核电站概率安全分析讲义

核电站概率安全分析讲义目录

第1章概述

1.1风险的概念

1.2风险评价

1.3概率风险评价（PSA）技术的发展历程

1.4PSA技术的展望

1.5思考题

第2章数学知识

2.1概率论及数理统计

2.2布尔代数

2.3思考题

第3章可靠性工程基础

3.1可靠性基本概念

3.2失效过程的可靠性特征量

3.3修复过程的可靠性特征量

3.4生命全过程的可靠性特征量

3.5思考题

第4章核电站安全原理

4.1核反应堆的潜在风险及核安全的概念

4.2降低核反应堆潜在风险的措施

4.3核反应堆安全设施和安全功能

4.4核反应堆安全评价

4.5思考题

第5章核电站概率安全分析

5.1核电站PSA概述

5.2初因事件分析

5.3核电站模型及事件树分析

5.4系统模型及故障树分析

5.5事故序列定量分析

5.6思考题

第6章PSA分析中的其它问题

6.1PSA中的事件模型

6.2相关失效分析

6.3人可靠性分析

6.4PSA分析软件和数据库

6.5PSA中的不确定性分析

6.6思考题

第7章PSA发展趋势及其应用

7.1PSA发展趋势

7.2PSA研究成果

7.3PSA应用

7.4思考题

前言

核能的发展和和平利用是20世纪科技史上最杰出的成就之一。人类今天已拥有大规模利用核能的能力，核电站的发展相当迅速，已被公认为一种经济、安全、可靠、干净的能源。到上世纪末，在全世界31个国家和地区已有438台核电机组在运行，总装机容量达到约351Gwe，约占发电总量的16%。研究堆作为强大有效的中子源，其用途更加广泛，可用来进行基础研究，生产军用、医用和工业用等各种放射性同位素，或对生物、种子等多种物质进行辐照，或开展中子活化分析、中子照相及中子治癌等各种应用，已成为科研、工业、农业、医学中重要的设施。为了应对人口及经济增长，人类对能源和电力需求提出了巨大挑战，与化石能源相比，由于核能在世界能源平衡中具有的独特优势，许多有识之士预测核能将扮演越来越重要的角色，核能对于优化能源结构、促进能源多元化、提高能源安全和能源资源的合理利用以及保护环境具有不可替代的作用。

中国要实施可持续发展战略，到2020年全面实现小康社会，能源安全保障是重要支撑条件之一，而加快发展核电这一重要替代能源是保持我国社会经济与资源环境平衡和谐的战略选择。为此，确定了能源战略要求是：降低燃煤发电比重，提高水电和核电的比重；能源发展的基本方针是：大力开发水电，优化发展煤电，适度发展核电，积极发展天然气发电，加快新能源发电；能源发展规划是：到2020年发电装机量约9亿千瓦，核电装机容量约3600万千瓦。虽然从上个世纪八十年代初我国的核电开始起步，目前已经初步形成了一定规模的核电工业基础，取得了很大的成绩，到“十五”末，我国将有11台机组，总装机容量870万千瓦，占全国发电总装机容量约1.6%。如要实现上述核电规划，就意味着在15年左右的时间内，我国每年平均建设投产约200万千瓦，平均每年投产2台百万千瓦级的核电机组。我国核电迎来了新的发展机遇，有着令人鼓舞的发展空间。

尽管如此，核反应堆毕竟具有巨大的潜在风险，主要风险来自于事故工况下不可控的放射性物质释放。如何减少由于这种释放对工作人员、居民和环境所造成的危害，就构成了核反应堆的特殊安全问题，称为核安全。核反应堆的事故不但会影响其本身，而且会波及周围环境，甚至会越出国界。核反应堆一旦发生事故，不仅危害严重，而且还会造成重大的社会影响。因此，人们在致力于提高核能经济竞争力的同时，尤其是美国三浬岛核电站事故（1979年）和前苏联切尔诺贝利核电站事故（1986年）后，更加重视其安全性能，其中非能动安全、人的因素以及概率安全研究是比较注重和活跃的研究领域，并且取得了重大进展。

概率安全分析（ProbabilisticSafetyAnalysis,简称PSA）方法是70年代以后发展起来的一种系统工程方法。它采用系统可靠性评价技术和概率风险评价技术对复杂系统的各种可能事故的发生及其进程进行全面分析，从它们的发生概率以及造成的后果综合进行考虑。由于PSA方法具有考察系统所有潜在事故、并对系统硬软件包括人进行量化，便于优化改进设计，最后对事故后果进行量化，给出便于与其他活动进行比较的风险，利于被公众接受等诸多优点，尤为重要的是，作为概率安全分析成果典范的WASH-1400成功地预示了TMI事故的全过程，而且被后来发生的切尔诺贝利核电站事故进一步证实。因此，80年代后PSA技术及其应用获得迅速发展，成为国际上美国、德国及法国等核工业大国核安全分析领域最热门研究课题之一，也是为下一代更先进、安全、经济的反应堆系统技术取得突破最有贡献的研究成果之一。目前，PSA已经从过去作为少数专家的研发工具向为大多数机构和组织（如生产、运行、管理和人员培训部门及核安全管理机构）的核安全和经济辅助决策工具转变，是核安全评价中一种标准的有效工具。核发达国家要求新建核反应堆必须提交概率安全分析报告。由于PSA技术及其研究成果的推广应用，核安全已经逐渐从确定性遵守文化（deterministiccomplianceculture）向风险通报安全文化(risk-informedsafetyculture)转变，开创了核安全文化的新纪元。

国际上系统地介绍PSA技术及其应用的教科书非常少见，多为实施导则、指南或手册，国内更是如此，一直苦于没有一套好的PSA教材，这与我国将要成为世界核电大国极不相称，基于此，作者在多年PSA研究和教学的基础上，参照国际上的参考资料编写本讲义。全套讲义将分6章：概述、数学基础、可靠性工程基础、核反应堆安全原理、PSA技术及PSA应用介绍。

由于作者知识浅薄，错误和不足在所难免，敬请批评指正。

第1章概述

本章将阐述风险的概念，简要回顾风险评价及概率安全分析（PSA）的方法及其应用的发展历程。

1.1风险的概念

风险（Risk）是一个具有多种含义的概念。通俗地说，可以将风险看成人们从事某种活动，在一定的时间内给人类带来的危害，与安全、危险、危害、损失、受伤、死亡、中毒及灾难等相关。安全就是指人类未受伤亡或财产未受损失的状态。危险指的是导致风险之源。

风险有易引起混淆的两种定性定义。

第一个定义：风险就是危害、灾难或将要面临的伤亡，即一种不是真实的而是潜在的伤害。如果危险真的发生了，就不再是风险，而是受伤、损失和死亡。

第二个定义：风险就是受伤、损失和死亡的可能性、几率或概率。

对风险的这种定性的理解不便于用来比较各种不同的风险，需要有一种可以作定量分析的定义，因此，我们将风险的第二种定义转化为数学描述，即风险就是事件发生的概率和事件发生后导致的后果大小之乘积。

风险R（后果/单位时间）=事件概率P（事件/单位时间）´造成的后果C（后果/事件）

从上式可知，风险具有双重含义，即既讲可能性又讲后果。

风险可分为个人风险和社会风险两类。个人风险指的是单位时间内由于发生某一确定事件而给个人造成的伤害后果。而社会风险指的是对整个社会群体造成的后果。显然，社会风险即个人风险与该社会群体内人数的乘积。

为了更好地理解风险的概念，现举有关保险和汽车车祸风险的例子。

在十五世纪Genoese提出了通过分担风险以抵御灾难性损失的方法，即现代社会中保险的概念。假设投保人为N艘轮船投保，每年交保险费R/艘，如果保险公司赔偿损失为C，而且假设受损的轮船为n艘，根据收支平衡原则，以下式子成立：NR=nC

