基于蒙特卡罗方法事故进程分析的CPR1000全厂断电事故PSA

王 照，杨建峰，冯丙辰

(苏州热工研究院有限公司，江苏 苏州 215000)

核电厂厂外电源暴露于环境，可靠性时常受到极端气象条件和台风、雷击、山火、冻雨等自然灾害的挑战[1]。国内核电厂的应急柴油发电机(EDG)可靠性普遍相对较差，一旦丧失厂外电(LOOP)后应急柴油发电机失效，事故将有可能发展为全厂断电(SBO)。全厂断电事故是一种较危险的超设计基准事故，通常由丧失厂外电事故发展而来，如果处理不当，可能导致堆芯损毁、放射性大量释放的严重后果[2]，如2011年日本福岛核事故就是在地震及其次生海啸引发的全厂断电事故下发生。

在丧失厂外电或全厂断电事故缓解中，交流电源能否及时得到恢复，是一个非常关键的问题，直接决定了事故走向和进程。概率安全分析(PSA)中，通常使用静态逻辑分析方法，不能准确评估交流电源及时恢复的概率[3-4]。本文以某CPR1000机组为目标，编制蒙特卡罗方法程序动态计算丧失厂外电发展为全厂断电的概率，以及全厂断电后各种事故情景下应急交流电源及时恢复的可能性，并开展PSA。

1 CPR1000交流电源系统配置

交流电源系统是核电厂重要支持系统。正常运行或各种事故工况下，交流电源系统为设备提供动力电源，并为与核安全有关的系统和设备提供应急电源，确保核电厂的安全运行与停堆。

反应堆正常运行时，机组母线由主发电机经过高压厂用变压器供电。停堆后，机组母线由外电网经过主变压器供电。如果机组母线失去主外电源或失去高压厂用变压器，则由辅外电网经过辅助变压器向应急设备供电。如果发生丧失厂外电事故，则由核岛的应急柴油发电机向应急设备供电。同时双机组还配备了1台公用附加柴油机，可接入应急交流母线。在福岛核事故后，国内各核电厂还增设了可移动柴油发电机，进一步提高了应急交流电源配置的冗余性[5]。

CPR1000核电厂的简化交流电源系统接线图如图1所示[6-7]，4列机组交流母线LGA、LGB、LGC、LGD与厂用变压器相连，2列应急交流母线LHA、LHB分别与应急柴油发电机LHP、LHQ相连。

2 SBO事故进程

2.1 事故进程分析

丧失厂外电后控制棒驱动机构电源丧失，控制棒重力下落停堆。6.6 kV应急交流母线LHA和LHB上的低电压信号使2列应急柴油发电机启动，如果启动或运行过程中全部失效，应急交流母线丧失所有电源，则事故演化为全厂断电。

图1 CPR1000核电厂简化交流电源系统接线图Fig.1 Simplified AC power system wiring diagram of CPR1000 nuclear power plant

全厂断电后，余热排出的唯一手段是由辅助给水系统汽动泵向蒸汽发生器供水，通过二次侧将堆芯余热带出[8]。此时，由于上充泵和设备冷却水系统泵停运，主泵丧失轴封水和热屏冷却，危及主泵密封的完整性。LHA和LHB上的低电压信号触发水压试验泵柴油发电机组系统(LLS)自动启动，并驱动水压试验泵RIS011PO向主泵提供轴封注入水。如果失去轴封注入水，主泵密封处将很可能会形成破口[9]。在一回路存在破口或辅助给水系统失效，堆芯余热无法排出时，只能尽快恢复交流电源，以投运可用的系统来缓解事故。

直流电源系统在全厂断电开始时靠蓄电池维持额定电压。如果LLS能成功运行，则根据事故规程，操纵员通过LLS向直流配电盘供电，否则就通过相邻机组向直流配电盘供电。假如这些措施均失效，在满负荷下，蓄电池容量1 h后将耗尽，直流电源系统丧失。操纵员将得不到控制反应堆所必需的参数指示和信号，也没有必要的驱动电源，蒸汽发生器水位将无法控制，存在着给水满溢进入蒸汽管道的风险。如果蒸汽管道进水，将使辅助给水汽动泵遭受破坏[10]。

