吴明亮,郑建华
(中核核电运行管理有限公司,浙江 海盐 314300)
重水堆机组大修的核安全风险控制
吴明亮,郑建华
(中核核电运行管理有限公司,浙江 海盐 314300)
重水堆机组大修期间核燃料仍保持在堆芯,同样存在反应堆意外临界、堆芯余热不能正常导出引起燃料元件损坏等核安全风险,而且这种风险还由于停堆大修期间核电站系统配置薄弱、交叉作业多等因素而增加。文章分析了秦山三厂典型的大修关键路径安排中存在较大核安全风险的几个阶段,并介绍了在历次大修中结合重水堆机组特点所采取的一系列核安全风险管控措施,以确保机组大修期间的核安全。
重水堆;大修;核安全;风险管理
秦山第三核电厂(简称秦山三厂)拥有两台从加拿大引进的CANDU-6型重水堆机组,是目前国内唯一的商用重水堆核电厂。与压水堆机组换料大修所不同,重水堆机组大修期间核燃料仍保持在堆芯,存在着与功率运行期间同样的核安全风险,即面临反应堆意外临界、堆芯余热不能及时导出引起堆芯燃料元件损坏,放射性物质外泄等风险,并且这种风险还由于停堆大修期间电站系统处于有别于正常运行的配置和状态、大量的交叉检修作业同时进行,以及不少外来承包商的参与等因素而增加。国际核安全研究结果也表明,由于机组停堆大修时核电厂控制保护系统状态变化、检修活动的增加,以及防范意识的相对下降等因素造成大修期间的核安全风险反而高于正常功率运行期间[1]。因此,秦山三厂自商运以来一直非常重视机组大修期间的核安全风险管理。至今已累计开展了13次机组大修,在实践中逐渐摸索出一套行之有效的重水堆机组大修期间的核安全风险管理办法,以确保大修期间的核安全。
秦山三厂重水堆机组是采用重水作慢化剂和冷却剂的天然铀反应堆。反应堆是卧式结构,在装有低温低压重水慢化剂的卧式圆柱形排管容器内,有380根压力管贯穿于排管容器的排管中,压力管内装有燃料棒束。主回路系统的高温高压重水冷却剂流经压力管,将燃料裂变产生的热能带到蒸汽发生器,并传给二次侧的轻水产生蒸汽,驱动汽轮发电机组发电。主热传输系统为双环路,每个环路分别有两台主泵和两台蒸汽发生器。正常满功率运行时,单机组反应堆热功率约为2 061 MW,输出的总电功率为728 MW(在设计海水温度为18 ℃时)。
根据电站技术规格书,秦山三厂重水堆机组的运行模式分为5种,包括:
模式1:功率运行。
模式2:低功率热态加压。
模式3:升温、升压或降温、降压(过渡模式)。
模式4:非常低功率冷态卸压。
模式5:保证停堆状态。根据主系统的温度及液位不同,又可分为A、B、C 3种状态。
大修期间,要求反应堆处于保证停堆状态,且主系统处于低温低压,即大修期间的运行模式主要有模式5B和5C两种。
模式5B指反应堆功率小于0.1%FP,反应堆出口集管温度小于100 ℃,主系统处于满水位运行,通常在慢化剂中添加硝酸钆毒物来保证足够的停堆深度。在该模式下,堆芯余热依靠停堆冷却系统(SDC)及热交换器(SDC-HX)将热量通过设备冷却水系统带出,最终通过重要海水系统RSW排入大海。该模式下,因为有高位重水储存箱作用,使得反应堆出口集管约有压力200 kPa。
模式5C指反应堆功率小于0.1%FP,反应堆出口集管温度小于100 ℃,主系统处于检修水位运行,同样是通过在慢化剂中添加硝酸钆来保证足够的停堆深度。此模式下,主系统处于开口状态,此时由进/出口集管的水位差保证流过燃料通道的冷却剂流量,堆芯余热同样依靠停堆冷却系统(SDC)及热交换器(SDC-HX)将热量通过设备冷却水系统带出,最终通过重要海水系统RSW排入大海。在该模式下,高位的重水储存箱处于隔离状态,主系统开口与反应堆厂房大气相通,系统没有压力。
大修期间将实施大量与反应堆反应性、堆芯热阱、放射性包容相关的检修、重大试验和变更工作。在不同的大修阶段,由于系统配置、检修活动不一样,相应的核安全风险也不一样。通过对秦山三厂历次机组大修典型的关键路径安排进行分析,以下几个阶段有相对较高的核安全风险。
3.1 母线停电阶段
