IAEA 定义

纵深防御：组织性安全理念

国际原子能机构（IAEA）将纵深防御定义为一种多层次的安全策略，每一层都作为前一层的后备。任何单一层次都不被视为完美。安全论证依赖于多重独立层次，以确保任何单一故障以及任何单一根本原因导致的故障组合都不会造成危害。

纵深防御适用于各个尺度：

物理屏障：燃料基体 → 燃料包壳 → 反应堆压力容器 → 安全壳 → 反应堆厂房（燃料与环境之间有 4–5 道物理边界）

安全系统：每项功能（冷却、停堆、供电）至少由 3 套独立系统执行

程序：每项操作均有书面程序；针对每种设计基准事件均有异常和应急程序

运行人员：持照、受训、合格、休息充足；拥有独立停堆权限

管理：核安全文化、监管监督、独立安全审查

法规：NRC 10 CFR 50 设计基准要求、持照运行、定期检查

关键原则：失效层不计入防护。 如果无法确认某一屏障完好，则假定它已失效。整个系统设计必须在任意一个有效部件失效时仍保持安全，这称为单一故障准则。

冗余、多样性和独立性

实现纵深防御的三个特性

核安全系统必须满足三个不同特性。混淆这些概念是常见且危险的错误。

冗余是指使用多个相同设备。例如三台柴油发电机即为冗余。但如果它们共用同一油箱、同一启动逻辑或同一物理房间，仅靠冗余无法防范共因失效。

多样性是指采用不同的物理原理或不同设备来执行相同功能。高压注入泵与氮气加压的蓄压器都能向堆芯供水，但工作原理完全不同。多样性可抵御会使同一设计的所有冗余设备同时失效的故障模式。

独立性是指一个系列的故障不会导致或阻止另一个系列的运行。独立性要求：

- 独立的供电母线（不同的电源馈线）

- 物理隔离（屏障、不同建筑物、反应堆对侧）

- 独立的驱动逻辑（A 系列的短路不会使 B 系列失效）

- 独立的仪表（A 系列的传感器不接入 B 系列的驱动回路）

共因失效（CCF） 是最糟糕的情况：单一事件同时使多个冗余系列失效。福岛核事故就是典型案例：海啸不仅造成厂外电源丧失，还因三台应急柴油发电机都位于同一低洼建筑物内而同时失效。没有独立性的冗余只是一种假象。

单一故障准则

NRC 的单一故障准则（10 CFR 50，附录 A，通用设计准则 17）规定，安全系统必须设计成任何单一主动部件故障都不会阻止系统执行其安全功能。

“主动”故障是指需要改变状态的故障：例如泵无法启动、阀门无法打开。

“被动”故障（如管道裂纹）由单独的设计要求处理。

为什么是三列？

每个安全关键系统：三列独立列

三重冗余法则并不只是“三个比两个更安全”。它是一项具有特定属性的精确工程要求。

每列列车必须能够独立完成100%的安全功能。 如果A列负责冷却，它必须承担全部所需的冷却任务。B列和C列不是部分辅助，而是完整的备用系统。

各列列车必须在物理上相互隔离。 位于不同的建筑物内，或至少由防火屏障分隔。采用不同的电缆路径和管道走向。如果火灾、洪水或爆炸影响某一列，则不得波及其他列。

各列列车必须配备独立的电源。 由不同电源供电的不同电气母线。A列接母线A，B列接母线B，C列接母线C：每段母线均配备独立的应急柴油发电机。

各列列车必须采用独立的驱动逻辑。 A列驱动回路中的继电器故障不得影响B列的驱动。理想情况下，各列应采用完全不同的驱动原理（多样性）。

为什么是三而不是两？ 三列冗余采用“二取三”投票逻辑，任意单一部件失效后仍保留两列可用：既满足单一故障准则，又对共因失效提供一定防护。两列冗余时，单一故障后仅剩一列：既无裕度，也无对第二次故障的防御能力。

多样性与冗余

考虑压水堆（PWR）的应急堆芯冷却系统。一种方案是：三台完全相同的高压安注泵，每台由独立的柴油发电机供电，且分别布置在独立的房间内。

另一种方案是：一台高压安注泵、一台无需电源的氮气加压式蓄压器，以及一个位于高处的重力供水水箱。

这两种方案都提供了三种向堆芯注水的手段。

ECCS：堆芯的最后防线

应急堆芯冷却系统

压水堆（PWR）的设计基准事故是失水事故（LOCA）：反应堆冷却剂系统发生破口，导致一回路冷却剂流失。大破口失水事故可在数秒内使堆芯失去水淹。若不能立即注水，燃料包壳温度将超过 2,200°F，锆合金发生氧化，燃料损坏随之开始。

