物项安全分级中的几个重要问题探讨

2023-11-08 05:18崔贺锋赵丹妮
核科学与工程 2023年4期
关键词:物项核动力限值

李 娟,乔 宁,崔贺锋,赵丹妮

(生态环境部核与辐射安全中心,北京 100082)

核动力厂物项(指构筑物、系统和部件,即Structure,Systems and Components,简称SSCs)安全分级涉及安全性和经济性的诸多影响因素,以及原子物理、热工水力、系统设计、材料、结构、力学分析等诸多专业领域。做好安全分级工作,需要有不同学科的深入技术研究,更需要纵观全局的综合判断。

1 物项分级的安全意义

我国目前现行有效的《核动力厂设计安全规定》(HAF 102—2016)[1]第5.3 条要求,必须识别所有安全重要物项,并根据其“功能”和“安全重要性”对其进行分级。这里的“功能”是指HAF 102—2016“名词解释”部分定义的“安全功能”,即为了保证设施或活动能够预防和缓解核动力厂正常运行、预计运行瞬态和事故工况下的放射性后果,保证安全而必须达到的特定目的。作为最高层次的概括,HAF 102—2016 第4.1 条给出了三项基本安全功能:

(1)控制反应性;

(2)排出堆芯余热,导出乏燃料贮存设施所贮存燃料的热量;

(3)包容放射性物质、屏蔽辐射、控制放射性的计划排放,以及限制事故的放射性释放。

就目前的认识而言,从避免放射性危害的角度,如果核动力厂的设计能保证实现上述三项基本安全功能,就可以认为核动力厂的安全是有保障的。核动力厂的安全设计,通常会从全厂层面、系统层面、部件层面,甚至到零件层面,对上述三项基本安全功能逐步细化,同时,必须提供对核动力厂状态的监测手段以保证实现所要求的安全功能。也就是说,必要的状态监测也属于安全功能的一部分。

为了保证核动力厂的安全功能,落实到物项实体上,必须从适用性、恰当性和充分性的角度鉴别和评价用于核动力厂安全重要物项设计、制造的规范和标准,并根据需要进行补充或修改,以保证物项的质量与其所需执行的安全功能相适应。显然,在实际应用中为每个物项都量身定做一套规范或标准会造成不可接受的成本,但所有物项都采用相同的规范或标准同样会造成安全水平的降低或成本的增加。物项分级的意义就是要在两者之间找到一个可接受的折中方案,从而可以对一批具有相似质量要求的物项使用同样的规范和标准,在成本可接受的同时保证物项可接受的可靠性。

2 物项功能失效后果的分级准则

根据HAF 102—2016 第5.3.2 条,度量物项安全重要性的一项重要指标,是该物项未能执行其安全功能的后果严重程度。国际原子能机构(International Atomic Energy Agency,简称IAEA)于 2014 年发布的物项安全分级导则SSG-30[2],该导则是IAEA 安全标准SSR-2/1[3]《Safety of Nuclear Power Plants:Design》的配套文件。SSG-30 推荐的分级过程如图1 所示,即首先要对核动力厂设计、安全分析和基本安全功能的实现有基本认识,然后系统识别核动力厂所有状态下,为实现安全功能所需要的功能和设计预防措施。利用安全分析的结果(如对假设始发事件的分析),基于其安全重要性对安全功能进行分类,属于某一功能类别的SSCs,按照在实现功能中承担的角色进行识别和分级。对于作为设计预防措施的SSCs 直接进行分级,因为假定其失效后果的严重性明确了它的分级而不需要再作任何相关安全功能分类的详细分析。

图1 SSG-30 分级过程流程图Fig.1 The flow chart indicating the classification process of SSG-30

根据安全重要性对功能进行分类时,考虑三个要素:

(1)该功能失效的后果;

(2)需要该功能响应的假设始发事件频率;

(3)该功能使核动力厂达到可控或安全状态的重要性。

SSG-30 基于功能失效所导致的后果,按后果严重程度划分为如表1 所示的“高”“中”“低”三个档次。当满足多个以上准则时,应适用较高的级别,后果的评估基于遇到挑战时该功能不响应的假设。TECDOC-1787[4]是IAEA关于SSG-30 的应用指导技术文件,其中给出了表2 所示的限值实例。

