Vol. 40 No. 6
Dec. 2020
第40卷第6期
2020年]2月
核科学与工程Nuclear Science and Engineering 对某核电厂主给水丧失手动停堆后
操纵员人因失误的根本原因分析
马国强,吴彥农,张浩,王洁,段军
(生态环境部核与辐射安全中心,北京100082)
摘要:某AP1000型核电厂在主给水丧失手动停堆后S 信号自动触发,在恢复机组状态期间操纵员人
因失误多次导致安全系统动作,并出现了堆芯出口过冷度低于0 °C 的情况。本文运用事件原因因素图 (ECF)和因果分析法对该事件进行了根本原因分析。通过梳理事件序列,确定了事件发展过程中的
失效点,通过对各失效点的深入分析,得出事件的根本原因为营运单位对工作计划或过程的有效性监
督不够和应急运行规程不完善,并提出针对性的改进建议。关键词:AP1000;核电厂运行事件;根本原因分析 中图分类号:TL364 文章标志码:A 文章编号:0258-0918 (2020) 06-0980-06
The Root Cause Analysis of the Operator^ s Human Error after Reactor Manual Shutdown Due to Loss of the Main Feed-water
MA Guoqiang, WU Yannong, ZHANG Hao, WANG Zhe, DUAN Jun*
(Nuclear and Radiation Safety Center , Beijing » 100082 ? China)
Abstract : In an AP1000 nuclear power plant, the S signal automatically actuated after
reactor manual shutdown due to loss of the main feed-water, during the restoration of
西塞罗
the unit state, The AP1000 safety system was activated several times because of the op-
erator ; s human error, and the super-cooling degree of the core outlet was lower than
0 °C. the root cause was analyzed by using the Event and Cause Factor (ECF) chart and
Causal Analysis method, the sequence of event was sorted out to determine the failure points of the event process ・ Through the in-depth analysis of the failure points , the
root cause of the event is that the license has insufficient supervision of the effectiveness of the work plan or process and the incomplete emergency operation procedures , and an
optimization proposal was given for this cause.住家创业
Key words : AP1000; Operating Event of the Nuclear Power Plant ; Root Cause Analysis
收稿日期:2020-02-11
作者简介:马国强(1991-),男,辽宁锦州人,工程师,学士,现主要从事核电厂运行事件和安全重要物项修改审评方面研究通讯作者:段 军:*******************
980
