李盛杰,温亮
(中广核工程有限公司,深圳 518000)
核反应堆安全壳过滤排放系统(FCVS)在安全壳晚期超压(例如严重事故后)工况下,通过主动卸压的方式使安全壳内的压力不超过其设计压力,从而确保安全壳的完整性。同时,通过对排放气体的放射性物质进行过滤,使不可避免释放到环境中的放射性物质维持在尽可能低的水平。
设置FCVS的目的在于保证安全壳的完整性,避免由于安全壳晚期超压失效导致放射性物质不可控地向环境释放。但是该系统在过滤放射性物质时不能完全过滤,仍旧会对环境和公众造成一定的放射性污染或伤害。考虑到该系统造价不菲,以及本身存在一些安全风险,因此是否设置FCVS是一个值得思考的问题。本文针对压水堆设置FCVS的必要性进行分析,并提出可能的优化方案。
对于是否设置FCVS,国内及国际法规、标准都有相关的描述。
HAF 102—2016《核动力厂设计安全规定》§6.3.5.4要求“必须采取设计措施以防止在核动力厂所有状态下丧失安全壳结构的完整性。该措施必须不会导致早期放射性释放或大量放射性释放。”[1]国内HAD 102/17—2006《核动力厂安全评价与验证》中§4.4.3.7.2节要求:“这些改进措施可能包括……安全壳过滤排气系统(可以在较长时间内放置安全壳超压)……在考虑代价和利益后,当认为这样做是合理可行时,应将这些改进纳入到核动力厂的设计中”[2]。
在国际原子能机构(IAEA)“DeterministicSafetyAnalysisforNuclearPowerPlant”(SSG-2)中§8.26认为FCVS在在运或在建电站中,作为严重事故后的缓解系统,是一种可行的措施[3]。在IAEA“SevereAccidentManagementProgrammesforNuclearPowerPlant”(NS-G-2.15)中§2.15认为在严重事故下,如果安全壳超压的现象是存在的,并且必须保护安全壳放射性物质屏障的完整性,那么FCVS应能在恰当的时间和安全壳压力水平下启动,保护安全壳的结构完整性[4]。
在西欧核能监管机构协会(WENRA)报告“SafetyofNewNPPDesign”中§04.3认为严重事故的设计和事故管理规程里应当(should)考虑大量受污染的冷却水的管理及安全壳长期超压下的过滤排放[5]。
在欧洲用户要求(E版)(EUR(Revision E))文件§2.9.4.1.2.3.2“FilteredVentingSystem”中提出,针对最恶劣的严重事故场景,在设计中应(shall)考虑使用FCVS的需求(need),以及提出如果设置该系统应满足的一些性能要求[6]。
综合前文可以看出,目前尚未有必须设置该系统的要求,而均是在充分评估严重事故后安全壳超压可能性的前提下,建议在设计中考虑设置FCVS。
对于已建和在建核电厂是否设置FCVS,国内及其他国家各种机型的情况如下:国内以M310机型为基础的已建改进型二代加核电厂基本上配置了FCVS。这些排放系统包括湿式和干式2种技术方案,对于放射性碘、气溶胶等具有较高的过滤效率,但是对惰性气体、氢气等不能过滤。
国内其他已建或在建的核电厂(包括三代核电厂)对于FCVS的考虑各不相同。其中,华龙一号设置了湿式的FCVS;欧洲改进型压水堆(EPR)未设置FCVS;水水高能反应堆(VVER)将FCVS在标准设计中作为可选项,但在国内核电厂未设置FCVS;非能动先进反应堆(AP1000)未设置干式或湿式的FCVS,但通过管线连接安全壳和乏燃料水池,在严重事故下可以将安全壳内气体排入乏燃料水池进行泄压。
此外,EPR机型在不同国家的情况也有所不同。例如法国(在建)和中国EPR机组(已建)未设置FCVS,芬兰安审当局要求设置,英国的安审当局也倾向于设置该系统。
