症状导向AOP规程的开发和应用

张初明

(山东核电有限公司,山东 烟台 265116)

核电站的运行操作规程是指导电站反应堆操纵员进行操作的具体指令,操作规程可以分为:1)系统运行规程;2)正常运行规程;3)电站偏离正常运行规程 (AOP);4)应急运行规程 (EOP);5)报警响应规程报警响应程序;6)严重事故缓解导则。在这六类规程中,EOP和AOP规程的功能相似,都是针对异常或事故的处理,只不过EOP规程响应的是危及核电站安全的应急事故,目的是指导操纵员采取应对措施将电站带入安全状态;而AOP规程响应的是核电站各系统偏离正常运行的异常事件,目的是保障系统和设备的功能维持。EOP规程体系和结构的发展以美国三哩岛事故为分水岭,在三哩岛事故前,EOP的规程体系和结构采用事件导向 (EVENT-BASED),三哩岛事故之后发展成为症状导向 (SYMPTOM-BASED),目前世界各核电站使用的EOP规程基本上都采用症状导向结构,而AOP规程仍大部采用事件导向。美国西屋公司在开发AP600技术的同时,也采用了症状导向方法开发了相应的AOP规程,但由于EOP和AOP两者之间的属性各有不同,所以两者之间的体系和结构存在不同之处。本文通过分析两者之间的不同属性,提出开发和使用症状导向AOP规程的原则和注意事项。

1　事件导向和症状导向规程的特点简介

1.1　事件导向规程的特点

在1979年美国三哩岛事故发生前,应急响应规程均采用事件导向的规程体系和结构,这类规程要求核电站操纵员在响应事故前,首先判断电站发生了什么,在确定发生什么后,才使用相应的规程指导操作,响应流程如图1所示。这类规程由于是用来响应特定的事件,它们提供了针对此事件的最佳恢复响应,运行人员在执行此类规程时会关注于特定事件的问题,有较少的分心和延迟,电站能够在较短的时间内回复至正常状态。但是这类规程也存在着:1)依赖于操纵员对发生事故的正确判断,没有程序文件来帮助操纵员对事件进行诊断;2)每一类事故需要单独的一份规程用以指导,所以规程的量会非常大;3)一旦电站发生了非事先设定的事故,将会没有规程指导;4)电站发生了多重事故,程序之间可能会发生冲突。三哩岛事故初期涉及了一个通过稳压器安全阀的小LOCA事故,但三哩岛电站只有针对大LOCA事故的规程,然而大、小LOCA事故所显现的症状是不一样的,在事故处理过程中,电站操纵员无法进入LOCA规程的。

图1　事件导向应急规程执行流程Fig.1　Implementation process of event-based emergency procedures

1.2　症状导向规程的特点

在三哩岛事故发生后,美国西屋公司新开发了症状导向的EOP规程。不同于事故导向规程,症状导向的应急规程不急于诊断电站到底发生了什么,而是关心电站处于一种什么安全状态,先缓解电站的不安全状态,然后指导操纵员通过对电站安全状态的表征参数的判读,诊断找出最佳的恢复规程,这样就避免了操纵员误诊断,在执行最佳恢复规程的同时,电站的关键安全状态始终得到监控,并根据电站关键的安全状态采取优先行动。就像一个医生在收到一个急救病人时,医生首先关注病人是否需要止血、心脏是否跳动、呼吸是否自主,然后再进行病症诊断和治疗,在治疗过程中始终关注危急病人生命的状态。

所以症状导向的EOP规程,从体系上讲,它是由诊断规程和一系列的恢复规程组成;从内容上讲,它根据电站的系统及设备的状态决定应采取的行动,对电站关键安全状态的关注贯穿始终;从结构上讲,它采用循环的方式指导操纵员执行。它有一个总入口,也是唯一的一个入口规程 (E-0),入口的条件就是反应堆停堆或电站安全系统启动。进入E-0后,规程首先指导操纵员确认/确保电站停堆、停机及安全系统正确启动,然后引导操纵员进行事故诊断。EOP规程的执行流程如图2所示。

