深圳中广核工程设计有限公司 彭永森 刘政杰 王军民 刘 超 范乐旺

0 引言

共因故障是指由单一事件或起因导致若干装置、部件或系统功能失效的故障。作为核电厂重要的支持系统，核电厂暖通空调安全系统承担着为前沿系统设备运行及人员操作提供良好环境条件的安全功能，由于暖通空调系统存在服务范围广、设备数量繁多等特点，其潜在共因故障风险可能会影响核电厂前沿系统的功能，进而影响核电厂的安全。随着核电厂安全要求的提高，国内外核电厂对于暖通空调系统共因故障分析日趋重视，通过对国内外相关规范及良好实践研究总结，建立了一套核电厂暖通空调系统共因故障识别分析及应对的方法论。

1 共因故障类型及典型应对措施

国内外核电厂相关法规标准对核电厂安全重要物项防范共因故障提出了如下要求。

1) HAF 102—2016规定：必须考虑安全重要物项发生共因故障的可能性，以确定应该在哪些地方应用多样性、多重性和独立性原则来实现所需的可靠性[1]。

2) IAEA SSR-2/1-2012规定：设计支持服务系统的可靠性、冗余性、多样性和独立性及提供对其实施隔离和进行功能能力测试的特性必须与其所支持的系统的安全重要性相适应。不得允许支持服务系统的一个故障能够同时影响一个安全系统或一个执行各种安全功能的系统的若干冗余部件及损害这些系统执行其安全功能的能力[2]。

3) IAEA SSG-62-2020规定：在适用的情况下，对用于支持安全系统的辅助系统和支持系统，应对其冗余部件间的共因故障予以识别，设计及布置中应采取措施使冗余的部件尽量独立[3]。应采用合适的方式预防共因故障的发生，比如物理隔离和功能独立。应对冗余的安全系统间的共因故障与假定的始发事件之间可能的组合进行分析。如果这种组合的后果超过了设计基准事故的限值，则应降低或消除这种组合的可能性或者采用额外的设计来应对这种情形。

4) ONR-NS-TAST-GD-036中将可能会导致安全功能失效的共因故障分为4类[4]。

① 功能依存：由共享或共同的功能特征产生的共因，例如共用电源、共用冷却水系统或共用工艺流体。

② 空间依存：由相同空间内的部件共享的物理特征引起的共因，例如相同的辐射或化学条件、相同的环境和相同的支撑结构等。

③ 固有依存：由相同的技术特性引起的共因，例如采用相同的操作原理或技术及相同的故障模式(如机械过载或超压)。

④ 人因依存：与人为错误相关的共因，由于影响某些共享或相同的人员活动过程中的人因错误而产生的，如设计或制造中的人因错误、操作人员在操作和维护过程中的错误。

5) NUREG/CR-7007对于共因故障给出了主要的应对措施[5]。

① 多样化：包括采用不同的运行条件、不同的工作原理、不同的设计团队、不同尺寸的设备、不同的制造厂家、不同的部件、不同物理原理的设备等措施。

② 实体分隔：采用几何分隔或屏障分隔(如距离、方位)等措施。

③ 功能隔离：安全系统与非安全系统有效隔离、电气隔离等措施。

结合上述规范要求，总结归纳核电厂典型共因故障及应对措施，见表1。

表1 共因故障类型及典型应对措施

2 暖通空调系统共因故障分析方法论及流程

为全面降低暖通空调系统共因故障，首先需要有效识别系统所有的潜在共因故障点，再针对各共因故障点分析制定合理、可行的改进方案以实现风险最小化。结合前述共因故障的类型，制定暖通空调系统共因故障分析的总体流程，见图1。

2.1 系统共因风险的识别

对于暖通空调系统中不同类型的共因故障，需采取有针对性的识别方法，对于固有和人因依存类的共因故障，一般采用安全分析的方法来识别暖通空调系统自身设计中的共因风险；对于功能依存，通过暖通空调系统的支持系统失效分析找到支持系统共因的风险点；对于空间依存，通过灾害分析的方法来识别共因风险点。

