压水堆核电厂风险指引型设备分级导则

压水堆核电厂风险指引型设备分级导则范围本标准规定了核电厂实施风险指引型安全分级的基本实施过程。本标准适用于压水堆核电厂风险指引型设备分级工作。其他堆型的核电厂可参照执行。规范性引用文件本文件没有规范性引用文件。术语和定义及缩略语术语和定义下列术语和定义适用于本文件。概率安全分析ProbabilisticSafetyAssessment提供一种全面的处理方法，识别出核电厂失效的情景，并对工作人员和工作所承受的风险作出数值估计。风险指引型方法Risk-informedApproach综合考虑传统工程分析（确定论分析、工程判断等）和概率安全评价（PSA）的分析结果所形成的一种决策与管理的方法。

安全重要性SafetySignificance通过风险指引方法得到的设备对核电厂的安全重要度，一般分为高安全重要和低安全重要。设备分级ComponentSafetyClassification根据设备安全重要性进行设备分级；核电厂根据分类等级，制订相应设备管理要求。

纵深防御DefenseinDepth(DID)对于一个给定的安全目标采用一项以上的防护措施，以便在其中一项防护措施失效的情况下仍能实现该目标。F-V重要度Fussell-vesely（F-V）ImportanceMeasures最小割集中包含基本事件i的顶事件不可用度之和与顶事件不可用度的比

风险增加值重要度RiskAchievementWorth（RAW）ImportanceMeasures当基本事件i的不可用度设为1时，使总不可用度变化的倍数。缩略语PSA概率安全评价/分析（probabilisticsafetyassessment）IDP专家审查组（integrateddecision-makingpanel）EOP应急运行规程（emergencyoperatingprocedures）FSAR最终安全分析报告（finalsafetyanalysisreport）HSS高安全重要（highsafetysignificant）LSS低安全重要（lowsafetysignificant）RISC-1风险指引型设备分级1类（risk-informedsafetyclassification1）RISC-2风险指引型设备分级2类（risk-informedsafetyclassification2）RISC-3风险指引型设备分级3类（risk-informedsafetyclassification3）RISC-4风险指引型设备分级4类（risk-informedsafetyclassification4）RAW风险增加价值重要度（riskachievementworth）CDF堆芯损坏频率（coredamagefrequency）LERF大规模早期释放频率（largeearlyreleasefrequency）CCF共因失效（commoncausefailure）实施流程风险指引型设备分级是在传统确定论分级基础上，根据设备风险重要性的高低，将原有的安全相关和非安全相关分别划分为高安全重要（HSS）和低安全重要（LSS）两类，并定义如下：图1风险指引型设备分级示意图其中，RISC-1设备是指安全相关，且高安全重要的设备；RISC-2设备是指非安全相关，但高安全重要的设备；RISC-3设备是指安全相关，但低安全重要的设备；RISC-4设备是指非安全相关，且低安全重要的设备。风险指引型设备分级优化实施过程至少应包括：风险评价、纵深防御评估、风险敏感性分析、IDP审查等内容，具体实施过程见图2所示。图2核电厂风险指引型设备分级优化的实施流程资料收集本节给出风险指引型设备分级工作所需的资料，通常应包括设计基准文件以及风险分析相关文件/模型。风险指引型设备分级所需的资料通常应包括：FSAR系统设计手册内部事件PSA模型和报告灾害PSA模型和/（或）灾害安全分析报告其他资料PSA模型是风险指引型设备分级的基本要素，PSA模型应充分详尽并达到标准，反映电厂实际，并量化堆芯损坏频率（CDF）和早期大量释放频率（LERF）。对于各PSA模型，宜通过同行评估的方式对模型的质量和技术充分性进行确认。