根据预防性维修大纲要求,每次机组大修都要安排奇侧或偶侧厂用电配电系统检修,工期前后共一周左右。在这个阶段,电站安全相关的三级电源只有奇系列或偶系列供电,堆芯正常热阱(停冷系统)只有一路运行,支持余热排出的冷却水、仪用压空等安全相关系统由于电源不可用,设备丧失冗余性。从保证大修后期设备维修后试验用电及主系统低水位运行需停堆3天以上等因素综合考虑,目前厂用电配电系统的母线检修都是安排在机组刚停运就开始,此时,堆芯的衰变热相对较高,一旦堆芯失去冷却,将会造成堆芯沸腾燃料元件损坏的风险。
另外,从减少低水位运行期间热阱相关设备的开口数量,在此期间通常还安排蒸汽发生器二次侧冲洗工作,该工作属于机组热阱系统的开口工作,影响蒸汽发生器热阱的可用性。
3.2 主系统低水位运行阶段
重水堆机组主系统低水位运行,即将蒸汽发生器一次侧、主泵所在管段进行疏水至反应堆进出口集管,以便开展蒸汽发生器一次侧涡检、主泵机械密封更换等预防性维修工作。低水位运行阶段,流过堆芯燃料的流量依靠进出口集管10~20 cm液位差,而且这液位差会因为主系统装量随着停冷泵轴封回流引起减少而发生变化,需要操纵员定期对主系统进行补水,确保液位差保持在要求范围内。另外,如果这期间发生任何原因导致单台停冷泵停运,将会破坏已经建立起来的反应堆集管液位平衡,为了防止重水从主系统开口处溢出而带来的人员辐射安全风险,异常响应程序要求停运另一台停冷泵然后封堵开口,这样势必造成堆芯内冷却剂滞流而失去燃料冷却。
3.3 冷却水停役阶段
设备冷却水系统(RCW)及重要海水系统(RSW)停役检修工作期间,堆芯衰变热通过RCW检修备用系统带出。秦山三厂在机组商运以后,为了解决RCW系统的检修需要,增设了一套风冷的RCW备用系统,该系统为停冷系统热交换器、乏燃料池热交换器等大修期间需保持运行的负荷提供冷却。因为设计原因,闭式循环的RCW备用系统需要通过调整桥管手动阀的开度来手动控制系统压力。随着日夜环境温度变化和热负荷变化,系统压力会发生波动,因此需要操作员不定期调整系统压力。另外,在这个阶段由于一些设备需要进行维修后试验,想从RCW备用系统“借水”,以期能尽早对一些重要设备检修后进行试验,尽管这样的用水量往往非常小,从容量分析上并不会影响堆芯等重要负荷的冷却,同样会因为一些操作而引入影响RCW备用系统可靠运行的风险。
3.4 机组启动阶段
秦山三厂机组大修后启动,通过慢化剂净化系统除去慢化剂中的消酸钆毒物使反应堆重返临界。除毒达临界初始阶段,反应堆的高功率保护信号主要由启动仪表提供。这期间,随着慢化剂中毒物浓度减少,启动仪表的记数率会逐步上升,相应的反应堆的高功率保护整定值也需要跟随提高,如果设定高功率保护整定值时出错将导致反应堆失去高功率脱扣保护。反应堆除毒过程中存在非计划临界的风险,而升降功率期间则存在计划外功率变化的风险。
另外,在上述几个阶段还会穿插其他一些检修工作,如安全壳隔离阀检修、重要核岛电动阀检修、应急堆芯冷却系统检修等都会直接或间接导致热阱和放射性包容系统的纵深防御屏障降级。在某个时间点,有核安全风险的活动甚至不止一项,因此需要认真识别并严格管控大修期间的核风险活动。
(1)编制机组大修核安全管理程序
为规范机组停堆大修期间的核安全管理,对大修期间重要核安全相关工作进行有效的过程控制,秦山三厂制定了《停堆大修期间核安全要求》管理程序,用于指导秦山三厂停堆大修期间的核安全相关活动。程序明确了大修期间核安全总要求及各部门所承担的职责。
另外,秦山三厂根据技术规格书的要求和国外CANDU机组成熟的做法,从第一次大修开始就依据保守决策的方法制定了一份操作性很强的《秦山三期机组大修核安全管理细则》,对于大修期间的核安全要求作出详细而具体的规定,成为大修期间核安全管理的指导性文件[1]。例如:对于专设安全系统要求至少保持一个停堆系统可用;应急堆芯冷却系统(ECC)始终保持一个中、低压安注系列手动可用;安全壳隔离系统的任何维修工作必须有有效的临时隔离措施,以尽快恢复安全壳的完整性。对于安全相关系统要求重要电源母线原则上一次只能安排一路退役检修,同时必须对退出运行的母线所带负荷进行核对,以满足热阱对电源的要求;只有在模式5B下,容许对三级电源的一路电源进行检修。在仪表压空系统就地气罐可用,并处于规定压力时,可以在压空系统安排经过安全评估的检修活动;由于应急电源供电系统(EPS)为两台机组公用,EPS一次只能退出一台应急供电柴油机(EDG)进行维修,一次只能退出一台应急供水泵(EWS)进行维修。同样地,对与大修期间的热阱管理,要求大修期间必须始终保持一个正常热阱可用,至少一个备用热阱能在规定时限内可用,应急热阱可用。原则上不容许在大修期间安排影响大修正常热阱功能的计划性检修工作,如果正常热阱的一个系列需要退出热备用状态,在退出之前必须恢复一个备用热阱可用等等。
