(赵瑞昌 1．国家核电技术研发中心，北京100190；林诚格 2．国家核安全局，北京100035)

      摘  要：介绍了APl000核电厂的概率安全分析(PSA)的目的、范围、方法、结果，包括内部事件的一、二、三级PSA分析，低功率及停堆工况、内部水淹、内部火灾以及地震的PSA分析等。分析结果显示，由于APl000核电厂的设计充分采用了非能动特性，其堆芯损坏频率以及大量放射性物质释放频率均比现役压水堆核电厂低，具有更为优越的安全性能。

      关键词：概率安全分析；非能动；堆芯损坏频率

      AbStFact：ThiS paper in troduces the aim，SCope，method and resultS of PrObabiliStic Safety AnalySiS (PSA) of APl000 nuclear power plants，including tbe level Ⅰ，Ⅱ，Ⅲ PSA of intemal events，and the PSA oflow power and shutdown，intemal flooding，intemal fire hazard and SeiSmic．The resultS of PSA show that the Core Damage Frequency (CDF) and Large Release Frequency(LRF) of APl000 nuclear power plants are less than the existing operating nuclear power plants with the incorporation of passiVe safety features,so the AP1000 nuclear Power plantS will provide a better safety performance.

      Key words：Probabilistic Safety Analysis; Passive; Core Damage Frequeency.

      1  APl000 PSA分析的目的和范围

      APl000的PSA分析工作是在AP600的基础上进行的，在原有的基础上，通过修改某些具体的模型细节而体现APl000的设计特征。为了确定系统成功准则，还对APl000进行了特定的热工水力(T—H)分析。对APl000核电厂内部事件的分析得到堆芯损坏频率与大量放射性释放频率的具体结果，然后再对外部事件及停堆模型进行分析，从而得到针对核电厂安全性的整体评价结论。

    对AP1000进行PSA分析的目的如表1所示；其分析范围如表2所示。

      2  APl000的PSA分析方法

      PSA分析的主要工作任务都依据相关导则的内容，以保证各项工作任务的协调。在导则中也说明了需要对PSA分析时所涉及的不确定性进行处理，并明确了PSA分析工作中要尽量使用最佳估算的方法进行建模分析与评价，包括对安全系统成功准则进行分析、对事故现象进行模拟以及放射性物质的迁移分析等。但最佳估算不可行时，应采用合理的保守假设。

      对APl000进行PSA分析的主要方法见表3。

      3 APl000的PSA分析结果

      APl000应用了PSA成功准则分析、严重事故研究与分析等，在设计阶段就考虑了严重事故的预防与缓解措施，因此在严重事故方面的安全性能要比现役核电厂高得多。并且，由于在设计之初就把PSA方法整合到了APl000的设计过程中，因此PSA的应用能够方便、迅速地反馈到核电厂的安全设计中。一、二、三级的PSA结果也显示，在设计过程中即引入PSA分析方法，能够充分降低风险水平。APl000的PSA分析结果也表明，其设计能够满足新型非能动压水堆较高的设计要求。

      APl000在功率情况下内部事件(包括地震、火灾、水灾等)的CDF(堆芯损坏频率)与LRF(大量放射性释放频率)值分别为2．4l×10^-10/堆·年与1.95×10^-8／堆·年。该频率值比当前在役核电厂的相应值低大约2个数量级。这一风险值的减少较大程度上是由于APl000核电厂的设计特征，比如高可靠性与多重的非能动安全相关系统的应用。与当前在役核电厂相比，这些非能动系统对操纵员及支持系统的依赖更少。
      经过偏保守的分析得出，火灾与水淹情况的堆芯损坏风险要比功率或停堆工况下的堆芯损坏风险小些。

      3．1  带功率运行下的PSA分析

      APl000带功率运行下的PSA分析内容主要有始发事件、事故序列、对核电厂风险贡献较大的系统或设备、共因、人因等，并对CDF的计算结果进行了敏感性分析。

      3．1．1  带功率情况下的内部始发事件导致的CDF

      从PSA的分析结果可以得到，APl000带功率始发事件所导致的CDF值为2．4l×l0^-7／堆·年，相当于核电厂运行400万堆年可能发生1次堆芯损坏的频率。这一数值要比当前在役压水堆的相应CDF值低2个数量级(100倍)。