经济合作与发展组织(OECD)于2014年7月对其成员国核电站(主要针对压水堆和沸水堆)的FCVS现状进行了调研并出版报告“OECD/NEA/CSNIStatusReportonFilteredContainmentVenting”,在报告§4中表4.3详细列出了多个成员国设置FCVS的现状[7],表1给出了主要国家的信息(表中:PWR为压水堆;BWR为沸水堆;PHWR为重水堆;HSSPV为文丘里湿式过滤;DFM为多级干式过滤)。
表1 FCVS各国设置现状Tab.1 Status quo of FCVS in different countries
注:■无FCVS;□计划但未选择设计;●已安装;○计划。
通过该表可以看出,主要核电国家,例如美国、法国、俄罗斯的情况与国内“不同堆型不同考虑”的情况类似,法国已建核电厂均设置了干式过滤排放系统,而美国和俄罗斯已建电站并未设置,其他欧洲国家基本设置或倾向设置过滤排放系统。
综合国内、国际法规、标准的要求或观点,以及各国在已建或在建核电站的实践,可以归纳如下:
(1)是否设置FCVS没有必须、强制性的要求;
(2)是否设置FCVS与具体核电厂机型和技术相关;
(3)是否设置FCVS与各国安审当局的观点有关。
如果设置FCVS仅带来正面收益,或正面收益远大于负面影响,那么也就无须讨论FCVS设置的必要性了。因此,本章首先从设置FCVS的利弊分析开始。
如果发生安全壳晚期超压的工况,设置FCVS能带来的主要收益在于:
(1)能够防止安全壳由于超压可能导致的失效,保证安全壳结构的完整性。
(2)事故的后处理阶段仍旧可以使用安全壳作为生物屏障,避免花费巨额资金打造类似切尔诺贝利电站的“混凝土石棺”。
(3)通过向大气或特定厂房或房间的排放,保证事故后某些需要执行事故缓解/后处理行动而仍旧需要进入的厂房/房间不被显著地污染。
(4)避免放射性物质不可控、长期地向环境释放,减少公众接受辐照的剂量。
设置FCVS的负面影响或不利因素主要在于:
(1)FCVS仅是防止了放射性物质不可控地释放,但是并不能将放射性物质完全过滤,尤其是类似AP1000的做法,仅是对排放气体进行了简单的“水洗”。FCVS启动后将可能对厂区附近的公众造成一定的辐照。因此,OECD将进一步提高放射性物质过滤效率作为后续安全壳过滤排放装置的研究重点。
(2)放射性物质向厂区环境(大气)的排放,造成厂区污染,潜在阻止了厂内操作人员试图恢复其他关键安全措施的操作或厂外救援人员的接近(类似日本福岛事故后,自卫队拒绝进入现场救援和处理),尤其是该系统可能存在多次排放且每次排放时间较长的情况,例如某型华龙一号电厂一次排放的设计时间约为8 h。另外,在严重事故期间,该系统需要操作员到现场进行操作(开/关),还需评估排放过程中的环境条件,或排放后多长时间环境条件可以达到人员可接近的条件。
(3)由于FCVS的启动/关闭条件和时机不仅与事故进程和电厂状态参数有关,也和操作人员的判断相关。考虑人员判断可能出现偏差,例如操作人员考虑排放的后果坚持“能不开启就不开启”,或者一旦电厂状态参数达到开启/关闭条件(也许仪表指示器偏差)就立刻开启/关闭该系统,可能造成操作员执行了过早或过晚开启/关闭的不恰当操作,极端情况可能导致安全壳结构完整性失效或放射性物质大量释放。
(4)在严重事故下,安全壳内包含大量氢气和水蒸气。在FCVS排放过程中,尤其是使用湿式过滤装置对蒸汽进行了“水洗”后,氢气浓度会相对增高,且原蒸汽对氢气的“钝化”效应消失,因此在排放过程中可能存在氢气爆燃/爆炸风险。
