張國旭，陳露，張延云，馬帥，張澤宇,*

（1.上海核工程研究設計院有限公司，上海 200233；2.生態(tài)環(huán)境部華東核與輻射安全監(jiān)督站，上海 200233；3.生態(tài)環(huán)境部核與輻射安全中心，北京 100082）

美國是最早開展核能應用的國家之一，目前擁有世界上最多數(shù)量的在運核電站。經(jīng)過幾十年的發(fā)展，其在核能技術和核安全監(jiān)管方面都積累了豐富經(jīng)驗。風險指引型監(jiān)管框架是美國核管會（Nuclear Regulatory Commission，NRC）在多年研究與實踐基礎上，總結凝練出的一整套應用于實際核電廠安全監(jiān)管的框架體系。通過綜合縱深防御、運行經(jīng)驗、事故分析和風險評價[1]等考慮，風險指引型核安全監(jiān)管使監(jiān)管方的關注度與物項風險重要度相匹配，從而在保證核安全前提下實現(xiàn)程度適當?shù)谋O(jiān)管。

我國核安全監(jiān)管當局充分認識到風險指引型監(jiān)管理念對核安全與監(jiān)管效率的提升作用，并開展了一系列風險指引性監(jiān)管應用研究工作。受華東監(jiān)督站委托，上海核工程研究設計院PSA 專業(yè)相關人員參與到核電廠監(jiān)督檢查工作中，并結合現(xiàn)場檢查發(fā)現(xiàn)問題對風險指引型監(jiān)管工具的實際應用進行研究。本文利用緩解系統(tǒng)性能指標（Mitigating System Performance Indicator，MSPI）和重要度確定程序（Significance Determination Process，SDP）兩項工具對現(xiàn)場檢查發(fā)現(xiàn)問題開展分析，比較評價兩項工具的差異，為今后實際應用提供參考。

1 MSPI 與SDP 介紹

1.1 風險指引型監(jiān)管框架

風險指引型——基于性能（Risk-informed and Performance-based）的監(jiān)管（簡稱“風險指引型監(jiān)管”）[2]的重要特征在于在實際開展監(jiān)管活動時，更多的考量風險信息和電廠實際性能表現(xiàn)?；谶@一套理念，NRC 于2000 年建立了反應堆監(jiān)督程序（Reactor Oversight Process，ROP）。ROP 為核電廠監(jiān)督檢查提供一種客觀的、風險指引型、可理解、可預測的評估方式，來協(xié)助NRC 實現(xiàn)保護公眾健康安全和保護環(huán)境的任務。NRC 明確了監(jiān)督重點和流程，形成圖1 所示的整體監(jiān)督框架[2]。依據(jù)檢查發(fā)現(xiàn)和性能指標的評價結果，NRC 可以更好地將監(jiān)管資源分配在可以取得最大安全效益的方面。MSPI 對應緩解系統(tǒng)基石部分性能指標評價，由核電廠進行日常運行數(shù)據(jù)填報，數(shù)據(jù)分析評價工作由NRC 進行。SDP 是現(xiàn)場監(jiān)督檢查的重要工具，用于對檢查發(fā)現(xiàn)問題進行快速的風險評價。

圖1 ROP 監(jiān)督框架Fig.1 ROP regulatory framework

1.2 MSPI 工具介紹

MSPI 屬于緩解系統(tǒng)基石的指標，用于評價核電廠發(fā)生事故時，相關的安全系統(tǒng)投入運行以緩解事故的能力。該指標能夠有效的監(jiān)測安全系統(tǒng)的狀態(tài)，更加合理的反映設備性能對電廠安全水平的影響，有助于提高電廠的設備管理水平，并改進維修策略[4]。MSPI 由不可用度指標（UAI）和不可靠度指標（URI）組成[3]。當被監(jiān)測系統(tǒng)的設備性能明顯低于預期性能時，由“設備性能限值（PLE）”監(jiān)測其性能的降級，并作為MSPI 的補充。

MSPI 的計算結果是由電廠系統(tǒng)的不可用度和不可靠度分別與業(yè)界標準基準值的差值導致的電廠堆芯損傷頻率的總變化。PLE 用于MSPI 的輔助評價。

