丁震行
风险管理最早由美国宾夕法尼亚大学所罗门许布纳博士于1930年提出，其内容是指各经济单位通过识别、衡量、分析风险，并在此基础上有效控制风险，用最经济合理的方法来综合处置风险，实现最大安全保障的科学管理方法。
核电厂由于存在放射性物质释放到环境中而对公众产生危害的风险，因而人们对核电厂安全的关注程度要比对常规电厂及其它新能源发电方式高得多。为了保障核安全，核电厂在设计、制造、安装调试、运行及其退役中均按照纵深防御原则，采取保守的预防措施。这些措施经过核电厂9000多堆年的运行证明是有效的。由于核电厂存在放射性危害的风险，后果又十分严重，因此运行核电厂的风险管理十分重要。
1大亚湾核电厂风险管理的实践
大亚湾核电厂在投入商业运行后，充分利用世界上核电厂风险管理的经验，并通过自身实践的检验建立了风险管理体系，在安全生产中发挥了积极作用。
1.1机组状态管理
根据运行技术规范所定义的反应堆正常运行的9个标准状态的限值安全要求和机组运行的要求，界定出不同机组状态必须可用的系统和设备，对每一状态都制定了静态检查点试验规程，对状态变化则制定了动态检查点试验规程。静态检查点试验是对机组停留在某一标准状态时所进行相关的试验，要求操纵员每班(8h)实施1次，以便通过试验及时发现人因或设备的偏差；动态检查点则是为了确保反应堆状态转变时，安全相关系统和设备满足技术规范的要求。无论是静态检查点还是动态检查点，都是从保障核安全的3大功能来考虑的，控制点的释放必须由安全评价会议或当班安全工程师批准。
在机组换料大修期间，通过实行运行主隔离管理，将机组系统或设备停运、复役和隔离活动用同一主隔离文件反映。即用运行规程控制机组状态，用隔离计划管理系统的隔离与复役，使主控室操纵员在控制机组状态的同时控制系统的主隔离活动。因全部运行活动控制归一，从而杜绝了隔离经理与主控室操纵员信息不一致而可能导致的人因失效。
1.2风险指引型的核安全监督
大亚湾核电厂安全工程师岗位的设置源于法国核电厂的实践。安全工程师独立于运行值而对机组安全状态实施监督和控制，其职责是通过对核安全功能的监督，对电厂核安全状况进行评价，对运行总则执行情况进行独立检查，跟踪核安全相关问题，对核安全管理提出建议。在实际运作过程中，大亚湾核电厂将安全工程师的职责，从事后的符合性监督向事前风险度监督转变，即由问题指引型监督转向风险指引型监督。风险指引型的安全监督主要表现在，通过事件探测、概率风险分析、对安全关注问题的跟踪、安全指标的趋势分析以及对电厂运行和维修活动的工作申请、计划安排、风险分析等进行独立审查，实现对核电厂安全的控制。
1.3运行维修活动的风险分析
大亚湾核电厂要求所有与机组运行相关的生产活动必须百分之百通过风险分析。
风险分析涉及两方面内容：
(1)对各种生产活动执行过程中可能存在或可能产生的对机组状态的影响及其后果进行分析；
(2)对生产活动过程中的设备和工作环境中存在的危险来源进行分析。
在这里，风险分析主要以生产活动历史和经验反馈为基础，辅之以逻辑分析，即以“事件树”的方法，确定可能产生的后果或影响。
参与风险分析的人员，包括技术准备人员、执行人员、运行人员、工业安全与辐射防护人员和安全工程师。他们从各自的职能出发进行独立分析，以保证能充分识别风险因素和制定有效预防措施。从保证核安全角度来看，运行人员和安全工程师的作用最大。因为运行人员必须对机组状态设置和对运行设备的安全负责，而安全工程师必须对安全质量相关(QSR)系统或设备可能产生的对核安全影响的风险识别负责。
1.4防止非计划停机停堆计划