图2　EOP规程执行流程Fig.2　Implementation process of EOP

所以症状导向的规程有如下特点:

1)只有一个入口,且入口条件简单,因为电站无论发生哪种紧急事故,一个共同的响应是停堆或安全系统启动。

2)把电站配置的安全系统的正确响应作为操纵员的立即行动。

3)通过指令来指导操纵员诊断电站状态。

4)它把电站不同的安全状态用一系列参数以及设备状态来定义,便于判读。

5)规程文本采用两栏结构,即先诊断再行动。

6)程序循环应用,确保正确的应对行动能找出。

7)电站危急安全状态被持续监督,并设计了优先等级顺序,以应对复杂的多重事故。

症状导向法规程能在整个运行人员响应过程中提供指导,而不是依赖运行人员的知识和培训来诊断事件;能够恢复电厂至一个安全状态,即使在程序的开发中初始事件没有被考虑到,或运行人员没有能诊断出事件,或运行人员错误诊断事件。尽管症状导向的规程能够将电站恢复到安全状态,但执行效率有所降低,可能延迟期望的(但不是重要的)行动的执行。

2　AOP规程的特点

症状导向法规程在国内外核电站的EOP规程体系中得到了广泛的应用,那么它是否适用AOP规程呢?

EOP规程应对的是电站的事故,事故处理的原则是保证电站处在一个安全状态,由于核电站一旦发生严重事故后具有事故后果严重、影响力大、事故后恢复困难等特点,所以核电站在设计上就始终把确保安全放在重中之重,在安全系统的设计和配置上采取了多重性、多样性的原则,以确保安全系统的可靠、有效。这些手段及多重措施,都是为了同一个目标,即电站的安全。

AOP规程针对的是电站系统发生偏离正常运行的故障,它的目的是保持/恢复电站每个系统的功能,避免电站发生较大瞬态,从而削弱电站的纵深防御屏障,危及到电站的安全。与EOP相似,它也需要先诊断系统或设备发生了什么,然后采取正确的应对措施;但不同的是AOP针对的是电站众多的系统,而每个系统的功能不一样,具体来说AOP具有以下特性:

1)目的多样性。电站是由复杂的众多系统组成的,每个系统的功能均不一样。

2)不可能有统一的入口。不同的系统功能有其不同的异常响应,无法统一入口。

3)每个系统的故障类型多,例如一个系统的故障可能包含泵的故障、控制的故障、阀门的故障、系统泄漏等类型。

4)每一类故障又有不同的故障模式。有些故障很明显,操纵员能轻易地发现,如泵的意外停闭,阀门的意外关闭或开启;有的故障发展比较迅速,造成的危害也较大,如较大的泄漏等;有的故障发展比较缓慢,如系统较小的泄漏;有的故障比较难以发现,如仪表系统的漂移。所以针对不同的故障模式,处理要分轻重缓急。

5)系统的任何一种故障类型及故障模型,都有针对性的纠正措施。

6)故障发生地点多样,不同点的故障带来的影响不同,查找故障点的难易程度不一样。

7)在某种程度上,要求处理的更为迅速。

如上所述,AOP规程具有同EOP相似的处理要求,所以它也适合采用症状导向的规程体系和结构,但由于它又有自己不同于EOP的属性,采用症状导向必须考虑其自身的特点。

3　症状导向AOP规程的开发及其应用的注意事项

事件导向的每一份AOP规程 (或规程附件)针对的是特定的故障类型、故障模型,而症状导向的规程需要把系统所有的故障类型及故障模型整合进一份规程,根据不同故障所显现的不同症状指导操纵员进行诊断并采取行动,对规程的开发者是一个不小的挑战。

3.1　合理的规程进入条件的设定

每份规程入口条件的设计,要囊括系统的各种故障类型及各种故障模型。通常来讲,规程的进入条件包括两部分:一是电站报警系统所给出的报警信息;二是操纵员监视发现的电站系统的异常趋势,这些偏离了正常运行带的异常趋势可能尚未到达报警值,但趋势很明显。在设计入口条件时,要根据系统及设备的设计参数,结合运行条件、运行历史经验合理而全面地设定好入口条件,所列出的入口条件既要简洁明了,又能反映系统的异常状态。

