定义你的任务

第1节：任务定义

每一种反应堆设计都始于一个任务。该任务驱动后续所有决策。

功率输出 决定了反应堆尺寸、燃料装量和冷却剂流量要求。一座 100 MWe 的小型模块化反应堆（SMR）与一座 1,200 MWe 的压水堆在工程约束上存在很大差异。

选址 决定了厂址标准、冷却水源、电网接入、应急计划和抗震设计基准。内陆河岸厂址使用河水冷却，必须考虑洪水风险；沿海厂址使用海水冷却，必须考虑海啸和风暴潮；偏远岛屿或离网厂址可能完全不接入国家电网。

并网运行与孤立微电网 会改变负荷跟踪要求的处理方式，以及电网故障时（厂用电全停风险）的应对措施。

设计寿命 影响材料疲劳限值、检查间隔、许可证续期要求和退役成本储备。美国核管会（NRC）目前将核电厂许可证有效期定为 40 年，可续期 20 年。部分设计目标寿命已达 80 年。

典型任务概况：

- 300 MWe SMR，偏远海岛，孤立电网，60 年寿命

- 1,100 MWe PWR，内陆河畔，国家电网，60 年寿命

- 1,600 MWe EPR，沿海厂址，国家电网，60 年寿命

- 2 × 77 MWe NuScale SMR 阵列，内陆厂址，区域电网，40 年寿命

您的任务陈述

定义反应堆的任务。这将成为后续所有设计决策的基础。

Reactor Type Trade-Off Analysis

Section 2: Reactor Type Selection

Five major commercial reactor types are in serious consideration today. Each has a different physics basis, fuel cycle, safety profile, & maturity level. You must choose one & defend it.

Pressurized Water Reactor (PWR)

The most common reactor type worldwide (about 70% of operating plants). Light water (H₂O) serves as both coolant and moderator. The primary loop runs at ~155 bar / 325°C: high pressure keeps water liquid. A steam generator transfers heat to a secondary loop, which drives the turbine. Radioactive water stays in the primary loop.

优点：数十年的运行经验、强负空泡系数（失水导致反应性下降）、成熟的安全记录、庞大的工业供应链。

缺点：高运行压力（需厚壁压力容器和重载泵）、双回路复杂性、失水事故（LOCA）需主动 ECCS 响应。

沸水堆（BWR）

水在反应堆压力容器内沸腾，蒸汽直接进入汽轮机。比 PWR 更简单：无需蒸汽发生器。

优点：运行压力低于 PWR、单回路设计更简单、直接循环效率更高。

缺点：放射性蒸汽进入汽轮机（汽轮机厂房为辐射区）、ECCS 需多重注入系统、部分功率水平下略呈正空泡系数需精心设计。

CANDU（加拿大重水铀反应堆）

使用重水（D₂O）作为慢化剂和冷却剂。可使用天然铀燃料（无需浓缩）。独特特点：在线换料：可在不停堆的情况下更换燃料通道。

优点：无需浓缩（燃料成本优势），在线换料实现极高的容量因子，重水慢化剂支持灵活的燃料循环。

缺点：重水生产成本高（约1000美元/kg），某些工况下空泡系数可能略为正值，需要精心设计安全系统，占地面积较大。

熔盐堆（MSR）

燃料溶解在熔融的氟盐或氯盐中。没有固体燃料可熔化：若冷却失效，盐会凝固或通过被动冻结塞排入安全容器。可采用钍燃料循环。

优点：可“走开即安全”（被动排盐使堆芯熔化在物理上不可能），在大气压下运行（无失水事故风险），在线换料，钍燃料循环产生极少的长寿命核废料。

缺点：材料挑战（结构材料必须在高温、腐蚀性、放射性盐环境中运行数十年）、商业化前技术（尚无商用 MSR 运行）、氟盐中氚的产生是监管难题。

小型模块化反应堆（SMR）：NuScale/Rolls-Royce 类型

工厂制造的 PWR 或一体化 PWR 模块，通常每台 50-300 MWe。被动安全依赖自然循环，无需泵。多模块可组合实现规模化。

优点：工厂质量控制、被动安全系统（无需泵、无需交流电源冷却）、容量可扩展、建设周期短。

缺点：单位千瓦资本成本高于大型电站，大多数设计仍处于商业化前或刚进入运行阶段（NuScale VOYGR 于 2022 年获批但 2023 年项目取消），供应链尚未大规模建立。

任何反应堆类型都需面对的关键安全物理问题：

如果冷却剂温度升高或冷却剂丢失会发生什么？具有负温度系数和负空泡系数的反应堆会自动降低功率：这是一种自我修正、固有安全的响应。具有正空泡系数（冷却剂丢失时功率反而上升）的反应堆需要主动系统才能安全停堆。这正是切尔诺贝利 RBMK 反应堆如此危险的原因。

选择你的反应堆类型

在做出决定前，请先查看上方的反应堆类型对比图。

燃料设计参数

第 3 节：燃料设计

燃料设计决定了能获得多少能量、燃料能持续多久，以及事故中会发生什么。每个参数都与其他参数相互作用。

燃料类型：

- UO₂（二氧化铀）： 全球标准燃料。陶瓷芯块，熔点高（约2850°C），化学性质稳定，特性已被充分研究。轻微缺点：热导率较低，热量会在芯块中心积聚。

- MOX（混合氧化物燃料）： UO₂ 与 PuO₂ 的混合物。可燃烧武器级钚或后处理乏燃料中的钚。熔点略低于 UO₂，需要获得许可的 MOX 燃料制造设施。

- TRISO（三层各向同性燃料）： 由 UO₂ 或 UCO 燃料微球外包覆多层陶瓷涂层而成。每个颗粒本身即为微型包容容器。用于高温气冷堆及某些先进堆型。极其坚固：已在极高温度下测试而无放射性释放。

