浅析EPR核电厂总体仪控试验设计方法
2018-09-12李永进刘洋
李永进 刘洋
【摘 要】结合台山EPR总体仪控试验设计策划的方法,系统阐述试验程序结构设计过程中的识别初始事件、排除验证工况和优化程序结构三个关键过程。通过对试验设计方法的浅析,旨在为后续中方企业自主规划和设计先进核电站总体仪控试验提供借鉴和参考。
【关键词】总体仪控;最终安全分析报告;单一故障;失电试验;切换试验
中图分类号: TM623 文献标识码: A 文章编号: 2095-2457(2018)13-0045-003
DOI:10.19694/j.cnki.issn2095-2457.2018.13.020
【Abstract】Combined with Taishan EPR Overall I&C; test design methodology,this document will give a detail description about how to build the Overall I&C; test structure with three Key steps:Identify initial events,Eliminate tested scenarios,Optimize test structures.The purpose for this overview introduction is to support other Chinese groups to design and build the similar Overall I&C; test structures for new developed nuclear power plant.
【Key words】Overall I&C;;Finally Safety Analysis Report;Single Failure;Power loss test;Switchover test
0 引言
台山核电厂1、2号机组采用欧洲压水堆核电厂(EPRTM)机组。由AREVA联合EDF以及德国用户开发,以法国N4和德国KONVOI机组为基础,采用先进核电技术演变而来。
EPR核电机组采用全新供电方式,厂用电系统接线设计为4列x 50%冗余,满足N+2原则。执行安全功能的电气系统在各种运行瞬态和假设事故状态下,即使一列检修加上一列单一故障仍然可以保证安全功能。因此,EPR與CPR1000机组供电方式不同。
对于安全级系统,冗余序列的数量满足N+2准则:
N=正常运行时所需要的列数(如果单列=100%能力,则只需1列;如果单列=50%能力,则需2列;如果单列=33%能力,则需3列)
+2=除了正常运行所需的N外,还附加同样容量的两列作为备用,用于应对两种特殊运行工况:1)发生事故而丧失一列;2)计划维修而导致一列不可用。
基于EPR全新的供电方式和仪控设计,AREVA联合台山调试团队为台山EPR设计和策划了全新的总体仪控试验程序结构体系,并且将其命名为OIC试验(Overall I&C; test)。该试验为核岛综合性联调试验,包括机组降级运行试验、仪控系统切换试验、仪控系统性能试验和特殊工况试验等类别,用以验证核岛工艺和仪控系统设计,同时满足仪控系统试验验证策略完整性的要求。
本分析报告将浅述EPR总体仪控试验的设计策划方法,用于为后续机组策划类似大型试验提供指导和借鉴。
1 EPR总体仪控试验设计总述
EPR核电机组作为三代商用核电机组,其设计理念和运行方式不同与传统的国内二代核电机组CPR1000。仅仅在仪控系统和电气系统设计方面,与CPR1000机组相比,就有非常大的变化,所以适用于CPR1000机组的总体仪控试验设计策略不再适用于EPR核电机组。对于EPR机组来说,需要重新研究和设计与其相对应的总体仪控试验策略。
根据台山核电站最终安全分析报告FSAR(Final Safety Analysis Report)第7章中的设计承诺,仪控系统要能够防御内部和外部灾害所导致的共模故障。在各种灾害之下,仪控系统可以通过降级运行、运行模式切换等手段实现电站的安全控制,严重事故情况时可以通过安全停堆来保护核电站。
由于EPR核电机组不仅工艺和电气系统采用了冗余的安全序列供电方式,DCS设备也采用了双路冗余供电的模式,所以单一电源失电(单一故障)不会对机组产生较大的影响。然而,在电站正常运行阶段,仍然存在着其它各种诱因,使得仪控系统必然存在众多潜在风险,从而导致部分功能不能正常运行甚至不可用,此类潜在风险来自于:
1)电站正常运行期间的维修工作,需要停运部分机柜或者设备;
2)电站外部灾害,导致某一区域的仪控设备无法正常工作。比如飞机撞击;
3)电站内部灾害,导致部分仪控设备不可用;比如特定区域的蓄电池组爆炸;
