張國旭，陳露，張延云，馬帥，張澤宇,*

（1.上海核工程研究設(shè)計院有限公司，上海 200233；2.生態(tài)環(huán)境部華東核與輻射安全監(jiān)督站，上海 200233；3.生態(tài)環(huán)境部核與輻射安全中心，北京 100082）

美國是最早開展核能應(yīng)用的國家之一，目前擁有世界上最多數(shù)量的在運核電站。經(jīng)過幾十年的發(fā)展，其在核能技術(shù)和核安全監(jiān)管方面都積累了豐富經(jīng)驗。風(fēng)險指引型監(jiān)管框架是美國核管會（Nuclear Regulatory Commission，NRC）在多年研究與實踐基礎(chǔ)上，總結(jié)凝練出的一整套應(yīng)用于實際核電廠安全監(jiān)管的框架體系。通過綜合縱深防御、運行經(jīng)驗、事故分析和風(fēng)險評價[1]等考慮，風(fēng)險指引型核安全監(jiān)管使監(jiān)管方的關(guān)注度與物項風(fēng)險重要度相匹配，從而在保證核安全前提下實現(xiàn)程度適當(dāng)?shù)谋O(jiān)管。

我國核安全監(jiān)管當(dāng)局充分認(rèn)識到風(fēng)險指引型監(jiān)管理念對核安全與監(jiān)管效率的提升作用，并開展了一系列風(fēng)險指引性監(jiān)管應(yīng)用研究工作。受華東監(jiān)督站委托，上海核工程研究設(shè)計院PSA 專業(yè)相關(guān)人員參與到核電廠監(jiān)督檢查工作中，并結(jié)合現(xiàn)場檢查發(fā)現(xiàn)問題對風(fēng)險指引型監(jiān)管工具的實際應(yīng)用進(jìn)行研究。本文利用緩解系統(tǒng)性能指標(biāo)（Mitigating System Performance Indicator，MSPI）和重要度確定程序（Significance Determination Process，SDP）兩項工具對現(xiàn)場檢查發(fā)現(xiàn)問題開展分析，比較評價兩項工具的差異，為今后實際應(yīng)用提供參考。

1 MSPI 與SDP 介紹

1.1 風(fēng)險指引型監(jiān)管框架

風(fēng)險指引型——基于性能（Risk-informed and Performance-based）的監(jiān)管（簡稱“風(fēng)險指引型監(jiān)管”）[2]的重要特征在于在實際開展監(jiān)管活動時，更多的考量風(fēng)險信息和電廠實際性能表現(xiàn)?；谶@一套理念，NRC 于2000 年建立了反應(yīng)堆監(jiān)督程序（Reactor Oversight Process，ROP）。ROP 為核電廠監(jiān)督檢查提供一種客觀的、風(fēng)險指引型、可理解、可預(yù)測的評估方式，來協(xié)助NRC 實現(xiàn)保護(hù)公眾健康安全和保護(hù)環(huán)境的任務(wù)。NRC 明確了監(jiān)督重點和流程，形成圖1 所示的整體監(jiān)督框架[2]。依據(jù)檢查發(fā)現(xiàn)和性能指標(biāo)的評價結(jié)果，NRC 可以更好地將監(jiān)管資源分配在可以取得最大安全效益的方面。MSPI 對應(yīng)緩解系統(tǒng)基石部分性能指標(biāo)評價，由核電廠進(jìn)行日常運行數(shù)據(jù)填報，數(shù)據(jù)分析評價工作由NRC 進(jìn)行。SDP 是現(xiàn)場監(jiān)督檢查的重要工具，用于對檢查發(fā)現(xiàn)問題進(jìn)行快速的風(fēng)險評價。

圖1 ROP 監(jiān)督框架Fig.1 ROP regulatory framework

1.2 MSPI 工具介紹

MSPI 屬于緩解系統(tǒng)基石的指標(biāo)，用于評價核電廠發(fā)生事故時，相關(guān)的安全系統(tǒng)投入運行以緩解事故的能力。該指標(biāo)能夠有效的監(jiān)測安全系統(tǒng)的狀態(tài)，更加合理的反映設(shè)備性能對電廠安全水平的影響，有助于提高電廠的設(shè)備管理水平，并改進(jìn)維修策略[4]。MSPI 由不可用度指標(biāo)（UAI）和不可靠度指標(biāo)（URI）組成[3]。當(dāng)被監(jiān)測系統(tǒng)的設(shè)備性能明顯低于預(yù)期性能時，由“設(shè)備性能限值（PLE）”監(jiān)測其性能的降級，并作為MSPI 的補充。

