核電縱深防御理論的新探索

劉倩雯，吳宇翔，王長東，馮楚然，劉　靜，閆　林，王高鵬

核電縱深防御理論的新探索

劉倩雯，吳宇翔，王長東，馮楚然，劉靜，閆林，王高鵬

（中國核電工程有限公司，北京 100840）

縱深防御（DID）理論在經(jīng)歷核電之初的主動探索和三次核事故的被動改進，其層次數(shù)量和要求逐漸增多，使核電廠設(shè)計越來越復雜。工程設(shè)計和新堆型研發(fā)的實踐中也暴露出一些問題，導致核電經(jīng)濟性提升和創(chuàng)新技術(shù)應用受到強烈掣肘。為了探索理論升級的可能，以使其反映最新的技術(shù)和認知水平，向著“越簡單越安全”的方向發(fā)展，在充分認識縱深防御概念重要性和局限性的基礎(chǔ)上，本文從方法和技術(shù)兩個維度提出核電縱深防御理論改進的兩個方向：一是建立風險指引型縱深防御策略框架，并給出漸進的實現(xiàn)方案；二是基于實體屏障固有安全性提升的簡化縱深防御，對固有安全能力提升的潛在技術(shù)方向進行討論。

縱深防御；風險指引方法；實體屏障；固有安全

1　核電縱深防御概念發(fā)展

核電縱深防御（Defense-in-Depth，DID）概念誕生于最早發(fā)展民用核能的美國，之后被世界上各個國家和機構(gòu)廣泛應用，成為最基本的核電廠安全理論之一。

1.1　縱深防御概念在美國的誕生與發(fā)展

（1）早期的縱深防御概念（1956—1976年）

世界上第一座實驗核反應堆CP-1和20世紀40年代軍用生產(chǎn)堆就開始采用“縱深防御”理念以確保安全，這些設(shè)計和建造經(jīng)驗被后續(xù)的商用核電廠廣泛借鑒，形成了早期的DID概念。美國原子能委員會（AEC）的一些報告[1-4]討論了早期DID理念及其因素，主要是多重實體屏障，以及通過連續(xù)多道防線確保這些屏障不被非正常瞬態(tài)所威脅。多道防線包括事件的預防、糾正預計的偏差、事故的保護，提供足夠的安全裕量以抵御所謂“極不可能的”事故，即設(shè)計基準事故（DBAs）。

（2）概率風險評價方法的產(chǎn)生（1976—1986年）

Brown’s Ferry核電廠火災事故和三哩島核事故之后，DID三個層次目標開始被明確[5-7]，但是表述略有不同。此時主要強調(diào)[8]關(guān)注前兩個層次的提高，即重點在預防而不是緩解。同時NRC發(fā)布了著名的WASH-1400報告[9]，開創(chuàng)性地以一種全新的視角審視核安全——概率風險分析（PSA）正式登上核電安全歷史舞臺。

（3）聚焦于堆芯損毀的嚴重事故（1986—2000年）

隨著認識的進一步加深，這段時期聚焦于將DID概念作為應對堆芯損壞嚴重事故的一種方法，并討論了堆芯損壞和安全殼失效的預防和緩解之間的平衡，以及使用風險作為DID有效性度量的思考[10-12]。同時這段時間也是美國加強PSA方法應用、逐步建立風險指引型核安全監(jiān)管體系的開始。

（4）整體的縱深防御哲學（2002—2011年）

2002年之后相關(guān)討論聚焦于自上而下實施DID。DID概念已經(jīng)從一個應用多重防線的原則發(fā)展成一個保護公眾和環(huán)境安全的基礎(chǔ)、策略和方法的集合。該時期是NRC大力發(fā)展風險指引型核安全監(jiān)管框架的黃金時期，在對質(zhì)保、技術(shù)規(guī)格書、設(shè)備規(guī)范等局部特殊處理的同時，研究在聯(lián)邦法規(guī)中加入風險決策條款的10CFR50替代計劃[13]，以建立一個基于性能的、風險指引的、技術(shù)中立的監(jiān)管體系[14]。而DID在其中始終作為彌補不確定性、實現(xiàn)預防和緩解損傷的一個安全哲學。

