定義你的任務

第1節：任務定義

每座反應爐設計都始於一項任務。任務驅動後續所有決策。

功率輸出 決定反應爐尺寸、燃料存量與冷卻劑流量需求。一座 100 MWe 的小型模組化反應爐（SMR）與一座 1,200 MWe 的壓水式反應爐在工程限制上有極大差異。

地點 影響場址選定、冷卻水源、電網整合、緊急應變規劃及耐震設計基準。內陸河川場址使用河水冷卻，必須考量洪水風險；沿海場址使用海水，但需因應海嘯與暴潮；偏遠島嶼或離網場址可能完全不與國家電網連接。

電網整合 與 獨立微電網 會改變負載追隨（load-following）需求的處理方式，以及當電網失效時的因應措施（例如廠區停電風險）。

設計壽期 影響材料疲勞極限、檢查週期、執照展延要求及除役成本提存。目前 NRC 核准電廠運轉 40 年，可再申請 20 年展延；部分設計目標為 80 年壽期。

典型任務輪廓：

- 300 MWe SMR，偏遠島嶼，獨立電網，60 年壽期

- 1,100 MWe PWR，內陸河川場址，全國電網，60 年壽期

- 1,600 MWe EPR，沿海場址，全國電網，60 年壽期

- 2 × 77 MWe NuScale SMR 陣列，內陸場址，區域電網，40 年壽期

您的任務說明

定義反應爐的任務。這將成為後續所有設計決策的基礎。

Reactor Type Trade-Off Analysis

Section 2: Reactor Type Selection

目前有五種主要的商用反應爐類型受到認真考量。每種反應爐都有不同的物理基礎、燃料循環、安全特性與成熟度。您必須選擇其中一種並為其辯護。

壓水反應爐 (PWR)

全球最常見的反應爐類型（約占運轉電廠的 70%）。輕水（H₂O）同時作為冷卻劑與慢化劑。一次迴路運行於約 155 bar / 325°C：高壓使水保持液態。蒸汽產生器將熱量傳遞至二次迴路，驅動渦輪機。放射性水僅存在於一次迴路中。

優點：數十年運轉經驗、強負空泡係數（失水會導致反應度下降）、安全紀錄良好、具備大型工業供應鏈。

缺點：高操作壓力（需厚壁壓力容器與重型泵浦）、雙迴路設計複雜、失冷劑事故（LOCA）需主動式 ECCS 應變。

沸水反應爐 (BWR)

水在反應爐容器內沸騰，蒸汽直接進入汽輪機。比 PWR 更簡單：無需蒸汽產生器。

優點：操作壓力低於 PWR、單迴路設計較簡單、直接循環效率較高。

缺點：放射性蒸汽進入汽輪機（汽輪機廠房屬輻射區）、ECCS 需多重注入系統、部分功率區間存在輕微正空泡係數，需謹慎設計。

CANDU（加拿大重水鈾反應爐）

使用重水（D₂O）作為慢化劑與冷卻劑。可使用天然鈾燃料（無需濃縮）。獨特特點：線上換料，可在不停機的情況下更換燃料通道。

優點：無需濃縮（燃料成本優勢）、線上換料使容量因數極高、重水慢化劑允許彈性燃料循環。

缺點：重水生產成本高（約每公斤 1000 美元）、某些設計在特定條件下可能出現輕微正的空泡係數，需謹慎安全設計、實體體積龐大。

熔鹽反應爐（MSR）

燃料溶解於熔融氟鹽或氯鹽中。無固體燃料可熔化：若冷卻失效，鹽會凝固或經被動式凍塞排入安全容器。可使用釷燃料循環。

優點：可自行關閉（被動排鹽使熔毀在物理上不可能發生）、在大氣壓下運行（無失水事故風險）、線上換料、釷燃料循環產生極少長半衰期廢棄物。

缺點：材料挑戰（結構材料必須在高溫、腐蝕性、放射性鹽環境中存活數十年）、技術尚未商業化（尚無商用 MSR 運行）、氟鹽中氚的產生是法規挑戰。

小型模組化反應爐 (SMR)：NuScale/Rolls-Royce 型

工廠製造的 PWR 或整合式 PWR 模組，每座通常 50–300 MWe。被動安全依賴自然循環，無需泵浦。多個模組可組合以提升規模。

優點：工廠品管、被動安全系統（無泵浦、無需交流電源即可冷卻）、容量可擴充、建造時間較短。

缺點：每 kWe 資本成本高於大型電廠，大多數設計尚未商業化或剛開始運轉（NuScale VOYGR 於 2022 年取得認證，但 2023 年專案取消），供應鏈尚未大規模建立。

任何反應爐類型的核心安全物理問題：

如果冷卻劑溫度上升或冷卻劑流失，會發生什麼事？具有負溫度係數與負空泡係數的反應爐會自動降低功率：這是一種自我修正、固有安全的反應。一個具有正空泡係數的反應爐（當冷卻劑流失時功率反而上升）則需要主動系統才能安全停機。這正是切爾諾貝爾 RBMK 反應爐如此危險的原因。

選擇你的反應爐類型

在做出決定前，請先檢視上方的反應爐類型比較圖。

Fuel Design Parameters

Section 3: Fuel Design

燃料設計決定了能獲得多少能量、燃料能使用多久，以及事故發生時會發生什麼。每個參數都會與其他參數相互影響。

燃料類型：

- UO₂（二氧化鈾）： 全球標準燃料。陶瓷燃料芯塊，熔點高（約 2850°C），化學性質穩定且特性已被充分了解。輕微缺點為熱傳導率較低：熱量會在燃料芯塊中心累積。