(5)FCVS排放结束后,安全壳内的不凝结气体可能大量减少,而水蒸气在壳内气体中的组成可能随不凝结气体排放而增加。当壳内温度下降水蒸气冷凝(例如事故后长期或恢复启动安全壳热量导出系统),可能导致壳内变成负压,对安全壳的完整性构成挑战。如果向壳内注入不凝气体(例如氮气)增压,注入气体系统的可靠性或可恢复性也非常关键。
(6)目前无论采用什么技术手段的FCVS均贯穿了安全壳,其本身就增加了安全壳旁通的风险。此外,对于采用干式过滤技术的FCVS,系统投运后会残留大量的高放射性废物,非常难于处理。
对于“能否大幅度提高过滤效率至无放射性释放”“能否避免操作员不恰当操作”“该系统是否绝对可靠”等问题目前很难设计和证明。因此,在设计中消除严重事故下安全壳晚期超压的工况,或采用替代方法而无须过滤排放,相比于以上几个问题反而是更需优先考虑的。
如果在设计中能消除严重事故下安全壳晚期超压的工况,那么就无须设置FCVS。这个目标的实现与2个重要因素相关,其一为不同核电厂应对设计基准和设计延伸工况所采用的安全措施,其二为所在国安审当局对“消除”概念的理解和要求,本文重点对第1个因素,即采取的安全措施进行分析和论述。
引起超压的根本原因有2个,即针对一个特定容积的承压“容器”,由于过量的能量和/或质量输入导致其超压。因此,为了消除严重事故后安全壳超压的现象,应从“能量”和“质量”两个方面着手。
严重事故后,由于堆芯熔化且无法得到冷却,源源不断产生的能量(衰变热)持续加热安全壳内的大气,导致其压力不断上升引起超压,但设计上通过消除堆芯熔毁来消除安全壳超压是不可行的(堆芯熔毁概率(CDF)在设计上一般小于1×10-5。此外,考虑到严重事故的特殊性和不确定性,在电厂设计中也必须考虑和提供手段缓解严重事故引发的各种物理现象)。因此,考虑纵深防御层级的要求,只能通过设置专用于严重事故下衰变热排除的安全措施防止过量能量输入,例如能动或非能动的严重事故安全壳热量导出系统。
在设计上考虑专用于严重事故下安全壳热量导出系统并不能完全消除安全壳超压的风险,主要原因为不凝结气体的不断产生。即便堆芯衰变热可以被导出,但是不凝结气体不断产生最终还会导致安全壳超压(过量的质量输入)。
严重事故下产生的不凝结气体,主要包括燃料棒内预充的氦气、裂变气体、燃料包壳与水发生锆水反应产生的氢气,以及可能的堆芯熔融物与混凝土/牺牲材料反应(MCCI)产生的大量不凝结气体(包括氢气、一氧化碳等)。在这些气体中,锆水反应和MCCI现象产生的气体最为大量且持续不断,抑制或消耗这些气体的产生对于消除安全壳超压现象是非常重要的,可以采用的手段包括使用氢气复合器/点火器和熔融物堆内滞留技术(IVR)——将熔融物滞留在压力容器内防止与混凝土接触。笔者认为采用熔融物堆内滞留技术后,在设计上应防止再向压力容器内注水淹没堆芯(例如当安全系统恢复后),尤其是在安全壳内压力较高时,以避免大量的氢气和蒸汽快速产生进入安全壳内加剧安全壳超压风险。
以上在严重事故下专用于防止过量的“能量”和“质量”向安全壳输入的技术手段可以极大地降低安全壳超压的风险,但是这些技术手段仍旧可能因为丧失支持系统而失效,这些支持系统可能包括电力、冷却水(或水池、水箱内的水源)、仪表和控制等。在设计上考虑如何提高支持系统的可靠性,降低其失效频率时,除了在配置上提高支持系统的冗余外,还有一个非常关键的变量必须要清晰、明确地进行界定,这个变量就是“时间”。
在设计中对于“时间”的解读或要求可以体现在以下3个方面,即自治时间(tzz)、超压时间(tcy)和支援时间(tzy)。其中:自治时间(tzz)的含义为专用于防止安全壳超压的安全措施需要坚持的时间。这个时间与电站的自治性相关,也是各国安审当局的强制要求,一般体现在对水源、热阱、应急电源(例如SBO柴油机)、不间断电源(例如蓄电池)等重要支持系统在容量上的要求。
