第4章核电厂的设计安全要求要点

1、第四章 核动力厂的设计安全要求第一节 核动力厂安全目标一、安全目标总的安全目标是在核动力厂中建立并保持对放射性危害的有效防御，以保护害。、社会和环境免受危总的核安全目标由辐射防护目标和技术安全目标所支持，这两个目标互相补充、相辅相成，技术措施与管理性和程序性措施一起保证对电离辐射危害的防御。辐射防护目标是保证在所有运行状态下核动力厂内的辐射照射或由于该核动力厂任何计划排放放射性物质引起的辐射照射保持低于限值并且合理可行尽量低，保证减轻任何事故的放射性。技术安全目标是采取一切合理可行的措施防止核动力厂事故，并在一旦发生事故时减轻其；对于在设计核动力厂时考虑过的所有可能事故，包括概率很低的事故，要

2、以高度保证任何放射性尽可能小且低于规定限值；有严重事故的事故发生的概率极低。安全目标要求核动力厂的设计和运行使得所有辐射照射的来源都处在严格的技术和管理措施控制之下。二、安全目标的实现辐射防护目标不排除受到有限的照射，也不排除动力厂向环境的排放。数量的放射性物质从处于运行状态的核在设计核动力厂时，要进行全面的安全分析。此种安全分析要（1）核动力厂所有计划的正常运行模式；（2）发生预计运行事件时核动力厂的性能；（3）设计基准事故；（4）可能导致严重事故的事件序列。以下内容：在分析的基础上，确认工程设计抵御假设始发事件和事故的能力，验证安全系统和安全相关物项或系统的有效性，以及确定应急响应的要求。

3、尽管采取措施将辐射照射控制在合理可行尽量低，并将能导致辐射来源失控事故的可能性减至最小，但仍然存在发生事故的可能性。这就需要采取措施以保证减轻放射性（1）专设安全设施；。这些措施包括：（2）营运制定的厂内事故处理规程；（3）国家和地方有关部门制定的厂外干预措施。核动力厂的安全设计适用以下原则：能导致高辐射剂量或大量放射性 极低；具有大的发生概率的核动力厂状态只有较小或没有潜在的放射性的核动力厂状态的发生概率。第二节 纵深防御原则一、纵深防御概念纵深防御概念于安全有关的全部活动，包括与组织、行为或设计有关的方面，以保证这些活动均置于的防御之下，即使有一种故障发生，它将由适当的措施探测、补偿或纠正

4、。在整个设计- 1 -和运行中纵深防御，以便对由厂内设备故障或活动及厂外事件等引起的各种瞬变、预计运行事件及事故提供多层次的保护。纵深防御概念应用于核动力厂设计，提供一系列多层次的防御（固有特性、设备及规程），用以防止事故并在未能防止事故时保证提供适当的保护：第一：防止偏离正常运行和系统失效。要求按照恰当的质量水平和工程实践，如多重性、多样性及独立性的应用。（选择设计材料和标准，方案利于减少制造、在役检查、维修和试验，可达性，设计资料），控制假设始发事件的相应，重视第二：能够检测和纠正偏离正常运行状态，防止预计运行事件升级为事故工况。（安全分析中专用系统，运行规程防止或减小假设始发事件损害）第

5、三：基于以下假定，尽管极小可能，某些运行事件或假设始发事件进展成一种较严重的事件。这些事件是设计基准可以预计的，并且必须提供固有安全特性、故障安全设计、附加的设备和规程以控制，达到稳定的、可接受的状态。专设安全设施首先引导到可控制状态，然后安全停堆状态，维持一道包容放射性物质的屏障。第四：针对设计基准可能已被超过的严重事故的，保证放射性保持在尽实际可能地低。最重要的目的是保护包容功能。包容提供的保护可用最佳估算方法来验证。第五：减轻事故工况引起的潜在放射性物质中心及场内、场外应急响应计划。造成的放射性。要求有适当装备的应急控制二、纵深防御概念在核动力厂的具体体现纵深防御概念必须在核动力厂设计过

6、程中加以体现：（1）设计必须提供多重的实体屏障，防止放射性物质不受控制地到环境；（2）设计必须是保守的，建造必须是高质量的，从而为使核动力厂的故障和偏离运行减至最少并为防止事故提供了度；设计必须利用固有特性和专设设施在发生假设始发事件期间及之后控制核动力厂的行为，即必须通过设计尽可能地使不受控制的瞬变过程减至最少甚至排除；设计必须对核动力厂提供附加控制，这些附加控制采用安全系统的自动触发，以便在假设始发时间的早期阶段尽量减少员的动作，附加控制包括员的动作；的设备和规程；（5）设计必须尽实际可能提供事故过程和限制其（6）设计必须提供多种来保证实现每项基本安全功能，即控制反应性、排出热量和包容放射

7、性物质，从而保证各道屏障的有效性和减轻任何假设始发事件的。为了纵深防御概念，核动力厂设计必须尽实际可能地防止：（1）出现影响实体屏障完整性的情况；（2）屏障在需要它发挥作用时失效；（3）一道屏障因另一道屏障的失效而失效。除极不可能的假设始发事件外，设计必须使第一层次至多第二层次防御能够级为事故工况。所有假设始发事件升第三节 安全管理要求一、管理职责营运设计面的对安全负有全面责任。必须保证核动力厂设计满足营运要求，包括用户的标准化要求；保证设计考虑了安全方进展；保证设计与设计技术规格书和安全分析一致；保证设计满家有关要求；保证- 2 -设计满足有效的质量保证大纲的各项要求；正确地考虑了任何设计变

8、更的安全性。设计必须遵循下述要求：（1）明确划分职责、权限范围与联系；（2）所有层次都有足够的技术合格且受过培训的；（3）明确设计不同部分的各个小组的接口和外部接口；（4）制定并遵守程序；（5）定期、监督和监查与安全有关的设计事务；（6）安全文化水平。二、设计管理设计管理必须考虑确定论安全分析和补充性的概率论安全分析的结果。三、经验证的工程实践安全重要构筑物、系统和就必须按照经批准的的或当前适用的规范和标准进行设计；其设计必须是此前在相当使用条件下验证过的；并且这些物项的选择必须与安全所要求的核动力厂可靠性相一致。当引入验证的设计或设施，或存在着偏离已有的工程实践时，必须借助适当的支持性研究计

