CPR1000与AP1000机组主控室应急运行方式对比

2020-12-18 09:15王小林申中祥张兆虎炊晓东
中国核电 2020年5期
关键词:协调员规程机组

王小林,申中祥,张兆虎,炊晓东,徐 鹏

(核动力运行研究所,湖北 武汉 430000)

应急操作规程(Emergency Operating Procedure,EOP)是核电厂处理设计基准事故和超设计基准事故的重要依据。早期,全世界核电机组均采用事件导向应急操作规程,该类规程必须通过具体事件序列的诊断,协助操纵员采取最佳恢复策略,即一个被诊断出的事件对应一个操作规程。 三里岛事故处理过程充分暴露了事件导向EOP的局限性,事故发生后,以美、法为代表的核电强国积极的展开了EOP的研究工作,并在规程中引入物理状态法,将征兆导向的设计思路融入应急规程设计中。这种方法依据具有代表性的核蒸汽供应系统的热工水力参数来辨识反应堆的状态,通过控制反应堆状态的表征参数控制反应堆。

基于我国核电技术路线多样性的历史背景,相关单位在消化、吸收原技术出口国应急规程设计理念基础上,逐步形成了主要以法、美应急规程为特征的应急规程体系。目前,广东核电集团CPR1000机组均采用完全基于征兆/状态的应急操作规程(State-oriented Procedure,SOP),AP1000、CP300及华龙一号机组采用事件导向法与征兆导向法相结合的EOP(以下称为SEOP),其他大部分电厂采用事件导向法应急处理规程(以下称为传统EOP),如表1所示。

表1 国内部分核电厂应急规程应用统计

随着华龙一号项目的稳步推进,未来SEOP势必广泛应用于我国新建三代机组。鉴于CPR1000机组SOP事故处理方式与AP1000机组SEOP事故处理方式差异性较为明显,同时在当前或未来的机组上应用最为广泛,因此,有必要对二者进行对比研究,取长补短,相互借鉴,为后续机组应急规程及主控室应急运行方式的设计提供参考。

1 应急规程原理

1.1 SOP原理

SOP规程选用了六个基本状态功能参数分别代表一回路,二回路及安全壳的状态。六个状态功能的不同组合就代表了机组在某个时刻所处的总体状态。通过判断六个状态功能及其相对应的参数(见表2)就能确定机组所处的状态,并决定采用对应的控制策略。

SOP程序包括八大控制策略(见表3)。在故障或事故工况框架内,控制策略分解为三个步骤:机组物理状态的识别、操作目标的确定、为了达到操作目标采取的行动组合。策略的选择依据状态功能参数降级的严重程度,一旦有多个状态参数降级(或严重降级),就需要由功能目标的分级原则来确定需要采取的控制策略[1]。例如,一旦一回路水装量严重降级,堆芯完全裸露,有融化的危险,相应的控制策略是实施堆芯最终保护措施;如果仅仅一回路三个状态功能参数中的一个降级,它对堆芯损坏的贡献就非常重要,那这个功能的控制就需要优先考虑。恢复其功能的控制策略将依次选择为:恢复一回路水装量、恢复堆芯余热导出(P,T 严重过热)、处理ΔTsat(P,T 过冷,压力壳冷冲击)、恢复次临界状态;如果没有一回路状态参数降级,短期内将不会对堆芯有损坏的风险,因此总体目标是将机组带到或维持在后备状态。

表2 SOP六大功能状态

表3 SOP八大控制策略

操纵员根据对物理状态参数的诊断,确定需要采取的最佳事故处理行动,不需要识别导致该物理状态恶化的具体初因事件,以保证机组达到安全停堆状态或最终状态。要处理叠加事故,必须对机组状态参数定期进行监视和诊断。SOP采用了循环的处理方式(见图1),当有新事件或事故发生时,会导致状态功能恶化,操纵人员根据诊断选择合适的事故处理策略。同时,在事故演变过程中,可以定期对机组状态进行诊断,并据此判断目前执行的程序是否适合当前机组状态[2]。

图1 SOP程序执行逻辑原理Fig.1 Execution logic principle of SOP

图2 改进型EOP执行逻辑原理Fig.2 Execution logic principle of EOP

1.2 SEOP原理

SEOP基于事件导向法与征兆导向法相结合的设计理念(见图2),包括三部分:最佳恢复规程(E,ES,ECA系列规程)、关键安全功能诊断规程(F-0、SDF规程)和关键安全功能恢复规程(FR、SDP系列规程)。最佳恢复规程是基于事件的操作规程,沿用传统EOP事故处理思路;关键安全功能诊断及恢复规程是在应急运行状态中执行以征兆为基础、以控制关键安全功能为对策的规程。

