鄭培根

(上海核工程研究設計院，上海 200233)

基于系統(tǒng)工程理論的地震自動停堆系統(tǒng)設計

鄭培根

(上海核工程研究設計院，上海 200233)

福島事故后，核電廠在地震條件下的安全性引起了廣泛關注。為提升核電廠抗震防護能力，在CAP1400國核示范工程中增設了地震自動停堆系統(tǒng)。采用系統(tǒng)工程理論，從核電廠地震自動停堆系統(tǒng)的需求分析、要求分析、系統(tǒng)設計和設計驗證等方面進行了詳細介紹。該系統(tǒng)具有高可靠性，能夠最大限度降低誤觸發(fā)和拒觸發(fā)的可能性，無論對新建核電廠，還是在役核電廠，均具有較強的推廣價值和應用前景。該設計方法對核電廠儀控系統(tǒng)的設計也具有一定的借鑒意義。

核電; 地震自動停堆系統(tǒng); 傳感器; 安全; 數(shù)字低通濾波; 電磁兼容; 老化試驗; 整定; 防護

0 引言

在地震條件下，核電廠的系統(tǒng)、構筑物和部件都可能遭受破壞，影響整個核電廠的安全運行，因此核電廠在選址、設計和制造過程中都要關注電廠的抗震防護能力。

福島事故發(fā)生后，核電廠在地震條件下的安全性引起了人們的廣泛關注，許多國家都強調(diào)提升核電廠抗震防護能力及地震次生災害的應對能力。我國核安全監(jiān)管機構也針對國內(nèi)新建核電廠的抗震設計提出了更高要求。國家核安全局在《新建核電廠安全要求》中提出新建核電廠宜設置地震自動停堆系統(tǒng)(earthquakescramsystem，ESS)。在CAP1400安全評審對話過程中，審評方也多次要求增設地震自動停堆功能。

然而，我國此前并無大型核電廠地震自動停堆系統(tǒng)自主設計的經(jīng)驗，也缺乏相關的法規(guī)標準。為此，本文基于系統(tǒng)工程理論，詳細介紹了CAP1400國核示范工程地震自動停堆系統(tǒng)的設計。

本文基于系統(tǒng)工程理論，對核電廠地震自動停堆系統(tǒng)設計過程進行描述，包括需求分析、要求分析、系統(tǒng)設計和設計驗證4個階段。

1 需求分析

國際原子能機構(internationalatomicenergyagency,IAEA)在NS-G-1.6[1-4]第7.6節(jié)中指出：核電廠是否設置地震自動停堆系統(tǒng)，應充分考慮廠址可能發(fā)生的地震震級、頻率和持續(xù)時間，在非地震活躍帶的廠址一般無需設置該系統(tǒng)；若設置地震自動停堆系統(tǒng)，其適合作為提升電廠抗震防護能力的額外措施，且應充分考慮其存在誤觸發(fā)的潛在風險。

國際上已有多個核電站基于不同考慮，設置了地震自動停堆系統(tǒng)。

日本處于亞歐板塊與太平洋板塊的交界處，板塊相互擠壓導致地震頻發(fā)，因此日本的核電廠在選址、設計和建造過程中格外關注地震對核電廠安全的影響。根據(jù)日本經(jīng)濟產(chǎn)業(yè)省第62號條例規(guī)定，每個核電機組均須安裝地震自動停堆系統(tǒng)。該系統(tǒng)在日本應用較早，系統(tǒng)大多是模擬系統(tǒng)，設計為安全級系統(tǒng)。系統(tǒng)通過布置在自由場的3個地震傳感器采集地震信號，在機柜中進行信號處理和3取2(2/3)邏輯表決，并通過反應堆保護系統(tǒng)觸發(fā)停堆。

