董方宇，馬 超，鄧 偉，許青青

(中國核電工程有限公司，北京 100048)

近年來，隨著核電產業(yè)的不斷發(fā)展和成熟，國內外各大研究機構針對核安全的監(jiān)測和管理進行了廣泛的研究和應用。核電廠風險監(jiān)測系統(tǒng)(Risk Monitor，RM)是核電廠實時安全分析的重要工具，Risk Monitor的研究與應用也是核電廠概率安全分析(PSA)技術領域最具影響力的分析工具。Risk Monitor常用于核電廠運行風險管理、維修計劃風險管理以及電廠狀態(tài)控制，從風險角度指引電廠綜合決策的制定。Risk Monitor工具的使用有如下益處[1]：

1)靈活安排機組維修計劃，將風險減小到最小值并提高機組能力因子；

2)減小誤停堆頻率并維持電網穩(wěn)定；

3)通過合適的配置來提高核電站的安全性并符合維修規(guī)則的要求；

4)提供完整的數據管理系統(tǒng)。

在核電站最初考慮利用風險監(jiān)測器進行風險管理時，風險監(jiān)測器監(jiān)測結果是唯一的風險決定項。但其實，由于認知的缺少，這種方法很明顯是不全面的。因此，風險監(jiān)測器在核電站中的應用管理和發(fā)展需要通過一種綜合的分析管理方法實施。目前的核電站安全管理正逐步向一種采用概率論方法與確定論方法(縱深防御定性評價)相結合的風險指引型管理模式邁進。

本文將以Risk Monitor在某典型核電站中的應用經驗為例，詳細分析在應用過程中存在的局限性和問題，對此進行討論并給出一些看法和解決方案。

1 定量風險度量指標分析

核電站的PSA平均模型通過轉換形成實時風險模型，可對電站任意配置下的風險水平進行評價與管理。評價維修所帶來的電站風險增量的高低與風險指標和風險閾值相關。即時風險，即電站處于當時狀態(tài)下所達到的即時堆芯融化頻率(CDF)[1]，是定量分析的一個重要指標。

目前國際上有三種風險等級(紅、黃、綠)或四種風險等級(紅、橙、黃、綠)的管理方案[2]，80%以上的核電站采用了四種風險等級方案進行管理，某典型核電站的RM也是采用這種方式。表1給出了不同風險等級對應的風險管理行動。

某典型核電站內部事件一級PSA的基準風險CDF值大約在1.1×10-6/堆年量級左右，風險裕量較大，因此目前RM采用的是選用基準風險倍數作為風險等級的閾值，主要為：將基準風險的1.3倍作為綠-黃的劃分值，橙區(qū)的進入閾值為1×10-5/堆年，國際上對紅區(qū)的閾值有統(tǒng)一的定義，采用1×10-3/堆年的標準[3,4]。

表1 風險等級及管理措施準則表Table 1 Typical risk levels and action statements defined for risk monitor

1.1 風險閾值的不確定性

風險監(jiān)測器的應用中需要考慮，如果風險閾值是一個精確的值，則會受到陡邊效應的影響，也就是說當電廠處于風險十分接近閾值和僅僅比閾值高一點點的不同狀態(tài)時，采用的風險管理措施也是不同的。例如，當RM監(jiān)測出電廠的風險數值為9.99×10-6和1.01×10-5時，風險等級分別為黃色和橙色，電廠采用不同的風險管理措施。但很明顯，這是不合理的，采用這種做法并不能準確地反映電廠的響應，并且也不能支持風險管理措施的應用。

實際上，風險評估的數值結果有著很大的不確定性，風險閾值不應是一個確定的值，而應是一個范圍。如圖1所示，每個顏色的風險閾值都應存在一個不確定分布，這樣就避免了陡變效應的影響。也就是說，圖1中的風險顏色更多的是代表一種風險警示，很多情況下，無論是接近或是超過某顏色的風險閾值，都應采用相類似的風險管理措施。

圖1 四色帶風險閾值及其不確定性分布Fig.1 Four band risk threshold and uncertainties

1.2 核電廠Risk Monitor使用中的局限性

風險監(jiān)測器能夠反應電廠任意配置下的即時風險，但從某核電站幾年運行RM的經驗來看，某些維修活動的配置下，RM監(jiān)測的電廠風險配置與電廠實際組態(tài)并不十分一致。下面對風險監(jiān)測器配置下的即時風險與電廠實際組態(tài)的風險偏差原因進行詳細的說明。

