AP1000核电厂在日本福岛核事故条件下的响应分析

邱志超

摘   要：日本福岛核事故是迄今为止世界第三起严重核事故，深刻影响了世界核电发展进程以及公众对核电的信心和信任，后果非常严重，教训也相当深刻。AP1000作为第三代非能动压水堆核电技术，革命性地采用了非能动设计理念，专设安全设施不依赖于交流电源，有效降低了设备故障和人因失误引发严重事故的可能。经评估分析，AP1000核电厂不仅能够抵御类似福岛的超设计基准事故，还能够在类似福岛核事故叠加极低概率严重事故的情况下实现堆芯和乏燃料长期冷却，避免放射性物质释放到环境中。

关键词：福岛核事故  全厂断电  AP1000  非能动  超设计基准事故

中图分类号：TL93                                   文献标识码：A                        文章编号：1674-098X（2019）05（c）-0118-04

1  日本福岛核事故概述及原因分析

2011年3月11日发生的日本福岛核事故是继1979年美国三哩岛核事故、1986年前苏联切尔诺贝利核事故之后的世界第三起严重核事故，造成了大量放射性泄漏和大面积核污染，深刻影响了世界核电发展进程以及公众对核电的信心和信任，后果非常严重，教训也相当深刻。

从事故性质看，福岛核事故是一起由极端外部事件叠加导致全厂断电而引发的群堆共模严重事故[1]。超强地震与超大海啸的叠加造成长时间的全厂断电，堆芯和乏燃料长期得不到冷却，最终导致严重事故的发生，造成外层反应堆厂房和乏燃料厂房破损，放射性物质大量释放到环境中。大地震及其引发的大海啸，实质只是导致了全厂断电事故的发生，对全厂断电事故应对不力才是导致事故升级的根本原因，这其中既包括早期沸水堆的設计缺陷，也包括日本政府、东京电力公司等机构在应对事故时的种种人因失误与能力缺失。

1.1 自然灾害因素

超强地震叠加超大海啸的极端外部自然灾害是导致事故发生的直接诱因。福岛第一核电站海啸设防高度为5.7m，福岛第二核电站海啸设防高度为5.2m，海啸数据是基于8.0级地震设防[3]。因此，引发事故的9.0级大地震和最大浪高达到约14m的大海啸，远远超出了电站的设计基准，同时也超过了世界所有在运、在建二代及三代核电站的设计基准。

1.2 设计缺陷

福岛第一核电站是20世纪60年代设计建造的早期沸水堆电站，当时并没有形成严重事故的清晰概念，更谈不上预防和缓解严重事故的安全措施。

（1）专设安全设施为能动设计，严重依赖于交流电源。这次事故中，强地震加大海啸不仅毁坏了外电网，还使得厂区自备的应急柴油发电机失效，全部交流电源丧失，最重要的专设安全设施应急堆芯冷却系统不能正常投用，堆芯长时间得不到冷却。

（2）安全壳内没有任何消氢设计。由于设计年代较早，设计认为堆芯极不可能熔化，安全壳设计中未考虑装针对严重事故氢气风险的相关系统，没有有效的氢气浓度监测和消氢措施，致使事故中安全壳和乏燃料厂房内的氢气浓度持续上升，与厂房内的氧气发生化学反应，从而导致1-4号机组接连发生爆炸，安全壳厂房受损，放射性大量释入大气环境[1]。

（3）安全壳设计理念存在缺陷，自由空间比较小，存在超压失效风险。

（4）未考虑堆芯熔融物滞留设计。早期设计认为沸水堆堆芯极不可能熔化，更不会考虑堆芯熔融物穿透压力容器壁的严重后果。

（5）沸水堆机组结构设计易导致放射性泄漏。与压水堆机组不同，沸水堆产生的推动汽轮机的蒸汽是由核燃料直接加热，事故状态下若需要给反应堆紧急降压，只能将带有放射性的蒸汽直接排放，从而导致放射性释放到外界。

