AP1000堆型核电厂安全性能指标研究

张泽宇，张彬彬，张小婷，丁珊珊,*

AP1000堆型核电厂安全性能指标研究

张泽宇1，张彬彬2，张小婷3，丁珊珊1,*

（1. 生态环境部核与辐射安全中心，北京，100082；2. 上海核工程研究设计院有限公司，上海，200233；3. 生态环境部北京会议与培训基地，北京，100095）

核电厂安全性能指标（SPI）是国家核安全局核电厂运行期间总体安全状况的表征。安全系统不可用度指标（SSUI）是SPI体系中的一类指标，用于评价重要的事故缓解系统在需要其投入时的可用性。AP1000核电厂因其系统设计的特殊性，无法简单沿用国内现有运行核电厂的结论。本文采用风险指引型决策理念，识别了AP1000核电厂中执行SSUI中指定功能要求的系统，利用概率安全分析（PSA）模型计算这些系统的风险重要度并进行分析，并综合多种因素选择SSUI监测对象。随后，针对1E级直流和不间断电源系统（IDS），确定系统不可用度范围与安全级别的对应关系。

核电厂安全性能指标；安全系统不可用度；概率安全分析

核电厂安全性能指标是当前国际上比较流行的一种核电厂运行安全评价工具。各国政府核安全监管机构可以根据核电厂提供的运行数据，评价各核电厂运行安全状况，在核电厂之间进行横向与纵向的对比，找出核电厂运行安全的薄弱环节，不断提高核电厂的安全[1]。我国国家核安全局（NNSA）也建立了一套安全性能指标（SPI）管理体系来对国内核电厂进行统一的安全管理与评价，将核电厂安全性能指标结果作为“核电厂总体安全状况”在国家核安全局网站上公开展示，并应用于运行核电厂的日常监管。

SPI共设置了24个指标，其中缓解系统安全要素下5个安全系统不可用度指标（SSUI）用于监测重要系统的可用性表现。

AP1000堆型核电厂因其系统设计的特殊性，无法简单沿用国内现有运行核电厂的结论确定SSUI应监测的系统和评价准则[2]。因此，有必要根据AP1000堆型核电厂设计特点开展SSUI指标的评价方案研究。本文重点研究了AP1000堆型核电厂[3]对SPI体系中安全系统不可用度指标的适用性，采用风险指引理念，利用概率安全分析（PSA）系统重要度分析结果制定AP1000堆型核电厂安全系统方案，并针对1E级直流和不间断电源系统（IDS）计算系统不可用度要求范围。该研究工作为监管应用提供支持。

1　安全系统不可用度指标

1.1　指标监测的系统

安全系统的作用是缓解始发事件影响、防止堆芯损伤，设立安全系统不可用度指标以监控安全系统有效性。核电厂营运单位通过维持安全系统可用度，以降低核反应堆事故发生的可能性。

SPI体系是以压水堆核电厂为基准建立起来的，其安全系统不可用度主要关注承担以下功能的系统：

（1）丧失冷却剂后维持反应堆冷却剂装量的系统；

（2）瞬态或事故后短期内排出余热的系统；

（3）失去厂外电源后提供应急交流电源的系统；

（4）为前沿系统提供重要冷却支持的系统。

核电厂安全系统通常用于缓解设计基准事故，概率安全分析[4]表明前沿缓解系统、支持系统和部件对于缓解事件后果贡献度不同，进而风险重要度也不同。对于风险重要度较高的系统，SPI将其主要设备纳入监测范围。

根据上述原则，我国的SPI体系（见图1）设立了监测如下五个系统的不可用度指标：

（1）应急交流电源系统不可用度（MS01）；

（2）高压安注系统不可用度（MS02）；

（3）辅助给水系统不可用度（MS03）；

（4）设备冷却水系统不可用度（MS04）；

（5）重要厂用水系统不可用度（MS05）。

1.2　指标计算方法

SPI评价体系中，安全系统不可用度指标的定义为：系统中独立系列不可用度的平均值。其中系列不可用度为滚动十二季度内，系列不可用时间与系列被要求能够执行预期安全功能的时间的比值。指标计算公式如式（1）

