4.3.2.9.3.5 设计基准事故的总验收准则应该是无厂区外放射性影响,或仅仅在隔离区外有轻微的放射性影响。轻微放射性影响的定义应该由国家核安全监管部门给出,但一般与非常严格的剂量限值一致,以便不需要厂外应急行动。
4.3.2.9.3.6 详细的验收准则应该包括如下:
- 如果一个事件不出现另外一个独立故障时,则不应该产生后续更严峻的核动力厂工况。因此一个预计运行事件不应该由其本身引发设计基准事故,并且这一事故不应该由其本身引发超设计基准事故;
- 一个事故不应该导致其后需要用来减轻其后果的安全系统功能的丧失;
- 用于事故缓解的系统应该设计成能够承受所分析事故产生的最大载荷、应力和环境条件。这应该由涵盖环境条件(如温度、湿度或化学环境)及核动力厂构筑物和部件所受热载荷和机械载荷的单独分析来评价;
- 对于现有的核动力厂工况,一回路和二回路的压力不应该超过相关设计限值。为研究安全阀和卸压阀失效的影响,可能需要进行额外的超压分析;
- 对每一种类型的假设始发事件,都应该确定为满足总的放射性准则允许燃料包壳破损的数量;
- 在伴有燃料裸露和升温的冷却剂丧失事故中,应该维持燃料棒可冷却的几何形状和结构的完整性;
- 任何事件都不应该引起安全壳内的温度、压力及压差超过安全壳设计基准值。
4.3.3 超设计基准事故和严重事故的考虑
4.3.3.1 引言
4.3.3.1.1 比设计基准事故更严重的事故称之为超设计基准事故,这些事故能够导致以下后果:
- 其后果仍在设计基准事故的保守验收准则范围内,虽然这需要用最佳估算分析予以证实;
- 其后果超过了设计基准事故的保守验收准则,但最佳估算分析表明不会导致严重的燃料损伤或超过一回路破损限值;
- 由于多项故障和/或运行人员差错,安全系统一个或多个安全功能未能执行,导致堆芯严重损坏,危及防止放射性物质从核动力厂释放的其余屏障的完整性。这些事故称作严重事故。严重事故可能继续升级,从而导致:
⑴堆芯损坏加上一回路破损,但安全壳未失效;
⑵堆芯损坏加上一回路破损,并且安全壳也失效,导致放射性物质大量释放到环境,并动用厂外应急响应措施。
4.3.3.1.2 安全分析应该致力于量化核动力厂的安全裕度,并证实为这类事故提供纵深防御的程度。这包括如下一些合理可行的措施:
- 通过设置附加设备和事故管理程序,来防止事故升级为严重事故,控制严重事故的进一步发展和限制放射性物质的释放;
- 通过厂内厂外应急响应的措施,来减轻可能产生的放射性后果。
应该证实有很高的可信度可以避免发生那类假设的会导致安全壳早期失效的严重事故序列(如发生在压水堆中的高压堆芯熔化事故)。
4.3.3.2 安全分析中严重事故的选择
4.3.3.2.1 严重事故分析应该提出安全系统已丧失功能且一些防止放射性物质释放的屏障已失效或被旁路的一组有代表性的序列。这些序列应这样选择:在设计基准事故序列(包括安全系统故障)和概率安全分析的主导事故序列中加入额外的故障或操纵员的不正确响应。
4.3.3.2.2 会导致严重事故的重要事件序列应该运用概率论和确定论方法以及与正确的工程判断相结合来确定。
4.3.3.2.3 确定严重事故序列的最严格的方法是应用一级概率安全分析(见4.4.1.1.2)的结果。但是,也可以通过了解严重事故序列所包括的物理现象、设计中存在的裕度和保留在设计基准事故中的系统多重度来确定代表性的或包络的序列。
4.3.3.2.4 引发严重事故的例子如下:
- 完全丧失堆芯余热排出;
- 冷却剂丧失事故伴随着应急堆芯冷却系统完全失效;
- 长时间完全失去电力供应。