9、划，或通过其他相关的应用中获得的运行经验的检验，来证明其安全性是合适的。这种开发性工作必须在投入使用前经过充分的试验，并在使用中进行监测，以便验证已达到了的预期效果。选择设备时必须考虑到误动作和不安全的故障模式。四、安全评价安全评价必须称为设计过程的一部分。安全评价必须基于安全分析得到的数据、以往的运行经验、支持性研究的成果，以及经验证的工程实践。在提交核安全部门以前，营运必须保证由未参加相关设计的个人或团体对安全评价进行独立验证。五、质量保证设计（包括设计和设计输入与输出）的恰当与否，必须由原先从事此工作的以外的个人或团体进行验证或核实。验证、确认和批准必须在做施工设计之前完成。第四节 安全

10、功能、安全分级和设计规范一、安全功能安全功能即是为安全而必须达到的特定目的。三项基本安全功能：（1）控制反应性；（2）排出堆芯热量；（3）包容放射性物质和控制运行排放，以及限制事故。- 3 -在反应堆运行过程中，由于核的不断消耗和裂变产物的不断积累，反应堆内的反应性就会不断减少；此外，反应堆功率的变化也会引起反应性变化。核反应堆的初始装载量必须比维持临界所需的量多得多，使堆芯初期具有足够的剩余反应性，以便在反应堆运行过程中补偿上述效应所引起的反应性损失。为补偿反应堆的剩余反应性，在堆芯内必须引入适量的可随意调节的负反应性。此种受控的反应性既可用于补偿堆芯长期运行所需的剩余反应性，也可用于调节反

11、应堆功率的水平，使反应堆功率与所要求的负荷相适应。另外，它不可作为停堆段。凡是能改变反应堆有效倍增因子的任一方法均可作为控制反应性段。例如，向堆芯或抽出中子吸收体、改变反应堆的富集度、移动反射层以及改变中子泄漏等。向堆芯或抽出中子吸收体是最常见的法。通常称中子吸收体为控制元件。控制元件总的反应性应当等于剩余反应性与停堆余量之和。根据反应堆运行工况不同可把反应性控制分为三种类型：紧急停堆控制。当反应堆出现异常工况时，作为停堆用的控制元件必须具有迅速引入负反应性的能力，使反应堆紧急停闭。功率控制。要求某些控制元件动作迅速，及时补偿由于负荷变化、温度变化和变更功率水平引起的微小的反应性瞬态变化。补偿

12、控制。补偿控制元件用于补偿燃耗、裂变产物积累所需的剩余反应性，也用于改变堆内功率分布，以便与获得更好的热工性能和更均匀的燃耗。这种控制元件的反应性当量大，并且它的动作过程是十分缓慢的。把吸收体引入堆芯有以下三种方式：（1）控制棒；（2）可燃毒物；（3）可溶毒物。在堆芯内可移动的含有中子吸收材料的控制棒。按其作用不再可分为补偿棒、调节棒和安全棒三种。补偿棒用于补偿控制，调节棒用于功率控制、安全棒用于紧急停堆控制。控制棒是由中子吸收截面较大的材料（如镉、铟、硼和铪等）制成。在中子能谱较硬的热中子堆中，为了提高控制效果，最好采用几种中了吸收截面不同的材料组成的混合物控制棒，以便在各个能区内吸收中子。

13、为此，在近代压水堆中使用的控制棒多数由银-铟-镉合金制成。此外，控制棒材料还必须具备耐辐照、抗腐蚀和易于机械加工等方面的良能。堆芯寿期的长短通常取决于反应堆初始装载量。当然，装入反应堆的量也部分地取决于反应堆控制元件所实际能补偿的剩余反应性量。为增大堆芯的初始装载量，通常在堆芯内装入中子吸收截面较大的物质，把它作为固定不动的控制棒装入堆芯，用以补偿堆芯初期的剩余反应性。这种物质称为可燃毒物。可燃毒物的吸收截面应比的吸收截面大。这样，它们就能比核更快地烧完，从而在循环末期，由它们带来的负反应性贡献可以忽略。采用以上控制方法有许多优点：如延长堆芯的寿期、减少可移动控制棒的数目、简化堆顶结构，若布置

14、得当，还能改善堆芯的功率分布等。可燃毒物材料通常选用钆（Cd）或硼（B），将其制成小片弥散在时用硼硅酸盐玻璃管作为可燃毒物棒装入堆芯。中，在压水堆中，堆芯初始装载可溶毒物是一种吸收中子能力很强的可以溶解在冷却剂中的物质。轻水堆往往以硼酸溶解在冷却剂内用作补偿控制。其优点是毒物分布均匀和易于调节。由于这种化学控制方法能补偿很大的剩余反应性，可以使堆芯内可移动控制棒数目大量减少，从而简化了堆芯设计；然而，化学补偿控制也有之外，如由于向冷却剂增加或减少毒物量的速率十分缓慢，所以反应性的引入速率相当小。因此，化学补偿控制只能补偿由于燃耗、和慢化剂温度变化等引起缓慢的反应性变化。反应堆停闭时，堆芯内链式

15、裂变反应虽被中止，但元件中裂变产物的衰变继续放出热量，即剩余释热。为了避免损坏出热量。元件包壳，和正常运行一样，应通过蒸汽发生器，或余热排出系统，继续导对于从反应堆换料时卸出的乏组件，必须在反应堆厂房的乏水池中存放几个月，以释出乏组件的剩余热量，并使短寿期放射性裂变产物自然衰减，降低放射性水平。- 4 -对于沸水堆、压水堆和压力管式反应堆，三种基本安全功能可以细分如下：（1）防止不可接受反应性瞬变；（2）停堆后将反应堆保持在安全停堆状态；（3）在需要时停堆以防止预期运行事件发展成为设计基准事故和停堆以减轻设计基准事故的；在事故工况（不包括反应堆压力边界失效）期间和之后，保持足够的反应堆冷却剂总