式中：——指标简称；

——由两位数字代表的系统编号；

——指标对应的报告期（季度）；

——系统的系列总数；

T——系统第季度第列的计划不可用时间，包括系列因为维修，试验，设备调整和因为电力原因或其他预先计划好的原因而造成系列不能投运的总时间；

T——系统第季度第列的非计划不可用时间，包括纠正性维修时间或从发现引起系列不可用的设备失效或人员差错到最终恢复可用所用的时间；

T——系统第季度第列的故障暴露时间，系列发生故障后未被发现的时间，即从系列发生故障到故障被发现这段时间。对于故障被发现时间已确定而故障发生时间无法确定的情况，以故障暴露时间的1/2代替，其取值为从上一次测试系列运行正常到发现故障的这段时间的1/2；

T——系统第季度第列的总需求时间，即安全系统某系列被要求执行其安全功能的总时间。

指标结果所代表的核安全水平分为四个等级，使用绿、白、黄、橙四种颜色来表示。绿色表示满足相应安全基础目标，性能达到预期水平；白色表示满足相应安全基础目标，性能偏离预期水平；黄色表示满足相应安全基础目标，安全裕度微小降级；橙色表示该指标所代表领域安全裕度出现较大降级。

图1　SPI体系指标框架

2　AP1000核电厂监测系统选择

AP1000核电厂在安全系统设计上与现有核电厂存在许多差异，更多地采用非能动安全相关系统以缓解设计基准事故，降低事故风险。在确定AP1000核电厂安全系统不可用度指标所监测的系统时，需要重新对照SPI体系最初的功能要求来寻找对应系统。同时，为了便于电厂间横向对比，并尽量选择与现有核电厂已纳入SPI体系监测的系统功能类似的系统进行监测。

2.1　监测系统初筛

依据2.1节的4项系统功能要求，初步筛选AP1000核电厂监测系统。

（1）在丧失冷却剂后维持反应堆冷却剂装量的系统与传统压水堆核电厂安注系统不同，AP1000的非能动堆芯冷却系统使用以下非能动注射源提供失水事故（LOCA）期间的补水，包括：

1）安注箱子系统（ACC）在有限的几分钟内提供非常高的注射流量；

2）堆芯补水箱子系统（CMT）在一段较长的持续时间内提供一个相对高的流量；

3）安全壳内换料水箱子系统（IRWST）提供更长期的较低流量。

此外，在利用自动卸压系统实现反应堆冷却剂系统（RCS）降压后，AP1000也可以利用正常余热排出系统（RNS）的注射模式提供LOCA期间的补水。

（2）在瞬态或事故后短期内排出余热的系统

传统压水堆核电厂使用辅助给水系统实现该安全相关功能，而AP1000使用非能动堆芯冷却系统的非能动余热排出热交换器（PRHR HX）将反应堆冷却剂系统的衰变热和显热排出至安全壳内换料水箱[5]。

此外，主给水系统（MFW）和启动给水系统（SFW）也为瞬态事件提供了非安全相关的余热排出途径。

（3）在失去厂外电源后提供应急交流电源的系统

由于AP1000的专设安全设施不依赖交流电源供电，所以并未设置安全级的应急交流电源系统。安全相关1E级直流和不间断电源系统（IDS）将为专设安全设施供电。

AP1000设置了包含两台非安全相关柴油发电机的厂内备用电源系统（ZOS），提供丧失厂外电事件时的厂内备用电源。

（4）为前沿系统提供重要冷却支持的系统

AP1000核电厂中安全壳内热量将通过非能动安全壳冷却系统（PCS）移出安全壳。

此外，虽然设备冷却水系统（CCS）和厂用水系统（SWS）不再为专设安全设施提供冷却，但仍然具备冷却正常余热排出系统热交换器带出安全壳内热量的能力。

2.2　风险重要度定义

PSA是一种全面的、结构化的分析方法，可识别出核电厂失效的情景，并对工作人员和公众所承受的风险作出数值估计。

由于核电厂中各个系统、部件、始发事件及人员失误事件等在PSA模型中的逻辑影响不同，相关发生概率（或频率）也不尽相同，因此它们对电厂风险的贡献也不同。重要度分析的目的是确定堆芯损伤频率、事故序列频率和系统不可用度等结果中各贡献因素的重要性。重要度分析对PSA的应用（如识别设计薄弱环节等）特别重要。

本文使用的RiskSpectrum软件直接提供的常用重要度指标[6]包括：FV（Fussell-Vesely）重要度、风险增加因子（Risk Increase Factor，RIF）、风险减少因子（Risk Decrease Factor，RDF）、相对贡献（Fractional Contribution，FC）等。以上四种重要度定义如下：

