六性协同设计方法在快堆蒸汽发生器事故保护系统中的应用探讨

裴志勇，许业强

(中国原子能科学研究院，北京 102413)

传统的六性设计由设备层出发，根据系统的配置，按照设备串联、并联、混联等关系进行可靠性的设计与分析，最终得出系统层的六性设计，这样的分析设计方法可确保系统及设备满足可靠、安全的要求，但由于在六性分配时未考虑系统配置可能带来功能的缺失，无法对系统功能的实现给予理论支持，本文讨论的设计方法从系统功能出发，在相同的系统配置时，结合“六性”的分析，确保设计过程中系统功能的高可靠性及其他系统功能的完整，以快堆蒸汽发生器事故保护系统为例，阐述系统设计方法，本项研究可推广到其他复杂系统的设计中，具有一定的理论意义和实际应用价值。

1 蒸汽发生器事故保护系统的功能及设计原理

蒸汽发生器事故保护系统的功能如下所述。

(1)在蒸汽发生器模块换热管发生微小泄漏时，通过及时和可靠的探测泄漏并报警，识别出现缺陷单元并将其退出运行以保持其余蒸汽发生器的运行；

(2)发生钠水反应事故时，保护蒸汽发生器、二回路管道和设备避免超压以及失去密封的可能性；

(3)当出现蒸汽发生器模块泄漏的情况下，通过快速切除二回路和三回路中的缺陷单元，保持故障蒸汽发生器处于可维修的状态，并将介质以最短的时间从事故单元腔体中排放并用惰性气体进行封存；

(4)尽可能使钠和水的反应产物在二回路中扩展减到最低限度，防止钠进入三回路。

中国实验快堆(CEFR)的蒸汽发生器是从俄罗斯进口，其主要的性能试验、结构部件试验等都是在俄罗斯完成，CEFR的蒸汽发生器事故保护系统工艺设计及试验验证也是由俄罗斯完成，其保护系统采用传统的基于功能的设计方法。600 MW示范快堆(CFR600)的蒸汽发生器与CEFR相比，其热功率、尺寸规模、模块数量等都有大的变化，系统运行工况更为复杂。因此，必须对CFR600蒸汽发生器事故保护系统进行设计研究，对钠水反应事故扩展、探测稳定性、排放包容钠水反应产物的可靠性、事故控制逻辑保护等进行分析。

CFR600蒸汽发生器事故保护系统原理图如图1所示。

图1 蒸汽发生器事故保护系统原理图(单模块)Fig.1 Schematic diagram of steamgenerator accident protection system (single module)1—一级事故排放罐;2—二级事故排放罐;3—爆破片装置;4—氢浓度探测装置;5—气泡噪声探测器;6—阻火器

该流程图为Ⅰ环路蒸汽发生器事故保护系统单模块原理图，在Ⅱ环路有相同的一套蒸汽发生器事故保护系统，两个环路共有16个模块。该方案为CFR600蒸汽发生器事故保护系统初步设计方案。系统在反应堆正常运行工况下处于热备用状态，一级事故排放罐和钠排放管道的温度维持在250 ℃，压力维持在0.05 MPa。

当蒸汽发生器发生泄漏时，事故保护系统应具备能够探测到钠水反应的发生，并形成钠水反应信号报警，触发保护动作，隔离故障蒸汽发生器模块，并处理钠水反应产物。

2 系统功能与“六性”协同设计方法

装备“六性”是指装备的可靠性、维修性、保障性、测试性、安全性和环境适应性，装备“六性”是产品质量的重要指标。本文将“六性”概念引入系统设计，将系统设计与“六性”要求相结合，鉴别不同功能模块的相应“六性”要求，规范系统设计时需要考虑的问题，分析系统设计为满足“六性”要求的关键技术点，在设计过程中着重考虑。本文对设备本身的可靠性指标不做分析，关注整个系统及各模块的功能实现。

2.1 系统功能与“六性”协同的意义

常规设计中，经验性的成分较多，如基于安全系数的设计。常规设计可通过公式(1)体现[1]：

(1)