2.2 事故时间进程

全厂断电发生在丧失厂外电后的时间长短对事故进程有显著影响，因此事故的时间进程由丧失厂外电开始分析。模型化的时间进程如图2所示。

图2 事故时间进程Fig.2 Accident time course

t0时刻机组丧失厂外电，电网维修人员开始维修外电网；t1时刻1台应急柴油发电机失效，维修人员开始维修。t2时刻第2台应急柴油发电机发生失效，如尚未能恢复t0时刻失去的外电网或修复t1时刻失效的应急柴油发电机，事故发展为全厂断电，并假设在此时开始准备接入附加柴油发电机。t3时刻发生了缓解事故的前沿系统失效。前沿系统失效后经过Δt时间，在t4时刻之前如果不能及时恢复应急交流电源，将发生堆芯损毁，如在t4时刻之前恢复了应急交流电源，则可通过投运可用的系统缓解事故。

3 丧失厂外电发展至全厂断电

3.1 数学模型的建立

机组丧失厂外电后事故进程中出现了2台应急柴油发电机失效，可能出现两种后果，一种为发生全厂断电，另一种为在t2时刻之前外电网恢复或t1时刻失效的应急柴油发电机在t2时刻之前成功修复，未发生全厂断电。因此丧失厂外电发展为全厂断电的概率等于2台应急柴油发电机失效情况下未能及时修复应急交流电源的概率。

1) 应急柴油发电机的失效模式和时间

应急柴油发电机失效发生的时间与其失效方式相关，且与是否会发生全厂断电相关。

2台应急柴油发电机为相同的设备，存在共因失效情况，2台应急柴油发电机在丧失厂外电后的失效可分为5 种不同的模式：(1) 2台应急柴油发电机共因启动失效；(2) 2台应急柴油发电机共因运行失效；(3) 2台应急柴油发电机各自独立启动失效；(4) 2台应急柴油发电机各自独立运行失效；(5) 1台应急柴油发电机独立启动失效，另1台应急柴油发电机独立运行失效。

应急柴油发电机的失效参数采用了如表1所列的多希腊字母(MGL)二阶共因模型启动失效和运行失效数据。在二阶MGL模型中，β表示共因失效在设备失效原因中占据的比例[11]。应急柴油发电机的5 种失效模式的失效概率和时间列于表2。

表1 EDG可靠性Table 1 EDG reliability

表2 EDG失效时刻Table 2 EDG failure time

2) 电源恢复的模型

通常，电源恢复所用的时间近似呈指数分布，其在t时刻被恢复的概率密度函数为：

m(t)=μe-μ t

(1)

3.2 蒙特卡罗计算程序开发

如丧失厂外电和全厂断电后电源修复使用静态逻辑方法进行分析计算，会缺失时间因素，不能解决丧失厂外电后外电网、应急柴油发电机相继失效和修复的这类动态问题，只能通过保守的假设进行计算，忽略了失效时刻、修复时长等随机因素对系统的整体可靠性的影响，难以反映核电厂的实际情况。

蒙特卡罗方法可动态模拟丧失厂外电和全厂断电的事故进程，通过大量随机试验，逼近真实情况，从而得到一个与电厂实际情况更接近的计算结果。

PSA任务时间为始发事件后的24 h，因此仅计算丧失厂外电发生后的24 h内全厂断电的概率及时刻分布。在对丧失厂外电发展至全厂断电的概率和时间分布计算中，进行如下假设：1) 应急柴油发电机失效是丧失厂外电下交流应急母线LHA和LHB供电失效的支配性失效模式，因此在全厂断电发生时间的计算中仅考虑应急柴油发电机失效导致全厂断电；2) 厂外电源或应急柴油发电机在被修复后，如因其他原因再次发生失效属于高阶失效，发生的可能性较低，因此假设被修复后不会再次失效；3) 由于电厂负责维修应急柴油发电机的专业人员数量有限，因此保守假设只有先失效的应急柴油发电机能得到维修，2台应急柴油发电机不能同时得到维修。

通过2台应急柴油发电机的共因失效参数对5 种应急柴油发电机的失效类别开展蒙特卡罗采样，对于启动失效的情况，应急柴油发电机的失效时刻为0，对于运行失效的情况，由于运行失效概率是均匀分布的，因此在0～24 h随机抽取失效时刻作为失效时刻。

