Supervision and Management of Important Non-safety Related Systems in AP1000 NPP

金湘，缪亚民

（三门核电有限公司，浙江 三门 317112）

      摘要：AP1000核电厂采用了非能动安全设计，电厂中的能动系统均为非安全相关系统。其非安全相关系统中包含有一些对电厂安全有重要贡南的系统，对这些非安全相关系统的监督、管理要求与传统的对非安全相关系统的管理要求有所不同。讨论这些对安全有重要贡献的非安全相关系统的监督管理措施，以保证这些系统的可靠性和可用性。

关键词：AP1000 NPP adopts passive safety design, and its active systems are non-safety related. However the non-safety related systems contain some systems important to safet.The supervision and management of these non-safety related systems ate different from that for conventional MPP. This paper discusses the supervision and management measutes of these non-safety related systems which are important to safety, to ensure the reliability and availability of them.
Key words: Nuclear power plant; passive features; Non-safety related system; Supervision;Management.

      从上世纪90年代起，为消除美国三哩岛、苏联切尔诺贝利核电厂严重事故的负面影响，全球核电业界集中力量对核电安全可靠性进行了研究攻关，美国和欧洲先后开发出以“稑是轻水堆”（ALWR）为主要特征的第三代核电技术。第三代核电技术具有更加安全、更加经济、核废料减少等优点，目前在世界上也是刚刚起步。经过多方面的评审论证，中国决定引进被称为最选进的第三代核电技术的美国西层公司的AP1000设计，并将在浙江三门建设世界首座AP1000核电厂。

      AP1000设计包含了许多现有核电厂没有的设计特征，其中最重要的是全面彩用了非能动安全系统。了解AP1000核电技术与国内已较好常握的第二代或三代加压水堆核电技术的差异，将有助于更好地掌握AP1000技术，以建设和运行好这种新型核电厂。

      1.  AP1000的非能动安全设计

      在现有核电厂和改进型先进轻水堆中，许多安全相关系统设计为能动系统。与这些核电厂设计不同，AP1000选压水堆的设计全面采用非能动安全系统来缓解事故。非能动安全系统执行安注、余热导出以及安全壳冷却功能，其驱动全部依赖于自然力，包括重力、自然循环、对流以及贮存的能量。这些系统中没有泵类设备，阀门是仅需电池供电的气动阀或利用压差的止回阀，并且除有限的提供安全相关隔离功能（如安全壳隔离）的系统外，所有能动系统设计均为非安全相关。

      此外，AP1000的设计也包括了一些用于提供电厂安全纵深防御的反衣应堆冷却齐补充和误变热导出的非安全相关的能动系统。这些系统在电厂发生瞬态和非正常波动时作为第一道防线，避免非能动安全系统不必要的频敏动作，减轻对非能动系统的压力。美国电力研究院（EPRI）编制的ALWR用户要求文件（URD）的设计原则之一就是，要求不需要操纵员的行动或场外支持，由非能动垵全系统在设计基准事件后72H内热行其安全系统（能动系统）给安全系统提供补给或直接承担堆芯和安全壳热量导出的功能。按照URD的要求，可能用来提供纵深防御能力的能系统包括：化容控制系统、反应堆停堆冷却系统和备用给水系统、燃料水池冷却和净化系统，以及支持这些系统运行的有关系统和结构，包括非安全级的备用柴油发电机、设备冷却水系统。APl000还有一些其他的能动非安全相关系统，如为仪表和控制盘柜间和主控室提供热量导出功能的空调系统。

      考虑到ALWR电厂的这种非能动设计特性，为了能够满足电厂的安全和投资目标，URD要求设计单位在标准设计中特别确定电厂安全纵深防御所依赖的能动非安全相关系统。

2  APl000核电厂中对安全有重要贡献的非安全相关系统

      由于APl000的非能动安全系统不需要大规模的能动支持系统(例如，安全级的交流电源、暖通空调、冷却水以及放置这些部件的抗震厂房)，因此，这些能动支持系统不再必须是安全级的，它们要么被简化，要么被完全取消，这也成为非能动先进轻水堆APl000的优势之一。然而由于有限的运行经验和非能动安全系统较低的驱动能力，非能动系统并非在所有方面都经过了验证。由于驱动非能动系统的自然力与需其克服的阻力在数量级上的接近，使非能动系统在物理失效上存在固有的不确定性。以止回阀为例，自然循环或重力安注可能不足以使粘结的止回阀开启，而现有核电厂的应急堆芯冷却系统由泵提供的压力却完全可以克服粘结问题。

      非能动安全系统的这些不确定因素使得人们更加重视为其提供纵深防御功能的能动非安全相关系统。NRC和EPRI认为，虽然并不要求这些非安全相关系统满足所有对安全相关系统所要求的准则，但对非能动先进压水堆电厂的这些能动系统，应进行恰当的管理监督，以尽可能保证对安全有重要贡献的能动系统在需要时可用。