（5）審視與發(fā)展（2012—今）

福島事故后NRC對其現(xiàn)有的監(jiān)管體系進行了復盤，考慮到DID概念有多種表述導致理解和執(zhí)行的困難和差異，提出統(tǒng)一DID定義、層次劃分和準則，以及建立設(shè)計增強類事件工況（類似IAEA的DEC工況）的改進建議[15]，但是最終均被否決[16]。雖然NRC已經(jīng)采用風險管理理念修訂了10CFR50，但針對輕水堆的風險管理監(jiān)管框架的研究進入“冷靜期”，而以未來新的非水堆為應用目標繼續(xù)推進風險指引方法的相關(guān)研究。

1.2　IAEA縱深防御概念演化

IAEA基于國際共識制定了一系列安全標準來為成員國提供技術(shù)指引。DID概念首先在1988年發(fā)布的INSAG-3[17]中描述為“多層的重疊措施”，其作用總結(jié)為“用于補償可能的人員和設(shè)備失效”。

經(jīng)典的五個DID層次是在1996年INSAG-10[18]首次定義，包括：預防異常運行和系統(tǒng)失效、控制異常運行和探測失效、控制事故在設(shè)計基準之內(nèi)、控制嚴重工況、緩解放射性材料顯著外部釋放的放射性后果。1999年INSAG-12[19]更進一步將五個層次與電廠運行狀態(tài)聯(lián)系起來。

2006年IAEA在SF-1[20]的“事故預防”原則中詳細闡述了DID概念和實現(xiàn)途徑，并提到了“不同防護層次的獨立效能是DID的一個必要組成部分”。

TECDOC-1570[21]引用INSAG-10五個層次，并將頻率-后果曲線與各層次相關(guān)聯(lián)，提供了各層次的定量安全目標。該文件還引入“保護線（LOP）”概念，對一個給定的事件或安全功能，LOP提供了實現(xiàn)單個層次目標的手段。

2012年發(fā)布的SSR-2/1及2016年修訂版[22]再次對DID概念及五個層次進行詳細描述，還規(guī)定“縱深防御的各個層次必須盡實際可能相互獨立”。其配套技術(shù)文件TECDOC—1791[23]引入了設(shè)計擴展工況（DEC）概念并增加了DID層次，即將沒有堆熔的DEC劃分為3b或4a層次。TECDOC—1791還對層次之間的獨立性要求進行了詳細澄清，考慮到現(xiàn)實中各層次之間不可能完全獨立，更合適的理解是降低DID各層次之間的依賴程度。

2　現(xiàn)有縱深防御理論的局限性

當前國內(nèi)采用的IAEA經(jīng)典DID策略是以確定論方法為核心。確定論方法特點在于，針對具體問題或場景，得出特定的結(jié)果或要求。這一特點使現(xiàn)有DID理論存在局限性，主要體現(xiàn)在：

（1）邏輯不自洽問題。文獻［24］討論了DID概念用于彌補不確定性而不確定性大小是無法確定的，因此無法判斷是否彌補的問題。另外，對于DID層次，要求在某一層次的防護失效時由后一層次提供保護，那么后一層次的可靠性是否應該比前一層次的高？但現(xiàn)實是下一層次需要發(fā)揮作用的頻率比前一層次低，其可靠性要求低。如果沒有這種實際的層次遞進關(guān)系存在，DID層次是否還應按照電廠工況來劃分？

（2）層層加碼的復雜層次劃分。經(jīng)典DID層次的數(shù)量從3個增加到5個，福島事故后又增加了1個子層次（3b或4a），實際達到了6個層次。層次數(shù)量越來越多，再加上層次之間的獨立性要求，導致了越來越復雜的設(shè)計和越來越高昂的成本，從而陷入“復雜系統(tǒng)—復雜安全問題—難以解決安全問題設(shè)置新的復雜系統(tǒng)—系統(tǒng)更復雜”的循環(huán)。

