核电厂组合始发事件分析要求及应用情况研究

初 晓 喻 娜 方红宇 陈 果 李 峰

（中国核动力研究设计院核反应堆系统设计技术重点实验室，四川 成都 610213）

0 引言

目前国内各类型核电厂的设计分析中，对组合始发事件的分析考虑各不相同。 为统一国内核电厂对组合始发事件的设计评价标准，需开展相应研究，制定具体法规要求。 本文对国内国外涉及组合始发事件相关的法规要求、目前核电厂分析中的考虑情况进行调研，可为国内相关法规要求的制度修订提供参考。

1 组合始发事件工况分类

《核动力厂设计安全规定》（HAF102—2016）5.1.1核动力厂状态分类，“5.1.1.1必须确定核动力厂状态并主要按发生频率将核动力厂状态分成有限的几类。5.1.1.2核动力厂状态通常包括：（1）正常运行；（2）预计运行事件，即在核动力厂运行寿期内预计会发生的事件；（3）设计基准事故；（4）设计扩展工况，包括堆芯熔化事故。 ”

《核动力厂设计安全规定》（HAF102—2016）“5.1.10事件组合。 如果由工程判断、确定论安全分析和概率论安全分析的结果表明事件组合将可能导致预计运行事件或事故工况，则必须主要根据其发生的可能性，将这些事件组合纳入设计基准事故或设计扩展工况。 某些事件可能是其他事件的后果，例如，地震后的水淹。 这种继发效应应视为初始假设始发事件的一部分。

根据HAF102，对于事件组合，通常需对其发生频率进行评价， 根据其频率将其归入对应的工况类别，并按相应工况要求开展设计分析。 目前这种多重故障的组合事件多归于设计扩展工况中（DEC）分析，此外对于预计运行事件（AOO）和设计基准事故（DBA），除了假定的始发事件自身外，可考虑其他事件叠加作为额外的保守假设。 因此本文主要针对以上两种情况的相关法规和电厂实际应用情况进行调研。

2 相关法规要求

2.1 国内相关要求

HAF102—2016 提出了关于设计扩展工况的一系列要求，包括设计扩展工况分析方法、设计目标、用于设计扩展工况的安全设施的独立性、设施和物项的设计规格书、替代动力源和辐射监测等方面。

核安全导则HAD102《核动力厂确定论安全分析》是对HAF102—2016《核动力厂设计安全规定》中与核动力厂确定论安全分析相关要求的说明和补充。 《核动力厂确定论安全分析》对设计扩展工况（没有造成堆芯明显损伤的DEC-A 和堆芯熔化的DEC-B）的识别及确定论安全分析的特定目标、验收准则、系统可用性及分析假设进行了详细说明。

DEC-A 的识别需考虑发生频率很低的单一始发事件或多重故障得出一套确定的工况清单，应包括始发事件导致的工况可能超出用来缓解设计基准事故的安全系统的能力；预计运行事件或发生频率较高的设计基准事故叠加多重故障（如共因失效）；包含多重故障的可信的假设始发事件，并给出了可初步参考的工况清单。

DEC-B 的选取可初步参考下列事故，并且应该根据核动力厂的类型和设计进行选取：

（1）丧失堆芯冷却能力，比如丧失厂外电叠加部分或全部丧失厂内交流电源和/或丧失最终热阱（具体序列与设计有关）。

（2）丧失反应堆冷却剂系统的完整性，比如丧失冷却剂事故叠加应急堆芯冷却系统失效或者超出应急堆芯冷却系统能力。

《核动力厂确定论安全分析》在预计运行事件和设计基准事故的确定论安全分析要求中， 对丧失厂外电的叠加考虑进行了补充说明， 除了假定的始发事件自身，丧失厂外电也可考虑为额外的保守假设。可将丧失厂外电考虑为多重故障或作为始发事件一个潜在的事故后果考虑，两种情形下事故验收准则考虑不同。

