第三章_确定论安全设计与分析方法.ppt

1、核安全基础,核动力仿真研究中心,第三章确定论安全设计与分析方法,第三章确定论安全设计与分析方法, 3.1 核动力装置运行工况与运行极限 3.2 纵深防御的基本安全原则 3.3 单一故障准则及其应用 3.4 预防意外侵害的措施 3.5 设计基准事故准则 3.6 确定论安全分析概述 3.7 确定论基本分析逻辑,确定论评价方法,安全设计思想,本章概述,核安全局2004年发表“新建核电厂设计中的几个重要安全问题”，提出概率安全目标： 堆芯严重损坏事件的频率低于105次/堆年； 需要厂区外早期响应的大量放射性释放到厂区外的的频率低于106次/堆年。 上述概率安全目标是核实和评价核电厂设计安全水平的导向值

2、，不是颁发许可证的唯一基础。,1.新法规要求,本章概述,1.新法规要求,“新建核电厂设计中的几个重要安全问题” 明确纵深防御要贯彻到核电厂的全部活动中。核电厂提供多层次的设备和规程，用以防止事故、或在未能防止事故发生时实施适当的防护，保证核电厂的安全。 核电厂的设计、建造和运行贯彻纵深防御（defense in depth)的安全原则。,本章概述,2.确定论的基本思想,在同一概率水平下，选择一组最大的可信事故，作为设计基准事故，设计若能抵御这类设计基准事故，必能抵御其它低于设计基准的事故，核电站的核安全可得到确实的保证，超过基准事故的事故，被认为是不可能发生的。,本章概述,3.确定论的基本内容

3、,第一要确定事故（件）发生的概率等级； 第二在每一个概率等级下确定一组设计基准事故； 第三确定核安全对策与设计准则； 第四针对每一概率等级的设计基准事故进行核电站保护系统与专有安全设施等的设计； 第五对设计基准事故发生后的电站响应与核安全性进行评价； 第六将核电站设计与核安全评价结论提交核安全管理部门审查。,3.1 核动力运行工况与运行极限,核安全分析 事故分析研究核电厂在故障工况下的行为，是核电厂安全分析的一个重要组成部分，也是核电厂设计和许可证申请程序中的重要步骤。,运行工况分类? 安全限值?,3.1 核动力运行工况与运行极限,1970年美国标准协会（ANSI）分类法 四类运行工况 197

4、5年美国核管会（NRC） 轻水堆核电厂安全分析报告标准格式和内容（第二次修订版） 47种典型始发事件 我国的核电厂事故分类,核电厂运行工况与事故分类,3.1 核动力运行工况与运行极限,1.运行工况分类,美国标准学会(1970年)根据对核电厂运行工况所作分析,按反应堆事故： 事故出现预计概率 事故可能放射性后果,3.1 核动力运行工况与运行极限,1.运行工况分类,工况正常运行和运行瞬变： 1、正常启动、停闭和稳态运行 2、带有允许偏差的极限运行 3、运行瞬变 工况较频繁，毋需停堆； 控制系统进行调节，使核电厂重新稳定运行。,各电厂的技术规格书,3.1 核动力运行工况与运行极限,1.运行工况分类,

5、工况中等频率事件（预期运行事件） 预计出现的一次或数次偏离正常运行的所有运行过程；包括在试验运行和寿期以中等频率发生的事件：控制棒组件误提出、失去正常给水等。 只能使反应堆停堆，不会导致事故（燃料元件损坏，一、二回路系统超压等）。 采取正确的措施后能很快排除故障，恢复功能。,3.1 核动力运行工况与运行极限,1.运行工况分类,工况稀有事故（事故工况）： 在核电厂寿期内极少出现（10-4310-2次/堆年）的事故：一回路管道小破口、二回路管道小破口、蒸汽发生器型管破裂等。 专设安全设施投入工作，防止或限制对环境的辐射危害。确保反应堆结构完整性，燃料元件损坏不得超过规定值。,3.1 核动力运行工况

