邢 继,魏 玮,刘 静,喻新利
(中国核电工程有限公司,北京 100840)
鉴于核电技术的复杂性,特别是多起核电事故发生后,公众对核能利用的安全性提出了质疑。随着核电的发展,国内外对核电厂的安全性更加重视,尤其针对可能导致大量放射性释放的严重事故工况的应对提出更高的设计要求,要求设计上必须实现实际消除。《核动力厂设计安全规定》(HAF102—2016)提出必须实际消除可能导致早期放射性释放或大量放射性释放的事件序列[1]。HAF102—2016以IAEA SSR2/1—2016为基础,吸纳了国际最高设计要求,对乏燃料水池设计、设计扩展工况、外部灾害等方面分别提出了实际消除相关要求。我国《核安全与放射性污染防治“十二五”规划及2020年远景目标》要求“十三五”及以后新建核电机组力争实现从设计上实际消除大量放射性物质释放的可能性[2]。核安全监管部门于2019年借鉴IAEA TECDOC-1791等技术文件、结合国内核安全审评实践经验,发布《“华龙一号”融合方案核电项目核安全审评原则》(简称华龙一号审评原则),对实际消除的概念和应用给出了更具体的要求。
HAF102—2016明确要求发生频率高的事故序列没有或仅有微小的潜在放射性后果、严重事故下仅需在区域和时间上采取有限的防护行动,但国内监管部门对区域、时间尚无明确要求,国际上各国准则也不尽相同。法国要求场址边界5 km外不需要防护行动,芬兰有限距离为20 km,俄罗斯为25 km。印度允许可以执行场外干预行动,但要求必须有足够时间[3]。西欧核监管协会(WENRA)要求实现3 km应急撤离区、5 km隐蔽区域。欧洲用户要求(EUR)中提出有限影响准则(CLI),要求场址边界800 m外不需要撤离、3 km外不需要隐蔽。核电厂设计上实现实际消除采用确定论、概率论方法进行论证。目前国际上概率准则也不尽相同,美国、加拿大要求内部事件、外部事件导致的大量放射性释放频率(LRF)小于1×10-6/堆年,芬兰要求小于5×10-7/堆年,罗马尼亚、俄罗斯要求小于1×10-7/堆年,美国要求安全壳条件失效概率小于0.1,芬兰要求早期失效占比较少[3]。我国针对新建核电厂要求全范围堆芯损坏频率(CDF)小于1×10-5/堆年,LRF小于1×10-6/堆年。外部灾害导致的早期或大量放射性释放也需要被实际消除。由于概率安全分析(PSA)的局限性,外部事件PSA不确定性较大,根据国内外实践,外部事件的实际消除论证不建议采用概率论方法,主要通过核电厂针对超设计基准外部事件进行设防并有足够裕量来保证。本文主要研究内部事件导致的早期或大量放射性释放的实际消除的论证方法,提出实际消除的定量验收准则及核电厂设计上实现实际消除的论证方法和流程,并以华龙一号为例,对其设计上实现实际消除开展论证分析。
国内外核电厂设计与运营要求应能有效应对严重事故以实现实际消除,将严重事故区分为设计中考虑的严重事故和不需要在设计中考虑的严重事故。对设计中考虑的严重事故,作为设计扩展工况的一部分,放射性后果是有限的,要求在严重事故下仅需要在区域和时间上采取有限的防护行动,且有足够的时间实施这些防护行动;对设计中不再考虑的严重事故(通过设计中采取的措施实际消除这些工况后从而不再在设计中考虑)提出实际消除的要求。HAF102—2016要求核动力厂实际消除的范围包括:1) 导致早期放射性释放或大量放射性释放的核动力厂事故序列;2) 放射性释放源需考虑堆芯和乏燃料水池;3) 针对外部灾害要求设计有适当裕量,在超设计基准自然灾害事件发生时,保护用于防止早期或大量放射性释放所需的物项。
