历次核安全事故及其启示.ppt

历次核安全事故及其启示主讲人：XXX,安全生产第十二期取证培训暨再培训班 2015.5.25-2015.5.29,主要内容一、核安全基本知识回顾二、核安全发展历史三、三哩岛事故及其启示四、切尔诺贝利事故及其启示五、福岛事故及其启示六、总结,核安全基本知识回顾,核电厂的三项基本安全功能,反应性控制 (Control) 反应堆功率可控 余热排出 (Cool) 燃料有效冷却 放射性包容 (Contain) 放射性无泄漏,核电厂总的安全目标：,在核动力厂中建立并保持对放射性危害的有效防御，以保护人员、社会和环境免受危害。,总的核安全目标由辐射防护目标和技术安全目标所支持，这两个目标互相补充、相辅相成，技术措施与管理性和程序性措施一起保证对电离辐射危害的防御。,纵深防御原则,核电厂有关安全的基本设计思想和总的指导原则是纵深防御原则。,纵深防御原则是指，为了达到核安全目标，核电厂设置安全设施和措施时采用了多层次设防的总的指导原则。,纵深防御原则多层次设防的五个层次：,第一层次：高质量的设计、施工及运行，使偏离正常运行状态的情况很少发生。 第二层次：设置停堆保护系统和相应的支持系统，防止运行中出现的偏差发展成为事故。 第三层次：设置专设安全设施，限制设计基准事故的后果，防止发生堆芯熔化的严重事故。 第四层次：当事故的严重程度已超过设计基准时，利用特殊设计设施，进行严重事故管理。 第五层次：厂外应急设施和措施。,纵深防御原则应用的另一方面：,在核电厂设计中设置一系列实体屏障，轻水堆核电厂普遍采用四道实体屏障，即芯块、燃料元件包壳、反应堆冷却剂系统压力边界和安全壳系统。,核安全发展历史,核安全的发展历史，可以划分为三个阶段：,核电发展初期 三哩岛事故后 切尔诺贝利事故后,重视设计的保守性和设备的可靠性，实施纵深防御原则 设计保守性上，将一回路主管道双端断裂大破口失水事故确立为“最大可信设计基准事故”。 设备上设置了专设安全设施，设计上采用了纵深防御原则。 安全分析中采用保守假设和保守模型，规定了各类设计基准事故的验收准则。,第1阶段：核电发展初期,确定论安全分析基础，目前还在应用 存在问题：认为多重故障不可信,加强人机接口和考虑严重事故的预防和缓解 严重事故是可能发生的，由多重设备故障和人因错误综合作用而造成； 认识到更为实际的故障与事故的重要性； 人因错误更加受到注意。,第2阶段：三哩岛事故后,倡导安全文化 根本原因归结于原苏联主管部门安全管理方面的缺失和人员核安全意识的淡薄； 表现在同类核电厂早已发现的技术缺点并未引起有关方面重视； 引起事故的整个试验过程中，没有任何安全人员进行监督管理。,第3阶段：切尔诺贝利事故后,三哩岛事故及其启示,三哩岛核电站概述,三哩岛核电厂位于美国宾州哈里斯堡附近，共有两台巴布科克与威尔科克斯公司(B&w)生产的900MWe压水堆 一号机组于1974年投产 二台机组于1979年1月投产 每个反应堆有两个主环路，每个环路上各有一台直流式蒸汽发生器，反应堆压力由稳压器维持，正常情况下内装23m3水和20m3水蒸汽。稳压器装有两台安全阀和一台电动卸压阀及其隔离阀。二回路水装量很少，对某些瞬态比较敏感。 1979年3月28日，投产仅三个月的2台机组发生了轻水堆核电厂历史上最严重的事故。,,三哩岛核电站,事故前电厂的初始状态,1979年3月28日凌晨，TMI-2 在 97% 额定功率下，以自动控制方式运行。 机组初始状态的安全隐患： （1）稳压器的释放阀及安全阀均有持久的微小泄漏(大约是 0.3 kg/s)。 （2）二回路中，有一些堵塞的离子交换树脂。,事故的始发事件－－起因,事故前的操作活动：操纵员准备用压缩空气及去离子水将二回路堵塞的离子交换树脂输送至回收箱，这一操作使水进入了压缩空气系统，然后进到空气管路上的仪表中，引起了紊乱，关闭了冷凝水增压泵的进水阀门，于是冷凝水增压泵及主给水泵停止运行。 