国核安发〔2021〕114号 核动力厂一级概率安全分析 2021年.pdf
- 文档部分内容预览:
2.6 PSA 的应用
2.6.1PSA方法在加深对核安全问题的认识、识别核动力厂 设计的薄弱环节以改进核动力厂的安全水平、平衡核动力厂的设 计以优化核安全资源的利用、确认核动力厂不存在陡边效应以及 定量评估核动力厂的安全水平等方面都可以起到非常重要的作
关于堆芯损坏的概念应规定具体的准则。不同的反应堆设计工程监理标准规范范本,其准则可能有所不同。
核动力厂一级概率安全分析
用。 2.6.2在核动力厂设计阶段,PSA可以支持但不限于如下工 作: (1)确认符合核动力厂的安全自标,包括规定的风险准则; (2)支持核动力厂状态划分; (3)支持对核动力厂设计中所考虑的超设计基准事故的重 要事件序列的选取; (4)支持事故源项的选取和确定; (5)支持核动力厂纵深防御层次的设置; (6)支持核动力厂技术规格书的制定: (7)支持某些具体安全要求的建立或调整; (8)支持安全重要物项的分级: (9)支持核动力厂总体设计方案的论证、优化和确定。 2.6.3在应用PSA时,应注意对下述问题的处理: (1)确保PSA分析工作达到与其支持的工作相称的质量水 平; (2)合理处理PSA分析结果的不确定性,并进行必要的敏 感性分析; (3)由于确定论安全分析的保守性要求确实为某些未知因 素带来一定的保守裕度,而在PSA的分析工作中使用保守模型 还是现实模型,需要根据实际情况来酌,并注意识别风险见解 中的保守性。 2.6.4对于处于设计阶段的核动力厂,PSA的结果应作为设 计过程的一部分以,支持其安全水平的评估。核动力厂的安全决
核动力厂一级概率安全分析
策是一个代的过程,应综合考虑PSA分析与确定论分析的结 论,以确保满足监管要求、准则和平衡设计
2.7PSA质量保证要求
2.7.1PSA质量保证应涵盖保证PSA达到要求的质量所需的 相关工作,以及验证PSA达到要求的质量所需的相关工作。PSA 达到要求的质量意味着分析的最终结果是正确的、可用的,并且 可以满足PSA实施目的和范围的要求。应对所有影响PSA质量 的工作设置一套科学规范的工作方法,包括在适当情况下核查每 项任务是否圆满完成,并针对未完成的任务采取必要的纠正措施 2.7.2PSA的质量保证应作为PSA项目管理的一个组成部分 质量保证应涵盖对PSA各项相关活动的控制,包括组织、技术 工作及文档等方面。针对PSA技术工作,质量保证旨在确保目 标、范围、方法和假设之间的一致性以及方法应用和计算的准确 性。质量保证还应包括对PSA文档的管理
2.8PSA文档的一般规定
2.8.1PSA文档的首要目标是满足使用方的需求,并与PSA 的特定应用相适应。PSA可能的使用方包括: (1)核动力厂营运单位(管理人员及运行人员); (2)设计单位和供货商; (3)核安全监管机构及为其提供技术支持的人员或机构; (4)其他政府机构; (5)公众。 2.8.2PSA文档包括PSA的工作文件、计算模型的输入和输 出、阶段性成果报告和最终报告等。PSA文档应内容完整,结构
核动力厂一级概率安全分析
合理、清晰,且易于理解、审查和升版。应采用可追溯的、有序 的方式进行记录,即各部分应尽可能按照实际分析工作开展的顺 字在最终文档中进行呈现。此外,还应为可能的扩展性分析提供 方法说明,包括使用改进的模型、扩展PSA的范围以及其他应 用等。清晰地描述在扩展与诠释PSA时所作的假设、例外和局 限性对于PSA的使用方也非常重要。 2.8.3应在报告(或参考文献)文档中给出用于复现研究结 果的所有必要信息。所有的中间分析、计算、假设等信息应以文 档记录、工作文件或计算机电子文件等形式予以保存,以保证将 来可以对PSA分析的细节进行复现和更新。 2.8.4PSA研究工作最终应形成相应的PSA报告。报告应包 括两个主要部分: (1)主报告; (2)主报告的附件。 2.8.5主报告应采用清晰的、可追溯的方式阐述PSA工作的 开展情况及研究结论,包括核动力厂描述、研究自标、使用的方 法和数据、所考虑的始发事件、核动力厂建模结果及结论等。主 报告及其附件应能够: (1)支持PSA的技术审评; (2)有助于相关使用方理解PSA分析的关键细节; (3)支持运用PSA模型和结论进行高效、多样化的应用; (4)便于模型、数据和结果的更新,以支持核动力厂进行 持续的安全管理。 2.8.6主报告的附件应包含升展PSA工作所涉及的详细数据
核动力厂一级概率安全分析
工程计算的记录、详细模型等。附件的结构应尽可能直接对应主 报告的相关章节。 2.8.7本节对PSA文档给出了一般性的建议,本导则其他章 节还将针对具体的分析对象给出具体的建议
3.1.1PSA团队应熟悉核动力厂设计和运行的相关信息,可 用的信息来源主要包括: (1)核动力厂的安全分析报告; (2)核动力厂的技术规格书: (3)系统说明书: (4)竣工(现状)系统图(管道和仪表图); (5)电气线路图,包括电路图及电气母线跳闸保护准则; (6)控制和驱动电路图; (7)正常运行规程、应急运行规程、试验规程和维修规程; (8)系统任务成功准则的确定论分析; (9)来自核动力厂或类似核动力厂的运行经验,以及事件 报告和分析; (10)操纵员日志(如果有); (11)与运行人员的访谈(如果有); (12)核动力)运行记录和停堆报告(如果有); (13)核动力厂数据库和/或计算机化的维修管理系统(如 果有);
