風(fēng)險(xiǎn)監(jiān)測(cè)器在運(yùn)行核電站中的風(fēng)險(xiǎn)管理應(yīng)用探討

董方宇，馬 超，鄧 偉，許青青

(中國(guó)核電工程有限公司，北京 100048)

近年來，隨著核電產(chǎn)業(yè)的不斷發(fā)展和成熟，國(guó)內(nèi)外各大研究機(jī)構(gòu)針對(duì)核安全的監(jiān)測(cè)和管理進(jìn)行了廣泛的研究和應(yīng)用。核電廠風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)(Risk Monitor，RM)是核電廠實(shí)時(shí)安全分析的重要工具，Risk Monitor的研究與應(yīng)用也是核電廠概率安全分析(PSA)技術(shù)領(lǐng)域最具影響力的分析工具。Risk Monitor常用于核電廠運(yùn)行風(fēng)險(xiǎn)管理、維修計(jì)劃風(fēng)險(xiǎn)管理以及電廠狀態(tài)控制，從風(fēng)險(xiǎn)角度指引電廠綜合決策的制定。Risk Monitor工具的使用有如下益處[1]：

1)靈活安排機(jī)組維修計(jì)劃，將風(fēng)險(xiǎn)減小到最小值并提高機(jī)組能力因子；

2)減小誤停堆頻率并維持電網(wǎng)穩(wěn)定；

3)通過合適的配置來提高核電站的安全性并符合維修規(guī)則的要求；

4)提供完整的數(shù)據(jù)管理系統(tǒng)。

在核電站最初考慮利用風(fēng)險(xiǎn)監(jiān)測(cè)器進(jìn)行風(fēng)險(xiǎn)管理時(shí)，風(fēng)險(xiǎn)監(jiān)測(cè)器監(jiān)測(cè)結(jié)果是唯一的風(fēng)險(xiǎn)決定項(xiàng)。但其實(shí)，由于認(rèn)知的缺少，這種方法很明顯是不全面的。因此，風(fēng)險(xiǎn)監(jiān)測(cè)器在核電站中的應(yīng)用管理和發(fā)展需要通過一種綜合的分析管理方法實(shí)施。目前的核電站安全管理正逐步向一種采用概率論方法與確定論方法(縱深防御定性評(píng)價(jià))相結(jié)合的風(fēng)險(xiǎn)指引型管理模式邁進(jìn)。

本文將以Risk Monitor在某典型核電站中的應(yīng)用經(jīng)驗(yàn)為例，詳細(xì)分析在應(yīng)用過程中存在的局限性和問題，對(duì)此進(jìn)行討論并給出一些看法和解決方案。

1 定量風(fēng)險(xiǎn)度量指標(biāo)分析

核電站的PSA平均模型通過轉(zhuǎn)換形成實(shí)時(shí)風(fēng)險(xiǎn)模型，可對(duì)電站任意配置下的風(fēng)險(xiǎn)水平進(jìn)行評(píng)價(jià)與管理。評(píng)價(jià)維修所帶來的電站風(fēng)險(xiǎn)增量的高低與風(fēng)險(xiǎn)指標(biāo)和風(fēng)險(xiǎn)閾值相關(guān)。即時(shí)風(fēng)險(xiǎn)，即電站處于當(dāng)時(shí)狀態(tài)下所達(dá)到的即時(shí)堆芯融化頻率(CDF)[1]，是定量分析的一個(gè)重要指標(biāo)。

目前國(guó)際上有三種風(fēng)險(xiǎn)等級(jí)(紅、黃、綠)或四種風(fēng)險(xiǎn)等級(jí)(紅、橙、黃、綠)的管理方案[2]，80%以上的核電站采用了四種風(fēng)險(xiǎn)等級(jí)方案進(jìn)行管理，某典型核電站的RM也是采用這種方式。表1給出了不同風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)的風(fēng)險(xiǎn)管理行動(dòng)。

