風險指引型乏燃料水池事故管理方法的研究

石青，吳 蓓，劉元黎，唐輝

（深圳中廣核工程設計有限公司，廣東 深圳 518100）

在壓水堆核電站發展的初期，核電廠安全分析和系統設計多圍繞堆芯的反應性控制、余熱導出、放射性物質包容這三大安全功能開展。日本福島核事故后，乏燃料水池（下文簡稱“乏池”）的安全逐漸被關注和研究，但是經過調研國內外各三代堆型中，對于乏池事故假設和分析原則偏差較大。另外，由于乏池作為乏燃料的貯存系統，一經投運需要持續運行，且在機組換料大修期間對其運行和安全要求更高。但如果過度保守考慮安全，勢必導致機組維修靈活性受限，經濟性降低。對于乏池安全和機組經濟性間的平衡成為需要研究的課題。

本文通過調研國內外具有代表的二代和三代核電壓水堆的乏池事故管理和系統配置的現狀，并結合定性的事故分析，提出乏池事故管理的具體問題。通過乏池事故風險評價，給出適合于乏池事故的管理建議，包括工況分類、分析假設和分析原則等。并通過乏池相關的安全功能分解，給出系統配置的建議。

1 乏池事故管理和系統配置問題剖析

本節介紹以M310 為代表的在運二代堆、以EPR、AP1000 以及“華龍一號”為代表的三代堆對于乏池事故管理和系統配置的現狀和問題。表1 為各堆型乏池事故管理和系統配置對比情況。

表1 各堆型乏池事故管理和系統配置對比表Table 1 Comparison of accident management and system configuration for the spent fuel pool of each reactor type

1.1 以M310 為代表的二代堆型現狀

以M310 為代表的二代堆型，未將乏池相關事故作為設計工況進行管理。乏池的余熱排出功能通過配置兩系列安全級的冷卻系統實現。但機組完全卸料模式下，一列電氣列維修情況下，乏池冷卻僅可通過未維修列維持，在發生事故時兩個安全系列將全部失效，體現出兩系列配置在維修時靈活性不足的問題。在后期衍化的CPR1000+技術中，系統配置為三系列，并對于第三列考慮了機組共用母線供電。

1.2 以AP1000 為代表的三代堆現狀

以AP1000 為代表的非能動三代技術，未將乏池相關事故作為設計工況進行管理，但在系統設計時為乏池配置了兩列非安全級的乏池冷卻系統，并借用安全級的PCCWST 水箱作為補水水源。從縱深防御層次上，根據不同的計算衰變熱水平，通過從乏池、沖洗池和PCCWST水池補水作為最終安全手段。同時，針對乏池排空，還設置了噴淋系統。

1.3 以EPR 為代表的法系三代堆現狀

以EPR 為代表的法系三代堆，識別了乏池相關始發事件，將失電、失冷和破口導致的三類失水事故作為設計基準工況（DBC）進行管理，為乏池配置了三系列安全級的燃料水池冷卻（PTR 系統）。該系統兩主列配置了雙泵，且電源選擇了不同列的冗余電源；換熱器的冷源同樣做了冗余考慮；另外，對于第三列配置了多樣性的冷源。EPR 還為乏池配置了來自安全消防水的自動補水的設計，應對乏池破口等工況。

1.4 “華龍一號”為代表的國內三代堆現狀

“華龍一號”也將乏池相關事故工況列入設計基準工況進行管理。系統配置上，考慮了三系列PTR 系統，且三列電源考慮了機組維修期間從不同電源列別間的再供電設計，PTR 系統的換熱器增加了額外冷卻系統作為冗余的冷源，進一步增加了PTR 系統乏池冷卻功能的可靠性。另外，“華龍一號”堆型還為乏池配置了非能動的乏池補水系統，除此之外，依然保留了將除鹽水、消防水作為乏池備用水源的設計。

1.5 各堆型乏池事故管理問題剖析

以M310 為代表的二代堆和以AP1000 為代表的三代堆，雖配有乏池冷卻和補水的手段，但乏池事故并沒有明確作為設計工況管理，也缺少相關事故分析論證，因此該兩類堆型對乏池事故的定位不清和管理略顯不足。