(1)模型中的假設過于保守，導致結果偏高

在進行PSA分析時，一些保守假設是必須的，但這也在某些方面造成了風險監(jiān)測器使用的局限性與不準確性，這通常和安全系統(tǒng)的成功準則的選取有關。例如，PSA模型中典型的支持系統(tǒng)-通風系統(tǒng)，建模中大體的思路為，只要通風系統(tǒng)失效，即認為相關的安全系統(tǒng)也同樣失效。因此，只要通風系統(tǒng)相關的設備因維修而退出運行時，所計算出的風險將會非常高。但根據電站的實際運行經驗，在某些情況下，特別是冬天時，即使通風系統(tǒng)不可用，系統(tǒng)也可正常運行。由此看來，通風系統(tǒng)模型的保守假設，使風險監(jiān)測器中的風險值明顯要高于電廠實際運行的風險。

(2)模型未能充分建立和發(fā)展

基準PSA模型建立時采用了很多的簡化假設，簡化的模型會對電廠的實際風險造成影響。特別是在低功率及停堆工況(簡稱低停)時，電廠的實際配置與功率工況時的電廠配置差別很大，但是考慮到模型的運算速度和計算機負載能力，低停工況時的模型進行了一定的簡化。如圖2所示，電廠的運行風險一直穩(wěn)定在1×10-6/堆年數量級，切換運行模式的瞬間，風險陡升至1×10-5數量級，達到橙區(qū)，但電廠的實際風險值仍然比較低。盡管將PSA模型轉換為Risk Monitor可用的模型時進行了更多的細節(jié)的?；玃SA還是不能精確地包含所有電廠可能的配置方式。因此在電廠實際組態(tài)和Risk Monitor中的電廠配置間存在不匹配，這種情況在停堆工況下尤其明顯，停堆時電廠可能的配置有很多的變化。如果PSA開發(fā)得不夠精細，Risk Monitor的精確性需要用戶進行識別。

圖2 Risk Watcher軟件界面Fig.2 The interface of Risk Watcher

(3)始發(fā)事件頻率不隨電廠實際配置變化

現有的實時風險模型中的始發(fā)事件通常用一個基本事件作為輸入，是一個常數。當電廠配置發(fā)生變化時，如一些設備退出運行時，始發(fā)事件頻率不會改變。例如，開關站進行維修活動時，喪失外電事故的發(fā)生頻率將會升高，但此時Risk Monitor中的配置并沒有發(fā)生改變，也就是說監(jiān)測到的風險將比電廠的實際風險偏低。因此，在進行風險分析時，要充分結合從定性的角度考慮維修活動的風險影響以彌補風險監(jiān)測器的不足。

2 定性風險度量指標分析

定性風險指標通常與安全功能、安全系統(tǒng)相關。旨在提供當前電廠配置下可獲得的冗余度、多樣性、縱深防御等水平的指示[6-7]。在Risk Monitor中，通常通過監(jiān)視安全系統(tǒng)和安全功能的運行安全狀態(tài)來反映核電廠的縱深防御狀態(tài)，這種狀態(tài)可以快速通過PSA模型中的邏輯傳遞反映出來。通常，在Risk Monitor模型中按照系統(tǒng)的冗余度大小對電廠的縱深防御狀態(tài)進行劃分，并且通過不同的顏色顯示加以區(qū)分，如表2所示。

表2 縱深防御狀態(tài)冗余度準則表[8,9]Table 2 Redundancy criteria for defense-in-depth

其中：Nmin為系統(tǒng)實現其設計功能所需的最小列數，Nconfig為電廠當前配置下該系統(tǒng)的實際可用列數。

3 風險評價方法流程

由于風險監(jiān)測器的局限性，在核電站某些配置下風險計算結果可能與電廠的實際風險有一定偏差。因此，創(chuàng)建了一種分析評價風險監(jiān)測器結果的方法流程(如圖3)，對監(jiān)測結果進行不確定性分析以確立結果的正確與合理性。

