物項安全分級中的幾個重要問題探討

李 娟，喬 寧，崔賀鋒，趙丹妮

（生態環境部核與輻射安全中心，北京 100082）

核動力廠物項（指構筑物、系統和部件，即Structure，Systems and Components，簡稱SSCs）安全分級涉及安全性和經濟性的諸多影響因素，以及原子物理、熱工水力、系統設計、材料、結構、力學分析等諸多專業領域。做好安全分級工作，需要有不同學科的深入技術研究，更需要縱觀全局的綜合判斷。

1 物項分級的安全意義

我國目前現行有效的《核動力廠設計安全規定》（HAF 102—2016）[1]第5.3 條要求，必須識別所有安全重要物項，并根據其“功能”和“安全重要性”對其進行分級。這里的“功能”是指HAF 102—2016“名詞解釋”部分定義的“安全功能”，即為了保證設施或活動能夠預防和緩解核動力廠正常運行、預計運行瞬態和事故工況下的放射性后果，保證安全而必須達到的特定目的。作為最高層次的概括，HAF 102—2016 第4.1 條給出了三項基本安全功能：

（1）控制反應性；

（2）排出堆芯余熱，導出乏燃料貯存設施所貯存燃料的熱量；

（3）包容放射性物質、屏蔽輻射、控制放射性的計劃排放，以及限制事故的放射性釋放。

就目前的認識而言，從避免放射性危害的角度，如果核動力廠的設計能保證實現上述三項基本安全功能，就可以認為核動力廠的安全是有保障的。核動力廠的安全設計，通常會從全廠層面、系統層面、部件層面，甚至到零件層面，對上述三項基本安全功能逐步細化，同時，必須提供對核動力廠狀態的監測手段以保證實現所要求的安全功能。也就是說，必要的狀態監測也屬于安全功能的一部分。

為了保證核動力廠的安全功能，落實到物項實體上，必須從適用性、恰當性和充分性的角度鑒別和評價用于核動力廠安全重要物項設計、制造的規范和標準，并根據需要進行補充或修改，以保證物項的質量與其所需執行的安全功能相適應。顯然，在實際應用中為每個物項都量身定做一套規范或標準會造成不可接受的成本，但所有物項都采用相同的規范或標準同樣會造成安全水平的降低或成本的增加。物項分級的意義就是要在兩者之間找到一個可接受的折中方案，從而可以對一批具有相似質量要求的物項使用同樣的規范和標準，在成本可接受的同時保證物項可接受的可靠性。

2 物項功能失效后果的分級準則

根據HAF 102—2016 第5.3.2 條，度量物項安全重要性的一項重要指標，是該物項未能執行其安全功能的后果嚴重程度。國際原子能機構（International Atomic Energy Agency，簡稱IAEA）于 2014 年發布的物項安全分級導則SSG-30[2]，該導則是IAEA 安全標準SSR-2/1[3]《Safety of Nuclear Power Plants：Design》的配套文件。SSG-30 推薦的分級過程如圖1 所示，即首先要對核動力廠設計、安全分析和基本安全功能的實現有基本認識，然后系統識別核動力廠所有狀態下，為實現安全功能所需要的功能和設計預防措施。利用安全分析的結果（如對假設始發事件的分析），基于其安全重要性對安全功能進行分類，屬于某一功能類別的SSCs，按照在實現功能中承擔的角色進行識別和分級。對于作為設計預防措施的SSCs 直接進行分級，因為假定其失效后果的嚴重性明確了它的分級而不需要再作任何相關安全功能分類的詳細分析。

圖1 SSG-30 分級過程流程圖Fig.1 The flow chart indicating the classification process of SSG-30

根據安全重要性對功能進行分類時，考慮三個要素：

（1）該功能失效的后果；

（2）需要該功能響應的假設始發事件頻率；

（3）該功能使核動力廠達到可控或安全狀態的重要性。

SSG-30 基于功能失效所導致的后果，按后果嚴重程度劃分為如表1 所示的“高”“中”“低”三個檔次。當滿足多個以上準則時，應適用較高的級別，后果的評估基于遇到挑戰時該功能不響應的假設。TECDOC-1787[4]是IAEA關于SSG-30 的應用指導技術文件，其中給出了表2 所示的限值實例。