因此，R=Cn/N，当N越来越大时，n/N将趋于一个值，该值称为概率，并用P表示，这样上式可以表示为：R=PC

如果经统计某一年龄段人类的死亡率为1%，保险赔偿金为10000美元，那么，投保人应付的保险费至少为100美元/人年。

根据统计，美国每年大约有15×106起车祸。每发生一起车祸平均损失300美元，每发生300起事故大约有1人死亡。

因此，因汽车事故造成的经济损失为：15×106次事故/年×300美元/事故=4.5×109美元/年。

因汽车事故造成的死亡数为：15×106次事故/年×1人死亡/300次事故=50000人死亡/年。

若人口按2亿计算，则平均个人风险为：2.5×10-4死亡/人·年，0.075次事故/人·年和22.5美元/人·年。

同样，可以将风险定义用于核电站。假设有大量的核电站，而且这些核电站的水平及特征是一样的，具有同样的地貌特征和安全措施，电站之间互相独立，发生事故时互不影响。那么，核电站给公众造成的风险R可以表示为：核电站概率安全分析讲义-超哥-核电日志athconnecttype="rect"gradientshapeok="t"extrusionok="f">核电站概率安全分析讲义-超哥-核电日志ath>

pi为发生某i失效模式的事故发生频率，ci为由于发生某i失效模式事故造成的后果，N为所有失效模式的总数。

可见，风险就是后果的数学期望值，如果采用保险术语来说，它就是人类社会使用某项技术或实施某项活动应付的保险费。

应该说，上述有关风险的数学定义具有诸多缺憾，下面就谈谈有关风险的这方面的特性。

首先，上述定义得到的风险具有不确定性，因为构成风险的两个因子：概率和后果均是通过统计、推理或专家评定得到的。为了描述其不确定性，在数学上常采用概率分布或概率密度分布来表示。PSA技术专家通过重要度、灵敏度等分析对PSA分析结果进行不确定性分析，给出构成风险的各种因素重要性排序，给出结果的置信度，给出风险的不确定性大小。另外，PSA专家不仅仅应用定量分析结果，而更多地从定性分析结果获益，如根据组成导致风险各种因素的重要度（与数据的不确定性没有关系）排序来安排检查、维修、试验的次序，确定优化设计的方向，为核电站设计、运行和维修的决策提供有益的指导。当然，PSA结果的不确定性曾经在一定程度上妨碍了人们对PSA技术及其分析结果的认同。将在第2章中描述有关不确定性的数学处理，在第5、6章描述有关PSA结果及其应用。

其次，上面风险的数学定义中对风险作了线性迭加的假设。因为，从上面风险定义看，大量的后果轻的小事故和少量的后果严重的事故风险值是相等的。但是，实际上，人们总觉得在同等风险值下，少量的严重事故的社会影响要大得多。实际上，风险与社会的承受能力有关。如对于每年汽车造成50000人死亡是不足为奇的，因为每一次事故涉及的最多只是少数人死亡，但一次事故造成50000人死亡则是很难接受的。这种性质称为风险的非线性。为了考虑这种非线性，有人将风险的定义改为：R=Σciνpi

ν为考虑风险可接受性的修正因子，ν>1，按NUREG-0739的推荐，ν取1.2。

另外，除了给出事故发生频率、事故后果及风险的平均值外，还给出他们的分布，如给出后果与频率分布图。这正是国际上反核势力盛行的主要原因之一，也是为什么核电站的潜在风险如此引人关注从而导致人们非常重视对核反应堆风险的控制的原因。

最后，谈谈物理上的风险与公众认识和接受的风险的关系，从风险评价结果看美国核电站的风险远低于NRC的安全目标政策和其他因素引发的风险，其他国家的评价结果也是如此，但为什么公众还不接受，国际上还存在不少反核势力？因为这种比较并未解决下列问题：风险是自然产生的还是外界强加的？风险事件仅会影响个别人还是会同时影响许多人？风险事件是导致立即死亡还是导致晚期效应（如癌症等）？风险承担者与获益者是否一致？风险与效益的关系是什么？这些问题将直接影响到人们对风险的认识和接受程度，而并不仅仅从上面数学计算值来确定是否接受或允许。因此，PSA分析者除了给出风险及其分布外，还因阐述清楚上述问题，否则，公众是不会认同的。当然，风险是否接受，还与种族、宗教、性别、年龄、国籍、职业等因素有关，还与社会生活水平和对环境要求有关，随着科学技术的进步，人类对生活水平和生活环境的要求日益提高，衡量的标准也在不断发展和变化。

1.2风险评价

人类在从事创造物质财富的各种活动，或谋求各种利益与方便的同时，将不可避免地受到来自各种风险的威胁。如电的利用、超音速飞机和各种机动车的使用，极大地改善了人们的生活，提高了生产效率，带来了运输上的方便。但是，触电、交通及空难事故时有发生。火力发电在给人类带来电能的同时也由于大量的CO2和SO2的排放而造成温室效应和酸雨。人们在从事各项活动时并不因为有风险的威胁而一概地放弃这些活动，而是对这些活动所带来的收益和风险进行综合比较，权衡后决定取舍，这种对活动的潜在风险进行分析评价，并在评价过程中提出可能的措施，就是风险分析或风险评价。如何以合理可行的手段尽可能地降低这些活动所带来的风险，就构成各项活动的风险分析目标。风险评价的目的是对活动及系统的安全性或潜在风险进行分析评价，从而尽可能地降低活动的风险。

降低风险可采取的手段和措施非常多，这可以追溯到远古时代，甚至已经融入国家宗教。在《圣经·旧约全书》和《民数经》中已经提到了有关饮食法、卫生法、预防传染病的措施以及禁止有血缘关系者结婚等规定。所有这些条例法令与现代国家所关心的食品保藏、流行病控制和遗传疾病十分类似。《国际健康法》于十九世纪开始实施，它以法律的形式规定了：政府应该有义务积极地为工人和市民提供健康、安全和福利。当然，在远古时代，安全，主要指公众健康防护，而公众健康保护也仅仅是对死亡的控制，但随着工业化生产的到来和人类对危险的事和物的控制，这种保护的含义得到扩展和延伸，已成为一种用于分析和反馈的技术。现代用于控制风险的各种努力、措施和成果（如控制核电站的风险）就是这种发展的延续。

引入风险评价或安全分析的另一个因素就是工业化，即源于工业化所需的新的越来越多的强大的能源供应。尽管水能和风能在中世纪就已经得到应用，这些能量都是天然的，也很容易被理解。然而，蒸汽能源却是新发明的能源。最原始的压缩机是常压的或低于大气压的，但是瓦特发明和卡诺原理驱使人们使用高压高温蒸汽。起初的汽轮发电机就是简单的压力容器，很容易导致灾难性的事故。1866年，在大英帝国就发生过74次蒸汽锅炉爆炸事故，导致77人死亡。于是，人们采取了许多有效的措施来改善锅炉的设计，如试管引火锅炉，并在锅炉加工制造和运行过程中严格检查和监督，灾难性的锅炉失效率大大得到限制（大约10-5/锅炉年）。而到了二十世纪，由于实施了曼切斯特蒸汽用户协会所推荐的审查，1900年，蒸汽锅炉爆炸事件降低到17起，死亡人数仅8人。与此同时，美国机械工程师协会建立起了与之相当的压力容器条例ASME。

蒸汽机及其随后的内燃机的发展和使用使得通过铁路、公路甚至飞机的快速运输成为可能。而为了确保这些活动的安全性，出台了许多法规、审查规定及设计规范等，并要求所有这些活动的风险被明确表示为死伤概率，使其死伤概率尽可能地小，并规定了相应的指标要求。