某典型核電站內(nèi)部事件一級(jí)PSA的基準(zhǔn)風(fēng)險(xiǎn)CDF值大約在1.1×10-6/堆年量級(jí)左右，風(fēng)險(xiǎn)裕量較大，因此目前RM采用的是選用基準(zhǔn)風(fēng)險(xiǎn)倍數(shù)作為風(fēng)險(xiǎn)等級(jí)的閾值，主要為：將基準(zhǔn)風(fēng)險(xiǎn)的1.3倍作為綠-黃的劃分值，橙區(qū)的進(jìn)入閾值為1×10-5/堆年，國(guó)際上對(duì)紅區(qū)的閾值有統(tǒng)一的定義，采用1×10-3/堆年的標(biāo)準(zhǔn)[3,4]。

表1 風(fēng)險(xiǎn)等級(jí)及管理措施準(zhǔn)則表Table 1 Typical risk levels and action statements defined for risk monitor

1.1 風(fēng)險(xiǎn)閾值的不確定性

風(fēng)險(xiǎn)監(jiān)測(cè)器的應(yīng)用中需要考慮，如果風(fēng)險(xiǎn)閾值是一個(gè)精確的值，則會(huì)受到陡邊效應(yīng)的影響，也就是說當(dāng)電廠處于風(fēng)險(xiǎn)十分接近閾值和僅僅比閾值高一點(diǎn)點(diǎn)的不同狀態(tài)時(shí)，采用的風(fēng)險(xiǎn)管理措施也是不同的。例如，當(dāng)RM監(jiān)測(cè)出電廠的風(fēng)險(xiǎn)數(shù)值為9.99×10-6和1.01×10-5時(shí)，風(fēng)險(xiǎn)等級(jí)分別為黃色和橙色，電廠采用不同的風(fēng)險(xiǎn)管理措施。但很明顯，這是不合理的，采用這種做法并不能準(zhǔn)確地反映電廠的響應(yīng)，并且也不能支持風(fēng)險(xiǎn)管理措施的應(yīng)用。

實(shí)際上，風(fēng)險(xiǎn)評(píng)估的數(shù)值結(jié)果有著很大的不確定性，風(fēng)險(xiǎn)閾值不應(yīng)是一個(gè)確定的值，而應(yīng)是一個(gè)范圍。如圖1所示，每個(gè)顏色的風(fēng)險(xiǎn)閾值都應(yīng)存在一個(gè)不確定分布，這樣就避免了陡變效應(yīng)的影響。也就是說，圖1中的風(fēng)險(xiǎn)顏色更多的是代表一種風(fēng)險(xiǎn)警示，很多情況下，無論是接近或是超過某顏色的風(fēng)險(xiǎn)閾值，都應(yīng)采用相類似的風(fēng)險(xiǎn)管理措施。

圖1 四色帶風(fēng)險(xiǎn)閾值及其不確定性分布Fig.1 Four band risk threshold and uncertainties

1.2 核電廠Risk Monitor使用中的局限性

風(fēng)險(xiǎn)監(jiān)測(cè)器能夠反應(yīng)電廠任意配置下的即時(shí)風(fēng)險(xiǎn)，但從某核電站幾年運(yùn)行RM的經(jīng)驗(yàn)來看，某些維修活動(dòng)的配置下，RM監(jiān)測(cè)的電廠風(fēng)險(xiǎn)配置與電廠實(shí)際組態(tài)并不十分一致。下面對(duì)風(fēng)險(xiǎn)監(jiān)測(cè)器配置下的即時(shí)風(fēng)險(xiǎn)與電廠實(shí)際組態(tài)的風(fēng)險(xiǎn)偏差原因進(jìn)行詳細(xì)的說明。

(1)模型中的假設(shè)過于保守，導(dǎo)致結(jié)果偏高

在進(jìn)行PSA分析時(shí)，一些保守假設(shè)是必須的，但這也在某些方面造成了風(fēng)險(xiǎn)監(jiān)測(cè)器使用的局限性與不準(zhǔn)確性，這通常和安全系統(tǒng)的成功準(zhǔn)則的選取有關(guān)。例如，PSA模型中典型的支持系統(tǒng)-通風(fēng)系統(tǒng)，建模中大體的思路為，只要通風(fēng)系統(tǒng)失效，即認(rèn)為相關(guān)的安全系統(tǒng)也同樣失效。因此，只要通風(fēng)系統(tǒng)相關(guān)的設(shè)備因維修而退出運(yùn)行時(shí)，所計(jì)算出的風(fēng)險(xiǎn)將會(huì)非常高。但根據(jù)電站的實(shí)際運(yùn)行經(jīng)驗(yàn)，在某些情況下，特別是冬天時(shí)，即使通風(fēng)系統(tǒng)不可用，系統(tǒng)也可正常運(yùn)行。由此看來，通風(fēng)系統(tǒng)模型的保守假設(shè)，使風(fēng)險(xiǎn)監(jiān)測(cè)器中的風(fēng)險(xiǎn)值明顯要高于電廠實(shí)際運(yùn)行的風(fēng)險(xiǎn)。

