动态可靠性评价方法在AP1000核电厂严重事故中的应用研究

崔成鑫，黄 挺，陈 炼，张 蕾

(国核华清(北京)核电技术研发中心有限公司，北京 102209)

传统经典的可靠性分析方法主要包括故障树与事件树方法，1975年诞生了以故障树和事件树为基本技术手段的著名的WASH-1400报告，如今该方法已发展得相当成熟，也有相当广泛的应用，如在核电厂、航空航天、化工厂等场景。人们在使用故障树与事件树上已积累很多经验，成功处理了很多问题。但故障树与事件树方法是一种相对静态的方法，对于如系统元件之间互相影响和系统运行时序影响等具有动态性质的系统，该方法处理起来相当费力甚至无能为力[1]。

动态系统是指随时间发展，系统状态会发生连续或多重变化。动态系统概念的研究在20世纪60年代引入可靠性研究中，并在80年代初期应用于核电厂概率安全评价(PSA)过程中。当前应用的侧重点是在事故源分析、人员可靠性评价等领域。前期的应用研究表明，动态可靠性评价方法在核电厂系统可靠性及安全性评价、事故处置规程合理性分析、人员认知决策模型构建等方面具有良好的应用前景。用动态可靠性评价方法可弥补传统事件树/故障树方法的不足，补充和完善现有核电厂的可靠性与安全性评估技术体系，已成为核电厂概率安全研究的新发展点[2-3]。

虽然传统PSA和动态PSA在事件树分枝规则、变量选取等方面存在着不同，但这些方法的核心都是核电厂事故评价。本文基于动态可靠性评价方法，利用严重事故程序MAAP对AP1000核电厂全厂断电事故进行分析，并将可靠性评价结果应用于AP1000二级PSA中。

1 动态事件树方法

鉴于传统的故障树/事件树方法对具有动态特性的系统分析的局限性，从20世纪80年代开始，针对这些动态特性，科学工作者研究出一批动态可靠性评价方法，大体可分为时间离散方法、时间连续方法、图形表达方法等。在这些方法中，图形表达方法是用于表达系统模型的，其他方法则是用于计算系统的可靠性，其中有3种主流方法：蒙特卡罗仿真、动态事件树方法和单元映射法[4]，蒙特卡罗方法及动态事件树方法最有应用前景。本文采用动态事件树方法进行应用研究。

2008年，俄亥俄州立大学提出了动态事故进程树分析(ADAPT)方法，并开发了与之配套的自动分析程序，其特点是应用系统程序在概率范围内决定事故发展路径[5]。当条件达到分枝事故路径时，程序生成1个新的事故情景主线进行并行计算，该分枝的概率通过使用布尔代数方法跟踪计算。为避免由于过多新的分枝而造成数据过于庞大，可根据用户定义的截断规则终止分枝。如当分枝概率低于给定限值或超过用户给定的模拟时间，可进行分枝截断。截断概率的设置应尽量小，以确保其对关键事件的相关影响可忽略不计。

原则上，至今提出的所有动态事件树方法在发展可能的分枝路径和事故情景的定量化的系统动态发展的方式上都很类似，其通常基于以下用户定义来确定：1) 分枝和终止规则；2) 系统模拟工具；3) 事故场景的概率分配准则。

在这方面，它们的贡献主要体现为如何描述和使用上述信息，包括具体算法的应用。ADAPT方法认为随机变量分为能动(如阀、泵)和非能动(如管线、蒸汽发生器(SG)管线、安全壳)组件，以及其他带有随机不确定性的严重事故现象(如氢气燃烧)、与程序输入(如传热系数、摩擦系数、节点)相关的不确定度被视为认知不确定度。其中分枝条件导致的不确定度是随机不确定性，它由程序内部决定而不受用户控制；用户控制的不确定度是认知不确定性，其可通过提高对现象的认知能力来减少不确定性，然而认知的状态依靠分析者对事件分析的深度。对于能动部件，ADAPT方法依靠程序测定的过程变量计算幅值变化(如压力、温度、液位)、控制逻辑和部件可能的故障模式确定分枝开始时间。如安全阀开或关的需求时间由程序计算的压力和设定点决定，阀门可在对应的触发压力设定点开或关，也可能出现需求失效，在这个时间点，ADAPT方法通过程序分析生成两个(或更多)分枝路径。对于非能动部件和其他随机现象，ADAPT方法使用拉丁超立方等抽样方法在相关部件或现象动态变量的累计分布函数上进行抽样。ADAPT方法允许模拟非能动部件和严重事故现象的随机模型重复使用，以便如果一旦产生分枝的概率分布函数变化，不必进行重复的模型计算。ADAPT方法对使用的事故分析程序有以下几点最基本要求：1) 从命令行或文本文件读取程序的输入；2) 可设置检查点(check-point)；3) 允许用户定义控制功能(如：如果条件为真，程序运行可停止)；4) 输出可用于检测停止条件。

