高温气冷堆核电站示范工程安全审评原则

　　评论：　更新日期：2018年09月19日

　　1．前言
　　高温气冷堆核电站示范工程（HTR-PM）是我国自主开发的，已列入国家中长期科技发展规划重大专项的先进核电厂项目。类似HTR-PM这类先进核电厂的一个重要特征是利用固有安全特性和非能动安全系统，以期大大提高核电厂的安全水平。
　　与传统的核电厂一样，保证HTR-PM安全的根本也是保证控制反应性、排出堆芯热量、包容放射性物质并控制运行排放以及限制事故释放三项基本安全功能。在实现这三项基本安全功能的方式上，HTR-PM具有以下特点：
　　（1）HTR-PM具有良好的负反馈特性，在正常运行工况下燃料元件的温度与其允许的温度限值之间有相当大的裕度，在某些瞬态或事故发生而导致不期望的功率上升时，仅通过燃料温升引入的较大负反应性就可以实现自动停堆或者将堆芯功率降低到一个很低的水平；
　　（2）HTR-PM具有较低的堆芯功率密度，堆芯石墨构件具有较大的热容，采用可以耐受较高温度的包覆颗粒燃料元件，这导致HTR-PM具有比较平缓的堆芯瞬态特征。同时，采用有利的堆芯几何形状设计，将为非能动堆芯余热排出创造有利条件；
　　（3）作为最后一道实体屏障，传统轻水堆核电厂的安全壳在限制事故后果和包容放射性物质方面起着至关重要的作用，而HTR-PM主要依赖具有高度可靠性的包覆颗粒燃料元件实现放射性物质的包容功能。
　　目前核电厂的设计主要依据确定论的安全要求，它与具体的堆型和系统设计密切相关。对于传统的压水堆和沸水堆核电厂，这套确定论的安全要求比较完备，其中的一些重要原则仍可作为HTR-PM的参考。但是许多国家和有关的国际组织也认识到，已有的安全要求对HTR-PM这类先进核电厂并不完全适用，而针对这种类型核电厂，安全要求的建立仍不完备。美国核管会（NRC）正在为先进堆制定一套许可证管理的框架文件，以明确高层管理准则和一些重要安全问题的要求。国际原子能机构（IAEA）在2000年颁布的新版核动力厂安全标准No.NS-R-1“SAFETY OF NUCLEAR POWER PLANTS: DESIGN”中提到，该标准对于其它类型的反应堆，包括未来的革新型系统，一些要求可能并不适用，或者在解释它们时需要一些判断。
　　国家核安全局充分认识到了上述问题，为了HTR-PM安全审评的需要，在原则上遵守我国现行有效的核安全法规和标准的基础上，制定了本审评原则，以明确国家核安全局对一些重要问题的立场。
　　本审评原则的建立参考了国内外高温气冷堆（包括HTR-10）多年发展所形成的一些经验以及近些年的最新研究成果。应该充分认识到的是，HTR-PM安全要求的建立，必须经过一个实践，认识，再实践，再认识的反复过程。对本审评原则的应用，也应抱有这样的态度。
　　2．安全目标
　　（1）定性安全目标
　　HTR-PM的安全总目标是：在HTR-PM中建立并保持对放射性危害的有效防御，以保护人员、社会和环境免受危害。
　　这个安全总目标由辐射防护目标和技术安全目标所支持。
　　辐射防护目标：保证在所有运行状态下HTR-PM内的辐射照射或由于HTR-PM任何计划排放放射性物质引起的辐射照射保持低于规定限值并且合理可行尽量低，保证减轻任何事故的放射性后果。
　　技术安全目标：采取一切合理可行的措施预防HTR-PM的事故，并且一旦发生事故时减轻其后果；对于在HTR-PM设计时考虑过的所有可能事故，包括概率很低的事故，要以高可信度保证任何放射性后果尽可能小且低于规定限值；保证实际地排除有严重放射性后果的事故发生。
　　在上述安全目标基础上，HTR-PM在设计上所要达到的一个目标是：“尽管管理当局仍然可以要求，一个基本目标是在技术上对外部干预措施的需求可以是有限的，甚至是可免除的”（同IAEA在No.NS-R-1“SAFETY OF NUCLEAR POWER PLANTS: DESIGN”中表述的目标）。
