Надежность и безопасность АЭС - Влияние принципа единичного отказа и отказов по общей причине на безопасность АЭС

Подробности
Категория: Генерация

Содержание материала

Страница 31 из 52

Важнейшим принципом обеспечения безопасности АЭС, кроме множественности физических барьеров и уровней защиты, является принцип единичных независимых отказов и зависимых отказов по общей причине.
Рассмотрение и учет этих факторов в процессе проектирования и создания АЭС позволяет предусматривать необходимые технические средства и организационные мероприятия, направленные на предотвращение, локализацию или ограничение последствий ИСА.
Принцип единичного отказа - это один из важнейших критериев безопасности АЭС. Это такой принцип, в соответствии с которым система безопасности должна выполнять заданные функции при любом исходном событии, требующем работы этой системы, а также при отказе в этой системе одного из активных или пассивных элементов, имеющих механические подвижные части. При этом предполагается, что остальные системы, участвующие в процессе, находятся в исправном состоянии.
В соответствии с этим принципом при анализе безопасности в процессе проектирования одновременно с основным исходным событием дополнительно допускается наложение еще одного отказа в системах безопасности, независимо от основного.
Применение принципа единичного отказа позволяет определять кратность резервирования, которая должна обеспечить выполнение противо- аварийных функций СБ, несмотря на возникновение отказа у одного активного или пассивного элемента данной системы.
При этом активный элемент имеет такой принцип действия, который требует перед включением в работу предварительно выполнить определенные операции: включить электропитание, обеспечить подвод рабочей среды, привести в рабочее состояние систему и т.д.
Такие системы более сложные как в эксплуатации, так и по конструкции (САОЗ с насосами НД и ВД).
Пассивная система имеет более простую конструктивную схему и включается в работу не персоналом, а непосредственно от возникшего исходного события, требующего функционирования ее. Например, САОЗ с гидроемкостями.
В начале в соответствии с этим принципом при анализе системы при проектировании и оценке безопасности АЭС составляется перечень возможных ИСА.

В качестве проектного ИСА должен рассматриваться принцип единичного отказа, то есть любое единичное нарушение, приводящее к аварии: отказ в системе или оборудовании нормальной эксплуатации, ошибка персонала, внешнее или внутреннее воздействие на ЭБ АЭС. Возможный перечень типовых ИСА дается в документе [27].
Рассмотрим в качестве примера некоторые случаи применения принципа единичного отказа. Так, например, при большой течи 1-го контура нарушение герметичности трубопровода одной из четырех петель РУ с ВВЭР-1000 в качестве дополнительного отказа можно рассматривать отказ насоса низкого или высокого давления САОЗ. Очевидно, отказавший насос представляет собой активный элемент, входящий в состав активной СБ. На рис. 55 представлены различные случаи применения принципа единичного отказа.

Если рассматривать отказ клапана на подачу борированной воды из гидроемкости, то эта система и отказавший клапан относятся к пассивным устройствам.
Рис. 55


1. Независимый от исходного события (ИС) дополнительный отказ (ДО) активного устройства безопасности

2. Независимый от исходного события отказ пассивного устройства, имеющего механические движущиеся части

3. Необнаруженные отказы неконтролируемых при эксплуатации АЭС элементов, влияющих на развитие аварии

Кроме указанных выше дополнительных отказов необходимо также учитывать все необнаруженные отказы неконтролируемых при эксплуатации элементов, влияющих на основную аварию. Но это возможно, если обеспечен контроль работоспособности всех важных для безопасности элементов и устройств.
При проектировании и создании АЭС для реализации критерия единичного отказа широко используются различные способы резервирования оборудования систем, то есть применяется избыточное количество однотипных систем и устройств или независимых клапанов и элементов. Примером резервирования являются три независимых друг от друга канала САОЗ с насосами низкого (или высокого) давления.
Возможно применение функционально независимых друг от друга систем, выполняющих аналогичные функциональные задачи. В качестве примера таких систем можно назвать пассивную систему охлаждения аз с гидроемкостями и САОЗ с насосами НД.
Практическое применение принципа единичного отказа обеспечивает:

  1. работу СБ при возникновении единичного отказа оборудования или в случае ошибок персонала;
  2. расчетное обоснование проектных аварий и возможность конструктивного обеспечения безопасности АЭС для них;
  3. уменьшения риска от зависимых отказов оборудования по общей причине;
  4. последовательное рассмотрение каждого ИСА при отказе только одной СБ или одной ошибки персонала.