      在APl000的PSA分析中共定义了26个独立的始发事件类别，其中11类属于LOCA事故，12类为瞬态，3类为未能停堆的预期瞬态(ATWS)。这些始发事件类中包括安注管道破裂、堆芯补水箱管道破裂、非能动余热排出系统热交换器管道破裂等。

      在核电厂带功率PSA计算中，有了类具体的始发事件对CDF计算结果的贡献较大，分别是6类LOCA事故以及1类SGTR事故，这7类事故所导致的CDF可以占到总CDF的92％左右，另外的8％则由除此以外的其他始发事件所导致。这7类始发事件具体是：#page#

      (1)安注管道破裂；

      (2大破口(破口尺寸大于9英寸)；

      (3)自动降压系统(ADS)误动作；

      (4)小破口(破口尺寸在3／8英寸与2英寸之间)；

      (5)中破口(破口尺寸在2英寸与9英寸之间)；

      (6)反应堆压力容器破裂；

      (7)蒸汽发生器传热管破裂(SGTR)。

      前3类始发事件中，每一类对CDF的贡献都超过了10％，3者总的贡献大于70％。小破口、中破口以及反应堆压力容器破裂事故分别占整个CDF的7％，6％以及4％。

      APl000的PSA分析结果还显示，稀有事故(预期在核电厂整个寿期中都不会发生的事件)对CDF的贡献很小(>1％)。这也表明，APl000的设计不但能够经受发生频率相对较高的瞬态的挑战，还能通过纵深防御特征对更为严重的事故所造成的威胁提供充分的防护。

      3．1．2  占主导的堆芯损坏事故序列

      APl000的PSA分析在带功率情况下的内部始发事件建模过程中，共建立了791个堆芯损坏事故序列。这些堆芯损坏序列由始发事件的发生以及后续能够导致堆芯损坏的系统或操纵员动作的成功与失效状态组合而成。在这791个事故序列中，有190个序列所导致的堆芯损坏频率在7×10^-8／堆·年至l×10^-15堆·年。剩下的序列对CDF并不会产生多大的贡献。

      在这791个堆芯损坏事故序列中，能够导致高堆芯损坏频率的前10个事故序列总共对CDF贡献为(约为1．92X10^-7／堆· 年)，前19个序列为90％(约2．18×10^-7/堆·年)，前58个序列为99％(约2．39X10^-7／堆年)，前100个序列为99．9%约2．41×10^-7／堆·年)，见图1。

      其中，占主导的前19个事故序列如表4所示。

      上述对CDF贡献最大的4个主导事故序列占总CDF值的比例已超过50％。对这4个事故序列的相关事故进程描述如下：

      (1)安注管道、堆芯补水箱(CMT)、安全壳内置换料水箱(1RWST)中的某一列发生破裂，反应堆会先行停堆，并启动第2个CMT进行注入，同时启动ADS。序列还假设了IRWST中的1条管线注入失败，因此，反应堆冷却系统压力较低，堆芯损坏将在RCS较低压力下发生。

      (2)大破口事故发生后，反应堆因空泡的作用而停堆或处于次临界，RCS会快速降压，堆芯损坏将在RCS低压情况下发生，同时，序列还假设了1个安注箱向RCS注入失效。

      (3)ADS误动作事件发生后，反应堆因空泡的作用而停堆或处于次临界，RCS快速降压，2个安注箱至少有1个会进行注入，从而在较短时间内对RCS进行补水，且序列假设CMT注入失效，IRWST自动注入不会启动，此时堆芯损坏将在RCS中等压力条件下发生。

      (4)安注管道、堆芯补水箱(CMT)、安全壳内置换料水箱(1RWST)中的某一列发生破裂，反应堆会先行停堆，且假设第2个CMT注入成功，ADS启动失败；在序列中还假设IRWST中的管线注入失败，因此，反应堆冷却系统压力较低，堆芯损坏将在RCS低压情况下发生。