16、量以冷却堆芯；在设计基准中所考虑的所有假设始发事件期间和之后，保持足够的反应堆冷却剂总量以冷却堆芯；（6）在反应堆冷却剂压力边界失效后，从堆芯排出热量以限制损坏；（7）在反应堆冷却剂压力边界完整的情况下，在适当的运行状态和事故工况期间，从堆芯排出余热；（8）将其他安全系统的热量传递到最终热阱；（9）作为一种支持性功能，为安全系统提供必要的公用设施（如电、气、润滑等）；（10）保持堆芯内的包壳可接受的完整性；（11）保持反应堆冷却剂压力边界的完整性；（12）限制放射性物质在事故工况期间和之后从反应堆安全壳内向外；（13）在设计基准事故和选定的严重事故期间和之后，限制由反应堆安全壳以外的辐射源的放

17、射性物质对于公众和厂区的辐射照射；（14）在所有运行状态下将放射性废物和气载放射性物质的排放或限制在规定的限值以内；（15）对核动力厂内的环境状况保持控制，以便各安全系统能够正常运行，并为进行安全上重要操作的运行提供必要的可居留性；（16）在所有运行状态下，对在反应堆冷却剂系统以外，但仍在厂区内或中的已辐照的放射性（17）从（18）使进行控制；在反应堆冷却剂系统以外，但仍在厂区以内的已辐照中排出衰变热；在反应堆冷却剂系统以外，但仍在厂区以内的保持足够的次临界度；（19）当某一构筑物、系统或的损坏会损害某一安全功能时，防止其发生损坏或限制其损坏所引起的。二、安全分级核动力厂的安全实际上是通过组成

18、其系统、设备和的安全性来实现的。划分某一构筑物、系统和安全重要性的方法主要基于确定论方法，适当时辅以概率论方法和工程判断，考虑如下：（1）该物项要执行的安全功能；（2）未能执行其功能的；（3）需要该物项执行某一安全功能的可能性；（4）假设始发事件后需要该物项投入运行的时刻或持续运行时间。安全分级必须在不同级别的构筑物、系统和之间提供合适的接口设计，以保证划分为较低级别的系统中的任何故障不会蔓延到划分为较高级别的系统。一般讲核动力厂各承压设备物项按照其履行的安全功能分为安全 1 级、安全 2 级、安全 3 级及非安全级。安全 1 级就是反应堆冷却剂压力边界的那些设备，其失效会引起失水事故或失冷失

19、压的物项。安全 2 级是属于反应堆冷却剂压力边界但不属于安全 1 级的那些小设备、小管道以及用于防止预计运行事件导致事故工况，或发生事故可减轻事故工况的物项，如专设安全设施。不属于安全 1 级的那些小设备、小管道失效引起的反应堆冷却剂流失不超过正常补水系统提供的补水量。安全 3 级是冷却安全 2 级设备，或对安全级设备运行起支持作用的物项（冷却、润滑、密封等），如设备冷却水系统，重要厂用水系统等。- 5 -三、设计规范核动力厂物有其安全等级外，还要确定其抗震类别、规范等级、质保等级。在确定规范等级及相应的设计建造要求时，首先要考虑安全等级，其次还要考虑物项的载荷条件（压力、温度、载荷循环情况等

20、）。物项的质量保证等级的划分有两种方法：以物项定位；以物项和活动领域两者定位。质量保证等级的高低首先要根据安全等级，其次还要考虑物项的设计建造经验，工艺成熟性、运动部件多少、供货史、标准化程度等多种。第五节 总的设计基准一、概述设计基准必须包括正常运行技术规格、假设始发事件造成的核动力厂状态、安全分级、重要假设，以及在某些情况下的特定的分析方法。在正常运行、预计运行事件和设计基准事故的设计基准中，必须采用保守的设计措施和良好的工程实践，以保障不会发生反应堆堆芯的任何损坏；辐射剂量保持在规定限值内，并合理可行尽量低。除设计基准外，还须在特定的超设计基准事故包括选定的严重事故中的行为。这些评价所使

21、用的假设和方法可以最佳估算为基础。二、核动力厂状态分类根据核安全HAF102（2004）“核动力厂设计安全规定”，可以认为核动力厂工况按其发生频率分类为：正常运行、预计运行时间、设计基准事故和严重事故。核动力厂的运行工况可作如下划分：（1）工况 I-正常运行和运行瞬变正常运行包括启动、调试、功率运行、换料、况。和维修过程中所遇到的经常性或定期出现的工工况 I 引起的系统状态参数变化不会触发安全系统的整定值。工况中等频率事件（或称预计运行事件）工况事件发生频率大于 10-2/堆年。即在核电厂寿期内可能发生一次或数次。这里“预计”的意思是在一个核动力厂寿期内很可能发生的意思。工况事件的典型事例如失

22、去厂内外非应急交流电源、汽轮机停车。工况稀有事故工况事故发生频率在 10-4/堆年-10-2/堆年之间，是核动力厂寿期内发生频率很低的事故。工况事故的事例如蒸汽发生器一个传热管破裂、反应堆冷却剂系统小管道破裂。工况极限事故（设计基准事故）工况事故发生频率 10-6/堆年-10-4/堆年之间，是在核动力厂的寿期内既不可能发生的事故。工况事故可能导致元件的严重损伤，但堆芯的几何形状不破坏，以便能适当地保持堆芯冷却。工况事故不得导致具有限制事故到进一步的损伤。功能的系统损坏，反应堆冷却剂系统和安全壳不得受工况事故的事例如反应堆冷却剂丧失事故、控制棒组件弹出事故。- 6 -三、假设始发事件假设始发事件

23、定义为在设计时确定的能导致预计运行时间或事故工况的事件。假设始发事件的本身并不是事故；它是一个了一个序列的事件，并由不同的附加故障而导致运行时间、设计基准事故或严重事故的事件。典型的例子是设备故障（包括管道破裂）、差错、人为事件和自然事件。设计的主要安全目标在于追求核动力厂所具有的特征能够保证：大部分假设始发事件的较小或甚至无足轻重；其余的假设始发时间导致设计基准事故，其是可以接受的；而如果导致严重事故，其可以通过设计措施和事故管理加以限制。假设始发事件从类型上可以分为：事件和外部事件。事件可能包括：设备故障；误操作；差错；火灾、或水淹。广义而言，故障包括两类：系统或丧失执行功能的能力，功能的

