杨志义，种毅敏，张佳佳，冯进军，陈越超，李 春，柴国旱

（环境保护部核与辐射安全中心，北京 100082）

关于核电厂设计扩展工况的初步探讨

杨志义，种毅敏，张佳佳，冯进军，陈越超，李 春*，柴国旱

（环境保护部核与辐射安全中心，北京 100082）

福岛事故后，为进一步提高核电厂核安全水平，主要核电国家和组织正在开展新核安全目标和理念的研究。本文结合当前国际上核安全要求的发展趋势，对“设计扩展工况”（Design Extension Conditions，简称DEC）这一概念进行了初步探讨，主要包括其意义、内涵、可接受准则、对纵深防御原则的影响，以及设计扩展工况安全设施的设计要求等，希望为国内建立新的核安全要求起到抛砖引玉的作用。

核电厂；设计扩展工况；纵深防御原则

福岛事故［1］后，很多核电国家和组织开始探索和建立新的核安全目标和核安全要求，如我国发布的《核安全与放射性污染防治“十二五”规划及2020年远景目标》［2］，西欧核监管协会（WENRA）发布的《Safety of new NPP designs》［3］，国际原子能机构（IAEA）正在升版的《Safety ofNuclear Power Plants：Design》［4］，英国核监管办公室（ONR）发布的《Safety AssessmentPrinciples for Nuclear Facilities》［5］，以及美国核管会（NRC）发布的《Recommendation on Enhancing Reactors Safety in the21stCentury》［6］等。在这些新的核安全要求及相关解读文件［7］中，一个重要的变化就是设计扩展工况（DEC）的应用，设计扩展工况将之前超设计基准事故（BDBA）的一部分纳入考虑范围，并对应对设计扩展工况的安全设施提出相应的设计要求和接受准则，这有助于进一步拓展设计考虑的范围，从而提高核电厂处理比设计基准事故更严重的事故的能力，因此具有重要的意义。

本文结合国际上主要的新核安全要求的发展现状，对设计扩展工况的概念进行了初步探讨，包括其由来与发展、主要内涵、工况的分析验收准则、对纵深防御原则的影响，以及设计扩展工况对应的设计要求等，希望为国内建立新的核安全要求起到抛砖引玉的作用。

1 设计扩展工况概念的发展

核电厂状态一般与发生频率相关（见表1），在目前运行和新建核电厂的设计和监管要求中，已将核电厂一些安全系统的多重失效的情况考虑在内，如全厂断电（SBO）和未能停堆的预期瞬态（ATWS），这些工况超越了核电厂传统的始发事件叠加单一故障的设计基准工况范畴。此外，核电厂对于可能发生的堆芯熔化的严重事故序列也已有所考虑。然而，传统核电厂针对这些工况的认知有一定的局限性，主要表现在没有系统的完善的工况清单、安全分析的验收准则，以及用于应对这些工况的系统和设备的详细设计要求和接受准则。

表1 电厂状态与发生频率Table1 Plant states and frequency

在欧洲用户要求（EUR）［8］中首次引用了设计扩展工况这一术语，定义为通过确定论和概率论选择的，超过设计基准事故的特定事故序列组，包括“复杂序列”和“严重事故”，“复杂序列”和“严重事故”均由于安全系统的多重失效而导致，复杂序列在采取现有安全措施后避免了事故的进一步恶化，没有导致堆芯熔化，严重事故则是发生了堆芯熔化的事故序列。

欧洲压水堆EPR在设计中遵循的技术导则《Technical Guidelines for the Design and Construction of the Next Generation of NPPs with PWR》［9］，将设计扩展工况分为DEC-A“复杂序列”和DEC-B“严重事故”，并给出了需考虑的设计扩展工况清单。

国际原子能机构对设计扩展工况的定义为“不在设计基准事故考虑范围但在设计过程中根据最佳估计方法加以考虑的事故工况。出现这种工况时，放射性物质的释放应被保持在可接受限值以内。设计扩展工况包括堆芯未损伤和堆芯已熔化的事故工况”［4］。

