张国旭，陈露，张延云，马帅，张泽宇,*

（1.上海核工程研究设计院有限公司，上海 200233；2.生态环境部华东核与辐射安全监督站，上海 200233；3.生态环境部核与辐射安全中心，北京 100082）

美国是最早开展核能应用的国家之一，目前拥有世界上最多数量的在运核电站。经过几十年的发展，其在核能技术和核安全监管方面都积累了丰富经验。风险指引型监管框架是美国核管会（Nuclear Regulatory Commission，NRC）在多年研究与实践基础上，总结凝练出的一整套应用于实际核电厂安全监管的框架体系。通过综合纵深防御、运行经验、事故分析和风险评价[1]等考虑，风险指引型核安全监管使监管方的关注度与物项风险重要度相匹配，从而在保证核安全前提下实现程度适当的监管。

我国核安全监管当局充分认识到风险指引型监管理念对核安全与监管效率的提升作用，并开展了一系列风险指引性监管应用研究工作。受华东监督站委托，上海核工程研究设计院PSA 专业相关人员参与到核电厂监督检查工作中，并结合现场检查发现问题对风险指引型监管工具的实际应用进行研究。本文利用缓解系统性能指标（Mitigating System Performance Indicator，MSPI）和重要度确定程序（Significance Determination Process，SDP）两项工具对现场检查发现问题开展分析，比较评价两项工具的差异，为今后实际应用提供参考。

1 MSPI 与SDP 介绍

1.1 风险指引型监管框架

风险指引型——基于性能（Risk-informed and Performance-based）的监管（简称“风险指引型监管”）[2]的重要特征在于在实际开展监管活动时，更多的考量风险信息和电厂实际性能表现。基于这一套理念，NRC 于2000 年建立了反应堆监督程序（Reactor Oversight Process，ROP）。ROP 为核电厂监督检查提供一种客观的、风险指引型、可理解、可预测的评估方式，来协助NRC 实现保护公众健康安全和保护环境的任务。NRC 明确了监督重点和流程，形成图1 所示的整体监督框架[2]。依据检查发现和性能指标的评价结果，NRC 可以更好地将监管资源分配在可以取得最大安全效益的方面。MSPI 对应缓解系统基石部分性能指标评价，由核电厂进行日常运行数据填报，数据分析评价工作由NRC 进行。SDP 是现场监督检查的重要工具，用于对检查发现问题进行快速的风险评价。

图1 ROP 监督框架Fig.1 ROP regulatory framework

1.2 MSPI 工具介绍

MSPI 属于缓解系统基石的指标，用于评价核电厂发生事故时，相关的安全系统投入运行以缓解事故的能力。该指标能够有效的监测安全系统的状态，更加合理的反映设备性能对电厂安全水平的影响，有助于提高电厂的设备管理水平，并改进维修策略[4]。MSPI 由不可用度指标（UAI）和不可靠度指标（URI）组成[3]。当被监测系统的设备性能明显低于预期性能时，由“设备性能限值（PLE）”监测其性能的降级，并作为MSPI 的补充。

MSPI 的计算结果是由电厂系统的不可用度和不可靠度分别与业界标准基准值的差值导致的电厂堆芯损伤频率的总变化。PLE 用于MSPI 的辅助评价。

不可用度UAI 是在先前连续滚动的12 个季度内，临界运行时系列/系统由于计划或非计划性维修或试验而不能执行其被监测功能（如PSA 成功准则和任务时间所定义的）的时间与这12 个季度内临界运行的时间之比（不包括故障暴露时间；不可用时间只统计从发现失效状态到恢复系列被监测功能的这段时间）。

不可靠度URI 是在先前连续滚动的12 个季度内，系列/系统不能执行其被监测功能（如PSA成功准则和任务时间所定义的）的概率。

基准值是对应于现有电厂所度量的不可用度和不可靠度的取值。

部件性能限值是当一个MSPI 系统的某个被监测部件的性能明显低于预期性能时，对性能降级的一种度量。

MSPI 针对重要缓解系统性能进行评价，主要包括应急交流电源系统、高压安注系统、辅助给水系统、余热排出系统、冷却水支持系统。

1.3 MSPI 计算与评价方法

每个系统的MSPI 是在先前连续滚动的12个季度内由系统不可用度导致的UAI 与系统不可靠度导致的URI 之和。

每个系统的部件性能限值按特定电厂系统需求次数和运行时间所允许的最大失效次数（Fm）计算。将设备失效的实际次数（Fa）与这些限值进行比较。由于MSPI 计算考虑因素很多计算较为复杂，以下仅简要列出计算公式（公式未列出修正因子，但实际计算过程中已包括），详细说明可参考文献［6］的介绍。