MSPI 的計算結(jié)果是由電廠系統(tǒng)的不可用度和不可靠度分別與業(yè)界標(biāo)準(zhǔn)基準(zhǔn)值的差值導(dǎo)致的電廠堆芯損傷頻率的總變化。PLE 用于MSPI 的輔助評價。

不可用度UAI 是在先前連續(xù)滾動的12 個季度內(nèi)，臨界運行時系列/系統(tǒng)由于計劃或非計劃性維修或試驗而不能執(zhí)行其被監(jiān)測功能（如PSA 成功準(zhǔn)則和任務(wù)時間所定義的）的時間與這12 個季度內(nèi)臨界運行的時間之比（不包括故障暴露時間；不可用時間只統(tǒng)計從發(fā)現(xiàn)失效狀態(tài)到恢復(fù)系列被監(jiān)測功能的這段時間）。

不可靠度URI 是在先前連續(xù)滾動的12 個季度內(nèi)，系列/系統(tǒng)不能執(zhí)行其被監(jiān)測功能（如PSA成功準(zhǔn)則和任務(wù)時間所定義的）的概率。

基準(zhǔn)值是對應(yīng)于現(xiàn)有電廠所度量的不可用度和不可靠度的取值。

部件性能限值是當(dāng)一個MSPI 系統(tǒng)的某個被監(jiān)測部件的性能明顯低于預(yù)期性能時，對性能降級的一種度量。

MSPI 針對重要緩解系統(tǒng)性能進(jìn)行評價，主要包括應(yīng)急交流電源系統(tǒng)、高壓安注系統(tǒng)、輔助給水系統(tǒng)、余熱排出系統(tǒng)、冷卻水支持系統(tǒng)。

1.3 MSPI 計算與評價方法

每個系統(tǒng)的MSPI 是在先前連續(xù)滾動的12個季度內(nèi)由系統(tǒng)不可用度導(dǎo)致的UAI 與系統(tǒng)不可靠度導(dǎo)致的URI 之和。

每個系統(tǒng)的部件性能限值按特定電廠系統(tǒng)需求次數(shù)和運行時間所允許的最大失效次數(shù)（Fm）計算。將設(shè)備失效的實際次數(shù)（Fa）與這些限值進(jìn)行比較。由于MSPI 計算考慮因素很多計算較為復(fù)雜，以下僅簡要列出計算公式（公式未列出修正因子，但實際計算過程中已包括），詳細(xì)說明可參考文獻(xiàn)［6］的介紹。

式中：

CDFp——特定電廠的內(nèi)部事件功率運行PSA的堆芯損傷頻率；

FV——特定系列不可用度或失效模式的FV 重要度；

ΔUAt——系列不可用度增量；

ΔURc——設(shè)備失效概率增量。

通常將CDF × FV/U稱為Birnbaum 因子，它可以體現(xiàn)風(fēng)險影響程度，其中U表示UA 或UR。

系統(tǒng)設(shè)備性能限值Fm計算采用如下公式：

式中：Nd——需求次數(shù)；

p——需求失效概率；

λ——失效率，取自工業(yè)數(shù)據(jù)；

Tr——部件運行時間。

確定一個系統(tǒng)的性能顏色的準(zhǔn)則可參見參考文獻(xiàn)［3］，本文不再贅述。

1.4 SDP 工具介紹

重要度確定程序（SDP）是風(fēng)險指引型核電廠監(jiān)管體系中重要的應(yīng)用工具，用于協(xié)助分析人員識別對核電廠安全有影響的事項，并對事項進(jìn)行評估和分級[5]，使監(jiān)管人員能夠及時判斷相關(guān)事項對核電廠風(fēng)險的影響程度[6-8]。

