縱深防御在“華龍一號”設計中的應用

張艷輝 張琳 鄭俊

摘要：縱深防御貫穿于核電廠整個壽期（設計、建造、運行和退役）的各個階段，以保證核電廠所有活動均置于重疊措施的防御之下，當有一種防御措施失效時，它將由適當的措施探測、補償或糾正。本文介紹了縱深防御的目標和分層，結合“華龍一號”的基本技術特征，采用最新提出的能動與非能動相結合的安全系統設計理念，對縱深防御在“華龍一號”中的應用進行分析。結果表明，“華龍一號”具有更高的安全性和經濟性，滿足最新的安全要求和國際上第三代核電的用戶要求。

關鍵詞：縱深防御;華龍一號;能動與非能動;核電廠

中圖分類號：TP29 文獻標識碼：A

核能是一種安全且環境友好的能源，是國際能源可持續發展的重要組成部分，建設核電站必須始終堅持質量第一和安全第一的原則。為了實現核安全目標，在核電廠的設計、建造、運行和退役各階段采用縱深防御的原則，不僅從設備上而且從措施上提供多層次的重疊保護，以確保對反應堆功率有效控制，對燃料組件充分冷卻，對放射性物質實現有效包容，使其不發生泄漏。

1核電廠縱深防御的目標和分層

國家核安全局在2016年重新修訂發布的《核動力廠設計安全規定》（HAF102）中指出：縱深防御要貫徹于安全有關的全部活動，包括與組織、人員行為或設計有關的方面，以保證這些活動均置于重疊措施的防御之下，即使有一種故障發生，它將由適當的措施探測、補償或糾正。在整個設計和運行中貫徹縱深防御，以便對由廠內設備故障或人員活動及廠外事件等引起的各種瞬變、預計運行事件及事故提供多層次的保護。

根據核電廠核安全事故的發展特點，縱深防御的三個目標為：（1）補償或糾正設備故障或人員差錯;（2）維持屏障本身的有效性并防止故障傳播到全廠;（3）在屏障本身的有效性不能完全保持時，保護從業人員、公眾和環境不致受到輻射傷害。

為了實現縱深防御的三個目標，根據核電廠運行特點，縱深防御通常設置為5個層次：預防、檢測、保護、包容、應急。防御層次是縱深防御原理對與核反應堆的運行、停堆和冷卻相關的儀控系統的特殊應用。如果某一防御層次失效，后面的層次可以加以補償或糾正，不同層次的防御措施的實施與更高或更低層次的防御有效性無關。通常情況下，將頭3層防御措施作為設計基準，目的是保持堆芯結構的完整性和限制公眾可能受到的輻射危害;將第4層防御措施作為超設計基準，目的是使發生嚴重機組工況的可能性和放射性釋放量均保持在合理可行盡可能低的水平。

2縱深防御應用于“華龍一號”

“華龍一號”（HPR1000）是我國目前唯一具有完整自主知識產權的三代核電品牌，是中核集團和中廣核集團在我國幾十年核電建設運營成熟經驗基礎上，融合國際先進核電技術設計理念，并充分借鑒2011年日本福島核事故獲得的經驗反饋，潛心鉆研，依據國際最高核電安全標準合作完成的自主創新成果。2015年5月7日，“華龍一號”全球首堆示范工程在福建福清開工建設，標志著中國核電自主創新的里程碑;2015年8月20日，“華龍一號”海外首堆在巴基斯坦卡拉奇開工建設，標志著中國核電“走出去”的新起點。

2.1“華龍一號”技術特征

“華龍一號”的設計方案立足于縱深防御的原則，采用確定論與概率論相結合的安全分析方法，以“風險指引”確定安全設計方案。在不同的防御層次上，“華龍一號”滿足冗余性、獨立性和多樣性的設計要求，并更好地平衡了經濟性，進一步完善了核電廠預防和緩解嚴重事故的措施。