4)仪控系统组件故障,比如卡件故障、网关失效、总线通讯丧失等;
5)仪控支持系统故障,比如供电故障、通风丧失、冷却丧失等;
……
正因上述潜在风险的存在,所以仪控系统在最初设计阶段已经协同机组总体设计,配套设计考虑了机组运行阶段的降级运行及运行模式切换等各种运行方式。同时,上述风险也为总体仪控试验设计提出了新的要求。在设计策划试验阶段,不应该将总体仪控试验仅仅定位于仪控系统自身的范畴,而应该结合设计初始分析后适当扩大试验范围,从总体仪控的角度出发考虑对机组整体运行的影响。
结合EPR机组最终安全分析报告的设计承诺,EPR总体仪控试验设计从机组总体设计及运行的角度出发,统筹考虑了仪控、电气及各工艺系统的设计特点,最终完成了试验框架的设计和策划工作。
总体而言,EPR核电厂总体仪控试验设计可以分为如下三个阶段:识别初始事件、排除验证工况和优化程序结构。
2 EPR核电厂总体仪控试验设计方法简介
2.1 识别初始事件
作为设计策划总体仪控试验的第一步,识别初始事件主要通过对输入文件的分析来完成。通过对最终安全分析报告(FSAR)、电站运行技术规范(OTS)、EPR核电厂应急事故程序(EOP)和仪控系统总体设计文件等输入文件的分析,确定导致仪控系统及电站降级运行的所有初始事件。
本阶段工作主要基于如下设计分析展开:
1)EPR机组总体运行设计文件分析(源于FSAR,包括预防性维修策略PM),主要用于研究分析机组运行期间的特殊运行工况管理;
2)EPR设计基准工况(DBC)/超设计工况(DEC)设计分析(源于FSAR,包括单一故障准则),主要用于研究适用于总体仪控试验的验证工况;
3)运行技术规范分析(OTS),主要用于试验验证范围及内容的确定;
4)仪控总体设计分析(源于FSAR),主要用于研究分析试验程序设置的范围,比如PICS切换至SICS运行、MCR切换至RSS运行、T2000切换至HKS运行等;
5)灾害研究分析(源于FSAR),主要用于确定总体仪控试验可以覆盖验证的灾害范围,比如电气厂房失火、通风丧失等;
6)EPR核电厂应急事故程序分析,主要用于研究分析试验程序场景的设置和试验逻辑的确定;
……
上述所有设计文件的分析工作,用于设计策划总体仪控试验的程序结构,最终编制调试大纲文件SCP。在这些设计输入中,DBC设计基准工况的分析是核心关键。
DBC设计基准工况分析中,首先通过分析研究,梳理出所有的初始事件(Postulated Initiating Events:PIE);然后,结合单一事故准则(SFC)、预防性维修(PM)的要求和EPR电站应急事故管理策略(EOP),最终研究确定与电站运行及总体仪控设计相关的试验验证场景。
对于各种工况和试验序列的设计验证,可以通过不同的试验场景设置来完成。比如,对于电气和安全厂房通风丧失(及火灾)而引起仪控设备失效的试验场景设置,可以模拟环境温度恶化来验证设备的真实动作,也可以通过模拟设备断电工况来验证设备失效的动作响应。
经过全面分析和等效论证,最终选用了相对折中和保守的方案来策划总体仪控试验方案。以仪控系统环境恶化、部分失效等情况为例,最终确认通过模拟机组失电的工况来进行验证。
上述机组失电及降级运行模式的研究确认,仅针对与总体仪控相关的设计工况,其它与仪控失效或者降级运行无关的设计工况不在试验策划考虑的范畴之内。
通过研究分析发现,对于EPR核岛设计而言,最有可能出现的工况为:
1)失去厂外电LOOP(>2H)工况叠加一台柴油机单一故障或预防性维修(PM)工况,从而导致某单一核岛电气列完全失电(包括所在列仪控系统);
2)失去厂外电LOOP(>2H)工况叠加一台柴油机单一故障,再叠加其它列一台柴油机预防性维修(PM)工况,从而导致产生核岛两个电气列同时失电(包括所在列仪控系统)。
在机组正常运行过程中,结合EPR应急事故管理策略(EOP),导致出现核岛单列丧失事故的工况除了失电之外,还包括核岛部分区域火灾工况。对于台山EPR核电机组,当核岛某一区域出现火灾工况时,为了更好的控制机组状态,避免操作人员不恰当的干预,在应急事故管理策略中,将要求操纵人员利用火灾处理程序(FAIOp)停运对应列的所有电气盘。这种特殊的运行干预措施,也进一步佐证了总体仪控试验利用失电来模拟部分设备失效工况的合理性。
最后,结合DEC超设计工况、仪控总体设计要求(FSAR第七章节)和灾害分析,研究制定了其它总体仪控试验相关的特殊验证场景。
通过本阶段的研究和策划,总体仪控试验的初始程序范围如图1所示。
2.2 排除验证工况
在通过第一阶段的研究策划之后,已初步分析设计了所有与总体仪控试验相关的特殊验证工况。
然而,在这些特殊的试验场景之中:一些验证工作已在工厂测试期间进行了相应的测试论证;另外一些工况由于在实际调试试验中无法模拟,因而只能在软件平台进行验证;还有一些工况已经被分散安排在其它的各个单系统调试试验中进行生效验证……所有这些特殊的工况将在本阶段中逐一分析排除。
