核电厂设计扩展工况供电要求分析
2020-10-13堵树宏杨庆明
堵树宏,杨庆明
(中国核电工程有限公司,北京 100840)
核电厂的运行发电和安全响应,依赖于核电厂电源系统向厂用电设备和安全系统设备供电而实现。随着核电安全标准的提高和反应堆核电技术的发展,反应堆技术、安全系统技术、辅助系统技术和设备选型等设计和改进,对核电厂电源系统的配套设计及其技术经济性提出了挑战。例如,压水堆核电厂四系列或三系列安全系统的设计,需要配置相应数量的应急柴油发电机组;随着压水堆核电机组发电功率提高,厂用设备用电功率增加,需要增加应急柴油机组容量;安全系统或安全相关系统的设备对于直流电源的供电要求,需要提高直流电源系统的设计;设计扩展工况应对措施的增强,对直流系统、专用交流电源等相关电源系统设计提出了新的难题;而福岛核事故的反馈,对核电厂进一步提出了应对极端事件的供电等技术要求。
电源系统作为核电厂的重要组成部分,其设计与核电厂的安全密切相关,既要满足设计基准工况下反应堆保护系统、安全系统设备对电源供应的保障,又要满足设计扩展工况应对设施对电源供应的特殊要求,同时还要使得电源系统本身具有高可靠性和强壮性,减少自身缺陷或故障对核安全造成影响。本文分析了核电厂电源系统的方案配置和设计扩展工况的要求,研究并提出了设计扩展工况电源的技术原则和安全对策。
1 核电厂电源系统设计及其事故响应
1.1 核电厂电源系统设计
通常,核电厂电源系统设计包括有以下电源。
(1)厂外电源
厂外主电源,主要向包括单元厂用设备、常备厂用设备和应急厂用设备在内的全厂设备供电。
厂外辅助电源,在厂外主电源断电时,向常备厂用设备和应急厂用设备供电。有些核电厂的辅助电源还设计成向单元厂用设备供电,以避免失去厂外主电源时导致紧急停堆。
(2)厂内电源
应急柴油发电机组,在厂外电源丧失时,向应急厂用设备供电。根据安全系统技术特征及冗余理念的不同,柴油发电机组设计成安全级或非安全级,与冗余系列相对应,数量有2台、3台或者4台。VVER系列机组甚至还为非安全级的保障性设备独立设计了可靠柴油发电机组。
直流和交流不间断系统的蓄电池,从其储能独立性来说,也是一种厂内电源。蓄电池按直流和交流不间断系统冗余度配置系列数量,在丧失交流电时,蓄电池放电以向其用户提供电源。
SBO电源,采用柴油发电机组或者汽轮发电机组,作为全厂断电(SBO)时的后备电源,向全厂断电所需的特定设备供电。根据设计定位及其容量的不同,其供电负荷可能包括以下设备的组合:一回路或重要系统的补水设备、余热排出相关设备、必要蓄电池的充电器、事故后监测系统、特定通风设备,甚至严重事故缓解措施设备等。SBO电源有时还设计有SBO专用直流系统,如设计成与非能动系统相匹配。
厂区附加电源,即厂区附加柴油发电机组。有些核电厂设计用于增强全厂断电的电源恢复能力。有些核电厂中,厂区附加电源设计作为替代交流电源(AAC),用于全厂断电情况下向安全停堆所需设备供电。该电源往往还用于在正常运行期间应急柴油发电机组不可用时作为应急柴油发电机组的替代,以延长其恢复时间。
(3)应急场所柴油发电机组,为应急指挥中心的重要用户提供备用电源。
(4)其他安保相关电源,例如为实物保护等系统提供备用电源的柴油发电机组。
(5)临时电源,该电源不在电厂所属固定设备范围内,在极端情况下丧失全部交流电源时(包括厂区附加柴油发电机组),该移动式电源为实施应对和恢复措施提供临时动力,以缓解事故后果,并为恢复厂内外交流电源提供时间。
1.2 电源系统事故响应
从上述电源的组成和关系可以看出,核电厂电源系统设计贯彻了纵深防御、多重性、独立性等安全原则。因此,某一电源系统故障的后果往往是局限的,引起的机组瞬态多属于二类工况。某一电源系统发生故障或事故导致核蒸汽供应系统瞬态,触发机组自动动作如汽机停机、紧急停堆等,但电源系统冗余和层级的设计,保证机组辅助系统或反应堆安全系统能够执行其功能,因而不引起反应堆燃料包壳、一回路压力边界、安全壳等任何屏障的破坏。因此,从设计基准来说,某一电源系统甚至多个电源发生故障或事故(如厂外电源全部失去)后,依靠其他电源系统,采取必要的纠正措施,核电厂就可以恢复运行或带入安全停堆状态。