　　（2）概率安全目标
　　核安全导则HAD102/17《核动力厂安全评价与验证》中推荐了对新的核动力厂的概率安全目标：堆芯损坏频率小于10-5/堆?年，放射性物质大量释放频率小于10-6/堆?年。
　　针对HTR-PM的特点，为其推荐的概率安全目标是：采用概率安全分析，所有导致场外（包括厂址边界处）个人有效剂量超过50mSv的超设计基准事故序列累计频率应小于10-6/堆?年。
　　3．纵深防御概念
　　核安全法规《核动力厂设计安全规定》（HAF102）确定了纵深防御概念，即保证安全有关的全部活动，包括与组织、人员行为或设计有关的方面，均置于重叠措施的防御之下，即使有一种故障发生，它将由适当的措施探测、补偿或纠正，以便对由厂内设备故障或人员活动及厂外事件等引起的各种瞬变、预计运行事件及事故提供多层次的保护。
　　纵深防御概念应用于核动力厂的设计，提供一系列多层次的防御（固有特性、设备及规程），用以防止事故并在未能防止事故时保证提供适当的保护。
　　（1）第一层次防御的目的是防止偏离正常运行及防止系统失效。这一层次要求：按照恰当的质量水平和工程实践，例如多重性、独立性及多样性的应用，正确并保守地设计、建造、维修和运行核动力厂。为此，应十分注意选择恰当的设计规范和材料，并控制部件的制造和核动力厂的施工。能有利于减少内部灾害的可能、减轻特定假设始发事件的后果或减少事故序列之后可能的释放源项的设计措施均在这一层次的防御中起作用。还应重视涉及设计、制造、建造、在役检查、维修和试验的过程，以及进行这些活动时良好的可达性、核动力厂的运行方式和运行经验的利用等方面。整个过程是以确定核动力厂运行和维修要求的详细分析为基础。
　　（2）第二层次防御的目的是检测和纠正偏离正常运行状态，以防止预计运行事件升级为事故工况。尽管注意预防，核动力厂在其寿期内仍然可能发生某些假设始发事件。这一层次要求设置在安全分析中确定的专用系统，并制定运行规程以防止或尽量减小这些假设始发事件所造成的损害。
　　（3）设置第三层次防御是基于以下假定：尽管极少可能，某些预计运行事件或假设始发事件的升级仍有可能未被前一层次防御所制止，从而演变成一种较严重的事件。这些不大可能的事件在核动力厂设计基准中是可预计的，并且必须通过固有安全特性、故障安全设计、附加的设备和规程来控制这些事件的后果，使核动力厂在这些事件后达到稳定的、可接受的状态。这就要求设置的专设安全设施能够将核动力厂首先引导到安全可控状态，并最终引导到安全停堆状态，并且至少维持一道包容放射性物质的屏障。
　　（4）第四层次防御的目的是针对设计基准可能已被超过的超设计基准事故，并保证放射性释放保持在尽实际可能的低。这一层次最重要的目的是保护包容功能。除了事故管理规程之外，这可以由防止事故进展的补充措施与规程，以及减轻选定的超设计基准事故后果的措施来达到。由包容提供的保护可用最佳估算方法来验证。
　　（5）第五层次，即最后层次的防御，其目的是减轻可能由事故工况引起潜在的放射性物质释放造成的放射性后果。这方面要求有适当装备的应急控制中心及厂内、厂外应急响应计划。
　　对于HTR-PM来说，总体上仍维持上述五个纵深防御的层次，但考虑到其堆型的特点，在纵深防御层次设置的重点上与传统的压水堆核电厂和沸水堆核电厂可能会有所不同，例如，保证第一道放射性包容屏障，即包覆颗粒燃料元件的完整性将会起更加重要的作用。另外HTR-PM较长的宽容时间也可视为纵深防御的一个重要手段。
　　HTR-PM纵深防御各层次设置的合理性应该通过完整的安全评价加以证明。
　　4．总的设计基准
　　（1）电厂状态划分