早期放射性释放为在预期时间内不能全面有效执行必要的场外防护行动的放射性释放;大量放射性释放为需要厂外防护行动,但这些行动受到时间长度和使用区域的限制,不足以保护人员和环境而导致的放射性释放[1,4]。根据国内外实践及要求,需要实际消除的可能导致早期或大量放射性释放的事故工况包括:1) 导致堆芯快速损伤及安全壳早期失效的事件(反应堆冷却剂系统中大的承压设备失效,不可控的反应性事故);2) 导致安全壳早期失效的严重事故工况(安全壳直接加热,氢气爆炸,蒸汽爆炸);3) 导致安全壳晚期失效的严重事故工况(堆芯熔融物-混凝土相互作用(MCCI)导致的底板熔穿,丧失安全壳长期排热导致安全壳晚期超压);4) 安全壳旁通的严重事故工况;5) 停堆工况安全壳开口的严重事故工况;6) 燃料储存池中的燃料严重降级和不可控释放。
实际消除早期或大量放射性释放是对核电厂安全设计提出的更高要求,但实际消除不是没有放射性释放,而是发生频率高的事故工况放射性后果有限。实际消除定义为物理上不可能发生或高置信度极不可能发生,对核电厂设计来说,必须满足:1) 可能导致早期或大量放射性释放的事故工况由于固有安全性物理上不可能发生或通过设计应对措施使该工况高置信度极不可能发生;2) 发生频率高的事故工况,属于未被实际消除的工况,应当在设计中考虑,必须确保放射性后果有限。
三哩岛事故发生了堆芯损坏,但由于安全壳的有效包容使最终释放到环境的放射性物质非常有限,对周围公众的健康影响轻微。因此只要保证严重事故下安全壳的完整性并防止安全壳被旁通,就可将大量放射性物质包容在内。同时要求发生频率高的严重事故工况向环境的放射性释放是有限的,即仅需在有限时间和区域采取有限的操作且时间足够。因此核电厂设计上要实现实际消除就必须设置完善的严重事故缓解措施确保即使发生堆芯损坏的严重事故(设计中考虑的)也可保证安全壳的有效包容,避免发生早期或大量放射性释放。实际消除论证主要采用确定论和概率论方法,验收准则包括确定论验收准则和概率论验收准则。确定论验收准则包括放射性和安全壳屏障完整性验收准则。
1) 确定论验收准则
(1) 安全壳屏障完整性验收准则
设计上满足实际消除需要确保安全壳的完整性,根据现有严重事故现象、严重事故管理及PSA的研究,主要关注的参数包括一回路压力、安全壳压力、堆芯熔融物可冷却性、安全壳内氢气浓度等。需要针对可能导致早期或大量放射性释放的严重事故情景设置充分的设计措施确保安全壳屏障完整性相关参数满足验收准则以保证安全壳完整性。对于安全壳屏障完整性验收准则国内外没有较大分歧,具体验收准则和电厂设计相关,如堆芯损坏时一回路压力必须低于2 MPa避免发生高压熔堆,但为保证压力容器堆内或堆外成功滞留,部分电厂要求一回路压力低于1 MPa。
(2) 放射性验收准则
HAF102—2016要求在技术上实现减轻放射性后果的场外防护行动是有限的,甚至是可取消的,即要求放射性释放对公众和环境的影响有限。放射性验收准则可表述为工作人员或公众的有效剂量,以便于和应急防护行动相对应;也可将核电厂设计特征与环境特性解耦,表达为剂量的放射性验收准则可转换为不同放射性核素的可接受活度水平,以便于新堆型设计之初缺少特定厂址、气象等条件下也可进行实际消除的论证研究及严重事故缓解措施的总体设计工作。
WENRA和法国要求实现3 km的应急撤离区、5 km的隐蔽区域。法国提出随着核电安全技术的提升,CLI的安全目标是可以变化的。我国烟羽应急计划区范围为以反应堆为中心、半径7~10 km,分为内区和外区,其中内区为半径3~5 km范围,在内区做好在紧急情况下立即采取隐蔽、服用稳定碘和紧急撤离等紧急防护行动[5-6]。参照国际实践及我国应急准备和响应相关要求,建议现阶段我国有限影响定量准则为场区边界3 km外不需要撤离、5 km外不需要隐蔽,即为实际消除放射性验收准则。