对于诸如蒸汽发生器传热管破裂、LOCA等Ⅲ、Ⅳ类设计基准事故,其安全分析是基于安全系统设计和电源系统设计来开展的,同时保守假设了安全系统和电源系统单一故障,其安全分析结果也是满足要求的,而无需要求额外的供电。事故处理规程响应也是如此,因为这种设计所达到的供电安全性和可靠性是核电厂电源系统设计基准要求。
2 设计扩展工况及其应对措施
2.1 设计扩展工况概念
设计扩展工况(Design Extension Conditions)概念最先于1992年出现于欧洲用户要求(EUR)[1],并逐渐发展为增强设计基准事故之外安全的重要概念。国际原子能机构(IAEA)于2012年制定的安全标准“Safety of Nuclear Power Plants:Design”(2016年修订为SSR-2/1)中确定了设计扩展工况概念及要求。2016年,我国基于SSR-2/1修订的HAF 102《核动力厂设计安全规定》明确规定了设计扩展工况的要求。
将设计扩展工况作为核安全要求的规定内容,这对核电厂设计提出了新的要求。HAF 102—2016中关于设计扩展工况的安全要求主要包括:对核电厂确定一组设计扩展工况,以增强核电厂应对设计基准工况之外的事故的能力;对设计扩展工况进行分析并明确了验收准则;针对这些设计扩展工况设计相应的符合要求的安全设施;实际消除早期放射性释放或大量放射性释放的要求等。
实际上,由于设计扩展工况的复杂性和不确定性,目前设计扩展工况的选取和分析在国内外尚未有具体的标准规范。
2.2 以往超设计基准事故概念及其特殊措施
在应用设计扩展工况以前,二代改进型压水堆等核电厂关于设计基准事故之外的应对措施,是以考虑核电厂在特定的超设计基准事故(包括选定的严重事故)中的行为来设计的。
例如,特定的未堆熔超设计基准事故有:未能紧急停堆的预期瞬态、最终热阱完全丧失、给水全部丧失、全厂断电、低压安注泵或安喷泵失效、主蒸汽管道断裂同时SGTR等。相应的特殊措施主要有:多样化驱动系统、使用换料水箱反冷设备冷却水、充排冷却、汽动辅助给水泵提供给水及水压试验泵补水、LHSI泵与安喷泵互为备用等。
例如,选定的严重事故序列有:功率工况大、中、小LOCA且安注系统、安喷系统失效,功率工况丧失热阱且主泵轴封破口,功率工况给水全部丧失且充排冷却失效,功率工况全厂断电且主泵轴封破口、辅助给水汽动泵失效,功率工况丧失给水且紧急停堆失效,功率工况主蒸汽管道大破口且充排冷却失效,功率工况蒸汽发生器两根传热管破裂且高压安注失效,一回路微开状态余排管道小破口等。针对以上严重事故序列的典型严重事故现象,相应的缓解措施主要设计有:稳压器安全阀功能延伸防止高压熔堆,非能动氢气复合器防止氢气燃烧、爆炸,安全壳过滤排放系统防止安全壳晚期超压失效等。
2.3 设计扩展工况与应对措施
根据大量的运行经验和研究结果以及相关实践,从确定论和概率安全分析(PSA)角度,IAEA 在SSR—2/1安全标准的相关TECDOC技术文件“Considerations on the Application of the IAEA Safety Requirements for the Design of Nuclear Power Plants”(IAEA—TECDOC—1791)给出了未堆熔的设计扩展工况(DEC—A)示例清单[2]:ATWS,SBO,余热排出模式下失去堆芯冷却,扩展的乏燃料水池冷却和装量丧失,最终热阱正常通道丧失,给水全部丧失,LOCA叠加应急堆芯冷却高压或低压子系统失效,设备冷却水或者安全厂用水丧失,不可控硼稀释,多根SGTR,主蒸汽管道断裂诱发SGTR,半管运行工况或换料工况水位失控下降。