核電廠事故規程開發方法研究

關仲華 冉旭 陳偉 方紅宇 王軍

摘 要本文回顧了核電廠事故規程的發展歷程，簡要描述了不同技術路線事故規程的異同，包括事件導向規程與狀態導向規程，并探討事故規程開發方法相關的重要內容，為自主研發核電廠事故規程提供參考。

關鍵詞事故規程;事件導向;狀態導向

0 前言

國際上商用核電廠的運行條件一般分為如下不同的運行狀態和事故工況[1]：正常運行（normal operation），預期運行事件（AOOs），設計基準事故（DBAs），超設計基準事故（BDBAs）和嚴重事故（Severe Accident）。覆蓋上述不同運行條件的運行指導文件體系一般分為正常運行規程、非正常運行規程（Abnormal Operating Procedures，AOP）、應急操作規程（Emergency Operating Procedures，EOP），應急計劃（emergency plan）以及嚴重事故導則（SAG）等，體現了核電廠縱深防御的設計安全理念。應急操作規程（EOP）通常稱為事故規程或事故處理規程，是核電廠運行縱深防御概念的一個重要組成部分，其主要目的是用于機組發生事故后指導操作員執行必要的操作，屬于縱深防御原則的第3道防線（防止嚴重事故），是緩解和限制事故后果的重要手段。

《核動力廠設計安全規定》（HAF102）和《核動力運行安全規定》（HAF103）都對核電廠設計及運行方面提出事故規程的要求，在HAF103“5.2 運行指令和運行規程”一節中明確要求：“5.2.2 必須根據營運單位的政策和國家核安全監管部門的要求制定全面的適用于正常運行、預計運行事件和事故工況下的運行規程”，以及“5.2.3 必須制定正常運行規程，以保證核動力廠運行在運行限值和條件之內。對預計運行事件和設計基準事故必須制定事件導向規程或征兆導向規程。還必須制定應急運行規程或嚴重事故（超設計基準事故）管理指南”。

本文將從事故規程的發展歷程出發，簡要描述了不同技術路線事故的異同，包括事件導向規程與狀態導向規程，并結合具體例子探討事故規程開發方法相關的關鍵技術內容。

1 核電廠事故規程發展歷程

1.1 兩種方法簡介

1.1.1 事件導向規程（Event-Oriented EOPs）

在三哩島事故發生之前，大部分核電廠的應急規程為事件導向規程，所有規程都與具體事故工況相關。事件導向規程隱含了三個假設：（1）該事故屬于預先選定的事故范圍之內（通常限于電廠DBA清單）;（2）操作員能夠識別事故;（3）事故按照預測的進程進行（取自事故的熱工水力分析）。

事件導向規程一般僅在事故開始時進行診斷，以選取最合適的規程，一旦確定執行某個規程后就依據規程要求而順序執行到底。而三哩島事故表明了作為事件導向的事故規程是不可能完全覆蓋所有可能發生的事件或事故，當上述規程不能恰當或有效處理事故時，很有可能會延誤時機甚至惡化事故后果。

1.1.2 狀態導向規程（State-Oriented EOPs）

狀態導向規程指導操作員如何確認關鍵安全功能，以及當安全功能受到破壞時，如何實施恢復。操作員不必診斷事故初因，也能夠維持電廠的安全狀態。為更好應對實際的事故，在狀態導向規程的設計中考慮了以下假設：（1）發生的事故不限于預先確定的清單，也可能為疊加多重故障的事故;（2）由于事故疊加和操作員失誤等因素，將導致事故實際進程與純理論分析預測的事故進程很不一樣;（3）規程通過連續或重復的檢查，能夠使操作員監測和識別可能非常復雜的事故。

狀態導向規程的好處是彌補了事件導向規程在處理超出預期范圍事件時的不足，它借助在于持續或重復的電廠狀態監測，有助于糾正任何初期的誤診斷，并保證操作員緩解威脅堆芯完整性的電廠狀態。