利用程序产生两个服从指数分布的随机数，指数分布参数分别为外电网平均修复时间的倒数和应急柴油发电机平均修复时间的倒数。这两个随机数分别作为外电网修复所用的时间和应急柴油发电机修复所用的时间。计算中，目标电厂的外电网失效后的平均修复时间为12.8 h，目标电厂应急柴油发电机失效后平均修复时间为5 h。通过对比抽样得到的t2时刻和交流电源被修复的时刻，可判断全厂断电是否发生。通过重复上述采样计算，可统计得到丧失厂外电发展为全厂断电的概率，当采样次数达到一定数量后，即可准确算出丧失厂外电发展为全厂断电的概率。根据上文分析编制了程序，计算流程图如图3所示。

图3 SBO概率计算流程图Fig.3 Flow chart of SBO probability calculation

3.3 计算结果与分析

取不同的蒙特卡罗抽样次数，对丧失厂外电后全厂断电的概率进行计算，结果如图4所示。

当采样次数达106时，计算结果收敛。该CPR1000核电厂在丧失厂外电后24 h内2台应急柴油发电机均发生失效的样本中，有81.9%的样本不会发生全厂断电，仅18.1%的样本发生全厂断电。

由表2知，2台应急柴油发电机在24 h任务时间内均失效的概率为4.50×10-3，因此，丧失厂外电发展为全厂断电的概率为4.50×10-3×18.1%=8.15×10-4。

对全厂断电发生时刻开展分析，如图5所示，在丧失厂外电后发生全厂断电的概率随时间先上升，在4 h左右达到最大，后逐渐下降，这是由于丧失厂外电后，应急柴油发电机有较大的启动失效概率，在丧失厂外电后初期，交流应急电源被快速修复的概率很小，随应急柴油发电机运行时间的增长，运行失效导致的全厂断电的概率逐步增加，后随电源被修复概率的增大，全厂断电发生的概率达到顶峰并开始下降。

图4 SBO发生概率计算结果Fig.4 Calculation result of probability of SBO

图5 SBO发生时刻的概率分布Fig.5 Probability density distribution of SBO occurrence time

取不同外电网的具体恢复时间，对机组全厂断电的概率开展分析，结果如图6所示。随外电网修复时间的增加，丧失厂外电事故24 h内发展为全厂断电的概率近似于线性增加。

4 全厂断电事故的发展进程及概率

4.1 全厂断电后的前沿系统

全厂断电后，需关注的安全功能有堆芯余热排出，维持堆芯水装量。相关的前沿系统和设备有辅助给水系统、仪控电源、LLS柴油机、LLS水压试验泵。前沿系统及其所执行的功能间有如下相互关系。1) 辅助给水汽动泵需仪控电源的支持，控制阀门开度和流量，否则如蒸汽发生器满溢，蒸汽管道进水将损坏辅助给水汽动泵，导致汽动辅助给水不可用，并且在电源恢复后，电动辅助给水也不可用。2) 全厂断电后仪控电源有3个来源：(1) LLS柴油发电机组LLS001AR配电盘；(2) 当LLS失效后，操纵员可执行规程从相邻机组的LNE360CR提供仪控电源；(3) 蓄电池可提供仪控电源，但由于容量有限，仅可提供1 h的电源。3) 主泵轴封注入需要LLS柴油发电机组供电驱动水压试验泵供水，LLS失效会导致主泵轴封水丧失，产生80 t/h或15 t/h两种尺寸的轴封破口。

图6 外电网修复时间对SBO概率的影响Fig.6 Influence of external power grid repair time on SBO probability

4.2 全厂断电后的交流电源修复

全厂断电后要求上文所述的前沿系统功能正常可用才可保持堆芯的安全稳定的状态，否则事故的发展将要求必须恢复交流电源，投运能动系统为一回路补水，并排出堆芯余热。

前沿系统失效后，恢复电源的时间限值Δt通过热工水力学计算的结果来确定[12-15]。根据计算，在反应堆功率运行工况下，不同的前沿系统失效条件下的Δt列于表3。

表3 不同的前沿系统失效条件下的ΔtTable 3 Δt of different frontier system failure teams

根据表3中前沿系统失效情况对电源恢复允许时间的要求，事件树分析如图7所示，全厂断电后的事故进程中有表4所列的11种不同的需恢复交流电源的前沿系统成功或失效组合(“√”代表成功，“×”代表失效，“-”代表无需考虑)。表中，辅助给水代表汽动辅助给水系统成功启动和运行，从二次侧排出余热；LLS包含LLS柴油机成功启动和运行，可为LLS水压试验泵供电，为仪控系统供电的配电盘成功带电；相邻机组供电代表从相邻机组LNE母线为事故机组提供仪控电源；轴封注入代表LLS水压试验泵成功启动、运行和轴封水注入管线成功。