SDP 系統(tǒng)的分析流程主要包括兩部分，分別是定性篩選和定量分析。對于定性篩選部分，主要對安全事項信息進(jìn)行記錄，并通過設(shè)置一系列的邏輯問題初步判斷事項的影響程度，對于具有一定安全影響的事項，將開展進(jìn)一步的定量分析。對于定量分析部分，又細(xì)分為初步風(fēng)險定量分析和風(fēng)險重要度驗證兩部分。分析人員根據(jù)操作提示，確定事項的安全影響后，可以得到事項的風(fēng)險重要度量化結(jié)果。

（1）定性篩選

定性篩選問題根據(jù)ROP 框架的安全要素進(jìn)行劃分，分為始發(fā)事件、緩解系統(tǒng)、屏障完整性三類。在每一個安全要素下設(shè)置更為詳細(xì)條目。

通過設(shè)置一系列的邏輯問題，定性篩選部分用于確定低風(fēng)險重要的事項（判斷為綠色或低風(fēng)險重要），并停止分析。對于非綠色的的事項，則需要進(jìn)行更為詳細(xì)的定量分析。

（2）風(fēng)險定量化

風(fēng)險定量化過程包括初步風(fēng)險定量化和風(fēng)險重要度驗證兩階段[9]。在初步定量化階段，用戶依照系統(tǒng)引導(dǎo)提示，最終確定事項的風(fēng)險重要程度。如用戶對于初步風(fēng)險定量化結(jié)果存疑，可轉(zhuǎn)用專業(yè)的PSA 分析軟件進(jìn)行詳細(xì)分析?；?，詳細(xì)的分析結(jié)果可記錄在“風(fēng)險重要度驗證”階段內(nèi)。

SDP 系統(tǒng)將定量化過程劃分為降級情況類和始發(fā)事件類。這兩類情形在實際的定量方法上具有一定的差異性，以下分別介紹：

1）降級情況類

如果所分析的事項對于電廠運行并沒有產(chǎn)生嚴(yán)重影響，即沒有造成反應(yīng)堆停堆，而只是出現(xiàn)部分系統(tǒng)設(shè)備降級情況，那么在分析時考慮電廠在緩解始發(fā)事件時是否有要求相關(guān)失效的系統(tǒng)或設(shè)備投入運行。

2）始發(fā)事件類

如果某一事件或失效情形導(dǎo)致電廠自動或手動停堆，相關(guān)事項將歸為始發(fā)事件類進(jìn)行定量分析。分析過程中，關(guān)注在始發(fā)事件發(fā)生后，電廠緩解始發(fā)事件影響的能力，即量化始發(fā)事件后的堆芯損傷概率（CCDP）。

（3）量化結(jié)果釋義

如上文所述，SDP 系統(tǒng)對于降級情況類和始發(fā)事件類的定量計算過程存在一定的差異，量化結(jié)果分別以ΔCDP（堆芯損傷概率增量）和CCDP 形式給出。然而，自主化計算引擎能直接給出的是CDF（堆芯損傷頻率），以下將詳細(xì)介紹這幾個參數(shù)之間的對應(yīng)轉(zhuǎn)換關(guān)系。

在數(shù)學(xué)原理層面，壽命分析通常使用指數(shù)分布類型，其中失效概率與失效率之間存在一定關(guān)系，如概率函數(shù)公式：

式中：p——失效概率；

λ——失效率；

t——時間。

“λ”是一個單位帶時間的參數(shù)，在PSA 分析中，在CDF 數(shù)值較小時可以不考慮“次”的量綱，可以按照“λ”解釋。那么，堆芯損傷概率可以解釋為CDP=1 -e-CDFt。當(dāng)“CDFt”很小時（例如小于10-2），那么“CDFt”可以近似等于CDP。