俄羅斯VVER-1000反應堆安裝了工業(yè)抗震保護系統(tǒng)。該系統(tǒng)作為反應堆保護系統(tǒng)的子系統(tǒng)，設計為雙通道安全級系統(tǒng)，在2個不同標高分別設置了4個測點采集地震信號。每個通道進行4取2(2/4)符合邏輯表決，分別發(fā)出停堆觸發(fā)信號。我國田灣核電站也設置了該系統(tǒng)。

美國有2座核電站安裝了地震自動停堆系統(tǒng)，均在加利福尼亞州，分別是迪亞部落峽谷核電站和圣奧諾弗雷核電站。但這并非是美國核管會的要求，而是反應堆安全咨詢委員會出于對安全的考慮建議安裝的。這2座核電站的地震自動停堆系統(tǒng)同樣設計為安全級，3個測點布置在反應堆廠房及其附近區(qū)域，在機柜中進行2/3符合邏輯表決，并通過停堆斷路器觸發(fā)反應堆停堆。

2007年，日本柏崎刈羽核電站在地震中遭受重大破壞，韓國核安全監(jiān)管機構從中吸取了教訓，并基于核電站安全和提升公眾信心的考慮，要求所有核電站安裝地震自動停堆系統(tǒng)。目前，韓國已有26個機組安裝了地震自動停堆系統(tǒng)，且采用統(tǒng)一技術路線，設計為非安全分級，在核島底板設置了4個地震傳感器。地震信號經(jīng)調(diào)理后發(fā)送到邏輯機柜，在機柜中完成定值器邏輯及2/4符合邏輯表決，輸出2路停堆信號分別控制2臺棒電源機組出口斷路器。

中國臺灣位于亞歐板塊和菲律賓海板塊的復雜交界處，屬于地震頻發(fā)區(qū)。1999年，集集地震造成了巨大破壞，促使該地區(qū)所有6臺在役機組加裝地震自動停堆系統(tǒng)。該系統(tǒng)設計為安全級，6個測點分2組布置在2個標高位置，分別進行2/3邏輯，并通過反應堆保護系統(tǒng)觸發(fā)停堆。

從以上案例可以看出，由于所處的地質(zhì)條件和出發(fā)點不同，各國在地震自動停堆系統(tǒng)的設計上略有差異，主要包括系統(tǒng)分級、傳感器數(shù)量和布置、停堆邏輯和驅(qū)動方式等。因此，ESS主要從這些方面進行設計。

2 要求分析

2.1 頂層設計要求

ESS的頂層設計要求主要包括安全分級、縱深防御功能、抗震分類和鑒定試驗等。

核電廠儀控系統(tǒng)是否劃分為安全級系統(tǒng)，需要滿足用于識別安全級物項的3個基本安全功能[5]。而不設置ESS，并不影響電廠在設計基準事件條件下保證3個安全功能的實現(xiàn)，即ESS并未構成安全級物項的充分必要條件，因此，ESS應為非安全級系統(tǒng)。

另一方面，相關運行經(jīng)驗表明，地震事件引起的其他工藝參數(shù)變化，如汽輪機振動過高或喪失廠外電源等也可能間接觸發(fā)停堆[3]。但與工藝參數(shù)累積觸發(fā)報警相比，地震峰值加速度直接觸發(fā)停堆可以提供5～20s的時間提前量[3]。這一提前量有助于降低反應堆余熱，并防止事故進一步惡化。換言之，ESS并不直接執(zhí)行安全功能，而是為核電廠提供縱深防御功能，提升核電廠的抗震防護能力。

ESS對地震信號進行監(jiān)測，且需要在地震發(fā)生期間保持其功能性，因此，其應設計為抗震I類系統(tǒng)。系統(tǒng)的鑒定試驗主要包括電磁兼容性(electromagneticcompatibility,EMC)試驗、環(huán)境試驗和抗震試驗。ESS頂層要求如表1所示。