核动力厂一级概率安全分析
(14)核动力厂布置图; (15)管道位置和布线图: (16)电缆位置和敷设图; (17)核动力厂巡访报告(如果有); (18)监管要求; (19)核动力厂其他相关文件。 3.1.2PSA团队应尽可能全面地收集包含分析所需信息的核 动力厂文件。根据PSA分析的范围,可能还需要更为具体的信 息,例如,外部危险PSA还需要核动力厂的布置图、厂址及周 围的地形资料。必要时,还需要对PSA团队外的运行人员进行 访谈,以澄清和获取更多可用信息
3.2现场巡访收集信息
熟悉核动力厂是开展内外部危险PSA分析的关键组成要素。 应对核动力厂进行全面的巡访,以核实危险源及危险条件下核动 力厂易损物项等的相关信息。应针对不同内外部危险的核动力 巡访制定专门的实施程序
4功率工况内部事件一级PSA
本章为开展功率工况内部事件一级PSA所需考虑的技术内 容提供相关建议,主要内容包括: (1)一级PSA方法概述 (2)始发事件分析; (3) 事件序列分析;
核动力厂一级概率安全分析
(4)系统分析; (5)相关性分析; (6)人员可靠性分析; (7)数据分析; (8)模型整合与定量化; (9)重要度、敏感性和不确定性分析。 分析的总体框架如图1所示
4.2内部事件一级PSA方法概述
图1内部事件一级PSA的总体框架
4.2.1本工作开展的第一步是确定功率工况内部事件一级 PSA总的方法论。分析方法应从始发事件开始对可能发生的事件 序列进行建模,识别会导致堆芯损坏的安全系统故障、支持系统 故障和人员失误的组合。 4.2.2PSA的实施可以采用多种技术方法,一般通用的方法 是组合使用事件树和故障树方法。事件树和故障树的规模(复杂 性)在很大程度上取决于分析团队的选择(例如,相关性的处理 方式),也取决于所用计算机软件的特性
核动力厂一级概率安全分析
4.2.3小事件树一天故障树方法是推荐的常用方法,一般称 之为故障树联接法。事件树从始发事件升始,模化事件序列的总 本特征,根据事故缓解措施和安全相关系统的成功或失败,确定 各事件序列的终态(例如,成功或堆芯损坏)。故障树则用于模 化执行安全功能的安全系统和支持系统的故障。 4.2.4另一种方法是大事件树一小故障树方法,也称为大事 件树法、联接事件树法或带边界条件的事件树法。此方法的特点 是在事件树中直接模化功能、系统的相关性,即将安全功能、安 全系统和支持系统的故障均在事件树模型中统一模化。 4.2.5一级PSA分析的总体目标是给出堆芯损坏频率的最佳 估算,同时尽可能避免引入过多的保守性,以免给结果带来不必 要的偏差。因此,一级PSA应基于最佳估算模型、假设和数据。 然而,在不确定性较大的情况下,有必要保留一定的保守性,以 避免出现不合理的偏于乐观的评估结果。 4.2.6一级PSA模型应当能够满足预期应用的需求,并且能 够通过升级来支持未来可能的应用。 4.2.7一级PSA分析所采用的计算机程序应具备以下能力: (1)能够处理复杂的逻辑模型: (2)能够在合理且较短的时间内完成定量分析; (3)能够提供用于解释一级PSA分析结果的必要信息,例 如,堆芯损坏频率、事故序列频率、最小割集、重要度分析、敏 惑性分析和不确定性分析结果。 4.2.8一级PSA模型的开发应该是一个迭代过程,直至得到 准确、足够详细的模型
核动力厂一级概率安全分析
4.3.1一级PSA分析的起点是识别始发事件。始发事件是指 王何十扰核动力稳定运行状态从而引起异常的事件,例如,导 致瞬态或冷却剂丧失事故(LOCA,LossofCoolantAccident)的 核动力厂内部或外部事件。始发事件要求核动力厂缓解系统及人 员作出正确响应,一旦响应失败则可能引起不希望发生的后果, 例如堆芯损坏。 4.3.2始发事件的识别 4.3.2.1应系统化地识别一级PSA中需要分析的始发事件, 通常建议组合应用下述方法对始发事件进行识别: (1)工程分析,例如,危险和可运行性分析、故障模式及 影响分析或其他相关方法,用于系统地分析核动力厂各系统和主 要设备,以确定其故障(全部或部分)是否会引起始发事件; (2)参考类似核动力厂的一级PSA分析、现有安全标准和 导则所给出的始发事件清单,确定它们对所分析的核动力厂的适 用性; (3)以所分析的核动力户(如果已运行)和类似核动力厂 的运行经验为基础,识别可能的始发事件: (4)审查基于确定论的事故分析和安全分析报告中考虑的 始发事件是否包含在始发事件清单中: (5)演绎分析,采用类似故障树的方法(例如,主逻辑图), 以不希望发生的后果(例如,堆芯损坏)为顶事件,逐步分解成 不同类别的可能导致该后果的事件,从最底层的各个事件中选出 需要分析的始发事件
核动力厂一级概率安全分析
核动力厂一级概率安全分析
内。如果二者存在差异,应该将其补充到所分析的核动力厂的始 发事件清单,或者论证它们不适用于所分析的核动力厂。 4.3.2.8应对所分析的核动力厂(如果已运行)和类似核动 力厂的运行经验进行审查,以确保所有发生过的始发事件都被纳 入内部事件一级PSA始发事件清单中。 4.3.2.9应确定始发事件的发生原因并在分析中加以考虑。 对于有多个起因的始发事件以及由多个故障叠加导致的始发事 件(例如,支持系统故障导致的始发事件),通常可以使用故障 树方法对其进行模化。 4.3.2.10一级PSA文档中始发事件分析部分应包括识别出 的所有始发事件清单,并对每个始发事件进行描述,同时给出识 别始发事件所采用的方法等详细信息,例如,危险和可运行性分 析、故障模式和影响分析、主逻辑图或类似核动力厂运行经验等。 4.3.3瞬态 4.3.3.1一级PSA应以可能发生的完整的瞬态事件清单为分 所基础。例如,瞬态类事件包括: (1)反应堆排热增加,例如,二回路释放阀误开启或蒸汽 管道破裂; (2)反应堆排热减少,例如,主给水丧失或给水管道破裂; (3)反应堆冷却剂系统流量降低,例如,反应堆冷却剂泵 跳闸、卡轴或断轴; (4)反应性和功率分布异常,例如,意外硼稀释; (5)反应堆冷却剂装量增加,例如,安全注入系统的误投