典型压水堆的 ECCS 包含四个子系统，分别在事故的不同阶段发挥作用：

高压注入系统 (HPIS)：在反应堆冷却剂压力低或安全壳压力高时立即启动。在压力仍较高（约 200 psi 以上）时向反应堆冷却剂系统注入含硼水。使用由应急柴油机供电的电动泵。流量：根据设计为 500-1,500 gpm。

安注箱（也称堆芯淹没箱）：被动式氮气加压容器，内装含硼水。当反应堆冷却剂压力降至氮气压力以下（通常 600-700 psi）时自动注入。无需电源：由氮气压力驱动水进入堆芯。每个安注箱容积约 1,000 加仑。

低压注入系统 (LPIS)：在低压（<200 psi）时启动。为大破口 LOCA 提供大流量（数千 gpm）。当换料水贮存箱 (RWST) 排空后，系统切换至安全壳地坑再循环：将安全壳地坑中的水再循环回堆芯。必须持续数周（衰变热导出）。

余热排出系统 (RHR)：也称衰变热排出系统。主要功能：在反应堆达到冷停堆后导出衰变热。在低压、低温下运行，通过热交换器循环冷却剂。也具备低压注入能力。

BWR 堆芯喷淋系统：沸水堆在燃料上方使用堆芯喷淋喷嘴，将水直接喷淋到燃料组件上：与压水堆淹没式注水的几何结构不同。

衰变热曲线

衰变热曲线是核安全中最重要的参数之一。反应堆停堆后：

- t = 0 秒：约额定功率的 7%（对于 3,400 MW 反应堆为 240 MW）

- t = 1 分钟：约 3.5%

- t = 1 小时：约 1%（约 34 MW）

- t = 1 天：约 0.3%（约 10 MW）

- t = 1 week: ~0.1%

- t = 1 year: 燃料仍会因长寿命同位素产生可测量的热量

持续的 10 兆瓦热量，且没有任何电力驱动冷却泵。这正是 2011 年 3 月 11 日福岛第一核电站所面临的真实情况。

被动式 ECCS：AP1000 设计

下一代：被动安全

西屋 AP1000（先进被动 1000 MWe）汲取了主动式 ECCS 的教训，并颠覆了设计理念：不再依赖需要电源的三列泵，所有安全功能均依靠重力、自然循环、压缩气体和蒸发来实现。

堆芯补水箱（CMT）：两台安装在反应堆上方的大型冷硼水箱。正常运行时处于隔离状态。触发后，它们依靠重力将水注入反应堆冷却剂系统。每台水箱的储水量足以在数小时内保持堆芯被淹没。

蓄能器：与常规电站相同，采用氮气加压，被动注入。

安全壳内置换料水箱（IRWST）：位于安全壳内、反应堆上方的大型水池。依靠重力供水。在堆芯补水箱排空后提供长期冷却。无需泵，也无需电源。

非能动余热排出热交换器（PRHR HX）：浸没在IRWST中。自然循环将反应堆衰变热带入IRWST水池，水受热沸腾后通过烟囱向大气排放。无需泵，完全非能动。

72小时窗口：AP1000安全论证表明，在无操作员干预、无电源的情况下，可实现72小时的堆芯冷却。72小时后，操作员可从任意水源向IRWST补水。

这种设计多样性——被动 vs 主动——正是多样性重要的原因。AP1000 的安全系统不会被导致福岛事故的失效模式所击败。

[TITLE containment/]

最后一道物理屏障

安全壳：最后的边界

如果所有其他安全系统均失效且燃料受损，安全壳就是放射性物质与公众之间的最后屏障。它必须承受：蒸汽产生的内部压力、氢气燃烧、设备失效产生的飞射物冲击，并持续足够长的时间。

PWR 干式安全壳：钢衬里钢筋混凝土结构，直径通常约 140 英尺、高约 200 英尺。设计用于承受最大主冷却剂管道完全双端断裂（设计压力约 60 psi）所产生的蒸汽压力。钢衬里是压力边界；混凝土提供结构强度和生物屏蔽。