24、执行情况与所期望的不符。管道故障的表现形式：泄漏、破裂或流道阻塞。阀门的故障形式：在需要时不开启或不关闭；在不需要是开启或关闭；开速度不当。或关不住；开启或关闭仪表或传送器之类的装置的故障有如下形式：误差大于允许范围；无输出；不变的最大输出；不稳定的输出；上述形式的组合。外部事件包括自燃事件或人为外部事件。这些事件通常要求核动力厂物项设计考虑附加的振动、冲击和脉动型载荷。核动力厂设计必须考虑的外部自燃事件包括在描述厂址特征时已确定的那些事件，如、洪水、狂风、海啸（潮汐波）和气象条件。在概率安全评价中，对于严重事故采用最佳估计分析方法；而对于具有相对较高发生可能性的假想事故，分析中采用保守分析的

25、方法。在决定事件组合时，考虑以下三个时期是有益的：（1）事件发生前的长时期；（2）从事件发生到它的短期效应起作用的近期；（3）事件后的恢复期。事件后的恢复期（几天或更长）内，是否需要考虑附加的事件，视恢复期的长短和事件预计的概率而定。四、设计基准事故在为响应某一假设始发事件而需要立即采取可靠行动时，必须采取措施自动启动所需要的安全系统，以防止发展成为可能下一道屏障的更严重工况。在不需要立即动作的情况下，可允许手动启动系统或员的其他行动，条件是需要有足够的时间来判断这种行动的必要性和确定合适的规程（如管理规程、运行规程和应急规程），以保证这些行动的可靠性。五、设计限值和运行限值为保证核动力厂安全

26、运行，营运必须制定包括技术和管理两个方面的运行限值和条件。运行限值和条件必须反映最终设计，并必须在核动力厂运行开始之前经国家核安全部门评价和批准。运行限值和条件必须包括对各种运行状态（包括停堆在内）的要求，还必须包括运行动和应遵守的限制。应采取的行运行限值和条件必须作为营运须熟练掌握运行限制和条件，运行核动力厂的一个重要依据；对运行负有直接责任的运行遵守。必- 7 -运行限值和条件可以分为以下几类：（1）安全限值；（2）安全系统整定值；（3）正常运行的限制和条件；（4）监督要求。运行限值和条件必须具有如下目标：（1）防止发生可能导致事故工况的状态；（2）如果发生这种工况，则减轻其。设计过程中必

27、须针对核动力厂安全运行要求，制定一组运行要求和限制，包括：（1）安全系统整定值；（2）工艺变量和其他重要参数的控制系统和过程限制；（3）为保证各构筑物、系统和执行设计中预定的功能，对核电厂规定维修、试验和检查的要求，并考虑合理可行尽量低的辐射防护原则。（4）明确地规定运行配置，包括安全系统停役情况下的运行限值。六、严重事故超设计基准事故中的某些概率很低的核动力厂状态，可能由安全系统多重故障而引起，并导致堆芯明显，它们可能危及多层或所有用于防止反射性物质的屏障的完整性。这些事件序列被称之为严重事故。必须采用工程判断和概率论相结合的方法来考虑这些严重事故序列。可接受的方法应该基于现实的或最佳估算的

28、假设、方法和分析准则，而不必运用确定和评价设计基准事故时所采用保守的工程方法。第六节 构筑物、系统和的可靠性设计一、可靠性设计要求安全重要构筑物、系统和必须设计成能以足够的可靠性承受所有确定的假设始发事件。构筑物、系统和来实现。的可靠性设计可以通过防止共因故障、应用单一故障准则和采用故障安全设计等二、共因故障若干装置或的功能可能由于出现单一特定事件或原因而失效。这种失效可能同时影响到若干不同的安全重要物项。这种事件或原因可能是设计缺陷、制造缺陷、运行或维修差错、自然现象、人为事件或核动力厂内任何其他操作或故障所引起的意外的级联效应。若干同类型同时失效时，也可能发生共因故障，这可能由诸如环境的变

29、化、信号饱和、重复的维修差错或设计缺陷等原因所引起的。在核动力厂设计中必须考虑发生共因故障的可能性，并尽实际可能采取适当的措施，如应用多重性、多样性和独立性等，使共因故障的影响降低到最小程度。三、单一故障准则单一故障是指造成某一不能执行其预定安全功能的一种随机故障，以及由此引起的各种继发故障。单一故障假设是核动力厂安全设施中一个确定论的概念。在核动力厂设计中，必须对核动力厂设计中所包含的每个安全组合都应用单一故障准则。单一故障分析中，不考虑同时发生一个以上的随机故障。- 8 -当把此概念运用于一个安全组合或系统时，误动作必须视为故障的一种模式。四、故障安全设计故障安全设计原则必须恰当地考虑，并

30、到核动力厂安全重要系统和的设计中。核动力厂系统必须设计成在该系统或其发生故障时不需要采取任何操作而使核动力厂进入安全状态。五、多重性为完成一项特定安全功能而采用多于最少套数的设备，即多重性，它是达到安全重要系统高可靠性和满足单一故障准则的重要设计原则。在运用多重性原则的条件下，至少一套设备故障或失效是可承受的，不至于导致功能的丧失。六、多样性多样性应用于执行同能的多重系统或，通过多重系统或中引入不同属性而实现。获得不同属性的方式有：采用不同的工作原理、不同的物理变量、不同的运行条件或使用不同制造厂的产品等。七、独立性为提高系统的可靠性可在设计中保持下列独立性特征：（1）多重系统（2）系统中各之