这个DEC—A清单提供了基本的参考,各新建核电厂可以根据HAF 102—2016以及监管要求,基于核电厂具体设计、概率安全分析对其进行修改,来确定所适用的未堆熔设计扩展工况清单。例如,对于SBO,通常发展为功率工况SBO、停堆工况SBO两个设计扩展工况。为应对DEC—A工况,“华龙一号”主要设置了多样化驱动系统、应急硼注入系统、汽动辅助给水泵提供给水及水压试验泵补水、重力补水、池水蒸发、使用换料水箱反冷设备冷却水、备用风冷机组、二次侧非能动余热排出系统、充排冷却、LHSI泵与安喷泵互为备用、非能动安全壳热量导出系统等DEC—A应对措施。
堆熔的设计扩展工况(DEC—B,即严重事故)的事故序列,一般应用一级概率安全分析的结果,并结合严重事故现象分析和工程判断来确定。例如,“华龙一号”的DEC—B清单主要包括LOCA、给水丧失、MSLB、SBO等基础类事故叠加安全系统和/或DEC措施失效等,例如大LOCA叠加能动安注系统失效、SBO叠加二次侧冷却全部失效[3]。其严重事故缓解措施如表1所示。
表1 “华龙一号”DEC—B应对措施Table 1 DEC—B mitigation measures of HPR1000
3 设计扩展工况供电的工况要求和原则
3.1 与电源有关的设计扩展工况
在以往的二代改进型压水堆核电厂中,与电源直接相关的超设计基准事故是丧失厂外电叠加未能紧急停堆的预期瞬态(ATWS)、SBO工况,以及SBO叠加多重故障。其中未堆熔的超设计基准事故SBO工况的分析,是以余排未接入的运行工况SBO为主,兼顾考虑余排接入后的停堆工况SBO。
在HAF 102—2016设计扩展工况概念下,核电厂所考虑的与电源直接相关的设计扩展工况有:丧失厂外电叠加未能紧急停堆的预期瞬态(ATWS)、功率工况SBO、停堆工况SBO、乏燃料水池SBO等DEC—A工况,以及SBO叠加二次侧冷却全部失效DEC—B工况。
其中,丧失厂外电叠加ATWS的挑战风险是停堆、DNBR,此工况下应急交流电源、直流电源可用,该设计扩展工况的供电要求较简单,其应对措施可以设计成由不同的配电母线供电,即ATWS缓解系统供电区别于反应堆保护系统的交流不间断电源系统供电即可,而无需专门配置设计扩展工况电源。
而功率工况SBO、停堆工况SBO、乏燃料水池SBO、SBO叠加二次侧冷却全部失效显然需要配置专门的设计扩展工况电源并进行分析。因此,可以确定核电厂设计扩展工况下供电设计的基本工况是:功率工况SBO、停堆工况SBO、乏燃料水池SBO,SBO叠加二次侧冷却全部失效。其中,前三者是DEC—A,根据HAF 102—2016要求,其应对目标是防止这些事故后果超过设计基准事故,采用设计基准事故的解耦准则。最后者作为严重事故,根据HAF 102—2016要求,其应对目标是缓解该SBO多重故障潜在的高压熔堆、底板熔穿、氢气燃烧和爆炸等后果,防止安全壳超压失效,实际消除放射性释放。
各核电厂特定设计的不同,与电源相关的设计扩展工况特征可能会不同。此外,根据工程判断和概率论评价,除了上述SBO相关的基本工况,可能会存在其他的需考虑供电问题的事故序列,例如那些发生概率较高的始发事件和故障的组合可能会形成某一多重故障,或者由极端外部事件导致,而这个事故序列的后果可能没有被SBO工况应对措施所包络,例如SBO同时最终热阱正常通道丧失,这需要具体设计时进行分析、筛选。
3.2 SBO DEC—A工况的应对及供电
根据SBO DEC—A分析,功率工况SBO、停堆工况SBO、乏燃料水池SBO这三个DEC—A工况的应对目标需满足以下主要验收准则:(1)堆芯活性区不发生裸露;(2)满足Ⅳ类工况的解耦准则;(3)没有不可接受的放射性释放后果[4]或者安全壳保持适当完整[5];(4)乏燃料水池维持屏蔽水层厚度。
