王子龙， 张刚平， 孟少朋

（1.中核核电运行管理有限公司， 浙江 嘉兴 314300； 2.中机生产力促进中心， 北京 100044）

0 引言

在美国三哩岛核电站事故后，概率安全评价（Probabilistic Safety Assessment，简称PSA）在核工业的繁荣开始了。虽然核电厂有多种安全设计，但仍可能发生反应堆堆芯损坏事故。 使用PSA 技术可以帮助核电厂识别薄弱环节，并在合理范围内减少堆芯损坏事故的发生几率。

20 世纪80 年代，美国核监管委员会（National Regulatory Commission，简称NRC）和业界对核电厂的运行性能进行了评价和分析， 发现核电厂的许多停堆或降负荷事故都与维修工作有关。

NRC 认为有必要建立一个机制来监测核电厂维修操作的有效性， 以确保关键安全系统能够执行指定的安全功能。1991 年7 月，NRC 发布了10 CFR 50.65 维修规则（Maintenance Rules，简称MR），标题为“监测核电厂维修有效性的要求”。 1993 年，美国电科院（Electric Power Research Institute，简称EPRI）发布NUMARC 93-01“监测核电厂维修有效性的行业指南”。1996 年7 月10 日，维修规则正式生效。

MR 是一种利用PSA 技术监控核电厂维修操作有效性的机制，允许关键安全系统执行其预期功能，并确保功能故障不是由于不正确的维修工作造成的。

1 MR 概述

1.1 MR 的流程和管理框架

核电厂的MR 和PSA 管理框架如图1 所示。 在建立维修规则的过程中， 该图的上半部分显示了建立流程，PSA 被用于筛选系统功能， 作为风险重要度的参考源并建立性能指标。

该图的下半部分表明，在实施MR 时，（a）（4）[1]风险管理基于PSA 技术。 将PSA 模型从平均模型转换为实时模型，以实现即时风险计算和风险提示。

在建立核电厂MR 的过程中， 首先， 根据10 CFR 50.65（b）（1）[1]和（b）（2）[1]的标准，MR 范围内的系统，结构和部件（System，Structure and Components，简称SSC）被归类为安全相关和非安全相关。 第二步是确定MR 范围内系统，结构和部件的风险重要度。 第三步是建立系统，结构和部件的性能指标（PC）。

图1 MR 和PSA 管理框架Fig.1 MR&PSA management framework

范围筛选的目的是：确定SSC 是否属于MR 范围，确定系统，结构和部件的风险重要度，以及确定系统，结构和部件的性能指标。 根据10 CFR 50.65（b）（1）[1]，（b）（2）[1]中描述的指南，由核电厂的系统工程师、维修规则协调员（MRC）和维修规则专家组（MREP）筛选范围。

建立MR 时，根据10CFR 50.65（b）[1]确认系统功能是否在MR 范围内。 PSA 工作人员确认筛选结果，以避免遗漏PSA 模型模化的系统功能。 MR 范围内的系统功能需要列出部件，PSA 人员将PSA 模化部件信息填充到部件列表中。

1.2 确定风险重要度方法

确定风险重要度的方法有两种： 对于PSA 分析模型中已有的功能， 主要以PSA 为分析工具来确定其风险重要度；对于PSA 分析模型中没有的功能，确定风险重要度只能采用专家判断。

用PSA 工具来判断风险重要度的三个准则：

* RRW＞1.005：若假设该功能100%可靠，由此带来的CDF 风险减少值大于1.005， 则认为该功能是风险重要的；

* RAW≥2：若假设该功能失效，由此带来的CDF 或LERF 风险增加值大于2，则认为该功能是风险重要的；

* 90%CDF：若一项功能包含在若干割集之中，这些割集按递减排序且累计对CDF 的贡献超过90%，则认为该功能是风险重要的。

用专家判断来确定风险重要度的方法见表1，根据该功能在事故响应和正常运行时的重要性， 由专家按下表逐项进行打分， 再按不同功能的权重因子计算出该功能的总体得分。 由专家组根据得分情况讨论确定一个阈值，总体得分高于阈值的，则认为是风险重要的功能。