      上世纪80年代末，当西屋公司还在设计AP600时，NRC就开始探讨管理当局应当如何对待这些非安全相关系统的问题，并且着手制定管理当局对这些能动非安全系统的管理办法(RTNSS)，规定其涵盖范围及接收准则，以保证这些能动系统在需要时具备充分的能力和可用性。

      (1)  EPRI在URD中要求，设计方要规定对安全有重要贡献的结构、系统和部件(SSC)在可靠性和可用性方面承担的功能，从而满足管理要求并可与安全目标相比较；

      (2)要求设计者规定对安全有重要贡献的SSC所承担的可靠性和可用性使命；

      (3)  如果确定能动系统对安全有重要贡献，则NRC将审查其可靠和可用性使命是否充分，并审查运行阶段的可靠性保证活动或简单的技术规格书和运行限制条件是否足以合理地保证这些使命可以实现；

      (4)如果依赖能动系统满足其承担的可靠和可用性使命，则设计方将采用与风险性影响相适应的设计要求；

      (5)  尽管NRC在设计证书评审准则中并不明确规定对安全有重要贡献的SSC的可靠1生和可用性使命，但有对安全和非安全相关设计特性的确定性要求。最后，根据三级概率风险分析(PRA)确定对安全有重要贡献的非安全相关系统的特性，并进行焦点概率风险分析以确定各种能动系统在保证满足安全目标方面的重要性，从而确定对风险有重要影响的SSC、它们的可靠和可用性使命以及管理当局的监管要求。

      RTNSS适用于很多非安全相关但执行对风险有重要影响功能的SSC。设计方按照以下准则确定这些SSC的范围：

      (1)需依靠其功能以满足设计基准确定的安全性能要求；

      (2)需依靠其功能处理长期安全(始发事件72h后)和地震事件； 

      (3)需依靠其功能在功率运行和停堆条件下满足规定的安全目标，即：堆芯损坏频率低于10—4／堆•年，大规模放射性释放低于10—6／堆•年；

      (4)需依靠其功能以满足安全壳的性能，包括在严重事故期间的安全壳旁路；

      (5)  需依靠其功能防止重大的系统互扰。

      设计者通过概率风险分析、系统互扰研究，选择重要的非安全相关系统，根据其功能可靠和可用性使命建立分级的要求。

      另—方面，这些对安全有重要贡献的非安全SSC能够减少非能动安全系统的启动，并且可以防止和减轻严重事故的后果，因此保证其可靠性和可用性对于保护核电厂的巨大投资具有重要意义。

3  安全法规的RTNSS要求

      当前的核安全法规重点关注安全相关SSC，而非安全相关SSC一般采用通用的工业标准。然而，因为APl000核电厂中对安全有重要贡献的非安全相关SSC的特殊性，在APl000的设计控制文件(DCD)“质量保证”一章中专门列出了对这些SSC的质量保证要求，并且得到了NRC的审查认可。这些列出的质量保证要求既不同于传统的对安全相关SSC的质量保证要求，也不同于对非安全相关SSC的质量保证要求。

      由于至今尚未有APl000机组开始建设，现有的法规和工程实践尚未完全覆盖这种新设计理念堆型的各个方面。到目前为止，NRC只在其发布的《核电厂安全分析报告的标准审查计划》(NUREG-0800)“质量保证”一章中首次明确NRC必须审查确认执照申请者的质量保证大纲中规定了对安全有重要贡献的非安全相关SSC的质量保证要求，并明确了具体的要求。这是目前唯一规定对安全有重要贡献的非安全SSC要求的官方文件。
      在中国第三代核电依托项目合同谈判过程中，中方质保组谈判人员特别关注APl000技术的质保分级要求及RTNSS事项的处理方法，然而却一直未能找到相应的法规文件，最后经跟踪确队，NUREG-0800“质量保证”一章严式版在2007年3月才颁布。中方随即提出在APl000供应合同质保要求附件中引用NUREG-0800文件，并要求供应商在合同中承诺这些SSC将满足此文件规定的要求。事实上，NUREG-0800中规定的质量要求直接引用自西屋DCD的对应章节，其中规定的质量要求与NRC法规10CFRS0附录B《核电厂和燃料后处理厂质量保证准则》中的18条准则一一对应，但每条的要求均低于作为美国联邦行政法典(CFR)的该准则中的核质量保证要求。

4  APl000的设计分级考虑

      针对核电厂结构、系统或部件安全、质量和抗震要求程度的不同，APl000的设计者设置了安全级、质量组、抗震类别及适用法规标准的APl000分级体系。这‘分级体系与美国核协会(ANS)的核安全分级、NRC的质量分组以及美国机械工程师学会ASME法规第ⅡI卷分级、抗震类别和其他适用的工业标准相对应。

      APl000延伸了NRC导则RGl．26中从A到D的质量分组表述方法，将SSC分为A，B，C，D，E，F，L，P，R，W级。其中A，B，C级仍为核安全相关，其余级别为非安全相关。

