核电厂安全系统冗余度研究

吴宇翔，尚 臣，闫 林,袁 霞

(中国核电工程有限公司，北京100840)



核电厂安全系统冗余度研究

吴宇翔，尚 臣，闫 林,袁 霞

(中国核电工程有限公司，北京100840)

本文对核电厂安全系统冗余度的概念进行了澄清，认为不能简单地将安全系列的数量机械地等效于冗余度。N+1的冗余度满足单一故障准则的强制性要求，N+2的冗余度是实现在线维修的可选项。进而介绍了国际上主要核电机型的安全系统配置和冗余度，说明了冗余度与运行灵活性的具体关系。在冗余度研究的基础上，对三环路压水堆的两种安全系统配置方案(两个系列带母管和三个独立系列)进行了分析比较。两种方案均为N+1冗余度，但是对非能动部件(母管)单一故障的考虑有所差异。通过对我国和国际核安全法规、用户要求文件及相关标准的研究发现，非能动部件的单一故障问题不应成为这两个方案选择的决定因素。综合考虑安全性利益及经济性代价，两个系列带母管的方案是更加优化更平衡的设计。

安全系统；冗余度；单一故障；非能动部件

保证核安全是核电厂设计中考虑的首要因素，为此需要对核电厂的设计进行评价或者分析，以确认是否满足核安全目标，并且反过来指导设计。核电厂安全分析的方法包括确定论方法和概率论方法。

确定论方法是核电发展史上长期使用的方法，以纵深防御概念为基础，以确保核电厂基本安全功能为目的，针对一套确定的设计基准工况，采用一套保守的假设和分析方法，以检验是否满足特定的验收准则[1]。针对从假设始发事件得出的设计基准事故，设计上需要设置若干安全系统(或专设安全设施)。在发生设计基准事故时，通过安全系统的成功响应，保证基本安全功能的实现，保障核电厂始终处于安全可控的状态。压水堆核电厂典型的安全系统包括安全注入系统、安全壳喷淋系统和辅助给水系统等。

在分析设计基准工况可能导致的后果时，需要采用保守的假设和分析方法，比如参数选取对后果不利的偏差，只考虑安全级设备的作用等。一个重要的保守假设就是单一故障准则，即在缓解事故的系统和设备中假设一个随机故障，导致其不能执行预定的安全功能。为了在满足单一故障准则的条件下完成特定安全功能，设计中采用多于最少套数的设备，称为多重配置或冗余配置。在此条件下，一套设备出现故障或失效是可以承受的，不致于导致功能丧失。安全系统必须采用冗余配置，即一个系统包括多套设备(或称为多个安全系列)。

从冗余性(或多重性)进而可以引出冗余度的概念，即冗余的程度。但是实际中往往对于冗余度的认识出现偏差，将安全系列的数量机械地等效于冗余度，比如将2×100%的安全系统认为是N+1冗余度，将3×100%的安全系统认为是N+2冗余度，并且将其作为判断安全系统配置方案优劣的决定因素。本文旨在对核电厂安全系统冗余度的概念进行澄清，在此基础上针对两种具体的安全系统配置方案的选择给出建议。

1 冗余度的概念

由单一故障准则可进一步引出安全系统设计冗余度的要求,通常用N+1和N+2这样的说法来指代。假如完成某项特定安全功能需要N套设备(或N个安全系列)，在设计上多配置一套，那么这一设计的冗余度就是N+1；如果多配两套，冗余度就是N+2。

需要指出的是，N+1和N+2只是一个约定俗成的说法，尚没有查到文献对其给出权威的定义，因此对于N的定义即“完成特定安全功能所需的最少套数设备”就存在不同的理解。例如对于独立连接每个环路的安注系统来说，从表面上看，一个100%容量的系列就可以满足系统承担的应急堆芯冷却功能(即N=1)。但是在安注系统主要针对的冷却剂丧失事故(LOCA)中，非常有可能因为一列安注系统所连接的环路发生破口而使得该列安注系统功能丧失。对于这种设计，完成应急堆芯冷却的功能至少需要两个容量分别为100%的安注系列(即N=2)，在此基础上考虑单一故障准则再增加一个系列(即N+1冗余度)。因此有理由认为，N应当考虑始发事件可能导致的安全系列失效，即某个安全系列有可能因始发事件失效时，至少还需要另一个安全系列才能保证“完成特定安全功能”，此时至少两个安全系列才是“完成特定安全功能所需的最少套数设备”。