      每个堆芯损坏序列都由部件级的割集组成，全部序列总共约有19000个割集。其中对CDF数值贡献较高的前2000个割集占了总CDF的98％，见图2。

3．1.3重要度及敏感性分析

      在系统功能正常执行的过程中，各个设备所处角色的重要程度是不尽相同的。重要度分析的主要目的则是通过对系统整体及组成系统各个设备间的关系进行深入的研究，给出所研究的各个设备对于系统功能的正常执行所作贡献的重要程度。通过重要度分析，确定对核电厂堆芯损坏有最大影响的那些因素，从而使核电厂的风险控制更具针对性。APl000的PSA分析中进行了部件重要度、共因失效重要度、人因失效重要度以及敏感性几个方面的分析。

      3．1．3．1部件重要度

      风险降低分析(RRW)结果显示，APl000中有6个部件的RRW值大于1．05，IRWST泄放管堵塞的RRW值最高。具体如表5所示。

      对于其他RRW值低于1．04的设备和部件失效事件可以忽略，因为通过事件树的分析和计算表明，这些事件对于CDF的贡献并不大。

      对于RAW(风险增加权重因子)的研究则表明，除了共因失效外，安注系统元件的RAW值最高，其次为非1E级直流电与不间断电源(EDS)、多样的1E级直流电与不间断电源、CMT部件等。

      3．1．3．2共因失效的重要度

      共因失效(Common Cause Failure，CCF)对CDF也有比较重要的影响。有关的共因失效包括：

      (1)核电厂保护系统、安全监测系统以及控制系统的软件共因失效；

      (2)保护系统与安全监测系统中所用的变送器失效；

      (3)安全壳地坑再循环滤网堵塞，

      (4)反应堆停堆断路器失效；

      (5)IRWST重力注入管路逆止阀与爆破阀失效；

      (6)IRWST的过滤系统堵塞；

      (7)ADS-4爆破阀以及保护及安全监测系统输出失效。

      上述共因失效对于核电厂要维持较低的CDF值的影响很大。

      对风险降低贡献较大的共因失效硬件系统主要有：ADS-4爆破阀、重力注入与IRWST再循环管路部件、仪控组件与传感器。#page#

      3．1．3．3人因失效的重要度

      在PSA的分析中评价了主控制室对不同操作任务的完成效果。风险降低分析结果表明，共有10种操纵员动作的RRW因子大于1％。当假设所有操纵员执行动作都成功时，并没有发现对CDF贡献大于3％者。这也表明，相关操纵员的行为动作水平的提高对电厂整体CDF的减小并没有太大影响。

      风险增加分析结果也表明，有7种操纵员失误行为的RAW因子大于100％(假定所考察的操纵员行为错误，所能引起的CDF增加值与原CDF值之比)。这其中比较重要的失误行为足操纵员没有判断出蒸汽发生器发生传热管破裂(SGTR)，该行为的失误所对应的RAW值为6．3，与设备或系统的RAW值相比并不是很大。可见操纵员行为对于APl000核电厂的整体CDF贡献并不是很重要。

      更进一步的分析表明，在假设30种操纵员操作无误的情况下，CDF的计算结果也并没有大的改善。而当这30种操纵员操作行为都假设失误时，CDF值会增加至1．4X10^-5／堆·年，前100个序列为99．9%约2．41×10^-7／堆·年)，见图1。但与当前在役核电厂相比，该CDF值依然是较低的。这表明，APl000对于操纵员行为的依赖程度非常低，在无需操纵员干预时，APl000仍然可以满足安全目标。

3．1．3．4敏感性分析

      PSA中的敏感性分析主要用于分析系统或部件之间及其与核电厂整体CDF之间的相互关系(其自身参数的变化所导致的其他各项参数的变化)，以及特定条件或参数的变化对结果的影响。一般用百分比的形式表示。

