風險管理最早由美國賓夕法尼亞大學所羅門·許布納博士于1930年提出,其內容是指各經濟單位通過識別、衡量、分析風險,并在此基礎上有效控制風險,用最經濟合理的方法來綜合處置風險,實現最大安全保障的科學管理方法。
核電廠由于存在放射性物質釋放到環境中而對公眾產生危害的風險,因而人們對核電廠安全的關注程度要比對常規電廠及其它新能源發電方式高得多。為了保障核安全,核電廠在設計、制造、安裝調試、運行及其退役中均按照縱深防御原則,采取保守的預防措施。這些措施經過核電廠9000多堆·年的運行證明是有效的。由于核電廠存在放射性危害的風險,后果又十分嚴重,因此運行核電廠的風險管理十分重要。
1 大亞灣核電廠風險管理的實踐
大亞灣核電廠在投入商業運行后,充分利用世界上核電廠風險管理的經驗,并通過自身實踐的檢驗建立了風險管理體系,在安全生產中發揮了積極作用。
1.1 機組狀態管理
根據運行技術規范所定義的反應堆正常運行的9個標準狀態的限值安全要求和機組運行的要求,界定出不同機組狀態必須可用的系統和設備,對每一狀態都制定了靜態檢查點試驗規程,對狀態變化則制定了動態檢查點試驗規程。靜態檢查點試驗是對機組停留在某一標準狀態時所進行相關的試驗,要求操縱員每班(8 h)實施1次,以便通過試驗及時發現人因或設備的偏差;動態檢查點則是為了確保反應堆狀態轉變時,安全相關系統和設備滿足技術規范的要求。無論是靜態檢查點還是動態檢查點,都是從保障核安全的3大功能來考慮的,控制點的釋放必須由安全評價會議或當班安全工程師批準。
在機組換料大修期間,通過實行運行主隔離管理,將機組系統或設備停運、復役和隔離活動用同一主隔離文件反映。即用運行規程控制機組狀態,用隔離計劃管理系統的隔離與復役,使主控室操縱員在控制機組狀態的同時控制系統的主隔離活動。因全部運行活動控制歸一,從而杜絕了隔離經理與主控室操縱員信息不一致而可能導致的人因失效。
1.2 風險指引型的核安全監督
大亞灣核電廠安全工程師崗位的設置源于法國核電廠的實踐。安全工程師獨立于運行值而對機組安全狀態實施監督和控制,其職責是通過對核安全功能的監督,對電廠核安全狀況進行評價,對運行總則執行情況進行獨立檢查,跟蹤核安全相關問題,對核安全管理提出建議。在實際運作過程中,大亞灣核電廠將安全工程師的職責,從事后的符合性監督向事前風險度監督轉變,即由問題指引型監督轉向風險指引型監督。風險指引型的安全監督主要表現在,通過事件探測、概率風險分析、對安全關注問題的跟蹤、安全指標的趨勢分析以及對電廠運行和維修活動的工作申請、計劃安排、風險分析等進行獨立審查,實現對核電廠安全的控制。
1.3 運行維修活動的風險分析
大亞灣核電廠要求所有與機組運行相關的生產活動必須百分之百通過風險分析。
風險分析涉及兩方面內容:
(1) 對各種生產活動執行過程中可能存在或可能產生的對機組狀態的影響及其后果進行分析;
(2) 對生產活動過程中的設備和工作環境中存在的危險來源進行分析。
在這里,風險分析主要以生產活動歷史和經驗反饋為基礎,輔之以邏輯分析,即以“事件樹”的方法,確定可能產生的后果或影響。
參與風險分析的人員,包括技術準備人員、執行人員、運行人員、工業安全與輻射防護人員和安全工程師。他們從各自的職能出發進行獨立分析,以保證能充分識別風險因素和制定有效預防措施。從保證核安全角度來看,運行人員和安全工程師的作用最大。因為運行人員必須對機組狀態設置和對運行設備的安全負責,而安全工程師必須對安全質量相關(QSR)系統或設備可能產生的對核安全影響的風險識別負責。
1.4 防止非計劃停機停堆計劃
對以往非計劃停機、停堆事件以及未遂事件的分析發現,電廠非計劃停機、停堆大多數是由于設備失效引起的,其中又以常規島,特別是給水系統流量、給水泵轉速調節故障導致的事件比例較高。而人因引發的停機停堆事件中,主要以不良工作習慣為主,如工作前準備不充分、不做風險分析、不遵守規程等。
為了減少和防止非計劃停機、停堆,對于人因失效的預防,大亞灣核電廠主要以反對不良工作習慣、加強對員工行為管理作為突破口,在全廠推行“明星自檢”方法,同時加強工作過程中的風險管理(監護制、唱票制等),以提高員工安全文化素養作為貫穿始終的主線。