（3）缺乏充分性評估準則。DID根本目的是彌補不確定性，但不確定性是無法全部量化的，那么如何確定DID措施的充分性呢？目前經(jīng)典縱深防御理論中并未明確這個問題。在法規(guī)標準的相關(guān)條款中，往往出現(xiàn)“盡可能”“適當?shù)摹边@類模糊的字眼。IAEA建議[25]了一種對縱深防御能力進行評估的方法，但該方法仍然是定性判斷功能目標是否得以實現(xiàn)，而并沒有解答多少是足夠的問題。

3　縱深防御實施的正向流程和關(guān)鍵要素

現(xiàn)有DID概念已經(jīng)從一個應用多重防線的原則發(fā)展成為一個保護公眾和環(huán)境安全的基礎(chǔ)、策略和方法的集合。要想對現(xiàn)有DID理論進行改進，需識別出具體的改進對象，即DID的關(guān)鍵要素。

DID核心問題是如何針對電廠安全挑戰(zhàn)來設(shè)計多重防御措施。一個正向的DID設(shè)計需要從電廠所面臨的安全挑戰(zhàn)開始，因此事故選取是DID措施設(shè)計的基礎(chǔ)；DID層次劃分決定了多重措施的基本配置；這些措施包括一系列SSCs構(gòu)成的安全系統(tǒng)硬件，以及相應質(zhì)量保證、運行程序和安全文化等軟能力，是確保DID目標可靠實現(xiàn)的途徑；最終通過全面的安全分析，評估既定的安全目標是否可靠實現(xiàn)，確保核電廠整體DID的充分性。一個正向的核電廠DID設(shè)計流程如圖1所示。從流程中得出DID的關(guān)鍵要素包括：事故工況選取、層次設(shè)置、安全分級和充分性評價。這些要素也是下一章DID改進的具體對象。

4　縱深防御策略改進方向

改進DID策略的目標是解決現(xiàn)有DID的局限性，改進方向從新方法和新技術(shù)兩個維度考慮。

風險指引型決策方法是一種用于綜合決策的系統(tǒng)化科學分析方法，同時結(jié)合了風險評價技術(shù)和傳統(tǒng)的安全分析技術(shù)，可以用來決策DID的充分性。因此將風險指引方法應用到DID各個關(guān)鍵要素，從而建立一個風險指引型縱深防御（Risk-Informed DID，RI-DID）策略框架，彌補確定論方法的局限性，使資源投入到一些可能被忽視的風險薄弱環(huán)節(jié)。

圖1　縱深防御關(guān)鍵要素及正向設(shè)計流程示意圖

考慮未來某些先進技術(shù)的應用可能使事故發(fā)生風險顯著降低，從而降低了DID需求，甚至在某種技術(shù)條件下可以取消某一或某幾個層次。放射性包容實體屏障是核電廠DID的重要部分，屏障固有安全性的提升是簡化壓水堆縱深防御的重要方向。

4.1　方向1：風險指引的縱深防御策略

4.1.1概述

根據(jù)風險理念被逐漸認識和掌握、方法和技術(shù)逐漸成熟的過程，RI-DID可以按照改進程度分為三個遞進的改進方案：

（1）基于現(xiàn)有縱深防御理論體系的稍加改進；

（2）采用風險指引型事故選取方法的過渡改進；

（3）更加靈活的RI-DID完全改進。

各方案改進要點如圖2所示。下面分別從改進要點和具體方法、適用對象、關(guān)鍵問題幾個方面進行詳述。

圖2　建議的RI-DID方案

4.1.2方案1：基于現(xiàn)有DID的稍加改進方案

方案1的出發(fā)點是在經(jīng)典DID五個層次的基礎(chǔ)上，將某些特定事故工況的分類依據(jù)實際風險進行調(diào)整，使事故清單更好地體現(xiàn)事故機理認知的發(fā)展、運行經(jīng)驗的積累和技術(shù)水平的進步；并應用風險指引的安全分級，使應對措施的可靠性與其應對的事故風險相適應。

