一种核电厂大修核安全风险管理工具开发方法转让专利
申请号 : CN202010489008.4
文献号 : CN111798005A
文献日 : 2020-10-20
发明人 : 李乐 , 黄伟兵 , 陈洪浩 , 陈伦寿 , 李跃 , 王珍琪 , 邹胜佳 , 李雪松 , 曹勇 , 叶天波 , 吴剑 , 陶殷勇 , 任诚 , 张俊 , 刘东林 , 林焕
申请人 : 中核核电运行管理有限公司 , 三门核电有限公司
摘要 :
本发明公开了一种核电厂大修核安全风险管理工具开发方法,包括如下步骤:步骤一、关键安全功能选取;步骤二、电厂运行状态分析;步骤三、风险表征确定;步骤四:安全功能分析树建立;步骤五:系统故障树建立;步骤六:风险管理导则制定。本发明的有益效果在于:(1)为大修计划人员提供一种方法,以从核安全角度确定将系统退出运行的最佳时间段,优化大修计划;(2)为大修计划人员提供一种方法,从安全的角度系统地确定核安全风险较高的大修阶段,以便制定适当的预防措施和应急计划;(3)协助运行人员识别大修期间的核安全风险,在风险较高的情况下执行预防措施和应急计划;(4)协助员工从核安全的角度对大修计划进行独立审查。
权利要求 :
1.一种核电厂大修核安全风险管理工具开发方法,其特征在于,包括如下步骤:步骤一、关键安全功能选取;
步骤二、电厂运行状态分析;
步骤三、风险表征确定;
步骤四:安全功能分析树建立;
步骤五:系统故障树建立;
步骤六:风险管理导则制定。
2.如权利要求1所述的一种核电厂大修核安全风险管理工具开发方法,其特征在于:所述的步骤一为根据燃料芯块和包壳完整性、反应堆冷却剂系统完整性、安全壳完整性三道放射性屏障识别电厂的关键安全功能;关键的安全功能包括堆芯冷却、乏池冷却、装量控制、反应性控制和安全壳关闭,支持性的关键安全功能包括电源可用性、冷却水。
3.如权利要求1所述的一种核电厂大修核安全风险管理工具开发方法,其特征在于:所述的步骤二为进行电厂停堆类型和电厂运行状态的分析确定,基于电厂不同阶段的温度水平、压力水平,使停堆这一动态过程离散成若干个相对稳定的状态。
4.如权利要求1所述的一种核电厂大修核安全风险管理工具开发方法,其特征在于:所述的步骤三为大修核安全风险管理工具使用颜色来表征关键安全功能降级程度。
5.如权利要求1所述的一种核电厂大修核安全风险管理工具开发方法,其特征在于:所述的步骤四为建立安全功能分析树,安全功能分析树是一种图解式模型,该模型根据步骤一选取的安全功能和步骤二确定的电厂运行状态,从左到右按顺序排列出多个题头,这些题头主要是步骤一选取的安全功能相关系统的可用情况,也可以是电厂重要参数状态、监视安全功能的仪表的可用性、或高风险诱因,安全功能相关系统依据电厂不同阶段的运行条件,各系统的特性和功能确定。
6.如权利要求1所述的一种核电厂大修核安全风险管理工具开发方法,其特征在于:所述的步骤五为针对步骤四安全功能分析树的题头建立系统故障树,故障树分析采用演绎性的故障分析,是一种确定系统故障原因的方法。
7.如权利要求1所述的一种核电厂大修核安全风险管理工具开发方法,其特征在于:所述的步骤六为针对步骤四安全功能分析树的序列制定风险管理导则,风险管理导则是大修核安全风险管理工具针对不同的电厂运行状态和系统可用状态制定的风险管理指导文件,在系统或设备发生计划或非计划不可用时,有相应的手段重建纵深防御或保护可用的设备。
说明书 :
一种核电厂大修核安全风险管理工具开发方法
技术领域
[0001] 本发明属于核电厂大修核安全风险管理领域,具体涉及一种大修核安全风险管理工具的开发。该工具可用于根据电厂运行模式、系统状态、设备失效等信息,评价核电厂纵深防御水平降级的程度和关键安全功能丧失的风险,并根据降级情况给出应对措施,指导使用人员开展监督,恢复纵深防御或者保护重要设备以降低风险。