(2)根据大修关键路径图,编制大修风险评估报告
根据大修项目、电厂的核安全管理要求以及现场的实施条件,秦山三厂每次大修前都会排出一个关键路径图。通过编制大修关键路径图,除了可以使全体参加大修人员清楚关键路径工作所在,把关键路径上的工作组织好,缩短工作接口,高效地推进大修工作进展,更为重要的是还可以使大修主要项目按一定逻辑进行安排,确保电厂系统配置满足机组的核安全要求。如上所分析,从机组系统配置和核安全角度考虑,大修关键路径或次关键路径通常会包含厂用电配电系统检修、主系统低水位运行、冷却水系统检修、机组启动等几个重要阶段。在此基础上,秦山三厂会在大修前组织专业技术人员对大修期间的核安全风险、工业安全和辐射防护风险、质量风险和大修进度风险进行评估并编制风险评估报告,报告针对识别出来的每一项风险给出具体的应对措施。这些应对措施包括现场实体隔离、悬挂警示标识、计划安排优化、工作控制、专项培训、模拟演练、程序文件、经验反馈等方式。
(3)对核安全高风险活动编制应急方案,并组织演练
任何涉及影响保证停堆状态(GSS)和热阱有效性的检修和运行操作,都必须按照管理程序进行风险评估。对于主系统开口、涉及热阱有效性的二回路开口等有较高风险的活动还要编制应急方案,维修人员则需根据应急方案进行事故预演并准备临时应急措施。比如,如果预计的主系统开口作业时间大于规定时间,则必须制订应急方案,并确保有独立的应急人员、材料、工具、通讯渠道并在工作期间连续值班待命,以保证所有开口在规定时间内完成封堵。如果预计的系统开口作业时间小于规定时间,则要求系统开口工作连续进行,工作人员必须始终在现场,不得离开。每次蒸发器一次侧开人孔前,都要求组织工作负责人在模拟体上进行应急封堵演练。
(4)开发大修期间的应急运行规程,并在大修前组织演练
根据主合同规定,秦山第三核电厂的供应商——前加拿大原子能公司(AECL)只提供设计基准事故工况下的应急运行规程蓝本。这些应急运行规程是针对正常功率运行时出现设计基准事故工况,其初始工况及电厂的系统配置与大修期间有很大的不同。因此,秦山三厂在商运初期就着手开发针对大修期间可能发生的预期事故应急运行规程。根据大修期间机组状态,对有可能发生严重影响热阱及堆芯冷却的事故进行排序,编制了《冷态卸压下失去RCW/RSW》《冷态卸压下失去两台停冷泵》《冷态卸压下手动触发ECC》《冷态卸压下LOCA》四份针对性很强的事故处理应急运行规程。另外,针对主系统低水位运行这一特殊工况,还编制了“低水位工况下失去一台停冷泵后重新建立堆芯冷却”的异常运行规程。
为了使操纵员熟悉掌握机组大修期间可能发生的预期事故处理流程,在每次大修前都要组织大修机组的主控室操纵员在模拟机上进行演练,演练内容除了应急事故处理,还包括一些不经常进行的操作,如建立低水位等。
(5)对大修期间的热阱进行分组管理
按照大修期间不同的运行方式和热阱配置安全原则,对机组大修期间的热阱按照其功能和需投入的顺序分成三类,即正常热阱:停堆大修期间维持反应堆日常冷却的热阱;备用热阱:在正常热阱不可用时能在规定时限内投入使用的热阱;应急热阱:事故工况下正常热阱和备用热阱不可用或在规定时限内不能投入时用于堆芯紧急冷却的热阱。
不同热阱对系统配置要求不一样。正常热阱指停堆冷却泵+停堆冷却热交换器+设备循环冷却水+重要海水系统,最终热阱为大海。备用热阱分为两类。备用热阱一:主泵强迫循环或自然循环+蒸汽发生器+辅助给水+大气排放阀或蒸汽旁路阀或主蒸汽安全阀,最终热阱为大气;应急热阱指安注(ECC)中、低压系统+安注热交换器+设备循环冷却水或应急给水系统+重要海水系统,最终热阱为大海。
停堆时间不同,堆芯余热水平不同,技术规格书对备用热阱的投入,即主系统开口封闭并开始充水规定了相应的时限(见表1)。
秦山三厂《停堆大修期间核安全要求》规定,大修期间必须始终保持正常热阱可用,至少一个备用热阱能在规定时限内投入,应急热阱手动可用,如果不可用则需准备相应的应急恢复方案。