冰冷凝器安全壳：一种较小、低压的压水堆安全壳设计（用于某些西屋公司电厂），利用数百吨冰来吸收蒸汽能量，并在失水事故（LOCA）中保持安全壳压力较低。这种设计允许建造更小、更经济的结构，但需要定期维护冰。

双层安全壳：某些设计将内层钢制安全壳置于外层混凝土二次安全壳建筑内。两层之间的空间保持微负压，以便内层安全壳的任何泄漏都能被收集并过滤后才释放。

沸水堆安全壳：Mark I、II、III：通用电气沸水堆的安全壳体积较小，因为它们使用压力抑制水池（环形室或湿阱）来快速冷凝蒸汽。Mark I（福岛的设计）采用干阱-环形室布置：环形室是一个位于干阱下方的大型甜甜圈形水池。其弱点在于环形室连接在干阱底部。如果环形室失效，安全壳即失效。这正是福岛1号机组发生的情况。

被动自催化复合器（PAR）：福岛事故后，大多数安全壳现已配备PAR：这些装置含有催化材料（钯或铂），可在低浓度下使氢气与氧气反应生成水，而无需点燃，从而防止氢气积聚引发爆燃或爆炸。

过滤式安全壳泄放：福岛事故后在欧洲强制要求、美国逐步采用的措施：采用硬化泄放管线配合多级过滤系统（文丘里洗涤器 + 金属纤维过滤器），允许运行人员在保留 >99.9% 颗粒放射性的前提下主动泄放安全壳，防止超压导致非受控失效。

设计基准与超设计基准

安全壳的设计目标

设计基准事故（DBA）：NRC 要求安全壳必须同时承受以下任一事故：

- 大破口 LOCA：最大主冷却剂管道完全断裂，最大冷却剂释放

- 失电（LOOP）与 LOCA 同时发生：最需要电源时失去电网供电

- 主蒸汽管道破裂：安全壳内高能量蒸汽释放

- 燃料操作事故：燃料组件掉落，损坏燃料中裂变产物释放

超出设计基准事件 (BDBA)：9/11 事件及福岛事故后，核电站还必须应对：

- 电站全厂断电 (SBO)：交流电源全部丧失且持续时间较长（TMI 后要求，福岛后进一步加强）

- 超出设计基准的洪水：福岛事故表明设计基准洪水高度偏低

- 飞机撞击：NRC 要求对故意飞机撞击进行 9/11 后分析；新建核电站必须证明结构可存活性

- 乏燃料水池冷却丧失：福岛 4 号机组乏燃料水池几乎干涸；福岛后新增专用乏燃料水池补水接口要求

Mark I 脆弱性

福岛第一核电站 1、2、3 号机组均采用通用电气 Mark I 型安全壳。Mark I 型安全壳由干井（围绕反应堆的灯泡形钢制容器）和环形抑制水池（环室）通过降压管相连。干井内的蒸汽通过降压管导入环室水中进行冷凝。

事故期间，2 号机组的环室据信已损坏，导致裂变产物直接逸出至反应堆厂房，再未经完整安全壳边界过滤即排放至大气。

停堆系统

反应性控制：三条独立的停堆路径

反应堆必须能够在任何工况下实现停堆并保持停堆状态。任何单一故障都不应阻止停堆。《通用设计准则》（GDC 26）要求设置两套独立的反应性控制系统，每套系统都必须能够使反应堆保持次临界。

控制棒驱动机构（CRDMs）：

- 压水堆磁力千斤顶式 CRDM：控制棒由电磁铁保持在提升位置。当失去电源（SCRAM 信号或电源中断）时，电磁铁断电，控制棒依靠重力落入堆芯。失效安全设计：保持控制棒抽出需要电源。失去电源 = 自动插入。

- 沸水堆液压式 CRDM：控制棒从下方由高压水驱动插入。紧急插入时使用高压氮气快速驱动控制棒插入。部分沸水堆设计还配备电气备用插入系统。

备用控制棒插入（ARI）：独立于正常 SCRAM 逻辑的另一套多样化电气信号通道，可在正常 SCRAM 电路失效时插入控制棒。

预期瞬态无停堆（ATWS）：控制棒在需求时未能插入的监管情景。ATWS 缓解系统（ATWS-MF）提供独立于正常 SCRAM 的硼注入：通常由独立传感器组触发自动高压硼注入。

