(苏州热工研究院有限公司,广东 深圳 518016)

概率安全评价(PSA)是以概率论为基础的风险量化评价技术。PSA是以真实而非保守的方式将所有有关的信息,包括核电厂设计、建造、运行、维修、设备可靠性、人员行为、堆芯损伤事故物理过程及其对公众健康与安全的潜在影响,加以综合分析的一种风险评价方法[1]。PSA方法首次大规模应用于核电厂的安全研究是1975年的《反应堆安全研究》(WASH-1400)[2]。随着核安全监管与安全管理技术的深入发展,概率安全评价(PSA)成为核安全监管的必要技术,受到核能业界及安全当局越来越多的认可和重视。HAF102—2016《核动力厂设计安全规定》要求“必须对核动力厂的设计进行安全分析,在分析中必须采用确定论和概率论的安全分析方法来论证在核动力厂各类状态下是否安全”,并明确要求新建核动力厂必须开展PSA分析[3]。福岛核事故后,为进一步提高我国核安全水平,无论是设计单位,还是核电厂的营运者,对应用PSA支持核电厂设计的需求也越来越高。

在核电厂设计阶段开展了PSA分析的主要目的有：

1)评估核电厂的整体安全水平；

2)识别薄弱环节,即找出对机组整体风险贡献较大的支配性事故序列和失效模式,为设计改进提供参考；

3)评价机组设计的平衡性,确认分析范围内的始发事件对核电厂总风险的贡献不会过大；

4)确认核电厂参数小的偏离不会引起核电厂性能严重异常(陡边效应)。

在《核安全与放射性污染防治“十二五”规划及2020 年远景目标》中明确要求新建核电厂要开展概率安全评价研究,并提出两个新建核电机组应达到的安全目标：堆芯损伤频率(CDF)≤10-5/堆年；放射性大量释放频率(LRF)≤10-6/堆年。为了全面地评估这两个反映核电厂整体安全水平的风险量,PSA的分析范围应该包括功率工况和停堆工况、内部和外部事件、一级和二级,这样的PSA可称为全范围PSA。其中,内部事件PSA是全范围PSA的基础,在核电厂设计中的应用最为广泛。

PSA技术在成熟的大型商用堆设计中的作用是显著的,对于没那么成熟的小型堆设计来说,PSA技术更是支持小型堆设计方案确定和设计改进的利器。PSA的分析结果不仅可以识别出核电厂设计中存在的薄弱环节,还提供了改进的方向、重点以及具体措施。PSA可以用于比较各个设计候选方案,从安全的角度确定出更合理、更有效的解决方案。

关于PSA技术在核电厂的设计、改进中的应用,IAEA-TECDOC-1200指出“核电厂PSA最重要的应用之一就是识别潜在的安全改进和支持核电厂性能改进方案的选择、设计、安装和执照申请”[4]。本文对内部事件PSA在核电厂设计中的应用方法和实施流程进行阐述,并介绍ACPR1000堆型和小型堆设计过程中的PSA应用案例。

1 运用概率安全评价评估设计方案或提出改进建议的流程和方法

在核电厂设计过程中,PSA技术可以从风险角度评估设计方案的合理性,并针对薄弱环节提出设计改进建议。

运用PSA评价核电厂设计方案是否合适的方法是：找出对风险起主导作用的各种可能的事故序列,并确定核电厂哪些特性对这些事故序列的出现频率贡献最大。这些特性可能是潜在的硬件失效、共因失效、试验和维修期间的人因失误,或者规程不适合或干预人员本身造成的人因失误。因此PSA可以揭示核电厂应当特别注意的那些特性,也为提高安全性提供了依据。

PSA分析得到的信息库中给出了对风险有明显贡献的主要事故序列和核电厂设计特性,这些见解有助于核电厂应对设计基准事故之外的事故,也为操纵员提供处理这些事故的信息和指南。此外,这些见解还可以指导设计人员将注意力放在对核电厂风险起支配性作用的特性上,帮助设计人员为提高安全性而对人力物力的分配做出决策。总之,PSA定量分析可以得出很多重要而且有用的结果,这些结果及其在核电厂设计上的应用主要有：

