基于SOP的核电厂火灾事故处理程序的自主开发

吴广君，董 旭，吕 晓，杨自军，梅 亮

基于SOP的核电厂火灾事故处理程序的自主开发

吴广君1，董 旭2，吕 晓2，杨自军1，梅 亮1

（1. 苏州热工研究院有限公司 深圳分公司，广东 深圳 518000；2. 阳江核电有限公司，广东 阳江 529500）

核电厂火灾事故处理程序（FAIOp）是状态导向法事故处理程序（SOP）的重要组成部分。为完成阳江核电厂FAIOp开发，本文研究了SOP的基本原理和FAIOp的作用，分析研究了FAIOp的结构、主要内容、与其它程序的接口关系等。在此基础上针对阳江核电厂的现状，提出了FAIOp程序的正向开发流程，并完成了FAIOp程序开发。

核电厂；消防；火灾程序；FAIOp

火灾是核电厂发生频度较高的一类事故。美国电力科学院（EPRI）统计2009—2015年期间核电厂火灾事故发生频率达到0.29次/堆年[1]。另外，由于火灾的固有特点，火灾事故发生后，给核电机组带来的后果影响复杂而持久，例如，设备非预期动作，设备长期失效、长期失去电力等，危及核安全[2]。

美国核管会（NRC）在RG1.189中[3]，明确规定了核电厂必须开发并使用确保安全停堆的火灾后处理程序。在NUREG-1852中，给出了火灾响应操作行动的要求[4]。美国核电运行研究院（INPO），美国核能研究院（NEI）也分别给出了火灾后机组运行控制方面的程序要求[5,6]。

1993年，法国EDF公司宣布执行一系列防火改进计划（PAI）以提高运行机组的安全水平。在火灾事故应对方面，EDF开发了基于状态导向法事故处理程序（SOP）的火灾事故处理程序（FAIOp）。

我国百万千瓦级压水堆核电CPR1000机组在核电厂消防设计、运行管理及火灾事故处理方面借鉴了法国EDF公司的先进经验[7]。阳江核电厂1，2号机组以岭澳核电厂（二期）为参考技术方案，但在火灾事故处理程序方面却因为电气、仪控布置的一些差别而不能简单移植。需要正向开展基于火灾防火分区的火灾危害性分析[8]，火灾后果分析及火灾薄弱环节分析[9,10]。

火灾薄弱环节分析虽然保证了安全功能不丧失，但是，考虑到火灾情况下会引起大量的NSSS功能不可用，报警指示丧失或误触发报警和仪表失效信息会干扰操纵员对机组状态的判断，若操纵员诊断错误而导向到不恰当的规程去干预，将可能导致机组状态的更加恶化。因此需要设计针对火灾的火灾事故处理程序作为事故程序的补充，用于管理火灾可能产生的重要功能失效从而导致机组状态的恶化[8]。

本文基于火灾后果分析的结果，深入研究了FAIOp程序结构、执行原则、FAIOp与其它程序的接口关系等特征要素，在此基础上自主开发了阳江核电厂1号，2号机组的FAIOp，并总结提炼FAIOp开发应用的良好实践，可为其它相似核电机组提供参考。

1　状态导向法事故程序（SOP）简介

以状态为导向的SOP事故程序[11,12]就是建立在连续监测机组核蒸汽供应系统NSSS（Nuclear Steam Supply System）的六个基本状态参数变化的基础之上，对于不同的运行状态，采取不同的措施使机组达到安全状态。六个状态参数分别为反应堆次临界度、一回路水装量、一回路压力和温度、蒸汽发生器水装量、蒸汽发生器完整性以及安全壳完整性。根据这六个状态参数的恶化程度而导向到不同的事故处理序列，不再以具体的事故为导向；当执行完一个事故处理序列后，通过对机组状态，包括状态参数及重要设备及支持功能“定期监测”和“再诊断”导向到其他事故处理序列或重新执行该序列（如果序列的功能目标没有实现），或导向到其他程序处理，直至机组达到安全状态。SOP是一个以状态参数为导向的“闭环”结构的事故处理过程。其结构如图1所示。

