PSA的重要度在风险指引型管理中的应用

陈 妍，付陟玮，靖剑平，张春明，刘洪泉

（1.环境保护部核与辐射安全中心，北京 100082；2.北方电子设备研究所，北京 100083）

核电厂概率安全评价（Probabilistic Safety Assessment，PSA）能够系统的分析核电厂的风险，并识别对电厂风险有重要贡献的因素，即确认对电厂风险有重要贡献的始发事件、部件失效、人员失误、事件序列及系统等。因此，一方面，PSA可以优化核电厂的设计，通过冗余、多样性等设计，使电厂的风险满足安全目标；另一方面，PSA可用于运行电厂的风险管理，通过改进电厂的在役试验、设备分级、维修等活动[1－3］，控制运行电厂的风险。

在这些活动中，可以利用PSA中重要度的概念（也称为安全／风险重要度，其描述对电厂安全的影响程度），定量的对核电厂的构筑物、系统和部件（SSC）按照重要度进行排序并分类，然后对SSC采取与其重要度相适应的管理措施。这样可以帮助设计、运行、维修、监管人员把资源集中于重要物项，使电厂在满足安全目标的同时将有限的资源得到优化配置。在PSA中，可以定义不同表达式的重要度[4］，这些不同的重要度参数从不同的角度审视了基本事件（或系统）在不同状态（配置）下对核电厂风险的影响。基本事件包括始发事件、部件失效、人员失误和共因失效等。本文将重点探讨PSA中基本事件的重要度含义及其在风险指引型管理中的应用。

本文首先依据基本事件各种重要度的定义，研究各种重要度之间的关系，然后重点讨论FV（Fussell－Vesely importance，FV）重要度和风险增加当量（Risk Achievement Worth，RAW）两个重要度的含义，并介绍其在在役试验和设备分级活动中的应用，最后讨论目前PSA重要度分析的局限性。

1 几种重要度的定义

PSA分析电厂风险一般是通过计算割集概率的方法得到。在PSA分析基本事件的重要度时，电厂的风险可描述为：

其中：R（X）是电厂的风险，一般用堆芯损坏频率（CDF）或早期大量放射性释放频率（LERF）度量；X＝（x1，…，xi，…xn）表述所有基本事件的集合，C表示所有最小割集，Ci表示包含基本事件xi的所有最小割集，（C－Ci）表示不包含基本事件xi的所有最小割集，K（Ci）表示由Ci造成的风险，L（C－Ci）表示不包含Ci造成的风险；从（1）式中，可以定义不同的重要度，从而反映基本事件在特定的状态下对电厂风险的影响。表1中列出常用的几种重要度[4］。

表1 几种重要度的定义Table1 Risk importance measures

续表

其中：pi为xi基本事件的概率（对频率型事件指频率），定义pi＝1为基本事件失效，pi＝0为基本事件的完全可靠（不可用度为0）；R0是电厂的基准风险（参考风险），Ri＋是基本事件xi的概率为1下的电厂风险，Ri－是基本事件xi的概率为0时的电厂风险。从表1中可以看出RR、RA和BI是风险的差值，一般称为绝对风险变化值；FV、RRW和RAW是风险比值，一般称为相对风险当量；BI与基本事件的概率无关；并可以得到以下关系：

从上式可以看出FV等效RRW；RAW等效RA；BI是PD的特殊形式。因此，重要度参数可以用FV、RAW和PD表示。

为了深入理解FV、RAW重要度的含义，以CDF中基本事件重要度定义为例进行分析[1］。假设在某一时刻，只有一个基本事件的概率发生变化。同时，尽管此基本事件可能处在多个事件序列中，但在每个序列、每个最小割集中，基本事件xi只出现一次，因此（1）式可以简化表示成：

其中，p为基本事件xi的概率，a×p是所有包含基本事件xi的风险，b代表不含xi的其他事件造成的风险。a反映了始发事件频率和xi相关的其他SSC的基本事件的不可用度。若a值大，表明需要xi的始发事件频率高，或者在相同事件序列中的其他SSC的基本事件不可用度大。同时，a值可以衡量当p变化时，与xi相联系的SSC的功能冗余或纵深防御程度。a值大，表明冗余度低，即当xi失效（p＝1）时，剩余的SSC纵深防御不够，使系统的风险有较大增加。反之，a值小，表明与xi相联系的SSC冗余度高，即使xi失效，也能够提供足够的纵深防御，使系统风险增加较小。在（5）式的假设下各重要度表达式如下：

因此，常用FV和RAW这两种重要度评价基本事件的重要性。其中（8）式和（9）式的相等关系是在（5）式的假设下成立的，对于同时发生多个基本事件中需要另行计算。

此外，系统重要度计算与基本事件重要度计算方法相似，例如可以通过将系统的失效概率设为1，即将模型中相关系统故障树的顶事件设置为“失效”，对CDF重新计算求得系统的重要度。

2 FV和RAW的含义

从（6）式中可以看出，FV衡量当前包含xi基本事件的所有割集的风险占基准风险的比例。当ap≤b时，，FV正比于p，即基本事件的不可用度直接影响堆芯损坏频率。因此，有文献把FV称为风险重要性参数（Risk significance）[5］。EPRI[6］提出 FV＞0.5%的部件以及FV＞5%的系统是风险重要的。

从（7）式中可以看出，RAW衡量当基本事件xi因为失效、试验或维修等不可用时（p＝1），其需要返回到工作状态的迅速程度的要求。RAW重要度大，则要求试验、维修或失效的时间短，希望尽快使之恢复到工作状态。当ap≤b时，，与p无关，即RAW正比于a，反映了当xi失效后剩余系统的纵深防御能力。因此，有文献把RAW称为安全重要性参数（Safety significance）。若 RAW＞2[6］，即若基本事件失效将使系统风险增加一倍以上，则判断此基本事件代表的SSC是安全重要的。

在美国10CFR 50.69SSC[7］的风险指引分类中提出 “安全重要功能”（Safety significant function），其定义为当SSC的功能退化或失去时，对纵深防御、安全裕度或风险造成显著影响的SSC，统称为有安全重要功能的SSC。在此定义下，安全重要功能涵盖了风险重要和安全重要，即FV＞0.5%或RAW＞2的SSC都具有“安全重要功能”。

FV取分界值0.5%主要因为在PSA分析技术中，割集的截断限值（truncation limit）通常低于CDF三到四个量级，即（10－3～10－4）CDF。若FV大于0.5%，表明SSC对CDF有贡献（不应该被截断），认为其是风险重要的。RAW取分界值2也与截断限值有关，同时若CDF约10－5／（堆·年），当 CDF增加大于一倍，即RAW＞2，意味着 ΔCDF＞10－5／（堆·年），不符合ΔCDF＜10－5／（堆·年）的可接受准则。另外，基本事件的FV和RAW的计算结果会因计算时截断的取值不同而不同[8］。由此可以看到，若PSA割集截断限值改变或ΔCDF的要求改变，重要度的分界值会相应调整；同时合理的截断值将保障SSC重要度计算数值的一致性。

以下对单个基本事件发生情景下的FV和RAW的取值做定量分析讨论。

a＞b时的RAW和p，k的关系如图1所示，点线表示RAW＝2，点线下方表示RAW＞2，点线的上方表示RAW＜2；

图1 RAW和FV与k、p的关系Fig．1 RAW（k，p）and FV（k，p）

因此，仅当0＜k＜1即a＞b时，存在FV＜0．5%，RAW＞2的SSC。同时，RAW 随着k的减小和p的减小而增大，如图2所示。即若a越大于b，p越小，RAW越大。

图2 不同RAW和FV与k、p的关系Fig．2 p－k Curves of Different RAW ＆ FV

依据FV＞0．5%或RAW＞2的安全重要对SSC分类时，若a≤b时，RAW≤2，可以只按FV对SSC进行分类或排序；当a＞b时，综合FV和RAW共同排序。多个基本事件同时发生情景下的FV和RAW定量分析相对复杂但方法类似。

在实际应用中，也常用ΔCDF／CDF计算基本事件的影响。对单个基本事件：

若某一时刻同时发生多个基本事件，多用ΔCDF／CDF评价其综合造成的风险增量：

综上，常用FV、RAW和ΔCDF作为风险指引型管理中SSC的重要度参数。

3 重要度的应用

3．1 在役试验

在役试验的目的是检查SSC的潜在失效，以保证其SSC在需要投入使用时的可靠性和安全性。传统的在役试验（频率和方法）是根据确定论对电厂安全采取的直观评价或经验评价确定的。而在风险指引型管理中，使用PSA的重要度对SSC进行分类：对高风险重要的SSC维持或增加试验频率，对低风险重要的SSC可以适当延长试验间隔；这样可以优化试验频率，把有效的资源集中到较高风险的SSC上，提高在役试验的有效性。

基于风险指引型的在役试验方法，通常利用基本事件的FV和RAW值对核电厂的部件进行分类，如图3所示。

图3 在役试验中部件分类Fig．3 Quadrant plot for component importance

值得注意的是，对B区 （FV＜0．005，RAW＞2）中的部件，尽管其目前风险小，但若失效，短期内CDF有明显增加，即在役与否，对风险有重要影响。因此，在Comanche Peak Steam[1］核电厂的IST项目中，最初将B区部件设为中等安全重要，但之后考虑B区的特殊性，把B区设定为安全重要。由于PSA的计算结果有不确定性，因此在FV＝0.5% 或RAW＝2附近的SSC需要结合工程经验谨慎地考虑其分类。鉴于FV近似正比于基本事件的不可用度，RAW与基本事件的不可用度呈弱相关性，因此主要应用FV确定在役试验的频率。在役试验中SSC分类和采取的措施如表2所示。

表2 在役试验中部件分类和采取的措施Table2 Information in importance measures[4］

此外，在重要度分析的过程中，PSA需要完备的模型和可靠的数据，以及需要考虑多个SSC在延长在役试验时间间隔后对电厂风险造成的累积的影响；同时需要结合确定论和专家组意见，共同确定SSC的分类和延长试验间隔的可行性。Comanche Peak Steam核电厂对619个部件进行研究，151个部件是高FV的部件，468个部件为低FV部件。TU Electric分析若这468个部件的试验间隔从季度变为2年，则ΔCDF／CDF＝13%，在基准CDF为5.72×10－5／（堆·年）的情况下，此风险增量是可以接受的[1］。在San Onofre核电厂中，IST计划包括1 136个部件，180个是高FV部件，665个是低FV、低RAW部件，55个是低FV与高RAW部件。经过综合评价最后提出按季度试验部件由原来的974个降至282个，冷停堆状态下的试验部件由625个降至83个，换料试验部件由772个降至214个。

3.2 设备分级

传统的SSC分级是以确定论纵深防御原则为基础，根据其是否执行“反应性控制、余热导出、放射性包容”三大安全功能，把SSC分成安全相关SSC和非安全相关SSC，属于安全相关的SSC需要执行“特殊的处理要求”[9］。在风险指引型管理中，设备分级的目的是调整“特殊的处理要求”SSC的范围，使资源集中到安全重要的SSC上，因为非安全级的SSC也有可能是安全重要的。在South Texas项目中，用基本事件的FV和RAW重要度把SSC分成三大类：高（HSS）、中（MSS）和低（LSS）。其中，MSS 分 为 MSS－1 和 MSS－2，MSS－2 是RAW＞10的低FV的SSC，需要对其深入评价。分类如图4（排序和分类时考虑了CDF和LERF）所示。

图4 质保分级中部件分类Fig.4 Component safety－significance categorization

同时，South Texas依据SSC分类确定了与之匹配的三个质量保证（QA）程序[1］，分别是全面（Full），基础（Basic）和关注（Targeted）三种QA。其中，全面级是确保安全相关且安全重要度高的SSC的设计性能保持不变的质保程序；基础级是应用于安全相关但是安全重要度较低的SSC的质保程序；关注级应用于非安全相关的SSC。需要指出，采用关注程序的部件，这些部件将有可能采用全面或基础质保程序。对安全相关和非安全相关的部件依照重要度分类后相应的QA控制程序，如表3所示。

表3 部件安全重要度分类及其相应的QA控制程序Table3 Safety significance categories and related QA control program

续表

South Texas对26个系统的38 043个部件进行分析研究，结果如表4所示。经过分类，91%的部件不需要全面级的质量保证，约2%的非安全相关的部件需要加强质量保证。需要注意的是，PSA的分析结果需要和工程判断等结论一起综合确定与SSC相配的质量保证活动。

表4 South Texas的部件的分类Table4 Numbers of components by safetysignificance categories of south texas

4 重要度的应用

综上，PSA的重要度分析已经成为核电厂的风险指引型管理的主要方法之一。FV和RAW重要度在风险指引型的管理中能够对核电厂的SSC分类有定量指导作用。应用FV和RAW对SSC排序和分类，并对不同重要度的SSC采取与之相配的在役试验、设备分级等措施活动，可以帮助电厂和监管人员集中资源于重要物项，使电厂满足安全目标的同时将有限的资源优化配置。此外重要度分析还可用于改进电厂设计、优化电厂状态配置、维修和风险指引型监管等活动中。

随着PSA技术的发展和核电厂应用PSA的实践需求，有必要更深入的研究重要度的适用范围，考虑在重要度分析中SSC的重要度计算结果的不确定度以及计算时割集截断取值的适当性，同时注意重要度的分界值可能随着截断限值要求或ΔCDF安全要求的变化而改变。此外，最近有文献深入研究多个基本事件同时发生时的重要度计算以及共因失效事件的重要度计算方法；也有文献研究定义新的重要度DIM[10，11］，其主要特点是多个基本事件的重要度具有可加性，但其判断准则还尚未给出。因此，目前PSA重要度分析还具有一定的局限性，需要进一步深入研究，使重要度分析在核电厂风险指引导型管理中的应用更加可信有效。

[1]Wall Ian B， Haugh J J， Worlege H. Recent Applications of PSA for Managing Nuclear Power Plant Safety[J］.Progress in Nuclear Engergy，2001，39（3／4）：367－425.

[2]NUMARC 93－01Revision 4Industry Guideline for Monitoring the Effectiveness of Maintenance at Nuclear Power Plants[S］.2010.

[3]钱永柏，童节娟，张作义.基于风险指引安全分级的维修规则实施方案[J］.核动力工程，2007，28（5）：75－78.

[4]Van der Borst M，Schoonakker H.An Overview of PSA Importantance measure[J］.Reliability Engineering and System Safety，2001，72：241－245.

[5]Cheok M C，Parry G W，Sherry R R. Use of Importantance Measure in Risk－informed Regulatory Applicantions[J］.Reliability Engineering and System Safety，1998，60：213－226.

[6]True D，et al.PSA Application Guide[R］.EPRI Report TR－105396，1995.

[7]USNRC 10CFR 50.69.Risk－Informed Categorization and Treatment of Structures，Systems and Components for Nuclear Power Reactors[S］.2004.

[8]王海涛，吴宜灿，刘萍，等.概率截断对PSA中RAW重要度的影响研究[J］.核科学与工程，2006，26（4）：363－367.

[9]钱永柏，赵军，童节娟，等.核电厂风险指引设备分级的试点研究[J］.核科学与工程，2009，29（1）：81－65.

[10]Borgonovo E，Apostolakis G E.A New Importance Measure for Risk－informed Decision Making [J］.Reliability Engineering and System Safety.2001，72：193－212.

[11]王海涛，吴宜灿，李亚洲，等.核电厂实时风险管理部件重要度计算方法研究[J］.核科学与工程，2009，29，（1）：81－85.