不可用度UAI 是在先前連續(xù)滾動的12 個季度內，臨界運行時系列/系統(tǒng)由于計劃或非計劃性維修或試驗而不能執(zhí)行其被監(jiān)測功能（如PSA 成功準則和任務時間所定義的）的時間與這12 個季度內臨界運行的時間之比（不包括故障暴露時間；不可用時間只統(tǒng)計從發(fā)現(xiàn)失效狀態(tài)到恢復系列被監(jiān)測功能的這段時間）。

不可靠度URI 是在先前連續(xù)滾動的12 個季度內，系列/系統(tǒng)不能執(zhí)行其被監(jiān)測功能（如PSA成功準則和任務時間所定義的）的概率。

基準值是對應于現(xiàn)有電廠所度量的不可用度和不可靠度的取值。

部件性能限值是當一個MSPI 系統(tǒng)的某個被監(jiān)測部件的性能明顯低于預期性能時，對性能降級的一種度量。

MSPI 針對重要緩解系統(tǒng)性能進行評價，主要包括應急交流電源系統(tǒng)、高壓安注系統(tǒng)、輔助給水系統(tǒng)、余熱排出系統(tǒng)、冷卻水支持系統(tǒng)。

1.3 MSPI 計算與評價方法

每個系統(tǒng)的MSPI 是在先前連續(xù)滾動的12個季度內由系統(tǒng)不可用度導致的UAI 與系統(tǒng)不可靠度導致的URI 之和。

每個系統(tǒng)的部件性能限值按特定電廠系統(tǒng)需求次數(shù)和運行時間所允許的最大失效次數(shù)（Fm）計算。將設備失效的實際次數(shù)（Fa）與這些限值進行比較。由于MSPI 計算考慮因素很多計算較為復雜，以下僅簡要列出計算公式（公式未列出修正因子，但實際計算過程中已包括），詳細說明可參考文獻［6］的介紹。

式中：

CDFp——特定電廠的內部事件功率運行PSA的堆芯損傷頻率；

FV——特定系列不可用度或失效模式的FV 重要度；

ΔUAt——系列不可用度增量；

ΔURc——設備失效概率增量。

通常將CDF × FV/U稱為Birnbaum 因子，它可以體現(xiàn)風險影響程度，其中U表示UA 或UR。

系統(tǒng)設備性能限值Fm計算采用如下公式：

式中：Nd——需求次數(shù)；

p——需求失效概率；

λ——失效率，取自工業(yè)數(shù)據(jù)；

Tr——部件運行時間。

確定一個系統(tǒng)的性能顏色的準則可參見參考文獻［3］，本文不再贅述。

1.4 SDP 工具介紹

重要度確定程序（SDP）是風險指引型核電廠監(jiān)管體系中重要的應用工具，用于協(xié)助分析人員識別對核電廠安全有影響的事項，并對事項進行評估和分級[5]，使監(jiān)管人員能夠及時判斷相關事項對核電廠風險的影響程度[6-8]。

SDP 系統(tǒng)的分析流程主要包括兩部分，分別是定性篩選和定量分析。對于定性篩選部分，主要對安全事項信息進行記錄，并通過設置一系列的邏輯問題初步判斷事項的影響程度，對于具有一定安全影響的事項，將開展進一步的定量分析。對于定量分析部分，又細分為初步風險定量分析和風險重要度驗證兩部分。分析人員根據(jù)操作提示，確定事項的安全影響后，可以得到事項的風險重要度量化結果。

（1）定性篩選

定性篩選問題根據(jù)ROP 框架的安全要素進行劃分，分為始發(fā)事件、緩解系統(tǒng)、屏障完整性三類。在每一個安全要素下設置更為詳細條目。

通過設置一系列的邏輯問題，定性篩選部分用于確定低風險重要的事項（判斷為綠色或低風險重要），并停止分析。對于非綠色的的事項，則需要進行更為詳細的定量分析。

（2）風險定量化

風險定量化過程包括初步風險定量化和風險重要度驗證兩階段[9]。在初步定量化階段，用戶依照系統(tǒng)引導提示，最終確定事項的風險重要程度。如用戶對于初步風險定量化結果存疑，可轉用專業(yè)的PSA 分析軟件進行詳細分析模化，詳細的分析結果可記錄在“風險重要度驗證”階段內。