核能的发展与和平利用是人类征服自然过程中的重大突破，对人类社会的可持续发展有深远的影响，尽管由于核能的出身不好，最初的应用是作为大规模的杀人武器，曾一度给核能的和平利用留下阴影，并影响至今。然而，实际上核能应用的主要方面仍是从可控的链式反应获得长期持续的能量，造福于人类。已经上万堆年的核动力堆的运行业绩表明核能是一种安全、经济、清洁、可持续发展的能源。但是，对应用核能的巨大的潜在风险也自从它诞生之处被政府、核工业界及公众充分认识到。要求核能的风险完全在政府的控制之下。1946年美国国会就成立了原子能委员会（AtomicEnergyCommission,AEC），1947年成立了反应堆防护委员会（ReactorSafeguardsCommission,RSC），1948年颁布了原子能法（AtomicEnergyAct），并于1974年撤消AEC，成立独立其它机构的美国核管会（NuclearRegulatoryCommission,NRC），其主要职责是保护公众健康和安全。我国相继成立了国家核安全局、国家环保总局，并建立了适用于我国核安全法规、规范和标准，并在酝酿《原子能法》。人们期望核动力堆（包括研究试验反应堆）通过设计、控制及监督管理，其潜在风险能被更加成功准确地预测，使得事故得以避免。为此，各国都由国家颁布专门的法律法规（如我国HAF及HAD），建立专门的管理机构（如我国目前的国家环保总局），要求从核反应堆建设到投运直至退役的所有活动要置于国家的监督之下，要经过一系列的审查与许可。要求所有有关人员应始终关注核安全，不放过任何机会，在核反应堆的设计、制造、建造、运行和监督管理的全过程每一个环节，均要建立并维持一套有效的防护措施，将风险降低到可能实现的最低水平。

所有这些措施和手段，对于降低活动的风险确保安全起了非常有益的作用，在现代核设施建设的过程中，就是贯彻了这样的设计原则和安全理念，并得到了进一步发展。这将在第4章中详细阐述。

但是在这些措施和手段中，绝大部分是对风险的定性要求，缺乏定量标准。真正作为一种分析手段和技术并有定量标准的风险评价技术，应该是确定论安全分析和概率论安全分析（包括可靠性分析）。

为评价并限制核反应堆的风险，发展并形成了两种成熟的分析评价核反应堆安全性的方法，一种是基于主观的依据设计基准事故的确定论评价法（称为DBA），另一种就是概率风险评价法（PSA）。在核反应堆发展的早期，人们主要采用前一种方法。该方法基于确定性准则（deterministiccriteria）和规定的要求。确定论方法的基本思想是根据反应堆纵深防御的原则，除了反应堆设计得尽可能安全可靠外，还设置了多重的专设安全设施，以便在一旦发生最大假想事故时，依靠专设安全设施，能将事故后果减至最轻程度。在确定安全设施的种类、容量和响应速度时需要一个参考的假想事故作为设计基础，并将这一事故看作最大可信事故，认为所设置的安全设施若能防范这一事故，就必定能防范其他各种事故。为确保安全，这些准则和要求使用了许多保守的裕量和模型，如设计基准事故、纵深防御、单一事故准则以及安全裕值等。该方法一直是核反应堆安全设计与评价最主要的方法，但由于缺乏实践经验，因此在设定这些要求时采用了保守的准则，使得核能的经济性甚至核能真正的安全性不能得到很好的保证，尤其是美国三浬岛核电站事故（1979年）和前苏联切尔诺贝利核电站事故（1986年）经验教训告知人们：设计基准事故并不是最大可信事故，核电站事故风险的主要贡献者并不是系统和装置本身，而是人的行为、规程的遵守和核安全文化。直至上个世纪六、七十年代才开始使用PSA，恰恰PSA技术正好能很好地弥补上述DBA的不足。我们将在下一节对概率风险评价技术的发展历程作简要回顾，而在第5章对其展开并作详细阐述。

当然，除DBA和PSA外，还有很多其它风险评价方法，如失效模式与效应分析（FMEA）方法、失效模式、效应和临界分析（FMECA）、故障树方法（FTA）、事件树方法（ETA）等，这些方法均在特定环境和条件下发展和完善起来的，有一定的使用范围和条件，本课程将在后面有关章节作简单介绍。

另外，在此还应区分可靠性工程和PSA技术的概念。一般来说，严格区分系统可靠性工程和概率风险分析的界线是很难的。概率风险分析的基础是系统可靠性工程，系统可靠性一般仅给出系统发生故障的概率或不发生故障的概率，而概率安全分析要在系统可靠性的基础上还对系统或活动的风险作出定量评价。在此不作深入讨论，将在第三章对可靠性工程的基本概念及可靠性特征量作简要介绍，总之，可靠性工程和概率风险分析是现代用来进行风险评价最基本的分析手段，已经形成各自具有完整体系的应用学科。

但是，必须认识到降低风险是需要代价的，并不是风险越小越好，因为风险总是存在的，要根据社会的接受能力、公众风险的标准和降低风险所需花费的代价的大小来确定降低风险应采取的措施。对一般的技术或活动，常采用风险—效益比进行决策，而对于类似核电站事故风险，就象上一节所述的那样，各个国家安全当局都制定了核安全目标，该目标常常远比其它风险水平低（达到3个数量级）。还根据人体耐放射性的域值，确定剂量防护标准，其它定性的安全目标，以确保核安全。

1.3概率风险评价（PSA）技术的发展历程

本课程叫概率安全分析（或概率风险评价），目的是对活动及系统的安全性或潜在风险进行分析评价，分析评价的方法是采用概率论和可靠性工程方法。概率安全分析（ProbabilisticSafetyAnalysis,简称PSA）方法是70年代以后发展起来的一种系统工程方法。它基于可靠性工程基础和概率风险理论，对复杂的可能发生事故的系统或装置或某项活动进行分析，估计系统或装置不可用度和事故后果(潜在风险)，得到有关安全的评价观点，并形成分析特定问题和普遍问题的信息库，作为各种决策的技术依据。从学科分类上看，它是一门应用科学。概率安全分析有多个名称，最早叫概率风险评价（ProbabilisticRiskAssessment，简称PRA）,后来国际原子能机构（IAEA）建议改称为概率安全评价（ProbabilisticSafetyAssessment，也称PSA）。本讲义称为概率安全分析（ProbabilisticSafetyAnalysis,简称PSA），但在许多文献及本讲义中这些名称可能是互用的。概率安全评价法（PSA）认为核电站事故是个随机事件，引起核电站事故的潜在因素很多，核电站的安全性应由全部潜在事故的数学期望值来表示。

回顾PSA技术的发展历程，最重要的著作要算75年美国NRC正式出版“反应堆安全研究”，代号为WASH－1400。这是PSA技术在核电站安全评价中首次大规模成功使用，并奠定了PSA技术的基础。70年代初期，麻省理工学院的诺曼·C·拉斯姆森教授领导的研究小组对美国的压水堆（Surry）和沸水堆(PeachBottom-2)首次进行大规模全标度的概率风险评价，以“拉斯姆森研究”闻名于世，该研究历时3年，共耗时70人年。

该研究是为回答美国国内反核力量，基于美国60年代后期的工艺水平，对美国在役的100多座核电站对公众可能的风险影响所作的全面评价。研究结果表明：美国每年因所有各类事故而死亡的人数为115000人，个人风险为6×10-4/人年；而如果有100座核电站在运行，发生堆芯熔化的频率为5×10-5/堆年，并指出堆芯熔化事故并不必然造成严重的后果，仅当存在其它不利因素共同作用的情况下才会导致严重后果，每百年因反应堆事故而死亡的只有4人。给出的个人风险约为2×10-10/人年，这个风险值是很低的，这要比其它社会事故风险低好几个数量级，与陨石冲击造成的死亡的风险同处一个数量级，是地震造成的死亡风险的1/30000。具体结果见表一。

表一各种事故引起人身早期死亡风险（来自WASH-1400）

事故

1969年死亡人数

个人风险死亡/人年

汽车

55791

3×10-4

坠落

17827

9×10-5

火灾

7451

4×10-5

溺水

6181

3×10-5

中毒

4516

2×10-5

枪击

2309

10-5

机械

2054

10-5

小船

1743

9×10-6

飞机

1778

9×10-6

落物

1271

6×10-6

触电

1148

6×10-6

火车

884

4×10-6

雷击

160

5×10-7

飓风

118

4×10-7

龙卷风

90

4×10-7

其它

8695

4×10-5

所有事故

115000

6×10-4

在研究中采用事件树和故障树方法（这是本讲义的重点，将在后面第五章详细阐述），对各种可能发生的事故（10万多个），包括设计基准事故和非设计基准事故，估计了事故发生的概率，同时估计了事故的后果。研究中所用的事件树和故障树方法成为后来直至今日概率风险评价的基本方法。

