4.4.3.4 数据
4.4.3.4.1 事件树定量分析的相关数据是各分支点的条件概率。由于可能发生的现象具有相当程度的不确定性,其结果通常使用基于专家判断的概率。
4.4.3.4.2 评价工作应该确认专家判断的体制是健全的,判断的依据已予说明并已尽可能证明是正确的。评价应该考虑已经完成的热工水力分析、其他类似核动力厂的分析以及适用的研究数据。安全壳事件树的量化应该考虑被模拟的各种现象之间的相关性。
4.4.3.5 安全壳性能分析
4.4.3.5.1 需要涉及的重要问题之一是堆芯损坏引起安全壳承受载荷的行为和安全壳如何发生失效。
4.4.3.5.2 在分析中应该涉及安全壳直接旁路(例如,由于蒸汽发生器传热管破裂或冷却剂排到安全壳外的接口系统的冷却剂丧失事故)和安全壳隔离系统的故障。这通常包含在核动力厂损坏状态的定义中。
4.4.3.5.3 应该进行结构分析,以确定由于蒸汽爆炸、不可凝气体或氢气燃烧可能引起的压力和温度条件下的安全壳行为。该分析应该基于安全壳的实际设计,要考虑到闸门、贯穿件、密封和其他可能的薄弱区域。应该确定安全壳可能的失效模式,并应该评估作为压力和温度函数的安全壳失效条件概率。然后该信息可用来估计用于量化事件树的条件故障概率。
4.4.3.5.4 分析还应该确定熔融堆芯与混凝土在压力容器失效后相互作用如何导致安全壳底板失效。应该估计作为余热和熔融物质可得到冷却的函数的底板失效条件概率。如果安全壳底板上面有附加分隔空间,则应该特别注意,底板熔穿可能导致放射性物质经非过滤路径释放。
4.4.3.6 源项分析
4.4.3.6.1 在事件树分析中通常会有大量序列的终止状态,并且这些终止状态一般按具有类似放射性特征和厂外后果的释放和/或源项类别进行分组。
4.4.3.6.2 确定释放类别应该包括以下因素,如所包含的每种核素的数量、出现时间、持续时间、位置、能量范围和颗粒大小的分布等。
4.4.3.6.3 对所确定的每项释放类别都应该确定其源项。这应该考虑影响源项的各种因素,包括放射性核素的挥发性、从燃料的释放、反应堆冷却剂系统内裂变产物的滞留和安全壳内裂变产物的滞留等。
4.4.3.6.4 每类释放的频率应该是各事件树中该类终止状态的所有频率之和。当概率安全分析的范围包括厂区内所有放射性物质源项的释放时,则由堆芯外源项的释放应该计入该终止状态。这会涉及附加释放类别的定义,它们的厂外放射性影响较低但频率比堆芯损坏的释放频率高。
4.4.3.7 二级概率安全分析的结果
4.4.3.7.1 二级概率安全分析的结果通常以源项类别或释放类别与各自的发生频率的表格形式给出。源项类别或释放类别由各自的放射性核素成分(按其共同的化学及物理特性分为不同的裂变产物组)与相关释放特征(事故发生后释放发生的时间、持续时间、释放点高度及能量范围等)来确定。从此信息能推导得出大量释放或早期大量释放的发生频率,以便与概率安全准则进行比较。
4.4.3.7.2 与概率安全分析的其他部分一样,二级分析结果应该用于确定风险的主要贡献因素以及为降低风险在核动力厂的设计和运行方面能够做哪些修改。这应该考虑到二级概率安全分析中固有的重要现象不确定性。这些改进措施可能包括氢气控制系统(此系统具有足够处理堆芯损坏后产生氢气的能力)、安全壳过滤排气系统(可以在较长期间内防止安全壳超压)或用于熔融堆芯冷却的专用系统等。在考虑代价和利益后,当认为这样做是合理可行时,应将这些改进纳入到核动力厂的设计中。
4.4.3.8 厂内事故管理
4.4.3.8.1 在事故期间,运行人员可以采取行动阻止事故发展或降低其影响。分析中经常包括这样一种事故管理措施的例子,例如开启卸压阀以降低一回路压力并且防止熔融物质在高压下从反应堆压力容器向外喷射,以及在堆芯熔融物从一回路流出后往安全壳内注水,以提供冷却介质。