- MOX（混合氧化物）： UO₂ 與 PuO₂ 的混合物。可燃燒武器級鈈或再處理乏燃料中的鈈。熔點略低於 UO₂，需要取得 MOX 燃料製造設施的許可。

- TRISO（三重包覆各向同性燃料）： 由 UO₂ 或 UCO 燃料微球包覆多層陶瓷而成。每顆粒子本身即為微型密封容器。用於高溫氣冷反應爐及部分先進反應爐設計。極為堅固：經測試可在極高溫度下不釋放放射性物質。

濃縮度：

- 天然鈾（0.7% U-235）： 用於 CANDU 反應爐。無需濃縮成本，但需使用重水作為慢化劑。

- 低濃縮鈾 LEU 3-5%（低濃縮鈾）： PWR 與 BWR 燃料的標準燃料。濃縮至 3-5% U-235。

- 高濃縮低濃縮鈾 HALEU 5-20%（高濃縮低濃縮鈾）： 用於許多 SMR 與先進反應爐設計。較高的濃縮度可實現更小、更緊湊的堆芯與更長的燃料循環週期。由於濃縮度較高，需要額外的防護措施。

- 高濃縮鈾 HEU >20%： 商用核電反應爐禁止使用。

包殼材料：

- Zircaloy-4（鋯-4合金）： 全球標準包殼材料。中子吸收截面低，在約 400°C 以下具有良好的機械性能。主要缺點：在約 1200°C 以上會與蒸汽反應產生氫氣（Zr + 2H₂O → ZrO₂ + 2H₂）。這正是福島事故中氫氣的來源。

- M5（Zr-Nb 合金）： 相較於 Zircaloy-4，在高燃耗燃料下具有更好的耐腐蝕性。

- SiC/SiC 複合材料： 先進的耐事故燃料（ATF）包殼材料。具有更高的耐高溫能力，在蒸汽中不會產生氫氣。目前仍在積極開發中，尚未廣泛投入商用。

[BLOCK_TYPE SECTION/STEP]

燃耗目標： [BLOCK_TYPE SECTION/STEP]

標準輕水反應爐燃料在取出前可達到約 45–50 GWd/tHM（每公噸重金屬的十億瓦特日）。高性能燃料可達 65–70 GWd/tHM。部分先進設計目標為 100+ GWd/tHM，以延長燃料循環。更高的燃耗意味著更少的換料停機，但需要更好的包殼性能與更高的富集度。 [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

可燃吸收體： [BLOCK_TYPE SECTION/STEP]

新燃料反應性很高：若一次裝滿整個堆芯，反應性會過高。可燃吸收體（將氧化釓混入燃料芯塊，或使用 IFBA：整體式燃料可燃吸收體，即一層薄的 ZrB₂ 塗層）可在燃料壽期初期吸收多餘中子，並隨燃料消耗而逐漸燃耗掉，使整個循環期間的功率分布更平坦。 [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

堆芯裝料模式：

- In-out loading: 新燃料裝填於堆芯中心，隨著燃耗逐漸向外移動。設計簡單，但會在中心產生高功率峰值。

- Low-leakage loading: 新燃料置於堆芯外圍，燃耗後的燃料置於中心。此設計可降低中子洩漏（提升燃料經濟性），並減少反應爐壓力容器所承受的中子注量。為現代壓水反應爐（PWR）的標準做法。

指定您的燃料設計

請考量您的燃料選擇如何與反應爐類型及任務相互配合。CANDU 設計者無需使用濃縮燃料。SMR 設計者可能選擇 HALEU 以獲得更緊湊的堆芯。PWR 設計者則必須處理包殼材料及氫氣產生風險。

冷卻劑與慢化劑設計

第 4 節：冷卻劑與慢化劑相容性

您的冷卻劑、慢化劑、燃料與包殼材料必須在化學與物理上相容。任何不相容都會造成安全問題或使設計無法實現。

輕水（H₂O）：PWR、BWR、SMR：

單位體積最佳慢化劑，亦為極佳冷卻劑。運轉壓力高（PWR：約155 bar，BWR：約70 bar）。主要危險：在高溫下會瞬間汽化（同時喪失慢化與冷卻功能，即LOCA事故）。化學控制至關重要：pH值、溶氧、鋅注入均會影響結構材料腐蝕速率。鋯合金包殼在正常運轉溫度（約400°C）以下相容。

重水（D₂O）：CANDU：

慢化效能極佳，中子吸收遠低於H₂O，因此CANDU可使用天然鈾。壓力管內運轉壓力約100 bar。重水生產成本約1000美元/公斤（經Girdler-Sulfide或其他同位素分離程序）。D + n → T反應產生的氚是運轉挑戰：氚為β射線放射源，必須妥善管理。化學控制與輕水類似，但需考量不同氧同位素。

石墨：RBMK、HTGR：

RBMK以石墨為慢化劑、水為冷卻劑：此組合危險，因具有正空泡係數。HTGR（高溫氣冷反應爐）以石墨為慢化劑、氦氣為冷卻劑：此組合安全，因石墨在氣體冷卻劑下不會產生正空泡係數。若石墨在空氣中達到極高溫度，可能引發火災：1957年Windscale火災即為此因素。

熔鹽：MSR：

鹽同時作為燃料載體與冷卻劑。除熱中子MSR可能使用石墨外，無需額外慢化劑。系統在常壓下運行，因此無高壓LOCA風險。主要挑戰：氟鹽對結構金屬具有極強腐蝕性，氯鹽在受到中子通量照射時可能產生活化。材料必須能承受數十年暴露。凍結塞：由小型風扇冷卻的鹽凍塞，若失去電源即會熔化，使燃料排入次臨界幾何結構。這是被動安全特性。