      安全相关电气设备归为C级，相当于电气电子工程师协会(1EEE)标准的lE级；而非安全相关的电仪设备相当于(1EEE)标准的非1E级和美国国家电气制造协会标准。非安全相关级别中除D，E级以外的其他级别，均为与某些特定的工业法规标准(如消防法规)相联系的设备级别。

      D级SSC是指那些虽然为非安全相关，但因其重要性而挑选出来的SSC。这些SSC有别于其他一般的非安全相关SSC，是用于防止非必要地触发非能动安全系统，或支持直接防止非必要地触发非能动安全系统的SSC。这些SSC提供了减少了堆芯熔化概率的重要的第一道防护，通常用于支持电厂冷却、降压并在电厂维修和停堆换料期间维持停堆条件。因此，D级中的部分SSC应该是对安全有重要贡献的非安全相关SSC。为此，APl000的DCD说明对这些SSC将附加一些额外的采购、检查或监控要求。

      然而，在获得NRC认可的DCD或其他正式文件中，并没有明确规定哪些D级SSC对安全有重要贡献从而属于所谓的RTNSS监管范围。DCD“质量保证”一章中规定了对于属于RTNSS范围的SSC需满足的质量要求。而在DCD的“技术规格书”一章的“投资保护”一节中列出了属于RTNSS范围的SCC。

      因此，只有在风险可靠性大纲中确定为对安全有重要贡献的D级SSC，才受到可靠性保证大纲的控制并对其采购、检查或监督要附加要求以有别于其他非安全相关的SSC。

5  营运单位在监督管理中的注意点

      APl000 DCD的“技术规格书”章节比‘般的技术规格书多出了一节“投资保护”。在该节的一个表中列出了对安全有重要贡献的非安全相关SSC以及这些SSC在运行阶段的管理控制要求。这些管理控制要求与一般的技术规格书要求相似，规定了运行性、适用性、在可运行性要求不能满足时需要采取的行动和完成时间的要求、监督要求以及可利用率控制的基础。PRA的事故缓解评价表明，假设非安全相关SSC的事故减轻功能失效，则大规模放射性释放概率将超过安全目标值10—6／堆•年。在考虑了多样触发系统(DAS)后，堆芯损坏概率及大规模放射性释放概率均降低到满足安全目标。因此作为对安全有重要贡献的非安全DAS得到了更特别的关注，列入了电厂技术规格书。

      作为运营单位，在APl000核电厂进入调试和运行阶段前，应充分考虑DCD“投资保护”一节中所列的SSC，编制有针对性的运行、维修大纲及规程，并在调试和运行中严格实施运行、维修大纲及规程，控制这些SSC的可运行性。同时，应注意在调试和运行质保大纲中明确规定，如果对安全有重要贡献的非安全相关SSC出现故障，特别是因设计和运行错误而引起的问题，应进行原因分析并采取纠正措施。

      同时需要关注的是D级SSC中有部分定为抗震一级，例如新燃料贮存架、旧燃料贮存架和控制棒驱动机构K14。DCD要求抗震一级的D级SSC采用10CFR50附录B的质量保证要求。另外，还有一些D级SSC为抗震二级。DCD要求抗震二级的D级SSC采用10CFR50附录B中相关的内容，也就是说抗震二级的D级SSC如何应用10CFR50附录B仍需具体分析。考虑到这部分SSC的数量并不多，建议采用保守的方式，直接应用整个10CFR50附录B的法规要求。

      综上所述，对安全有重要贡献的非安全相关SSC应分成采购和运行2个阶段进行控制。采购中对非抗震级的，应遵循NUREG-0800中规定的质量保证大纲要求，抗震一、二级SSC应遵循10CFR50附录B的核质量保证要求。当这些SSC投入运行后，应按照技术规格书、运行和维修规程进行运行、检查、维修。出现故障时，应进行原因分析，采取纠正措施。

      然而，分析NUREG-0800的质量保证要求可以发现，虽然对应于10CFR50附录B的1 8条，NUREG-0800也提出了18条质量保证要求，但NUREG-0800的质量保证要求过于简略。征这18条要求中，细则、程序和图纸、特殊工艺、试验控制、试验和运行状态、纠正措施等与10CFR50附录B比较接近，其余条款均低于附录B要求，一些要求甚至比IS09001：2000更为简略。NUREG-0800质量保证要求反映出设计方和安全管理当局对安全有重要贡献的非安全相关SSC的实体质量形成过程的控制更为重视。例如，规定影响质量的活动必须按照书面细则、程序和图纸完成，而IS09001等通用质量管理标准并没有这么严格的规定。另一方面，NUREG-0800在一些质量体系的管理方面的要求却比较低。

      由于NUREG-0800质量保证要求并不全面和详实，在实施对安全有重要贡献的非安全相关SSC的采购时，建议选择具有成熟质量管理体系(例如IS09001：2000)的供应商。在此基础上，再在合同中附加NUREG-0800的要求。同时，采购方应注意分析评价供应商满足NUREG-0800附加要求的能力和控制措施的有效性。