SDP 系統(tǒng)將定量化過程劃分為降級情況類和始發(fā)事件類。這兩類情形在實際的定量方法上具有一定的差異性，以下分別介紹：

1）降級情況類

如果所分析的事項對于電廠運行并沒有產(chǎn)生嚴重影響，即沒有造成反應堆停堆，而只是出現(xiàn)部分系統(tǒng)設備降級情況，那么在分析時考慮電廠在緩解始發(fā)事件時是否有要求相關失效的系統(tǒng)或設備投入運行。

2）始發(fā)事件類

如果某一事件或失效情形導致電廠自動或手動停堆，相關事項將歸為始發(fā)事件類進行定量分析。分析過程中，關注在始發(fā)事件發(fā)生后，電廠緩解始發(fā)事件影響的能力，即量化始發(fā)事件后的堆芯損傷概率（CCDP）。

（3）量化結果釋義

如上文所述，SDP 系統(tǒng)對于降級情況類和始發(fā)事件類的定量計算過程存在一定的差異，量化結果分別以ΔCDP（堆芯損傷概率增量）和CCDP 形式給出。然而，自主化計算引擎能直接給出的是CDF（堆芯損傷頻率），以下將詳細介紹這幾個參數(shù)之間的對應轉換關系。

在數(shù)學原理層面，壽命分析通常使用指數(shù)分布類型，其中失效概率與失效率之間存在一定關系，如概率函數(shù)公式：

式中：p——失效概率；

λ——失效率；

t——時間。

“λ”是一個單位帶時間的參數(shù)，在PSA 分析中，在CDF 數(shù)值較小時可以不考慮“次”的量綱，可以按照“λ”解釋。那么，堆芯損傷概率可以解釋為CDP=1 -e-CDFt。當“CDFt”很小時（例如小于10-2），那么“CDFt”可以近似等于CDP。

對于ΔCDP，它代表的是堆芯損傷概率增量，

式中：CDF1——變化后的CDF 值；

CDF0——CDF 基準值；

tperiod——降級情況影響時間；

ΔCDP——降級情況類計算給出的最終量化結果，表征降級情況影響時間段內，電廠發(fā)生堆芯損傷概率的增量。

CCDP 具有另一套解釋原理。在PSA 分析中，最終結果CDF 可以理解成不同始發(fā)事件風險結果的加和，計算公式如下所示：

式中：IEF——始發(fā)事件發(fā)生頻率；

CCDP——始發(fā)事件下的條件堆芯損傷概率（即代表相應始發(fā)事件發(fā)生后，電廠不能緩解事故的概率值）。

在SDP 分析時，始發(fā)事件類定量化代表某一始發(fā)事件已經(jīng)實際發(fā)生，而其他始發(fā)事件并未發(fā)生。因此，分析時將發(fā)生的始發(fā)事件IEFi頻率值修改為1.0，其他未發(fā)生的始發(fā)事件頻率修改為0。那么將得到CDFtotal=CCDPi，即計算引擎給出的最終CDF 結果即為始發(fā)事件類定量化所需要的結果CCDP。

SDP 的安全等級評價標準與MSPI 基本一致（只是解釋不太相同），只是取消PLE 作為輔助評價。

2 MSPI 與SDP 應用研究

華東監(jiān)督站在地區(qū)檢查時發(fā)現(xiàn)，某M310 機組上充泵性能試驗振動試驗近三次試驗，試驗結果振動測量值均超出了報警值，但仍處于驗收值范圍內。三次試驗均判定為合格但有缺陷。利用MSPI 和SDP 工具對以上發(fā)現(xiàn)問題進行分析評價。

2.1 MSPI 分析評價

檢查發(fā)現(xiàn)問題涉及上充泵，在該M310 機組中，該泵同時承擔高壓安注功能，其失效影響可以利用MSPI 工具進行評價。

針對該項檢查發(fā)現(xiàn)，做如下重要假設：

（1）上充泵1 年內3 次試驗不合格問題，保守計為1 年內3 次運行失效，其他設備失效數(shù)據(jù)保持不變；

（2）根據(jù)技術規(guī)格書約定，上充泵故障后需要在72 h 內進行修復，假設相關問題帶來3 × 72 h 非計劃系列不可用影響，修改A 系列非計劃不可用時間。

結合該M310 機組高壓安注系統(tǒng)MSPI 計算表格進行計算，URI 部分結果匯總如表1 所示，UAI 部分結果匯總如表2 所示。結果很多為負值，表示電廠當前實際運行數(shù)據(jù)要優(yōu)于行業(yè)基準數(shù)據(jù)。

