戈道川，王金凱，張 冰，郭丁情，林 堅，王 明，雍 諾，夏冬琴，汪建業(yè)，郁 杰

（1.中國科學院合肥物質(zhì)科學研究院核能安全技術(shù)研究所，安徽合肥 230031；2.中廣核工程有限公司，廣東深圳 518000）

0 引言

截至2021年12月底，我國在運反應堆個數(shù)為53個，凈總發(fā)電量為50 034 MWe，占全國累計發(fā)電量的5%。在建核電機組16個，在建裝機容量15 967 MWe，在建規(guī)模居世界第一，我國核電領域進入快速發(fā)展的新階段［1］。安全是核電健康發(fā)展的前提，隨著概率安全評價（Probabilistic Safety Assessment，PSA）技術(shù)的發(fā)展，核電站的安全性與經(jīng)濟性得到了極大提升。PSA 是20 世紀70 年代發(fā)展起來的一種系統(tǒng)工程分析方法，其采用基于故障樹與事件樹的系統(tǒng)可靠性評價技術(shù)和概率風險分析方法，對復雜系統(tǒng)各種可能事故的發(fā)生和發(fā)展過程進行全面分析，并對事故發(fā)生概率和后果進行綜合分析［2］。核電站的安全管理方式正朝著確定論與概率論相結(jié)合的“風險指引”核安全監(jiān)管法規(guī)體制過渡?；陲L險指引理論的核電站安全管理利用概率論的系統(tǒng)性和全面性以消除確定論分析方法的假設性、保守性等缺點，最終達到科學決策的目的。風險指引技術(shù)是指將風險分析結(jié)果與管理規(guī)范的其它因素（如確定論分析、安全裕量、專家判斷等）進行綜合考慮，使電站根據(jù)核安全和輻射防護的重要程度來考慮設計與運行問題的方法及技術(shù)。風險指引技術(shù)涵蓋內(nèi)容非常廣泛，目前主要涉及的有：風險指引型設計、風險指引型維修、風險指引型在役檢查、風險指引型試驗、風險指引型管理規(guī)范等。核電站風險監(jiān)測器（Risk Monitor，RM）是PSA 應用于核電站運營安全管理最基礎、直接、有效的方法，并在全世界得到了廣泛應用［3-4］。風險監(jiān)測器是一種實時風險分析工具，可便于電廠人員及時掌握機組風險信息，確定風險所在，明確風險來源，從而有的放矢地對機組進行風險管理，確保電廠風險處于可知、可控的狀態(tài)，不僅對提高核電廠的安全性具有重要意義，而且對更有效地分配人力物力，以及減少核電廠不必要的負擔、提高經(jīng)濟性也是非常有益的。當前，核電站風險監(jiān)測器應用數(shù)量不斷增長，其所起到的積極作用已得到大多數(shù)核電國家監(jiān)管部門以及核電業(yè)主的認可。美國核管會已出臺多個概率安全評價相關(guān)聲明，并制定風險指引管理規(guī)定，幾乎所有核電站都在用RM 進行風險評價。近年來國內(nèi)核安全監(jiān)管部門對核電站風險在線監(jiān)測技術(shù)進行了大力推廣。2018 年5 月，發(fā)改委、能源局、生態(tài)環(huán)境部、國防科工局聯(lián)合發(fā)布《關(guān)于進一步加強核電運行安全管理的指導意見》，提出“加強關(guān)鍵設備運行安全狀態(tài)監(jiān)測，開展核電站動態(tài)風險評價，提高核電站運行安全保障能力”的相關(guān)要求［5］。當前，我國擁有完全自主知識產(chǎn)權(quán)的核電站運行風險監(jiān)測與預警系統(tǒng)平臺較少。在此背景下，本文提出一種核電站運行風險監(jiān)測與預警方法，并開發(fā)了相應系統(tǒng)平臺。

1 國內(nèi)外研究現(xiàn)狀

在國內(nèi)，風險監(jiān)測器已成為核電運行風險管理必不可少的工具，并獲得了廣泛應用，如秦山第二核電站的秦山二期1 號、2 號及擴建的3 號、4 號機組。其使用的RM 系統(tǒng)主要由風險模型、計算引擎和信息顯示及處理三大部分構(gòu)成?；鶞曙L險模型是利用瑞典Relcon Scandpower AB 公司研發(fā)的RiskSpectrum 軟件建立的，用于在線風險監(jiān)測的RM 軟件同樣采用該公司開發(fā)的Risk Watcher［6］。目前國內(nèi)擁有完全自主知識產(chǎn)權(quán)的風險監(jiān)測軟件較少，大部分RM 直接采用國外的軟件，或者基于國外的計算引擎進行二次開發(fā)。