西欧核监管协会提出考虑某些选定的多重失效序列，作为纵深防御第三层次的一部分（3b），但是与设计基准事故的防御层次（3a）有明显的区别，其内涵与设计扩展工况是类似的［3］。表2给出了欧洲用户要求文件、国际原子能机构以及西欧核监管协会关于设计扩展工况的对照情况。可以看出，3个组织发布的安全要求中针对堆芯熔化的事故规定基本相同。对于未产生堆芯熔化的超设计基准事故，西欧核监管协会定义为假设多重失效事件，欧洲用户要求文件中定义为复杂序列，国际原子能机构则定义为未堆熔的设计扩展工况，并初步给出了建议作为未堆熔的设计扩展工况清单［10］。

综上所述，自国际原子能机构2012年发布新的设计安全要求（SSR-2/1）以来，设计扩展工况这一概念已被广泛的应用和引用，成为新核安全要求中的讨论热点［11］。部分新制订或正在制订的核安全要求中对设计扩展工况给出了一些规定，但大部分国家的法规还没有开始更新，随着国际社会对于设计扩展工况的讨论逐步深入，后续将逐渐形成针对设计扩展工况的明确规定，并用于指导各国核电厂的设计。

表2 西欧核监管协会、欧洲用户要求文件与国际原子能机构对设计扩展工况的考虑对比Table2 Com parison and exam p lesof DECs in W ENRA，EUR and IAEA

2 设计扩展工况与电厂运行状态

在现行核动力厂设计安全要求中全面地考虑了设计基准事故（DBA），以及个别的超设计基准事故（如全厂断电、未能停堆的预期瞬态）等，设计扩展工况使核电厂的设计考虑范围进一步扩展，这将影响对核电厂状态的划分。在HAF 102［12］中电厂状态如图1所示，在SSR-2/1［4］中，考虑了设计扩展工况核电厂状态如图1所示，在国际原子能机构SSR-2/1中，考虑了设计扩展工况后的电厂状态如图2所示。

SSR-2/1中简单的使用设计扩展工况替代了超设计基准事故。然而，考虑到目前的认知水平，不可能在核电厂设计中预计所有的事故状态。因此，在设计扩展工况之外还应有一部分工况，无法预计和准确认知，这在国际原子能机构相关文件［9］中也有提及（图3中的超设计基准），这部分工况在设计中无法准确考虑，一个可行的做法是将设计扩展工况之外的工况列为实际消除工况（即剩余风险）［11］，在设计中无需对这些工况进行考虑。本文建议的核电厂运行状态划分如图4所示，运行状态与之前相同，而事故工况包括设计基准事故、设计扩展工况，以及剩余风险，设计扩展工况是将之前超设计基准事故中的一部分纳入设计的考虑范围，除此之外的统称为剩余风险。

图1 HAF 102（2004）中的电厂状态Fig.1 Plant statesof HAF 102（2004）

图2 国际原子能机构SSR-2/1（2012）中（在设计中考虑）的电厂状态Fig.2 Plant states（considered in design）of IAEA SSR-2/1（2012）

图3 国际原子能机构技术文件中对电厂状态的描述Fig.3 Plantstatesdiscussed in IAEA technical docum ent

图4 考虑剩余风险的电厂状态Fig.4 Plantstates including residual risk

图4所示的电厂状态，增加了设计扩展工况和剩余风险两个概念，前者包括选定的多重失效和严重事故序列两部分，后者可能发生的概率极低，也是目前严重事故中由于认知不确定性而难以准确考虑的部分。

3 对纵深防御层次的影响

在早期纵深防御概念仅包含3个层次，三哩岛和切尔诺贝利事故后，由于对超设计基准事故的重视，增加到5个层次的纵深防御。设计扩展工况的引入对纵深防御层次将有进一步的补充和完善［13］。西欧核监管协会在其报告中提出的新的纵深防御层次见表3，将原来的第3层次细分为3a和3b，3b即需考虑的多重失效事故，第4层次为堆芯熔化的严重事故，第3b层次和第4层次即本文所讨论的设计扩展工况。

本文所推荐的新的纵深防御层次见表3，在保持原来5个层次的基本框架不变的情况下，把原来第4个层次细分成两部分，用于应对设计扩展工况，同时把第5个层次加强，用于应对剩余风险。这比西欧核监管协会提出的纵深防御层次可能更加合理，主要是因为。