1)CDF：是始发事件、硬件失效或人因失误的耦合导致堆芯损伤的频率。CDF的高低说明了核电厂的安全水平,由于模型的完整性和充分性以及输入参数的不确定性导致CDF有一定的不确定性,因此,纯粹对CDF绝对值进行评价和分析的意义并不大。CDF主要应用于不同设计方案之间的相对比较,以及某一设计方案的利益代价分析。

2)早期大量释放频率(LERF)：导致放射性核素在有效地疏散紧邻核电厂的居民之前大量地、未被缓解地从安全壳向外界释放,从而可能造成早期健康影响的事故的发生频率。LERF在应用方面的作用基本与CDF相同。

3)导致堆芯损伤的支配性事故序列：是指对CDF有突出贡献的事故序列。它们说明了发生某些始发事件后,核电厂在系统配置及人员响应方面存在的薄弱环节。PSA人员可以通过规程优化、制定程序、加强培训等改进建议来消除或降低支配性事故序列的发生频率。

4)导致堆芯损伤的支配性最小割集：是指对CDF有突出贡献的始发事件、设备故障模式或人因失误的组合。PSA人员可以提出设计改进建议来避免这些组合或降低其出现的频率,从而提高安全水平。

5)设备重要度：说明了某个设备对CDF的影响程度。主要有3个指标：FV重要度(Fussell-Vesely Importance Measure)、风险增加值(RAW)和风险减小值(RRW),分别从不同的角度说明哪些设备对核电厂安全是最重要的。核电厂可以根据设备的重要度识别安全重要设备并依此来对设备进行分级、采购。确定出需进行重点分析以提高其可靠性的设备,同时合理地安排核电厂的维修活动。

6)人因重要度：是指人因事件对CDF的影响程度。它说明了核电厂应特别注意哪些维修活动和事故处理环节,为维修人员和操纵员的培训提供了有针对性的建议,同时也指出了事故处理规程或维修规程存在的薄弱环节,使得核电厂可以有针对性地完善相关的规程。

7)始发事件重要度：是指始发事件对CDF的影响程度。对CDF贡献大的始发事件可通过加强规程准备、人员培训等响应行动来降低其发生后对核电厂的风险影响。

针对薄弱环节,运用PSA技术提出设计改进建议的流程如下：

1)建立分析电厂的PSA模型；

2)运用该模型开展电厂设计定性和定量分析。针对重要的始发事件,从事故序列、最小割集两个角度进行审查,找出重要风险贡献项,如需要加强的功能,或者是设备,或者是人员操作；

3)审查CDF和LERF基准模型的基本事件重要度,包括割集重要度(FV)和RAW,从中找出对风险贡献大的共性基本事件,并与相关的功能或设备相对应,以确定薄弱环节；

4)整理初步确定的薄弱环节,审查和确定出最终需关注的薄弱环节,并提出针对性的改进策略。

图1 运用PSA提出设计改进建议的流程Fig.1 Process of design improvements using PSA

2 应用案例分析

在核电厂设计阶段,PSA分析的主要目的是优化核电厂设计,并论证核电厂的相关指标满足国家核安全局法规的安全目标。国家核安全局发布的HAD102/17 《核动力厂安全评价与验证》中要求的核电厂概率安全目标：1)运行核电厂堆芯损伤坏频率(CDF)≤10-4/堆年；大量释放频率(LRF)≤10-5/堆年；2)新建核电厂CDF≤10-5/堆年；LRF≤10-6/堆年[5]。更进一步地,PSA分析除了保证核电厂的设计满足安全目标外,还能在此前提下为设计方案的确定和改进提供一个重要论证方法。