2.2.1 工廠测试论证
对于EPR机组,在工厂测试期间,已经全面对安全级和非安全级仪控功能进行了测试验证。因此,与此相关的测试场景不需要进一步在现场进行重复验证。
通过该阶段分析论证后,可以排除初始程序清单中的如下场景:
1)仪控非抗震设备失效验证
2)丧失保护系统PS
2.2.2 单系统试验验证
对于总体仪控试验初始清单中部分场景所涉及的内容,相关的试验验证工作已经分解在单系统试验验证程序中。因此,在总体仪控试验程序设计中,也将进一步进行排除。比如:
1)SAR丧失试验
2)激活严重事故仪控SA I&C;
2.2.3 其它联调试验程序覆盖
在EPR机组中,还设计有其它几个与总体仪控试验相似的虚拟系统联调试验,比如:电源切换试验(BAS)。这些虚拟系统联调试验各自验证的范围虽然不尽相同,但是部分验证内容却有交叉之处。
在电源切换试验(BAS)最初设计中,其已经考虑了部分总体仪控试验所分析的试验场景。
另外,部分总体仪控试验场景也将覆盖另外一部分试验场景。比如:核岛单列丧失试验场景已经覆盖了单个机柜丧失场景的验证测试。
因此,通过该步骤的分析,又可以进一步删减部分总体仪控试验场景:
1)失去两列核岛电气列试验工况
2)全厂失电(SBO)试验工况
3)丧失单个DCS机柜工况
……
最终,经过本阶段分析之后,总体仪控试验测试场景变化如图2所示。
2.3 优化程序结构
结合参考电站的经验反馈,总体仪控试验的试验窗口基本都在热停堆工况,每份试验执行的时间均在0.5-1天左右,耗时较长。如果在总体仪控试验策划初期没有综合考虑到试验周期的影响,那么势必将影响到热试的整个工期。
因此,对于前两个阶段已经初步设计确定的试验测试场景必须进行进一步的程序结构优化,从而让整个总体仪控试验既能够满足全面验证的要求,又可以在程序数量和时间窗口方面满足工程进度的需要。
为了实现优化程序结构的目标,在整个策划过程中采取了如下的措施:
1)经过研究分析发现,EPR机组的核岛第一区和核岛第四区、核岛第二区和核岛第三区在初始设计方面,已经考虑了对称设计的原则,所以在相同的试验工况下可以精简一半的程序数量;
2)在总体仪控试验阶段选择方面,目前主要选定的试验阶段为标准热停堆工况和标准冷停堆工况(RIS-RHR)两种工况平台;
3)对于丧失最终热阱LUHS(Loss of Ultime Heat Sink)和丧失冷链LOCC(Loss of Coolant Chain)两种工况,由于对机组总体运行和仪控的影响与部分总体仪控试验及SBO工况相同,所以将统一在总体仪控及BAS SBO试验中进行验证;
4)对于部分区域火灾、通风丧失、支持系统丧失等灾害或事故导致的工况,由于在调试期间无法正常模拟,所以可以通过失电的方式进行统一模拟验证,从而达到程序结构的优化;
5)作为仪控总体测试策略完整性的补充,最终在总体仪控试验程序中也添加补充了部分特殊试验程序,来保证仪控试验的完整性。
……
最终,经过识别初始事件、排除验证工况和优化程序结构的一体化研究分析,设计策划了适用于台山EPR的总体仪控试验程序体系。
上述程序结构中,目前共计包括12份试验程序,该12份程序的设置、试验工况的选择和传统CPR试验相比有很大的不同之处。在EPR总体仪控试验程序中,这12份试验程序又可以按照试验内容的不同划分为四个不同的子项:
1)机组降级试验,包括TP OIC 101-104,主要通过在不同的试验平台下,依次停运核岛四个分区的供电来模拟验证机组控制策略和仪控系统响应。此部分试验通过失电来模拟。
2)总体仪控切换试验:包括TP OIC 105-109,主要验证EPR I&C;系统在整体仪控设计中的不同降级运行方式。此部分试验分为:机组从PICS切换到SICS运行、机组从MCR切换到RSS运行及机组从SPPA-T2000控制切换到HKS运行控制等。
3)仪控系统性能试验:此部分试验作为EPR仪控系统完整性试验策略的補充,包括TP OIC 112和901,主要用以验证特定工况下的DCS响应时间测量和DCS负荷率。
4)特殊工况试验:此部分试验为TP OIC 902,用于验证确认DCS对机组状态计算的准确性。
3 结论
总体仪控试验是当前EPR机组中复杂程度最高的几项联调试验之一,在传统二代机组中,该类型试验设计方法一直掌握在以EDF为代表的法国公司手中。通过对台山EPR总体仪控试验程序结构成型过程的研究分析,一方面将掌握核心调试技能;另一方面也将进一步加强和提升中方公司在总体仪控系统试验策划方面的能力,为后续其它技术路线核电站总体仪控试验策划提供参考。
【参考文献】
[1]台山核电厂1、2号机组最终安全分析报告[内部资料].
[2]台山核电厂运行技术规范[内部资料].
