AP1000堆型核電廠安全性能指標研究

張澤宇，張彬彬，張小婷，丁珊珊,*

AP1000堆型核電廠安全性能指標研究

張澤宇1，張彬彬2，張小婷3，丁珊珊1,*

（1. 生態環境部核與輻射安全中心，北京，100082；2. 上海核工程研究設計院有限公司，上海，200233；3. 生態環境部北京會議與培訓基地，北京，100095）

核電廠安全性能指標（SPI）是國家核安全局核電廠運行期間總體安全狀況的表征。安全系統不可用度指標（SSUI）是SPI體系中的一類指標，用于評價重要的事故緩解系統在需要其投入時的可用性。AP1000核電廠因其系統設計的特殊性，無法簡單沿用國內現有運行核電廠的結論。本文采用風險指引型決策理念，識別了AP1000核電廠中執行SSUI中指定功能要求的系統，利用概率安全分析（PSA）模型計算這些系統的風險重要度并進行分析，并綜合多種因素選擇SSUI監測對象。隨后，針對1E級直流和不間斷電源系統（IDS），確定系統不可用度范圍與安全級別的對應關系。

核電廠安全性能指標；安全系統不可用度；概率安全分析

核電廠安全性能指標是當前國際上比較流行的一種核電廠運行安全評價工具。各國政府核安全監管機構可以根據核電廠提供的運行數據，評價各核電廠運行安全狀況，在核電廠之間進行橫向與縱向的對比，找出核電廠運行安全的薄弱環節，不斷提高核電廠的安全[1]。我國國家核安全局（NNSA）也建立了一套安全性能指標（SPI）管理體系來對國內核電廠進行統一的安全管理與評價，將核電廠安全性能指標結果作為“核電廠總體安全狀況”在國家核安全局網站上公開展示，并應用于運行核電廠的日常監管。

SPI共設置了24個指標，其中緩解系統安全要素下5個安全系統不可用度指標（SSUI）用于監測重要系統的可用性表現。

AP1000堆型核電廠因其系統設計的特殊性，無法簡單沿用國內現有運行核電廠的結論確定SSUI應監測的系統和評價準則[2]。因此，有必要根據AP1000堆型核電廠設計特點開展SSUI指標的評價方案研究。本文重點研究了AP1000堆型核電廠[3]對SPI體系中安全系統不可用度指標的適用性，采用風險指引理念，利用概率安全分析（PSA）系統重要度分析結果制定AP1000堆型核電廠安全系統方案，并針對1E級直流和不間斷電源系統（IDS）計算系統不可用度要求范圍。該研究工作為監管應用提供支持。

1　安全系統不可用度指標

1.1　指標監測的系統

安全系統的作用是緩解始發事件影響、防止堆芯損傷，設立安全系統不可用度指標以監控安全系統有效性。核電廠營運單位通過維持安全系統可用度，以降低核反應堆事故發生的可能性。

SPI體系是以壓水堆核電廠為基準建立起來的，其安全系統不可用度主要關注承擔以下功能的系統：

（1）喪失冷卻劑后維持反應堆冷卻劑裝量的系統；

（2）瞬態或事故后短期內排出余熱的系統；

（3）失去廠外電源后提供應急交流電源的系統；

（4）為前沿系統提供重要冷卻支持的系統。

核電廠安全系統通常用于緩解設計基準事故，概率安全分析[4]表明前沿緩解系統、支持系統和部件對于緩解事件后果貢獻度不同，進而風險重要度也不同。對于風險重要度較高的系統，SPI將其主要設備納入監測范圍。

根據上述原則，我國的SPI體系（見圖1）設立了監測如下五個系統的不可用度指標：

（1）應急交流電源系統不可用度（MS01）；

（2）高壓安注系統不可用度（MS02）；

（3）輔助給水系統不可用度（MS03）；

（4）設備冷卻水系統不可用度（MS04）；

（5）重要廠用水系統不可用度（MS05）。

1.2　指標計算方法

SPI評價體系中，安全系統不可用度指標的定義為：系統中獨立系列不可用度的平均值。其中系列不可用度為滾動十二季度內，系列不可用時間與系列被要求能夠執行預期安全功能的時間的比值。指標計算公式如式（1）

式中：——指標簡稱；

——由兩位數字代表的系統編號；

——指標對應的報告期（季度）；

——系統的系列總數；

T——系統第季度第列的計劃不可用時間，包括系列因為維修，試驗，設備調整和因為電力原因或其他預先計劃好的原因而造成系列不能投運的總時間；

T——系統第季度第列的非計劃不可用時間，包括糾正性維修時間或從發現引起系列不可用的設備失效或人員差錯到最終恢復可用所用的時間；

T——系統第季度第列的故障暴露時間，系列發生故障后未被發現的時間，即從系列發生故障到故障被發現這段時間。對于故障被發現時間已確定而故障發生時間無法確定的情況，以故障暴露時間的1/2代替，其取值為從上一次測試系列運行正常到發現故障的這段時間的1/2；