鈉：快中子反應爐（SFR）：

液態鈉是快中子反應爐的優良冷卻劑。熱傳導率極高，在常壓下運行，自然循環效果良好。主要危險：鈉暴露於空氣時會劇烈燃燒，並與水發生爆炸性反應。所有鈉系統均需採用雙層壁熱交換器與惰性氣氛保護。Monju（日本）與Superphénix（法國）均曾發生鈉火災重大事故。

相容性矩陣（所有元件必須相互相容）：

- 冷卻劑的化學性質在輻照下不得腐蝕包殼

- 慢化劑必須與冷卻劑相容（重水與輕水相容；石墨與水則會產生 RBMK 正空泡問題）

- 燃料在冷卻劑中必須化學穩定（UO₂ 在水中：良好。UF₄ 在氟鹽中：良好。UO₂ 在鈉中：良好。但金屬鈾在水中會腐蝕。）

- 運轉溫度與壓力必須在材料合格限制範圍內

為您的冷卻劑與慢化劑提出理由

您的反應爐類型決定了主要冷卻劑。現在請說明整個系統（冷卻劑、慢化劑、燃料與包殼）的相容性，並指出主要的化學或熱危害。

三個獨立冷卻迴路

Section 5a: 三重冗餘冷卻系統

為什麼需要三個冷卻迴路？

福島核電廠有備用冷卻系統，但它們失效了，因為所有備用系統都共享一個共同弱點：它們都需要交流電源，而摧毀電網電源的海嘯也同時摧毀了柴油發電機。單一故障因此連鎖反應導致冷卻完全喪失。

三重冗餘並非只是三套相同的系統。真正的冗餘需要在三個面向具備獨立性：

- 物理隔離： 不同建築物、不同象限、不同高程。一個象限的洪水不會影響另一個象限。

- 不同電源： 不同的電氣匯流排、不同的備用電源。單一匯流排故障不會使另一個冷卻迴路失效。

- 不同啟動邏輯： 一個迴路在高溫時啟動，另一個在低壓時啟動，另一個在完全斷電時啟動。不同失效模式會啟動不同迴路。

現代壓水反應爐（PWR）的三種標準冷卻迴路：

迴路 1：正常停機冷卻（SCS / 餘熱排除，RHR）：

主動系統。泵浦將冷卻劑循環通過熱交換器，以移除停機後的衰變熱。使用正常交流電源或緊急交流電源供電。在降壓後於低壓狀態運作。啟動設定點：通常在反應爐冷卻系統（RCS）溫度降至約 177°C（350°F）以下且壓力低於約 28 bar（400 psi）時啟動。這是計劃性停機期間的主要衰變熱移除系統。

迴路 2：緊急爐心冷卻系統 (ECCS)：高壓與低壓注入：

主動系統。針對失水事故 (LOCA) 啟動。高壓注入 (HPI) 針對小破口：維持反應爐冷卻劑系統 (RCS) 壓力，注入含硼水。累積器注入：大型含硼水槽，內充氮氣加壓（約 40 bar），當 RCS 壓力低於累積器壓力時被動釋放（此階段無需泵浦或電源）。低壓注入 (LPI) 則在 RCS 完全降壓後接手。硼濃度至關重要：必須足以在無控制棒的情況下達到並維持冷停機。

迴路 3：被動爐心冷卻（重力驅動或自然循環）：

被動系統：無泵浦、無交流電源、無需操作員介入。兩種方式：

- AP1000 型（西屋公司）： 反應爐上方的大型水槽（爐心補水箱、被動餘熱排出熱交換器）。重力驅動。事故時，藉由自然循環將衰變熱從一次側帶至水槽，水沸騰後蒸氣在鋼製安全殼內壁冷凝，再由外部空氣冷卻。完全被動。

- NuScale 型： 反應爐模組浸沒於水池中。一次系統內的自然循環將熱量傳至水池。一次系統及安全系統均無泵浦。

- PRHR HX（被動餘熱排出熱交換器）： 浸沒於大型水槽（安全殼內換料水儲存槽，IRWST）中。透過 PRHR HX 的自然循環移除衰變熱，無需任何泵浦。可在無操作員介入下運作 72 小時。

獨立性驗證：必須滿足的條件：

- 迴路 1、2、3 必須分別從不同的電力匯流排供電（1A、1B、1C 或 Div I、II、III）

- 迴路 3 必須能在完全喪失交流電源的情況下運作

- 每個迴路必須位於不同的實體分區（以障壁或距離分隔）

- 共因失效：如福島的 tsunami，必須進行分析並加以防範

共因失效分析：

單一故障可能使所有三個迴路失效？您必須找出該故障，並說明您的設計如何防止此故障。 [BLOCK_TYPE SECTION/STEP]

- 地震共同原因失效：所有三個迴路必須位於符合場址安全停機地震（SSE）設計的耐震第 I 類結構內 [BLOCK_TYPE SECTION/STEP]

- 淹水共同原因失效：各迴路應設置於不同高程或具防洪保護的獨立隔間 [BLOCK_TYPE SECTION/STEP]

- 火災共同原因失效：採用三小時耐火等級的防火隔間、獨立電纜路徑及冗餘分隔措施 [BLOCK_TYPE SECTION/STEP]

- 最終熱沉喪失共同原因失效：若三個迴路均將熱量排放至同一最終熱沉（河川、海洋），則必須分析該熱沉喪失之影響

設計迴路 1：正常停機冷卻 [BLOCK_TYPE SECTION/STEP]

