王 照，楊建峰，馮丙辰

(蘇州熱工研究院有限公司，江蘇 蘇州 215000)

核電廠廠外電源暴露于環(huán)境，可靠性時常受到極端氣象條件和臺風(fēng)、雷擊、山火、凍雨等自然災(zāi)害的挑戰(zhàn)[1]。國內(nèi)核電廠的應(yīng)急柴油發(fā)電機(jī)(EDG)可靠性普遍相對較差，一旦喪失廠外電(LOOP)后應(yīng)急柴油發(fā)電機(jī)失效，事故將有可能發(fā)展為全廠斷電(SBO)。全廠斷電事故是一種較危險的超設(shè)計基準(zhǔn)事故，通常由喪失廠外電事故發(fā)展而來，如果處理不當(dāng)，可能導(dǎo)致堆芯損毀、放射性大量釋放的嚴(yán)重后果[2]，如2011年日本福島核事故就是在地震及其次生海嘯引發(fā)的全廠斷電事故下發(fā)生。

在喪失廠外電或全廠斷電事故緩解中，交流電源能否及時得到恢復(fù)，是一個非常關(guān)鍵的問題，直接決定了事故走向和進(jìn)程。概率安全分析(PSA)中，通常使用靜態(tài)邏輯分析方法，不能準(zhǔn)確評估交流電源及時恢復(fù)的概率[3-4]。本文以某CPR1000機(jī)組為目標(biāo)，編制蒙特卡羅方法程序動態(tài)計算喪失廠外電發(fā)展為全廠斷電的概率，以及全廠斷電后各種事故情景下應(yīng)急交流電源及時恢復(fù)的可能性，并開展PSA。

1 CPR1000交流電源系統(tǒng)配置

交流電源系統(tǒng)是核電廠重要支持系統(tǒng)。正常運行或各種事故工況下，交流電源系統(tǒng)為設(shè)備提供動力電源，并為與核安全有關(guān)的系統(tǒng)和設(shè)備提供應(yīng)急電源，確保核電廠的安全運行與停堆。

反應(yīng)堆正常運行時，機(jī)組母線由主發(fā)電機(jī)經(jīng)過高壓廠用變壓器供電。停堆后，機(jī)組母線由外電網(wǎng)經(jīng)過主變壓器供電。如果機(jī)組母線失去主外電源或失去高壓廠用變壓器，則由輔外電網(wǎng)經(jīng)過輔助變壓器向應(yīng)急設(shè)備供電。如果發(fā)生喪失廠外電事故，則由核島的應(yīng)急柴油發(fā)電機(jī)向應(yīng)急設(shè)備供電。同時雙機(jī)組還配備了1臺公用附加柴油機(jī)，可接入應(yīng)急交流母線。在福島核事故后，國內(nèi)各核電廠還增設(shè)了可移動柴油發(fā)電機(jī)，進(jìn)一步提高了應(yīng)急交流電源配置的冗余性[5]。

CPR1000核電廠的簡化交流電源系統(tǒng)接線圖如圖1所示[6-7]，4列機(jī)組交流母線LGA、LGB、LGC、LGD與廠用變壓器相連，2列應(yīng)急交流母線LHA、LHB分別與應(yīng)急柴油發(fā)電機(jī)LHP、LHQ相連。

2 SBO事故進(jìn)程

2.1 事故進(jìn)程分析

喪失廠外電后控制棒驅(qū)動機(jī)構(gòu)電源喪失，控制棒重力下落停堆。6.6 kV應(yīng)急交流母線LHA和LHB上的低電壓信號使2列應(yīng)急柴油發(fā)電機(jī)啟動，如果啟動或運行過程中全部失效，應(yīng)急交流母線喪失所有電源，則事故演化為全廠斷電。

圖1 CPR1000核電廠簡化交流電源系統(tǒng)接線圖Fig.1 Simplified AC power system wiring diagram of CPR1000 nuclear power plant

