核史丨固若金汤的核电厂是怎样炼成的

1

没有安全壳的核电厂

在2009年最后一天的晚上，当立陶宛东北部的伊格纳利纳(Ignalina)核电厂2号机组由1320MW慢速降功率，直至进入停堆状态时，标志着这座波罗的海地区唯一的核电厂正式全面关停。作为曾经的世界上核电占全国发电比例最高的国家，立陶宛从此成为无核电国家，一下子由能源出口国变成了进口国。

（来源：微信公众号“核史钩沉”作者：另类核史 ）

立陶宛伊格纳利纳核电厂

伊格纳利纳核电厂在上世纪80年代由苏联专家设计建造而成，与1986年发生严重事故的切尔诺贝利核电厂反应堆“师出同门”，而且是单机功率最大的一个。实际上，核电厂的关停是一个政治决定，是立陶宛履行加入欧盟时做出的承诺，1号机组早在2004年已经关闭。

跟伊格纳利纳核电厂同样遭遇的，还有保加利亚的科兹洛杜伊(Kozloduy)核电厂的4台机组和斯洛伐克的博胡尼斯(Bohunice)核电厂的2台机组。欧盟认为这些反应堆的继续运行是不安全的，作为加入欧盟的交换条件之一，保加利亚和斯洛伐克分别在2002年-2008年间关闭了反应堆。

保加利亚科兹洛杜伊核电厂

话说曾经的社会主义阵营“老大哥”苏联，自1960年代起，在核电厂反应堆的设计上主要进行了两个方向的探索：一是在军用钚生产性反应堆基础上，开发了轻水冷却、石墨慢化的高功率管道型反应堆，即RBMK型反应堆，如切尔诺贝利核电厂和伊格纳利纳核电厂的反应堆；一是在核潜艇反应堆基础上，开发了水-水高能反应堆，即VVER型反应堆，同属于广为人知的压水堆范畴。

最早得到批量化建造的VVER-440/V-230反应堆（440代表电功率440MW），如保加利亚和斯洛伐克关闭的核电机组，虽然安全裕度较大，建有包容放射性物质功能的反应堆厂房，但没有西方安全标准意义上的承压安全壳，也没有设置应急堆芯冷却系统。随后的VVER-440/V-213反应堆，如芬兰洛维萨(Loviisan)核电厂，才逐步建造有安全壳和应急堆芯冷却系统。1990年代开发的VVER-1000反应堆，如我国的田湾核电厂，则采用了双层安全壳结构，并把乏燃料水池也布置在安全壳内。

芬兰洛维萨核电厂

1986年切尔诺贝利核事故发生后，西方社会随即公开指责苏联和东欧的RBMK和VVER/V-230反应堆存在很大的安全隐患。在欧盟的《2000年议程》中指出，对第一代的RBMK和VVER型反应堆进行安全改造，使之达到国际上可接受的安全标准，在经济上很不划算，因此要求那些希望加入欧盟的东欧国家，必须以彻底关停这些类型的反应堆为前提条件。

事实上，西方社会对苏联式反应堆安全性的疑虑，早就存在。在1964年的第三届和平利用原子能国际大会期间，当美国代表团看到苏联展示的一个反应堆模型时，对其安全壳的设计十分惊讶：只是在反应堆压力容器的周围罩了一个很小的安全壳，而且位于一个办公建筑里面。在场的苏联专家信心满满地解释，在他们的认识里，冷却剂主管道破裂极不可能发生，所以没有必要把主管道、蒸汽发生器和稳压器等设备罩起来而浪费钱。

同时期美国核电厂的设计中，则要求将整个一回路冷却系统都布置在安全壳里，并假设在发生冷却剂主管道破裂情况下，安全壳能抵御事故产生的峰值压力，并将放射性物质向环境释放引起的公众剂量限制在规定限值以内。

那么，这种后来几乎成了全世界轻水堆核电厂安全壳设计的标准要求，又是如何发展而来的呢？

2

关键的实体屏障

如《核电厂选址的故事》所言，进入1950年代后，美国在大力推广民用核能过程中遇到的第一个棘手问题，便是核电厂的选址问题。他们意识到，为保护公众安全与健康目的而确定的远距离选址政策，在大部分情况下是不现实的。正所谓“距离防护不够，依靠包容来弥补”，一种利用安全壳的工程安全措施设计理念便应运而生，有效地解决了核电厂距离电力负荷中心较近的难题，并在后来成为纵深防御安全策略中的一道关键实体屏障。

安全壳，是一种包裹反应堆及其冷却系统的气密壳体。概括起来，它所承担的安全功能，主要包括三项：一是作为放射性物质与环境之间的最后一道实体屏障，在发生事故情况下控制和限制放射性物质向环境的释放；二是作为一种非能动安全设施，考虑并防护地震、洪水、龙卷风、飞机撞击等外部事件对反应堆的影响；三是作为一种辐射防护屏障，保护工作人员在反应堆正常运行或事故情况下免遭过量辐射照射伤害。