系统安全功能的梳理本节规定了系统安全功能的梳理中系统选择和边界划分、系统功能识别、设备与功能关联等三部分内容要求。系统选择和边界划分。划分系统与系统之间的边界，将主系统与支持系统进行区分，应避免引入新的系统或功能。系统功能识别。系统功能的识别应参考系统设计手册、核电厂特定风险中考虑的功能以及运行功能，应与系统设计手册中的定义相一致。应确保PSA建模中确定的所有设计基准功能和超设计基准的功能、以及灾害、低停等特殊情况下的系统功能都得到体现。设备与功能关联。风险评价本节对风险评价范围、高安全重要准则和灾害风险评价过程给出具体要求。风险评价是根据设备的重要度将设备分为高安全重要（HSS,HighSafetySignificant）和低安全重要（LSS,LowSafetySignificant）两类。所有不符合高安全重要准则的设备均需要通过后续纵深防御评估、敏感性分析以及专家综合决策才最终被确定为LSS。评价范围风险评价应考虑全工况的内、外部事件风险，分别考虑堆芯损坏频率（CDF）和早期大量释放频率（LERF）。高安全重要准则风险评价一般通过PSA模型定量化计算的方式开展，从风险的角度来评价选定设备的安全重要性，通常采用F-V(Fussell-Vesely)重要度和RAW(RiskAchievementWorth)重要度作为度量参数。若设备的重要度满足下面准则中的任一条，则该设备被确定为高安全重要类：单个设备的F-V重要度>0.005，取其所有基本事件（包括共因失效）F-V重要度的总和；单个设备的RAW重要度>2，取除共因失效（CCF）外基本事件的RAW最大值；设备共因组的RAW重要度>20，取所有CCF基本事件中的RAW最大值。基本事件i的F-V重要度的计算表达式如下：FV其中，MCSi为包含基本事件i的最小割集；Q为电厂的风险；Q0为电厂的基准风险。基本事件i的RAW重要度的计算表达式如下：RAW其中，Pi=1为基本事件i的不可用度置为1。灾害风险筛选准则灾害风险评价通常选取内部火灾、内部水淹、地震等作为分析对象。应基于PSA计算进行灾害筛选，即通过核电厂PSA模型，定量化计算各灾害风险堆芯损伤频率（CDF），以内部事件风险CDF为基准，若某灾害风险CDF相对于内部事件风险CDF很小（＜1%），则认为该风险对核电厂影响极小，排除此灾害风险；反之，则认为该灾害风险对核电厂存在一定影响，需要对此灾害风险相关的设备进行重要度评价。若核电厂没有开发灾害PSA模型，可以采用简化但偏保守的方法进行评估。纵深防御评估本节给出纵深防御评估的具体要求。纵深防御评估主要针对在风险评价阶段中被认为是为LSS的设备。该过程通过堆芯损坏缓解、早期安全壳失效/旁通和长期安全壳完整性三个方面评估设备功能，如果任一方面判定为对纵深防御为高安全重要，则该设备即认定为HSS。堆芯损坏纵深防御评估过程主要考虑如下两个方面：1）相关的设计基准事故发生频率；2）缓解这些设计基准事故具备的纵深防御程度。堆芯损坏纵深防御评价准则的流程如下，图3给出了示例：根据设备的功能，确定其能够缓解的设计基准事故；对于每个设计基准事故，确定其他能够支持该功能或提供其他成功路径以避免堆芯损坏的系统和列数；对于每个设计基准事故，根据可用冗余列和系统数确定其在图3中的区域；如果位于“确定为：低安全重要”区域，则确定该设备为低安全重要；如果位于“可能为：高安全重要”区域，则建议将该设备划分为高安全重要。频率设计基准事故≥3个多样化列或2个冗余系统1列+1个冗余系统2个多样化列1个冗余的自动系统>1次/1～10年反应堆紧急停堆丧失冷凝器1次/10～102年丧失厂外电完全丧失主给水安全壳外主蒸汽泄漏丧失1列安全相关交流母线丧失仪表空气可能为：高安全重要1次/102～103年蒸汽发生器传热管破裂稳压器电动卸压阀/安全阀卡开主泵轴封冷却剂丧失事故主给水管道破裂安全壳内主蒸汽管道破裂丧失1列安全级直流母线确定为：低安全重要<1次/103年冷却剂丧失事故其他设计基准事故图3堆芯损坏的纵深防御评估矩阵示例示例矩阵中的冗余系统为自身存在冗余性的系统（即系统的部分列投入成功即可完成其完整安全功能）；多样化列指的是完全不相同的缓解序列，但不要求序列涉及到的相关系统为冗余系统。