T——系統第季度第列的總需求時間，即安全系統某系列被要求執行其安全功能的總時間。

指標結果所代表的核安全水平分為四個等級，使用綠、白、黃、橙四種顏色來表示。綠色表示滿足相應安全基礎目標，性能達到預期水平；白色表示滿足相應安全基礎目標，性能偏離預期水平；黃色表示滿足相應安全基礎目標，安全裕度微小降級；橙色表示該指標所代表領域安全裕度出現較大降級。

圖1　SPI體系指標框架

2　AP1000核電廠監測系統選擇

AP1000核電廠在安全系統設計上與現有核電廠存在許多差異，更多地采用非能動安全相關系統以緩解設計基準事故，降低事故風險。在確定AP1000核電廠安全系統不可用度指標所監測的系統時，需要重新對照SPI體系最初的功能要求來尋找對應系統。同時，為了便于電廠間橫向對比，并盡量選擇與現有核電廠已納入SPI體系監測的系統功能類似的系統進行監測。

2.1　監測系統初篩

依據2.1節的4項系統功能要求，初步篩選AP1000核電廠監測系統。

（1）在喪失冷卻劑后維持反應堆冷卻劑裝量的系統與傳統壓水堆核電廠安注系統不同，AP1000的非能動堆芯冷卻系統使用以下非能動注射源提供失水事故（LOCA）期間的補水，包括：

1）安注箱子系統（ACC）在有限的幾分鐘內提供非常高的注射流量；

2）堆芯補水箱子系統（CMT）在一段較長的持續時間內提供一個相對高的流量；

3）安全殼內換料水箱子系統（IRWST）提供更長期的較低流量。

此外，在利用自動卸壓系統實現反應堆冷卻劑系統（RCS）降壓后，AP1000也可以利用正常余熱排出系統（RNS）的注射模式提供LOCA期間的補水。

（2）在瞬態或事故后短期內排出余熱的系統

傳統壓水堆核電廠使用輔助給水系統實現該安全相關功能，而AP1000使用非能動堆芯冷卻系統的非能動余熱排出熱交換器（PRHR HX）將反應堆冷卻劑系統的衰變熱和顯熱排出至安全殼內換料水箱[5]。

此外，主給水系統（MFW）和啟動給水系統（SFW）也為瞬態事件提供了非安全相關的余熱排出途徑。

（3）在失去廠外電源后提供應急交流電源的系統

由于AP1000的專設安全設施不依賴交流電源供電，所以并未設置安全級的應急交流電源系統。安全相關1E級直流和不間斷電源系統（IDS）將為專設安全設施供電。

AP1000設置了包含兩臺非安全相關柴油發電機的廠內備用電源系統（ZOS），提供喪失廠外電事件時的廠內備用電源。

（4）為前沿系統提供重要冷卻支持的系統

AP1000核電廠中安全殼內熱量將通過非能動安全殼冷卻系統（PCS）移出安全殼。

此外，雖然設備冷卻水系統（CCS）和廠用水系統（SWS）不再為專設安全設施提供冷卻，但仍然具備冷卻正常余熱排出系統熱交換器帶出安全殼內熱量的能力。

2.2　風險重要度定義

PSA是一種全面的、結構化的分析方法，可識別出核電廠失效的情景，并對工作人員和公眾所承受的風險作出數值估計。

由于核電廠中各個系統、部件、始發事件及人員失誤事件等在PSA模型中的邏輯影響不同，相關發生概率（或頻率）也不盡相同，因此它們對電廠風險的貢獻也不同。重要度分析的目的是確定堆芯損傷頻率、事故序列頻率和系統不可用度等結果中各貢獻因素的重要性。重要度分析對PSA的應用（如識別設計薄弱環節等）特別重要。

本文使用的RiskSpectrum軟件直接提供的常用重要度指標[6]包括：FV（Fussell-Vesely）重要度、風險增加因子（Risk Increase Factor，RIF）、風險減少因子（Risk Decrease Factor，RDF）、相對貢獻（Fractional Contribution，FC）等。以上四種重要度定義如下：