表3 西欧核监管协会考虑多重失效后的纵深防御层次Table3 Refined structureof the levels of defense in depth proposed byW ENRA

（1）在INSAG 10［13］或HAF 102中，第4层次的纵深防御包括了严重事故的预防和缓解，而多重失效正是严重事故预防的范畴，将多重失效放入第4层次并与之前的纵深防御原则保持一致，更具有沿承性。

（2）本文所推荐的纵深防御层次划分相对于西欧核监管协会，更加明确使用了设计扩展工况的概念，其范围与第4层次一致，使得工况分类与纵深防御层次相对应（而西欧核监管协会的设计扩展工况跨越了第3和第4层次）。同时也是考虑到设计扩展工况与第3层次设计基准事故的分析方法、应对措施以及安全要求方面有着较大的差异。

事实上，将多重失效序列放在第3层次或第4层次并没有本质的区别，通过明确应对这些工况的设计要求和接受准则，可达到同样的目的。

从表4中可以看出，调整后的纵深防御体系中“专设安全设施”和事故规程用于应对设计基准事故，“附加安全设施”和事故管理用于应对设计扩展工况，“补充安全措施”和特别的事故管理用于极端工况下的工程抢险，并减轻剩余风险的后果。对于剩余风险，是通过合理可达到的提高安全裕量、采取补充安全措施和纵深防御措施等减轻剩余风险的后果。

表4 考虑设计扩展工况和剩余风险后的纵深防御层次Table4 Refined structure of the levelsofdefense in depth contains DEC and residual risk

4 设计扩展工况清单的确定及安全分析接受准则

4.1 多重失效的序列清单及接受准则

SSR-2/1认为需要结合概率论、确定论安全分析和工程判断的方法确定一组设计扩展工况，这给出了确定多重失效清单原则的方法；西欧核监管协会和国际原子能组织均认为需要考虑以下3种多重失效。

（1）始发事件导致的事故序列，超出了应对单一始发事件的安全系统的能力，如多根蒸汽发生器传热管破裂（SGTR）；

（2）多重失效（如共因失效导致冗余列失效）导致安全系统不能应对假设始发事件，如破口事故（LOCA）发生后高压安注未能启动，支持系统的失效是导致安全系统失效的主要原因之一。

（3）多重失效导致安全系统的丧失，安全系统用于正常运行和事故工况的安全功能，例如，用于正常运行和事故工况的最终热阱全部丧失。

对于我国当前运行的二代改进型核电厂，在核电厂设计中已经考虑了典型超设计基准事故的序列，包含了丧失全部最终热阱、丧失全部给水、全厂断电、安喷或安注全部失效等。然而先进反应堆的设计和新的核安全要求中的考虑多重失效清单是远远多于这些序列的，如国际原子能机构初步推荐的未堆熔设计扩展工况清单［10］为14个，EPR对一级PSA中所有CDF＞1E-7的事故序列均进行了考虑，这些可以用作国内制订新的安全要求时的参考。需要明确的是，对于多重失效序列，考虑到复杂性和必要性，其选取必须遵守确定论、概率论以及工程判断的原则。

对于选定的不允许发生堆芯熔化的多重失效事故序列，其可接受准则与设计基准事故类似，但其分析方法可以是基于现实的、最佳估算方法。如在第三代原子能反应堆EPR的设计中，这类序列的可接受准则就与其设计基准事故Ⅳ类极限事故工况保持一致。

4.2 严重事故的清单及接受准则

严重事故是严重性超过设计基准事故并造成堆芯明显恶化的事故工况，由于可能导致堆芯熔化的严重事故序列数量较多，不确定性也较大，始发事件叠加多重失效无法全面给出这些设计扩展工况清单。然而，考虑到严重事故后安全壳成为放射性包容的最终和最重要的屏障，目前已认知的影响安全壳完整性的严重事故现象已经在国际上有所共识，这些现象包括［14-16］：

（1）快速硼稀释事故；

（2）高压熔堆及安全壳直接加热；

（3）蒸汽爆炸；

（4）氢气燃烧和爆炸；

（5）熔融物—混凝土相互作用；

（6）安全壳旁通；

（7）安全壳缓慢超压。

因此，确定设计扩展工况中严重事故清单时，宜先确定严重事故现象清单，在No.NS-G-1.10［15］等技术文件中列出的也是严重事故现象清单。确定完严重事故现象清单后，再根据每个严重事故现象的特点确定重要的事故序列。