背景技术
[0002] 核电厂停堆大修期间由于要执行大量工作,造成系统设备集中停役,工作安排的不合理、人员操作失误、系统设备的随机失效等都可能影响停堆期间的核安全,所以核电厂大修要管理得当,确保核安全得到维持。大修期间随着运行模式的变化,系统的停役,纵深防御水平可能发生降级,关键安全功能丧失的风险增高。
[0003] 国内核电厂一般依据技术规格书的要求管理大修期间电厂配置,通过规定实施控制点程序,在机组不同的停堆模式(状态)下和模式(状态)改变之前检查机组状态与技术规格书的一致性,确保技术规格书的遵守。技术规格书对核电厂各安全系统和设备在不同运行模式下的状态有所限制,但技术规格书一般针对单个系统给出要求,不能衡量多个系统或设备同时不可用情况下的风险并给出指导。虽然有些技术规格书对多重设备失效做了一些简单的规定,有些核电厂在技术规格书要求以外还增加了其他的管理要求,但由于核电厂配置的复杂性和多样性,这些规定和管理要求并不能系统有效地识别、衡量和管理电厂大修核安全风险。核电厂需要开发专业的大修核安全风险管理工具以便于便捷高效地管理电厂大修核安全风险。
发明内容
[0004] 本发明的目的在于提供一种核电厂大修核安全风险管理工具开发方法,它能够系统性地识别、衡量和管理电厂大修风险。
[0005] 本发明的技术方案如下:一种核电厂大修核安全风险管理工具开发方法,包括如下步骤:
[0006] 步骤一、关键安全功能选取;
[0007] 步骤二、电厂运行状态分析;
[0008] 步骤三、风险表征确定;
[0009] 步骤四:安全功能分析树建立;
[0010] 步骤五:系统故障树建立;
[0011] 步骤六:风险管理导则制定。
[0012] 所述的步骤一为根据燃料芯块和包壳完整性、反应堆冷却剂系统完整性、安全壳完整性三道放射性屏障识别电厂的关键安全功能;关键的安全功能包括堆芯冷却、乏池冷却、装量控制、反应性控制和安全壳关闭,支持性的关键安全功能包括电源可用性、冷却水可用性。
[0013] 所述的步骤二为进行电厂停堆类型和电厂运行状态的分析确定,基于电厂不同阶段的温度水平、压力水平,使停堆这一动态过程离散成若干个相对稳定的状态。
[0014] 所述的步骤三为大修核安全风险管理工具使用颜色来表征关键安全功能降级程度。
[0015] 所述的步骤四为建立安全功能分析树。安全功能分析树是一种图解式模型,该模型根据步骤一选取的安全功能和步骤二确定的电厂运行状态,从左到右按顺序排列出多个题头,这些题头主要是步骤一选取的安全功能相关系统的可用情况,也可以是电厂重要参数状态、监视安全功能的仪表的可用性、或高风险诱因,安全功能相关系统依据电厂不同阶段的运行条件,各系统的特性和功能确定。
[0016] 所述的步骤五为针对步骤四安全功能分析树的题头建立系统故障树,故障树分析采用演绎性的故障分析,是一种确定系统故障原因的方法。
[0017] 所述的步骤六为针对步骤四安全功能分析树的序列制定风险管理导则。风险管理导则是大修核安全风险管理工具针对不同的电厂运行状态和系统可用状态制定的风险管理指导文件,在系统或设备发生计划或非计划不可用时,有相应的手段重建纵深防御或保护可用的设备。
[0018] 本发明的有益效果在于:
[0019] (1)为大修计划人员提供一种方法,以从核安全角度确定将系统退出运行的最佳时间段,优化大修计划;
[0020] (2)为大修计划人员提供一种方法,从安全的角度系统地确定核安全风险较高的大修阶段,以便制定适当的预防措施和应急计划;
[0021] (3)协助运行人员识别大修期间的核安全风险,在风险较高的情况下执行预防措施和应急计划;
[0022] (4)协助员工从核安全的角度对大修计划进行独立审查。
附图说明
[0023] 图1为识别关键安全功能示意图;
[0024] 图2为某压水堆乏池冷却-燃料损毁安全功能的安全功能分析树示意图。
