陈雨翔，罗 鸣，陈 蓄，叶 凯

（中核霞浦核电有限公司，福建 霞浦 355100）

0 引言

根据中国HAF102-2016《核动力厂设计安全规定》和HADl03-2004《核动力厂运行安全规定》，反应堆在设计建造阶段应采用纵深防御的概念，以提供多层次的防御。为保证电厂安全运行的要求，需要制定相应的运行限值和条件，以及适用于正常运行、预计运行事件和事故工况下的运行规程[1]。核电厂中运行规程和工况的对应关系见表1。

事故规程主要用于处理设计基准事故，包括稀有事故和极限事故。目前，核电采用的事故处理规程有两种：事故导向型规程（EOP）和状态导向型规程（SOP）。

表1 核电厂中运行规程和运行工况的对应关系Table 1 The relationship between operating procedures and operating conditions in nuclear power plants

1 事故规程

（见图1）。

图1 EOP和SOP规程流程图Fig.1 Flow diagram of EOP procedures and SOP procedures

1.1 事故导向型规程

在核电发展初期，设计人员应用确定论的方法，强调的是设计的保守性和设备的可靠性，设计人员认为最大可信设计基准事故是一回路管道双端断裂事故[2]，该事故可以包络核电厂其他设计的基准事故以下所确定的事件。三哩岛事故之前，并没有考虑严重事故的预防和缓解，只是单纯考虑如何将反应堆从事故状态下引入安全状态。事故导向型规程（EOP）就是在此时制定的，它的处理思路是对应于特定事故和事故序列，操纵员判断机组当前出现的事故类型，选用相应的事故处理规程，采取相应行动，直到反应堆处于安全状态。EOP 规程的流程如图1 所示。

EOP 规程是确定论方法的直接延伸，只要事故以预期的方式发展，规程就能够以最优的方式将核电厂引入安全状态。但是，三哩岛事故的发生表明EOP 规程无法处理叠加事故或非预期的设备故障和人因失效的叠加事件。

1.2 状态导向型规程

三哩岛事故之后，设计人员意识到严重事故的发生往往是由设备多重故障和人因错误综合作用造成的，而非确定论中的最大可信设计基准事故。当时的理念是在确定论的基础上引入概率论的方法，考虑核电厂预发和缓解严重事故的能力。状态导向型规程（SOP）就是此时制定的。不同于EOP 规程着眼于“事故”，在SOP 规程中，没有具体事故的概念，而是采用状态逼近法处理事故[3]。它的处理思路是选取几个具有代表性的参数来监测反应堆的状态，采取LOOP 结构对反应堆状态进行判断。当参数异常时，进入相应规程，采取针对的行动直到参数正常为止。对于叠加的事件，在参数恢复正常之前，不会退出SOP 规程。规程的执行由核电厂的状态进行引导，操纵员可以通过LOOP 结构检查他们使用的程序是否正确，并及时更正自身造成的错误或设备的故障。SOP 规程的流程如图1 所示。

表2 压水堆SOP规程控制的6个基本状态参数Table 2 Six basic state parameters controlled by the SOP procedure of PWR

SOP 规程中的基本状态参数的选取应满足核电厂安全的三大功能，即反应性控制、余热导出和放射性包容。商用压水堆一般选取6 个基本状态参数来表征，见表2。SOP规程便建立在连续监测这6 个基本状态参数变化的基础之上，其目标是控制6 个状态参数，当偏离正常运行限值时，将它们恢复到所要求的范围内。

2 钠冷快堆事故规程体系

2.1 钠冷快堆安全目标

钠冷快堆在设计中融入了固有安全特性、纵深防御、多重屏障、单一故障、多样性等安全原则和准则，构造了防止和限制放射性危害的多层次的设备、系统和规程防御体系，以应对正常运行、预计运行事件、设计基准事故、超设计基准事故、严重事故[4]。钠冷快堆的事故规程体系，参考了实验快堆的事故规程体系和假设始发事件，以及国内事件导向型压水堆电厂事故规程清单，采用不断循环进行，持续迭代，对偏差进行修正的事故规程体系。

图2 快堆安全目标功能分解模型图Fig.2 The decomposition model diagram of the security target function for SFR

钠冷快堆的安全目标功能分解模型对事故规程内容要求满足核电厂安全的三大功能，功能分析分解模型又将其分为7 层，前3 层为总体目标分解模型，后4 层为实现总体目标所需要的系统设备。