式中：F、L、E、μ、σlim等各物理量均视为确定性变量，安全系数则是一个经验性很强的系数。上式给出的结论是：若σ≤[σ]则安全；反之则不安全。

应该说，上述观点不够严谨。首先，设计中的许多物理量是随机变量；基于前一个观点，当σ≤[σ]时，未必一定安全，可能因随机数的存在而仍有不安全的可能性。

在常规设计中，代入的变量是随机变量的一个样本值或统计量，如均值。按概率的观点，当μσ=μ[σ]时，σ≤[σ]的概率为50%，即可靠度为50%，或失效的概率为50%，这是很不安全的[2]。

显然，如建立量化的“六性”协同设计方法，并与系统功能结合，可有效避免部件或子功能模块间无功能关系计算的弊端。

系统可靠性设计中的串联、并联、混联等系统模型是可靠性概率设计中的重要模型，概率设计就是要在原常规设计的计算中引入随机变量和概率运算，并给出满足强度条件(安全)的概率，即所谓的可靠度，但对于工艺系统特别是安全相关的工艺系统并不完全试用[3]。

系统功能与“六性”协同设计就是借助传统“六性”设计办法，将“六性”设计思想融入系统设计中来，针对系统中不同功能的模块从“六性”的角度分别提出设计要求，规范系统设计过程，约束设计过程包含安全性、可靠性、维修性等内容，使设计的流程固化，设计环节有据可依。

2.2 系统功能与“六性”协同设计的收益

2.2.1 有助于明确并细化工艺系统总体要求

在系统设计之初，明确工艺系统的总体要求，该要求将作为系统设计自始至终的原则，指导设计满足要求。然后形成设计输入，确定性能指标，根据系统功能进行划分，分析能够实现系统功能的各种设计方案，已有参考的方案进行详细计算验证，没有参考的方案在计算验证的同时要设计验证试验，通过试验来最终确定设计和理论分析的结果。将系统看做一个整体，系统功能的可靠性是确保系统性能要求的重要因素。

2.2.2 有助于根据“六性”原则进行系统功能单元分解

对系统进行功能模块分解，根据“六性”原则，分别将系统执行不同功能的模块进行划分，对于不止要满足“六性”中单一指标的系统功能模块要进行重点突出，在功能模块内部细致划分，而系统整体应该满足“六性”全部要求。

对每一个功能模块进行方案论证，不仅需要满足该模块本身的功能要求，还要在多模块集成之后满足系统总体的功能要求。

从分解后的功能模块向设备层深入，根据功能及“六性”要求对标准设备进行选型，非标设备进行设计，形成最初的工艺原理设计。

2.2.3 有助于识别关键功能模块，并采取重点措施和对策

这一阶段的工作包括对预先设计的改进和详细的论证分析，在方案论证阶段产生的一个或者多个设计方案，必须仔细的加以考察和研究，以确定所选择的方案是否真正满足功能要求。对关键功能模块可行性论证的目的是：将方案转化为具有实际功能的系统，并论证其实际工作状况；论证该模块是否满足总体阶段所确定的要求。

论证的内容包括：工艺计算、设备方案、可靠性分析、性能匹配、监测控制要求、验证性试验方案。

根据分析所得的结论为系统设计及试验验证提供参考依据。确定系统工艺流程，工况、材料、压力、温度、流量、管道规格、位差、保温、测点、控制、阀门设备选型和系统布置要求等。

2.2.4 有助于系统综合优化和识别故障点

在此阶段，系统设计根据非标设备的验证结论、关键系统的设计验证结论等更新设计流程图，同时进行故障影响模式分析、工况分析、性能评价等，为厂房设计提供最终的设计输入，其中包括工艺间、公共管廊、通道的设置，设备布置、管道布置、支吊架布置等。在厂房设计的楼层反应谱、混凝土结构、钢结构等设计完成后，再一次进行验证性复核，确定阶段性评价、成熟度分析以及技术风险分析，最终完成设计工作。

3 蒸汽发生器事故保护系统设计及功能模块分解

3.1 功能模块分解

CFR600二回路主冷却系统有两个环路，每个环路各有一套蒸汽发生器事故保护系统。主要过程设备有：一级事故排放罐、二级事故排放罐、微氢探测系统、脉冲噪声探测器、爆破片装置、阻火器和安全阀，以及相关的阀门、管道、管件、仪表测量、电气控制和信号报警系统等组成。