核动力厂一级概率安全分析
(6)其他引起反应堆紧急停堆或快速停堆的事件。 4.3.3.2内部始发事件瞬态清单中应包含丧失厂外电。应基 于核动力))外电网、厂内供电的相关设计和运行经验(如果有 确定丧失厂外电始发事件的发生频率、持续时间,并考虑厂外电 源恢复的可能性。 4.3.3.3丧失厂外电可能由内部危险(例如,厂内火灾)或 外部危险(例如,极端环境条件或地震)导致。如果内外部危险 PSA中已对丧失厂外电进行建模分析,则内部事件PSA对丧失 厂外电的定义中应排除上述原因,以避免重复计算。 4.3.3.4始发事件清单还应包括支持系统的故障,例如,电 力系统、仪用压缩空气系统、冷却水系统、空调通风系统、仪表 和控制系统等。特别是,当支持系统故障会引起反应堆紧急停堆 司时在停堆后该支持系统还要承担相关支持功能时,对此类始发 事件的考虑更加重要。 4.3.4冷却剂丧失事故 4.3.4.1一级PSA中应尽可能全面地考虑会引起冷却剂丧失 的始发事件。 4.3.4.2冷却剂丧失始发事件应考虑会引起一回路冷却剂丧 失的不同位置和不同尺寸的破口。应根据核动力户的实际设计和 布置情况确定可能出现破口的位置,包括管道和阀门的故障,特 别是释放阀的故障。 4.3.4.3应识别出会引起一回路冷却剂在安全壳外部排放的 冷却剂丧失事故。此类典型的事故包括蒸汽发生器传热管破裂和 界面LOCA。
核动力厂一级概率安全分析
4.3.4.4应根据防止堆芯损坏的缓解措施中各安全系统的成 功准则,对识别出的冷却剂丧失始发事件进行分类和归组。对于 压水堆,通常基于对冷却剂丧失事故缓解的安全注入系统的性能 要求,将冷却剂丧失始发事件分为大、中、小LOCA三类。根 据核动力厂设计的不同,可能需要采取不同的措施应对极小 OCA的冷却剂丧失始发事件(例如,反应堆冷却剂泵轴封故障 4.3.5始发事件归组 4.3.5.1为了合理地减少一级PSA的工作量,在进行事件序 列分析前应对始发事件进行归组。 4.3.5.2若要将PSA模型进一步限制在可控制的规模,可将 部分始发事件组从模型中筛除,但应注意,所采用的筛选准则应 与开展PSA的自的相一致,以保证不会筛除对风险有显著贡献 的始发事件组。需要注意,如果对PSA模型进行了这种筛除处 理,则针对PSA的特定应用,仍可能需要重新检查模型的合理 生以及筛选处理对结果的影响。 4.3.5.3归为同一组的始发事件应具有相同(或极为相似) 的特征,包括: (1)始发事件发生后的事故进程: (2)缓解系统的成功准则; (3)始发事件对安全系统和支持系统的可用性和运行状态 的影响,包括触发保护动作或闭锁系统启动的信号; (4)预期的核动力厂操纵员响应。 4.3.5.4在给定始发事件组中,缓解系统的成功准则,应采 用该组内最为严格的始发事件的成功准则
核动力厂一级概率安全分析
4.3.5.5若将事故进程和/或缓解系统成功准则有细微差别的 始发事件归为同一组,则事件序列分析应能包络这些始发事件所 有可能出现的序列和后果。 4.3.5.6对始发事件进行归组时,不应引入不合理的保守性, 4.3.5.7可能引起安全壳旁通的始发事件(例如,蒸汽发生 器传热管破裂、界面LOCA)不应与事故后安全壳系统仍然有效 的其他冷却剂丧失始发事件归为同一组。 4.3.5.8一级PSA文档中始发事件归组部分应包括始发事件 筛选、分组及合并的依据, 4.3.6始发事件频率 4.3.6.1应对一级PSA中模化的每个始发事件组确定其发生 频率。在确定发生频率时,应考虑识别出的导致始发事件的全部 因素。 4.3.6.2应尽可能使用核动力厂特定的始发事件统计数据 (如果有),并适当地辅以类似核动力厂的相关数据;若新建核 动力厂或运行时间较短的核动力厂缺乏特定数据时,可以参考使 用类似核动力的数据;若无法获得类似核动力厂的数据,则可 以使用其他类型的运行核动力厂的通用统计数据。 4.3.6.3对于发生频率较低的始发事件,即使采用通用数据: 也会存在数据稀少或缺失的情况。可以通过基于知识和经验的判 断来确定始发事件发生频率的取值,同时应对判断的依据进行 述。 4.3.6.4如果需组合使用核动力厂特定数据和不同来源的通 用数据,应说明特定数据选取或多个数据源融合的方法,通常可
核动力厂一级概率安全分析
以采用贝叶斯估计或专家判断的方法。 4.3.6.5除采用统计数据的方法外,还可以采用故障树方法 来估计始发事件的发生频率。故障树可以对导致始发事件的所有 设备故障和人员失误进行逻辑建模。如果采用这种方法,应检查 障树的分析结果是否与类似核动力厂的运行经验相一致。 4.3.6.6经常发生的始发事件的频率取值应与所分析的核动 力)(如果已运行)和类似核动力)的运行经验相一致。 4.3.6.7始发事件组的发生频率应为组内所有始发事件发生 频率的总和。 4.3.6.8一级PSA文档中始发事件分析部分应给出所有始发 事件的描述、频率均值、取值依据以及不确定性等相关信息
