大亚湾核电站反应堆保护系统可靠性分析
摘要:以故障模式影响分析(FMEA)和FTA 可靠性分析方法为基础,依据大亚湾核电站PRA 事件树分析的结果,确定了反应堆保护系统(RPR)故障树的顶事件和成功准则,建立了以紧急停堆失效和专设安全设施驱动失效为顶事件的故障树,利用RISK-SPECTRUM 程序,对所建的故障树进行定量分析与计算,得到系统故障树的失效概率和最小割集,从而为大亚湾核电站可视化风险分析软件提供数据支持。
关键词:反应堆保护;故障树分析;停堆保护;专设安全设施驱动
1 引 言
为减少紧急停堆,需要通过PRA(概率安全分析)找出核电站中各种可能引起机组紧急停堆的信号和部件,评价系统设计的安全性和可靠性,找到可能存在的设计缺陷,采取有效的防范措施,减少此类事件。
本文以故障模式影响分析(FMEA)和FTA 可靠性分析方法为基础,依据大亚湾核站PRA 事件树分析的结果,建立了以紧急停堆失效和专设安全设施驱动失效为顶事件的故障树; 利用RISK-SPECTRUM 程序,对所建的故障树进行定量分析与计算,得到系统故障树的失效概率和最小割集,为大亚湾核电站可视化风险分析软件提供数据支持。
2 反应堆保护系统(RPR)的功能及组成
本次分析的RPR 系统为广义的反应堆保护系统。分析的范围从系统的传感器(热工仪表和核仪表)到控制棒组件及专设安全设施驱动信号部分。
反应堆保护系统的功能主要是保护三大核安全屏障(燃料包壳、一回路压力边界和安全壳)的完整性,当运行参数达到危及三大屏障完整性的阈值时,保护系统动作触发反应堆紧急停堆和启动专设安全设施(图1)。
应堆保护系统上游连接所有的保护仪表组。仪表组分为热工仪表组和核仪表组两大类,它们输出的模拟量信号,经过阈值继电器转换成逻辑量送入反应堆逻辑保护(RPR)系统的输入机柜。
热工仪表信息主要来自反应堆冷却剂系统(RCP)、主蒸汽系统(VVP)、给水流量控制系统(ARE)、汽轮机调节系统(GRE)、汽轮机保护系统(GSE)、安全壳内大气监测系统(ETY)、反应堆换料池和乏燃料水池冷却系统(PTR)。核仪表信息主要来自核仪表系统(RPN) 和长棒控制系统(RGL)[1]。
反应堆保护系统的下游信息传给保护执行系统。它通过继电器回路给出保护执行信号,既可发出紧急停堆信号,又可以投入各项专设工程安全系统。
反应堆保护系统在机组运行期间,保护仪表持续对许多参数监视,反应堆停堆断路器中的两个主断路器(RPA 300 JA/RPB300JA)的初始状态为关闭。保护仪表的模拟输出量通过阈值继电器转换成开关量信号并被传递到保护逻辑[2]。
当超过某些经事故研究所确定的安全限制时,反应堆保护系统紧急停堆部分发出反应堆停堆和/或安全驱动保护的安全指令。收到相关的信号后,反应堆停堆断路器打开,停堆控制棒组件迅速落到堆芯底部,且/或专设安全设施启动。
图1 RPR 系统保护功能简图
3 系统可靠性FMEA 分析
在故障树建造之前,首先对反应堆保护系统进行FMEA 分析(Failure Mode and EffectAnalysis)。通过做FMEA 分析可以得到系统明显的故障模式并确定单点故障,其中部分故障有可能通过简单的设计修改和维修消除。在进行本次FMEA 分析时,对具有相同功能的部件还考虑了共因失效(Common Cause Failure)的形式。值得注意的是:确定事件是否属于同一共因事件组不是看它们是否属于同一系统,而是看是否属于同一功能。
部件共因失效定量分析主要方法有:β因子模型法,MGL(多希腊字母)模型法,α因子模型法,大亚湾核电站采用MGL 模型法。
本次FMEA 工作主要考虑了传感器、阈值继电器、停堆断路器等故障树分析应用的设备、部件。在考虑共因失效组时,不同的事故工况下,应用到的具有相同功能的部件的数目和逻辑关系有可能不同,形成的共因失效组也会有所不同。进行FMEA 分析时,失效模式应尽可能详细,故障分类应尽可能清晰。
4 故障树的建立
4.1 基本假设
在建立反应堆保护系统的故障树时,主要作了如下假设:
(1)所有的系统均不可修复。
(2)在系统模型中对RPR 逻辑部分的失效没有展开分析,但在进行保护信号失效评价时应用到了这些逻辑关系。
(3)反应堆停堆功能在事件树中被模型化为题头事件,并考虑了保护仪表和反应堆控制棒组件的失效。
4)安全驱动功能在另外的(其驱动器由RPR系统控制的)系统可靠性评价中模型化为故障树;只包括保护仪表的失效。总体上,既考虑了阈值继电器的单一失效也考虑了由定值错误诱发的共因失效。此外,在产生某一个信号时,假如用了几个保护通道,则认为它们之间不存在共因失效。
(5)由于在反应堆停堆线路中应用了失电动作逻辑,电力的丧失不会导致停堆功能的失效。
(6)如果由保护通道产生的信号失效,则对应传感器(包括探测器和相关的电器)和阈值继电器的失效。