表1 后果嚴重程度Table 1 The severity levels of consequences

表2 不同電廠狀態的接受限值實例Table 2 Examples of acceptable limits

從圖1 中可以看出，SSG-30 的分級過程分為兩條路徑，概括來說分為功能分級和屏障分級。SSG-30 中對于功能失效后果考慮“放射性釋放”和“關鍵物理參數”，主要是基于基本安全功能的實現，以及對人員和環境的放射性影響。SSR-2/1 中的基本安全功能包括：

（1）反應性控制；

（2）從反應堆和燃料貯存池導出熱量；

（3）放射性物質的包容，輻射屏蔽和控制計劃的放射性物質排放，以及事故下放射性物質排放的限制。

從表1 和表2 可以看出，以“高”后果為例，其對應的放射性釋放限值為“超過監管機構可接受的設計基準事故限值”，而對應的關鍵物理參數限值包括“超過包殼溫度峰值、燃料包殼氧化等燃料的LOCA 準則”“超過可接受的燃料棒失效個數”“安全殼壓力超過100%設計壓力”等。

參考我國的核安全導則《核動力廠確定論安全分析》[5]，其第4 章將驗收準則分為“放射性驗收準則”和“技術驗收準則”，要求確定技術驗收準則時，應根據挑戰屏障完整性相關的替代參數來建立，同時要包含足夠的保守性，以確保距離喪失屏障完整性仍具有合適的裕量。另一方面，達到關鍵物理參數限值時，離屏障損壞從而導致放射性釋放后果超出可接受限值還有一定的裕量。故建議對關鍵物理參數的原則進行調整，如表3 所示，使得后果劃分的準則更加合理。

表3 修改后的后果嚴重程度Table 3 The modified severity levels of consequences

對于“高”“中”“低”各個檔次對應的放射性釋放限值量化指標，考慮國內相關標準規范要求和工程實踐，不能直接引用TECDOC-1787 中的限值實例，還需進一步調查研究確定，以更好地指導安全分級的應用。

3 預防與緩解功能的分級考慮

SSG-30 強調分級過程應涵蓋正常運行直至設計擴展工況在內各層次縱深防御中執行的安全功能，并根據是偏重預防還是緩解，將他們區分為設計預防措施和事故緩解功能。不同功能對安全的主要貢獻大致如圖2 所示，設計預防措施的實施主要在于減少事故發生的概率，而功能的實施旨在使得后果處于與其發生概率相適應的可接受水平。

圖2 不同功能的主要貢獻Fig.2 Main contributions from different functionss

SSG-30 中設計預防措施包括：

（1）因其高質量而認為其失效可能性已被“實際消除”，核動力廠設計不要求通過應用獨立的安全系統來減輕這類SSCs 失效的后果，如壓力容器或蒸汽發生器的殼體；設計上用來降低事故發生頻率的特性，如失效將導致設計基準事故的高質量管道。

（2）用來防止工作人員和公眾在正常運行狀態遭受輻射危害的“非能動特性”，如屏蔽體或管道。

（3）用來保護安全重要部件免受內部和外部災害破壞的非能動設計特性，如用于實現該目標部件之間的混凝土墻。

（4）防止在沒有其他獨立失效發生的情況下，假設始發事件發展成更嚴重序列的設計特性，如防甩擊裝置和固定點。

對照HAF 102—2016，設計預防措施主要對應于縱深防御的第一層次和第二層次，事故緩解功能主要對應于縱深防御的第三層次和第四層次。

從設計的角度，第一層次要求“按照恰當的質量水平和經驗證的工程實踐，正確并保守地選址、設計、建造、維修和運行核動力廠”；第二層次要求“在設計中設置特定的系統和設施，通過安全分析確認其有效性，并制定運行規程以防止這些始發事件的發生”；第三層次要求，“必須通過固有安全特性和（或）專設安全設施、安全系統和規程，防止造成反應堆堆芯損傷或需要采取場外干預措施的放射性釋放，并能使核動力廠回到安全狀態”；第四層次要求，在第三層次防御失效的情況下，仍有措施控制事故進展和減輕嚴重事故的后果，實現在嚴重事故下僅需要在區域和時間上采取有限的防護行動，且避免場外放射性污染或將其減至最小。