4.4.1确定始发事件后,需要针对每个始发事件组确定核动 力厂的事故缓解响应,即要求相关安全系统执行安全功能以防止 堆芯损坏。安全功能通常包括反应堆停堆并使其保持次临界状态 堆芯余热的导出、放射性包容等。 4.4.2事件序列中包含的功能事件用于表征安全功能执行所 需的安全系统或人员动作的成功或失败。事件序列的终态为安全 稳定状态(所有要求的安全功能都成功实现)或堆芯损坏。 4.4.3堆芯损坏 4.4.3.1应制定堆芯损坏或特定程度的堆芯损坏2的判断准则 通常可以假设燃料参数(例如,包壳温度)超过其设计基准限值
根据堆芯损环程度,可规定堆芯损环的若十状态。确定堆芯损环程度的另一个因素是时间 例如晚期的堆芯损坏。
核动力厂一级概率安全分析
或更高限值(需论证),则会发生堆芯损坏。 4.4.3.2堆芯损坏的判断还可以采用间接准则。例如,对于 压水堆,当堆芯顶部长时间裸露或包壳温度超过规定的最大值时 即认为发生堆芯损坏。如果堆芯顶部裸露后需要经过相当长的时 间才会造成堆芯损坏,在堆芯损坏的实际定义中应予以考虑。 4.4.3.3在某些压水堆的PSA中,所采用的堆芯损坏判断准 则举例如下: (1)塌水位在一段较长的时间内持续在堆芯活性区的顶 部以下;或者 (2)采用具有详细堆芯模型的程序预计的堆芯燃料包壳表 面峰值节点温度高于1204℃;或者 (3)采用具有简化堆芯模型(例如,单节点堆芯模型,集 总参数)的程序预计的堆芯燃料包壳表面峰值节点温度高于 982℃;或者 (4)采用具有简化堆芯模型的程序预计的堆芯出口温度持 续30分钟高于650℃。 在实际的工程分析中,经常采取间接的判别准则。例如某个 维持堆芯安全所必需的功能预计会发生不可恢复或者长时间的 失效,也可以作为堆芯损坏的判断依据 4.4.4安全功能、安全系统和成功准则 4.4.4.1应对每个始发事件组进行事件序列分析。 4.4.4.2应为每个始发事件组确定为防止堆芯损坏所需要执 行的安全功能。所需安全功能取决于反应堆类型和始发事件的性 质,通常包括:
核动力厂一级概率安全分析
(1)始发事件的探测和紧急停堆; (2)停堆并保持次临界; (3)堆芯余热载出; (4)反应堆冷却剂系统压力边界和安全壳的完整性保持。 4.4.4.3应确定执行每个安全功能所需的安全系统和操纵员 动作,包括各安全系统的成功准则。 4.4.4.4安全系统的成功准则应根据每个序列对其安全功能 生能水平的最低要求来确定。当安全系统有多个亢余列时,成功 准则应确定为所需运行列的数量;若安全功能涉及到多样化设置 的多个安全系统,则成功准则应分别考虑每个系统所需的性能要 求,此时可以基于最佳估算分析结果考虑每个系统的部分运行。 4.4.4.5应识别出始发事件发生会导致其故障的安全系统, 或始发事件发生导致安全相关设备处于严酷的环境条件,并在确 定成功准则时予以考虑。例如,支持系统(如电源和冷却水系统) 故障导致的始发事件;再例如,在压水堆大LOCA或中LOCA 事故情况下,若破口出现在冷段,则与该管段相连的一列应急堆 芯冷却系统将无法向堆芯进行冷却剂的补充,在确定成功准则时 应对这种情况予以充分考虑。 4.4.4.6成功准则中应规定安全系统的任务时间,即需要安 全系统运行的时间,以使反应堆达到安全、稳定的停堆状态,并 可以采取长期措施以保持该状态。对于大多数始发事件,任务时 间通常可以设为24小时;对于具有延迟堆芯损坏措施的新设计, 可能需要考虑更长的任务时间。 4.4.4.7应根据执行安全功能的前沿系统的成功准则,确定
核动力厂一级概率安全分析
相关支持系统的成功准则要求。 4.4.4.8成功准则应明确为了使核动力厂达到安全、稳定的 亭堆状态,操纵员根据核动力厂规程所需采取的动作及充许的时 间窗口。良好的实践是由核动力厂操纵员、系统分析人员、人员 可靠性分析人员合作来确定操纵员应采取的动作。 4.4.4.9一级PSA文档中始发事件分析部分应包括每个始发 事件组中为将反应堆带入安全、稳定的停堆状态所需的安全功能 安全系统、支持系统和操纵员动作的清单。 4.4.5成功准则的支持性分析 4.4.5.1应通过支持性分析对安全系统和支持系统的成功准 划进行验证。支持性分析包括瞬态和冷却剂丧失事故后衰变热导 出的热工水力分析、反应堆停堆与保持次临界的中子物理学分析 等。 4.4.5.2如果有可能,应在一级PSA中使用基于最佳估算的 现实的成功准则。 4.4.5.3如果采用基于设计基准分析的保守的成功准则,则 应对整体分析结果进行仔细的审查,以确保这种保守性不会曲解 级PSA的风险见解。 4.4.5.4用于验证成功准则的计算机程序应具备能够正确模 七事故及需要分析的事故序列的能力,并能够给出最佳估算结果 十算机程序只能在其适用的范围内由合格的分析人员使用。如果 有可能,应使用最佳估算的输入数据和假设,以避免不必要的保 守性。 4.4.6事件序列建模
核动力厂一级概率安全分析