安全壳概念示意图

根据其结构材料、形状和工作原理，安全壳可以有不同的分类方式。现代大型核电厂的安全壳，是一个内径约40米、壁厚约1米、高约60～70米的庞然大物，结构材料一般有钢结构、钢筋混凝土或者预应力混凝土。对于混凝土安全壳，一般在内壁包覆一层钢作衬里，防止气体泄漏。在最新的三代核电如AP1000和EPR中，则设计有双层安全壳，外层是混凝土，用以保护反应堆免遭外部飞射物撞击，内层是钢结构，用以抵御内部压力威胁。

AP1000非能动安全壳冷却系统

在早期的压水堆核电厂设计中，大部分安全壳是预应力混凝土构成的圆柱形结构。相比于张力，混凝土材料具有很好的抗压强度，因此安全壳做成圆柱状，其顶部向下作用的重力可以有效抵御压力突然升高情况下引起的张应力。随后，由于球体是最佳承压结构的缘故，也建造了很多近似于球形的安全壳。现代的大多数压水堆核电厂安全壳，则往往是球体与圆柱体的混合体，四周做成圆筒形，顶部是半球形。

美国三里岛核电厂圆柱形安全壳

德国格拉芬莱茵菲尔德核电厂球形安全壳

美国印第安纳角核电厂圆柱形和半球形结合的安全壳

在全球核电市场上占绝对优势的轻水堆核电厂，按照工作原理划分的话，其安全壳可分为两大类：

一类是大容积式安全壳，依靠大空间来对付事故情况下蒸汽产生的压力和温度挑战，包括压水堆的大型干式安全壳和负压安全壳两种类型；

另一类是非能动抑压式安全壳，利用吸能介质（冰或者水）来吸收事故情况下释放的能量，包括压水堆的冰冷凝器安全壳和沸水堆的Mark I、II和III型安全壳四种类型。

也就是说，在这六种安全壳中，压水堆和沸水堆各占一半，而大型干式安全壳占据了主导地位。另外，所有这些类型的安全壳都包括能动的冷却系统，比如喷淋系统和通风冷却系统等，以便在事故情况下提供额外的冷却和抑压能力。

典型的大型干式安全壳示意图

3

别致的抑压设计

跟压水堆相比，沸水堆的安全壳可谓别具一格。沸水堆核电厂通常为双安全壳配置，最外层的反应堆厂房又叫二次安全壳，主安全壳则由干井、湿井以及干井与湿井之间的连通管道组成。比如在Mark Ⅰ型安全壳中，干井为“灯泡状”钢制压力容器，除了上部可拆卸封头外，其余表面均用混凝土衬托；干井内布置有反应堆压力容器、给水管道和再循环回路等设备。湿井为环形圆筒状钢制压力容器，内装有几千吨的水，当干井内的反应堆冷却剂系统发生管道破裂时，泄漏的冷却剂闪蒸为蒸汽，使得干井内的压力和温度升高，蒸汽将通过连通管道排入湿井。另外，湿井可作为冷却堆芯的短期热阱，当反应堆压力容器的压力和温度过高时，可以打开主蒸汽安全释放阀直接把蒸汽排放到湿井内冷凝。因此，湿井具有抑制压力功能，故又称为“抑压池”。

Mark Ⅰ型主安全壳示意图

其实，通用电气公司最初开发的沸水堆核电厂，安全壳并不是这样设计的。1956年和1960年分别开建的美国德累斯登核电厂1号机组和大岩角核电厂，都是采用压水堆上常用的大型干式安全壳，而且都是球形的。

最早的沸水堆核电厂球形安全壳

1950年代中期，美国军方启动陆军核动力项目，探索开发易于组装和维护的小型核动力发电供热站。1962年3月，固定式小型压水堆核电站SM-1A在阿拉斯加的格里利堡建成投运。由于地处偏远、人迹罕至，建造过程非常困难，为了缩小安全壳的体积并减轻重量以及降低造价，反应堆供应商美国机车公司设计了一种非常新颖的安全壳，在其中特意配置了一池水，用以事故情况下冷却蒸汽和抑制压力上升。

美军在阿拉斯加的SM-1A核电站

受此启发，通用电气随后便在自己设计的沸水堆上应用这种池水抑压的理念。1963年，电功率63MW的洪堡湾(Humboldt Bay)电厂3号机组建成投运，成为第一个具有抑压安全壳的反应堆，也就是Mark Ⅰ型安全壳的前身。后来，通用电气在实践中不断地改进干井-湿井的抑压设计，相继开发了Mark II和III型安全壳。