4.3.3.2.5 需要进行分析的严重事故序列的细节随反应堆安全系统的设计会有所不同。
4.3.3.2.6 严重事故的评价应该考虑核动力厂的所有设计功能,包括利用超出某些安全系统和非安全系统原设计意图的功能将潜在的严重事故恢复到可控状态和/或者减轻其后果。如果这些系统的超常使用是可信的,则应该有能在分析中予以使用的假设依据。
4.3.3.3 严重事故分析的方法和假设
4.3.3.3.1 对于严重事故分析,一般应该采用最佳的估算假设、数据、方法和决策准则。如果这不可能,应该作出合理的保守假设,以考虑被模拟的物理过程理解的不确定性。
4.3.3.3.2 严重事故分析应该模拟在堆芯损坏以后可能发生和可能导致放射性物质释放到环境的宽范围物理过程,这些物理过程应包括(适用时):
- 堆芯性能恶化过程及燃料熔化;
- 燃料和冷却剂的相互作用(包括蒸汽爆炸);
- 压力容器内熔融物滞留;
- 压力容器熔穿;
- 一回路内的热分布;
- 熔融物的高压喷射或对安全壳的直接加热;
- 氢气的产生和燃烧;
- 安全壳损坏或旁路;
- 堆芯熔融物与安全壳底板混凝土的相互作用;
- 裂变产物的释放和迁移;
- 对压力容器内外堆芯熔融物的冷却能力;
4.3.3.3.3 严重事故分析通常使用不同程序的多层次方法(包括详细的系统和安全壳分析程序、较简化的风险估算程序和“单个效应”程序以及对源项和辐射影响的研究)。使用全部的程序将保证所有的预期现象均得到充分的分析。
4.3.3.3.4 评价应该保证反应堆堆芯、一回路和安全壳均被准确地模拟。这些模型对分析极其重要,并且将影响事故过程的确定。
4.3.3.4 验收准则
4.3.3.4.1 严重事故的验收准则通常以概率安全准则和确定论验收准则的形式表述。概率安全准则将在4.4.7.1-4.4.7.2中讨论。
4.3.3.4.2 确定论验收准则通常包括:
- 在严重事故发生后短期内不应该发生安全壳失效;
- 在严重事故后不应该有短期的健康效应;
- 严重事故后Cs-137的长期健康效应/释放应该低于规定的限值。
4.3.3.5 设计对严重事故的考虑
4.3.3.5.1 严重事故分析的目的应该是:
- 评价设计抵御严重事故的能力,并且确定设计的具体薄弱环节。这包括评定用于事故管理的设备和监测事故过程的仪表;
- 评价是否需要在核动力厂设计(注:这些设计特性可能会包括以下各项:熔化堆芯收集器或堆芯扩展区以及对堆芯熔化损坏有阻止作用的混凝土垫层;按严重事故后可能产生的氢气速率而设置的氢气复合器;安全壳过滤排气系统,其可以长期运行,以防止严重事故发生后由于过压而导致安全壳失效。) 中加入对严重事故提供纵深防御的设施;
- 确定用于减轻事故后果的事故管理措施;
- 制定用于超设计基准事故和严重事故的事故管理大纲;
- 为厂外应急计划提供输入。
4.3.3.5.2 在新建核动力厂的设计阶段就应考虑严重事故。但是,对正在运行的核动力厂,应制定严重事故管理大纲,以便可充分利用所有可用设备和规程来减轻事故的后果。这些措施可以包括使用备用的或多样的系统、规程和采用非安全级设备的方法,也可以使用外部设备临时代替原来的部件。
4.3.3.5.3 上述设计特性和事故管理措施在降低风险方面的有效性应该由概率安全分析予以评价。
4.3.3.6 应急计划
4.3.3.6.1 严重事故分析还应该为应急主管部门制定厂外应急计划和响应提供输入。
4.3.3.6.2 严重事故分析的结果应该用来确定源项,该源项可用于制定厂外应急计划。
4.3.3.6.3 源项也可以用于论证隐蔽、服用碘化钾片、食物禁令和撤离的有效性。
