鄧純銳，張 明，張 航

（中國(guó)核動(dòng)力研究設(shè)計(jì)院，成都 610213）

核安全是核電廠設(shè)計(jì)的中心問(wèn)題之一。歷次核電廠嚴(yán)重事故的發(fā)生促使各國(guó)核安全當(dāng)局對(duì)核安全的要求越來(lái)越高。在太陽(yáng)能、風(fēng)能等其他新能源成本日益下降的形勢(shì)下，核電廠的經(jīng)濟(jì)性與安全性的矛盾不斷凸顯。新電廠的設(shè)計(jì)既要滿(mǎn)足一系列安全目標(biāo)和指標(biāo)，又要在經(jīng)濟(jì)性上具有競(jìng)爭(zhēng)力。確定論保守的核安全設(shè)計(jì)已被證明是成功的，但新的形勢(shì)使概率安全評(píng)價(jià)（Probabilistic Safety Assessment，簡(jiǎn)稱(chēng)PSA）得到越來(lái)越多的應(yīng)用。PSA 不但能識(shí)別薄弱環(huán)節(jié)，提升核電安全性及論證安全目標(biāo)的滿(mǎn)足情況，還能減輕核安全設(shè)計(jì)中不必要的負(fù)擔(dān)。雖然PSA在核電廠安全設(shè)計(jì)中已有諸多應(yīng)用（如獲得主要風(fēng)險(xiǎn)貢獻(xiàn)），但這些應(yīng)用一般獨(dú)立于確定論安全設(shè)計(jì)，概率論與確定論并沒(méi)有很好地服從相同的邏輯框架。

本文梳理了核安全設(shè)計(jì)的基本邏輯，提出了PSA 在核安全設(shè)計(jì)中可發(fā)揮作用的若干方面。國(guó)內(nèi)外已提出了多種確定論和概率論相結(jié)合的安全框架，如文獻(xiàn)[1]～文獻(xiàn)[3]等，本文不試圖建立類(lèi)似的框架，而期望在同樣的邏輯框架下得到更為具體的PSA應(yīng)用方向。

1 核安全設(shè)計(jì)的基本邏輯

《核動(dòng)力廠設(shè)計(jì)安全規(guī)定》（HAF 102—2016）[4]是我國(guó)核安全設(shè)計(jì)主要依據(jù)的法規(guī)，該法規(guī)基于國(guó)際原子能機(jī)構(gòu)（IAEA）出版的SSR∕2-1[5]，并結(jié)合我國(guó)國(guó)情進(jìn)行了適應(yīng)性修改。根據(jù)HAF 102—2016，本文歸納出以下幾點(diǎn)核安全設(shè)計(jì)的基本邏輯。

1.1 風(fēng)險(xiǎn)理念

雖然核安全設(shè)計(jì)以確定論安全分析為主，但核安全要求中卻有明顯的風(fēng)險(xiǎn)理念：（1）頻率越高的事件，其放射性的接受準(zhǔn)則越嚴(yán)格；（2）放射性后果嚴(yán)重的事件要求被實(shí)際消除；（3）在分析方法上，頻率越高的事件，要求的方法和接受準(zhǔn)則越保守[6]，對(duì)系統(tǒng)設(shè)計(jì)的要求也越嚴(yán)格，如對(duì)于安全系統(tǒng)，采用保守的方法針對(duì)設(shè)計(jì)基準(zhǔn)事故進(jìn)行評(píng)價(jià)；對(duì)于設(shè)計(jì)擴(kuò)展工況安全設(shè)施，采用現(xiàn)實(shí)方法對(duì)設(shè)計(jì)擴(kuò)展工況進(jìn)行評(píng)價(jià)；而對(duì)于其他風(fēng)險(xiǎn)較低的事件，僅需在PSA中說(shuō)明風(fēng)險(xiǎn)可接受。該邏輯可簡(jiǎn)單理解為對(duì)于越高頻率的事件，對(duì)其應(yīng)對(duì)能力的置信水平也越高。核安全設(shè)計(jì)的風(fēng)險(xiǎn)理念的示意圖如圖1所示。

圖1 核安全設(shè)計(jì)的風(fēng)險(xiǎn)邏輯Fig.1 Risk logic of nuclear safety design

1.2 縱深防御理念

HAF 102—2016中明確給出了各層次防御的定義。美國(guó)核管會(huì)（U.S.NRC）在其風(fēng)險(xiǎn)指引的執(zhí)照變更導(dǎo)則RG 1.174[7]中也明確了在風(fēng)險(xiǎn)指引的應(yīng)用中縱深防御理念的含義，見(jiàn)表1。

表1 縱深防御理念Table 1 Defense in depth philosophy

1.3 不確定性和陡邊效應(yīng)