美国洪堡湾电厂3号机组

沸水堆安全壳进化示意图

由于采用了抑压设计的理念，所以沸水堆安全壳中起关键作用的干井，体积要比压水堆安全壳小得多。比如，压水堆上大型干式安全壳的体积，几乎是Mark Ⅰ型安全壳的10倍。较小的空间设计，虽然可以降低建造成本，但也使得沸水堆抵御氢气爆炸或燃烧的能力大为减弱，因为一定程度上而言，安全壳内气体的滞留能力与其容积成正比。2011年发生的福岛核事故，多个机组相继发生氢气爆炸，应该说与Mark Ⅰ型安全壳的设计有直接关联。

4

不断优化的设计

安全壳的设计理念，无疑是正确的。既然人类无法预见并防止导致堆芯熔化与放射性释放的一切可能的事故，因此把反应堆置于一个耐压、防漏、抗震的安全壳里，在放射性物质与环境之间竖立一道关键的实体隔离屏障。

然而，完美的安全壳并不存在，设计并建造一个零泄漏的安全壳在工程实践上是不现实的。美国原委会在1962年颁布的联邦法规10 CFR 100《反应堆选址准则》，首次对安全壳的设计提出了要求。法规规定安全壳必须抵御冷却剂丧失事故导致的峰值压力并保持完好，将放射性物质向环境的释放限制在事先确定的设计泄漏率以下。技术专家们认定压力容器的破坏是不可信事故，所以便把冷却剂丧失事故选为最大可信事故，即后来所称的设计基准事故，因此安全壳也就不需要考虑承受压力容器完全破裂引起的载荷变化了。

法规规定了在事故情况下核电厂外不同边界处公众受照剂量的限值。由于公众受照剂量受到反应堆堆型、地理位置和气象条件等因素的影响，因此对于不同堆型和不同地理位置的核电厂，安全壳的设计泄漏率是不同的。后来，为了便于操作，大部分核电厂从保守角度出发采用标准技术规格书中的泄漏指标。为了满足法规的要求，核工业界陆续在安全壳里配置了多重工程安全措施，比如抑压池、安全壳喷淋系统、安全壳热量导出系统和空气净化系统等。

1971年，原委会颁布了联邦法规10 CFR 50附录A《核电厂通用设计准则》。其中的第50-57条准则，对安全壳的设计给出了明确要求，涉及到安全壳的设计基准、试验和检查要求以及安全壳隔离要求等。1973年又颁布了10 CFR 50附录J《水冷核电厂反应堆主安全壳泄漏率试验》，对安全壳的泄漏率试验提出了具体要求。

1979年发生的三里岛核事故，彻底改变了人们关于严重事故不可能发生的认识，也是对安全壳能力的第一次重大考验。虽然事故导致堆芯燃料部分熔化，但得益于安全壳良好的屏蔽与密封作用，最终释放至周围环境中的放射性物质非常少，对公众的辐射健康影响极其微小。而1986年发生的切尔诺贝利核事故，由于缺乏真正意义上的坚固安全壳，结果酿成了严重的公众健康与环境后果。

尽管安全壳在三里岛核事故中表现良好，但联系到1960年代后期美国核工业界引发的“中国综合症”以及应急堆芯冷却系统有效性争议，各方开始意识到严重事故情况下保持安全壳完整性的至关重要性。

严重事故对安全壳的挑战示意图

自1983年起，核管会耗费巨资，由桑迪亚国家实验室牵头实施了庞大的安全壳完整性研究，整个项目前后历时25年。他们设计、建造了不同比例、不同材料的安全壳模型，实地测试安全壳对不同载荷与冲击的响应能力，并对电缆贯穿件、人员和设备闸门等的密封能力进行试验，为核电厂的概率风险评估和安全壳的设计改进提供了重要的数据支撑。

1:8钢安全壳模型试验

预应力混凝土安全壳模型的结构性失效模式试验

桑迪亚国家实验室开展的飞机撞击试验

2001年“9˙11”事件发生后，核电厂遭受恐怖袭击成为摆在核工业界与安全监管部门面前一个全新的核安全课题。在此之前，面对大型商用飞机的蓄意撞击，核电厂的防御能力可能有所不逮，在设计上也并不要求考虑抵御此类威胁。

作为安全改进对策之一，核管会经过长达数年的研究、讨论和辩论后，于2009年颁布了联邦法规10 CFR 50.150《飞机影响评估》，明确将大型商用飞机的蓄意撞击划归为超设计基准事故的范畴，并立足于加强未来核电厂的设计，提出了核电厂抵御此类威胁的相关要求。

商用飞机蓄意撞击核电厂威胁概念图

在此法规的影响和带动下，其他各主要核电发展国家也要求核电厂安全壳的设计必须考虑大型商用飞机的撞击影响。为此，各反应堆设计供应商纷纷对其推出的第三代核电厂设计作出针对性的安全改进，尤其是优化、增强了安全壳的性能，如美国的AP1000、欧洲的EPR和中国的“华龙一号”等先进核电厂设计相继通过了有关国家核安全监管部门的飞机影响评估审查，进一步巩固了未来核电厂的安全基础。