具体实施方式
[0025] 下面结合附图及具体实施例对本发明作进一步详细说明。
[0026] 针对国内大修核安全风险管理不够系统有效的现状,以纵深防御为理论基础,从维持关键安全功能的角度出发,使用安全功能分析树、故障树分析等手段,建立一个将电厂配置和关键安全功能关联起来的整体模型,用于评估电厂大修期间配置变化导致的风险变化。并对不同的核安全风险水平编制管理导则,指导使用人员在系统或设备发生计划或非计划不可用时,采取措施重建纵深防御或保护可用的设备,确保大修安全。具体步骤如下:
[0027] (1)关键安全功能选取;
[0028] (2)电厂运行状态分析;
[0029] (3)风险表征确定;
[0030] (4)安全功能分析树建立;
[0031] (5)系统故障树建立;
[0032] (6)风险管理导则制定。
[0033] 以下将以某压水堆为例对本发明的技术方案作进一步的描述,但本发明并不限于这些实施例。
[0034] 一种核电厂大修核安全风险管理工具开发方法,包括如下步骤:
[0035] 步骤一、关键安全功能选取
[0036] 根据燃料芯块和包壳完整性、反应堆冷却剂系统完整性、安全壳完整性三道放射性屏障识别电厂的关键安全功能,见图1。关键的安全功能包括堆芯冷却、乏池冷却、装量控制、反应性控制和安全壳关闭,支持性的关键安全功能包括电源可用性、冷却水等。通过维护这些安全功能确保停堆安全。
[0037] 根据堆型、系统的不同,电厂可以增加减少或拆分一些安全功能,也可以考虑不同的终态后果,比如堆芯沸腾、堆芯裸露、燃料损毁等,从而组合出不同的安全功能。比如可以不考虑“冷却水”安全功能,可以增加“其他重要支持系统可用性”安全功能,电源可用性可以分成直流电源可用性和交流电源可用性,堆芯冷却可以拆分为堆芯冷却-堆芯沸腾、堆芯冷却-堆芯裸露、堆芯冷却 -燃料损毁。表1给出了某压水堆选取的关键安全功能,包括堆芯冷却-堆芯沸腾、堆芯冷却-燃料损毁、乏池冷却-乏池沸腾、乏池冷却-燃料损毁、装量控制、主交流电系统可用性、1E级直流电和UPS系统可用性、非1E级直流电和UPS系统可用性、反应性控制、安全壳关闭一共十个。
[0038] 表1
[0039]序号 关键安全功能
1 堆芯冷却-堆芯沸腾
2 堆芯冷却-燃料损毁
3 乏池冷却-乏池沸腾
4 乏池冷却-燃料损毁
5 装量控制
6 主交流电系统可用性
7 1E级直流电和UPS系统可用性
8 非1E级直流电和UPS系统可用性
9 反应性控制
10 安全壳关闭
1 堆芯冷却-堆芯沸腾
2 堆芯冷却-燃料损毁
3 乏池冷却-乏池沸腾
4 乏池冷却-燃料损毁
5 装量控制
6 主交流电系统可用性
7 1E级直流电和UPS系统可用性
8 非1E级直流电和UPS系统可用性
9 反应性控制
10 安全壳关闭
[0040] 步骤二、电厂运行状态分析
[0041] 首先进行电厂停堆类型和电厂运行状态的分析确定,基于电厂不同阶段的温度水平、压力水平等,通过合理的假设和简化,使停堆这一动态过程离散成若干个状态,每个状态下可能对电厂安全功能有影响的因素可认为是稳定的。
[0042] 电厂有换料停堆和维修停堆。对于不同的停堆类型,电厂各个运行模式下电厂的条件、状态、时间和转换都有所不同。例如,对换料停堆,如果附带进行电厂维修,反应堆冷却剂系统内的水位处在较低水平的时间可能会很长;对维修停堆,有冷却剂排水或不排水之分,停堆过程中余热排出系统是否投入对电厂有很大的影响。换料停堆是核电厂中主要的停堆类型,能够最广泛地包络停堆工况下的电厂运行状态和电厂停堆活动的历史记录,所以大修核安全风险管理工具分析的主要是换料停堆。