紧急硼化：

- 来自独立立管的高压硼注入（与正常充水系统分离）

- 通过 ECCS 硼注入管线进行紧急硼化

- 从硼酸储存罐手动硼化

非能动设计：CANDU 堆：CANDU 堆具有两套完全独立的停堆系统：(1) 依靠重力落下的机械停堆棒，(2) 将硝酸钆溶液高压注入慢化剂：独立的物理回路。这些系统在各方面均相互独立：不同的驱动逻辑、不同的物理系统、不同的工作原理。

ATWS 分析

1979 年三哩岛 2 号机组测试期间，一次维护失误导致反应堆停堆（SCRAM）未能如期发生。该事件很快被发现，但促使 NRC 要求所有核电站安装 ATWS 缓解系统，因为“不可能失效”的系统实际上已经失效。

PWR 中的 ATWS 事件：反应堆功率骤升，控制棒未能插入，应急硼化成为最后一道防线。

三层供电架构

核电站电气供电：三层独立架构

无论电网或自身发电设备发生何种情况，核电站都必须保证安全系统持续供电。其供电架构分为三层：

第1层：正常运行：电站由主汽轮发电机自行发电。辅助负载（泵、风机、控制系统）通过厂用变压器由电站自身输出供电。

第2层：厂外电源（首选交流电源）：如果主发电机跳闸，电厂通过启动/备用变压器接入电网。NRC要求至少有两条来自不同变电站的独立输电线路：这样单条输电线路故障不会导致厂外电源全部丧失。

第3层：应急柴油发电机（EDG）：如果厂外电源丧失，EDG会自动启动，并在10秒内带上安全母线。NRC要求：

- 每台EDG必须在收到启动信号后10秒内达到额定电压和频率

- 燃油储存：至少满足满载运行7天（NRC Regulatory Guide 1.9）

- 试验：每月进行一次带载试验，每24个月进行一次24小时耐久试验

- 负荷排序：安全负荷按顺序投入，避免柴油机启动时过载

电站蓄电池：为仪表、控制室面板、应急照明、SCRAM 动作回路、ATWS 动作及通信提供直流电源。必须至少能带载运行 2 小时（Class 1E）；大多数电厂设计为 4–8 小时。交流恢复后，蓄电池充电器将对蓄电池进行再充电。

福岛后 FLEX 策略：NRC 指令 EA-12-049 要求所有电厂配备可在规定时间内、不受现场条件限制部署的移动泵和发电机。FLEX 设备分置于多处（部分位于坚固结构内，部分位于场外），并可连接至反应堆冷却及乏燃料池系统的硬化外部接口。

柴油发电机要求

1979 年三哩岛 2 号机组：事故序列为汽轮机跳闸、给水丧失，随后一系列复杂事件导致堆芯损坏。应急柴油发电机在整个事件中正常启动并运行。

2011 年福岛第一核电站：地震导致反应堆 SCRAM。全部 6 台柴油机均启动并运行。随后海啸来袭，1–3 号机组的柴油机位于地下室被淹没，6 号机组的柴油机因位置较高而幸存。5、6 号机组未发生堆芯损坏。

反应堆保护系统

反应堆保护系统 (RPS)

反应堆保护系统是当监测参数超出安全限值时自动触发反应堆 SCRAM（快速停堆）的系统。它是针对瞬态的第一道自动防护。

可触发 SCRAM 的监测参数：

- 高中子通量（高功率）

- 高反应堆冷却剂温度

- 低反应堆冷却剂压力（潜在 LOCA）

- 高安全壳压力

- 低反应堆冷却剂流量

- 高冷却剂水位（BWR）

- 极低水位（BWR）

- 失去厂外电源

- 手动停堆（操作员启动）

表决逻辑：每个参数由四个独立传感器测量，分别位于独立的保护通道中。SCRAM 需要 2-of-4 通道超过设定值。这意味着：

- 单个传感器故障（虚假高读数）不会导致误跳闸

- 任意两个通道超过设定值即触发跳闸

- 单个通道故障（错误读低）后仍剩余三个通道，保持 2-of-3 能力

多样性与专用驱动系统 (DDAS)：现代数字化 RPS 系统配备模拟备份：DDAS，可独立于数字仪控系统启动安全功能。这提供了多样性：数字系统与模拟系统可能因完全不同的原因失效，且任一系统失效不会阻止另一系统执行功能。

