纵深防御在“华龙一号”设计中的应用

张艳辉 张琳 郑俊

摘要：纵深防御贯穿于核电厂整个寿期（设计、建造、运行和退役）的各个阶段，以保证核电厂所有活动均置于重叠措施的防御之下，当有一种防御措施失效时，它将由适当的措施探测、补偿或纠正。本文介绍了纵深防御的目标和分层，结合“华龙一号”的基本技术特征，采用最新提出的能动与非能动相结合的安全系统设计理念，对纵深防御在“华龙一号”中的应用进行分析。结果表明，“华龙一号”具有更高的安全性和经济性，满足最新的安全要求和国际上第三代核电的用户要求。

关键词：纵深防御;华龙一号;能动与非能动;核电厂

中图分类号：TP29 文献标识码：A

核能是一种安全且环境友好的能源，是国际能源可持续发展的重要组成部分，建设核电站必须始终坚持质量第一和安全第一的原则。为了实现核安全目标，在核电厂的设计、建造、运行和退役各阶段采用纵深防御的原则，不仅从设备上而且从措施上提供多层次的重叠保护，以确保对反应堆功率有效控制，对燃料组件充分冷却，对放射性物质实现有效包容，使其不发生泄漏。

1核电厂纵深防御的目标和分层

国家核安全局在2016年重新修订发布的《核动力厂设计安全规定》（HAF102）中指出：纵深防御要贯彻于安全有关的全部活动，包括与组织、人员行为或设计有关的方面，以保证这些活动均置于重叠措施的防御之下，即使有一种故障发生，它将由适当的措施探测、补偿或纠正。在整个设计和运行中贯彻纵深防御，以便对由厂内设备故障或人员活动及厂外事件等引起的各种瞬变、预计运行事件及事故提供多层次的保护。

根据核电厂核安全事故的发展特点，纵深防御的三个目标为：（1）补偿或纠正设备故障或人员差错;（2）维持屏障本身的有效性并防止故障传播到全厂;（3）在屏障本身的有效性不能完全保持时，保护从业人员、公众和环境不致受到辐射伤害。

为了实现纵深防御的三个目标，根据核电厂运行特点，纵深防御通常设置为5个层次：预防、检测、保护、包容、应急。防御层次是纵深防御原理对与核反应堆的运行、停堆和冷却相关的仪控系统的特殊应用。如果某一防御层次失效，后面的层次可以加以补偿或纠正，不同层次的防御措施的实施与更高或更低层次的防御有效性无关。通常情况下，将头3层防御措施作为设计基准，目的是保持堆芯结构的完整性和限制公众可能受到的辐射危害;将第4层防御措施作为超设计基准，目的是使发生严重机组工况的可能性和放射性释放量均保持在合理可行尽可能低的水平。

2纵深防御应用于“华龙一号”

“华龙一号”（HPR1000）是我国目前唯一具有完整自主知识产权的三代核电品牌，是中核集团和中广核集团在我国几十年核电建设运营成熟经验基础上，融合国际先进核电技术设计理念，并充分借鉴2011年日本福岛核事故获得的经验反馈，潜心钻研，依据国际最高核电安全标准合作完成的自主创新成果。2015年5月7日，“华龙一号”全球首堆示范工程在福建福清开工建设，标志着中国核电自主创新的里程碑;2015年8月20日，“华龙一号”海外首堆在巴基斯坦卡拉奇开工建设，标志着中国核电“走出去”的新起点。

2.1“华龙一号”技术特征

“华龙一号”的设计方案立足于纵深防御的原则，采用确定论与概率论相结合的安全分析方法，以“风险指引”确定安全设计方案。在不同的防御层次上，“华龙一号”满足冗余性、独立性和多样性的设计要求，并更好地平衡了经济性，进一步完善了核电厂预防和缓解严重事故的措施。

“华龙一号”反应堆堆芯由177组先进燃料组件组成，在提高反应堆发电功率的同时降低了堆芯线功率密度，具有更高的安全性和经济性;一回路主系统采用成熟的三环路设计，具有更大的稳压器容积，每个环路采用增大的蒸汽发生器，可适应更高的运行功率和容纳运行瞬态，提高系统运行稳定性;采用双层安全壳结构，能够抵御商用大飞机的恶意撞击，事故情况下可保证放射性物质不会外泄;主循环泵增设停机静密封，以利于在全厂断电时保持一回路的自然循环，导出堆芯余热;压力容器上新增设高位排气系统，事故发生时可排出累积于上封头处的不可凝气体，防止其影响堆芯冷却剂的流动和传热，避免堆芯熔化;地震水平与竖向峰值加速度为0.3g，具有更强的系统与设备抗震能力，可有效抵御引发福岛核事故类似震级的地震;采用健全的防水淹措施，加强抵御内部水淹和外部水淹能力;主设备（反应堆压力容器、蒸汽发生器、稳压器、主管道、主泵泵壳等）设计寿命为60年，堆芯换料周期为18个月，电厂可利用率大于等于90%，大大提高了核电厂经济性;采用“能动与非能动”相结合的安全系统设计，在全厂断电工况等极端条件下，能动系统的功能丧失，非能动系统能在72小时内将反应堆维持在安全状态。

2.2能动加非能动安全系统设计

能动与非能动相结合的安全设计理念是“华龙一号”最具代表性的创新。能动安全系统严格遵守安全级设计要求，满足冗余性、独立性、多样性、单一故障等原则，技术成熟，可靠性高，能够快速消除或缓解事故;非能动系统则依赖重力、自然循环、热膨胀、气体膨胀等自然力，即使在能动系统全部失效或全厂失去电源时，仍可保证反应堆的安全。“华龙一号”设计中的典型非能动系统主要包括：非能动安全壳热量导出系统、二次侧非能动余热排出系统、能动与非能动相结合的堆腔注水冷却系统。通过大量试验研究证明，在特定事故工况下，这些非能动系统均能够满足其既定的功能需求。“华龙一号”能动与非能动安全系统的原理图如图1所示。

根据纵深防御的分层原理，在防御的第3层次，即在应对设计基准事故时，以能动安全系统（安注、安全壳喷淋、应急堆芯注水、二次侧余热排出等）为主要控制，辅以安注箱、弹簧式安全阀等部分非能动安全手段;而在防御的第4层次，即在处理由多重失效所导致的超设计基准事故时，在能动安全系统不可用的情况下，增设非能动安全措施以导出堆芯余热并保证安全壳的完整性。与传统M310相比，“华龙一号”以能动和非能动相结合的方式实现反应堆应急堆芯冷却、堆芯余热导出、安全壳热量排出和堆芯熔融物滞留在压力容器内等功能，能动技术安全、成熟、可靠、高效的优势得以充分发挥，辅以非能动技术不依赖于外部动力的固有安全属性，使“华龙一号”具有更高的安全性。

“华龙一号”能动加非能动安全系统设计中，非能动系统是以一种多样化手段作为能动系统的备用和补充，而能动系统的可用性仍需置于首位予以保证。两者互补结合有效提高了核电厂安全性，使“华龙一号”能够满足堆芯损坏频率（CDF）小于10-6/堆·年，大量放射性释放频率（LRF）小于10-7/堆·年的安全目标。

3结论

“纵深防御”是核电设计必须遵循的基本原则，是核电厂防止和减轻事故后果的重要手段，其始终贯穿于“华龙一号”安全有关的全部活动，以实现核电厂反应性控制、堆芯余热导出、放射性包容三项基本功能。“华龙一号”满足国际国内最新的安全要求，对中国核电自主创新和核电“走出去”具有里程碑式的历史意義。