核电厂安全核电厂安全设计

1、 第三章第三章 核电厂的安全设计核电厂的安全设计 - -第二节 核电厂安全设计原则内容提要：三里岛、切尔诺贝利、福岛事故简要回顾三道屏障和五个层次的纵深防御单一故障原则三里岛事故 1979年3月28日，美国三哩岛核电站2号机组满功率运行。凌晨4点，二回路的水泵发生故障后，二回路的事故冷却系统自动投入，但因前些天工人检修后未将事故冷却系统的阀门打开，致使这一系统自动投入后，二回路的水仍断流。导致一回路升温升，进而触发反应堆自动停堆，卸压阀也自动打开。三里岛事故 同时，当反应堆内压力下降至正常时，卸压阀由于故障未能自动回座，使堆芯冷却剂继续外流，压力降至正常值以下，于是应急堆芯冷却系统自动投入，但

2、操作人员未判明卸压阀没有回座，反而关闭了应急堆芯冷却系统，停止了向堆芯内注水。 这一系列的管理和操作上的失误与设备上的故障交织在一起，使一次小的故障急剧扩大，造成堆芯熔化的严重事故。三里岛事故 在这次事故中，主要的工程安全设施都自动投入，同时由于反应堆有几道安全屏障（燃料包壳，一回路压力边界和安全壳等），因而无一伤亡，在事故现场，只有3人受到了略高于半年的容许剂量的照射。核电厂附近80千米以内的公众，由于事故，平均每人受到的剂量不到一年内天然本底的百分之一，因此，三里岛事故对环境的影响极小。切尔诺贝利事故 1986年4月26日当地时间1点24分，前苏联的乌克兰共和国切尔诺贝利（，Chernob

3、yl）（原本以列宁的名字来命名）4号反应堆发生严重泄漏及爆炸事故。切尔诺贝利事故 事故经过： 4月25日l点整，工作人员开始降低反应堆功率（直到此时，该机组一直在额定参数下运行 在14点，按照试验大纲的要求，把反应堆应急堆芯冷却系统与强迫循环回路（MFCC）断开。可是，由于控制室的要求推迟了机组从运行状态下解列。于是，在违反运行规程的情况下，该机组在应急冷却系统断开后继续运行。切尔诺贝利事故 在23点10分又开始降功率。试验大纲中，发电机惰走的同时供给机组需要的电源应在堆功率为7001000兆瓦（热）下完成。 可是，当局部的自动调节系统切除时（这是按低功率下运行规程应该做的），操作人员未能足够

4、迅速地消除因自动调节棒的测量部件所引起的不平衡。结果，功率降到30兆瓦（热）以下。切尔诺贝利事故 4月26日1点，操作人员才成功地使功率稳定在200兆瓦（热）。同时，因为反应堆“中毒”仍在继续，进一步提高功率受到了小的可利用的过剩反应性的限制。所以，当时的功率实际上低于规定要求的水平。 l点23分30秒，操作人员从快速反应性计算程序输出看到，现在过剩反应性已达到要求立即停堆的水平。 然而，工作人员并没有据此停堆，而是继续实验。 1点23分4秒第8号透平发电机组事故调节阀关闭。反应堆在大约200兆瓦（热）功率下继续运行。与两台透平发电机组（7号透平发电机组于4月25日关闭）的应急调节阀关闭有关的

5、事故保护系统都被解除，以便若第一次试验失败的话，将有可能再重新做该实验。 这意味着更进一步违反实验大纲，大纲没有规定在关闭2台透平发电机组时切除反应堆事故保护系统。 切尔诺贝利事故 实验开始之后不久反应堆功率开始缓慢上升。在1点23分40秒，机组值班长发出命令按动AZ5按钮。这将把所有的控制棒和快速停堆棒插入堆芯。这些棒下落几秒钟后，感到有一些振动，而且，操作人员看到吸收棒没有完全插到堆芯底部停止位置。（正反应性引入过大，功率剧增，反应堆不可控的） 接着他切断了棒控制系统的伺服机驱动机构的电源，以便使吸收棒靠本身自重坠入堆芯。根据4号机组外侧的目击者们提供的情况，在1点24分接连发生两次爆炸。

