基于離散動態事件樹的風險指引的安全裕度分析方法研究

陳 妍，李朝君，張 盼，趙傳奇，鄭 潔，韓 治，李 春，依 巖

(生態環境部 核與輻射安全中心，北京 102400)

2012年，美國愛達荷國家實驗室(INL)發布了輕水堆可持續發展項目的綜合計劃[1]，以響應美國能源部核能辦公室2010年發布核能研發路線圖中的目標“開發能夠提高可靠性、維持安全性和延長現有反應堆壽命的技術和其他解決方案”。綜合計劃中給出4個研發方向：核材料老化和退化、先進輕水反應堆燃料開發、先進儀控技術以及風險指引的安全裕度特性(RISMC)分析技術。RISMC分析技術的目的是量化安全裕度，盡可能使安全裕度最優化以及不確定性最小化，進而保障輕水堆在運期間(尤其是延壽期間)的安全性和經濟性都在高的水平。RISMC分析技術的計算方法是采用現有知識產生一系列基于風險的情景，利用系統模型計算系列情景下的特定安全性能參數，然后比較分析各情景下安全性能參數負載和能力分布的關系，最后統計計算系列情景下安全性能參數的負載大于能力的概率。本質上，RISMC分析技術是一種計算式的風險評估(CRA)方法[2]，其集成分析一系列概率情景及情景下的物理參數信息，這種多情景計算式方法可能對現有核電站的某些安全問題提出新的解決方案。

目前美國INL已基本建成了RISMC的計算平臺，并開展了試點案例的分析計算[3-4]。法國電力研究所[5]、韓國原子能研究所等機構陸續開展了有關風險指引的安全裕度研究，我國近幾年也開展了有關風險指引的安全裕度分析方法的研究[6-9]。但整體上，風險指引的安全裕度分析的案例尚少，其理論方法及實踐分析需進一步深入研究和完善。離散動態事件樹(DDET)是RISMC中產生風險情景的常用方法之一，本文研究基于DDET的風險指引的安全裕度分析方法，針對簡化壓水堆模型下的全廠斷電事故，利用Python和系統熱工水力程序計算兩種DDET分支規則下的燃料包殼失效的風險指引的安全裕度及其不確性，然后探討分支規則、模型參數分布、系統程序內置參數設置對燃料包殼失效的風險指引的安全裕度的影響，進一步提出一種改進的可變概率閾值的分支方法，以更好地平衡風險指引的安全裕度分析過程中的計算精度與計算資源的匹配問題。

1 基于DDET的風險指引的安全裕度分析方法

1.1 風險指引的安全裕度分析方法

裕度有確定性裕度和概率性裕度兩種表征方法。確定性裕度通常定義為安全變量的能力(Capacity)與負載(Load)的差值或比值，概率性裕度通常定義為負載超過能力的概率。目前核電站中的安全分析大多數采用確定性裕度表征安全裕度，而風險指引的安全裕度分析技術采用概率性裕度來量化安全裕度，是近十年來核工業界提出的新的安全理念，其期望通過量化的概率性裕度避免不必要的保守性，為核電站延壽、長期運行以及擴展功率等有關安全裕度的管理決策提供必要的技術支持。

風險指引的安全裕度分析框架如圖1所示，其利用失效模式、運行規則等信息產生各種情景以及相應的情景參數，然后將各情景參數傳遞給系統程序(如物理、熱工等系統程序)，系統程序計算的過程物理參數也動態反饋給情景進行分支，最后計算出任務時間內各種情景下安全變量特性及情景概率，并用統計計算安全變量的安全裕度及其不確定度，進一步做出管理決策。風險指引的安全裕度的計算在具體實現時，需要通過搭建計算平臺或開發計算程序，編程自動產生各種情景參數，計算每個情景的發生概率，采用系統程序計算每個情景下的重要物理/熱工參數數值，并判斷每個情景下計算的重要參數是否失效及計算每個情景下條件失效概率，最后統計計算風險指引的安全裕度用于管理決策。需要指出的是，風險指引的安全裕度分析方法中的安全變量需根據特定問題設置(如燃料包殼溫度、燃料包殼應力、燃料包殼氧化物厚度等)。此外，風險指引的安全裕度也稱為概率安全裕度[4]。目前風險指引的安全裕度分析方法中常用的情景產生方法有蒙特卡羅抽樣方法、DDET方法、混合蒙特卡羅動態事件樹等。本文研究基于DDET的風險指引的安全裕度分析方法。