下面以在国内已经实施的PSA应用案例,来阐述PSA在核电厂设计过程中发挥的重要作用。

2.1 ACPR1000设计方案改进

ACPR1000是在CPR1000的基础上持续改进,并增加了多项设计改进后确定的技术方案。

根据在CPR000机组FSAR阶段开展的内部事件一级PSA分析,PSA人员获得了以下风险见解：

1)安注直接注入晚期和安注再循环阶段,低压安注泵失效会导致高压安注和低压安注都失效,其中低压安注泵失效占主要比例；

2)安注再循环阶段,安全壳内热量只能由安全壳喷淋系统带出,其中安全壳喷淋泵的失效占重要的比例；

3)主泵轴封破口对丧失热阱和全厂断电事故有重要影响；

4)在丧失压缩空气下,辅助给水系统(AFW)流量调节阀丧失调节能力,影响AFW系统可靠性；

5)二次侧冷却功能与充排功能安注再循环阶段所使用的仪控信号存在相关性,直接影响多个系统的可靠性。

基于PSA分析的风险见解,以及福岛核事故和其他方面的经验反馈,PSA人员在ACPR1000设计方案确定之初提出了一系列改进项。经过筛选分析,ACPR1000最终实施了以下6项改进项,这些改进项对于降低内部事件CDF有明显贡献(总下降幅度约40%),而且与PSA风险见解相一致。

1)事故情况下安注和安全壳喷淋相互快速备用(H4管线)的改进建议,并对接入时间提出明确要求；

2)从总体安全性考虑,提出选择停车静止密封装置的建议,改进主泵轴封完整性；

3)增设后备柴油机,并从降低风险和成本控制方面综合考虑,对后备柴油机的接入时间、所带负荷提出要求和建议；

4)ASG系统调节阀供气增设压缩空气罐的设计改进；

5)基于PSA分析,针对二次侧冷却功能与充排功能安注再循环阶段所使用仪控信号的相关性,提出优化仪控信号处理单元分配的改进方向；

6)建议增加仪控多样化驱动系统(DAS)。

内部事件PSA在ACPR1000设计中的应用是我国全面运用PSA技术支持核电厂设计的一次重大实践，但对于国内尚不成熟的小型堆设计来说,PSA技术在设计中的应用更多、更深入,主要作用体现在设计方案的确定和比选,设计方案的改进,以及安全—经济性分析等。下面是内部事件PSA在小型堆设计中的几个应用案例。

2.2 小型堆安注箱注入管线设计方案确定

某海上小型堆的中压安注系统(MHSI)布置在反应堆舱内,该系统是一个安全级(FC1)的非能动系统,设置两列，每列100%容量。每列包括一个中压安注箱(ACC),和相应的注入管线。ACC的注入压力为5 MPa(a),当反应堆冷却剂系统(RCS)压力小于该压力时,ACC在覆盖氮气压力的作用下将除盐水注到RCS中。在监管当局的安全评审中，评审专家认为ACC注入管线上串联的两个逆止阀不满足单一故障准则,任一拒开都会导致ACC无法成功注入。评审方认为需要修改设计方案以使其满足单一故障准则,以期提高机组的总体安全性。考虑监管意见,设计专业提出了修改方案,为每个ACC水箱各增加一条注入管线使其满足单一故障准则。

图2 初始设计方案Fig.2 Initial design scheme

图2和图3分别是MHSI系统的初始设计方案和根据监管部门意见修改后的方案,修改方案在初始方案的基础上为每个ACC增加了一条注入管线,新增注入管线与原来的注入管线一样都设置了两个串联的逆止阀。注入管线的增多降低了由于注入管线上阀门拒开导致中压安注注入失败的概率,这对堆芯安全是有利的。但是仔细分析不难发现,由于新增的注入管线直接与RCS系统相连,是RCS系统压力边界的一部分。如果新增的这两条管道破裂将会导致一回路冷却剂丧失事故,即会导致安注管线破口始发事件发生频率增加,这对堆芯安全存在不利影响。

图3 根据监管部门意见修改后的方案Fig.3 New scheme based on Regulator’s opinion

方案变更对堆芯安全存在两种相反的影响,确定定论分析不好判断是利大于弊还是弊大于利,而PSA分析对此类问题可以发挥其独特的优势。通过PSA建模个分析,该方案变更对堆芯安全的影响如表1所示。