始发事件：失去蒸发器的正常给水。 系统响应：汽轮机脱扣，反应堆紧急停堆。,事件分析－－按确定论方法,工况分类：失去蒸发器的正常给水属二回路系统排热减少类事故，是工况II事件，也称为预计运行事件，发生频率大于10-2/（堆•年）。 设计上的预防措施：设计上通过纵深防御的第二层次的措施进行防御，设置停堆保护系统和相应的支持系统，以防止预计运行事件升级为事故工况。 预分析的事故进程－1：给水泵停运，汽轮机停车，系统的某一停堆参数触发反应堆紧急停堆； 预分析的事故进程－2：之后，通过辅助给水投入和蒸发器安全阀，建立起排热机制，使一回路系统得到冷却，余热排出。 预分析的事件后果：反应堆停堆，建立起余热排出途径。这类事件的放射性后果一般都不大，可不必作分析。,实际后果：三哩岛事故称为当时历史上最为严重的事故,,为什么？？,事故过程－－第1阶段：汽轮机停车（0～6min）,事故过程－－第2阶段：冷却剂丧失（6～20min）,事故过程－－第3阶段：继续卸压（20min～2h）,事故过程－－第4阶段：升温瞬变（2h～7.5h）,事故过程－－第5阶段：持续卸压（7.5h～13.5h）,事故过程－－第6阶段：升压及最终建立稳定的冷却方式（13h～1d）,事故过程－－第7阶段：排出氢气（1d～8d）,事故原因分析 ——初因＋多重故障＋人因,事故起因： 在初始事件发生的时刻，所有给水泵和汽轮机均停运，从而中断了主系统排热。 事故后的系统响应： 事件发生后15秒左右，三台辅助给水泵达到正常转速，而同时主系统在停堆后开始升温升压而后稳压器卸压阀开启。 多重故障 （1）第一个故障是，辅助给水管线上的两台隔离阀意外地处于关闭状态，违反了技术规格书要求。这很可能与事故前两天的维修工作有关。结果，二次侧无冷却水流，导致蒸汽发生器内的残水在2分钟内蒸干。 （2）第二个故障是，15秒钟后卸压阀接到关闭信号却未能回座。结果主系统形成泄漏，大体相当于小破口失水事故。主控室仪表盘上信号灯显示卸压阀已经断电，操纵员误认为该阀已关闭。当时主要阀门并无阀位的直接显示。,事故原因分析（续） ——初因＋多重故障＋人因失误,人因失误 （1）卸压阀位置判断： 事故中操作人员快速一瞥卸压阀位置指示器，即误认为“阀门已关闭”，实际上这一指示器显示的只是关闭要求而不是实际的关闭状态。当时主要阀门并无阀位的直接显示。 令人痛心的是，早在三哩岛事故前18个月，具有同类机组的戴维斯贝斯电厂发生过同样的事件，当时该厂操纵员在事发20min后判明了隔离阀状况，采取了手动隔离措施。欠缺经验反馈和交流。 （2）对稳压器行为的认识：主系统破口时，稳压器水位与主系统压力同步下降。但在气腔小破口时例外，由于破口汽流的引导，稳压器内产生的汽泡会使液面上涌，而主系统压力却下降。操纵员缺乏对于此类事故的认识和训练。 （3）安注系统的中止：观察到稳压器水位上升以后，操纵员关闭了安注。操纵员缺乏对系统热工水力特性的理解。,事故原因分析（续2） ——初因＋多重故障＋人因失误,设计错误： （1）主控室质量问题：主控室信息处理和报警方面质量太差。堆芯温度仪表量程不够宽，误导操纵员认为超出量程的仪表都坏了；事故后各种预警、警告和报警信号灯闪烁不停，没有任何优先级规定能使人从中找出最初的报警信号。 （2）安全壳隔离：安注触发并不自动引起安全壳隔离。 （3）核辅助厂房的放射性包容能力：地坑水被泵入核辅助厂房后，由于系统管道和箱体不是全密封的，造成放射性释放。