為了考慮已知的和未知的不確定性，安全設(shè)計(jì)要求是偏保守的。為了防止陡邊效應(yīng)，設(shè)計(jì)上要求具有足夠的安全裕量。雖然在設(shè)計(jì)擴(kuò)展工況的分析和PSA 分析中可采用現(xiàn)實(shí)的方法，但在實(shí)際操作中，由于“現(xiàn)實(shí)的”不可知，仍有很多保守之處。

基于上述一些基本邏輯，核電廠設(shè)計(jì)了安全系統(tǒng)、設(shè)計(jì)擴(kuò)展工況安全設(shè)施等，并通過(guò)設(shè)計(jì)基準(zhǔn)事故的分析、設(shè)計(jì)擴(kuò)展工況的分析以及PSA的分析等論證核安全設(shè)計(jì)滿(mǎn)足相關(guān)要求。

2 PSA在核安全設(shè)計(jì)中的作用

盡管HAF 102—2016 明確了核安全設(shè)計(jì)的基本邏輯和一些具體要求，但在開(kāi)展具體分析時(shí)，人們往往難以界定何為足夠安全，尤其是在對(duì)既有的保守設(shè)計(jì)進(jìn)行放寬時(shí)，核安全當(dāng)局與設(shè)計(jì)方往往產(chǎn)生很大的分歧。另外，確定論安全設(shè)計(jì)中也存在一些要求偏低或邏輯不合理之處。早在2004 版的HAF 102 中就已提出核電廠要開(kāi)展PSA，多年來(lái)，PSA已在設(shè)計(jì)中得到了非常多的應(yīng)用，但這些應(yīng)用或重在論證安全目標(biāo)的滿(mǎn)足情況，或重在薄弱環(huán)節(jié)的識(shí)別。具體做法一般是將PSA 模型定量化，通過(guò)應(yīng)用重要度等概念識(shí)別重要的風(fēng)險(xiǎn)項(xiàng)，對(duì)設(shè)計(jì)進(jìn)行改進(jìn)。這里從第1節(jié)中梳理的確定論安全設(shè)計(jì)的整體邏輯方面梳理PSA 在應(yīng)對(duì)本節(jié)開(kāi)篇提到的問(wèn)題中可以起到的作用。

2.1 “知裕量”的安全系統(tǒng)設(shè)計(jì)

確定論安全分析要求在一定的假設(shè)下論證事件可以滿(mǎn)足接受準(zhǔn)則，這些假設(shè)涉及的方面包括控制系統(tǒng)、保護(hù)系統(tǒng)、正常運(yùn)行系統(tǒng)的作用、安全系統(tǒng)的可用性、人員干預(yù)程度、對(duì)故障的合適裕量等。確定論安全分析一般只關(guān)注相關(guān)的接受準(zhǔn)則可通過(guò)，而很少關(guān)注底允許卡幾束棒，至少需要什么樣的安全系統(tǒng)成功組合，操縱員實(shí)際有多少允許時(shí)間等問(wèn)題，這些往往是PSA關(guān)心的內(nèi)容。遺憾的是，PSA很少通過(guò)這些分析對(duì)安全相關(guān)系統(tǒng)的設(shè)計(jì)提出要求。HAF 102—2016中明確了“安全重要物項(xiàng)的可靠性必須與其安全重要性相適應(yīng)”，同時(shí)提出了一系列冗余性、獨(dú)立性、多樣性的要求，但確定論安全設(shè)計(jì)無(wú)法給出在哪種程度上滿(mǎn)足這些要求是足夠的。PSA應(yīng)在安全系統(tǒng)的可靠性上提出要求。本文建議進(jìn)行安全系統(tǒng)設(shè)計(jì)時(shí)，不僅要滿(mǎn)足確定論安全分析的準(zhǔn)則，還應(yīng)采用在PSA評(píng)價(jià)僅考慮安全系統(tǒng)時(shí)，能夠達(dá)到的安全水平，并設(shè)立安全水平的最低要求。若達(dá)不到要求，設(shè)計(jì)上應(yīng)對(duì)安全系統(tǒng)的可靠性進(jìn)行加強(qiáng)，而不是在設(shè)計(jì)擴(kuò)展工況中考慮額外措施。這種做法在確定論安全分析的基礎(chǔ)上進(jìn)一步明確了系統(tǒng)應(yīng)對(duì)事故的能力，可更好地滿(mǎn)足安全系統(tǒng)可靠性與安全性相適應(yīng)的要求，從某種意義上來(lái)說(shuō)，這是對(duì)確定論安全分析中狹義上的安全裕量的擴(kuò)展，還可獲悉在安全系統(tǒng)各種失效組合情況下的事故應(yīng)對(duì)能力，可稱(chēng)作“知裕量”的核安全設(shè)計(jì)。具體舉例見(jiàn)表2。

表2 “知裕量”的安全系統(tǒng)設(shè)計(jì)舉例Table 2 Examples of security system design of“margin-known”

