核电站多样性保护系统的信号设置及验证分析

陈 果 方红宇 初 晓 徐青蓝 喻 娜

（中国核动力研究设计院核反应堆系统设计技术重点实验室，四川 成都 610213）

0 引言

在田湾核电站扩建工程5&6 号机组上，设置了多样性保护系统（Diverse Actuation System，DAS），用以应对可能发生的整个安全级仪控系统的软件共模故障（Software Common Cause Failure，SWCCF）。

本文所提的SWCCF 是指发生在安全级数字化仪控平台软件的共模故障。当发生SWCCF 时，安全级数字化仪控平台完全失效，从而使得通过该平台实现的系统或功能失效， 包括正常保护系统的紧急停堆功能、专设安全设施驱动功能等。 在这种情况下，只能通过不同于该平台的非安全级平台进行保护。

DAS 系统采用了独立于安全级数字化仪控平台的非安全级数字化仪控平台，该系统与反应堆保护系统之间有最大限度的实体隔离和电气隔离，不接收经反应堆保护系统软件处理后的信号，同时也不送出信号参与反应堆保护系统的软件处理，从而满足了多样性和独立性的设计原则。

本文针对安全级仪控系统因软件共模故障而失效，操作员没有充分的手动干预时间的情况下，研究和提出需要在多样性保护系统（DAS）中设置的自动保护信号和功能，并通过验证分析，证明依靠DAS 系统能够保证事故后果满足相关验收准则，为多样性保护系统中自动保护信号的选定及论证提供经验。

1 论证方法及验收准则

DAS 验证分析的目的是评价在发生软件共模故障的情况下， 多样性保护系统的设计是否能够确保反应堆装置的安全。 DAS 验证分析的是始发事件叠加软件共模故障SWCCF 的工况， 原则上属于超设计基准事故分析的范畴，因此应采用最佳估算方法（现实性假设），主要体现在以下一些方面：不考虑单一故障、不叠加考虑丧失厂外电源、有关参数取名义值（如电厂的初始功率、初始温度、压力、中子学参数、余热曲线、安注流量、阀门的容量等参数可以采用现实性假设）等。

由于安全级数字化仪控平台失效，因此不考虑由该平台实现的正常紧急停堆功能和专设安全设施驱动功能等，只考虑通过非安全级数字化仪控平台实现的保护功能（如ATWT 缓解系统等）。 同时，分析中考虑了不受SWCCF 影响的有关操纵员手动动作， 并且假定事故发生10 分钟以后操纵员的手动紧急停堆和对专设安全设施的操作才有效。

此外，DAS 验证分析的验收准则与设计基准事故存在差异。 NUREG—0800/BTP7-19 和NUREG/CR—6303 中介绍了有关的DAS 验证分析验收准则， 本文基于这些技术文件中的准则，并结合多样性保护设计原则和DAS 验证分析的目的，对验收准则作了进一步研究，确定了重要的和具体的验收准则：要求最佳估算结果满足屏障完整性准则（不能导致一回路压力边界和安全壳完整性丧失）、满足放射性后果准则、满足根据多样性原则及保证堆芯可冷却几何形状等确定的堆芯状态相关准则。 针对具体事故工况及分类，确定的具体验收准则如表1 所示。

表1 DAS 验证分析验收准则

2 DAS 验证分析

2.1 验证分析的事故工况

为评价SWCCF 对各个事故的影响， 本文筛选出17 个特定事故进行分析，包括零功率及满功率工况下给水流量增加、 零功率及满功率工况下蒸汽管道破裂、汽轮机事故停机、主给水管道破裂、反应堆冷却剂强迫流量完全丧失、反应堆冷却剂泵轴卡住、一组棒束控制组件在次临界或低功率启动工况下失控抽出、RCCA 组在功率运行工况下失控抽出、 单个控制棒组件弹出、棒束控制组件弹出、一个稳压器先导安全阀误开、蒸汽发生器传热管破裂、蒸汽发生器传热管破裂加安全阀卡开、失水事故以及硼稀释事故。

2.2 事故分析验证

对于每一个事故，首先评价发生SWCCF 时，采用最佳估算的方法以及本文第2 节中提到的假设条件（包括操纵员可在事故发生10 分钟后手动停堆、执行其他必要的安全功能）， 核反应堆装置是否可以转至安全的状态。 如果结果不能满足安全准则的要求，则进一步研究需要在多样性保护系统DAS 中设置什么自动保护信号才能确保结果达到安全准则的要求。

因而，验证分析的结果可分为两种情况：一种是即使不在DAS 中设置相应的自动保护信号，事故的结果也能满足验收准则的要求， 如汽轮机事故停机等；另一种情况是需要在DAS 中设置专门的自动保护信号对事故后果进行缓解，如给水管道破裂事故、失水事故等。

以下分别以汽轮机事故停机和给水管道破裂事故、失水事故为例说明DAS 验证分析的方法和过程。

2.2.1 汽轮机事故停机

当发生汽轮机事故停机的事件时，二回路蒸汽流量快速减少，排热能力降低，同时由于发生SWCCF，导致通过安全级数字化仪控平台实现的正常紧急停堆功能、大气排放系统排放功能（GCT-A）及启动辅助给水的功能均失效，导致短时间内一回路冷却剂的温度和压力上升。 考虑了以下两种不同的工况：