为尽可能地确保三道安全屏障在所有时间和工况下的完整性,SEOP选择了六个关键安全功能,按照优先级由高到低排序为:次临界度(S)、堆芯冷却(C)、二次热阱(H)、主系统完整性(P)、安全壳完整性(Z)、主系统水装量(I)。当机组偏离正常运行工况或发生事故,操纵人员首先进入诊断程序(E-0)对机组状态进行判断,如果能够识别事故,则转入最佳恢复规程[3]。与此同时,安全工程师执行安全功能诊断规程F-0(关键安全功能状态树-Critical Safety Function Status Trees,CSFST)连续监测核电厂的状态。关键安全功能又分颜色等级,从高到低依次为红、橙、黄、绿四种颜色,颜色分级优先于功能分级。例如,当我们正在执行次临界橙灯规程时,如果安全壳出现了红灯工况,尽管次临界功能的优先级要远高于安全壳,但仍需立即转至执行红灯工况规程。

F-0规程共有六棵关键安全功能状态树(以下简称状态树),每个状态树由若干个状态诊断点组成,每个诊断点选定若干个安全参数,用其实际值与安全定值相比较来判断安全状态。一旦起动状态树,六个安全状态树需依次进行诊断(次临界CSFST-堆芯冷却CSFST-热阱CSFST-RCS完整性CSFST-安全壳CSFST-RCS水装量CSFST),当第六个安全状态树诊断完毕,再转入第一个状态树,往返循环诊断。

例如,根据次临界CSFST执行逻辑(见图3),次临界CSFST的判定依据是4个中间量程中子探测器的信号,仪控系统通过4个中子探测器的信号计算出每个通道的启动率和中子通量,取最大值与整定值进行比较,进而判定当前机组的次临界度是否满足要求,并在次临界CSFST(见图4)上显示出对应的颜色及FR规程。

图3 次临界CSFST执行逻辑图Fig.3 Sub-critical CSFST execution logic diagram

1.3 对比分析

SOP及SEOP均能处理单一事故和叠加事故,均满足核电机组事故处理要求,但二者设计理念的不同导致了一些差异(见表4)。

表4 SOP及SEOP原理对比

SOP中,没有具体事故的概念,即对于某一具体事故,没有单独的事故规程与之对应,只根据反应堆系统的状态进行引导,执行相应的操作。SOP要求定期监测和诊断六大状态功能,监测和诊断周期要求尽可能短,以便操纵员可以尽早改变事故策略。而对于实际情况,所有的诊断都是操纵员手动执行,操纵员既要执行事故规程中的操作又要执行定期诊断,将会大大的增加操纵员的工作负荷。

SEOP 中的最佳恢复规程着眼点在于“事故”,一旦“事故”诊断确认,即执行该事故所对应的规程(如SGTR事故执行E-3 规程),操作员完全根据该规程进行操作,直至规程完毕;同时对于叠加事故,SEOP也引入六大状态功能,关键安全功能状态树规程实现对状态功能是否恶化的诊断,诊断均通过内部逻辑实现计算机自动诊断[4],直接给出需要执行的程序编码,功能状态的判断更为迅速、直观,事故处理效率更高。

2 应急规程组成

2.1 SOP组成

SOP事故规程包括以下几种,不同程序对应不同事故处理工况(见表5)。

(1)诊断程序(DOS,DOSR)

该程序可用于确定不同机组状态下(从功率运行直到蒸汽发生器冷却状态或从余热排出系统连接直到维修停堆、换料停堆状态)核热系统的整体物理状态。

(2)事故处理主程序(ECPi,ECTi,ECPRi,ECTRi,ECPRO,ECTRO,ECS,ECSO)

ECPi、ECPRi、ECPRO为一回路操纵员使用的事故处理程序,ECP按状态功能降级的严重程度分为ECP1/ECP2/ECP3/ECP4;ECS,ECSO为二回路操纵员使用的事故处理程序。ECTi、ECTRi、ECTRO为协调员使用的事故处理程序。

(3)用于超设计基准事故的程序(H4程序)

H4程序详细说明了超设计基准事故下安全注入系统和安全壳喷淋系统互为备用的操作准则与方法。H4事故规程没有二回路操纵员文件。

(4)用于极限运行工况的应急运行程序(U2、U5程序)

U2程序规定了当发生第一道或第二道安全屏障失效事故后,放射性超过相关阈值时,应立即采取的措施、监视手段及恢复安全壳性能的方法。U5程序用于事故后安全壳的过滤与排放。

(5)各类操作单汇总(RCR/RCE/RCT/RPS/RMS/RFLL/RFLE/RFA等)