“華龍一號”反應堆堆芯由177組先進燃料組件組成，在提高反應堆發電功率的同時降低了堆芯線功率密度，具有更高的安全性和經濟性;一回路主系統采用成熟的三環路設計，具有更大的穩壓器容積，每個環路采用增大的蒸汽發生器，可適應更高的運行功率和容納運行瞬態，提高系統運行穩定性;采用雙層安全殼結構，能夠抵御商用大飛機的惡意撞擊，事故情況下可保證放射性物質不會外泄;主循環泵增設停機靜密封，以利于在全廠斷電時保持一回路的自然循環，導出堆芯余熱;壓力容器上新增設高位排氣系統，事故發生時可排出累積于上封頭處的不可凝氣體，防止其影響堆芯冷卻劑的流動和傳熱，避免堆芯熔化;地震水平與豎向峰值加速度為0.3g，具有更強的系統與設備抗震能力，可有效抵御引發福島核事故類似震級的地震;采用健全的防水淹措施，加強抵御內部水淹和外部水淹能力;主設備（反應堆壓力容器、蒸汽發生器、穩壓器、主管道、主泵泵殼等）設計壽命為60年，堆芯換料周期為18個月，電廠可利用率大于等于90%，大大提高了核電廠經濟性;采用“能動與非能動”相結合的安全系統設計，在全廠斷電工況等極端條件下，能動系統的功能喪失，非能動系統能在72小時內將反應堆維持在安全狀態。

2.2能動加非能動安全系統設計

能動與非能動相結合的安全設計理念是“華龍一號”最具代表性的創新。能動安全系統嚴格遵守安全級設計要求，滿足冗余性、獨立性、多樣性、單一故障等原則，技術成熟，可靠性高，能夠快速消除或緩解事故;非能動系統則依賴重力、自然循環、熱膨脹、氣體膨脹等自然力，即使在能動系統全部失效或全廠失去電源時，仍可保證反應堆的安全。“華龍一號”設計中的典型非能動系統主要包括：非能動安全殼熱量導出系統、二次側非能動余熱排出系統、能動與非能動相結合的堆腔注水冷卻系統。通過大量試驗研究證明，在特定事故工況下，這些非能動系統均能夠滿足其既定的功能需求。“華龍一號”能動與非能動安全系統的原理圖如圖1所示。

根據縱深防御的分層原理，在防御的第3層次，即在應對設計基準事故時，以能動安全系統（安注、安全殼噴淋、應急堆芯注水、二次側余熱排出等）為主要控制，輔以安注箱、彈簧式安全閥等部分非能動安全手段;而在防御的第4層次，即在處理由多重失效所導致的超設計基準事故時，在能動安全系統不可用的情況下，增設非能動安全措施以導出堆芯余熱并保證安全殼的完整性。與傳統M310相比，“華龍一號”以能動和非能動相結合的方式實現反應堆應急堆芯冷卻、堆芯余熱導出、安全殼熱量排出和堆芯熔融物滯留在壓力容器內等功能，能動技術安全、成熟、可靠、高效的優勢得以充分發揮，輔以非能動技術不依賴于外部動力的固有安全屬性，使“華龍一號”具有更高的安全性。

“華龍一號”能動加非能動安全系統設計中，非能動系統是以一種多樣化手段作為能動系統的備用和補充，而能動系統的可用性仍需置于首位予以保證。兩者互補結合有效提高了核電廠安全性，使“華龍一號”能夠滿足堆芯損壞頻率（CDF）小于10-6/堆·年，大量放射性釋放頻率（LRF）小于10-7/堆·年的安全目標。

3結論

“縱深防御”是核電設計必須遵循的基本原則，是核電廠防止和減輕事故后果的重要手段，其始終貫穿于“華龍一號”安全有關的全部活動，以實現核電廠反應性控制、堆芯余熱導出、放射性包容三項基本功能。“華龍一號”滿足國際國內最新的安全要求，對中國核電自主創新和核電“走出去”具有里程碑式的歷史意義。