一级事故排放罐主要用于接收蒸汽发生器钠水反应后排放的钠水反应产物，在该设备中液态反应产物和气态反应产物经初步分离，气态产物排向二级事故排放罐，液态反应产物则留在罐中等待处理。一级事故排放罐体积为150 m3。

二级事故排放罐的主要功能是包容蒸汽发生器钠水反应的气态反应产物，并在其内部对反应产物进行气液分离。由于该设备在运行期间不加热，因此气态钠水反应产物可以通过与设备壁面的接触得到冷却，进而可以降低设备内的气体压力，减少安全阀的启动频率。二级事故排放罐体积为10 m3。

根据蒸汽发生器事故保护系统功能要求将系统划分为7个功能模块，各功能模块及主要功能如图2所示。

图2 蒸汽发生器事故保护系统功能模块分解图Fig.2 Function module decomposition diagram ofsteam generator accident protection system

3.2 功能模块与“六性”设计对应关系

系统功能与“六性”的协同设计贯穿整个设计过程，执行不同功能的模块侧重点不同，根据系统各个模块的功能特点，对应各模块重点关注的特性，图3为设计过程中系统功能模块根据“六性”内容重点考虑的对应关系，其他内容也在考虑范围内，但不作重点关注。

图3 系统功能与“六性”重点对应关系Fig.3 The corresponding relation betweensystem function and six-characteristic

3.3 钠水反应监测模块设计方法

钠水反应监测功能模块主要设备是氢计，氢计本身的可靠性要求由设备可靠性设计中提出。监测模块可靠性是指多台氢计及控制系统合理布置组成的监测功能模块在运行时能够可靠的探测钠水反应的发生并且发出报警信号、无误报警的能力。监测模块的可靠性是该模块的最重要的指标。

钠水反应监测功能模块设计时重点关注可靠性、测试性与功能实现的协同一致。钠水反应监测功能模块设计时要从如下几方面考虑：

(1)调研钠水反应事故，了解蒸汽发生器结构，确定发生钠水反应概率最高的位置；

(2)通过计算或实验，确定发生小泄漏时回路中氢离子的输运过程和氢离子浓度的空间分布；

(3)结合系统布置、钠流向选择监测点，并通过实验或计算进行优化；

(4)确定回路中氢离子浓度本底值，设置氢计合理的报警阈值；

(5)分析回路温度、压力、流量等参数对监测模块稳定性的影响，确定其敏感性；

(6)设计合理控制程序和动作序列，模拟小/大泄漏信号，验证控制系统的可靠性；

(7)设计监测模块试验程序，在调试过程中满足其测试性要求。

3.4 超压保护模块设计方法

蒸汽发生器事故保护系统超压保护模块功能是：当发生钠水反应引起回路压力升高时该模块通过非能动方式排放泄压，保证蒸汽发生器和二回路压力不超过容许值。

超压保护模块主要设备为爆破片装置，分为排钠和排气，安装在蒸汽发生器钠侧出口腔室和过热器钠侧入口腔室处的爆破片装置用于排钠。安装在钠缓冲罐气侧和二级事故排放罐排放管道侧的爆破片装置用于排气。

超压保护功能模块设计时重点关注可靠性、维修性、保障性与功能实现的协同一致。

超压保护功能模块设计时要从如下几方面考虑：

(1)通过试验或计算确定发生钠水反应时压力波的传递过程，包括在不同位置出现小/大泄漏对压力传递的影响；

(2)根据蒸汽发生器确定排钠爆破片装置布置位置，根据蒸汽发生器事故保护系统气腔布置排气爆破片布置位置；

(3)结合二回路系统压力参数确定爆破片爆破压力，选择满足要求的爆破片装置；

(4)通过试验或计算得出发生大钠水反应时的压力峰值，确定爆破片选择的准确性与合理性；

(5)提出爆破片装置维修要求，同时定制统一规格的爆破片装置作为备件。

3.5 隔离、排放模块设计方法

蒸汽发生器事故保护系统隔离排放模块功能是：在探测到小泄漏或已发生大钠水反应时，通过快速隔离阀隔离蒸汽发生器及过热器(沿二回路切断钠循环，沿三回路切断水循环)，并且快速将蒸汽发生器和过热器中的钠排放至一级事故排放罐。

