機械設備故障安全在核電廠中的應用探討

溫 亮，李盛杰，顧明洲，彭 躍

（1.中廣核工程公司，廣東 深圳 518000；2.核電安全監控技術與裝備國家重點實驗室，廣東 深圳 518000）

0 引言

故障安全設計在化工、常規火電、計算機、自動駕駛等方面都有廣泛的應用，例如胡勁松等人［1］介紹了一種故障安全控制系統在石油化工生產中的應用，該控制系統采用雙重冗余技術，基于微處理器、模塊化、可進行軟件編程和組態的系統，可以確保加氫重整聯合裝置的安全；李梅喜等人［2］也介紹了在催化裂化裝置上采用了故障安全的設計，當工藝過程出現故障或控制系統本身出現故障時，可以確保工藝過程處于安全狀態，現場設備處于安全位置；程嘉驥等人［3］介紹了故障安全系統在汽車總裝線上的應用，即在一個或多個自控設備發生故障時，故障安全系統可以對人、機械和環境提供更高的安全等級，即使發生過程中斷也不會對人員或環境產生危害；魏敏［4］介紹了故障安全系統在鐵路信號發碼器上的應用，當某個模塊發生故障時采用具有最高安全等級的信息作為該模塊的輸出，確保了鐵路火車運行的安全。

故障安全設計是偏安全的設計方法，對于核電廠同樣適用，但是目前公開的文獻中較少見到故障安全設計理念在核電廠中應用的研究，同時也缺少具體的設計流程用于指導核電廠故障安全設計。

1 故障安全分析

不同的人或行業，對故障安全的定義也有所不同，例如方蕾［5］提出經典的故障安全原則是以設備或裝置發生故障時使其導向安全輸出為基礎，即在發生故障時不產生危害性輸出。在通信領域，故障安全是指在通信傳輸系統由于外界的干擾或自身的物理缺陷而發生故障時，仍能以較高的概率使通信系統維持在安全態，以使終端設備避免因通信系統故障而發生事故［6］。在核電設計中，歐洲用戶要求（EUR）［7］中故障安全的定義為：故障安全是指設備或系統在發生特定失效的情況下，設備或系統的動作導向這種失效情況下的安全狀態。

EUR 沒有對“特定失效”及“安全狀態”進行解釋。結合核電廠的設計經驗，對“特定失效”及“安全狀態”的解讀如下：

1）特定失效。主要是指機械設備本身的失效以及相關支持系統（包括供水、供電及相關儀表和控制）的失效，例如氣動閥失去氣源，電動閥門失去電源以及失去相關的控制系統。

2）安全狀態。在電站或系統正常運行時，如果某個設備發生特定失效后所達到或維持的“狀態”，不會導致電站或系統預期發生的事故或者災害由于該設備的狀態而無法預防或緩解，那么這個狀態就是安全狀態，例如，安注管線上的電動閥在電廠正常運行期間處于備用狀態（開狀態），閥門失電的情況下，閥門保持在原來的位置（開狀態），安注功能不受影響，那么這個開狀態就是安全狀態。

核電廠中，故障安全的定義如圖1所示。

圖1 核電廠中故障安全的定義

2 法規標準要求

核動力廠設計安全規定（HAF 102）［8］中要求“必須恰當地考慮故障安全設計原則，并貫徹到核動力廠安全重要系統和部件的設計中。在適用時，應將安全重要系統和部件設計為故障安全，使其自身的故障或支持設施的故障不妨礙預定安全功能的執行”。

國際原子能機構（IAEA）安全要求（SSR-2/1）［9］中也對故障安全設計提出了要求，即故障安全設計理念必須適當地貫徹到對安全重要的設備和系統的設計中。

EUR 中對故障安全的要求為“故障安全原則在合理的情況下應該貫徹到對安全重要的系統和設備的設計中”。

從法規標準對故障安全設計的要求可以看出：故障安全的設計不是強制的要求，但是在適當的情況下需要考慮故障安全的設計；僅考慮安全有關的系統和設備。

在法規和標準中沒有說明在設計中如何考慮故障安全的設計，即，缺少可以指導設計的流程和方法。

3 故障安全范圍及實現方式

根據第1 節的定義，故障安全概念中的故障包括系統本身的失效以及相關支持系統的失效，包括儀控系統的失效，本文主要對機械設備的故障安全設計流程進行討論，儀控相關的內容不在本文的討論范圍。

根據第2 節法規標準對故障安全的要求，可以總結得出故障安全設計理念僅適用于安全相關的系統和設備，對于僅執行正常運行且對安全沒有貢獻的系統和設備可以不用考慮故障安全設計。

在核電廠中，常用的機械設備包括能動設備和非能動設備，非能動設備（例如管道、水箱、過濾器）的失效可以考慮為預期的事故或災害，安全分析和災害分析會考慮失效后果和應對措施，因此非能動設備不在故障安全考慮的范圍，故障安全的設計主要應用在能動設備上，例如閥門、開關等。