4.4 概率安全分析
4.4.1 引言
4.4.1.1 概述
4.4.1.1.1 概率安全分析提供一种综合的结构型分析方法,用来确认事故情景和导出风险的数值估计。核动力厂的概率安全分析通常可在如下三个级别上进行。
4.4.1.1.2 一级概率安全分析:确定导致堆芯损坏的事件序列,预估堆芯损坏频度,深入了解用于防止堆芯损坏的安全系统和规程的能力和不足。
4.4.1.1.3 二级概率安全分析:确定放射性物质从核动力厂释放的可能途径,并且预估其释放量和发生频度。该分析有助于深入了解事故预防和事故缓解措施(如反应堆安全壳的使用)的相对重要性。
4.4.1.1.4 三级概率安全分析:评估对公众健康的影响和其他社会风险,如对土壤和食物的污染。
4.4.1.2 概率安全分析是决策过程的组成部分
4.4.1.2.1 作为设计过程组成部分的概率安全分析的结果应该用于评价核动力厂的安全水平。核动力厂的安全决策既应该考虑确定论分析的结果,也应该考虑概率安全分析的结果。这应该是一个反复迭代的过程,目的在于保证核动力厂满足国家的核安全要求和准则,并且其设计是平衡的(见4.4.1.3.6),风险是合理可行尽量低的。
4.4.1.2.2 概率安全分析的结果应该用于识别核动力厂设计和运行中的薄弱环节。为了识别这些薄弱环节,需要考虑各组始发事件和安全系统重要程度对风险的贡献、以及人员差错对总风险的贡献。如果概率安全分析的结果表明修改核动力厂的设计或运行可降低其风险,则在考虑修改的相关代价和利益后,只要合理可行就应进行相关修改。
4.4.1.2.3 概率安全分析的结果应该与为核动力厂制定的概率安全准则进行对比。核动力厂概率安全准则包括关于系统可靠性、堆芯损坏、放射性物质释放、工作人员和公众健康的效应及厂外后果(如土地污染和食物禁令)的准则等。
4.4.1.2.4 概率安全分析的结果应该用于制定应急运行规程,并且为核动力厂的技术规格书提供输入。特别是,概率安全分析的结果应该用于研究由于试验和维修使设备停役对风险的贡献,以及监督和/或试验频度的合适性。概率安全分析应该确认设备允许的停役时间不会导致风险过度增加,并且指出应该避免的同时停役的设备组合。
4.4.1.2.5 二级概率安全分析的结果应该用于决定是否已采取足够的措施以减轻堆芯损坏所产生的各种后果。这将涉及安全壳是否足够坚固以及安全系统(如氢气混合/复合系统、安全壳喷淋系统和安全壳泄压系统)是否提供足够水平的保护,以防止放射性物质向环境大量释放。此外,二级概率安全分析还应该用于确定事故管理措施,这些措施主要用于减轻熔融堆芯的影响。这可能还包括确定向安全壳的反应堆腔室内注水的额外措施等。
4.4.1.2.6 如果可能的话,二级和三级概率安全分析的结果应该提交应急主管部门,作为厂外应急计划条款的技术输入。
4.4.1.3 概率安全分析的要求
4.4.1.3.1 核动力厂的整个设计和运行期间均应该采用概率安全分析,以有助于核动力厂安全的决策。
4.4.1.3.2 对于新建的核动力厂,概率安全分析最好在概念设计阶段开始进行,以便检验在安全系统中具有足够的多重性和多样性,并应该在更加详细的设计阶段继续进行,以便评价更加详细的设计问题,概率安全分析还用来支持核动力厂的运行。在设计阶段,应有一个迭代过程,以保证从概率安全分析得出的结论反馈到设计过程。
4.4.1.3.3 对于现有的核动力厂,应进行概率安全分析,既可作为定期安全评价的一部分,又可作为提出修改的安全论证的支持。尽管不同阶段的概率安全分析要求是一样的,但数据库可能不同。此外,基于设施使用的期限、剩余的运行寿期、提出修改的费用和其他相关的考虑,为减轻风险所采取的修改将有所不同。