超压时间(tcy)的含义为这些安全措施未启动之前安全壳达到超压状态的时间或这些安全措施丧失之后安全壳达到超压状态的时间。在严重事故发生后,这些安全措施一般均是由操作员手动启动,需要给予操作员一定的宽限期(例如在EUR中要求12 h),因此在操作员动作之前,安全壳应设计为不会超压。或者如果这些安全措施启动后失效(例如丧失支持系统),那么在安全壳达到超压状态前还能坚持的时间。可以看出,这个“时间”在设计上与安全壳的自由容积紧密相关,即如果增大安全壳内自由空间,那么这个“时间”就可以延长。
支援时间(tzy)的含义为事故后厂内和厂外能够提供支援的时间。在严重事故发生后,厂内能够提供支援(例如手抬泵、移动电源等)的时间。根据国内一些典型电站的设计考虑,这个时间约为6 h。此外,厂外也可以提供外部支援,例如某些重装设备,这个时间与所在国、核电厂所在地区附近资源和应急指挥相关,一般认为这个时间为3~7 d。
3个“时间”的逻辑关系为,如果自治时间(tzz)与超压时间(tcy)之和大于支援时间(tzy),即tzz+tcy≥tzy,那么可以认为能够有效地消除安全壳超压的风险。试举例说明,假设某个采用大自由容积安全壳、IVR、能动安全壳热量导出(喷淋)系统等安全措施的压水堆核电厂,在能动安全壳热量导出系统启动前具有12 h的宽限期,能动安全壳热量导出系统及其支持系统的电力由SBO柴油机保证至少72 h,厂内支援(包括移动泵、移动电源)时间为6 h且能坚持72 h以上,厂外支援时间为3 d,那么可以认为消除了安全壳超压的风险,即可以取消设置FCVS。
国内和国际存在一种看法,FCVS是防止安全壳超压的“兜底”手段,如果所有的安全措施均失效,设置FCVS至少能防止安全壳结构完整性被破坏以及放射性物质不可控地大量释放。而安全措施均失效的原因为发生超设计基准的外部灾害(类似于福岛事故,发生超级地震和海啸)导致安全措施本身或其支持系统全部失效。这样“确定论”的假设忽视了FCVS及其支持系统的可靠性,与其他安全措施并无本质区别,能导致安全措施及其支持系统失效的超设计基准外部灾害也同样能导致FCVS及其支持系统失效。例如,安全壳压力监测系统丧失无法测量安全壳压力导致操作员无从判断安全壳是否超压,应急照明系统丧失导致操作员无法达到操作位置等。而且如前文所述“FCVS均贯穿了安全壳,其本身就增加了安全壳旁通的风险”,在严重事故下,如果FCVS失效将导致安全壳旁通,引起后果也不亚于安全壳结构失效。此外,在极端的外部灾害下,操作员的可达性也无从保证,即便设置FCVS,也可以“确定论”地假设由于无法操作而失效,其后果仍旧是安全壳超压。因此认为FCVS是“兜底”手段并不能提高核电厂的安全性。
如果不从“确定论”的角度考虑,而采用“概率论”分析,那么增设FCVS是否能显著降低安全壳晚期超压的风险?根据对某华龙一号核电型号的设计分析,FCVS应对的是导致安全壳晚期超压的事故序列(即所有的降压安全措施均失效),其总的发生频率约为1×10-10量级。如果以1×10-8为截断频率,FCVS应对的是机组剩余风险。由此可以看出,即便设置FCVS可以将剩余风险(1×10-10量级)的发生频率进一步降低,但实际意义不大,更何况如果FCVS排放后,还将对环境和公众造成不可逆影响。
综合以上的分析和论述,在核电厂的设计中如果设置了专用于严重事故的安全措施,并且其自治性、安全措施设计容量和厂内/外支援的考虑满足tzz+tcy≥tzy,那么在设计上可以认为消除了安全壳晚期超压的风险,而无须设置FCVS。
在某些核电厂,尤其是一些已建的较早期的核电厂,在设计中未考虑增大安全壳自由容积、采用IVR,甚至未设置专用于严重事故的安全措施,从概率论和确定论的角度分析可能存在无法消除的安全壳超压风险,那么对于这种电站是否应设置FCVS,是否存在无须排放的替代方案?