富集度：

- 天然铀（0.7% U-235）： 用于 CANDU 堆。无需富集成本，但需使用重水慢化剂。

- 低浓铀（LEU）3-5%： 压水堆（PWR）和沸水堆（BWR）燃料的标准燃料。U-235 富集度为 3-5%。

- 高富集度低浓铀（HALEU）5-20%： 用于许多小型模块化反应堆（SMR）和先进反应堆设计。更高的富集度可实现更小、更紧凑的堆芯和更长的燃料循环。因富集度较高，需要额外的保障措施。

- 高浓铀（HEU）>20%： 商用动力堆中禁止使用。

包壳材料：

- 锆合金-4（Zircaloy-4）： 全球标准包壳材料。中子吸收截面低，在约 400°C 以下具有良好的力学性能。主要弱点：温度超过约 1200°C 时会与蒸汽反应生成氢气（Zr + 2H₂O → ZrO₂ + 2H₂）。福岛事故中的氢气即来源于此。

- M5（锆-铌合金）： 相比 Zircaloy-4，具有更好的耐腐蚀性能，适用于高燃耗燃料。

- 碳化硅/碳化硅复合材料（SiC/SiC composite）： 先进的事故容错燃料（ATF）包壳材料。耐高温性能显著提升，在蒸汽中不会产生氢气。目前仍在积极开发中，尚未广泛投入商业使用。

[BLOCK_TYPE SECTION/STEP]

燃耗目标： [BLOCK_TYPE SECTION/STEP]

标准轻水堆燃料在卸出前可达到约 45–50 GWd/tHM（每公吨重金属的千兆瓦·天）。高性能燃料可达 65–70 GWd/tHM。某些先进设计的目标是 100+ GWd/tHM，以延长换料周期。更高的燃耗意味着更少的换料停堆，但需要更好的包壳性能和更高的富集度。 [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

可燃吸收体： [BLOCK_TYPE SECTION/STEP]

新燃料反应性很高：如果一次装满整个堆芯，反应性会过高。可燃吸收体（将氧化钆混入燃料芯块，或采用 IFBA：整体式燃料可燃吸收体，即一层薄的 ZrB₂ 涂层）可在燃料寿期初期吸收多余中子，并随燃料消耗而逐渐燃耗，从而使整个燃料循环期间的功率分布更加平坦。 [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

堆芯装料方案：

- 内外换料： 新燃料装在堆芯中心，随着燃耗逐渐向外移动。方案简单，但会在中心产生较高的功率峰值。 [BLOCK_TYPE CONTENT fuel_design/fuel_content]

- 低泄漏换料： 新燃料布置在堆芯外围，乏燃料置于中心。可减少中子泄漏（提高燃料经济性），并降低反应堆压力容器上的中子注量。现代压水堆的标准做法。 [BLOCK_TYPE TITLE fuel_design/fuel_question]

指定您的燃料设计 [BLOCK_TYPE CONTENT fuel_design/fuel_question]

请考虑您的燃料选择如何与反应堆类型和任务相互作用。CANDU 设计者无需进行燃料富集。SMR 设计者可能会选用 HALEU 以实现紧凑堆芯。PWR 设计者必须解决包壳材料及氢气产生风险问题。 [BLOCK_TYPE QUESTION fuel_design/fuel_question]

冷却剂与慢化剂设计

第4节：冷却剂与慢化剂相容性

你的冷却剂、慢化剂、燃料和包壳必须在化学和物理上相容。任何不匹配都会导致安全问题或设计无法实现。

轻水（H₂O）：PWR、BWR、SMR：

单位体积内最佳慢化剂，同时也是优秀的冷却剂。运行压力较高（PWR：约155 bar，BWR：约70 bar）。主要风险：在高温下会迅速闪蒸为蒸汽（同时失去慢化剂和冷却剂，即LOCA事故情景）。化学控制至关重要：pH值、溶解氧、锌注入均会影响结构材料的腐蚀速率。锆合金包壳在正常运行温度（约400°C）下相容。

重水（D₂O）：CANDU：

慢化性能优异，中子吸收远低于H₂O，因此CANDU可使用天然铀燃料。在压力管内运行压力约100 bar。重水生产成本约1000美元/kg（通过Girdler-Sulfide或其他同位素分离工艺）。运行中D + n → T反应会产生氚（β发射体），需严格管理。化学控制与轻水类似，但需考虑不同氧同位素的影响。

石墨：RBMK、HTGR：

RBMK采用石墨慢化剂配合水冷却剂：正空泡系数导致组合危险。HTGR（高温气冷堆）采用石墨慢化剂配合氦冷却剂：安全组合，因气体冷却剂下石墨不会产生正空泡系数。石墨在空气中达到极高温度时存在火灾风险：1957年温德斯克尔火灾即与此相关。

