关仲华 冉旭 陈伟 方红宇 王军
摘 要本文回顾了核电厂事故规程的发展历程,简要描述了不同技术路线事故规程的异同,包括事件导向规程与状态导向规程,并探讨事故规程开发方法相关的重要内容,为自主研发核电厂事故规程提供参考。
关键词事故规程;事件导向;状态导向
0 前言
国际上商用核电厂的运行条件一般分为如下不同的运行状态和事故工况[1]:正常运行(normal operation),预期运行事件(AOOs),设计基准事故(DBAs),超设计基准事故(BDBAs)和严重事故(Severe Accident)。覆盖上述不同运行条件的运行指导文件体系一般分为正常运行规程、非正常运行规程(Abnormal Operating Procedures,AOP)、应急操作规程(Emergency Operating Procedures,EOP),应急计划(emergency plan)以及严重事故导则(SAG)等,体现了核电厂纵深防御的设计安全理念。应急操作规程(EOP)通常称为事故规程或事故处理规程,是核电厂运行纵深防御概念的一个重要组成部分,其主要目的是用于机组发生事故后指导操作员执行必要的操作,属于纵深防御原则的第3道防线(防止严重事故),是缓解和限制事故后果的重要手段。
《核动力厂设计安全规定》(HAF102)和《核动力运行安全规定》(HAF103)都对核电厂设计及运行方面提出事故规程的要求,在HAF103“5.2 运行指令和运行规程”一节中明确要求:“5.2.2 必须根据营运单位的政策和国家核安全监管部门的要求制定全面的适用于正常运行、预计运行事件和事故工况下的运行规程”,以及“5.2.3 必须制定正常运行规程,以保证核动力厂运行在运行限值和条件之内。对预计运行事件和设计基准事故必须制定事件导向规程或征兆导向规程。还必须制定应急运行规程或严重事故(超设计基准事故)管理指南”。
本文将从事故规程的发展历程出发,简要描述了不同技术路线事故的异同,包括事件导向规程与状态导向规程,并结合具体例子探讨事故规程开发方法相关的关键技术内容。
1 核电厂事故规程发展历程
1.1 两种方法简介
1.1.1 事件导向规程(Event-Oriented EOPs)
在三哩岛事故发生之前,大部分核电厂的应急规程为事件导向规程,所有规程都与具体事故工况相关。事件导向规程隐含了三个假设:(1)该事故属于预先选定的事故范围之内(通常限于电厂DBA清单);(2)操作员能够识别事故;(3)事故按照预测的进程进行(取自事故的热工水力分析)。
事件导向规程一般仅在事故开始时进行诊断,以选取最合适的规程,一旦确定执行某个规程后就依据规程要求而顺序执行到底。而三哩岛事故表明了作为事件导向的事故规程是不可能完全覆盖所有可能发生的事件或事故,当上述规程不能恰当或有效处理事故时,很有可能会延误时机甚至恶化事故后果。
1.1.2 状态导向规程(State-Oriented EOPs)
状态导向规程指导操作员如何确认关键安全功能,以及当安全功能受到破坏时,如何实施恢复。操作员不必诊断事故初因,也能够维持电厂的安全状态。为更好应对实际的事故,在状态导向规程的设计中考虑了以下假设:(1)发生的事故不限于预先确定的清单,也可能为叠加多重故障的事故;(2)由于事故叠加和操作员失误等因素,将导致事故实际进程与纯理论分析预测的事故进程很不一样;(3)规程通过连续或重复的检查,能够使操作员监测和识别可能非常复杂的事故。
状态导向规程的好处是弥补了事件导向规程在处理超出预期范围事件时的不足,它借助在于持续或重复的电厂状态监测,有助于纠正任何初期的误诊断,并保证操作员缓解威胁堆芯完整性的电厂状态。
事件导向规程与状态导向规程的主要差异及优缺点对比见表1。