4.4.1.3.4 概率安全分析应该明确地以核动力厂实际的或预想的设计或运行作为分析的起始点。核动力厂的状态可以定在过去某个具体日期时的状态或定在将来完成已同意的修改时的状态。
4.4.1.3.5 概率安全分析应该着手于:确定对风险有贡献的所有故障序列;确定核动力厂设计和运行中是否存在薄弱环节;并且评价是否需要对这些薄弱环节进行加强以便降低其对安全的重大影响。当分析没有计及所有对风险的贡献因素时(例如,可能忽略了外部事件或停堆状态),其所作出的结论(如核动力厂的风险水平、安全系统之间的平衡性以及为降低风险需要对核动力厂的设计和运行进行变更等)可能是不正确的。
4.4.1.3.6 概率安全分析应该确定安全系统是否具有足够的多重性和多样性,核动力厂是否具有足够的纵深防御,以及核动力厂整体设计是否平衡等。在平衡的设计中概率安全分析应该表明:
- 不存在对风险会造成不成比例的高贡献的特定的设计;
- 不存在对风险会造成不成比例的高贡献的始发事件组;
- 核动力厂达到的总的低风险不取决于相当大的不确定性的贡献;
- 防御的前两个层次起到了安全的主要作用;
- 在每一个防御层次内,没有一个安全系统比其他的安全系统具有不相称的较大的重要性。
缺乏平衡的设计通常意味着还存在合理可行的降低风险的可能。
4.4.1.4 概率安全分析的范围
4.4.1.4.1 概率安全分析应该涉及在所有运行模式中所产生的风险的贡献。但是,通常对核动力厂功率运行和停堆模式分别进行分析。
4.4.1.4.2 如果只进行一级概率安全分析,则根据定义,反应堆堆芯是分析的焦点。如果完成二级或三级概率安全分析,其范围可包括厂区其他放射性源对风险的贡献,例如乏燃料及放射性废物。要确定核动力厂对厂区附近个人的总风险,还应该包括这些堆芯外的放射性源。
4.4.1.4.3 概率安全分析应该以完整的假设始发事件组(包括外部假设始发事件和内部假设始发事件)作为其分析起点。分析应该确定对风险有贡献的所有故障序列。这些故障序列应该计及部件故障、在维护和试验期间部件不可用、人员差错以及共因故障等,如果可能,还应该计及部件的老化。
4.4.1.5 概率安全分析方法
4.4.1.5.1 迄今为止,已经对各类核动力厂设计进行了大量的概率安全分析,因此,概率安全分析(尤其是一级概率安全分析)的方法也得到了良好的发展。但是必须认识到,概率安全分析过程中存在着固有的不确定性。这些不确定性不只存在于概率安全分析中,同样也存在于确定论安全分析中。但是,概率安全分析方法能够认识和量化其大部分不确定性。对任何将要进行的新的概率安全分析,其方法均应该和当时国际最佳实践保持一致。
4.4.1.5.2 概率安全分析应该始终尽量使用最佳的估算方法。这些估算方法包括支持安全系统成功准则进行的分析,对堆芯损坏后安全壳内出现的现象进行的模拟,以及释放到环境中放射性物质的迁移分析。当这些不可能做到时,应该采用合理的保守假设。
4.4.2 一级概率安全分析:堆芯损坏频率分析
4.4.2.1 引言
4.4.2.1.1 一级概率安全分析的目的应该是确定堆芯损坏总的频率。这要求明确定义堆芯损坏,并将该定义转化为安全系统故障准则。一级概率安全分析应该确定对堆芯损坏频率贡献最大的故障序列和确定防止堆芯损坏起最重要作用的安全系统,并决定是否能由核动力厂设计和运行的修改来降低风险。
4.4.2.2 假设始发事件
