论风险指引技术在核电领域的应用

论风险指引技术在核电领域的应用来源：刘宝亭（中国广东核电集团公司技术中心，广东深圳，518124）摘要：介绍了风险指引技术的发展过程、基本概念、技术内涵。论述了风险指引技术与纵深防御的关系，以及风险指引技术在应用中的核心问题，并针对风险指引技术在我国核电领域的应用提出了若干建议。关键词：风险指引技术纵深防御应用Abstract：Thedevelopmentprocess,basicconceptandessentialcharacteristicsofrisk-informedtechnologyarefirstbrieflydescribedinthispaper.Then,therelationshipbetweentherisk-informedtechnologyandtheconceptofdefenseindepth,andseveralimportantaspectsontheapplicationofrisk-informedtechnologyarethoroughlydiscussed.Finally,someproposalsaresuggestedastotheapplicationofrisk-informedtechnologyinChina''snuclearpowerindustry.Keywords：Risk-informedtechnologyDefenseindepthApplication1风险指引技术的发展过程自从1957年12月世界上第一座商用核电厂希平港（Shippingport）压水堆核电厂投产以来，到目前为止世界核电已有近50年的历史，先后经历了验证示范、高速发展和滞缓发展三个阶段。核电厂一般采用传统的确定论方法进行设计，即选定可信的后果最严重的事故作为设计基准事故，针对设计基准事故考虑大量的保守假设和大的安全裕量，设置多重的预防和缓解措施以保证核电厂的安全。1975年出版的反应堆安全研究（WASH1400）是世界上第一个利用概率论方法研究反应堆安全问题的研究报告，该报告研究了所有可能引发事故的始发事件，并将所有可能引起堆芯熔化的事件序列作了排序。报告指出：超设计基准事故，尤其是严重事故造成的剩余风险仍有较高的发生概率。1979年3月美国发生的三哩岛核电厂事故证明了WASH1400的结论，概率论方法作为核安全分析工具在世界范围内受到普遍关注，一些核电厂也开始尝试进行概率安全分析（PSA）。同时，由于对严重事故的担心，在三哩岛事故后新的电站设计方案中采取了大量提高安全性的措施，使核电建设工期拖长，投资大量增加，经济竞争力大大下降，核电发展进入滞缓期。1988年，美国核管会（NRC）要求所有核电运营者利用PSA对电厂薄弱环节进行检查（IPE和IPEEE），1992年，各核电厂的PSA报告全部完成。1992年以后，各核电业主对PSA模型不断维护，并将风险分析结果应用到核电厂的运行、在役检查、定期实验、工程改造以及设计规范的改进之中，使得各核电厂在大幅度提高可用率和能力因子的同时，核电厂的安全性也得到大幅度提高。据美国电力研究所（EPRI）统计[1]：2000年，美国所有核电厂的平均能力因子比1992年上升约20%，平均堆芯损坏频率下降到1992年的1/3，平均非计划停堆次数下降到1992年的1/4，严重事件的发生频率下降到1992年的1/10。1995年，美国NRC发布PSA政策声明[2]，声明要求在所有管理规范活动中应扩大PSA技术的应用，利用PSA技术作为确定论方法的补充并支持传统的纵深防御原则，此政策声明通过扩大PSA技术的应用使得风险指引型的管理规范走入正轨。1998年，NRC发布电厂许可证申请基础变更、在役检查、分级质量保证、技术规格书等方面的风险指引决策方法管理导则（RG1.174、RG1.175、RG1.176、RG1.177），同时按照风险指引决策方法修改了标准审查大纲第19章（SRPCh19），目前NRC正在积极制定风险指引型管理规范[3,4]。