一种核电厂支持系统不可用时安全功能鉴定方法与流程

本发明涉及核电厂运行技术领域，具体涉及一种核电厂支持系统不可用时安全功能鉴定方法。

背景技术：

核电厂运行技术规范规定了我国核安全法规(had103/01)要求的、电厂要满足的运行限制条件(lco，limitingconditionforoperation)，包括安全限值，保护阈值的整定值，正常运行限值和条件，以及上述lco中包含的可用性要求未得到满足时所采取的措施。严格遵守运行技术规范(ts，technicalspecification)所规定的技术准则是保证电厂在其整个寿期内安全的最低技术规则。

lco中包括一系列执行安全功能的系统，如安全注入系统、安全壳喷淋系统等，除此之外还包括驱动仪表(辐射监测仪表、事故后监测仪表、安全壳隔离信号等)、电源(交流电源、应急柴油发电机、蓄电池、逆变器、配电系统)等支持系统。

一般地，支持系统相关的lco不可用时，对应的被支持系统的lco也将导致不可用，此时除了执行支持系统相关的lco不可用的措施外，针对被支持系统是否需要采取特定的措施，目前尚缺少明确、统一的规定，考虑到其他系统可能同时不可用，存在安全功能丧失的风险，因此本领域亟待设计一种在核电厂支持系统不可用时能够实现安全功能鉴定的技术方案。

技术实现要素：

为了至少部分解决现有技术中存在的技术问题而完成了本发明。

解决本发明技术问题所采用的技术方案是：

本发明提供一种种核电厂支持系统不可用时安全功能鉴定方法，其包括如下步骤：

1)建立lco支持矩阵；

2)判定安全功能丧失情况；

3)执行支持系统不可用时的执行策略；

4)根据预先设定的最大允许停役时间，对各lco的不可用时间进行限制。

可选地，所述步骤1)具体为：

对各lco间支持系统与被支持系统的关系进行梳理，并建立lco支持矩阵。

可选地，所述步骤2)具体为：

若系统y的一列不可用，则满足如下任一条件即认为出现安全功能丧失：

21)系统y的冗余列不可用；

22)系统y下游的被支持系统z的冗余列不可用；

23)系统y上游的支持系统x的冗余列不可用；

其中，系统y既作为支持系统，以支持其下游的被支持系统z运行，又作为被支持系统，以在其上游的支持系统x的支持下运行。

可选地，在判定某一系统的一列是否可用时，先根据系统可用性判定方法进行可用性判定，再进行安全功能丧失的判定。

可选地，在判定某一系统的一列是否可用时，需进一步判定该系统的功能不可用或是降级，若判定该系统的功能不可用，则判定该系统的一列不可用，若判定该系统的功能降级，则判定该系统的一列可用。

可选地，所述步骤3)具体为：

在某一支持系统中任一设备不可用时，按照如下方法执行：

31)根据系统可用性判定方法，确定该支持系统的可用性情况；

32)若该支持系统的一列不可用，则根据lco支持矩阵确定其上游支持系统与下游被支持系统的可用情况；

33)执行交叉列检查，确定任一安全系统功能的可用性；

34)判断任一安全系统功能是否完全丧失，

若任一安全系统功能完全丧失，则执行相应的措施；

若没有安全系统功能完全丧失，则仅执行该支持系统不可用的措施，而无需执行其下游被支持系统不可用的措施。

可选地，在只有支持系统不可用的情况下，不需要执行其被支持系统不可用的措施。

可选地，所述步骤4)具体为：

a41.若某一支持系统x不可用导致进入lcox1，则开始计时，且lcox1的初始时间节点记为t0，对应的修复完成时间记为tx1；

a42.根据lco支持矩阵，确认被支持lcoy不可用时的修复完成时间，记为ty，且tmost＝tx1+ty，其中tmost为被支持lcoy由于上游各种支持系统不可用时的最大允许停役时间；