設計您的第一個冷卻迴路：正常停機冷卻／餘熱排出（RHR）系統。

設計迴路 2：ECCS 高壓注入

迴路 2 是你的緊急爐心冷卻系統：由事故觸發，而非正常運轉。

設計迴路 3：被動式爐心冷卻

迴路 3 必須在無交流電源且無操作員介入的情況下運作。這是最後一道防線：能防止福島事故重演的系統。

共通原因失效分析

你有三個冷卻迴路。現在證明它們確實彼此獨立。

三種獨立的方式停止反應

Section 5b: 三重冗餘停機系統

停止連鎖反應不只靠控制棒。現代安全反應爐具備三套完全獨立的停機機制，任一機制即可達到並維持冷停機狀態。

為什麼不只靠控制棒？

控制棒未能及時關閉車諾比核反應爐：RBMK 設計具有正的緊急停機係數，插入石墨尖端的控制棒在停機前會先造成短暫的功率尖峰。三哩島事件中，控制棒雖正確插入，但操作員對冷卻水位產生誤判，導致爐心仍暴露於空氣中。教訓：任何單一系統都不應作為唯一的停機手段。

停機系統 1：控制棒：

主要停機系統。含有中子吸收材料（碳化硼 B₄C、鉿或銀-銦-鎘合金）的控制棒會插入爐心。控制棒以重力或彈簧方式插入（SCRAM）：當電源中斷或接收到安全訊號時，固定控制棒的電磁鐵斷電，控制棒隨即落入爐心。SCRAM 時間：通常在 2–4 秒內完全插入。

設計要求：(1) 控制棒價值：所有控制棒必須能在任何運轉狀態下使反應爐停機，即使價值最高的控制棒仍處於抽出狀態，即「卡棒準則」。(2) SCRAM 時間：必須在啟動測試中量測並驗證。(3) 測試頻率：控制棒必須定期進行部分抽出與再插入的動作，以驗證其可操作性。

停機系統 2：緊急硼化：

將含硼水注入反應爐冷卻系統。硼-10 是極佳的中子吸收劑。足夠的硼注入量即使在所有控制棒均卡住無法插入的情況下，仍能達到冷停機。兩種機制：(1) 立管注入：硼酸槽透過泵浦與隔離閥與 RCS 連接。(2) ECCS 硼注入：ECCS 累積器內的水已預先硼化，ECCS 注入時會自動提供硼。所有控制棒卡住時達到冷停機所需的硼濃度已在安<|eos|>

停機系統 3：被動吸收體排放（基於物理原理，無需電力）：

使用不同物理原理的多元被動停機機制。範例：

- 硼球注入（CANDU 型式）： 吸收體材料製成的球體在失去電力時，藉由重力落入獨立的慢化劑隔間。

- 高位槽被動硼注入： 當失去電力時，故障開啟閥門打開，高位濃縮硼酸槽內的溶液藉由重力排入反應爐冷卻系統。無需泵浦，亦無需訊號。

- 熔鹽爐排至次臨界幾何： 針對熔鹽反應爐，當失去冷卻電力時，冷凍塞熔化，使燃料排入物理上無法維持連鎖反應的幾何結構（排料槽已設計為次臨界幾何）。

- 可燃毒物棒彈簧彈射： 在某些設計中，當保持機構失效時，次級停機棒可藉由彈簧向上彈射進入爐心。

測試與監測要求：

每套停機系統必須定期獨立測試，測試結果需記錄並向 NRC 報告。NRC 檢查發現停機系統無法運作時，屬於須通報的事件。測試必須證明每套系統單獨即可達成冷停機。

設計你的三套停機系統

為你的反應爐設計全部三套停機系統。

三個獨立電源

第 5c 節：三重備援電源

福島的核心教訓：全廠停電（station blackout）：交流電源完全喪失：絕不能導致爐心損壞。美國核管會（NRC）在福島事故後的要求（FLEX）規定，電廠必須證明能使用多樣且獨立的電源，應對延長的全廠停電。

電源 1：廠外電網：

正常供電來源。來自不同變電所（不同電網迴路）的兩條或以上獨立輸電線。變壓器保護：突發壓力繼電器、差動繼電器、鎖定繼電器：防止故障變壓器影響其他母線。若電廠主發電機跳機，廠外電源會在數秒內透過輔助變壓器自動接手。

弱點：任何損壞電網的事件（惡劣天氣、地震、電網不穩）都可能切斷廠外電源。廠外電源是最可靠的正常來源，但卻是最不可靠的緊急來源。

電源 2：緊急柴油發電機（EDG）：

主要緊急交流電源。NRC 最低要求：每部機組至少 2 台 EDG，每台可承載一個安全分區的全部緊急負載。啟動要求：EDG 必須在收到啟動訊號後 10 秒內達到額定電壓與頻率（NRC 要求）。燃料供應：NRC 最低要求為滿載 7 天燃料量。福島事故後最佳實務：設計為 14 天燃料供應，並簽訂燃料補給合約以確保持續補充。

測試：每月負載測試（全速空載啟動）、每季負載測試（額定負載）、18 個月耐久測試（滿載連續運轉至測試結束）。

典型 1100 MWe PWR 機組配備 2–4 台 EDG，每台額定功率約 7,000 至 9,000 kW。

電源來源 3：站用電池（直流電源，Class 1E）：

儀控、緊急照明、閥門操作及通訊的最終備用電源。正常運轉時，電池由交流母線充電；當所有交流電源喪失時，電池獨立提供直流電源。

容量設計：每組直流母線必須能在無交流充電情況下，至少供應其負載清單 2 小時。現代設計通常設定為 4–8 小時。負載清單包含：控制棒驅動監測器、安全相關儀控、緊急照明、緊急通訊及關鍵閥門致動器。