因此对应ADAPT设计的接口程序要考虑上述功能的自动化实现，可通过易于自定义的模块实施，如加工处理输出文件和修改输入文件。当产生1个新的分枝并进行模拟时，用户的主要任务是为其分配自定义的控制函数[6]。

2 动态事件树方法的应用

2.1 AP1000核电厂事故情景描述

全厂断电是指核电厂内安全级和非安全级配电装置母线全部失去交流电源，即失去厂外电源同时汽轮机脱口和厂内应急交流系统故障。对于AP1000核电厂全厂断电事故，非能动余热排出系统和自动降压系统启动失效会导致高压熔堆事故，最终蒸汽发生器传热管线破裂(SGTR)致使安全壳旁通会早期释放大量放射性物质到环境中。这一事故后果对于蒸汽发生器传热管线失效是否先于热管失效的敏感性非常高。热管失效会导致反应堆冷却系统(RCS)泄压，与SGTR相比，这种失效会阻止早期大量放射性核素释放到环境中。因此为进一步细致研究SG传热管线和热管蠕变断裂失效动态特性对事故进程的影响，选取该事故序列采用动态事件树方法进行分析[7-8]。

材料在长时间的恒温、恒压作用下缓慢产生塑性变形的现象称为蠕变。零件由于这种变形而引起的断裂称为蠕变断裂。核电厂内管线众多，所有管线均有可能发生管线蠕变断裂，这些蠕变断裂随温度、压力的变化其发生概率会有很大不同。所以应用动态可靠性分析方法对其进行计算分析能更真实地反映这一事故过程。

2.2 模拟程序选取

MAAP程序应用简化的现象学模型来预测严重事故进程，相较于MELCOR和SCDAP/RELAP5，其空间节点划分相对比较粗糙，但其计算速度却大为提升，且MAAP程序的计算结果仍具有较强的可信性，因此更适合用于核电厂动态可靠性研究[9]。

2.3 事故动态分析

对于全厂断电耦合辅助给水失效的SGTR事故，分析SG传热管线和热管蠕变断裂失效的动态特性对事故序列的影响。管线蠕变断裂的发生准则满足Larson-Miller关系式[8]：

(1)

式中：tf为蠕变断裂失效时间；mp为强度因子，这里假设热管、波动管和SG传热管线没有实质性缺点，所以mp=1；σ为结构机械应力；tR为蠕变断裂发生时间；T为温度。

式(1)中分母tR的函数形式为Larson-Miller关系式，并由严重事故分析程序计算得出，这可有效地描述整个时间段内结构处于T温度工况下的综合蠕变损伤状态[10]。

对于SG传热管线和热管，蠕变断裂因子R的含义为发生蠕变断裂，事故分析程序按照认定的R节点发生蠕变断裂[11]。

(2)

根据上述条件及假设，使用MAAP程序进行了事故序列的模拟，计算结果如图1所示。

图1 热管与SG传热管线蠕变断裂因子曲线

由图1可见，SG传热管线的蠕变断裂因子R要先于热管达到1，即SG传热管线先发生蠕变断裂失效。但由于Larson-Miller关系式计算R的自身不确定性，式(2)依旧存在不确定性，当反应堆温度压力持续增高，热管的蠕变断裂因子R反而会超过SG传热管线，这会导致失效顺序发生变化。

对于失效发生不确定性的计算，用数据检验了Larson-Miller关系式，蠕变断裂对于环境温度和材料特性(现存的缺陷)变化的敏感性显而易见。为获得蠕变断裂发生的概率，对式(2)进行积分，即对数正态分布形式的连续概率分布函数Φ(R)：

(3)

式中，R′为在事故进程中随主回路参数变化的蠕变断裂因子。Φ(R)可称为脆性曲线[12]，通过蠕变参数低于R获得概率。图2示出蠕变断裂因子累积概率分布。图2说明ADAPT方法的分枝进程通过式(2)可确定主要RCS组件(热管及SG传热管线)蠕变断裂次序。选取脆性曲线的5个离散点在5%、25%、50%、75%和95%处，相对应的R为0.518、0.764、1.00、1.31和1.931作为分枝点。离散方案在实际ADAPT方法运行时，该百分比仅用于说明目的，没有具体的技术意义。当R达到这些值时，ADAPT方法以5%、25%、50%、75%和95%的断裂概率及95%、75%、50%、25%和5%的组件非断裂概率启动分枝[13]。

图2 蠕变断裂因子累积概率分布

如对于第1分枝的启动，通过编写的动态事件树分枝程序[14]，在该时间点产生新的分枝，调用MAAP程序进行新分枝序列的计算，此时R=0.518对应传热管线蠕变断裂概率为5%，ADAPT方法产生两个分枝(场景)：1) 5%概率的SG传热管线蠕变断裂场景；2) 95%概率的SG传热管线没有蠕变断裂的场景。对于没有蠕变断裂的分枝，模拟继续进行直到热管或SG传热管线的R值达到0.764。在第1次失效分枝未发生的条件下，第2次失效分枝会产生概率增量，这样在这一点的失效概率为累计失效概率，其值为第1次和第2次分枝值增量除以先前分枝的非失效概率，即(0.25-0.05)/0.95=0.21。之后的分枝失效概率以此类推，停止分枝进程需蠕变断裂曲线上的所有离散点都计算完毕，每一点作为失效模型的其中一点(如热管或SG传热管线蠕变断裂)。