4.4.6.1应确定每个始发事件组后续发生的事件序列。通常 采用事件树方法进行构模,在事件序列构模中综合考虑安全系统 支持系统和人员动作在执行安全功能时的成功或失败。 4.4.6.2事件树应涵盖所有需要执行的安全功能和安全系统 通常将前沿系统的状态(成功或失败)作为事件树的题头,有时 也称为“事件树顶事件”。此外,事件树题头还可以包括任何直接 影响事故过程的操纵员动作,特别是应急运行规程所规定的应采 取的动作。对事件序列有直接和显著影响的其他事件也可以作为 题头。 4.4.6.3事件树结构中应考虑表征操纵员动作和系统动作的 题头事件的先后顺序。通常做法是尽量按照对系统或操纵员要求 的时间先后进行顺序建模 4.4.6.4事件树结构中还应考虑由设备故障或人员失误所弓 起的功能上或实体上的相关性。 4.4.6.5事件序列分析应分析事件树中各安全系统成功或失 败的所有相关组合,以对后果为成功或堆芯损坏的所有序列进行 建模。 4.4.6.6一级PSA文档事件序列分析部分应给出事件树图, 以清晰地表征事件序列的进展,并对事件树结构内含的逻辑进行 阐述。 4.4.6.7一级PSA文档事件序列分析部分应对各事件树题头 进行阐述。例如,事件树题头可以表示简单的功能,也可以表示 事件组合(在一个题头下包含多个功能)。应清楚地给出并解释 在事件树构建过程中所作的假设和相应题头定义。
核动力厂一级概率安全分析
4.4.7事件序列终态 4.4.7.1事件序列终态的定义和划分应体现核动力厂的设计 特性。通常可以分为两类:第一类完全执行所有必需的安全功能 从而避免堆芯损坏,即成功缓解;第二类因一个或多个安全功能 未能执行而假定会发生堆芯损坏。 4.4.7.2应明确导致堆芯损坏的事故序列的特征,以用于支 持后续二级PSA的开发。例如,每个事故序列所导致的核动力 厂的物理状态,以及用于防止或减少放射性物质泄漏的安全系统 的可用性等。
4.5.1应对事件序列分析中所涉及的系统故障进行建模,一 般可以采用故障树方法来分析,故障树的顶事件即为事件树分析 中确定的系统故障状态。故障树从顶事件开始逐级向下分解到单 个底事件,通常包括设备故障(例如,泵、阀、柴油发电机等的 故障)、维修或试验导致的设备不可用、完余设备的共因失效以 及人员失误事件等。 4.5.2需要分析的故障树范围取决于事件树的大小和复杂程 度。 4.5.3故障树分析 4.5.3.1故障树建模的目的是为事件序列分析中涉及的安全 系统的故障状态进行逻辑建模。 4.5.3.2每个安全系统的故障树顶事件的故障准则应与事件 予列中要求的成功准则在逻辑上互反。某些情况下,一个安全系 统可能需要建立多个故障树模型,以处理不同始发事件组对应的
核动力厂一级概率安全分析
不同成功准则,或在事件树的不同分支中根据该系统前序事件的 伏态来处理不同的成功准则。具体实践中,可以针对不同的故障 准则建立不同的故障树模型,或根据成功准则的要求使用逻辑开 关(所谓的“房形事件”)来禁用或启用故障树模型的相关部分 4.5.3.3故障树中模化的基本事件应与可获得的设备故障数 据相匹配。在故障树中模化的设备边界和故障模式应与设备故障 数据中的定义相一致。 4.5.3.4故障树模型的详细程度应达到单个设备(泵、阀门、 柴油发电机等)的重要故障模式及单个人员失误事件的层次,并 且应包含所有可以直接导致或与其他基本事件组合导致故障树 顶事件发生的基本事件。分析层次通常由分析人员自行确定,但 它应与可获得的设备故障数据和所预期的一级PSA应用相匹配 4.5.3.5应通过系统化的分析(例如,故障模式和影响分析 来确定故障树中需要模化的基本事件,并根据任务分析对操纵员 动作进行审查,以识别潜在人员失误基本事件。 4.5.3.6故障树模型应包括安全系统和支持系统运行所需要 的所有重要设备,还应该包括其故障可能引起系统故障的非能动 设备,例如,过滤器堵塞等。故障树模型中应明确考虑功能相关 生和设备故障的相关性,否则可能会使分析结论产生严重偏差 低估支持系统的相对重要性。 4.5.3.7故障树中设备分析的层次应能够保证模型对所有的 硬件相关性都可以进行考虑。例如,在同一系统向多个设备提供 冷却水的情况下,应对该冷却水系统进行明确建模,以考虑不同 设备间因共用该冷却水系统而产生的相关性。设备可靠性数据的
核动力厂一级概率安全分析
可用性也是确定设备分析层次中需考虑的一个因素(例如,可以 得到整台泵的可靠性数据,但无法得到其各零部件的可靠性数据 如转轮、联轴器、轴承)。此外,在确定故障树中设备分析的层 次时,还应适当考虑希望得到的关于设备或零部件风险重要程度 等PSA见解的需要。 4.5.3.8将多个设备组合在一起采用超级设备进行故障建模 时,应可以证明超级设备中每个设备的故障模式对系统的影响与 超级设备整体对系统的影响是相同的。此外,模型中包含的所有 超级设备在功能上都应是独立的,即同一个设备不应出现在多个 超级设备中,或作为基本事件出现在别处。 4.5.3.9故障树模型应识别安全系统中单个设备或设备列因 试验、维护或维修而退出运行的情况,如果存在这种情况,则应 进行明确的建模。例如,可以在故障树中添加表示设备不可用的 基本事件来实现。 4.5.3.10对系统因维修不可用的建模应与核动力厂的技术 规格书3和维修活动相一致。建模中系统或设备的维修不可用时 间应优先采用核动力广基于维修经验得到的实际不可用时间:若 核动力厂处于设计或施工阶段,则可以参考类似核动力厂的维修 经验或参照技术规格书中规定的充许后撤时间。 4.5.3.11应制定专门的编码体系,以统一规定每个逻辑门和 基本事件对应唯一的编码。 4.5.3.12故障树模型的开发应与预期的应用相匹配。例如, 若将一级PSA用于风险监测器,则应建立对称的模型,对可能
3在模化维修不可用时,通常假设核动力厂在技术规格书规定的运行限制条件下运行。 26
核动力厂一级概率安全分析
