是在核动力厂中建立并保持对放射性危害的有效防御，以保护人与环境免受放射性危害。

目标适用于核动力厂的所有活动，包括规划、选址、设计、制造、建造、调试、运行和退役，以及有交放射性物质的运输、乏燃料和放射笥废物的管理等。

美国核管会的政策声明中提出（51FR30028，1986）

应该对公众的个体成员提供对核动力厂运行后果的一定水平的防护，以至这些成员不承受对第生命和健康明显的附加风险。

核动力厂运行对生命和健康所产生的社会风险与其他可行的竞争发电技术相比较应该是可比的或更低的，应该对社会风险没有明显的增加。

美国核管会的政策声明中提出（51FR30028，1986）

对紧邻核动力厂的正常个体来说，由于反应堆事故所导致立即死亡的风险不应超过美国社会成员所面对的其他事故所导致的立即死亡的风险总和的千分之一。

对核动力厂邻近区域的人口来说，由于核动力厂运行所致癌症死亡风险不应该超过其他原因所导致的癌症死亡风险总和的千分之一。

控制在运行状态下对人员的辐射照射和放射性物质向环境的释放；

限制导致核动力厂反应堆堆芯、乏燃料、放射性废物或任何其他辐射源控制事件发生的可能性；

如果上述事件发生，减轻这些事件产生的后果。

必须保证在所有运行状态下核动力厂的辐射照射或由于该核动力厂任何计划排放放射性物质引起的辐射照射低于规定限值，且可合理达到的尽量低。还应采取措施减轻任何事故的放射性后果。

必须到在核动力厂内所有辐射照射的来源都处在严格的技术和管理措施控制之下。

防止由于反应堆堆芯或其他辐射源失控所此起有害后果的事故，并在一旦发生事故时减轻其后果；

保证在设计中考虑的所有事故的放射性后果都低于相关限值 ，并保持在可合理达到的尽量低的水平；

保证有严重放射性后果的事故发生的可能性极低，并尽最大可能减轻这些事故的放射性后果。

核动力厂的正常运行；

预计对待事件时核动力厂的性能；

事故工况。在分析的基础上，确认设计抵御假设始发事件和事故的能力，验证安全重要物项的有效性，以及确定应急计划的输入。

安全设施和安全系统

营运单位制定的核动力厂事故管理规程；

国家和地方有关部门制定的场外干预措施。

尽管采取措施将事故发生的可以爱以身为天下控制至最小，但仍然存在发生事故的可能性。

按照恰当的质量水平和经验证的工程实践，正确并保守地选址、设计、建造、维修和运行核动力厂。

十分注意选择恰当的设计规范和材料，并对部件的制造、核动力厂的建造和调试进行质量控制。

降低内部危险可能性的设计 措施有助于事故的预防。

尽管注意预防，核动力厂在其寿期内仍然可能发生某些假设始发事件。

要求在设计中设置特定的系统和设施，通过安全分析 确认其有效性，并制定运行规程以防止这些始发事件上的发生，或尽量减少其造成的后果，使核动力厂回到安全状态 。

必须通过固有安全特性和（或）专设安全设施、安全系统和规程，防止造成反应堆堆芯损伤或需要采取场外干预措施的放射性释放，并能使核动力厂回到安全状态。

通过控制事故进展和减轻严重事故的后果来实现第四层次的防御。

安全目标：在严重事故下仅需要在区域和时间上采取有限的防护行动，且避免场外放射性污染或将其减至最小。

该层次要求配备恰当的应急设施，制定用于场内、场外应急响应的应急计划和应急程序。

控制反应性

排出堆芯余热，导出乏燃料贮存设施所贮存燃料的热量；

包容放射性物质、屏蔽辐射、控制放射性的计划排放，以及限制事故的放射性释放。

该物项要执行的安全功能；

未能执行其安全功能的后果；

需该物项执行某一安全功能的可能性；

假设始发事件发生后，需要该物项执行某一安全功能的时刻或持续时间。

1级：构成反应堆冷却剂压力边界的那些设备，如失效会引起失水事故（水堆）或失冷（高温堆）的物项。

2级：属于反应堆冷却剂压力边界但不属于安全1级的那些小设备、小管道（具体定义是，其失效引起的反应堆准予剂流失不超过正常补水系统提供的补水量）以及用于防止预计运行事件导致事故工况，或发生事故后用于减轻事故后果的物项，如专设安全设施。