事件導向規程與狀態導向規程的主要差異及優缺點對比見表1。

在三哩島核事故后，世界先進核電國家對原來的純事件導向規程進行了優化，適當補充了以狀態監督為輔的狀態導向規程。目前，世界上已很少有核電廠采用純事件導向的事故處理規程。目前國內以M310型為代表的秦山二期、嶺澳、福清一期等核電廠均采用了這類以事件導向為主，適當輔以狀態監督的事故處理規程。其中事件導向規程主要針對設計基準事故和有限的超設計基準事故，狀態監督規程主要用于故障或事故期間的連續監督、極限堆芯保護規程等。

以西屋設計的AP1000為代表的三門、海陽等核電廠則將操縱員能夠診斷出的典型事故（如失水事故、蒸汽發生器傳熱管破裂事故）采用最佳恢復的事件導向規程，而對于無法診斷或非預計事件，采用關鍵安全功能恢復的事故處理規程（類似于狀態導向規程）。

1.2 事故規程發展歷程

法國核電廠的事故規程發展具有歷史典型性。在三哩島事故（TMI）發生之前，法國的核電廠事故規程為純粹的事件導向規程，通過診斷識別事故初因并執行相應的規程，使電廠達到退防狀態。

三哩島事故之后，針對事故中出現的問題，修訂了事故管理的原則：

（1）改進了操作員規程的具體表現形式（例如增加了流程圖的使用）;

（2）引入人因工程方法，采用安全工程師負責關鍵安全功能的持續監測;

（3）引入安全功能導向的新規程（U1）（見圖 1），能夠使操作員處理事件導向規程無法應對的復雜工況（例如事故疊加）;

（4）考慮超設計基準事故工況，涵蓋冗余安全系統的全部喪失（H規程）;

（5）盡管大量的模擬器驗證表明上述規程的有效性，更加深入的分析表明需要進一步引入狀態導向管理規程。

基于上述原則，進而開始了狀態導向規程的開發。狀態導向方法開發的目標是把事件導向和安全功能導向規程的優點綜合起來，其新增的一些優點及特征如下：

在此方法下，首先，狀態導向規程保持快速處理的優勢，如之前的A規程，保證快速恢復穩定/安全狀態。然后，進行電廠狀態的持續監測，當狀態進一步惡化，能夠進行處理策略的再導向。

狀態導向策略的優化還在于提供給操作員的信息的改進，以評價關鍵安全功能狀態：最主要的改進是在U1規程框架下，引入反應堆壓力容器水位的測量。該措施能夠更精細的識別反應堆狀態，為電廠不同狀態提供更合適的操作。

直至1990年代，狀態導向方法拓展至事件管理規程（I規程，實質是事件導向）或者事件導向管理規程（A規程，余熱排出系統連接）。操作員導則進一步的改進能夠實現無論電廠在何種狀態，不同的操作能夠更好的恢復安全功能。

在超設計基準事故規程方面，根據一級概率安全分析（PSA）的結果，在70年代末引入了H規程（超設計基準事故規程），包含了冗余安全系統喪失的事故工況。

在應對嚴重事故規程方面，編制了規程U2-U5，目標為緩解堆芯惡化后果。

三哩島事故之后，大多數西方核能先進國家對核電廠主控室安裝了安全參數顯示系統（SPDS）。其系統的“安全面板”顯示主要關鍵安全參數的趨勢曲線，可識別電廠當前風險，并輔助操作員執行規程中的關鍵步驟（例如輔助對初始事故的診斷并確定合適的A規程）。

2 狀態導向規程的實例

以嶺澳二期為例，狀態導向方法的原則是基于以下考慮：可能出現的瞬態工況包括事故疊加數量是無限的，但是可能的電廠狀態是有限的，因此狀態導向規程以核蒸汽供應系統（NSSS）狀態為出發點，而不是以事件為出發點的。

2.1 物理狀態識別

首先根據核電廠NSSS運行狀態，總結歸納所有的物理參數，定義了表2所示的6種狀態功能和6個重要參數。

通過此6個狀態函數可以確定NSSS的總的狀態，根據反應堆初始狀態來確定此時的退防模式。可以通過不同的運行策略來達到所需的退防模式，如降壓、冷卻、增加硼濃度等。

2.2 運行策略

根據最初的反應堆物理狀態，向退防模式的過渡由運行策略決定。

策略的目標相關描述如下：（1）全局目標（降壓、冷卻、增加硼濃度等）;（2）子目標間的優先級（溫度、反應堆壓力容器水位、穩壓器液位、硼濃度等）;（3）為達目標所需的設備。

