基于可靠性的一种单一故障准则分析方法

2020-09-07 07:49赵鑫樾万砺珂胡凌生羊本林王子冠张晓杰
核科学与工程 2020年3期
关键词:水池预防性准则

赵鑫樾,万砺珂,胡凌生,羊本林,陈 石,王子冠,张晓杰,杨 松

(华龙国际核电技术有限公司,北京 100037)

系统或设备发生故障是指其因某些原因不能完成预计的功能。

单一故障是一种确定性的假设,不考虑其故障发生概率的大小,而是定性地认为失效。通常采用冗余部件或系统的设计措施来应对单一故障。

单一故障准则是指,导致单一系统或部件不能执行其预定安全功能的一种故障,以及由此引起的各种继发故障。安全组合是指用于完成某一特定假设始发事件下所必需的各种动作的设备组合,其使命是防止预计运行事件和设计基准事故的后果超过设计基准中的规定限值。

HAF102—2016[1]第5.4.5节对于单一故障准则的要求如下:

(1)必须对核动力厂设计中所包括的每个安全组合都应用单一故障准则;

(2)当把单一故障准则应用于一个安全组合或安全系统时,必须将误动作视为故障的一种模式;

(3)不符合单一故障准则的情况必须是极个别的,并必须在安全分析中明确证明是正当的;

(4)设计必须适当考虑非能动部件的故障,除非能够在具有高置信度的单一故障分析中证实:该部件的故障极不可能发生,并保持其功能不受到假设始发事件的影响。

目前单一故障准则分析是基于确定论。在进行安全分级后,FC1(安全1类功能)、FC2(安全2类功能)级系统必须满足单一故障准则,FC1级系统必须考虑系统冗余的方式应对单一故障,FC2级系统可以通过功能冗余应对单一故障,这样过于保守。本文根据始发事件发生的频率,通过与概率论的方法确定缓解措施的可靠性,基于缓解措施的可靠性来进行单一故障分析。

1 单一故障分析过程

HAF102—2016中明确规定核电厂必须满足三大基本安全功能:

(1)控制反应性;

(2)排出堆芯余热,导出乏燃料贮存设施所贮存燃料的热量;

(3)包容放射性物质、屏蔽辐射、控制放射性的计划排放,以及限制事故的放射性释放。

为了实现这三大安全功能“华龙一号”核电机组中执行下列安全功能的安全组合必须满足单一故障准则。

(1)安全壳功能;

(2)反应堆停堆;

(3)反应性控制;

(4)热量导出;

(5)必需的支持系统。

HAFJ0006[3]提出了单一故障准则的分析过程,主要分析过程如下,流程图如图1所示。

(1)确定假设始发事件及其继发效应;

(2)确定始发事件的缓解措施,即安全组合;

(3)确定安全组合的失效模式,包括能动故障和非能动故障;

(4)确定假设单一故障效应及其继发效应;

(5)评价安全组合的有效性,包括可靠性和足够的冗余度;

(6)确定适当的试验间隔和最大允许停役维修时间;

(7)评价安全组合中系统设备之间的相关性,考虑共因故障的可能性。

图1 单一故障准则分析过程Fig.1 Analysis of single failure creterion

2 基于可靠性的单一故障准则分析方法

根据HAF102,安全组合是用于完成某一特定假设始发事件下所必需的各种动作的设备组合。可见,安全组合是缓解始发事件的系统和设备组合,并非发生始发事件所在的系统和设备。HAF102要求,必须对核动力厂设计中所包括的每个安全组合都应用单一故障准则。安全组合应当包括完成安全功能的支持系统和设备。如果安全组合中一个单元失效而不能完成安全功能,则可以认为该安全组合不满足单一故障。

核电厂发生设计基准事故(DBC)这样的始发事件时,应防止缓解措施失效而进入设计扩展工况(DEC)。始发事件后果的严重性与其发生频率为单调递减函数。根据目前“华龙一号”核电厂安全分级,大部分DBC-2缓解措施失效会进入DEC工况,因此其缓解措施定为FC1级,其他少部分定为FC2级。DBC-3/4的缓解措施失效都定为FC1级。但安全分级要求执行FC1和FC2功能的系统都要满足单一故障准则。这样来看DBC-2~4的缓解措施可靠性基本是一样的。“华龙一号”安全分级仅根据放射性后果的严重性来划分。虽然这样得出缓解措施可靠性是满足核电厂安全的,但其实过于保守,影响经济性。下面根据事故频率的变化来确定缓解措施的可靠性。

对于DBC来说,按照发生频率递减依次划分为DBC-1、DBC-2、DBC-3、DBC-4,而其后果则依次增加。考虑到DBC一旦缓解失效就会进入DEC工况,而DBC-2可能发生的次数最多,因此其缓解措施的可靠性也应最高。同理,极低频率出现的事故工况,用于应对该事故工况的安全组合的可靠性不需要很高(见表1)。