3级：是冷却安全2级设备，或对安全级设备运行起支持保证作用（如冷却、润滑、密封等）的物项，如设备冷却水系统、重要厂用水系统等。

以物项定位，即一个物项唯一地赋予一个等级。

以物项和活动领域（设计、采购、制造、建造、运行和管理）两者定位，这种办法可能使同一我的物项在不同的活动阶段有不同的质保等级。

正常运行和预计运行事件（即在核动力厂运行寿期内预计会发生的事件）。

偏离正常运行，比预计运行事件发生频率低但更严重的工况。

提正常启动、停闭和稳态运行，包括核动力厂的正常启动、停堆、稳态功率运行、热停堆、冷停堆、正常换料、维护和维修过程中所遇到的经常性或定期出现的工况。

事件发生频率大于10（-2次方）/（堆·年），即在核动力厂的寿期内可能发生一次或数次偏离正常运行的所有运行过程。

事帮发生频率在10（-2次方）~10（-4次方）/（堆·年）之间，是核动力厂寿期内发生频率很低的事故。

事帮发生频率在10（-4次方）~10（-6次方）/（堆·年）之间，是核动力厂寿期内不可能发生的事故。但它一旦发生，就会释放出大量放射性物质，将可能导致放射性物质向环境中的释放，对公众造成严重的危害。