2与风险指引技术相关的基本概念[5,6]为了方便理解风险指引技术的内涵，首先需要明确如下几个基本概念。2.1风险运行核电站的风险是指可能对公众健康或环境带来危害的不确定性事件。风险一般包括三个要素：一是可能发生的故障或失效，即风险的始发事件或诱因；二是始发事件发生的概率或发生的可能性；第三个是如果该事件发生可能导致的后果。综合三个要素才能对风险作出全面的理解和评价。经常遇到的对风险的片面理解是：只关注事件发生的后果而忽视了事件发生的频率。2.2风险评价风险评价是指针对一个特定的系统，对与系统性能相关的风险三要素进行系统分析评价的过程。风险评价的内容包括：所有可能的始发事件、发生频率、可能的后果、系统内各部分的相互联系、系统参数的敏感性、对系统性能重要的事件序列以及分析结果的不确定性，等等。通过风险分析可以全面评价、了解系统的性能。2.3确定论方法确定论方法是一种根据预先确定的或规定的准则和要求进行核电站设计和审查的方法。为了保证核电厂的安全，这些预先确定的或规定的准则和要求是根据历史经验、实验结果和专家判断，同时考虑了大量的保守条件（如：设计基准、纵深防御、单一故障和安全裕量等）而提出的。几十年来核电站的运行纪录表明：确定论方法对保证核电站的安全是非常有效的。2.4概率论方法概率论方法是一种综合考虑各种因素（如：设备失效、人因、外部因素等）、直接定量分析风险三要素的系统分析方法。概率论方法考虑所有可能的始发事件，定量分析其发生频率和可能后果，按照事件序列的频率和后果对风险进行排序。概率论方法和确定论方法各有优缺点（见表1），在具体应用中两种方法应相互补充。表1确定论方法和概率论方法的优缺点确定论方法概率论方法优点以纵深防御、冗余、多样为设计原则，在技术上保证了设计准则的可靠性；良好的安全纪录；以通过或不通过为具体要求便于实施和检查；构筑物、系统和设备的设计裕量不仅为设计基准事故提供保护，还为超设计基准事故提供一定的保护。不局限于设计基准事故，考虑各种具有潜在风险的事故序列；采用尽可能真实的假设；按风险大小对事件分级；定量评价不确定性的影响；提供了一套将运行经验反馈到改进风险预测中的有效方法。缺点局限于设计基准事故和单一故障准则，对超设计基准事故没有确定的防范措施；基于定性或主观基础来评价对公众造成的不可接受风险；利用一系列的保守假设和安全裕量来应对不确定性；保守假设的组合造成对真实情况的理解不清楚；对设计基准事故的可信度未作论证；对决定公众风险的超设计基准事故的防范能力未作明确评价。局限于随机失效引起的事故；分析结果高度依赖于现有知识水平；真实假设往往不可行；要求一个强大的、完善的风险模型；分析的不确定性很大；对人因的处理难度大。2.5纵深防御纵深防御是一种利用多重的补偿措施来预防核电厂事故发生或在事故发生后缓解事故后果的设计和运行安全原则。纵深防御原则确保了核电厂的安全不完全依赖于设计、建造、运行和维修环节的任何单一要素上。在设计、建造、运行和维修中考虑纵深防御原则使得核电厂抵御由设备失效和外部事件带来的风险的能力更强。2.6风险指引技术风险指引技术（Risk-InformedTechnology）是指将风险分析的结果与管理规范的其它因素（如：确定论分析、工程及专家判断、安全裕量等）综合考虑，使电站根据对核安全和辐射防护的重要程度来考虑设计和运行问题的方法和技术。风险指引技术涵盖的内容非常广泛，目前经常提到的有：风险指引型设计（Risk-InformedDesign）、风险指引型维修（Risk-InformedMaintenance）、风险指引型在役检查（Risk-InformedIn-ServiceInspection）、风险指引型试验（Risk-InformedTesting）、风险指引型管理规范（Risk-InformedRegulation）等。3纵深防御在风险指引技术框架中的地位和作用[6,7]纵深防御是在上世纪50年代提出的核安全原则。