(2)模型未能充分建立和發(fā)展

基準(zhǔn)PSA模型建立時(shí)采用了很多的簡(jiǎn)化假設(shè)，簡(jiǎn)化的模型會(huì)對(duì)電廠的實(shí)際風(fēng)險(xiǎn)造成影響。特別是在低功率及停堆工況(簡(jiǎn)稱低停)時(shí)，電廠的實(shí)際配置與功率工況時(shí)的電廠配置差別很大，但是考慮到模型的運(yùn)算速度和計(jì)算機(jī)負(fù)載能力，低停工況時(shí)的模型進(jìn)行了一定的簡(jiǎn)化。如圖2所示，電廠的運(yùn)行風(fēng)險(xiǎn)一直穩(wěn)定在1×10-6/堆年數(shù)量級(jí)，切換運(yùn)行模式的瞬間，風(fēng)險(xiǎn)陡升至1×10-5數(shù)量級(jí)，達(dá)到橙區(qū)，但電廠的實(shí)際風(fēng)險(xiǎn)值仍然比較低。盡管將PSA模型轉(zhuǎn)換為Risk Monitor可用的模型時(shí)進(jìn)行了更多的細(xì)節(jié)的模化，但PSA還是不能精確地包含所有電廠可能的配置方式。因此在電廠實(shí)際組態(tài)和Risk Monitor中的電廠配置間存在不匹配，這種情況在停堆工況下尤其明顯，停堆時(shí)電廠可能的配置有很多的變化。如果PSA開發(fā)得不夠精細(xì)，Risk Monitor的精確性需要用戶進(jìn)行識(shí)別。

圖2 Risk Watcher軟件界面Fig.2 The interface of Risk Watcher

(3)始發(fā)事件頻率不隨電廠實(shí)際配置變化

現(xiàn)有的實(shí)時(shí)風(fēng)險(xiǎn)模型中的始發(fā)事件通常用一個(gè)基本事件作為輸入，是一個(gè)常數(shù)。當(dāng)電廠配置發(fā)生變化時(shí)，如一些設(shè)備退出運(yùn)行時(shí)，始發(fā)事件頻率不會(huì)改變。例如，開關(guān)站進(jìn)行維修活動(dòng)時(shí)，喪失外電事故的發(fā)生頻率將會(huì)升高，但此時(shí)Risk Monitor中的配置并沒有發(fā)生改變，也就是說監(jiān)測(cè)到的風(fēng)險(xiǎn)將比電廠的實(shí)際風(fēng)險(xiǎn)偏低。因此，在進(jìn)行風(fēng)險(xiǎn)分析時(shí)，要充分結(jié)合從定性的角度考慮維修活動(dòng)的風(fēng)險(xiǎn)影響以彌補(bǔ)風(fēng)險(xiǎn)監(jiān)測(cè)器的不足。

2 定性風(fēng)險(xiǎn)度量指標(biāo)分析

定性風(fēng)險(xiǎn)指標(biāo)通常與安全功能、安全系統(tǒng)相關(guān)。旨在提供當(dāng)前電廠配置下可獲得的冗余度、多樣性、縱深防御等水平的指示[6-7]。在Risk Monitor中，通常通過監(jiān)視安全系統(tǒng)和安全功能的運(yùn)行安全狀態(tài)來反映核電廠的縱深防御狀態(tài)，這種狀態(tài)可以快速通過PSA模型中的邏輯傳遞反映出來。通常，在Risk Monitor模型中按照系統(tǒng)的冗余度大小對(duì)電廠的縱深防御狀態(tài)進(jìn)行劃分，并且通過不同的顏色顯示加以區(qū)分，如表2所示。

