中國實驗快堆保護系統(tǒng)可靠性評價

宋 維

（中國原子能科學(xué)研究院，北京102413）

核電安全性始終是世界公眾關(guān)注的焦點。概率安全評價（PSA）是以概率論為基礎(chǔ)的風(fēng)險定量評價技術(shù)，目前PSA已是核電廠安全評價的標準方法之一，用概率論的方法對核電廠各個系統(tǒng)進行可靠性評價已成為必不可少的安全分析手段。

中國實驗快堆（CEFR）是我國第一座池式鈉冷快中子反應(yīng)堆，其概率安全評價和可靠性評價對其安全運行具有重要意義。本文作為CEFR概率安全評價工作的一部分，運用故障樹的方法對CEFR保護系統(tǒng)進行可靠性建模，計算其系統(tǒng)不可用度，并進行重要度、敏感度、不確定度和共因分析。

1 系統(tǒng)描述

1．1 系統(tǒng)功能

CEFR保護系統(tǒng)的主要功能是檢測反應(yīng)堆運行中出現(xiàn)的異常瞬態(tài)事件或事故工況，并為中止這些事件或緩解事故工況后果觸發(fā)相應(yīng)的系統(tǒng)動作：當(dāng)CEFR的保護參數(shù)達到或超過系統(tǒng)動作的設(shè)計限制時，自動觸發(fā)緊急停堆動作，使三根安全棒在電磁離合器斷電后0．7s內(nèi)插入堆芯；兩根調(diào)節(jié)棒和三根補償棒在驅(qū)動機構(gòu)電源斷開后2．5s內(nèi)插入堆芯；根據(jù)不同的保護參數(shù)，觸發(fā)其它相關(guān)系統(tǒng)動作，確保安全停堆。

1．2 系統(tǒng)組成及簡化流程圖

CEFR設(shè)置了兩套獨立的停堆系統(tǒng)。每套停堆系統(tǒng)都能獨立地完成停堆功能，并滿足卡棒準則，即每套系統(tǒng)中反應(yīng)性價值最大的一根控制棒卡于堆外時，兩套系統(tǒng)中的任何一套系統(tǒng)都能使反應(yīng)堆從任何工況轉(zhuǎn)到停堆狀態(tài)。第一停堆系統(tǒng)由三根補償棒和兩根調(diào)節(jié)棒及相應(yīng)的監(jiān)測、控制觸發(fā)單元和執(zhí)行機構(gòu)組成；第二停堆系統(tǒng)有三根安全棒及相應(yīng)的監(jiān)測、控制觸發(fā)單元和執(zhí)行機構(gòu)組成。

保護系統(tǒng)針對假設(shè)始發(fā)事件設(shè)置多個保護停堆監(jiān)測參數(shù)，保護參數(shù)各獨立通道，實體隔離。保護系統(tǒng)各個通道包括下列裝置：核參數(shù)監(jiān)測裝置；過程參數(shù)檢測裝置；隔離裝置；邏輯處理裝置；斷路器裝置等。保護系統(tǒng)各個環(huán)節(jié)原理示意圖如圖1、圖2、圖3所示。

圖1 第I列安全監(jiān)測裝置與2／3邏輯裝置連接原理示意圖Fig．1 Principle sketch of safety monitoring device and 2／3logical device train No．1

圖2 第II列安全監(jiān)測裝置與2／3邏輯裝置連接原理示意圖Fig．2 Principle sketch of safety monitoring device and 2／3 logical device train No．2

圖3 單根棒的斷路器連接原理示意圖Fig．3 Principle sketch of breaker connection of single control rod

1．3 系統(tǒng)設(shè)備

1．3．1 核參數(shù)監(jiān)測裝置

本裝置監(jiān)測反應(yīng)堆從源量程至功率量程范圍內(nèi)的中子注量率水平及周期，一旦中子注量率水平或周期達到或超過規(guī)定的限制，則向邏輯裝置給出中子參數(shù)的觸發(fā)信號。

1．3．2 過程參數(shù)檢測裝置

本裝置監(jiān)測反應(yīng)堆一、二、三回路的有關(guān)工藝過程參數(shù)，一旦被監(jiān)測的參數(shù)達到或超過規(guī)定的限制，則向邏輯裝置給出該參數(shù)的觸發(fā)信號。