2.2 減輕不必要的安全負(fù)擔(dān)

確定論安全設(shè)計(jì)要求采用保守的方法進(jìn)行事故分析，其基本邏輯是從始發(fā)事件疊加單一故障的事件序列的集合中選出最不利的工況，用該工況代表整個(gè)集合，如采用最不利的功率分布，最不利的中子學(xué)參數(shù)，最不利的安全系統(tǒng)能力等。從PSA 的角度來(lái)看，這樣的工況發(fā)生概率往往非常低，有時(shí)甚至是物理上不可能出現(xiàn)的，確定論安全分析不必追求“最保守”，這時(shí)，應(yīng)允許采用風(fēng)險(xiǎn)指引的方式對(duì)要求適度放寬。但需要注意的是，放寬并不意味著不分析極端保守工況，而應(yīng)視其風(fēng)險(xiǎn)貢獻(xiàn)納入現(xiàn)實(shí)分析的范疇（如在PSA 中應(yīng)對(duì)該序列的貢獻(xiàn)有所量化），具體舉例見(jiàn)表3。

表3 PSA在減輕不必要的負(fù)擔(dān)中的應(yīng)用舉例Table 3 Examples of application of PSA in reducing unnecessary burden

2.3 支持廠址相關(guān)的分析

雖然法規(guī)中規(guī)定要針對(duì)具體電廠識(shí)別一系列假設(shè)始發(fā)事件，依據(jù)一定的原則選擇其中一部分作為安全系統(tǒng)或設(shè)計(jì)擴(kuò)展工況安全設(shè)施的設(shè)計(jì)基準(zhǔn)事件，但在實(shí)際操作過(guò)程中，確定論安全分析選擇的事件往往與廠址關(guān)聯(lián)度較小。PSA會(huì)對(duì)廠址的各種風(fēng)險(xiǎn)源進(jìn)行詳細(xì)分析，在這點(diǎn)上，PSA應(yīng)對(duì)確定論安全分析起到一定的補(bǔ)充作用。具體舉例見(jiàn)表4。

表4 PSA支持廠址相關(guān)分析舉例Table 4 Examples of PSA applications to support site related analysis

2.4 閉環(huán)管理

風(fēng)險(xiǎn)指引管理的一個(gè)重要的特點(diǎn)是閉環(huán)管理，RG 1.174 等要求對(duì)執(zhí)照變更的表現(xiàn)進(jìn)行監(jiān)測(cè)，而在核電廠設(shè)計(jì)中則很少考慮運(yùn)行經(jīng)驗(yàn)的反饋。設(shè)計(jì)與運(yùn)行的閉環(huán)管理對(duì)于安全設(shè)計(jì)和運(yùn)行都是有益的，如美國(guó)核管會(huì)目前采用“風(fēng)險(xiǎn)指引”和“基于表現(xiàn)”的監(jiān)管方式。閉環(huán)管理的具體舉例見(jiàn)表5。

2.5 風(fēng)險(xiǎn)指引的決策

在上述提出的PSA 在核安全設(shè)計(jì)中的應(yīng)用中，重要的是保證所用PSA 模型的質(zhì)量以及適當(dāng)處理不確定性。關(guān)于模型質(zhì)量的要求和在風(fēng)險(xiǎn)指引的應(yīng)用中處理不確定性的具體方法已有較多的研究，如文獻(xiàn)[12]和文獻(xiàn)[13]。最后，進(jìn)行決策時(shí)，除風(fēng)險(xiǎn)因素外，還應(yīng)綜合考慮收益代價(jià)、工程判斷等其他因素，具體可見(jiàn)RG 1.174。

表5 PSA閉環(huán)管理舉例Table 5 Examples of PSA applications to loop-closed management

2.6 小結(jié)

圖2 綜合了第2.1～2.5 節(jié)提出的建議，顯示了如何在安全設(shè)計(jì)中結(jié)合確定論安全分析和概率安全分析。

3 總結(jié)

本文在核安全設(shè)計(jì)基本邏輯的基礎(chǔ)上，提出了PSA在安全設(shè)計(jì)中可能發(fā)揮的作用，試圖使得核安全設(shè)計(jì)的相關(guān)要求滿(mǎn)足一致的邏輯。這些建議從知裕量的安全系統(tǒng)設(shè)計(jì)、減輕不必要的安全負(fù)擔(dān)、支持廠址相關(guān)的分析、閉環(huán)管理及風(fēng)險(xiǎn)指引的決策等方面探討了如何更好地結(jié)合確定論和概率論安全設(shè)計(jì)。這些建議有些是針對(duì)現(xiàn)行安全要求的加強(qiáng)，有些則是針對(duì)現(xiàn)行安全要求的減弱，可供核電廠安全設(shè)計(jì)和評(píng)審參考。

圖2 綜合的安全設(shè)計(jì)框架Fig.2 Integrated nuclear safety design framework