2.2 IAEA 相关要求

IAEA 《核动力厂的安全： 设计》（SSR-2/1，2016版）关于设计扩展工况的要求已经被HAF102—2016所采纳。 IAEA 还发布了SSR-2/1 的支持性技术文件《Consideration on the Application of the IAEA Safety Requirements for the Design of Nuclear Power Plants》（TECDOC -1791），提供了专门的章节对设计扩展工况进行解释说明。

对于没有造成堆芯明显损伤的DEC，通常考虑以下三种情况： 超出应对DBA 的安全系统能力的非常不可能的事件；妨碍安全系统控制假设始发事件的多重故障（如冗余系列的共因失效）；引发在正常运行状态下执行基本安全功能的安全系统丧失的多重故障。确定论和概率论分析是选取和控制DEC 的重要方法，TECDOC-1791 提供了典型的DEC 清单。

TECDOC-1791 还定性讨论了DEC 的验收准则。对于没有造成堆芯明显损伤的DEC，安全措施的可靠性应当满足CDF 目标值。 由于DEC 涉及多重失效情形，有可能更加依赖于操纵员干预。 用于DEC 的安全措施属于安全重要物项， 但是需要与安全系统相区别，因为两者在设计规则和验收准则上存在差异。

此外，IAEA 发布的安全导则《Deterministic Safety Analysis for Nuclear Power Plants》SSG-2（Rev.1）中对预计运行事件和设计基准事故叠加丧失厂外电的要求作出明确规定：“除了假定的始发事件自身，丧失厂外电也可能考虑为额外的保守假设。 如果将丧失厂外电考虑为多重故障，则它应当发生在对屏障完整性造成最不利影响的时刻；在这种状况下，考虑到这种组合的可能性，某些验收准则应当进行调整”。

2.3 西欧核监管协会（WENRA）相关要求

西欧核监管协会（WENRA）在《新建核动力厂设计安全》的报告中专门讨论了多重失效事件的范围、选取方法、设计要求和安全分析。 多重失效事件被认为是IAEA SSR 2/1 所定义的DEC 的一部分。

WENRA 在相关指导文件中还讨论了DEC 的目标、选取、安全分析、安全功能和审查相关问题，提出：“DEC 的分析方法可以采用最佳估算方法， 无需系统性地应用单一故障准则，可以采用更加宽松和基于现实假设的验收准则，也允许更高的放射性释放后果”。此外，WENRA 也提出了关于DEC 缓解的要求。

WENRA 针对预计运行事件和设计基准事故的分析，没有明确提出如考虑丧失厂外电的事件叠加要求。

2.4 欧洲用户要求文件（EUR）相关要求

EUR（2012 版）中规定，除了满足DBA 要求的措施，设计中还要考虑特定的DEC。 这就要求针对复杂序列（DEC-A）和严重事故（DEC-B），采用升级的或附加的设备或者事故管理规程。 设计者首先需要确定一套DEC 清单， 然后用概率论方法确定设计措施以满足概率目标。 应对措施的设计需要可靠的工程实践，而单一故障准则不是必需的。 一旦选定了相关事故序列，要基于实际情况采用最佳估算方法进行评估。 另外EUR（2012 版）还对DEC 的评价准则做出规定。

2.5 美国相关要求

美国《轻水堆用户要求》（URD）历次版本至最新的第13 版都没有设计扩展工况的概念， 仍采用的是超设计基准（BDB）和严重事故（severe accident）的概念。 但美国在新建核电厂的设计中，讨论了DEC 的相关技术。

10CFR50 附录A的GDC17 的要求，对预期运行事件和假想事故的分析应考虑丧失厂外交流电源。 丧失厂外电源不作为单一故障考虑，事故分析的类别不变，分析中丧失厂外交流电源作为一个潜在的事故后果来考虑。