特定事故工況分類調(diào)整和評估的具體方法如圖3所示，說明如下：

（1）根據(jù)電廠設(shè)計特點和運行經(jīng)驗、安全性或經(jīng)濟性需求、或者某些先進技術(shù)應用對相關(guān)事故風險的影響，選定需調(diào)整分類的事故；

（2）結(jié)合風險信息（如發(fā)生頻率、風險增量）和其他影響因素，考慮不確定性，對選定工況的發(fā)生頻率進行重新估計，依據(jù)頻率變化進行分類調(diào)整；

（3）針對調(diào)整后的工況分類確定相應的監(jiān)管要求，包括適用的分析方法和驗收準則等；

（4）驗證特定電廠的屬性是否滿足本節(jié)第（2）步重新估計事故發(fā)生頻率的相關(guān)條件，進而確定工況分類調(diào)整是否適用該類電廠；

（5）對于依據(jù)新的工況分類所提出的電廠硬件改造或運行程序（技術(shù)規(guī)格書、規(guī)程等）變更，確定風險可接受準則和風險指引評估方法；

（6）制定與工況分類調(diào)整配套的其他要求，如運行要求、監(jiān)督要求、報告要求等。

圖3　特定事故工況分類調(diào)整方法

例如，輕水堆反應堆冷卻劑系統(tǒng)的最大管道雙端剪切斷裂（DEGB）破口失水事故（LOCA）目前被視為極限設(shè)計基準事故，但是該事件被廣泛認為是極端不可能的事件[26]。NRC經(jīng)過數(shù)年的研究最終編制了10CFR50.46a“LOCA技術(shù)要求的風險指引型變更”，提出了一個風險指引的最大設(shè)計基準破口尺寸（稱“過渡破口尺寸”，TBS）。

現(xiàn)有先進輕水堆中可通過上述方法，利用TBS以代替DEGB。EPR由于應用破口排除（break preclusion，BP）理念，從風險角度認為DEGB-LOCA發(fā)生概率極低，因此在Ⅳ類工況中僅考慮中破口和部分大破口LOCA（TBS=最大連接管道如穩(wěn)壓器波動管），而對于DEGB-LOCA使用現(xiàn)實性分析，其應急堆芯冷卻系統(tǒng)仍設(shè)計成具有DEGB緩解能力。

本方案還采用風險指引的安全分級方法，其特點是考慮了設(shè)備在任何可能情況下的風險重要性，使分級結(jié)果在保持足夠保守性的前提下趨于合理。該方法已經(jīng)有較多討論[27,28]，本文不再贅述。

方案1適用于短期內(nèi)輕水堆新型號的研發(fā)。

發(fā)展方案1還存在以下關(guān)鍵問題有待研究：識別有必要調(diào)整工況分類的事故；風險指引安全分級的應用研究，包括可靠的設(shè)備風險信息獲取、制定與風險重要度相適應的設(shè)備性能要求等。

4.1.3方案2：采用風險指引型事故選取方法的過渡改進方案

方案2的改進要點是采取全新的風險指引的事故選取方法，并考慮方案1應用經(jīng)驗反饋的局部改進，作為RI-DID的過渡方案。

風險指引的基準事故選取方法結(jié)合了PRA分析的客觀方法和專家判斷的主觀經(jīng)驗，通過PRA技術(shù)在設(shè)計早期介入，以頻率-后果（F-C）曲線作為篩選準則，識別和評價基準事件，該方法邏輯圖如圖4所示。

該方法是技術(shù)中立的，因此適用于中遠期的輕水堆新技術(shù)應用以及各類新堆型研發(fā)。

發(fā)展方案2的關(guān)鍵問題包括：國際上提出的幾種F-C曲線[29]主要根據(jù)各國監(jiān)管限值或推導值確定，因此為建立風險指引的事故序列選取方法，需研究適用于國內(nèi)的F-C曲線；研究風險指引的基準事故選取方法的迭代應用。