31、间的独立性；与假设始发事件效应之间的独立性；（3）不同安全等级的系统或之间适当的独立性；（4）安全重要物项与非安全重要物项之间的独立性。独立性可在系统设计中通过采用功能（1）功能或实体分隔来实现：应采取功能，以减少多重系统或相连接系统中由正常运行或异常运行，或这些系统中任一的故障引起的设备和间不良相互作用的可能性。（2）的实体分隔和布置在系统布置和设计中，应尽实际可能采用实体分隔原则以增强实现独立性的保证，对于某些共因故障尤其如此。这些原则包括：（1）几何分隔（如距离、方位等）；（2）屏障分隔；（3）上述两种分隔的组合。分隔方法的选择取决于设计基准中所考虑的假设始发事件，例如火灾、化学水淹、极

32、值温度和湿度等效应。、飞机坠毁、飞射物、核动力厂的某些场所，有可能成为不同级别安全重要性的各种设备或线路的自然汇合点，例如安全壳贯穿区、电控制中心、电缆走廊、设备间、控制室和核动力厂的工艺控制计算机等。在这些场所，应尽实际可能采取适当的措施以防止共因故障。八、辅助设施辅助设施用于支持安全重要系统部分的设备时，必须视作安全重要系统的一部分，并必须相应的- 9 -分级。保持核动力厂安全状态所必需的辅助设施包括：供应电力、冷却水和压缩空气或其他气体的设施以及润滑设施等。九、设备停役在设计上必须采用诸如增加多重性等措施，保证在核动力厂无须停堆的情况下进行安全重要系统的在线维修和试验。必须考虑设备停役，

33、包括系统或安全系统可靠性所产生的影响。由于故障而不能使用，必须考虑预计的、试验和修理工作对在核动力厂开始运行前，必须分析和确定每种情况允许设备停役的时间和要采取的行动，并将其包括在核动力厂运行规程中。十、在役试验、修理、检查和监督的措施为保持安全重要构筑物、系统和执行功能的能力，其设计必须符合下列要求：能在核动力厂整个手期内进行标定、试验、修理或更换、检查或监测，以证明满足可靠性目标。如果安全重要构筑物、系统和的设计不能满足试验、检查或监测的要求时，必须采取下列方法：（1）规定其他一些经验证的替代方法和（或）间接方法，如监视参考物项或使用经验证和确认的计算方法。（2）应用保守的安全或采取其他适

34、当的预防措施，以消除可能的预计不到的故障影响。十一、设备鉴定必须采用设备鉴定的程序来确定安全重要物项能够在整个设计运行寿期内相关的环境条件下执行其安全功能。考虑的环境条件必须包括正常运行、预计运行事件和设计基准事故期间的变化。鉴定程序中，必须考虑到设备预期寿期内由各种环境引起的老化效应。十二、老化必须考虑到在所有正常运行工况、试验、维修、维修停役，以及在假设始发时间中何其后的核动力厂状态下的老化和磨损效应。十三、优化运行操作的设计人机界面设计必须对员是“友好的”，并必须以限制人为差错的影响为目标。必须优化核动力厂的布置和规程（管理规程、运行规程和应急规程），包括维修和检查，以利于运行间的接口。

35、和核动力厂之厂区的工作场所和工作环境必须按照人机工程学原则设计。人机接口必须设计成不但能够为时间相适应。员提供全面而易处理的信息，而且与作出决定和采取行动所需的为有助于制定信息显示和控制的设计准则，必须考虑任务。员能够承担系统管理者和设备员的双重在员作为系统管理者时，必须为其提供能够进行下列工作的信息：（1）迅速评估核动力厂的总体状态；（2）确定员要采取的适当的安全动作。- 10 -设计必须适当考虑有利于操作员执行行动可利用的时间、预计的环境和对员有心理压力情况下成功地完成各种行动。必须把对员在短时间内进行的干预的要求降至最低。设计者能够证明员有足够的时间作出决定和采取行员简单而明确地提供决定

36、行动所需的信息；以及事件发生后，控制室内或辅助控制室内及通往辅助控制点的通道的环境是可以接受的。第七节 辐射防护设计安全要求一、辐射防护的基本要求根据辐射防护基本原则，设计时达到下列设计目标：（1）个人照射量不得超过规定限值。可以用年有效剂量当量、剂量、年吸入量、空气中的放射性物质浓度等给出照射量。（2）辐射防护措施使辐射量保持在合理可行尽量低。公众的个人年剂量当量限值用关键居民群的平均剂量当量来表示。 关键居民群是指因电厂运行而受到最大照射的一群有代表性的居民。必须进行运行前的研究，以确定途径。核安全部门可以接受的关键居民群和这群居民的关键照射剂量当量规定限值是在规定时间内厂区或公众事故工况

37、的概率越大，则规定的参考剂量小。或许受到的最大剂量。电离辐射防护与辐射源安全基本标准（GB 18871-2002）对核动力厂容许受到的最大剂量（剂量限值）是：（1）职业照射的剂量限值，不超过：连续 5 年年平均 20mSv；任何一年 50mSv；眼晶体 150mSv；四肢（手和足）或皮肤 500mSv。（2）公众照射的剂量限值，不超过：年平均 1mSv；任何一年 5mSv；眼晶体 15mSv；四肢（手和足）或皮肤 50mSv。或公众在规定时间内计算待积剂量的期限，对成年人一般应为 50 年，对儿童则应 70 年。二、设计中的辐射防护辐射防护的目的在于防止有害的非随机效应；并限制随机效应的发生概

38、率，使之达到可以接受的水平；辐射照射的各种实践活动具有正当的理由。辐射防护三原则：辐射事业的正当化；防护水平的合理最优化；个人所受剂量当量应在规定限量下。防护水平的合理最优化，即遵守“合理可行尽量低”（ALARA）的原则。成本收益分析是辐射防护最优化的一种定量方法。施工工况的设计目标是把核动力厂可能的放射性物质给公众带来的风险以及由于这些和直接照射给厂区带来的风险限制在可接受的水平。通过高质量的设计和在电厂中设置专设安全设施来达到这些设计目标。还必须有设计规定和规程。任何监测都应根据监测大纲进行。该大纲应明确规定监测目标，并明确监测方法和测量设备、测量位置和频度，以及和解释结果的方法。- 11