對于ΔCDP，它代表的是堆芯損傷概率增量，

式中：CDF1——變化后的CDF 值；

CDF0——CDF 基準(zhǔn)值；

tperiod——降級情況影響時間；

ΔCDP——降級情況類計算給出的最終量化結(jié)果，表征降級情況影響時間段內(nèi)，電廠發(fā)生堆芯損傷概率的增量。

CCDP 具有另一套解釋原理。在PSA 分析中，最終結(jié)果CDF 可以理解成不同始發(fā)事件風(fēng)險結(jié)果的加和，計算公式如下所示：

式中：IEF——始發(fā)事件發(fā)生頻率；

CCDP——始發(fā)事件下的條件堆芯損傷概率（即代表相應(yīng)始發(fā)事件發(fā)生后，電廠不能緩解事故的概率值）。

在SDP 分析時，始發(fā)事件類定量化代表某一始發(fā)事件已經(jīng)實際發(fā)生，而其他始發(fā)事件并未發(fā)生。因此，分析時將發(fā)生的始發(fā)事件IEFi頻率值修改為1.0，其他未發(fā)生的始發(fā)事件頻率修改為0。那么將得到CDFtotal=CCDPi，即計算引擎給出的最終CDF 結(jié)果即為始發(fā)事件類定量化所需要的結(jié)果CCDP。

SDP 的安全等級評價標(biāo)準(zhǔn)與MSPI 基本一致（只是解釋不太相同），只是取消PLE 作為輔助評價。

2 MSPI 與SDP 應(yīng)用研究

華東監(jiān)督站在地區(qū)檢查時發(fā)現(xiàn)，某M310 機(jī)組上充泵性能試驗振動試驗近三次試驗，試驗結(jié)果振動測量值均超出了報警值，但仍處于驗收值范圍內(nèi)。三次試驗均判定為合格但有缺陷。利用MSPI 和SDP 工具對以上發(fā)現(xiàn)問題進(jìn)行分析評價。

2.1 MSPI 分析評價

檢查發(fā)現(xiàn)問題涉及上充泵，在該M310 機(jī)組中，該泵同時承擔(dān)高壓安注功能，其失效影響可以利用MSPI 工具進(jìn)行評價。

針對該項檢查發(fā)現(xiàn)，做如下重要假設(shè)：

（1）上充泵1 年內(nèi)3 次試驗不合格問題，保守計為1 年內(nèi)3 次運行失效，其他設(shè)備失效數(shù)據(jù)保持不變；

（2）根據(jù)技術(shù)規(guī)格書約定，上充泵故障后需要在72 h 內(nèi)進(jìn)行修復(fù)，假設(shè)相關(guān)問題帶來3 × 72 h 非計劃系列不可用影響，修改A 系列非計劃不可用時間。

結(jié)合該M310 機(jī)組高壓安注系統(tǒng)MSPI 計算表格進(jìn)行計算，URI 部分結(jié)果匯總?cè)绫? 所示，UAI 部分結(jié)果匯總?cè)绫? 所示。結(jié)果很多為負(fù)值，表示電廠當(dāng)前實際運行數(shù)據(jù)要優(yōu)于行業(yè)基準(zhǔn)數(shù)據(jù)。

表1 URI 基準(zhǔn)結(jié)果Table 1 Basic results of URI

表2 UAI 基準(zhǔn)結(jié)果Table 2 Basic results of UAI

計算時需要注意：

（1）所分析系統(tǒng)不涉及始發(fā)事件修正，但是需要依據(jù)文獻(xiàn)［3］進(jìn)行共因修正；

（2）文獻(xiàn)［3］附錄F 表8 中給出了不可靠度的工業(yè)先驗和參數(shù)，但是表格中沒有給出單位，需要注意運行失效的隱含單位是“/h”，折算失效概率時需乘任務(wù)時間。

基于以上基準(zhǔn)計算結(jié)果，并結(jié)合計算假設(shè)開展MSPI 量化分析，表3 給出了分析前后的結(jié)果變化情況。因為 PSA 模型中?；薘CV001PO 和RCV003PO 兩臺上充泵的運行失效，所以上充泵運行數(shù)據(jù)變化將引起相關(guān)單設(shè)備URI 計算結(jié)果變化。在保守假設(shè)設(shè)備運行失效 3 次的情況下，設(shè)備運行失效概率由1.11 × 10-4增大為7.74 × 10-4。UAI 隨系列非計劃不可用時間增加而變化。MSPI 計算結(jié)果為3.55 × 10-7，與1.0 × 10-6的閾值相比，仍具有一定的安全裕度。從系統(tǒng)設(shè)備性能限值PLE 角度來看，也有一定裕量。綜合評價后，安全性能等級仍為綠色。