通过对热阱分组管理,就使热阱的投入顺序更能反映机组的实际状态,同时也增加了纵深防御的层次。另外,分组类管理的方法还可以使应急热阱的投入导致主系统重水降级的概率降到最低,在充分考虑了电厂安全的前提下又考虑了电厂的经济性。
表1 技术规格书中各余热水平下的规定时限Table 1 Time required to close the HTS openings and start to refill the HTS
(6)对保证停堆状态、热阱设备进行定期检查
对于重水堆机组,大修期间必须保证反应堆始终处于足够的停堆深度和堆芯的余热导出。机组刚停下来,运行人员就根据程序清单建立保证停堆状态(GSS)的安全措施并挂牌,对于保证停堆状态设备的任何改变都要通过主隔离变更的方式进行严格审批。为了防止工作人员误动热阱设备和方便检查,大修不同阶段对实际可用的热阱设备进行挂牌。大修期间每值需对GSS状态和热阱有效性进行一次确认并记录,机组运行状态改变前后必须对GSS状态和热阱有效性进行确认。
(7)重要节点采用大修指令进行控制
大修期间一些重要控制点的释放采用大修管理指令的形式进行控制,确保相关工作经过核实确认都已完成,确保风险处于受控状态。大修管理指令由与该指令直接相关的部门经理起草,经运行、维修、技术、核安全经理以及其他相关部门经理审查,由大修指挥批准后发布执行[2]。当班值长只有拿到大修管理指令后才能下令进行相应的操作。跟核安全相关的控制点有建立主系统低水位工况和大修后机组重新除毒达临界。
释放建立主系统低水位控制点时,运行部门需确认建立主系统低水位运行必须投用的系统已投入运行,导致正常热阱、备用热阱和应急热阱不可用的工作票已终结或停止;维修部门确认低水位前需要完成的大修工作已完成;核安全部门独立审查确认低水位运行期间热阱相关的系统满足《机组大修核安全管理细则》要求,最终由大修执行指挥签发大修管理指令释放控制点。
大修后期,国家核安全局会根据电厂的申请组织专家从外部进行临界前检查,在确认满足反应堆启动条件后会颁发临界控制点释放证书允许电厂重启反应堆。作为电厂内部控制,需维修、技术部门确认与临界相关系统的大修工作已经结束,系统、设备功能满足设计要求,附上详细的支持临界的系统清单,对于不影响机组临界的遗留项目则注明将在相应里程碑节点前完成。运行部门则确认与临界相关的安全相关系统监督试验都已经全部执行完成,机组不存在影响反应堆临界的LCO限制和缺陷,核安全部门对机组的LCO限制进行审查,确认不存在影响反应堆临界的限制条件,最终由大修执行指挥签发大修管理指令释放控制点。
(8)重大专项采用项目组的方式运作
对于一些重大项目,秦山三厂在大修准备阶段成立专项组,负责大修准备、实施,直至大修后总结按照项目管理的方式运作。如安全壳泄漏率试验、主泵电机更换、钴调节棒更换、设备冷却水系统的停复役操作等等,这些专项的实施不仅有利于保证责任的落实以及提高大修期间的实施效率,更为重要的是由于采用专项组的形式,准备会更加充分,实施过程人员相对固定,更加有利于大修期间的风险管控。
(9)核安全监督常态化
大修期间,电厂的核安全监督部门根据法规,技术规格书及《秦山三厂机组大修核安全管理细则》对大修期间与核安全相关的重要检修活动、机组工况、热阱状态实施及管理情况进行日常监督,确认三道屏障的完整性及堆芯热阱的有效性。另外,每次大修电厂的核安全监督部门还会对保证停堆状态的执行情况、主系统低水位进入及退出情况以及其他一些重要检修活动实施专项监督,对大修期间的部分安全系统试验进行见证或检查。
(10)堆物理人员跟踪反应堆重启动过程
秦山三厂大修后机组启动需要经历从启动仪表监测堆内通量上升到液体区域控制系统(反应性控制系统)控制下达到临界,整个过程需要持续30 h左右。过程中,操纵员需要多次设定启动仪表计数率设定值以及反应性控制系统中的功率设定值。为了降低反应堆除毒达临界过程中非计划临界等风险,在每次大修后的机组启动时都会安排反应堆物理人员在主控室跟踪操纵员重启反应堆,对这种不经常进行的高风险操作提供技术指导,保证反应堆重启动过程安全。