2.1.1暖通空调系统自身共因风险的识别

暖通空调系统作为核电厂支持系统的一部分，为核电厂前沿工艺系统和其他支持系统(如电气、仪控机柜)提供通风冷却，暖通空调系统的失效可能导致电厂的安全功能共因失效，进而引发严重的后果，尤其是因暖通空调系统导致核电厂纵深防御体系的失效，通过核电厂安全分析，如失效后果分析、始发事件分析等手段可识别暖通空调系统设计的薄弱点，通过暖通空调系统的多样化设计规避该类型的风险。识别风险的方法如下：

1) 通过核电厂事故分析，依据应对核电厂高频事故的安全系统需采取多样化设计的原则，以高频事件为主线，分析其支持系统(暖通空调系统)是否具备多样化。表2给出了核电厂小破口事故分析示例。

需要注意的是，暖通空调系统失效的间接后果也需要分析，上述案例中如配电柜E1和E2或控制柜I1和I2都由同一个暖通空调系统或2个有共因风险的暖通空调系统来控制环境温度，则可能因为暖通空调系统共因故障间接导致中压安注和低压安注系统的失效，因此该失效分析应该是全面的。

2) 通过支持系统的始发事件分析，找到暖通空调系统失效引起的始发事件，如该始发事件无有效手段进行缓解，则需要考虑对该部分暖通空调系统进行多样化改进，防范该始发事件的发生。

通过以上2种手段，可以找到需要进行多样化设计的暖通空调系统，接着对这部分系统进行进一步的分析，制定合理的改进方案。

2.1.2暖通空调系统支持系统共因风险的识别

暖通空调系统的支持系统主要包括冷却水系统、电气系统及仪控系统，因其失效可能会导致多个暖通空调系统失效，需要特别注意其失效后果。通过对支持系统的失效后果分析，识别出因支持系统失效导致暖通空调系统共因失效的风险，并结合2.1.1节分析结果，识别出导致有多样化要求的暖通空调系统失效的支持系统的失效模式，再针对性地制定改进措施。核电厂控制及电气系统的共因故障可以参照NUREG/CR-7007[5]进行分析。

2.1.3灾害引发的共因风险的识别

通过内外部灾害分析，研究暖通空调系统空间依存性，分析因内外部灾害导致多个冗余的暖通空调系统同时失效的可能性及后果，识别出因内外灾害引发的暖通空调系统共因失效风险点。

2.2 暖通空调系统改进方案的确定

针对识别出的暖通空调系统的共因风险点，梳理所有潜在的改进方案，逐项评估各改进方案在核安全、工程代价方面的收益，并结合方案的可实施性、技术成熟性等多方面的因素，确定最终的方案。对于暖通空调系统自身的共因风险点，主要采用多样化的方法进行改进，第3章将详细阐述流程及方法；对于暖通空调系统支持系统的共因风险点，主要采用支持系统多样化的方法进行改进，这部分内容不是暖通空调系统设计的范畴，可参考相关领域的成果，本文不做探讨；对于灾害引起的共因风险点，主要通过布置优化和提升暖通空调设备鉴定要求的方法进行改进。

2.3 暖通空调系统改进方案的实施

确定改进方案后，需要对改进方案进行影响分析，确定改进的影响范围及可实施性，确定方案是可执行的，并执行改进方案，如发现改进方案无法执行，需要重新确定方案。

3 暖通空调系统多样化设计分析

3.1 暖通空调系统多样化策略的制定

暖通空调多样化的策略主要有2种类型：设计多样化和设备多样化。

1) 设计多样化：主要是指实现功能的原理不同，如设计1套能动降温的空调系统和1套非能动降温的系统，2套系统相互备用，该策略使暖通空调系统具有天然的多样化，但此种方式在目前的核电工程上较难实现。需要注意的是，即使系统设计存在较大差异，如采用相同类型的设备，仍需评估设备的多样化程度。

2) 设备多样化：采用不同制造厂家、不同部件、不同物理原理、不同尺寸的设备来实现多样化设计，该策略不需要对系统设计进行大的修改，相对容易实现，也是目前国际核电工程普遍采用的多样化策略，本文将重点介绍设备多样化的策略。

3.2 设备多样化策略介绍

对于有多样化需求的暖通空调系统，需要注意的是，并不是系统内所有的设备均需要多样化，如设备足够可靠或其失效不会导致系统安全功能的丧失，则该类设备可以不进行多样化。因此，应精确识别需开展多样化设计的设备部件，并采取合理、可行的改进措施，以使改进的收益代价比在合理的区间内。暖通空调设备多样化分析流程见图2，后文将对每个步骤进行详细的介绍。