6、燃着物的团块和火星冲入反应堆上空，其中有些落到汽轮机厂房屋顶并开始着火。 切尔诺贝利事故切尔诺贝利事故 大约有1650平方千米的土地被辐射。后续的爆炸引发了大火并散发出大量高辐射物质到大气层中，涵盖了大面积区域。这次灾难所释放出的辐射线剂量是广岛原子弹的几百倍。事故导致30人当场死亡，上万人由于放射性物质的长期影响而致命或患的重病。福岛事故 2011年3月11日下午，日本东部海域发生里氏9.0级大地震，并引发海啸。位于日本本州岛东部沿海的福岛第一核电站停堆，且若干机组发生失去冷却事故，运营福岛第一核电站的东京电力公司在13日上午11时，向政府作出紧急通报，宣布福岛第一核电站进入“紧急状态”;3

7、月12日下午，一号机组发生爆炸;3月14日，三号机组发生两次爆炸；日本经济产业省原子能安全保安院承认有放射性物质泄漏到大气中，方圆若干公里内的居民被紧急疏散（疏散范围一直在扩大）。福岛事故直接原因：强地震海啸 间接原因：设计的缺陷和建设时对自然灾难引发的风险评估不足核岛设备存在安全隐患（老化）运营和审查机构失职紧急情况下应急管理经验缺失从以上事故分析看来都有设计上的原因 三里岛是常规设备的可靠性不够； 切尔诺贝利是低功率下 设计成正具有正反应性效应，且慢化剂为高温下可燃烧的石墨； 福岛是严重事故的防御能力设计不足。核电厂基本设计原则大部分体现在 单一故障准则 冗余性原则（多样性原则） 多样性原

8、则 独立性原则 故障安全原则（失效安全原则） 定期试验、维护、检查的措施 固有安全性的设计原则 运行人员操作优化的设计 运行经验的系统反馈核电厂安全设计总原则 纵深防御基本安全原则 多道屏障 多级防御 单一故障准则 设计基准事故准则多道屏障 燃料芯块 元件包壳 一回路压力边界 安全壳防止放射性物质外泄的四道屏障 第一道防线第一道防线预防事故（预防） 设计偏安全 质量保证系统 安全标准 第二道防线第二道防线监测事故（监测） 检测和纠正偏离正常运行状态 保护装置、系统 安全裕量（多重、设备分级） 第三道防线第三道防线防止事故扩大（保护） 多道屏障 专设安全措施 停堆系统 第四道防线第四道防线缓解事

9、故（缓解） 严重事故管理 第五道防线第五道防线应急计划（应急） 居民屏蔽、撤退、供给药物安全设计中的多级防御第一道防线预防事故(预防) 目的 对事故的预防 设计要求 精心设计、建造和运行核电厂，防止发生故障 使放射性物质始终处于设计许可的位置并受到监控 核电厂的设计必须是稳妥的和偏于安全的 电厂各系统、各设备不能出现不允许的差错或故障 管理要求 建立周密的程序，严格的制度和必要的监督 建立一整套质量保证和安全标准 按严格的质量标准、工程实践经验以及质量保证程序进行设计、制造、安装、调试、运行和维修 工作人员的要求 加强对核电站工作人员的教育和培养保守的设计可靠的设备第二道防线监测事故(监测)

10、目的 防止运行中出现的偏差发展成为事故 这是考虑到即使在核电厂的设计、建造和运行中采取了各种措施，电厂仍然可能会发生故障。 提供工程系统，防止事件演变成事故 设计要求 设置可靠保护装置和工程系统 它们的功能是探测妨碍安全的瞬变，完成适当的保护动作 这些系统必须按保守的设计实践设计 必须留有足够的安全裕量并应配有重复探测、检查和控制手段 各种测试仪表必须具备较高的可靠性。 运行管理要求 必要时启用由设计提供的安全系统和保护系统 防止设备故障和人为差错酿成事故第三道防线防止事故扩大（保护） 目的 限制事故引起的放射性后果 通过提供工程系统缓解事故，是对于前两道防御的补充 它专门用于对付那些几乎不可

11、能发生但从安全角度又必须加以考虑的各种事故。 限制和尽量减少放射性释放量 设计要求 配置必需的专设安全设施，以便对付预期假想事故 保证多道屏障的完整性 确保停堆系统的可靠性 运行管理要求 启用核电站安全系统 加强事故中的电站管理 防止事故扩大，保护安全壳厂房第四道防线缓解事故（缓解） 目的 针对设计基准可能已被超过的严重事故 保证放射性释放在尽可能低的程度 保护包容功能 设计要求 制定事故管理规程(SAM) 制定防止事故进展的补充措施和规程 制定减轻严重事故后果的措施 运行管理要求第五道防线应急计划（应急） 目的 万一发生极不可能发生的事故，并且有放射性外泄，启用厂内外应急响应计划 在严重事故