4.1.4方案3：更加靈活的RI-DID完全改進方案

方案3的出發(fā)點是使事故的DID層次劃分與風險相匹配。假設(shè)PSA技術(shù)水平發(fā)展到一定高度，在方案2的基礎(chǔ)上，顛覆傳統(tǒng)的DID層次，按照事故風險設(shè)置DID層次。從電廠整體和單一事故兩個維度分別考慮層次設(shè)置。

針對電廠整體，設(shè)置三個必要的DID主層次：正常運行、事故保護、應急響應。“正常運行”目的是可靠地完成正常發(fā)電功能，防止偏離正常運行或重要物項故障；“事故保護”目的是在發(fā)生所有偏離正常運行或重要物項故障時，采取多重保護手段以確保事故后果在可接受低水平；“應急響應”目標是減輕潛在放射性釋放的后果。

圖4　風險指引的基準事件選取邏輯流程圖[30]

針對“事故保護”，通過風險指引的事故篩選方法得出一套基準事故清單，根據(jù)事故進程和對實體屏障的挑戰(zhàn)再設(shè)置單一事故的防御子層次。子層次的數(shù)量通過綜合風險信息和不確定性的估計以及安全裕量進行決策，實現(xiàn)方式靈活多樣，可以是通常意義上的多重手段，包含系統(tǒng)設(shè)計、事故規(guī)程、定期檢查與維修等多種措施；也可以是某一手段的多重冗余或多樣化。單一事故DID子層次設(shè)置需要與風險指引的事故選取過程充分迭代，以識別出所有對安全風險有一定貢獻的始發(fā)事件或設(shè)備失效的薄弱環(huán)節(jié)。

以往核電廠的DID充分性通常按照各層次目標定性判斷，輔以CDF和LRF定量估算，缺乏將電廠系統(tǒng)設(shè)計的“硬能力”與管理程序相關(guān)的“軟能力”結(jié)合起來考慮的系統(tǒng)性評估，更缺少從設(shè)計之初就建立DID充分性的過程。基于足夠的風險信息，風險指引的綜合決策過程（Risk Informed Integrated Decision-making Process，RI-IDP）可以提供一種有效的方法解決上述問題，它是NRC提出[31]的一種用于同時包含確定論和概率論輸入的核安全復雜問題的迭代決策流程。建立和評價DID充分性的RI-IDP基本步驟如圖5所示。

圖5　縱深防御充分性的建立和評估流程圖[30]

方案3適用于遠期的新堆型研發(fā)。

發(fā)展方案3的關(guān)鍵問題包括：單一事故DID與電廠整體之間的平衡問題；未來適用于新堆型的概率安全量化指標問題；最重要的問題是PSA技術(shù)的成熟度問題，包括風險信息充分性、模型質(zhì)量等，避免陷入“數(shù)字游戲”的誤區(qū)。

4.2　方向 2：基于屏障固有安全能力提升的縱深防御簡化

4.2.1概述

從理論上講，隨著技術(shù)水平發(fā)展和人類認知水平提高，對DID的需求會逐漸降低，或者DID要求可以適當放寬，甚至在某種技術(shù)條件下可以取消某一個或幾個層次。

當前國際上壓水堆技術(shù)發(fā)展似乎進入了一個瓶頸期。為了發(fā)掘有可能突破現(xiàn)有技術(shù)瓶頸的創(chuàng)新思路，本節(jié)擬從提升固有安全能力以簡化縱深防御這一角度，對壓水堆發(fā)展的潛在技術(shù)方向進行討論。

4.2.2簡化DID的潛在技術(shù)方向

多重放射性包容實體屏障是核電廠DID的重要組成部分。輕水堆的三道實體屏障包括燃料組件包殼、反應堆冷卻劑系統(tǒng)壓力邊界、安全殼。如果屏障自身性能大幅提高，有可能簡化相關(guān)保障系統(tǒng)設(shè)計，或者降低相關(guān)事故緩解系統(tǒng)的要求。另外如果能通過某種監(jiān)測手段提前預測潛在的裂縫、變形、腐蝕、磨損、疲勞等失效模式，在故障發(fā)生之前及時采取措施，也能降低事故發(fā)生的風險。因此從性能和監(jiān)測兩個角度，針對提高實體屏障固有安全性提出實現(xiàn)簡化DID設(shè)計的技術(shù)方向，如表1所示。