（1）基本事件FV，最小割集中包含基本事件的頂事件不可用度之和與頂事件不可用度的比。

（2）風險增加因子RIF，基本事件的不可用度設為1，從而使總的不可用度/堆芯損壞頻率增加的倍數。

（3）風險減少因子RDF，基本事件的不可用度設為0，從而使總的不可用度/堆芯損壞頻率降低的倍數。

（4）相對貢獻FC：

2.3　風險重要度結果討論

考慮到當前PSA模型的成熟性，本文僅將功率運行內部事件堆芯損傷頻率作為風險的度量標準。為了更準確地計算電廠實時狀態下的風險，使用某AP1000核電廠設計階段的功率運行內部事件PSA模型修改后得到的風險監測模型進行定量計算。計算使用常用的RiskSpectrum軟件，計算設置與安全分析報告保持一致。

注意到，3.2節重要度定義均著眼于基本事件，對于包含多個基本事件的系統來說，為了實現系統重要度計算還需要在軟件中設置事件組（Event Group）。以ACC系統為例，事件組包括編碼遵循ACA*和ACB*的基本事件，“*”表示省略并模糊匹配。計算后可獲得系統重要度結果，并匯總于表2。為了更好理解系統重要度，還需要對結果進行深入研究，具體討論如下：

（1）軟件不提供多個基本事件組合的FV結果，此時FC可以表征含有系統相關基本事件的割集占總結果的份額。ACC、CMT、IRWST系統重要度較高，體現出了核電廠在事故緩解過程中對相關系統的依賴。

（2）對于系統的RIF，其排序與FC基本一致，但IDS系統差異較大。主要原因在于，IDS系統冗余度高，相關割集絕對風險值較低，因此FC所體現的份額較小，但是當系統相關所有基本事件失效概率都設置“1”后，冗余全部消失，RIF結果就會變得特別高。

（3）軟件計算RIF時實際是對已得到的割集進行后處理，割集中所有相關基本事件失效概率設置為“1”，得到新的總結果后與之前結果做除法。

以ACC為例，基準結果CD序列中可理解為包含了三類情況：

1）ACC題頭失敗并疊加其他失效的情況；

2）ACC題頭成功但疊加其他失效的情況；

3）與ACC無關的情況。

RIF計算時，會將ACC系統相關基本事件失效概率設為1.0。此時，情況1）的結果會發生變化；情況2）因為計算時選擇了邏輯簡單定量化而不含ACC相關基本事件，其結果不變；情況3）與計算無關，結果不變。

然而，這一做法偏于保守，如果將ACC相關故障樹設為失效，重新計算CD結果，CD序列將不再含有上述的情況b）中ACC題頭成功相關結果。即實際ACC失效情況下的風險增加影響要低于RIF結果。

（4）針對（3）RIF結果保守問題，本文引入了另一種表征方式，即風險增加值（Risk Achievement Worth，RAW）做比較。計算時首先策劃算例，設置相關系統故障樹邏輯門的狀態為“True”（即代表失效）以體現系統不可用的影響，重新計算該情況下的電廠堆芯損傷頻率（Core Damage Frequency，CDF），再與基準CDF做比值，手動計算得到系統的RAW并補充于表2中。此時，RAW可表達為如下形式：

以ACC系統為例，算例中對AC1A、AC2AB、ACBOTH、AC1B等故障樹設為“True”。

（5）由表1可以看出，系統RIF結果較RAW偏高，但系統之間的相對排序基本不變。其中，IRWST的結果差異較大，主要是因為部分系統基本事件在不同故障樹中共用，RIF在體現了注射功能失效外還疊加了再循環功能失效的影響，而RAW直接體現的是注射功能故障樹失效影響。

表1　系統風險重要度及篩選結果

注：根據PSA分析假設條件，PCS的失效并不會造成24小時任務時間內發生堆芯損傷，無法通過一級PSA模型計算得到該系統的風險重要度。

2.4　監測對象確定

前文按照SSUI各項指標監測功能要求初步篩選了系統，并計算各系統風險重要度。但是，仍有必要進一步精簡。本文還考慮了國家核安全局核電廠安全性能指標總體性篩選原則，包括：

（1）指標應該與核電廠的安全密切相關；

（2）數據必須能夠向核安全監管部門提供；

（3）指標能夠反映出一定的安全運行性能；

（4）數據應該是客觀的、系統的、完整的；

（5）數據在各個核電廠之間有可比性；

（6）指標要求應該是營運單位能夠達到的；

（7）指標具有趨勢分析性。

以下將結合相關指標功能要求、系統重要度結果、篩選原則等因素，開展綜合分析：

（1）應急交流電源系統不可用度（MS01）

該指標一般關注在失去廠外電源后提供應急交流電源的系統。與現有核電廠不同，AP1000核電廠利用非能動系統執行安全相關事故緩解功能，這意味著喪失廠外電時，AP1000核電廠不再依賴安全級的應急交流電源系統為大功率泵提供電力，只要保證安全級的直流電及相關蓄電池有效，即可支持非能動系統投入運行。在AP1000核電廠中，備用柴油發電機只承擔縱深防御功能，其風險重要度也不高。因此，選擇IDS作為監測對象。