第1 层包括核电厂的两个总目标，即可用性目标和安全目标；第2 层指综合功能。安全目标在本层分解为5 个综合功能：维持次临界、维持堆芯热量排出、维持主冷却剂钠的装载量、维持反应堆钠冷却剂系统的完整性和维持包容系统的完整性[5]；第3 层：三层功能，属于综合功能。

第2 层功能进一步分解，根据整体安全目标引导进入电厂的工艺流程划分而识别出来。与钠冷快堆安全目标相关的三层功能共包含9 个：即维持次临界、一回路热量导出、二回路热量导出、蒸发器热量导出、一回路完整性控制、二回路完整性控制、安全壳完整性控制、钠火包容完整性控制、乏组件转换桶包容完整性控制，如图2 所示。

第4 层：用于实现第3 层功能与目标的钠冷快堆主要系统，包括实现自动停堆的保护系统，导出余热的事故余热排除系统，维持一二回路边界完整的超压保护系统，蒸汽发生器事故保护系统等；第5 层：上述系统的子功能或辅助系统；第6 层：完成系统上述子功能或辅助系统的功能过程控制及联锁；第7 层：各功能过程所包含的部件和仪表参数等信息。

根据安全目标功能分解模型，事故处理规程应全面涵盖第2 层安全目标的五大方面，为达到此目的，其内容应包含以下要素：确定安全功能的目标；需要安全功能的工况；为实现安全功能需要满足哪些条件；表征安全功能正在运行的参数和设备；表征安全功能正在达到目的的参数；表征安全功能可以终止运行的工况/参数。

2.2 钠冷快堆事故规程类型的选择

事故处理规程是在预计运行事件、设计基准事故、超设计基准事故期间使用的，进行事故处理，减轻或控制事故的后果，将反应堆引入安全状态的规程。其目标是维持快堆的基本安全功能，防止在事故工况下发生堆芯熔化，防止和减少放射性物质释放。事故处理规程所展现的事故过程，包括必要的多重事件的事故进程，事故运行操作序列特别是后续动作应包络合理的设备故障、人因失误等，从而给操纵员提供全面的操作指导。所以，钠冷快堆事故规程类型的选择，主要考虑技术和管理与工程实践两方面的因素。

2.2.1 技术方面

池式快堆一回路压力接近常压，不容易发生LOCA 事故，固有安全性高。快堆目前PSAR 第十五章《事故分析》是针对单一假设始发事件的分析，判断和处理事故不过度依赖状态导向型规程（SOP）。

2.2.2 管理与工程实践方面

快堆的设计单位是CNPE 与CIAE，CNPE 作为工程设计总体院，负责全厂建筑结构、常规岛和核岛辅助系统设计，而CIAE 负责核岛主工艺系统设计。目前，国际上可用于事故分析的快堆征兆导向型模型和数据不成熟，对于对快堆征兆导向型规程的成熟开发和使用经验相对缺乏。俄罗斯快堆事故处理规程均为事件导向型，CIAE 负责设计的实验快堆的事故处理规程也是采用事件导向型，CNPE 主导设计的M310 机组事故处理规程都是事件导向型。基于上诉方面因素，设计单位明确目前快堆的事故处理规程类型为事件导向型，即EOP。

3 结论

事件导向型规程（EOP）其优势在于针对性强，在单一始发事件发生时能够快速地判断出发生了何种事故，并能做出针对性的干预，处理事故迅速，更适合于快堆使用。EOP 规程的不足之处是发生叠加事故的处理时，需要依赖操纵人员的经验。针对此不足，同时参考商用压水堆经验，需要在EOP 规程体系外中增加两项工作：

1）在EOP 规程内，增加定期监视内容，在规程执行中发现特定参数超限或发生电源失效等已确定的叠加事件时，要求跳转到相应规程，优先处理这些已确定的叠加事件。

2）在EOP 规程之外，增加了一份由核安全工程师（到岗前为隔离经理）独立执行的事故运行监督规程（按照征兆导向型设计），在遇到规程清单中没有考虑的个别叠加事故时，在不终止正在进行的规程的情况下，要求操纵人员进行有限的辅助操作；或者在事故继续恶化的情况下达到刻不容缓的物理状态，决定终止正在进行的规程，并命令进入严重事故管理。这样通过事故运行监督规程，以应对事件导向型规程中可能出现的操纵人员的人为错误或叠加事故。