表1　未來輕水堆簡化DID的潛在技術(shù)方向

燃料組件性能提升目前已有兩個方向：一個是改變?nèi)剂显缀谓Y(jié)構(gòu)，例如環(huán)形燃料；另一個是改進燃料和包殼的材料和結(jié)構(gòu)，以增強燃料包容裂變產(chǎn)物和包殼材料抗氧化能力，稱為耐事故燃料或ATF燃料。這兩類在研的先進燃料都有一定的“耐事故”能力，延緩燃料元件包殼失效進程，為事故緩解提供寶貴的時間，有可能降低相關(guān)緩解系統(tǒng)和事故規(guī)程設(shè)計要求。目前壓水堆堆芯監(jiān)測系統(tǒng)僅滿足反應堆關(guān)鍵參數(shù)的在線監(jiān)測要求，而未來可通過構(gòu)建反應堆狀態(tài)在線監(jiān)測和智能診斷平臺，以提高反應堆安全性和運維效率。

隨著對高能管道破裂行為認識的加深，通過高質(zhì)量的設(shè)計和制造，管道在雙端斷裂前會形成穩(wěn)定的亞臨界裂紋，因此通過泄漏監(jiān)測系統(tǒng)及時探測及相應的降溫、降壓操作可預防破口發(fā)生。基于此，形成了破前泄漏（LBB）理念和破裂排除（BP）理念。未來高能管道可采用故障預測與健康管理（PHM）技術(shù)進行異常檢測、診斷和預測，既可以及時發(fā)現(xiàn)故障并立即維修，避免運行事故的發(fā)生，也能夠掌握設(shè)備的健康狀態(tài)，按需策劃設(shè)備的更換，使機組運維更加科學合理。

國內(nèi)外對核電廠安全殼結(jié)構(gòu)性能研究有一定基礎(chǔ)，但對于嚴重事故下包容能力研究相對匱乏，而結(jié)構(gòu)工程領(lǐng)域精準數(shù)值模擬、人工智能神經(jīng)系統(tǒng)等先進技術(shù)迅猛發(fā)展，安全殼結(jié)構(gòu)性能提升研究方向存在突破的機遇。未來安全殼監(jiān)測技術(shù)發(fā)展也可借鑒民用與工業(yè)建筑領(lǐng)域的先進結(jié)構(gòu)健康監(jiān)測技術(shù)，推廣已有先進結(jié)構(gòu)監(jiān)測技術(shù)，如采用光纖技術(shù)監(jiān)測混凝土應變等在核電廠安全殼上的應用，并深入研究結(jié)構(gòu)健康狀態(tài)報警與預警技術(shù)、自動化監(jiān)測、智能評估、老化管理與壽命評估等方向。

5　結(jié)論

基于DID的根本目標是彌補技術(shù)和認知不完美和不確定這一認識，本文提出了未來先進核電廠DID策略的兩個改進方向：方向一是針對DID正向設(shè)計過程中四個關(guān)鍵要素，通過不同程度的風險指引方法的應用，以建立RI-DID策略。方向二是通過提升實體屏障的固有安全性，以簡化DID層次要求，并從性能和監(jiān)測兩個角度提出壓水堆潛在技術(shù)方向。以上兩個改進方向涉及方法和技術(shù)兩個維度，可以相互結(jié)合，比如某些先進技術(shù)的應用對事故風險產(chǎn)生影響，可能導致需要對特定事故工況分類進行調(diào)整或者某些基準事故的“實際消除”判斷，亦或簡化某單一事故的DID設(shè)計。

要想實現(xiàn)DID改進需要一定的技術(shù)條件，尤其是以下問題需要進一步研究和討論：

（1）高質(zhì)量的PSA技術(shù)是更加靈活的RI-DID的前提，需要明確未來PSA技術(shù)水平需求，開發(fā)適用于國內(nèi)的F-C曲線，開展風險指引型核安全理論體系研究；

