马国强,吴彦农,张 浩,王 喆,段 军
(生态环境部核与辐射安全中心,北京 100082)
操纵员的行为影响着核电厂的安全运行。三哩岛核事故表明,操纵人员做出不正确的动作可能会延缓事件后机组恢复,更甚者会导致核事故的发生。据统计,我国核电厂1991—2016年发生的运行事件中人因失误因素导致事件发生占比达到47.1%,人因失误成为导致我国核电厂发生执照运行事件的主要因素[1]。
2018年,某AP1000型核电厂主给水丧失后由启动给水为二回路供水,随后操纵员手动停堆。为避免专设安全设施启动信号(S信号)触发,操纵员手动关小启动给水调节阀,导致非能动余热排出系统(PRHR)自动触发,随后一回路冷却剂系统(RCS)温度快速降低并自动触发S 信号,相关专设安全设施自动响应,操纵员执行规程稳定机组状态,期间多次触发了AP1000的安全系统,并且操纵员对冷却剂系统进行泄压导致堆芯出口过冷度出现低于0 ℃的情况,持续时间达到1小时35分钟。为了充分吸取本起运行事件的经验教训,制定针对性的纠正措施,需要对该事件进行根本原因分析。
AP1000是美国西屋公司设计的单堆布置的双环路压水堆,它在传统压水堆核电技术的基础上,采用非能动技术的安全系统,如非能动堆芯冷却系统、非能动安全壳冷却系统等[2]。
非能动堆芯冷却系统(PXS)包括非能动堆芯余热排出子系统和非能动安全注入子系统。非能动安全注入子系统包括两个堆芯补水箱(CMT),两个蓄压箱(ACC),一个安全壳内换料水箱(IRWST)和相应的管道、阀门、仪表组成[3]。事故情况下,CMT以冷热水密度差作为驱动力将冷的浓硼水注入堆芯,ACC则依靠罐内和一回路压力差为驱动力快速注入浓硼水,IRWST也储存有浓硼水,采用重力差的方式为堆芯提供长期冷却。
非能动堆芯余热排出子系统PRHR从1号热管段引出,返回1号蒸汽发生器下腔室,非能动余热排出热交换器布置在IRWST内[4],最终采用自然或强制循环的方式将堆芯余热通过IRWST中的水、安全壳内的空气和钢制安全壳传递到环境大气中。
因果分析法就是将分析对象看作一个结果,追溯对产生该结果有直接贡献的各种因素,然后再将这些因素看成新的结果,重复以上过程,如此循环直到找出分析对象最根本的原因为止,因果分析法在寻找人因和设备故障类事件的根本原因时经常使用[5]。在找到事件的失效点后,通过多层的因果分析就可以找出失效的根本原因,分析过程和结果可以用原因因素图清晰表示[6]。
原因因素图分析法是通过使用不同的图形符号并配以适当的文字说明将事件发生的过程、事件分析的过程以及事件分析的结果以图形的方式表达出来的原因分析方法[7]。该方法具有清晰、直观的特点,可以使读者清楚地了解事件发生过程和原因推理,其他的分析工具,例如屏障分析法、因果分析法、变化分析法等也可为ECF提供信息输入。
某核电厂处于功率运行状态,主给水丧失后启动给水系统自动启动,因蒸汽发生器(SG)液位下降到26%且无法维持,值长下令手动停堆,执行停堆或安注应急运行规程(E-0规程)。
00∶00∶00,操纵员由E-0规程引导转至“停堆响应应急运行规程”(ES-0.1规程),倒班技术顾问开始执行关键安全功能状态树规程(F-0规程)。
00∶02∶00 操纵员执行ES-0.1步骤4,判断两台SG压力稳定,继续执行后续步骤,但实际上此时SG压力已出现缓慢下降趋势。
00∶11∶00,为防止冷段温度降至S信号触发定值263 ℃,副值长(CRS)根据白班值的经验反馈建议,下令支持操纵员(SO2)调小蒸汽发生器启动给水调节阀至30%。SO2先是缓慢调小阀门开度,随后在其他人员催促下快关至30%,此时SG液位和给水流量符合PRHR启动条件,自动触发PRHR。
00∶13∶12,由于PRHR强制循环,同时二回路除氧器和汽轮机轴封用汽冷却,导致一回路冷段温度迅速下降至S信号触发定值,CMT自动启动,反应堆操纵员(NO1)根据ES-0.1规程跳回至规程E-0第5步。
00∶31∶02,NO1根据E-0步骤34和步骤35,判断机组状态满足非能动安全系统终止条件,随后复位S信号并关闭CMT A/B出口隔离阀。
00∶35∶00,由于RCS冷管温度在60 min内下降超过56 ℃,RCS压力和冷管温度均在限值曲线A(为保证一回路压力边界完整的压力和温度曲线)右侧且RCS冷管温度低于115 ℃,满足F-0规程橙色工况,CRS根据规程要求,下令开始执行带压热冲击即将发生的响应规程 (FR-P.1)。
