概率安全评价在核电厂安全设计中的应用研究

邓纯锐，张 明，张 航

（中国核动力研究设计院，成都 610213）

核安全是核电厂设计的中心问题之一。历次核电厂严重事故的发生促使各国核安全当局对核安全的要求越来越高。在太阳能、风能等其他新能源成本日益下降的形势下，核电厂的经济性与安全性的矛盾不断凸显。新电厂的设计既要满足一系列安全目标和指标，又要在经济性上具有竞争力。确定论保守的核安全设计已被证明是成功的，但新的形势使概率安全评价（Probabilistic Safety Assessment，简称PSA）得到越来越多的应用。PSA 不但能识别薄弱环节，提升核电安全性及论证安全目标的满足情况，还能减轻核安全设计中不必要的负担。虽然PSA在核电厂安全设计中已有诸多应用（如获得主要风险贡献），但这些应用一般独立于确定论安全设计，概率论与确定论并没有很好地服从相同的逻辑框架。

本文梳理了核安全设计的基本逻辑，提出了PSA 在核安全设计中可发挥作用的若干方面。国内外已提出了多种确定论和概率论相结合的安全框架，如文献[1]～文献[3]等，本文不试图建立类似的框架，而期望在同样的逻辑框架下得到更为具体的PSA应用方向。

1 核安全设计的基本逻辑

《核动力厂设计安全规定》（HAF 102—2016）[4]是我国核安全设计主要依据的法规，该法规基于国际原子能机构（IAEA）出版的SSR∕2-1[5]，并结合我国国情进行了适应性修改。根据HAF 102—2016，本文归纳出以下几点核安全设计的基本逻辑。

1.1 风险理念

虽然核安全设计以确定论安全分析为主，但核安全要求中却有明显的风险理念：（1）频率越高的事件，其放射性的接受准则越严格；（2）放射性后果严重的事件要求被实际消除；（3）在分析方法上，频率越高的事件，要求的方法和接受准则越保守[6]，对系统设计的要求也越严格，如对于安全系统，采用保守的方法针对设计基准事故进行评价；对于设计扩展工况安全设施，采用现实方法对设计扩展工况进行评价；而对于其他风险较低的事件，仅需在PSA中说明风险可接受。该逻辑可简单理解为对于越高频率的事件，对其应对能力的置信水平也越高。核安全设计的风险理念的示意图如图1所示。

图1 核安全设计的风险逻辑Fig.1 Risk logic of nuclear safety design

1.2 纵深防御理念

HAF 102—2016中明确给出了各层次防御的定义。美国核管会（U.S.NRC）在其风险指引的执照变更导则RG 1.174[7]中也明确了在风险指引的应用中纵深防御理念的含义，见表1。

表1 纵深防御理念Table 1 Defense in depth philosophy

1.3 不确定性和陡边效应

为了考虑已知的和未知的不确定性，安全设计要求是偏保守的。为了防止陡边效应，设计上要求具有足够的安全裕量。虽然在设计扩展工况的分析和PSA 分析中可采用现实的方法，但在实际操作中，由于“现实的”不可知，仍有很多保守之处。

基于上述一些基本逻辑，核电厂设计了安全系统、设计扩展工况安全设施等，并通过设计基准事故的分析、设计扩展工况的分析以及PSA的分析等论证核安全设计满足相关要求。

2 PSA在核安全设计中的作用

尽管HAF 102—2016 明确了核安全设计的基本逻辑和一些具体要求，但在开展具体分析时，人们往往难以界定何为足够安全，尤其是在对既有的保守设计进行放宽时，核安全当局与设计方往往产生很大的分歧。另外，确定论安全设计中也存在一些要求偏低或逻辑不合理之处。早在2004 版的HAF 102 中就已提出核电厂要开展PSA，多年来，PSA已在设计中得到了非常多的应用，但这些应用或重在论证安全目标的满足情况，或重在薄弱环节的识别。具体做法一般是将PSA 模型定量化，通过应用重要度等概念识别重要的风险项，对设计进行改进。这里从第1节中梳理的确定论安全设计的整体逻辑方面梳理PSA 在应对本节开篇提到的问题中可以起到的作用。