式中：

CDFp——特定电厂的内部事件功率运行PSA的堆芯损伤频率；

FV——特定系列不可用度或失效模式的FV 重要度；

ΔUAt——系列不可用度增量；

ΔURc——设备失效概率增量。

通常将CDF × FV/U称为Birnbaum 因子，它可以体现风险影响程度，其中U表示UA 或UR。

系统设备性能限值Fm计算采用如下公式：

式中：Nd——需求次数；

p——需求失效概率；

λ——失效率，取自工业数据；

Tr——部件运行时间。

确定一个系统的性能颜色的准则可参见参考文献［3］，本文不再赘述。

1.4 SDP 工具介绍

重要度确定程序（SDP）是风险指引型核电厂监管体系中重要的应用工具，用于协助分析人员识别对核电厂安全有影响的事项，并对事项进行评估和分级[5]，使监管人员能够及时判断相关事项对核电厂风险的影响程度[6-8]。

SDP 系统的分析流程主要包括两部分，分别是定性筛选和定量分析。对于定性筛选部分，主要对安全事项信息进行记录，并通过设置一系列的逻辑问题初步判断事项的影响程度，对于具有一定安全影响的事项，将开展进一步的定量分析。对于定量分析部分，又细分为初步风险定量分析和风险重要度验证两部分。分析人员根据操作提示，确定事项的安全影响后，可以得到事项的风险重要度量化结果。

（1）定性筛选

定性筛选问题根据ROP 框架的安全要素进行划分，分为始发事件、缓解系统、屏障完整性三类。在每一个安全要素下设置更为详细条目。

通过设置一系列的逻辑问题，定性筛选部分用于确定低风险重要的事项（判断为绿色或低风险重要），并停止分析。对于非绿色的的事项，则需要进行更为详细的定量分析。

（2）风险定量化

风险定量化过程包括初步风险定量化和风险重要度验证两阶段[9]。在初步定量化阶段，用户依照系统引导提示，最终确定事项的风险重要程度。如用户对于初步风险定量化结果存疑，可转用专业的PSA 分析软件进行详细分析模化，详细的分析结果可记录在“风险重要度验证”阶段内。

SDP 系统将定量化过程划分为降级情况类和始发事件类。这两类情形在实际的定量方法上具有一定的差异性，以下分别介绍：

1）降级情况类

如果所分析的事项对于电厂运行并没有产生严重影响，即没有造成反应堆停堆，而只是出现部分系统设备降级情况，那么在分析时考虑电厂在缓解始发事件时是否有要求相关失效的系统或设备投入运行。

2）始发事件类

如果某一事件或失效情形导致电厂自动或手动停堆，相关事项将归为始发事件类进行定量分析。分析过程中，关注在始发事件发生后，电厂缓解始发事件影响的能力，即量化始发事件后的堆芯损伤概率（CCDP）。

（3）量化结果释义

如上文所述，SDP 系统对于降级情况类和始发事件类的定量计算过程存在一定的差异，量化结果分别以ΔCDP（堆芯损伤概率增量）和CCDP 形式给出。然而，自主化计算引擎能直接给出的是CDF（堆芯损伤频率），以下将详细介绍这几个参数之间的对应转换关系。

在数学原理层面，寿命分析通常使用指数分布类型，其中失效概率与失效率之间存在一定关系，如概率函数公式：

式中：p——失效概率；

λ——失效率；

t——时间。

“λ”是一个单位带时间的参数，在PSA 分析中，在CDF 数值较小时可以不考虑“次”的量纲，可以按照“λ”解释。那么，堆芯损伤概率可以解释为CDP=1 -e-CDFt。当“CDFt”很小时（例如小于10-2），那么“CDFt”可以近似等于CDP。

对于ΔCDP，它代表的是堆芯损伤概率增量，

式中：CDF1——变化后的CDF 值；

CDF0——CDF 基准值；

tperiod——降级情况影响时间；

ΔCDP——降级情况类计算给出的最终量化结果，表征降级情况影响时间段内，电厂发生堆芯损伤概率的增量。

CCDP 具有另一套解释原理。在PSA 分析中，最终结果CDF 可以理解成不同始发事件风险结果的加和，计算公式如下所示：

式中：IEF——始发事件发生频率；

CCDP——始发事件下的条件堆芯损伤概率（即代表相应始发事件发生后，电厂不能缓解事故的概率值）。

在SDP 分析时，始发事件类定量化代表某一始发事件已经实际发生，而其他始发事件并未发生。因此，分析时将发生的始发事件IEFi频率值修改为1.0，其他未发生的始发事件频率修改为0。那么将得到CDFtotal=CCDPi，即计算引擎给出的最终CDF 结果即为始发事件类定量化所需要的结果CCDP。