很多地方对N的理解比较肤浅，简单地将3×100%和4×50%即作为N+2的冗余度。其实不能简单地将安全系列的数量和容量等效为冗余度，而是需要结合具体的系统设计进行判断。例如，如果一个安注系列注入一个环路或者直接注入压力容器，则该系列完全有可能受到始发事件的影响而失效，这种设计至少需要两个安注系列才能保证完成所需的安全功能；如果每个系列有多个注入点,例如在环路和压力容器上均有注入点，或者在多个环路上有注入点,可以认为不受始发事件的影响，则一个系列即能保证完成所需的安全功能。对于配置为3×100%(或4×50%)的安注系统，注入点数量不同的这两种设计，其冗余度分别为N+1和N+2。

根据以上解释，N+1冗余度的作用在于满足单一故障准则，是所有核电厂安全系统设计都必须满足的基本要求；N+2冗余度除了满足单一故障准则，最大的意义在于能够实现一个安全系列的在线维修，是提高机组运行经济性的可选措施之一。

2 主要核电机型的安全系统冗余度

根据上节对安全系统冗余度的定义，表1中列出了国际上主要压水堆核电机型安全系统的配置和冗余度。在同一个堆型中，各个安全系统之间，以及同一个安全系统的子系统之间，安全系列的配置可能不尽相同。由于安注系统与一回路压力边界连接，需要考虑始发事件，并且单一故障主要是针对能动设备，因此这里主要考虑能动安注子系统的配置。

从表1可以看出，对于三环路压水堆来说，安全系统配置一般有2×100%和3×100%两种配置(图1a)，区别在于前者采用考虑母管设计。两种配置的冗余度均为N+1，满足单一故障准则。在2×100%的配置方案中，两个安注系列通过母管连接到三个环路上。假设一个系列发生能动单一故障，剩余的另一列能够以100%的容量通过非破口的两个环路注入到堆芯。在3×100%的配置方案中，三个安注系列分别独立地连接在三个环路上。如果假设始发事件导致一个系列失效，同时考虑另一个系列能动单一故障，最终剩余一个系列能够提供执行功能所需的100%容量。

对于二环路或四环路压水堆，安全系统配置一般有2×100%、4×100%和4×50%三种形式(图1b至图1d)。2×100%配置方案也是采用母管设计，和三环路中考虑的2×100%方案相同。后两个方案中的四个安全系列则是分别独立地连接在四个环路上(或者直接注入压力容器)。4×100%配置方案的冗余度为N+2，如果一个系列处于维修状态，另一个系列因假设始发事件而失效，第三个系列发生单一故障，则还剩一个系列可以投入使用，执行规定的安全功能。因此这种配置方案最大的好处就是可以实现安全系统设备的在线维修。4×50%配置方案中，至少两个系列投入才能完成系统的设计功能，通常的设计只是考虑了环路注入和压力容器直接注入两种方式之一，因此冗余度为N+1。

根据第1章的定义，N+1设计的目的在于满足单一故障准则，N+2设计的意义在于实现在线维修。对于上表中列出的配置方案为3×100%和4×50%的机型，并未在其技术资料中发现关于允许安全系统设备在线维修的描述，因此认为其冗余度为N+1是合理的。

表1 主要核电机型安全系统冗余度Table 1 Redundant Degree of Safety System of Main Nuclear Power Models

注：① 如果不同的能动安注子系统之间的冗余度不同，以冗余度高的为准，除非存在与其他系统共用设备的情况； ② 在多数事故情况下，容量可视为4×100%。

图1 各种安全系统配置示意图Fig.1 Diagram of Different Configurations of Safety System(a) 三环路，3×100%配置(ATMEA1)；(b) 二环路，4×50%配置(APR1400)；(c) 四环路，2×100%配置(N4)；(d) 四环路，4×50%配置(APWR)