发生在所有位置的始发事件分别进行建模,包括一回路所有环路 安全系统的所有列、正常运行系统的所有运行列和备用列。 4.5.4所需系统信息 4.5.4.1应对一级PSA所模化的每个系统进行功能描述,为 逻辑模型的升发提供有效和可审查的基础依据。通常包括以下内 容: (1) 系统功能; (2)系统故障模式; (3)系统边界; (4)与其他系统的接口; (5)需要模化的运行模式(适用于具有多个模式的系统); (6)需要运行或需要改变状态的设备及其正常配置状态; (7)设备运行需要手动投入还是自动投入; (8)设备接收自动信号须具备的条件。 4.5.4.2应为故障树模化的每个系统提供简化流程图,图中 应包括: (1)故障树中模化的所有设备: (2)设备的正常配置状态; (3)连接各设备的管段或连接段; (4)与支持系统的接口(动力、电气、冷却等)。 4.5.4.3安全系统的功能描述和简化流程图应作为故障树建 模的基础依据,一级PSA文档中系统分析部分应阐述如何在故 障树建模中使用这些基础信息。
4.5.4.2应为故障树模化的每个系统提供简化流程图,图
核动力厂一级概率安全分析
4.5.5.1新型核动力厂的设计趋势是利用非能动系统来实现 相关的安全功能(例如,余热载出、应急堆芯冷却)。 4.5.5.2非能动系统运行边界条件的建立应基于热工水力分 析、实验和测试的结果,这些边界条件包括系统的温度、压力、 装量等。若边界条件满足,则认为非能动系统可运行;反之,则 认为无法执行其设计功能。 4.5.5.3应对非能动系统的故障进行建模分析,并评估其故 障概率。非能动系统的建模可以使用标准的故障树建模方法来模 七设备故障(止回阀或释放阀开启失败、管道堵塞等)、系统启 动准备中的人员失误以及启动失败(若需要外部启动)等,在建 模分析中应考虑上述分析中可能存在的不确定性。此外还应结合 当前业内探索使用的方法对无法达到系统运行边界条件的可能 生(例如,物理过程失效)进行适当地讨论, 4.5.6基于计算机的系统 4.5.6.1基于计算机的系统已户泛应用于新建核动力厂的控 制和保护系统中,一些已运行的核动力厂也正在或即将进行相应 的技术改造。基于计算机的系统,其功能的执行既依赖于系统硬 件,也依赖于其内置的软件。硬件的可靠性在现阶段可以用常规 的可靠性分析技术来评估,软件的可靠性在一定程度上可以通过 软件的V&V程序加以分析。 4.5.6.2基于计算机系统的故障概率可能主要取决于软件的 故障,然而自前无法给出一个行业公认的用于评价软件故障的概 率模型4,所以,首先需要保证软件编程的质量,即软件编程过
核动力厂一级概率安全分析
程中是否遵循了恰当的流程以降低编程中出现错误的可能性,是 否进行了恰当的检查以发现软件中的错误(静态测试),是否对 已完成的软件进行了恰当的测试(动态测试);其次,还应结合 当前业内探索使用的方法对测试后的软件发生随机失效的可能 生进行适当地讨论。 4.5.6.3当控制和保护系统或执行相同安全功能的两个不同 的系统都是基于计算机的系统时,应考虑这两个系统的硬件和软 牛是否存在相关性,如果有,则应在一级PSA模型中予以考虑
4.6.1相关性故障是堆芯损坏频率的主要贡献之一,因此, 故障树分析中应对相关性进行建模处理 4.6.2可能的相关性包括以下四种: (1)功能相关性:包括由核动力厂工况导致的相关性(例 如,反应堆一回路冷却剂系统卸压失败造成低压安注不可用), 以及由于共用设备、共用触发系统、相同隔离要求或共用支持系 统(动力、冷却、仪控、通风等)而导致的相关性。 (2)实体相关性:也称为空间相关性,由可能引起安全系 统设备故障的始发事件导致。这类相关性可能是由于管道用击, 飞射物撞击或环境影响所形成的。 (3)人员相关性:由核动力厂人员失误导致,这些人员失 误将作为因素之一或直接导致始发事件,或造成一个或多个安全 系统设备的不可用或故障而使它们在始发事件后无法执行其规 定功能,
件错误而未得到正确输出的概率,以及软件错误所导致的后果。
核动力厂一级概率安全分析
(4)设备故障相关性:由于设计、制造或安装方面的错误 或人员失误导致,此类相关性可以通过共因失效分析来处理。 4.6.3应对核动力)的设计和运行进行系统化的审查,以识 别可能存在的相关性,它们会引起安全系统设备在应对始发事件 时不可用或可靠性降低。 4.6.4应在事件树或故障树模型中对所有功能相关性、实体 相关性和设备故障相关性进行明确的建模。同时,也应对人员相 关性进行建模,在人员可靠性分析(HRA,HumanReliability Analysis)部分将作进一步描述。 4.6.5系统间的功能相关性应在事件树或故障树分析中进行 明确的建模。分析人员可以利用相关性矩阵来对其进行识别,并 作为支持事件树或故障树构建的基础信息。功能相关性不同于设 备故障相关性,它可以采用事件树或故障树方法进行直接建模。 对于无法直接处理的设备故障相关性则通常采用共因失效的方 式来进行处理。 4.6.6故障树分析中应识别并明确地模化由于共用设备或共 用支持系统导致的系统间的功能相关性。这种相关性可能出现在 执行相同安全功能的不同安全系统中,也可能出现在相关的支持 系统中,无论哪种情况都应在故障树中进行明确的模化。 4.6.7共因失效分析是相关性分析中的一个重要组成部分, 用于模化设备故障相关性。应采用系统化的方法对其进行识别, 建模和定量分析。 (1)对于可能出现设备故障相关性的情形,应识别出亢余 设备清单并将其纳入设备共因失效模型。目前有多种方法可以对
核动力厂一级概率安全分析