(6)事件/事故期间连续监测程序(SPE/SPEO程序)

SPE、SPEO为机组状态连续监测程序,一般由安全工程师执行。

表5 SOP程序覆盖的典型工况

2.2 SEOP组成

EOP规程分为以下三类:

(1)最佳恢复规程(ORP)

通常应用于事件征兆明确、发生单一事故的情况下,执行的结果可以将电厂恢复至最佳的安全停堆状态。

ORP规程包括三种:

① E:用于分析诊断和从设计基准事件中恢复;②ES:对E规程恢复操作的补充;③ECA(特定事件规程):作为E规程和ES规程的补充,对小概率事件或独特事件提供恢复操作。

(2)关键安全功能状态树及功能恢复规程

该类规程是对最佳恢复规程的一种补充,它通常应用于安全功能受到严重破坏的多重事件并发的情况下。包括以下两种:

①F:用来分析诊断状态树中的关键安全功能所受威胁的规程。②FR:关键安全功能恢复规程。FR规程码后面一般都尾随一个相应的关键安全功能码,分别是:S—次临界,C—堆芯冷却,H—热阱,P—主系统完整性,Z—安全壳,I—主系统水装量;

(3)停堆关键安全功能状态树及功能恢复规程

该类规程与功率运行状态下的F和FR规程类似,在模式5和模式6,由此类规程对各种关键安全功能进行诊断和恢复。

包括以下2种:

①SDF:用于在停堆状态下关键安全功能诊断;②SDP:停堆时关键安全功能恢复规程。

2.3 对比分析

SOP涵盖了丧失机组厂用交流电源、仪用直流/交流电源、仪用压空系统、循环水系统、闭式冷却水系统等异常事件和各种事故工况,而SEOP仅覆盖事故工况,异常事件属于AOP(异常运行事件处理程序)的处理范畴,两者的文件体系差异较大(见表6)。

表6 SOP及SEOP程序组成对比

SOP对于一些容易识别的事件/事故的处理不够直接,没有针对性的处理程序,所有的事故处理均需要从头到尾执行程序。而且SOP单份主程序的页数过多、导向点过多,操纵人员容易导向错误的规程。好在SOP采用循环结构设计,能及时纠正人因失误,根据事故的演化及时调整运行策略。SOP程序体系覆盖全面、分工细致,而且将沟通等行为规范融入程序,能防止人为失误造成严重后果,操纵人员只要按照程序执行就能将机组带入安全状态。也正因为这种设计,在事故中操纵员的能动性及提前干预的可行性上存在不足,在一定程序上影响了规程执行效率,所以,实际机组上SOP程序还配有一套“中断准则”,即机组出现某些规定的条件时可以转换规程。

SEOP设计有针对特定事故的处理程序,同时关键安全功能状态树程序的存在克服了事件导向程序无法处理叠加事故的不足,而且关键安全功能的监测由计算机自动执行(可直接给出需要执行的规程),减少了事故程序间的导向,执行效率更高。

两种应急规程对常见的事故处理思路一致,但由于CPR1000和AP1000系统方面存在差异,应急程序中实现同一效果的操作方法不尽相同,AP1000采用非能动技术,因此SEOP中增加了事故72 h后对一些系统的操作程序。

3 SGTR事故工况应急规程的应用

3.1 SGTR事故工况SOP的应用

以机组满功率运行时发生蒸汽发生器传热管破裂事故(SGTR事故)为例,破口面积较大直接触发停堆和安注。

根据机组出现的DOS报警,一回路操纵员(RO1)申请执行SOP程序,经协调员批准后RO1进入一回路DOS程序(DOS1)对机组进行诊断,并通知二回路操纵员(RO2)执行二回路DOS程序(DOS2)。协调员同步执行协调员程序(DOS、ECT)监督、验证操纵员执行规程的正确性[4]。SOP程序的事故响应如图5所示。

3.2 SGTR事故工况SEOP的应用

同样以机组满功率运行时发生蒸汽发生器传热管破裂事故(SGTR事故)为例,破口面积较大直接触发停堆和安注。

根据机组停堆及安注报警,副值长立即执行E-0规程,同时指派核岛操纵员执行E-0规程,常规岛操纵员执行AOP-332(汽轮机甩负荷)停机状态检查。核岛操纵员(RO1)执行E-0规程时需持续反馈规程执行的步骤,并获得副值长的许可后方能继续执行E-0操作步骤。副值长根据E-0规程要求安全工程师(STA)执行F-0规程(监视关键功能状态树),对机组状态进行诊断。同时安排监护操纵员响应报警、执行插页监视等机组工作[5,6]。在执行应急事故规程的过程中,以副值长为中心,主控室所有信息必须汇集于副值长,所有技术命令都由副值长下达(见图6)。