對于設備失效的預防,以提高設備預防性與預見性維修的有效性,加強設備管理為基礎,同時重點組織對全廠系統和設備進行全面分析,確定可能導致停機停堆的設備,并在此基礎上制定防止非計劃停機停堆計劃 。防止非計劃停機停堆計劃是一項行動計劃,更是風險防范和設備故障應對工作指南。
防止非計劃停機停堆計劃的內容包括:
(1) 關鍵設備標識。 對所有可能導致停機停堆的設備進行標識,并根據重要程序和故障概率進行排序;
(2) 設備故障預想。按典型故障、本廠設備特殊故障、外廠同類設備的特殊故障等,對具體設備可能的故障模式進行分析和描述;
(3) 風險分析。對每個設備的每一種故障模式進行風險分析,給出直接風險和間接風險;
(4) 制定行動方案。根據故障預想中所有可能的故障模式制定具體的行動方案或應對措施;
(5) 確定工作計劃。把每個具體的行動方案或應對措施列入工作計劃,以便實施和跟蹤。
1.5 一級概率風險分析(PRA)的應用
PRA是一種系統的工程安全評價技術,是定量評價核電廠風險的手段。它與傳統的確定論安全分析的區別在于,PRA能給出各種初因事件的事故序列、頻率及后果。PRA技術應用包括核電廠運行事件分析、定期安全評審、運行風險實時分析等。
PRA有3個層次或稱為三級 。一級PRA是通過對電廠系統和設備失效的評價,確定出堆芯損傷頻率;二級PR A以一級PRA的結果作為輸入,給出嚴重事故引起的放射性源項和對安全殼響應的評價,確定出安全殼釋放序列及其頻率;三級PRA是以二級PRA結果為輸入,綜合電廠周圍環境因素和應急措施,估算出公眾風險。
目前大亞灣核電廠已建立一級PRA技術,并已在生產實踐中應用。通過評估和比較與安全相關的各種技術方案對堆芯損傷頻率的貢獻,幫助進行運行、維修及工程改造項目的決策分析。同時通過對運行機組運行狀態定期評估堆芯損傷頻率,對電廠安全水平的趨勢進行跟蹤。
2 風險管理應擴展的領域
在大亞灣核電廠風險管理的實踐中,風險分析和防止非計劃停機停堆等工作主要是以工程判斷和經驗反饋為基礎的。盡管建立了經驗反饋和標準風險分析數據庫,但是由于具體的運行機組所處的狀態、條件存在許多不同,而且每次參加風險分析的人員以及他們的知識、經驗也不盡相同,都會造成風險分析的結果與實際情況存在差異,甚至可能忽視某些風險因素。
風險管理的核心是識別風險和風險衡量,如果風險不能被充分識別,預防措施不能到位,就有可能引發事件。充分發揮PRA技術量化分析的優勢,在運行、維修等生產活動中實現對核安全的可知、可控應是發展的趨勢。
利用PRA技術量化分析的優勢,可彌補目前的運行技術規范對多系統、設備不可用的安全后果進行分析的不足,并克服因確定論方法帶來的保守性,這應是風險管理技術擴展的領域。
2.1 對運行技術規范的優化
運行技術規范中對安全系統或設備的不可用作了定義,并對不可用安全期限(Fallback Time)、后備狀態以及某個安全系統或設備退出運行所要求的機組組合和條件作了規定。這些規定基本上源于工程判斷和確定論方法,是不盡合理的,但必須遵守。
由于電廠已經建立PRA技術,對于運用風險技術來改進技術規范已經變得越來越現實,利用風險技術可在以下方面改進技術規范:
(1) 將安全期限概念改變為允許停役時間,根據PRA對不可用設備或系統的風險計算結果確定允許停役時間;
(2) 通過PRA評估找出系統或設備不可用情況下,最安全的反應堆狀態和機組組合或運行條件;
(3) 研究多系統或設備不可用的安全管理措施。
由于技術規范是受國家核安全管理當局審查和批準的,并具有法規效力,因此對技術規范的改進必須獲得國家核安全管理當局的審查和批準。
對于核電廠來講,PRA技術方法的科學性、成熟性、使用假設的真實性、可靠性、數據的準確性將直接影響風險控制結果,因此保證PRA質量是應用風險技術的關鍵。
2.2 擴大在線維修范圍