00∶39∶19,NO1根据FR-P.1规程步骤4~6通过自动泄压系统(ADS)对RCS进行手动降压至6 MPa,隔离两台安注箱。20 min后,PZR窄量程液位上升至满量程。
01∶22∶05,RCS压力满足FR-P.1规程步骤6停止降压准则,NO1关闭ADS系统,但在PRHR的冷却作用下,RCS压力仍然缓慢下降,堆芯过冷度也在缓慢下降。
01∶37∶31,NO1根据FR-P.1规程步骤25RNO,开启压力容器顶盖排气阀(RCS-V150A/C)来降低稳压器液位,将压力容器顶盖可能存在的汽体排放至IRWST。
01∶55∶19后,因稳压器液位未下降,副值长与值长讨论认为压力容器顶盖处没有汽空间,命令NO1关闭RCS-V150A/C。
02∶11∶39,RCS压力降低至1.357 MPa,PZR水位从100%开始缓慢下降。6 min后,1号机操(CO1)通过启动给水调节阀2-SGS-V255A/B开始向SG供水。
02∶56∶00,根据规程FR-P.1连续步骤29,因状态不满足堆芯出口温度过冷度大于6 ℃,且PZR窄量程液位大于10%的要求,NO1手动触发CMT,PRHR也随即启动。
03∶11∶00,为了建立二回路热阱,副值长根据FR-P.1规程步骤30下令开启主蒸汽大气释放阀(PORV),对SG进行降温降压。48 s后,因一回路压力持续下降,堆芯出口过冷度降低至0 ℃以下。
03∶52∶56,根据FR-P.1规程40步RNO,NO1再次开启RCS-V150A/C对稳压器进行降液位,20 min后因稳压器液位依然没有下降趋势,便关闭RCS-V150A/C。
04∶17∶15,根据FR-P.1规程第32步连续步骤引导,2号机操(CO2)判断RCS温度不稳定,执行蒸汽排放至凝汽器规程(ES-0.3)步骤4RNO,复位主蒸汽隔离信号,并开始缓慢手动打开主蒸汽旁路隔离阀,对下游蒸汽管线进行暖管。14 min后,堆芯出口过冷度上升至0 ℃以上。
04∶47∶38,因PORV阀开度自动变化,导致堆芯出口过冷度再次降至0 ℃以下。CO2执行ES-0.3规程步骤4RNO,手动打开主蒸汽隔离阀A/B。16 min后,堆芯出口过冷度上升至0 ℃以上。
05∶12∶00,机组状态满足FR-P.1连续步骤26条件,手动关闭CMT。
05∶47∶00,执行至FR-P.1规程步骤30,CO2通过每次降低0.01 MPa的方式来调整旁排压力设定值,但在设定0.99 MPa时误将该值设定为0.9 MPa,导致旁排阀开度过大,再次触发CMT和PRHR,CRS下令CO2将旁排阀关小直至全关。
05∶49∶12,根据FR-P.1规程连续操作步骤32RNO, NO1手动复位PRHR信号,调节关小PXS-V108A/B开度。
直至10∶45∶00,运行值根据规程成功建立二回路热阱,并将各安全系统退出运行,事件处理过程结束。
使用ECF分析法梳理事件序列并确定了6个失效点,随后采用因果分析法对失效点的原因进行进一步分析。
(1)ES-0.1规程步骤4要求不明确,导致操纵员判断错误
运行人员执行至ES-0.1第4步时确认SG压力稳定,不执行4RNO步骤“减少给水流量或关闭主蒸汽管线隔离阀”。事后查阅SG压力记录,显示当时SG压力已出现了缓慢下降的趋势。由于操纵员未执行减少给水流量或关闭主蒸汽管线隔离阀的操作,导致RCS冷段温度在12 min内下降了11 ℃。
失效的原因为ES-0.1步骤4中未明确SG压力稳定或上升的判定依据,操纵员短时间内难以准确评价SG压力是否稳定,且该步骤不是连续步骤,尽管此后SG压力持续缓慢下降,但操纵员仍执行4RNO。
(2)CRS偏离应急运行规程下达了不完整的指令
机组停机停堆后白班值擅自进入主控室参与事件应对工作。操纵员执行至ES-0.1步骤11时,根据规程要求应检查启动给水调节阀处于自动状态并维持SG窄量程液位在35%和52.5%之间,此时副值长根据白班值不适用的经验反馈建议,下令SO2手动调节关小启动给水调节阀(2-SGS-V255A/B)至30%。CRS下达的工作指令中未包含ES-0.1规程中要求的控制SG液位范围,不满足《运行行为规范》“下令将自动系统置于手动之前,必须确定受控参数和控制带”的规定。
(3)操纵员在主控室其他人员干扰下执行了快关操作
在SO2调节关小启动给水调节阀(2-SGS-V255A/B)的过程中,因主控室其他人员催促SO2快关启动给水调节阀至30%开度,且SO2在未经分析风险的情况下盲目执行快关操作后导致PRHR自动触发,但在平时的操纵员培训课程中明确要求应采用缓慢、平滑的控制手段调节启动给水调节阀。