全廠斷電后，余熱排出的唯一手段是由輔助給水系統(tǒng)汽動泵向蒸汽發(fā)生器供水，通過二次側(cè)將堆芯余熱帶出[8]。此時，由于上充泵和設(shè)備冷卻水系統(tǒng)泵停運，主泵喪失軸封水和熱屏冷卻，危及主泵密封的完整性。LHA和LHB上的低電壓信號觸發(fā)水壓試驗泵柴油發(fā)電機(jī)組系統(tǒng)(LLS)自動啟動，并驅(qū)動水壓試驗泵RIS011PO向主泵提供軸封注入水。如果失去軸封注入水，主泵密封處將很可能會形成破口[9]。在一回路存在破口或輔助給水系統(tǒng)失效，堆芯余熱無法排出時，只能盡快恢復(fù)交流電源，以投運可用的系統(tǒng)來緩解事故。

直流電源系統(tǒng)在全廠斷電開始時靠蓄電池維持額定電壓。如果LLS能成功運行，則根據(jù)事故規(guī)程，操縱員通過LLS向直流配電盤供電，否則就通過相鄰機(jī)組向直流配電盤供電。假如這些措施均失效，在滿負(fù)荷下，蓄電池容量1 h后將耗盡，直流電源系統(tǒng)喪失。操縱員將得不到控制反應(yīng)堆所必需的參數(shù)指示和信號，也沒有必要的驅(qū)動電源，蒸汽發(fā)生器水位將無法控制，存在著給水滿溢進(jìn)入蒸汽管道的風(fēng)險。如果蒸汽管道進(jìn)水，將使輔助給水汽動泵遭受破壞[10]。

2.2 事故時間進(jìn)程

全廠斷電發(fā)生在喪失廠外電后的時間長短對事故進(jìn)程有顯著影響，因此事故的時間進(jìn)程由喪失廠外電開始分析。模型化的時間進(jìn)程如圖2所示。

圖2 事故時間進(jìn)程Fig.2 Accident time course

t0時刻機(jī)組喪失廠外電，電網(wǎng)維修人員開始維修外電網(wǎng)；t1時刻1臺應(yīng)急柴油發(fā)電機(jī)失效，維修人員開始維修。t2時刻第2臺應(yīng)急柴油發(fā)電機(jī)發(fā)生失效，如尚未能恢復(fù)t0時刻失去的外電網(wǎng)或修復(fù)t1時刻失效的應(yīng)急柴油發(fā)電機(jī)，事故發(fā)展為全廠斷電，并假設(shè)在此時開始準(zhǔn)備接入附加柴油發(fā)電機(jī)。t3時刻發(fā)生了緩解事故的前沿系統(tǒng)失效。前沿系統(tǒng)失效后經(jīng)過Δt時間，在t4時刻之前如果不能及時恢復(fù)應(yīng)急交流電源，將發(fā)生堆芯損毀，如在t4時刻之前恢復(fù)了應(yīng)急交流電源，則可通過投運可用的系統(tǒng)緩解事故。

3 喪失廠外電發(fā)展至全廠斷電

3.1 數(shù)學(xué)模型的建立

機(jī)組喪失廠外電后事故進(jìn)程中出現(xiàn)了2臺應(yīng)急柴油發(fā)電機(jī)失效，可能出現(xiàn)兩種后果，一種為發(fā)生全廠斷電，另一種為在t2時刻之前外電網(wǎng)恢復(fù)或t1時刻失效的應(yīng)急柴油發(fā)電機(jī)在t2時刻之前成功修復(fù)，未發(fā)生全廠斷電。因此喪失廠外電發(fā)展為全廠斷電的概率等于2臺應(yīng)急柴油發(fā)電機(jī)失效情況下未能及時修復(fù)應(yīng)急交流電源的概率。