HAF 102—2016 要求，縱深防御概念的應用主要是通過一系列獨立的防御層次的結合，防止事故對人員和環境造成危害。每一層次防御的獨立有效性都是縱深防御的必要組成部分。因此，從大的方面來講，設計預防措施和事故緩解功能對于安全的意義應該是并重的。但從至今為止的實踐來看，監管機構的注意力更集中在事故緩解功能。究其深層次原因，設計預防措施針對的放射性風險對物項提出的要求，大多數情況下并不比經濟性對物項提出的要求高。換句話說，為避免因各種偏離正常運行狀態而頻遭監管機構干預，核動力廠申請者會主動將設計預防措施物項的質量要求提高到合理可行的高度。實現這一目的的手段，包括事先充分的試驗驗證和原型堆足夠長時間的運行考驗和修改完善。對于事故緩解功能物項來說，由于其對經濟性的改善幾乎沒有，需要其投入運行的機會并不多，對其苛刻的質量要求所帶來的安全收益是否與其高成本相匹配經常會引發爭議，監管機構對這些物項投入更多注意力也是理所當然。

我國的核安全法規系列一直是以IAEA 相關技術文件為重要參考，目前現行有效物項安全分級導則HAD 102/03[6]于1986 年發布?？紤]到上述因素，后續國內導則升版參考SSG-30時，建議暫不明確將設計預防措施單列。當然，這絲毫不意味著設計預防措施對于安全的重要性不應該受到重視。

4 物項分級在安全分析中的作用

核動力廠的安全分析與物項分級是相互聯系、相互影響的。HAF 102—2016 第5.8.2 條要求，確定論安全分析方法必須包括：

（1）制定和確認所有安全重要物項的設計基準；

（2）表征與核動力廠設計和廠址相適應的假設始發事件；

（3）分析和評價假設始發事件導致的事件序列，以確認鑒定要求；

（4）將分析結果與驗收準則、設計限值、劑量限值以及可接受限值進行比較，以滿足輻射防護要求；

（5）論證通過安全系統的自動響應并結合所規定的操縱員動作，能夠管理預計運行事件和設計基準事故；

（6）論證通過安全系統的自動響應和利用安全設施功能并結合預期的操縱員動作，能夠管理設計擴展工況。

其中第（1）、（3）、（5）、（6）條是通過假定某些系統和設備能夠按照預期要求發揮作用，而推導出事件和事故的進程，可以認為這是安全分析對物項提出的設計和制造要求，是安全分析產生于物項分級的影響；而第（2）條中的假設始發事件卻很大程度上取決于物項的設計和建造質量，可以認為是物項分級產生于安全分析的影響。

在IAEA 和我國的關于核動力廠確定論安全分析導則[5,7]中規定，針對預計運行事件和設計基準事故的保守確定論安全分析，可以假設以下系統和設備可用：

（1）如果沒有受到假設始發事件自身或始發事件結果的影響，則在假設始發事件發生時處于正常運行狀態的系統；

（2）以偏保守模式運行的安全系統（前提是在運行階段得到安全級的能力維持，例如定期試驗等）。

可以看出，針對預計運行事件和設計基準事故，某些物項的安全級別會直接影響確定論安全分析的進程和結果，對于設計擴展工況也存在同樣的影響。相比之下，物項安全級別對于概率論安全分析的影響就沒有那么直接，概率論目前使用的數據庫是工業界統計數據，不區分設備安全等級，只看設備類別。目前正在編制設備分級導則，考慮引入風險指引型安全分級，并作為設備分級優化的可選方法，可以在原有確定論的基礎上對分級進行優化。

物項安全級別的改變，理論上會改變物項在核動力廠運行過程中的性能表現，也就是說物項的自身故障率和功能失效率會發生改變。但由于這些數據由運行統計數據而來，其變化很難在短時間內顯現出來。另外，一些安全系統設備預期執行功能的工況條件即使在較長時間內，也很少能實際發生，具有統計意義的數據量很難獲得。

5 不同級別物項的設計建造要求

HAF 102—2016 要求，安全重要物項的可靠性必須與其安全重要性相適應；必須鑒別和評價用于核動力廠安全重要物項設計準則的規范和標準，以確定其適用性、恰當性和充分性，并根據需要進行補充或修改，以保證設計質量與所需的安全功能相適應。安全重要物項必須是此前在相當使用條件下驗證過的，否則該物項必須具有高質量且其技術應經過鑒定或試驗。

之所以從預計運行事件、設計基準事故到設計擴展工況的確定論安全分析中可以采信安全系統和用于設計擴展工況的安全設施，就是因為這些物項采用了特定的規范和標準，或者是經過了特定的鑒定或試驗。這里的試驗，通常是指當引入未經驗證的設計或設施，或存在偏離已有工程實踐的情況時，借助適當的支持性研究計劃并具有特定驗收準則的性能試驗。