在三哩岛核事故后,世界先进核电国家对原来的纯事件导向规程进行了优化,适当补充了以状态监督为辅的状态导向规程。目前,世界上已很少有核电厂采用纯事件导向的事故处理规程。目前国内以M310型为代表的秦山二期、岭澳、福清一期等核电厂均采用了这类以事件导向为主,适当辅以状态监督的事故处理规程。其中事件导向规程主要针对设计基准事故和有限的超设计基准事故,状态监督规程主要用于故障或事故期间的连续监督、极限堆芯保护规程等。
以西屋设计的AP1000为代表的三门、海阳等核电厂则将操纵员能够诊断出的典型事故(如失水事故、蒸汽发生器传热管破裂事故)采用最佳恢复的事件导向规程,而对于无法诊断或非预计事件,采用关键安全功能恢复的事故处理规程(类似于状态导向规程)。
1.2 事故规程发展历程
法国核电厂的事故规程发展具有历史典型性。在三哩岛事故(TMI)发生之前,法国的核电厂事故规程为纯粹的事件导向规程,通过诊断识别事故初因并执行相应的规程,使电厂达到退防状态。
三哩岛事故之后,针对事故中出现的问题,修订了事故管理的原则:
(1)改进了操作员规程的具体表现形式(例如增加了流程图的使用);
(2)引入人因工程方法,采用安全工程师负责关键安全功能的持续监测;
(3)引入安全功能导向的新规程(U1)(见图 1),能够使操作员处理事件导向规程无法應对的复杂工况(例如事故叠加);
(4)考虑超设计基准事故工况,涵盖冗余安全系统的全部丧失(H规程);
(5)尽管大量的模拟器验证表明上述规程的有效性,更加深入的分析表明需要进一步引入状态导向管理规程。
基于上述原则,进而开始了状态导向规程的开发。状态导向方法开发的目标是把事件导向和安全功能导向规程的优点综合起来,其新增的一些优点及特征如下:
在此方法下,首先,状态导向规程保持快速处理的优势,如之前的A规程,保证快速恢复稳定/安全状态。然后,进行电厂状态的持续监测,当状态进一步恶化,能够进行处理策略的再导向。
状态导向策略的优化还在于提供给操作员的信息的改进,以评价关键安全功能状态:最主要的改进是在U1规程框架下,引入反应堆压力容器水位的测量。该措施能够更精细的识别反应堆状态,为电厂不同状态提供更合适的操作。
直至1990年代,状态导向方法拓展至事件管理規程(I规程,实质是事件导向)或者事件导向管理规程(A规程,余热排出系统连接)。操作员导则进一步的改进能够实现无论电厂在何种状态,不同的操作能够更好的恢复安全功能。
在超设计基准事故规程方面,根据一级概率安全分析(PSA)的结果,在70年代末引入了H规程(超设计基准事故规程),包含了冗余安全系统丧失的事故工况。
在应对严重事故规程方面,编制了规程U2-U5,目标为缓解堆芯恶化后果。
三哩岛事故之后,大多数西方核能先进国家对核电厂主控室安装了安全参数显示系统(SPDS)。其系统的“安全面板”显示主要关键安全参数的趋势曲线,可识别电厂当前风险,并辅助操作员执行规程中的关键步骤(例如辅助对初始事故的诊断并确定合适的A规程)。
2 状态导向规程的实例
以岭澳二期为例,状态导向方法的原则是基于以下考虑:可能出现的瞬态工况包括事故叠加数量是无限的,但是可能的电厂状态是有限的,因此状态导向规程以核蒸汽供应系统(NSSS)状态为出发点,而不是以事件为出发点的。
2.1 物理状态识别
首先根据核电厂NSSS运行状态,总结归纳所有的物理参数,定义了表2所示的6种状态功能和6个重要参数。
通过此6个状态函数可以确定NSSS的总的状态,根据反应堆初始状态来确定此时的退防模式。可以通过不同的运行策略来达到所需的退防模式,如降压、冷却、增加硼浓度等。
2.2 运行策略
根据最初的反应堆物理状态,向退防模式的过渡由运行策略决定。