表2 縱深防御狀態(tài)冗余度準(zhǔn)則表[8,9]Table 2 Redundancy criteria for defense-in-depth

其中：Nmin為系統(tǒng)實(shí)現(xiàn)其設(shè)計(jì)功能所需的最小列數(shù)，Nconfig為電廠當(dāng)前配置下該系統(tǒng)的實(shí)際可用列數(shù)。

3 風(fēng)險(xiǎn)評(píng)價(jià)方法流程

由于風(fēng)險(xiǎn)監(jiān)測(cè)器的局限性，在核電站某些配置下風(fēng)險(xiǎn)計(jì)算結(jié)果可能與電廠的實(shí)際風(fēng)險(xiǎn)有一定偏差。因此，創(chuàng)建了一種分析評(píng)價(jià)風(fēng)險(xiǎn)監(jiān)測(cè)器結(jié)果的方法流程(如圖3)，對(duì)監(jiān)測(cè)結(jié)果進(jìn)行不確定性分析以確立結(jié)果的正確與合理性。

根據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)器CDF的監(jiān)測(cè)結(jié)果，風(fēng)險(xiǎn)評(píng)價(jià)的流程可分成兩個(gè)分支進(jìn)行分析。第一個(gè)部分(左邊)定義為風(fēng)險(xiǎn)結(jié)果顯示為橙色風(fēng)險(xiǎn)閾值以下的情況(綠色和黃色區(qū)域)。在此結(jié)果下，不確定性的原因需要進(jìn)行分析調(diào)查，根據(jù)以往的經(jīng)驗(yàn)以及第2節(jié)的描述可以發(fā)現(xiàn)，通常始發(fā)事件頻率應(yīng)隨環(huán)境而變化是風(fēng)險(xiǎn)不確定性的主要來源之一。

經(jīng)過不確定性分析后，如果這時(shí)核電站的風(fēng)險(xiǎn)配置處于綠色區(qū)域，則風(fēng)險(xiǎn)是可接受的。但如果經(jīng)過不確定分析后風(fēng)險(xiǎn)處于黃色，則在此配置下識(shí)別重要的風(fēng)險(xiǎn)貢獻(xiàn)設(shè)備是必要的，通過縱深防御定性分析等，風(fēng)險(xiǎn)監(jiān)測(cè)器中的重要失效設(shè)備可被判定，并且這些信息需要被識(shí)別和記錄在案。

圖3 風(fēng)險(xiǎn)評(píng)價(jià)方法流程Fig.3 The flow chart of risk evaluation

方法流程圖的第二個(gè)部分(右邊)定義為風(fēng)險(xiǎn)結(jié)果處于橙色或者紅色的區(qū)域，這可能是風(fēng)險(xiǎn)監(jiān)測(cè)器的直接顯示結(jié)果或者進(jìn)行不確定性分析后的結(jié)果。這時(shí)，需要決策者結(jié)合縱深防御等電站信息，進(jìn)行重要風(fēng)險(xiǎn)貢獻(xiàn)項(xiàng)的識(shí)別，同時(shí)針對(duì)每一個(gè)風(fēng)險(xiǎn)貢獻(xiàn)項(xiàng)，需從PSA模型的建模角度分析其保守性。在不同電站的配置下，需要明確是否是由于其模型的保守原則導(dǎo)致的風(fēng)險(xiǎn)監(jiān)測(cè)器結(jié)果的偏差或是不正確。在第2節(jié)的分析中可發(fā)現(xiàn)，導(dǎo)致保守性結(jié)果的主要來源為模型的簡(jiǎn)化假設(shè)(例如低停工況)或者是建模方法過于保守(例如通風(fēng)系統(tǒng))。

經(jīng)過保守性分析之后，如果風(fēng)險(xiǎn)重要貢獻(xiàn)項(xiàng)是由于建模保守導(dǎo)致的風(fēng)險(xiǎn)增大或風(fēng)險(xiǎn)進(jìn)入橙紅區(qū)域，則CDF大小與電站實(shí)際組態(tài)不符。在此情況下，需要進(jìn)行模型改善與細(xì)化來更好地反映電站實(shí)際的風(fēng)險(xiǎn)配置。如果模型改善之后風(fēng)險(xiǎn)不再處于橙色閾值之上，則認(rèn)為風(fēng)險(xiǎn)是可接受的，并且流程將重新進(jìn)入到不確定性分析的環(huán)節(jié)；但如果經(jīng)過模型改善之后，風(fēng)險(xiǎn)仍處于橙色或紅色區(qū)域，則風(fēng)險(xiǎn)是不可接受的，風(fēng)險(xiǎn)決策者需立刻采取表1及表2中所對(duì)應(yīng)的管理措施。

