采用法系技術，已經保持安全穩定運行多年，積累了豐富的經驗；AP1000作為新建核電機組雖說在實際運行經驗上存在不足，但其某些先進的運行理念也可能是很多電廠所不具備的。在事故工況主控室能否高效運作關鍵取決于運行人員是否能夠高效執行事故程序及相關管理規定。不同堆型的核電機組主控室應急運行方式在符合本機組技術特點及運營文化的同時，應加強溝通交流、合理吸收、相互促進。