表1 后果严重程度Table 1 The severity levels of consequences

表2 不同电厂状态的接受限值实例Table 2 Examples of acceptable limits

从图1 中可以看出,SSG-30 的分级过程分为两条路径,概括来说分为功能分级和屏障分级。SSG-30 中对于功能失效后果考虑“放射性释放”和“关键物理参数”,主要是基于基本安全功能的实现,以及对人员和环境的放射性影响。SSR-2/1 中的基本安全功能包括:

(1)反应性控制;

(2)从反应堆和燃料贮存池导出热量;

(3)放射性物质的包容,辐射屏蔽和控制计划的放射性物质排放,以及事故下放射性物质排放的限制。

从表1 和表2 可以看出,以“高”后果为例,其对应的放射性释放限值为“超过监管机构可接受的设计基准事故限值”,而对应的关键物理参数限值包括“超过包壳温度峰值、燃料包壳氧化等燃料的LOCA 准则”“超过可接受的燃料棒失效个数”“安全壳压力超过100%设计压力”等。

参考我国的核安全导则《核动力厂确定论安全分析》[5],其第4 章将验收准则分为“放射性验收准则”和“技术验收准则”,要求确定技术验收准则时,应根据挑战屏障完整性相关的替代参数来建立,同时要包含足够的保守性,以确保距离丧失屏障完整性仍具有合适的裕量。另一方面,达到关键物理参数限值时,离屏障损坏从而导致放射性释放后果超出可接受限值还有一定的裕量。故建议对关键物理参数的原则进行调整,如表3 所示,使得后果划分的准则更加合理。

表3 修改后的后果严重程度Table 3 The modified severity levels of consequences

对于“高”“中”“低”各个档次对应的放射性释放限值量化指标,考虑国内相关标准规范要求和工程实践,不能直接引用TECDOC-1787 中的限值实例,还需进一步调查研究确定,以更好地指导安全分级的应用。

3 预防与缓解功能的分级考虑

SSG-30 强调分级过程应涵盖正常运行直至设计扩展工况在内各层次纵深防御中执行的安全功能,并根据是偏重预防还是缓解,将他们区分为设计预防措施和事故缓解功能。不同功能对安全的主要贡献大致如图2 所示,设计预防措施的实施主要在于减少事故发生的概率,而功能的实施旨在使得后果处于与其发生概率相适应的可接受水平。

图2 不同功能的主要贡献Fig.2 Main contributions from different functionss

SSG-30 中设计预防措施包括:

(1)因其高质量而认为其失效可能性已被“实际消除”,核动力厂设计不要求通过应用独立的安全系统来减轻这类SSCs 失效的后果,如压力容器或蒸汽发生器的壳体;设计上用来降低事故发生频率的特性,如失效将导致设计基准事故的高质量管道。

(2)用来防止工作人员和公众在正常运行状态遭受辐射危害的“非能动特性”,如屏蔽体或管道。

(3)用来保护安全重要部件免受内部和外部灾害破坏的非能动设计特性,如用于实现该目标部件之间的混凝土墙。

(4)防止在没有其他独立失效发生的情况下,假设始发事件发展成更严重序列的设计特性,如防甩击装置和固定点。

对照HAF 102—2016,设计预防措施主要对应于纵深防御的第一层次和第二层次,事故缓解功能主要对应于纵深防御的第三层次和第四层次。

从设计的角度,第一层次要求“按照恰当的质量水平和经验证的工程实践,正确并保守地选址、设计、建造、维修和运行核动力厂”;第二层次要求“在设计中设置特定的系统和设施,通过安全分析确认其有效性,并制定运行规程以防止这些始发事件的发生”;第三层次要求,“必须通过固有安全特性和(或)专设安全设施、安全系统和规程,防止造成反应堆堆芯损伤或需要采取场外干预措施的放射性释放,并能使核动力厂回到安全状态”;第四层次要求,在第三层次防御失效的情况下,仍有措施控制事故进展和减轻严重事故的后果,实现在严重事故下仅需要在区域和时间上采取有限的防护行动,且避免场外放射性污染或将其减至最小。

HAF 102—2016 要求,纵深防御概念的应用主要是通过一系列独立的防御层次的结合,防止事故对人员和环境造成危害。每一层次防御的独立有效性都是纵深防御的必要组成部分。因此,从大的方面来讲,设计预防措施和事故缓解功能对于安全的意义应该是并重的。但从至今为止的实践来看,监管机构的注意力更集中在事故缓解功能。究其深层次原因,设计预防措施针对的放射性风险对物项提出的要求,大多数情况下并不比经济性对物项提出的要求高。换句话说,为避免因各种偏离正常运行状态而频遭监管机构干预,核动力厂申请者会主动将设计预防措施物项的质量要求提高到合理可行的高度。实现这一目的的手段,包括事先充分的试验验证和原型堆足够长时间的运行考验和修改完善。对于事故缓解功能物项来说,由于其对经济性的改善几乎没有,需要其投入运行的机会并不多,对其苛刻的质量要求所带来的安全收益是否与其高成本相匹配经常会引发争议,监管机构对这些物项投入更多注意力也是理所当然。