4.4.3.8.2 二级概率安全分析应该用于确定哪些事故管理措施可以用于缓解熔融堆芯的影响。这些措施应该包括能对安全壳功能有所支持和可以抑制可能发生的放射性物质释放的措施。这些事故管理措施应该纳入到核动力厂事故管理大纲中,并且还应该对负责执行这些事故管理措施的运行人员进行培训。严重事故管理措施应该与核动力厂运行人员能够在该情况下合理使用的设备、仪表及诊断手段相适应。
4.4.4 三级概率安全分析:厂外后果分析
4.4.4.1 引言
4.4.4.1.1 厂外后果分析模拟核动力厂放射性核素的释放,释放的放射性核素向环境的迁移,以及其对公众健康及经济的影响等。分析应该:(1). 提供生活在核动力厂附近居民的个人死亡风险评估;(2). 给出一系列的厂外后果,包括对公众成员造成的早期和晚期健康影响;(3). 考虑其他经济后果。
4.4.4.2 源项分组
4.4.4.2.1 正如4.4.3.6.1-4.4.3.7.1中讨论,对于二级概率安全分析中确定的故障序列通常归类成释放类别,该类别在影响大气弥散和厂外后果方面具有类似特征。定义的释放类别组应该代表可能发生的从核动力厂释放放射性物质的各种情况。确定这些释放类别通常以释放的放射性核素成分的挥发性来分类。此外,释放类别还应该确定从始发事件出现直到发生释放所经历的时间以及释放的持续时间,因为这些均和厂外应急计划制定有关。释放类别的发生频率应该是该释放类别包含的所有安全壳事件树终止状态的频率总和。
4.4.4.3 大气弥散模型
4.4.4.3.1 为进行厂外后果分析,需要输入关于核动力厂及厂址的专用数据,包括核动力厂的释放类别和频率,该厂区及周边的气象、人口、农业和经济数据等。程序模拟放射性核素在环境中的迁移情况,包括大气弥散、沉积、再悬浮、食物链途径和照射途径(如烟云照射、吸入、污染、地面沉积、再悬浮和摄入等)以确定对公众健康和厂外经济的后果。
4.4.4.4 气象数据
4.4.4.4.1 应该确定核动力厂厂址的气象数据。这些气象数据应该以该厂址附近连续多年搜集的数据为依据,通常包括风向、风速、稳定度类、降雨量以及混合层高度等(准确的数据通常取决于所用的计算机程序)。
4.4.4.5 人口、农业和经济数据
4.4.4.5.1 应该确定核动力厂厂址的人口、农业和经济数据。这些数据通常依据国家资料以及厂址附近的区域调查所补充的资料。必要的数据将取决于在分析中所包含的对公众健康影响和经济因素的选取。分析过程中如何准备数据取决于所采用的计算机程序的具体需要。
4.4.4.6 社会风险评估的结果
4.4.4.6.1 社会风险评估的结果应该与为该核动力厂确定的风险准则进行对比。
4.4.4.6.2 应该将社会风险评估的结果提供给应急主管部门,作为其制定厂外应急计划决策过程的技术输入。
4.4.4.7 厂外应急计划
4.4.4.7.1 应急计划和准备是指为防止工作人员和公众受到核动力厂放射性物质释放的影响而在核动力厂厂区内外可能进行的各项活动。可行的话,应该使用三级概率安全分析对这些防护策略进行研究。该分析应该既考虑短期防护措施(如隐蔽、撤离、服用碘片等)的作用,也应该考虑长期对策(如食物禁用、搬迁、地面去污)的需要。同时,此分析还应该考虑对策的启动方式--是否自动启动,这取决于核动力厂状态或剂量。
4.4.4.7.2 三级概率安全分析的结果应该为制定应急计划和评价应急响应计划中各方面的相对有效性提供输入。
4.4.5 概率安全分析的确认
4.4.5.1 分析需要许多计算方法。这些方法包括从事件序列分析中使用的逻辑事件和故障树模型,到堆芯损坏后安全壳内发生的各种现象的模型和放射性核素在环境中移迁以确定其对健康和经济的影响的模型等。应确认这些计算方法以证明其能够充分代表所发生的过程。对使用的计算机程序的评价将在4.6节给予说明。
4.4.5.2 下述做法正逐渐成为标准方法,即营运单位委托某外单位对概率安全分析进行独立的同行评议,以保证分析的范围、模型和数据是适当的,并且保证该分析与目前世界上的最佳实践一致。