表1 不同方案的PSA定量分析结果

从表1的数据可以看出,增加注入管线的方案,使得安注管线破口以外的始发事件导致的COF下降了0.02%。但是,由于增加注入管线的方案造成安注管线破口始发事件发生频率增大,导致总COF增大了5.74%。

通过PSA分析我们可以直观地判断出设计方案的修改是弊大于利的,因此从概率风险的角度不建议采取该设计变更方案。根据PSA分析结果,最终设计专业向评审方给出了维持原来设计的结论。

2.3 小型堆安注系统取水管线优化

在某小型堆初步设计阶段,根据内部事件一级PSA分析结果,PSA专业提出了破口事故是导致芯损伤的最主要因素的风险见解,并提出了设法消除安注系统隔离阀共因失效的改进建议。一回路小破口事故(SLOCA)加上安注管线破口事故合计占总CDF的46.37%,其中安注水箱/抑压水池隔离阀共因拒开失效、抑压水池滤网共因失效和信号失效占据主导因素。从堆芯损伤的支配性割集可以清楚地看到,前10位最小割集中有5个与小破口事故有关。

表2 导致堆芯损伤的支配性最小割集

根据PSA提出的风险见解和改进建议,设计专业通过方案论证和可行性分析,确定了修改安注系统电动隔离阀备用方式的改进方案。该改进方案方案的主要内容是,将安注系统从安注水箱取水的电动隔离阀(A列SIS1101VP和B列SIS1201VP)的备用状态为由原来的常闭改为常开。这样就消除了原来排在第5位,占到总CDF 3.84%的支配性割集。通过PSA专业和系统专业的商议,该改进方案在几乎不花费代价的情况下获得了较高的安全收益。

2.4 海上小型堆丧失热阱风险识别

作为核电机组的最终热阱,设备冷却水(CCS)和重要厂用水系统(SWS)是核电厂中非常重要的支持系统。在事故情况下,堆芯余热的排出最终基本都要依靠CCS/SWS系统。虽然小型堆增设了非能动的冷却系统,CCS/SWS依然对堆芯的安全起重要作用,因为它们是小型堆重要专设安全设施的支持系统,包括高压安注系统、二次侧冷却系统、安全壳冷却系统、余热排出系统以及应急柴油发电机系统等。

海上小型堆在很多情况下为海岛等偏远没有外部电网的地区进行供电,这种工作条件导致海上小型堆在丧失热阱条件下将面临更严重的堆芯安全风险。由于没有外部电源,事故情况下机组需要通过柴油发电机来进行供电,而应急柴油发电机需要CCS冷却来，从而使环境温度保持在正常运行的范围内。因此丧失热阱会降低小型堆电源系统的可用性。

另外,由于受空间的限制,小型堆的高压安注泵房相对大型商用堆要小得多，且与外界通风不畅。对于大型商用堆,在丧失热阱条件下，通过泵房和外部空间的空气交换可以保持高压安注泵房的温度稳定，从而能够维持高压安注泵的正常运行,但对于小型堆来说，这一点是无法实现的。

在早期的热阱系统设计方案中，海上小型堆和大型商用堆类似,仅设置了设备冷却水和重要厂用水系统作为机组的最终热阱。

通过PSA分析发现,丧失热阱将导致所有能动系统不可用,缓解手段仅有非能动二次侧余热排出系统,这时丧失热阱(包括完全丧失热阱LCCW和部分丧失热阱PLCCW)导致的CDF为2.36×10-7/堆年,占总CDF的72.39%。

表3 方案改进前后的丧失热阱风险对比Table 3 Comparison of risks of lost heat sinkbefore and after scheme improvement

根据PSA分析结果,设计人员确定了为低压安注系统增加多样化冷源的改进方法。图4和图5分别给出了方案改进前、后完全丧失热阱事故的事件树。

通过为低压安注系统增加多样化冷源,丧失热阱(包括LCCW和PLCCW)导致的CDF降为2.15×10-8/堆年,占总CDF的14.12%。总CDF也从5.59×10-7/堆年下降为1.52×10-7/堆年,下降了72.81%。根据PSA分析结果提出的改进建议消除了小型堆设计的不平衡,并极大地提高了海上小型堆设计的安全性。