12、工况下保护厂外公众免受过量的辐射 努力减轻事故对居民的影响 运行管理要求 每个核电厂均应制订应急计划 能对附近居民实行屏蔽、疏散、供给药物 并对食物进行封锁，使损害降到最小限度单一故障准则 定义某部件出现故障时，它的功能能保证 安全系统的冗余原则 多样性原则 失效安全原则 独立性原则单一故障准则 满足单一故障准则的设备组合 在其任何部位发生单一随机故障时，仍能保持所赋于的功能。 由单一随机事件引起的各种继发故障，均视作单一随机故障的组成部分 采用多样性原则能减少某些共因故障或共模故障，从而提高某些系统的可靠性v共因故障共因故障 由特定的单一事件或起因导致若干装置或部件功能失效的故障冗余性原则

13、又称多重性原则 适用于安全系统 内容 设计中留有冗余度，即系统是双重或多重配置的，单一部件的失效不会使整个系统失去功能 作用 一套设备出现故障或失效是可承受的，不致于导致功能的丧失 例 在某一特定功能可由任意两台泵完成之处，设置三台或四台泵。为满足多重性要求，可采用相同的或不同的部件。 多样性原则 多样性多样性 为执行某一确定功能 设置多重部件或系统 这些部件或系统具有不同属性 获得不同属性的方式 采用不同的工作原理 不同的物理变量 不同的运行条件 使用不同制造厂的产品独立性原则 独立性 为了提高系统的可靠性，防止发生共因故障或共模故障，系统安全系统各个冗余支之间，通过功能隔离或实体分隔，实现

14、系统布置和设计的独立性。（1）保持多重系统部件之间的独立性； （2）保持系统中各部件与假设始发事件效应之间的独立性例如，假设始发事件不得引起安全系统或安全功能的失效或丧失（3）保持不同安全等级的系统或部件之间适当的独立性； （4）保持安全重要物项与非安全重要物项之间的独立性。 功能隔离功能隔离 为防止线路或系统的功能受到相邻线路或系统的运行方式或故障的影响所采取的措施。独立性可在系统设计中通过功能隔离或实体分隔实现。故障安全原则 又称失效安全原则 内容 核电厂安全极为重要的系统和部件的设计，应尽可能贯彻故障安全原则 易于损坏的安全相关电气或机械部件，设计必须遵循失效安全的原则 寿命短的设备，设

15、计必须是失效安全原则 控制系统失效应能引起停堆 核系统或部件发生故障时，电厂应能在毋需任何触发动作的情况下进入安全状态 作用 任何失效或故障应使电厂的状态趋于安全 例 控制系统的故障应自动地引起停堆 重要的阀门在断电时自动关/开，处于安全状态设计基准事故准则 最大可信事故 以设计基准事故为基础的安全评价确定论评价法 以概率风险理论为核电站安全评价概率安全评价基于纵深防御的思想基于风险的思想三里岛事故 在这次事故中，主要的工程安全设施都自动投入，同时由于反应堆有几道安全屏障（燃料包壳，一回路压力边界和安全壳等），因而无一伤亡，在事故现场，只有3人受到了略高于半年的容许剂量的照射。核电厂附近80千

16、米以内的公众，由于事故，平均每人受到的剂量不到一年内天然本底的百分之一，因此，三里岛事故对环境的影响极小。 实验开始之后不久反应堆功率开始缓慢上升。在1点23分40秒，机组值班长发出命令按动AZ5按钮。这将把所有的控制棒和快速停堆棒插入堆芯。这些棒下落几秒钟后，感到有一些振动，而且，操作人员看到吸收棒没有完全插到堆芯底部停止位置。（正反应性引入过大，功率剧增，反应堆不可控的） 接着他切断了棒控制系统的伺服机驱动机构的电源，以便使吸收棒靠本身自重坠入堆芯。根据4号机组外侧的目击者们提供的情况，在1点24分接连发生两次爆炸。燃着物的团块和火星冲入反应堆上空，其中有些落到汽轮机厂房屋顶并开始着火。 切尔诺贝利事故多道屏障 燃料芯块 元件包壳 一回路压力边界 安全壳防止放射性物质外泄的四道屏障 第一道防线第一道防线预防事故（预防） 设计偏安全 质量保证系统 安全标准 第二道防线第二道防线监测事故（监测） 检测和纠正偏离正常运行状态 保护装置、系统 安全裕量（多重、设备分级） 第三道防线第三道防线防止事故扩大（保护） 多道屏障 专设安全措施