1）依靠核动力厂的固有特性，使假设始发事件不会对安全产生重大影响，或只使核动力厂产生赵趋向于安全状态的变化；

2）发生假设始发事件后，可借助非能动安全设施或在引状态下连续运行的系统的作用，以控制事件，使核动力厂趋于安全；

3）发生假设始发事件后，可借助为响应该事件而必须投入运行的那些安全系统的作用，使核动力厂趋于安全；

4）发和假设始发事件后，可借助执行专门规程使核动力厂趋于安全或使核动力厂状态得到控制。

假定假设始发事件对该安全组合会发生任何可能的有害后果；

假设执行所需要安全功能的安全系统处于许可的最不利配置，并考虑到维护、试验检查和修理以及允许的设备停役时间。

功能隔离

部件的实体分隔和布置

评估核动力厂在任何工况下的总体状态；

在系统和设备规定的参数限值（运行限值和条件）内运行核动力厂；

确认启动安全系统所需的安全动作在需要时自动触发，且相关系统按预期要求执行功能；

确定手动启动特定安全动作的必要性和时间。

个人照射量不得超过由国务院核安全监管部门确定的相应规定限值。

考虑了经济和社会因素，辐射防护措施必须使照射量保持在合理可行尽量低。

必须使运行工况期间的照射量不超过为大厂区人员和公众规定的个人剂量当量限值。

公众的个人年剂量当量限值用关键居民群的平均剂量当量来表示。

必须把计算的剂量与规定的设计目标值进行比较，以判断为厂区人员和公众提供的防护设计措施在假想事故工况下是否充分。

要求将所有照射都保持在规定的限值以内，并且在考虑了经济和社会因素之后达到合理可行尽量低。

成本—收益分析是辐射防护最优化的一种定量方法。

设计方法

厂区人员辐射防护设计程序：应实施辐射防护设计大纲

辐射剂量的评价

必须有必要的设计规定和规程（例如控制室的进入、关键设备的维修、工艺取样）使电厂运行人员能恰当地处理事故情况。

尽量避免在安全重要物项目附近贮存可燃物，如果不能避免，刚应尽量减少可燃物的贮存量。

可在安全重要物项周围建立防火区。

作用是在规定的时间内防止火灾或火灾的影响从一个区域扩展到另一个区域。

防火屏障两种设置方式

假定防火区内的全部可燃物料全部烧光，而未受影响部分仍能保证停堆、排出余热和包容放射性物质的基本安全功能

在防火屏障不能达到额定的耐火极限时，或者在设置防火小区时，需采用火灾探测和灭火系统等来防止火灾蔓延

典型二次效应例子

确定核动力厂的安全重要物项；

确定防火区内可燃物的贮量、火灾特征和火灾后果；

确定防火屏障所需的耐火极限；

确定防火区或防火小区所需的火灾探测和灭火手段；

确定需要补充或附加的防火措施；

确定满足了保证停堆、排出余热和包容放射性物质基本安全功能的防火要求。

制定和确认所有安全重要物项的设计基准；

表征与核动力厂设计和厂址相适应的假设始发事件；

分析和评价假设始发事件导致的事件序列，以确认鉴定要求；

将分析结果与验收准则、设计限值、测量限值以及可接受限值进行比较，以满足辐射防护要求；

论证通过安全系统的自动响应并结合所规定的操纵员动作，能够管理预计运行事件和设计基准事故；

论证通过安全系统的自动响应和利用安全设施功能并结合预期的操纵员动作，能够管理设计扩展工况。

论证整个设计是平衡的，没有任何一个设施或假设事件对于总的风险会有过大的或明显不确定的贡献，且纵深防御的各层次应尽实际可能独立；

确认核动力厂不存在陡边效应；

将分析结果和已规定的风险准则进行比较。

燃料元件不烧毁；

一回路压力小于110%设计值；

放射性后果按正常排放允许值控制。

燃料元件保持可冷却状态；

一回路压力小于120%设计值；

放射性后果以厂区边界(2h）及低人口区边界（8h）剂量计算。

因局部热负荷过大，损坏堆芯燃料元件，由于在控制棒下插状态下，功率不均匀系数很大，增加了堆芯损坏的可能性；

向环境释放放射性物质；

大量的二回路冷却剂带着热量进入安全壳，使安全壳内压力升高，危及安全壳的完整性。

事故初，因受损环路蒸汽发生器二次侧湿度下降，造成一回路湿度与压力下降。

随后，受损蒸汽发生器传热管裸露，一次侧向二次侧传热恶化，使反应堆冷却系统湿度和压力迅速升高。

以应堆冷却剂泵轴瞬时卡死或断裂：将使堆芯冷却剂流量迅速下降，系统升温升压。

卡轴事故中，冷却剂管道内形成很大阻力，流量下降迅速；

断轴事故发生几秒以后，受损环路内形成较大的反向流理，从而减小堆芯流量。

控制棒驱动机构密封壳套发生破裂，以应堆压力容器内外巨大的压着或把插入堆芯的控制棒迅速弹出。

发生频率较高的极限事故，需要更严格地限制事故后的放射性物质释放。

以假想的冷管段双端剪切断裂为始发事件，过程可分为喷放、再灌水、再淹没及长期冷却四个阶段。

也以冷管段破口较为严重，与大破口失水事故相区分的主要特点为：系统内汽相与液相的分离及蒸汽发生器导出热量对过程起重大影响。

核动力厂发生预期运行瞬变，参数偏离了正常运行限值而要求停堆时，停堆失效造成的事故。

20世纪70年代以后发展起来的系统工程方法；

采用系统可靠性（即故障树、事件树分析）和概率风险分析方法以复杂系统的各种可能事故的发生和发展过程进行全面分析，从它们发生的概率以及造成的后果综合进行考虑。

为严重事故的预计和缓解提供了定量分析基础。

生命与财产损失或损伤的可能性

个人风险：在单位时间内由于发生某一确定事件而给个人造成的后果。

社会风险：指对整个社会群体造成的后果。

1）什么能够破坏？说明事故的情景。什么情况能够造成偏离正常运行？什么系统可用来缓解事件“操作员的什么行动可以影响事件的发展？

2）有多大可能性发生？说明概率和频率的问题，偏离事件的频率，设施失效的概率，设备不能服役的概率，人员差错概率；

3）会造成什么样结果？说明其后果。可能出现什么样的热工现象？电站的结构能力如何？

一级PSA：系统分析

二级PSA：系统分析与安全壳分析

三级PSA：二级PSA结果加上有政策外结果的评价。

始发事件：产生一个需要分析的始发事件上（IE）清单，并对这些始发事件进行分组，以便减轻事件序列模型化和定量化的工作量。

事件序列分析：对每一个始发事件，必须确定为防止堆芯损坏所需要执行的安全功能。

系统的模型化：分析始发事件后，形成一系列事件树，其中一个重要要素是系统的成功或失效。必须采用有效的系统建模方法对系统作出可靠性分析。

数据评价和参数估计：为了对事件序列模型和系统模型进行定理化分析，不必须取得相关基础数据。

事件序列的定量化：利用事件树和故障树技术对核动力厂堆芯损坏情况分析，集中估计出堆芯严重损坏频率CDF/早期释放频率LERF。

结果文档化：为便于概率安全分析工作的查阅、审查、应用和修订，必须工作文档化。遵循可追溯性和顺序性原则。

概述

在反应堆设计中的应用

能够从风险角度评价各种不同的设计选择方案；

识别和解决电站设计中弱点；

识别系统间的相关性和潜在的共因失效；

找出与人员错误密切相关的事故情景和操作员行为；

在事故预防和事故缓解之间建立给平衡；

从安全和可用度角度优化系统和部件；

定性了解各系统和部件对事件序列的贡献。

利用概率安全分析评估核动力厂的技术规格书、维修大纲、定期试验大纲等，为合理地确定AOT（允许停役时间）和STI（试验间隔）提供依据；

可以为维修、试验和检查活动确定合哽的次序，使核动力厂的这些活动在较低风险水平下进行；

可以利用概率安全分析的结果系统地评价运行经验，确定运行事件在安全上的意义。

概率安全分析的结果能够为评价待解决的安全问题、评价运行事件、发展运行规程、改进应急运行程序（EOP）和操纵员培训提供很好的帮助，也能为核动力厂严重事故管理、应急计划的制订和评价提供合理的依据。