3 安全系统冗余度与运行灵活性

如前所述，N+1和N+2的冗余度对于核电厂的主要影响在于运行灵活性方面，本章对这部分内容进行一个更详细的说明。

3.1 故障维修灵活性

故障维修是指在核电站正常功率运行期间，因为某种原因导致或发现了某一设备的不可用而对该设备进行的紧急维修，这一类维修一般具有故障比较简单，易于修复的特点。

对于N+1冗余度的核电厂，按照西屋标准技术规格书(NUREG-1431)编制的运行技术规格书规定了以下要求[2]：

(1) 在一个系列不可用时，应在3天内进行修复，如果不能按期修复则进行停堆后撤；

(2) 在两个系列不可用时，应在1小时内开始停堆后撤。

因此对于随机出现的故障，操作人员和维修人员有3天的时间进行维修。根据已运行核电厂的经验反馈，3天的修复时间足够进行一般的故障性维修，未出现过超出3天不能修复而导致停堆的情况。

EPR和VVER是典型的N+2核电厂，一列安全设备发生故障时，仍有足够的冗余度完成特定的安全功能，因此在运行技术规格书(参照NUREG-1431编制)中的要求为[2]：

(1) 在一个系列不可运行时，允许30天的检修时间，如果不能按期修复则进行停堆后撤；

(2) 在两个系列不可运行时，允许3天的检修时间，如果不能按期修复则进行停堆后撤；

(3) 在三个系列不可运行时，应在1小时内开始停堆后撤。

N+2冗余度的核电厂允许一个系列不可运行的时间为30天，故可进行在线的预防性维修，而且即使在进行预防性维修时发现了另一个系列不可用，也有3天的时间进行故障维修。

3.2 预防性维修灵活性

预防性维修是指为保证设备的可靠性而对核电厂的能动设备进行解体检查和更换易磨损、老化设备的活动。这一类维修一般具有工作量大、耗时长等特点。

N+1冗余度的核电厂，在换料大修期间(工期主要取决于汽轮发电机组的检修)完成所有能动设备的预防性维修工作，不必在功率运行期间进行预防性维修。

EPR和VVER等N+2冗余度的核电厂采用四个安全系列，逐列检修时间较长，无法在换料大修期间完成所有能动设备的预防性维修工作，而其N+2的设计允许在功率运行期间退出一个系列进行预防性检修工作。从这个意义上说，部分核电厂采用N+2设计或许也有其能动设备多，无法在换料大修期间完成所有的预防性维修工作的原因。

4 安注系列的母管问题

对于三环路压水堆安注系统来说，2×100%的配置和3×100%的配置都能实现N+1的冗余度，满足单一故障准则，区别在于两种方案的具体设计，即每个安注系列是否只有一个注入点。2×100%安注系列配置方案一般采用母管设计，使得每个系列有超过一个注入点，这样不会因为始发事件而导致一个安全系列完全不可用。而3×100%安注系列配置方案中，三个系列各自独立连接一个环路，每个系列只有一个注入点。这两种配置方案冗余度均满足单一故障准则，对其安全性最大的争论在于是否需要考虑非能动设备的单一故障。

三个独立系列的方案中(图2a)，第一列由于始发事件失效，第二列发生单一故障(无论是能动或者非能动单一故障)，第三列总能以100%容量满足所需的安全功能。如果第二列发生的是非能动单一故障，也有可能在操作员的干预下被隔离，从而减少泄漏损失。

两个系列带母管的方案也可以有不同的设计。一种设计是每个安全系列的管线先分成三个子管，来自不同系列的两个子管再合并成一个母管，注入到一个环路中(设计A，图2b)；另一种设计是两个安全系列的管线先合并成一个母管，再分出三个子管分别注入三个环路(设计B，图2c)。

无论是设计A还是设计B，如果假设始发事件导致一个环路失效，同时考虑一个系列能动单一故障，剩余的一列以100%容量提供补水，并通过非破口的两个环路注入到堆芯，因此功能的执行是有效的，但是一部分补水流量(大约1/3)通过破口流失。[3]

如果假设发生非能动单一故障，即母管发生泄漏，设计A和设计B的情况略有不同。对于设计A来说，两列都可以运行，但一个母管因始发事件无法注水，一个母管因非能动单一故障发生破口，仅剩下一个母管完好，此时不能保证注入到堆芯的容量能够满足100%容量的要求。[3]对于设计B来说，母管的泄漏则会导致全部丧失中压安注冷段注入或低压安注冷段注入。另外这种发生在母管上的非能动单一故障隔离难度也很大。

可以看出，对于两个系列带母管和三个系列独立配置的两种方案进行比较的关键在于，如何对非能动部件的单一故障进行考虑。非能动部件由于其无需外部动力以及动力设备，因此一般认为其可靠性很高，且在设计时不假设单一故障。