严重事故的验收准则通常以概率论安全准则和确定论验收准则的形式表达。确定论验收准则通常包括严重事故后137Cs的长期健康效应/释放应低于规定的限值[7]。对于长期释放,137Cs的释放量应低于指定的限值(如100 TBq),对于其他核素,在规定时间(3个月内)不应造成更大的危险[8]。根据实际消除的放射性验收准则建议,要求满足场区边界3 km外不需要撤离、5 km外不需要隐蔽。隐蔽的通用优化干预水平是在2 d内可防止的剂量为10 mSv,临时撤离的通用优化干预水平是在不长于1周的期间内可防止剂量为50 mSv[5-6]。将核电厂设计特征与厂址及环境特性解耦,通过典型事故工况环境后果分析可推导出137Cs等效放射性活度。
根据典型事故工况环境放射性评估,场址边界3 km处7 d有效剂量为0.191 mSv、场址边界5 km处2 d有效剂量为0.065 7 mSv时对应的安全壳释放为6.0 TBq等效137Cs[9-10]。根据隐蔽、撤离的通用优化干预水平,可推算出场址边界3 km外不需要撤离对应的放射性释放要求小于1 500 TBq等效137Cs,场址边界5 km外不需要隐蔽对应的放射性释放要求小于1 000 TBq等效137Cs。实际消除的放射性验收准则为3 km外不需要撤离且5 km外不需要隐蔽,因此放射性释放要求小于1 000 TBq等效137Cs。为满足实际消除安全要求需要在设计上将部分严重事故工况作为堆芯熔化的设计扩展工况(DEC-B),在设计中考虑并设置完善的应对措施。综合考虑国内厂址、气象条件的不确定性,考虑一定裕量,建议DEC-B设计要求为小于100 TBq等效137Cs,该准则也是二级PSA分析中大量放射性释放的准则。
2) 概率论验收准则
实际消除定义为在物理上不可能发生或高置信度极不可能发生。对于核电厂需要实际消除的事故工况来说,论证原理上不可能发生是最好的,需要通过核动力厂基本原理设计的选择来消除或排除固有危害而实现固有安全,对于轻水堆核电厂来说,比较难实现。对于无法在原理上排除不可能的事故序列,应采取充分的设计和运行措施确保极不可能发生。因此新增概率准则为:每个早期或大量放射性释放事故工况发生频率(ELRF)小于10-8/堆年(点值)。华龙一号审评原则中推荐以每堆年发生概率小于10-7/堆年作为一种实际消除的辅助概率判断值[11],工程实践中通常考虑高置信度。
采用确定论、概率论方法论证实际消除可能导致早期或大量放射性释放的事故工况,并考虑因对一些物理现象认识的局限性而导致的不确定性。在使用概率论评价认为已经实际消除了每个特定的事故工况时,需要考虑所有不同情况的累积贡献,不得超过监管机构规定的早期或大量放射性释放的目标值。因此,对于我国新建核电厂,实际消除还需要满足CDF小于10-5/堆年、LRF小于10-6/堆年,范围为功率运行和低功率停堆工况下的内部、外部事件。根据IAEA核电厂设计工况F-C曲线(图1,其中NO为正常运行,AOO为预计运行事件,DBA为设计基准事故)及放射性验收准则的讨论,实际消除作为安全目标,其要求实际消除的大量释放和堆芯熔化的设计扩展工况(DEC-B)设计要求中的放射性释放有一定的裕量,为避免陡变效应,建议新增概率准则:更大量放射性释放(MLRF)的累积频率低于10-7/堆年。
图1 核电厂设计工况F-C曲线Fig.1 F-C curve of design condition for nuclear power plant