（6）主控室没有备用操控手段。事故中，由于主控室没有备用操控手段和电站状态指示、局部位置不可到达，一些缓解事故的干预措施只能就地操作，但由于受地震、海啸、氢气爆炸以及高温、高辐射的影响，使得抢险救灾活动严重受阻，电站受损程度远远超出了预期[2]。

（7）放射性废水处理设施设计不足。在事故初期，为缓解事故后果，向1-4号机组的安全壳和乏燃料水池内注入了大量海水和淡水，在冷却状况逐渐得到控制之后，放射性废水的泄漏以及大量放射性废水的处理问题逐渐显现。由于放射性废水处理设施准备不足，时至今日，厂内大量放射性废水的处理仍是最为棘手的问题。

1.3 人为因素

除自然灾害因素和设计缺陷外，电站运营方和政府机构表现出的种种失职和无能也进一步扩大了事故后果。

（1）营运方失职，核安全意识淡薄。

东京电力公司作为世界知名核电运营商，在事故前后及处理过程中的表现却令世人大跌眼镜，难以置信。

首先是核安全意识淡薄，历史表现极其不堪，安全记录和试验数据屡次造假;其次是事故处理犹豫，抱有侥幸心理，未把核安全放在首位;另外，东电高层在发生爆炸后并未在第一时间向日本政府汇报真实情况，而是选择隐瞒实情，从而导致政府部门和自卫队错过了最佳救援时机，事故才一发不可收拾。

（2）日本政府处置失当，核应急管理经验缺失。

日本政府对于本次事故的发生和处理同样难辞其咎。

首先是对营运方的核安全监管和执法长期严重失职;其次是未能做到信息公开，核应急经验缺失。核事故应急的关键在于能否及时向社会和公众公开事故信息;最后是盲目拒绝国际援助，贻误了抗灾救险的宝贵时机[1]。

2  AP1000相关系统设计

2.1 AP1000专设安全系统设计

AP1000核电厂与传统压水堆核电厂的最大区别，是在专设安全系统的设计中引入了“非能动”理念。非能动安全系统利用重力、自然循环、压缩气体的储能等自然驱动力，无需操纵人员的行动控制，实现堆芯冷却和安全壳热量导出;取消了安全级的应急柴油发电机组，启动与运行无需交流电源，且不再需要其他压水堆核电厂所使用的支持系统（如1E级交流电源、安全级的冷却水系统）;系统阀门数量大幅减少，并遵循“失效安全”准则，在失去电源或收到安全保护信号时自动开启，提高了系统运行的可靠性[3]。AP1000非能动安全系统示意如图1所示。

2.2 其他相关系统设计

除了堆芯应急冷却系统，福岛核事故过程中还涉及了其他安全相关的系统和设备，包括乏燃料池冷却系统、应急柴油发电机、1E级蓄电池组、主控室应急可居留系统、厂内备用水源等。

AP1000乏燃料池冷却系统（SFS）与乏燃料安全相关的冷却和屏蔽功能由池水完成。SFS不要求用来缓解设计基准事故。在不大可能发生的SFS长期失效的情况下，乏燃料的冷却靠池水的热容量来保证。至少在7d内，水位维持在乏燃料组件之上。初始的72h内由安全相关的水源供水。72h～7d内，由非能动安全壳辅助冷却水储存箱用重力自流方式向乏燃料池补水[3]。

设在辅助厂房4层的主控室应急可居留系统（VES ）在事故情况下向主控室提供可呼吸的空气，防止放射性气溶胶进入主控室，确保事故后72h内主控室可用。72h后，可运行主控室辅助风机，从VES吸入口抽取空气，经管道送至主控室来确保主控室的可居留性。VES自动触发，非能动运行，除了阀门一次性动作外，不需要厂外或厂内任何交流电源[3]。