在核電廠中典型的故障安全實現方式包括以下幾種：

1）氣動閥。氣動閥門一般采用壓縮空氣作為動力源，可以控制閥門的開、關以及調節，通過氣動閥的設計，在失去壓縮空氣的情況下，可以實現閥門的失效開、關動作，從而將閥門置于偏安全的狀態（開或關）。

2）電磁閥。在失去電源的情況下，通過電磁線圈的作用，可以實現閥門的失效開、關動作，從而將閥門置于偏安全的狀態（開或關）。

3）控制棒驅動機構。在失電的情況下，控制棒驅動機構在重力的作用下會自動下落，同時反應堆緊急停堆，中止鏈式反應，確保反應堆的安全。

此外，暖通系統常用的風閥，在失去電源的情況下，也可以實現故障安全動作，即可以在失去電源的情況將閥門置于偏安全的狀態（開或關）。

4 故障安全流程及方法

盡管法規標準對故障要求設計沒有強制要求，但無論是HAF 還是IAEA 都要求對安全重要的設備和系統，在設計時需要適當地考慮故障安全設計，通過對核電廠機械設備的功能、工況進行歸納總結，提出機械設備的故障安全流程。

1）設備是否需要采用故障安全設計，首先需要識別設備的失效模式，核電廠中設備的主要失效模式為支持系統的失效，其失效模式包括失去電源、氣源等。

2）需要分析設備執行的具體安全功能，不同的機械設備執行不同的安全功能，同一個安全設備可能執行不同的安全功能，例如系統的安全殼隔離閥，不但執行事故后安全殼隔離的功能，還執行其他的安全功能。

3）根據設備執行的安全功能，判斷每個安全功能對應的安全位置，例如安噴系統的安全殼隔離閥，執行安全殼噴淋的功能時處于開的位置，執行事故后安全殼隔離的功能時，則要求閥門處于關閉位置。

4）如果設備執行多個安全功能，且多個安全功能要求的安全位置不一致，則說明該機械設備不適用與故障安全設計，因為故障安全只能確保一個安全功能，無法同時確保多個安全位置。

5）對于某些電動設備，如果設備失效后達到的位置與預期要執行的安全功能要求的位置一致，即失效后自動就達到了安全位置，對于這一類設備也不需要再考慮額外的故障安全設計，例如電動閥門在失去電源的情況下，將保持在失電前的位置，如果該位置與閥門執行安全功能的位置一致，則閥門在失電的同時已經達到了安全位置，因此這一類設備也就不需要再考慮故障安全設計。以安注系統電動閥門為例，電廠功率運行期間，安注系統的閥門處于安注備用狀態，閥門處于開的狀態，在失電的情況下，閥門保持在開的狀態，因此其失電后閥門的狀態與預期要執行安全功能的狀態一致，失效的同時已經達到了故障安全，因此這些閥門也不適用于故障安全設計。

6）如果設備執行安全功能的安全位置一致，如閥門僅要求開或關，則需要考慮采用故障安全設計，但同時需要考慮采用故障安全設計后是否會引入新的風險，尤其是設備誤動作導致的風險，以化學和容積控制系統（RCV）下泄隔離閥為例，RCV 下泄隔離閥在失水事故（LOCA）下執行關閉的功能，安全位置為關，如果采用了故障安全設計，則在電廠正常運行期間，在某些擾動的影響下，閥門可能會產生誤故障安全動作，即將閥門置于誤關閉的位置，從而導致一回路喪失容積控制的功能，給電廠帶來了新的安全風險，因此這一類設備也不適用于采用故障安全設計。

根據上述分析可以得出，在核電廠中，對于安全位置一致的設備，同時考慮電廠擾動帶來的誤動作情況下，如果對電廠的運行和安全都沒有風險，則這一類設備需要考慮故障安全設計，故障安全在核電廠中的應用流程如圖2所示。

圖2 故障安全在核電廠中應用的流程

5 故障安全方法在核電廠中的應用

以安噴系統安全殼隔離閥、堆坑注水隔離閥、化容系統下泄隔離閥為例，這些設備的故障安全設計分析見表1，通過分析設備執行的安全功能和相關的安全位置，同時考慮故障安全的潛在風險，得出了這些閥門均不需要采用故障安全設計，同時也對設備冷卻水公共用戶隔離閥進行了分析。分析結果表明需要采用故障安全設計，與目前國內壓水堆核電站的設計保持一致。

表1 核電廠典型設備的故障安全設計分析

7 結語

分析核電廠的故障安全原則，提出核電廠中支持系統失效是設備的主要失效模式。

通過對法規標準的解讀，說明故障安全設計原則不是強制要求，但是在設計時對于安全相關系統和設備必須考慮是否適用于故障安全原則。

根據核電廠機械設備執行的功能、工況，提出了故障安全在核電廠中應用的流程和方法，即對于安全位置一致的設備，同時考慮電廠擾動帶來的誤動作的情況下，如果對電廠的運行和安全都沒有風險，則這一類設備需要考慮故障安全設計。