SDP 的安全等级评价标准与MSPI 基本一致（只是解释不太相同），只是取消PLE 作为辅助评价。

2 MSPI 与SDP 应用研究

华东监督站在地区检查时发现，某M310 机组上充泵性能试验振动试验近三次试验，试验结果振动测量值均超出了报警值，但仍处于验收值范围内。三次试验均判定为合格但有缺陷。利用MSPI 和SDP 工具对以上发现问题进行分析评价。

2.1 MSPI 分析评价

检查发现问题涉及上充泵，在该M310 机组中，该泵同时承担高压安注功能，其失效影响可以利用MSPI 工具进行评价。

针对该项检查发现，做如下重要假设：

（1）上充泵1 年内3 次试验不合格问题，保守计为1 年内3 次运行失效，其他设备失效数据保持不变；

（2）根据技术规格书约定，上充泵故障后需要在72 h 内进行修复，假设相关问题带来3 × 72 h 非计划系列不可用影响，修改A 系列非计划不可用时间。

结合该M310 机组高压安注系统MSPI 计算表格进行计算，URI 部分结果汇总如表1 所示，UAI 部分结果汇总如表2 所示。结果很多为负值，表示电厂当前实际运行数据要优于行业基准数据。

表1 URI 基准结果Table 1 Basic results of URI

表2 UAI 基准结果Table 2 Basic results of UAI

计算时需要注意：

（1）所分析系统不涉及始发事件修正，但是需要依据文献［3］进行共因修正；

（2）文献［3］附录F 表8 中给出了不可靠度的工业先验和参数，但是表格中没有给出单位，需要注意运行失效的隐含单位是“/h”，折算失效概率时需乘任务时间。

基于以上基准计算结果，并结合计算假设开展MSPI 量化分析，表3 给出了分析前后的结果变化情况。因为 PSA 模型中模化了RCV001PO 和RCV003PO 两台上充泵的运行失效，所以上充泵运行数据变化将引起相关单设备URI 计算结果变化。在保守假设设备运行失效 3 次的情况下，设备运行失效概率由1.11 × 10-4增大为7.74 × 10-4。UAI 随系列非计划不可用时间增加而变化。MSPI 计算结果为3.55 × 10-7，与1.0 × 10-6的阈值相比，仍具有一定的安全裕度。从系统设备性能限值PLE 角度来看，也有一定裕量。综合评价后，安全性能等级仍为绿色。

表3 MSPI 评价结果Table 3 Assessment results from MSPI

MSPI 工具结果有两方面重要意义：

（1）结果可量化，评价客观。本次分析案例中，MSPI 结果数值增加约3.71 × 10-7，关于量化结果的意义后续将深入讨论。

（2）性能安全等级直观易懂，绿色即表示性能可接受。

2.2 SDP 分析评价

检查发现上充泵在一年内3 次试验中，振动情况都超出报警值，但仍在设备合格可接受范围内。分析假设该情况属于降级情况问题，设备存在一定的缺陷，但并未引起失效。计算以ΔCDP 即堆芯损伤概率增量为判断依据。

在PSA 模型中对相关设备失效有所模化，本次分析选取上充泵运行失效参数和基本事件两类对象进行调整。该设备运行失效采用不可修复模型，失效率为2.5 × 10-5/h。分析时假定两类分析条件：

条件1 假定设备本身设计缺陷造成了基准可靠性发生变化，计算时将失效参数修改为100 倍，即2.5 × 10-3/h（此时所有调用该参数的基本事件失效概率都将增加），影响时间保守取1 年。

条件2 只对当前具体问题分析，将该设备运行失效基本事件设为TRUE，但不对参数调整，不影响共因等模化情况。根据技术规格书约定，故障后需要在72 h 内进行修复，因此按照72 h 失效时间考虑。

计算结果展示如表4所示。可以看出，修改后总体CDF变化达到1.0×10-6甚至1.0×10-5量级。其中，条件1 的ΔCDF 变化较大，主要是失效参数变化使所有相关联的失效基本事件（如本次分析使用的模型中，硼酸补给泵也调用了与上充泵相同编码的失效参数）、共因组计算都受到影响，累积效果贡献在了ΔCDF 的统计范围内。同时，降级时间达到1年，也使总体风险增量（ΔCDP）最终达到白色安全等级。

