基于风险指引理论的核电站运行风险监测与预警系统平台

戈道川，王金凯，张 冰，郭丁情，林 坚，王 明，雍 诺，夏冬琴，汪建业，郁 杰

（1.中国科学院合肥物质科学研究院核能安全技术研究所，安徽合肥 230031；2.中广核工程有限公司，广东深圳 518000）

0 引言

截至2021年12月底，我国在运反应堆个数为53个，净总发电量为50 034 MWe，占全国累计发电量的5%。在建核电机组16个，在建装机容量15 967 MWe，在建规模居世界第一，我国核电领域进入快速发展的新阶段［1］。安全是核电健康发展的前提，随着概率安全评价（Probabilistic Safety Assessment，PSA）技术的发展，核电站的安全性与经济性得到了极大提升。PSA 是20 世纪70 年代发展起来的一种系统工程分析方法，其采用基于故障树与事件树的系统可靠性评价技术和概率风险分析方法，对复杂系统各种可能事故的发生和发展过程进行全面分析，并对事故发生概率和后果进行综合分析［2］。核电站的安全管理方式正朝着确定论与概率论相结合的“风险指引”核安全监管法规体制过渡。基于风险指引理论的核电站安全管理利用概率论的系统性和全面性以消除确定论分析方法的假设性、保守性等缺点，最终达到科学决策的目的。风险指引技术是指将风险分析结果与管理规范的其它因素（如确定论分析、安全裕量、专家判断等）进行综合考虑，使电站根据核安全和辐射防护的重要程度来考虑设计与运行问题的方法及技术。风险指引技术涵盖内容非常广泛，目前主要涉及的有：风险指引型设计、风险指引型维修、风险指引型在役检查、风险指引型试验、风险指引型管理规范等。核电站风险监测器（Risk Monitor，RM）是PSA 应用于核电站运营安全管理最基础、直接、有效的方法，并在全世界得到了广泛应用［3-4］。风险监测器是一种实时风险分析工具，可便于电厂人员及时掌握机组风险信息，确定风险所在，明确风险来源，从而有的放矢地对机组进行风险管理，确保电厂风险处于可知、可控的状态，不仅对提高核电厂的安全性具有重要意义，而且对更有效地分配人力物力，以及减少核电厂不必要的负担、提高经济性也是非常有益的。当前，核电站风险监测器应用数量不断增长，其所起到的积极作用已得到大多数核电国家监管部门以及核电业主的认可。美国核管会已出台多个概率安全评价相关声明，并制定风险指引管理规定，几乎所有核电站都在用RM 进行风险评价。近年来国内核安全监管部门对核电站风险在线监测技术进行了大力推广。2018 年5 月，发改委、能源局、生态环境部、国防科工局联合发布《关于进一步加强核电运行安全管理的指导意见》，提出“加强关键设备运行安全状态监测，开展核电站动态风险评价，提高核电站运行安全保障能力”的相关要求［5］。当前，我国拥有完全自主知识产权的核电站运行风险监测与预警系统平台较少。在此背景下，本文提出一种核电站运行风险监测与预警方法，并开发了相应系统平台。

1 国内外研究现状

在国内，风险监测器已成为核电运行风险管理必不可少的工具，并获得了广泛应用，如秦山第二核电站的秦山二期1 号、2 号及扩建的3 号、4 号机组。其使用的RM 系统主要由风险模型、计算引擎和信息显示及处理三大部分构成。基准风险模型是利用瑞典Relcon Scandpower AB 公司研发的RiskSpectrum 软件建立的，用于在线风险监测的RM 软件同样采用该公司开发的Risk Watcher［6］。目前国内拥有完全自主知识产权的风险监测软件较少，大部分RM 直接采用国外的软件，或者基于国外的计算引擎进行二次开发。

在国外，英国是最早进行风险监测器研发的国家［7］。自1986 年起，风险监测器系统就在英国的Heysham2 和Torness 核电站投入运营。1999 年，两座核电站的PSA 模型升级为2 级，并采用ESOP2000 的Risk Monitor 程序对1级和2 级PSA 模型进行计算。英国Sizewell B 核电站当前采用瑞典Relcon Scandpower 公司开发的Risk Watcher 软件进行风险管理工作。风险监测器系统在美国应用最为广泛，尤其新版10CFR50.65 中所增加的条款明确要求各核电站必须对维修活动进行定性/定量的风险评价。为满足该要求，目前美国几乎所有核电站均使用了风险监测器系统，使用的软件包有Safety MonitorTM、EOOSTM、Risk and Reliability Workstation 等。匈牙利核电站普遍使用PSA 工具，但现有并没有使用RM，也没有监管方要求其开发和使用RM。匈牙利原子能机构（HAEA）的核能安全理事会在使用一款类似于PSA 的工具，称为Risk Supervisor，其已常规性地应用于事件评估中，目的在于确定事件调查技术及提供更多的确定事件风险特征详细解释。瑞士联邦核安全监管当局（HSK）鼓励各持证核电业主开发RM，但并不作强制性要求。很多电站都在使用LPSA（Living PSA）模型，但没有电站使用RM。然而，由于PSA 对于瑞士监管机构来说越来越重要，将来有可能使用RM。在日本，核安全委员会没有要求核电站开发和使用RM，也没有制定相关导则。其管理准则是在运行期间严禁维修活动，所有安全相关系统的预防维修活动都需要在停堆期间进行。目前法国核监管当局尚无对风险监测器使用的强制性规定，其目标是有一个足够完整而详细的技术规范，使电站配置不会进入高风险状态。

总体而言，风险监测器在核电主流国家得到了广泛应用。尽管少数国家目前没有强制性的使用要求，考虑到RM 对核电站运行安全管理日益重要，风险监测器的应用已成为未来核电运行风险管理的必然趋势。

2 系统平台设计开发

2.1 框架设计

在系统平台结构框架设计上，选择基于Java 的J2EE框架和平台。J2EE 能够提供分层的分布式应用模型、MVC 交互模式、组件重用、一致化的安全模型以及灵活的事务控制策略。同时提供一组基于组件的方法，用于设计、开发、装配及部署企业应用程序。这种成体系的框架式设计方法具有以下优点：①模块分工明确，便于团队合作研发；②层间接口明确、独立性强，便于修改完善；③系统后期功能可拓展性强。

此外，在分布式的Web 应用系统中选择B/S 结构。B/S结构相较于C/S 结构具有以下优点：①系统部署与维护容易；②大批量客户端的软件升级成本相对较低；③不同开发工具及运行平台之间兼容性好。B/S 结构将Web 应用分为3 层：客户层（Client Tier，CT）、中间层（Middle Tier，MT）和企业信息系统层（Enterprise Information System Tier，EIST）。其中，MT 又可细分为：表现层、业务层、数据持久层。

风险监测器B/S结构如图1所示。

Fig.1 B/S architecture of risk monitor图1 风险监测器B/S结构

2.2 功能模块设计

根据当前国际上风险监测器的主要功能以及我国核电业主的实际需要，设计风险监测器系统平台的主要功能模块，包括：核电站状态配置模块、接口模块、在线风险计算模块、维修计划风险计算模块、界面图形化展示模块以及权限管理模块。核电站状态配置模块的功能是用户设置电站的运行模式、环境改变因子、出/复役设备、运行/备用系统/部件切换状态等；接口模块的功能是实现风险监测器与企业数据库以及各功能模块之间数据的正确传输与接收；在线风险计算模块的功能是实现核电站实时风险计算，并结合风险管理限值给出电站运行安全预警状态；维修计划风险计算模块的功能是给出核电站维修计划的风险，并对各种风险进行横向对比；界面图形化展示模块的功能是将计算结果以图或表格的形式进行展示，便于用户理解和使用；权限管理模块的功能是对软件各模块的使用权限进行管理，支持对不同层级的用户进行权限分配。风险监测器主要功能模块如图2 所示，各模块之间的调用关系如图3所示。

Fig.2 Primary function modules of risk monitor图2 风险监测器主要功能模块

Fig.3 Call relation between primary function modules图3 主要功能模块之间调用关系

2.3 关键技术与算法

2.3.1 快速分析技术

核电站风险监测器要求风险模型具备快速分析能力，虽然当前业内对计算时间没有严格限制，但是一般要求在5min 以内［7-8］。因此，开发人员研发了大型故障树的快速分析技术，采用逻辑重构和模块化技术实现对故障树规模的简化，达到快速计算最小割集的目的。在此基础上，系统平台提供两种快速定量分析技术：割集法和重解法。

（1）割集法。该方法首先采用下行法预先求解故障树的最小割集，然后在此基础上计算每一个最小割集发生的概率，再对所有发生概率进行求和，实现对核电站风险的快速计算。但该方法的一个缺点是由于采用概率截断策略，并不能保证核电站所有配置状态下的最小割集都存在，导致计算结果存在一定偏差。例如，某些被截断的最小割集由于其蕴含的某个或某些设备因退出服役而导致该最小割集发生概率陡然增加，而这些新增加的概率风险往往不能忽略。