39、 -厂区的防护监测必须包括对在年照射量可能超过剂量当量限值的 3/10 条件下工作的个人进行监测，以便进行剂量评价。三、辐射源在功率运行期间，由于裂变过程和裂变产物的衰变，元件发射中子和光子；由于堆芯和周围材料的中子俘获，也会发射光子。另外，在重水慢化反应堆的情况下，射线与氚相互作用还发射光中子。在核动力厂停堆后，主要的辐射源是来自裂变产物和活化产物的辐射。轻水堆活化产物来自包壳、堆内构件、压力容器本身、水及其所含的杂质中。压力管重水堆中，活化产物来自包壳、压力管、排管、控制管、排管箱体和箱中。若冷却剂中含氧，则功率运行期间主要辐射源为 N16，他是在堆芯内快中子与氧 16 相互作用生成的。水

40、冷堆中的 N13、O19、F18 是辐射水平的主要贡献者。在水冷堆中，尤其是重水堆中，氚可能是主要的内照射源。维修期间，由冷却剂引起的辐射危害大部分来自裂变产物 I131、Cs133、Cs137 和活化腐蚀产物 Cr51、 Mn54、Co58、Fe59 和 Co60 等放射性物质。在分开设置的含氧液体慢化剂系统（压力管式反应堆）中，反应堆运行期间的主要活性是 N16。在重水堆中，来自 N16 的光子在重水中产生光中子。在轻水堆和重水堆中，氧化物和慢化剂中的 O17 经（n，）反应，杂质中的 N14 经（n,p）反应以及三元裂变均产生 C14。在重水堆中，由于慢化剂的量很大，所以 C14 主要是

41、由慢化剂中 O17的核反应发生的。破损棒可能裂变产物，其中最主要的是惰性气体、碘、铯、锶。事故状态下的主要辐射源是放射性裂变产物。向环境的惰性气体和碘的量，受所采用的通风率和水池扫气系统类型的控制。过滤器对排出气流中碘的减少量，应根据过滤器的设计按适当的去污因子来考虑。通过对电厂部分可以终止排放，尤其是当池是设置在安全壳内时。如果这种行动是由运行采取的，则通常应假定有一段时间延迟。建议延迟时间为 1030min。第八节 防火设计安全要求一、核动力厂总的防火要求火灾和是核电厂安全的重要事件之一。设计和布置安全重要构筑物、系统和时，除满足其它安全要求外，还必须尽量降低外部或事件火灾和的可能性及。必

42、须保持停堆、排出余热、包容放射性物质和监测核动力厂状态的能力。为满足这些要求，必须通过采用多重以便实现下属目标：（1）防止火灾发生；、多样系统、实体分隔和故障安全设计的适当组合，（2）及时探测发生的火灾并迅速灭火，以限制火灾；（3）防止未扑灭的火势蔓延，以使其对核动力厂重要功能的影响减至最小。火灾和是核电厂安全的重要事件之一。必要时，灭火系统必须能自动启动，系统的设计和布置必须保证在其出现破裂、误动作或以外操作时不至于显著损害安全重要构筑物、系统和故障准则所采取的措施变得无效。的功能，并不会同时影响多重安全组合而使为满足单一在整个和动力厂中，尤其是在诸如安全壳和控制室等场所中，只要可行，必须采

43、用不可燃或阻燃的和- 12 -耐热的材料。火灾的防火也必须纵深防御概念，这可以包括下述三个层次：（1）第一个层次是防止发生火灾：应使用非可燃材料或阻燃材料；应减少设备运行或故障导致的火灾；应对安全重要物项予以保护；在安全重要的构筑物内应控制可燃物料的使用和，尽量减少其数量，不急需的可燃物料不在靠近安全重要物项的场所；对使用明火、焊接和火焰切割等的作业，要经过批准，并且应具备足够的防火措施。（2）第二个层次是及时地探测和扑灭火灾，限制火灾的损害：应设置足够容量、能力和鉴定合格的火灾探测和灭火系统，以便及时地探测火灾和火灾对安全重要物项的影响降至最低。；灭火系统能够及时启动以扑灭火灾，并将（3）第

44、三个层次是防止火灾的蔓延，将火灾对核动力厂安全重要功能的影响减至最低：应采取措施防止火灾对停堆、排出余热、包容放射性物质所需要的安全重要物项的影响，以便在火灾情况下，这些物项仍能执行其安全功能。这要求对安全系统的多重采取相互之间充分的措施，这种措施可通过防火分区或防火小区来实现。防火分区之间应尽量减少贯穿件，并对贯穿件或贯穿孔洞采取严密的防火封堵。每个防火区的火灾探测、灭火和排烟、排水、通风等辅助设施应尽量独立。二、核动力厂防火的设计方法核动力厂从设计开始，就应系统地考虑火灾防护方面的事项，有如下方面：（1）布置要求；（2）防火区；（3）火灾法；（4）火灾扑灭法；（5）火灾和灭火二次效应；（6

45、）火灾危害性分析。在设计开始时，就应对可燃物贮量进行评估，并对安全重要物项和可燃物的布置方案进行比较。应尽量避免在安全重要物项附近可燃物，如不能避免，则应尽量减少可燃物的量。可能的话，可在安全重要物项周围建立防火区。防火区的边界设置防火屏障，防火屏障可分为两种设置方式：（1）拥有足够的耐火极限，在可燃物全部烧光后仍可保持防火屏障不被破坏；（2）设置火灾探测和灭火系统等，与防火屏障一起保证防火区的有效性。应优先选择第式。在某些情况下，为了限制防火区内火灾对安全重要物项的影响，要防止火灾在防火区内的蔓延，此时可在防火区内设置防火小区。防火小区的作用是结合空间分隔、防火隔断、防火涂料、火灾探测和灭火