对于这些SBO DEC—A工况,根据工况分析、事故现象及其处理分析,应采取以下措施,以保证维持反应堆冷却剂系统的完整性,并防止堆芯和乏燃料出现严重损伤。
1)向反应堆冷却剂系统提供补水的手段,补水流量需考虑:冷却剂收缩,可能的主泵轴封泄漏(或轴封损坏导致失去的水量(若需要)),以及全厂断电时不能隔离的其他常开管道或开口引起的冷却剂流失;
2)提供堆芯冷却的手段,宜采用多样化的措施,例如非能动方式、由汽动或气动提供动力源的方式;
3)保持安全壳适当完整性;
4)提供乏燃料水池冷却、补水;
5)提供事故处理所需的仪表和控制;
6)提供全厂断电期间主控室和操作进入的有关区域的可居留性;
7)证明上述所需设备在全厂断电的环境条件(如环境温度高)下仍可运行,或提供其工作的环境条件。
因此,DEC—A工况下的供电应基于这些SBO工况以及这些工况所需要的措施要求进行分析和设计。这些措施所依赖的系统和设备可能是专门措施,也可能是原设计基准工况措施的延伸应用。对于专门措施,涉及设计扩展工况电源设计;对于延伸应用的措施,应对厂用电系统进行特殊配电设计。设计扩展工况下的电源或者电源组合的选择,包括类型、容量,需满足这些工况下所需系统和设备的运行的要求。同时,作为DEC—A措施,根据HAF 102—2016、IAEA—TECDOC—1791,DEC—A电源应满足不同纵深防御层次的独立有效性的要求。
需要说明的是,核电厂的安全目标设计可能会需要引起或补充应对SBO的措施,以满足更高的CDF概率目标值。此时,应注意考虑安全措施以及供电措施的平衡。
3.3 SBO叠加其他失效的DEC—B工况的应对及供电
根据SBO叠加二次侧冷却全部失效引起的严重事故序列分析,其潜在严重事故风险有高压熔堆、压力容器外底板熔穿、氢气燃烧和爆炸、安全壳缓慢超压失效等后果。可以看到,SBO DEC—B几乎涉及了所有的典型严重事故现象,因此,通常的严重事故缓解措施对于SBO DEC—B应对来说可能都是需要考虑的,例如一回路快速卸压,堆腔注水系统或堆芯捕集器,非能动氢气复合器,非能动安全壳热量导出系统,安全壳过滤排放系统等。
这些措施作为严重事故缓解措施,与DEC—A应对措施属于纵深防御第3b层次不同,是属于纵深防御第4层次。根据HAF 102—2016,纵深防御的各层次之间必须尽实际可能地相互独立。IAEA—TECDOC—1791还明确,“用于设计扩展工况的安全设施需独立于事故序列中假定失败的那些系统、结构和部件”“用于缓解和监测堆芯熔化事故的仪控系统需要独立于任何其他仪控系统,这要求设计相应的独立的直流电源”。因此,DEC—B缓解措施的供电应尽实际可能与设计基准工况和DEC—A工况措施的供电相互独立。考虑到严重事故仪控系统通常需要直流电源或交流不间断电源系统,DEC—B缓解措施尽可能采用非能动或者由直流电源或交流不间断电源驱动设备是比较合适的。
最后,需要说明的是,由于严重事故缓解措施设计具有包络性,涉及多个复杂事故序列,而不同事故序列对于缓解措施的功能和性能要求有所不同。因此SBO严重事故应对设计时,应考虑相关措施的使用时机、使用概率,以降低对设计扩展工况电源容量的挑战。
4 设计扩展工况供电设计要求
与电源相关的设计扩展工况的分析,尤其是设计扩展工况下供电设计的基本工况的确定,为设计扩展工况供电设计确定了基本工况要求。SBO DEC—A应对措施和DEC—B应对措施的分析则为设计扩展工况供电设计提出了基本负荷要求。全面的设计扩展工况供电设计还涉及与全厂电源系统的关系、设计扩展工况电源设计因素等方面。
4.1 厂用电系统有关的设计考虑
厂用电系统中的交流电源系统、直流电源系统、交流不间断电源系统所供电的系统设备也用于应对设计扩展工况,因此这些电源系统设计应综合考虑设计扩展工况的工况特征以及其相关应对措施的供电要求:
电源切换要求,电源加载及其运行延续性要求;
设计扩展工况下电源容量的要求;
设计扩展工况关于电源的隔离准则。
厂用电系统的设计中对设计扩展工况的考虑,诸如特殊电源负荷分段供电、设置电源切换接口、蓄电池适当增加容量或者设计成具有扩展使用能力等,可以增强设计扩展工况电源总体可靠性。
根据NB/T 20066—2012《核电厂应对全厂断电设计准则》,核电厂还应进行全厂断电应对能力分析,明确可接受的全厂断电时间。全厂断电应对能力分析涉及以下厂用电系统设计分析:厂外电源的稳定性、厂内电源的可靠性、恢复电源所需时间等分析。
4.2 设计扩展工况电源的设计因素
DEC—A和DEC—B设计扩展工况电源设计,需满足HAF 102—2016、HAD102—13《核动力厂应急动力系统的设计》、NB/T 20066—2012《核电厂应对全厂断电设计准则》要求,并参考执行IAEA—TECDOC—1791。综合DEC—A和DEC—B工况应对措施及其供电特点,应对设计扩展工况可能采取以下电源形式:
可扩展延长使用或另外带充电系统的蓄电池;
具有设计接口进而可以相互备用的电源;
替代电源或替代交流电源类型的专用电源,例如低压或中压的柴油发电机组或其他类型发电机组,或者其组合;
严重事故用的蓄电池。
为了满足设计扩展工况的应对要求,以上电源的设计应满足以下准则:
不同纵深防御层次的电源之间应尽实际可能相互独立;
按照相关的设计扩展工况应对措施负荷的组合进行电源容量设计,包括扩展应用;
电源供电持续时间应大于核电厂可接受的最小全厂断电时间,并且应设计有接口,以能够延续运行;
电源应设计成在相应工况下能够及时向所需负荷供电,满足其用户负荷加载时间要求;
电源应设计成能够合理防护内外部事件,包括极端事件。
5 关于DEC供电的思考
(1)极端外部事件的考虑
福岛核事故表明,极端外部事件可能导致核电厂电源系统的瘫痪,进而导致严重事故发生、大量放射性释放。因此,核电厂应评估应对极端外部事件的能力,并建立极端外部事件应对能力,以预防严重事故发生。例如,在核电厂电源系统中设计一定的接口,以便于与外部临时的移动式应急电源连接,为核电厂实施应急措施提供临时动力,以缓解事故后果,并为恢复厂内外交流电源提供时间窗口。例如,美国核能研究所发布了《多样灵活应对措施执行导则》(NEI 12-06)第4版,提出了从扩展全厂断电(ELAP)同时最终热阱正常通道丧失(LUHS)极端事件出发来建立基线应对能力[6]。
(2)电源的可恢复性问题
前文分析到,DEC供电设计的基本工况是SBO类事故。SBO事故是关系核电厂所有设备电源供应的电源事故,与其他事件、事故相比,不仅需要考虑事故应对和/或电厂恢复,还需要考虑电源及时恢复并采取措施,这也是电源类事故的通常做法。在此类事故处理规程中,首先操作是尝试恢复电源,包括厂外、厂内电源。在NUMARC 87—00中提出对于大多数SBO事件,假设其电源恢复时间是4小时。NB/T 20066—2012《核电厂应对全厂断电设计准则》也是基于包括电源可恢复性在内的核电厂电源设计特征来确定其可接受全厂断电时间。因此,在进行设计扩展工况电源层级及容量设计时,宜合理考虑相关电源的可恢复性。
6 结论
设计扩展工况供电设计是三代核电等新建核电厂电源设计的重点内容。本文提出核电厂设计扩展工况的分析是设计扩展工况供电设计的基础,SBO类DEC—A和DEC—B是设计扩展工况电源设计的依据工况。设计扩展工况电源设计还应满足HAF 102—2016中关于不同纵深防御层次的独立有效性的要求、NB/T 20066—2012标准中关于全厂断电时间的要求等。本文还提出设计扩展工况电源设计应考虑极端外部事件和相关电源的可恢复性。这些研究结论可供核电厂电源设计参考,一方面有助于理解并满足法规标准要求,保证核电厂的安全目标;另一方面有助于合理确定电源组成和规模,提高核电厂的经济性。