圖1 風險指引的安全裕度的分析框架Fig.1 Framework of risk-informed safety margin analysis

1.2 基于DDET的風險指引的安全裕度的量化

DDET是一種在離散時間軸上模擬和追蹤系統在其任務時間內的所有可能的系統狀態演化軌跡的方法，能夠給出系統的連續變量與離散變量(硬件狀態、人因干預等)之間隨時間的演變。假設某系統狀態由n個離散變量描述，分別設為k1，k2，…，kn，同時系統有m個連續參數變量，分別設為x1，x2，…，xm，t時刻系統的狀態可表示為S(Kt，Xt，t)，其中Kt=(k1，k2，…，kn|t)為t時刻系統離散變量取值組合，Xt=(x1，x2，…，xm|t)為系統在t時刻各連續變量的取值組合，初始時刻系統的狀態為S(K0，X0，t)，則連續變量與離散變量之間的關系滿足微分方程：

(1)

其中：X為系統的連續變量；fKτ為τ時刻離散變量為Kτ的微分方程；Kτ為τ時刻的系統離散變量。Xt=gKτ(t-τ,Xτ)為式(1)的解，表示τ時刻系統的離散變量和連續變量分別為Kτ和Xτ，經歷了t-τ時間后，系統的連續變量變為Xt。DDET的工程應用建模示意圖如圖2所示，即由離散變量在特定時刻產生分支，利用系統方程得到在時刻t系統的連續變量Xt，同時利用各分支節點處的概率可得到Xt的概率。因此，DDET能夠模擬系統在任務時間內的所有可能的系統狀態并給出所有系統狀態概率的特性，滿足風險指引的安全裕度分析的計算需求。

圖2 DDET工程建模示意圖Fig.2 Schematic diagram of DDET modeling

本文研究基于DDET的壓水堆燃料包殼溫度這一連續安全變量的風險指引的安全裕度。假設DDET方法下任務時間內產生n個事故情景，每個事故情景的概率為pi，每個事故情景下燃料包殼溫度的計算值為xi，則每個情景下的燃料包殼失效概率yi為：

(2)

(3)

燃料包殼失效概率的樣本標準差s為：

(4)

式(3)計算的燃料包殼失效概率均值即為一系列事故情景下的燃料包殼溫度的風險指引的安全裕度，燃料包殼失效概率的樣本標準差定量表征了燃料包殼失效概率的不確定性。值得注意的是，在風險指引的安全裕度分析方法中，研究對象和問題不同，安全變量的風險指引的安全裕度數學表達式也會有差異，具體分析中需要根據特定的研究問題給出特定的風險指引的安全裕度計算方法。

2 全廠斷電事故的風險指引的安全裕度分析計算

2.1 熱工模型及計算假設

參考INL在RISMC研究中有關簡化壓水堆模型下全廠斷電事故(SBO)參數[10]，本文建立了簡化核電站的熱工水力模型節點圖，如圖3所示，其模化了反應堆壓力容器的下降通道、下封頭、堆芯和上腔室，堆芯部分的3個平行的燃料通道和1個旁通通道，兩個主環路(每個環路由熱管段、1個熱交換器及其二次側管段、冷管段和1個主泵組成)以及穩壓器。本文建模假設與INL的建模假設存在不同：1) 本文假設主泵惰轉，而INL假設電站發生SBO后主泵轉速立即為0，應急柴油機(DG)恢復后，主泵又有一定轉速；2) 冷卻劑流量、換熱器面積少量參數不同。

圖3 簡化核電站的節點示意圖Fig.3 Node diagram of simplified nuclear power plant

在此簡化壓水堆模型下，SBO事故的情景是200 s的瞬態開始，201 s廠外電喪失，核電站立即停堆，隨后主泵惰轉，DG失效，造成冷卻系統不可用，喪失熱阱。假設DG的恢復時間(單位為s)服從正態分布Normal(2 900，200)，若DG在t時刻恢復，冷卻系統可用。此外，假設燃料包殼失效溫度(單位為K)服從Triangular(1 255.37，1 477.59，1 699.82)的三角分布[11]以及任務時間為3 600 s。