（1）基本事件FV，最小割集中包含基本事件的顶事件不可用度之和与顶事件不可用度的比。

（2）风险增加因子RIF，基本事件的不可用度设为1，从而使总的不可用度/堆芯损坏频率增加的倍数。

（3）风险减少因子RDF，基本事件的不可用度设为0，从而使总的不可用度/堆芯损坏频率降低的倍数。

（4）相对贡献FC：

2.3　风险重要度结果讨论

考虑到当前PSA模型的成熟性，本文仅将功率运行内部事件堆芯损伤频率作为风险的度量标准。为了更准确地计算电厂实时状态下的风险，使用某AP1000核电厂设计阶段的功率运行内部事件PSA模型修改后得到的风险监测模型进行定量计算。计算使用常用的RiskSpectrum软件，计算设置与安全分析报告保持一致。

注意到，3.2节重要度定义均着眼于基本事件，对于包含多个基本事件的系统来说，为了实现系统重要度计算还需要在软件中设置事件组（Event Group）。以ACC系统为例，事件组包括编码遵循ACA*和ACB*的基本事件，“*”表示省略并模糊匹配。计算后可获得系统重要度结果，并汇总于表2。为了更好理解系统重要度，还需要对结果进行深入研究，具体讨论如下：

（1）软件不提供多个基本事件组合的FV结果，此时FC可以表征含有系统相关基本事件的割集占总结果的份额。ACC、CMT、IRWST系统重要度较高，体现出了核电厂在事故缓解过程中对相关系统的依赖。

（2）对于系统的RIF，其排序与FC基本一致，但IDS系统差异较大。主要原因在于，IDS系统冗余度高，相关割集绝对风险值较低，因此FC所体现的份额较小，但是当系统相关所有基本事件失效概率都设置“1”后，冗余全部消失，RIF结果就会变得特别高。

（3）软件计算RIF时实际是对已得到的割集进行后处理，割集中所有相关基本事件失效概率设置为“1”，得到新的总结果后与之前结果做除法。

以ACC为例，基准结果CD序列中可理解为包含了三类情况：

1）ACC题头失败并叠加其他失效的情况；

2）ACC题头成功但叠加其他失效的情况；

3）与ACC无关的情况。

RIF计算时，会将ACC系统相关基本事件失效概率设为1.0。此时，情况1）的结果会发生变化；情况2）因为计算时选择了逻辑简单定量化而不含ACC相关基本事件，其结果不变；情况3）与计算无关，结果不变。

然而，这一做法偏于保守，如果将ACC相关故障树设为失效，重新计算CD结果，CD序列将不再含有上述的情况b）中ACC题头成功相关结果。即实际ACC失效情况下的风险增加影响要低于RIF结果。

（4）针对（3）RIF结果保守问题，本文引入了另一种表征方式，即风险增加值（Risk Achievement Worth，RAW）做比较。计算时首先策划算例，设置相关系统故障树逻辑门的状态为“True”（即代表失效）以体现系统不可用的影响，重新计算该情况下的电厂堆芯损伤频率（Core Damage Frequency，CDF），再与基准CDF做比值，手动计算得到系统的RAW并补充于表2中。此时，RAW可表达为如下形式：

以ACC系统为例，算例中对AC1A、AC2AB、ACBOTH、AC1B等故障树设为“True”。

（5）由表1可以看出，系统RIF结果较RAW偏高，但系统之间的相对排序基本不变。其中，IRWST的结果差异较大，主要是因为部分系统基本事件在不同故障树中共用，RIF在体现了注射功能失效外还叠加了再循环功能失效的影响，而RAW直接体现的是注射功能故障树失效影响。

表1　系统风险重要度及筛选结果

注：根据PSA分析假设条件，PCS的失效并不会造成24小时任务时间内发生堆芯损伤，无法通过一级PSA模型计算得到该系统的风险重要度。

2.4　监测对象确定

前文按照SSUI各项指标监测功能要求初步筛选了系统，并计算各系统风险重要度。但是，仍有必要进一步精简。本文还考虑了国家核安全局核电厂安全性能指标总体性筛选原则，包括：

（1）指标应该与核电厂的安全密切相关；

（2）数据必须能够向核安全监管部门提供；

（3）指标能够反映出一定的安全运行性能；

（4）数据应该是客观的、系统的、完整的；

（5）数据在各个核电厂之间有可比性；

（6）指标要求应该是营运单位能够达到的；

（7）指标具有趋势分析性。

以下将结合相关指标功能要求、系统重要度结果、筛选原则等因素，开展综合分析：

（1）应急交流电源系统不可用度（MS01）

该指标一般关注在失去厂外电源后提供应急交流电源的系统。与现有核电厂不同，AP1000核电厂利用非能动系统执行安全相关事故缓解功能，这意味着丧失厂外电时，AP1000核电厂不再依赖安全级的应急交流电源系统为大功率泵提供电力，只要保证安全级的直流电及相关蓄电池有效，即可支持非能动系统投入运行。在AP1000核电厂中，备用柴油发电机只承担纵深防御功能，其风险重要度也不高。因此，选择IDS作为监测对象。