電池更換：依製造商排程，通常 10–20 年更換一次。電池測試：每年進行容量測試，每 18 個月進行放電測試。

FLEX 策略：福島事故後的可攜式設備：

可攜式柴油發電機、可攜式泵浦及軟管預置於多個地點，並具備多樣化通路（非所有通路皆會因同一洪水或火災而無法使用）。安全相關匯流排與冷卻系統的連接點已預先安裝並測試。可攜式 FLEX 設備可在無交流電源的情況下由操作員部署。NRC 要求 FLEX 策略需涵蓋：站內全黑（station blackout）、最終熱沉喪失，以及上述兩者之組合。

設計您的三個電源

設計您的完整電源架構。

三個獨立監測通道

第 5d 節：三重冗餘監測與儀控

儀控（I&C）故障在每一次重大核能事故中都造成或加劇了後果。在三哩島，操作員被單一指示器（僅顯示先導操作釋壓閥是否被命令開啟，而非實際是否開啟）所迷惑，做出導致爐心失水的決策。在車諾比，關鍵儀器在致命測試期間被停用或提供誤導資訊。

三個獨立測量通道：

現代反應爐將安全儀控系統分為三個（或四個）獨立通道：A、B、C（或 I、II、III、IV）。每個通道使用不同的感測器，透過獨立的電纜路徑與導管，並由獨立的安全電源供電。

為什麼要使用不同技術？

感測器的共同原因失效：若三個通道都使用相同型號的感測器，該型號的系統性缺陷可能導致三個通道同時失效或輸出相同錯誤讀值。使用不同廠牌或不同測量原理可降低此風險。

2-of-3 表決邏輯：

三個通道各自針對安全功能輸出是/否訊號（例如「高壓力，啟動 SCRAM」）。當至少兩個通道同意時，才執行安全動作。為什麼不用 1-of-3？單一故障通道會造成誤動作（假陽性過多，電廠不可靠）。為什麼不用 3-of-3？單一故障通道會使安全動作無法執行（真陽性不足，電廠不安全）。2-of-3 是數學上的最佳解：同時抵抗單一誤動作與單一失效。

事故後監測：NUREG-0696 Category 1 變數：

下列變數必須在事故後獨立於正常數位控制系統（DCS）進行監測，以確保即使 DCS 損壞或不可靠，操作員仍能取得真實數據：

- 反應爐冷卻系統壓力

- 反應爐冷卻系統溫度（熱管段、冷管段）

- 反應爐冷卻劑系統水位（壓力容器內水位） [BLOCK_TYPE SECTION/STEP]

- 安全殼壓力 [BLOCK_TYPE SECTION/STEP]

- 安全殼輻射水平 [BLOCK_TYPE SECTION/STEP]

- 排放輻射監測器（冷卻劑、蒸汽、安全殼大氣） [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

環境與耐震合格： [BLOCK_TYPE SECTION/STEP]

所有安全相關儀控設備必須通過事故時所處環境條件的合格測試：溫度最高可達 150°C、濕度最高可達 100%、累積輻射劑量最高可達 10⁷ rad（100 kGy），且需持續至事故結束（數月）。此即 10 CFR 50 Appendix B / IEEE 323 環境合格要求。耐震合格（IEEE 344）：設備必須在廠址安全停機地震（SSE）期間及之後仍能正常運作。

設計您的監測架構

設計您的儀控安全架構。

無需電源或操作員即可運作的安全機制

Section 6: 被動式安全功能

被動式安全功能完全依賴物理原理運作：無需泵浦、無需電源、無需操作員介入。它們始終處於啟用狀態，無法因廠區停電而失效。

負多普勒係數（存在於所有鈾燃料中）：

隨著燃料溫度上升，U-238 的共振吸收峰會變寬（都卜勒增寬）。更多中子被 U-238 捕獲而未引起裂變。這會自動降低裂變率，因為燃料升溫時：這是一種自我限制、始終存在的回饋機制。它適用於所有使用鈾燃料的反應爐類型。這也是為什麼鈾反應爐無法像失控的化學爆炸一樣失控：物理機制會自動抑制反應。

負溫度係數（適用於輕水反應爐）：

在輕水反應爐中，當冷卻劑／慢化劑溫度上升時，水密度會下降。密度較低的水能慢化的中子數量減少，因此到達熱中子能階並引起裂變的中子數量也減少，反應度會自動降低。這解釋了為什麼壓水反應爐（PWR）與沸水反應爐（BWR）在廣泛功率範圍內都具有固有的自我調節能力。

負空泡係數（適用於大多數在功率運轉中的輕水反應爐）：

若冷卻劑中產生氣泡或冷卻劑流失，慢化作用會減弱。在輕水反應爐中，這會降低反應度。這正是車諾比 RBMK 反應爐所缺乏的安全特性：其巨大的正空泡係數意味著冷卻劑流失反而會使功率上升，形成失控的正回饋迴路。

被動式衰變熱移除：自然循環：

熱水密度低於冷水。在一回路中，來自堆芯的熱冷卻劑會自然上升。在 AP1000 等設計中，這種自然循環可驅動冷卻劑通過被動餘熱排出熱交換器（PRHR HX），無需任何泵浦。衰變熱完全由物理現象移除。

堆內滯留（IVR）：AP1000 設計：

若嚴重事故發展至堆芯損壞，熔融堆芯熔融物（corium）必須留在反應爐壓力容器內。AP1000 設計會利用重力將安全殼內換料水箱（IRWST）中的水引入反應爐腔室。容器外部的水可帶走容器壁的熱量，使鋼製容器保持完整，避免熔融物流入安全殼底板。這是一項重大的設計創新：以往的輕水反應爐並無此功能。