（2）潛在提高實體屏障固有安全性的技術(shù)方向中，當前已開展研究的包括先進燃料和智能化故障預測技術(shù)，其他工業(yè)領(lǐng)域是否存在值得借鑒的技術(shù)、以及如何考慮和評估這些新技術(shù)對核電廠安全貢獻上的置信度或可靠度，需要進一步研究。

［1］ Beck C．Basic Goals of Regulatory Review：Major Considerations Affecting Reactor Licensing［R］．MARY D，JOHN L．Historical Review and Observations of Defense-in-Depth，NUREG/KM-0009，New York：Brookhaven National Laboratory，April 2016．

［2］ Internal Study Group in Atomic Energy Commission．Report to the Atomic Energy Commission on the Reactor Licensing Program［R］，USA：［s．n．］June 1969．

［3］ The Testimony of AEC Regulatory Staff at the Public Rulemaking Hearings on Interim Acceptance Criteria for Emergency Core Cooling Systems（ECCS）for Light Water Power Reactors（1971）［R］．MARY D，JOHN L．Historical Review and Observations of Defense-in-Depth，NUREG/ KM-0009．New York：Brookhaven National Laboratory，April 2016．

［4］ U．S．Atomic Energy Commission．The Safety of Nuclear Power Reactors and Related Facilities：WASH-1250［R］．Washington DC：U．S．AEC，March 1973．

［5］ U．S．Nuclear Regulatory Commission．Recommendations Related to Browns Ferry Fire：NUREG-0050［R］．Washington DC：U．S．NRC，F(xiàn)ebruary 1976．

［6］ U．S．Nuclear Regulatory Commission．Report on the Accident at the Chernobyl Nuclear Power Station：NUREG/ CR-1250［R］，Washington DC：U．S．NRC，January 1987．

［7］ Breen R．J．Defense-in-Depth Approach to Safety in Light of the Three Mile Island Accident［J］．Nuclear Safety，1981，22（5）．

［8］ U．S．Nuclear Regulatory Commission．TMI-2 Lessons Learned Task Force Final Report：NUREG-0585［R］．Washington DC：U．S．NRC，October，1979．

［9］ U．S．Nuclear Regulatory Commission．The Reactor Safety Study：An Assessment of Accident Risk in U．S．Commercial Nuclear Power Plant：WASH-1400［R］．Washington DC：U．S．NRC，1975．

［10］ U．S．Nuclear Regulatory Commission．Policy Statement on Use of Probabilistic Risk Assessment Methods in Nuclear Regulatory Activities；Final Policy Statement［R］．Federal Register，Vol．60，No．158，pg．4262242629，August 16，1995．

［11］ U．S．Nuclear Regulatory Commission．Risk-Informed and Performance-Based Regulation（Commission White Paper）［R］．Washington DC：U．S．NRC，March 11，1999

［12］ J．N．Sorenson，et．a(chǎn)l．On the Role of Defense in Depth in Risk-Informed Regulation［R］．Probabilistic Safety Analysis（PSA）Conference，1999．

［13］ U．S．NRC．Staff Recommendations Regarding a Risk- informed and Performance-based Revision to 10 CFR 50：SECY-07-0101［R］．Washington DC：U．S．NRC，2007．

［14］ U．S．Nuclear Regulatory Commission．Feasibility Study for a Risk-Informed and Performance-Based Regulatory Structure for Future Plant Licensing：NUREG-1860［R］．Washington DC：U．S．NRC，December 2007．

［15］ MARK A．SATORIUS．U．S．Nuclear Regulatory Commission Staff Recommendation for the Disposition of Recommendation 1 of the Near-Term task Force Report：SECY-13-132［R］，Washington DC：U．S．NRC，May 2014．

［16］ TICTOR M．MCREE．Recommendations on issues related to implementation of a risk management regulatory framework：SECY-15-0168［R］．Washington DC：U．S．NRC，Dec，2015．