,堆芯内上定位栅板几乎未受影响 堆芯上部则有一个1.5米深呈半球形的空穴，其体积相当于堆芯总体积的四分之一 空穴底部堆积着一层约0.6米厚的堆芯碎片，内含氧化铀、锆合金和不锈钢,三哩岛2号机组堆芯损坏状态,,,空洞,堆芯碎片,,三哩岛事故的经验和教训,三哩岛事故后减少人因失误的技术措施 改进主控室人机接口 开发新型事故处理规程 加强操纵员培训 加强经验反馈工作,具体措施包括： 更深入地拓宽事故处理规程的内涵以增加其应用范围和有效性 在模拟机上对操作人员进行定期再培训，使他们不仅熟悉正常操作运行工况，也能应付各种不同的事故工况 改善主控室人机接口 将必要的信息集中在安全监督盘系统（KPS），操作员、安全工程师、应急支持中心各拥有一个终端 在主控室增加必要的参数监督和欠热度测量仪 更换稳压器安全阀，使其在水－汽并存的工作环境下仍能回座,三哩岛事故的经验和教训（续）,三哩岛事故表明，比所考虑的设计基准事故更严重的事故是有可能发生的，它往往是多重微小故障和人因失误综合作用的结果。 纵深防御的概念在严重事故下依然有效。纵深防御概念要求有安全壳，虽然在正常运行时并不需要，但在事故时可以有效地保护电厂工作人员和公众。 三哩岛事故要求人们注意两点： 第一，必需重视运行安全研究。 第二，要重视超设计基准事故的分析研究。安全评估工作不能仅以DBA以及相关的准则为限，必须包括所有安全分析方法，并考虑到多重故障和人员差错。,三哩岛事故总结,严重事故是可能发生的，由多重设备故障和人因错误综合作用而造成； 认识到更为实际的故障与事故的重要性； 人因错误更加受到注意； 概率安全分析得到重视和持续发展。,三哩岛事故后的核安全发展,切尔诺贝利事故及其启示,切尔诺贝利核电站（RBMK石墨水冷堆）位于乌克兰首府基辅的北部接近白俄罗斯边境的一块平坦的沼泽地上。切尔诺贝利核电站作为世界上最大的核电站在当时绝不仅仅只是一座核电站，它还被赋予了太多的政治含义———被认为是国家强大的象征。 该核电站共有4个装机容量为1000兆瓦的核反应堆机组。其中１号和２号机组在1977年9月建成发电。3号和4号于1981年开始并网发电。 1986年4月26日凌晨1时24分，切尔诺贝利核电站第四号核反应堆进行的半烘烤试验不幸发生逆火，引发爆炸，核反应堆很快熔毁。成为世界上最严重的核事故。 据官方公布的数字，爆炸事件发生后，有31名紧急支援人员死亡，200多人受到严重的放射性辐射，成为人类利用核能史上的一大悲剧。,切尔诺贝利核电站事故,切尔诺贝利核电站事故,1986年4月26日，前苏联切尔诺贝利核电站，发生了反应堆问世以来的最大事故 切尔诺贝利事故释放的碘-131，比1979年美国三哩岛事故多40多万倍 切尔诺贝利事故死亡31人，入院治疗者更多 切尔诺贝利事故后，疏散了10多万人，出动了 300多架次飞机，空投5000多吨物质覆盖反应堆，事故后19天，前苏联最高领导才宣布最严重的情况已经过去,RBMK1000设计特点,设计特征： （1）堆型为石墨水冷堆，以轻水当作冷却剂，石墨为中子慢化剂。 （2）输出热功率为3200MW，主冷却剂系统有2个环路，每个环路上有4台主循环泵（3台运行，1台备用）和2个蒸汽汽鼓/分离器。 （3）冷却剂在压力管内被加热到沸腾，然后部分汽化，平均质量含汽量14%的汽水混合物在汽鼓内分离，然后送到2台500MW电功率的汽轮机。 设计优点：没有压力容器和蒸汽发生器，以连续的方式更换燃料，具有燃料循环的灵活性，有可能通过孔道来调节孔道的冷却流量，从热工观察点可分别用来检查可能的包壳破损。 设计缺点：冷却水分配系统和每根孔道集流系统设计具有复杂性，在金属构件、石墨和燃料中积聚了大量热能，对于功率分布和控制是十分困难且复杂的。,RBMK1000设计特点（续）,该堆的安全不利因素： （1）堆芯具有正空泡反应性效应； （2）控制棒挤水棒的正反应性效应（控制棒下端连接着石墨制成的挤水棒，插入堆芯时会引入正反应性）； （3）没有设置安全壳。 技术规格书中有以下两点规定： （1）当热功率低于700MW时，禁止以连续的方式运行。 （2）在正常运行时，需要有70根控制棒插入堆芯。,切尔诺贝利核电站,,始发事件,停堆前，4号机组在额定参数状态下运行。 