熔盐：MSR：

熔盐既是燃料载体也是冷却剂。除热谱MSR可能需要石墨外，无需单独的慢化剂。在常压下运行：无高压失水事故风险。主要挑战：氟盐对结构金属具有极强的腐蚀性，氯盐在中子通量下可能被活化。材料必须能承受数十年的辐照。冻结塞：由小风扇冷却的冻结盐塞——若失去电源即熔化，使燃料排入次临界几何形状。这是被动安全特性。

钠：快堆（SFR）：

液态钠是快堆的优秀冷却剂。热导率极高，常压运行，自然循环效果良好。主要危险：钠暴露于空气时剧烈燃烧，与水反应剧烈爆炸。所有钠系统均需双壁换热器和惰性气氛保护。钠火灾曾在文殊（日本）和超凤凰（法国）造成重大事故。

相容性矩阵（所有部件必须相互兼容）：

- 冷却剂的化学性质在辐照条件下不得腐蚀包壳

- 慢化剂必须与冷却剂相容（重水与轻水相容；石墨与水则会产生 RBMK 的正空泡系数问题）

- 燃料在冷却剂中必须化学稳定（UO₂ 在水中：良好；UF₄ 在氟盐中：良好；UO₂ 在钠中：良好。但金属铀在水中会腐蚀。）

- 运行温度和压力必须在材料鉴定限值范围内

论证你的冷却剂与慢化剂

你的堆型决定了主冷却剂。现在请论证整个系统（冷却剂、慢化剂、燃料和包壳）的相容性，并指出主要的化学或热工风险。

三个独立冷却回路

第 5a 节：三重冗余冷却系统

为什么需要三套冷却回路？

福岛核电站曾配备备用冷却系统，但因所有备份系统共享同一脆弱点而失效：它们都需要交流电源，而摧毁电网电源的海啸同时也摧毁了柴油发电机。单一故障级联导致完全失去冷却。

三重冗余并非简单复制三套相同系统。真正的冗余需要在三个维度上实现独立性：

- 物理隔离： 不同建筑、不同象限、不同高程。一个象限的洪水不会影响另一个象限。

- 不同的电源： 不同的电气母线、不同的备用电源。任一母线故障都不会导致另一冷却环路失效。

- 不同的启动逻辑： 一个环路在高温时启动，另一个在低压时启动，另一个在完全失电时启动。不同失效模式触发不同环路。

现代压水堆（PWR）的三条标准冷却环路：

环路 1：正常停堆冷却（SCS / 余热排出系统，RHR）：

有源系统。泵驱动冷却剂流经热交换器，在停堆后带走衰变热。由正常交流电源或应急交流电源供电。在降压后低压运行。典型启动设定值：反应堆冷却剂系统（RCS）温度降至约 177°C（350°F）以下且压力低于约 28 bar（400 psi）时启动。这是计划停堆期间的主要衰变热排出系统。

回路 2：应急堆芯冷却系统 (ECCS)：高压与低压注入：

主动系统。响应失水事故。高压注入 (HPI) 针对小破口触发：维持反应堆冷却剂系统 (RCS) 压力，注入含硼水。安注箱注入：大量含硼水储存在氮气加压 (~40 bar) 的罐中，当 RCS 压力降至安注箱压力以下时被动释放（无需泵、无需电源）。低压注入 (LPI) 在 RCS 完全降压后接管。硼浓度至关重要：足以在无需控制棒的情况下实现并维持冷停堆。

回路 3：非能动堆芯冷却（重力驱动或自然循环）：

非能动系统：无需泵、无需交流电源、无需操作员干预。两种方式：

- AP1000 型（西屋公司）： 反应堆上方的大型水箱（堆芯补水箱、非能动余热排出热交换器）。重力驱动。事故工况下，自然循环将衰变热从一回路带至水箱，水沸腾后蒸汽在钢制安全壳内壁冷凝，并由外部空气冷却。完全非能动。

- NuScale 型： 反应堆模块浸没在水池中。主系统内自然循环将热量传递至水池。主系统及安全系统均无泵。

- PRHR HX（非能动余热排出热交换器）： 浸没在大型充水水箱（安全壳内换料水储存箱，IRWST）中。自然循环通过 PRHR HX 排出衰变热，无需任何泵。可在 72 小时内无需操作员干预。

独立性验证：必须满足的条件：

- 1、2、3 号环路必须分别从不同的电气母线（1A、1B、1C 或 I、II、III 级）取电

- 3 号环路必须能在完全失去交流电源的情况下运行

- 每个环路必须位于不同的物理分区（通过屏障或距离实现隔离）

- 共因失效：如福岛核事故中的海啸，必须进行分析并加以预防

共因失效分析：

单一故障可能使所有三个回路失效？您必须识别该故障，并说明您的设计如何防止它。

- 地震共因失效：所有三个回路必须置于符合场地SSE设计的抗震I类建筑物内

- 洪水共因失效：各回路置于不同高程或防洪隔间内

- 火灾共因失效：采用3小时耐火屏障、独立电缆路径、冗余物理分离

- 最终热阱共因失效：若三个回路均向同一最终热阱（河流、海洋）排热，则必须分析该热阱丧失的情况

设计回路1：正常停堆冷却

设计您的第一个冷却回路：正常停堆冷却/RHR系统。

设计回路 2：ECCS 高压注入

回路 2 是您的应急堆芯冷却系统：由事故触发，而非正常运行。

设计3号环路：非能动堆芯冷却

3号环路必须在无交流电源且无需操作员干预的情况下运行。它是最后一道防线：防止福岛事故再次发生的系统。

共因失效分析

你有三个冷却回路。现在证明它们确实是相互独立的。

三种独立的方式停止反应

Section 5b: 三重冗余停堆系统

停止链式反应需要的不仅仅是控制棒。一座现代安全反应堆拥有三套完全独立的停堆机制，任何一套都足以实现并维持冷停堆。

为什么不只用控制棒？

控制棒未能足够快地关闭切尔诺贝利反应堆：RBMK 堆型具有正的紧急停堆系数：插入带石墨尖端的控制棒最初会引起短暂的功率尖峰，然后才实现停堆。在三哩岛，控制棒正确插入，但操作员对冷却剂液位的误判仍导致堆芯裸露。教训：任何单一系统都不应作为唯一的停堆手段。