2.1 “知裕量”的安全系统设计

确定论安全分析要求在一定的假设下论证事件可以满足接受准则，这些假设涉及的方面包括控制系统、保护系统、正常运行系统的作用、安全系统的可用性、人员干预程度、对故障的合适裕量等。确定论安全分析一般只关注相关的接受准则可通过，而很少关注底允许卡几束棒，至少需要什么样的安全系统成功组合，操纵员实际有多少允许时间等问题，这些往往是PSA关心的内容。遗憾的是，PSA很少通过这些分析对安全相关系统的设计提出要求。HAF 102—2016中明确了“安全重要物项的可靠性必须与其安全重要性相适应”，同时提出了一系列冗余性、独立性、多样性的要求，但确定论安全设计无法给出在哪种程度上满足这些要求是足够的。PSA应在安全系统的可靠性上提出要求。本文建议进行安全系统设计时，不仅要满足确定论安全分析的准则，还应采用在PSA评价仅考虑安全系统时，能够达到的安全水平，并设立安全水平的最低要求。若达不到要求，设计上应对安全系统的可靠性进行加强，而不是在设计扩展工况中考虑额外措施。这种做法在确定论安全分析的基础上进一步明确了系统应对事故的能力，可更好地满足安全系统可靠性与安全性相适应的要求，从某种意义上来说，这是对确定论安全分析中狭义上的安全裕量的扩展，还可获悉在安全系统各种失效组合情况下的事故应对能力，可称作“知裕量”的核安全设计。具体举例见表2。

表2 “知裕量”的安全系统设计举例Table 2 Examples of security system design of“margin-known”

2.2 减轻不必要的安全负担

确定论安全设计要求采用保守的方法进行事故分析，其基本逻辑是从始发事件叠加单一故障的事件序列的集合中选出最不利的工况，用该工况代表整个集合，如采用最不利的功率分布，最不利的中子学参数，最不利的安全系统能力等。从PSA 的角度来看，这样的工况发生概率往往非常低，有时甚至是物理上不可能出现的，确定论安全分析不必追求“最保守”，这时，应允许采用风险指引的方式对要求适度放宽。但需要注意的是，放宽并不意味着不分析极端保守工况，而应视其风险贡献纳入现实分析的范畴（如在PSA 中应对该序列的贡献有所量化），具体举例见表3。

表3 PSA在减轻不必要的负担中的应用举例Table 3 Examples of application of PSA in reducing unnecessary burden

2.3 支持厂址相关的分析

虽然法规中规定要针对具体电厂识别一系列假设始发事件，依据一定的原则选择其中一部分作为安全系统或设计扩展工况安全设施的设计基准事件，但在实际操作过程中，确定论安全分析选择的事件往往与厂址关联度较小。PSA会对厂址的各种风险源进行详细分析，在这点上，PSA应对确定论安全分析起到一定的补充作用。具体举例见表4。

表4 PSA支持厂址相关分析举例Table 4 Examples of PSA applications to support site related analysis

2.4 闭环管理

风险指引管理的一个重要的特点是闭环管理，RG 1.174 等要求对执照变更的表现进行监测，而在核电厂设计中则很少考虑运行经验的反馈。设计与运行的闭环管理对于安全设计和运行都是有益的，如美国核管会目前采用“风险指引”和“基于表现”的监管方式。闭环管理的具体举例见表5。

2.5 风险指引的决策

在上述提出的PSA 在核安全设计中的应用中，重要的是保证所用PSA 模型的质量以及适当处理不确定性。关于模型质量的要求和在风险指引的应用中处理不确定性的具体方法已有较多的研究，如文献[12]和文献[13]。最后，进行决策时，除风险因素外，还应综合考虑收益代价、工程判断等其他因素，具体可见RG 1.174。

表5 PSA闭环管理举例Table 5 Examples of PSA applications to loop-closed management

2.6 小结

图2 综合了第2.1～2.5 节提出的建议，显示了如何在安全设计中结合确定论安全分析和概率安全分析。

3 总结

本文在核安全设计基本逻辑的基础上，提出了PSA在安全设计中可能发挥的作用，试图使得核安全设计的相关要求满足一致的逻辑。这些建议从知裕量的安全系统设计、减轻不必要的安全负担、支持厂址相关的分析、闭环管理及风险指引的决策等方面探讨了如何更好地结合确定论和概率论安全设计。这些建议有些是针对现行安全要求的加强，有些则是针对现行安全要求的减弱，可供核电厂安全设计和评审参考。

图2 综合的安全设计框架Fig.2 Integrated nuclear safety design framework