严重事故的可接受准则是保证安全壳的完整性，对于每个严重事故现象，又有对应的可接受准则，比如对于高压熔堆，国际研究通常使用在压力容器失效前将一回路压力降至2.0MPa以下可认为避免了高压熔堆；对于氢气燃烧和爆炸，我国发布的《福岛事故后核电厂改进行动通用技术要求（试行）》［17］中要求“燃料活性区包壳金属100%与冷却剂反应产生的氢气在安全壳内均匀分布时，氢气浓度应小于10%。应避免安全壳完整性因局部区域氢气积聚后可能产生的燃烧或爆炸而破坏，同时尽可能减少对严重事故缓解系统或设备功能的影响”。严重事故清单以及相应的可接受准则的确定，将指导核电厂通过合理的设计增强其缓解严重事故的能力。

此外，还有一类情况需要在设计扩展工况中考虑，即选定的极端外部事件，如超过设计基准的地震等。

5 设计扩展工况安全设施的设计要求

核电厂系统或设备的安全设计基准是与其承担的安全功能相对应的，应对不同事故工况的安全设施应制订不同的设计要求。可以从专设安全设施、附加安全设施以及补充安全措施3方面来考虑。

专设安全设施用于应对设计基准事故，如应急堆芯冷却系统是安全级系统，抗震I类，需用保守分析证明满足安全要求。

附加安全设施用于应对设计扩展工况，举例如下。

（1）应对选定的多重失效序列的安全设施，如用于应对全厂断电工况而设计的全厂断电附加柴油机、应对未能停堆的预期瞬态工况而设计的应急注硼系统；

（2）应对选定的严重事故工况的安全设施，如避免高压熔堆而设计的严重事故专用卸压阀，避免氢气燃爆而设计的氢气复合器或点火器等；

（3）应对选定极端外部事件的例子包括，提升应急控制中心的抗震能力，设计扩展工况预防和缓解措施的抗震能力提升，增强防水封堵、抗大型商用飞机撞击等。

这些附加安全设施可以设计为非安全级，但须具备与所要求功能相称的可靠性，需要高置信度的表明能在设计扩展工况有关的环境条件下发挥作用，这就需要保证其在设计扩展工况下的可用性和可达性。应主要考虑以下几个方面。

（1）抗震能力，附加安全设施应有一定的抗震能力，如国内新增加的氢气复合器等严重事故缓解措施已满足抗震I类要求；

（2）可用性要求，在高温、高压、辐照以及气溶胶等环境条件下的可用性，可以通过设备鉴定或试验、分析的方式进行论证；

（3）调试、质量保证、定期试验、在役检查以及在电厂运行技术规范的管理等要求，用以保证在电厂运行过程中的维护和维修，保证其可用性；

（4）适当地考虑多重性和多样性。

补充安全设施主要用于应对剩余风险，其设置是以避免对正常运行以及预计运行瞬态和设计基准事故的应对功能造成不利影响为主要原则。如用于核电厂大范围损伤状态后果缓解的核电厂专门配置的移动电源、移动泵、贮水池，集团级的应急支援中心，以及场外应急准备等。这些设施须保证其在设计和安全分析中并不需要使用，但事故管理中包括设计基准事故和设计扩展工况下可以充分考虑其作用，用以避免核电厂状态进一步恶化和尽可能缓解严重事故的后果。

6 总结

设计扩展工况的概念被广泛地讨论，且已应用在部分核电厂设计中。设计扩展工况的引入以及相应的设计要求和接受准则的提出可以进一步提高核电厂应对超设计事故的能力，本文对国际上主要新的核安全要求进行了分析和比较，对设计扩展工况内涵、对核电厂状态以及纵深防御层次的影响，设计扩展工况清单及可接受准则、应对设计扩展工况的安全设施的设计要求等方面进行了初步探讨，并给出以下建议。

（1）国内在制订新的核安全要求时，可以借鉴设计扩展工况的概念，对新建核电厂在超设计基准事故应对方面提出更加合理的安全要求，这有利于实现“核安全规划”给出的新的安全目标——实际消除大量放射性物质释放；