停堆系统 1：控制棒：

主要停堆系统。含有中子吸收材料（碳化硼 B₄C、铪或银-铟-镉合金）的控制棒被插入堆芯。控制棒通过重力或弹簧插入（SCRAM）：当失去电源或收到安全信号时，保持控制棒的电磁铁断电，控制棒落入堆芯。SCRAM 时间：通常控制棒在 2-4 秒内完全插入。

设计要求：(1) 控制棒价值：所有控制棒共同必须能够在任何运行工况下停闭反应堆，即使最高价值的控制棒卡在抽出位置。这就是“卡棒准则”。(2) SCRAM 时间：在启动试验中测量并验证。(3) 试验频率：必须按规定周期对控制棒进行动作试验（部分抽出后再插入），以验证其可运行性。

停堆系统 2：紧急加硼：

向反应堆冷却剂系统注入含硼水。硼-10 是优秀的中子吸收剂。足够的硼注入可在所有控制棒均卡在抽出位置时仍实现冷停堆。两种方式：(1) 立管注入：硼酸储罐通过泵和隔离阀与 RCS 相连。(2) ECCS 硼注入：ECCS 蓄水箱中的水已含硼；ECCS 注入自动提供硼。所有控制棒卡住时实现冷停堆所需的硼浓度已在安<|eos|>

停堆系统 3：被动吸收体排放（基于物理原理，无需电源）：

一种采用不同物理原理的多样化被动停堆机制。示例：

- 含硼球注入（CANDU 型）： 吸收材料球在失电时依靠重力落入独立的慢化剂隔室。

- 高位硼酸罐被动注入： 高位浓缩硼酸罐在失电时通过失效开阀门依靠重力排入反应堆冷却剂系统（RCS）。无需泵或信号。

- 熔盐堆排至次临界几何： 对于熔盐堆，冻结塞在冷却电源丧失时熔化，将燃料排入物理上无法维持链式反应的几何结构（排料罐内设计为次临界几何）。

- 可燃毒物棒弹簧弹出： 在某些设计中，辅助停堆棒可在保持机构失效时通过弹簧向上弹出进入堆芯。

测试与监视要求：

每个停堆系统必须按定期计划独立进行测试，测试结果需记录并上报 NRC。NRC 检查发现停堆系统不可用时属于可报告事件。测试必须证明每个系统单独即可实现冷停堆。

设计你的三个停堆系统

为你的反应堆设计全部三个停堆系统。

三个独立电源 [BLOCK_TYPE SECTION/STEP]

第 5c 节：三重冗余电源

[BLOCK_TYPE SECTION/STEP]

福岛的核心教训：全厂断电（station blackout）：交流电源完全丧失：绝不能导致堆芯损伤。美国核管会（NRC）在福岛事故后提出的要求（FLEX）规定，核电站必须证明能够利用多样化且独立的电源应对长时间全厂断电。 [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

电源 1：厂外电网： [BLOCK_TYPE SECTION/STEP]

正常供电电源。来自不同变电站（不同电网回路）的两条或更多条独立输电线路。变压器保护：突波压力继电器、差动继电器、闭锁继电器：防止故障变压器连锁影响其他母线。若电站主发电机跳闸，厂外电源可在数秒内通过辅助变压器自动接管。 [BLOCK_TYPE SECTION/STEP]

弱点：任何损坏电网的事件（恶劣天气、地震、电网不稳定）都可能切断厂外电源。厂外电源是最可靠的正常电源，但却是最不可靠的应急电源。 [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

电源 2：应急柴油发电机（EDG）：

主要应急交流电源。NRC 最低要求：每台机组配备 2 台 EDG，每台 EDG 能承担一个安全系列的全部应急负荷。启动要求：EDG 必须在收到启动信号后 10 秒内达到额定电压和频率（NRC 要求）。燃油储备：NRC 最低要求为满负荷 7 天燃油量。福岛后最佳实践：设计为 14 天燃油量，并签订燃油补给合同确保持续供应。

测试：每月负荷试验（全速空载启动）、每季度负荷试验（额定负荷运行）、18 个月耐久试验（满负荷连续运行至规定时长）。

一台典型的 1100 MWe 压水堆通常配备 2–4 台 EDG，每台额定功率约 7,000 至 9,000 kW。

电源 3：站用蓄电池（直流电源，1E 级）：

仪表、控制、应急照明、阀门操作及通信的最终备用电源。直流母线由蓄电池供电，正常运行时蓄电池由交流母线充电。当全部交流电源丧失时，蓄电池独立提供直流电源。

容量设计：每段直流母线必须能在无交流再充电的情况下至少带载 2 小时。现代设计通常按 4–8 小时配置。负荷清单包括：控制棒驱动监测、安全相关仪表、应急照明、应急通信及关键阀门执行机构。