根据“华龙一号”设计扩展工况的定义[3],当发生DBC事故时,如果叠加缓解措施失效的频率大于10-8则该事故序列定义为DEC-A工况。缓解措施是安全组合,如果安全组合中任何一个单元失效导致安全组合丧失安全功能就可以认为是缓解措施失效。

在考虑安全组合单一故障时,如果缓解措施失效的频率与DBC事故发生频率乘积大于等于10-8,此时认为进入DEC-A工况,需要防止此类事故序列发生,因此缓解措施必须满足单一故障。缓解措施失效可以由多种单一故障引起。但如果缓解措施失效的频率与DBC事故发生频率乘积小于10-8,认为这种缓解措施失效的可能性太小,不需要考虑该事件下缓解措施因这种单一故障失效。

不需要考虑引起缓解措施失效的单一故障发生概率可以根据表2确定。表中,P1×P2<10-8。

表2 不需要考虑引起缓解措施失效的单一故障发生概率Table 2 There is no need to consider the probabilityof single failure which can cause the failure ofmitigation measures

3 单一故障应用实例分析

针对“华龙一号”反应堆换料水池和乏燃料水池的冷却和处理系统(RFT)管线破口事故作为假设始发事件进行基于可靠性的单一故障准则分析方法举例说明。图3是RFT系统的简化流程图。

图3 RFT系统流程Fig.3 Process of RFT system

表3是根据故障树计算的RFT管线破口事故频率。假设始发事件为换料状态反应堆换料水池和乏燃料水池的冷却和处理系统管线破口。单一故障假设缓解措施的第一步隔离阀(10/11/30/31VAG)失效,其中10/11VAG考虑拒关失效,30/31VAG考虑拒开失效,电动隔离阀拒关失效的概率由可靠性数据[4]可得2.36×10-4。参考表2,2.36×10-4>10-4,因此这个始发事件中这几个隔离阀都要考虑单一故障。

在换料状态,反应堆换料水池和乏燃料水池的冷却和处理系统两个泵(01/02PO)同时运行。假设始发事件是其中一列失去功能,它的缓解措施是另一列完成安全功能。在分析另一列泵(02PO/03PO)的单一故障时可以这样分析,该泵有两种失效形式需求失效和运行失效,02PO考虑运行失效,根据可靠性数据可得运行失效频率为3.48×10-6,其失效的概率为8.35×10-5小于10-4,因此不需要考虑单一故障失效。03PO需求失效的概率2.02×10-4,大于10-4因此要考虑03PO的需求失效。综合所述,这几个泵启动时需要考虑单一故障,运行时不需要考虑单一故障。同时考虑到在失去一台泵后另两台泵作为它的缓解措施能够满足单一故障,所以三列泵是满足单一故障的最低配置。在之前设计中02PO所在列被设计成非安全级,不能满足单一故障准则,“华龙一号”融合方案将这一列工艺设备设计成安全级并采用应急电A/B列交叉供电的方案,使其能够满足单一故障准则。

在假设始发事件为换料状态反应堆换料水池和乏燃料水池的冷却和处理系统管线破口情况下,此时01PO和02PO运行、03PO备用,依据基于可靠性的单一故障分析方法可以得出下列反应堆换料水池和乏燃料水池的冷却和处理系统部分工艺设备单一故障的分析结果。分析结果如表4所示。

表3 反应堆换料水池和乏燃料水池的冷却和处理系统始发事件

表4 反应堆换料水池和乏燃料水池的冷却和处理系统部分工艺设备

由上表可以分析得出该系统中电动隔离阀和电动泵需要考虑单一故障失效,手动阀和热交换器不需要考虑单一故障失效。“华龙一号”乏燃料水池冷却系统(见图3)满足单一故障准则(未分析支持系统)。

对于具有较高频度的始发事件,单一故障准则可以提供足够的保护。在这种情况下,要提供一个以上的具有多冗余度的系统,最好是多样化的系统。

单一故障是一种保守的假设,只需要考虑确实已经发生而不需要去考虑其发生的原因。单一故障可能会引起一系列的故障,这些后果要同时考虑。某些始发事件失效形式与单一故障是相同或相似的,必须要区分它们,不能因始发事件与单一故障失效形式一样就不再考虑单一故障。在考虑单一故障时,要考虑始发事件后电厂的状态,根据此时各系统和设备的状态来进行单一故障分析。此外当考虑继发事件时,应考虑事件序列随时间的发展过程,不应以最不利的情况考虑。