（2）高压安注系统不可用度（MS02）

该指标关注在丧失冷却剂后维持反应堆冷却剂装量的系统。目前，SPI中主要监测高压安注系统，认为其可作为我国现有核电厂丧失冷却剂后维持反应堆冷却剂装量的系统代表。一方面对于这些核电厂，高压安注系统风险重要度较高，另一方面高压安注系统也是发生破口类事故后维持冷却剂装量优先投入的系统，具有代表性。AP1000核电厂备选系统包括CMT、ACC、IRWST，这几个系统都具有较高的风险重要度。CMT的作用与现有核电厂高压安注系统更为接近，且系统具有常规监测和试验措施，因此选作监测系统。

此外，从安注功能完整性考虑，还需将ADS系统1～3级阀门补充进监测范围。

（3）辅助给水系统不可用度（MS03）

该指标监测在瞬态或事故后短期内排出余热的系统。一般来讲，现有的压水堆核电厂中辅助给水系统是风险重要的安全相关系统，在缓解瞬态类事故时起到重要作用。AP1000核电厂中，虽然设置了类似功能的MFW和SFW，但一方面它们不再承担安全相关功能，而只承担纵深防御功能，另一方面，AP1000设置了承担安全相关功能的非能动余热排出系统（PRHR），在发生瞬态类事故时，打开相关阀门直接将一回路衰变热带出至IRWST，并且PRHR的风险重要度相比MFW和SFW更高。

此外，IRWST为PRHR热交换器提供热阱，需要作为PRHR功能实现的支持考虑到指标监测范围内。

（4）设备冷却水系统不可用度（MS04）和重要厂用水系统不可用度（MS05）

相关指标监测为前沿系统提供重要冷却支持的系统，现有核电厂中CCS和SWS执行安全相关功能，为专设安全设施设备提供冷却，而AP1000核电厂利用非能动系统执行安全相关事故缓解功能，而这些系统中没有泵等大型设备需要冷却，所以CCS和SWS只执行纵深防御功能，为RNS泵等设备提供冷却。故从计算结果看，这两个系统的风险重要度并不高。虽然根据PSA分析假设条件，PCS的失效并不会造成24 h任务时间内发生堆芯损伤，无法通过一级PSA模型计算得到该系统的风险重要度，但AP1000核电厂的衰变热最终通过PCS排出，PCS也是事故后维持核电厂处于长期安全稳定的重要系统，同时PCS在二级PSA分析中占有重要地位，这也符合SPI监测“为前沿系统提供重要冷却支持的系统”的目标。因此，暂时考虑选择PCS为监测对象。

2.5　小结

本节根据SPI的指标设置目标定位，结合PSA系统重要度分析结果和AP1000系统设计特点进一步分析，最终确定需要监测的系统对象。

需要注意的是，性能指标只是核电厂安全性能的一种表征方式，监测范围有限，因此还将与其他监督检查活动一起保证核安全。

3　IDS系统不可用度指标评价方案

根据第3节的分析，设计上的差异使AP1000核电厂安全系统不可用度指标所监测的系统与现有核电厂不同。与之相应，有必要开展AP1000核电厂安全系统不可用度指标评价阈值的研究。本节以IDS系统为例，制定系统不可用度指标评价方案。

3.1　评价准则

目前，SPI中安全系统不可用度指标的评价阈值主要参考NRC早期的指标阈值设定[1]，而NRC的阈值则主要依据实际指标值体现的核电厂风险水平相比基准风险水平的增量确定，本文应用的指标等级标准如下：

（1）绿色等级（DCDF≤1×10-6/堆年）

（2）白色等级（1×10-6/堆年＜DCDF≤1× 10-5/堆年）

（3）黄色等级（1×10-5/堆年＜DCDF≤1× 10-4/堆年）

（4）橙色等级（1×10-4/堆年＜DCDF）

利用该准则制定SPI评价阈值可以将风险作为监管的依据，考量系统不可用造成的实际风险变化，并进而判断其安全等级。

由于目前还缺少实际运行数据累积作为工程依据，因此本文考虑概念上利用以上风险准则，设置AP1000核电厂安全系统不可用度评价阈值。

3.2　IDS系统不可用度阈值计算

对于IDS系统（对应SPI中MS01指标），为代表该系统不可用的基本事件设置一系列发生概率均值，计算不同发生概率对应的CDF，并进一步得到系统不可用度与基准CDF增量的关系。之后，结合NRC的PI指标采用的颜色等级与DCDF的关系，确定系统不可用度范围与绿白黄橙四种颜色的对应关系。