在選擇特定的規范、標準時，需要充分考慮安全分析中對物項所采信的安全功能，以更好地平衡安全性與經濟性。

保證物項設計和建造質量與所需的安全功能相適應，通常有兩種方法，除了選擇特定的設計標準外，還可以選擇不同的質量保證標準。二者對物項質量的影響方式不同，對經濟成本的影響方式也不同。

如果將物項質量理解為物項能夠按照預期實現其功能的概率，那么其質量水平可以用某一概率分布來表征，通常認為是正態分布。正態分布的均值期望值應該取決于物項設計和制造所采用的規范標準，而正態分布的離散性則取決于物項制造所采用的質量保證標準。其直觀表示如圖3 所示。

圖3 影響物項質量的兩種方式Fig.3 Two different ways influencing qualities

假設對應于設計建造標準的質量等級劃分為3 級，對應于質量保證的等級也劃分為3 級，則二者的影響可從圖3 看得更加清楚。圖4 中質量1 組、質量2 組和質量3 組的分別對應于均值150、100 和50，質保1 級、質保2 級和質保3 級分別對應于方差5、10 和15。

圖4 不同等級的影響Fig.4 Influences by different grades

質量等級提高對經濟成本的提高是通過選材、設計方法、檢驗方法等直接體現出來的，一般呈現單調對應關系，通常取決于對物項預期功能失效潛在風險高低的平衡考慮。質保等級的提高會對生產周期產生影響，更嚴格的管理活動也會使生產過程中出現更多的返工和次品零部件，從而造成經濟成本的單件經濟成本的提高，但從全局來看，嚴格的質量保證會對整體進度把控更好，也有利于避免最終產品的廢品率，這可以理解為對成本風險的降低。因此，對于非批量化生產的重要設備（如反應堆冷卻劑系統中的壓力容器、蒸汽發生器、穩壓器、主泵、主管道、安全閥等）較高的質保等級至關重要。對于質量要求不是太高的大宗產品（如核電廠設備中大批量使用的緊固件、支承件，設備檢驗使用的滲透劑、清洗劑和顯像劑，消耗品如墊片、墊圈、柴油、混凝土用河砂等），一定數量的廢品率相對于嚴格的質量管理所帶來的成本增加可能更合算，此外，對于大規模生產的產品通常廢品率會降至較低水平，故對于其最終性能完全可量化檢測的大宗產品，放棄質保而采用更嚴格的終極質控可能更為合理。

嚴格的質量保證的另一個重要作用是，對于采用一次性鑒定試驗來評價相同產品在極端環境條件下性能表現的情況，由于較小的產品離散性，只要在試驗條件上附加很小的裕量，就足以充分相信被鑒定設備所代表的一類產品能勝任預期的功能能力。

6 結論

本文根據我國核安全法規HAF 102—2016關于安全分級的最新要求，通過研究IAEA 物項分級導則SSG-30 的內容，結合我國核電工程設計中的物項分級實踐，對安全分級中的幾個重要問題提出意見建議如下：

（1）關于物項失效后果的嚴重程度判定準則，SSG-30 給出的各級別中“放射性后果”指標和“關鍵物理參數”指標對應關系值得探討。本文給出了建議的調整方案。關于放射性釋放限值的量化指標需進一步研究確定，以更好地促進按照HAF 102—2016 的要求進行物項分級。

（2）考慮到我國目前的實踐以及導則修訂的循序漸進原則，建議暫不明確將 SSG-30提出的設計預防措施單列。當然，這絲毫不意味著設計預防措施對于安全的重要性不應該受到重視。

（3）針對預計運行事件和設計基準事故，某些物項的安全級別會直接影響確定論安全分析的進程和結果，對于設計擴展工況也存在同樣的影響。相比之下，物項安全級別對于概率論安全分析的影響沒那么直接，風險指引型安全分級可作為物項分級中可選的一種方法。

（4）保證物項設計和建造質量與所需的安全功能相適應，可以通過選擇特定的設計標準或選擇不同的質量保證標準來實現。對于非批量化生產的重要設備，較高的質保等級至關重要；對于其最終性能完全可量化檢測的大宗產品，放棄質保而采用更嚴格的終極質控可能更為合理。