46、系统等来限制火灾的蔓延。在主控室、安全壳内等无法实现防火分区的场合，可采用防火小区的措施。假定防火区内的全部可燃物料全部烧光，而未受影响部分仍能保证停堆、排出余热和包容放射性物质的基本安全功能，这样的防火方法称火灾法。火灾法要求执行停堆、排出余热和包容放射性物质三相基本安全功能的系统和设备，包括它们的支持系统和设备放置在不同的防火分区内，以避免单一火灾对多重系列的影响。特别注意公用的通风管道、排水系统和电气干扰等。在防火屏障不能达到额定的耐火极限时，或者在设置防护小区时，需采用火灾探测和灭火系统等来防止火灾蔓延，这样的防火方法称火灾扑灭法。火灾和灭火系统二次效应的典型例子有：（1）高温、高热对

47、构筑物和设备的损坏；（2）燃烧产生的烟雾可能对运行的或对设备的腐蚀；- 13 -（3）燃烧引起的及二次飞射物；（4）由于喷水意外地引入了慢化剂；（5）由于喷水导致了水淹和设备的损坏；（6）由于喷水导致了放射性物质的迁移；（7）干（8）火剂导致电气设备接触不良或腐蚀；灭火剂导致的突然降温及冲击等。火灾危害性分析主要包括下述方面：（1）确定核动力厂的安全重要物项；（2）确定防火区内可燃物的贮量、火灾特征和火灾；（3）确定防火屏障所需要的耐火极限；（4）确定防火区或防火小区内所需的火灾探测和灭火（5）确定需补充或附加的防火措施；（6）确定满足了保证停堆、排出余热和包容放射性物质基本安全功能的防火要求

48、。：到初始装料前，要完成完整的火灾危害性分析，以确认核动力厂防火设计的正确性。第九节 设计基准事故安全分析一、核动力厂事故分析方法必须对核动力厂设计进行安全分析，在分析中必须采用确定论和概率论分析方法。在这种分析的基础上，必须制定和确认安全重要物项的设计基准。还必须论证所设计的核动力厂能够满足各类核动力厂状态下放射性御已起到作用。的所有规定限值和潜在的辐射剂量的可接受限值，并论证纵深防安全分析中应用的计算机程序、分析方法和核动力厂模型必须加以验证和确认，并必须充分考虑各种不确定性。确定论安全分析必须包括：（1）确认运行限值和条件符合核动力厂正常运行设计的假设和要求；（2）适合于核动力厂设计和厂

49、址假设始发事件的特征；（3）源自假设始发事件的事件序列的分析和评价；（4）各项分析结果与放射性的验收准则和设计限值的比较；（5）设计基准的制定和确认；（6）论证通过安全系统的自动响应结合所规定的员动作能够管理预期运行事件和实际基准事故。确定论方法，采用各种计算机程序进行分析计算，一般不用实验结果来直接必须完成核动力厂的概率安全分析，以达到下述目的：（1）提供系统性的分析，确信设计符合总的安全目标；核动力厂事故的。证明整个设计是平衡的，没有任何一个设施或假设始发事件对于总的风险会有过大的或明显不确定的贡献，并且保证纵深防御的第一和第二层次承担核安全的主要责任；确认核动力厂参数小的偏差不会引起核动

50、力厂性能严重异常（陡边效应）；提供发生堆芯严重损坏状态的概率评价以及要求厂外早期响应的（特别是与安全壳早期失效相关的）放射性物质向厂外大量的风险的评价（5）提供外部事件（特别是核动力厂厂址特有的那些）发生概率和的评价；（6）鉴别通过设计改进或运行规程的修改降低严重事故概率或减轻其（7）评价核动力厂应急规程的充分性；（8）核实是否符合概率目标。的系统；- 14 -二、验收准则必须对核动力厂设计进行安全分析，在分析中必须采用确定论和概率论分析方法。对于工况事件（1）元件不烧毁，对于这一条易于执行和稍严的准则称为不发生偏离泡核沸腾准则（DNB），或是最小偏离泡核沸腾比（BNBR）在双 95%偏离泡核

51、沸腾准则规定的限值以上。（2）一回路压力小于 110%设计值。（3）放射性按正常排放允许控制值。对工况及工况事件（1元件保持可冷却状态，通用的判断标准为长时间高温（F），短时间高温 PCT1482（2700F）。包壳峰值温度）PCT1204（2200（2）一回路压力小于 120%设计值。（3）放射性以厂区边界（2h）及低区边界（8h）剂量计算。三、事故分析的基本假设事故分析采用的初始条件及各项参数均取保守值，即取值对会产生不利的影响。为决定如何取保守值，有三个方面是必须虑及的：（1）所分析的事故的过程特征；（2）事故分析所针对哪一项验收准则；（3）在事故分析中，采用的是哪一种停堆信号。下面列举

52、一些需要考虑取保守值的项目及通用的不确定性值：（1）运行参数需考虑不确定性（控制系统死区，仪表误差及波动）。例如，初始功率+2%，初始温度2.2（4F），稳压器压力2.1bar（30psi），稳压器水位取2%，SG 二次侧水位取5%）等。主冷却剂流量一般取设计值，这实际上已加上了保守性，因实际流量往往会大于设计流量，而且如取较小的保守值，会影响到冷却剂温度的决定。SG 二次侧的压力往往由热平衡决定，不必预先规定正负不确定性。（2）堆物理参数：慢化剂温度（密度）反应性系数取最大的寿期的数值，甚至取为零值，如对于确定寿期的分析，则取10%不确定性，取 15%不确定性。Doppler 反应性系数取1

53、5%，控制棒价值计算（3）停堆信号取安全级信号。停堆设定值需带上保守性。停堆信号至控制棒开始下落的延迟时间，应按实验结果加上保守性。控制棒负反应性引入曲线，应取趋底型（下凸型）曲线。（4）金属的结构热容量及传热面积，一般取10%不确定性。（5）稳压器及 SG 安全阀开启压力，也应取保守值。四项基本假设：假设失去厂外电源（适用于分析、类工况）；假设最大价值的一组控制棒卡在全抽出位置（卡棒假设，适用于分析、类工况）；（3）仅考虑安全级设备的缓解事故的作用。对于非安全级设备仅考虑其对事故的不利的影响（4）需假设极限的单一故障。四、设计基准事故的分析设计基准事件的选择以工程判断、设计经验及运行经验为基