根據風險監(jiān)測器CDF的監(jiān)測結果，風險評價的流程可分成兩個分支進行分析。第一個部分(左邊)定義為風險結果顯示為橙色風險閾值以下的情況(綠色和黃色區(qū)域)。在此結果下，不確定性的原因需要進行分析調查，根據以往的經驗以及第2節(jié)的描述可以發(fā)現，通常始發(fā)事件頻率應隨環(huán)境而變化是風險不確定性的主要來源之一。

經過不確定性分析后，如果這時核電站的風險配置處于綠色區(qū)域，則風險是可接受的。但如果經過不確定分析后風險處于黃色，則在此配置下識別重要的風險貢獻設備是必要的，通過縱深防御定性分析等，風險監(jiān)測器中的重要失效設備可被判定，并且這些信息需要被識別和記錄在案。

圖3 風險評價方法流程Fig.3 The flow chart of risk evaluation

方法流程圖的第二個部分(右邊)定義為風險結果處于橙色或者紅色的區(qū)域，這可能是風險監(jiān)測器的直接顯示結果或者進行不確定性分析后的結果。這時，需要決策者結合縱深防御等電站信息，進行重要風險貢獻項的識別，同時針對每一個風險貢獻項，需從PSA模型的建模角度分析其保守性。在不同電站的配置下，需要明確是否是由于其模型的保守原則導致的風險監(jiān)測器結果的偏差或是不正確。在第2節(jié)的分析中可發(fā)現，導致保守性結果的主要來源為模型的簡化假設(例如低停工況)或者是建模方法過于保守(例如通風系統(tǒng))。

經過保守性分析之后，如果風險重要貢獻項是由于建模保守導致的風險增大或風險進入橙紅區(qū)域，則CDF大小與電站實際組態(tài)不符。在此情況下，需要進行模型改善與細化來更好地反映電站實際的風險配置。如果模型改善之后風險不再處于橙色閾值之上，則認為風險是可接受的，并且流程將重新進入到不確定性分析的環(huán)節(jié)；但如果經過模型改善之后，風險仍處于橙色或紅色區(qū)域，則風險是不可接受的，風險決策者需立刻采取表1及表2中所對應的管理措施。

經過保守性分析之后，如果發(fā)現保守性不是導致風險增大的主要原因，風險決策者對此能做的風險見解分析則非常有限，應認為此時風險是不可接受的。

通過以上風險評價的流程，最終的風險評價結果較風險監(jiān)測器的直接顯示結果更加準確，也為風險管理人員采取對應措施提供了保障性建議。當然，根據目前的實踐、資源，可能還不太能支持每一次電站配置均采用此風險評價流程進行分析，但此方法可以很好地運用在模型驗證階段，選取一定量的案例進行驗證，有重要實踐意義。

4 結論

Risk Monitor的使用可以支持機組配置狀態(tài)的優(yōu)化，靈活地安排機組維修計劃，提高電站的經濟性，帶來諸多益處。但就目前的情況看來，風險監(jiān)測器的使用有一定的局限性，首先需要明確的是風險閾值并不是一個確定的值，而應該是一個分布。由于利用PSA方法進行分析建模時，很多不確定性因素都會影響CDF的計算，例如模型的過于保守假設會導致結果的偏大、停堆工況時模型的配置與電廠實際組態(tài)的不符造成結果的不準確性、始發(fā)事件頻率為常數的局限性以及模型本身在計算時造成的不確定性等。此外，單單地從定量角度評價電廠風險是不足夠的，通常采用一種概率論方法與確定論方法(縱深防御定性評價)相結合的風險指引型管理模式。

本文創(chuàng)建了一種能夠更好地評價核電站實際風險的流程方法。如果風險監(jiān)測器的結果顯示風險是可接受的，則需進行不確定性分析來確保風險沒有被低估。反之，如果風險監(jiān)測器結果計算出風險是不可接受的，則需要識別重要風險貢獻項并確立風險結果的偏高的原因是否由PSA模型建立的保守性原則導致；如此時PSA模型已詳細并正確反映電站的實際配置狀態(tài)，即實際風險處于高風險，風險決策者應立刻采取緊急措施。由于實踐、資源的限制，該方法運用在每次電站配置結果的分析中有一定限制，但可以很好地運用在模型驗證階段，對案例的選取驗證有重要意義。