图4 没有多样化冷源的LCCW事故缓解Fig.4 LCCW accident mitigation without diversified cold sources

图5 为低压安注系统增加多样化冷源后的LCCW事故缓解Fig.5 LCCW accident mitigation after adding diversified cold sources to the low-pressure safety injection system

2.5 海上小型堆辅助柴油机安全等级变更

海上小型堆由于工作在孤立电网中,发电机组的供电为该电网中的唯一电源。因此,为应对事故的发生,在供电系统方面海上小型堆和大型商用堆有许多不同之处，海上小型堆设计了多重的柴油发电机在事故情况下为安全系统和其他必要系统供电。

海上小型堆的交流厂用电电源包括汽轮发电机组、辅助柴油发电机组、应急柴油发电机组和全厂断电(SBO)电源系统。以上几种交流厂用电的供电顺序如图6所示,多种供电方式提高了机组电源的纵深防御能力：

1)2台汽轮汽轮发电机组交叉供电,提高电源可靠性。

2)2台10 kV辅助柴油机作为备用电源,汽轮发电机停运后为小型堆及海上平台供电。

3)2台380 V安全级柴油发电机组,为安全重要负荷供电7 d。

4)1台SBO柴油机,为全厂断电工况下必须供电的主控室应急可居留等设备供电4 d。

图6 小型堆交流厂用电供电顺序Fig.6 Power supply sequence forthe small modular reactor

辅助柴油机设计的初始目的是作为汽轮发电机停运后的辅助电源,可以为包括专设安全设施在内的电厂重要设备供电。在事故后辅助柴油机自动启动,且在辅助柴油机不失效的情况下不需要应急柴油发电机启动。但是由于辅助柴油机采用非安全级的设备,事故后无法实现快速启动帯载。安全分析专业及电气专业考虑对辅助柴油机的设计方案进行变更,从而降低对辅助柴油机的设计要求。

针对不同的电源配置方案(表4),PSA专业分别开展分析论证,结果如表5。方案1考虑瞬态事故下给水系统(FWS)旁路供水的纵深防御功能,方案3则不考虑FWS的纵深防御功能。方案1和方案3辅助柴油机自动接入,与应急柴油机构成安全系统的冗余电源。方案2则不考虑辅助柴油机对安全系统的供电作用。

表4 小型堆厂用电配置方案

表5 不同方案的定量化结果

方案3相对方案1,总CDF上升13.16%,方案2相对方案1总CDF上升15.97倍。根据以上定性和定量分析结果,如果可以实现方案1的FWS低负荷供水的纵深防御功能,对机组的安全是有利的。方案3不考虑FWS的纵深防御功能,机组也有较高的安全性。从PSA结果来看,安全分析和电气专业提出的电源配置方案是可行的。

2.6 小型堆减少辅助柴油机冗余度设计改进

某小型堆在设计过程中一度设置三台辅助柴油机,冗余度较高。PSA分析结果表明,配置超过两台辅助柴油机对安全性的提升价值有限,从成本和布置条件限制等角度考虑，PSA专业建议减少一台辅助柴油机。

表6 辅助柴油机配置方案敏感性分析

根据表6的PSA分析结果,如果将原来的3台辅助柴油机减少为2台,CDF由1.18×10-7/堆年增加为1.20×10-7/堆年,仅上升1.69%,但该简化设计可以节约可观的设备成本和后期维护成本。该建议被系统设计专业采纳。

3 结论和建议

内部事件PSA在近年来的ACPR1000、“华龙一号”、小型堆等核电项目设计中已得到应用,包括安全相关的设计改进评价、重大安全问题的分析支持等,从弥补确定论安全分析的局限性、提出综合风险见解、提升设计方案的安全性、减少不必要的监管负担、提高核电厂经济性以及支持设计方案改进等各方面都发挥了不可替代的作用。

目前国内已经初步形成了内部事件PSA在设计阶段应用体系的框架,但相关技术还需进一步完善和提升。希望业界各方一起共同加强在PSA技术开发与应用领域的合作,共同推进PSA在核电厂更广泛的应用。