根据前文,这一类核电厂由于存在无法消除的安全壳超压风险,所以在设计上应将安全壳超压工况作为一种设计延伸工况予以考虑。应对这种工况应首先从纵深防御的角度考虑安全措施设计,即包括预防和缓解2个层次,并且预防措施是优先于缓解措施的。预防措施可以理解为防止安全壳超压或进一步降低安全壳超压发生的频率所采用的措施,缓解措施是安全壳超压后,缓解其带来的后果所采用的措施,FCVS可以理解为缓解措施。
根据前文§2.2的分析,在设计上可以考虑的预防措施包括设置专用于严重事故的安全壳热量导出系统及其支持系统、堆芯熔融物堆内滞留技术、增大安全壳自由容积等。这样的技术改造确实能够从根本上极大降低安全壳超压的风险,但是已建电站基本很难予以实施。而且目前在国内已建的电站基本为二代加技术,已经设置了FCVS,取消该系统而去实施这样庞大的技术改造也没有什么必要性。因此,在本节对“无须排放的替代方案”的讨论仅是从纵深防御的预防角度分析可以实施的优化或增强措施。
根据前文§2.2分析的公式tzz+tcy≥tzy,考虑到这类电站的自治时间、严重事故下的宽限期时间基本难于通过对已有的厂内固定设施进行改进而提高,因此尚存可以或易于改进的时间为“厂内支援的时间”。即厂内支援(移动电源、移动泵等)能够在安全壳超压之前尽早达到接入条件,并且增加其接入后的持续运行时间,直至厂外支援的到来。这样的措施虽然不能消除安全壳超压的风险,但是对“能不使用就不用”安全壳过滤排放功能是具有极大好处的。
本章主要从设置FCVS的利弊分析,消除安全壳晚期超压风险,以及是否可以采用替代方案这3个方面进行分析和论述,主要的结论为:
(1)FCVS可以缓解安全壳超压风险,避免安全壳结构完整性失效,防止放射性物质不可控地向环境释放。但是FCVS也存在过滤效率不高、阻止操作员或厂外救援进入、启动/停运的不确定性等非常明显和难于消除的缺陷和风险。因此,在设计中消除严重事故下安全壳晚期超压的工况,或采用替代方法而无须过滤排放比消除FCVS存在的问题更加重要和需优先考虑。
(2)设置专用于严重事故下防止安全壳超压的安全措施,例如安全壳热量导出系统、堆芯IVR、增大安全壳自由容积等措施,并且在设计中考虑满足tzz+tcy≥tzy条件的时间要求,在确定论和概率论上可以认为消除了安全壳超压风险,因此可以取消设置FCVS。
(3)针对于设计中未考虑增大安全壳自由容积、未采用IVR、甚至未设置专用于严重事故的安全措施的已建的核电厂,由于在确定论和概率论的分析中无法消除安全壳超压风险,设置FCVS是有必要的,也符合目前国内和国际上针对已建电站的主流做法。但是应考虑加强厂内支援的时效性,尽早接入并持续运行至厂外支援到来,能够极大地降低对安全壳过滤排放的需求。
厂内支援的设施在严重事故预防和缓解的设计中具有重要意义。尤其在日本福岛事故后,日本国内安审当局2012年编制的《福岛核事故后核电厂改进行动通用技术要求》,以及国际上关于福岛事故后的经验反馈均认为在厂区内配置移动式设施是有效的措施。
严重事故下安全壳超压工况的根本原因在于堆芯熔融物产生的衰变热无法从安全壳内导出,因此在设计上配置能用于将安全壳内热量导出的移动设施就十分必要。根据各个电厂已有的应对严重事故下安全壳超压的安全措施,需要移动设施提供的支援可以分成2类,一类为考虑这些安全措施失效而需移动设施进行替代的,另一类是为这些安全措施提供支持而延长其运行时间的,例如提供电源、水源等。根据目前国内的实践,移动设施基本上为手抬泵、车载移动泵、车载移动电源等。为了实现以上2类支援,可能需要多台/套的移动设施,并且需要考虑其他严重事故下需要缓解的物理现象,以及同一厂址内多台机组可能有对移动设施的需求,因此电厂运行方需要配置的移动设备类型多、台/套数多。
如果能够开发出实现注水和热量导出功能组合的移动设施将降低移动设施的类型、台套数需求,简化各种移动设施接入的复杂操作,同时也是降低对FCVS使用需求的设施。因此笔者认为,移动式热量导出装置是未来研发的方向之一。
FCVS通过主动卸压和过滤的方式防止安全壳在超压工况下结构完整性遭到破坏,避免放射性物质不可控地大量释放,但是FCVS也存在难于克服的缺陷和风险。
虽然是否设置FCVS与各国安审当局的观点有关,但笔者认为考虑了专用于严重事故下防止安全壳超压的安全措施,以及满足tzz+tcy≥tzy时间要求的设计方案,从确定论和概率论上可以认为消除了安全壳超压工况,因此设计中可以不设置FCVS。
不满足以上条件的核电机型,设置FCVS是有必要的,但仍可通过加强厂内支援的时效性,尽早接入并持续运行至厂外支援到来,能够极大地降低对安全壳过滤排放需求。