表1 风险重要度打分表Tab.1 Risk importance score table

在MR 建立时， 核电厂的PSA 人员和操作人员应根据核电厂设计书，最终安全分析报告（FSAR）和程序进行初步系统筛选和系统功能分类， 然后根据10CFR 50.65（b）确定系统功能是否属于MR 范围。 PSA 工作人员确认筛查结果，以防止遗漏PSA 模型的模化系统功能。

PSA 工作人员使用风险重要度的PSA 标准来分类高安全性重要度和低安全性重要度， 然后维修规则专家组将做出最终判断。

1.3 设定性能指标的一般原则

性能指标是评价SSC 性能是否满足要求的标准，是判断针所开展的维修活动是否有效的准则。 性能指标分为两类，一类是电厂层级的性能指标，适用MR 范围内的所有SSC（功能）；另一类系统或设备层级的性能指标，适用具体的SSC（功能）。

和确定MR 的范围和风险度一样， 性能指标也是按功能来设定。 对于MR 范围内的每一个功能都应设定相应的性能指标， 实际操作时可以把几个相近的功能整合在一起设定相同的性能指标。

对于所有风险重要的功能及虽然属于非风险重要但处于备用模式的功能，应该建立具体的性能指标；而对于其它非风险重要的功能， 一般可通过电厂层级的性能指标来监测。

针对某项功能设定的具体的性能指标一般用可靠性、可用率或设备的状态参数表示：①可靠性：一段时间内的失效次数；②可用率：一段时间内的可用或不可用小时数；③设备状态参数：如壁厚、泄漏率、压力、振动等参数。

性能指标可以在系统、 系列或设备等不同层级上建立。 性能指标的建立要求可参照表2。

表2 性能指标分级表Tab.2 Performance indicator scale

通过性能指标来进行监测应该有一定的趋势预警功能。如果监测时间内某项功能不允许失效，即可靠性指标为0，则起不到趋势预警的作用，这种情况下应该进一步把性能指标建立在设备层级上， 即把设备状态参数作为性能指标，并对相关设备进行状态监测。

设定性能指标时， 可以通过适当延长监测周期的方法，来使可靠性指标不为0。 但必须确保不会掩盖设备的性能问题。

电厂层级的性能指标适用于MR 范围内的所有SSC（功能）。 至少包括：①7000 临界小时非计划停堆数；②非计划能力损失因子；③安全系统非计划启动数。

需要说明的是， 有些非风险重要和非备用的功能，不能通过上述电厂层级的性能指标来监督。 如乏燃料冷却系统的冷却功能、控制棒棒位指标功能，由于这些功能的失效，既不会造成非计划停堆和能力损失，也不会引起安全系统动作， 因此， 不能用电厂层级的性能指标来监测，这种情况下，就需要针对相应的功能建立具体的性能指标。

2 风险评价和管理

2.1 风险评价

根据10 CFR 50.65（a）（4）[1]，在进行维修活动之前，核电厂应评价和管理计划维修活动可能导致的风险增加。 评价的范围可能仅限于风险信息化评价过程对公共健康和安全具有重要意义的系统，结构和部件。

PSA 提供（a）（4）[1]适当的评价机制。因为PSA 的范围是通过考虑相关性和支持系统以及通过顶事件， 失效事件组合和响应行动的定义来开发的， 包括具有显著风险影响的系统，结构和部件及其他组合。评价风险意味着使用风险信息流程来评估计划维修活动的总体风险贡献。

在核电厂的正常条件下，在执行定期维修操作之前，PSA 工作人员应评价维修操作的风险， 并确保潜在风险在控制范围内是可接受的。 PSA 工作人员首先确定要执行的维修活动， 并指定由于维修活动而导致的不可用部件或系统。将不可用的部件或系统反映到PSA 模型，然后量化PSA 模型以评价风险增加的可能性。

一些紧急事件可能会改变先前（或计划）执行的评价的条件，PSA 工作人员应根据MR 范围内的事件重新评价由于条件变化而导致的风险。 根据评估结果， 可能需要暂停或重新安排计划的维修活动。