表1 ESS頂層要求

2.2 功能要求

ESS的功能是連續(xù)監(jiān)測地震信號。當監(jiān)測到地震峰值加速度超過預先設定的停堆整定值時，產(chǎn)生停堆觸發(fā)信號并發(fā)送至停堆驅(qū)動設備，觸發(fā)反應堆停堆，同時在主控制室進行報警、指示。因此，系統(tǒng)應盡可能降低誤觸發(fā)和拒觸發(fā)的可能性。

首先，應根據(jù)地震信號的特性，設計合理的濾波器，提取真實地震信號，濾除背景噪聲和機械振動的影響。其次，應優(yōu)化系統(tǒng)架構設計和停堆邏輯，合理布置系統(tǒng)設備。

2.3 性能要求

ESS的性能要求主要包括響應時間、不確定度和可靠性。

系統(tǒng)的響應時間與各部件的響應時間有關。一般而言，地震信號需經(jīng)傳感器、濾波器、I/O卡件和處理器處理后生成停堆信號，因此每個通道的響應時間由以上部件的響應時間組成。由于部件的響應時間與具體的部件選型有關，因此在系統(tǒng)設計階段，該指標通過工程經(jīng)驗估算得出?？紤]到控制棒落棒時間[3]，系統(tǒng)的響應時間可設置為不大于3s。

根據(jù)地震儀表的設計經(jīng)驗，系統(tǒng)精度通常設置為±5%，因此，ESS的不確定度可設置為±5%。

系統(tǒng)的可靠性可為系統(tǒng)的定期試驗和維護提供決策參考。ESS雖不執(zhí)行安全功能，但提供縱深防御功能。根據(jù)相似系統(tǒng)的設計經(jīng)驗，為保證系統(tǒng)的可靠運行，系統(tǒng)的半年和首個換料周期(18個月)的可靠性指標可分別設置為0.99和0.95。

3 系統(tǒng)設計

3.1 系統(tǒng)架構

ESS采用數(shù)字化設計和冗余架構設計，ESS架構如圖1所示。

圖1 ESS架構圖

3.2 加速度傳感器

ESS設置4個3軸向加速度傳感器對地震信號進行監(jiān)測和采集，分別布置在核島底板的4個獨立房間。加速度傳感器安裝在密閉的保護罩內(nèi)，與安裝面進行剛性連接，防止信號放大，并與邏輯觸發(fā)機柜的輸入/輸出(I/O)模塊連接。3軸向加速度傳感器主要參數(shù)如表2所示。

表2 3軸向加速度傳感器主要參數(shù)

3.3 邏輯觸發(fā)機柜

邏輯觸發(fā)機柜用于接收3軸向加速度傳感器信號，并進行處理。

3.3.1 低通濾波

每臺邏輯觸發(fā)機柜對來自本通道的加速度傳感器信號(X、Y、Z這3個軸向分量)進行數(shù)字低通濾波。2009年，IAEA工作組會議報告[4-6]對大量過往的地震及造成的后果進行了分析。分析結(jié)果表明，地震中的高頻成分不會對電廠構筑物造成重大破壞，因此在確定運行基準地震(operatingbaseearthquake,OBE)超限準則時，應選取2～8Hz的加速度信號進行分析。而根據(jù)EPRINP-5930[4]，地震加速度對電廠的破壞主要集中在2～10Hz的頻率范圍內(nèi)，因此，本系統(tǒng)的低通濾波器截止頻率設定為10Hz。地震信號經(jīng)低通濾波后，可有效保留地震的主要能量，并避免非天然地震誤觸發(fā)停堆。

3.3.2 邏輯處理

每臺邏輯觸發(fā)機柜中設置2個定值器邏輯處理器，分別對本通道的兩組地震信號的幅值加速度與預先設定的停堆整定值進行比較。當本通道任意一個加速度傳感器檢測到任一軸向分量超過停堆整定值時，其對應的定值器邏輯設置為觸發(fā)狀態(tài)。定值器輸出信號同時發(fā)送至本機柜和另一機柜的符合邏輯處理器，作為其輸入信號。

