核電廠安全系統冗余度研究

吳宇翔，尚 臣，閆 林,袁 霞

(中國核電工程有限公司，北京100840)

?

核電廠安全系統冗余度研究

吳宇翔，尚 臣，閆 林,袁 霞

(中國核電工程有限公司，北京100840)

本文對核電廠安全系統冗余度的概念進行了澄清，認為不能簡單地將安全系列的數量機械地等效于冗余度。N+1的冗余度滿足單一故障準則的強制性要求，N+2的冗余度是實現在線維修的可選項。進而介紹了國際上主要核電機型的安全系統配置和冗余度，說明了冗余度與運行靈活性的具體關系。在冗余度研究的基礎上，對三環路壓水堆的兩種安全系統配置方案(兩個系列帶母管和三個獨立系列)進行了分析比較。兩種方案均為N+1冗余度，但是對非能動部件(母管)單一故障的考慮有所差異。通過對我國和國際核安全法規、用戶要求文件及相關標準的研究發現，非能動部件的單一故障問題不應成為這兩個方案選擇的決定因素。綜合考慮安全性利益及經濟性代價，兩個系列帶母管的方案是更加優化更平衡的設計。

安全系統；冗余度；單一故障；非能動部件

保證核安全是核電廠設計中考慮的首要因素，為此需要對核電廠的設計進行評價或者分析，以確認是否滿足核安全目標，并且反過來指導設計。核電廠安全分析的方法包括確定論方法和概率論方法。

確定論方法是核電發展史上長期使用的方法，以縱深防御概念為基礎，以確保核電廠基本安全功能為目的，針對一套確定的設計基準工況，采用一套保守的假設和分析方法，以檢驗是否滿足特定的驗收準則[1]。針對從假設始發事件得出的設計基準事故，設計上需要設置若干安全系統(或專設安全設施)。在發生設計基準事故時，通過安全系統的成功響應，保證基本安全功能的實現，保障核電廠始終處于安全可控的狀態。壓水堆核電廠典型的安全系統包括安全注入系統、安全殼噴淋系統和輔助給水系統等。

在分析設計基準工況可能導致的后果時，需要采用保守的假設和分析方法，比如參數選取對后果不利的偏差，只考慮安全級設備的作用等。一個重要的保守假設就是單一故障準則，即在緩解事故的系統和設備中假設一個隨機故障，導致其不能執行預定的安全功能。為了在滿足單一故障準則的條件下完成特定安全功能，設計中采用多于最少套數的設備，稱為多重配置或冗余配置。在此條件下，一套設備出現故障或失效是可以承受的，不致于導致功能喪失。安全系統必須采用冗余配置，即一個系統包括多套設備(或稱為多個安全系列)。

從冗余性(或多重性)進而可以引出冗余度的概念，即冗余的程度。但是實際中往往對于冗余度的認識出現偏差，將安全系列的數量機械地等效于冗余度，比如將2×100%的安全系統認為是N+1冗余度，將3×100%的安全系統認為是N+2冗余度，并且將其作為判斷安全系統配置方案優劣的決定因素。本文旨在對核電廠安全系統冗余度的概念進行澄清，在此基礎上針對兩種具體的安全系統配置方案的選擇給出建議。

1 冗余度的概念

由單一故障準則可進一步引出安全系統設計冗余度的要求,通常用N+1和N+2這樣的說法來指代。假如完成某項特定安全功能需要N套設備(或N個安全系列)，在設計上多配置一套，那么這一設計的冗余度就是N+1；如果多配兩套，冗余度就是N+2。

需要指出的是，N+1和N+2只是一個約定俗成的說法，尚沒有查到文獻對其給出權威的定義，因此對于N的定義即“完成特定安全功能所需的最少套數設備”就存在不同的理解。例如對于獨立連接每個環路的安注系統來說，從表面上看，一個100%容量的系列就可以滿足系統承擔的應急堆芯冷卻功能(即N=1)。但是在安注系統主要針對的冷卻劑喪失事故(LOCA)中，非常有可能因為一列安注系統所連接的環路發生破口而使得該列安注系統功能喪失。對于這種設計，完成應急堆芯冷卻的功能至少需要兩個容量分別為100%的安注系列(即N=2)，在此基礎上考慮單一故障準則再增加一個系列(即N+1冗余度)。因此有理由認為，N應當考慮始發事件可能導致的安全系列失效，即某個安全系列有可能因始發事件失效時，至少還需要另一個安全系列才能保證“完成特定安全功能”，此時至少兩個安全系列才是“完成特定安全功能所需的最少套數設備”。