堆外堆芯捕集器：EPR 設計：

堆內滯留（IVR）的替代方案：若熔融物穿出壓力容器，則落入專為擴散熔融物而設計的擴散室（堆芯捕集器），並從上下兩側進行冷卻。歐洲壓水反應爐（EPR）採用此設計。IVR 與堆芯捕集器均針對相同情境：嚴重事故發展至壓力容器破裂後的處理。

氫氣管理：被動式自催化重組器 (PARs)：

鋯合金與蒸汽反應會產生氫氣。氫氣會在安全殼內累積。當空氣中氫氣濃度達到 4–75% 時會具有可燃性；達到 13–59% 時則會發生爆轟。福島事故中，氫氣爆炸摧毀了 1、3、4 號機組的反應爐廠房。現代安全殼必須進行氫氣管理：被動式自催化重組器 (PARs) 是內含鉑或鈀催化劑的裝置。氫氣與氧氣在催化劑表面於室溫下結合，無需點火即可生成水蒸氣。無需電源、無需風扇、無需操作員介入。PARs 佈置於安全殼各處，以防止局部累積。所需數量與位置依據最嚴重氫氣源項計算。

四道實體屏障：縱深防禦：

上圖顯示燃料與環境之間的四道實體屏障：

1. 燃料基質 (UO₂ 陶瓷)： 在正常運轉條件下可保留約 95% 的裂變產物

2. 燃料包殼 (鋯合金或碳化矽)： 金屬屏障，是逸出裂變產物的第一道封阻

3. 反應爐冷卻劑壓力邊界： 厚壁鋼製反應爐容器與配管

4. 圍阻體結構： 鋼筋混凝土，通常厚度 1–1.5 公尺，設計能承受最嚴重 LOCA 事故的壓力與溫度，並能抵禦飛機撞擊

設計您的被動式安全功能

被動式安全功能已內建於設計的物理與幾何特性中：它們無法被關閉。

人因安全層

第 7 節：人因監督設計

每一次重大核能事故都涉及人為因素：這並非因為人類不可靠，而是因為人為監督系統設計不良。良好的設計能讓正確的操作變得容易，而讓錯誤的操作變得困難。

現場必須全天候（24/7）保持至少三名合格人員：

- 反應爐操作員 (RO)： 持有 NRC 核准執照（10 CFR Part 55）。負責操作反應爐控制系統。必須通過書面考試及特定電廠模擬機的操作測試。執照僅適用於該特定電廠，不得轉讓。

- 高級反應爐操作員 (SRO) / 輪班主管： 持有 NRC 核准執照。負責監督 RO，並擁有獨立的緊急停機 (SCRAM) 權限，可不論其他人員（包括管理層）的指示，下令緊急停機。

- 輻射防護 (RP) 技術員 / 保健物理官： 監測輻射水平、管理個人劑量計、核准進入管制區，以及追蹤累積劑量。

獨立 SCRAM 權限：

值班主管擁有法律權限，可依其專業判斷隨時啟動緊急停機，而無需管理層核准。這是 10 CFR 50.54(x) 法規的要求。三哩島的教訓是：操作員應接受訓練並擁有權限，能快速辨識異常冷卻劑流失情境，並果斷執行 SCRAM。然而，他們因相互矛盾的指示而困惑，試圖「修復」症狀，而非辨識根本問題。

雙人完整性（TPI）：

特定作業（尤其是燃料處理、某些測試期間的控制棒操作，以及進入某些關鍵區域）需有兩名合格人員在場並互相監督。任何一人皆不得獨自完成作業。實體控制（需同時插入兩把鑰匙的鑰匙開關、聯鎖裝置）強制執行此要求，而非依賴程序遵循。TPI 可防止個人失誤與蓄意破壞。

輪班限制：疲勞管理：

依據 10 CFR 26（適任執勤）規定：最長輪班時間為 12 小時。兩班之間的最短休息時間為 8 小時。每週最長工時為 54 小時（緊急情況下經管理層核准可達 72 小時）。這些限制的存在，是因為睡眠不足會嚴重損害決策能力，其影響與酒精相同，而核能運轉需要持續保持警覺。

訓練要求：

- NRC 認證的電廠專用全範圍模擬器訓練課程

- 初始執照：筆試（及格/不及格，多選題與申論題）+ 操作測驗（由 NRC 持照考官進行實務評估）

- 再認證：每年一次筆試，每兩年一次模擬器操作考試

- 緊急應變演練評估：每季輪值演練，每年一次與州及郡政府共同參與的全規模緊急應變演習

緊急操作程序 (EOPs)：

基於症狀的程序，經美國核管會（NRC）核准。現代緊急操作程序（EOP）不再是「若看到事件 X，就執行 Y」，而是「若觀察到這些症狀（高壓力 + 低液位 + 溫度上升），即進入此程序」。此方法：於三哩島事故後發展而成：更具韌性，因為操作員是依據所觀察到的現象而非推測的原因來採取行動。 [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

控制室設計：事故後監測獨立於 DCS： [BLOCK_TYPE SECTION/STEP]

事故後監測儀器必須能在控制室讀取，即使電廠數位控制系統（DCS）完全失效。這些是專用的硬接線顯示器：類比儀表或具備獨立電源與訊號路徑的合格數位顯示器。

設計你的人因監督系統

人因監督是一項安全系統。請以與冷卻迴路相同的嚴謹度來設計它。

廠址選擇與外部危害設計

Section 8: 廠址選擇與土木設計

廠址決定了您的電廠必須承受的外部危害。NRC 要求將全面的外部危害分析納入 FSAR（最終安全分析報告）。

耐震設計：安全停機地震 (SSE)：

每座電廠廠址都有安全停機地震 (SSE)：電廠設計上必須承受的最大地震，並在發生後仍能達成並維持安全停機。安全相關結構（反應爐廠房、控制廠房、ECC 廠房、EDG 廠房）必須為耐震類別 I：設計上需能承受 SSE 並維持功能。SSE 係由機率性耐震危害分析 (PSHA) 決定，目標為 10⁻⁴ 年超越機率，即一萬年重現期事件。福島的設計基準地震為 6.1 級，實際發生地震為 9.0 級。切勿低估 SSE。