此外，AP1000核电厂还设计了其他厂内和厂外的纵深防御系统，满足72h后的长期冷却需求，厂内设施能力可满足4～7d要求，比如非能动安全壳辅助冷却水储存箱、消防水箱和除盐水箱等。福岛核事故后作为安全裕度增强措施，AP1000设置了永久性补水和外电源接口，同时配置了移动电源和移动泵，可在需要时投入使用[3]。

综上所述，AP1000核电厂采用非能动安全系统和完备的纵深防御系统，具有很高的安全性。

3  AP1000核电厂在福岛核事故条件下的响应分析

3.1 AP1000核电厂在福岛核事故条件下的响应过程

福岛核事故后，国家核电技术公司和美国西屋公司分别对AP1000核电厂在福岛核事故条件下的应对能力开展了全面的分析评估。评估表明：AP1000核电厂可以抵御类似福岛的超设计基准事故的巨大冲击;在事故后72h内，非能动安全系统将电厂逐步带入安全停堆状态，最大限度减少了操纵人员干预和对外部电源的依赖;反应堆堆芯或乏燃料池不会发生燃料破损;安全壳可维持其完整性，放射性不会泄漏到环境中;72h内无需厂外支援，72h后也仅需少量厂外援助，这样大大降低了由于人因失误引发严重事故的可能性。

下面根据AP1000核电厂的设计特点，按照福岛核事故的发展序列分析其响应过程。

假定事故前AP1000核电厂正常运行。发生类似福岛的超设计基准地震后，外部电网迅速解列，电厂丧失厂外交流电，安全级的控制棒驱动机构设计可保证控制棒自由下落，实现反应堆紧急停堆，同时汽轮机跳闸甩负荷。此时反应堆冷却剂泵、主给水泵和循环水泵停运不可用，电厂通过以下动作来实现安全停堆和堆芯衰变热导出：

（1）廠内备用柴油发电机自动投运，向要求的非安全系统供电;

（2）通过大气释放阀让蒸汽发生器直接向大气排放蒸汽;

（3）由启动给水系统向蒸汽发生器供水;

（4）反应堆冷却剂以自然循环方式流向蒸汽发生器;

（5）一回路水装量和硼浓度由化学和容积控制系统来控制;

（6）手动启动稳压器电加热器和化学和容积控制系统补水泵，一回路压力由稳压器电加热器和辅助喷淋来控制。

约46min后，大海啸来袭，淹没了柴油发电机房，导致厂内外交流电全部丧失、启动给水和化容系统不可用，1E级蓄电池组自动向特定负荷供电。当启动给水低流量或蒸汽发生器宽量程低水位信号出现时，非能动余热排出系统自动触发投入运行，通过自然循环方式将堆芯余热带至安全壳，实现一回路的降温降压。非能动余热排出系统运行一段时间后，反应堆冷却剂压力或温度低至整定值时，将产生专设安全系统触发信号，堆芯补水箱启动，将含硼水注入反应堆冷却剂系统，缓解反应性瞬变并提供要求的停堆裕度。由于反应堆冷却剂系统没有破口，不会降压到触发自动降压系统和安注箱动作。在工况稳定后，将终止非能动堆芯冷却系统的运行，启动正常的停堆程序。

应当指出，海啸发生后，安全壳和辅助厂房因设置了防水封堵措施，其相关安全监测和控制功能继续保持，非能动安全系统不受海啸影响，仍可持续运行。非能动余热排出系统继续排出堆芯衰变热，保证反应堆在72h内维持安全停堆状态。由于非能动余热排出系统换热产生的水蒸汽在安全壳穹顶凝结并回流至安全壳内换料水箱，维持安全壳内的长期水源。同时，安全壳内的热量通过钢制安全壳进行热传递，并由非能动安全壳冷却系统喷洒水形成的水膜和安全壳外自然对流的空气排入大气，以保证安全壳完整性、包容事故产生的所有放射性物质。