计算结果如图2所示，当系统不可用度为2.31×10-2时，CDF增量为1.00×10-6/堆年，当系统不可用度为4.08×10-2时，CDF增量为1.00× 10-5/堆年，当系统不可用度为6.33×10-2时，CDF增量为1.00×10-4/堆年。

图2　IDS系统不可用度与DCDF关系

数据圆整后确定指标阈值如表2所示。

表2　MS01指标评价阈值

AP1000核电厂依靠非能动的专设安全设施缓解事故，虽然这些系统的投入不依赖交流电源，但需要IDS系统提供阀门等设备的控制电，同时IDS也为保护和安全监测系统（PMS）提供动力，而PMS用于提供专设安全设施的启动信号。所以IDS是维持AP1000处于低风险水平非常重要的系统，有必要在核电厂运行期间保证其可用。从阈值计算结果来看，AP1000核电厂IDS系统不可用度监管要求甚至高于一般压水堆核电厂。

4　总结

本文重点研究了AP1000堆型核电厂对于SPI评价体系中安全系统不可用度指标（属于缓解系统要素）的适用性问题。根据AP1000的设计特点，本文采用风险指引理念，利用PSA系统重要度分析结果，确定了安全系统不可用度指标对应的系统，并以IDS系统为例确定了指标评价阈值。相关研究为国家核安全局风险指引型监管以及核电厂安全性能指标监管应用提供支持。

［1］ NRC SECY-99-007. Recommendations for reactor oversight process［R］．Nuclear Regulatory Commission，1999.

［2］ 陈露，张彬彬，张琴芳．核电厂运行安全性能指标体系的建立及其应用［J］．核动力工程，2014，35（4）：78-81.

［3］ 林诚格，非能动安全先进核电厂AP1000［M］．北京：原子能出版社，2008.

［4］ 宫宇，王宝祥，詹文辉，等．风险指引型安全分级及应用研究［J］．核安全，2020，19（05）：41-48.

［5］ 王钦，毕金生，丁铭．AP1000核电站严重事故下熔融物与混凝土相互作用的研究［J］．核安全，2019，18（06）：37-43.

［6］ Lloyd’s Register Consulting-Energy AB，RiskSpectrum Analysis Tools Theory Manual［M］．Version 3.3.0：63-66.

Study on the Safety Performance Indicator for AP1000 Nuclear Power Plant

ZHANG Zeyu1，ZHANG Binbin2，ZHANG Xiaoting3，DING Shanshan1,*

（1. Beijing Nuclear and Radiation Safety Center, Ministry of Ecology and Environment, Beijing 100082, China; 2. Shanghai Nuclear Engineering Research and Design Institute Co., Ltd., Shanghai 200233, China; 3. Beijing Conference and Training Base, Ministry of Ecology and Environment, Beijing 100095, China）

The Safety Performance Indicator (SPI) for nuclear power plants has been established by National Nuclear Safety Administration of China (NNSA), which is used for evaluating plant safety conditions and implementing corresponding regulatory measures. The Safety System Unavailability Indicator (SSUI) is a part of SPI, which is utilized to evaluate the availability of important accident mitigating systems when demanded. Specific systems and SSUI evaluation criteria are not completely applicable for AP1000 due to its unique design features. In this paper, risk-informed decision making methodology is adopted. Firstly, the systems in AP1000 whose functions are determined in the SSUI are identified, and sorted by system importance that is quantified in the probabilistic safety analysis (PSA). Systems that shall be included in the SSUI are selected based on the result of sorting. Then the risk increase on the unavailability of the class 1E DC and uninterrupted power supply system (IDS) is quantified and correlation between the safety level and unavailability are determined based on the relation between the risk increase and the safety level.

Safety performance indicator; Safety system unavailability indicator; Probabilistic safety analysis

TL48

A

0258-0918（2021）06-1281-08

2021-1-7

张泽宇（1990—），黑龙江哈尔滨人，工程师，硕士，核能与核技术工程，现从事核安全经验反馈关键技术、核电厂安全性能指标相关研究

丁珊珊，E-mail：dingshanshan@chinansc.cn