(4)操纵员打开压力容器顶盖排气阀对稳压器降液位失败
根据FR-P.1规程25RNO和40RNO的要求,操纵员两次开启压力容器顶盖排气阀,稳压器液位都未出现预期下降现象,实际上,在反应堆冷却剂系统降温降压过程中,压力容器顶盖内存在冷却剂滞留区,在换热不充分的情况下可能汽化形成汽腔从而挤压冷却剂进入稳压器,造成稳压器液位上升。此外,事件中S信号触发导致二回路给水和排汽隔离,随着一回路降温降压,二回路温度逐渐超过一回路温度,对SG一次侧冷却剂形成加热作用,SG一次侧的U型管内也可能存在汽空间。
该情况表明FR-P.1规程所要求的通过压力容器顶盖排气降低PZR液位的操作指令不适用于当前工况。另外,该规程中也未说明在稳压器未出现预期下降现象时应采取的措施。
(5)操纵员执行规程FR-P.1连续步骤29不及时
02:21:00,该机组堆芯出口过冷度已降低至6 ℃以下,根据FR-P.1连续步骤29的要求,当堆芯不满足过冷度大于6 ℃,同时PZR窄量程液位大于10%时,应按照29RNO的要求手动触发CMT,直至02:56:00才手动触发CMT,规程实际执行时间比要求时间滞后了35 min。该失效点表明操纵员因对规程不熟悉,对关键参数监测不及时,导致未严格按照规程执行。
(6)CO2在降低旁排压力时输入错误的旁排压力设定值
CO2通过每次降低0.01 MPa的方式来调整旁排压力设定值,在无人员监护的情况下时误将旁排压力值0.99 MPa设定为0.9 MPa,导致旁排阀开度过大,二回路带热量增加,一回路温度和稳压器液位随之降低,再次触发CMT和PRHR动作。
可以看出,操纵员在执行高风险操作时未安排人员监护,也没有进行自检,不满足《运行行为规范》中关于“操纵员在主控室进行设备操作时,应使用防人因失误工具,包括:自检、监护、并行验证、独立验证”的要求。
采用因果分析法进一步挖掘和归纳上述分析结果中更深层次的原因,最终得到原因因素图(见图1),主要包含以下两点。
图1 原因因素图Fig.1 Event cause factor chart
(1)应急运行规程不完善
事件期间出现多次因应急规程制定不完善而导致操纵员误操作的情况,从而使得事件不断恶化,主要体现在:第一,ES-0.1步骤4规程中未明确SG压力稳定或上升的判定依据,导致操纵员未执行正确的关闭。此外,该步骤不是连续步骤,尽管此后SG压力仍持续缓慢下降,但操纵员按照程序要求仍无需采取关闭主蒸汽隔离阀等操作。第二,本次事件中由于一回路过冷度小于0 ℃,一回路压力容器顶盖和SG一次侧的U型管内附近都可能存在汽腔,操纵员根据FR-P.1规程25RNO和40RNO的要求,两次开启压力容器顶盖排气阀RCS-V150A/C降低稳压器液位都未达到降低液位的效果,该规程中缺乏稳压器液位未下降应采取的措施和条款。第三,本次事件中S信号触发后二回路给水排气被隔离,随后规程指引操纵员对一回路进行降温降压操作,但对二回路的相关操作指令滞后。事件过程中由于二回路温度及压力高于一回路,进而形成倒传热引发蒸汽发生器一次侧U型管内部冷却剂气化。
(2)营运单位对于工作计划或过程的有效性监督不够
事件中,操纵员多次未严格遵守培训要求、《运行操作的程序控制》和《运行行为规范》中的相关规定等,同时也出现了偏离应急运行规程操作导致安全系统动作的情况。这体现了营运单位对调试试验、日常运行、事件响应工作中出现的不按规程操作的情况缺乏管理,工作有效性无法得到保障。
对本次事件中出现的操纵员行为失误导致PRHR启动、手动停堆后S信号触发、堆芯过冷度监控不及时、错误输入旁排压力设定值等问题,建议从规程、工作实践管理两方面着手:
(1)验证规程有效性
在本次事件中AP1000应急规程出现了关键步骤缺乏判断准则、二回路相关操作要求滞后、规程指引动作失效的情况,建议营运单位对应急运行规程有效性进行评估,明确非能动安全系统触发条件和事件处理过程中需重点关注的关键参数。
(2)营运单位应加强对各项工作的督导
事件中出现了操纵员不严格遵守《运行操作的程序控制》《运行行为规范》和《应急运行规程》,以及对芯过冷度监控不及时、错误输入旁排压力设定值等问题。为此,建议营运单位加强人员培训,保证相关人员熟悉规程要求。采取工作观察、督导、考核等措施,纠正员工的不良工作习惯,要求工作人员严格按照相关规程开展工作。采用监护操作、三段式沟通、明星自检等防人因失误工具保证人员行为可靠性。