图7 部分SBO事件树Fig.7 Part of SBO event tree

表4 前沿系统失效组合Table 4 Frontier system failure team

以表4中的case 3为例，其前沿系统成功或失效情况如下：全厂断电后辅助给水成功启动和运行，但LLS失败，导致水压试验泵失去电源，因而同时丧失了轴封水注入，主泵轴封出现流量为15 t/h的破口，但机组从相邻机组LNE获得了仪控电源，因此认为汽动辅助给水的流量是可得到控制和调节的，二次侧可排出堆芯余热。

Δt的开始时刻为前沿系统的失效时刻t3。前沿系统失效时刻与前沿系统的失效方式相关，可根据各前沿系统的可靠性数据，通过抽样获得。前沿系统的可靠性可通过故障树分析取得。经计算，目标电厂的系统可靠性参数列于表5。

表5 前沿系统可靠性参数Table 5 Frontier system reliability value

4.3 计算方法与假设

对于第3章中发展为全厂断电的采样结果，对每个前沿系统成功或失效组合继续通过蒙特卡罗采样抽取前沿系统的失效模式和失效时刻t3，并根据表3中的Δt计算t4。

计算中作如下假设：1) 取前沿系统的任务时间为全厂断电发生后的24 h；2) 电源恢复方式考虑修复外电网、修复1台应急柴油发电机和成功接入第5台柴油发电机3种方式；3) 保守认为LLS失效且未能从相邻机组获取仪控电源，蓄电池可供使用1 h，辅助给水立即失效；4) 保守认为主泵失去轴封注入后立刻产生了轴封破口；5) 对于多个前沿系统失效的情况，保守取最先失效的1个前沿系统失效时刻

作为前沿系统失效时刻；6) 由于附加柴油发电机接入需要约3 h，因此假设附加柴油发电机前3 h接入的概率为0，3 h后接入所需时长呈平均1 h的指数分布。

程序继续在第3章开发的程序基础上开展计算，计算流程图如图8所示。

图8 电源恢复情况计算流程图Fig.8 Flow chart of power recovery calculation

4.4 计算结果与分析

在不同的SBO后的事故序列中，电源恢复概率的计算结果列于表6。

表6 交流电源恢复概率Table 6 AC power recovery probability

由表6可知，在全厂断电下，case 8和case 9是最不希望看到的状况，电源未恢复前即发生堆芯损毁的概率高达80.40%和80.43%。如采样计算结果显示交流电源以某种方式被及时恢复，则可继续缓解事故，否则堆芯损毁。根据全厂断电事故进程，使用RiskSpectrum软件建立事件树和系统故障树，根据上文计算的电源恢复概率，计算可得全厂断电的条件堆芯损伤概率(CCDP)为2.28×10-2。

基于本文程序和RiskSpectrum软件，对大型外部灾害情景下的全厂断电的CCDP进行计算。假设灾害破坏了外电网，同时厂址内的应急柴油发电机、附加柴油发电机也受到破坏，短时间内无法修复，但电厂的福岛改进项中新增设的可移动柴油发电机未在灾害中被损坏，可紧急接入并恢复1列应急交流母线的供电。对于该移动柴油发电机在全厂断电后不同时刻成功接入的CCDP开展计算，结果如下：SBO后10 h，2.75×10-2；SBO后20 h，3.59×10-2；SBO后30 h，7.18×10-2。可知，如保持可移动柴油发电机在重大外部灾害情况下的生存能力，并及时接入交流应急母线，为应急设备提供电源供给，可显著降低在重大外部灾害情况下机组全厂断电后的风险。

5 结论

1) 使用蒙特卡罗方法，编制计算程序，动态模拟CPR1000机组全厂断电事故进程，对全厂断电事故开展了PSA，有效解决全厂断电事故的PSA中与时间高度相关的动态问题。

2) 使用编制的程序有效地量化计算了该目标CPR1000核电厂全厂断电发生时间的概率分布、外电网修复时间对全厂断电发生概率的影响、前沿系统各失效组合事故序列中交流电源恢复的概率，并进一步通过RiskSpectrum软件进行PSA建模计算得到该CPR1000机组全厂断电事故的CCDP。通过对可移动柴油发电机接入时刻的分析，量化计算得到了福岛改进项中生存能力强的可移动柴油发电机对于缓解全厂断电事故的价值。