对以往非计划停机、停堆事件以及未遂事件的分析发现，电厂非计划停机、停堆大多数是由于设备失效引起的，其中又以常规岛，特别是给水系统流量、给水泵转速调节故障导致的事件比例较高。而人因引发的停机停堆事件中，主要以不良工作习惯为主，如工作前准备不充分、不做风险分析、不遵守规程等。
为了减少和防止非计划停机、停堆，对于人因失效的预防，大亚湾核电厂主要以反对不良工作习惯、加强对员工行为管理作为突破口，在全厂推行“明星自检”方法，同时加强工作过程中的风险管理(监护制、唱票制等)，以提高员工安全文化素养作为贯穿始终的主线。
对于设备失效的预防，以提高设备预防性与预见性维修的有效性，加强设备管理为基础，同时重点组织对全厂系统和设备进行全面分析，确定可能导致停机停堆的设备，并在此基础上制定防止非计划停机停堆计划。防止非计划停机停堆计划是一项行动计划，更是风险防范和设备故障应对工作指南。
防止非计划停机停堆计划的内容包括：
(1)关键设备标识。对所有可能导致停机停堆的设备进行标识，并根据重要程序和故障概率进行排序；
(2)设备故障预想。按典型故障、本厂设备特殊故障、外厂同类设备的特殊故障等，对具体设备可能的故障模式进行分析和描述；
(3)风险分析。对每个设备的每一种故障模式进行风险分析，给出直接风险和间接风险；
(4)制定行动方案。根据故障预想中所有可能的故障模式制定具体的行动方案或应对措施；
(5)确定工作计划。把每个具体的行动方案或应对措施列入工作计划，以便实施和跟踪。
1.5一级概率风险分析(PRA)的应用
PRA是一种系统的工程安全评价技术，是定量评价核电厂风险的手段。它与传统的确定论安全分析的区别在于，PRA能给出各种初因事件的事故序列、频率及后果。PRA技术应用包括核电厂运行事件分析、定期安全评审、运行风险实时分析等。
PRA有3个层次或称为三级。一级PRA是通过对电厂系统和设备失效的评价，确定出堆芯损伤频率；二级PRA以一级PRA的结果作为输入，给出严重事故引起的放射性源项和对安全壳响应的评价，确定出安全壳释放序列及其频率；三级PRA是以二级PRA结果为输入，综合电厂周围环境因素和应急措施，估算出公众风险。
目前大亚湾核电厂已建立一级PRA技术，并已在生产实践中应用。通过评估和比较与安全相关的各种技术方案对堆芯损伤频率的贡献，帮助进行运行、维修及工程改造项目的决策分析。同时通过对运行机组运行状态定期评估堆芯损伤频率，对电厂安全水平的趋势进行跟踪。
2风险管理应扩展的领域
在大亚湾核电厂风险管理的实践中，风险分析和防止非计划停机停堆等工作主要是以工程判断和经验反馈为基础的。尽管建立了经验反馈和标准风险分析数据库，但是由于具体的运行机组所处的状态、条件存在许多不同，而且每次参加风险分析的人员以及他们的知识、经验也不尽相同，都会造成风险分析的结果与实际情况存在差异，甚至可能忽视某些风险因素。
风险管理的核心是识别风险和风险衡量，如果风险不能被充分识别，预防措施不能到位，就有可能引发事件。充分发挥PRA技术量化分析的优势，在运行、维修等生产活动中实现对核安全的可知、可控应是发展的趋势。
利用PRA技术量化分析的优势，可弥补目前的运行技术规范对多系统、设备不可用的安全后果进行分析的不足，并克服因确定论方法带来的保守性，这应是风险管理技术扩展的领域。
2.1对运行技术规范的优化
运行技术规范中对安全系统或设备的不可用作了定义，并对不可用安全期限(FallbackTime)、后备状态以及某个安全系统或设备退出运行所要求的机组组合和条件作了规定。这些规定基本上源于工程判断和确定论方法，是不尽合理的，但必须遵守。
由于电厂已经建立PRA技术，对于运用风险技术来改进技术规范已经变得越来越现实，利用风险技术可在以下方面改进技术规范：