54、础，经不断改进而逐渐完善。这些事件按性质可归为 8 类。在三哩岛核电厂事故之前，在事故分析上，几乎把研究工作都集中到“大破口失水事故”上。- 15 -设计基准事故中，有一些极限事故，因其物理过程有特点，可作为核电厂事故的典型例子。这些事故是：（1）主蒸汽管道破裂事故；（2）主给水管道破裂事故；（3）反应堆冷却剂泵泵轴卡死及泵轴断裂；（4）控制棒弹出事故；（5）蒸汽发生器传热管道破裂事故；（6）大破口失水事故；（7）小破口失水事故；（8）未能停堆的预期运行瞬变。主蒸汽管道破裂事故：主蒸汽管道发生破裂后，与破损管道相连接的蒸汽发生器内的二次侧水将汽化成为蒸汽，从破口喷出，蒸汽流量开始很大，可达额定

55、功率下的蒸汽流量的好几倍，以后随着蒸汽发生器内压力的降低而逐渐减小。一回路向二回路导热的增加，使一回路冷却剂的压力与温度迅速降低。由于慢化剂具有负温度反应系数的特性，温度下降将对堆芯引入正反应性。事故发生后，由于保护系统动作，控制棒下插，使反应堆具有一定的停堆深度。慢化剂温度下降引入的正反应性将使停堆深度变浅，甚至使反应堆临界，堆功率升高。这种事故可能带来三个方面的危害：因局部热负荷过大，损坏堆芯元件，由于在控制棒下插状态下，功率不均匀系数很大，增加了堆芯损坏的可能性；向环境放射性物质；大量的二回路冷却剂带着热量进入安全壳，使安全壳内压力升高，危及安全壳的完整性。为抵御主蒸汽管道破裂事故，要求

56、核电厂一回路有较大的热容量；控制棒下插时要有较大的停堆深度；具有注入硼溶液的能力以及引入负反应性；在蒸汽发生器蒸汽管嘴处设置限流器，以减小管道破裂时的蒸汽流量。主给水管道破裂事故：蒸汽发生器与给水逆止阀之间管道出现破口，使主给水中断，蒸汽发生器内的二次侧水通过破口不断排出。事故初，因受损环路蒸汽发生器二次侧温度下降，造成一回路温度与压力下降。随后，受损蒸汽发生器传热管露，一次侧向二次侧传热，使反应堆冷却剂系统温度和压力迅速升高。为避免反应堆冷却剂系统压力边界和反应堆堆芯破坏，并尽可能防止一回路容积沸腾，核电厂应提供适当的停堆保护，适时、足量的辅助给水，并有足够设计容量的稳压器阀及安全阀。反应堆

57、冷却剂泵泵轴卡死及泵轴断裂：一应堆冷却剂泵的泵轴瞬时卡死或断裂，将使堆芯冷却剂流量迅速下降，系统升温升压。为防止元件因冷却得到缓解。而损坏，要求保护系统控制棒能迅速下插，降低堆功率及元件表面的热负荷，使事故这两种事故是对核电厂控制棒动作速度的最严格的考验。如果反应堆冷却剂系统能有较大的惯性流量（主泵轴上装有转动惯量较大的飞轮）或堆芯有较小的功率不均匀系数，也可使事故变得较为缓和。这一事故过程时间很短，一般在 5s 以内即出现包壳温度的峰值。此外，核电厂系统还应具有自然循环能力，使在事故后去能带走衰变热。卡轴事故中，冷却剂管道内形成很大的阻力，流量下降迅速；断轴事故发生几秒以后，受损环路内形成较

58、大的反向流量，从而减小堆芯流量。因而，一般来说，这两种事故相比，卡轴事故较为严重，但在停堆较晚的情况下，断轴事故也有可能变得更严重。控制棒弹出事故：简称弹棒事故。控制棒驱构密封壳套发生破裂，反应堆压力容器内外巨大的压差可把堆芯的控制棒迅速弹出，快速地对堆芯引入正反应性，使核功率激增，同时也形成堆芯很不均匀的分布，出现一个很高的局部功率峰。在事故开始的短时间内，功率激增产生的大部分的热量在二氧芯块内部。芯块温度升高而熔化，并出气体，在棒形成高压，可能使元件瞬时破裂。元件破裂后，芯块碎粒把热量迅速传输给冷却剂，使部分冷却剂中能量积聚过量，于是热能转变为机械能，形成很强的冲击波，可能损坏堆芯和一回路

59、。热量传递至元件包壳，可造成部分包壳表面发生偏离泡核沸腾，并继而使包壳达到脆性温度，影响堆芯的完整性。热量传送至冷却剂，可使系统内压力和温度上升，- 16 -形成一回路的压力，冲击压力边界的完整性。为防止及缓和弹棒事故，应保证控制棒驱构密封壳套设计及加工可靠。在核设计上，要求控制棒在堆内合理布置，改善弹棒事故的堆芯功率分布。蒸汽发生器传热管破裂事故：破口发生后，一次侧冷却剂通过破口进入二次侧，这是一种特殊的小破口反应堆冷却剂丧失事故。由于破口面积小，高压全注射可弥补一回路的喷放流量，使堆芯不会露，保持得到冷却的状态。蒸汽发生器二次侧压力升高后，将从阀及安全阀排出的蒸汽和水，并伴随着向环境排出放

60、射性物质。蒸汽发生器水位逐渐提高，最后会导致满溢。满溢后，液体水从阀及安全阀流出。这样，会损坏这些阀门，诱发阀门卡在开启位置，液体水进入蒸汽管道又可造成蒸汽管道受到过大的负荷而损坏或破裂，形成更严重的事故。为避免满溢，员必须及时地利用完好蒸汽发生器导出一回路热量，启动稳压喷淋器系统及打开释放阀使一回路减压，并在适当条件下关闭高压安全注射及向破损蒸汽发生器的辅助给水，已中止破损蒸汽发生器中一次侧向二次侧排放及二次侧向大气排放。蒸汽发生器传热管破裂事故，在国际核电史上已发生多起，成为发生频率最高的极限事故。各核电国家正在研究措施，降低它的发生频率，并试行将此事故由极限事故（工况）改为稀有事故（工况