6、与运行极限,1.运行工况分类,工况极限事故（严重事故）： 在核电厂寿期内发生概率很低（10-610-4次/堆年）的后果严重的假想事故：一回系统主管道大破口、弹棒事故等。一旦发生会释放大量放射性物质。 专设安全设施的投入应能保证一回路压力边界的完整性、反应堆安全停闭，并对事故后果加以控制。,3.1 核动力运行工况与运行极限,1.运行工况分类,大亚湾核电厂共分9个模式(mode),用下述参数描述: 冷态热态（RC10C-310C）； 常压额定压力； 次临界度不小于5000PCM临界; . 稳定运行在某个模式或从一个模式向另一个模式过渡，均属于正常启动、停闭和稳态运行。,3.1 核动力运行工况与运行

7、极限,1.运行工况分类,3.1 核动力运行工况与运行极限,.运行限值,为保证核电厂的安全运行，经国家核安全部门批准的，用以确定参数限值、设备功能和性能以及人员水平等的整套规定。 例：为确保第一道安全屏障完整性，从热工角度出发，大亚湾核电站的安全限值： DNBR1.22 线功率密度590W/cm 升降温速率56/h 稳压器升、降温速率112 /h等,3.安全准则,3.1 核动力运行工况与运行极限,4.设计基准事故分类,工况,1启动时，控制棒不可控抽出； 2满功率，控制棒不可控抽出； 3控制棒组落棒； 4硼稀释；5失去正常给水； 6给水温度低；7甩负荷； 8失去外电；9一回路泄压； 10满功率，安

8、注误投入等等14种 。,3.1 核动力运行工况与运行极限,4.设计基准事故分类, 工况,1 一回路系统小破口； 2 二回路系统小破口； 3 燃料棒组误装； 4 满功率，控制棒组控抽出一组； 5 全厂断电； 6 放射性废气、废液的事故释放。,3.1 核动力运行工况与运行极限,4.设计基准事故分类,工况,1 一回路系统大破口； 2 二回路系统大破口； 3 燃料操作失误； 4 蒸汽发生器管子断裂； 5 弹棒事故； 6 一台冷却剂泵转子卡死。,二回路系统排热增加 二回路系统排热减少 反应堆冷却剂系统流量减少 反应性和功能分布异常 反应堆冷却剂装量增加 反应堆冷却剂装量减少 系统或设备的放射性释放 未能

9、停堆的预计瞬变,1975年，美国核管会（NRC）分类法 轻水压水堆核电站8类、47种典型始发事故,3.1 核动力运行工况与运行极限,核电厂设计部门须针对这47种典型始发事故，对所设计的核电厂进行详细计算分析，并证明所设计的核电厂能满足有关的安全标准。,3.1 核动力运行工况与运行极限,二回路系统排热增加,给水系统故障使给水温度降低 给水系统故障使给水流量增加 蒸汽压力调节器故障或损坏使蒸汽流量增加 误打开蒸汽发生器卸放阀或安全阀 安全壳内、外各蒸汽管道破损,给水温度低 给水流量高 蒸汽流量增加,3.1 核动力运行工况与运行极限,二回路系统排热减少,给水流量降低 蒸汽流量减少,蒸汽压力调节器故障

10、或损坏使蒸汽流量减少 失去外部电负荷 气轮机跳闸(截止阀关闭) 误管主蒸汽隔离阀 凝汽器真空破坏 同时失去厂内外交流电源（全厂断电） 失去正常给水流量 给水管道破裂,热阱丧失事故,3.1 核动力运行工况与运行极限,反应堆冷却剂系统流量减少,一个或多个反应堆主泵停止运动 反应堆主泵轴卡死 反应堆主泵轴断裂,冷却剂流量降低,失流事故,3.1 核动力运行工况与运行极限,在次临界或低功率时，非可控抽出控制棒组件 在特定功率水平下非可控抽出控制棒组件 控制棒误操作 启动一条未投入运行的反应堆冷却剂环路或在不适当的温度下启动一条再循环环路 化容控制系统故障使冷却剂中硼浓度降低 在不适当的位置误装或操作一组