但总的来说，当时WASH-1400的发表，并未引起政府和技术界的足够重视，直到1979年路易斯对WASH-1400报告的肯定的评价，特别是美国三浬岛（TMI）核电站2#机组发生了严重事故之后，才获得了应有的重视。因为该报告对TMI事故的全过程已有明确的预示，事故中操作员的失误亦在报告中作了考虑。通过TMI事故，人们才认识到PSA方法核电站安全分析的有效方法，重新估价了WASH-1400的作用。总之，WASH-1400在核电站PSA的发展史上具有里程碑的意义：

l为核电站PSA分析确立了样板；

l为核电站与社会其它活动风险进行比较提供了基准；

l研究表明瞬态和小LOCA是核电站潜在风险的主要贡献，而不是象人们预料的大LOCA事故；

l研究表明核电站的放射性风险与社会其它活动风险相比是很小的；

l首次使用事件树将事故源、系统及后果联接在一起；

l进一步扩大了故障树的应用范围；

l建立了至今仍在使用的数据库；

l研究表明人误是风险的主要贡献；

l研究表明系统和设备的试验和维修对事故风险的影响；

l研究表明共模故障是影响事故风险的重要因素。

1979年后，美国制订了一系列的核电站PSA计划。最初的是IREP计划，该计划的目的是研究5座美国NRC指定的核电站的主要事故，发展PSA技术，扩大PSA研究队伍。IREP计划于1981年完成，接着实施国家可靠性评价计划(NREP)，要求对已建的核电站都要做PSA分析，并要求新建的核电站都要在建造许可证发出两年内提交PSA报告。不久又执行IDCOR计划，对源项和严重事故的机理进行深入研究，标志着PSA技术不仅用于堆芯和系统的研究，已经扩展到堆芯外，如安全壳和环境行为的研究。并于此同时进行安全目标的研究，着手编辑出版核电站PSA导则NUREG/CR-2300。1988年又提出了单个电厂审查计划（IPE），NRC要求所有核电站许可证持有者完成IPE计划，以核查电站安全水平和确定事故易发性，各电力公司对美国当时的106座核电站都进行PSA分析，并于1992年完成。随后工业界又将地震和火灾风险评估纳入IPE称为IPE外部事件审查计划(IPEEE)。通过这么庞大的PSA计划和具体研究，证实了核电站的安全性，然而，更重要的是通过审查，通过应用PSA研究成果，电站业主和运营者找到了采有成本效益的方法来弥补已发现的缺陷和薄弱环节，因此，电站紧急停堆频率、容量因子以及安全挑战数量等指标都朝着好的方向发展，安全水平已得到显著提高，风险水平大大降低。在此期间，核工业界致力于开发开发在决策过程应用PSA方法，形成了适用特定核电站的PSA模型、数据和专门知识，并积累了大量使用PSA的经验，于九十年代末颁布美国电力公司（EPRI）的《PSA应用导则》，这又是PSA界的一个里程碑事件，该导则是指导人们如何应用PSA研究成果的一个综合框架，同时促使NRC努力为监管决策过程开发风险通报方法。由于核工业界的安全管理活动卓有成效，风险水平一直在降低，因此，在此其间，颁布了《监管导则1.174》，该导则为特定电站在风险通报决策使用PSA提供了方法。

TMI事故之后，世界上主要拥有核电站的国家都加速或开展了PSA分析。西德是最早响应的国家。1979年提出了德国风险研究DRS计划，该研究采用与WASH-1400同样的方法，从德国25座轻水堆核电站的运行来研究风险。研究结果表明：这25座核电站出现一次导致1000人立即死亡的事件的概率为10-7次/年，也就是说，一千万年可能会出现一次这样的事件。随后继续进行DRS的第二阶段计划，此次基于核电站的运行实绩，并获得了新结论。与此同时，加拿大、瑞典、西班牙、法国、日本都相继开展了核电站PSA研究，也都获得了成功，取得了显著的效益。

国际原子能机构（IAEA）一直非常重视PSA技术，支持发展成员国的PSA技术能力，相继出版了一系列的技术报告TECDOCs，有关PSA的实施方法、活态PSA（LivingPSA,简称LPSA）、PSA的质量保证、PSA的同行评议（PeerReview）、研究堆PSA以及PSA的审评等。另外，IAEA还积极组织和资助发展中国家的PSA人员培训，推动跨地区PSA计划。

根据上面所述的核电站PSA的主要发展历程，我们不难看出，PSA和安全风险管理已逐渐成为核电站的常用的和标准的决策工具。

1.4PSA技术展望

PSA是一门很有生气很活跃的有广阔前景的应用学科。在上一节中，我们已经用比较大篇幅阐述了核电站PSA技术及其应用的发展历史，从中可以看出PSA是核电站安全经济运营非常有效的工具。反应堆和核领域仅仅是PSA技术发展和应用较活跃的领域，在其它工业领域和社会活动中同样有非常广阔的前景。下面将从PSA技术本身的发展、核电站方面的应用、一般工业领域的应用以及其它非工业领域的社会应用作简要阐述。

从PSA技术的诞生至今日，随着核技术及计算机技术的飞速发展，不仅PSA方法学本身得到不断发展与完善，而且PSA的应用也更加深入、广泛和系统化，甚至将PSA技术及研究成果融于管理决策体系。总之，PSA已经从过去作为少数专家的研究开发工具向为大多数机构和组织(如核电厂生产、运行、管理和人员培训部门及核安全管理机构等)的核电安全和经济辅助决策工具转变。

首先，讨论PSA技术本身的发展。在方法学方面，针对原有PSA技术存在的局限性及不足之处，如人行为分析，相关失效和共模失效分析，数据的收集与评价以及不确定性等方面都作了广泛深入的研究，在认识模型及处理方法上有不同程度的提高和改善，这将有效地降低不确定性，提高PSA分析结果的精度，从而提高了研究成果应用的可信度及有效性。尽管PSA方法学上还存在不足之处，然而，从总体上看，分析方法已逐步趋向一致性和标准化，分析及应用软件的速度、精度和实用性都得到了普遍的发展，从过去基于部件年平均无效度且单用户的所谓“静态”PSA，向基于电厂当前状态且面向多用户的“活态”PSA(LivingPSA)发展。在研究范围上，绝大多数国家已完成了在役及在建核电站的Ⅰ级PSA，多数国家完成了或正在实施II级PSA，极少数国家完成了III级PSA。目前核电站PSA通常是研究由功率运行状态下内部事件(包括丧失厂外电源和最终热阱)所导致的事故情景，然而许多核工业及PSA技术发达国家正在努力拓宽这个常规范围，如评价外部事件（地震、火灾等）的潜在风险，研究电站的低功率及停堆运行状态，包括换料冷停堆和维修冷停堆。同时，评价研究堆的风险、燃料循环包括核材料或核废料贮存设施的风险、核材料运输过程等的风险。

虽然目前几乎所有的核电站的设计及运行都是基于确定论及设计基准事故(DBA)，但PSA作为系统地评价核电站安全性的一种综合分析技术，已成为确定论安全设计及安全审评的必要和有效的补充。它通过逆推法总体上考察一个机组或一种设计的潜在风险是否足够低，安全性是否满足要求，并通过灵敏度分析，重要度分析等重要分析手段，同时结合风险效益分析，以便在设计和运行的修正或优化决策时提供技术依据，必要时为机组提供额外的安全保障措施，从而改善和提高机组运行的安全性和经济性。世界上许多国家都把PSA报告(至少Ⅰ级分析)作为向核安全管理当局申请建造、运行许可证的一个必备文件。实践证明用概率论(PSA)加确定论(DBA)互补的方法，可得到纵观全局、匀称合理的工作体系，有助于达到较高的安全目标和经济效益。人们从历史上两次大的核电站事故中，获得了一个教训，核电站事故并不发生于设计基准事故，而发生非设计基准事故中，而且人的作用非常重大，PSA正好能分析全部潜在事故，能考虑人的作用。总之，PSA技术及其研究成果已应用于核电站的设计，执照申请及日常运行维修管理等各个阶段和各个方面，并且用于安全管理和制定安全目标，提出了基于风险的安全管理(Risk-InformedRegulation)概念。已经编制了PSA应用导则，目的是促进PSA研究成果能系统地有效地得到应用。为了更好地说明PSA的广泛应用，举例如下：