图1 SOP程序结构示意图

2　基于SOP的火灾事故处理程序设计

FAIOp在SOP总体框架下开发和使用。FAIOp作为SOP的一个组成部分，既有其自身相对独立的结构和内容，也需考虑与SOP主程序的接口和调用关系。

2.1　火警响应

火灾发生后，通过火灾与火警响应程序（DOIS）进行火灾监控与确认、消防灭火、启动应急干预队并判断是否为FAIOp范围内的火灾，来决定是否需要进入SOP（火灾初因事件）或提醒操纵员有适用的FAIOp（叠加事件）。发生火灾的防火分区，进入相应的火灾操作单（RFI）。并非核电厂内发生的任何火灾都要执行火灾操作单，仅在火灾后果会给机组安全运行带来威胁和困扰的区域（部分安全防火空间）发生火灾，才需要执行火灾操作单。

2.2　火灾操作单的结构和内容

每一个具体的防火空间的火灾操作单基本结构如图2所示。

图2 火灾操作单结构示意图

（1）初始定向

进入火灾操作单（RFI）后，首先执行初始定向，其目的是为了识别火灾确认时机组状态，以便选择是否全部执行RFI还是仅仅部分执行RFI。

（2）预期动作

执行预期动作的主要目的为允许操纵员在执行电源切断程序之前按要求设置机组状态，并及时操作机组向指定的后撤模式撤退。

（3）电源切断程序

电源切断程序及预期动作的目的是要明确 NSSS的工况，从而限制设备意外动作的风险。

（4）不可用功能记录

NSSS功能和支持功能可能由于火灾、预期动作或电源切断操作等导致不可用，在FAIOp中提供不可用的功能清单给操纵员提供参考，执行ECP主程序时不需要再尝试投运这些功能，从而优化SOP事故处理策略，提高SOP的运行效率。

（5）后撤模式

如果被FAIOp覆盖的防火分区发生火灾，其后撤模式是考虑了不可用的设备之后，机组可达到并维持的最高安全水平状态。

（6）受影响的执行SOP所必需的信息

在FAIOp中包括“机组状态导向所需的信息”和“执行事件序列所需的信息”两部分内容，其目的是优化火灾情形SOP的执行路径，确保SOP执行时导向到合适的事故序列。

（7）其他不可用的设备信息

这里收集并罗列其他受火灾影响而失去的重要设备信息使操纵员可以更详细的了解火灾造成设备不可用的详细信息，对机组的整体状态有全盘的理解和判断。

2.3　FAIOp程序执行原则

火灾得到确认后，根据机组所处状态情况，操纵员或者完全执行FAIOp，或者只是执行FAIOp中的“可能受影响的执行SOP所必需的信息”部分。确认火灾后的任何情况下，该部分都要执行，以确保有可用的信息、可靠的信息支持机组的状态诊断。

只有当机组状态未恶化，或安全注入已停止等工况下，FAIOp完全执行；在有安全注入或机组处于事故状态下，FAIOp部分执行。

2.4　FAIOp与SOP的接口

FAIOp作为SOP体系的组成部分，相对独立于SOP主程序，并通过接口关系在主程序中调用，FAIOp与SOP主程序之间的接口主要有：

（1）火灾始发事件时的导向：火灾作为SOP的入口条件，火灾确认后即进入DOS；

（2）火灾作为叠加事件时的监测：诊断和监测、火灾触发安注（包括火灾破坏相关仪表触发的误安注或火灾导致热工水力事故后触发的真实安注）的处理等。

3　阳江核电厂火灾事故处理程序开发良好实践

阳江核电厂1，2机组采用正向设计的技术路线，从消防设计，电缆数据分析开始，基于设计阶段的成果，开展火灾共模分析、后果分析、FAIOp导则设计复核并最终完成FAIOp程序设计。此外，为保证消防相关设施和组件的可用性，还专门研究制定了消防设备运行技术规范及防火部件检查大纲。详细工作过程如图3所示。