共因失效进行建模分析,在同一个PSA模型中,若有足够的共 因失效数据作为基础,应尽量采用同一种方法对共因失效进行建 模。在共因失效建模中,应尽可能全面地考虑系统内存在的共因 失效事件,并适当考虑系统间存在的共因失效事件。 (2)应识别可能会影响完余设备组的共因失效,并利用PSA 钦件在故障树中进行恰当的建模。分析中应识别所有相关的设备 组和重要的故障模式。在一级PSA文档中应阐明有关防范共因 失效的相关假设。 (3)应论证各设备故障模式的共因失效概率的合理性,可 以从下述方面进行考虑:系统的亢余度、设备的设计特性、系统 布局(分隔、隔离、设备鉴定等),以及系统的运行、试验和维 护情况。 (4)共因失效概率的计算,应尽可能基于核动力厂的特定 数据,并综合考虑类似核动力厂的运行数据和通用数据;若使用 通用的共因失效参数,则应论证这些参数的适用性,且通用数据 源中的设备边界、故障模式和故障根原因应与PSA中的假设相 一致;若采用专家判断的方法为共因失效参数赋值(当核动力厂 持定数据和通用数据均不可用时),应对共因失效参数的赋值进 行合理的论证,并保证所赋值的误差因子与共因失效参数确定过 程中的不确定性相匹配
4.7.1应采用结构化、系统化的方法来识别可能影响核动力 厂安全的人员失误,并定义相应的人员失误事件,定量化其发生 概率(即人员失误概率),以将其恰当地纳入核动力厂的PSA模
核动力厂一级概率安全分析
型中。应采用结构化、系统化的方法对各类人员失误对堆芯损坏 频率的贡献进行全面分析,以使结论更具可信度。由于现有核动 力厂设计中安全系统通常具有高度的亢余性、多样性和可靠性: 因而使得包含导致始发事件或导致始发事件缓解失败的人员失 误的事故序列对堆芯损坏频率的贡献往往会更加显著。 4.7.2一级PSA通常采用经典的HRA方法对人员行为可靠 生进行建模和定量化。如果条件具备,可以采用更先进的方法: 以考虑人员行为与工作环境在动态交互中认知层面的因素。 4.7.3尽管人员可靠性分析技术在近些年有所改进,但存在 的方法众多,并且该领域的技术水平仍在不断提高。因此,应正 确、自洽地应用所选用的方法。 4.7.4人员可靠性分析的自的是得到体系人员失误概率。得 到的各人员失误事件的概率之间应是自洽的,并且应与一级PSA 的其他要素相匹配。 4.7.5在开展人员可靠性分析时,应与核动力厂运行和维修 人员密切合作,以确保分析过程和结论可以正确地反映核动力人 的设计特征及正常和事故工况下的运行情况。若无法开展此项工 作(例如,处于设计阶段的核动力厂),则分析人员应参考其他 或类似核动力的相关信息,或者应清楚地说明分析人员在分析 中所依据的假设。 4.7.6人员动作的识别 4.7.6.1应采用结构化、系统化的步骤来识别需要在一级 PSA中考虑的人员动作,应包含其失误可能会对堆芯损坏频率产 生贡献的所有类型的人员动作。
核动力厂一级概率安全分析
4.7.6.2人员可靠性分析应包括在始发事件发生前可能已经 存在的会导致事故缓解所需设备或系统故障或不可用的人员失 误(通常称为A类人员失误事件),这类人员失误通常发生在维 修、维护、试验或校准任务活动中。若这类人员失误在始发事件 发生前一直未被发现,则受其影响的设备或设备组在始发事件发 生后对其需求时将不可用。特别是,此类人员失误有可能会同时 引起多列安全系统的不可用。这类不可用通常会模化在设备、列 或系统级的逻辑模型中。 4.7.6.3应对核动力厂运行规程、维修大纲等进行系统性的 审查,以识别与一级PSA中模化的系统相关的维修、维护、试 验和校准等运行人员及维修人员活动,从而识别相应的A类人 员失误事件。应通过系统性审查确定发生此类人员失误的可能性 以及这类失误对相关系统、设备的可用性或故障的潜在影响。 4.7.6.4应通过系统性的审查来识别可能引起始发事件的潜 在人员失误(通常称为B类人员失误事件)。功率运行阶段PSA 中,此类人员失误通常可以包含在相应始发事件中。 4.7.6.5应对核动力厂应急规程进行系统性的审查,以识别 在始发事件发生后核动力厂操级纵员需要采取的关键动作,从而确 定潜在的人员失误事件(通常称为C类人员失误事件)。通过审 查应确定发生此类人员失误的可能性,以及这类人员失误对设备 或系统的可用性或故障的潜在影响。C类人员失误事件通常对堆 芯损坏频率有较为显著的贡献,因此是一级PSA中需要识别的 最重要的人员失误。 4.7.6.6应将人员失误事件作为基本事件纳入故障树模型
核动力厂一级概率安全分析
或作为题头事件纳入事件树模型,以反映人员失误对事故情景的 影响。 4.7.7人员失误概率的确定 4.7.7.1人员失误概率的确定应基于特定的情境,并反映可 能影响操纵员绩效的各种因素,包括压力水平、任务执行的可用 时间、运行规程的可用性、培训程度、环境条件等。可以通过任 务分析来识别这些影响因素(通常称为“绩效形成因子”)。 4.7.7.2用于确定人员失误概率的方法应与一级PSA中常用 的HRA方法保持一致,否则应论证所采用的方法的适用性。 4.7.7.3应对每个关键的人员动作进行描述,详细说明与运 行人员动作相关的所有重要事项,一般应包含以下内容: (1)人员动作的时间: (2)相关的核动力厂规程; (3)动作执行时所处的环境: (4)实际运作情况,例如,运行人员班组的结构及其职责: (5)先前动作对当前动作的影响: (6)操纵员可用的信息及培训情况等。 4.7.7.4应采用恰当的方法对人员可靠性分析模型的正确性 进行核查,例如,核动力厂巡访或操纵员访谈。此外,模拟机演 练中对操纵员绩效和人机交互行为的观察也可为人员可靠性分 析提供有用的支持信息。 4.7.7.5核动力厂的安全文化也会影响人员失误概率,但自 前还没有一个公认的方法能将安全文化合理地考虑在人员失误 概率评估之中