表3 MSPI 評價結(jié)果Table 3 Assessment results from MSPI

MSPI 工具結(jié)果有兩方面重要意義：

（1）結(jié)果可量化，評價客觀。本次分析案例中，MSPI 結(jié)果數(shù)值增加約3.71 × 10-7，關(guān)于量化結(jié)果的意義后續(xù)將深入討論。

（2）性能安全等級直觀易懂，綠色即表示性能可接受。

2.2 SDP 分析評價

檢查發(fā)現(xiàn)上充泵在一年內(nèi)3 次試驗中，振動情況都超出報警值，但仍在設(shè)備合格可接受范圍內(nèi)。分析假設(shè)該情況屬于降級情況問題，設(shè)備存在一定的缺陷，但并未引起失效。計算以ΔCDP 即堆芯損傷概率增量為判斷依據(jù)。

在PSA 模型中對相關(guān)設(shè)備失效有所?；敬畏治鲞x取上充泵運行失效參數(shù)和基本事件兩類對象進(jìn)行調(diào)整。該設(shè)備運行失效采用不可修復(fù)模型，失效率為2.5 × 10-5/h。分析時假定兩類分析條件：

條件1 假定設(shè)備本身設(shè)計缺陷造成了基準(zhǔn)可靠性發(fā)生變化，計算時將失效參數(shù)修改為100 倍，即2.5 × 10-3/h（此時所有調(diào)用該參數(shù)的基本事件失效概率都將增加），影響時間保守取1 年。

條件2 只對當(dāng)前具體問題分析，將該設(shè)備運行失效基本事件設(shè)為TRUE，但不對參數(shù)調(diào)整，不影響共因等模化情況。根據(jù)技術(shù)規(guī)格書約定，故障后需要在72 h 內(nèi)進(jìn)行修復(fù)，因此按照72 h 失效時間考慮。

計算結(jié)果展示如表4所示?？梢钥闯觯薷暮罂傮wCDF變化達(dá)到1.0×10-6甚至1.0×10-5量級。其中，條件1 的ΔCDF 變化較大，主要是失效參數(shù)變化使所有相關(guān)聯(lián)的失效基本事件（如本次分析使用的模型中，硼酸補給泵也調(diào)用了與上充泵相同編碼的失效參數(shù)）、共因組計算都受到影響，累積效果貢獻(xiàn)在了ΔCDF 的統(tǒng)計范圍內(nèi)。同時，降級時間達(dá)到1年，也使總體風(fēng)險增量（ΔCDP）最終達(dá)到白色安全等級。

表4 SDP 評價結(jié)果Table 4 Evaluation results from SDP

條件2 修改基本事件為TRUE，并沒有帶來過多模型影響，同時降級時間較短，總體安全等級為綠色。

條件1 模擬的場景是設(shè)備降級，設(shè)備失效參數(shù)調(diào)整表征降級情況。但從計算結(jié)果來看，修改參數(shù)帶來的影響過多，同時需要分析人員熟悉電廠PSA 模型才能對計算結(jié)果進(jìn)行合理地解釋和使用。條件2 本身具有一定的保守性（假定失效），但并不會帶來其他不必要影響，更適用于實際現(xiàn)場風(fēng)險評價，在SDP 軟件開發(fā)中也建議采用該種方式。

2.3 結(jié)果分析

MSPI 和SDP 都是風(fēng)險指引型監(jiān)管的重要工具，他們對于安全事項的評價都以風(fēng)險增量為落腳點。雖然假設(shè)條件略有區(qū)別，但是MSPI和SDP 都基本反映出了該事件的風(fēng)險影響，可以為現(xiàn)場監(jiān)督人員提供必要的風(fēng)險見解。

3 MSPI 與SDP 差異比較

MSPI 和SDP 都是風(fēng)險指引型監(jiān)管框架內(nèi)的重要工具，雖然第3 節(jié)中兩者都能夠在風(fēng)險增加量級上得出比較一致的結(jié)論，但是就其細(xì)節(jié)仍然有值得細(xì)致分析的地方。

3.1 原理分析

MSPI 從原理上來講是對風(fēng)險增量的評價。對公式（1）～公式（3）稍作變形，可以得到：

同時，PSA 分析中常用公式FV×（ΔP）/P=（ΔCDF）/CDF 可知，系統(tǒng)MSPI 其實正是反映系統(tǒng)內(nèi)各個組成部分在性能變化前后對于CDF影響的總體情況。