利用PRA對機組運行狀態下進行設備維修的風險進行控制,保證在維修而導致設備或系統不可用的情況下,不會降低核電站的安全水平和增加風險,即實現維修下的機組組合的風險管理。
由于不同設備的失效或不可用對核安全的影響程度不一樣,傳統的定性分析無法用定量的準則來確定這種影響,而用風險依據的決策方法可以對設備的重要度進行排序,找出哪些同時不可用就會導致較高電廠運行風險的組合,從而通過調整維修和試驗的計劃,來避免這種組合的出現。
機組組合風險管理的直接貢獻是,為更廣泛地在機組功率運行狀態下開展預防性維修,即開展在線維修創造了條件,最終可以提高系統及機組運行的可靠性。通過實現功率期間在線維修,減少換料大修的維修工作量而優化和縮短大修工期。
2.3 優化維修大綱
通過確定對電站風險具有重大影響的系統及設備,制定相應的維修計劃,進一步優化維修大綱。
以PRA為基礎可以提供改進設備可用率所得到的潛在風險利益的定量信息和對設備進行預防性維修而停止服務所產生的風險后果的定量信息。將獲得的利益及代價進行比較,可最有效地利用資源來支持電廠高水平的安全和可用率。風險依據的決策方法將幫助維修人員:
(1) 識別需要預防性維修升級(增加維修項目或維修頻度)的設備,使其在運行可靠性增加的同時,提高電廠在安全上獲得的利益;
(2) 識別可以維修降級(減少維修項目,延長維修周期)的設備,這些設備的原維修頻度會導致高風險機組組合的頻繁出現,而使電廠的總風險增加;或者提高其可靠性的代價與提高安全水平的收益不相稱;
(3) 識別只要求進行糾正性維修的設備,其不可用不會導致風險增加,且其維修對機組狀態無特殊的要求。
2.4 對維修有效性進行評價
一個有效的維修大綱,應保證電廠中具有安全功能的所有系統、設備的可靠性、有效性水平能滿足設計要求,保證電廠安全狀態不受影響。有效的維修將為關鍵的結構、系統、設備(SSCS)執行其設計功能提供合理的保證。而電廠的概率風險評估的結果以及安全、運行性能指標反過來可以考察維修的有效水平。
對此,核電廠除了建立整體的安全、運行性能指標(如7 000臨界小時非計劃緊急停堆次數、安全系統可靠性、非計劃能力損失因子等)外,風險指標(如堆芯損壞頻度、早期大量釋放度)是評價核電廠安全水
核電廠由于存在放射性物質釋放到環境中而對公眾產生危害的風險,因而人們對核電廠安全的關注程度要比對常規電廠及其它新能源發電方式高得多。為了保障核安全,核電廠在設計、制造、安裝調試、運行及其退役中均按照縱深防御原則,采取保守的預防措施。這些措施經過核電廠9000多堆·年的運行證明是有效的。由于核電廠存在放射性危害的風險,后果又十分嚴重,因此運行核電廠的風險管理十分重要。
1 大亞灣核電廠風險管理的實踐
大亞灣核電廠在投入商業運行后,充分利用世界上核電廠風險管理的經驗,并通過自身實踐的檢驗建立了風險管理體系,在安全生產中發揮了積極作用。
1.1 機組狀態管理
根據運行技術規范所定義的反應堆正常運行的9個標準狀態的限值安全要求和機組運行的要求,界定出不同機組狀態必須可用的系統和設備,對每一狀態都制定了靜態檢查點試驗規程,對狀態變化則制定了動態檢查點試驗規程。靜態檢查點試驗是對機組停留在某一標準狀態時所進行相關的試驗,要求操縱員每班(8 h)實施1次,以便通過試驗及時發現人因或設備的偏差;動態檢查點則是為了確保反應堆狀態轉變時,安全相關系統和設備滿足技術規范的要求。無論是靜態檢查點還是動態檢查點,都是從保障核安全的3大功能來考慮的,控制點的釋放必須由安全評價會議或當班安全工程師批準。
在機組換料大修期間,通過實行運行主隔離管理,將機組系統或設備停運、復役和隔離活動用同一主隔離文件反映。即用運行規程控制機組狀態,用隔離計劃管理系統的隔離與復役,使主控室操縱員在控制機組狀態的同時控制系統的主隔離活動。因全部運行活動控制歸一,從而杜絕了隔離經理與主控室操縱員信息不一致而可能導致的人因失效。
1.2 風險指引型的核安全監督