11、燃料组件 各种控制棒弹出事故,反应性引入事故,反应性增加、降低,反应性和功能分布异常,3.1 核动力运行工况与运行极限,反应堆冷却剂装量增加,功率运行时误操作应急堆芯冷却系统 手动功能误动作 化容系统故障使反应堆冷却剂装量增加 手动功能误动作,意外注入,3.1 核动力运行工况与运行极限,反应堆冷却剂装量减少,误打开稳压器安全阀 贯穿安全壳一回路压力边界仪表或其它线路系统的破裂 蒸发器传热管破裂 反应堆冷却剂压力边界内各种管道破裂产生的失冷事故,LOCA,失水事故,破口 阀门打开,3.1 核动力运行工况与运行极限,系统或设备的放射性释放,放射性气体废物系统泄漏或破损 放射性液体废物系统泄漏或破损

12、 假想的液体储箱破损而产生的放射性释放 设计基准燃料操作事故 乏燃料储箱掉落事故,3.1 核动力运行工况与运行极限,未能停堆的预计瞬变,误提出控制棒 失去给水 失去电负荷 凝汽机真空破坏 失去电负荷 汽轮机跳闸 主蒸汽管道隔离阀关闭,未停堆xx事件,ATWS,3.2 纵深防御的基本安全原则,纵深防御原则（Defense in Depth）,纵深防御,多道屏障+纵深防御措施,设计提供一系列多层次的防御，用以防止事故并在未能防止事故时保证提供适当的保护。,设置一系列的实体屏障，以包容放射性物质。,3.2 纵深防御的基本安全原则,多道屏障,3.2 纵深防御的基本安全原则,燃料芯块及包壳：低富集度UO

13、2烧结成芯块，叠装在锆合金包壳管内，两端封焊。 设计时，假定有1%的包壳破裂和1%的裂变产物会从包壳逸出。美国统计，正常运行时实际最大破损率为0.06%。,第一道屏障, 2%, 1%,3.2 纵深防御的基本安全原则,第二道屏障,一回路压力边界：由反应堆容器和冷却剂环路组成，包括蒸汽发生器传热管、泵和连接管道。 材料选择：不锈钢；镍基合金； 制造： 反应堆压力容器焊缝； 运行： 避免产生过大热应力。,3.2 纵深防御的基本安全原则,第三道屏障, 0.1%/24h,安全壳（反应堆厂房）：将反应堆、冷却剂系统主要设备和主管道包容在内。事故情况下阻止放射性裂变产物泄漏到环境中去，是确保居民安全的最后一

14、道防线。此外也可保护重要设备免遭外来袭击的破坏。 安全壳密封要求：0.1/24h;定期贯穿件密封检查，打压试验。,3.2 纵深防御的基本安全原则,燃料元件包壳,放射性物质包容。只有反应堆多道屏障同时遭到破坏，才会发生放射性大量释破的事故。,核电厂的纵深防御-预防,第一层次防御的目的是：防止偏离正常运行和系统故障。 必须建立一整套质量保证和安全标准。 必须严格遵守质量标准、工程实践经验以及质量保证程序。 保守地设计、建造、安装、调试、维修和运行核动力厂。,核电站安全总目标：建立并维持一套有效的防护措施的重要组成部分,核电厂的纵深防御-保护,第二层次防御的目的是：检测和纠正偏离正常运行状态，以防止

15、预计运行事件升级为事故工况。 设置在安全分析中确定的专用系统（控制保护系统、探测、仪表）。 制定运行规程以防止或尽量减小这些假设始发事件所造成的损害。,核电厂的纵深防御-限制,第三层次防御的目的：制止预期运行事故和始发事件升级发展成严重事故，控制其后果。 固有安全特性 故障安全设计 附加的设备和规程 设置的专设安全设施能够将核动力厂首先引导到可控制状态,核电厂的纵深防御-应对,第四层次防御的目的是：应付已超出设计基准的严重事故，并保证放射性释放保持在合理可行尽量低的水平。 该层次最重要目的：保护包容功能。 通过附加措施和规程防止事故发展。 通过减轻所选定严重事故的后果，加上事故处置规程完成这个

16、目标。,核电厂的纵深防御-应急,第五层次，即最后层次防御的目的是减轻事故工况下可能的放射性物质释放后果，保护公众。 这个层次要求有适当装备的应急控制中心， 制定和实施厂内、厂外应急响应计划。,3.2 纵深防御的基本安全原则,五个层次防御 相继深入 相互增援 以确保核电厂的安全。,包括安全对策:反应性控制与确保冷却,3.3 单一故障准则及其应用,单一故障准则（Single failure criterion）,单一故障：产品（系统、设备）发生的单一随机故 障以及由其而引发的各种继发故障称为 单一故障。,例如：给某一安注系统一台安注泵供电的继电器开关发生故障，造成该安注泵断电，进而该安注泵失去功能

