风险监测器在运行核电站中的风险管理应用探讨
2022-09-16董方宇许青青
董方宇,马 超,邓 伟,许青青
(中国核电工程有限公司,北京 100048)
近年来,随着核电产业的不断发展和成熟,国内外各大研究机构针对核安全的监测和管理进行了广泛的研究和应用。核电厂风险监测系统(Risk Monitor,RM)是核电厂实时安全分析的重要工具,Risk Monitor的研究与应用也是核电厂概率安全分析(PSA)技术领域最具影响力的分析工具。Risk Monitor常用于核电厂运行风险管理、维修计划风险管理以及电厂状态控制,从风险角度指引电厂综合决策的制定。Risk Monitor工具的使用有如下益处[1]:
1)灵活安排机组维修计划,将风险减小到最小值并提高机组能力因子;
2)减小误停堆频率并维持电网稳定;
3)通过合适的配置来提高核电站的安全性并符合维修规则的要求;
4)提供完整的数据管理系统。
在核电站最初考虑利用风险监测器进行风险管理时,风险监测器监测结果是唯一的风险决定项。但其实,由于认知的缺少,这种方法很明显是不全面的。因此,风险监测器在核电站中的应用管理和发展需要通过一种综合的分析管理方法实施。目前的核电站安全管理正逐步向一种采用概率论方法与确定论方法(纵深防御定性评价)相结合的风险指引型管理模式迈进。
本文将以Risk Monitor在某典型核电站中的应用经验为例,详细分析在应用过程中存在的局限性和问题,对此进行讨论并给出一些看法和解决方案。
1 定量风险度量指标分析
核电站的PSA平均模型通过转换形成实时风险模型,可对电站任意配置下的风险水平进行评价与管理。评价维修所带来的电站风险增量的高低与风险指标和风险阈值相关。即时风险,即电站处于当时状态下所达到的即时堆芯融化频率(CDF)[1],是定量分析的一个重要指标。
目前国际上有三种风险等级(红、黄、绿)或四种风险等级(红、橙、黄、绿)的管理方案[2],80%以上的核电站采用了四种风险等级方案进行管理,某典型核电站的RM也是采用这种方式。表1给出了不同风险等级对应的风险管理行动。
某典型核电站内部事件一级PSA的基准风险CDF值大约在1.1×10-6/堆年量级左右,风险裕量较大,因此目前RM采用的是选用基准风险倍数作为风险等级的阈值,主要为:将基准风险的1.3倍作为绿-黄的划分值,橙区的进入阈值为1×10-5/堆年,国际上对红区的阈值有统一的定义,采用1×10-3/堆年的标准[3,4]。
表1 风险等级及管理措施准则表Table 1 Typical risk levels and action statements defined for risk monitor
1.1 风险阈值的不确定性
风险监测器的应用中需要考虑,如果风险阈值是一个精确的值,则会受到陡边效应的影响,也就是说当电厂处于风险十分接近阈值和仅仅比阈值高一点点的不同状态时,采用的风险管理措施也是不同的。例如,当RM监测出电厂的风险数值为9.99×10-6和1.01×10-5时,风险等级分别为黄色和橙色,电厂采用不同的风险管理措施。但很明显,这是不合理的,采用这种做法并不能准确地反映电厂的响应,并且也不能支持风险管理措施的应用。
实际上,风险评估的数值结果有着很大的不确定性,风险阈值不应是一个确定的值,而应是一个范围。如图1所示,每个颜色的风险阈值都应存在一个不确定分布,这样就避免了陡变效应的影响。也就是说,图1中的风险颜色更多的是代表一种风险警示,很多情况下,无论是接近或是超过某颜色的风险阈值,都应采用相类似的风险管理措施。
图1 四色带风险阈值及其不确定性分布Fig.1 Four band risk threshold and uncertainties
1.2 核电厂Risk Monitor使用中的局限性
风险监测器能够反应电厂任意配置下的即时风险,但从某核电站几年运行RM的经验来看,某些维修活动的配置下,RM监测的电厂风险配置与电厂实际组态并不十分一致。下面对风险监测器配置下的即时风险与电厂实际组态的风险偏差原因进行详细的说明。
(1)模型中的假设过于保守,导致结果偏高
在进行PSA分析时,一些保守假设是必须的,但这也在某些方面造成了风险监测器使用的局限性与不准确性,这通常和安全系统的成功准则的选取有关。例如,PSA模型中典型的支持系统-通风系统,建模中大体的思路为,只要通风系统失效,即认为相关的安全系统也同样失效。因此,只要通风系统相关的设备因维修而退出运行时,所计算出的风险将会非常高。但根据电站的实际运行经验,在某些情况下,特别是冬天时,即使通风系统不可用,系统也可正常运行。由此看来,通风系统模型的保守假设,使风险监测器中的风险值明显要高于电厂实际运行的风险。
(2)模型未能充分建立和发展
基准PSA模型建立时采用了很多的简化假设,简化的模型会对电厂的实际风险造成影响。特别是在低功率及停堆工况(简称低停)时,电厂的实际配置与功率工况时的电厂配置差别很大,但是考虑到模型的运算速度和计算机负载能力,低停工况时的模型进行了一定的简化。如图2所示,电厂的运行风险一直稳定在1×10-6/堆年数量级,切换运行模式的瞬间,风险陡升至1×10-5数量级,达到橙区,但电厂的实际风险值仍然比较低。尽管将PSA模型转换为Risk Monitor可用的模型时进行了更多的细节的模化,但PSA还是不能精确地包含所有电厂可能的配置方式。因此在电厂实际组态和Risk Monitor中的电厂配置间存在不匹配,这种情况在停堆工况下尤其明显,停堆时电厂可能的配置有很多的变化。如果PSA开发得不够精细,Risk Monitor的精确性需要用户进行识别。