大亞灣核電廠安全工程師崗位的設置源于法國核電廠的實踐。安全工程師獨立于運行值而對機組安全狀態實施監督和控制,其職責是通過對核安全功能的監督,對電廠核安全狀況進行評價,對運行總則執行情況進行獨立檢查,跟蹤核安全相關問題,對核安全管理提出建議。在實際運作過程中,大亞灣核電廠將安全工程師的職責,從事后的符合性監督向事前風險度監督轉變,即由問題指引型監督轉向風險指引型監督。風險指引型的安全監督主要表現在,通過事件探測、概率風險分析、對安全關注問題的跟蹤、安全指標的趨勢分析以及對電廠運行和維修活動的工作申請、計劃安排、風險分析等進行獨立審查,實現對核電廠安全的控制。
1.3 運行維修活動的風險分析
大亞灣核電廠要求所有與機組運行相關的生產活動必須百分之百通過風險分析。
風險分析涉及兩方面內容:
(1) 對各種生產活動執行過程中可能存在或可能產生的對機組狀態的影響及其后果進行分析;
(2) 對生產活動過程中的設備和工作環境中存在的危險來源進行分析。
在這里,風險分析主要以生產活動歷史和經驗反饋為基礎,輔之以邏輯分析,即以“事件樹”的方法,確定可能產生的后果或影響。
參與風險分析的人員,包括技術準備人員、執行人員、運行人員、工業安全與輻射防護人員和安全工程師。他們從各自的職能出發進行獨立分析,以保證能充分識別風險因素和制定有效預防措施。從保證核安全角度來看,運行人員和安全工程師的作用最大。因為運行人員必須對機組狀態設置和對運行設備的安全負責,而安全工程師必須對安全質量相關(QSR)系統或設備可能產生的對核安全影響的風險識別負責。
1.4 防止非計劃停機停堆計劃
對以往非計劃停機、停堆事件以及未遂事件的分析發現,電廠非計劃停機、停堆大多數是由于設備失效引起的,其中又以常規島,特別是給水系統流量、給水泵轉速調節故障導致的事件比例較高。而人因引發的停機停堆事件中,主要以不良工作習慣為主,如工作前準備不充分、不做風險分析、不遵守規程等。
為了減少和防止非計劃停機、停堆,對于人因失效的預防,大亞灣核電廠主要以反對不良工作習慣、加強對員工行為管理作為突破口,在全廠推行“明星自檢”方法,同時加強工作過程中的風險管理(監護制、唱票制等),以提高員工安全文化素養作為貫穿始終的主線。
對于設備失效的預防,以提高設備預防性與預見性維修的有效性,加強設備管理為基礎,同時重點組織對全廠系統和設備進行全面分析,確定可能導致停機停堆的設備,并在此基礎上制定防止非計劃停機停堆計劃 。防止非計劃停機停堆計劃是一項行動計劃,更是風險防范和設備故障應對工作指南。
防止非計劃停機停堆計劃的內容包括:
(1) 關鍵設備標識。 對所有可能導致停機停堆的設備進行標識,并根據重要程序和故障概率進行排序;
(2) 設備故障預想。按典型故障、本廠設備特殊故障、外廠同類設備的特殊故障等,對具體設備可能的故障模式進行分析和描述;
(3) 風險分析。對每個設備的每一種故障模式進行風險分析,給出直接風險和間接風險;
(4) 制定行動方案。根據故障預想中所有可能的故障模式制定具體的行動方案或應對措施;
(5) 確定工作計劃。把每個具體的行動方案或應對措施列入工作計劃,以便實施和跟蹤。
1.5 一級概率風險分析(PRA)的應用
PRA是一種系統的工程安全評價技術,是定量評價核電廠風險的手段。它與傳統的確定論安全分析的區別在于,PRA能給出各種初因事件的事故序列、頻率及后果。PRA技術應用包括核電廠運行事件分析、定期安全評審、運行風險實時分析等。
PRA有3個層次或稱為三級 。一級PRA是通過對電廠系統和設備失效的評價,確定出堆芯損傷頻率;二級PR A以一級PRA的結果作為輸入,給出嚴重事故引起的放射性源項和對安全殼響應的評價,確定出安全殼釋放序列及其頻率;三級PRA是以二級PRA結果為輸入,綜合電廠周圍環境因素和應急措施,估算出公眾風險。
目前大亞灣核電廠已建立一級PRA技術,并已在生產實踐中應用。通過評估和比較與安全相關的各種技術方案對堆芯損傷頻率的貢獻,幫助進行運行、維修及工程改造項目的決策分析。同時通過對運行機組運行狀態定期評估堆芯損傷頻率,對電廠安全水平的趨勢進行跟蹤。
2 風險管理應擴展的領域