蓄电池更换：按制造商计划，通常 10–20 年更换一次。蓄电池测试：每年进行容量试验，每 18 个月进行放电试验。

FLEX 策略：福岛后便携式设备：

便携式柴油发电机、便携式泵及软管预置于多个地点，并配备多样化通道（并非所有通道均可被同一洪水或火灾阻断）。连接至安全相关母线和冷却系统的接口已预先安装并测试。操作员可在无交流电源情况下部署 FLEX 设备。NRC 要求 FLEX 策略必须应对：全厂断电、最终热阱丧失，以及上述情况的组合。

设计你的三路电源

设计你的完整电源架构。

三路独立监测通道

第 5d 节：三重冗余监测与仪表

仪表与控制（I&C）故障在每一起重大核事故中都起到了诱发或加剧的作用。在三哩岛事故中，操作员被单一指示器（仅显示先导式泄压阀是否收到开启指令，而非其实际开度）所误导，做出导致堆芯失水的决策。在切尔诺贝利事故中，关键仪表在致命试验期间被禁用或提供误导信息。

三个独立测量通道：

现代反应堆将安全仪表分为三个（或四个）独立通道：A、B、C（或 I、II、III、IV）。每个通道使用不同传感器，通过独立电缆槽盒、独立导管敷设，并由独立安全母线供电。

为何采用不同技术？

传感器共因失效：若三个通道均采用同一型号传感器，该型号的系统性缺陷可能导致三通道同时失效或给出相同错误读数。采用不同制造商或不同测量原理可降低此风险。

2-of-3 表决逻辑：

三个通道各自输出安全功能的“是/否”信号（例如“高压，触发 SCRAM”）。当至少 2 个通道一致时，安全动作才会执行。为什么不是 1-of-3？因为单个通道故障就会导致误跳闸（假阳性过多，电厂不可靠）。为什么不是 3-of-3？因为单个通道失效就会阻止 SCRAM 动作（真阳性过少，电厂不安全）。2-of-3 是数学上的最优解：既能抵抗单通道误跳闸，又能抵抗单通道拒动作。

事故后监测：NUREG-0696 1 类变量：

以下变量必须在事故后独立于正常数字控制系统（DCS）进行监测，以便在 DCS 损坏或不可靠时仍能向操作员提供真实数据：

- 反应堆冷却剂系统压力

- 反应堆冷却剂系统温度（热管段、冷管段）

- 反应堆冷却剂系统水位（堆内液位）

- 安全壳压力

- 安全壳辐射水平

- 流出物辐射监测仪（冷却剂、蒸汽、安全壳大气）

环境与抗震鉴定：

所有与安全相关的仪控设备必须通过其在事故中可能遇到的环境条件鉴定：温度最高可达 150°C，湿度最高可达 100%，累积辐射最高可达 10⁷ rad（100 kGy），持续时间为事故期间（数月）。我们称之为 10 CFR 50 附录 B / IEEE 323 环境鉴定。抗震鉴定（IEEE 344）：必须在厂址安全停堆地震（SSE）期间及之后仍能正常工作。

设计您的监测架构

设计您的仪表与控制安全架构。

无需电源或操作员即可工作的安全特性

第 6 节：非能动安全特性

非能动安全特性仅依靠物理规律工作：无需泵、无需电源、无需操作员干预。它们始终处于启用状态，始终在工作，且不会因全厂断电而失效。

负多普勒系数（铀燃料中始终存在）：

随着燃料温度升高，U-238 的共振吸收峰会展宽（多普勒展宽）。更多中子被 U-238 俘获而不会引起裂变。这会自动降低裂变率，因为燃料升温时反应性下降：这是一种自我限制、始终存在的反馈机制。它适用于所有使用铀燃料的反应堆类型。这也是为什么铀反应堆不会像失控的化学爆炸那样失控：物理规律会自动抑制反应。

负的慢化剂温度系数（适用于 LWR）：

在轻水堆中，随着冷却剂/慢化剂温度升高，水密度下降。密度较低的水慢化中子的能力减弱，因此到达热能区（适合裂变）的中子数量减少，反应性自动降低。这解释了为什么压水堆和沸水堆在较宽功率范围内具有固有的自我调节能力。

负的空泡系数（适用于大多数功率运行的 LWR）：

如果冷却剂中产生气泡或冷却剂流失，慢化作用会减弱。在轻水堆中，这会导致反应性下降。这是切尔诺贝利 RBMK 反应堆所缺少的安全特性：其巨大的正空泡系数意味着冷却剂流失反而会增加功率，形成失控的正反馈循环。

被动余热排出：自然循环：

热水密度低于冷水。在一回路中，来自堆芯的热冷却剂自然上升。在 AP1000 等设计中，这种自然循环无需泵即可驱动冷却剂通过非能动余热排出热交换器（PRHR HX）。衰变热仅靠物理规律即可移除。

堆内滞留（IVR）：AP1000 方案：

若严重事故发展至堆芯熔毁，熔融堆芯熔融物（corium）必须保持在反应堆压力容器内。AP1000 设计通过重力将换料水箱（IRWST）中的水引入反应堆腔室。容器外的水带走容器壁的热量，使钢制容器保持完整，防止熔融物泄漏至安全壳底板。这是重大设计创新：以往的轻水堆（LWR）不具备此功能。