图5 SGTR事故CPR1000机组事故响应流程Fig.5 CPR1000 accident response process in SGTR accident

图6 SGTR事故AP1000机组事故响应流程Fig.6 AP1000 accident response process in SGTR accident

3.3 对比分析

基于CPR1000和AP1000技术差异及两类机组采用不同的应急规程体系,SGTR事故工况事故工况下两类机组运行值的协调运作方式存在明显不同。下面将从事故报警、机组监控、规程进入方式、信息交流方式、报警响应方式、指挥体系、任务切换方式及各岗位职责等方面对两类机型在SGTR事故运行方式进行对比分析(见表8)。

可见,AP1000比CPR1000机组主控室多设置一名监护操纵员,能有效的分担机组工作任务,但要投入更多的人力成本;CPR1000机组设置一名安工,来自电厂核安全部门,与运行值一起倒班工作,对核安全起到独立监督作用,有利于机组安全规范运行。

表7 CPR1000和AP1000机组事故运行方式对比

续表CPR1000机组SOPAP1000机组SEOP岗位职责副值长可担任协调员(当两台机组同时出现事故工况)或隔离经理负责主控技术工作,同时作为信息汇总中心;带领RO执行事故规程E0-E3,并通过E0、E3规程验证操纵员正确执行事故规程;对发现的报警进行优先级排序,并根据需要安排常规岛或监护操纵员执行响应规程隔离经理根据操纵员或协调员指令执行电气操作单兼任倒班技术顾问STA,协助值长履行主控室全局掌控职责;执行F-0规程,监督关键安全功能状态树RO1严格执行一回路DOS程序;通过DOS诊断进入ECP3事故规程处理事故;执行程序时必须大声唱票,需要切换程序时需请示协调员在副值长带领下执行事故规程(与副值长的规程完全一样),重要规程每执行完关键步骤需向副值长汇报;根据副值长指令执行后续步骤,所有决策都应请示副值长,规程执行时不用大声唱票RO2应RO1要求执行二回路DOS程序;应RO1要求执行ECS程序停堆初期主动执行《汽轮机甩负荷》的附件进行停机状态检查,保证二回路状态稳定;之后根据副值长指令执行操作监护操纵员无此岗位根据副值长的指令执行相关操作,如监视插页、执行响应报警现场操作员根据RO及协调员指令执行现场在线和电气操作单RFLL/RFLE(如隔离故障SG的现场操作)根据操纵员指令执行现场操作安工执行SPE程序:监视安全系统和安全壳状态;为事故控制提供建议无此岗位

CPR1000机组一路、二回路、机组长(协调员)所持的SOP主程序均不同,各岗位执行特定岗位程序。AP1000机组一回路、副值长(协调员)持有相同的主程序(主控室一般是一式三份),协调员可以将主程序中的工作任务分解,分配给二回路、监护操纵员执行。因此,AP1000的规程执行更为灵活,对于主控室操纵人员负担管理是有益的。不区分岗位执行连续步骤更有利于核心目标达成,减少一、二回路操纵员在规程结合点相互等待的时间。

AP1000采用小组短会方式集体决策规程转入和转出。CPR1000采用操纵员和协调员双人确认方式进行规程的转入和转出。AP1000方式更有利于整个运行值对于机组状态的掌握。AP1000采用单线指挥体系,副值长作为技术负责人,而且执行主程序时操纵员每执行一个步骤都需要副值长的指令,对副值长提出了更高的管理要求。

4 结束语

核电厂主控室应急运行方式是核电技术发展及持续运行过程中不断积累和总结的宝贵经验,是根植于核电机组运营企业的一种文化。不同堆型的核电机组主控室应急运行方式与核电机组采用的技术类型相辅相成。CPR1000采用法系技术,已经保持安全稳定运行多年,积累了丰富的经验;AP1000作为新建核电机组虽说在实际运行经验上存在不足,但其某些先进的运行理念也可能是很多电厂所不具备的。在事故工况主控室能否高效运作关键取决于运行人员是否能够高效执行事故程序及相关管理规定。不同堆型的核电机组主控室应急运行方式在符合本机组技术特点及运营文化的同时,应加强沟通交流、合理吸收、相互促进。

猜你喜欢
协调员规程机组
双馈式可变速抽水蓄能机组运行控制
拜登任命猴痘响应协调员
中国新车评价规程
基于规程法的雷击跳闸率计算
热连轧机组粗轧机精度控制
660MW亚临界机组清洁疏水系统节能改造
器官捐献协调员培训现状与思考
中国新车评价规程
英达就地热再生机组打破限制