1986年4月25日趁计划停堆检修前的机会，作汽轮机发电机惰走带负荷试验。该试验的目的是验证在失去外部电源的情况下，在应急的柴油发电机投入运行以前，由几组汽轮发电机中一组发电来给堆芯应急冷却回路供电的可能性，在全部蒸汽供应中断以后，该组汽轮发电机凭其惯性减速运行。,事故过程,第１阶段 4月25日凌晨1时，按计划降功率，13时05分，热功率降为1600MW，同时停止该机组的一台汽轮发电机。 14时整，为了防止试验过程中应急堆芯冷却系统动作，解除了该系统的备用状态。 由于外网供电的要求，反应堆在半功率水平运行9小时。期间，堆芯氙中毒达到了最大值，为了补偿氙增长效应，逐渐地将控制棒拔出。,事故过程,第2阶段 按照大纲要求，实验在700～1000ＭＷ功率水平下进行。23时10分，重新开始降功率，由于操纵员对设备误操作，堆失去了自动控制功能，操纵员不能有效调节功率，热功率直接降到30MW。 堆芯氙毒增长很快，26日凌晨1时，为了将功率稳定在200MW以上，需重新拔出大量控制棒。此时反应堆热功率抵于700MW，插入堆芯的控制棒少于30根，按照规定，已经不能再运行了。,事故过程,第3阶段 强行继续实验。由于低功率运行，造成汽水分离器中蒸汽压力和水位下降。为了避免蒸发器中蒸汽压力与水位的低值停机停堆，操作人员解除了这两个参数的事故保护信号。 启动2台备用给水泵，连同正运行的6台共8台给水泵投入运行，又加大给水流量，才抑制了水位的下降趋势。给水流量加大为额定值的4倍，易引起泵的汽蚀，导致泵的振动和损坏。 堆芯氙继续积累，导致再提控制棒，堆芯内仅有6～8根棒。设计上15根控制棒即要求立即停堆，但没有发生自动停堆动作。工作人员决定继续实验。,事故过程,第4阶段 26日1时23分04秒，8号汽轮发电机的紧急截止阀关闭，停止向汽轮机供汽。操纵员决定解除了停机的停堆保护信号，再次偏离了大纲要求。 停止向汽轮机供汽，又停了4台冷却水泵，堆内蒸汽产量增加，反应性增加引起自动调节棒下插。自动棒不能补偿含汽量增加引起的反应性增加，反应堆功率急剧上升。 值班长下令紧急停堆。由于大多数控制棒高悬堆芯之上，初始插入时因挤水棒正效应、正气泡反应性及正功率反应性效应，导致堆功率剧增。,事故过程,第5阶段 熔融的燃料碎粒与冷却剂剧烈反应引起蒸汽爆炸，石墨燃料、一回路系统和反应堆厂房被破坏，大量放射性物质释入大气。反应堆防护板（1000t）被爆炸物卷起。 浓烟烈火直冲天空，高达1000多米。火花溅落在相邻的反应堆厂房等建筑物的屋顶，引起多处火灾。,切尔诺贝利核电站事故的原因分析,苏联专家在总结这起核电站事故的教训时指出：有关人员玩忽职守、粗暴违反工艺规程是造成事故的主要原因。按规定，在反应堆的反应区内至少应有１５根控制反应的控制棒，而在事故发生时只有８根。反应堆产生的蒸汽是供给两台涡轮发电机的。在关掉涡轮机时，自动保护系统会立即关掉反应堆。但是，核电站工作人员在实验之前先切断了自动保护系统。这样，在关掉涡轮机开始实验时，反应堆却在继续工作。与此同时，工作人员还关掉了蒸汽分离器的安全联锁系统。这种做法宛如飞机要降落时，驾驶员却没有放下起落架。,切尔诺贝利事故中违规操作,切尔诺贝利核电站事故的原因分析(续),RBMK堆芯在设计上存在致命不足： （1）冷却剂有很高的正空泡系数，低功率下反应堆极不稳定； （2）缺少快速的紧急停堆系统，控制棒全部插入堆芯约需20s； （3）自动保护系统极少，主要靠操纵员手动操作，可靠性较差。