　　HTR-PM的电厂状态划分为四类，除正常运行工况外，还包括预计运行事件、设计基准事故和超设计基准事故。这些电厂状态的划分主要参照各类事件发生的频率范围，并参考已有的和其它堆型的经验来确定。预计运行事件、设计基准事故频率范围划分以假设始发事件的发生频率为依据；超设计基准事故划分以事故序列的频率，并结合确定论和工程判断为依据。
　　1)预计运行事件
　　在该模块反应堆的寿期中有可能发生的，并且可能影响HTR-PM安全的一类事件，该类事件的下界定为10-2/堆?年。预计运行事件用于HTR-PM正常运行工况下的环境评价，剂量限值是：向环境释放的放射性物质对公众个人（成人）造成的有效剂量应小于0.25mSv/电厂?年。
　　这些事件的典型例子有：
　　? 一根反射层控制棒在功率运行工况下失控提升；
　　? 一回路主氦风机误加速；
　　? 失去厂外电源；
　　? 丧失正常给水流量；
　　? 汽轮机外负荷丧失，等等。
　　2)设计基准事故
　　HTR-PM设计基准事故划分为两类：稀有事故和极限事故。
　　对于稀有事故，预计在一座模块反应堆的整个寿期中不会发生，但在可能建造的这类堆型的总体中（假设数百个模块）有可能会发生，其频率范围为10-2-10-4/堆?年。
　　这些事故的典型例子有：
　　? 给水管道小破口；
　　? 反应堆冷却剂一根仪表测量管（≤DN10mm）断裂；
　　? 蒸汽发生器一根换热管双端断裂；
　　? 反应堆辅助系统厂房内氦净化系统的一根管道破裂；
　　? 放射性废液贮存罐的泄漏，等等。
　　对于极限事故，预计在这类堆型总体的寿期中不会发生，但出于安全的考虑，仍将它们归于设计基准事故之中，其频率范围为10-4-10-6?/堆?年。
　　这些事故的典型例子有：
　　? 一根控制棒在功率运行下失控提升同时发生运行基准地震；
　　? 主蒸汽管道破裂；
　　? 给水管道大破口；
　　? 与压力容器相连的一根大管道（≤DN65mm）断裂；
　　? 各种未能紧急停堆的预计瞬态（ATWS），等等。
　　对于HTR-PM的稀有事故和极限事故，其个人剂量限值分别确定为：在每发生一次稀有事故时，公众个人（成人）可能受到的有效剂量应控制在5mSv以下，甲状腺当量剂量应控制在50mSv以下；在每发生一次极限事故时，公众个人（成人）可能受到的有效剂量应控制在10mSv以下，甲状腺当量剂量应控制在100mSv以下。
　　正常运行、预计运行事件、设计基准事故(含稀有事故和极限事故)的电厂状态分类与美国ASME规范中的工况分类(A、B、C、D类工况)相对应。
　　3)超设计基准事故
　　这是一类预期在可能建造的HTR-PM型核电厂（假设数百个反应堆模块）的总体寿期中也不会发生，并且具有更低频率水平的工况。但为了确保公众的安全与健康，仍需考虑这类事件，并从中选取超设计基准事故的重要事件序列，以在确定应急源项和应急计划时加以考虑，评价需要采取什么样的应急措施。
　　通过概率论、确定论和工程判断相结合的方法，可以确定在HTR-PM设计中需要加以考虑的超设计基准事故的重要事件序列，通过必要的设计修改或规程修改，考虑在超过其原来预定功能和预计运行状态下使用某些系统（安全级和非安全级系统）及使用附加的临时系统，以及制定事故管理规程等措施来对付这些重要的事件序列。对于超设计基准事故，可采用基于现实的或最佳估算的假设、方法和分析准则。
　　根据推荐的HTR-PM的概率安全目标，采用事故序列分析，场外（包括厂址边界处）个人（成人）有效剂量超过50mSv的所有超设计基准事故序列累计频率应小于10-6/堆?年。
　　（2）工业标准和规范
　　HTR-PM遵守我国已颁布的，并且适用的国家标准。
　　考虑到我国在核安全相关领域的工业标准和规范尚存在较大欠缺，在HTR-PM的设计中还将参照下述国际或其它国家的标准和规范：
　　1）安全1、2、3级部件的设计分别参照美国ASME-Ⅲ-1-NB、NC、ND标准，安全级部件支承件和金属堆内构件分别参照ASME-Ⅲ-1-NF和NG分册；