17、、不能提供安注水，这些继发的故障均视为继电器开关 的单一故障。,3.3 单一故障准则及其应用,单一故障准则（Single failure criterion）,单一故障准则：满足单一故障准则的设备（系统）组 合，在其任何部位发生单一故障时仍 能保持设备（系统）所赋予的功能。,满足单一故障准则的产品，发生单一故障时，仍能完成规定的功能。有两点含义：,(1) 专有安全设施要满足单一故障准则,(2) 具有重要安全功能的系统和设备 满足单一故障准则,3.3 单一故障准则及其应用,单一故障设计准则,定期试验维护检修,3.3 单一故障准则及其应用,冗余原则（Redundancy Principle）,内容

18、：设计中留有冗余度，即系统是双重或多重配置的，单一部件的失效不会使整个系统失去功能 作用：一套设备出现故障或失效是可承受的，不致于导致功能的丧失 例： 在某一特定功能可由任意两台泵完成之处，设置三台或四台泵。,3.3 单一故障准则及其应用,冗余原则（Redundancy Principle）,核电站大部分系统设置了二套或多套同样的设备： 安全壳喷淋系统：两个独立的系列组成 自动控制系统：反应堆紧急停堆及专设安全设施的启动均由两列独立而又相同的保护信号触发 与安全保护相关的探测器：物理量的探测采用：1/2，2/3，3/4逻辑，且分别用二路独立电源供电,3.3 单一故障准则及其应用,多样性原则（D

19、iversity Principle）,内容：应用于执行同一功能的多重系统或部件，即通过多重系统或部件中引入不同属性来提高系统的可靠性。 获得不同属性的方法： 不同的工作原理 不同的物理变量 不同的运行条件 不同制造厂的产品等。,3.3 单一故障准则及其应用,失效安全原则（Failure to Safety Principle ）,在设计核电厂的安全重要系统和部件时，应尽可能贯彻故障安全原则，即系统或部件发生故障时，电厂应能在毋需任何触发动作的情况下进入安全状态。 如： 停堆控制系统，发生故障时反应堆即进入停堆状态； 如果阀门开的状态为安全，则阀门故障时，自动保持在开的位置。,3.3 单一故障

20、准则及其应用,独立性原则（ Independency Principle ）,系统设计中通过功能隔离或实体隔离，各通道由独立线路供给可靠仪表电源，实现系统布置和设计的独立性。 如： 连接导线处于不同的电缆槽，通过不同的安全壳贯穿件等。,3.3 单一故障准则及其应用,固有安全性原则 Inherent Safety Characteristic,累积超过12000堆年的良好运行记录。 三哩岛与切尔诺贝利事故，说明核电厂极其复杂的核电厂系统，其安全性取决于工程安全性。 核电安全设计重要的是要充分采用固有安全性: 负反应性温度系数 多普勒系数 控制棒组件重力插入堆芯的自然安全性 非能动安全性等,3.3

21、 单一故障准则及其应用,在核电厂的寿期内对安全有关的重要构筑物、系统和部件进行标定、试验、维护、修理、检查或监测，以保证其执行功能的能力。,定期试验、维护、检修原则,3.3 单一故障准则及其应用,从安全观点出发，厂区人员的工作场所和工作环境必须按人机工效学原则进行设计。反应堆的安全设计必须利于操纵员在有限的时间内、预计的周围环境中和有心理压力的状态能采取成功的行动，应尽量减少操纵员在短期内进行干预的必要性。,运行人员操作优化的设计,3.3 单一故障准则及其应用,主控制操纵员室设计,主控制室设计是个人机接口问题。参量显示，仪表布局，尽量减少人因差错，便于操纵员监测操作。,3.4 预防意外侵害的措