基于上述分析,设计上满足实际消除需要确保设计中考虑的严重事故工况在堆芯损坏情景下仍可保证安全壳的完整性,同时不发生安全壳旁通,另外,实际消除要求每个工况有应对措施且高置信度不可能发生,实际消除验收准则为:(1) 安全壳屏障完整性,实际消除工况设计上有可靠、有效的应对措施,包括设计措施和运行管理措施;(2) 每个实际消除工况发生频率(点值)ELRF<10-8/堆年;(3) 累积频率CDF<10-5/堆年、LRF<10-6/堆年、MLRF<10-7/堆年;(4) 发生频率高的事故序列放射性后果有限,满足DEC-B设计要求(小于100 TBq等效137Cs)及实际消除安全目标(3 km外不需要撤离、5 km外不需要隐蔽)。
实际消除的论证主要采用确定论和概率论方法,基于本文中确定的实际消除验收准则,形成实际消除的论证方法和流程,该分析流程针对物理上可能发生的事故工况的实际消除论证,主要包括以下内容。
1) 确定实际消除工况,阐述实际消除工况在设计上有应对措施。实际消除工况必须设置相应的预防和缓解措施,包括设计及运行管理措施。对于压力容器破裂、安全壳旁通等事故情景主要从预防角度进行考虑。
2) 论证实际消除工况的应对措施可靠有效,选取典型事故工况论证实际消除工况应对措施的有效性。验收准则主要关注安全壳屏障完整性相关参数,包括一回路压力、堆芯熔融物可冷却性、安全壳压力、安全壳内氢气浓度等。
3) 论证每个实际消除工况发生频率ELRF<10-8/堆年,开展二级PSA分析计算单个工况发生频率。
4) 论证累积频率CDF<10-5/堆年、LRF<10-6/堆年、MLRF<10-7/堆年。开展全范围PSA分析计算CDF、超过DEC-B验收准则的放射性释放累积频率LRF、超过实际消除放射性验收准则的累积频率MLRF。
5) 论证发生频率高的事故序列放射性后果有限,仅需要在有限的区域和时间上采取有限的防护行动。发生频率高的严重事故工况作为设计中考虑的工况,该工况需要满足放射性验收准则,即满足DEC-B设计要求及实际消除安全目标(3 km外不需要撤离、5 km外不需要隐蔽)。通过二级PSA分析识别发生频率高于10-8/堆年的事故工况,并选取典型事故序列进行环境辐射后果评价。
根据上文提出的实际消除具体工况、验收准则及论证方法和流程进行华龙一号设计上实现实际消除的论证。
以安全壳直接加热导致安全壳早期失效的严重事故工况的实际消除论证为例进行阐述。本事故的事故情景是压力容器失效时的高压熔喷,这种事件可能因安全壳直接加热、可能同时发生氢气燃烧或熔融物直接冲击安全相关设备和安全壳,对安全壳完整性造成早期威胁。
1) 设计上有应对措施
使用冗余和多样化系统通过纵深防御来预防高压熔堆。提供高度可靠的热量导出功能,通过电动、气动辅助给水、大气释放阀进行二次侧充排及二次侧余热排出系统以受控和可靠方式使一次侧卸压。另外,通过一回路快速卸压系统对一次侧直接卸压,防止高压熔堆现象的发生。
2) 应对措施可靠、有效
丧失全部给水叠加多重安全功能失效的事故序列为典型高压熔堆事故,华龙一号针对该事故进行一回路快速卸压计算分析。结果表明:当堆芯出口温度达到650 ℃,手动打开一列快速卸压阀,压力容器下封头失效时反应堆冷却剂系统压力低于发生高压熔喷事故的压力限值,可有效避免高压熔堆事故。另外,一回路快速卸压阀经过严重事故环境鉴定,可确保在严重事故下可用。
3) 发生频率低于10-8/堆年
对DCH事故进行确定论计算分析,计算安全壳压力,并与安全壳失效概率曲线相比,导致安全壳失效的可能性很低。通过PSA分析表明,高压熔堆导致安全壳失效造成早期大量放射性释放的可能性低于10-8/堆年。因此华龙一号该事故工况可认为已被实际消除。针对每个实际消除工况,华龙一号有可靠有效设计措施(表1),并经过严重事故鉴定确保恶劣环境下可用,同时设置完善的事故管理程序,包括应急运行规程(EOP)、严重事故管理导则(SAMG)、大范围损伤管理导则(EDMG)、应急计划。因此,华龙一号设计满足安全壳屏障完整性验收准则。