在國外，英國是最早進行風險監(jiān)測器研發(fā)的國家［7］。自1986 年起，風險監(jiān)測器系統(tǒng)就在英國的Heysham2 和Torness 核電站投入運營。1999 年，兩座核電站的PSA 模型升級為2 級，并采用ESOP2000 的Risk Monitor 程序?qū)?級和2 級PSA 模型進行計算。英國Sizewell B 核電站當前采用瑞典Relcon Scandpower 公司開發(fā)的Risk Watcher 軟件進行風險管理工作。風險監(jiān)測器系統(tǒng)在美國應用最為廣泛，尤其新版10CFR50.65 中所增加的條款明確要求各核電站必須對維修活動進行定性/定量的風險評價。為滿足該要求，目前美國幾乎所有核電站均使用了風險監(jiān)測器系統(tǒng)，使用的軟件包有Safety MonitorTM、EOOSTM、Risk and Reliability Workstation 等。匈牙利核電站普遍使用PSA 工具，但現(xiàn)有并沒有使用RM，也沒有監(jiān)管方要求其開發(fā)和使用RM。匈牙利原子能機構(gòu)（HAEA）的核能安全理事會在使用一款類似于PSA 的工具，稱為Risk Supervisor，其已常規(guī)性地應用于事件評估中，目的在于確定事件調(diào)查技術(shù)及提供更多的確定事件風險特征詳細解釋。瑞士聯(lián)邦核安全監(jiān)管當局（HSK）鼓勵各持證核電業(yè)主開發(fā)RM，但并不作強制性要求。很多電站都在使用LPSA（Living PSA）模型，但沒有電站使用RM。然而，由于PSA 對于瑞士監(jiān)管機構(gòu)來說越來越重要，將來有可能使用RM。在日本，核安全委員會沒有要求核電站開發(fā)和使用RM，也沒有制定相關(guān)導則。其管理準則是在運行期間嚴禁維修活動，所有安全相關(guān)系統(tǒng)的預防維修活動都需要在停堆期間進行。目前法國核監(jiān)管當局尚無對風險監(jiān)測器使用的強制性規(guī)定，其目標是有一個足夠完整而詳細的技術(shù)規(guī)范，使電站配置不會進入高風險狀態(tài)。

總體而言，風險監(jiān)測器在核電主流國家得到了廣泛應用。盡管少數(shù)國家目前沒有強制性的使用要求，考慮到RM 對核電站運行安全管理日益重要，風險監(jiān)測器的應用已成為未來核電運行風險管理的必然趨勢。

2 系統(tǒng)平臺設計開發(fā)

2.1 框架設計

在系統(tǒng)平臺結(jié)構(gòu)框架設計上，選擇基于Java 的J2EE框架和平臺。J2EE 能夠提供分層的分布式應用模型、MVC 交互模式、組件重用、一致化的安全模型以及靈活的事務控制策略。同時提供一組基于組件的方法，用于設計、開發(fā)、裝配及部署企業(yè)應用程序。這種成體系的框架式設計方法具有以下優(yōu)點：①模塊分工明確，便于團隊合作研發(fā)；②層間接口明確、獨立性強，便于修改完善；③系統(tǒng)后期功能可拓展性強。

此外，在分布式的Web 應用系統(tǒng)中選擇B/S 結(jié)構(gòu)。B/S結(jié)構(gòu)相較于C/S 結(jié)構(gòu)具有以下優(yōu)點：①系統(tǒng)部署與維護容易；②大批量客戶端的軟件升級成本相對較低；③不同開發(fā)工具及運行平臺之間兼容性好。B/S 結(jié)構(gòu)將Web 應用分為3 層：客戶層（Client Tier，CT）、中間層（Middle Tier，MT）和企業(yè)信息系統(tǒng)層（Enterprise Information System Tier，EIST）。其中，MT 又可細分為：表現(xiàn)層、業(yè)務層、數(shù)據(jù)持久層。

風險監(jiān)測器B/S結(jié)構(gòu)如圖1所示。

Fig.1 B/S architecture of risk monitor圖1 風險監(jiān)測器B/S結(jié)構(gòu)