很多地方對N的理解比較膚淺，簡單地將3×100%和4×50%即作為N+2的冗余度。其實不能簡單地將安全系列的數量和容量等效為冗余度，而是需要結合具體的系統設計進行判斷。例如，如果一個安注系列注入一個環路或者直接注入壓力容器，則該系列完全有可能受到始發事件的影響而失效，這種設計至少需要兩個安注系列才能保證完成所需的安全功能；如果每個系列有多個注入點,例如在環路和壓力容器上均有注入點，或者在多個環路上有注入點,可以認為不受始發事件的影響，則一個系列即能保證完成所需的安全功能。對于配置為3×100%(或4×50%)的安注系統，注入點數量不同的這兩種設計，其冗余度分別為N+1和N+2。

根據以上解釋，N+1冗余度的作用在于滿足單一故障準則，是所有核電廠安全系統設計都必須滿足的基本要求；N+2冗余度除了滿足單一故障準則，最大的意義在于能夠實現一個安全系列的在線維修，是提高機組運行經濟性的可選措施之一。

2 主要核電機型的安全系統冗余度

根據上節對安全系統冗余度的定義，表1中列出了國際上主要壓水堆核電機型安全系統的配置和冗余度。在同一個堆型中，各個安全系統之間，以及同一個安全系統的子系統之間，安全系列的配置可能不盡相同。由于安注系統與一回路壓力邊界連接，需要考慮始發事件，并且單一故障主要是針對能動設備，因此這里主要考慮能動安注子系統的配置。

從表1可以看出，對于三環路壓水堆來說，安全系統配置一般有2×100%和3×100%兩種配置(圖1a)，區別在于前者采用考慮母管設計。兩種配置的冗余度均為N+1，滿足單一故障準則。在2×100%的配置方案中，兩個安注系列通過母管連接到三個環路上。假設一個系列發生能動單一故障，剩余的另一列能夠以100%的容量通過非破口的兩個環路注入到堆芯。在3×100%的配置方案中，三個安注系列分別獨立地連接在三個環路上。如果假設始發事件導致一個系列失效，同時考慮另一個系列能動單一故障，最終剩余一個系列能夠提供執行功能所需的100%容量。

對于二環路或四環路壓水堆，安全系統配置一般有2×100%、4×100%和4×50%三種形式(圖1b至圖1d)。2×100%配置方案也是采用母管設計，和三環路中考慮的2×100%方案相同。后兩個方案中的四個安全系列則是分別獨立地連接在四個環路上(或者直接注入壓力容器)。4×100%配置方案的冗余度為N+2，如果一個系列處于維修狀態，另一個系列因假設始發事件而失效，第三個系列發生單一故障，則還剩一個系列可以投入使用，執行規定的安全功能。因此這種配置方案最大的好處就是可以實現安全系統設備的在線維修。4×50%配置方案中，至少兩個系列投入才能完成系統的設計功能，通常的設計只是考慮了環路注入和壓力容器直接注入兩種方式之一，因此冗余度為N+1。

根據第1章的定義，N+1設計的目的在于滿足單一故障準則，N+2設計的意義在于實現在線維修。對于上表中列出的配置方案為3×100%和4×50%的機型，并未在其技術資料中發現關于允許安全系統設備在線維修的描述，因此認為其冗余度為N+1是合理的。

表1 主要核電機型安全系統冗余度Table 1 Redundant Degree of Safety System of Main Nuclear Power Models

注：① 如果不同的能動安注子系統之間的冗余度不同，以冗余度高的為準，除非存在與其他系統共用設備的情況； ② 在多數事故情況下，容量可視為4×100%。

圖1 各種安全系統配置示意圖Fig.1 Diagram of Different Configurations of Safety System(a) 三環路，3×100%配置(ATMEA1)；(b) 二環路，4×50%配置(APR1400)；(c) 四環路，2×100%配置(N4)；(d) 四環路，4×50%配置(APWR)