[0043] 电厂的运行技术规范会将机组状态划分为多个运行标准模式,每个模式有自己的运行要求。它们是堆芯反应性、功率水平和反应堆冷却剂平均温度及压力在很宽范围的组合给出的状态。但大修核安全风险管理工具一般会对电厂的停堆过程考虑得更细致,从电厂主要活动变化、一回路水位、堆芯的反应性变化、堆芯的温度、压力及维持关键安全功能的系统可用性变化等方面考虑,将电厂的换料停堆过程划分成相对稳定的多个电厂运行状态,表示电厂从降功率到冷停堆和换料、并回到功率运行所经历的一次换料的进程。根据需求,电厂可以将电厂运行状态简单划分成几个,不区分运行模式上行和下行,温度、压力和系统配置用保守值包络,也可以进一步细分。表2是某压水堆运行状态划分示例,将功率运行和停堆过程分成A、B、C、D、E、F、G、H、I、J、L、M、 N十三个工况,其中温度压力等技术参数与实际不同,仅供参考。
[0044] 表2
[0045]
[0046]
[0047]
[0048] 步骤三、风险表征确定
[0049] 大修核安全风险管理工具使用颜色来表征关键安全功能降级程度。为了提高对安全功能降级程度的认知,促进风险管理行动,应该用多种颜色表征不同的纵深防御水平。至少需要三个层次的分级,包括不可接受的、最低限度的和可接受的,来提供足够的区别,允许适当的管理控制,以正确分配资源和有效管理风险。过少的分级不能体现风险差异,过多的分级会增加管理负担,一般使用四个层次的分级—不可接受的、最小的、减少的和可接受的,分别对应红、橙、黄、绿四种颜色,如表3所示。绿色表示非常高或最高的纵深防御水平以及最低的风险水平。该状态下不需要额外的操作管理风险,正常的工作控制就足够了。黄色代表相对较高的纵深防御水平和较低的风险水平。该状态下可以采取行动减少该状态的持续时间,实施补偿措施以降低风险,或两者兼而有之。橙色代表最小的纵深防御水平和升高的风险水平,该状态允许短时间进入。该状态需要详细的风险管理规划,包括最小化该状态持续时间的措施,并制定应急计划以恢复或保护支持安全功能的系统设备。它通常表示一次故障就会导致安全功能丧失的情况。红色代表纵深防御降低到不可接受的水平,电厂系统不能有效的支持必须的安全功能。风险水平无法接受。通常不允许主动进入这种状态。
[0050] 表3
[0051]
[0052]
[0053] 步骤四:安全功能分析树建立
[0054] 安全功能分析树是一种图解式模型,该模型根据步骤一选取的安全功能和步骤二确定的电厂运行状态,从左到右按顺序排列出多个题头。这些题头主要是步骤一选取的安全功能相关系统的可用情况,也可以是电厂重要参数状态、监视安全功能的仪表的可用性、或高风险诱因。安全功能相关系统依据电厂不同阶段的运行条件,各系统的特性和功能确定。表4给出了压水堆六个主要的关键安全功能对应的典型系统。堆芯冷却安全功能相关的系统有余排系统、蒸汽发生器、充排冷却(安注/化容泵)、乏池冷却、其他冷却方法。装量控制安全功能相关的系统有余排系统、高压安注(安注/化容泵)、重力注水、其他补水方法。电源可用性安全功能相关的系统有外电网、辅助变压器、高压母线、应急柴油发电机。反应性控制安全功能相关的系统有源量程通道、安注/化容泵、硼化通道、控制棒。安全壳安全功能相关的系统有安全壳闸门、安全壳贯穿件、安全壳冷却系统。乏池冷却安全功能相关的系统有乏池冷却系统、乏池补水源。
[0055] 表4
[0056]
[0057]
[0058] 高风险诱因是停堆期间更容易导致失去关键安全功能的大修活动、电站配置、工况等,比如影响电源可用性安全功能的开关站工作。当高风险诱因存在时,安全功能丧失的风险较高。
[0059] 每个题头都有两个或多个分支,表征题头的不同状态。各题头的分支连接在一起形成序列,最终引向一种风险颜色,即步骤三确定的四种颜色之一。每个序列表征特定的电厂配置,序列的风险颜色代表了该电厂配置下安全功能降级程度。风险颜色根据分值确定。根据各系统对安全功能的重要性给系统赋分,系统可用则给分,不可用为0分。红橙黄绿4个风险等级的阈值基于概率安全评价见解以及电厂经验、工程判断、技术规格书限制等确定。