我国的核安全法规系列一直是以IAEA 相关技术文件为重要参考,目前现行有效物项安全分级导则HAD 102/03[6]于1986 年发布。考虑到上述因素,后续国内导则升版参考SSG-30时,建议暂不明确将设计预防措施单列。当然,这丝毫不意味着设计预防措施对于安全的重要性不应该受到重视。

4 物项分级在安全分析中的作用

核动力厂的安全分析与物项分级是相互联系、相互影响的。HAF 102—2016 第5.8.2 条要求,确定论安全分析方法必须包括:

(1)制定和确认所有安全重要物项的设计基准;

(2)表征与核动力厂设计和厂址相适应的假设始发事件;

(3)分析和评价假设始发事件导致的事件序列,以确认鉴定要求;

(4)将分析结果与验收准则、设计限值、剂量限值以及可接受限值进行比较,以满足辐射防护要求;

(5)论证通过安全系统的自动响应并结合所规定的操纵员动作,能够管理预计运行事件和设计基准事故;

(6)论证通过安全系统的自动响应和利用安全设施功能并结合预期的操纵员动作,能够管理设计扩展工况。

其中第(1)、(3)、(5)、(6)条是通过假定某些系统和设备能够按照预期要求发挥作用,而推导出事件和事故的进程,可以认为这是安全分析对物项提出的设计和制造要求,是安全分析产生于物项分级的影响;而第(2)条中的假设始发事件却很大程度上取决于物项的设计和建造质量,可以认为是物项分级产生于安全分析的影响。

在IAEA 和我国的关于核动力厂确定论安全分析导则[5,7]中规定,针对预计运行事件和设计基准事故的保守确定论安全分析,可以假设以下系统和设备可用:

(1)如果没有受到假设始发事件自身或始发事件结果的影响,则在假设始发事件发生时处于正常运行状态的系统;

(2)以偏保守模式运行的安全系统(前提是在运行阶段得到安全级的能力维持,例如定期试验等)。

可以看出,针对预计运行事件和设计基准事故,某些物项的安全级别会直接影响确定论安全分析的进程和结果,对于设计扩展工况也存在同样的影响。相比之下,物项安全级别对于概率论安全分析的影响就没有那么直接,概率论目前使用的数据库是工业界统计数据,不区分设备安全等级,只看设备类别。目前正在编制设备分级导则,考虑引入风险指引型安全分级,并作为设备分级优化的可选方法,可以在原有确定论的基础上对分级进行优化。

物项安全级别的改变,理论上会改变物项在核动力厂运行过程中的性能表现,也就是说物项的自身故障率和功能失效率会发生改变。但由于这些数据由运行统计数据而来,其变化很难在短时间内显现出来。另外,一些安全系统设备预期执行功能的工况条件即使在较长时间内,也很少能实际发生,具有统计意义的数据量很难获得。

5 不同级别物项的设计建造要求

HAF 102—2016 要求,安全重要物项的可靠性必须与其安全重要性相适应;必须鉴别和评价用于核动力厂安全重要物项设计准则的规范和标准,以确定其适用性、恰当性和充分性,并根据需要进行补充或修改,以保证设计质量与所需的安全功能相适应。安全重要物项必须是此前在相当使用条件下验证过的,否则该物项必须具有高质量且其技术应经过鉴定或试验。

之所以从预计运行事件、设计基准事故到设计扩展工况的确定论安全分析中可以采信安全系统和用于设计扩展工况的安全设施,就是因为这些物项采用了特定的规范和标准,或者是经过了特定的鉴定或试验。这里的试验,通常是指当引入未经验证的设计或设施,或存在偏离已有工程实践的情况时,借助适当的支持性研究计划并具有特定验收准则的性能试验。

在选择特定的规范、标准时,需要充分考虑安全分析中对物项所采信的安全功能,以更好地平衡安全性与经济性。

保证物项设计和建造质量与所需的安全功能相适应,通常有两种方法,除了选择特定的设计标准外,还可以选择不同的质量保证标准。二者对物项质量的影响方式不同,对经济成本的影响方式也不同。