在假设单一故障时应考虑人因失误,也就是在假设始发事件的情况下,在保护电厂的测量过程中操作人员的误操作或没有充分预料到的操作。

如果安全组合发生单一故障所需的维修恢复的时间很短,也可以认为其满足单一故障准则。

如果保证安全功能或功能冗余所必需的系统或设备退出运行,进行预防性维修(包括试验),则该功能或功能冗余视为不可用,则不满足单一故障准则,因此需要增加一列来进行预防性维修,冗余度为N+2。但是,如果进行预防性维修不影响系统或设备在特定的时间范围内实现要求的功能(能够满足安全分析中对功能启动时间和性能水平的要求),可以认为该系统或设备可用。即系统和设备在预防性维修时并不需要其实现功能,或预防性维修时间足够短,可以认为不降低可靠性。

这个时间可以由下面的方法计算得出[3]。

4 安全组合预防性维修时间的确定

如果保证安全功能或功能冗余所必需的系统或设备退出运行,进行预防性维修(包括试验),则该功能或功能冗余视为不可用。但是,如果进行预防性维修不影响系统或设备在特定的时间范围内实现要求的功能(能够满足安全分析中对功能启动时间和性能水平的要求),可以认为该系统或设备可用。即系统和设备在预防性维修时并不需要其实现功能,或预防性维修时间足够短,可以认为不降低可靠性。

对于一个系统或设备,其不可靠性会随着时间的增加而增加,当一个系统或设备的不可靠性增加到一定的程度则认为可能系统不能执行预期功能。此时需要停运检修该系统,即预防性维修,检修后系统的不可靠性又会降到最低。图4中,当最大维修间隔时间Tmax加上维修时间TR,不可靠性U达到最大值,维修完成后不可靠性又降到最低。

图4 维修后不可靠性的变化Fig.4 Unreliable changes after maintenance

当系统或设备中某一冗余系统停役进行预防性维修,这时不可靠性的比同一时刻没有系统或设备在维修时的不可靠性高。图5中,没有系统维修时系统不可靠性为U1,有系统维修时系统不可靠性为U2,U2的增长速率高于U1。

图5 一列系统或设备维修时不可靠性的变化Fig.5 Unreliable changes of one train systemor equipment during maintenance

如果安全组合中某个系统或设备需要预防性维修,维修的这段时间安全组合中部分系统或设备不可用,因而造成安全组合可靠性比最大维修间隔时间不可靠性增加率更高。我们规定因修理造成该安全组合最大不可靠性Umax不得大于安全组合未进行维修时最大不可靠性Umax的f倍,图5中维修TR时间内,不可用率为U2,斜率较U1陡然上升,即:

URmax(TR)≤fUmax

式中:TR——用于修理(维护试验)的停役时间;

f取5,为了让不可靠性不会提高一个数量级取5较为合适。

例如一个四取二的系统因维修停运一列变为三取二的系统,则可以得到该列系统维修的最大允许停役时间为:

式中:Tmax是最大维修时间间隔。

同样以反应堆换料水池和乏燃料水池的冷却和处理系统为例。如果系统中某一子系统或设备实际预防性维修时间小于TR,则可以认为安全组合可靠性不降低,不需要增加冗余度;如果实际预防性维修时间大于TR,则安全组合可靠性降低,必须增加冗余度。

除考虑增加系统冗余度外,还可以考虑停运维修,制定维修策略并寻找安全维修窗口。

5 经济性影响简析

基于可靠性的单一故障准则分析方法分析出的系统冗余度与传统方法有一定差别。

根据以往的单一故障分析方法,所有的缓解DBC工况的系统必须有2×100%或等效的冗余配置。而通过本文介绍的基于可靠性的单一故障准则分析方法,某些可靠性很强的缓解措施只需要1×100%或等效的冗余配置就可以满足单一故障。由此减少了一个冗余列的设备,能够大幅降低系统的造价,进而核电机组的经济性得到提升。

6 结束语

基于安全组合可靠性进行单一故障准则的分析是相对传统单一故障准则分析更为现实的一种分析方法。这种方法结合了概率论与确定论,符合三代核电机组设计的理念。

在“华龙一号”安全组合冗余度的分析确定中采用基于可靠性的单一故障分析方法,能够在不降低安全组合可靠性的同时,极大可能的减少安全组合的复杂程度,满足了三代核电厂简化设计的要求,提升核电机组的经济性。

猜你喜欢
水池预防性准则
新生儿黄疸治疗箱常见故障处置及预防性维护实践
预防性公路养护技术在现代高速公路养护中的应用
IAASB针对较不复杂实体审计新准则文本公开征求意见
小区的水池
沥青路面预防性养护方法研究
责任(二)
内部审计增加组织价值——基于《中国内部审计准则》的修订分析
找水池
2015款奔驰R400车预防性安全系统故障
学学准则