表1 华龙一号实际消除工况应对措施Table 1 Countermeasure for practical elimination condition for HPR1000
通过开展二级PSA计算导致早期或大量放射性释放的事故工况发生频率及放射性释放量(表2)。分析结果表明,华龙一号满足验收准则ELRF<10-8/堆年。
对华龙一号开展了内部事件、外部事件、功率运行和低功率停堆工况全范围PSA分析,计算不同事故工况放射性释放量(表2),得到华龙一号累积频率。分析结果表明,华龙一号满足CDF<10-5堆年、LRF<10-6/堆年、MLRF<10-7/堆年的累积频率准则。
表2 华龙一号每个事故工况发生频率及放射性释放量Table 2 Frequency and quantity of radioactive release of each accident condition for HPR1000
通过二级PSA分析识别大于10-8/堆年的事故序列为堆芯损坏后严重事故缓解措施有效、最终安全壳完好的事故序列,根据表2,安全壳完好事故类放射性释放远小于DEC-B设计要求(小于100 TBq等效137Cs)。选取典型工况开展了环境放射性后果分析,全厂断电始发的严重事故放射性后果在非居住区边界(500 m)的有效剂量为2.73 mSv[12],远小于隐蔽和撤离的通用优化干预水平。因此对于发生频率高的事故工况,华龙一号放射性后果有限,满足实际消除的安全目标,即场址边界3 km外不需要撤离、5 km外不需要隐蔽的CLI。
对不同场址边界不需要隐蔽、撤离对应的放射性释放量进行了敏感性分析,结果列于表3。
表3 放射性释放量敏感性分析Table 3 Sensitivity analysis for quantity of radioactive release
华龙一号目前设计满足场址边界500 m外不需要紧急防护行动。综合考虑不同厂址特征、气象条件、计算不确定性及国际实践,建议现阶段我国CLI为3 km外不需要撤离、5 km外不需要隐蔽。随着核电安全技术的提升,有限时间有限空间采取有限操作的安全目标是可以变化的。
本文对实际消除的技术要求、我国现阶段定量验收准则及核电厂设计上实现实际消除的论证方法进行了研究,得到如下主要结论。
1) 实际消除是对核电厂安全设计提出的更高要求,但不是要求没有释放而是可能导致早期或大量放射性释放的事故工况被实际消除,未被实际消除的工况需要在设计中充分考虑使其放射性后果有限。
2) 首次提出我国现阶段实际消除的确定论、概率论验收准则建议,明确了实际消除放射性验收准则和DEC-B设计要求。本文提出的实际消除定量验收准则可识别核电厂严重事故预防和缓解薄弱环节、指导核电厂严重事故缓解措施总体设计以提高安全性,同时在满足安全目标前提下可精简设计提高经济性。
3) 提出核电厂内部事件导致的早期或大量放射性释放实际消除的论证方法和流程,并以华龙一号为例进行分析,结果表明,华龙一号更加充分考虑了严重事故预防与缓解措施,即使发生设计中考虑的严重事故也可保证安全壳的有效包容,设计上实现了实际消除。
本文提出的实际消除相关见解和华龙一号的应用实践具有较好的理论研究价值和工程实践意义,相关研究结果也可推广应用于其他类型核动力厂。实际消除不是绝对安全而是放射性释放影响有限,建议后续业界共同研究,综合考虑核电厂安全性和经济性,提出“有限空间有限时间执行有限防护行动”既现实又满足核安全法规及应用需求的设计要求,为先进核电厂总体设计提供基础。