      其主要内容则包括两方面：(1)确定CDF值对于设备、部件失效(主要是相依失效)以及人因失效的敏感性；(2)分析对PSA分析结果有重要影响的模型假设条件。

      对APl000的有关系统进行的敏感性分析结果显示，保护系统、安全监测系统以及1E级直流电源这些系统对维持CDF较低值的作用最大。在对5个后备的非安全相关系统(包括化学和容积控制系
统CVS、启动给水系统SFW、正常余热排出系统RNS、多样化驱动系统DAS、柴油发电机DGs)进行敏感性分析时，假设了这些系统都不可用，并得到相应的CDF为7．40×10^-6／堆·年，约足总CDF值的31倍。这说明APl000的CDF值对上述这5个系统同时失效还是比较敏感的。但实际上，由于这5个系统同时失效的发生概率极低，因此这对电厂整体CDF计算结果的贡献并不大。

      APl000核电厂在带功率条件下内部事件所致的堆芯熔化模型上共进行了36个重要度及敏感性分析。

      重要度分析论证了下述内容：

      (1)单个基本事件对于电厂CDF的影响与重要性；

      (2)安全相关与非安全相关系统对维持电厂较低CDF值的重要程度；

      (3)安全壳保护系统对维持较低LRF的重要性；

      (4)人因或班组对于核电厂CDF的影响；

      (5)其他非能动系统(如逆止阀)的可靠性对CDF的影响等。

      敏感性分析则显示：

      (1)操纵员行为都失误时，APl000的CDF值为1．4×10^-5／堆·年。这个值相当于当前在役核电厂在操纵员行为全部成功时的CDF值；

      (2)对阻止堆芯熔化最为重要的系统包括保护系统与安全监测系统、1E级直流电源、ADS、IRWST再循环系统、CMT、安注箱。但非安全相关系统都不存在较高的系统重要度；

      (3)操纵员行为可靠性的提升并不会对风险降低有显著的贡献，只有7种操纵员行为(在假设其都失效时)会对CDF产生风险增大的影响，其中最重要者是操纵员未能诊断出SGTR的发生；

      (4)当所有逆止阀的失效率都增大10倍时，CDF会增至8．8×10^-7堆·年 ，这表明即使是在比较悲观的假设下，依靠逆止阀进行动作的非能动安全相关系统的运行是能够满足安全要求的；

      (5)由于APl000的非能动设计不需要交流电源，因此柴油机的运行持续时间并不会对核电厂的整体CDF造成影响；

      (6)共因失效基本事件，特别是安全相关系统的共因失效基本事件中的单个事件或事件组，对CDF的影响都很大，通过增大安全相关系统多重性或多样化方式，可以显著地降低单个部件随机失效对系统失效的贡献。

      3．2带功率运行条件下内部事件导致的LRF

      APl000的二级(安全壳响应)与三级(核电厂整体风险)PSA的分析结果表明，带功率运行时的内部事件所导致的事故后果，不会带来严重的影响。APl000的安全壳设计可以在严重事故后充分阻止放射性物质的释放，防止其对公众造成伤害。APl000的LRF(直接关联到安全壳失效频率)可分为两种类型的失效：(1)安全壳初始即失效(安全壳的完整性因始发事件的发生而立即失效)；(2)安全壳因产生高能释放的严重事故现象而发生完整性失效。综合这两类失效即可得到总的LRF值。   经PSA的分析可知，APl000的LRF值为1．95×10^-8／堆·年。

3．2．1  占主导的LRF序列

      对现有各种释放类进行的分析表明，旁路(BP)类型释放类是LRF的主导，占LRF的54％；安全壳早期失效则占38％。这2个释放类总的发生频率是1．8×10^-8／堆·年 ，约占到LRF总值的92％，安全壳隔离失效释放类占7％，余者由其他释放类贡献。

      各个释放类、相应电厂损坏状态及其占总的LRF份额如表6所示。

3．2．2带功率条件下二级PSA对APl000设计特性的评价

      APl000的设计特性能够使LRF处于一较低值，并使放射性物质仅有很少量释放至环境，甚至可与常规能源相比：#page#

      (1)堆腔室的淹没能力使严重事故下反应堆压力容器不会失效。压力容器及其堆外冷却的设计可保证堆腔室中的水能够对压力容器进行持续冷却，防止其失效(达到堆内熔融物持留，即IVR的目的)。压力容器的完整性得以维持，则可消除熔融物释放到压力容器外，进而对安全壳构成潜在威胁的可能性。

