CPR1000核电站COC(失电)试验风险分析方法研究

【摘要】核电站仪控仪表失电试验（COC试验）是核电站调试有的大型联调试验，具有风险高，实施难度大，风险分析不足及控制不当极易造成重大设备损坏、机组失控等严重后果。该文通过岭对岭澳二期核电站A列125V直流系统（LBA）失电试验的介绍及后果分析，开创性的提出了开展核电站失电试验的风险分析方法，并对识别的风险编制控制预案，确保试验顺利、安全进行。实践证明，此分析方法对目前正在建造的CPR1000核电站调试具有良好的推广应用价值。

【关键词】核电站；失电试验；风险分析

引 言

控制及仪表电源失电试验（COC试验）是核电站特有的大型联调试验，试验内容覆盖核岛重要控制及仪表电源，包括核岛直流48V、125V电源系统，220V交流不间断电源系统以及少量常规岛重要直流、交流电源系统。试验失电后果几乎涵盖核电站核岛及常规岛主要系统。由于试验内容复杂、难度大、风险高，自大亚湾核电站以来，一直都由法国E.D.F.试验专家负责试验的准备、组织和实施。

本文通过对LBA系统失电分析入手，介绍岭澳二期如何开展控制及仪表电源失电试验的风险分析与控制。

1、LBA电源功能及失电后果

CPR1000项目中的LBA直流电源为核岛125VA列控制电源，其主要功能如下：

为6.6kV和380V交流配电盘提供控制电源；

为控制棒驱动机构电源系统（RAM）发电机的励磁线圈供电；

为A列停堆断路器的带电跳闸线圈和合闸线圈供电；

为RCP001-005RS稳压器电加热器提供驱动电源；

当LBA失电后，则通过以下几个方面影响机组：

反应堆紧急停堆，LBA失电引起LKA/B失电，从而导致RAM电机停运，引起控制棒下落。

LBA母线失电后触发GPA保护中LBA低电压动作，触发保护I段、II段动作，并最终导致厂用电切换。

LG*及LHA配电盘下的接触器全部跳闸，断路器或带挂钩型接触器保持原位，主控不可操作。

当LBA失电后，由于厂用电的切换及接触器型开关的跳闸，核电站除LHB外，动力电源基本丧失（LKE/D/J及LLA/C配电盘下游负荷为断路器型开关除外）。整个电站工艺设备基本从运行状态进入停运状态，因此失电试验存在较高的设备损坏和人身伤害的风险。

2、失电试验风险分析

综上所述，LBA失电后，核电站几乎丧失除LHB外所有动力电源，主泵停运，加上试验处于热试平台，堆芯无燃料，机组温度、压力控制变得异常复杂。因此，试验的风险分析和控制成为整个试验的成功的关键。

岭澳二期COC试验人员在吸取在岭澳一期E.D.F.分析方法的基础上，开创性的采用了自下而上的风险识别，即通过失电所影响的负荷分解识别试验风险。通过负荷分解便可以得到了各系统的失电后果及机组的失电影响，随后通过对各系统失电设备及相应功能丧失的角度展开风险分析。通过这种方法，就可以识别出一些采用自上而下分析中无法识别的风险【1】。

2.1自上而下的机组控制风险识别

风险1：试验误触发安注、安喷的风险

COC电试验是首次试验真实模拟机组失电事故工况下的试验，试验的不确定性较多。为确保工程的安全，对一些重大事故需要做好预防措施，避免真实发生该类事故。安注、安喷事故就是整个失电试验需要防范的重大事件。

预防措施：因此，在试验前，试验人员需要隔离安注、安喷信号，并且闭锁相关执行机构。

风险2：主泵轴封损坏的风险

LBA失电试验投运RCVA列上充泵，因此，当A列上充泵停运后，三台主泵失去轴封水，存在轴承超温、磨损及一回路冷却剂泄露风险。在岭澳一期试验采用失电后投运B列上充泵避免主泵失去轴封。若此时B列上充泵无法启动，则立即启动LSS001AP，用RIS011PO向主泵轴封供水，如果失去轴封和热屏冷却2分钟，禁止再投入轴封水。

预防措施：通过对岭澳一期的风险控制预案的分析，我们认为该方案风险仍然较高，一旦主泵轴封失败，则会造成主泵损坏，严重影响工程进度，产生不可估量的后果。因此，在岭澳二期，改为在LBA失电前投运一台B列上充泵，当A列上充泵丧失后，B列泵仍在运行，避免主泵失去轴封水。

风险3：一、二回路压差过大的风险

LBA失电后，三台主泵及5台A列加热器不可用，且试验处于热试阶段，堆芯无核燃料，一回路丧失自然循环能力。这时堆芯和蒸汽发生器（SG）温差很大。在一回路堆芯出口温度近似等于蒸发器二次侧饱和温度前提下绘制出的反映蒸发器一/二次侧压差的等压线就失去了意义，一/二回路的实际压差必须根据一/二回路的压力判断。