2-of-4 与 2-of-3 逻辑

RPS 使用 2-of-4 投票逻辑启动 SCRAM（四个传感器中需两个一致才跳闸）。但各传感器向驱动系统报告时，在每个列内采用 2-of-3 投票逻辑（三路测量中需两路一致才驱动特定安全功能，如 ECCS）。

这些并不是同一件事，理解其中的区别很重要。

最低人员配置

人工监督：思考层

核电站运行要求每班必须有持照人员值守。NRC 10 CFR 50.54(m) 规定了最低人员配置要求。最低限度下，运行班组包括：

反应堆操作员 (RO)：NRC 持照（10 CFR 55）。直接操作反应堆控制、主控制台及安全系统。在功率运行期间必须持续在控制岗位。

高级反应堆操作员 (SRO)：更高级的 NRC 执照。监督 RO。拥有独立启动停堆的权限。在异常事件期间审查并批准 RO 的操作。不得与当班 RO 为同一人。

值班主管 (SS)：持有高级 SRO 执照。负责当班期间电厂运行的总体执行及安全。现场电厂运行的最终决策者。

值班技术顾问 (STA)：后 TMI 要求（NUREG-0737）。每班配备一名持照工程师，专门在异常事件期间提供独立技术支持：不参与控制操作，专注于事件诊断。

为什么需要多人？人在层面上的纵深防御。RO 在压力下专注于执行程序，可能忽略全局。SRO 提供独立监督。STA 提供独立技术分析。值班主管保持态势感知。单一的人因认知失误不会导致电厂无法安全控制。

人因绩效工具

降低人为失误：系统化工具

核工业已量化不同任务类型的人为失误率。在压力下进行复杂决策的失误率可能超过 1/10。行业针对关键任务的目标失误率是 1/1000 或更低，并通过系统化的人因绩效工具实现这一目标。

作业前简报：在执行任何重要任务前，简报需涵盖：任务目标、危险、预期条件、验证完成的步骤、停止条件（若发生 X，立即停止并呼叫主管）。简报时长 5-15 分钟，可显著降低任务执行失误。

STAR（停止、思考、行动、回顾）：针对每项关键操作的自检技术。停止：在操作前暂停；思考：我即将做什么？这样做是否正确？行动：执行操作；回顾：结果是否符合预期？这两秒的停顿可捕捉换位错误、误选阀门及认知捷径。

三向沟通：适用于所有与安全相关的口头指令：（1）发起人陈述指令：“将阀门 HV-233 切换至开启位置。”（2）接收人原样复述：“将阀门 HV-233 切换至开启位置。”（3）发起人确认：“正确。”若此环节未捕捉到沟通错误，则属于异常情况：需双方同时误听或误记。

双人完整性：对于某些高后果操作（安全相关、放射源操作），必须有两名持证人员在场并相互验证对方的操作。任何人都不能单独执行敏感操作：第二个人必须在场并确认每一步。

疲劳管理：NRC 10 CFR 26 规定了限制：最长工作日 16 小时，返回岗位前至少休息 8 小时，每周最长 54 小时，加班时每周最长 72 小时。疲劳对决策能力的损害与醉酒相当：这些限制不是生产力建议，而是安全要求。

应急运行规程

在三哩岛事故（1979 年）之前，核电站使用事件型应急规程：如果发生 X 事件，则执行规程 X。操作员必须先正确识别事件，然后才能采取行动。

在三哩岛（TMI），操作员收到了相互矛盾的指示。泄压阀卡在开启位置：这是一次小破口失水事故（LOCA），但操作员错误判断了事件并执行了错误的程序。等到正确诊断做出时，堆芯已发生严重损坏。

三哩岛事故后，行业开发了基于症状的应急操作规程（EOPs）。操作员不再采用“识别事件、选择程序”的方式，而是遵循：“观察症状，针对这些症状采取保护措施，而不管你认为事件是什么。”

基于症状的进入条件关键在于：反应堆冷却剂水位、压力或温度出现任何非预期的变化，无论原因如何，都会触发相同的堆芯冷却验证序列。

ALARA：合理可行尽量低

辐射防护工程

ALARA：合理可行尽量低：它不仅仅是一个剂量限值，而是一种理念：剂量应在实际可行的范围内尽量降低，而不仅仅是保持在法定限值以下。NRC 将 ALARA 作为监管要求（10 CFR 20.1101），而非仅作为良好实践。