在大亞灣核電廠風險管理的實踐中,風險分析和防止非計劃停機停堆等工作主要是以工程判斷和經驗反饋為基礎的。盡管建立了經驗反饋和標準風險分析數據庫,但是由于具體的運行機組所處的狀態、條件存在許多不同,而且每次參加風險分析的人員以及他們的知識、經驗也不盡相同,都會造成風險分析的結果與實際情況存在差異,甚至可能忽視某些風險因素。
風險管理的核心是識別風險和風險衡量,如果風險不能被充分識別,預防措施不能到位,就有可能引發事件。充分發揮PRA技術量化分析的優勢,在運行、維修等生產活動中實現對核安全的可知、可控應是發展的趨勢。
利用PRA技術量化分析的優勢,可彌補目前的運行技術規范對多系統、設備不可用的安全后果進行分析的不足,并克服因確定論方法帶來的保守性,這應是風險管理技術擴展的領域。
2.1 對運行技術規范的優化
運行技術規范中對安全系統或設備的不可用作了定義,并對不可用安全期限(Fallback Time)、后備狀態以及某個安全系統或設備退出運行所要求的機組組合和條件作了規定。這些規定基本上源于工程判斷和確定論方法,是不盡合理的,但必須遵守。
由于電廠已經建立PRA技術,對于運用風險技術來改進技術規范已經變得越來越現實,利用風險技術可在以下方面改進技術規范:
(1) 將安全期限概念改變為允許停役時間,根據PRA對不可用設備或系統的風險計算結果確定允許停役時間;
(2) 通過PRA評估找出系統或設備不可用情況下,最安全的反應堆狀態和機組組合或運行條件;
(3) 研究多系統或設備不可用的安全管理措施。
由于技術規范是受國家核安全管理當局審查和批準的,并具有法規效力,因此對技術規范的改進必須獲得國家核安全管理當局的審查和批準。
對于核電廠來講,PRA技術方法的科學性、成熟性、使用假設的真實性、可靠性、數據的準確性將直接影響風險控制結果,因此保證PRA質量是應用風險技術的關鍵。
2.2 擴大在線維修范圍
利用PRA對機組運行狀態下進行設備維修的風險進行控制,保證在維修而導致設備或系統不可用的情況下,不會降低核電站的安全水平和增加風險,即實現維修下的機組組合的風險管理。
由于不同設備的失效或不可用對核安全的影響程度不一樣,傳統的定性分析無法用定量的準則來確定這種影響,而用風險依據的決策方法可以對設備的重要度進行排序,找出哪些同時不可用就會導致較高電廠運行風險的組合,從而通過調整維修和試驗的計劃,來避免這種組合的出現。
機組組合風險管理的直接貢獻是,為更廣泛地在機組功率運行狀態下開展預防性維修,即開展在線維修創造了條件,最終可以提高系統及機組運行的可靠性。通過實現功率期間在線維修,減少換料大修的維修工作量而優化和縮短大修工期。
2.3 優化維修大綱
通過確定對電站風險具有重大影響的系統及設備,制定相應的維修計劃,進一步優化維修大綱。
以PRA為基礎可以提供改進設備可用率所得到的潛在風險利益的定量信息和對設備進行預防性維修而停止服務所產生的風險后果的定量信息。將獲得的利益及代價進行比較,可最有效地利用資源來支持電廠高水平的安全和可用率。風險依據的決策方法將幫助維修人員:
(1) 識別需要預防性維修升級(增加維修項目或維修頻度)的設備,使其在運行可靠性增加的同時,提高電廠在安全上獲得的利益;
(2) 識別可以維修降級(減少維修項目,延長維修周期)的設備,這些設備的原維修頻度會導致高風險機組組合的頻繁出現,而使電廠的總風險增加;或者提高其可靠性的代價與提高安全水平的收益不相稱;
(3) 識別只要求進行糾正性維修的設備,其不可用不會導致風險增加,且其維修對機組狀態無特殊的要求。
2.4 對維修有效性進行評價
一個有效的維修大綱,應保證電廠中具有安全功能的所有系統、設備的可靠性、有效性水平能滿足設計要求,保證電廠安全狀態不受影響。有效的維修將為關鍵的結構、系統、設備(SSCS)執行其設計功能提供合理的保證。而電廠的概率風險評估的結果以及安全、運行性能指標反過來可以考察維修的有效水平。
對此,核電廠除了建立整體的安全、運行性能指標(如7 000臨界小時非計劃緊急停堆次數、安全系統可靠性、非計劃能力損失因子等)外,風險指標(如堆芯損壞頻度、早期大量釋放度)是評價核電廠安全水