2.2 計算流程

為計算一系列事故情景下核燃料包殼失效的風險指引的安全裕度，本文提出基于DDET的風險指引的安全裕度的計算流程，如圖4所示，其中關鍵參數是DG的恢復時間t，用于產生不同的事故情景，采用Python程序及樹結構產生事故情景分支，并調用系統熱工水力程序計算每個情景下的燃料包殼溫度，最后統計計算核燃料包殼溫度超過燃料包殼失效溫度的概率及其不確定度。鑒于本文關注DDET方法對計算結果的影響，因此選擇了簡化的事故情景進行風險指引的安全裕度分析，即計算中只考慮DG在不同恢復時間的需求失效，暫不考慮外電網和輔助電網在不同恢復時間的需求失效，也不考慮核電站其他系統的隨機失效以及人誤事件等。

圖4 基于DDET方法的風險指引的安全裕度計算流程Fig.4 Calculation process of risk-informed safety margin based on DDET

2.3 兩種常用DDET分支規則下的風險指引的安全裕度分析

采用DDET常用的等時間步長分支和等概率閾值分支兩種分支規則進行DDET分支計算，其中等時間步長分支是指以特定時間步長等間隔分支，等概率閾值分支是指每個分支概率相同。本實例采用DG的恢復時間分布產生不同的事故情景，即在DDET分支規則中的分支概率由DG的恢復時間分布的累積分布給出，等時間步長分支和等概率閾值分支示意圖如圖5所示，計算中不考慮概率截斷，終態規則是運行到任務時間結束。

在等時間步長分支規則下，假設DDET等時間步長為100 s(圖5a)，即DDET在DG恢復時間(單位為s)為[2 600.0，2 700.0，2 800.0，2 900.0，3 000.0，3 100.0，3 200.0，3 300.0，3 400.0]的時間節點分支，各分支節點對應的累積分布概率為[0.067，0.158，0.308，0.5，0.691，0.841，0.933，0.977，0.994]，則各分支的情景概率P(ti-1

a——等時間步長分支；b——等概率閾值分支圖5 DDET常用的兩種分支方法Fig.5 Two branch methods of DDET

圖6 各情景下的燃料包殼溫度Fig.6 Fuel cladding temperature under each scenario

3 影響因素分析

3.1 等時間步長分支規則

在等時間步長分支規則計算中考慮如下因素影響：1) 將DDET中DG恢復的等時間步長縮短至80 s，即DG恢復時間(單位為s)為[2 600，2 680，2 760，2 840，2 920，3 000，3 080，3 160，3 240，3 320，3 400，3 480]；2) 將DDET中DG恢復的等時間步長延長至150 s，即DG恢復時間(單位為s)為[2 600，2 750，2 900，3 050，3 200，3 350，3 500]；3) DG恢復時間分布變為Normal(3 000，200)；4) DDET根節點計算中的系統熱工水力程序的最大時間步長修改為5×10-3s，各種不同因素下的燃料包殼失效概率均值列于表1。

表1 等時間步長分支規則下燃料包殼失效概率均值的影響因素分析Table 1 Analysis of factor affecting mean value of fuel cladding failure probability under equal time step branching rule

上述計算表明，DDET的分支時間步長越小，計算的分支越多，計算的燃料包殼失效概率均值越小，運行時間越長及存儲需求越大。同時，關鍵參數分布和系統程序設置不同對燃料包殼失效概率均值有顯著影響，因此也需要關注關鍵分布及系統程序參數設置的合理性。

3.2 等概率閾值分支規則

在等概率閾值分支規則計算中考慮如下因素影響：1) DDET等概率間隔置為0.2，即累積概率閾值為[0.2，0.4，0.6，0.8]；2) 增加累積概率為0.05和0.95的概率閾值，即DDET分支處的累積概率閾值為[0.05，0.1，0.2，0.3，0.4，0.5，0.6，0.7，0.8，0.9，0.95]；3) DG恢復時間分布變為Normal(3 000，200)；4) DDET根節點計算中系統熱工水力程序最大時間步長修改5×10-3s。各種不同因素下的燃料包殼失效概率均值列于表2。

表2 等概率閾值分支規則下燃料包殼失效概率均值的影響因素分析Table 2 Analysis of factor affecting mean value of fuel cladding failure probability under equal probability threshold branching rule