操纵员的行为影响着核电厂的安全运行。三哩岛核事故表明,操纵人员做出不正确的动作可能会延缓
事件后机组恢复,更甚者会导致核事故的发生。据统计,我国核电厂1991-2016年发生的运行事件中人因失误因素导致事件发生占比达到47.1%,人因失误成为导致我国核电厂发生执照运行事件的主要因素3
2018年,某AP1000型核电厂主给水丧失后由启动给水为二回路供水,随后操纵员手动停堆。为避免专设安全设施启动信号(S信号)触发,操纵员手动关小启动给水调节阀,导致非能动余热排出系统(PRHR)自动触发,随后一回路冷却剂系统(RCS)温度快速降低并自动触发S信号,相关专设安全设施自动响应,操纵员执行规程稳定机组状态,期间多次触发了AP1000的安全系统,并且操纵员对冷却剂系统进行泄压导致堆芯出口过冷度出现低于0°C的情况,持续时间达到1小时35分钟。为了充分吸取本起运行事件的经验教训,制定针对性的纠正措施,需要对该事件进行根本原因分析。
1AP1000非能动堆芯冷却系统简介
AP1000是美国西屋公司设计的单堆布置的双环路压水堆,它在传统压水堆核电技术的基础上,采用非能动技术的安全系统,如非能动堆芯冷却系统、非能动安全壳冷却系统等図O
非能动堆芯冷却系统(PXS)包括非能动堆芯余热排出子系统和非能动安全注入子系统。非能动安全注入子系统包括两个堆芯补水箱(CMT),两个蓄压箱(ACC),一个安全壳内换料水箱(IRWST)和相应的管道、阀门、仪表组成⑶。事故情况下,CMT以冷热水密度差作为驱动力将冷的浓硼水注入
堆芯,ACC则依靠罐内和一回路压力差为驱动力快速注入浓硼水,IRWST也储存有浓硼水,采用重力差的方式为堆芯提供长期冷却。 非能动堆芯余热排出子系统PRHR从1号热管段引出,返回1号蒸汽发生器下腔室,非能动余热排出热交换器布置在IRWST 内⑷,最终采用自然或强制循环的方式将堆芯余热通过IRWST中的水、安全壳内的空气和钢制安全壳传递到环境大气中。
2因果分析法和原因因素图法简介因果分析法就是将分析对象看作一个结果,追溯对产生该结果有直接贡献的各种因素,然后再将这些因素看成新的结果,重复以上过程,如此循环直到出分析对象最根本的原因为止,因果分析法在寻人因和设备故障类事件的根本原因时经常使用皈。在到事件的失效点后,通过多层的因果分析就可以出失效的根本原因,分析过程和结果可以用原因因素图清晰表示⑷。
原因因素图分析法是通过使用不同的图形符号并配以适当的文字说明将事件发生的过程、事件分析的过程以及事件分析的结果以图形的方式表达出来的原因分析方法⑵。该方法具有清晰、直观的特点,可以使读者清楚地了解事件发生过程和原因推理,其他的分析工具,例如屏障分析法、因果分析法、变化分析法等也可为ECF提供信息输入。
3主要事件序列
iea某核电厂处于功率运行状态,主给水丧失后启动给水系统自动启动,因蒸汽发生器(SG)液位下降到26%且无法维持,值长下令手动停堆,执行停堆或安注应急运行规程(E-0规程)。
00:00:00,操纵员由E-0规程引导转至“停堆响应应急运行规程”(ES-0.1规程),倒班技术顾问开始执行关键安全功能状态树规程(F-0规程)。
00:02:00操纵员执行ES-0.1步骤4,判断两台SG压力稳定,继续执行后续步骤,但实际上此时SG压力已出现缓慢下降趋势。
00:11:00,为防止冷段温度降至S信号触发定值263°C,副值长(CRS)根据白班值的经验反馈建议,下令支持操纵员(SO2)调
981
小蒸汽发生器启动给水调节阀至30%。SO2先是缓慢调小阀门开度,随后在其他人员催促下快关至30%,此时SG液位和给水流量符合PRHR启动条件,自动触发PRHR。
00:13:12,由于PRHR强制循环,同时二回路除氧器和汽轮机轴封用汽冷却,导致一回路冷段温度迅速下降至S信号触发定值,CMT自动启动,反应堆操纵员(NO1)根据ES-0.1规程跳回至规程E-0第5步。
00:31;02,NO1根据E-0步骤34和步骤35,判断机组状态满足非能动安全系统终止条件,随后复位S信号并关闭CMT A/B出口隔离阀。