4.4.6 概率安全分析的应用
4.4.6.1 概率安全分析结果的表述
4.4.6.1.1 应该审查概率安全分析的结果,以确定那些对风险贡献最大的故障序列。在某些情况下,概率安全分析可能会指出某一个贡献因素对风险起主导作用,但是进一步的研究可能认为该因素的主导性是由概率安全分析的有关该部分所做的过分保守假设引起,而不是对反应堆设计的反映。在这种情况下,应该考虑修正这些部分的分析以提供较切合实际的风险评估。
4.4.6.2 活态概率安全分析
4.4.6.2.1 概率安全分析应该在整个核动力厂寿期内应用,以便为决策过程提供输入。在核动力厂运行期间,常对其安全系统设计或其运行方式进行修改,例如在维护和试验期间核动力厂配置的变更。这些修改可能对核动力厂的风险水平有影响。在核动力厂运行期间,将会得到有关始发事件频率和部件故障概率方面的统计数据。同样,新的信息和更精确的方法与工具的使用会改变分析中所作的某些假设,因而可能改变概率安全分析提供的风险评估。
4.4.6.2.2 在核动力厂寿期内,概率安全分析应及时更新,使其用于决策过程。更新过程应该考虑到核动力厂设计和运行的变更、新的技术信息、更加精确的方法和工具、以及从核动力厂运行中得到的新数据等。应该对概率安全分析的状况进行定期审查以保证其能充分反映核动力厂的现状。
4.4.6.2.3 核动力厂营运单位应该在核动力厂整个寿期内不断收集其运行数据,以便核实并更新概率安全分析。这应该包括以下统计数据:始发事件频率、部件故障率以及在试验、维护或修理期间核动力厂的不可用性等。分析应该依据新数据予以评价。
4.4.6.2.4 应该促进活态概率安全分析不断发展,以有助于在核动力厂正常运行期间的决策过程。这包括这样一些活动,例如应用概率安全分析帮助编制维修停役计划,以保证这些活动引起的风险足够低。
4.4.6.3 概率安全分析的局限性
4.4.6.3.1 概率安全分析是设计评价和安全分析过程的一个关键部分,该分析为整个核动力厂提供了整体的风险模型,并且可对可能事故的频率和后果进行统一的评价。但是,需要了解概率安全分析的局限性
4.4.6.3.2 特别需要指出,概率安全分析不应视为可以代替工程设计评价或确定论设计方法。更确切地说,应该认为概率安全分析提供了对核动力厂风险水平的深入了解。这些有关风险的深入了解应该在决策过程中用来补充从确定论分析中得出的结论。
4.4.6.3.3 概率安全分析中使用的模型和数据均有不确定性。对于从大型数据库或相关运行经验中得出的部件故障概率,其不确定性相对来说是比较小的;但是,在很多其他方面,其不确定性可能大得多,甚至无法量化,例如:
- 无运行经验数据可依据的始发事件的发生频率和部件的故障率;
- 大地震的发生频率及其地面运动;
- 对共因故障的模拟;
- 对人员差错的模拟;
- 对在严重事故中可能发生的现象的模拟;
- 估计核动力厂放射性物质释放的厂外后果。
在决策过程中利用概率安全分析的结果时应该认识到这些不确定性。概率安全分析的结果应该由不确定性分析或至少由敏感性分析给予支持。
4.4.7 概率安全准则
4.4.7.1 准则的建立
4.4.7.1.1 当概率安全分析的结果用于支持决策过程时,应该为此建立一个正式框架。该过程的详细程度取决于概率安全分析实际应用的目的、决策的性质以及要使用的概率安全分析的结果。在使用概率安全分析的定量结果时,应该确定可与之比较的相应的参考值。
4.4.7.1.2 当概率安全分析的目的是为了确定风险的主要贡献因素,或是为了在多种核动力厂设计方案及配置之间作出选择时,可不需要参考值。
4.4.7.1.3 当概率安全分析是为了帮助作出下列判断时,则应该制定概率安全准则,以便为设计单位、营运单位和国家核安全监管部门提供关于对核动力厂所要求的安全水平的指导,例如:⑴计算的风险是可接受的;⑵核动力厂的设计和运行的变更建议是可接受的;⑶需要变更设计以降低风险水平。这些准则也用来确定设计单位、营运单位和国家核安全监管部门在完成核动力厂安全规定中规定的各自任务中必须达到的目标。