Принцип отказов по общей причине имеет важное значение при оценке безопасности АЭС. Запроектная авария на Чернобыльской АЭС показала, что использование принципа единичного отказа в общем случае позволяет нормировать только одну из сторон обеспечения безопасности и не учитывает всю совокупность ситуаций, возникающих при запроектных авариях. Кроме того, этот принцип в реальных условиях встречается редко. Он не учитывает вклада всех СБ, влияющих на протекание аварии с учетом их работоспособности.
Тяжелые аварии на АЭС показали, что зависимые отказы могут возникать и от одного ИСА, и от общей для них причины. В последнем случае они называются отказами по общей причине. Такие отказы по общей причине стали выделяться после известных запроектных аварий на АЭС ΤΜΙ - 2 и ЧАЭС - 4. Хотя доля таких зависимых отказов мала, но они могут приводить к тяжелым ядерным и радиационным авариям. Поэтому в процессе анализа безопасности и при проектировании систем и оборудования, обеспечивающих безопасность, необходимо обязательно выявлять и учитывать возникновение потенциально возможных отказов по общей причине. В соответствии с [21] отказы по общей причине - это отказы важных для безопасности систем (элементов), возникающие вследствие одного отказа или одной ошибки персонала, а также внутреннего или внешнего воздействия на АЭС.
Внутренние воздействия - воздействия, возникающие при ИСА с учетом ударных волн, потоков, летающих предметов, изменений параметров среды (давления, температуры, химической активности и др.), пожаров и т.д.
Внешние воздействия - воздействия, характерные для площадки АЭС, влияния природных явлений и деятельности человека, а также вследствие землетрясений, высокого и низкого уровней наземных вод, ураганов, аварий на воздушном, водном и наземном транспорте и т.п.
В гл. 2 были рассмотрены основные признаки и причины исходных событий, определяющих возникновение отказов по общей причине, и их основная классификация. В соответствии с этой классификацией устанавливаются 4 класса элементов по их влиянию на безопасность АЭС в случае возникновения отказов в этих элементах [21].
Так, например, к 1-му классу, который характеризуется общностью конструкции, относятся элементы, подверженные отказам по общей причине, вызванной наличием дефектов изготовления или монтажа, не выявляемых при периодических проверках, но проявляющихся при авариях. Отказы такого типа являются неконтролируемыми при нормальной эксплуатации.
К 1-му классу безотказности относятся твэлы и элементы АЭС, у которых отказы являются ИСА, приводящими к повреждениям твэлов с превышением проектных пределов (проектных аварий). К этому же.классу относятся полностью идентичные активные элементы СБ: дизель- генераторы, насосы, вентиляторы, арматура и др.
Ко 2-му классу относятся элементы у которых отказы не приводят к превышению проектных пределов, а отказы элементов СБ приводят к невыполнению своих функций. Элементы 2-го класса имеют общее место расположения (например, размещение резервируемых элементов или элементов различных каналов в одном помещении) или подвержены отказам по общей причине из-за экстремальных внешних воздействий.
Эти воздействия можно разбить на два подкласса по характеру их проявления для рассматриваемых элементов:

  1. ударные воздействия, приводящие к потере работоспособности элементов вскоре после их возникновения (например, пожар);
  2. воздействия, постепенно вызывающие отказы элементов (например, коррозия).

Примерный перечень ударных и постепенных воздействий дается в табл. 3 (гл. 2), а их характеристика — в справочнике по безопасности АЭС [20].
При анализе влияния зависимых отказов на безопасность АЭС все ударные воздействия должны рассматриваться в качестве зависимых от ИСА. При этом наибольшее внимание необходимо уделять пожарам (из-за коротких замыканий электрооборудования при попадании воды); затоплениям (запариваниям) помещений, в которых расположено силовое электрооборудование или управляющие устройства, при разрывах трубопроводов или срабатывании паросбросных устройств; образованию летящих предметов или реактивных струй при разрушении оборудования.
При анализе постепенных воздействий выявляются наиболее важные элементы для места расположения данной системы и оцениваются зоны этих воздействий.
Например, вибрационные нагрузки расположенных рядом и постоянно работающих элементов нормальной эксплуатации могут привести к скрытым множественным отказам в режиме ожидания.
Такие отказы по общей причине являются контролируемыми в режиме ожидания.
К 3-му классу относятся элементы, содержащие РАВ, у которых отказы приводят к выбросу последних с превышением гигиенических нормативов, а также элементы систем, важных для безопасности, не вошедшие в 1-й и 2-й классы. Элементы 3-го класса, имеющие одинаковые эксплуатационные процедуры, методы технического обслуживания (ТО) и ремонтов (Р), подвержены множественным отказам, связанным с повторяющимися ошибками персонала в процессе эксплуатации при ТО оборудования (в том числе резервируемого).
При этом ошибки персонала, приводящие к отказам по общей причине, проявляются обычно в процессе:

  1. контроля или ТО резервируемых элементов, связанных с активными действиями персонала, влияющими на работоспособность оборудования (например, регулировки параметров);
  2. проверки работоспособности или ТО, на период которых оборудование выводится из действия.

К 4-му классу относятся элементы нормальной эксплуатации АЭС, которые не вошли в 1, 2-й и 3-й классы и не влияют на безопасность.
Рассмотрим в качестве примера ИСА, вызывающего отказы по общей причине, возникновение пожара на АЭС и меры защиты от них. Возникновение пожаров на АЭС является наиболее часто встречаемой аварией (10-11/р.год) и наиболее опасным источником отказов по общей причине. Так, пожар на АЭС - это пожар, сопровождавший запроектную аварию на ЧАЭС в 1986 г. Пожар на АЭС «Броуне Ферри» в США в 1975 г. повредил 1600 кабелей, в том числе более 600 кабелей СБ, и вызвал множество отказов в электрических и механических системах [19].
Чаще всего пожары возникают в масляных и электрических системах, в системах газоудаления и в дизель-генераторных установках.
Для предотвращения и обнаружения пожаров, а также их локализации предусматриваются следующие меры:

  1. разделение зданий и помещений на противопожарные отсеки с огнестойкими барьерами и проходками через стены;
  2. замена горючих материалов огнестойкими;

-применение специальных систем обнаружения и автоматических средств пожаротушения;
-оснащение помещений АЭС средствами активной противопожарной защиты;
-исключение в оборудовании взрывоопасных концентраций газов (в том числе водорода).

В качестве другого примера аварии, которая приводит к множеству отказов по общей причине, является нарушение герметичности трубопроводов 1-го контура. Эта авария может быть связана с разрушением 1, 2-го и 3-го физических барьеров. При этом выброс пароводяной смеси с повышением давления в ГО может вызвать повреждение и 4-го барьера с тяжелыми радиологическими последствиями для окружающей среды. Выявление аварийных ситуаций, влияющих на целостность физических барьеров, и обеспечение защиты этих барьеров, а также выявление и учет ошибок персонала, которые могут приводить к отказам по общей причине, - это важный момент в плане поддержания надежной и безопасной эксплуатации АЭС.
Для уменьшения вероятности отказов резервированных систем и оборудования по общей причине применяются:

  1. физическое разделение;
  2. независимость каналов СБ;
  3. разнотипность применяемых систем и оборудования;
  4. принцип диверсивности (разнообразия), состоящий в применении различных механизмов, действий или конструкций приборов;
  5. раздельные кабельные проводки;
  6. размещение оборудования в разных помещениях или простое удаление друг от друга;
  7. огнеупорные перегородки.

Физическое разделение предусматривает трехканальную структуру СБ, когда резервируются и разделяются не только рабочие каналы, но и управляющие и обеспечивающие системы. Обеспечивается создание между каналами и системами физических барьеров.
Применение разнотипного оборудования, выполняющего одинаковые функции, но работающего по разному принципу действия, обеспечивает устойчивость резервированных систем к одновременному отказу по общей причине. Примером такого оборудования является механическая аварийная система защиты реактора и воздействия на реактивность реактора с помощью изменения концентрации борной кислоты в 1-м контуре.
Все эти принципы способствуют сохранению работоспособности отдельных каналов (систем) при повреждении части из них в случае возникновения пожара, затопления, падения самолета и по другим общим причинам.
Установленные классы безопасности элементов АЭС являются определяющим признаком при формировании других классификаций элементов. В соответствии с этой классификацией к элементам предъявляются требования к их качеству. Чем выше класс, тем более высокие требования предъявляются к качеству и его обеспечению.

Еще по теме: