WSMR非能動安全系統在全廠斷電事故下的事故緩解能力分析

陳 鈞，繆惠芳*，李卓成，石興偉

(1.廈門大學能源學院，福建 廈門 361102；2.生態環境部核與輻射安全中心，北京 100082)

小型模塊化反應堆(指電功率小于300 MW的反應堆，以下簡稱小堆)憑借初期成本低、建造周期短、電廠布置靈活以及用途廣等特點，獲得了廣泛的關注[1].先進的小堆采用將反應堆主要系統部件布置于壓力容器內的一體化結構，大量采用非能動安全設計，最大限度地減少運行所需的主要零部件，從設計上消除了一些特定的事故(如大管道破裂導致的冷卻劑喪失事故)，從而顯著提升了反應堆的固有安全性[1-2].

近年來，國際上提出了多種先進的小堆設計[3]，且相關的安全分析也正在逐步開展.西屋公司提出了WSMR(Westinghouse small modular reactor)的設計概念[4]，其單堆熱功率為800 MW(電功率大于225 MW)，并對WSMR在設計事故下的系統響應進行了初步安全分析[5].由韓國研發的先進系統集成式模塊化反應堆(system-integrated modular advanced reactor,SMART)的設計已經完成[6]，單堆電功率為100 MW，且其反應堆系統安全已經通過評估與審核[7]，此外，還對多種設計事故進行了模擬和分析(如小破口冷卻劑喪失事故和主回路系統超壓事故)[8-9].由Babcock & Wilcox公司開發的mPower先進小型模塊化反應堆的擴展性與應用性分析也正在進行，其設計采用的“雙胞胎機組”(twin-pack set)電功率可達390 MW[10].與此同時，中國也提出了基于HTR-10反應堆的球床模塊式高溫氣冷堆HTR-PM的概念[11]，并進行了相關研究和開發工作，如熱工水力瞬態研究等[12].

雖然小堆在設計和研發上已經取得了一定的成果，但是反應堆的技術變革、安全性與經濟性等問題仍是小堆發展面臨的巨大挑戰[13].因此在小堆實現商業化之前，應對其進行全面的安全性評估，尤其是對于一系列可能對反應堆造成嚴重事故后果的事件，全面的安全分析有助于緩解措施的制定以及緊急事故應對能力的提升.其中，全廠斷電事故是可能引發嚴重核事故從而導致堆芯損傷的重要事件之一.在傳統大型壓水堆中，常采用對反應堆主回路進行卸壓注水的策略來應對全廠斷電事故，從而避免高壓熔堆的發生[14-15].但由于小堆與傳統壓水堆之間存在概念和設計上的差異，兩者在發生全廠斷電事故時的系統響應和事故進程可能存在顯著差異.

盡管各國已經提出了多種小堆概念且進行了相關研究，然而有關小堆的非能動安全系統在全廠斷電事故下的具體研究還十分稀缺，關于特定非能動安全設備的敏感性分析更是幾乎空白.因此，本研究以WSMR為研究對象，以全廠斷電事故為基礎事故序列，研究非能動安全系統在全廠斷電事故下的事故緩解能力，并針對堆芯補水箱的有效運行數量以及重新啟用時間進行敏感性分析，研究其對事故進程的影響.本研究結果可為相關小堆嚴重事故管理導則的制定和改進提供參考，從而增強小堆對全廠斷電事故的應對能力，同時有利于深化對模塊化小堆的非能動安全系統的理解，有助于相關反應堆安全設計的改進.

1 模型與假設

1.1 WSMR及其非能動安全系統

本文的研究對象為西屋公司設計開發的WSMR，這是一種采用非能動安全系統設計的一體式小型模塊化壓水堆.如圖1所示，WSMR將其反應堆主要部件集中安置在壓力容器內，包括蒸汽發生器、穩壓器、主冷卻劑泵以及控制棒驅動機構，熱功率為800 MW(電功率>225 MW)[16].WSMR設有8個主冷卻劑泵，能夠提供4 819.0 kg/s強制循環流量.穩壓器內置于壓力容器上方空間，其上方設有安全閥，在系統壓強超過其設定值(17.0 MPa)后會自動開啟.蒸汽發生器采用一次通過式設計，并將汽水分離功能設置在反應堆外部的蒸汽鼓中，從而有效縮小了設備尺寸，使整個系統更為緊湊.

圖1 WSMR的反應堆冷卻劑系統與非能動安全系統示意圖Fig.1 Schematic drawing of the WSMR’s reactor coolant system and passive safety system

WSMR的非能動安全系統設計與AP1000類似[5]，其主要部件包括：4個獨立堆芯補水箱、安全殼內水池及水箱、自動卸壓系統、安全殼外水池以及2個外置最終熱阱水箱[17].其中堆芯補水箱帶有內置余熱移除熱交換器，并通過管線與外部最終熱阱水箱相連，從而使其具有獨立的余熱移除能力.這些安全設施旨在利用自然循環移除反應堆衰變熱，以確保足夠的堆芯冷卻能力.非能動安全系統不需要手動操作執行，從而降低了事故工況下的人因失誤.由自然循環所驅動的非能動安全系統不需要泵、渦輪、柴油發電機等，只需要幾個自動觸發開關的閥門，從而提高了系統的運行可靠性，減少了由電源或機械故障引起的事故[18].Zhang等[19]進行了與WSMR相關的安全分析，并利用RELAP5程序對WSMR的熱工水力模型和非能動安全系統模型進行了驗證，本研究所使用的相關參數與其一致.

1.2 MELCOR模型

MELCOR是由美國圣地亞國家重點實驗室(Sandia National Laboratories，SNL)開發的一款用于輕水式核反應堆嚴重事故分析的工程應用計算機程序，可用于模擬輕水式核反應堆的嚴重事故進程及后果，并監測反應堆中裂變產物的遷移和釋放行為[20].由于其優良的計算性能以及較高的計算精度，MELCOR程序被核能企業、研究單位及監管部門廣泛使用.因此，本研究采用MELCOR程序建立WSMR及其非能動安全系統模型，分析其非能動安全系統在全廠斷電事故下的事故緩解能力.

WSMR的MELCOR節點劃分如圖2所示，主要包括安全殼、主冷卻劑系統、主蒸汽系統和非能動安全系統幾個部分.主冷卻劑系統被劃分為堆芯區域(CV114)、下封頭區域(CV110)、上腔室區域(CV118、CV121、CV123)、下降段區域(CV100)、上升段區域(CV120)、穩壓器(CV122)以及蒸汽發生器一次側(CV88)等，其中蒸汽發生器高度為11.70～18.82 m(相對于水平面高度);主蒸汽系統包括蒸汽發生器二次側(CV209)、主給水模塊(CV213)、蒸汽鼓(CV265)以及蒸汽出口(CV290)等;非能動安全系統包括安全殼內水池(CV701)、內水池水箱(CV703)以及堆芯補水箱(CV440)等.需要說明的是，一共有2個安全殼內水池(CV701、CV702)、2個內水池水箱(CV703、CV704)和4個堆芯補水箱(CV440、CV450、CV540、CV550)，為了簡化示意圖，均僅畫出其中一個.MELCOR模型中的控制體模塊由流道相連，其主要流道包括壓力平衡管線、壓力容器直接注入管線以及安全殼內水池注入管線等.而MELCOR模型中的熱交換計算由熱構件實現，主要的熱構件在圖中以矩形塊表示.MELCOR模型中的閥門則由帶有控制函數模塊的流道來控制開關，主要閥門包括自動卸壓系統閥和動力卸壓閥等.

圖2 WSMR的MELCOR節點劃分示意圖Fig.2 The MELCOR nodalization diagram of the WSMR

為了準確模擬嚴重事故進程中堆芯熔化等復雜現象，在WSMR的MELCOR模型中對其堆芯區域進行了詳細的節點劃分，如圖3所示.其中在軸向按照高度劃分為14個軸向層，第1～4層代表下封頭區域，第5層代表下部支撐板，第6～13層代表堆芯活性區域，第14層代表上部支撐結構；在徑向按照功率分布劃分為4個徑向環，由內到外分別為1～4號環.

1.3 基礎事故序列及假設

選取全廠斷電事故為基礎事故序列，在事故瞬態分析中，假設：1) 在0 s時發生全廠斷電事故，2) 所有非能動安全設施失效，3) 事故過程中全程無人為干預.

在非能動安全系統事故緩解能力分析中，假設：1) 在0 s時發生全廠斷電事故，2) 非能動安全系統正常響應，3) 事故過程中全程無人為干預.

在堆芯補水箱敏感性分析中，假設：1) 在0 s時發生全廠斷電事故，2) 除堆芯補水箱及其內置非能動余熱移除熱交換器外的其余非能動安全設施全部失效，3) 事故過程中全程無人為干預.

2 結果與討論

2.1 模型穩態驗證

本節對WSMR的MELCOR模型進行了穩態計算以評估模型的可靠性，事故發生前的初始運行狀態對后續事故進程有很大的影響，穩態運行參數的準確性表明了模型的可靠性，是后續瞬態分析的基礎.在WSMR模型的穩態驗證中，關鍵參數的計算值和設計值如表1所示.計算結果表明，MELCOR模型的計算值與設計值吻合良好，且誤差在可接受的范圍內，因此使用穩態計算結果作為瞬態計算的初始條件是合理的.

表1 穩態參數與設計參數的對比

2.2 全廠斷電事故瞬態分析

圖4 全廠斷電事故下的主冷卻劑流量(a)、主回路壓強(b)、蒸汽發生器水位(c)、堆芯水位(d)、包殼最高溫度(e)和燃料芯塊最高溫度(f)Fig.4 Primary system coolant flow rate (a),primary system pressure (b),steam generator water level (c),core water level (d),the highest temperature of the cladding (e),the highest temperature of the fuel pellet (f) under station blackout accident

全廠斷電事故發生以后，反應堆保護系統發出信號釋放控制棒，使其依靠重力自由下落插入堆芯，從而快速停止核反應.與此同時，主冷卻劑泵、二次側主給水泵以及再循環泵由于失電而惰轉，導致主回路冷卻劑流量迅速下降(圖4(a))，堆芯余熱由自然循環繼續通過蒸汽發生器移除.由于堆芯產熱大幅下降，且二次側熱阱在事故發生初期還未喪失，所以事故早期主回路內堆芯產熱速率不及移熱速率，使主回路壓強在短期內下降(圖4(b)).二次側失去給水后，蒸汽鼓下方閥門自動打開，對蒸汽發生器進行重力補水以維持換熱，使蒸汽發生器水位在事故早期上升，但由于缺乏額外的補水措施，所以蒸汽鼓內水量被耗盡后，蒸汽發生器水位開始逐漸下降并在3.5 ks時完全蒸干(圖4(c)).隨著二次側熱阱的完全喪失，堆芯余熱無法被移除，導致主回路壓強快速回升.如表2所示：在6.9 ks時，主回路壓強上升至穩壓器安全閥設定值，觸發安全閥開啟;隨后主回路壓強在安全閥設定值附近不斷波動，同時主回路內冷卻劑不斷蒸發，導致堆芯水位開始下降.在28.0 ks時，堆芯水位下降至堆芯活性區頂部，堆芯開始裸露(圖4(d)).在35.2 ks 時，堆芯完全裸露.此處選取溫度最高的堆芯節點為代表作圖，其包殼溫度與燃料芯塊溫度變化如圖4(e)和(f)所示.隨著堆芯逐漸喪失冷卻，包殼溫度急劇升高，在49.8 ks時，包殼溫度上升至1 477 K，表明包殼開始失效，燃料棒內部的部分放射性產物開始由包殼裂縫泄漏至回路中.與此同時，高溫鋯合金與高溫蒸汽發生鋯水反應產生大量氫氣和熱，加速包殼失效并顯著提升芯塊溫度.由鋯水反應所產生的氫氣將積聚在安全殼中，且當其濃度達到一定水平時可能引發氫氣爆炸，對安全殼的完整性構成嚴重威脅.在53.1 ks時，堆芯溫度驟降為零，表明堆芯發生坍塌失效.

表2 關鍵事件發生時間點

2.3 非能動安全系統事故緩解能力分析

在全廠斷電事故發生后33 s，隨主回路壓強下降至11.72 MPa，非能動安注信號被觸發，堆芯補水箱內的含硼冷卻水將隨著堆芯補水箱下方閥門的開啟，經由壓力容器直接注入管線注入至主回路下降段中，進而流入堆芯.直接注入管線流量如圖5(a)所示，在初始安注階段，由于冷卻水的低溫和高密度，冷卻水在較大的壓差下注入，所以初始注水流量較大，在自然循環逐漸建立以后，安注流量逐漸下降并趨于穩定.注入主回路的冷卻水迅速吸收堆內大量余熱，使主回路堆芯入口處冷卻劑的溫度大幅下降(圖5(b))，最低溫度降至470 K.與此同時，主回路壓強也快速下降至6 MPa 左右(圖5(c)).注入的冷卻水流經堆芯以后快速吸熱升溫，而后轉而向上通過上升段，經由壓力平衡管線從上方流回堆芯補水箱中，由此在主冷卻劑系統和堆芯補水箱之間形成自然循環.流回堆芯補水箱內溫度較高的冷卻劑在非能動余熱移除熱交換器的作用下，將熱量傳遞至反應堆外部的最終熱阱水箱中.此處選取燃料芯塊中心節點溫度作圖，結果如圖5(d)所示.由于非能動安全系統的及時響應，堆芯補水箱在事故發生后短時間內便對主回路進行安注，此時堆芯仍處于淹沒狀態，所以堆芯始終維持在較低的溫度.余熱通過自然循環不斷被移除，主回路內溫度與壓強逐漸趨于穩定，全廠斷電事故得到有效緩解.

由以上分析可知，在非能動安全系統正常響應的情況下，在全廠斷電事故發生以后，余熱能夠在堆芯補水箱補水以及余熱移除熱交換器的共同作用下持續被移除，從而快速緩解事故，并保證了堆芯的長期冷卻.

圖5 在非能動安全系統緩解下的直接注入管線流量(a)、主回路冷卻劑溫度(b)、主回路壓強(c)和燃料芯塊中心溫度(d)Fig.5 Direct vessel injection line flow rate (a),primary system coolant temperature (b),primary system pressure (c) and central temperature of the fuel pellet (d) under the passive safety system mitigation

2.4 堆芯補水箱的敏感性分析

由上述分析可知，在全廠斷電事故下，堆芯補水箱對于事故的緩解起到十分關鍵的作用.有效投入運行的堆芯補水箱數量直接影響到其所能提供的冷卻水量，以及可調用的余熱移除熱交換器數量，從而間接地對余熱移除效率及事故進程造成影響.由于全廠斷電造成的早期二次側給水喪失，蒸汽發生器將在短期內干涸.二次側熱阱的喪失使余熱僅能通過主回路與堆芯補水箱之間的自然循環移除.然而，較低的余熱移除效率可能無法及時將堆芯衰變熱完全移至堆外，導致事故無法得到緩解.實際過程中，可能由于各種原因，堆芯補水箱不能及時響應或者只有部分堆芯補水箱可以正常工作，這種情況下的事故緩解能力還需要進一步研究.因此，本節將在假設除堆芯補水箱及其內置非能動余熱移除熱交換器外的其余非能動安全設施全部失效的條件下，對堆芯補水箱的有效運行數量和不同啟用時間進行敏感性分析.

2.4.1 不同堆芯補水箱數量

本節對開啟1個和2個堆芯補水箱的事故進程進行分析，結果如圖6所示.在只有1個堆芯補水箱有效運行的情況下，在事故前期階段提供了一定的余熱移除能力，在一定時間內有效地將堆內溫度維持在較低水平.但僅1個非能動余熱移除熱交換器無法提供足夠的熱移除效率(即堆芯產熱速率大于堆芯移熱速率)，導致主回路冷卻劑儲量不斷減少，堆芯水位從90.4 ks開始下降(圖6(a))，堆芯開始裸露的時間相較于沒有堆芯補水箱時延遲了約62.4 ks.在144.0 ks時堆芯完全裸露，比沒有堆芯補水箱時延遲了約108.8 ks.在2個堆芯補水箱有效運行的情況下，由于2個堆芯補水箱提供了更大的注水量，且2個非能動余熱移除熱交換器提供了足夠的余熱移除效率(即堆芯移熱速率大于堆芯產熱速率)，所以堆芯全程處于淹沒狀態，并且保持了堆芯的長期冷卻.此處分別選取溫度最高的堆芯節點為代表作圖，其燃料芯塊溫度變化如圖6(b)所示.在1個堆芯補水箱有效運行的情況下，由于余熱移除效率不足，堆芯發生裸露后逐漸喪失冷卻，在151.7 ks時堆芯坍塌，比沒有堆芯補水箱時延遲了約98.6 ks；而在2個堆芯補水箱有效運行的情況下，由于堆芯始終處于淹沒狀態，所以堆芯溫度始終維持在600 K左右.

由以上分析可知，在其余非能動安全設施全部失效的情況下，當全廠斷電事故發生時，至少需要2個有效運行的堆芯補水箱才能夠有效緩解事故，并保證堆芯的冷卻；僅依靠1個堆芯補水箱無法緩解事故，堆芯最終仍將失效，但可以大幅延遲事故進程，從而為恢復電力提供充裕的時間.