4.4.2.2.1 概率安全分析的起始点应该是能直接导致或者与其他故障一起危及核动力厂安全的整个假设始发事件清单。在确定论安全分析中包含的继发性故障,在概率安全分析中同样应该在事件序列分析和系统分析中予以考虑。
4.4.2.2.2 所确定的这套假设始发事件应该包括所有的内部事件和外部事件,并且应该包括在核动力厂设计阶段未曾考虑的低频率而可能发生的事件。
4.4.2.2.3 概率安全分析应该包括所有核动力厂运行模式下可能发生的以及可能导致从厂区任何源释放放射性物质的假设始发事件。
4.4.2.3 安全系统要求的技术规格
4.4.2.3.1 对于确定的每一个假设始发事件,都应该确定为防止堆芯损坏所需执行的安全功能。这些安全功能和设计基准分析中提到的一样,即始发事件的探测、停堆、余热排出和安全壳防护。但是,考虑安全功能失效的限值将采用现实的限值,而不是设计基准分析中确定的保守限值。
4.4.2.3.2 应该确定为执行这些安全功能所需要的安全系统。这应该基于最佳估计的瞬态分析,而不基于为设计基准分析所作的保守分析。运行要求的多重系统及多样系统的系列数量应予以确定。
4.4.2.3.3 可以先识别出需要相同的或非常类似的安全系统动作的那些假设始发事件。概率安全分析通常对这些假设始发事件进行分组,并一起分析,以减少分析的数量。始发事件组由具有最苛求的安全系统响应的始发事件作为代表,事件组中单个始发事件发生频率之和作为该事件组的发生频率。如果对假设始发事件进行分组不应给分析带来不可接受的水平。例如,所选择的代表性事件发生频率低,而组内所有其他事件对安全系统动作要求的苛刻程度远不及该事件,但频率的总和却大得多。
4.4.2.4 事件序列分析
4.4.2.4.1 在事件序列的分析中,为始发事件组构造逻辑模型,以便确定可能导致堆芯损坏的故障序列。这些逻辑模型以基本安全功能为起点,并且考虑始发事件组要求的安全功能、安全系统和安全系统内的单个部件以及人员响应。这些逻辑模型确定部件的故障如何组合会导致安全功能丧失和堆芯损坏。
4.4.2.4.2 对始发事件组进行事件序列分析的目的是识别出安全系统设备所有会导致核动力厂不能保持在安全限值内而发生堆芯损坏的成功的或失效的组合。
4.4.2.4.3 在目前大多数概率安全分析中,事件序列的分析都以事件树和故障树相组合的形式进行,因为经验证明,这是处理核动力厂所要求的大的逻辑模型最有效的方式。但是,单独使用事件树或故障树进行事件序列分析也是可能的,并且在特殊事件分析中,还可以使用时间相关的动态分析方法。
4.4.2.4.4 应该进行系统评价,以便确定哪些安全系统设备(包括其故障可能影响到该事件序列的那些安全相关或非安全相关的设备)故障可能以始发事件后果的形式出现;这些故障应该包含在表示可能发生的事件序列的逻辑模型中。
4.4.2.4.5 事件序列分析应该包括可运行的执行所要求安全功能的安全系统设备的所有组合。
4.4.2.4.6 由于核动力厂中的某些安全系统共享公用触发系统或公用支持系统,如电力系统、控制和仪表设备及冷却系统等,这导致安全系统之间存在功能的相关性。对核动力厂设计和运行应该进行系统的评价,以保证在进行事件序列分析或系统分析时,鉴别和清晰地模拟所有这些相关性。
4.4.2.5 安全系统故障分析
4.4.2.5.1 事件序列分析应该向下延伸到单个底事件的层次。这些底事件通常包括部件故障、维护和试验期间部件不可用性、多重设备的共因故障以及运行人员差错等。
4.4.2.5.2 系统故障分析应该涉及安全系统设备单个部件所有的相关故障模式。这些故障模式通常已由作为设计评价一部分的故障模式和效应分析确定。系统模型中也应该包括假设始发事件引起的任何继发故障(如果这些故障没有在事件序列模型中充分考虑)。