不同堆型和不同设计核电厂的堆芯损坏纵深防御矩阵是不同的，需根据相应核电厂的设计确定，主要包括设计基准事故、设计基准事故的发生频率和应对设计基准事故所需安全功能的冗余程度。除了堆芯损坏纵深防御，还需要评估设备在防止大量放射性早期释放中的纵深防御程度。对于每一个被确定为LSS的设备，其纵深防御评估通常需考虑如下四个方面：1）安全壳旁通（1）是否会引发ISLOCA事故？（2）是否能够为ISLOCA事故提供重要缓解能力？（3）能否在SGTR事故后隔离该蒸汽发生器？2）安全壳隔离（1）是否用于支持特定安全壳贯穿件的隔离?3）早期氢气燃烧（1）是否支持安全壳内氢气点火器运行?4）长期安全壳完整性（1）是否用于支持未在CDF和LERF计算中考虑的系统功能，但却是堆芯损伤为堆芯损坏后保持安全壳长期安全壳完整性的唯一方式?对于每一个被确定为LSS的设备，如果对于上述问题任何一个的答案为是，则该设备应被分类为高安全重要HSS。在分析过程中，应结合自身电厂的设计准则要求及纵深防御要求来进行分析和评价。风险敏感性分析经过PSA评价和纵深防御评价后仍划分为LSS的设备，还需进行风险敏感性分析。本节给出风险敏感性分析的具体要求。不确定性敏感性分析不确定性敏感性分析的目的是避免数据的不确定性导致部分高安全重要设备被划定为低安全重要设备，具体做法是通过改变其可靠性，利用PSA模型重新评估其对核电站风险的影响，筛选准则与风险评价中使用的高安全重要准则相同。不确定性敏感性分析通常需考虑如下五个方面：（1）将所有人员失误基本事件值增加到其95％分位值；（2）将所有人员失误基本事件值降低到其5％分位值；（3）将所有设备共因失效基本事件值增加到其95％分位值；（4）将所有设备共因失效基本事件值降低其到5％分位值；（5）将所有维修不可用度设为0。对于所有不确定性敏感性分析。如果设备在任意一个分析中被认为是高安全重要的，则将设备划分为高安全重要；如设备仍然被认为是低安全重要的，则将设备划分为低安全重要。应依次开展设备在各灾害风险下的不确定性敏感性分析，必要时（如灾害PSA存在对分析结果影响较大的分析假设）可以额外开展特定的敏感性分析。若核电厂没有开发灾害PSA模型，可以采用简化但偏保守的方法进行不确定性敏感性分析。累积敏感性分析将所有LSS的设备的失效概率增加3到5倍，计算其对堆芯损坏频率（CDF）和早期大量释放频率（LERF）的潜在影响，风险变化接受准则主要以NNSA-0147导则规定的风险接受准则为准，风险增量以△CDF和△LERF来表征。△CDF和△LERF具体计算过程如下所示：△CDF=CDF1-CDF0△LERF=LERF1-LERF0其中：ΔCDF——表示所有LSS设备的失效概率增加5倍后的堆芯损坏频率增量；ΔLERF——表示所有LSS设备的失效概率增加5倍后的早期放射性释放频率增量；角标1——表示所有LSS设备的失效概率增加5倍后的风险值；角标0——表示未调整LSS设备的失效概率时的风险值。如果相应结果落入图4或图5中的I区，则需采用更为严格的风险评价准则（RAW、F-V）重新进行分级。图4CDF的验收准则图5LERF的验收准则IDP审查本节对风险指引型设备分级专家综合决策给出了具体要求。核电厂应成立专门的专家综合决策小组（IDP），由核电厂各领域专家组成，包括运行（SRO执照）、设计、安全分析、系统工程、PSA等领域的专家。专家组成员应接受风险指引型设备分级相关的培训。综合决策小组应审查的风险指引型设备分级草案及其支撑材料，并结合核电厂设计基准、纵深防御和安全裕度要求，开展综合审查，并最终确定设备的分级。应分别对安全重要设备、安全相关的低安全重要设备、非安全相关的低安全重要设备制定不同的审查程序。若根据专家综合决策，认为设备分级结果不合理，则应重新进行设备分级。图6IDP审查程序高安全重要设备对于高安全重要设备（RISC-1和RISC-2），若通过IDP审查，则设备最终确定为高安全重要。对于高安全重要的设备，IDP应审查在分级过程中考虑的设备安全重要依据，包括设计基准依据（对于RISC-1）、高安全重要依据（对于RISC-2），以及超设计基准依据（对预防和缓解堆芯损坏功能有重要贡献）。安全相关的低安全重要设备对于安全相关的低安全重要设备（RISC-3），应开展风险分析、纵深防御和安全裕度审查。