      (2)RCS的降压能力缓解了高压严重事故下可能导致的事故后果，并减小了高压严重事故下的LRF值。在进行分析时假设了在严重事故下若RCS长时间处于高压状态，则会对RCS压力边界、管道、蒸汽发生器传热管等造成的破坏，而高压RCS失效则可能产生安全壳失效或旁路。

      (3)钢制安全壳与安全壳屏蔽构筑物之间空气流道的环段设计能够减小放射性物质向环境的释放，在其释出安全壳之前增大其沉积量。

      从APl000的二级PSA分析中能够得到有关其设计特点的一些启示：

      (1)APl000的安全壳有效性超过90％(所谓安全壳有效性是指一旦堆芯熔化发生，安全壳能够阻止释放的效能，一般计算时可用1与一旦发生堆芯熔化造成放射性释放的条件概率值之差来计算，结果一般用百分比表示)，对LRF值量级的降低起到了积极作用；

      (2)堆芯熔化后RCS处于高压时，安全壳的有效性最低，并且由于造成ADS失效并导致堆芯熔化的共因失效也会对事故后系统降压造成不利影响；

      (3)更为具体的分析表明，对LRF贡献较大的事故中，主要事故为SGTR；由于该事故序列下，假想的堆芯熔化事故后RCS为低压状态，因此放射性产物仍可能存在于压力容器中，并通过冷却剂散布到已失效的蒸汽发生器中去；该事故下的敏感性分析表明，安全壳有效性有小幅降低(从91．9％降至89．7％)，这说明LRF对于SGTR事故并不很敏感；

      (4)压力容器始发事件的频率被定为1．0×10^-8／堆·年 ，该事件一经发生则有90％的可能会导致压力容器的筒身区之上发生失效，在这种失效状况下，熔融物能够得到冷却，安全壳完整性也不会受到威胁；其余10％则可能导致压力容器失效发生在筒身区之下。此时，保守假定安全壳会发生失效。利用这一保守假定进行敏感性分析，结果表明安全壳有效性会降至88．2％，降幅不大；

      (5)LRF值对于氢气点燃系统的失效是比较敏感的，若氢气点燃系统失效，则安全壳有效性可降至74％；

      (6)若处于3D与1A(或IP)事故类时，保守的假设通过IRWST造成的氢气释放可导致安全壳失效，则安全壳有效性会降至84．5％，LRF值会相应增至7．58X10^-8／堆·年，增幅较明显，约为原值的4倍；该敏感性分析考虑了氢气混合模型的不确定性，即氢气会释放到IRWST中，并经IRWST排气管道释放到操作平台之上；

      (7)安全壳因SGTR造成的旁路失效占LRF值的53。9％，其余的安全壳失效则由反应堆压力容器淹没失效所致的安全壳早期失效所主导；

      (8)LRF对于PCS(安全壳非能动冷却系统)的可靠性并不敏感，若假设PCS的可靠性为0．001，则LRF值为1．97×10^-8／堆·年，与原值(1．95X10^-8／堆·年)相比增幅很小；

      (9)由于堆腔室淹没对保证压力容器的完整性非常重要，因此在堆芯熔化发生后的较短时间内，LRF对完成堆腔室再淹没的操纵员行为成功与否是比较敏感的，为此该行为动作已被移至应急响应规程(Emergency Response Guideline，ERG)的开始部分，以尽可能提高事故发生后操纵员成功进行堆腔室再淹没操作的可能性；

      (10)放射性产物释放至环境中去的可能性是微乎其微的，这主要是由于较小的CDF值以及同样很小的释放频率；安全壳的设计也增大了严重事故时可能释放的放射性物质的沉积效应，而PCS系统也能够使放射性物质从安全壳中可能获得的能量最小化。

      以上分析结果表明，APl000的多重性、多样化设计特征是非常充分的。所设置的安全相关非能动系统的启动过程也无需交流电源或操纵员进行操作。在预防与缓解事故后果方面，其设计是非常稳健的。尽管在PSA模型中存在不少保守性，APl000的CDF与LRF值仍要比当前在役核电厂小得多。分析表明，严重事故时所假设的大量放射性释放也满足相关标准(如GB-18871-2002)的要求。(待续)