a43.在t0+t时刻，若此时发生lcox2不可用，导致被支持lcoy不可用，而lcox2不可用时的修复完成时间记为tx2，则t0+t时刻被支持系统y的允许停役时间为(ty+tx2-t)与(ty+tx1-t)之间的最小者；

a44.在t0+t时刻，若此时lcoy出现非被支持系统导致的不可用，则t0+t时刻被支持系统y的允许停役时间为(tx1+ty-t)和ty之间的最小者；

上述步骤a41至a44中所述的不可用均针对同一列，且均为一列不可用。

可选地，所述步骤4)具体为：

b41.在t0时刻，若某一被支持系统y不可用导致进入lcoy，对应的修复完成时间记为ty，则无论被支持系统y是否还存在其他支持系统x的不可用，被支持系统y都要在ty时间内完成修复；

b42.若被支持系统y在恢复不可用的过程中，在t0+t时刻，同时发生支持系统x不可用，对应的修复完成时间记为tx，则tmost＝tx+ty，其中tmost为被支持系统y不可用时的最大允许停役时间，但是t0+t时刻tmost对被支持系统y不适用；

b43.若在t0+t+tt时刻被支持系统y完成修复，则此时tmost针对被支持系统y生效，此时被支持系统y的允许停役时间为(tx+ty-tt)。

有益效果：

1)本发明通过梳理支持系统、被支持系统，并建立lco支持矩阵，明确了支持系统、被支持系统相互支持关系，为后续交叉列检查等提供了基础，便于快速检查安全功能丧失情况；

2)本发明通过交叉列检查，快速确认安全功能完整性，避免安全功能完全丧失，避免机组安全性能降级；

3)本发明通过支持系统不可用时的执行策略，一方面能在识别到安全功能丧失时立刻采取停堆等措施，避免机组安全降级；另一方面也能在只有支持系统不可用时，仅执行支持系统的相关措施，而无需执行被支持系统不可用的措施，提高了机组运行灵活性；

4)本发明通过设定最大允许停役时间，避免了被支持系统长期停役，提高了机组运行安全性；

5)本发明通过采用上述技术方案，首次明确了支持系统不可用时的执行方法，方法科学、高效，可指导核电厂安全、稳定运行，对提高核电厂核安全监管水平有积极的现实意义。

附图说明

图1为本发明实施例提供的核电厂支持系统不可用时安全功能鉴定方法的流程图；

图2为本发明实施例提供的lco的一个支持矩阵样例图之一；

图3为本发明实施例提供的lco的一个支持矩阵样例图之二。

具体实施方式

为使本领域技术人员更好地理解本发明的技术方案，下面结合附图和实施例对本发明作进一步详细描述。

本发明实施例提供一种核电厂支持系统不可用时安全功能鉴定方法，能够在ts(运行技术规范)中涉及的支持系统不可用时进行安全功能鉴定，以明确支持系统不可用对安全功能的影响(即评价安全功能是否丧失)，是否需要以及如何采用相应的纠正措施。

本实施例中，假设安全系统的系统容量为2×100％，两列互为冗余，相关方法可同理推广至其他类似设计(如3×100％、4×100％)。

如图1所示，所述安全功能鉴定方法包括如下步骤s100至s400。

s100.建立lco支持矩阵。其中，lco为电厂要满足的运行限制条件。

为了明确安全功能的丧失情况，首先需要对各lco间支持、被支持系统的关系进行梳理，建立lco支持矩阵。

支持-被支持系统主要关系网络包括如下类别：

·水箱→注入系统

·闸门→安全壳系统

·驱动仪表→被驱动设备

·冷源→被冷却设备

·应急柴油发电机辅助支持系统→应急柴油发电机→下游配电盘→下游负荷

在上述工作的基础上，建立lco支持矩阵，样例如下：

因此，步骤s100具体为：对各lco间支持系统与被支持系统的关系进行梳理，并建立lco支持矩阵。

本实施例中，通过梳理支持系统、被支持系统，并建立lco支持矩阵，明确了支持系统、被支持系统相互支持关系，为后续交叉列检查等提供了基础，便于快速检查安全功能丧失情况。