（2）高壓安注系統不可用度（MS02）

該指標關注在喪失冷卻劑后維持反應堆冷卻劑裝量的系統。目前，SPI中主要監測高壓安注系統，認為其可作為我國現有核電廠喪失冷卻劑后維持反應堆冷卻劑裝量的系統代表。一方面對于這些核電廠，高壓安注系統風險重要度較高，另一方面高壓安注系統也是發生破口類事故后維持冷卻劑裝量優先投入的系統，具有代表性。AP1000核電廠備選系統包括CMT、ACC、IRWST，這幾個系統都具有較高的風險重要度。CMT的作用與現有核電廠高壓安注系統更為接近，且系統具有常規監測和試驗措施，因此選作監測系統。

此外，從安注功能完整性考慮，還需將ADS系統1～3級閥門補充進監測范圍。

（3）輔助給水系統不可用度（MS03）

該指標監測在瞬態或事故后短期內排出余熱的系統。一般來講，現有的壓水堆核電廠中輔助給水系統是風險重要的安全相關系統，在緩解瞬態類事故時起到重要作用。AP1000核電廠中，雖然設置了類似功能的MFW和SFW，但一方面它們不再承擔安全相關功能，而只承擔縱深防御功能，另一方面，AP1000設置了承擔安全相關功能的非能動余熱排出系統（PRHR），在發生瞬態類事故時，打開相關閥門直接將一回路衰變熱帶出至IRWST，并且PRHR的風險重要度相比MFW和SFW更高。

此外，IRWST為PRHR熱交換器提供熱阱，需要作為PRHR功能實現的支持考慮到指標監測范圍內。

（4）設備冷卻水系統不可用度（MS04）和重要廠用水系統不可用度（MS05）

相關指標監測為前沿系統提供重要冷卻支持的系統，現有核電廠中CCS和SWS執行安全相關功能，為專設安全設施設備提供冷卻，而AP1000核電廠利用非能動系統執行安全相關事故緩解功能，而這些系統中沒有泵等大型設備需要冷卻，所以CCS和SWS只執行縱深防御功能，為RNS泵等設備提供冷卻。故從計算結果看，這兩個系統的風險重要度并不高。雖然根據PSA分析假設條件，PCS的失效并不會造成24 h任務時間內發生堆芯損傷，無法通過一級PSA模型計算得到該系統的風險重要度，但AP1000核電廠的衰變熱最終通過PCS排出，PCS也是事故后維持核電廠處于長期安全穩定的重要系統，同時PCS在二級PSA分析中占有重要地位，這也符合SPI監測“為前沿系統提供重要冷卻支持的系統”的目標。因此，暫時考慮選擇PCS為監測對象。

2.5　小結

本節根據SPI的指標設置目標定位，結合PSA系統重要度分析結果和AP1000系統設計特點進一步分析，最終確定需要監測的系統對象。

需要注意的是，性能指標只是核電廠安全性能的一種表征方式，監測范圍有限，因此還將與其他監督檢查活動一起保證核安全。

3　IDS系統不可用度指標評價方案

根據第3節的分析，設計上的差異使AP1000核電廠安全系統不可用度指標所監測的系統與現有核電廠不同。與之相應，有必要開展AP1000核電廠安全系統不可用度指標評價閾值的研究。本節以IDS系統為例，制定系統不可用度指標評價方案。

3.1　評價準則

目前，SPI中安全系統不可用度指標的評價閾值主要參考NRC早期的指標閾值設定[1]，而NRC的閾值則主要依據實際指標值體現的核電廠風險水平相比基準風險水平的增量確定，本文應用的指標等級標準如下：

（1）綠色等級（DCDF≤1×10-6/堆年）

（2）白色等級（1×10-6/堆年＜DCDF≤1× 10-5/堆年）

（3）黃色等級（1×10-5/堆年＜DCDF≤1× 10-4/堆年）

（4）橙色等級（1×10-4/堆年＜DCDF）

利用該準則制定SPI評價閾值可以將風險作為監管的依據，考量系統不可用造成的實際風險變化，并進而判斷其安全等級。

由于目前還缺少實際運行數據累積作為工程依據，因此本文考慮概念上利用以上風險準則，設置AP1000核電廠安全系統不可用度評價閾值。

3.2　IDS系統不可用度閾值計算

對于IDS系統（對應SPI中MS01指標），為代表該系統不可用的基本事件設置一系列發生概率均值，計算不同發生概率對應的CDF，并進一步得到系統不可用度與基準CDF增量的關系。之后，結合NRC的PI指標采用的顏色等級與DCDF的關系，確定系統不可用度范圍與綠白黃橙四種顏色的對應關系。