圖6 不同數量堆芯補水箱有效運行情況下的堆芯水位(a)和燃料芯塊最高溫度(b)Fig.6 Core water level (a) and the highest temperature of the fuel pellet (b) when different numbers of the core makeup tanks are operating normally

2.4.2 不同啟用時間

圖7 在不同時間重新啟用堆芯補水箱時的堆芯水位(a)和燃料芯塊最高溫度(b)Fig.7 Core water level (a) and the highest temperature of the fuel pellet (b) when the core makeup tanks are reinvested at different times

以上對堆芯補水箱有效運行數量的敏感性分析的前提為：在事故初期時堆芯補水箱即能夠在非能動安注信號觸發后及時啟用.實際情況下，可能存在閥門無法打開或其他未知原因而導致堆芯補水箱無法在信號發出的第一時間作出響應.因此，若考慮4個堆芯補水箱能夠在事故進程中被重新啟用，不同的啟用時間將對事故進程造成重要影響.圖7為在不同時間重新啟用堆芯補水箱的堆芯水位與燃料芯塊最高溫度變化，此處分別選取溫度最高的堆芯節點為代表作圖，以燃料芯塊是否失效作為判據進行敏感性分析.若在20.0 ks時重新啟用堆芯補水箱，由于此時堆芯水位還未下降，堆芯仍處于淹沒狀態，所以在重新啟用堆芯補水箱后，堆芯水位全程保持不變.由于堆芯補水箱內冷卻水溫度較低，在其對主回路注水以后，燃料芯塊最高溫度迅速下降至500 K左右并維持穩定，該情況下堆芯始終處于冷卻狀態.若在28.0 ks時重新啟用堆芯補水箱，此時堆芯剛開始裸露，因此圖中可觀察到堆芯水位小幅下降，之后隨堆芯補水箱的重新啟用而迅速被冷卻水補充，并在之后的過程中保持不變.由于堆芯剛開始裸露便進行了注水，此時燃料芯塊最高溫度并未發生明顯上升，所以燃料芯塊最高溫度同樣下降至500 K左右后不再變化.若在35.2 ks時重新啟用堆芯補水箱，此時堆芯剛剛完全裸露，燃料芯塊已經開始逐漸升溫.隨堆芯補水箱的重新啟用，堆內水量迅速得到補充，堆芯快速恢復至淹沒狀態.雖然燃料芯塊最高溫度已上升至900 K左右，但在冷卻水注入以后，芯塊得到冷卻并迅速降溫，且在長期過程中保持穩定.若在52.5 ks時重新啟用堆芯補水箱，此時堆芯已經長時間裸露，芯塊最高溫度已經上升至1 750 K左右，包殼已經失效，且上方的部分燃料已經開始熔化，但尚未坍塌，因此堆芯內部結構未被破壞.隨堆芯補水箱的重新啟用，燃料外部得到迅速冷卻，但芯塊內部的降溫速率低于外部，因此圖中芯塊最高溫度迅速下降后的穩定溫度高于500 K.在該情況下，堆芯結構未發生損壞，堆芯補水箱的重新啟用保證了堆芯結構的完整性.若在53.0 ks時重新啟用堆芯補水箱，此時水位變化與在52.5 ks時的情況類似，然而在該情況下燃料芯塊最高溫度在短時間內迅速上升后驟降為零，表明堆芯在堆芯補水箱重新啟用之前已經發生坍塌，堆芯結構完整性遭到破壞.結合上述分析可知，若要保持堆芯完整性，避免堆芯結構損壞，重新啟用堆芯補水箱的時間應不晚于52.5 ks.

3 結 論

本研究利用嚴重事故分析程序MELCOR對WSMR及其非能動安全系統進行建模，分析其非能動安全系統在全廠斷電事故下的事故緩解能力，著重探討堆芯補水箱的事故緩解作用，并針對堆芯補水箱的有效運行數量與不同啟用時間進行了敏感性分析.分析計算結果表明：全廠斷電事故會導致堆芯冷卻能力下降，從而造成堆芯坍塌失效，進一步對安全殼的完整性造成重大威脅；而非能動堆芯補水箱能夠為反應堆提供額外的冷卻劑，并與主回路建立自然循環，利用余熱移除熱交換器將堆芯余熱移至堆外最終熱阱水箱中，從而快速緩解事故并保證堆芯的長期冷卻.對堆芯補水箱的敏感性分析結果表明：在其余非能動安全設施全部失效的情況下，至少需要2個正常運行的堆芯補水箱才能避免堆芯失效，僅依靠1個堆芯補水箱無法最終緩解全廠斷電事故，但可以大幅延遲事故進程，從而為恢復電力提供充裕時間；若考慮在事故進程中重新啟用堆芯補水箱以保證堆芯結構完整性，避免堆芯坍塌，其重啟時間應不晚于52.5 ks.本文的研究結果有助于指導制定與改進小堆相關嚴重事故管理導則，從而增強小堆對全廠斷電事故的應對能力，同時有利于深化對小堆非能動安全系統的理解，幫助改進相關反應堆安全設計.