4.4.7.1.4按照所计算的后果的级别,概率安全分析将给出在不同级别上的风险量的数值。可以采用下列风险量设定概率安全准则,必要时,也可包括:
- 堆芯损坏频率(一级);
- 放射性物质从核动力厂的某种特定的释放(即数量、同位素)的频率,或作为数值大小的函数的频率(二级);
- 安全功能或安全系统的故障概率(零级);
- 对公众的各种健康影响或环境后果的频率(三级)。
4.4.7.2 数值
4.4.7.2.1 安全功能或安全系统故障概率: 可以在安全功能级别或安全系统级别上建立概率论目标。这些目标用于核查多重性和多样性水平是否充分。这些目标随核动力厂的设计不同而不同,因此这里不作规定。安全评价应该核查这些目标是否已经满足。如果没有达到这些目标,只要满足了较高级别的准则,设计仍可能被接受;但是,对该安全系统应该特别注意,以确定是否能对其进行合理可行的改进。
4.4.7.2.2 关于堆芯损坏频率的目标是:
- 对已有的核动力厂,每堆年10-4;
- 对新的核动力厂,每堆年10-5。
4.4.7.2.3 堆芯损坏频率是最通用的风险度量数值,用作概率安全准则。
4.4.7.2.4 放射性物质向厂外大量释放: 放射性物质的大量释放将会对社会造成严重影响,并且将要求采取厂外应急措施。
4.4.7.2.5 关于放射性物质大量释放的目标是:
- 对已有的核动力厂,每堆年10-5;
- 对新的核动力厂,每堆年10-6。
4.5 敏感性和不确定性分析
4.5.1 在使用推荐的最佳估算程序进行确定论安全分析和概率安全分析时,需要由敏感性和/或不确定性分析作补充。
4.5.2 应该用敏感性分析(包括对程序输入变量和模型参数的系统性变化)来确定分析所必需的重要参数,并表明输入变量的实际变化不会导致分析结果的剧烈改变(“陡边”效应)。
4.5.3 确定论安全分析框架中的不确定性研究是指核动力厂工况、程序模型及有关现象对分析结果的影响的统计组合。这些研究应该用于确认核动力厂的实际参数将限制在一个范围内,该范围是计算结果加上具有规定的高可信度的不确定性。通常将敏感性分析、程序对程序的比较、程序对数据对比以及专家判断等组合起来用于估计不确定性。
4.5.4 概率安全分析也应该进行作为关键部分的不确定性分析。对不确定性的确认和分析是概率安全分析的优势。确定论分析中也会存在不确定性,但是,通常并不予确认或分析。在试图考虑不确定性时宁可审慎地采用保守假设。但是,确定论分析中不确定性的程度并不相同,并可能导致不均衡的分析。概率安全分析的方法的优势可作为确定论方法的补充,并且能够完全反映出不确定性。对这种情况,不确定性也应该反映始发事件频率和部件故障概率的范围。
4.6使用的计算机程序的评价
4.6.1 安全分析中要使用大量计算机程序,通常包括:
- 放射学分析程序:评估工作人员遭受的辐照剂量;
- 中子物理程序:模拟反应堆堆芯的行为;
- 燃料行为程序:模拟核动力厂正常运行期间及事故后燃料元件的行为;
- 热工水力程序:模拟核动力厂正常运行及事故发生后反应堆堆芯及相关冷却剂系统的行为;
- 安全壳热工水力程序:模拟冷却剂丧失或二回路管道破裂后安全壳压力和温度的行为;
- 结构程序:模拟各部件和构筑物在载荷及载荷组合下的应力应变行为;
- 严重事故分析程序:模拟自堆芯损坏至安全壳失效的事故序列进程;
- 放射性后果分析程序:模拟放射性物质在厂区内外的迁移,以确定其对工作人员及公众的影响;
- 概率程序:构筑逻辑模型,以确定在假设始发事件后可能发生的事故序列并估计其发生频率。
4.6.2 在安全分析中使用的所有计算机程序都应予以确认和验证。计算机程序采用的计算方法应该适合于使用目的,正确的物理控制方程和逻辑的关系式应该补充在计算机程序中。
4.6.3 关于计算机程序,应该确定:
- 用于描述过程的物理模型和相关的简化假设是合理的;
- 用于描述物理过程的关系式是合理的,其适用范围已确定;
- 程序的适用范围已确定。这一点很重要,如果计算方法只指定用来模拟规定范围的物理过程,则该计算方法的使用不应该超出此范围;
- 采用的数值方法能够提供具有足够精度的解;
- 系统的方法已用于计算机程序的设计、编程、调试和文件编制;
- 已按照程序的技术规格对源程序进行了评价(对于大型程序可能无法实现)。
4.6.4 关于计算机程序的输出结果,应该确定程序的预测结果已经与以下数据和程序进行了比较:
- 模拟重要现象的实验数据。这通常包括针对 “单项效应”和较大型的“整体”实验的比较;
- 核动力厂数据,包括在核动力厂调试或启动期间完成的试验,以及运行事件或事故;
- 独立开发的和使用不同方法的其它程序。这对模拟严重事故现象特别重要;
- 具有足够准确结果的标准题和/或数值基准。
4.6.5 应该确认每个程序在安全分析中的每种应用。
4.6.6 需要指出,对于已开发的某些程序,已作多方面的确认工作。但对于正在开发的程序和那些用于模拟却未完全了解的严重事故现象的程序,这种确认可能不够完善。
4.6.7 程序的使用者,应该保证:
- 接受了足够的培训并且理解所使用的程序;
- 在程序使用方面具有足够的经验,并且完全了解程序的用途和局限性;
- 有合适的程序使用手册;
- 可能的话,在开始安全分析之前已经用该程序对标准题进行分析。
4.6.8 关于计算机程序的使用,应该确定:
- 节点化和核动力厂模型能很好地反映核动力厂的行为;
- 输入数据正确;
- 正确理解和使用程序的输出结果。
5.独立验证
5.1 独立验证的目的是确认安全评价满足适用的安全要求。
5.2 独立验证可基本遵照本安全导则2-4章讨论的安全评价方法实施。但是,独立验证的范围较之安全评价要更窄一些,因为独立验证是集中最重要的安全问题和要求,而不是全部。
5.3 设计评价活动是质量保证总大纲的一部分,并且是在核动力厂设计阶段主要关心的问题。执行独立验证的小组可考虑先前完成的质量保证审查,以确定独立验证的内容和范围。
5.4 本安全导则主要涉及核动力厂建造开始以前进行的设计验证活动,并且重点集中于设计单位或其代理机构所进行的安全评价活动。但是,本安全导则也可适用于其他随后进行的类似验证活动。
5.5 安全评价的验证应该由熟悉目前反应堆技术发展及安全分析的专家完成。
5.6 执行独立验证的审查人员应该验证安全评价的过程是恰当的。应该为审查人员提供所有的相关设计文件,包括计算模型、数据和假设等。另外,还应该允许审查人员进入核动力厂的所有区域(包括关键区域)进行巡查,从而确认安全评价充分反映了核动力厂的实际设施。
5.7 作为一个实例(不包括全部),审查的项目清单如下:
- 假设始发事件的选取;
- 应用的工业标准;
- 有关的安全及辐射防护评价问题;
- 为包罗所有类似情况对始发事件所假设的最不利的核动力厂初始条件;
- 单个事件与其故障后果的组合;
- 继发故障的确认;
- 安全系统、非安全系统及各部件在事故期间运行状态的假设;
- 假定的运行人员行动;
- 已验证适用于特定分析的计算机程序;
- 可靠性数据及其在特定分析中的适用性;
- 概率安全分析中事件树和故障树的构建;
- 共因故障;
- 每种特定放射性物质释放形式的大气弥散模型的应用;
- 不确定性分析;
- 超设计基准事故分析过程的充分性。
5.8 应该对所选择的计算机计算进行独立核对,以保证分析的正确性。如果初次使用的程序尚未完成充分的验证和确认,则应该使用替代程序验证其精度。
附件2:
核安全导则 HAD103/06
核动力厂营运单位的组织和安全运行管理
国家核安全局
核动力厂营运单位的组织和安全运行管理
(2006年6月5日 国家核安全局批准发布)