表4 SDP 评价结果Table 4 Evaluation results from SDP

条件2 修改基本事件为TRUE，并没有带来过多模型影响，同时降级时间较短，总体安全等级为绿色。

条件1 模拟的场景是设备降级，设备失效参数调整表征降级情况。但从计算结果来看，修改参数带来的影响过多，同时需要分析人员熟悉电厂PSA 模型才能对计算结果进行合理地解释和使用。条件2 本身具有一定的保守性（假定失效），但并不会带来其他不必要影响，更适用于实际现场风险评价，在SDP 软件开发中也建议采用该种方式。

2.3 结果分析

MSPI 和SDP 都是风险指引型监管的重要工具，他们对于安全事项的评价都以风险增量为落脚点。虽然假设条件略有区别，但是MSPI和SDP 都基本反映出了该事件的风险影响，可以为现场监督人员提供必要的风险见解。

3 MSPI 与SDP 差异比较

MSPI 和SDP 都是风险指引型监管框架内的重要工具，虽然第3 节中两者都能够在风险增加量级上得出比较一致的结论，但是就其细节仍然有值得细致分析的地方。

3.1 原理分析

MSPI 从原理上来讲是对风险增量的评价。对公式（1）～公式（3）稍作变形，可以得到：

同时，PSA 分析中常用公式FV×（ΔP）/P=（ΔCDF）/CDF 可知，系统MSPI 其实正是反映系统内各个组成部分在性能变化前后对于CDF影响的总体情况。

针对SDP，ΔCDP=ΔCDF ×t，变形后得到：

比较公式（7）和公式（8），主要有如下区别：

（1）MSPI 计算总体影响，系统内所有组成部分的影响需要加和计算，而SDP 无相关处理。

（2）ΔP 在MSPI 和SDP 中具有不同含义，MSPI 中代表贝叶斯更新后的失效概率值与工业基准值做差，以上充泵运行失效为例，ΔPMSPI=6.54 × 10-4，而SDP 中ΔP 代表修改后条件失效概率与模型模化基准值的差值，条件2中ΔPSDP≈1。

（3）SDP 计算时需要确定失效影响时间t，72 h≈8.22 × 10-3年；在MSPI 公式中无时间乘子，但是实际的失效数据统计都是以12 季度为周期进行。

由此可以看出，虽然两者安全等级结果评价一致，但是从原理来讲是存在差异的。

3.2 监管应用考虑

MSPI 对重要缓解系统进行监测，监测周期为12 个季度，监测范围包括系统内重要安全相关设备。

MSPI 计算时，因为ΔP 计算约定，导致单设备单次失效基本不会直接达到1.0 × 10-6阈值。以分析事件为例，修改单一变量上充泵运行失效次数，需要达到12 次才能达到1.0 × 10-6的量化阈值。但是MSPI 提供了另一个辅助的评价工具，即系统性能限值PLE，通过统计12个季度系统内失效总次数来判断是否达到“白色”安全等级。以该M310 机组MSPI 中考虑的安注系统RIS 为例，共监测31 个设备失效模式，PLE 限值为7.58，即统计达到8 次失效时，系统MSPI 结果确定为“白色”。

MSPI 监测范围重点突出，只关注重要缓解系统和系统内重要安全相关能动设备失效模式，相关失效模式清单可以圈定为监督检查重点关注对象。此外，MSPI 属于长周期性能监测，12 季度的时间跨度可以持续对系统性能进行评价。

SDP 针对某一单次特定事件进行分析，通过调用PSA 模型直接进行定量计算。事件涉及的始发事件、设备降级情况、失效影响时间都是影响计算结果的重要因素。计算时直接调用PSA 模型，能够整体反映事件对于核电厂整体的风险影响。在现场监督检查时，可以用于快速估计事件风险影响，识别高风险事件。

4 总结

MSPI 和SDP 都是风险指引型监管框架内的重要工具，都可以在一定程度反映核电厂运行安全情况。本文着重比较了两项工具之间的联系与差别，并详细讨论了工具所具备的应用特点。MSPI 强调长周期（12 个季度）的性能监测，适用于累积失效影响评价。SDP 侧重于单次事件风险影响评价，事件所涉及的始发事件情况、系统设备降级情况、影响时间都将影响计算结果。两项工具均能够提供风险相关重要见解，帮助检查人员评价核电厂运行安全状态，有助于提高监管水平和监管效率。