图2 Risk Watcher软件界面Fig.2 The interface of Risk Watcher
(3)始发事件频率不随电厂实际配置变化
现有的实时风险模型中的始发事件通常用一个基本事件作为输入,是一个常数。当电厂配置发生变化时,如一些设备退出运行时,始发事件频率不会改变。例如,开关站进行维修活动时,丧失外电事故的发生频率将会升高,但此时Risk Monitor中的配置并没有发生改变,也就是说监测到的风险将比电厂的实际风险偏低。因此,在进行风险分析时,要充分结合从定性的角度考虑维修活动的风险影响以弥补风险监测器的不足。
2 定性风险度量指标分析
定性风险指标通常与安全功能、安全系统相关。旨在提供当前电厂配置下可获得的冗余度、多样性、纵深防御等水平的指示[6-7]。在Risk Monitor中,通常通过监视安全系统和安全功能的运行安全状态来反映核电厂的纵深防御状态,这种状态可以快速通过PSA模型中的逻辑传递反映出来。通常,在Risk Monitor模型中按照系统的冗余度大小对电厂的纵深防御状态进行划分,并且通过不同的颜色显示加以区分,如表2所示。
表2 纵深防御状态冗余度准则表[8,9]Table 2 Redundancy criteria for defense-in-depth
其中:Nmin为系统实现其设计功能所需的最小列数,Nconfig为电厂当前配置下该系统的实际可用列数。
3 风险评价方法流程
由于风险监测器的局限性,在核电站某些配置下风险计算结果可能与电厂的实际风险有一定偏差。因此,创建了一种分析评价风险监测器结果的方法流程(如图3),对监测结果进行不确定性分析以确立结果的正确与合理性。
根据风险监测器CDF的监测结果,风险评价的流程可分成两个分支进行分析。第一个部分(左边)定义为风险结果显示为橙色风险阈值以下的情况(绿色和黄色区域)。在此结果下,不确定性的原因需要进行分析调查,根据以往的经验以及第2节的描述可以发现,通常始发事件频率应随环境而变化是风险不确定性的主要来源之一。
经过不确定性分析后,如果这时核电站的风险配置处于绿色区域,则风险是可接受的。但如果经过不确定分析后风险处于黄色,则在此配置下识别重要的风险贡献设备是必要的,通过纵深防御定性分析等,风险监测器中的重要失效设备可被判定,并且这些信息需要被识别和记录在案。
图3 风险评价方法流程Fig.3 The flow chart of risk evaluation
方法流程图的第二个部分(右边)定义为风险结果处于橙色或者红色的区域,这可能是风险监测器的直接显示结果或者进行不确定性分析后的结果。这时,需要决策者结合纵深防御等电站信息,进行重要风险贡献项的识别,同时针对每一个风险贡献项,需从PSA模型的建模角度分析其保守性。在不同电站的配置下,需要明确是否是由于其模型的保守原则导致的风险监测器结果的偏差或是不正确。在第2节的分析中可发现,导致保守性结果的主要来源为模型的简化假设(例如低停工况)或者是建模方法过于保守(例如通风系统)。
经过保守性分析之后,如果风险重要贡献项是由于建模保守导致的风险增大或风险进入橙红区域,则CDF大小与电站实际组态不符。在此情况下,需要进行模型改善与细化来更好地反映电站实际的风险配置。如果模型改善之后风险不再处于橙色阈值之上,则认为风险是可接受的,并且流程将重新进入到不确定性分析的环节;但如果经过模型改善之后,风险仍处于橙色或红色区域,则风险是不可接受的,风险决策者需立刻采取表1及表2中所对应的管理措施。
经过保守性分析之后,如果发现保守性不是导致风险增大的主要原因,风险决策者对此能做的风险见解分析则非常有限,应认为此时风险是不可接受的。
通过以上风险评价的流程,最终的风险评价结果较风险监测器的直接显示结果更加准确,也为风险管理人员采取对应措施提供了保障性建议。当然,根据目前的实践、资源,可能还不太能支持每一次电站配置均采用此风险评价流程进行分析,但此方法可以很好地运用在模型验证阶段,选取一定量的案例进行验证,有重要实践意义。
4 结论
Risk Monitor的使用可以支持机组配置状态的优化,灵活地安排机组维修计划,提高电站的经济性,带来诸多益处。但就目前的情况看来,风险监测器的使用有一定的局限性,首先需要明确的是风险阈值并不是一个确定的值,而应该是一个分布。由于利用PSA方法进行分析建模时,很多不确定性因素都会影响CDF的计算,例如模型的过于保守假设会导致结果的偏大、停堆工况时模型的配置与电厂实际组态的不符造成结果的不准确性、始发事件频率为常数的局限性以及模型本身在计算时造成的不确定性等。此外,单单地从定量角度评价电厂风险是不足够的,通常采用一种概率论方法与确定论方法(纵深防御定性评价)相结合的风险指引型管理模式。
本文创建了一种能够更好地评价核电站实际风险的流程方法。如果风险监测器的结果显示风险是可接受的,则需进行不确定性分析来确保风险没有被低估。反之,如果风险监测器结果计算出风险是不可接受的,则需要识别重要风险贡献项并确立风险结果的偏高的原因是否由PSA模型建立的保守性原则导致;如此时PSA模型已详细并正确反映电站的实际配置状态,即实际风险处于高风险,风险决策者应立刻采取紧急措施。由于实践、资源的限制,该方法运用在每次电站配置结果的分析中有一定限制,但可以很好地运用在模型验证阶段,对案例的选取验证有重要意义。