工况A，假设正常给水不受影响，蒸汽发生器二次侧依靠蒸汽旁路排放至冷凝器（GCT-C）和蒸汽发生器安全阀进行排热。

工况B， 假设正常给水很快丧失， 且能够触发ATWT 缓解系统进行保护。

采用最佳估算的方法，初始电厂状态为额定满功率状态，考虑了寿期初和寿期末两种情况，不考虑通过安全级数字化仪控平台实现功能，并且假设事故后10 分钟可以手动停堆和启动辅助给水。 分析结果表明：对于工况A，正常给水不受影响，发生汽轮机事故停机后，通过给水、蒸汽发生器安全阀及GCT-C 可以有效导出堆芯热量， 并且事故后10 分钟手动停堆降低堆芯功率，10 分钟后根据需要手动启动辅助给水系统， 确保顺利导出堆芯余热， 瞬态过程中最小DNBR及系统压力均满足限制准则的要求；对于工况B，虽然丧失了正常给水，当通过ATWT 缓解系统触发紧急停堆，并且启动辅助给水系统，同样使得堆芯余热可以顺利导出，最小DNBR 及系统压力也没有超过限制准则的要求。

因此， 当发生汽轮机事故停机叠加SWCCF 的瞬态时，无论是否可以自动触发ATWT 缓解系统，事故过程中不会发生偏离泡核沸腾（DNB），系统压力不会超限，不需要在DAS 中专门针对此事故设置自动保护信号。

2.2.2 给水管道破裂事故

对给水管道破裂事故分析同样考虑是否可能触发ATWT 缓解系统两种工况，分别记为工况1、工况2。

对于工况1， 发生主给水管道双端剪切破裂后，给水流量将瞬时减为0， 随后由ATWT 缓解信号触发停堆，同时延时一段时间启动辅助给水泵。 结果表明，反应堆可以得到保护，堆芯是安全的。 此事故下反应堆很快由ATWT 缓解信号触发紧急停堆，核功率急剧下降，且堆芯内未发生DNB， 这也意味着燃料包壳和芯块的温度符合限值要求。 事故过程中一回路系统压力低于限值，因此一回路压力边界的完整性也得到了保障。

此外，对于给水管道破裂事故，存在这样的较小破口，其不会导致流往三台蒸汽发生器的主给水流量都全部丧失，可能存在流往2 台或全部蒸汽发生器的给水流量维持在额定流量的6%以上的情况， 此时无法触发ATWT 缓解信号。 此种工况定为工况2，假设只有某2 台蒸汽发生器的给水流量维持在额定流量的6%，另一台蒸汽发生器的给水流量为0，则ATWT缓解信号无法发出。 工况2 的计算结果表明，一回路系统压力峰值超过了限值。

通过工况1 和工况2 的分析可知：对于可以触发ATWT 缓解信号的较大破口的给水管道破裂事故，不要求在DAS 中设置其他自动保护信号；对于不能触发ATWT 缓解信号的较小破口的给水管道破裂事故，要求在DAS 中设置其他自动保护信号。根据给水管道破裂事故的特点， 反应堆一回路系统压力会快速上升，因此考虑在DAS 系统中设置“稳压器压力高信号”自动触发紧急停堆。 同时，在事故发生后10 分钟，操作员启动辅助给水泵向完好SG 注水，带走堆芯余热。这一工况记为工况3。

工况3 的计算结果表明，对于DAS 中设置稳压器压力高紧急停堆保护的情况下， 在10 分钟后手动隔离破损SG，启动辅助给水系统；堆芯未发生DNB，燃料包壳和芯块不会发生损毁， 反应堆堆芯是安全的；一回路峰值压力为17.46MPa，未超过压力限值，一回路压力边界的完整性也得到了保障。

对于可以自动触发ATWT 缓解信号的较大破口的主给水系统管道破裂事故，ATWT 缓解系统可以有效保护反应堆，不要求在DAS 中设置其他的自动保护信号。对于无法触发ATWT 缓解信号的较小破口的主给水系统管道破裂事故，要求在DAS 中设置“稳压器压力高紧急停堆信号”。

2.2.3 失水事故（大LOCA）

SWCCF 导致安全级数字化仪控平台完全失效，将导致自动停堆失效、自动启动安注功能失效、自动停运主给水泵和自动启动辅助给水泵等失效。

分析中假定事故发生后10 分钟操纵员手动停堆、执行专设安全功能。 结果表明，在安注箱注入完成后，由于反应堆在较长时间内没有冷却堆芯所需的足够安注流量， 直至事故后10 分钟操纵员才手动启动安注，事故发生后燃料包壳温度超过了1 204℃，不满足验收准则，因此需要在DAS 中专门针对此工况设置自动保护信号。

根据大LOCA 的事故进程特征，选择稳压器压力低信号触发停堆和稳压器压力低低信号触发安注，不考虑设置其他保护功能，结果表明，在这一工况下燃料包壳峰值温度为961.3℃，不会超过限值（1204℃），满足验收准则的要求。 因而，需要在DAS 中设置稳压器压力低停堆信号和稳压器压力低低安注信号，为反应堆提供必要的保护。

2.2.4 DAS 验证分析结果

通过对2.1 节中提及的17 个事故进行验证分析，主要结果如表2 所示。

表2 DAS 验证分析结果

总体而言，为应对安全级仪控系统发生SWCCF 所带来的影响，需要在DAS 中设置的自动保护信号如下：

（1）自动停堆信号

功率量程中子注量率高自动紧急停堆信号。

稳压器压力高自动紧急停堆信号。

稳压器压力低与P7 符合自动紧急停堆信号。

两台环路反应堆冷却剂流量低信号（与P7 符合）自动紧急停堆信号。

（2）专设驱动信号

稳压器压力低低自动安注信号。

蒸汽流量高与低补偿蒸汽压力符合自动隔离主蒸汽信号。

3 结语

本文采用最佳估算的方法，对初因事件叠加软件共模故障的工况进行了分析，提出了需要在多样性保护系统DAS 中设置的紧急停堆信号和专设驱动信号，从而确保了田湾核电站扩建工程5&6 号机组在该类故障下仍然能够处于安全可控的状态。