图2 三环路压水堆安注系统简化流程图Fig.2 Simplified Flow Diagram of Safety Injection System of 3-loop Pressurized Water Reactor(a) 三个安注系列方案；(b) 两个安注系列方案(设计A)；(c) 两个安注系列方案(设计B)

5 相关的规定和要求

本章对我国和国际的核安全法规、三代核电用户需求文件和相关标准进行了调研，试图解决以下两个问题：

(1) 对于安全系统的冗余度(N+1或N+2)是否有明确规定；

(2) 对于非能动设备的单一故障是否有更加严格的要求。

5.1 我国核安全法规

HAF102《核动力厂设计安全规定》(2004版)中对于冗余度没有明确规定，但是有这样一句话：“设计必须通过采用诸如增加多重性等措施保证在毋需核动力厂停堆的情况下进行安全重要系统合理的在线维修和试验。”虽然原则上N+1的配置方案不是为了满足在线维修而设计的，但是运行技术规格书中规定，一个系列不可用的修复时间为3天，3天时间对于一个系列的试验和维修都是足够的。因此N+1能够满足这条要求。

HAF102对于非能动部件的单一故障规定如下：“某一非能动部件的设计、制造、在役检查和维修均达到很高的质量水平，并且保持不受到假设始发事件的影响，则在单一故障分析中可以不必假设它会发生故障。”[4]

5.2 IAEA核安全标准

SSR-2/1《核电厂安全：设计》(2016版)中对于冗余度没有明确规定。值得注意的是，HAF102中“设计必须通过采用诸如增加多重性等措施保证在毋需核动力厂停堆的情况下进行安全重要系统合理的在线维修和试验”的要求已经从最新版的SSR-2/1中删除。HAF102升版过程中也建议这条按照新版SSR2/1修改，从法规中删除。

SSR-2/1对于非能动部件的单一故障规定如下：“在设计中，必须充分考虑非能动部件的故障，除非能够在具有高置信度的单一故障分析中证实：该部件的故障极不可能发生，并且其功能保持不受到假设始发事件的影响。”[5]

5.3 西欧核监管协会(WENRA)的法规

WENRA《新建核电厂设计的安全性》(2013版)只是聚焦于福岛事故之后的几个专题，比如纵深防御层次的独立性、多重失效、实际消除、外部灾害等，对于安全系列的冗余度和非能动部件的单一故障均未涉及。[8]

WENRA《现有核电厂的安全参考水平》(2014版)对于安全系统冗余度没有明确规定。对于非能动部件的单一故障规定与SSR-2/1基本相同：“设计基准事件的分析中应假设最严重的单一故障。但是没有必要假设非能动部件的故障，如果能够证明该部件的故障极不可能发生，并且其功能的保持不受到假设始发事件的影响。”[7]

5.4 用户要求文件(URD)

URD第II卷第5章中要求，安全系列的数量至少应确保在假设导致事故的失效叠加最极限的单一故障的条件下所需安全功能的实现。同时URD也解释道，安全系列的数量涉及设备可靠性和代价(投资、运行和复杂度)的平衡。

URD第II卷第1章中要求在始发事件24小时之后考虑非能动单一故障，包括阀门泄漏、密封泄漏、法兰泄漏等。第II卷第5章的附录中也说明，流体系统非能动设备的单一故障假设是长期的，符合目前的监管实践。[8]

5.5 欧洲用户要求(EUR)

EUR第2卷第8章中要求：“单一故障准则应用于提供安全功能的设备时，应根据N+1概念提供冗余设备”，“一些执行安全功能的特定设备的预防性维修预计会在电厂正常运行期间实施，应根据执行功能的水平和所需功能的设计工况，在具体问题具体分析的基础上应用N+2概念(考虑由维修和单一故障导致的不可用)”。

EUR第2卷第1章中对于非能动部件的单一故障有以下规定：“在单一故障分析中，可不假设非能动部件的失效，如果这个部件的设计、制造、安装、检查和维修达到很高的质量水平。但是假设非能动部件不会失效时，需要考虑始发事件之后部件所需的时间长度证明其合理性。” 在注释中进一步说明，“非能动泄漏在始发事件之后的头24小时内不考虑”。[9]