对安全功能分析树每一个序列,将各题头分值的加和与4个风险等级的阈值进行比对,确定序列的亮灯颜色。图2给出了某压水堆某种运行状态下乏池冷却-燃料损毁安全功能的安全功能分析树,这种运行状态下有系统A用于冷却乏池,系统B和C用于向乏池补水,系统A、B均至少一列可用,系统C可向乏池补水,且乏池仪表至少一个可用时,安全功能为绿灯。系统不可用则导致安全功能降级为黄灯、橙灯或红灯。
对安全功能分析树每一个序列,将各题头分值的加和与4个风险等级的阈值进行比对,确定序列的亮灯颜色。图2给出了某压水堆某种运行状态下乏池冷却-燃料损毁安全功能的安全功能分析树,这种运行状态下有系统A用于冷却乏池,系统B和C用于向乏池补水,系统A、B均至少一列可用,系统C可向乏池补水,且乏池仪表至少一个可用时,安全功能为绿灯。系统不可用则导致安全功能降级为黄灯、橙灯或红灯。
[0060] 每种安全功能使用一个或多个安全功能分析树来评估。单一的安全功能可能需要多个安全功能分析树,因为不同的电厂运行状态对安全功能分析树的要求可能不同。
[0061] 步骤五:系统故障树建立
[0062] 针对步骤四安全功能分析树的题头建立系统故障树。故障树分析是常用的演绎性的故障分析,确定系统故障原因的方法。首先规定出不希望的系统状态,然后按相应环境和运行情况对系统、列进行分析,层层追溯直到设备硬件失效层级,找出出现不希望状态的所有可信路径。步骤四安全功能分析树的每一个题头都应对应建立一颗故障树,两者是关联起来的,这样通过设备的状态就能确定系统的状态,从而得到安全功能的风险水平。故障树建立步骤主要包括以下几个方面:
[0063] (1)定义系统及故障树分析准备:针对各安全功能分析树涉及的系统,定义其功能及组成,确定系统的边界(外边界、内边界),进行故障树分析准备。这些准备工作包括收集资料,熟悉系统,并按照一般的系统简化原则绘制系统简化流程图等。
[0064] (2)确定故障树顶事件:根据安全功能分析树中系统要求,明确定义本次分析的系统的不希望事件,即顶事件。
[0065] (3)建立故障树:从确定的顶事件出发,遵循建立故障树的基本规则和系统的实际情况,建造出所需的故障树。故障树最终追溯到泵、阀门、断路器、母线等失效层级后不再向下发展。这些泵、阀门、断路器、母线失效即是故障树的基本事件。这些基本事件只有0和1两个状态,设备失效时为1,设备可用时为0,通过逻辑关系由设备状态确定系统状态。安全功能分析树的各题头事件只显示安全功能相关的前沿系统,其支持系统在故障树中体现,包括供电、供气、冷却水等。
[0066] 步骤六:风险管理导则制定
[0067] 风险管理导则是大修核安全风险管理工具针对不同的电厂运行状态和系统可用状态制定的风险管理指导文件,以便在系统或设备发生计划或非计划不可用时,有相应的手段重建纵深防御或保护可用的设备。电厂在计划和大修期间应用风险管理导则,以确保足够的安全功能得到维护。一般来说,随着纵深防御水平下降,风险管理导则中规定的补偿措施和管理监督应该增加。
[0068] 步骤四每个安全功能分析树的序列都对应一份风险管理导则。风险管理导则包括确定应该执行的操作,确定应禁止的操作,确定必要的替代手段、补充措施和备用设备,确定必须的检查事项,给出优先恢复不可用系统和保护要求可用系统的建议等内容。不可用系统恢复的优先级,不仅应考虑系统重要性,还要考虑恢复所需时长。系统设备不同,维修类型不同,都会导致恢复所需时长不同,风险管理导则可以筛选出恢复后会使得关键安全功能提高一个等级的多个不可用系统,给出建议。电厂使用人员可以根据现场实际状态来考虑先恢复哪个系统。针对可用系统,也会建议优先保护其失效会导致关键安全功能降低一个等级的系统。图2上亮灯图框中的编号即为风险管理导则的编码。