　　2）陶瓷堆内构件设计参照：德国KTA 3232《反应堆压力容器内的陶瓷堆内构件》(1992年)；
　　3）仪表控制系统设计参照：美国IEEE标准和国际电工委员会IEC标准；
　　4）电气系统设计参照：美国IEEE标准；
　　5）球床堆芯的热工流体力学设计参照：德国KTA3102《高温气冷堆堆芯设计》（1978年）；
　　6）消防设计参考：法国RCC-I《压水堆核电站防火设计和建造准则》（1997年）。
　　其它在设计过程中可能涉及到的标准和规范，将在征得国家核安全局同意的条件下使用或参照。
　　5．安全壳
　　对于传统的压水堆核电厂和沸水堆核电厂而言，由于其所采用的燃料元件形式，以及具有高的堆芯功率密度及堆芯余热，因而对反应堆冷却剂流失事故特别敏感。为了在反应堆冷却剂流失事故时维持燃料元件的冷却，设置了复杂的应急堆芯冷却系统，这样，安全壳不仅仅起到放射性向环境释放的最后一道屏障作用，而且对事故后维持必要的冷却剂总量，保证堆芯的长期冷却也起着至关重要的作用。
　　HTR-PM对放射性物质的包容主要依赖具有高可靠性的包覆颗粒燃料元件。由于包覆颗粒燃料元件可以承受较高的温度，并且HTR-PM具有较低的堆芯功率密度，在事故后可通过热辐射和热传导等自然机制将堆芯余热传递到排热系统，然后采用非能动系统传递到最终热阱，这样，HTR-PM对反应堆冷却剂的流失并不敏感。即使对于所考虑的最严重事故工况，HTR-PM的放射性释放都是有限的，并且具有很大的延迟，这种延迟为采取事故管理措施提供了较长的宽容时间。上述特性预示了HTR-PM可采用在原理上与传统的压水堆核电厂和沸水堆核电厂有很大区别的安全壳（国际上称作VLPC，通风式低耐压型安全壳，或称作包容壳）。
　　但是采用这样的包容壳概念的合理性必须通过完整的安全评价给予证明，即必须满足为HTR-PM所确定的安全目标，并且不降低总的防御水平，包括对外部事件的防御。
　　6．事故源项
　　对传统的压水堆核电厂和沸水堆核电厂，美国早期的10CFR100和NRC近期的RG1.183等已经为其确定了假想的事故源项，但对于HTR-PM这类核电厂，国内外尚缺乏相应的法规或标准。
　　HTR-PM的设计理念是依靠固有安全特性和高可靠的包覆颗粒燃料元件，将包含在燃料颗粒中的大量放射性释放的可能性“实际地排除”，因而在确定其事故源项时必须考虑到其设计理念和设计特点。
　　参考国际上的普遍经验，HTR-PM核电站的事故源项可采用由特定事故序列分析而导致的放射性物质的释放来确定。
　　必须对HTR-PM核电站的设计基准事故和超设计基准事故的重要事件序列进行分析，以确定放射性物质的释放，并从中选取保守的和包络性的作为厂址选择和应急计划的源项。在分析过程中，应仔细分析模型的合理性，当对放射性物质释放机制的了解还不够清晰，或者相应的实验数据还不够充分时，则必须考虑适当的保守性。
　　7．应急计划
　　对于先进核电厂而言，由于在安全水平上得到了很大的提高，预示了场外应急计划简化的可能。前面已经提到了IAEA在No.NS-R-1“SAFETY OF NUCLEAR POWER PLANTS: DESIGN”中的观点：“尽管管理当局仍然可以要求，一个基本目标是在技术上对外部干预措施的需求可以是有限的，甚至是可免除的”。法国和德国的核安全当局在发展针对下一代压水堆的安全要求时，也已经采纳了场外应急最小化的理念。如法国的IPSN和德国的GRS在“IPSN-GRS为发展下一代压水堆技术导则的建议”中提出“对无堆芯熔化的事故，事故电厂附近的居民不需要保护措施（不需撤离与隐蔽）。对低压熔堆事故，无论从地域上或时间上均只需采取很有限的保护措施”，以及“低压熔堆事故必须予以'对付'，使得与它相关的最大假想释放，在范围与时间上，只需要非常有限的保护措施。这是指无需永久避迁；对紧邻电厂地区以外的区域无需紧急撤离，只需有限的隐蔽；无长期食物消费的限制”。