5.6 我国行业标准

NB标准《压水堆核电厂重要流体系统单一故障准则》尚未正式发布，由核动力院和广核工程公司起草，参考美国国家标准ANSI/ANS-58.9-2002《轻水堆安全重要流体系统单一故障准则》。标准中规定：“在事故的长期阶段要考虑的单一故障可以是能动故障或者非能动故障”，“若某非能动故障为泄漏的情况，应在适当考虑运行工况和可能的故障或泄漏模式的同时，通过系统中现实的非能动故障机理的分析来规定发生非能动故障时的设计泄漏流量”。在不作为单一故障考虑的情况中，说明“若某非能动故障为有限的泄漏，该故障不会导致机组丧失所需的安全功能，则单一故障分析中则不必考虑这种有限的泄漏”。[10]

5.7 小结

目前我国、IAEA 和WENRA的和核安全法规只是要求安全系列提供冗余性满足单一故障准则，并未对N+1或是N+2的冗余度进行进一步规定。URD中则指出，安全系列的数量涉及设备可靠性和代价(投资、运行和复杂度)的平衡。EUR中提到了N+1和N+2的概念，将N+1作为强制要求，N+2作为考虑设备在线维修后的可选项。

法规中允许不考虑非能动部件的单一故障，前提是证明该部件的故障极不可能发生并且不会受假设始发事件的影响。而根据URD和EUR要求，至少事故短期内(24小时)不用考虑非能动单一故障。

6 安全系统配置方案的选择

以上研究和考虑的最终目的是为核电厂安全系统配置方案的选择提供支持。

冗余度是核电厂安全系统配置方案选择需要考虑的因素之一，N+1的冗余度即可满足单一故障准则，满足法规的强制性要求。在满足冗余度要求的前提下，可以选择不同数量的安全系列，这时需要综合考虑各方面的因素选择最优的方案。

以第4章提到的两种安全系统配置方案为例，由于核安全法规允许在证明故障极不可能发生并且不会受假设始发事件影响的前提下，不考虑非能动部件的单一故障，因此设计中不必考虑母管泄漏的可能性，两种配置方案均满足法规的要求。即使退一步根据用户需求文件的要求，非能动部件的单一故障也只需在事故后长期阶段(24小时后)才需要考虑。此时堆芯衰变热已经比事故刚发生时大大降低，而且安注系统已经进入冷热段同时注入模式，即使全部丧失冷段注入，热段注入也仍然有效，仍然能够实现补水功能。因此母管问题不会成为这两种配置方案选择的制约因素。

对于方案选择真正起决定作用的应当是安全性和经济性的平衡，而安全性的考虑中又需要关注冗余性和多样性的平衡。

非能动系统一般结构相对简单，本身的失效概率较低，减少了对电源、冷却水等支持系统的依赖，提高了系统的可靠性，同时由于启动和运行方式简单也减少了人员失误的可能性。在两个能动安全系列的基础上增加一个能动安全系列，虽然能够消除母管，提高各系列之间的独立性，但是能动部件的共因失效仍占主要贡献，降低堆芯损坏频率(CDF)的作用有限。而在两个能动安全系列的基础上增加一个非能动系列，能够有效避免共因失效导致多列系统故障，因而安全性的提高更加明显。这一结论也被不同安全系统配置的三环路压水堆的概率安全分析(PSA)结果(表2)所支持。近年来国际上新研发的核电机型也往往采用了在两个或三个能动安全系列的基础上增加一个多样化安全系列的设计。

从经济性角度来说，增加安全系列的数量无疑会增加设备的采购费用，对厂房布置以及电气、仪控、冷却水等支持系统的要求更高，将大大增加核电厂的建设成本。另一方面，三个独立系列也为N+1冗余度，运行灵活性相对于两个系列带母管的方案并无明显优势，无法通过在线维修提高机组经济性。在换料大修期间完成三个系列预防性维修的工作量更大，甚至有可能导致大修时间的延长。

因此在冗余度相当的情况下，综合考虑安全性利益和经济性代价，两个系列带母管的方案是比三个独立系列更加优化和平衡的设计。

表2 安全系统不同配置方案的PSA结果Table 2 PSA Results of Different Configurations of Safety System

3 结论

核电厂设计中通常用N+1和N+2这样的说法来指代安全系统冗余度，但是经常出现将安全系列数量机械地等效于冗余度的认识误区，比如将2×100%安全系统认为是N+1冗余度，将3×100%安全系统认为是N+2冗余度。本文对冗余度的概念进行了澄清，将N定义为“完成特定安全功能所需的最少套数设备”，具体取值需考虑每个安全系列是否会受到始发事件的影响，对于安注系统来说这与每个系列注入点的设计有关。