表1 URI 基準結果Table 1 Basic results of URI

表2 UAI 基準結果Table 2 Basic results of UAI

計算時需要注意：

（1）所分析系統(tǒng)不涉及始發(fā)事件修正，但是需要依據(jù)文獻［3］進行共因修正；

（2）文獻［3］附錄F 表8 中給出了不可靠度的工業(yè)先驗和參數(shù)，但是表格中沒有給出單位，需要注意運行失效的隱含單位是“/h”，折算失效概率時需乘任務時間。

基于以上基準計算結果，并結合計算假設開展MSPI 量化分析，表3 給出了分析前后的結果變化情況。因為 PSA 模型中?；薘CV001PO 和RCV003PO 兩臺上充泵的運行失效，所以上充泵運行數(shù)據(jù)變化將引起相關單設備URI 計算結果變化。在保守假設設備運行失效 3 次的情況下，設備運行失效概率由1.11 × 10-4增大為7.74 × 10-4。UAI 隨系列非計劃不可用時間增加而變化。MSPI 計算結果為3.55 × 10-7，與1.0 × 10-6的閾值相比，仍具有一定的安全裕度。從系統(tǒng)設備性能限值PLE 角度來看，也有一定裕量。綜合評價后，安全性能等級仍為綠色。

表3 MSPI 評價結果Table 3 Assessment results from MSPI

MSPI 工具結果有兩方面重要意義：

（1）結果可量化，評價客觀。本次分析案例中，MSPI 結果數(shù)值增加約3.71 × 10-7，關于量化結果的意義后續(xù)將深入討論。

（2）性能安全等級直觀易懂，綠色即表示性能可接受。

2.2 SDP 分析評價

檢查發(fā)現(xiàn)上充泵在一年內3 次試驗中，振動情況都超出報警值，但仍在設備合格可接受范圍內。分析假設該情況屬于降級情況問題，設備存在一定的缺陷，但并未引起失效。計算以ΔCDP 即堆芯損傷概率增量為判斷依據(jù)。

在PSA 模型中對相關設備失效有所模化，本次分析選取上充泵運行失效參數(shù)和基本事件兩類對象進行調整。該設備運行失效采用不可修復模型，失效率為2.5 × 10-5/h。分析時假定兩類分析條件：

條件1 假定設備本身設計缺陷造成了基準可靠性發(fā)生變化，計算時將失效參數(shù)修改為100 倍，即2.5 × 10-3/h（此時所有調用該參數(shù)的基本事件失效概率都將增加），影響時間保守取1 年。

條件2 只對當前具體問題分析，將該設備運行失效基本事件設為TRUE，但不對參數(shù)調整，不影響共因等?；闆r。根據(jù)技術規(guī)格書約定，故障后需要在72 h 內進行修復，因此按照72 h 失效時間考慮。

計算結果展示如表4所示?？梢钥闯觯薷暮罂傮wCDF變化達到1.0×10-6甚至1.0×10-5量級。其中，條件1 的ΔCDF 變化較大，主要是失效參數(shù)變化使所有相關聯(lián)的失效基本事件（如本次分析使用的模型中，硼酸補給泵也調用了與上充泵相同編碼的失效參數(shù)）、共因組計算都受到影響，累積效果貢獻在了ΔCDF 的統(tǒng)計范圍內。同時，降級時間達到1年，也使總體風險增量（ΔCDP）最終達到白色安全等級。

表4 SDP 評價結果Table 4 Evaluation results from SDP

條件2 修改基本事件為TRUE，并沒有帶來過多模型影響，同時降級時間較短，總體安全等級為綠色。

條件1 模擬的場景是設備降級，設備失效參數(shù)調整表征降級情況。但從計算結果來看，修改參數(shù)帶來的影響過多，同時需要分析人員熟悉電廠PSA 模型才能對計算結果進行合理地解釋和使用。條件2 本身具有一定的保守性（假定失效），但并不會帶來其他不必要影響，更適用于實際現(xiàn)場風險評價，在SDP 軟件開發(fā)中也建議采用該種方式。