3 安全系統冗余度與運行靈活性

如前所述，N+1和N+2的冗余度對于核電廠的主要影響在于運行靈活性方面，本章對這部分內容進行一個更詳細的說明。

3.1 故障維修靈活性

故障維修是指在核電站正常功率運行期間，因為某種原因導致或發現了某一設備的不可用而對該設備進行的緊急維修，這一類維修一般具有故障比較簡單，易于修復的特點。

對于N+1冗余度的核電廠，按照西屋標準技術規格書(NUREG-1431)編制的運行技術規格書規定了以下要求[2]：

(1) 在一個系列不可用時，應在3天內進行修復，如果不能按期修復則進行停堆后撤；

(2) 在兩個系列不可用時，應在1小時內開始停堆后撤。

因此對于隨機出現的故障，操作人員和維修人員有3天的時間進行維修。根據已運行核電廠的經驗反饋，3天的修復時間足夠進行一般的故障性維修，未出現過超出3天不能修復而導致停堆的情況。

EPR和VVER是典型的N+2核電廠，一列安全設備發生故障時，仍有足夠的冗余度完成特定的安全功能，因此在運行技術規格書(參照NUREG-1431編制)中的要求為[2]：

(1) 在一個系列不可運行時，允許30天的檢修時間，如果不能按期修復則進行停堆后撤；

(2) 在兩個系列不可運行時，允許3天的檢修時間，如果不能按期修復則進行停堆后撤；

(3) 在三個系列不可運行時，應在1小時內開始停堆后撤。

N+2冗余度的核電廠允許一個系列不可運行的時間為30天，故可進行在線的預防性維修，而且即使在進行預防性維修時發現了另一個系列不可用，也有3天的時間進行故障維修。

3.2 預防性維修靈活性

預防性維修是指為保證設備的可靠性而對核電廠的能動設備進行解體檢查和更換易磨損、老化設備的活動。這一類維修一般具有工作量大、耗時長等特點。

N+1冗余度的核電廠，在換料大修期間(工期主要取決于汽輪發電機組的檢修)完成所有能動設備的預防性維修工作，不必在功率運行期間進行預防性維修。

EPR和VVER等N+2冗余度的核電廠采用四個安全系列，逐列檢修時間較長，無法在換料大修期間完成所有能動設備的預防性維修工作，而其N+2的設計允許在功率運行期間退出一個系列進行預防性檢修工作。從這個意義上說，部分核電廠采用N+2設計或許也有其能動設備多，無法在換料大修期間完成所有的預防性維修工作的原因。

4 安注系列的母管問題

對于三環路壓水堆安注系統來說，2×100%的配置和3×100%的配置都能實現N+1的冗余度，滿足單一故障準則，區別在于兩種方案的具體設計，即每個安注系列是否只有一個注入點。2×100%安注系列配置方案一般采用母管設計，使得每個系列有超過一個注入點，這樣不會因為始發事件而導致一個安全系列完全不可用。而3×100%安注系列配置方案中，三個系列各自獨立連接一個環路，每個系列只有一個注入點。這兩種配置方案冗余度均滿足單一故障準則，對其安全性最大的爭論在于是否需要考慮非能動設備的單一故障。

三個獨立系列的方案中(圖2a)，第一列由于始發事件失效，第二列發生單一故障(無論是能動或者非能動單一故障)，第三列總能以100%容量滿足所需的安全功能。如果第二列發生的是非能動單一故障，也有可能在操作員的干預下被隔離，從而減少泄漏損失。

兩個系列帶母管的方案也可以有不同的設計。一種設計是每個安全系列的管線先分成三個子管，來自不同系列的兩個子管再合并成一個母管，注入到一個環路中(設計A，圖2b)；另一種設計是兩個安全系列的管線先合并成一個母管，再分出三個子管分別注入三個環路(設計B，圖2c)。

無論是設計A還是設計B，如果假設始發事件導致一個環路失效，同時考慮一個系列能動單一故障，剩余的一列以100%容量提供補水，并通過非破口的兩個環路注入到堆芯，因此功能的執行是有效的，但是一部分補水流量(大約1/3)通過破口流失。[3]

如果假設發生非能動單一故障，即母管發生泄漏，設計A和設計B的情況略有不同。對于設計A來說，兩列都可以運行，但一個母管因始發事件無法注水，一個母管因非能動單一故障發生破口，僅剩下一個母管完好，此時不能保證注入到堆芯的容量能夠滿足100%容量的要求。[3]對于設計B來說，母管的泄漏則會導致全部喪失中壓安注冷段注入或低壓安注冷段注入。另外這種發生在母管上的非能動單一故障隔離難度也很大。

可以看出，對于兩個系列帶母管和三個系列獨立配置的兩種方案進行比較的關鍵在于，如何對非能動部件的單一故障進行考慮。非能動部件由于其無需外部動力以及動力設備，因此一般認為其可靠性很高，且在設計時不假設單一故障。