3 核电厂应用情况

3.1 EPR 对组合事件的考虑

3.1.1 DEC 工况

EPR 核电厂严格按照EUR 的要求， 系统地应用了设计扩展工况（DEC）的概念，将DEC 工况分为“复杂序列（DEC-A）”和“设计扩展事故（DEC-B）”。

EPR 选取DEC-A 工况的方法如下。

步骤一：列出在PSA 中考虑但不在DBA 分析中使用的非F1 特征，包括人员动作、I&C 设备；

步骤二：评估每个非F1 特征对CDF 的贡献。 建立完全没有非F1 特性的PSA 模型：

筛选出所有频率＞1E-7/y 的事故序列；

筛选出大于1E-8/y 的事故序列但对安全壳完整性有重要影响的序列。

步骤三：被筛选出来的序列归并后得到DEC-A，相应的非F1 特性被称为DEC-A 特性。

步骤四：确认安全目标（CDF 和LRF）已经满足。

EPR 核电厂DEC-A 按照类型划分为热量移除减少、冷却剂装量减少、反应性和功率分布异常及ATWS事故几大类，并给出了具体的DEC-A 清单。

EPR 核电厂针对DEC-A 的分析提出了一套准则，包括初始工况、最终状态、故障假设、手动动作、验收准则等。

（1）初始工况：

DEC-A 事故分析的初始工况与稳态运行工况一致。 部分重要参数可采用保守值。

（2）最终状态：

DEC-A 最终状态的定义是：堆芯次临界、衰变热持续排出、放射性释放满足验收准则。

（3）故障假设：

DEC-A 序列的定义已经给出了应考虑的叠加故障，因此无需再假定额外的故障。 在DEC-A 事故分析中不包含预防性维修引起系统不可用性的假设，厂外电源丧失（LOOP）在DEC-A 序列中不叠加。

（4）手动动作：

操纵员有效干预的时间（事故后，或根据相应的事故规程达到操作指示信号后）为30 分钟。 在前1 个小时，不考虑就地执行的手动动作。

（5）验收准则：

DEC-A 序列的放射性后果应满足DBC-4 事故的放射性限值要求。

EPR 对于DEC-B 主要关注严重事故下安全壳的完整性。 考虑严重事故序列多种多样，EPR 没有类似DBC 或DEC-A 的具体清单， 仅在相关技术规范里给出了几个主要的严重事故序列。 在严重事故缓解措施设计中，主要考虑针对有可能导致放射性物质大量释放的安全壳失效机理进行缓解。

3.1.2 AOO 和DBA 工况

EPR 核电厂针对2、3 和4 类事件，均对叠加丧失厂外电（LOOP）情况进行考虑，若叠加丧失厂外电使事故后果更严重，则分析时必须考虑。

LOOP 与DBC-2/3/4 事件叠加， 并根据以下特殊规则来考虑LOOP：

第一，对于所有的初始瞬态，验收准则满足DBC-4 事件的准则；

第二，对于功率运行下所触发的瞬态，在最不利时刻叠加LOOP 工况。

第三，对于停堆工况下所触发的瞬态，在初始时刻叠加LOOP 工况。

3.2 中核HPR1000

3.2.1 DEC 工况

中核HPR1000 核电厂将设计扩展工况分为 “未堆熔的设计扩展工况（DEC-A）”和“严重事故（DECB）”。 HPR1000 核电厂安全分析中主要基于PSA 方法和模型来识别和确定极不可能事件和多重失效事件，同时考虑确定论和工程判断确定DEC-A 工况清单。典型DEC-A 清单示例如表1 所示。

表1 HPR1000 核电厂典型DEC-A 清单示例

HPR1000 核电厂DEC-B 事故序列主要根据严重事故进程与现象分析以及工程判断来确定。 具体步骤包括：

（1）通过严重事故进程和现象分析，确定在不考虑任何严重事故缓解措施的情况下，可能导致安全壳失效的主要严重事故现象分析，确定在不考虑任何严重事故缓解措施的情况下，可能导致安全壳失效的主要严重事故现象。