4.4.2.5.3 所有必要的支持系统均应该予以确定,并且包括在系统故障分析中,同时在逻辑模型中应清晰地表述由共用支持系统引起的系统之间的相关性。
4.4.2.5.4 在核动力厂寿期内,单个物项或设备系列可能由于试验、维护或修理而停役,这将降低执行安全功能的安全系统的可用性。概率安全分析应该充分考虑这些设备的停役。这可以通过在逻辑模型中引入底事件以反映设备停运问题,或进行多次概率安全分析。
4.4.2.6 数据
4.4.2.6.1 定量分析需要以下具体数据:
- 始发事件频率;
- 设备故障概率;
- 设备停役频率及停役时间;
- 共因故障概率;
- 人员差错概率。
4.4.2.6.2 所采用的始发事件频率和设备故障概率应适用于核动力厂的设计或运行。如果可能,应该使用核动力厂的专用数据。当这不可能时,应采用类似核动力厂的运行数据。如果这也不可能,只好采用通用的相关数据。对于发生频率低的始发事件,应该作出判断。
4.4.2.6.3 在确定设备故障率时,应该明确指出设备的边界,并应该包括所有相关的故障模式。例如一台泵,这应该包括启动失效、在规定投运时限内失效以及泵密封发生泄漏。
4.4.2.6.4 使用的统计数据应该包括始发事件的所有相关起因以及所有相关的设备故障模式。
4.4.2.6.5 对于概率安全分析中涉及的某些方面,尤其是对某些极少发生的始发事件(如压力容器破损或严重的地震灾害)的频率,没有相关运行经验。如果认为这些事件对风险的贡献不重要,只要给出正当理由,则可把它们排除。否则,仍然需要对其发生频率进行判断,并且应该给出该判断的依据。特别是,用于地震灾害概率评价的方法已经得到了良好的发展,并可用于任何厂址。
4.4.2.7 共因故障
4.4.2.7.1 对于某一安全系统内设备的多重物项,存在共因引起故障的可能性,这制约了系统的可靠性。在分析中这些共因故障在安全系统的层次或在单个部件的层次进行模拟。一种做法是在表示系统共因故障的逻辑模型中通过引入底事件来模拟共因故障。目前有很多方法可以评价共因故障的发生概率,评价的方法包括使用运行经验数据以及使用诸如β因子及多希腊字母的理论模型等。
4.4.2.7.2 在分析中,应该对可能发生在多重安全系统中的共因故障进行模拟,并且应该证明概率安全分析中所使用的共因故障模型及数据的合理性。只要可能,都应该对类似系统的运行经验予以考虑。
4.4.2.7.3 以往的分析和运行经验表明,非多样性安全系统对每次需求的故障概率将介于约千分之一到十万分之一的范围内,这取决于系统的多重性以及其他设计和运行因素。这也应该在分析中反映。
4.4.2.8 人因可靠性分析
4.4.2.8.1 人员差错可能影响一个事件序列的起因和发生频率。人员差错可能发生在事件序列开始之前、其间或其后,在概率安全分析中应该模拟人员差错。有关人因可靠性的数据应该从以下来源导出,如事件报告、维修报告、各种概率安全分析报告以及模拟机中得到的观察资料等。
4.4.2.8.2 应该确定可能导致始发事件的人员差错,并且应该作为始发事件发生频率的一部分。
4.4.2.8.3 应该在事件序列和安全系统故障分析中,清晰地模拟可能导致安全系统故障和丧失关键安全功能的人员差错。
4.4.2.8.4 采用的人员差错概率应该反映会影响操纵员行为的因素,包括承受的压力、完成任务的可用时间、运行规程的可用性、培训水平和环境条件等。这些应由作为设计评价组成部分的任务分析来确定。
4.4.2.9 定量分析