ü通过评价设备或设备组的允许停役时间(AOT)和检查试验周期(STI)来优化技术规格书(TS)及限制性运行条件(LCO)；

ü通过分析维修活动及部件退役(OutofService)所带来的风险，并按风险量进行排序(GradedQualityAssurance),识别与风险相关的SSCs(Structures，SystemsandComponents),并以此为依据，用于优化维修计划，减少维修成本，即美国NRC著名的基于设备行为的维修规则(Performance-BasedMaintenanceRule)；

ü通过以可靠性为中心的维修方法形成预见性维修计划(PredictiveMaintenance)或预防性维修计划(PreventMaintenanceProgram)或改善原有的维修计划；

ü通过为核电站建立风险监督系统（On-lineRiskMonitorSystem），评价核电站当前状态下的风险，并以此作为运行维修决策的依据。；

ü通过事故序列预兆分析（AccidentSequencesPrecursorAnalysis），指导事故管理，预防事故发生；

ü用于设计及运行规程修正（Design&OperationProcedureBackfitting）。

据不完全了解，目前世界上绝大部分核电站已进行或完成了其Ⅰ级PSA分析（主要集中于内部事件，包括失去厂外电源和内部水淹），尽管，有些国家核安全法规并没有明确要求提交PSA分析报告，但业主或运营单位还是进行了PSA分析，并提交核监管部门补充评审。很多国家已经重视并进行研究堆PSA分析、燃料循环及其设施的PSA分析等，IAEA也已颁布了指导性的标准和导则。我国广东大亚湾核电站、岭澳核电站、江苏田湾核电站以及秦山三期均进行了PSA分析和研究。

核工业领域的PSA研究推动了其他工业领域的PSA研究和应用，在航空、化工、机械、电子和冶金等领域，均应用系统可靠性工程研究和解决本领域的问题。其实，系统可靠性发源于航空、电子和化工行业，已经成为提高产品质量和可靠性、改善企业效益、提高安全水平有效的手段和工具。

由于PSA利用概率风险理论对预期发生的事件作估计，因此，可用来对社会风险进行预测，例如保险事业、投资与利益预测、市场预测、股票市场预测等，都可能带来有益的效益。

由于PSA技术及研究成果的应用，开创了核电站安全经济运营的新纪元，核电站已经从确定性遵守文化（deterministiccomplianceculture）向风险通报安全文化(risk-informedsafetyculture)转变。