（2）应考虑集中核安全监管当局和工业界的力量，对国际原子能机构和欧洲等提出的设计扩展工况清单基础上结合国内特点进行修改和完善，建立具有核电厂设计特点的设计扩展工况清单的确定方法；

（3）对于核电厂设计中用于应对设计扩展工况的附加安全设施，应在抗震能力、环境可用性、定期维护、多重性与多样性等方面提出设计准则，并提出关于设计扩展工况的技术见解。

［1］环境保护部核与辐射安全监管二司，环境保护部核与辐射安全中心.日本福岛核事故［M］.北京：中国原子能出版社，2014.

［2］国家核安全局，国家发展改革委，财政部，等.核安全与放射性污染防治“十二五”规划及2020年远景目标［R］.北京：国家核安全局，国家发展改革委，财政部，2012.

［3］WENRA RHWG.Report Safety of new NPP designs［R］. Europe：WENRA，2013.

［4］IAEA.Safety of Nuclear Power Plants：Design，IAEA No. SSR-2/1［S］.Vienna：IAEA，2012.

［5］Office for Nuclear Regulation.Safety Assessment Principles for Nuclear Facilities［R］.Bootle：ONR，2014.

［6］NRC，Recommendation on Enhancing Reactors Safety in the 21stCentury［R］.Washington DC：NRC，2011.

［7］董毅漫，张弛，宋大虎，等.我国核电安全目标发展取向的思考［J］.核安全，2012（4）：10-15.

［8］Electricity de France.European Utility Requirements（EUR）Document.Rev.C［S］.France：EDF，2003.

［9］Groupe PermanentchargédesRéacteursnucléaires，Technical Guidelines for the Design and Construction of the Next Generation of NPPsw ith PWR［S］.Berlin：GPR，2000.

［10］IAEA.Considerationson the Application of the IAEA Safety Requirements［R］.Vienna：IAEA，2014.

［11］柴国旱.后福岛时代对我国核电安全理念及要求的重新审视与思考［J］.环境保护，2015，43（7）：21-24.

［12］国家核安全局.核动力厂设计安全规定［S］.北京：国家核安全局，2004.

［13］IAEA.Defense in depth in nuclear safety.75-INSAG-10［R］.Vienna：IAEA，1996.

［14］汤博.“实际消除大规模放射性释放”概念的探讨［J］.核安全，2013（S1）：15-20.

［15］IAEA.Design of the Reactor Containments for Nuclear Power Plants，No.NS-G-1.10［R］.Vienna：IAEA，2004.

［16］王中堂.加强严重事故研究，提高核电厂安全水平［J］.核安全，2014（1）：1-3.

［17］国家核安全局.福岛核事故后核电厂改进行动通用技术要求（试行）［S］.北京：国家核安全局，2012.

Prelim inary Study on the Conceptof Design Extension Conditionsof New NPPDesigns

YANGZhiyi，CHONGYimin，ZHANG Jiajia，FENG Jinjun，CHENYuechao，LIChun*，CHAIGuohan
（Nuclearand Radiation SafetyCenter，MEP，Beijing100082，China）

A fter Fukushima Dai-ichinuclearaccident，new nuclearsafety objectivesand principlesarebeing studied inmain nuclearpower countriesand organizations，to further improve thesafety levelofnuclear powerplant.In thispaper，a prelim inary discussion on the conceptofdesign extension condition（DEC）was conducted，mainly including itssignificance，connotation，acceptance criteria，the influenceon the defense in depth principle，and design requirementofDEC safety featuresetc.Thisstudymay be valuable in thedevelopmentofdomesticnew nuclearsafety requirements.

new NPPdesigns；design extension conditions；defense in depth

TL364+.4

：A

：1672-5360（2015）04-0064-06

2015-03-13

2015-04-20

环保公益性行业科研专项，项目编号201309054；哈尔滨工程大学专项科研基金项目，项目编号HEUFN1303

杨志义（1985—），男，河北衡水人，工程师/硕士，现主要从事核安全审评与研究工作

*通讯作者：李 春，E-mail：lichun@chinansc.cn