3.2　重要的系统状态监控参数的设定

为了防止系统或设备功能的失去导致更大瞬态的发生,某些表征系统或设备健康状况的参数应鉴别出来并得到持续的监控,这些参数可以是液位、压力、流量、振动等,一旦这些参数偏离了正常的运行控制范围,意味着系统或设备将失去功能,所以首先要鉴别出影响系统或设备功能的重要参数,并在执行步骤里加以标注,以提醒操纵员需要该步骤为持续执行步骤。例如:

1 检查CCS波动箱液位—大于0.178 m。

上例中的步骤1,CCS(设备冷却水系统)波动箱液位如持续下降并失去,意味着该系统将失去设计功能,所以该参数需要得到持续监控,并在序号上进行了标注。

3.3　立即行动项的设定

由于状态导向的规程存在着可能延迟行动执行的缺点,而系统发生故障时又希望能迅速地排除故障,避免瞬态的发生,所以对某些可能引起系统失去功能的故障,操纵员应该立即干预,而不需等到打开规程或按照规程的步骤执行。例如一旦发生故障跳泵,操纵员应立即检查备用泵是否启动或立即手动启泵;又如当发现某一液位持续下降,应允许操纵员在液位降低到设定值之前就采取措施。这些需要立即行动的项目应该提前设计好,并作为一种操纵员的行为规范或规程执行纪律。

3.4　规程步骤的排序设定

每份AOP规程把系统的所有故障类型及故障模型集中在了一起,不同的故障类型及故障模型对系统产生的危害性各不相同,对系统或设备危害大的行动要优先进行。规程步骤的排序要遵循以下原则:

1)给定工况下的操作优先级;

2)可能给系统带来的影响;

3)设备所处的位置。

3.5　强调团队行为

症状导向规程要求运行人员根据的电站的状态而采取行动,有些重要的电站状态必须得到持续的监控,所以针对一个异常事件的处理需要多人的配合,尤其在执行多份规程时。在执行规程时,要求有良好的团队精神,团队负责人应合理分配团队内各值班人员的职责,进行良好的团队协作。

3.6　执行多份规程的优先级的划分

对EOP而言,不管电站发生了多么严重的事故,它始终优先执行最高优先级的规程,这个优先级有简单明确的判据并且得到持续的监控;而AOP不同,如果电站的多个系统同时发生故障,或一个系统发生多重故障,操纵员可能需要同时执行多份规程或需要监控多个参数。为了防止延误对重要系统的恢复,团队负责人要综合判断电站的状况,划分程序执行的优先顺序,保证电站最重要的功能得到保障或得到恢复。

3.7　编写一份好的编写导则

编写导则用于指导规程编写者的工作,一份好的编写导则应该包含所有规程的编写要素,并且对这些要素作出明确的规定。这些要素不仅仅是指编写格式、规格、编码等基本信息,还应包含应用信息,例如警示、注意等的应用。

3.8　规程使用培训

系统或设备的某些故障是比较简单且易于判断的,处理起来也比较容易,操纵员往往不甘心于等待规程或不乐于应用规程,怕规程的使用会影响处理效率,但伴随这类故障往往会有某些不易发现的故障发生,如果不完整地执行规程可能不能发现这些难以察觉的问题,所以一个使用规程、遵守规程的良好的行为规范的养成,能更好地体现规程的价值。

4　总结

症状导向规程是在充分分析三哩岛事故后开发出来的,它避免了事件导向规程所存在的依赖于人的缺点,同时又能确保电站处于某个安全状态,虽然这个状态可能不是最佳的状态,所以症状导向的应急响应规程,在全世界核电站得到应用,并且显示出了它的巨大优点。随着核电站技术的升级优化,电站系统得到不断的简化,设备可靠性越来越高,自动化控制程度不断提高,人因错误将会是导致电站发生瞬态甚至危及安全的主要因素,所以症状导向AOP规程在应对电站系统异常事件时,也会体现其优越性。