1.5思考题

1.什么叫概率安全评价（PSA）？为什么要引入PSA技术？

2.WASH-1400在PSA发展史上的地位和作用是什么？

3.风险的数学定义是什么？什么叫社会风险？什么叫个人风险？风险的数学定义有哪些缺陷？公众接受风险水平与哪些因素有关？概率安全评价——来源于核电服务于核电DNMC生产部执照申请处冯炳良（转自《大亚湾核电PSA专刊》）摘要概率安全评价是一种系统化的安全分析方法。它诞生于核电、来源于核电，是核电事业发展的产物，并随着核电事业的发展而发展，核电事业是它的源泉；同时，它服务于核电，是核电厂的一种设计工具、分析工具、管理决策工具。概率安全评价经受住了各种批评的考验，更经受住了核事故的检验。经过30a的发展，目前这项技术已经成熟。它通过其在风险指引型方法中所扮演的重要角色，已经在众多方面为核电的发展做出了重要贡献。实践证明，概率安全评价可以承载核电行业提高安全性和经济性的厚望。这项技术同样也一定能在我国核电事业的发展中发挥其越来越重要的作用。关键词核电厂核安全概率安全评价概率风险评价风险指引型0引言核安全是核电事业的永恒主题。与常规电厂相比，核电厂的特殊性就在于它具有放射性，在于它在将核能转化为电能的过程中会产生大量的高放射性的裂变产物。于是就产生了如何控制管理这些放射性物质以避免其向外泄漏的问题，产生了核安全问题。人类社会中没有绝对安全的活动。人们在享受这些活动所带来的利益的同时，也必然要承受一定的风险，问题是要使这种风险尽可能合理地小。核电为世界带来了光明，在它服务于人类的同时也会给人类带来风险。所谓的核安全也就是要使这种风险处于可知、可控并尽量小的可接受状态。概率安全评价（PSA）就是评价风险、认识风险、并帮助人们管理风险、降低风险的一项有效工具。概率安全评价是一种对不希望事件进行评价的方法。这种评价分两个方面，即分析不希望事件的发生频率及不希望事件产生的后果。而这种频率与后果两者的综合，就是所谓的风险。对核电厂而言，这种不希望事件是指堆芯损坏、放射性核素向环境泄漏、公众伤亡与财产损失等。与经典的确定论安全分析方法不同，概率安全评价是一种系统化的分析方法。这种分析的输入是电厂设计、运行历史与实践、人员行为、部件可靠性、堆芯损坏的物理过程、安全壳行为以及环境状况等方面的尽可能真实的有关信息；这种分析的基础是概率论；这种分析的手段是演绎与归纳相综合的逻辑推理；这种分析的输出即为各种事故序列、各种放射性物质释放和各种健康效应的概率与后果。概率安全评价与核电事业两者之间有着密切的关系：概率安全评价诞生于核电、来源于核电，核电事业是它的源泉；概率安全评价服务于核电，它是提高核电厂安全性和经济性的强有力的工具。概率安全评价，它是从核电中来的，它也必须而且必然要回到核电中去。所谓PSA诞生于核电、来源于核电是指：−PSA作为一门学科，它是核电事业发展的产物，而且可以说是必然产物，正是核电事业孕育了、哺育了它；−PSA作为一项技术，它随着核电事业的发展而发展；−PSA作为一种应用工具，它的应用案例与需求来自于核电事业的各项生产活动，包括设计、建造、运行、维修等活动。所谓PSA服务于核电是指：−PSA是一种设计工具，它服务于核电厂的从厂址选择、设计方案优化、直到许可证申请的整个设计过程；−PSA是一种分析工具，它作为确定论方法的一种重要的不可或缺的补充，正在核安全分析中起着越来越重要的作用；−PSA是一种论证工具，它在核电安全遭到反核方诘难时，论证了核电的安全性，捍卫了核电的生存；−PSA是一种管理工具，它催生了核安全管理当局及核电业主新的核安全管理理念——风险指引型安全管理，并使它的实施成为可能，使它正在从理念变为现实；−PSA是一种交流工具，它为核电业内各方包括业主与管理当局之间进行核安全方面的信息沟通交流提供了一个很好的平台、一种共同的语言；−PSA是一种提高核电竞争力的利器，它可以在提升核电厂的业绩中发挥重要作用。概率安全评价就是这样在不断地来源于核电、服务于核电的过程中形成、发展、成熟起来的。本文意在从历史与现状，就概率安全评价与核电的上述关系中的某些方面作一些说明。概率安全评价在其发展的早期，尤其是在美国，又称为概率风险评价（PRA）。这两者只是从不同角度对同一种评价方法的不同称谓。出于尊重史料的考虑，在文中有些地方也把这一方法称为PRA。1早期的核事故概率不可知论自从1954-06-27世界上第一座核电厂——前苏联的奥勃宁斯克核电站投运[1]以来，核电事业已走过了50多年的历程。在这一过程中，核安全一直是人们最为关注的问题。在上世纪50年代核动力发展的早期，人们认识到，核事故的后果可能是灾难性的。1957年发表的WASH-740中对核事故导致的放射性物质释放的情景作了令人不安的描述。而关于这种释放的概率，当时的结论是：“现在没有人知道，将来也不会有人知道这种低概率的准确值。”[2]可见，那时人们就已经意识到要考虑事故的概率，但限于当时的技术水平，没有手段对此进行定量分析，甚至认为不可能进行定量分析。此后，核电厂的设计与分析中逐渐建立起了纵深防御与安全裕量的概念，以尽量降低核事故的可能性。但是，难道核事故的概率就真的不可评估吗？2概率风险的首次提出上世纪60年代中期，核电面临着大发展。在人口稠密的欧洲国家，厂址的选择尤其成了一个大问题。人们需要制定定量的安全准则，作为厂址选择的依据。在这样的历史背景下，英国原子能管理局（UKAEA）的RegFarmer于1967年首次用概率论的概念指出，把事故分为可信和不可信是不合逻辑的，而是应该研究整个事故谱。他提出了一条著名的Farmer曲线，该曲线规定了对于各种事故（以131I的释放量作为该事故的后果的度量，曲线的横坐标）所允许的发生概率（曲线的纵坐标）。这条曲线告诉人们，核电厂的定量安全准则应该用概率与后果两个量来衡量。而实质上，这正是风险分析与PSA的基本思想。3概率风险评价（概率安全评价）的诞生对于风险评价方法的系统化关注始于美国的航天部门。1967-01-27，阿波罗（Apollo）飞船试验失火，3名宇航员不幸遇难。此后，美国宇航局（NASA）组织开发了一套评价飞船计划安全政策的“建议性准则”，其中包括有定量安全目标。但是，对于这项研究的结果，就连NASA自身也并未予以认同、采纳。后来由于种种原因，NASA在相当长的一段时间内放弃了定量风险分析，转而采用故障模式和影响分析（FMEA）方法。定量风险分析终究未能在先行起步的宇航业中孕育成新的生命。直至1986-01-28挑战者号失事之后，NASA才又开始定量的风险分析计划，以支持其航天飞行的设计与运行[2]。在美国宇航业遗弃定量风险评价的同时，上世纪60年代后期至70年代前期，核电事业得到了迅速且大规模的发展。1970—1972年，美国有16个核电厂投运。1973年，美国核电厂的订单就有41项。这期间，核电厂的设计根据纵深防御的原则等作了大量改进。但是核电的发展并非一帆风顺。1972年初，美国“关注的科学家联盟”挑起了一场关于失水事故的大争论。他们认为：在失水事故时，堆芯不可能保持完好的几何形状；在对核电厂的安全问题进行全面研究得出分析结果之前，应停止核电厂的运行。美国麻省理工学院诺曼·拉斯穆森（NormanRasmussen）教授撰文批驳了这种观点。他指出，核电厂发生失水事故并且安全系统失效而造成堆芯熔化的频率小于1/（100000堆·年）。与其他社会活动的风险相比，这一风险是很微小的，停止核电厂的运行和建造并不符合公众利益[1]。为了定量评价核电厂此前各项改进的效果以及核电厂运行的风险，同时也为了回应反核方的观点，美国原子能委员会（USAEC）组织了一个由拉斯穆森担纲的约60人的研究小组开展核电厂安全研究。他们费时两年多，耗资400万美元，于1975年10月正式发表了研究报告《反应堆安全研究：美国核电厂事故风险的评价》[3]（以下简称RSS报告），即著名的WASH-1400报告，又称拉斯穆森报告。这项研究的结果给出了一种对核电厂安全的全新认识。它指出：核电厂堆芯损坏的风险主要来自小失水事故和瞬态，而不是以前人们主要关心和设防的大失水事故；这种堆芯损坏频率的最佳估计值为5×10－5/堆•年，上限值为3×10－4/堆•年，比人们原来认为的要高得多，但是事故的后果远远没有原先想象的那么严重。而概率与后果的乘积，作为风险的量度，相对其他人类活动和自然现象的风险而言是相当低的[3-4]。它还指出，操纵员的行为有着非常重要的作用，人员失误会加剧事故的严重性。在该报告的摘要中，将核电厂事故的风险与其他人类活动的风险作了比较，指出核事故的风险要比非核事故的风险小得多，反应堆是安全的。该项研究所采用的是以概率论为基础、以事件树/故障树为工具的定量分析方法。RSS报告不仅是核领域中，而且也是包括NASA在内的其他各方所一致公认的第一份真正意义上的概率风险评价报告。该报告的发表标志着一门新的学科——概率风险评价（PRA，又称概率安全评价PSA）的诞生。毫无疑问，这是核电与核安全发展史上的一个里程碑。4在批评声中经受考验RSS报告的发表，立即引来了各方面的强烈反应。核工业界当然感到欢欣鼓舞，对它倍加赞赏，NRC开始时也采取了积极支持的态度；而反对方则对它进行了激烈的批评。美国物理学会（APS，1975）、环境保护机构（EPA，1976）、关注的科学家联盟（1977）等都对RSS报告发出了广泛的评论。他们批评说：计算方法是不能令人满意的；有关的物理过程没有得到适当分析；涉及大量放射性物质释放的事故后果被低估了一个量级；等等。反对方尤其批评在RSS报告的摘要中所作的核事故与非核事故的风险比较。他们认为：核事故的频率是根据模型和输入数据分析得到的，其不确定性很大，而且没有显现出来，而非核事故如飞机失事的频率是统计得到的，因此是比较确切的，把这两者作比较是不合适的。