1) 應(yīng)急柴油發(fā)電機(jī)的失效模式和時間

應(yīng)急柴油發(fā)電機(jī)失效發(fā)生的時間與其失效方式相關(guān)，且與是否會發(fā)生全廠斷電相關(guān)。

2臺應(yīng)急柴油發(fā)電機(jī)為相同的設(shè)備，存在共因失效情況，2臺應(yīng)急柴油發(fā)電機(jī)在喪失廠外電后的失效可分為5 種不同的模式：(1) 2臺應(yīng)急柴油發(fā)電機(jī)共因啟動失效；(2) 2臺應(yīng)急柴油發(fā)電機(jī)共因運行失效；(3) 2臺應(yīng)急柴油發(fā)電機(jī)各自獨立啟動失效；(4) 2臺應(yīng)急柴油發(fā)電機(jī)各自獨立運行失效；(5) 1臺應(yīng)急柴油發(fā)電機(jī)獨立啟動失效，另1臺應(yīng)急柴油發(fā)電機(jī)獨立運行失效。

應(yīng)急柴油發(fā)電機(jī)的失效參數(shù)采用了如表1所列的多希臘字母(MGL)二階共因模型啟動失效和運行失效數(shù)據(jù)。在二階MGL模型中，β表示共因失效在設(shè)備失效原因中占據(jù)的比例[11]。應(yīng)急柴油發(fā)電機(jī)的5 種失效模式的失效概率和時間列于表2。

表1 EDG可靠性Table 1 EDG reliability

表2 EDG失效時刻Table 2 EDG failure time

2) 電源恢復(fù)的模型

通常，電源恢復(fù)所用的時間近似呈指數(shù)分布，其在t時刻被恢復(fù)的概率密度函數(shù)為：

m(t)=μe-μ t

(1)

3.2 蒙特卡羅計算程序開發(fā)

如喪失廠外電和全廠斷電后電源修復(fù)使用靜態(tài)邏輯方法進(jìn)行分析計算，會缺失時間因素，不能解決喪失廠外電后外電網(wǎng)、應(yīng)急柴油發(fā)電機(jī)相繼失效和修復(fù)的這類動態(tài)問題，只能通過保守的假設(shè)進(jìn)行計算，忽略了失效時刻、修復(fù)時長等隨機(jī)因素對系統(tǒng)的整體可靠性的影響，難以反映核電廠的實際情況。

蒙特卡羅方法可動態(tài)模擬喪失廠外電和全廠斷電的事故進(jìn)程，通過大量隨機(jī)試驗，逼近真實情況，從而得到一個與電廠實際情況更接近的計算結(jié)果。

PSA任務(wù)時間為始發(fā)事件后的24 h，因此僅計算喪失廠外電發(fā)生后的24 h內(nèi)全廠斷電的概率及時刻分布。在對喪失廠外電發(fā)展至全廠斷電的概率和時間分布計算中，進(jìn)行如下假設(shè)：1) 應(yīng)急柴油發(fā)電機(jī)失效是喪失廠外電下交流應(yīng)急母線LHA和LHB供電失效的支配性失效模式，因此在全廠斷電發(fā)生時間的計算中僅考慮應(yīng)急柴油發(fā)電機(jī)失效導(dǎo)致全廠斷電；2) 廠外電源或應(yīng)急柴油發(fā)電機(jī)在被修復(fù)后，如因其他原因再次發(fā)生失效屬于高階失效，發(fā)生的可能性較低，因此假設(shè)被修復(fù)后不會再次失效；3) 由于電廠負(fù)責(zé)維修應(yīng)急柴油發(fā)電機(jī)的專業(yè)人員數(shù)量有限，因此保守假設(shè)只有先失效的應(yīng)急柴油發(fā)電機(jī)能得到維修，2臺應(yīng)急柴油發(fā)電機(jī)不能同時得到維修。

通過2臺應(yīng)急柴油發(fā)電機(jī)的共因失效參數(shù)對5 種應(yīng)急柴油發(fā)電機(jī)的失效類別開展蒙特卡羅采樣，對于啟動失效的情況，應(yīng)急柴油發(fā)電機(jī)的失效時刻為0，對于運行失效的情況，由于運行失效概率是均勻分布的，因此在0～24 h隨機(jī)抽取失效時刻作為失效時刻。