,切尔诺贝利核电站事故的原因分析,,Control rods of the Chernobyl reactor,Due to a design error of RBMK reactors, the upper and lower parts of the control rods contain graphite. According to the regulations, in a shut down reactor the control rod should be at position D. During operation it should be at position C, in which case graphite is located in the reactor core instead of neutron absorbing borated steel. . Before the accident, however, due to the accumulated reactor poisons the automatic control system pulled the rods out to level A, which is not allowed. Therefore, the space of control rods was occupied by water instead of graphite. If one inserts a control rod inner to the reactor in order to decrease power, graphite takes the place of water. Since graphite practically does not absorb neutrons, while water does, there will be a temporary increase in power, as it was had been observed earlier in Ignalina.,切尔诺贝利事故引发的争议,事故引发对于核电安全的长期争议 负面 自切尔诺贝利事故发生以来，许多国家以核安全为由停止建造核电站 正面 许多研究核辐射的专家认为，不能否认核电是清洁、安全的能源 全世界因核事故和核辐射事故致死的总共有73人 核反应堆事故有关的３１人 核辐射事故致死４２人 与每年数以万计死于车祸或其他意外事故的人数相比，实在是微乎其微,“石棺” 钢筋混凝土封起来的切尔诺贝利核电站4号机组,图为用钢筋混凝土封起来的曾经发生核泄漏的切尔诺贝利核电站4号机组,2002年的切尔诺贝利附近,图为外国记者在切尔诺贝利市中心参观为参加抢险人员建立的纪念碑，碑文上写着：“献给拯救世界的人”。,图为外国记者在探访当年遭受切尔诺贝利核电站污染的房舍。,切尔诺贝利核电站事故的教训,核安全文化 三哩岛事故的发生表明，尽管有规程的支持，但仍有可能出现人为的失误 三哩岛事故后，尽管各国核电站采取了许多管理措施以限制人为失误，但均未从适当的工作方法上入手根本上限制人为失误的出现 切尔诺贝利事故表明，管理形式与核安全、个人对核安全参与程度与核安全水平是直接相关的。 有必要摆正核工业中不同角色的位置：在各个层次实际负责核安全的营运者，独立的核安全当局，以及消息灵通的公众。 完整的核安全图象：管理层所采取的措施及工作人员对核安全的参与，完善和加强了设备及其管理方面的安全措施，加之对核安全的理解，就形成了“核安全文化”的概念,切尔诺贝利事故中暴露的管理问题,压水堆与切尔诺贝利核电站设计比较,日本福岛事故及其启示,,福岛核事故概况,,福岛1号核电厂,福岛1号机组,,,,,汽轮机厂房,核岛,发电机,电网,由于地震，失去场外电,地震发生的时候，所有反应堆安全停堆 应急发电机正常启动 主要原因是海啸,海啸（超过10米）,海啸造成应急发电机失效,,,,,,,功能失效,堆芯水位下降,堆芯裸漏,锆水反应产生氢 燃料损伤,,,水位下降,乏燃料裸漏,锆水反应产生氢 燃料损伤,冷却水泄漏，冷却能力不足,爆炸,事故起因及进程,日本福岛事故原因总结,直接原因是由于地震和海啸的外部灾害造成核电厂丧失了全部电源，导致堆芯冷却丧失，从而造成堆芯熔化。 