核动力厂一级概率安全分析
4.7.8HRA相关性分析 4.7.8.1逻辑模型中包含的人员失误事件之间可能存在相关 性,这种相关性通常由于使用共同的指示信息或程序步骤、错误 的规程、错误的诊断或响应等导致。若同一个事件序列中的人员 失误事件之间存在相关性,则可能会显著增加人员失误的概率, 因此,应正确地识别人员失误事件之间的相关性并进行定量化。 4.7.8.2应识别出包含多重人员失误的重要最小割集。具体 买践中,可以将人员失误概率设置为一个较高的数值(例如,0.9 重新计算堆芯损坏频率,这样可以使包含多重人员失误事件的最 小割集突显出来。应审查在同一最小割集中出现的人员失误事件 以确定它们之间的相关性水平,并在人误概率的定量化中体现这 种相关性。
4.8.1本节对设备故障参数、设备退出运行的频率及持续时 间等可靠性数据提出建议。始发事件频率和人员失误概率的相关 建议在其他相应章节中讨论。 4.8.2数据分析需要解决的主要问题之一是,当核动力厂特 定运行经验有限或缺乏时,是否具备适用于所分析核动力厂设备 设计和运行状态的可用数据。 4.8.3应尽可能使用核动力厂的特定数据(如果有),并适当 地辅以类似核动力厂的相关数据,以提供更为产泛的数据来源; 若新建核动力厂或运行时间较短的核动力厂缺乏特定数据,可以 参考使用适用于类似核动力厂的通用数据;若无法获得适用于类 以核动力厂的通用数据,则可以使用其他类型的运行核动力厂的
核动力厂一级概率安全分析
通用数据。 4.8.4若可用的运行数据未统计到设备故障,则应对设备故 障概率的取值进行合理的论证。 4.8.5应对用于一级PSA的可靠性数据进行论证。通常的做 法是对多个不同来源的数据进行比较并解释其差异性。一般而言 在确定最优数据源的同时应提供相应的判断依据。 4.8.6如果需组合使用核动力厂的特定数据和不同来源的通 用数据,则应说明特定数据选取或多个数据来源融合所采用的方 法,通常可以采用贝叶斯估计或专家判断的方法。 4.8.7对于低故障概率的设备,即使采用通用数据,也可能 存在数据稀少或缺失的情况,这种情况下可以采用专家判断的方 式对其进行赋值,但应采取审慎的态度,并对取值的判断依据进 行阐述。 4.8.8设备可靠性参数 4.8.8.1应对分析中包含的每个设备或每类设备的可靠性参 数(失效概率或失效率)进行赋值。可靠性参数的确定应与设备 的类型、运行状态、PSA模型中确定的设备边界及故障模式相 致。 4.8.8.2应对一级PSA模型定量化中所采用的设备可靠性参 数的合理性进行论证。 4.8.8.3对于停堆后还需运行一定时间的设备(例如,泵), 应明确其任务时间。任务时间的确定需要考虑达到安全稳定的长 期停堆状态和建立长期恢复行动所需的时间。在某些始发事件 (例如,冷却剂丧失事故)下,这类设备的任务时间可能会非常
核动力厂一级概率安全分析
长。 4.8.8.4一级PSA文档中数据分析部分应给出一级PSA定量 化所采用的所有设备可靠性参数。应涵盖设备边界、故障模式、 可靠性参数及其不确定性、数据来源等,并论证所用数据的合理 性。 4.8.9设备退出运行的频率和持续时间 4.8.9.1一级PSA的定量化应包含设备和系统因试验、维护 或维修所导致的不可用度。设备退出运行的频率和持续时间所采 用的数值应真实地反映核动力厂运行的实际情况或计划的情况。 4.8.9.2如果有可能,应基于核动力厂维修记录和设备不可 用记录等特定数据,确定设备退出运行的频率和持续时间,也可 以结合类似核动力厂的相关数据;若无法做到项目管理和论文,则可以参考类 核动力厂的维修经验或参照技术规格书中规定的充许后撤时间, 4.8.9.3一级PSA报告中数据分析部分应给出设备或列的不 可用度数据,并应对所采用的数值进行论证
4.9模型整合与定量化
4.9.1一级PSA模型中对事件序列频率的定量化需要始发事 件发生频率、设备故障参数、设备退出运行频率和持续时间、共 因失效概率和人员失误概率等数据的支持。 4.9.2使用小事件树一大故障树方法时,应对每个始发事件 组的逻辑模型(事件树和故障树)进行布尔逻辑运算。在对一级 SA模型进行定量化计算前,应确保模型中不存在逻辑环;如果 存在逻辑环,则应在定量化前先进行解环,并应确保原有的相关 性能够尽可能地保留。一级PSA报告应给出模型中所有逻辑环
核动力厂一级概率安全分析
核动力厂一级概率安全分析
4.9.9一级PSA文档应给出PSA的定量化结果发电厂标准规范范本,并描述最重 要的事件序列和最小割集及所进行的后处理, 4.9.10分析人员应合理地定义“重要事件序列"和“重要最小 割集"的标准,可采用绝对准则或相对准则(例如,相对于总堆 芯损坏频率)的形式。 4.9.11一级PSA定量化中通常需要规定截断值以控制定量化 分析所需的时间。常用的方法是设置一个频率截断值,将低于此 频率的最小割集进行筛除,从而节约分析时间(也可以采用阶数 截断的方式,即筛除阶数大于规定数值的最小割集)。应当论证 所设定的截断值水平足够低,既保证一级PSA的整体结果稳定 收敛,又不会严重低估堆芯损坏频率结果。此外,可以根据PSA 不同应用的需求来设定不同的截断值
4.10重要度、敏感性和不确定性分析
....- 安全标准
- 相关专题: 核动力