如果电厂拥有完整的PSA 模型和强大的风险监控工具， 则可以在几分钟内完成风险评价。例如，该软件界面可以很容易地选择退出运行的系统，结构和部件并且耦合到PSA 模型。

2.2 风险管理

核电厂的初始PSA 模型是平均模型， 模型中故障树的系统/部件设置是平均配置和平均维修。 描述如下：

平均配置：根据核电厂的电力运行情况，可能的运行条件，根据全年花费的时间比例分析核电厂的设备状态。

平均维修：根据核电厂的电力运行情况，可能的运行条件，分析和模化全年核电厂的维修概率。

当核电厂实施MR（a）（4）[1]时，平均模型中的故障树需要改变为具体配置， 零维修， 这是应用模式的初始状态。 描述如下：

具体配置：核电厂的实际运行状态是已知的；

零维修：基本情况为零维修，每个维修项目基本事件设置为0。 计算维修风险时，相关基本事件设置为1。

PSA 的结果提供了有关维修活动的见解。 风险管理为操作员提供适当的风险意识， 并采取适当的措施来控制风险。在设置风险管理限值时，电厂应考虑持续时间的因素。 堆芯损坏频率CDF 增量 （或早期大量释放频率LERF 增量）和持续时间的乘积由概率（增量堆芯损伤概率，ICDP；增量早期大量释放概率，ILERP）表示。

EPRI 的PSA 应用指南包括考虑用于评价短期风险增加的特定CDF 配置的指南，以及增量堆芯损伤概率和增量早期大量释放概率。 当与维修规则的其他要求相结合时，指南提供了（a）（4）[1]执行的可接受的替代方案。 如表3 所示。

表3 定量化指标Tab.3 Quantitative index

3 秦一厂MR 开发实践

秦一厂MR 项目仍处于开发性能指标的阶段， 按照以下四个步骤进行：

第一步，SSCs 筛选。

第二步，风险重要度判断。

第三步，性能指标建立。

第四步，指标验证过程。

截止目前， 秦一厂MR 开发目前取得了阶段性的成果，但仍然存在一定的问题，后续应与国家核安全局和业界同行加强沟通交流，不断改进和完善工作成果。具体如下：

（1）设备失效模式和失效数据依据秦一厂PSA 模型，很多来自美国早期的数据报告NUREG/CR-4550，失效模式、数据与现在较新的数据报告相比有很大不同，以后可能要进行更新；

（2） 电厂所有SSCs 性能指标确定后， 还需要代入PSA 模型计算其对风险结果的影响， 以便全面权衡性能指标的合理性， 但关于判断合理性的阈值尚没有明确的说法；

（3）性能监测职责和流程的确定、MR 软件的开发、定期评估内容的考虑、（a）（4）[1]要求的落实等工作都有待规划和开展。

4 结论

核电站使用风险监测工具进行定期维修操作和非常规操作风险管理。电厂根据员工、设备、备件、优先级等执行定期维修操作，并提前几周安排维修计划。当计划协调工作结束时，生成了初步计划。基于PSA 模型，电厂使用风险监测工具对初步计划进行风险评价。当电厂有紧急或临时工作需要将其插入到原始计划中，或由于非常规操作而改变计划时，有必要酌情重新评估风险。

MR 的实施是NRC 对核电厂整体安全的要求和限制。 核电厂的PSA 模型是执行MR 的基础，MR 使用PSA 技术监控核电厂维修操作的有效性， 并使关键安全系统能够执行其预期的功能。 为了评估和/或监控维修操作的有效性，MR 应用风险信息计划（基于PSA 技术）评价计划维修操作的风险，并引起员工对风险的意识并采取适当的控制。

实施MR 后， 使用PSA 和风险监测工具作为在线维修的基础，核电厂可以有效地掌握系统性能，确保维修操作的有效性和质量。 可以预先评估计划系统/部件的相关维修活动，以便可以获得计划的维修配置的风险影响。根据电厂运行数据，MR 实施以来， 可以发现近年来高安全性重要设备的故障数量始终保持在较低的水平。