风险分析对于RISC-3设备，IDP应审查这些设备是否与保持安全停堆相关（防止堆芯损坏和维持安全壳完整性）。在审查过程中，IDP应分析设备退出对执行基本的安全功能（反应性控制，余热排出等）的影响（同时考虑到电厂的设计特点和操纵员的操作）。具体来说，IDP应开展以下审查：设备的故障是否直接导致在PSA中没有模化的低频率始发事件；设备的故障是否导致反应堆冷却剂压力边界完整性的丧失，从而导致泄漏超出正常上充能力；设备的故障是否对执行功能的剩余纵深防御产生不利影响；在电厂应急运行规程（EOP）或类似规程中，设备是否被调用或成为操纵员操作以缓解事故或瞬态所需的唯一手段；在电厂应急运行规程（EOP）或类似规程中，设备是否被调用或成为确保安全壳长期完整性、监测事故后工况或场外应急活动的唯一手段；设备的故障是否会阻止电厂达到或维持安全停堆工况；设备在运行模式改变或停堆期间是否为低安全重要。如果设备故障导致需要场外应急或启用备用系统设备，则应认为电厂将无法达到或维持安全停堆工况；在电厂运行期间或严重事故期间作为裂变产物释放屏障的设备故障是否会导致场外辐射防护行动的实施。纵深防御对于RISC-3设备，IDP应审查核电厂纵深防御是否得到保证，具体开展以下审查：设备分级结果在防止堆芯损坏、防止安全壳失效或旁通以及减轻场外放射性释放后果等方面是否保持合理平衡；是否过度依赖计划行动和操纵员行动来弥补电厂设计中的缺陷；系统冗余、独立性和多样性与预期面临的风险频率、系统故障的后果是否相称（并需要考虑这些参数的不确定性）；在分类中是否考虑了共因失效的可能性；电厂的系统和屏障之间的整体冗余性和多样性是否足以保证风险发生概率没有显著上升。如果IDP根据风险分析审查或纵深防御审查得出将设备分级为RISC-3是不合理的，则可以将其重新分级为RISC-1。安全裕度由于风险指引型设备分级导致的处理变化引起的可靠性变化较小，若通过核电厂累积风险敏感性分析计算得到CDF和LERF的增量较小（在可接受范围内），则认为保留了足够的安全裕度。非安全相关的低安全重要设备对于非安全相关的低安全重要设备（RISC-4），应审查这些设备的分级依据是否充分，风险分析是否为设备归为RISC-4提供了充分的依据。若IDP经过审查，认为设备不应为低安全重要，则可以将其重新分级为RISC-2。特殊处理要求的调整在开发完成反映核电厂当前状态的概率安全分析工作后，可以选择采用风险指引型安全分级方法对基于确定论分级的设备的管理要求进行优化。RISC-1对于分级为RISC-1的设备，在确定论安全分级中这类设备属于安全级，相关的各项监管要求都很高，在风险指引型安全分级中仍然认为其具有高安全重要性，因此，其处理要求不可降低。RISC-2对于分级为RISC-2的设备，在确定论安全分级中这类设备属于非安全级，对应的监管要求相对较低，但在风险指引型安全分级中认为其对核动力厂运行的安全性有着重要的贡献，因此，应对这些设备进行评估，如当前的性能未达到预期，则应考虑适当增加特殊处理要求。RISC-3对于分级为RISC-3的设备，在确定论安全分级中这类设备属于安全级，具有较高的处理要求，但在风险指引型安全分级中认为其安全重要性较低，较高的监管要求并不能明显提高核动力厂运行的安全性，反而会增加核动力厂的运行成本。因此，可依据相关规定豁免或降低不必要的监管要求，但仍必须要确保这些设备能完成它们的设计基准功能。质保要求对分级为RISC-3的设备，可对其开展安全相关（核级）质保要求豁免评估，详细论证不同质保要求的差异，开展可接受性分析，将通过评估的设备核级要求豁免。需要注意的是，核级质保要求的豁免并不是“安全级设备”降为“非安全级设备”，RISC-3设备核级要求豁免后，仍需保证其在设计基准事故下执行安全功能。因此，针对这种情况，需要对拟豁免核级质保要求的RISC-3设备开展严格的论证分析，保证安全功能有效、可靠。环境鉴定、抗震鉴定取消RISC-3设备的环境鉴定和抗震鉴定试验要求，而采用设备供应商文件、等价评估、技术评价、技术分析以及试验等方法，确定这些设备能够在设计基准环境条件下完成安全相关功能。在减免环境鉴定和抗震鉴定试验要求的同时，保留或附加评价要求。在役检