s200.判定安全功能丧失情况。

步骤s200具体为：

若系统y的一列不可用，则满足如下任一条件即认为出现安全功能丧失：

21)系统y的冗余列不可用；

22)系统y下游的被支持系统z的冗余列不可用；

23)系统y上游的支持系统x的冗余列不可用；

其中，系统y既作为支持系统，以支持其下游的被支持系统z运行，又作为被支持系统，以在其上游的支持系统x的支持下运行。换言之，系统x位于系统y上游，系统y位于系统z上游，则系统x相对于系统y为支持系统，系统y相对于系统z为支持系统，而系统y相对于系统x为被支持系统，系统z相对于系统y为被支持系统。

上述21)、22)和23)这三种情况分别对应系统y、z、x互为冗余的两列安全功能完全丧失，通过此种交叉列检查，可以快速确认安全功能完整性，保证系统安全功能完全丧失时及时得以确认，避免安全功能完全丧失，避免机组安全性能降级。

此外，在判定某一系统(如上述系统x、系统y和系统z中的任一个)的一列是否可用时，先根据系统可用性判定方法进行可用性判定，再进行安全功能丧失的判定。

而且，在判定某一系统(如上述系统x、系统y和系统z中的任一个)的一列是否可用时，需进一步判定该系统的功能不可用或是降级，若判定该系统的功能不可用，则判定该系统的一列不可用，若判定该系统的功能降级，则判定该系统的一列可用。

如此设定的原因在于，并非任一设备不可用都导致其系统功能不可用，也可能仅导致系统功能降级，通过此设定避免在系统降级(但要求的功能仍然可用)时，不必要的进入安全功能鉴定流程。

s300.执行支持系统不可用时的执行策略。

步骤s300具体为：

为了兼顾安全性与运行的便利性，在某一支持系统(如上述系统x、系统y和系统z中的任一个)中任一设备不可用时，按照如下方法执行：

31)根据系统可用性判定方法，确定该支持系统的可用性情况；

32)若该支持系统的一列不可用，则根据lco支持矩阵确定其上游支持系统与下游被支持系统的可用情况；

33)执行交叉列检查，确定任一安全系统功能的可用性；

34)判断任一安全系统功能是否完全丧失，

若任一安全系统功能完全丧失，则执行相应的措施，一般为立即停堆；

若没有安全系统功能完全丧失，则仅执行该支持系统不可用的措施，而无需执行其下游被支持系统不可用的措施，除非在lco中有特殊规定。

此外，在步骤s300中，在只有支持系统不可用的情况下，不需要执行其被支持系统不可用的措施(包括相应的限期修复等要求)。

本实施例中，通过支持系统不可用时的执行策略，一方面能在识别到安全功能丧失时立刻采取停堆等措施，避免机组安全降级；另一方面也能在只有支持系统不可用时，仅执行支持系统的相关措施，而无需执行被支持系统不可用的措施，提高了机组运行灵活性。

s400.根据预先设定的最大允许停役时间tmost，对各lco的不可用时间进行限制。

为了限制修复完成时间不必要的延长，需要对各lco的不可用时间进行限制。

作为本实施例的一种具体实施方式，步骤s400具体为：

a41.若某一支持系统x不可用导致进入lcox1，则开始计时，且lcox1的初始时间节点记为t0，对应的修复完成时间记为tx1；

a42.根据lco支持矩阵，确认被支持lcoy不可用时的修复完成时间，记为ty，且tmost＝tx1+ty，其中tmost为被支持lcoy由于上游各种支持系统不可用时的最大允许停役时间；

a43.在t0+t时刻，若此时发生lcox2不可用，导致被支持lcoy不可用，而lcox2不可用时的修复完成时间记为tx2，则t0+t时刻被支持系统y的允许停役时间为(ty+tx2-t)与(ty+tx1-t)之间的最小者；