00:35:00,由于RCS冷管温度在60min内下降超过56°C,RCS压力和冷管温度均在限值曲线A(为保证一回路压力边界完整的压力和温度曲线)右侧且RCS冷管温度低于115°C,满足F-0规程橙工况,CRS 根据规程要求,下令开始执行带压热冲击即将发生的响应规程(FR-P.1)。
00:39:19,NO1根据FR-P.1规程步骤4〜6通过自动泄压系统(ADS)对RCS进行手动降压至6MPa,隔离两台安注箱。20min后,PZR窄量程液位上升至满量程。
01:22:05,RCS压力满足FR-P.1规程步骤6停止降压准则,NO1关闭ADS系统,但在PRHR的冷却作用下,RCS压力仍然缓慢下降,堆芯过冷度也在缓慢下降。
先烈路01:37:31,NO1根据FR-P.1规程步骤25RNO,开启压力容器顶盖排气阀(RCS-V150A/C)来降低稳压器液位,将压力容器顶盖可能存在的汽体排放至IRWST。
01!55!19后,因稳压器液位未下降,副值长与值长讨论认为压力容器顶盖处没有汽空间,命令NO1关闭RCS-V150A/C。
02:H:39,RCS压力降低至1.357MPa, PZR水位从100%开始缓慢下降。6min后,1号机操(CO1)
通过启动给水调节阀2-SGS-V255A/B开始向SG供水。
02:56:00,根据规程FR-P.1连续步骤29,因状态不满足堆芯出口温度过冷度大于6°C,且PZR窄量程液位大于10%的要求,NO1手动触发CMT,PRHR也随即启动。
吲哚乙酸03:11:00,为了建立二回路热阱,副值长根据FR-P.1规程步骤30下令开启主蒸汽大气释放阀(PORV),对SG进行降温降压。48s后,因一回路压力持续下降,堆芯出口过冷度降低至0°C以下。
03:52:56,根据FR-P.1规程40步RNO,NO1再次开启RCS-V150A/C对稳压器进行降液位,20min后因稳压器液位依然没有下降趋势,便关闭RCS-V150A/C o 04:17:15,根据FR-P.1规程第32步连续步骤引导,2号机操(CO2)判断RCS 温度不稳定,执行蒸汽排放至凝汽器规程(ES-0.3)步骤4RNO,复位主蒸汽隔离信号,并开始缓慢手动打开主蒸汽旁路隔离阀,对下游蒸汽管线进行暖管。14min后,堆芯出口过冷度上升至0°C以上。
04:47:38,因PORV阀开度自动变化,导致堆芯出口过冷度再次降至0°C以下。CO2执行ES-0.3规程步骤4RNO,手动打开主蒸汽隔离阀A/B。16min后,堆芯出口过冷度上升至0°C以上。
05:12:00,机组状态满足FR-P.1连续步骤26条件,手动关闭CMT。
05:47:00,执行至FR-P.1规程步骤30,CO2通过每次降低0.01MPa的方式来调整旁排压力设定值,但在设定0.99MPa时误将该值设定为0.9MPa,导致旁排阀开度过大,再次触发CMT和PRHR,CRS下令CO2将旁排阀关小直至全关。机械研究与应用
05:49:12,根据FR-P.1规程连续操作步骤32RNO,NO1手动复位PRHR信号,调节关小PXS-V108A/B开度。
直至10;45;00,运行值根据规程成功建立二回路热阱,并将各安全系统退出运行,事件处理过程结束。
4事件原因分析
4.1失效点原因分析
使用ECF分析法梳理事件序列并确定了6个失效点,随后采用因果分析法对失效点的原因进行进一步分析。
982
(1)ES-O.1规程步骤4要求不明确,导致操纵员判断错误
运行人员执行至ES-O.1第4步时确认SG 压力稳定,不执行4RN0步骤“减少给水流量或关闭主蒸汽管线隔离阀”。事后查阅SG 压力记录,显示当时SG压力已出现了缓慢下降的趋势。由于操纵员未执行减少给水流量或关闭主蒸汽管线隔离阀的操作,导致RCS冷段温度在12min内下降了11°C。
失效的原因为ES-O.1步骤4中未明确SG 压力稳定或上升的判定依据,操纵员短时间内难以准确评价SG压力是否稳定,且该步骤不是连续步骤,尽管此后SG压力持续缓慢下降,但操纵员仍执行4RN0。
(2)CRS偏离应急运行规程下达了不完整的指令