2.4 计算结果分析

根据上述过程的描述，通过ADAPT方法进行蠕变断裂失效点的确定和失效概率的计算，共生成10种事故情景，其中SG传热管线早于热管断裂的5种情景概率之和为0.75，相应的热管早于SG传热管线断裂的总概率为0.25。在这两种情况中一旦产生1个破口，则主回路泄压，第2个破口即不会发生，但SG传热管线和热管(HL)破口发生的先后顺序对放射性产物滞留在安全壳内有关键影响。将这10种事故情景通过MAAP程序进行模拟分析，结果如图3～5所示。图3～5中，p为蠕变断裂概率。

图3 不同破口位置对主系统压力变化的影响

图4 不同破口位置对主系统氢气产生量的影响

以图5为例，横坐标为事故进程时间，纵坐标为释放到安全壳外的气溶胶份额，每条曲线都代表一种事故情景，并标注了发生热管或SG传热管线蠕变断裂发生的时间和概率。从分析结果可看出，在整个事故进程中发生SGTR的总概率(5种情景概率之和)大于发生热管破口的总概率，因此放射性元素更有可能释放到环境中。在发生热管破口的情况下，反应堆一回路通过破口降压，放射性产物释放到安全壳内，阻止了直接向环境的释放。热管早于SG传热管线发生破口的情况在传统PSA中没有考虑，通过ADAPT方法分析获得这种情况的概率为0.025+0.05+0.062 5+0.062 5+0.05=0.25，可应用于传统PSA方法对结果进行更新。

图5 不同破口位置对释放到安全壳外气溶胶量的影响

3 动态可靠性评价结果在PSA中的应用

AP1000二级PSA事件树1A为高压堆融事件树，事件树第1个题头为RCS降压(DP)，如果降压失效，则认为事故后果直接进入安全壳旁通(BP)，事件树如图6[6]所示。事件树题头DP的方式为ADS卸压，在该题头并未考虑热管先于SG传热管线蠕变断裂失效的情况，因为如果热管先破裂，则放射性产物释放到安全壳内，而不构成安全壳旁通的后果，因此在与题头DP相连的故障树中新建基本事件HF模拟热管失效，新的故障树如图7所示。故障树新增了热管未破口的基本事件，表示一回路没能成功降压的一种可能性，基本事件DP-HL的失效概率采用动态可靠性评价结果0.75，另外一基本事件仍为ADS降压失效，与原题头故障树ADTLT一致。

图6 蠕变断裂动态可靠性结果在二级PSA中的应用

根据原来二级事件树1A分析，其安全壳旁通的概率为3.15×10-9。加入考虑了热管蠕变断裂动态特性的影响，将新建的故障树DP-RCS连接到节点DP后，分析得出安全壳旁通后果的概率为2.37×10-9。分析结果表明，在高压堆融的事故情景下，如果考虑热管动态特性的影响，则可减少大约25%的安全壳旁通概率，该结果更加接近真实的事故情景。

4 总结

本文介绍了动态可靠性评价方法概况，对ADAPT方法进行了详细介绍，将该方法在全厂断电情况下热管和SG传热管线蠕变断裂动态特性进行了模拟分析，得到的分析结果在二级PSA模型上进行了应用。

图7 一回路泄压失效故障树

从动态可靠性评价结果在二级PSA应用中可发现，动态特性对核电厂PSA的分析结果有一定影响，且动态可靠性评价过程可能挖掘出更加有用的信息，可指导核电厂系统设计、严重事故管理导则的制定及事故情景数据库的建立，有利于发现新的事故情景。

根据目前研究基础，在以下几点研究重点或发展方向提出几点建议。

1) 目前动态可靠性方法成熟，但离工程实际应用相差较远，主要原因之一就是实际数据或动态特性参数随时间的概率分布难以获得，这会影响最后动态可靠性评价的结果。

2) 阻碍动态可靠性研究工程应用的另一原因是计算量过大。在实际情况下，事故情景下动态因素很多，如果考虑较多的动态事件则会导致事故分枝指数级爆炸增长，这不但会带来计算负荷难以接受的问题，也会引出结果评价或分枝情景难以分辨的情况。

3) 研究结果可应用于PSA研究、SAMG或系统设计等方面，特别是对事故序列数据库的开发提供更全面丰富的数据，进而能在严重事故预防缓解及应对过程中提供参考。

4) 通过动态可靠性的研究，产生丰富的事故序列谱，可能为发现新的事故情景提供支持。