4.4.2.9.1 建立的逻辑模型应该利用数据进行定量分析,以便确定堆芯总的损坏频率以及各始发事件组的贡献。
4.4.2.9.2 在定量分析中,应该得出始发事件组、部件故障、安全系统故障和运行人员差错的重要度,以便确定对风险有贡献因素的来源以及安全系统设计和运行中可能存在的薄弱环节。如果适用,可采用重要度的定量度量。如果在模型和数据中存在不确定性,则应该由敏感性分析予以支持。
4.4.2.10 堆芯损坏频率的分析结果
4.4.2.10.1 应该对分析结果进行评价,以便确信该分析结果充分反映了核动力厂风险。若判定在某些方面风险评估过分保守或过分乐观,则应对分析进行修正,使分析结果更真实。如果安全系统成功准则是基于保守的设计基准瞬态分析和保守的重要安全功能成功准则,而不是基于为概率安全分析推荐的最佳评估,则分析结果会过分保守。若不适当地筛选掉潜在始发事件,则可能出现过分乐观的结果。
4.4.2.10.2 分析结果应该与对核动力厂建议的堆芯损坏频率安全准则进行对比。若评估的堆芯损坏频率高得不可接受,则应该对核动力厂的设计和运行进行修改以降低风险。
4.4.2.10.3 即使堆芯损坏频率低得可以接受,也还应该系统地审查概率安全分析的结果,以便确定核动力厂设计和运行中相对薄弱的环节和确定为降低堆芯损坏频率可做的改进。只要合理可行就应实施这些修改。判断什么是合理可行将取决于反应堆是处于设计阶段还是处于运行中,以及修改的费用。在核动力厂设计阶段将不断重复这个过程,以使得堆芯损坏频率降到或低于设计目标值,并得到平衡的设计。
4.4.3 二级概率安全分析:从堆芯损坏到放射性物质释放的事故进程分析
4.4.3.1 引言
4.4.3.1.1 这部分的分析考虑从堆芯损坏开始的事故进程,并考虑可能发生和会导致安全壳失效以及放射性物质向环境释放的现象。
4.4.3.1.2 分析考虑核动力厂为减轻堆芯损坏影响所提供设计和事故管理措施的有效性,并估计发生放射性物质向环境大量释放的频率,此频率可以和概率安全准则进行对比。
4.4.3.2 核动力厂损坏状态的定义
4.4.3.2.1 应该对在一级概率安全分析中确定的会导致堆芯损坏的故障序列按核动力厂损坏状态分组,此状态是依据会影响安全壳响应或放射性物质向环境释放的诸多因素定义的。这些因素通常包括所发生始发事件的类型、反应堆冷却剂系统压力、应急堆芯冷却系统和安全壳保护系统的状态以及安全壳的完整性等。
4.4.3.3 堆芯损坏进程的模拟
4.4.3.3.1 从堆芯损坏至放射性物质释放的事故进程分析应该模拟影响安全壳完整性或影响放射性物质释放的重要现象(见4.3.3.3.2)。
4.4.3.3.2 分析应该使用逻辑方法模拟从堆芯损坏到放射性物质释放的事件序列进程。通常的做法是进行事件树分析。事件树分析以多个时间段的方式来模拟事故序列,并使用一套(事件树)节点问题模拟发生的事件的序列。构筑事件树需要由热工水力学计算以及模拟裂变产物在安全壳内释放和迁移来支持。
4.4.3.3.3 事件树分析应该包含足够数量的时间段和节点以便能够处理安全壳内可能发生的所有重要现象。对每个核动力厂每种损坏状态,其事件树的节点问题是相同的。但是,由于核动力厂损坏状态表征的初始条件不同,实际事件树在细节上对每一个确定状态并不完全相同。
4.4.3.3.4 事件树的终止状态确定已经发生的事件序列及安全壳的状态。安全壳可能完好无损或已经失效。其可能的失效模式是:旁路、隔离失效(这两种失效模式在核动力厂损坏状态定义中均已模拟)、泄漏、破裂或底板熔穿等。放射性物质的释放还取决于在该事故序列中,安全壳失效是发生在早期还是晚期。