堆外堆芯捕集器：EPR 方案：

IVR 的替代方案：若熔融物穿出压力容器，它将落入专门设计的扩展室（堆芯捕集器），该室可使熔融物薄薄铺开，并从上下两侧冷却。EPR（欧洲压水堆）采用此方案。IVR 与堆芯捕集器均针对同一场景：严重事故发展至压力容器破损。

氢气管理：被动自催化复合器 (PARs)：

锆合金与蒸汽反应会产生氢气。氢气在安全壳内积聚。当氢气在空气中的浓度达到 4-75% 时可燃；达到 13-59% 时会发生爆燃。福岛核事故中，氢气爆炸摧毁了 1、3、4 号机组的反应堆厂房。现代安全壳要求进行氢气管理：被动自催化复合器 (PARs) 是含有铂或钯催化剂的装置。氢气和氧气在催化剂表面于室温下结合，无需点火即可生成水蒸气。无需电源、无需风机、无需操作员干预。PARs 布置在安全壳各处，以防止局部积聚。所需数量和布置位置根据最严重氢气源项计算确定。

四道实体屏障：纵深防御：

上图展示了燃料与环境之间的四道实体屏障：

1. 燃料基体 (UO₂ 陶瓷)： 在正常工况下可滞留约 95% 的裂变产物

2. 燃料包壳 (锆合金或 SiC)： 金属屏障，是逸出裂变产物的第一道屏障

3. 反应堆冷却剂压力边界： 厚壁钢制压力容器与管道

4. 安全壳结构： 钢筋混凝土，通常厚 1-1.5 米，设计承受最严重 LOCA 工况下的压力和温度，并能抵御飞机撞击

设计你的非能动安全特性

非能动特性已内置于设计的物理和几何之中：它们无法被关闭。

人因安全层

第 7 节：人因监督设计

每一起重大核事故都涉及人为因素：这并非因为人类不可靠，而是因为人为监督系统设计不当。良好的设计应让正确操作变得容易，让错误操作变得困难。

现场始终保持至少三名合格工作人员（24/7）：

- 反应堆操作员 (RO)： 持有 NRC 许可（10 CFR Part 55）。负责操作反应堆控制系统。必须通过书面考试和基于该电厂特定模拟机的操作测试。许可仅适用于特定电厂，不可转移。

- 高级反应堆操作员 (SRO) / 值班主管： 持有 NRC 许可。负责监督 RO。拥有独立的 SCRAM 权限：可下令紧急停堆，而不受任何其他人员（包括管理层）指令的限制。

- 辐射防护 (RP) 技术员 / 健康物理官员： 监测辐射水平、管理个人剂量计、授权进入控制区、追踪累积剂量。

独立 SCRAM 权限：

值班主管拥有在任何时候根据其专业判断启动紧急停堆的法定权限，无需管理层批准。这是 10 CFR 50.54(x) 规定的监管要求。三哩岛事故的教训是：操作员本应接受过培训并拥有快速识别异常冷却剂流失情景并果断 SCRAM 的权限。然而，他们却因相互矛盾的指示而困惑，试图“修复”症状而非识别根本原因。

双人完整性（TPI）：

特定操作（尤其是燃料操作、某些试验期间的控制棒操作，以及进入某些重要区域）要求两名合格人员在场并相互监督。任何一人均不得单独完成操作。物理控制措施（需同时插入两把钥匙的钥匙开关、联锁装置）强制执行此要求，而非依赖程序合规。TPI 可防止个人失误和蓄意破坏。

值班限制：疲劳管理：

根据 10 CFR 26（值班适应性）：单次值班最长 12 小时。两次值班之间最短休息时间为 8 小时。每周最长工作时间为 54 小时（紧急情况下经管理层批准可达 72 小时）。这些限制的存在是因为睡眠不足会严重损害决策能力，其影响与酒精相当，而核电运行需要持续的警觉性。

培训要求：

- NRC 认证的电厂特定全范围模拟机培训计划

- 初始执照：笔试（通过/不通过，多选题与论述题）+ 操作测试（由 NRC 持照考官进行实操评估）

- 再认证：年度笔试，每两年一次的模拟机操作考试

- 应急演练评估：每季度轮值演练，每年一次与州及县联合的全规模应急响应演习

应急运行规程（EOPs）：

基于症状的程序，经NRC批准。与“如果看到事件X，则执行Y”不同，现代EOP的表述为“如果观察到这些症状（高压+低水位+温度上升），则进入此程序”。这种方法：是在TMI事故后开发的；更具鲁棒性，因为操作员根据观察到的现象做出响应，而不是根据他们认为的原因。 [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

控制室设计：事故后监测独立于DCS： [BLOCK_TYPE SECTION/STEP]

事故后监测仪表必须在控制室中可读，即使电厂数字控制系统（DCS）完全失效。这些是专用硬接线显示：模拟仪表或合格的数字显示，具有独立的电源和信号路径。

设计你的人因监督系统

人因监督是一个安全系统。应以与冷却回路相同的严谨度来设计它。

厂址选择与外部灾害设计

第 8 节：厂址选择与土木设计

厂址决定了核电厂必须抵御的外部灾害。NRC 要求在 FSAR（最终安全分析报告）中进行全面的外部灾害分析。

抗震设计：安全停堆地震（SSE）：

每个厂址都有一个安全停堆地震（SSE）：核电厂在实现并维持安全停堆时所设计承受的最大地震。安全相关构筑物（反应堆厂房、控制楼、ECC<|eos|>

Flooding: Probable Maximum Flood (PMF):