图3 阳江核电厂火灾事故处理程序设计流程

3.1　电缆数据分析

电缆数据分析的方法是根据阳江核电厂1号、2号机组电缆清册、敷设图纸、托盘布置图、改造清单整理出“电缆—防火区”关系的电缆数据库。将数据分为“电缆—桥架（桥架、托盘、孔洞等）”、“桥架—房间”、“房间—防火区”三层关系匹配后，得到“电缆—桥架—房间—防火区”的关系。该数据是火灾后果分析的输入。

3.2　火灾共模分析复核

火灾共模分析又称火灾薄弱环节分析，其目的是确保火灾情况下防火空间（SFV）内的安全功能可用，即识别出SFV内存在的火灾共模点，并核实在火灾损坏该共模点的情况下，SFV内的安全功能是否受影响[13]。

如果安全功能受影响，那么相应的火灾共模点被确认。对确认的火灾共模点进行火灾风险分析，根据可燃物与共模点的空间位置关系判断共模点是否一定受火灾影响而失效。对于受影响的共模点，则需采取相应的保护措施。

以电缆和设备信息为基础，按火灾共模分析的流程对阳江核电厂1号、2号机组核岛及安全级BOP厂房SFV已有的火灾共模分析进行复核，包括：

（1）SFV基本信息；

（2）潜在共模点识别；

（3）火灾风险分析；

（4）功能分析；

（5）共模点确认结论；

（6）改造或保护建议。

3.3　火灾后果分析复核

火灾后果分析对特定安全防火空间（SFV）的火灾进行功能性后果分析，分析结果形成火灾后果分析表（FACI）[14,15]，是FAIOp设计的必要输入文件。火灾后果分析主要是从事件和事故运行的角度考虑某一个安全防火空间发生火灾将会导致的后果，同时判断哪些防火空间需要编制FAIOp。

对已有FACI进行复核，尤其是考虑机组热试之后的变更以及机组运行之后的工艺改造等对SFV内火灾后果的影响，是编制阳江核电厂1号、2号机FAIOp的重要输入和必要条件。

以电缆和设备信息为基础，按火灾后果分析的流程对阳江核电厂1号、2号机组核岛及安全级BOP厂房SFV的火灾后果分析进行复核，包括：

（1）不可用的NSSS功能；

（2）不可用的支持功能；

（3）可能受影响的执行SOP所必需的信息；

（4）功能分析；

（5）该SFV是否应纳入FAIOp的判断结论；

（6）其他不可用的设备。

3.4　火灾事故导则复核

根据火灾后果影响分析的结果对FAIOp导则进行复核，复核的内容包括：FAIOp进入准则分析复核、FAIOp事故策略复核、预期行动复核、电源切除程序复核、不可用功能和报警复核、机组状态导向所需信息复核、其他不可用设备信息复核。

3.5　FAIOp程序验证及生效

FAIOp程序的验证与生效是保证FAIOp程序可用的重要步骤。FAIOp程序的验证是指检查程序与上游文件、规范要求的一致性，通常包括技术及相关信息的正确性。生效是指独立于程序设计方的第三方，检查确认程序与电厂需求相符性、可操作性等。

（1） FAIOp程序的验证

FAIOp程序的验证一般由程序编写方内部实施。验证的方法通常包括：文件审查、技术评审、现场查勘验证等。

（2） FAIOp程序的生效

由于火灾事故的特殊性，FAIOp程序的生效和其他SOP程序（如失电程序）的生效方法略有不同，即通常不考虑在实际机组上模拟一个火灾事故进行生效。其生效方法通常包括桌面推演和模拟机验证两种方法。

