基于系统工程理论的地震自动停堆系统设计

郑培根

(上海核工程研究设计院，上海 200233)

基于系统工程理论的地震自动停堆系统设计

郑培根

(上海核工程研究设计院，上海 200233)

福岛事故后，核电厂在地震条件下的安全性引起了广泛关注。为提升核电厂抗震防护能力，在CAP1400国核示范工程中增设了地震自动停堆系统。采用系统工程理论，从核电厂地震自动停堆系统的需求分析、要求分析、系统设计和设计验证等方面进行了详细介绍。该系统具有高可靠性，能够最大限度降低误触发和拒触发的可能性，无论对新建核电厂，还是在役核电厂，均具有较强的推广价值和应用前景。该设计方法对核电厂仪控系统的设计也具有一定的借鉴意义。

核电; 地震自动停堆系统; 传感器; 安全; 数字低通滤波; 电磁兼容; 老化试验; 整定; 防护

0 引言

在地震条件下，核电厂的系统、构筑物和部件都可能遭受破坏，影响整个核电厂的安全运行，因此核电厂在选址、设计和制造过程中都要关注电厂的抗震防护能力。

福岛事故发生后，核电厂在地震条件下的安全性引起了人们的广泛关注，许多国家都强调提升核电厂抗震防护能力及地震次生灾害的应对能力。我国核安全监管机构也针对国内新建核电厂的抗震设计提出了更高要求。国家核安全局在《新建核电厂安全要求》中提出新建核电厂宜设置地震自动停堆系统(earthquakescramsystem，ESS)。在CAP1400安全评审对话过程中，审评方也多次要求增设地震自动停堆功能。

然而，我国此前并无大型核电厂地震自动停堆系统自主设计的经验，也缺乏相关的法规标准。为此，本文基于系统工程理论，详细介绍了CAP1400国核示范工程地震自动停堆系统的设计。

本文基于系统工程理论，对核电厂地震自动停堆系统设计过程进行描述，包括需求分析、要求分析、系统设计和设计验证4个阶段。

1 需求分析

国际原子能机构(internationalatomicenergyagency,IAEA)在NS-G-1.6[1-4]第7.6节中指出：核电厂是否设置地震自动停堆系统，应充分考虑厂址可能发生的地震震级、频率和持续时间，在非地震活跃带的厂址一般无需设置该系统；若设置地震自动停堆系统，其适合作为提升电厂抗震防护能力的额外措施，且应充分考虑其存在误触发的潜在风险。

国际上已有多个核电站基于不同考虑，设置了地震自动停堆系统。

日本处于亚欧板块与太平洋板块的交界处，板块相互挤压导致地震频发，因此日本的核电厂在选址、设计和建造过程中格外关注地震对核电厂安全的影响。根据日本经济产业省第62号条例规定，每个核电机组均须安装地震自动停堆系统。该系统在日本应用较早，系统大多是模拟系统，设计为安全级系统。系统通过布置在自由场的3个地震传感器采集地震信号，在机柜中进行信号处理和3取2(2/3)逻辑表决，并通过反应堆保护系统触发停堆。

俄罗斯VVER-1000反应堆安装了工业抗震保护系统。该系统作为反应堆保护系统的子系统，设计为双通道安全级系统，在2个不同标高分别设置了4个测点采集地震信号。每个通道进行4取2(2/4)符合逻辑表决，分别发出停堆触发信号。我国田湾核电站也设置了该系统。

美国有2座核电站安装了地震自动停堆系统，均在加利福尼亚州，分别是迪亚部落峡谷核电站和圣奥诺弗雷核电站。但这并非是美国核管会的要求，而是反应堆安全咨询委员会出于对安全的考虑建议安装的。这2座核电站的地震自动停堆系统同样设计为安全级，3个测点布置在反应堆厂房及其附近区域，在机柜中进行2/3符合逻辑表决，并通过停堆断路器触发反应堆停堆。