利用程序產(chǎn)生兩個服從指數(shù)分布的隨機(jī)數(shù)，指數(shù)分布參數(shù)分別為外電網(wǎng)平均修復(fù)時間的倒數(shù)和應(yīng)急柴油發(fā)電機(jī)平均修復(fù)時間的倒數(shù)。這兩個隨機(jī)數(shù)分別作為外電網(wǎng)修復(fù)所用的時間和應(yīng)急柴油發(fā)電機(jī)修復(fù)所用的時間。計算中，目標(biāo)電廠的外電網(wǎng)失效后的平均修復(fù)時間為12.8 h，目標(biāo)電廠應(yīng)急柴油發(fā)電機(jī)失效后平均修復(fù)時間為5 h。通過對比抽樣得到的t2時刻和交流電源被修復(fù)的時刻，可判斷全廠斷電是否發(fā)生。通過重復(fù)上述采樣計算，可統(tǒng)計得到喪失廠外電發(fā)展為全廠斷電的概率，當(dāng)采樣次數(shù)達(dá)到一定數(shù)量后，即可準(zhǔn)確算出喪失廠外電發(fā)展為全廠斷電的概率。根據(jù)上文分析編制了程序，計算流程圖如圖3所示。

圖3 SBO概率計算流程圖Fig.3 Flow chart of SBO probability calculation

3.3 計算結(jié)果與分析

取不同的蒙特卡羅抽樣次數(shù)，對喪失廠外電后全廠斷電的概率進(jìn)行計算，結(jié)果如圖4所示。

當(dāng)采樣次數(shù)達(dá)106時，計算結(jié)果收斂。該CPR1000核電廠在喪失廠外電后24 h內(nèi)2臺應(yīng)急柴油發(fā)電機(jī)均發(fā)生失效的樣本中，有81.9%的樣本不會發(fā)生全廠斷電，僅18.1%的樣本發(fā)生全廠斷電。

由表2知，2臺應(yīng)急柴油發(fā)電機(jī)在24 h任務(wù)時間內(nèi)均失效的概率為4.50×10-3，因此，喪失廠外電發(fā)展為全廠斷電的概率為4.50×10-3×18.1%=8.15×10-4。

對全廠斷電發(fā)生時刻開展分析，如圖5所示，在喪失廠外電后發(fā)生全廠斷電的概率隨時間先上升，在4 h左右達(dá)到最大，后逐漸下降，這是由于喪失廠外電后，應(yīng)急柴油發(fā)電機(jī)有較大的啟動失效概率，在喪失廠外電后初期，交流應(yīng)急電源被快速修復(fù)的概率很小，隨應(yīng)急柴油發(fā)電機(jī)運行時間的增長，運行失效導(dǎo)致的全廠斷電的概率逐步增加，后隨電源被修復(fù)概率的增大，全廠斷電發(fā)生的概率達(dá)到頂峰并開始下降。

圖4 SBO發(fā)生概率計算結(jié)果Fig.4 Calculation result of probability of SBO

圖5 SBO發(fā)生時刻的概率分布Fig.5 Probability density distribution of SBO occurrence time

取不同外電網(wǎng)的具體恢復(fù)時間，對機(jī)組全廠斷電的概率開展分析，結(jié)果如圖6所示。隨外電網(wǎng)修復(fù)時間的增加，喪失廠外電事故24 h內(nèi)發(fā)展為全廠斷電的概率近似于線性增加。

4 全廠斷電事故的發(fā)展進(jìn)程及概率

4.1 全廠斷電后的前沿系統(tǒng)

全廠斷電后，需關(guān)注的安全功能有堆芯余熱排出，維持堆芯水裝量。相關(guān)的前沿系統(tǒng)和設(shè)備有輔助給水系統(tǒng)、儀控電源、LLS柴油機(jī)、LLS水壓試驗泵。前沿系統(tǒng)及其所執(zhí)行的功能間有如下相互關(guān)系。1) 輔助給水汽動泵需儀控電源的支持，控制閥門開度和流量，否則如蒸汽發(fā)生器滿溢，蒸汽管道進(jìn)水將損壞輔助給水汽動泵，導(dǎo)致汽動輔助給水不可用，并且在電源恢復(fù)后，電動輔助給水也不可用。2) 全廠斷電后儀控電源有3個來源：(1) LLS柴油發(fā)電機(jī)組LLS001AR配電盤；(2) 當(dāng)LLS失效后，操縱員可執(zhí)行規(guī)程從相鄰機(jī)組的LNE360CR提供儀控電源；(3) 蓄電池可提供儀控電源，但由于容量有限，僅可提供1 h的電源。3) 主泵軸封注入需要LLS柴油發(fā)電機(jī)組供電驅(qū)動水壓試驗泵供水，LLS失效會導(dǎo)致主泵軸封水喪失，產(chǎn)生80 t/h或15 t/h兩種尺寸的軸封破口。