而EPR 和“華龍一號”的堆型將乏池事故作為等同于堆芯的設計基準工況管理，但在維修期間，乏池事故難以滿足單一故障等設計基準所要求的保守假設。而實際上，對比乏池系統配置，EPR 和“華龍一號”并不弱于M310和AP1000。可見，對于事故機理簡單、進程緩慢的乏池事故，按照設計基準原則進行管理又略顯嚴格。

下文將評估乏池事故風險，并基于乏池風險水平，給出乏池事故管理和乏池安全配置的合理化建議。

2 基于風險指引的乏池管理方式分析

2.1 乏池的事故特征

眾所周知，乏燃料通常先在反應堆水池內貯存一段時間，然后才轉移到乏池中貯存。在乏池內貯存時間內，揮發性放射性核素的數量、輻射場的強度和余熱的產生量都有相當大的衰減。同時，在乏燃料水池及燃料貯存設計準則上，對于反應性控制有了充分的裕量考慮，即，乏池不存在臨界的風險，因此只需要保證乏燃料的剩余釋熱被帶走。

再者，乏池是常壓設計，系統運行參數較低，即使PTR 等系統出現破口，也不存在類似高能管道的質能釋放，因此，破口泄漏的進程慢、風險相對一回路小。

另外，相對于乏池內乏燃料的總量，乏池水容量較大，而燃料廠房初始溫度不高，因此衰變熱的沸騰裕量也較好。以國內某三代堆乏池為例，根據相關數據，即使考慮乏池滿載的情況下，如果乏池循環冷卻功能喪失，乏燃料池水約4 h 內發生沸騰，約40 h 后由于沸騰失水達到乏燃料的裸露。而在機組功率運行期間，在喪失乏池循環冷卻功能后，由于沸騰蒸發帶熱達到乏燃料裸露的時間需要約90 h。

根據以上分析可見，在乏燃料貯存設施內的事故進展相對堆芯事故緩慢，在他們達到極限條件之前可以有足夠的時間采取糾正行動，從而使得乏池事故風險在一定時間內較堆芯更低。

2.2 乏池事故概率安全水平

以三系列的乏池冷卻系統、安全級乏池補水系統、非安全級乏池補水的系統配置作為概率安全評價的分析基礎。其中三系列乏池冷卻系統的電源和冷源考慮多樣性的配置如圖1所示。

圖1 所分析的乏池冷卻系統示意Fig.1 The schematic of the analyzed cooling system of the spent fuel pool

考慮在完全卸料模式下，由于新乏燃料的引入，乏池的衰變熱比功率運行期間增加，且在完全卸料模式下，需要考慮支持系統的維修工作。此時，乏池的風險較高，所以以完全卸料模式下，考慮一列支持系統（電源、冷源）維修作為分析的包絡工況進行分析。

根據假設的系統配置，并參考IAEA SSG-2中建議考慮的乏池相關典型假設始發事件，安全評價考慮三類事故：

（1）失電：喪失場外電源（LOOP）；

（2）失冷：喪失一列乏池冷卻系統及其支持系統；

（3）失水：與乏池相連接管線的可隔離的破口。

根據計算，針對不同事故，在考慮初始事件，進而考慮喪失全部乏池冷卻，以及喪失安全級的乏池補水的概率水平如表2 所示。

表2 不同事故工況下和假設下的概率水平Table 2 The probability levels under different accident conditions and assumptions

可見，乏池失去冷卻后仍有多種應對手段，乏燃料裸露的風險達到實際消除的水平。

2.3 乏池事故事故管理建議

根據2.1 節和2.2 節的分析可見，乏池事故具有如下特點：

（1）乏池完全失冷事故頻率低。

（2）事故進程緩慢，允許操縱員處理時間長。

（3）乏池失冷后仍有多種應對手段，乏燃料裸露風險達到實際消除水平。

所以，乏池事故工況有別于堆芯的工況，基于現實假設和最佳估算的分析方法開展事故分析更為合適。

另外，定性分析，由于事故后乏池中的壓力接近常壓，此時溫升導致的燃料芯體及包殼溫度梯度較堆芯差別巨大，事故的進程相對緩慢，且考慮水池內水裝量的容積較大，導致乏燃料裸露時間較長，所以有較長的時間進行事故處理。同時，結合HAF 102—2016 及IAEA的規定，從縱深防御層級上將乏池事故按照淹沒準則管理乏池液位更為合適，但事故規程中對于乏池能動冷卻手段建議考慮能用則用的原則。