外照射剂量管理：三种经典控制措施：

- 时间：将辐射场中的停留时间减半，剂量也随之减半。预先规划的工作流程可最大限度减少在高剂量区域的非必要停留时间。

- 距离：剂量率遵循平方反比定律。与点源的距离增加一倍，剂量率降至原来的四分之一。在六英尺处工作而非三英尺处，可将剂量降低75%。

- 屏蔽：铅、混凝土、水和聚乙烯可衰减不同类型的辐射。半值层（HVL）是指将辐射强度减半所需的厚度。典型γ射线的铅HVL约为1 cm，混凝土HVL约为6 cm。经过十个HVL（10 TVL = 十分之一值层）后，强度降至原来的1/1,000。

内照射剂量管理：

- 进入体内的放射性物质在衰变或排出前会持续对器官进行照射

- 摄入途径：吸入（气溶胶、气体）、食入（受污染的食物/水）、皮肤吸收（较少见）

- 导出空气浓度（DAC）：指某种放射性核素在空气中的浓度，若每年吸入2,000小时，将达到职业剂量限值。呼吸器和负压围挡可防止吸入照射。

- 年摄入量限值（ALI）：导致职业剂量限值的总摄入量（吸入 + 食入）

职业剂量限值（10 CFR 20）：

- 每年全身有效剂量当量 5 rem（50 mSv）

- 每季度 3 rem（30 mSv）

- 眼晶状体每年 15 rem（150 mSv）

- 皮肤或四肢每年 50 rem（500 mSv）

- ALARA 规划剂量约束：每年 2 rem（具体电厂行政限值通常更低）

污染控制：

- 辐射控制区（RCA）实行出入管控，出口处进行表面污染监测

- 踏脚垫：RCA出口处铺设纸质或塑料踏脚垫，在此更换鞋套以防止污染扩散

- 全身计数：当在可能发生内照射污染的区域工作后，通过全身γ计数可检测体内摄入情况

- 生物分析程序：通过尿样和粪样分析，定量评估特定核素造成的内照射剂量

ALARA 在实践中的应用

一名辐射工作人员必须更换高辐射区域内的阀门。阀门位置的剂量率是 500 mrem/小时。该工作需要 30 分钟完成。工人本年度已累积剂量为 1,200 mrem，电厂管理限值为 2,000 mrem/年。