(7)不考虑由偏差造成的一种传感器的完全失效。不过,由偏差造成的所有传感器的同时失效确定为共因失效。
4.2 故障树顶事件定义
停堆保护部分故障树的顶事件定义为:RPR系统在停堆信号失效、停堆断路器拒开、控制棒卡棒时,紧急停堆失效。
专设安全设施驱动部分的故障树顶事件定义为:专设安全设施驱动信号失效停堆保护部分的成功准则:反应堆保护系统一个系列运行时,逻辑信号正常给出,至少一个主要的停堆断路器能打开,不少于规定数目的控制棒组成功地落到堆芯底部。
专设安全设施驱动部分成功准则:一个系列运行时,逻辑信号能正常给出。
4.3 建立故障树
在系统可靠性分析中,需要考虑由保护仪表产生的信号,这些信号对于反应堆的停堆和安全系统的驱动是必要的。
在建故障树过程中,事故前的人为错误,保护仪表阈值继电器中的定值错误(人因可靠性分析)均被考虑。
由于停堆保护功能在大亚湾核电站概率安全分析不同的事件树中被模型化为题头事件,因此 需要对各停堆题头事件进一步分析,找出导致本题头事件的各个因素。即把紧急停堆失效事件作为故障树顶事件,按照故障树分析的方法,逐级考虑,最后通过分析得到本题头事件的故障树。根据故障树分析的基本假设,可建立故障树。紧急停堆失效为题头的故障树可由3 个次级事件构成:停堆信号失效、两个串联的主停堆断路器失效、控制棒卡棒。其中任一部分失效均可能造成停堆功能失效。
专设安全设施驱动部分的故障树为专设安全设施驱动信号失效,相对停堆故障树而言,故障树结构较为简单。
经对大亚湾核电厂PRA报告分析,我们确定了可能造成大亚湾核电厂紧急停堆的RPR 系统信号为23 种,触发专设安全设施驱动的RPR 信号共有14种。
以A 工况一回路中破口事故为分析示例,建立起故障树(图2)。A 工况一回路中破口事故分析如下:
图2 紧急停堆故障树
反应堆初始状态为运行点在(P11 ,P12)(13.9MPa,284℃)以上,一回路系统中破口的出现造成了一回路系统的降压。对于中破口事故,其空泡效应不足以抵销一回路冷却剂由于温度降低所带来的反应性增加,因此停堆保护系统的投入是必要的。通过控制棒的停堆失败将导致未能停堆的预期瞬态(ATWT)出现。
稳压器压力下降到“稳压器低压”阈值(13MPa)时,该信号将触发反应堆紧急停堆。其后,如果稳压器压力继续下降,至“稳压器低-低压力”阈值(11.9MPa)时,安注信号自动触发、安注泵自动启动、安全壳A 阶段隔离。安注信号后同时动作的还有:柴油发电机应急启动、主给水隔离、辅助给水电动泵自动启动等。
5 定量化计算及结果讨论
大亚湾核电站PRA 采用的计算机软件是瑞典公司开发的Windows 版Risk Spectrum 程序。该程序是世界上应用比较广泛的PRA 软件,Risk-spectrum 采用了RSMCS(Minimal Cut Sets)算法,它是一个自上而下的“下行法”运算法则,采用了体现故障树特点的结构,从而得到最小割集。
在得到模块化的最小割集后,利用底事件的不可用度和共因事件组的不可用度,计算出模块的不可用度及每个割集的不可用度;由全部的最小割集的不可用度得到顶事件的不可用度,也即:顶事件的定量化。
A 工况一回路中破口事故工况下,由成功准则得到的计算结果,给出顶事件发生概率为1.521×10-3,前10 位最小割集见结果表1。
以A 工况一回路中破口事件为例,从所得到的定量计算结果可以看出:稳压器压力传感器的2 阶共因失效,共占60.48%,居主要地位;压力传感器的3 阶共因失效约占20.13%,3 个压力阈值继电器定值错误的人因失误约占9.86%;其余割集的总和约为9.53%。仅压力传感器共因失效就占顶事件发生概率的 80.61%。因此,建议在选取传感器时,采取多样性原则可减少共因故障的可能,极大地提高可靠性。关于事故前人因失误的问题,应切实加强对阈值继电器定值的监督和定期核查,把人因失误降到最低限度。
依据大亚湾核电厂PRA 报告,通过计算,得到各种事故工况下停堆部分顶事件发生的概率(限于篇幅仅列出14 种)如表2。
专设安全设施驱动信号故障树作为其它系统故障树的一部分,在本次分析中没有进行计算,但在其它系统故障树分析中得到了应用。
6 结 论
本文应用FMEA 和FTA 的方法对大亚湾核电站反应堆保护系统(RPR)可靠性进行了分析,并给出RPR 系统停堆部分故障树的分析实例。通过分析,找出可能导致停堆失效和专设安全设施驱动信号失效的故障模式,根据不同的失效模式和不同的失效概率采取相应的措施,可极大地消除故障隐患, 保证系统的正常运行。并可利用RISK-SPECTRUM 程序,对所建的故障树进行定量分析、计算。反应堆保护系统可靠性分析是大亚湾核电站的PRA 模型不可或缺的部分,该项工作的完成将使得PRA 模型更加完善。