PMF 是基于气象和水文分析得出的可能发生在厂址的最大洪水。厂区标高必须高于 PMF 水位，或设置能抵御 PMF 的防洪屏障（墙体、门、舱口）。福岛事故的关键教训：海堤设计高度仅 5.7 米，而实际海啸高达 15 米。PMF 计算必须保持保守。

外部灾害：飞机撞击、极端风、外部爆炸：

- 飞机撞击：9·11 事件后，NRC 要求大型商用核电厂对飞机撞击进行评估（不一定要求按此设计）。AP1000 和 EPR 等新堆型已在安全壳和控制室设计中考虑了抗飞机撞击能力。

- 极端风/龙卷风：各厂址区域的龙卷风设计基准按 Regulatory Guide 1.76 执行。导弹防护：龙卷风产生的导弹（电线杆、汽车等）不得穿透安全相关结构。

- 外部爆炸：需评估厂址附近化工企业、LNG 终端、管道或运输危险货物的铁路线。

排除区边界 (EAB)：10 CFR 100：

EAB 是指电厂周边的最小半径范围，在此范围内运营商对土地具有控制权。在最严重事故发生后的两小时内，EAB 处的辐射剂量不得超过全身 25 rem（TEDE）。该限值决定了安全壳的设计和厂址边界退距。源项更大的大型电厂需要更大的 EAB。

应急计划区（EPZ）：

核电厂周围设有两个区：

- 烟云照射路径 EPZ： 半径约 10 英里。防护措施包括：疏散、就地掩蔽、碘化钾分发、交通管制方案。

- 食入路径 EPZ： 半径约 50 英里。防护措施包括：限制食品和饮用水消费、监测农作物和乳制品。

EPZ 的大小并不完全由电厂规模决定：NRC 法规对所有商用反应堆均采用固定值（极小型 SMR 可有一定灵活性）。应急计划必须与州和地方政府共同制定并演练。

捍卫你的厂址

现在请说明你的厂址与土建设计选择理由。

NRC许可流程

第9节：许可路径

在美国，未经许可建造反应堆是违法的。NRC根据10 CFR Part 52的许可流程旨在在图纸阶段发现安全问题：即在浇筑混凝土之前。这也是公众、干预方以及NRC技术人员对设计提出质疑并加以改进的机制。

10 CFR Part 52：联合许可证（COL）：

现代主要的许可途径。COL 将建造许可与运行许可合并为单一程序。申请人需证明设计符合 NRC 要求且厂址可接受。NRC 在开工前颁发 COL。建造期间，通过检查、试验、分析和验收准则（ITAAC）验证实际建造内容与获批设计一致。

设计认证 (DC)：

反应堆设计可独立于任何特定厂址获得 NRC 认证。设计认证有效期为 15 年。一旦获得认证，建造 COL 电厂的公用事业公司可引用该 DC，无需重复论证标准设计。AP1000 和 ABWR 均为已认证设计。SMR 供应商（NuScale、GEH BWRX-300、Kairos、TerraPower）正在为其技术申请设计认证。

最终安全分析报告 (FSAR)：17 章：

FSAR 是每份许可申请的核心技术文件。它描述电厂并证明其符合 NRC 的全部要求。主要章节包括：

- 第 1 章：引言与总体描述

- 第2章：厂址特征（地震、洪水、气象、人口）

- 第4章：反应堆（燃料设计、堆芯物理、热工水力）

- 第5章：反应堆冷却剂系统（一回路、压力边界、ECCS）

- 第6章：工程安全设施（安全壳、ECCS、氢气控制）

- 第7章：仪表与控制

- 第8章：电力系统（厂外电源、厂内电源、蓄电池、FLEX）

- 第9章：辅助系统

- 第13章：运行管理（组织、培训、EOP）

- 第15章：事故分析（设计基准事故：失水事故、主蒸汽管道破裂、控制棒弹射等）

- 第16章：技术规范（运行限值与监督要求）

概率风险评价（PRA）：

一种定量安全分析方法，用于计算堆芯损伤和大早期释放的概率。主要有两个关键指标：

- 堆芯损伤频率（CDF）： 每堆年发生堆芯损伤的概率。NRC 目标：< 1×10⁻⁴/堆年。先进堆目标：< 1×10⁻⁵/堆年。

- 大早期释放频率（LERF）： 每堆年在采取保护措施前发生大量放射性物质早期释放的概率。NRC 目标：< 1×10⁻⁵/堆年。

PRA 还能识别最重要的事故序列（CDF 的主要贡献者）以及最重要的系统和部件（重要性度量），从而指导维护、试验和设计改进资源的分配。

ITAAC：检查、测试、分析和验收准则：

对于每个与安全相关的系统和结构，COL 均规定了 ITAAC：必须进行哪些检查、测试或分析，以及验收准则是什么。在 NRC 授权装料前，所有 ITAAC 必须完成并报告。若某项 ITAAC 未通过，电厂在该项 ITAAC 修正并通过前不得启动。

建造与运行前试验：

COL 颁发后，建造工作开始。NRC 根据《检查、测试、分析和验收准则》（ITAAC）对建造过程进行监督。运行前试验用于验证各系统在装料前是否满足设计规范。装料授权要求 NRC 工作人员确认所有 ITAAC 均已满足。