(1)将安全期限概念改变为允许停役时间，根据PRA对不可用设备或系统的风险计算结果确定允许停役时间；
(2)通过PRA评估找出系统或设备不可用情况下，最安全的反应堆状态和机组组合或运行条件；
(3)研究多系统或设备不可用的安全管理措施。
由于技术规范是受国家核安全管理当局审查和批准的，并具有法规效力，因此对技术规范的改进必须获得国家核安全管理当局的审查和批准。
对于核电厂来讲，PRA技术方法的科学性、成熟性、使用假设的真实性、可靠性、数据的准确性将直接影响风险控制结果，因此保证PRA质量是应用风险技术的关键。
2.2扩大在线维修范围
利用PRA对机组运行状态下进行设备维修的风险进行控制，保证在维修而导致设备或系统不可用的情况下，不会降低核电站的安全水平和增加风险，即实现维修下的机组组合的风险管理。
由于不同设备的失效或不可用对核安全的影响程度不一样，传统的定性分析无法用定量的准则来确定这种影响，而用风险依据的决策方法可以对设备的重要度进行排序，找出哪些同时不可用就会导致较高电厂运行风险的组合，从而通过调整维修和试验的计划，来避免这种组合的出现。
机组组合风险管理的直接贡献是，为更广泛地在机组功率运行状态下开展预防性维修，即开展在线维修创造了条件，最终可以提高系统及机组运行的可靠性。通过实现功率期间在线维修，减少换料大修的维修工作量而优化和缩短大修工期。
2.3优化维修大纲
通过确定对电站风险具有重大影响的系统及设备，制定相应的维修计划，进一步优化维修大纲。
以PRA为基础可以提供改进设备可用率所得到的潜在风险利益的定量信息和对设备进行预防性维修而停止服务所产生的风险后果的定量信息。将获得的利益及代价进行比较，可最有效地利用资源来支持电厂高水平的安全和可用率。风险依据的决策方法将帮助维修人员：
(1)识别需要预防性维修升级(增加维修项目或维修频度)的设备，使其在运行可靠性增加的同时，提高电厂在安全上获得的利益；
(2)识别可以维修降级(减少维修项目，延长维修周期)的设备，这些设备的原维修频度会导致高风险机组组合的频繁出现，而使电厂的总风险增加；或者提高其可靠性的代价与提高安全水平的收益不相称；
(3)识别只要求进行纠正性维修的设备，其不可用不会导致风险增加，且其维修对机组状态无特殊的要求。
2.4对维修有效性进行评价
一个有效的维修大纲，应保证电厂中具有安全功能的所有系统、设备的可靠性、有效性水平能满足设计要求，保证电厂安全状态不受影响。有效的维修将为关键的结构、系统、设备(SSCS)执行其设计功能提供合理的保证。而电厂的概率风险评估的结果以及安全、运行性能指标反过来可以考察维修的有效水平。
对此，核电厂除了建立整体的安全、运行性能指标(如7000临界小时非计划紧急停堆次数、安全系统可靠性、非计划能力损失因子等)外，风险指标(如堆芯损坏频度、早期大量释放度)是评价核电厂安全水平和公众影响的常用指标。系统或设备的失效对电厂整体性能的影响可以定性评价维修的有效性，而其对风险指标的贡献，可以用来定量地分析、评价维修的有效水平。
为了有效利用电厂资源，应采用风险技术来确定有重大风险影响的SSCS和不存在重大风的SSCS。对重大风险影响的SSCS，建立风险指标标准，进行长期跟踪评价；对于超出标准的SSCS，找出原因，制定改进措施。
2.5实现电厂在线风险管理
研究、开发电厂在线风险管理系统，自动完成电厂系统和设备状态的实时数据采集、处理，并通过快速的PRA计算，得到核电厂实时风险值，从而为保证核电厂的安全运行提供决策参考功能，使运行、维修、管理人员随时了解所进行的操作活动对系统和电厂安全带来的影响，并可通过已采集到的各类系统数据，知悉反应堆的实际状态，从而减少运行风险。