每臺邏輯觸發(fā)機柜中設有1個符合邏輯處理器，接收4個定值器輸出信號(其中2個來自本通道、2個來自另一個通道)，并對4個信號進行2/4符合邏輯表決。當系統(tǒng)進行旁通試驗或確認某一傳感器存在故障時，自動切換為2/3符合邏輯表決。

該邏輯設計通過冗余設計可提高系統(tǒng)的可靠性，且能夠避免因單一設備故障導致的系統(tǒng)不可用現(xiàn)象。

3.3.3 整定值設定

在CAP1400設計中，ESS為新增系統(tǒng)，國內(nèi)尚無該系統(tǒng)的自主化設計經(jīng)驗；且ESS設計為非安全級系統(tǒng)，這意味著ESS沒有具體的整定值計算方法，也沒有相關的法規(guī)標準指導計算整定值。鑒于此，本節(jié)提出了一種基于安全級系統(tǒng)整定值計算[6]的ESS整定值計算方法，如圖2所示。

圖2 ESS整定值計算方法示意圖

考慮到ESS的功能要求，ESS宜采用峰值加速度作為停堆參數(shù)。事實上，國際上已設置地震自動停堆系統(tǒng)的核電廠均采用峰值加速度作為停堆參數(shù)。除韓國外，其余國家和地區(qū)的地震停堆整定值均等于或小于OBE。而根據(jù)IAEA的建議和RG1.166的要求，當?shù)卣鹜６颜ㄖ党^OBE時，應手動停閉反應堆，因此圖2中的安全分析限值設置為OBE。同時根據(jù)系統(tǒng)的性能要求和工程經(jīng)驗，圖2中的各個參數(shù)取值如表3所示。

綜上所述，ESS的停堆整定值為測點位置0.3SSE反應譜對應的峰值加速度(zeropeakacceleration,ZPA)。

表3 ESS停堆整定值計算參數(shù)

3.3.4 停堆驅(qū)動

ESS為非安全級系統(tǒng)，其停堆觸發(fā)信號不應直接接入反應堆保護系統(tǒng)。為保證在地震事件下觸發(fā)停堆，ESS應通過驅(qū)動棒電源機組出口斷路器觸發(fā)停堆。若2/4符合邏輯表決結(jié)果，表明地震強度超過停堆整定值，則每個通道產(chǎn)生1個停堆觸發(fā)信號，單獨控制1臺對應的棒電源機組出口斷路器；2個通道同時輸出停堆信號時，將驅(qū)動2臺棒電源機組出口斷路器跳閘，實現(xiàn)反應堆停堆。

3.3.5 人機接口

在每臺邏輯觸發(fā)機柜的維修和試驗組件(maintanceandtestassembly,MTA)中，為本通道的2個傳感器設置旁通允許開關和旁通開關。只有當旁通允許開關閉合時，才可通過旁通開關進行旁通試驗。試驗時，可通過MTA強制輸入特定的試驗信號，驗證停堆邏輯的正確性和設備狀態(tài)。系統(tǒng)維修和試驗時可旁通任一傳感器，且同一時刻只能旁通1個傳感器；與此同時，符合邏輯算法的表決邏輯由2/4變?yōu)?/3。

ESS在機柜和主控制室中同時提供報警指示，為電廠運行人員提供設備狀態(tài)和停堆驅(qū)動狀態(tài)等信息。

4 設計驗證

為驗證ESS設計的可靠性，采用可靠性框圖法(reliabilityblockdiagram,RBD)對ESS進行可靠性分析。ESS可靠性分析基于以下假設：①機械設備的可靠度為1，即忽略機械設備存在故障的可能性；②電子器件的隨機故障分布假定為指數(shù)函數(shù)，即：

R=e-λt

(1)