桌面推演和模拟机验证，都是假想发生火灾事故时，执行相应的火灾操作单，以确认相应的操作逻辑、操作内容、程序接口、操纵员任务分工等的合理性、可操作性等。

阳江核电厂1、2号机组的FAIOp程序经过了桌面推演验证，火灾操作单调用的现场操作单经过了现场查勘验证。

4　结论

本文研究了FAIOp结构内容，以及与SOP主程序的接口关系，并在此基础上，针对阳江核电厂的现状，提出了正向设计逻辑的FAIOp开发流程，并完成了FAIOp程序的开发，为CPR1000其他机组的FAIOp开发提供了有价值的参考。

通过该项目完成了火灾共模分析复核、火灾后果分析复核、FAIOp导则复核、FAIOp设计等工作，从火灾预防、灭火及火灾事故后缓解行动等多个层面提升了核电厂应对火灾事故的能力。

［1］ Electric Power Research Institute. United States Fire Event Experience Through 2009：EPRI3002002936［R］．U.S：EPRI，2015.

［2］ 胡亚蕾．核电防火［J］．科技创新导报，2010（11）：216.

［3］ Nuclear Regulatory Commission. Fire protection for Nuclear Power Plants：RG1.189［R］．NRC，2009.

［4］ Nuclear Regulatory Commission. Demonstrating the Feasibility and Reliability of Operator Manual Actions in Response to Fire：NUREG-1852［R］．NRC，2007.

［5］ Institute of Nuclear Power Operation. Guideline for Excellence in Fire Protection Program Implementation：INPO 11-004［R］．INPO，2011.

［6］ Nuclear Energy Institute. Guidance for Post Fire Safe Shutdown Circuit Analysis：NEI-00-01，Rev 4［R］．NEI，2016.

［7］ 梁博，胡岩，甘培江．EPR与CPR1000防火设计差异比较分析［J］．发电设备，2013（6）：396-400.

［8］ 王振营，任兆鹰，刘玉华．CPR1000核电厂火灾安全设计［J］．大亚湾核电，2014（4）：48-51.

［9］ 余银辉，孙炜，王闯，等．核电厂火灾薄弱环节的研究与应用［J］．核安全，2014（4）：56-60.

［10］刘稳产，杨林，关书威．基于防火薄弱分析的核电厂防火设计基准研究及应用［J］．四川建筑科学研究，2015（2）：263-268.

［11］张锦浙．状态导向法事故处理程序［J］．大亚湾核电，2007（4）：45-48.

［12］吴广君，刘玉华，刘志云．SOP（状态导向法事故规程）在我国核电厂中的应用［J］．能源工程，2011，1：21-24.

［13］杨林，李光明．基于非能动的火灾共模保护原则［J］．消防科学与技术，2008，27（1）：21-24.

［14］祝赫，任兆鹰，金晓宏．CPR1000 核电厂火灾功能分析方法研究［J］．核动力工程，2011（32）119-123.

［15］任兆鹰，祝赫，金晓宏．CPR1000 核电厂非能动防火保护的工程应用［J］．大亚湾核电，2012（3）：54-57.

The Development of Fire Action Instruction for Operator Based on State Orientation Procedures

WU Guangjun1，DONG Xu2，LV Xiao2，YANG Zijun1，MEI Liang1

（1. Suzhou nuclear power research institute，Shenzhen of Guangdong Prov.，518000，China；2. Yangjiang Nuclear Power Co.ltd.，Yangjiang of Guangdong Prov.，529500，China）

Fire Action Instruction for Operator (FAIOp)are operating procedures, in addition to SOP (State Orientation Procedures), used to reach a safe shutdown state in case of a confirmed fire in a SFV (Safety Fire Volume) in specific operating conditions. For the purpose of developing the FAIOp for Yangjiang NPP, the structure, contents, interface with other procedures are studied, and a developing process is identified considering the state-of-art of Yangjiang NPP fire protection design. Following the process, a batch of FAIOp is developed.

Nuclear power plant; fire fighting; Fire procedures; FAIOp

TL334

A

0258-0918（2021）06-1195-06

2020-10-15

吴广君（1978—），女，高级工程师，硕士，现主要从事核电厂运行技术研究