运用 ALARA 原则及三项控制措施，评估该工作是否可以进行，并至少提出两项具体的降低剂量措施。

三哩岛（1979）

三哩岛 2 号机组：1979 年 3 月 28 日

TMI 不是设计失败，而是纵深防御在人员和程序层面的失效。

发生了什么：

- 汽轮机跳闸引发反应堆 SCRAM（自动动作：正常执行）

- 压力释放阀（PORV）开启（正确）但未能关闭（设备故障）

- 控制室指示器仅显示阀门已收到关闭信号，而未显示阀门实际已关闭

- 冷却剂通过卡住的PORV泄漏，反应堆内压力和温度下降

- 运行人员将症状误判为冷却剂过多，并减少了应急冷却注入——这与实际所需的操作完全相反

- 反应堆堆芯部分裸露超过两小时

- 约一半堆芯熔化

安全壳的作用： 安全壳发挥了作用。尽管堆芯严重损坏且安全壳内积聚了氢气，但安全壳结构仍基本保留了全部裂变产物。场外剂量后果轻微：未对公众造成辐射健康影响。

TMI 后改进（NUREG-0737）：

- 基于症状的 EOP（取代基于事件的 EOP）

- 每班配备 Shift Technical Advisor

- NRC 认证的全范围模拟机用于机组培训

- 事故后监测仪表（PAM）：直接堆芯冷却指示器、交流独立电源的合格显示面板

- 修订的控制室设计标准（NUREG-0700）

- 改进的操纵员执照考试要求

切尔诺贝利（1986）

切尔诺贝利4号机组：1986年4月26日

切尔诺贝利事故与三哩岛事故性质不同：它主要是由设计缺陷加上人为故意旁通安全系统共同导致的。

事故经过：

- 进行电压稳定性试验时，需要将反应堆功率降至很低（约200 MW，而额定功率为3200 MW）

- 在低功率下，RBMK堆型具有正的空泡系数：冷却剂中的蒸汽泡会增加反应性

- 控制棒存在设计缺陷：石墨尖端在插入初期会排开水，导致中子吸收段进入堆芯前反而先引起反应性上升

- 测试被推迟；夜班人员未接受过相关培训

- 为进行测试，多个安全系统被有意关闭

- 按下紧急停堆按钮（AZ-5）后，石墨控制棒末端反而引发了反应性激增，而非实现预期的紧急停堆

- 功率在数秒内飙升至 30,000 MW，约为额定功率的 10 倍

- 燃料与冷却剂瞬间汽化，产生蒸汽爆炸，摧毁了反应堆

- 石墨火灾持续燃烧 10 天，裂变产物扩散至整个欧洲

无安全壳：RBMK 反应堆没有完整的安全壳建筑。反应堆位于大型工业厂房内，不具备承压能力。反应堆被摧毁后，没有最后的屏障。

切尔诺贝利事故后的改进：

- RBMK 堆型设计改进：消除低功率下的正空泡系数，重新设计控制棒末端，增加额外中子吸收体

- 加强国际核安全公约

- IAEA 正式提出核安全文化概念（INSAG-7）

- 西方监管机构强调安全壳为不可妥协的要求

三次事故，三条教训

你现在已经了解三大民用核事故：TMI（1979）、切尔诺贝利（1986）和福岛（2011）。每起事故都揭示了纵深防御不同层级的失效。

量化风险

PRA：从“足够安全”到“究竟有多安全？”

确定性安全分析认为：设计电厂，使其能够承受这些特定事故。而概率风险评价（PRA）则提出不同的问题：考虑到所有可能出错的方式，它们实际发生的概率是多少？

堆芯损伤频率（CDF）：反应堆堆芯在任意给定年份内发生严重损伤的概率。NRC 的安全目标：CDF < 1×10⁻⁴ / 堆·年（每 10 000 堆·年一次）。现代电厂通常可达到 CDF < 1×10⁻⁵（每 100 000 堆·年一次）。

早期大量释放频率（LERF）：在完成疏散前发生大量放射性物质早期释放到环境的概率。NRC 安全目标：LERF < 1×10⁻⁵ / 堆·年。

故障树：显示导致顶事件（如“ECCS 无法向堆芯供水”）的各组件失效组合的图形逻辑图。使用 AND 门（所有失效均需发生）和 OR 门（任一失效即可触发）。AND 门降低概率（需多次同时失效），OR 门提高概率。

事件树：从起始事件（如“大破口 LOCA 发生”）开始，追踪安全系统成功或失效时的后果的图形图。每条分支代表安全功能的成功或失效。终端节点为事故序列：安全停堆、堆芯损伤、大量释放。

重要度度量：PRA 识别哪些组件和系统对风险贡献最大。

- Fussel-Vesely (FV) 重要度：组件失效对 CDF 的贡献比例。高 FV 表示该组件非常重要。

- 风险成就值 (RAW)：若该组件失效，CDF 增加的程度。高 RAW 表示该组件不得长时间退出运行。

RAW 决定维护和试验计划：高 RAW 组件需频繁试验且允许停运时间短。

PRA 与维修计划

某核电站有三台应急柴油发电机（A、B、C）。PRA 分析显示：

- 三台均可运行时的堆芯损伤频率（CDF）：2×10⁻⁵ /年

- 柴油机 A 停运检修时的 CDF：8×10⁻⁵ /年（增加 4 倍）

- 柴油机 A 和 B 同时停运时的 CDF：4×10⁻³ /年（增加 200 倍）

维修团队计划将柴油机 A 和 B 同时停运，进行为期 30 天的大修。

乏燃料：长期义务

乏燃料：主动与被动管理

燃料从反应堆中取出时，已运行 3–5 年，因衰变热而具有极强的放射性和高温。衰变热曲线同样适用：初始功率为额定功率的 7%，随后在数年内逐渐下降。

乏燃料水池（SFP）：燃料组件取出后立即被放入乏燃料水池——一个通常深约 40 英尺、紧邻反应堆厂房的充水池。水同时起到冷却和屏蔽作用（水层吸收辐射，使池面工作人员接受的剂量较低）。

