异常环境下要害系统确信安全评估方法

谢朝阳，刘平，何倩云，蒋华兵，李明海

（中国工程物理研究院总体工程研究所，四川 绵阳 621900）

要害系统（High Consequence System）来源于美国Sandia国家实验室对战略武器以及重大基础设施的安全性研究实践[1-2]，是指由于意外事故或人为破坏，可能导致重大灾难性后果的系统，如核电站反应堆、战略武器等。要害系统广义安全（Surety）涵盖正常环境的可靠性、异常环境的安全性以及故意或敌对环境下的安保控制[3-4]。其中异常环境（火烧、冲击、雷击等）下的安全性是产品的固有特性，表征系统在可容许的事故后果范围内，能够抵抗外界异常载荷刺激的能力。

安全性是要害系统的重要属性之一，从历史数据看，尽管各国都高度重视反应堆等要害系统的安全性，但是仍不能完全避免发生事故的风险。比如1986年的切尔诺贝利核电站发电组爆炸事故，2002年美国戴维斯-贝斯核电厂反应堆压力容器的顶盖降级事件，2011年日本福岛核电站放射性物质泄露事故等[5]。因此准确地认识评估系统安全性对于要害系统的工程活动管理与决策具有极其重要的意义。

由于设计制造和服役环境的不确定因素，要害系统的实际运行风险往往高于预期，传统的确定性方法在评估安全性时存在较大偏差。1992年和1994年，国际原子能机构和美国核管理委员会分别发布指导方针，要求全面实施核电站的概率安全评估（PSA）[6]。概率安全评估理论立足于风险视角，关注事故的可能性和严重性，难以定量反映要害系统安全设计特征对异常刺激的抵御能力。在安全性设计方面，美国Sandia实验室针对要害系统提出了隔离-失能安全设计措施[7]，其核心在系统中设置专门的隔离部件和失能部件。其中，失能部件是系统正常功能链路的关键环节，其失效阈值低于隔离部件。在异常环境下，失能部件可以在隔离部件失效前可靠地失效，使要害系统丧失爆发灾难性事故的能力。如果隔离部件先于失能部件失效，其失效概率被称为确信安全失效率（Probability of Loss of Assured Safety，PLOAS），定量表征系统安全性的丧失情况。如果要害系统在异常环境下确信安全失效率ηPLOAS<10–6，则称为确信安全[8]。

现有相关文献主要针对隔离-失能设计系统PLOAS评估开展了方法、模型以及不确定性研究[9-10]，对于更一般的要害系统，缺乏比较通用的确信安全评估方法和技术流程。为此，文中基于系统确信安全的基本概念，结合传统可靠性的统计理论，探讨提出异常环境下要害系统确信安全评估方法，可为反应堆等涉核要害系统安全性评估提供参考。

1 确信安全评估基础理论与方法

1.1 概念与定义

1）确信安全：针对涉核等高危险要害系统中安全性关键部件，在规定的异常环境下丧失安全功能或造成不可接受事故的概率小于10–6，则称系统确信安全。其主要意义在于能够明确地表征系统对异常环境的容忍能力，对安全功能关键部件的设计以及要害系统使用管理限制决策具有实际工程价值。

2）确信安全评估：基于系统安全功能与外界环境之间的响应机制，计算PLOAS的大小，并判断其是否满足确信安全要求。

3）安全特征参数：表征安全性关键部件响应行为特征及程度的参数，通过该参数可以判断系统是否处于安全状态。比如撞击场景下结构的应力、爆炸品内部温升、火烧条件下的功能部件温度等。

4）安全失效阈值：基于安全特征参数，当该参数值超过某一边界值，则表示系统处于事故状态，该边界值定义为失效阈值。

1.2 确信安全评估理论基础

1.2.1 单特征参数系统

对于要害系统中的一般安全性设计部件，比如反应堆中的管道或压力容器，其确信安全的状态就是结构不发生破坏失效。因此，可用结构强度裕量表征系统的安全性，异常环境下要害系统承受的应力可作为反映其安全性状态的特征参数。设T为安全功能部件的安全状态特征参数，其失效阈值为T0，异常环境刺激下安全特征参数的实际值记为T1。当T1>T0时，认为安全功能失效系统处于事故状态，如图1所示。考虑到各种不确定性的存在，PLOAS的计算表达式为：

图1 单特征参数系统确信安全系统Fig.1 PLOAS of single feature parameter

1.2.2 隔离-失能竞争系统

要害系统中，隔离失能系统的功能关系如图2所示。正常情况下，失能开关闭合、隔离开关断开，整个系统处于断路状态，系统安全。异常环境下，如果失能开关未按预期可靠失效（未断开），隔离开关失效闭合，则系统处于不安全状态；如果失能开关按预期可靠失效，隔离开关断开或闭合，系统均处于安全状态。考虑到材料、制造等各种不确定性，用Tw和Ts分别表示失能和隔离开关失效阈值的随机变量。假设两者相互独立，其概率密度分布函数分别为fw(t)和fs(t)，两者均服从正态分布，PLOAS则为图3中阴影部分的面积，可通过式(2)表达。

图2 隔离（强链）/失能（弱链）系统功能示意[11]Fig.2 Function diagram of isolation-inoperability system[11]

图3 PLOAS与失效阈值概率密度分布Fig.3 PLOAS and distribution of failure threshold

1.2.3 多特征参数系统

对于要害系统中的安全部件，有多个特征参数反映其安全状态时，假设每个特征参数相互独立，如果某一个参数值到达失效阈值时，系统安全状态将发生改变，则系统的PLOAS定义为：

式中：P1,P2,…,Pn分别表示每个安全特征参数基于相应的失效阈值计算得到的PLOAS结果，系统的PLOAS则取其中的最大值。

2 评估流程与框架

基于PLOAS的相关概念和理论基础，在实际的确信安全评估中，面临安全特征参数分布难以获取的困难。为此，需要开展以安全特征参数为中心的试验测试和数值模拟仿真工作，量化安全特征参数的不确定性。基于上述考虑，文中提出了确信安全评估总体技术框架，如图4所示。

图4 确信安全评估流程与技术框架Fig.4 Process and technical framework of assessment of PLOAS

评估过程如下：

1）首先根据评估对象——要害系统特点和事故场景条件，明确异常环境下系统发生不可接受事故后果的主要演化机制。

2）根据事故演化机制，识别并确定表征系统安全性行为的特征参数，形成安全性特征参数集。

3）基于确定的安全性特征参数集，开展系统或分解试验，测试安全性特征参数集中的相关参数。

4）通过试验测试获得的特征参数试验数据，校验数值模拟模型，通过校验后的数值模拟模型，计算获得安全性特征参数集中的不可直接测试量。

5）基于试验和数值模拟获得的数据样本，视情建立安全性响应特征参数集与试验条件以及产品状态因素之间的代理模型[12-13]。常见的包括响应面法[14]、Kriging法[15]、多项式插值方法等[16-17]。

6）利用试验、数值模拟获得的结果，结合代理模型，进行不确定性传播分析，给出安全性特征参数集中各参数的概率密度分布。

7）基于各参数概率密度分布，根据确信安全失效概率的定义计算系统PLOAS。

8）根据PLOAS定量计算结果，评估要害系统在给出的异常环境条件下是否满足确信安全的结论。

3 工程算例

高压容器常用于贮存有毒有害危险性气体，除了在正常工况下要保证其结构可靠外，在运输过程中如果遭遇运输工具发生火烧等意外事故，容器内的气体由于高温的作用将使得压力变大，造成结构破裂，有发生有毒有害气体泄漏的风险[18]。为了控制和减小放射性气体因为运输工具产生的异常环境而导致的有毒有害气体泄漏事故，高压容器在运输过程中可采用抗事故包装箱对运输工具产生的火烧和冲击环境刺激进行衰减控制。通常运输事故将产生冲击和高温这两类异常环境刺激。由于运输汽车自身的吸能缓冲以及包装固定等防护措施，冲击环境对高压容器结构破坏影响不大。如果运输工具意外燃烧，据统计，汽车燃油火烧的温度一般为800~1000 ℃[19-20]，若不采取隔热防护措施，高压容器内气体压力将增大到3~4倍，且不锈钢在高温环境下的极限强度将下降，高压容器必然发生破坏，因此需采用抗事故包装箱进行隔热设计。

针对高压容器在运输过程中的火烧事故场景，根据机械结构失效机制，以高压容器结构应力作为安全性特征参数，考虑的不确定性源参数见表1。根据高压容器的几何结构开展有限元建模仿真，单次有限元计算结果如图5所示。考虑到随机不确定性，以有限元计算结果作为训练样本，建立高压容器在异常高温条件下最大应力响应的Kriging代理模型。根据代理模型，采用蒙特卡洛抽样可获得最大应力响应的不确定性分布。高压容器应力与强度的概率密度分布如图6所示。考虑到高压容器长期腐蚀以及高温导致的强度损减，以强度作为失效阈值。根据图6所示的分布情况，可计算得到PLOAS为3.47×10–7，满足确信安全要求。

表1 高压容器参数及不确定性源分析Tab.1 The source of uncertainties for pressure vessel

图5 高压容器最大应力有限元计算Fig.5 The maximum stress of pressure vessel

图6 结构应力与失效强度阈值的概率密度分布Fig.6 Distribution of structural stress and failure strength threshold

4 结论

1）针对异常环境下要害系统的安全性评估问题，基于系统安全性物理特性和统计理论，提出了确信安全评估方法和技术框架，并给出了具体的实施方案和评估实例，该方法可应用于要害系统确信安全量化评估。

2）针对单安全特征参数、隔离失能竞争系统、多安全特征参数3种情况，定义了PLOAS的内涵和计算理论基础。

3）文中的评估方法，以安全特征参数为中心，具有一定的通用性，对试验与数值模拟仿真具有较高精度要求。