2.4 乏池事故管理方式及驗收準則小結

綜上分析，認為對于乏池事故，如下管理及驗收方式更為合理：

（1）乏池事故工況基于現實假設和最佳估算的分析方法開展分析；

（2）保持乏燃料淹沒狀態作為乏池事故的驗收準則，但事故規程考慮能用則用。

3 乏池系統配置建議及維修分析

3.1 乏池系統配置分析及合理性建議

根據HAF 102—2016，核動力廠所有狀態下需要確保三大安全功能，對應的乏池的安全功能分析如下：

（1）控制反應性

次臨界控制功能可通過燃料格架設計實現，事故處理過程中無需控制。

（2）余熱導出和放射性物質包容

除了使用通風過濾系統控制放射性物質的排放外，就是通過控制乏池的水裝量，確保乏燃料不裸露來保證其包容功能了。如果乏池做淹沒管理，則補水功能為安全功能。而此時，乏池冷卻功能則為運行功能。

（3）其他功能

根據福島核事故的經驗反饋，需要設置防止氫氣爆炸設計，根據工程實踐，常用的為開啟通風系統和打開逃生門，以及配置氫氣復合器。

所以結合工程實踐和以上三大安全功能分解，建議的系統配置如表3 所示。

表3 系統配置建議Table 3 Suggestions on system configuration

3.2 優化后維修分析

根據工程實踐，目前主流的乏池冷卻系統配置有三系列和兩系列兩種。其中兩系列雙泵、單換熱器，電源和冷源考慮雙列冗余配置是目前的發展趨勢。本節以兩系列配置為例展開分析。

在完全卸料模式下，電源和冷源考慮一列維修時，依然能夠保證兩列乏池冷卻系統運行，但是此時兩列PTR 系統共用一列電源和一列冷源，滿足其運行功能需求。在事故工況下，基于現實假設和最佳估算的分析方法，不疊加考慮單一故障時，在失電、破口和失冷類的事故工況下，依然還可以確保乏池的冷卻，可以從事故規程角度作為能用則用的手段。而此時，按照淹沒準則，安全級乏池補水是其安全手段確保乏池安全。另外，非安全級的補水作為后備手段。

可見，建議的乏池事故管理方法和建議的系統配置，能夠實現系統的維修工作，同時確保乏池的安全性，實現安全和經濟性的平衡。

4 小結

基于風險指引型的事故分析可見，乏池事故在一定的時間內風險相對較低。

（1）在乏燃料水池及燃料貯存設計準則上，對于反應性控制有了充分的裕量考慮，即，乏池不存在臨界的風險；

（2）乏池是常壓設計，系統運行參數較低，破口泄露的進程慢、風險相對一回路小；

（3）乏池水容量較大，且事故后溫度接近常壓，事故溫升導致的燃料芯體及包殼溫度梯度較堆芯差別巨大，事故的進程相對緩慢；

（4）乏池事故按照淹沒準則管理液位滿足法規標準要求、工程實踐，從縱深防御的角度邏輯更為合理，但從實際出發，事故規程中對于乏池冷卻建議考慮能用則用的原則。乏池事故的安全本質是保持乏燃料冷卻，通過乏燃料保持淹沒狀態是保持乏燃料冷卻的有效手段。因為以上四方面的原因，乏池失冷事故的風險相對較低，從概率安全分析角度也可得到同樣的結論。因此認為：乏池事故不同于堆芯事故，相對機理簡單、進程緩慢，即在一定的時間內事故風險相對較低。所以乏池事故采用現實的假設和最佳估算的分析方法，采用淹沒準則進行管理更為合適。

基于此風險指引的設計理念，乏池系統配置乏池補水系統及后備補水、乏池通風及氫氣復合器等實現乏池事故下的安全功能；配置乏池冷卻系統執行乏池正常運行冷卻功能，可有效釋放大修期間的運維管理要求，提高維修靈活性，提升機組經濟運營能力。是實現“華龍一號”安全保證的前提下，積極提升經濟型的良好實踐。