1．3．3 隔離裝置

隔離裝置接收來自監(jiān)測裝置的參數(shù)級觸發(fā)信號，經(jīng)隔離和派生把該參數(shù)及觸發(fā)信號送給邏輯裝置。

1．3．4 邏輯處理裝置

邏輯處理裝置接收從隔離裝置送來的參數(shù)級觸發(fā)信號，對這些信號進行“三取二”（或“二取一”）的邏輯表決，表決后生成通道級觸發(fā)信號，去控制本通道的斷路器。每個通道設(shè)置一個邏輯裝置機柜，其中安裝有該通道的所有保護參數(shù)的2／3邏輯組件，一些條件2／3邏輯組件，以及停堆綜合組件1、停堆綜合組件2、停堆擴展組件、1／3綜合組件、投運控制組件和擴展組件等。

1．3．5 斷路器裝置

每個通道控制8組斷路器，每組斷路器分別控制一根控制棒。正常運行時，8組斷路器均接通，使安全棒電磁離合器供電，補償棒和調(diào)節(jié)棒驅(qū)動機構(gòu)供電。緊急停堆時，8組斷路器均斷開，使安全棒的電磁離合器失電釋放，從而使安全棒快速插入堆芯；補償棒和調(diào)節(jié)棒的驅(qū)動機構(gòu)也失去供電，棒快速插入堆芯。每個通道的斷路器是否接通，由該通道的邏輯處理裝置控制。

1．4 系統(tǒng)運行

CEFR假設(shè)始發(fā)事件發(fā)生時，由獨立的安全監(jiān)測裝置給出觸發(fā)信號，之后分別傳送至獨立的6個監(jiān)測通道（分為2列）中，保護系統(tǒng)每列每個通道的隔離組件接收來自該列的三個監(jiān)測通道傳來的參數(shù)級觸發(fā)信號，各通道的2／3邏輯組件接收來自該通道隔離組件的參數(shù)級觸發(fā)信號，進行3取2生成通道級觸發(fā)信號，該通道級觸發(fā)信號傳給該通道的停堆綜合組件1、停堆綜合組件2以及停堆綜合擴展組件等，與該通道的其他保護觸發(fā)信號一起進行N取一表決，表決后的輸出信號分別傳送給該通道的8組斷路器驅(qū)動組件，繼而傳送給該通道的8組斷路器，每組斷路器與該列其他兩個通道的斷路器組按“三取二”方式連接，進行3取2表決，切斷8根控制棒驅(qū)動機構(gòu)的電源，從而實現(xiàn)控制棒的落棒，完成停堆功能。其工作原理圖如圖4所示。

圖4 自動停堆工作原理Fig．4 Principle of automatic shutdown

2 故障樹構(gòu)模

2．1 頂事件確定

CEFR保護系統(tǒng)設(shè)置了多個保護參數(shù)，針對不同的假設(shè)始發(fā)事件會觸發(fā)多個保護信號發(fā)出，由于不同始發(fā)事件的停堆觸發(fā)信號有可能發(fā)生重疊，所以，本次分析按照觸發(fā)信號的不同，對系統(tǒng)進行單獨分析。

2．1．1 成功準則

CEFR具有兩套獨立的停堆系統(tǒng)。每套系統(tǒng)都能使反應(yīng)堆停下來，且每套停堆系統(tǒng)都能滿足卡棒準則。即在運行狀態(tài)和事故工況下，當(dāng)價值最大的一根控制棒卡于堆芯外時，該套停堆系統(tǒng)都能使反應(yīng)堆停閉，并且保證有一定的停堆深度；考慮到調(diào)節(jié)棒的價值相對于補償棒和安全棒來說很低，在停堆反應(yīng)性控制中不考慮調(diào)節(jié)棒的作用，由此得到反應(yīng)堆停堆功能的成功準則：任意一套停堆系統(tǒng)中至少兩根控制棒能夠插入堆芯，即第一停堆系統(tǒng)的至少兩根補償棒插入堆芯或是第二停堆系統(tǒng)的至少兩根安全棒完成插入堆芯。

2．1．2 頂事件確定

根據(jù)成功準則和不同的保護信號，確定了20個故障樹頂事件，如表1所示。

表1頂事件確定Table 1 Top event determination

續(xù)表

2．2 構(gòu)模假設(shè)與簡化

（1）分析的停堆保護系統(tǒng)包括產(chǎn)生停堆信號的儀控部分、停堆斷路器的電氣部分和控制棒的機械部分。

（2）系統(tǒng)進行在役檢驗或維修時，維修通道置“0”，其余的通道以“二取一”方式符合來執(zhí)行安全功能，以滿足單一故障準則。因此對停堆拒動無影響，故在故障樹中不考慮保護系統(tǒng)維修和定期試驗的影響。