60年代纵深防御表现为三层保护屏障：第一层是通过高质量的设计、建造和运行防止事故发生；第二层是通过专设安全系统的功能防止事故恶化；第三层通过事故缓解系统限制事故后果，控制放射性释放量。随着核电技术的发展，到90年代纵深防御概念扩展为五层防护措施：第一层是通过保守的设计和高质量的建造与运行防止电站偏离正常运行工况；第二层是通过控制和保护系统探测失效和及时纠正非正常的运行工况；第三层是通过专设安全系统和事故规程把事故控制在设计基准范围内；第四层是通过事故缓解措施和事故管理程序控制事故进程和缓解事故后果；第五层是通过厂外应急响应缓解放射性释放后果。无论是三层或是五层，纵深防御的本质特征始终是为限制放射性释放的后果而设置多层防护。从纵深防御发展的历史过程来看，纵深防御概念由防止放射性物质的释放而设置多重的保护屏障的狭窄范围逐步扩展为放射性风险管理的总体安全策略，因此，纵深防御不仅仅是一种方法，更重要的是一种概念、思想和原则。在核电厂设计中，之所以为防止放射性释放而设置多层防护措施，是由于人们对事故风险认识能力的不足，设计的任何一层防护措施均有不确定性，因此，纵深防御始终是补偿人们认识能力不足的有效措施。随着风险指引技术在核电领域的应用，在风险分析中，考虑所有可能的始发事件，综合分析设备故障模式、人因、各种事故预防和缓解措施，定量给出反应堆的总体风险，并将事件序列按照对总体风险的重要程度排序。根据风险分析结果可以发现设计和运行中的薄弱环节，并采取相应的改进措施；也可评价事故预防和缓解措施对控制总体风险的充分性和必要性，降低设计和运行中不必要的保守，也可补充保守程度不足之处，最终使设计和运行得到优化。由于风险指引技术本身还不够完善，以及人们对设备故障和人因失误的认识方面还存在不足，还必须利用纵深防御原则来处理所有的不确定性。因此，在风险指引型技术体系中，纵深防御原则是首要的，风险指引技术是对纵深防御原则的重要补充，用于确定需要纵深防御的合适程度，只有通过对纵深防御原则下的预防和缓解措施的充分性和必要性进行论证，风险指引技术的价值才能够充分体现出来。4风险指引技术在应用中的几个核心问题[3,4,6]（1）风险指引技术并不是要取代传统的确定论方法，而是对传统确定论方法的重要补充和扩展。风险指引技术通过定量的、系统的、更合逻辑的方法来评价风险，根据风险分析结果提供决策支持。具体体现在以下几个方面：1）在更宽的范围内直接考虑潜在风险，即考虑所有可能的始发事件；2）提供了一套根据风险严重程度、运行经验以及工程判断来排列风险的逻辑化方法；3）便于在更宽的范围内考虑对付潜在风险的措施；4）定量给出分析结果的不确定性；5）对关键参数和假设进行敏感性分析更利于得到优化的决策。（2）不能单独利用风险指引技术做出决策，使用风险指引技术进行决策还必须满足以下几个条件：1）满足现行法规，当然法规也可利用风险指引技术进行评价和修改，但在正式修改之前必须满足；2）满足纵深防御原则，即满足确定论方法中关于冗余、多样性、分区、隔离、设备鉴定等要求，当然，这些要求也可利用风险指引技术对其充分性和必要性进行评价和修改；3）保证足够的安全裕量；4）论证采用风险指引技术使得风险降低、或对风险无影响、或引起风险的增加很小；5）应对后续的性能进行监测。（3）风险分析工具。风险指引技术的核心是利用合理的风险信息为决策提供支持，PSA并不是必须采用的风险分析工具，采用什么分析工具应根据具体的服务对象而定。例如：放射性废物处置风险评价，由于涉及的对象比较简单，通过简单的分析即可满足要求，不必采用PSA方法进行分析。在核电厂的风险分析中，由于核电厂系统复杂，PSA的事件树和故障树方法适于系统分析设备失效、人因等因素，因此，风险指引技术在核电厂的应用中经常使用PSA作为风险分析工具。（4）PSA分析的范围和模型复杂程度。虽然PSA能够分析所有的电厂运行模式和始发事件，但是，在具体的分析模型中完全没有必要包括所有的运行模式和始发事