22、施,1.地震 2.飞机坠落 3.工业环境 4.水灾 5.火灾 6.高能量管道的破裂 7.来自于汽轮发电机组的飞射物,确保在任何情况下都能有效地控制反应性、确保堆芯冷却和包容放射性产物,3.5 设计基准事故准则,为什么要进行核电厂安全分析？,核电厂特有的核安全问题：潜在的放射性 正常运行情况下核电厂不会显著地释放出放射性物质，但在某些事故工况下有可能发生放射性物质大量释放，从而造成对核电厂工作人员及周围公众的放射性危害。因此核电厂事故分析就是为了显示核电厂在事故情况下对公众的放射性危害是有控制的、是符合国家有关法规要求的。,3.5 设计基准事故准则,为什么要进行核电厂安全分析？,事故情况下专设安

23、全系统的有效性。 为了防止这样的放射性释放事件发生，以及减小事件发生后的后果，在核电厂的设计中采用了纵深防御的概念来对事故进行设防，特别是设置了专设安全系统。,3.5 设计基准事故准则,为什么要进行核电厂安全分析？,表明电厂的安全性。 根据核安全法规，每个核设施的业主都必须在建造、装料和运行之前，向国家核安全局提交安全分析报告，安全分析报告中的一项重要内容就是事故分析。,3.5 设计基准事故准则,核电厂安全分析的方法,1、确定论安全分析(Deterministic Methods) 2、概率安全分析 (PSA-Probabilistic Safety Analysis) (PRA-Probab

24、ilistic Risk Analysis),3.5 设计基准事故准则,定义： 设计基准事故（Design Basis Accident DBA）是指在同一概率等级的所有事故中，选择一个假想事故作为设计基础的事故。,认为所设置的安全设施若能防范这一事故，就必能防范其他各种事故，又称为最大可信事故（MCA，Maximum Credible Accident）,1.设计基准事故概念,3.5 设计基准事故准则,2. 确定论评价方法,确定论的安全评价方法是各国安全当局批准的传统的安全评价方法，方法简便，评价较为快速。这种方法以多年实际应用的经验和一些保守的假设为基础。得出的结果有时过于保守。,定义:

25、基于纵深防御原则，以设计基准事故为基础的安全评价方法，称为确定论评价方法。,：设计确保发生DBA时辐射剂量低于规范允许值。,3.5 设计基准事故准则,3.5 设计基准事故准则,3. 确定论评价方法基本思想,基本思想是根据反应堆纵深防御的原则，除了反应堆设计得尽可能安全可靠外，还设置了多重的专设安全设施，以便在一旦发生最大假想事故情况下，依靠安全设施，能将事故后果减至最轻程度。,对确定的一组设计基准事故，在选择的特定事故下假设可能引起最大不利后果的一安全系统单一故障；采用保守的分析模型和电厂参量，分析计算结果与法定验收准则对照，以确认安全系统设计的充分。,3.5 设计基准事故准则,确定论评价方法

26、的假设不够准确与充分； 事故界限“分明”：人为地将事故划分为“可信”与“不可信”； 所考虑的事故工况或多或少有人为假设的因素，而没有考虑事故发生的概率有多大以及事故的叠加和人因的影响。,确定论评价方法的不足,数学物理模型+ 数值分析程序,3.6 确定论安全分析概述,运行瞬态+ 事故（设计基准事故）,评价模型(Evaluation model, EM)程序； 最佳估计(Best Evaluation, BE)程序。,3.7 确定论基本分析逻辑,确定论分析法4个基本要素,确定一组设计基准事故； 选择特定事故下安全系统的最大不利后果的单一故障； 确认分析所用的模型和电厂参量都是保守的； 将最终结果与法定验收准则相对照，确认安全系统的设计是充分的。,事故包络，确保安全,确定论分析法分析的基本假定,2条基本假定（法规规定采用保守假定） 被调用的安全系统失去部分设计能力（单一故障假设） 操纵员在事故后短期内不作任何干预 4个附加的补充保守假定 事故同时合并失去厂外电源 反应性价值最大的一组控制棒卡在全提棒位置不能下插 分析中只考虑安全相关设备，不计及非安全设备的环节功能 必要时考虑合并不利的外部条件,2+4假设,3.7 确定论基本分析逻辑,确定论分析法电厂参量保守值,美国联邦法规10