圖6 外電網(wǎng)修復(fù)時間對SBO概率的影響Fig.6 Influence of external power grid repair time on SBO probability

4.2 全廠斷電后的交流電源修復(fù)

全廠斷電后要求上文所述的前沿系統(tǒng)功能正?？捎貌趴杀３侄研镜陌踩€(wěn)定的狀態(tài)，否則事故的發(fā)展將要求必須恢復(fù)交流電源，投運能動系統(tǒng)為一回路補(bǔ)水，并排出堆芯余熱。

前沿系統(tǒng)失效后，恢復(fù)電源的時間限值Δt通過熱工水力學(xué)計算的結(jié)果來確定[12-15]。根據(jù)計算，在反應(yīng)堆功率運行工況下，不同的前沿系統(tǒng)失效條件下的Δt列于表3。

表3 不同的前沿系統(tǒng)失效條件下的ΔtTable 3 Δt of different frontier system failure teams

根據(jù)表3中前沿系統(tǒng)失效情況對電源恢復(fù)允許時間的要求，事件樹分析如圖7所示，全廠斷電后的事故進(jìn)程中有表4所列的11種不同的需恢復(fù)交流電源的前沿系統(tǒng)成功或失效組合(“√”代表成功，“×”代表失效，“-”代表無需考慮)。表中，輔助給水代表汽動輔助給水系統(tǒng)成功啟動和運行，從二次側(cè)排出余熱；LLS包含LLS柴油機(jī)成功啟動和運行，可為LLS水壓試驗泵供電，為儀控系統(tǒng)供電的配電盤成功帶電；相鄰機(jī)組供電代表從相鄰機(jī)組LNE母線為事故機(jī)組提供儀控電源；軸封注入代表LLS水壓試驗泵成功啟動、運行和軸封水注入管線成功。

圖7 部分SBO事件樹Fig.7 Part of SBO event tree

表4 前沿系統(tǒng)失效組合Table 4 Frontier system failure team

以表4中的case 3為例，其前沿系統(tǒng)成功或失效情況如下：全廠斷電后輔助給水成功啟動和運行，但LLS失敗，導(dǎo)致水壓試驗泵失去電源，因而同時喪失了軸封水注入，主泵軸封出現(xiàn)流量為15 t/h的破口，但機(jī)組從相鄰機(jī)組LNE獲得了儀控電源，因此認(rèn)為汽動輔助給水的流量是可得到控制和調(diào)節(jié)的，二次側(cè)可排出堆芯余熱。

Δt的開始時刻為前沿系統(tǒng)的失效時刻t3。前沿系統(tǒng)失效時刻與前沿系統(tǒng)的失效方式相關(guān)，可根據(jù)各前沿系統(tǒng)的可靠性數(shù)據(jù)，通過抽樣獲得。前沿系統(tǒng)的可靠性可通過故障樹分析取得。經(jīng)計算，目標(biāo)電廠的系統(tǒng)可靠性參數(shù)列于表5。

表5 前沿系統(tǒng)可靠性參數(shù)Table 5 Frontier system reliability value

4.3 計算方法與假設(shè)

對于第3章中發(fā)展為全廠斷電的采樣結(jié)果，對每個前沿系統(tǒng)成功或失效組合繼續(xù)通過蒙特卡羅采樣抽取前沿系統(tǒng)的失效模式和失效時刻t3，并根據(jù)表3中的Δt計算t4。