等概率閾值分支規則計算表明，DDET的等概率間隔越小，計算的分支越多，計算的燃料包殼失效概率均值越小，運行時間越長及存儲需求越大。關鍵參數分布和系統程序設置的影響，與等時間分支規則下的計算結果類似，兩者也對燃料包殼失效概率均值有顯著影響。

3.3 改進的分支規則方法

可以看到，DDET的分支規則不同，燃料包殼失效概率均值的計算結果不同，分支越細致，計算結果越小，但需要的運行時間越長和存儲空間越大。本文嘗試尋找一種更好平衡風險指引的安全裕度計算中計算精度與計算資源匹配的分支規則方法。風險指引的安全裕度在數學上是計算負載分布與能力分布的重合概率，即負載上限分布對概率安全裕度的影響更大，負載下限對概率安全裕度的影響相對較小。本文提出一種可變的概率閾值分支方法，即在關鍵參數的DDET分支過程中，低概率累積分布區間的分支概率間隔相對大，高概率累積分布區間的分支概率間隔相對小。此外，本文特定問題下，若事故情景下計算的燃料包殼溫度低于燃料包殼失效能力分布中的溫度下限值，此情景下的燃料包殼失效概率為0，則在計算燃料包殼失效均值時，其對均值的貢獻也是0。因此，可以采用DDET根節點(DG一直未恢復)燃料包殼溫度信息和燃料包殼失效能力分布中的溫度下限值確定溫度下限值對應的DG恢復時間，再用DG恢復時間和DG恢復時間分布，計算此DG恢復時間下的累積概率。選擇比此累積概率略小的概率作為DDET計算的概率閾值起點，這樣可適當減少不必要的DDET分支計算及相應的計算資源。

可變的概率閾值分支方法下，設累積概率閾值為[0.2，0.3，0.4，0.5，0.6，0.7，0.8，0.9，0.95，0.99]，概率閾值對應的DG恢復時間(單位為s)為[2 732，2 795，2 849，2 900，2 951，3 005，3 068，3 156，3 229，3 365]，計算得到平均燃料包殼失效概率及標準差分別為0.086和0.118，運行時間和存儲需求分別為327 min和60.3 GB。若設累積概率閾值為[0.2，0.3，0.4，0.5，0.6，0.7，0.8，0.9，0.95，0.99，0.999]，概率閾值對應的DG恢復時間(單位為s)為[2 732，2 795，2 849，2 900，2 951，3 005，3 068，3 156，3 229，3 365，3 518]，計算得到平均燃料包殼失效概率及標準差分別為0.085和0.116，運行時間和存儲需求分別為350 min和72.4 GB?？梢钥吹?，恰當的分支規則可以提高計算效率，更好地平衡風險指引的安全裕度分析過程中的計算精度與計算資源的匹配問題。

4 結論與建議

本文研究了基于DDET的風險指引的安全裕度計算方法，針對簡化壓水堆模型下的SBO事故，利用Python程序計算了兩種DDET分支規則下燃料包殼失效的風險指引的安全裕度及其不確定性，分析了分支規則、模型參數分布、系統熱工水力程序內置參數設置對風險指引的安全裕度的影響。計算結果表明：1) 基于DDET的風險指引的安全裕度計算方法能夠通過計算機編程自動大量的分支方法給出不同的事故情景后果和概率，進而定量統計給出特定問題的風險指引的安全裕度；2) 計算關鍵參數分布和系統程序設置不同對燃料包殼失效概率均值有顯著影響；3) 分支規則不同，燃料包殼失效概率均值的計算結果不同，分支越細致，計算的燃料包殼失效概率均值越小，需要的運行時間越長和存儲空間越大；4) 可變的概率閾值分支方法能夠更好地平衡風險指引的安全裕度計算中的計算精度與計算資源的匹配問題。

隨著計算機軟硬件的快速發展以及先進算法的持續改進，核電安全分析中計算式的風險指引的安全裕度分析方法可能會更深入的實踐，但在廣泛應用此方法之前，需要更深入地研究此方法的不確定性評估、計算結果的驗證以及能夠有效提高計算效率的算法等問題，以更客觀的輔助核電站在安全裕度方面的科學管理決策。