应该说，这种批评意见并非毫无道理。然而，“核电厂是低风险的”虽然在RSS报告中得到了充分的强调，但它决不是报告的全部。RSS报告还向人们阐述了许多重要信息：可能发生的事故序列、各种事故对风险的相对贡献、核电厂安全上的薄弱环节、改进反应堆安全的途径、进行这类分析的方法等等。对这些重要信息没有给予足够的强调可能是RSS报告的缺陷。争论的双方都没有对这些信息的重要意义给予足够的重视。1977年6月，根据美国国会通过的一项议案，NRC设立了一个由外部专家组成的评审组（ReviewGroup）来评审RSS的“成就与局限性”。以加利福尼亚大学的哈罗德·刘易斯（HaroldLewis）教授为首的代表各方观点的7名专家，对RSS报告进行了一年多的仔细研究。他们于1978年9月向NRC提交了一份报告[4]（称为Lewis报告）。该报告确认了PRA方法的有效性，并对RSS报告中所作的开创性工作表示了赞赏，认为RSS研究相对于以前的工作而言是一个重大的进步，它为核电厂发生事故的可能性提供了现阶段唯一的一个最完整最清晰的图像。同时Lewis报告也揭示了RSS报告在概率处理上的许多不足之处。Lewis报告的结论中提到：评审组不能确定WASH-1400中给出的事故序列的绝对概率值是偏高还是偏低，但是相信，这些计算值的误差界限一般而言是被大大低估了。在这场争论中，虽然RSS中给出的风险的绝对值受到了质疑，但是PRA的这一套方法最终还是被肯定了下来。令人遗憾的是，NRC过多地关注了对RSS的负面批评，而忽视了它所传递的其他重要信息。这使得NRC对它自己所组织的RSS研究的结果采取了疏远的态度。它在1979-01-18的声明中称：“委员会接受评审组报告的结论，WASH-1400中给出的风险的绝对值不应该不加鉴别地用于监管过程或用于公众政策，而且已经采取了并将继续采取措施，以适当纠正过去的任何这类应用。特别是鉴于评审组关于事故概率的结论，委员会不认为RSS中关于反应堆事故的总体风险的计算值是可靠的。”声明中又称：关于RSS研究的组成部分，委员会希望工作人员在适当的情况下，即在数据合适及分析技术允许的情况下使用它们。委员会支持在充分考虑评审组报告中及在给委员会的文件中表达的保留意见的条件下，在管理决策中推广使用PRA。新生的PRA受到了责难。然而，2个月后发生的一件震惊世界的核事故使这一切发生了根本变化。5在核事故中得到检验1979-03-28，美国三哩岛（TMI）核电厂2号机组由于设计缺陷、设备故障、人员失误等一系列事件的组合而发生了核电史上前所未有的严重的堆芯损坏事故[1，5]。对TMI事故的后续研究表明，该事故序列正是已在RSS中所预见到的。TMI事故被RSS不幸言中。RSS指出，小失水事故是核电厂风险的主要贡献者。TMI事故正是一个冷却剂从稳压器的卸压阀经卸压箱爆破盘流失的小失水事故。而且其中卸压阀开启后卡住而不能回座，这种故障模式也正是RSS中所预言的。RSS指出，人员失误是导致加重事故严重性的重要因素。TMI事故中正是包含了多重人员失误：2个辅助给水阀在检修后没有复位到开启位置；稳压器出现虚假的高液位（实为蒸汽的出现所致）报警时，操纵员手动减少了安注流量并加大了下泄流量；在主泵因汽水两相循环而振动时，操纵员未能针对原因采取行动而关闭了主泵；等等。RSS指出，核事故的概率要比人们想象的高，但其后果远没有人们想象的严重。TMI事故确实在现实生活中发生了。这个堆芯已受到损坏的核事故虽然造成了数十亿美元的重大经济损失，但释放到环境中的放射性物质的数量确实十分微小，并没有造成人员伤亡。核电厂的安全设施是十分有效的。TMI事故后果的严重性是令人遗憾的，而RSS以及PRA技术在TMI事故中所表现出来的科学的预见性却是令人赞叹的。没有人会对事故幸灾乐祸，重要的是吸取教训。TMI事故后两周，当时的美国总统卡特委派了一个以约翰·凯米纳（JohnG.Kemeny）为主席共12人的总统委员会，对事故进行调查研究。半年后，在他们提交的“三哩岛事故总统委员会报告”[5]中分析了事故的原因。报告指出，使事件演变成严重事故的主要因素是操纵员的行为不当，而这种行为不当又是有许多因素在起作用。报告指出了业主与供应商、NRC、操纵员培训、应急响应等方面存在的问题，特别是对NRC提出了严肃的批评，甚至建议对其重组。报告中明确提到“委员会建议应该对核电厂事故的概率和后果（厂内与厂外）开展持续的深入研究”，这些研究应该包括各种小破口失水事故和多重故障事故，特别要注意人员失误。这一切表明，PRA技术很好地经受住了TMI事故的检验，展现了强大的生命力，得到了社会的认同。6担重任于核电事业的危难之际TMI事故之后，业主和投资者纷纷撤资金退订单，美国的核电事业跌入了低谷。核电业界，包括管理当局与从业者为了挽回核电的信誉，重树公众对核电的信心，采取了一系列行动，包括进行一些电厂的PRA，开展严重事故研究[6]。三哩岛事故表明了对一个事故的概率和后果给出定量结果并使公众对其理解的重要性，这是管理决定和安全决策的核心。只有人们对风险有了某种度量，人们才乐于在专家们所能提供的定量基础上接受它。NASA在其后来的一份文件中甚至称：PRA几乎成了护卫核电生存的最后的依靠手段。PRA应该担当起这样的责任。上世纪80年代初，一些美国核电厂，如Zion、IndianPoint等电厂的PRA报告纷纷发表。这些报告注意到了对RSS的批评意见，在不确定性的处理与表达方面有了明显的改进。同时，NRC为了满足PRA在核电业界和核管理中应用增加的需要，发布了故障树手册[7]、核电厂概率风险评价实施导则[8]以及概率安全评价参考文件[9]。这些文件使PRA工作得到了进一步提升，并逐步走上了标准化的道路。这些后续的PRA报告进一步证明了核电的安全性，并给出了更多有用的风险信息。1986-04-26，前苏联的切尔诺贝利（Chernobyl）核电站发生了更为严重的核事故。如果说三哩岛事故带来的是几十亿美元的巨大损失，那么切尔诺贝利事故带给人们的更是惨痛的血的教训：31人的急性死亡和200多人的辐照综合症。核电的安全性受到了更为严重的质疑：核电厂究竟是否安全？它应该达到什么样的安全目标？事实上NRC从1981年开始就在努力制定安全目标。经过多年的研究修改，1986-08-21，NRC发布了《核电厂运行的安全目标：政策声明》[10]。声明中提出了两个定性的安全目标，即：公众个人应受到保护，不会因核电厂运行的后果而承受生命与健康方面明显的额外风险；核电厂运行的社会风险应该与其他发电技术的风险相当或比之更小，并且不应使其他社会风险有明显增加。同时，为了判断是否达到上述安全目标，声明中又提出了两项定量目标：由核电事故造成的核电厂周围个人急性死亡的平均风险不应超过其他事故的急性死亡风险之和的千分之一；核电厂运行造成的厂区周围人群的癌症死亡风险不应超过其他原因的癌症死亡风险之和的千分之一。所有的核安全管理活动、PRA的各项应用包括现今的风险指引型应用都必须符合这些安全目标。切尔诺贝利事故发生后，人们对核电厂发生严重事故的可能性与后果表示出了极大的关注。因此，NRC在1988-11-23发出了通告GL88－20[11]，要求各个电厂对严重事故及严重事故下电厂的易损性进行检查评价，即一般所称的IPE（单个电厂检查）与IPEEE（关于外部事件的单个电厂检查）。7概率风险评价的普及与提高NRC在该通告中所要求的IPE与IPEEE，可以采用PRA方法，也可采用其他认可的方法。但是所有核电厂都表示要采用PRA来进行IPE，相当多的核电厂表示要采用PRA来进行IPEEE。IPE与IPEEE使得PRA在各个电厂得到了大普及。从上世纪80年代末至90年代初，各个电厂都建立起了自己的PRA模型，并从评价中得出了相应的风险见解。这项工作使得电厂人员和NRC的工作人员都对PRA有了比较深入的了解。在此之前，NRC一直在为提高PRA技术进行努力，他们用80年代发展起来的PRA技术对5座不同设计的核电厂（其中包括2座在RSS中分析过的电厂）重新进行了风险评价，发表了报告《严重事故风险：5座美国核电厂的评价》，即NUREG－1150[6]。这份报告从1987年2月发表第一份草稿到1990年12月发表正式版历时近4a。它还有两套配套的报告（NUREG/CR－4550、NUREG/CR－4551）共14卷。这项工作总结了RSS以来十多年的研究工作，尤其是对严重事故和安全壳的行为作了深入的研究与评价。它对当时正在进行的IPE和IPEEE以及以后的PRA工作起到了重要的指导作用。同时，它也为管理当局如何在其执行安全管理时应用这些分析结果提供了有益的见解。这项研究使PRA技术提高到了一个新的高度，是继RSS之后PRA领域中的又一个里程碑。PRA技术的普及与提高为其在核安全监管中以及在核电厂各项生产活动中的应用打下了良好的基础。8概率风险评价的新阶段在PRA得到普及与提高的背景下，NRC与核工业界均认为，PRA的方法已经成熟，已可以作为管理决策的工具。1995-08-16，美国NRC发布了《概率安全评价方法在核活动中的应用：最终政策声明》[12]，提出：应在所有的核安全管理事务中，以当前PRA方法和数据的现状所能支持的程度，增加PRA技术的应用，以补充NRC的确定论方法和支持NRC传统的纵深防御原理。并提出：应在管理事务中，在当前技术水平切实可行的范围内，应用PRA及相关分析，以减少当前管理要求、管理导则、许可证承诺和NRC工作人员实践中相关的不必要的保守性。NRC期望该政策声明的实施能在3个方面改进管理过程：应用PRA见解提升管理决策水平；更有效地利用机构的资源；减轻许可证持有者的不必要的负担。