（3）分析中不考慮各項電源的影響，因為當(dāng)失去控制電源以后，停堆保護系統(tǒng)趨于動作。系統(tǒng)采用安全動作的“0”觸發(fā)方式，以保證系統(tǒng)失電時，給出安全動作。因此，系統(tǒng)的失電及斷線故障模式趨于安全。

2．3 人員可靠性模化

在反應(yīng)堆運行期間進行的定期試驗中，將進行試驗的通道旁通后，并不會造成保護系統(tǒng)失效，因此不考慮試驗后人因未恢復(fù)系統(tǒng)狀態(tài)而導(dǎo)致的失效。在換料檢修期間對停堆保護系統(tǒng)的儀器標定和功能性試驗等人員活動后，有規(guī)范的校驗和檢查，而且設(shè)備狀態(tài)在主控室有指示、報警，這種人員失誤導(dǎo)致潛在的設(shè)備失效很小，在建模時可以忽略。另外，本次分析不考慮事故后手動停閉反應(yīng)堆的人員行動。

2．4 故障樹基本信息

本次分析總共建立20棵主故障樹，各樹的基本信息由表2給出。

表2 故障樹結(jié)構(gòu)信息Table 2 Information on the fault trees structure

續(xù)表

3 定性和定量分析

限于篇幅，本文除故障樹頂事件不可用度之外，其余分析僅以一棵故障樹——堆芯出口鈉溫超過565℃但未能實現(xiàn)保護停堆為例，給出計算結(jié)果。

3．1 故障樹頂事件不可用度計算結(jié)果

對各故障樹頂事件不可用度的計算結(jié)果見表3。

表3 故障樹頂事件不可用度計算結(jié)果Table 3 Calculated results of top events unavailability

3．2 最小割集計算結(jié)果

最小割集計算結(jié)果如表4所示。計算結(jié)果表明，由于多個冗余通道的設(shè)計，不存在單部件故障導(dǎo)致頂事件發(fā)生的情況，并且最小割集發(fā)生概率分布比較均勻，不存在明顯的薄弱環(huán)節(jié)。

表4 最小割集計算結(jié)果Table 4 Calculated results of MCS

3．3 重要度和靈敏度分析結(jié)果

基本事件的重要度和敏感度的計算結(jié)果如表5所示，在此僅列出重要度位于前10個基本事件。計算結(jié)果表明：各部件對頂事件發(fā)生概率的貢獻比較均勻。

表5 重要度計算結(jié)果Table 5 Calculated results of importance

續(xù)表

3．4 不確定性分析結(jié)果

本次分析，可靠性參數(shù)采用MGL模型進行計算，求得90%置信水平下，其5%置信下限為4．05E－11，95%置信上限為8．80E－7。

3．5 共因分析

為保證保護系統(tǒng)的可靠性，設(shè)計時采用了多個冗余通道以保證停堆功能的實現(xiàn)。上述分析也表明，系統(tǒng)具有較高的可靠性。但是對于冗余度較高的系統(tǒng)而言，共因的存在可能會導(dǎo)致可靠性的降低，因此對于保護系統(tǒng)而言，共因分析就十分重要。本次分析中，選取典型位置的部件進行共因分析，包括：各列的探測器、各列的2／3邏輯部件、各棒的斷路器、補償棒驅(qū)動機構(gòu)、安全棒驅(qū)動機構(gòu)。

在充分分析保護系統(tǒng)的結(jié)構(gòu)以及各部件類在系統(tǒng)中的位置及作用后，考慮并聯(lián)部件的共因，共分析18組共因組的影響。分析結(jié)果如表6所示，在此僅列出重要度位于前10個共因組。

表6 共因分析結(jié)果Table 6 Calculated results of CCFs

4 結(jié)論

本文建立了中國實驗快堆保護系統(tǒng)的故障樹模型，并進行了定性和定量分析計算。建立20個故障樹，分別計算了各頂事件的發(fā)生概率。對各個故障樹進行了重要度、敏感度和不確定度分析，并對典型位置的部件進行了共因評價，分析結(jié)果表明：由于多個冗余通道的設(shè)計，最小割集發(fā)生概率分布比較均勻，中國實驗快堆保護系統(tǒng)的設(shè)計是平衡的，不存在明顯的薄弱環(huán)節(jié)，能夠滿足反應(yīng)堆在發(fā)生異常事件時的停堆要求。

［1］ 孫新利．工程可靠性教程［M］．北京：國防工業(yè)出版社，2005．

［2］ IAEA．IAEA-TECDOC-930．Generic component reliability data for research reactor PSA［R］．Vienna：IAEA，F(xiàn)ebruary 1997．