洪水：可能最大洪水 (PMF)：

PMF 是根據氣象與水文分析，場址可能發生之最大洪水。廠區地面高程必須高於 PMF 水位，或設置能抵禦 PMF 的防洪設施（牆、門、艙口）。福島事故的重要教訓：海堤原設計高度為 5.7 公尺，實際海嘯高度卻達 15 公尺。因此 PMF 計算必須採取保守假設。

外部危害：飛機撞擊、極端風速、外部爆炸：

- 飛機撞擊：911 事件後，NRC 要求大型商用核電廠必須評估（不一定需設計抵禦）飛機撞擊。新設計如 AP1000 與 EPR 已將飛機撞擊防護納入安全殼與控制室設計。

- 極端風速／龍捲風：依 Regulatory Guide 1.76 針對各場址區域訂定設計基準龍捲風。飛彈防護：龍捲風飛彈（電線桿、汽車）不得穿透安全相關結構。

- 外部爆炸：必須評估鄰近化學廠、LNG 接收站、管線或運送危險貨物之鐵路線。

排除區邊界 (EAB)：10 CFR 100：

EAB 是指電廠周圍的最小半徑範圍，在此範圍內操作員可控制土地。在最嚴重事故發生後的兩小時內，EAB 處的輻射劑量不得超過全身 25 rem（TEDE）。此限制決定了安全殼的設計與場址邊界後退距離。規模較大、源項較大的電廠需要更大的 EAB。

緊急規劃區（EPZ）：

核電廠周圍有兩個規劃區：

- 煙羽曝露途徑 EPZ： 約 10 英里半徑。防護措施包括：疏散、就地掩蔽、碘化鉀發放、交通管制計畫。

- 食入途徑 EPZ： 約 50 英里半徑。防護措施包括：限制食品與飲用水攝取、監測農作物與乳製品。

EPZ 的大小並非僅由電廠規模決定：NRC 法規對所有商用反應爐均有固定規定（極小型 SMR 可有部分彈性）。緊急計畫必須與州及地方政府共同制定並演練。

捍衛您的廠址

現在請說明您的廠址與土木設計選擇的理由。

NRC Licensing Process

Section 9: Licensing Pathway

在美國，未經許可建造反應爐是違法的。NRC 根據 10 CFR Part 52 的許可程序旨在在紙面上發現安全問題：混凝土澆築之前。這也是公眾、干預者和 NRC 技術人員挑戰並改進設計的機制。

10 CFR Part 52: 合併許可 (COL):

目前主要的核電廠執照核發途徑。COL 將建造許可與運轉執照合併為單一程序。申請者需證明設計符合 NRC 要求，且場址可接受。NRC 會在建造前核發 COL。建造期間，透過「檢查、測試、分析與驗收準則」（ITAAC）驗證實際建造結果是否符合已核准的設計。

設計認證 (DC)：

反應爐設計可獨立於特定場址，由 NRC 進行認證。設計認證有效期為 15 年。一旦取得認證，公用事業在申請 COL 時即可引用該 DC，無需重複審查標準設計。AP1000 與 ABWR 已取得認證。SMR 設計者（NuScale、GEH BWRX-300、Kairos、TerraPower）目前正為其技術申請設計認證。

最終安全分析報告 (FSAR)：17 章：

FSAR 是每份執照申請的核心技術文件，描述電廠並證明其符合 NRC 所有要求。主要章節包括：

- 第 1 章：簡介與總體說明

- Chapter 2: 場址特性（地震、淹水、氣象、人口）

- Chapter 4: 反應爐（燃料設計、爐心物理、熱流體）

- Chapter 5: 反應爐冷卻系統（一次迴路、壓力邊界、緊急爐心冷卻系統）

- Chapter 6: 工程安全設施（圍阻體、緊急爐心冷卻系統、氫氣控制）

- Chapter 7: 儀控系統

- Chapter 8: 電力系統（廠外、廠內、電池、FLEX）

- Chapter 9: 輔助系統

- Chapter 13: 運轉管理（組織、訓練、緊急操作程序）

- 第 15 章：事故分析（設計基準事故：LOCA、主蒸汽管線斷裂、控制棒彈出等）

- 第 16 章：技術規格（運轉限制與監測要求）

機率風險評估 (PRA)：

一種定量安全分析，用以計算爐心損傷及早期大量釋放的機率。兩個關鍵指標：

- 爐心損傷頻率 (CDF)： 每反應爐年發生爐心損傷的機率。NRC 目標：< 1×10⁻⁴/反應爐年。先進反應爐目標：< 1×10⁻⁵/反應爐年。

- 早期大量釋放頻率 (LERF)： 每反應爐年發生大量、早期放射性釋放（在採取防護措施前）的機率。NRC 目標：< 1×10⁻⁵/反應爐年。

PRA 亦可辨識最重要的意外序列（對 CDF 的主要貢獻者）以及最重要的系統與元件（重要性量值），以引導維護、測試及設計改善資源的配置。

ITAAC：檢查、測試、分析與驗收準則：

針對每一項與安全相關的系統與結構，COL 均會明訂 ITAAC：必須進行哪些檢查、測試或分析，以及驗收準則為何。在 NRC 核准裝填燃料之前，所有 ITAAC 均須完成並提報。若任一 ITAAC 未通過，電廠在修正並通過該 ITAAC 之前，不得啟動。