2007年，日本柏崎刈羽核电站在地震中遭受重大破坏，韩国核安全监管机构从中吸取了教训，并基于核电站安全和提升公众信心的考虑，要求所有核电站安装地震自动停堆系统。目前，韩国已有26个机组安装了地震自动停堆系统，且采用统一技术路线，设计为非安全分级，在核岛底板设置了4个地震传感器。地震信号经调理后发送到逻辑机柜，在机柜中完成定值器逻辑及2/4符合逻辑表决，输出2路停堆信号分别控制2台棒电源机组出口断路器。

中国台湾位于亚欧板块和菲律宾海板块的复杂交界处，属于地震频发区。1999年，集集地震造成了巨大破坏，促使该地区所有6台在役机组加装地震自动停堆系统。该系统设计为安全级，6个测点分2组布置在2个标高位置，分别进行2/3逻辑，并通过反应堆保护系统触发停堆。

从以上案例可以看出，由于所处的地质条件和出发点不同，各国在地震自动停堆系统的设计上略有差异，主要包括系统分级、传感器数量和布置、停堆逻辑和驱动方式等。因此，ESS主要从这些方面进行设计。

2 要求分析

2.1 顶层设计要求

ESS的顶层设计要求主要包括安全分级、纵深防御功能、抗震分类和鉴定试验等。

核电厂仪控系统是否划分为安全级系统，需要满足用于识别安全级物项的3个基本安全功能[5]。而不设置ESS，并不影响电厂在设计基准事件条件下保证3个安全功能的实现，即ESS并未构成安全级物项的充分必要条件，因此，ESS应为非安全级系统。

另一方面，相关运行经验表明，地震事件引起的其他工艺参数变化，如汽轮机振动过高或丧失厂外电源等也可能间接触发停堆[3]。但与工艺参数累积触发报警相比，地震峰值加速度直接触发停堆可以提供5～20s的时间提前量[3]。这一提前量有助于降低反应堆余热，并防止事故进一步恶化。换言之，ESS并不直接执行安全功能，而是为核电厂提供纵深防御功能，提升核电厂的抗震防护能力。

ESS对地震信号进行监测，且需要在地震发生期间保持其功能性，因此，其应设计为抗震I类系统。系统的鉴定试验主要包括电磁兼容性(electromagneticcompatibility,EMC)试验、环境试验和抗震试验。ESS顶层要求如表1所示。

表1 ESS顶层要求

2.2 功能要求

ESS的功能是连续监测地震信号。当监测到地震峰值加速度超过预先设定的停堆整定值时，产生停堆触发信号并发送至停堆驱动设备，触发反应堆停堆，同时在主控制室进行报警、指示。因此，系统应尽可能降低误触发和拒触发的可能性。

首先，应根据地震信号的特性，设计合理的滤波器，提取真实地震信号，滤除背景噪声和机械振动的影响。其次，应优化系统架构设计和停堆逻辑，合理布置系统设备。

2.3 性能要求

ESS的性能要求主要包括响应时间、不确定度和可靠性。

系统的响应时间与各部件的响应时间有关。一般而言，地震信号需经传感器、滤波器、I/O卡件和处理器处理后生成停堆信号，因此每个通道的响应时间由以上部件的响应时间组成。由于部件的响应时间与具体的部件选型有关，因此在系统设计阶段，该指标通过工程经验估算得出。考虑到控制棒落棒时间[3]，系统的响应时间可设置为不大于3s。

根据地震仪表的设计经验，系统精度通常设置为±5%，因此，ESS的不确定度可设置为±5%。

系统的可靠性可为系统的定期试验和维护提供决策参考。ESS虽不执行安全功能，但提供纵深防御功能。根据相似系统的设计经验，为保证系统的可靠运行，系统的半年和首个换料周期(18个月)的可靠性指标可分别设置为0.99和0.95。

3 系统设计

3.1 系统架构

ESS采用数字化设计和冗余架构设计，ESS架构如图1所示。

图1 ESS架构图

3.2 加速度传感器

ESS设置4个3轴向加速度传感器对地震信号进行监测和采集，分别布置在核岛底板的4个独立房间。加速度传感器安装在密闭的保护罩内，与安装面进行刚性连接，防止信号放大，并与逻辑触发机柜的输入/输出(I/O)模块连接。3轴向加速度传感器主要参数如表2所示。