本导则自2006年7月1日 起实施
本导则由国家核安全局负责解释
本导则是指导性文件。在实际工作中可以采用不同于本导则的方法和方案,但必须证明所采用的方法和方案至少具有与本导则相同的安全水平。
目 录
1.引言
1.1 概述
1.2 范围
2.组织机构
2.1 营运单位
2.2 组织计划
2.3 营运单位的机构
3.职能和责任
3.1 营运单位的职责
3.2 核动力厂运行管理者的职责
3.3 目的和目标
4.与外部单位的接口
4.1 与国家核安全监管部门的接口
4.2 与外部支持单位的接口
4.3 与公众的接口
5.安全管理
5.1 安全管理制度
5.2 安全政策
5.3 安全有关活动的进行
5.4 安全业绩的监测和审查
6.核动力厂运行管理大纲
6.1 概述
6.2 人员配备
6.3 人员资格和培训
6.4 调试
6.5 核动力厂运行
6.6 维修
6.7 在役检查
6.8 监督
6.9 燃料管理
6.10 化学
6.11 安全分析和审查
6.12 实物保护
6.13 辐射防护
6.14 工业安全
6.15 废物管理和环境监测
6.16 应急准备
6.17 防火安全
6.18 质量保证
6.19 人因
6.20 运行经验反馈
6.21 核动力厂修改
6.22 文件管理和记录
6.23 老化管理
6.24 退役
7.支持职能
7.1 概述
7.2 培训服务
7.3 质量保证服务
7.4 辐射防护服务
7.5 维修、监督和在役检查服务
8.交流和联络
8.1 交流
8.2 联络
名词解释
1.引言
1.1 概述
1.1.1 本导则是对《核动力厂运行安全规定》有关条款的说明和补充。
1.1.2 核动力技术不同于传统的用矿物燃料和水力产生动力的技术。核动力厂管理和常规动力厂管理之间的一个主要的区别是强调核安全、质量保证、放射性废物和辐射防护的管理以及相应的国家监管要求。本导则强调与上述安全有关的有效管理的重要问题。
1.1.3 对安全的重视要求管理者认识到:涉及核动力厂计划的人员应了解和有效地响应上述核动力的特殊安全要求,并不断探索增强安全的途径。这将有助于保证实施安全政策以实现核动力厂的安全运行,并始终维持安全裕度。营运单位的组织机构、管理标准和管理控制应高度保证安全政策和决策得以实施,安全不断地得到加强,安全文化得到支持和促进。
1.2 范围
1.2.1 本导则明确规定了核动力厂安全运行的主要安全目标和管理责任,以及营运单位的职责。
1.2.2 本导则讨论了在下述方面要考虑的一些因素:(a)建立满足这些主要安全目标的营运单位;(b)制定保证执行安全任务的管理大纲;(c)建立旨在满足上述要求的服务和设施;(d)在营运单位内部维持健全的安全文化。
1.2.3 本导则主要论述与核动力厂运行直接有关的安全事项。其前提是假设选址、设计、制造和建造等方面的安全问题已获得解决。考虑到以后的运行, 本导则还论及运行与设计、建造、调试和其他单位之间的相互关系,以及营运单位介入对安全问题的审查。最后,本导则也讨论了营运单位、国家核安全监管部门和公众之间的关系。
2.组织机构
2.1 营运单位
2.1.1 作为许可证持有者,营运单位必须对核动力厂的安全运行负全面责任。营运单位可以把核动力厂的安全运行授权给核动力厂运行管理者,但仍必须保持对安全负有首要的责任。在此情况下,营运单位必须给核动力厂管理者提供必要的资源和支持。核动力厂的管理必须保证核动力厂安全运行,遵守法律、法规要求。(《核动力厂运行安全规定》2.1.1)
2.1.2 一旦营运单位直接管理一座核动力厂,就对该核动力厂的管理负完全责任,并对在安全生产方面所批准的活动有充分的责任和权力。由于这些活动影响安全,所以营运单位应根据其许可证义务制定安全政策,以遵守包括维修和监督在内的所有工况下的安全管理要求和规程,并应配备有能力的、称职的与经过充分培训的人员。
2.2 组织计划