日本法规中不包含严重事故应对的要求，核安全委员会出版事故管理导则，并不是法规要求，要求核电站自愿采取应对严重事故的措施 法规中对于长时间失去交流电源缺乏充足的考虑 提高核设施抵御外部事件、预防和缓解严重事故的能力 制定并实施严重事故管理导则 开展二级概率安全分析、外部事件概率安全分析 加强严重事故应急准备和应急响应,美国NRC对于福岛事故的经验反馈,2011/07/13 发布《增强二十一世纪反应堆安全的建议》,梳理法规体系 （Clarifying the Regulatory Framework） 确保预防措施 （Ensuring Protection） 增强缓解能力 （Enhancing Mitigation） 加强应急准备 （Strengthening Emergency Preparedness） 提高工作效率 （ Improving the Efficiency of NRC Programs ）,确保预防措施 建议2：再次评估和升级对每个运行机组抵抗设计基准地震和洪水灾害必要的系统、部件和构筑物（SCCs） 建议3：评估针对地震引发的火灾和水淹的预防和缓解能力的潜在的措施。 增强缓解能力 建议4： 加强在设计基准和超设计基准外部事件中应对SBO的缓解能力 建议5：沸水堆电厂中Mark I型和Mark II型安全壳需要可靠的从安全壳内进行排气的系统设计 建议6：应进一步研究福岛核事故，从中得出关于安全壳及其他建筑物内氢气控制及缓解的措施。 加强应急准备 建议9：建议NRC要求核设施应急计划应对长时间的全厂断电（SBO）和多机组事件,重点在于加强纵深防御,总共12条建议中的2－11条均是从纵深防御的角度来阐述。,日本政府对于福岛核事故的经验教训总结,（1）加强应对严重事故的预防措施 （2）增强严重事故的响应措施 （3）增强核应急响应 （4）加强安全设施 （5）提高安全文化的认识,分为五大类（共计28条）：,加强应对地震和海啸的措施 可靠的电源供应 反应堆和安全壳可靠稳定的冷却功能 乏燃料水池可靠稳定的冷却功能 完善事故管理措施 对于多座反应堆相邻发生问题的响应 在基础设计中考虑核电站的位置 确保重要设备设施的供水,（1）加强应对严重事故的预防措施（8条）,,增强氢气爆炸的预防措施 增强安全壳泄压系统 提高事故响应环境 增强事故中的辐射管理系统 增强对严重事故响应的训练 增强负责确认反应堆和安全壳的状态的设备 主控室的应急供应和设备及建立救援队,（2）增强严重事故的响应措施（7条）,,对于大规模自然灾害和长期核事故的综合应急响应 加强环境监测 明确中央和地方组织之间的责任划分 增强事故情况下的通信 增强对于其他国家援助的响应和与国际社会的沟通 充分确认和预报放射性物质释放的后果 在核应急时准确定义疏散区域的范围和放射性防护准则,（3）增强核应急响应（7条）,,加强安全管理体系 建立并加强法律体系、准则和规范 核安全和核应急准备响应的人力资源 确保安全系统的独立性和多样性 在风险管理中有效的应用概率安全分析,（4）加强安全设施（5条）,,提高安全文化认识,（5）提高安全文化认识（1条）,,福岛事故后的核安全发展趋势,第四代核能系统钠冷快堆安全设计准则： 加强严重事故预防和缓解，在电厂设计中提前考虑严重事故管理措施的应用 考虑极端外部灾害，考虑外部事件导致的共因故障 考虑乏燃料水池的安全壳功能设计 考虑应对长期丧失电源的措施,福岛事故后的核安全发展趋势,我国《核安全与放射性污染防治“十二五”规划及2020年远景目标》： 新建核电机组具备较完善的严重事故预防和缓解 提高核设施抵御外部事件、预防和缓解严重事故的能力 制定并实施严重事故管理导则 开展二级概率安全分析、外部事件概率安全分析 加强严重事故应急准备和应急响应,谢谢！,