策略的目标相关描述如下:(1)全局目标(降压、冷却、增加硼浓度等);(2)子目标间的优先级(温度、反应堆压力容器水位、稳压器液位、硼浓度等);(3)为达目标所需的设备。
根据NSSS的不同状态,主要有如下八种运行策略:(1)稳定状态;(2)平稳地过渡到退防状态;(3)迅速地过渡到退防状态;(4)重建堆芯的次临界余量;(5)控制Tsat;(6)重建热量导出;(7)重建RCS的水装量;(8)堆芯的最终安全。
2.3 运行规程
SOP规程见下表3。
其中的DOS程序为引导规程,由反应堆操作员使用该规程进行初始的诊断,并引导到适用的ECP和ECS程序,由值长来确认反应堆操作员的诊断结果。
ECP程序包括初始导向和操作序列,操作序列的主要内容有:动作、监测、重新导向。在执行ECP程序的过程中还要根据不同的判据来判断是否需要执行EFS、EFC和ECE程序。EFS程序可以由反应堆操作员或蒸汽和给水操作员使用,用来监测支持功能的可用性、在丧失支持功能的情况下运行及恢复支持功能。EFC程序可以由反应堆操作员或蒸汽和给水操作员使用,用来监测、启动、停止NSSS功能。ECE程序可以由反应堆操作员使用,用来控制安全壳的完整性。
ECS程序由蒸汽和给水操作员使用,用来执行反应堆操作员所要求的操作,如控制温度和控制蒸汽发生器的压力等。
3 事故规程开发
3.1 策略方面
3.1.1 基本原则
在事故规程开发/升级计划中采用的策略原则如下所述:
a)必须与电厂设计基准一致。覆盖的范围是从预期的电厂瞬态延伸至超设计基准事故(BDBAs);b)必须处理所有可能的事故工况,并为不同设备的失效和操作员的失误提供指导。
另外,在开发中还需考虑[2]:(1)在电厂规程系统中事故规程的定位;(2)初始电厂状态(功率运行工况,停堆工况等)和最终状态(比如规程出口的安全条件);(3)人员组织(每个操作员的角色和责任,以及他们如何一起工作);(4)架构(对于监督员仅有1个规程或每个操作员均有1个规程);(5)人机界面(规程的格式,技术支持等);(6)在应急响应宣布后的组织责任;(7)在应急响应宣布后主控室的工作负荷;(8)事故工况下的设备响应;(9)在事故规程执行过程中电厂中可能存在的危险状态。
3.1.2 主要内容
策略应包含以下部分:(1)制定基于征兆/状态的入口条件;(2)反应堆停堆后的电厂状态稳定;(3)初始诊断;(4)基于事故或状态的恢复规程;(5)基于事故或状态的持续诊断;(6)监测和恢复安全功能;(7)附加规程以重建重要系统和恢复系统;(8)事故工况下的系统响应;(9)电厂出现危险状态下,场内应急人员可能需要执行相关操作。
3.1.3 事故规程的范围
首要任务是确定范围,需要考虑两个前提条件:事故规程只是应用于功率运行工况还是也覆盖了停堆工况?EOP与非正常运行规程(AOP)、EOP与严重事故管理导则(SAG)的边界关系是什么?
基于以上考虑,EOP通常的应对范围如下:
a)假想的设计基准事故;
b)有可能导致事故发生的异常情况;
c)某些超设计基准事故(事故叠加,操作员失误等);
d)不能够清晰诊断的工况;
e)威胁电厂总体安全功能的工况;
f)多个同时发生的系统失效;
g)停堆工况下发生的事故。
3.2 EOP开发团队组织
EOP的开发涉及多学科、专业的协作。EOP对于电厂安全很重要,必须准确,因此在EOP开发项目之初,应该组成富有经验的多学科开发团队,负责EOP开发的团队人员应是专职负责,且必须是有经验的。在项目初期涉及的专业人员有:(1)规程编写者;(2)核电厂运行专家;(3)分析或评估人员;(4)教员及模拟器培训专家。具有核电运行操作经验的规程操作员对项目极其有益。