这项政策声明对于PRA、对于核电事业、对于核安全监管都具有根本性的意义。它告诉NRC的工作人员在核安全监管事务中，从而也就告诉核电业主在核电厂运行维修等生产活动的安全决策中，不仅要考虑确定论分析给出的信息，同时也要考虑概率风险评价给出的信息。这标志着一种新的安全管理理念——涵盖风险信息的安全管理或称为风险指引型的安全管理理念的形成。此后，1998年，NRC发布了一系列管理导则（RG1.174[13]～RG1.178），并在标准审查大纲（SRP）中增加了相应的章节（19.0[14]、3.9.7、3.9.8、16.1）。这些文件阐述了许可证持有者要改变其许可证申领基准（如在役试验、分级质量保证、技术规范、管道在役检查）时应满足哪些原则，应如何进行传统工程评价和风险评价，以及风险评价结果的可接受准则。政策声明和这些文件的发表标志着风险指引型安全管理这一新阶段的到来。这些文件表明了管理当局观念的改变。这大大促进了PRA和风险指引型技术在改进安全管理与安全决策方面的更广泛的应用。而且NRC在2000年10月还发表了“风险指引型管理的实施计划”（RIRIP），描述了为推进这些应用而已经进行的、正在进行的及计划进行的活动。此计划根据情况每半年更新一次。核工业界对NRC的这些行动做出了积极主动的响应。时机已经成熟。PSA通过其在风险指引型方法中所扮演的重要角色，已经有条件可以更好更全面地在众多领域为核电的安全性与经济性服务：−技术规范。这方面的应用主要是设备后撤时间（AOT）和监督试验间隔（STI）的延长。AOT的延长使设备在功率运行下进行在线维修成为可能，从而缩短大修工期，减少不必要的停堆。STI的延长使设备可避免过于频繁的试验所带来的损害（如老化），有利于提高设备的可靠性并减轻电厂负担。这些应用可为电厂带来数百万美元的效益。而且NRC与核工业界还在继续增加PRA在改进技术规范方面的应用，制定风险指引型的标准技术规范，使其尽可能体现PRA的研究成果。−管道在役检查。以往的在役检查大纲是以确定论的应力分析等为基础制定的。而风险指引型的在役检查大纲则是把PSA的见解与传统工程分析的见解加以综合考虑而制定的。后者可以使管道在役检查总量减少60%～80%，使检查人员所受的辐射剂量降低约80%，使在役检查成本降低上百万美元（每10a检查期）。而且，在提高电厂经济性、减轻电厂负担的同时，它一般还能降低风险，提高电厂安全性。以上两项是风险指引型技术目前最为成功最为广泛的应用。−构筑物、系统和部件（SSC）的风险指引型分级和处理（10CFR50.69，2004.11）。修改了在10CFR50中要求作特殊处理的SSC的范围，允许许可证持有者根据PRA给出的信息，用风险指引型方法，按照SSC的安全重要度对SSC进行分级。这样可以免除对那些虽然安全相关，但安全重要度低的SSC的特殊处理要求，同时也增加对那些虽然非安全相关但安全重要度高的SSC的特殊处理要求。这样可以使SSC的分级更为科学合理，而需要满足特殊处理要求的SSC一般会大幅度减少。这对于提高电厂的安全性与经济性都是有利的。除了上述这些应用以外，PSA还在新反应堆监管过程的建立、维修规则的实施（10CFR50.65，2000.07）、电厂修改（10CFR50.59，2000）、取消将可燃气体控制作为设计基准的要求（即取消氢气复合器）并重新调整对氢气和氧气监测系统的管理要求（10CFR50.44，2003.09）、将防火规程转换成以风险为指引以性能为基础的规程[10CFR50.48（C），2004.09]、电厂功率增容、电厂风险的监督控制、运行事件的评价与分级、定期安全评审、事故管理、应急计划制定、分级质量保证以及操作员培训等方面发挥了其无可替代的作用。PRA的这些应用将会给核电带来明显的经济效益，有的报告称：“风险指引型应用的得益的详细评价表明，在接下来的5a中增加100万美元的投入，大部分电厂在其寿期中可以取得超过4000万美元的净现值（NPV）的得益。”（这是对于美国已投运20～30a的核电厂而言的。对新投运的核电厂，这种得益应该更大）。同时这些应用还能通过对计划性维修的风险评价，在改进正常和应急运行规程、电厂工程改造等等方面提高电厂的安全性。总之，在过去十年中，核电业界的风险指引型管理已经从初生的理念转化成了现实。PRA技术也已经得到了长足的进步。现在PRA不再只是注重于识别薄弱环节，而是已经有能力作为一种决策工具，用以提高电厂安全性、改进电厂运行效率、降低电厂运行成本和提升核电的竞争力。PRA已经在下述方面为核电事业提供了重要的服务：改进新电厂的设计；改进核安全；缩短大修工期；优化维修计划；允许在线维修；优化在役检查；避免强迫停堆；延长技术规范中的后撤时间；延长技术规范中的监督试验间隔；减少电厂起动时因非关键设备暂时不可用而导致延迟提升运行模式；减少特许申请；降低工作人员所受的辐照剂量；等等。此外，目前正在用风险指引型方法进行大失水事故的破口尺寸和频率的重新定义和研究，这将给核电厂的安全性和经济性带来非常深刻的影响。美国在其2004年9月的“美利坚合众国关于核安全公约的第3次国家报告”[15]中称：“NRC认为，电厂的PRA可以给出关于电厂安全的重要信息，因为它是整体性地分析电厂安全。NRC已经在改进具体事项的安全管理及在变更各个电厂的现行许可证审批基准方面广泛应用PRA所得出的信息来补充其他工程分析。从现行的管理法规和管理过程向风险指引型推进，可以说是管理当局和核工业界在安全管理方面所发生的最重大的变化”。这种变化已经产生还将继续产生深远的影响，为核电事业带来更美好的前景。实践已经证明，PRA是可以承载核电行业提高安全性和经济性厚望的有效工具。9借鉴国外经验，开展我国核电厂的概率风险评价PSA技术是在美国诞生发展起来的，在RSS发表后3a，当时的西德也发表了类似的报告《德国风险研究》，其他国家以及国际原子能机构（IAEA）也纷纷开展了PSA工作。我国引进和开发PSA技术也是与我国核电事业的发展密切相关的。在我国，PSA同样也是来源于核电，服务于核电。1984年，当时的核工业部与国家核安全局敏锐地察觉到了国际上PSA技术的发展及其重要意义，组织了2支队伍，分别对正在设计、建造中的秦山核电厂、大亚湾核电站进行概率安全评价的研究。作为一种设计工具，PSA在秦山核电厂、恰希玛核电厂的辅助给水系统、停堆保护系统等以及CP1000的应急给水系统、后备应急电源等方案选择与设计改进中起到了应有的作用。广东核电集团已经为大亚湾地区的3座核电厂建立了PSA模型，并且在技术规范优化、电厂工程改造、突发事件评价、电厂日常生产活动的风险评价与管理、安全重要事件的分析等方面得到了应用，取得了良好的效果。国内其他各核电厂、设计单位、高等学校等都在PSA方面开展了很多工作。国外值得借鉴之处不仅在于PSA技术本身，还在于核安全监督部门及核工业界之间在PSA技术的开发与应用方面的良性互动机制。正是这种机制，才使PSA得以充分施展其为核电事业服务的功能。目前，在我国，这种良性互动机制正在建立并不断完善。除了核工业界以外，国家核安全局、国家环保总局核安全中心也一直致力于推动我国PSA技术的开发与应用：2000-04-10，发布《政策声明：新建压水堆核电厂设计中的几个重要安全问题》，明确指出：“作为确定论设计的辅助和补充，概率安全分析应该在核电厂的设计中得到应用。”2002年5月，发布《新建核电厂设计中几个重要安全问题的技术政策》的通知，文中提到了2个定量概率安全目标。2004-04-18，发布新版的《核动力厂设计安全规定》（HAF102）[16]和《核动力厂运行安全规定》（HAF103）[17]。在这2个文件中，明确提出了“必须完成核动力厂的概率安全分析”等要求，并提出了PSA应该达到的目的。在“中华人民共和国《核安全公约》国家报告”[18]这一文件中，我国政府明确表示：“世界核电厂的经验表明，应用概率安全评价方法，可以有效地提高核电厂的安全性。因此，中国核行业主管部门和核安全监督部门都非常重视并努力推广概率安全评价技术在核安全领域中的应用。”经过20多年的研究发展，PSA技术在我国已经有了相当的基础。在核行业主管部门、核安全监督部门及核工业界共同努力下，PSA一定能在我国核电事业的发展中发挥其越来越重要的作用。致谢文中参考了老同事陈效军先生提供的一些信息，特此致谢。参考文献[1]陈效军．沿着开发核能的征途．北京：科学出版社，1986.05.[2]BedfordT,CookeR．ProbabilisticRiskAnalysis:FoundationsAndMethods．CambridgeUniversityPress，2001.[3]USNRC．ReactorSafetyStudy—AnAssessmentofAccidentRisksinU.S.CommercialNuclearPowerPlant．WASH-1400（NUREG－75/014），Oct.1975.[4]LewisHW，etal．RiskAssessmentReviewGroupReporttotheU.S.NuclearRegulatoryCommission．NUREG/CR－0400，Sep.1978.[5]KemenyJG，etal．ReportofthePresident’sCommissionontheAccidentatThreeMileIslAnd．PergamonPress，1979.[6]USNRC．SevereAccidentRisks:AnAssessmentforFiveU.S.NuclearPowerPlants．NUREG-1150．Oct.1990