3.2.1识别需要多样化的设备

一般通过失效模式、影响及危害性分析(FMECA)可识别出需要进行多样化的设备。FMECA是针对系统中设备所有可能的故障模式进行分析，确定每种故障模式对系统功能的影响，并按故障模式的严重程度及其发生的概率确定其危害性。FMECA包括故障模式影响分析(FMEA)和危害性分析(CA)。工程师可依据BS 60812-2018[6]开展分析，列举部件的每一个失效模式对该模式进行危害性分析，找出需要关注的重点失效模式，关于设备失效模式关注度的评估需要考虑2个方面：

1) 可能性。

理想情况下，可能性及失效模式发生的概率是根据该失效模式的统计数据估计的。根据BS 60812-2018[6]，考虑影响故障发生概率的每个部件的边界条件(施加的环境、机械和(或)应力)是非常重要的。设备故障的数据统计可参见《中国核电厂设备可靠性数据报告》(2015版)[7]和NUREG/CR-6928[8]，典型暖通空调设备失效概率见表3。

表3 典型暖通空调设备失效概率

2) 严重性。

分析该失效模式发生的后果，即影响安全功能的程度。如设备部件失效导致系统安全功能完全丧失，则认为严重性为高；如导致安全功能退化，认为严重性为中；如对安全功能无影响，则认为严重性为低。

通过对暖通空调设备每一种失效模式从失效模式的可能性和严重性2个方面进行危害性评估，采用表4进行筛选，对于危害性高的失效模式(表中加下划线)需要进一步进行多样化改进分析。

表4 危害性评估矩阵

结合国内外相关的工程经验及典型暖通空调系统的FMECA分析，暖通空调系统中失效概率及危害性较高的设备及其主要失效模式见表5。

表5 暖通空调系统设备的失效模式

3.2.2设备多样化改进方案的评估

在找到需要考虑多样化改进的暖通空调设备后，针对其危害性较高的失效模式确定多样化改进方案，并进行方案的评估工作，找到可有效改进多样化程度的方案，主要可以采用概率安全分析及确定论分析的手段。

1) 概率安全分析(PSA)。

PSA用于从系统整体共因故障及对堆芯损坏或放射性释放方面的影响确定部件的重要性。对于已确定需要进一步分析的设备，需要通过下述步骤开展PSA建模分析。

① 在不同的共因故障组中对每种类型危害性高的设备进行建模。

② 分析增加冗余度的影响，以考虑是否需要额外的冗余作为应对共因故障的一部分。

③ 对设备失效按重要程度进行排序，并考虑总体风险级别，以支持后续判断。

在完成PSA分析建模后，可通过表6进行风险收益的评估。

表6 PSA分析收益分级

2) 确定论分析。

可依据NUREG/CR-7007[5]中评估多样性程度的准则，开展多样化程度的分析，分析的维度见表7。

以安全级的风机为例，对采用相同设备设计不同供应商和采用不同设计相同供应商2个方案进行分析，可采用表8的形式进行量化分析，并结合工程实现等其他因素确定最终的方案。

结合概率和确定论的分析，即可分析出暖通系统的多样化程度，确定合适的改进策略。

3.3 多样化改进方案的确定

确定暖通空调系统多样化改进策略后，需要结合暖通空调系统的支持系统的多样化改进分析，确定多样化的潜在改进方案，并对潜在方案进行方案比选，比选可从对核安全的影响、技术成熟度、可实施性、成本等方面开展，最终确定合理可行的方案，并将暖通空调系统共因故障的风险降低至可以接受的程度。方案比选的方法论比较成熟，本文不再进行探讨。

表8 风机多样化方案评估

4 结语

本文探讨了核电厂共因故障的类型，总结归纳了适用于核电厂暖通空调系统共因故障分析的方法、流程及应对措施，为国内核电厂开展暖通空调系统共因故障分析提供了借鉴和参考。核电厂暖通空调系统共因故障分析涉及核电厂安全分析、设备FMECA分析、PSA分析、灾害分析等多个领域，需要全面分析以识别所有共因风险点，并针对性地制定合理、可行的应对措施，以使风险最小化，提升核电厂的安全水平。