2.2 功能模塊設計

根據(jù)當前國際上風險監(jiān)測器的主要功能以及我國核電業(yè)主的實際需要，設計風險監(jiān)測器系統(tǒng)平臺的主要功能模塊，包括：核電站狀態(tài)配置模塊、接口模塊、在線風險計算模塊、維修計劃風險計算模塊、界面圖形化展示模塊以及權(quán)限管理模塊。核電站狀態(tài)配置模塊的功能是用戶設置電站的運行模式、環(huán)境改變因子、出/復役設備、運行/備用系統(tǒng)/部件切換狀態(tài)等；接口模塊的功能是實現(xiàn)風險監(jiān)測器與企業(yè)數(shù)據(jù)庫以及各功能模塊之間數(shù)據(jù)的正確傳輸與接收；在線風險計算模塊的功能是實現(xiàn)核電站實時風險計算，并結(jié)合風險管理限值給出電站運行安全預警狀態(tài)；維修計劃風險計算模塊的功能是給出核電站維修計劃的風險，并對各種風險進行橫向?qū)Ρ龋唤缑鎴D形化展示模塊的功能是將計算結(jié)果以圖或表格的形式進行展示，便于用戶理解和使用；權(quán)限管理模塊的功能是對軟件各模塊的使用權(quán)限進行管理，支持對不同層級的用戶進行權(quán)限分配。風險監(jiān)測器主要功能模塊如圖2 所示，各模塊之間的調(diào)用關(guān)系如圖3所示。

Fig.2 Primary function modules of risk monitor圖2 風險監(jiān)測器主要功能模塊

Fig.3 Call relation between primary function modules圖3 主要功能模塊之間調(diào)用關(guān)系

2.3 關(guān)鍵技術(shù)與算法

2.3.1 快速分析技術(shù)

核電站風險監(jiān)測器要求風險模型具備快速分析能力，雖然當前業(yè)內(nèi)對計算時間沒有嚴格限制，但是一般要求在5min 以內(nèi)［7-8］。因此，開發(fā)人員研發(fā)了大型故障樹的快速分析技術(shù)，采用邏輯重構(gòu)和模塊化技術(shù)實現(xiàn)對故障樹規(guī)模的簡化，達到快速計算最小割集的目的。在此基礎上，系統(tǒng)平臺提供兩種快速定量分析技術(shù)：割集法和重解法。

（1）割集法。該方法首先采用下行法預先求解故障樹的最小割集，然后在此基礎上計算每一個最小割集發(fā)生的概率，再對所有發(fā)生概率進行求和，實現(xiàn)對核電站風險的快速計算。但該方法的一個缺點是由于采用概率截斷策略，并不能保證核電站所有配置狀態(tài)下的最小割集都存在，導致計算結(jié)果存在一定偏差。例如，某些被截斷的最小割集由于其蘊含的某個或某些設備因退出服役而導致該最小割集發(fā)生概率陡然增加，而這些新增加的概率風險往往不能忽略。

（2）重解法。該方法顧名思義就是重新計算核電站風險模型，其優(yōu)點是能夠保證計算精度的要求，缺點是計算耗時長。在實際工程應用中，為了實現(xiàn)實時性和計算精度要求，往往采用割集法與重解法相結(jié)合的方法。首先采用一個較大的截斷概率計算核電站風險模型的最小割集，然后將計算結(jié)果與預先求解的割集進行比較。如果發(fā)現(xiàn)有新的割集產(chǎn)生，則將其添加到預先求解的割集中。

2.3.2 共因降階技術(shù)

冗余系統(tǒng)的可靠性往往受共因失效（Common Cause Failure，CCF）事件的影響，CCF 是核電站風險模型中必須要考慮的因素。針對冗余部件的數(shù)量變化，即退出服役部件數(shù)量對剩余部件失效概率的影響，系統(tǒng)平臺采用的冗余系統(tǒng)可靠性建模策略為：把冗余部件對應的基本事件、共因失效事件都更改成獨立的動態(tài)事件。經(jīng)過此處理后，這些動態(tài)事件在風險監(jiān)測器模型數(shù)據(jù)庫中將具有多個不同的可靠性值，可依據(jù)實際退出服役部件數(shù)量選擇相應的值，這種處理方法稱為共因降階技術(shù)。