［17］ International Nuclear Safety Advisory Group．Basic Safety Principles for Nuclear Power Plants：INSAG-3［R］．Vienna，Austria：IAEA，1988．

［18］ International Atomic Energy Agency．Defense in Depth in Nuclear Safety：INSAG-10［R］．Vienna，Austria：IAEA，1996．

［19］ International Atomic Energy Agency．Basic Safety Principles for Nuclear Power Plants：INSAG-12［R］，Vienna，Austria：IAEA，1996．

［20］ International Atomic Energy Agency．Fundamental Safety Principles，Safety Fundamentals：SF-1［R］．Vienna，Austria：IAEA，November 2006．

［21］ International Atomic Energy Agency．Proposal for a Technology-Neutral Safety Approach for New Reactor Designs：TECDOC-1570［R］．Vienna，Austria：IAEA，September 2007．

［22］ International Atomic Energy Agency．Safety of Nuclear Power Plants：Design：SSR-2/1［R］．Vienna，Austria：IAEA，2016．

［23］ International Atomic Energy Agency．Considerations on the Application of the IAEA Safety Requirements for the Design of Nuclear Power Plants：TECDOC-1791［R］．Vienna：IAEA，2016．

［24］湯博．核安全領(lǐng)域中縱深防御概念的產(chǎn)生、發(fā)展和存在的問題［J］．核安全，2016，15：1-7．

［25］ International Atomic Energy Agency．Assessment of Defense in Depth for Nuclear Power Plant：Safety Report Series No．46［R］．Vienna，Austria：IAEA，2005．

［26］ U．S．NRC．Final rule：risk-informed changes to loss-of-coolant accident technical requirements（10 CFR 50．46a）［R］．Washington DC：U．S．NRC，2010．

［27］ US NRC．Risk-Informed Categorization and Treatment of Structure，Systems and Components for NPP（10 CFR50．69）［R］．Washington DC：U．S．NRC，Jul．2002．

［28］ Nuclear Energy Institute．10 CFR 50．69 SSC Categorization Guideline，Rev．0［R］．USA：NEI，Jul．2005．

［29］付陟瑋，等．F-C曲線在風險指引型監(jiān)管中的應用研究［J］．核安全，2018，17：5-9．

［30］ U．S．NRC．Risk-Informed Performance-based Technology Inclusive Guidance for Non-Light Water Reactor Licensing Basis Development：NEI18-04［R］．Washington DC：U．S．NRC，August，2019．

［31］ Risk Management Task Force（RMTF）．A Proposed Risk Management Regulatory Framework：NUREG-2150［R］．Washington DC：U．S．NRC，April，2012．

New Exploration of Defense-in-Depth Theory for Nuclear Power Plant

LIU Qianwen，WU Yuxiang，WANG Changdong，F(xiàn)ENG Churan，LIU Jing，YAN Lin，WANG Gaopeng

（China Nuclear Power Engineering Co.，Ltd.，Beijing 100840，China）

The defense-in-depth (DID) theory has been developed with initiative exploration at the birth of nuclear power plant and passive modification after three nuclear accidents, and the layers and requirements of defense are increasing which makes the safety design of nuclear power plant more and more complicated. Several problems are exposed during the engineering design and development of the reactor system, including the economic cost and application of innovative technologies. In order to explore the possibility of upgrading the theory to reflect the up-to-date technology and knowledge and to achieve the purpose of “the simpler, the safer”, the prospect for improving the DID theory are discussed from two dimensions of analysis method and new technologies. One way is to establish a risk-informed DID framework with step-by-step approaches; the other is to simplify DID by improving inherent safety of physical barriers.

Defense-in-depth；Risk informed；Physical barrier；Inherent safety

TL364+1

A

0258-0918（2022）02-0443-10

2021-05-07

中核集團青年英才項目“未來核電廠安全設(shè)計理論研究”KY19096

劉倩雯（1990—），女，內(nèi)蒙古包頭人，工程師，碩士，現(xiàn)主要從事核電廠總體設(shè)計機關(guān)研究