绘制你的许可路径

走通你特定反应堆设计的许可路径。

展示您的完整设计

第 10 节：最终设计评审

您已完成核电站所有主要系统的设计。现在请展示您的完整设计，方式如同首席核能官向 NRC 安全评审委员会汇报。

您的设计必须展示：

完成所有四项安全功能的三重冗余：

1. 冷却：三套回路（主动 RHR、带被动堆芯补水箱的主动 ECCS、被动 PRHR 或堆水池）

2. 停堆：三套系统（控制棒、应急硼化、被动吸收剂排放）

3. 电源：三路电源（厂外电网、应急柴油发电机、站用蓄电池）加 FLEX

4. 监测：三套独立通道（A/B/C），采用 2 取 3 表决，事故后监测

被动安全特性：

- 负多普勒系数（铀燃料中始终存在）

- 反应堆类型的负调节剂/空泡系数

- 被动衰变热导出（自然循环或堆池）

- 严重事故管理（堆内滞留、堆芯捕集器或熔盐堆排入次临界）

- 氢气管理（安全壳内分布式氢气复合器）

人工监督：

- 现场 24/7 三名合格值班人员

- 双人制完整性并物理强制执行

- 合规的轮班限制

- 电厂专用模拟机培训

- 基于症状的应急操作规程 (EOP)

厂址：

- 抗震设计基准（SSE，抗震I类建筑物）

- 防洪措施（可能最大洪水或防洪屏障）

- 厂区边界剂量限值（25 rem TEDE）

- EPZ（10 英里烟羽区、50 英里食入区）

历史测试：

您的设计必须展示如何防止 TMI、Chernobyl 和 Fukushima 的具体失效模式。

- TMI： 改进的事故后监测（直接 RCS 水位）、基于症状的 EOP、受训的操作员

- Chernobyl： 负的空泡系数（无正的停堆效应）、独立的 SCRAM 权限、禁止操作员禁用安全系统

- Fukushima： 被动冷却（无需交流电源）、高置 FLEX 设备、14 天柴油燃料储备、厂址高于 PMF

完整设计评审

这是你的设计答辩。请完整回答：任何遗漏都将被质疑。

您的设计如何防止 TMI、切尔诺贝利和福岛事故 [BLOCK_TYPE CONTENT historical_lessons/history_intro]

第 11 节：防止历史重演

[BLOCK_TYPE CONTENT historical_lessons/history_intro]

三次重大核事故定义了现代反应堆安全要求。您设计的每一套冗余系统都可在其中某次事故中找到对应的历史根源。 [BLOCK_TYPE CONTENT historical_lessons/history_intro]

[BLOCK_TYPE CONTENT historical_lessons/history_intro]

三哩岛（TMI）事故，1979 年，美国宾夕法尼亚州：

一个先导式安全阀（PORV）卡在开启位置，导致一回路冷却剂持续外流数小时。指示灯仅显示阀门已收到“关闭”指令，而非其实际状态。操作员因相互矛盾的指示而困惑，误以为系统过量注水而减小 ECCS 注入量。结果堆芯裸露、过热并发生部分熔化。

教训：(1) 事故后直接监测：操作员必须能看到阀门实际位置、冷却剂实际液位、堆芯实际温度。(2) 基于症状的应急操作规程（EOP）：操作员根据观察到的现象响应，而非推测的原因。(3) 加强操作员对事故识别与响应的培训。

切尔诺贝利，1986 年：苏联乌克兰加盟共和国：

在反应堆处于低功率（不稳定区域）且多个安全系统被停用或旁通的情况下进行安全试验。RBMK 堆型具有很大的正空泡系数：冷却剂沸腾时反应性反而增加。当操作员试图停堆时，石墨尖控制棒引发短暂功率尖峰（正停堆效应）。约 30 000 MW 的功率瞬变在蒸汽爆炸和石墨火灾中摧毁了反应堆。

教训：(1) 商用反应堆不得采用正空泡系数设计。(2) 安全系统在正常运行期间不得被旁通。(3) 独立的 SCRAM 权限：任何试验负责人不得凌驾于值班长安全判断之上。(4) 操作员培训应涵盖反应堆物理，而非仅遵循规程。

福岛第一核电站，2011 年：日本：

一次9.0级地震引发15米海啸，淹没并摧毁了福岛第一核电站的应急柴油发电机。由于失去交流电源且柴油机被毁，1、2、3号机组的衰变热使冷却剂沸腾蒸发。锆合金与蒸汽反应产生的氢气在反应堆厂房内发生爆炸。三堆堆芯在72小时内熔化。 [BLOCK_TYPE CONTENT historical_lessons/history_intro]

教训：(1) 无需电源的非能动冷却；(2) 柴油发电机和蓄电池置于洪水水位以上或采取防洪保护；(3) FLEX便携式设备分散布置在多个易于到达的位置；(4) 可能最大洪水（PMF）设计基准必须保守；(5) 必须针对扩展全厂断电（SBO）进行设计，而非仅进行分析。 [BLOCK_TYPE CONTENT historical_lessons/history_intro]

[BLOCK_TYPE TITLE historical_lessons/history_question]

将你的设计与历史相连 [BLOCK_TYPE CONTENT historical_lessons/history_question]

这是顶点项目的最后一道题。 [BLOCK_TYPE QUESTION historical_lessons/history_question]