圖2 三環路壓水堆安注系統簡化流程圖Fig.2 Simplified Flow Diagram of Safety Injection System of 3-loop Pressurized Water Reactor(a) 三個安注系列方案；(b) 兩個安注系列方案(設計A)；(c) 兩個安注系列方案(設計B)

5 相關的規定和要求

本章對我國和國際的核安全法規、三代核電用戶需求文件和相關標準進行了調研，試圖解決以下兩個問題：

(1) 對于安全系統的冗余度(N+1或N+2)是否有明確規定；

(2) 對于非能動設備的單一故障是否有更加嚴格的要求。

5.1 我國核安全法規

HAF102《核動力廠設計安全規定》(2004版)中對于冗余度沒有明確規定，但是有這樣一句話：“設計必須通過采用諸如增加多重性等措施保證在毋需核動力廠停堆的情況下進行安全重要系統合理的在線維修和試驗?！彪m然原則上N+1的配置方案不是為了滿足在線維修而設計的，但是運行技術規格書中規定，一個系列不可用的修復時間為3天，3天時間對于一個系列的試驗和維修都是足夠的。因此N+1能夠滿足這條要求。

HAF102對于非能動部件的單一故障規定如下：“某一非能動部件的設計、制造、在役檢查和維修均達到很高的質量水平，并且保持不受到假設始發事件的影響，則在單一故障分析中可以不必假設它會發生故障?！盵4]

5.2 IAEA核安全標準

SSR-2/1《核電廠安全：設計》(2016版)中對于冗余度沒有明確規定。值得注意的是，HAF102中“設計必須通過采用諸如增加多重性等措施保證在毋需核動力廠停堆的情況下進行安全重要系統合理的在線維修和試驗”的要求已經從最新版的SSR-2/1中刪除。HAF102升版過程中也建議這條按照新版SSR2/1修改，從法規中刪除。

SSR-2/1對于非能動部件的單一故障規定如下：“在設計中，必須充分考慮非能動部件的故障，除非能夠在具有高置信度的單一故障分析中證實：該部件的故障極不可能發生，并且其功能保持不受到假設始發事件的影響?！盵5]

5.3 西歐核監管協會(WENRA)的法規

WENRA《新建核電廠設計的安全性》(2013版)只是聚焦于福島事故之后的幾個專題，比如縱深防御層次的獨立性、多重失效、實際消除、外部災害等，對于安全系列的冗余度和非能動部件的單一故障均未涉及。[8]

WENRA《現有核電廠的安全參考水平》(2014版)對于安全系統冗余度沒有明確規定。對于非能動部件的單一故障規定與SSR-2/1基本相同：“設計基準事件的分析中應假設最嚴重的單一故障。但是沒有必要假設非能動部件的故障，如果能夠證明該部件的故障極不可能發生，并且其功能的保持不受到假設始發事件的影響?！盵7]

5.4 用戶要求文件(URD)

URD第II卷第5章中要求，安全系列的數量至少應確保在假設導致事故的失效疊加最極限的單一故障的條件下所需安全功能的實現。同時URD也解釋道，安全系列的數量涉及設備可靠性和代價(投資、運行和復雜度)的平衡。

URD第II卷第1章中要求在始發事件24小時之后考慮非能動單一故障，包括閥門泄漏、密封泄漏、法蘭泄漏等。第II卷第5章的附錄中也說明，流體系統非能動設備的單一故障假設是長期的，符合目前的監管實踐。[8]

5.5 歐洲用戶要求(EUR)

EUR第2卷第8章中要求：“單一故障準則應用于提供安全功能的設備時，應根據N+1概念提供冗余設備”，“一些執行安全功能的特定設備的預防性維修預計會在電廠正常運行期間實施，應根據執行功能的水平和所需功能的設計工況，在具體問題具體分析的基礎上應用N+2概念(考慮由維修和單一故障導致的不可用)”。

EUR第2卷第1章中對于非能動部件的單一故障有以下規定：“在單一故障分析中，可不假設非能動部件的失效，如果這個部件的設計、制造、安裝、檢查和維修達到很高的質量水平。但是假設非能動部件不會失效時，需要考慮始發事件之后部件所需的時間長度證明其合理性?！?在注釋中進一步說明，“非能動泄漏在始發事件之后的頭24小時內不考慮”。[9]