秦山三厂结合重水堆机组特点,对机组大修期间的核安全风险采取了一系列的管理措施,上述内容也仅是其中一些主要措施。商运以来,秦山三厂已累计完成13次机组大修,从未因为组织管理不到位而发生影响核安全的运行事件。实践证明,这些风险管理措施是行之有效的。然而,核无小事,安全问题怎么强化都不过分,秦山三厂从管理人员到普通员工,仍然需要借鉴国内外同行的良好实践,不断完善大修期间的核安全管理手段和方法,使大修期间的核安全风险得到更好的管控。
[1] 刘卫华. 重水堆大修期间的核安全要求及管理[J]. 核动力运行研究,2005,18(1):125-129.(LIU Weihua. Nuclear safety requirement and management of CANDU unit during outage[J], Research of Nuclear Power Operation, 2005, 18 (1):125-129.)
[2] 顾军,张振华. 秦山坎杜重水堆1号机组首次停堆大修准备与组织管理[J]. 核动力运行研究,2005,18(1):111-117.(GU Jun, ZHANG Zhen-hua. Preparation and Organization Management for the First Outage of Qinshan-NPP3[J], Research of Nuclear Power Operation, 2005, 18(1):111-117.)
[3] WANO-GL2008-01.核电厂大修管理导则[S]. (WANO-GL2008-01. Guideline for the Management of Planned Outages at Nuclear Power Plant.)
Nuclear Safety Risk Control in the Outage of CANDU Unit
WU Ming-liang,ZHENG Jian-hua
(CNNC Nuclear Power Operations Management Co.,Ltd.,Haiyan of Zhejiang Prov. 314300, China)
Nuclear fuel remains in the core during the outage of CANDU unit, but there are still nuclear safety risks such as reactor accidental criticality, fuel element failure due to inability to properly remove residual heat. Furthermore, these risks are aggravated by the weakening plant system configuration and multiple cross operations during the outage. This paper analyzes the phases where there are potential nuclear safety risks on the basis of the typical critical path arrangement of the outage of Qinshan NPP 3 and introduces a series of CANDU-specific risk control measures taken during the past plant outages to ensure nuclear safety during the unit outage.
CANDU unit;outage;nuclear safety;risk management
TM623Article character:A
:1674-1617(2014)04-0359-06
TM623
:A
:1674-1617(2014)04-0359-06
2014-08-25
吴明亮(1975—),男,浙江庆元人,高级工程师,硕士,从事核电厂运行,多次参与重水堆机组大修准备和实施工作。