計算中作如下假設(shè)：1) 取前沿系統(tǒng)的任務(wù)時間為全廠斷電發(fā)生后的24 h；2) 電源恢復(fù)方式考慮修復(fù)外電網(wǎng)、修復(fù)1臺應(yīng)急柴油發(fā)電機(jī)和成功接入第5臺柴油發(fā)電機(jī)3種方式；3) 保守認(rèn)為LLS失效且未能從相鄰機(jī)組獲取儀控電源，蓄電池可供使用1 h，輔助給水立即失效；4) 保守認(rèn)為主泵失去軸封注入后立刻產(chǎn)生了軸封破口；5) 對于多個前沿系統(tǒng)失效的情況，保守取最先失效的1個前沿系統(tǒng)失效時刻

作為前沿系統(tǒng)失效時刻；6) 由于附加柴油發(fā)電機(jī)接入需要約3 h，因此假設(shè)附加柴油發(fā)電機(jī)前3 h接入的概率為0，3 h后接入所需時長呈平均1 h的指數(shù)分布。

程序繼續(xù)在第3章開發(fā)的程序基礎(chǔ)上開展計算，計算流程圖如圖8所示。

圖8 電源恢復(fù)情況計算流程圖Fig.8 Flow chart of power recovery calculation

4.4 計算結(jié)果與分析

在不同的SBO后的事故序列中，電源恢復(fù)概率的計算結(jié)果列于表6。

表6 交流電源恢復(fù)概率Table 6 AC power recovery probability

由表6可知，在全廠斷電下，case 8和case 9是最不希望看到的狀況，電源未恢復(fù)前即發(fā)生堆芯損毀的概率高達(dá)80.40%和80.43%。如采樣計算結(jié)果顯示交流電源以某種方式被及時恢復(fù)，則可繼續(xù)緩解事故，否則堆芯損毀。根據(jù)全廠斷電事故進(jìn)程，使用RiskSpectrum軟件建立事件樹和系統(tǒng)故障樹，根據(jù)上文計算的電源恢復(fù)概率，計算可得全廠斷電的條件堆芯損傷概率(CCDP)為2.28×10-2。

基于本文程序和RiskSpectrum軟件，對大型外部災(zāi)害情景下的全廠斷電的CCDP進(jìn)行計算。假設(shè)災(zāi)害破壞了外電網(wǎng)，同時廠址內(nèi)的應(yīng)急柴油發(fā)電機(jī)、附加柴油發(fā)電機(jī)也受到破壞，短時間內(nèi)無法修復(fù)，但電廠的福島改進(jìn)項中新增設(shè)的可移動柴油發(fā)電機(jī)未在災(zāi)害中被損壞，可緊急接入并恢復(fù)1列應(yīng)急交流母線的供電。對于該移動柴油發(fā)電機(jī)在全廠斷電后不同時刻成功接入的CCDP開展計算，結(jié)果如下：SBO后10 h，2.75×10-2；SBO后20 h，3.59×10-2；SBO后30 h，7.18×10-2。可知，如保持可移動柴油發(fā)電機(jī)在重大外部災(zāi)害情況下的生存能力，并及時接入交流應(yīng)急母線，為應(yīng)急設(shè)備提供電源供給，可顯著降低在重大外部災(zāi)害情況下機(jī)組全廠斷電后的風(fēng)險。

5 結(jié)論

1) 使用蒙特卡羅方法，編制計算程序，動態(tài)模擬CPR1000機(jī)組全廠斷電事故進(jìn)程，對全廠斷電事故開展了PSA，有效解決全廠斷電事故的PSA中與時間高度相關(guān)的動態(tài)問題。

2) 使用編制的程序有效地量化計算了該目標(biāo)CPR1000核電廠全廠斷電發(fā)生時間的概率分布、外電網(wǎng)修復(fù)時間對全廠斷電發(fā)生概率的影響、前沿系統(tǒng)各失效組合事故序列中交流電源恢復(fù)的概率，并進(jìn)一步通過RiskSpectrum軟件進(jìn)行PSA建模計算得到該CPR1000機(jī)組全廠斷電事故的CCDP。通過對可移動柴油發(fā)電機(jī)接入時刻的分析，量化計算得到了福島改進(jìn)項中生存能力強(qiáng)的可移動柴油發(fā)電機(jī)對于緩解全廠斷電事故的價值。