（2）针对各严重事故现象和相应的安全壳失效模式，结合严重事故进程与现象分析和工程判断，以及各严重事故缓解措施设计应对工况的要求，选取具有包络性的严重事故序列，同时需要兼顾事故序列的典型性。

HPR1000 核电厂的典型DEC-B 序列示例见表2。

表2 HPR1000 核电厂典型DEC-B 清单示例

3.2.2 AOO 和DBA 工况

在HPR1000 核电厂安全分析中， 针对丧失厂外电对事故后果的影响进行了研究。 对于不考虑丧失厂外电时后果更保守的事故，分析时未叠加。 对于考虑LOOP 后果更保守类事故， 对不同时刻发生LOOP 的工况进行了分析。

3.3 中广核CRP1000

3.3.1 DEC 工况

中广核CRP1000 核电厂将设计扩展工况分为未熔堆的设计扩展工况（DEC-A）和严重事故工况（DEC-B）。

中广核CRP1000 确定DEC-A 序列的方法与中核HPR1000 核电厂相同， 同样采用PSA 方法确定DEC-A 序列清单。

中广核CRP1000 针对DEC-B 分析， 利用一级PSA 的分析结果， 确定按以下原则确定严重事故（DEC-B） 后续研究应关注的重要事件序列： 按一级PSA 结果，考虑所占比例>1%的堆芯损坏的支配性序列， 或针对占总CDF 95%的序列进行评价， 形成DEC-B 清单。

3.3.2 AOO 和DBA 工况

中广核CRP1000 对于丧失厂外电，按照以下准则考虑：

第一， 如果考虑LOOP 保守， 功率运行工况的DBC-3 和DBC-4 事故则需考虑LOOP，叠加LOOP 的时刻为最不利的时刻；

第二， 功率工况下的DBC-2 和停堆工况下的DBC-2、3 和4 类事故不考虑LOOP。

3.4 AP1000 核电厂安全分析

3.4.1 超设计基准工况与严重事故

AP1000 核电厂安全分析中对未能紧急停堆的预期瞬态ATWS 进行评价， 但仅在概率分析中进行评价， 以保证由ATWS 引起的堆芯损伤风险较低。AP1000 核电厂安全分析中对严重事故进行评价，给出了具体的事故序列描述和分析假设。

3.4.2 AOO 和DBA 工况

在AP1000 核电厂安全分析中， 对丧失厂外电叠加考虑进行了分析。

根据10CFR50 附录A 的GDC17 的要求，对预期运行事件和假想事故的分析应考虑丧失厂外交流电源。 因为事故导致汽轮机停机可能会造成电网崩溃，由此将导致丧失厂外交流电源。 因此，在分析中，对于那些不会导致可能的电网崩溃的事故，将不假定丧失厂外电源。

对于那些可导致丧失厂外交流电源的事件，分析中假定汽轮机停机至丧失厂外交流电源存在一个延迟时间，它是基于厂外电网固有的稳定性。 在该延迟时间后，分析中将考虑丧失厂外电源对核电厂辅助设备的影响。

4 结语

本文对国内国外涉及组合始发事件相关的法规要求、目前核电厂分析中的考虑情况进行研究。

根据国内外各大核电厂情况，组合事件工况多归于设计扩展工况（DEC）中分析，此外对于预计运行事件（AOO）和设计基准事故（DBA），除了假定的始发事件自身外， 可考虑其他事件叠加作为额外的保守假设，目前多考虑丧失厂外电叠加情况。

对于DEC 中组合事件工况的选取， 选取方法一般为基于PSA 方法结合工程经验判断。

当前国内外核安全法规和导则明确要求在设计基准事故中应考虑丧失厂外电，但是对丧失厂外电的条件没有明确阐述。 同时，国内各大运行核电厂的设计基准事故分析中，对丧失厂外电的假设也没有统一要求。 对此，需对相关法规要求进行修订补充，为核电厂的设计分析提供统一标准。