表2 3轴向加速度传感器主要参数

3.3 逻辑触发机柜

逻辑触发机柜用于接收3轴向加速度传感器信号，并进行处理。

3.3.1 低通滤波

每台逻辑触发机柜对来自本通道的加速度传感器信号(X、Y、Z这3个轴向分量)进行数字低通滤波。2009年，IAEA工作组会议报告[4-6]对大量过往的地震及造成的后果进行了分析。分析结果表明，地震中的高频成分不会对电厂构筑物造成重大破坏，因此在确定运行基准地震(operatingbaseearthquake,OBE)超限准则时，应选取2～8Hz的加速度信号进行分析。而根据EPRINP-5930[4]，地震加速度对电厂的破坏主要集中在2～10Hz的频率范围内，因此，本系统的低通滤波器截止频率设定为10Hz。地震信号经低通滤波后，可有效保留地震的主要能量，并避免非天然地震误触发停堆。

3.3.2 逻辑处理

每台逻辑触发机柜中设置2个定值器逻辑处理器，分别对本通道的两组地震信号的幅值加速度与预先设定的停堆整定值进行比较。当本通道任意一个加速度传感器检测到任一轴向分量超过停堆整定值时，其对应的定值器逻辑设置为触发状态。定值器输出信号同时发送至本机柜和另一机柜的符合逻辑处理器，作为其输入信号。

每台逻辑触发机柜中设有1个符合逻辑处理器，接收4个定值器输出信号(其中2个来自本通道、2个来自另一个通道)，并对4个信号进行2/4符合逻辑表决。当系统进行旁通试验或确认某一传感器存在故障时，自动切换为2/3符合逻辑表决。

该逻辑设计通过冗余设计可提高系统的可靠性，且能够避免因单一设备故障导致的系统不可用现象。

3.3.3 整定值设定

在CAP1400设计中，ESS为新增系统，国内尚无该系统的自主化设计经验；且ESS设计为非安全级系统，这意味着ESS没有具体的整定值计算方法，也没有相关的法规标准指导计算整定值。鉴于此，本节提出了一种基于安全级系统整定值计算[6]的ESS整定值计算方法，如图2所示。

图2 ESS整定值计算方法示意图

考虑到ESS的功能要求，ESS宜采用峰值加速度作为停堆参数。事实上，国际上已设置地震自动停堆系统的核电厂均采用峰值加速度作为停堆参数。除韩国外，其余国家和地区的地震停堆整定值均等于或小于OBE。而根据IAEA的建议和RG1.166的要求，当地震停堆整定值超过OBE时，应手动停闭反应堆，因此图2中的安全分析限值设置为OBE。同时根据系统的性能要求和工程经验，图2中的各个参数取值如表3所示。

综上所述，ESS的停堆整定值为测点位置0.3SSE反应谱对应的峰值加速度(zeropeakacceleration,ZPA)。

表3 ESS停堆整定值计算参数

3.3.4 停堆驱动

ESS为非安全级系统，其停堆触发信号不应直接接入反应堆保护系统。为保证在地震事件下触发停堆，ESS应通过驱动棒电源机组出口断路器触发停堆。若2/4符合逻辑表决结果，表明地震强度超过停堆整定值，则每个通道产生1个停堆触发信号，单独控制1台对应的棒电源机组出口断路器；2个通道同时输出停堆信号时，将驱动2台棒电源机组出口断路器跳闸，实现反应堆停堆。

3.3.5 人机接口

在每台逻辑触发机柜的维修和试验组件(maintanceandtestassembly,MTA)中，为本通道的2个传感器设置旁通允许开关和旁通开关。只有当旁通允许开关闭合时，才可通过旁通开关进行旁通试验。试验时，可通过MTA强制输入特定的试验信号，验证停堆逻辑的正确性和设备状态。系统维修和试验时可旁通任一传感器，且同一时刻只能旁通1个传感器；与此同时，符合逻辑算法的表决逻辑由2/4变为2/3。