5.6 我國行業標準

NB標準《壓水堆核電廠重要流體系統單一故障準則》尚未正式發布，由核動力院和廣核工程公司起草，參考美國國家標準ANSI/ANS-58.9-2002《輕水堆安全重要流體系統單一故障準則》。標準中規定：“在事故的長期階段要考慮的單一故障可以是能動故障或者非能動故障”，“若某非能動故障為泄漏的情況，應在適當考慮運行工況和可能的故障或泄漏模式的同時，通過系統中現實的非能動故障機理的分析來規定發生非能動故障時的設計泄漏流量”。在不作為單一故障考慮的情況中，說明“若某非能動故障為有限的泄漏，該故障不會導致機組喪失所需的安全功能，則單一故障分析中則不必考慮這種有限的泄漏”。[10]

5.7 小結

目前我國、IAEA 和WENRA的和核安全法規只是要求安全系列提供冗余性滿足單一故障準則，并未對N+1或是N+2的冗余度進行進一步規定。URD中則指出，安全系列的數量涉及設備可靠性和代價(投資、運行和復雜度)的平衡。EUR中提到了N+1和N+2的概念，將N+1作為強制要求，N+2作為考慮設備在線維修后的可選項。

法規中允許不考慮非能動部件的單一故障，前提是證明該部件的故障極不可能發生并且不會受假設始發事件的影響。而根據URD和EUR要求，至少事故短期內(24小時)不用考慮非能動單一故障。

6 安全系統配置方案的選擇

以上研究和考慮的最終目的是為核電廠安全系統配置方案的選擇提供支持。

冗余度是核電廠安全系統配置方案選擇需要考慮的因素之一，N+1的冗余度即可滿足單一故障準則，滿足法規的強制性要求。在滿足冗余度要求的前提下，可以選擇不同數量的安全系列，這時需要綜合考慮各方面的因素選擇最優的方案。

以第4章提到的兩種安全系統配置方案為例，由于核安全法規允許在證明故障極不可能發生并且不會受假設始發事件影響的前提下，不考慮非能動部件的單一故障，因此設計中不必考慮母管泄漏的可能性，兩種配置方案均滿足法規的要求。即使退一步根據用戶需求文件的要求，非能動部件的單一故障也只需在事故后長期階段(24小時后)才需要考慮。此時堆芯衰變熱已經比事故剛發生時大大降低，而且安注系統已經進入冷熱段同時注入模式，即使全部喪失冷段注入，熱段注入也仍然有效，仍然能夠實現補水功能。因此母管問題不會成為這兩種配置方案選擇的制約因素。

對于方案選擇真正起決定作用的應當是安全性和經濟性的平衡，而安全性的考慮中又需要關注冗余性和多樣性的平衡。

非能動系統一般結構相對簡單，本身的失效概率較低，減少了對電源、冷卻水等支持系統的依賴，提高了系統的可靠性，同時由于啟動和運行方式簡單也減少了人員失誤的可能性。在兩個能動安全系列的基礎上增加一個能動安全系列，雖然能夠消除母管，提高各系列之間的獨立性，但是能動部件的共因失效仍占主要貢獻，降低堆芯損壞頻率(CDF)的作用有限。而在兩個能動安全系列的基礎上增加一個非能動系列，能夠有效避免共因失效導致多列系統故障，因而安全性的提高更加明顯。這一結論也被不同安全系統配置的三環路壓水堆的概率安全分析(PSA)結果(表2)所支持。近年來國際上新研發的核電機型也往往采用了在兩個或三個能動安全系列的基礎上增加一個多樣化安全系列的設計。

從經濟性角度來說，增加安全系列的數量無疑會增加設備的采購費用，對廠房布置以及電氣、儀控、冷卻水等支持系統的要求更高，將大大增加核電廠的建設成本。另一方面，三個獨立系列也為N+1冗余度，運行靈活性相對于兩個系列帶母管的方案并無明顯優勢，無法通過在線維修提高機組經濟性。在換料大修期間完成三個系列預防性維修的工作量更大，甚至有可能導致大修時間的延長。

因此在冗余度相當的情況下，綜合考慮安全性利益和經濟性代價，兩個系列帶母管的方案是比三個獨立系列更加優化和平衡的設計。

表2 安全系統不同配置方案的PSA結果Table 2 PSA Results of Different Configurations of Safety System

3 結論

核電廠設計中通常用N+1和N+2這樣的說法來指代安全系統冗余度，但是經常出現將安全系列數量機械地等效于冗余度的認識誤區，比如將2×100%安全系統認為是N+1冗余度，將3×100%安全系統認為是N+2冗余度。本文對冗余度的概念進行了澄清，將N定義為“完成特定安全功能所需的最少套數設備”，具體取值需考慮每個安全系列是否會受到始發事件的影響，對于安注系統來說這與每個系列注入點的設計有關。