以一個含有4 個部件A、B、C、D 的冗余系統(tǒng)為例進行說明，導致部件A 失效的所有事件組合AT，即構(gòu)成部件A總不可用度的事件組合可表示為：

式中，EA是故障樹模型中的基本事件，代表部件A 的獨立失效部分；EAB表示與A 相關(guān)的一個CCF 事件，代表部件A 與B 且僅限于此2 個部件的CCF，其它情況依此類推。部件A 所在故障樹模型如圖4所示。

Fig.4 Fault tree model of component A圖4 部件A所在故障樹模型

假設在核電站某個運行時刻，部件D 由于定期實驗或預防性維修等原因需要退出服役，此時部件A 總不可用度涉及的事件以及事件失效概率將會有所變化。AT相應地變?yōu)椋?/p>

因此，式中EA、EAB、EAC、EABC的不可用度需要采用實際在役部件即A、B、C 3 個部件組成的共因失效模型進行計算，而不能采用原來4 個部件組成的共因失效模型進行計算，才能保證部件A 的總不可用度是正確的，如圖5所示。

Fig.5 Fault tree model of component A after D out of service圖5 部件D退出服役后A所在故障樹模型

除需要在故障樹模型中把ED設置為TRUE 來表征部件D 的停役外，還需要把EAD、EBD、ECD、EABD、EACD、EBCD、EABCD都設置為FALSE，代表這些共因失效事件不會發(fā)生。

3 軟件平臺集成測試

系統(tǒng)平臺集成測試案例的選取原則是能夠覆蓋軟件平臺的所有功能，并能體現(xiàn)平臺的總體計算性能。因此，選擇的案例需覆蓋核電站主要的緩解系統(tǒng)（安注、超壓保護、二次側(cè)排熱等）和支持系統(tǒng)（冷卻系統(tǒng)和電氣系統(tǒng)）。風險模型覆蓋5 種運行模式：①功率運行工況到壓力大于130bar（POS_A）、SG 連接的雙相中間停堆工況（POS_B）；②蒸汽發(fā)生器（SG）連接的停堆工況（POS_C）；③余熱排出（RHR）連接的停堆工況（POS_D）；④維修冷停堆；⑤反應堆冷卻劑系統(tǒng)（RCP）中間水位的維修冷停堆（POS_G）。分析對象為核電站堆芯損傷頻率（Core Damage Frequency，CDF）風險模型，一方面，核電站模型規(guī)模需要足夠大（邏輯門約8 000 個，基本事件約2 000 個），能夠體現(xiàn)計算引擎的求解性能；另一方面，通過組態(tài)配置可對所有功能點進行測試。選擇11 組測試案例（見表1），并將計算結(jié)果與RiskSpectrum（RS）軟件進行對比分析。

圖6 給出了在截斷概率為10-14、10-15時系統(tǒng)平臺采用重解法的在線計算精度，其中相對誤差εr=［（軟件平臺計算值-RS 計算值）/RS 計算值］×100%。從圖中可以看出，計算結(jié)果與RS軟件基本一致。

圖7給出了系統(tǒng)平臺在兩種截斷概率下的計算時間。從圖中可以看出，當截斷概率為10-15時，計算時間均在5min以內(nèi)；當截斷概率為10-14時，計算時間均在2min以內(nèi)。此外，完成了對系統(tǒng)平臺所有功能點的測試。測試結(jié)果表明，研發(fā)的核電站運行風險與預警監(jiān)測系統(tǒng)平臺實現(xiàn)了既定功能，計算精度與RiskSpectrum軟件相當，計算效率滿足設計要求。

Table 1 Explanations of test cases表1 測試案例說明

Fig.6 Computational accuracy圖6 計算精度

Fig.7 Computing time圖7 計算時間

4 結(jié)語

根據(jù)當前國際上主流風險監(jiān)測器的主要功能以及我國核電業(yè)主的實際需要，提出一種基于風險指引理論的核電站運行風險監(jiān)測與預警系統(tǒng)平臺框架，并開發(fā)了相應的系統(tǒng)平臺。經(jīng)過Verification and Validation（V&V）測試，結(jié)果表明，研發(fā)的核電站運行風險監(jiān)測與預警系統(tǒng)平臺實現(xiàn)了既定功能，計算時間與RiskSpectrum 軟件相當。該系統(tǒng)平臺具有完全自主知識產(chǎn)權(quán)，可以替代國際同類軟件，對于提高我國核電站運行風險管控水平具有重要的現(xiàn)實意義。