根據NSSS的不同狀態，主要有如下八種運行策略：（1）穩定狀態;（2）平穩地過渡到退防狀態;（3）迅速地過渡到退防狀態;（4）重建堆芯的次臨界余量;（5）控制Tsat;（6）重建熱量導出;（7）重建RCS的水裝量;（8）堆芯的最終安全。

2.3 運行規程

SOP規程見下表3。

其中的DOS程序為引導規程，由反應堆操作員使用該規程進行初始的診斷，并引導到適用的ECP和ECS程序，由值長來確認反應堆操作員的診斷結果。

ECP程序包括初始導向和操作序列，操作序列的主要內容有：動作、監測、重新導向。在執行ECP程序的過程中還要根據不同的判據來判斷是否需要執行EFS、EFC和ECE程序。EFS程序可以由反應堆操作員或蒸汽和給水操作員使用，用來監測支持功能的可用性、在喪失支持功能的情況下運行及恢復支持功能。EFC程序可以由反應堆操作員或蒸汽和給水操作員使用，用來監測、啟動、停止NSSS功能。ECE程序可以由反應堆操作員使用，用來控制安全殼的完整性。

ECS程序由蒸汽和給水操作員使用，用來執行反應堆操作員所要求的操作，如控制溫度和控制蒸汽發生器的壓力等。

3 事故規程開發

3.1 策略方面

3.1.1 基本原則

在事故規程開發/升級計劃中采用的策略原則如下所述：

a）必須與電廠設計基準一致。覆蓋的范圍是從預期的電廠瞬態延伸至超設計基準事故（BDBAs）;b）必須處理所有可能的事故工況，并為不同設備的失效和操作員的失誤提供指導。

另外，在開發中還需考慮[2]：（1）在電廠規程系統中事故規程的定位;（2）初始電廠狀態（功率運行工況，停堆工況等）和最終狀態（比如規程出口的安全條件）;（3）人員組織（每個操作員的角色和責任，以及他們如何一起工作）;（4）架構（對于監督員僅有1個規程或每個操作員均有1個規程）;（5）人機界面（規程的格式，技術支持等）;（6）在應急響應宣布后的組織責任;（7）在應急響應宣布后主控室的工作負荷;（8）事故工況下的設備響應;（9）在事故規程執行過程中電廠中可能存在的危險狀態。

3.1.2 主要內容

策略應包含以下部分：（1）制定基于征兆/狀態的入口條件;（2）反應堆停堆后的電廠狀態穩定;（3）初始診斷;（4）基于事故或狀態的恢復規程;（5）基于事故或狀態的持續診斷;（6）監測和恢復安全功能;（7）附加規程以重建重要系統和恢復系統;（8）事故工況下的系統響應;（9）電廠出現危險狀態下，場內應急人員可能需要執行相關操作。

3.1.3 事故規程的范圍

首要任務是確定范圍，需要考慮兩個前提條件：事故規程只是應用于功率運行工況還是也覆蓋了停堆工況？EOP與非正常運行規程（AOP）、EOP與嚴重事故管理導則（SAG）的邊界關系是什么？

基于以上考慮，EOP通常的應對范圍如下：

a）假想的設計基準事故;

b）有可能導致事故發生的異常情況;

c）某些超設計基準事故（事故疊加，操作員失誤等）;

d）不能夠清晰診斷的工況;

e）威脅電廠總體安全功能的工況;

f）多個同時發生的系統失效;

g）停堆工況下發生的事故。

3.2 EOP開發團隊組織

EOP的開發涉及多學科、專業的協作。EOP對于電廠安全很重要，必須準確，因此在EOP開發項目之初，應該組成富有經驗的多學科開發團隊，負責EOP開發的團隊人員應是專職負責，且必須是有經驗的。在項目初期涉及的專業人員有：（1）規程編寫者;（2）核電廠運行專家;（3）分析或評估人員;（4）教員及模擬器培訓專家。具有核電運行操作經驗的規程操作員對項目極其有益。