N+1的冗余度滿足單一故障準則的強制性要求，N+2冗余度是提高運行靈活性的可選項。N+2冗余度的核電廠允許一個系列不可運行的時間為30天，故可進行在線的預防性維修，其代表機型包括EPR和VVER。

對于三環路壓水堆來說，安注系統配置一般有兩個系列帶母管和三個獨立系列兩種方式。兩種設計均為N+1冗余度，但是對于非能動部件單一故障的考慮有所差異。通過對相關規定的研究發現，我國、IAEA和WENRA的核安全法規均允許不考慮非能動部件的單一故障，前提是證明該部件的故障極不可能發生并且不會受假設始發事件的影響。而根據URD和EUR要求，至少事故短期內(24小時)不用考慮非能動單一故障。

事故發生24小時后，安注系統已進入冷熱管同時注入階段，單個母管破裂的影響是可控的。因此無論是按照核安全法規，還是按照三代核電用戶需求文件，母管問題都不會成為這兩種配置方案選擇的決定性因素。PSA分析表明，在兩個能動系列的基礎上增加一個能動系列帶來的安全性提高遠不如增加非能動措施消除共因故障帶來的安全性提高。同時增加一個系列會導致設備采購費用和維修工作量的大幅增加。綜合考慮安全性利益和經濟性代價，兩個系列帶母管的方案是更加優化和平衡的設計。

[1] “第二代改進型核電廠安全水平的綜合評估”課題組. 第二代改進型核電廠安全水平的綜合評估[J]. 核安全, 2007, (4):1-26.

[2] US Nuclear Regulatory Commission. NUREG-1431 Standard Technical Specifications: Westinghouse Plants [S]. Washington, DC: NRC, 2012.

[3] 張寧, 鄭華, 牛文華, 等. 核電廠安全系統的系列配置對可靠性與機組安全的影響方案研究. 核安全. 2014, 13(4): 84-89.

[4] 國家核安全局. HAF102 核動力廠設計安全規定[S]. 北京: 國家核安全局, 2004.

[5] International Atomic Energy Agency. SSR-2/1 Safety of Nuclear Power Plants: Design[S]. Vienna：IAEA，2016.

[6] WENRA Reactor Harmonization Working Group. Safety of new NPP designs [R]. WENRA, 2013.

[7] WENRA Reactor Harmonization Working Group. Safety Reference Levels for Existing Reactors[R]. WENRA, 2014.

[8] EPRI. Advanced Light Water Reactor Utility Requirements Document[S]. California: EPRI, 2008.

[9] EUR. European Utility Requirements for LWR Nuclear Power Plants[S]. Villeurbanne: EUR, 2012.

[10] 國家能源局. 壓水堆核電廠安全重要流體系統單一故障準則[S]. 待發布.

Study on the Redundant Degree of Nuclear Power Plant Safety System

WU Yu-xiang1，SHANG Chen2，YAN Lin1, YUAN Xia2

(1. China Nuclear Power Engineering Co. Ltd, Beijing 100840, China)

This article makes a clarification for the concept of the redundant degree of nuclear power plant safety system, which cannot be simply equivalent to the number of safety trains. The redundant degree of N+1 satisfies the single failure criteria which is a mandatory requirement, and the redundant degree of N+2 is an option for In-service Maintenance. The configurations and redundant degrees of safety systems of the main nuclear power models in the world are further introduced, and the specific relations between the redundant degree and operational flexibility are interpreted. On the basis of the study, the analysis and comparison is performed for two kinds of safety system configurations of three-loop pressurized water reactor, i.e. two trains with a common header and three independent trains. Both designs are of redundant degree of N+1, but are different in the way whether to consider the single failure of passive component (common header). The studies on nuclear safety codes, standards and utility requirements reveal that, the single failure of passive component should not be the decisive factor in selecting the two designs. With the comprehensive consideration of the safety benefit and economic cost, the design of two trains with a common header is more optimized and balanced.

Safety System；Redundant Degree；Single Failure；Passive Component

2016-08-29

國家高技術研究發展計劃(863計劃)資助課題 (2012AA050906)

吳宇翔(1983—)，男，安徽人，高級工程師，博士，現主要從事核電廠總體設計

TL364

A

0258-0918(2017)03-0413-09