2.3 結果分析

MSPI 和SDP 都是風險指引型監(jiān)管的重要工具，他們對于安全事項的評價都以風險增量為落腳點。雖然假設條件略有區(qū)別，但是MSPI和SDP 都基本反映出了該事件的風險影響，可以為現(xiàn)場監(jiān)督人員提供必要的風險見解。

3 MSPI 與SDP 差異比較

MSPI 和SDP 都是風險指引型監(jiān)管框架內的重要工具，雖然第3 節(jié)中兩者都能夠在風險增加量級上得出比較一致的結論，但是就其細節(jié)仍然有值得細致分析的地方。

3.1 原理分析

MSPI 從原理上來講是對風險增量的評價。對公式（1）～公式（3）稍作變形，可以得到：

同時，PSA 分析中常用公式FV×（ΔP）/P=（ΔCDF）/CDF 可知，系統(tǒng)MSPI 其實正是反映系統(tǒng)內各個組成部分在性能變化前后對于CDF影響的總體情況。

針對SDP，ΔCDP=ΔCDF ×t，變形后得到：

比較公式（7）和公式（8），主要有如下區(qū)別：

（1）MSPI 計算總體影響，系統(tǒng)內所有組成部分的影響需要加和計算，而SDP 無相關處理。

（2）ΔP 在MSPI 和SDP 中具有不同含義，MSPI 中代表貝葉斯更新后的失效概率值與工業(yè)基準值做差，以上充泵運行失效為例，ΔPMSPI=6.54 × 10-4，而SDP 中ΔP 代表修改后條件失效概率與模型?；鶞手档牟钪?，條件2中ΔPSDP≈1。

（3）SDP 計算時需要確定失效影響時間t，72 h≈8.22 × 10-3年；在MSPI 公式中無時間乘子，但是實際的失效數(shù)據(jù)統(tǒng)計都是以12 季度為周期進行。

由此可以看出，雖然兩者安全等級結果評價一致，但是從原理來講是存在差異的。

3.2 監(jiān)管應用考慮

MSPI 對重要緩解系統(tǒng)進行監(jiān)測，監(jiān)測周期為12 個季度，監(jiān)測范圍包括系統(tǒng)內重要安全相關設備。

MSPI 計算時，因為ΔP 計算約定，導致單設備單次失效基本不會直接達到1.0 × 10-6閾值。以分析事件為例，修改單一變量上充泵運行失效次數(shù)，需要達到12 次才能達到1.0 × 10-6的量化閾值。但是MSPI 提供了另一個輔助的評價工具，即系統(tǒng)性能限值PLE，通過統(tǒng)計12個季度系統(tǒng)內失效總次數(shù)來判斷是否達到“白色”安全等級。以該M310 機組MSPI 中考慮的安注系統(tǒng)RIS 為例，共監(jiān)測31 個設備失效模式，PLE 限值為7.58，即統(tǒng)計達到8 次失效時，系統(tǒng)MSPI 結果確定為“白色”。

MSPI 監(jiān)測范圍重點突出，只關注重要緩解系統(tǒng)和系統(tǒng)內重要安全相關能動設備失效模式，相關失效模式清單可以圈定為監(jiān)督檢查重點關注對象。此外，MSPI 屬于長周期性能監(jiān)測，12 季度的時間跨度可以持續(xù)對系統(tǒng)性能進行評價。

SDP 針對某一單次特定事件進行分析，通過調用PSA 模型直接進行定量計算。事件涉及的始發(fā)事件、設備降級情況、失效影響時間都是影響計算結果的重要因素。計算時直接調用PSA 模型，能夠整體反映事件對于核電廠整體的風險影響。在現(xiàn)場監(jiān)督檢查時，可以用于快速估計事件風險影響，識別高風險事件。

4 總結

MSPI 和SDP 都是風險指引型監(jiān)管框架內的重要工具，都可以在一定程度反映核電廠運行安全情況。本文著重比較了兩項工具之間的聯(lián)系與差別，并詳細討論了工具所具備的應用特點。MSPI 強調長周期（12 個季度）的性能監(jiān)測，適用于累積失效影響評價。SDP 側重于單次事件風險影響評價，事件所涉及的始發(fā)事件情況、系統(tǒng)設備降級情況、影響時間都將影響計算結果。兩項工具均能夠提供風險相關重要見解，幫助檢查人員評價核電廠運行安全狀態(tài)，有助于提高監(jiān)管水平和監(jiān)管效率。