干式储存罐装载前的最短冷却时间：压水堆燃料约需 5 年。燃料必须冷却至一定程度，使干式储存罐内的被动空气冷却能够处理剩余衰变热，无需依赖水。

锆合金火灾风险：若乏燃料组件失去水覆盖，锆合金包壳在高温下会与空气发生氧化。与蒸汽-锆合金反应产生氢气不同，红热温度下的空气-锆合金氧化可引发自持的放热反应，即锆合金火灾。福岛 4 号机组的乏燃料水池曾接近可能发生此类火灾的温度。

福岛后乏燃料池要求（NRC 指令 EA-12-051）：

- 可靠的乏燃料池水位和温度仪表

- 能够从多种来源向乏燃料池补充水

- 在长期失电情况下维持或恢复乏燃料池冷却的策略

干式贮存：乏燃料在池中存放 5 年以上后，转入干式贮存容器：焊接钢制罐体，外包混凝土或高密度聚乙烯屏蔽层。冷却完全被动：通过外壳通风口进行自然空气对流，无需电力。设计寿命：100 年以上。目前美国干式贮存的乏燃料已超过 90,000 公吨重金属。

高放射性废物处置：乏燃料被归类为高放射性核废物。美国法律（《核废料政策法》）指定内华达州尤卡山为永久储存库，但因政治反对而尚未启用。NRC 要求储存库提供 10,000 年的包容能力（EPA 标准：10,000 年后剂量需满足 100 万年标准）。深地质处置以岩层本身作为主要屏障，并辅以工程屏障（玻璃固化、金属罐、膨润土黏土）作为附加防护层。

低放射性废物（LLW）：受污染的衣物、工具、滤芯、树脂。NRC 分为三类：

- A 类：放射性最低、同位素半衰期最短。采用浅地层掩埋，需满足 100 年隔离要求

- B 类：中等放射性。浅地层掩埋，需满足 300 年隔离要求

- C 类：放射性较高、同位素半衰期较长。需满足 500 年隔离要求；近地表处置需配备更强的工程屏障

体积缩减技术（焚烧、压实、熔融）为强制要求，以最大限度减少处置空间

干式贮存罐安全论证

一位批评者认为干式贮存罐不安全，因为贮存罐没有主动冷却系统、没有电源连接，且露天放置在混凝土垫上。一位核工程师回应称，干式贮存罐实际上可能比乏燃料水池更安全。

纵深防御：全景图

核安全工程：一门系统学科

您已学习核安全工程的每一层。现在请退一步，审视整个系统：

物理屏障（燃料基质、包壳、压力容器、安全壳）是被动的：无需任何动作即可发挥作用。它们是基础。

安全系统（ECCS、RPS、EDG、DDAS）是主动的，并配有被动后备（蓄能器、重力水箱、蓄电池）。每项功能有三列独立系统。每列均具备100%能力。主动与被动方式形成多样性。

仪表（RPS、ECCS 动作、PAM）通过 2-of-4 表决逻辑监测数十个参数：既能抵抗误触发，也能抵抗可能阻止触发动作的传感器故障。

程序（基于症状的 EOP）引导操作员执行保护动作，而无需正确诊断。TMI 事故后制定。至关重要。

人因（人员配置、培训、人因绩效工具、疲劳限制）降低人因失效概率。TMI 事故后要求设置 STA。模拟机培训。作业前简报。STAR。三方沟通。

管理与安全文化确保安全不会为效率而牺牲。切尔诺贝利事故后 INSAG-7。切尔诺贝利的教训是：被管理层禁用的安全系统等于不存在的安全系统。

监管（NRC 10 CFR 50、IAEA 标准、定期检查）在最高层提供独立监督。一个不进行检查的监管机构就是不存在的监管机构。

三次重大事故揭示出纵深防御的失效并非源于单一的戏剧性故障，而是源于多层同时出现的小故障、错误假设和裕量不足。安全论证的强度仅取决于其最薄弱的同时组合。

最终整合

最终问题：最难的一题

一项新提出的反应堆设计声称其安全程度极高，因此只需单列 ECCS（而非三列）、无需应急柴油机（仅靠非能动冷却），并采用简化的人员配置——每班仅需两名操作员而非四名。

设计师认为：“被动冷却意味着不需要电力，因此柴油机是不必要的。反应堆因物理原理而不会熔毁，因此简化人员配置是合理的。”