ESS在机柜和主控制室中同时提供报警指示，为电厂运行人员提供设备状态和停堆驱动状态等信息。

4 设计验证

为验证ESS设计的可靠性，采用可靠性框图法(reliabilityblockdiagram,RBD)对ESS进行可靠性分析。ESS可靠性分析基于以下假设：①机械设备的可靠度为1，即忽略机械设备存在故障的可能性；②电子器件的随机故障分布假定为指数函数，即：

R=e-λt

(1)

式中：R为可靠性;λ为失效率,次/h;t为时间，h。

对图1所示的系统架构进行建模，可得到ESS的RBD框图。地震自动停堆系统中的传感器模块由3轴向加速度传感器和低通滤波器组成，定值器逻辑则由AI卡、处理器和DO卡组成，2/4逻辑由DI卡、处理器和DO卡组成，停堆触发模块由继电器和出口断路器组成。根据参考文献[10]中的失效率数据和参考文献[2]中的典型数据，ESS部件失效率如表4所示。前2个换料周期内正常发出停堆触发信号的ESS部件可靠性如表5所示。

表4 ESS部件失效率

表5 ESS部件可靠性

5 结束语

本文采用系统工程理论，从需求分析、要求分析、系统设计等方面详细介绍了CAP1400国核示范工程地震自动停堆系统的设计。最终通过可靠性分析，对系统设计进行验证。结果表明，该系统具有较高的可靠性，能够最大限度降低误触发和拒触发的可能性，兼顾了安全性和经济性。该系统的外部接口少，对其他仪控系统影响不大，因此对新建电厂和在役电厂均有较好的推广价值和应用前景。

[1]IAEA.Seismicdesignandqualificationfornuclearpowerplants[R].SafetyGuideNS-G-1.6,Vietnam,Austria,2003.

[2]JUNGJC.Developmentofthedigitalizedautomaticseismictripsystemfornuclearpowerplantsusingthesystemengineeringapproach[J].NuclearEngineeringandTechnology,2014,46(2):235-245

[3]CONNELLWJ,WELLSJE.Ontheadvisabilityofanautomaticseismicscram[R].NUREG/CR-2513.Washington,UnitedStatesofAmerica,1981.

[4]IAEA.SeismicsafetyofexistingNPPs[R].Vietnam,Austria,2011.

[5] 毕道伟.核电厂地震自动停堆系统设计研究[J].仪器仪表用户，2015(6)：15-18.

[6]RAUSANDM.系统可靠性理论：模型、统计方法及应用[M].2版.北京:国防工业出版社，2011.

DesignofEarthquakeScramSystemBasedonSystemEngineeringTheory

ZHENGPeigen

(ShanghaiNuclearEngineeringResearchandDesignInstitute,Shanghai200233,China)

ThesafetyofNPPunderearthquakehasbeenpaidextensiveattentionsinceFukushimanuclearaccident.Therefore,earthquakescramsystem(ESS)isaddedtoCAP1400StateNuclearPowerDemonstrationProject.ThedesignofESSisdetailedintroducedbasedonsystemengineeringtheory,includingneedanalysis,requirementanalysis,systemdesignanddesignverificationofseismicautomaticshutdownsystemofnuclearpowerplant.TheESSdesignfillstheblankofdomesticself-designing,withhighreliability,anditcanminmizelyreducethepossibilityofmistakeandrejechingfrigger,havingstrongpromotingvalueandapplyingprospecttobothnewconstructedandin-serviceNPPs.ThemethodcouldalsoprovideareferencefordesigningNPPI&Csystems.

Nuclearpower;Earthquakescramsystem;Sensor;Security;Digitallow-passfilter;Electromagneticcompatibility;Burn-intest;Settingvalue;Protection

郑培根(1986—),男，硕士，工程师，主要从事核电厂机电设备控制技术的研究。E-mail:zhengpeigen@snerdi.com.cn。

TH-3;TP

ADOI: 10686/j.cnki.issn1000-0380.201701010

修改稿收到日期:2016-06-29