針對SDP，ΔCDP=ΔCDF ×t，變形后得到：

比較公式（7）和公式（8），主要有如下區(qū)別：

（1）MSPI 計算總體影響，系統(tǒng)內(nèi)所有組成部分的影響需要加和計算，而SDP 無相關(guān)處理。

（2）ΔP 在MSPI 和SDP 中具有不同含義，MSPI 中代表貝葉斯更新后的失效概率值與工業(yè)基準(zhǔn)值做差，以上充泵運行失效為例，ΔPMSPI=6.54 × 10-4，而SDP 中ΔP 代表修改后條件失效概率與模型?；鶞?zhǔn)值的差值，條件2中ΔPSDP≈1。

（3）SDP 計算時需要確定失效影響時間t，72 h≈8.22 × 10-3年；在MSPI 公式中無時間乘子，但是實際的失效數(shù)據(jù)統(tǒng)計都是以12 季度為周期進(jìn)行。

由此可以看出，雖然兩者安全等級結(jié)果評價一致，但是從原理來講是存在差異的。

3.2 監(jiān)管應(yīng)用考慮

MSPI 對重要緩解系統(tǒng)進(jìn)行監(jiān)測，監(jiān)測周期為12 個季度，監(jiān)測范圍包括系統(tǒng)內(nèi)重要安全相關(guān)設(shè)備。

MSPI 計算時，因為ΔP 計算約定，導(dǎo)致單設(shè)備單次失效基本不會直接達(dá)到1.0 × 10-6閾值。以分析事件為例，修改單一變量上充泵運行失效次數(shù)，需要達(dá)到12 次才能達(dá)到1.0 × 10-6的量化閾值。但是MSPI 提供了另一個輔助的評價工具，即系統(tǒng)性能限值PLE，通過統(tǒng)計12個季度系統(tǒng)內(nèi)失效總次數(shù)來判斷是否達(dá)到“白色”安全等級。以該M310 機(jī)組MSPI 中考慮的安注系統(tǒng)RIS 為例，共監(jiān)測31 個設(shè)備失效模式，PLE 限值為7.58，即統(tǒng)計達(dá)到8 次失效時，系統(tǒng)MSPI 結(jié)果確定為“白色”。

MSPI 監(jiān)測范圍重點突出，只關(guān)注重要緩解系統(tǒng)和系統(tǒng)內(nèi)重要安全相關(guān)能動設(shè)備失效模式，相關(guān)失效模式清單可以圈定為監(jiān)督檢查重點關(guān)注對象。此外，MSPI 屬于長周期性能監(jiān)測，12 季度的時間跨度可以持續(xù)對系統(tǒng)性能進(jìn)行評價。

SDP 針對某一單次特定事件進(jìn)行分析，通過調(diào)用PSA 模型直接進(jìn)行定量計算。事件涉及的始發(fā)事件、設(shè)備降級情況、失效影響時間都是影響計算結(jié)果的重要因素。計算時直接調(diào)用PSA 模型，能夠整體反映事件對于核電廠整體的風(fēng)險影響。在現(xiàn)場監(jiān)督檢查時，可以用于快速估計事件風(fēng)險影響，識別高風(fēng)險事件。

4 總結(jié)

MSPI 和SDP 都是風(fēng)險指引型監(jiān)管框架內(nèi)的重要工具，都可以在一定程度反映核電廠運行安全情況。本文著重比較了兩項工具之間的聯(lián)系與差別，并詳細(xì)討論了工具所具備的應(yīng)用特點。MSPI 強(qiáng)調(diào)長周期（12 個季度）的性能監(jiān)測，適用于累積失效影響評價。SDP 側(cè)重于單次事件風(fēng)險影響評價，事件所涉及的始發(fā)事件情況、系統(tǒng)設(shè)備降級情況、影響時間都將影響計算結(jié)果。兩項工具均能夠提供風(fēng)險相關(guān)重要見解，幫助檢查人員評價核電廠運行安全狀態(tài)，有助于提高監(jiān)管水平和監(jiān)管效率。