a44.在t0+t时刻，若此时lcoy出现非被支持系统导致的不可用，保守起见，t0+t时刻被支持系统y的允许停役时间为(tx1+ty-t)和ty之间的最小者。

上述步骤a41至a44中所述的不可用均针对同一列，例如同为a列或同为b列，且均为一列不可用。

作为本实施例的另一种具体实施方式，步骤s400具体为：

b41.在t0时刻，若某一被支持系统y不可用导致进入lcoy，对应的修复完成时间记为ty，则无论被支持系统y是否还存在其他支持系统x的不可用，被支持系统y都要在ty时间内完成修复(被支持系统y的不可用不是由于其他被支持系统导致的，tmost不适用)；

b42.若被支持系统y在恢复不可用的过程中，在t0+t时刻，同时发生支持系统x不可用，对应的修复完成时间为tx，则tmost＝tx+ty，其中tmost为被支持系统y不可用时的最大允许停役时间，但是t0+t时刻tmost对被支持系统y不适用；

b43.若在t0+t+tt时刻被支持系统y完成修复，则此时tmost针对被支持系统y生效，此时被支持系统y的允许停役时间为(tx+ty-tt)。

由于理论上被支持系统可以无限期停役，而通过设定最大允许停役时间tmost，避免了被支持系统长期停役，限制了修复完成时间不必要的延长，提高了机组运行安全性。

需要说明的是，本发明中出现的系统x、系统y和系统z仅是为了说明本发明所采用的技术方案而采用的示意性系统名称，并非指代特定的系统，本领域技术人员可根据实际情况来决定系统x、系统y和系统z具体指代的系统。

下面结合图2和图3，以lco的一个支持矩阵样例为例，详细描述本发明所述安全功能鉴定方法。

(1.1)t0时刻：

应急柴油机(lhp)系统a列不可用，造成设备冷却水(rri)系统、安全注入系统(ris)、安全壳喷淋系统(eas)系统的a列同时不可用，相应的lhp/rri/ris/eas系统修复完成时间(即允许停役时间)均为72小时。

此时没有其他系统不可用，执行lhp的a列不可用的措施(不要求执行系统rri/ris/eas的不可用措施)；同时计算系统rri/ris/eas的最大允许停役时间tmost＝144小时。

(1.2)若发生其他不可用情况，则根据不可用的情况确定进一步的措施：

a)在t0+20h(小时)：

eas的b列由于其他故障导致不可用，核查lco支持矩阵，判定eas功能完全丧失，执行eas完全不可用时的措施，即机组立即停堆并在6小时内后撤至热停堆。

或者，

b)在t0+20h：

eas的a列由于其他故障导致不可用，此时eas的允许停役时间取72h和tmost-20h(即124h)之间的最小值，即72h。

ris系统剩余的允许停役时间为124h。

或者，

c)在t0+20h：

rri系统a列不可用，此时eas&ris由于rri&lhp导致不可用；由于rri的完成时间也是72小时，针对eas&ris的tmost维持不变，eas&ris的剩余允许停役时间为124h。

由于rri自身不可用，rri的剩余允许停役时间为72h。

(2)针对被支持系统不可用随后支持系统不可用的情况：

a)在t0时刻

安全壳喷淋系统(eas)系统a列不可用导致进入lco3.6.6，开始计时，要求在72h内完成修复。由于是eas系统本身的故障，因此tmost不适用。

b)在t0+48h

eas维修过程中，同时发生一台应急柴油机不可用，进入lco3.8.3，柴油机的维修期限为72h，此时eas的tmost为144h，但是tmost此时对eas系统不适用

c)在t0+48h+12h

eas系统恢复可用同时应急柴油机不可用，由于上游支持系统不可用导致eas不可用，此时eas的tmost生效，eas系统剩余允许停役时间为132h。

综上所述，本发明提供的安全功能鉴定方法，通过采用上述技术方案，首次明确了支持系统不可用时的执行方法，方法科学、高效，可指导核电厂安全、稳定运行，对提高核电厂核安全监管水平有积极的现实意义，还为运行技术规格书(ts)的执行提供了参考与依据，避免无法识别安全功能丧失的情况，提高了机组运行安全性。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。