　　对于HTR-PM，其制定的安全目标高于美国在“先进轻水堆用户要求文件”（Advanced Light Water Reactor Utility Requirement Documents，简称URD）和欧洲在“轻水堆核电厂欧洲用户要求文件”（European Utility Requirements for LWR Nuclear Power Plants,简称EUR）中对第三代轻水堆制定的安全目标，即对于所有设计基准事故（频率低至10-6/堆?年），场外个人（成人）可能受到的有效剂量和甲状腺当量剂量分别低于隐蔽和碘防护的干预水平，而对所有超设计基准事故，其概率安全目标是场外（包括厂址边界处）个人（成人）有效剂量高于50mSv的累计频率低于 10-6/堆?年。因此，在技术上为实施场外应急简化创造了条件。
　　8．有关概率安全分析的应用
　　确定论安全方法在保证核电厂安全方面的重要作用已为大量实践所证明，但如前所述，目前对于传统的压水堆核电厂、沸水堆核电厂等确定论方法的发展已比较完备，而对于其它类型的反应堆和一些革新设计的反应堆，尚未建立起比较完备的确定论安全要求。
　　在认识到确定论安全方法在保证核电厂安全方面所起到的重要作用的同时，也必须认识到许多确定论的安全要求是依据早期有限的试验、知识和经验所建立的，也存在一些不足之处，如与具体堆型和具体系统密切相关的“处方”式安全要求、对付多重事件和多重故障的不足、在安全分级和多重性要求等方面的处理过于简单化和不平衡、以及无法定量地对核电厂的安全水平作出评估等。
　　近些年来概率安全分析方法已得到了极大的发展，概率安全分析方法在加深对核安全问题的深入认识方面、在识别核电厂设计的薄弱环节以改进电厂安全方面、在平衡核电厂的设计以优化核安全资源的利用方面，以及在定量地评估核电厂的安全水平等方面都可以起到非常重要的作用。正因为如此，在一些核电发达国家，建立RISK-INFORMED AND PERFOMANCE BASED的安全要求是核安全监管当局目前正在大力推进的一项工作，而这种安全途径对于先进核电厂则显得格外重要。
　　对于HTR-PM，概率安全分析可以支持如下的工作：
　　1）确认满足了HTR-PM的安全目标，包括概率安全目标；
　　2）支持HTR-PM电厂状态的划分；
　　3）支持对HTR-PM设计中所要考虑的超设计基准事故重要事件序列的选取；
　　4）支持事故源项的选取和确定；
　　5）支持HTR-PM纵深防御层次的设置；
　　6）支持HTR-PM运行技术规格书的制定；
　　7）支持某些具体安全要求的建立或调整。
　　在应用概率安全分析方法时，也要认识到概率安全分析方法所存在的某些局限性，因而必须注意下述问题的处理：
　　1）确保概率安全分析工作达到与其所支持工作相称的质量水平；
　　2）合理地处理概率安全分析结果的不确定性；
　　3）进行必要的敏感性分析，以保证不存在“陡边”效应；
　　4）由于确定论安全分析的保守要求确实为某些未知因素带来了一定的保守裕度，因而在概率安全分析工作中使用保守模型还是现实模型时需要根据具体情况仔细斟酌。
　　9．安全分析软件的验证
　　一般来说，在HTR-PM设计和安全评价过程中所使用的安全分析软件，包括其适用范围，应得到鉴定。
　　但考虑到目前国际上高温气冷反应堆技术发展的现状和HTR-PM所具有的示范堆性质，在HTR-PM设计和安全评价过程中所使用的某些安全分析软件可能尚无法得到鉴定，或者使用范围和鉴定范围有所偏差。在这种情况下，应尽实际可能地对这些安全分析软件进行验证，包括必要的试验验证、不同程序的对比验证，以及充分利用HTR-10的相关试验和运行数据的验证等。同时，在HTR-PM的设计中也应适当地考虑为将来的安全分析软件验证创造条件。