预防措施：因此，试验过程中当班操纵员除了监视一回路运行参数没有超出P-T运行区域图外，还要监视一/二回路的压差，以防止蒸发器一/二次侧压差超过110bar。

风险4：厂用电切换不成功的风险

LBA失电后，由于GPA保护动作，厂用电源由主变向辅变切换。在实际切换过程中，可能存在其它因素，如DCS逻辑问题导致切换不成功，导致试验无法进行。因此必须制定预案，防止该类事故的发生。

预防措施：试验前，进行断电人员应佩戴应急照明（失去LBA后电气厂房照明将丧失）及通讯设备，一旦失电后厂用电切换不成功，主控操作员在KIC手动切换。若KIC也无法实现电源切换，则就地使用试验盒现场实现就地切换。若上述方案都不成功，则立即停止LBA失电试验，恢复LBA供电，逐步恢复主变、厂变供电。

风险5：ASG流量过大，堆芯温度下降过快的风险

LBA失电后，主泵停运，三台主泵及5台A列加热器不可用，且堆芯无核燃料，一旦ASG流量过大，势必导致堆芯温度下降过快，极易使一回路运行参数超出P-T运行区域图，违反机组运行技术规范。

预防措施：试验过程中当班操纵员密切监视堆芯温度。失电后，立即关闭APG和VVP，并通过启停ASG002PO，调节ASG给水流量；

2.2自下而上的负荷分解风险识别

通过对失电后受影响的负荷入手，通过失电设备及相应功能丧失的角度展开风险分析，可发现以下风险。在完成自上而下的风险识别后，紧接着开展自下而上的负荷分解识别试验风险。

首先对LBA的负荷进行分析，将负荷分为两类：一类为无法再分解的最终用电工艺设备和仪表；另一类为可以再进行分解配电盘和配电箱。接着对配电盘和配电箱等负荷按照是否受LBA失电影响进行逐层分解，直至负荷全部为最终用电设备。最后将所有用电设备按系统代码进行归类，得到各系统的失电后果，并通过逐一分析，确定试验过程中存在的潜在风险。

风险1：设备冷却水系统（RRI）A/B列串水风险

LBA失电后，RRI041/058VN电动阀门因失电无法关闭，引起RRI A、B两列串水，若串水太多会使整个RRI功能丧失，危及机组运行安全。

预防措施：试验前手动关闭RRI041/058VN的隔离阀RRI039/060VN，避免RRI A B两列串水。

风险2：主变、厂变消防误喷风险

LBA失电后，火警探测系统（JDT）控制电源及动力电源将全部丧失，JDT气动探测两台空压机将全部停运，无法再对气动探测管网进行气压补充，随着时间推移JDT气动探测管网气压将下降（管网总是存在不同程度的泄露），当压力降到一定程度即可能触发汽机油箱消防系统（JPH）和变压器灭火系统（JPT）喷淋。

预防措施：试验开始前需要将JPT系统投手动，并安排专人现场职守，在变压器区有火情时手动启动JPT系统进行喷淋，以保证主变/厂变消防安全。试验后应等待JDT恢复正常运行且气动管网压力恢复正常值后才能对JPT相关阀门进行恢复。

风险3：常规岛循环水系统（CRF）泵被水淹没

LBA失电后将导致常规岛CRF泵坑内的电站污水系统（SEO）排水泵停运，由于LBA的恢复时间较长，将导致相关设备被水淹没。

预防措施：试验前加装临时排水泵，试验期间加强人员巡视，发现问题后立即投运临时泵排水。试验中禁止常规岛排水。

风险4：A列应急柴油机LHP在没有辅助设备情况下运行的损坏风险

LBA失电将导致380V配电盘LLG失电，该配电盘为LHP冷却电源。当LBA失电后，厂用电切换过程中，因LHA短暂导致LHP启动。由于缺少LHP风冷设备，LHP无法长时间运行。

预防措施：LBA失电后，观察到LHP启动后，主控下达停运命令后，试验人员应立即就地手动停运LHP，避免LHP损坏。

3、总结

岭澳二期COC试验是首个自主化调试的核电站失电试验，试验人员通过摸索、研究，以及自我创新，最终建立一套全新的风险识别方法，即通过采用自上而下的风险识别，从机组控制角度来进行风险识别；通过自下而上的风险识别，从失电所影响的负荷分解识别试验风险。岭澳二期3，4号机组COC试验的顺利完成证明了这套分析方法的正确性与可行性，其成功的经验也为EPR、AP1000三代核电技术COC试验的自主化实施积累了宝贵经验。