正常运行的乏燃料池冷却系统可能由于地震失效，导致水池温度升高。通过蒸发，乏燃料水池的热容量可维持乏燃料72h的冷却。72h后，可启动辅助柴油发电机向非能动安全壳冷却系统（PCS）再循环泵供电，为非能动安全壳冷却水储存箱和乏燃料池供水，以满足乏燃料和非能动安全系统的冷却需求。若72h后辅助柴油发电机由于地震或海啸失效，此时可将移动电源和移动水泵投入运行，向非能动安全壳冷却水储存箱和乏燃料池注水。非能动安全壳辅助冷却水贮存箱的水量可保证4～7d的电厂冷却用水。另外，还可从除盐水箱、消防水箱、常规岛造水车间水箱、自备水厂等厂内水源取水。7d后，可用厂外水源继续冷却电厂，如消防车、排水等。停堆34d后，堆芯衰变热降到9MW以下，安全壳仅靠壳外空气的自然对流就可带走衰变热，此时不再需要外部水源补给，电厂实现长期自然冷却[3]。

3.2 AP1000核电厂应对类似福岛核事故叠加极低概率严重事故的缓解能力

AP1000在设计中考虑了严重事故条件下所能产生的事故现象与进程，并设置了包括非能动安全系统等专设安全设施来预防和缓解可能产生的事故后果。从安全分析角度，如果在发生类似福岛核事故的同时，出现了极低概率的严重事故，AP1000的设计能够满足预防与缓解严重事故的能力要求，防止放射性物质释放到环境中。

若在类似福岛核事故的同时发生一回路失水事故（LOCA），AP1000核电厂通过非能动堆芯冷却系统向一回路进行补水和降压，堆芯补水箱、安注箱和换料水箱根据各自触发条件分别向反应堆紧急补水。当换料水箱水位低至一定限值时，安全壳再循环爆破阀自动打开，系统从安全壳地坑向堆芯注水，并通过自动泄压系统的四级阀门排出热量，以实现堆芯的长期冷却。同时非能动余热排出系统产生的蒸汽通过安全壳穹顶的冷凝，回流至安全壳内换料水箱，维持安全壳内的长期水源。非能动安全壳冷却系统可以继续保证安全壳的完整性。

将堆芯熔融物保持在压力容器内设计技术（IVR）是AP1000核电厂采用的一项对付严重事故的重要策略。若在类似福岛核事故的同时进一步发生极不可能的堆芯熔化事故，AP1000核电厂通过堆腔淹没系统（见图2），将换料水箱内的水以非能动方式注入堆腔，冷却压力容器外壁面，使堆芯熔融物滞留在压力容器内，并保证压力容器不被熔穿，避免堆芯熔融物和混凝土底板發生反应，使放射性向环境释放的概率降至最低[3]。

4  结语

日本福岛核事故是一起由极端外部事件叠加导致全厂断电而引发的群堆共模严重事故。超强地震叠加超大海啸的极端外部自然灾害是导致事故发生的直接诱因，对全厂断电事故的应对不力是导致事故升级的根本原因。AP1000作为典型的第三代非能动压水堆核电技术，采用了革新型的非能动设计理念，专设安全设施不依赖于交流电源，大幅度降低了设备故障和人因失误引发严重事故的可能。经评估分析，AP1000核电厂不仅能够抵御类似福岛的超设计基准事故，还能够在类似福岛核事故叠加极低概率严重事故的情况下保证全厂安全。

参考文献

[1] 张禄庆.日本福岛核事故原因初探及启示[N].中国核工业报， 2011， 1（1）：3-5.

[2] 王中堂， 柴国旱. 日本福岛核事故[M]. 北京： 原子能出版社， 2014.

[3] 林诚格. 非能动安全先进压水堆核电厂技术[M]. 北京： 原子能出版社， 2010.