隔离排放模块主要设备为不同口径的钠门，分为隔离电动钠阀、快速动作钠阀和汽水快速动作截断阀等，在接收到报警信号时迅速启动，该过程主要关注阀门动作的可靠性。

隔离排放模块设计时要从如下几方面考虑：

(1)根据蒸汽发生器布置快速隔离阀和排放阀的布置位置。

(2)对快速隔离阀和排放阀合理选型，对其提出严格技术要求。

(3)根据隔离阀和排放阀动作时间重新计算小/大钠水反应时的压力峰值，分别考虑在爆破片爆破和没爆破的情况。

(4)通过试验或计算确定隔离/排放的动作序列，选择最佳逻辑顺序。

3.6 包容功能模块设计方法

蒸汽发生器事故保护系统包容模块主要设备是一级事故排放罐和二级事故排放罐，一级事故排放罐主要用于接收包容蒸汽发生器钠水反应后排放的钠水反应产物，在该设备中液态反应产物和气态产物经初步分离，液态产物留在罐中等待处理。二级事故排放罐用于包容来自一级事故排放罐的气态反应产物，该设备运行时不加热，可以起到一定冷却作用。

包容功能模块设计时主要考虑可靠性、安全性和环境适应性。作为实现安全功能设备组成的子系统，本身的可靠性也就是安全性，可一同考虑。

包容功能模块设计时要从如下几方面考虑：

(1)考虑一台蒸汽发生器发生钠水反应时反应产物的排放量，确定一级、二级事故排放罐的容积。

(2)根据二回路排放流量要求选择排放管道直径。

(3)根据钠水反应产物温度压力计算排放时对一级事故排放罐的热冲击，设计一定结构避免直接对排放罐罐体造成热冲击。

(4)在二级事故排放罐气体排放安全阀后设置阻火器，避免钠水反应气态产物中可燃气体排放时自燃。

(5)规定一、二级事故排放罐安装工艺间环境条件，满足长期存放及运行要求。

3.7 试验功能模块设计方法

蒸汽发生器事故保护系统试验模块功能主要用于监测模块的标定和试验测试。在系统安装后调试阶段对监测系统进行本底值的标定，指导报警阈值的确定，同时可模拟小/大钠水反应信号，测试监测系统是否满足设计要求。

试验功能模块设计时主要考虑试验性。该试验性的含义是相对整个蒸汽发生器事故保护系统来说的。

设计过程中要考虑该功能模块与整个系统的控制系统协调一致，可作为控制系统的一部分。主要设备有注氢装置，其中注氢气瓶为标准气瓶，可作为标气使用。

3.8 状态监测功能模块设计方法

蒸汽发生器事故保护系统状态监测模块主要功能是监测系统状态，通过设置在不同位置的测点来实现，测点类型包括温度、压力、流量、液位等。

状态监测功能模块设计时主要考虑测试性。标准仪表出厂前进行标定，液位计等需要进行在线标定。温度测点主要布置在一、二级事故排放罐、爆破片装置、蒸汽发生器进出口、缓冲罐。压力测点主要布置在一、二级事故排放罐、缓冲罐。通过这些测点确定系统是否处于正常运行状态，该功能模块能够及时而准确地确定蒸汽发生器事故保护系统的状态，满足系统测试性的要求。

4 结论

本文对蒸汽发生器事故保护系统进行了描述，并对该系统功能模块进行分解，同时根据各功能模块的特点与“六性”内容进行对应，并对系统功能从“六性”角度提出设计应重点考虑的方面。在系统设计时区别于传统“六性”分析方法，即由设备层开始的“六性”研究，再通过设备的有机组合到系统层的分析方法，直接在最初设计时针对系统功能进行“六性”相关研究，同时在设计过程中进行相应的评估、迭代，最终在满足系统功能的同时最大程度上满足“六性”相关的要求。

本文的研究成果为CFR600的系统设计提供了新的设计思路和规范的设计依据，将可靠性、安全性等融入设计过程，避免了传统的可靠性分析所造成与功能实现的偏差，对于今后的设计方法具有实际意义。