N+1的冗余度满足单一故障准则的强制性要求，N+2冗余度是提高运行灵活性的可选项。N+2冗余度的核电厂允许一个系列不可运行的时间为30天，故可进行在线的预防性维修，其代表机型包括EPR和VVER。

对于三环路压水堆来说，安注系统配置一般有两个系列带母管和三个独立系列两种方式。两种设计均为N+1冗余度，但是对于非能动部件单一故障的考虑有所差异。通过对相关规定的研究发现，我国、IAEA和WENRA的核安全法规均允许不考虑非能动部件的单一故障，前提是证明该部件的故障极不可能发生并且不会受假设始发事件的影响。而根据URD和EUR要求，至少事故短期内(24小时)不用考虑非能动单一故障。

事故发生24小时后，安注系统已进入冷热管同时注入阶段，单个母管破裂的影响是可控的。因此无论是按照核安全法规，还是按照三代核电用户需求文件，母管问题都不会成为这两种配置方案选择的决定性因素。PSA分析表明，在两个能动系列的基础上增加一个能动系列带来的安全性提高远不如增加非能动措施消除共因故障带来的安全性提高。同时增加一个系列会导致设备采购费用和维修工作量的大幅增加。综合考虑安全性利益和经济性代价，两个系列带母管的方案是更加优化和平衡的设计。

[1] “第二代改进型核电厂安全水平的综合评估”课题组. 第二代改进型核电厂安全水平的综合评估[J]. 核安全, 2007, (4):1-26.

[2] US Nuclear Regulatory Commission. NUREG-1431 Standard Technical Specifications: Westinghouse Plants [S]. Washington, DC: NRC, 2012.

[3] 张宁, 郑华, 牛文华, 等. 核电厂安全系统的系列配置对可靠性与机组安全的影响方案研究. 核安全. 2014, 13(4): 84-89.

[4] 国家核安全局. HAF102 核动力厂设计安全规定[S]. 北京: 国家核安全局, 2004.

[5] International Atomic Energy Agency. SSR-2/1 Safety of Nuclear Power Plants: Design[S]. Vienna：IAEA，2016.

[6] WENRA Reactor Harmonization Working Group. Safety of new NPP designs [R]. WENRA, 2013.

[7] WENRA Reactor Harmonization Working Group. Safety Reference Levels for Existing Reactors[R]. WENRA, 2014.

[8] EPRI. Advanced Light Water Reactor Utility Requirements Document[S]. California: EPRI, 2008.

[9] EUR. European Utility Requirements for LWR Nuclear Power Plants[S]. Villeurbanne: EUR, 2012.

[10] 国家能源局. 压水堆核电厂安全重要流体系统单一故障准则[S]. 待发布.

Study on the Redundant Degree of Nuclear Power Plant Safety System

WU Yu-xiang1，SHANG Chen2，YAN Lin1, YUAN Xia2

(1. China Nuclear Power Engineering Co. Ltd, Beijing 100840, China)

This article makes a clarification for the concept of the redundant degree of nuclear power plant safety system, which cannot be simply equivalent to the number of safety trains. The redundant degree of N+1 satisfies the single failure criteria which is a mandatory requirement, and the redundant degree of N+2 is an option for In-service Maintenance. The configurations and redundant degrees of safety systems of the main nuclear power models in the world are further introduced, and the specific relations between the redundant degree and operational flexibility are interpreted. On the basis of the study, the analysis and comparison is performed for two kinds of safety system configurations of three-loop pressurized water reactor, i.e. two trains with a common header and three independent trains. Both designs are of redundant degree of N+1, but are different in the way whether to consider the single failure of passive component (common header). The studies on nuclear safety codes, standards and utility requirements reveal that, the single failure of passive component should not be the decisive factor in selecting the two designs. With the comprehensive consideration of the safety benefit and economic cost, the design of two trains with a common header is more optimized and balanced.

Safety System；Redundant Degree；Single Failure；Passive Component

2016-08-29

国家高技术研究发展计划(863计划)资助课题 (2012AA050906)

吴宇翔(1983—)，男，安徽人，高级工程师，博士，现主要从事核电厂总体设计

TL364

A

0258-0918(2017)03-0413-09