如果将物项质量理解为物项能够按照预期实现其功能的概率,那么其质量水平可以用某一概率分布来表征,通常认为是正态分布。正态分布的均值期望值应该取决于物项设计和制造所采用的规范标准,而正态分布的离散性则取决于物项制造所采用的质量保证标准。其直观表示如图3 所示。

图3 影响物项质量的两种方式Fig.3 Two different ways influencing qualities

假设对应于设计建造标准的质量等级划分为3 级,对应于质量保证的等级也划分为3 级,则二者的影响可从图3 看得更加清楚。图4 中质量1 组、质量2 组和质量3 组的分别对应于均值150、100 和50,质保1 级、质保2 级和质保3 级分别对应于方差5、10 和15。

图4 不同等级的影响Fig.4 Influences by different grades

质量等级提高对经济成本的提高是通过选材、设计方法、检验方法等直接体现出来的,一般呈现单调对应关系,通常取决于对物项预期功能失效潜在风险高低的平衡考虑。质保等级的提高会对生产周期产生影响,更严格的管理活动也会使生产过程中出现更多的返工和次品零部件,从而造成经济成本的单件经济成本的提高,但从全局来看,严格的质量保证会对整体进度把控更好,也有利于避免最终产品的废品率,这可以理解为对成本风险的降低。因此,对于非批量化生产的重要设备(如反应堆冷却剂系统中的压力容器、蒸汽发生器、稳压器、主泵、主管道、安全阀等)较高的质保等级至关重要。对于质量要求不是太高的大宗产品(如核电厂设备中大批量使用的紧固件、支承件,设备检验使用的渗透剂、清洗剂和显像剂,消耗品如垫片、垫圈、柴油、混凝土用河砂等),一定数量的废品率相对于严格的质量管理所带来的成本增加可能更合算,此外,对于大规模生产的产品通常废品率会降至较低水平,故对于其最终性能完全可量化检测的大宗产品,放弃质保而采用更严格的终极质控可能更为合理。

严格的质量保证的另一个重要作用是,对于采用一次性鉴定试验来评价相同产品在极端环境条件下性能表现的情况,由于较小的产品离散性,只要在试验条件上附加很小的裕量,就足以充分相信被鉴定设备所代表的一类产品能胜任预期的功能能力。

6 结论

本文根据我国核安全法规HAF 102—2016关于安全分级的最新要求,通过研究IAEA 物项分级导则SSG-30 的内容,结合我国核电工程设计中的物项分级实践,对安全分级中的几个重要问题提出意见建议如下:

(1)关于物项失效后果的严重程度判定准则,SSG-30 给出的各级别中“放射性后果”指标和“关键物理参数”指标对应关系值得探讨。本文给出了建议的调整方案。关于放射性释放限值的量化指标需进一步研究确定,以更好地促进按照HAF 102—2016 的要求进行物项分级。

(2)考虑到我国目前的实践以及导则修订的循序渐进原则,建议暂不明确将 SSG-30提出的设计预防措施单列。当然,这丝毫不意味着设计预防措施对于安全的重要性不应该受到重视。

(3)针对预计运行事件和设计基准事故,某些物项的安全级别会直接影响确定论安全分析的进程和结果,对于设计扩展工况也存在同样的影响。相比之下,物项安全级别对于概率论安全分析的影响没那么直接,风险指引型安全分级可作为物项分级中可选的一种方法。

(4)保证物项设计和建造质量与所需的安全功能相适应,可以通过选择特定的设计标准或选择不同的质量保证标准来实现。对于非批量化生产的重要设备,较高的质保等级至关重要;对于其最终性能完全可量化检测的大宗产品,放弃质保而采用更严格的终极质控可能更为合理。

猜你喜欢
物项核动力限值
Intergraph Smart® 3D自定义物项关联关系创建及管理方法研究
欧盟两用物项出口管制条例对卫星导航的影响
彭士禄:核动力事业的“垦荒牛”
VVER核电工程关键部位长周期施工物项的焊接质量控制经验反馈
核仪控系统物项替换抗震评估方法研究及应用
关于废水排放特别限值的思考
核动力第一舰
辽宁省辽河流域石油炼制排放限值的制定
基于ASME Ⅲ核动力设备阀架抗冲击强度分析
倘若“菲莱”使用的是核动力