机组停机停堆后白班值擅自进入主控室参与事件应对工作。操纵员执行至ES-O.1步骤11时,根据规程要求应检查启动给水调节阀处于自动状态并维持SG窄量程液位在35%和52.5%之间,此时副值长根据白班值不适用的经验反馈建议,下令SO2手动调节关小启动给水调节阀(2-SGS-V255A/B)至30%。CRS下达的工作指令中未包含ES-O.1规程中要求的控制SG液位范围,不满足《运行行为规范》“下令将自动系统置于手动之前,必须确定受控参数和控制带”的规定。
(3)操纵员在主控室其他人员干扰下执行了快关操作
在SO2调节关小启动给水调节阀(2-SGS-V255A/B)的过程中,因主控室其他人员催促SO2快关启动给水调节阀至30%开度,且SO2在未经分析风险的情况下盲目执行快关操作后导致PRHR自动触发,但在平时的操纵员培训课程中明确要求应采用缓慢、平滑的控制手段调节启动给水调节阀。
(4)操纵员打开压力容器顶盖排气阀对稳压器降液位失败
根据FR-P.1规程25RNO和40RNO的要求,操纵员两次开启压力容器顶盖排气阀,稳压器液位都未出现预期下降现象,实际上,在反应堆冷却剂系统降温降压过程中,压力容器顶盖内存在冷却剂滞留区,在换热不充分的情况下可能汽化形成汽腔从而挤压冷却剂进入稳压器,造成稳压器液位上升。此外,事件中S信号触发导致二回路给水和排汽隔离,随着一回路降温降压,二回路温度逐渐超过一回路温度,对SG—次侧冷却剂形成加热作用,SG—次侧的U型管内也可能存在汽空间。
该情况表明FR-P.1规程所要求的通过压力容器顶盖排气降低PZR液位的操作指令不适用于当前工况。另外,该规程中也未说明在稳压器未出现预期下降现象时应采取的措施。
(5)操纵员执行规程FR-P.1连续步骤29不及时
02:21:00,该机组堆芯出口过冷度已降低至6°C以下,根据FR-P.1连续步骤29的要求,当堆芯不满足过冷度大于6°C,同时PZR窄量程液位大于10%时,应按照29RNO 的要求手动触发CMT,直至02:56:00才手动触发CMT,规程实际执行时间比要求时间滞后了35min。该失效点表明操纵员因对规程不熟悉,对关键参数监测不及时,导致未严格按照规程执行。
(6)CO2在降低旁排压力时输入错误的旁排压力设定值
CO2通过每次降低0.01MPa的方式来调整旁排压力设定值,在无人员监护的情况下时误将旁排压力值0.99MPa设定为0.9MPa,导致旁排阀开度过大,二回路带热量增加,一回路温度和稳压器液位随之降低,再次触发CMT和PRHR动作。
可以看出,操纵员在执行高风险操作时未安排人员监护,也没有进行自检,不满足《运行行为规范》中关于“操纵员在主控室进行设备操作时,应使用防人因失误工具,包括:自检、监护、并行验证、独立验证”的要求。
4.2根本原因分析
采用因果分析法进一步挖掘和归纳上述分析结果中更深层次的原因,最终得到原因因素图(见图1),主要包含以下两点。
983
图1原因因素图
Fig.1Event cause factor chart
(1)应急运行规程不完善
事件期间出现多次因应急规程制定不完善而导致操纵员误操作的情况,从而使得事件不断恶化,主要体现在:第一,ES-0.1步骤4规程中未明确SG压力稳定或上升的判定依据,导致操纵员未执行正确的关闭。此外,该步骤不是连续步骤,尽管此后SG压力仍持续缓慢下降,但操纵员按照程序要求仍无需采取关闭主蒸汽隔离阀等操作。第二,本次事件中由于一回路过冷度小于0°C,—回路压力容器顶盖和SG一次侧的U型管内附近都可能存在汽腔,操纵员根据FR-P.1规程25RNO和40RNO的要求,两次开启压力容器顶盖排气阀RCS-V150A/C降低稳压器液位都未达到降低液位的效果,该规程中缺乏稳压器液位未下降应采取的措施和条款。第三,本次事件中S 信号触发后二回路给水排气被隔离,随后规程指引操纵员对一回路进行降温降压操作,但对二回路的相关操作指令滞后。事件过程中由于二回路温度及压力高于一回路,进而形成倒传
984
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议