式中：R為可靠性;λ為失效率,次/h;t為時間，h。

對圖1所示的系統(tǒng)架構進行建模，可得到ESS的RBD框圖。地震自動停堆系統(tǒng)中的傳感器模塊由3軸向加速度傳感器和低通濾波器組成，定值器邏輯則由AI卡、處理器和DO卡組成，2/4邏輯由DI卡、處理器和DO卡組成，停堆觸發(fā)模塊由繼電器和出口斷路器組成。根據(jù)參考文獻[10]中的失效率數(shù)據(jù)和參考文獻[2]中的典型數(shù)據(jù)，ESS部件失效率如表4所示。前2個換料周期內(nèi)正常發(fā)出停堆觸發(fā)信號的ESS部件可靠性如表5所示。

表4 ESS部件失效率

表5 ESS部件可靠性

5 結(jié)束語

本文采用系統(tǒng)工程理論，從需求分析、要求分析、系統(tǒng)設計等方面詳細介紹了CAP1400國核示范工程地震自動停堆系統(tǒng)的設計。最終通過可靠性分析，對系統(tǒng)設計進行驗證。結(jié)果表明，該系統(tǒng)具有較高的可靠性，能夠最大限度降低誤觸發(fā)和拒觸發(fā)的可能性，兼顧了安全性和經(jīng)濟性。該系統(tǒng)的外部接口少，對其他儀控系統(tǒng)影響不大，因此對新建電廠和在役電廠均有較好的推廣價值和應用前景。

[1]IAEA.Seismicdesignandqualificationfornuclearpowerplants[R].SafetyGuideNS-G-1.6,Vietnam,Austria,2003.

[2]JUNGJC.Developmentofthedigitalizedautomaticseismictripsystemfornuclearpowerplantsusingthesystemengineeringapproach[J].NuclearEngineeringandTechnology,2014,46(2):235-245

[3]CONNELLWJ,WELLSJE.Ontheadvisabilityofanautomaticseismicscram[R].NUREG/CR-2513.Washington,UnitedStatesofAmerica,1981.

[4]IAEA.SeismicsafetyofexistingNPPs[R].Vietnam,Austria,2011.

[5] 畢道偉.核電廠地震自動停堆系統(tǒng)設計研究[J].儀器儀表用戶，2015(6)：15-18.

[6]RAUSANDM.系統(tǒng)可靠性理論：模型、統(tǒng)計方法及應用[M].2版.北京:國防工業(yè)出版社，2011.

DesignofEarthquakeScramSystemBasedonSystemEngineeringTheory

ZHENGPeigen

(ShanghaiNuclearEngineeringResearchandDesignInstitute,Shanghai200233,China)

ThesafetyofNPPunderearthquakehasbeenpaidextensiveattentionsinceFukushimanuclearaccident.Therefore,earthquakescramsystem(ESS)isaddedtoCAP1400StateNuclearPowerDemonstrationProject.ThedesignofESSisdetailedintroducedbasedonsystemengineeringtheory,includingneedanalysis,requirementanalysis,systemdesignanddesignverificationofseismicautomaticshutdownsystemofnuclearpowerplant.TheESSdesignfillstheblankofdomesticself-designing,withhighreliability,anditcanminmizelyreducethepossibilityofmistakeandrejechingfrigger,havingstrongpromotingvalueandapplyingprospecttobothnewconstructedandin-serviceNPPs.ThemethodcouldalsoprovideareferencefordesigningNPPI&Csystems.

Nuclearpower;Earthquakescramsystem;Sensor;Security;Digitallow-passfilter;Electromagneticcompatibility;Burn-intest;Settingvalue;Protection

鄭培根(1986—),男，碩士，工程師，主要從事核電廠機電設備控制技術的研究。E-mail:zhengpeigen@snerdi.com.cn。

TH-3;TP

ADOI: 10686/j.cnki.issn1000-0380.201701010

修改稿收到日期:2016-06-29