計算結果如圖2所示，當系統不可用度為2.31×10-2時，CDF增量為1.00×10-6/堆年，當系統不可用度為4.08×10-2時，CDF增量為1.00× 10-5/堆年，當系統不可用度為6.33×10-2時，CDF增量為1.00×10-4/堆年。

圖2　IDS系統不可用度與DCDF關系

數據圓整后確定指標閾值如表2所示。

表2　MS01指標評價閾值

AP1000核電廠依靠非能動的專設安全設施緩解事故，雖然這些系統的投入不依賴交流電源，但需要IDS系統提供閥門等設備的控制電，同時IDS也為保護和安全監測系統（PMS）提供動力，而PMS用于提供專設安全設施的啟動信號。所以IDS是維持AP1000處于低風險水平非常重要的系統，有必要在核電廠運行期間保證其可用。從閾值計算結果來看，AP1000核電廠IDS系統不可用度監管要求甚至高于一般壓水堆核電廠。

4　總結

本文重點研究了AP1000堆型核電廠對于SPI評價體系中安全系統不可用度指標（屬于緩解系統要素）的適用性問題。根據AP1000的設計特點，本文采用風險指引理念，利用PSA系統重要度分析結果，確定了安全系統不可用度指標對應的系統，并以IDS系統為例確定了指標評價閾值。相關研究為國家核安全局風險指引型監管以及核電廠安全性能指標監管應用提供支持。

［1］ NRC SECY-99-007. Recommendations for reactor oversight process［R］．Nuclear Regulatory Commission，1999.

［2］ 陳露，張彬彬，張琴芳．核電廠運行安全性能指標體系的建立及其應用［J］．核動力工程，2014，35（4）：78-81.

［3］ 林誠格，非能動安全先進核電廠AP1000［M］．北京：原子能出版社，2008.

［4］ 宮宇，王寶祥，詹文輝，等．風險指引型安全分級及應用研究［J］．核安全，2020，19（05）：41-48.

［5］ 王欽，畢金生，丁銘．AP1000核電站嚴重事故下熔融物與混凝土相互作用的研究［J］．核安全，2019，18（06）：37-43.

［6］ Lloyd’s Register Consulting-Energy AB，RiskSpectrum Analysis Tools Theory Manual［M］．Version 3.3.0：63-66.

Study on the Safety Performance Indicator for AP1000 Nuclear Power Plant

ZHANG Zeyu1，ZHANG Binbin2，ZHANG Xiaoting3，DING Shanshan1,*

（1. Beijing Nuclear and Radiation Safety Center, Ministry of Ecology and Environment, Beijing 100082, China; 2. Shanghai Nuclear Engineering Research and Design Institute Co., Ltd., Shanghai 200233, China; 3. Beijing Conference and Training Base, Ministry of Ecology and Environment, Beijing 100095, China）

The Safety Performance Indicator (SPI) for nuclear power plants has been established by National Nuclear Safety Administration of China (NNSA), which is used for evaluating plant safety conditions and implementing corresponding regulatory measures. The Safety System Unavailability Indicator (SSUI) is a part of SPI, which is utilized to evaluate the availability of important accident mitigating systems when demanded. Specific systems and SSUI evaluation criteria are not completely applicable for AP1000 due to its unique design features. In this paper, risk-informed decision making methodology is adopted. Firstly, the systems in AP1000 whose functions are determined in the SSUI are identified, and sorted by system importance that is quantified in the probabilistic safety analysis (PSA). Systems that shall be included in the SSUI are selected based on the result of sorting. Then the risk increase on the unavailability of the class 1E DC and uninterrupted power supply system (IDS) is quantified and correlation between the safety level and unavailability are determined based on the relation between the risk increase and the safety level.

Safety performance indicator; Safety system unavailability indicator; Probabilistic safety analysis

TL48

A

0258-0918（2021）06-1281-08

2021-1-7

張澤宇（1990—），黑龍江哈爾濱人，工程師，碩士，核能與核技術工程，現從事核安全經驗反饋關鍵技術、核電廠安全性能指標相關研究

丁珊珊，E-mail：dingshanshan@chinansc.cn