（2）重解法。该方法顾名思义就是重新计算核电站风险模型，其优点是能够保证计算精度的要求，缺点是计算耗时长。在实际工程应用中，为了实现实时性和计算精度要求，往往采用割集法与重解法相结合的方法。首先采用一个较大的截断概率计算核电站风险模型的最小割集，然后将计算结果与预先求解的割集进行比较。如果发现有新的割集产生，则将其添加到预先求解的割集中。

2.3.2 共因降阶技术

冗余系统的可靠性往往受共因失效（Common Cause Failure，CCF）事件的影响，CCF 是核电站风险模型中必须要考虑的因素。针对冗余部件的数量变化，即退出服役部件数量对剩余部件失效概率的影响，系统平台采用的冗余系统可靠性建模策略为：把冗余部件对应的基本事件、共因失效事件都更改成独立的动态事件。经过此处理后，这些动态事件在风险监测器模型数据库中将具有多个不同的可靠性值，可依据实际退出服役部件数量选择相应的值，这种处理方法称为共因降阶技术。

以一个含有4 个部件A、B、C、D 的冗余系统为例进行说明，导致部件A 失效的所有事件组合AT，即构成部件A总不可用度的事件组合可表示为：

式中，EA是故障树模型中的基本事件，代表部件A 的独立失效部分；EAB表示与A 相关的一个CCF 事件，代表部件A 与B 且仅限于此2 个部件的CCF，其它情况依此类推。部件A 所在故障树模型如图4所示。

Fig.4 Fault tree model of component A图4 部件A所在故障树模型

假设在核电站某个运行时刻，部件D 由于定期实验或预防性维修等原因需要退出服役，此时部件A 总不可用度涉及的事件以及事件失效概率将会有所变化。AT相应地变为：

因此，式中EA、EAB、EAC、EABC的不可用度需要采用实际在役部件即A、B、C 3 个部件组成的共因失效模型进行计算，而不能采用原来4 个部件组成的共因失效模型进行计算，才能保证部件A 的总不可用度是正确的，如图5所示。

Fig.5 Fault tree model of component A after D out of service图5 部件D退出服役后A所在故障树模型

除需要在故障树模型中把ED设置为TRUE 来表征部件D 的停役外，还需要把EAD、EBD、ECD、EABD、EACD、EBCD、EABCD都设置为FALSE，代表这些共因失效事件不会发生。

3 软件平台集成测试

系统平台集成测试案例的选取原则是能够覆盖软件平台的所有功能，并能体现平台的总体计算性能。因此，选择的案例需覆盖核电站主要的缓解系统（安注、超压保护、二次侧排热等）和支持系统（冷却系统和电气系统）。风险模型覆盖5 种运行模式：①功率运行工况到压力大于130bar（POS_A）、SG 连接的双相中间停堆工况（POS_B）；②蒸汽发生器（SG）连接的停堆工况（POS_C）；③余热排出（RHR）连接的停堆工况（POS_D）；④维修冷停堆；⑤反应堆冷却剂系统（RCP）中间水位的维修冷停堆（POS_G）。分析对象为核电站堆芯损伤频率（Core Damage Frequency，CDF）风险模型，一方面，核电站模型规模需要足够大（逻辑门约8 000 个，基本事件约2 000 个），能够体现计算引擎的求解性能；另一方面，通过组态配置可对所有功能点进行测试。选择11 组测试案例（见表1），并将计算结果与RiskSpectrum（RS）软件进行对比分析。

图6 给出了在截断概率为10-14、10-15时系统平台采用重解法的在线计算精度，其中相对误差εr=［（软件平台计算值-RS 计算值）/RS 计算值］×100%。从图中可以看出，计算结果与RS软件基本一致。

图7给出了系统平台在两种截断概率下的计算时间。从图中可以看出，当截断概率为10-15时，计算时间均在5min以内；当截断概率为10-14时，计算时间均在2min以内。此外，完成了对系统平台所有功能点的测试。测试结果表明，研发的核电站运行风险与预警监测系统平台实现了既定功能，计算精度与RiskSpectrum软件相当，计算效率满足设计要求。

Table 1 Explanations of test cases表1 测试案例说明

Fig.6 Computational accuracy图6 计算精度

Fig.7 Computing time图7 计算时间

4 结语

根据当前国际上主流风险监测器的主要功能以及我国核电业主的实际需要，提出一种基于风险指引理论的核电站运行风险监测与预警系统平台框架，并开发了相应的系统平台。经过Verification and Validation（V&V）测试，结果表明，研发的核电站运行风险监测与预警系统平台实现了既定功能，计算时间与RiskSpectrum 软件相当。该系统平台具有完全自主知识产权，可以替代国际同类软件，对于提高我国核电站运行风险管控水平具有重要的现实意义。