經(jīng)過保守性分析之后，如果發(fā)現(xiàn)保守性不是導(dǎo)致風(fēng)險(xiǎn)增大的主要原因，風(fēng)險(xiǎn)決策者對(duì)此能做的風(fēng)險(xiǎn)見解分析則非常有限，應(yīng)認(rèn)為此時(shí)風(fēng)險(xiǎn)是不可接受的。

通過以上風(fēng)險(xiǎn)評(píng)價(jià)的流程，最終的風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果較風(fēng)險(xiǎn)監(jiān)測(cè)器的直接顯示結(jié)果更加準(zhǔn)確，也為風(fēng)險(xiǎn)管理人員采取對(duì)應(yīng)措施提供了保障性建議。當(dāng)然，根據(jù)目前的實(shí)踐、資源，可能還不太能支持每一次電站配置均采用此風(fēng)險(xiǎn)評(píng)價(jià)流程進(jìn)行分析，但此方法可以很好地運(yùn)用在模型驗(yàn)證階段，選取一定量的案例進(jìn)行驗(yàn)證，有重要實(shí)踐意義。

4 結(jié)論

Risk Monitor的使用可以支持機(jī)組配置狀態(tài)的優(yōu)化，靈活地安排機(jī)組維修計(jì)劃，提高電站的經(jīng)濟(jì)性，帶來諸多益處。但就目前的情況看來，風(fēng)險(xiǎn)監(jiān)測(cè)器的使用有一定的局限性，首先需要明確的是風(fēng)險(xiǎn)閾值并不是一個(gè)確定的值，而應(yīng)該是一個(gè)分布。由于利用PSA方法進(jìn)行分析建模時(shí)，很多不確定性因素都會(huì)影響CDF的計(jì)算，例如模型的過于保守假設(shè)會(huì)導(dǎo)致結(jié)果的偏大、停堆工況時(shí)模型的配置與電廠實(shí)際組態(tài)的不符造成結(jié)果的不準(zhǔn)確性、始發(fā)事件頻率為常數(shù)的局限性以及模型本身在計(jì)算時(shí)造成的不確定性等。此外，單單地從定量角度評(píng)價(jià)電廠風(fēng)險(xiǎn)是不足夠的，通常采用一種概率論方法與確定論方法(縱深防御定性評(píng)價(jià))相結(jié)合的風(fēng)險(xiǎn)指引型管理模式。

本文創(chuàng)建了一種能夠更好地評(píng)價(jià)核電站實(shí)際風(fēng)險(xiǎn)的流程方法。如果風(fēng)險(xiǎn)監(jiān)測(cè)器的結(jié)果顯示風(fēng)險(xiǎn)是可接受的，則需進(jìn)行不確定性分析來確保風(fēng)險(xiǎn)沒有被低估。反之，如果風(fēng)險(xiǎn)監(jiān)測(cè)器結(jié)果計(jì)算出風(fēng)險(xiǎn)是不可接受的，則需要識(shí)別重要風(fēng)險(xiǎn)貢獻(xiàn)項(xiàng)并確立風(fēng)險(xiǎn)結(jié)果的偏高的原因是否由PSA模型建立的保守性原則導(dǎo)致；如此時(shí)PSA模型已詳細(xì)并正確反映電站的實(shí)際配置狀態(tài)，即實(shí)際風(fēng)險(xiǎn)處于高風(fēng)險(xiǎn)，風(fēng)險(xiǎn)決策者應(yīng)立刻采取緊急措施。由于實(shí)踐、資源的限制，該方法運(yùn)用在每次電站配置結(jié)果的分析中有一定限制，但可以很好地運(yùn)用在模型驗(yàn)證階段，對(duì)案例的選取驗(yàn)證有重要意義。