建造與運轉前測試：

COL 核發後即開始建造。NRC 依據「檢查、測試、分析與驗收準則」（ITAAC）對建造過程進行查核。運轉前測試則驗證各系統在裝填燃料前均符合設計規格。燃料裝填授權需 NRC 人員確認所有 ITAAC 均已達成。

規劃您的核准路徑

針對您的特定反應爐設計，逐步說明其核准途徑。

呈現您的完整設計

Section 10: Final Design Review

您已完成核電廠所有主要系統的設計。現在請以核電廠首席核能官（Chief Nuclear Officer）向 NRC 安全審查委員會（Safety Review Committee）報告的方式，呈現您的完整設計。

您的設計必須展現：

完成所有四項安全功能的三重冗餘：

1. 冷卻：三個迴路（主動式 RHR、主動式 ECCS 搭配被動式蓄壓器、被動式 PRHR 或冷卻池）

2. 停機：三個系統（控制棒、緊急硼化、被動式吸收劑排放）

3. 電源：三個來源（外部電網、緊急柴油發電機、廠用電池）加上 FLEX

4. 監測：三個獨立通道（A/B/C）採用 2-of-3 表決機制，以及事故後監測

被動式安全特徵：

- 負多普勒係數（在鈾燃料中始終存在）

- 反應爐類型的負反應性/空泡係數

- 被動式衰變熱移除（自然循環或池式）

- 嚴重事故管理（堆內滯留、堆芯捕集器或熔鹽爐排入次臨界）

- 氫氣管理（安全殼內分佈式被動自催化重組器）

人工監督：

- 現場 24/7 三名合格值班人員

- 雙人制完整性與實體強制執行

- 符合規範的移變限制

- 電廠專用模擬器訓練

- 基於症狀的緊急操作程序 (EOP)

廠址：

- 地震設計基準（SSE、地震類別 I 結構物）

- 洪水防護（可能最大洪水 PMF 或防洪設施）

- 排除區邊界 (EAB) 劑量限制（25 rem TEDE）

- 緊急規劃區（EPZ）（10 英里放射 plume、50 英里食入區）

歷史測試：

您的設計必須說明如何防止 TMI、Chernobyl 與 Fukushima 的特定失效模式。

- TMI： 改善事故後監測（直接 RCS 水位）、基於症狀的緊急操作程序（EOP）、受過訓練的操作員

- Chernobyl： 負空泡係數（無正反應性插入效應）、獨立的 SCRAM 權限、禁止操作員停用安全系統

- Fukushima： 被動冷卻（無需交流電源）、高架 FLEX 設備、14 天柴油燃料、廠址高於可能最大洪水（PMF）

完整設計審查

這是您的設計答辯。請完整回答：任何遺漏都將被挑戰。

您的設計如何防止三哩島、車諾比與福島事故

第 11 節：防止重蹈覆轍

三次重大核能事故定義了現代反應爐的安全要求。您設計的每一套冗餘系統，都可在這些事故中找到其特定的前身。

三哩島（TMI），1979 年：美國賓州：

A stuck-open pilot-operated relief valve (PORV) allowed primary coolant to drain for hours. The indicator light showed the valve had been COMMANDED closed, not that it was actually closed. Operators, confused by conflicting indicators, throttled back ECCS injection because they thought the system was being overfilled. The core was uncovered, overheated, & partially melted.

Lessons: (1) Direct post-accident monitoring: operators must be able to see actual valve position, actual coolant level, actual core temperature. (2) Symptom-based EOPs: operators respond to what they observe, not what they think caused it. (3) Better operator training on accident recognition and response.

Chernobyl, 1986: Ukrainian SSR, USSR:

A safety test was run with the reactor at low power (unstable region) and with multiple safety systems disabled or bypassed. The RBMK reactor had a large positive void coefficient: as coolant boiled, reactivity increased. When operators attempted to shut down, the graphite-tipped control rods caused a brief power spike (positive scram effect). A power excursion of approximately 30,000 MW destroyed the reactor in a steam explosion and graphite fire.

Lessons: (1) No positive void coefficient in commercial reactors. (2) Safety systems must not be bypassable during normal operations. (3) Independent SCRAM authority: no test director can override the shift supervisor's safety judgment. (4) Operator training on reactor physics, not just procedure-following.

Fukushima Daiichi, 2011: Japan:

一次規模 9.0 的地震引發 15 公尺海嘯，淹沒並摧毀福島第一核電廠的緊急柴油發電機。在失去交流電源且柴油機損毀的情況下，衰變熱使 1、2、3 號機組的冷卻水沸騰蒸發。鋯合金與蒸汽反應產生的氫氣在反應爐廠房內爆炸。三個爐心在 72 小時內熔毀。 [BLOCK_TYPE CONTENT historical_lessons/history_intro]

教訓：(1) 被動式冷卻，不需電力即可運作。(2) 柴油機與電池置於洪水位以上或採取防洪保護。(3) FLEX 行動式設備分散存放於多處且易於取用之位置。(4) 可能最大洪水 (PMF) 設計基準必須保守。(5) 必須針對延長式全廠停電 (extended station blackout) 進行設計，而非僅進行分析。 [BLOCK_TYPE CONTENT historical_lessons/history_intro]

[BLOCK_TYPE TITLE historical_lessons/history_question]

Connect Your Design to History [BLOCK_TYPE CONTENT historical_lessons/history_question]

This is the final question of the capstone. [BLOCK_TYPE QUESTION historical_lessons/history_question]