核電廠系統設備不可用管理問題分析與改進

楊永燈

（中核核電運行管理有限公司，海鹽 314300）

運行技術規范是在核電廠機組正常運行期間，為確保公眾與工作人員的安全所必須遵守的最低技術規則。這些規則的執行能夠確保重要的安全系統在異常或事故工況下正確運行。嚴格遵守運行技術規范是保證機組在整個壽期內運行安全所必須遵循的原則。但是，目前在核電廠運行實踐中違反運行技術規格書的執照運行事件時有發生。這些事件的發生多數源于設備管理方面存在不可用記錄不規范或不正確等問題。因此，規范和完善核電廠系統設備不可用管理就顯得極為重要。

1 核電廠運行技術規范簡介

1.1 核電廠運行技術規范

核電廠運行的安全總目標是維持設計確定的安全水平，并可以通過運行中的經驗反饋加以改進。核電廠為了實現這一總目標，制訂了一系列的運行規范，其中之一就是運行技術規范（一般運行技術規格書等同于或包含運行技術規范）［1］。

1.2 不可用

一般說來，如果可以證明某一設備或系統能及時地執行設計賦予的特定功能，同時又具備所要求的性能水平，則認為（部件、設備或系統的）安全功能是可用的，特別是該系統或設備功能所必需的儀控設備和輔助設備是可用的。安全功能不能滿足上述可用性定義中規定的所有條件時，則視其為不可用。所有與各個運行模式（狀態）相關的安全要求不一致的情況（要求的安全功能的不可用，或超出正常運行限值）均被稱為“事件”。通常也簡稱“不可用”“I0”。

不可用事件由4部分內容組成：事件、初始運行狀態、退防狀態、退防時限。I0分為兩組，第一組和第二組，會導致三道屏障（燃料包殼、一回路壓力邊界、反應堆廠房）損壞的風險增加的I0屬于第一組I0，不屬于第一組的I0屬于第二組。I0按性質又分為隨機I0、計劃I0和其他I0。

2 核電廠I0管理總體原則

2.1 核安全法規要求與電廠管理要求

《核安全法》規定核設施營運單位取得核設施運行許可證后，應當按照許可證的規定運行。國務院核安全監督管理部門和其他有關部門應當對從事核安全活動單位遵守核安全法律、行政法規、規章和標準的情況進行監督檢查。國務院核安全監督管理部門或者其派出機構應當向核設施建造、運行、退役等現場派遣監督檢查人員，進行核安全監督檢查［2］。《核動力廠運行安全規定》規定營運單位必須對安全重要的記錄和報告進行控制管理，要求其必須符合核動力廠質量保證有關法規的要求［3］。

《核電廠運行質量保證大綱》明確運行技術規范作為確保機組核安全的基本要求，在生產運行活動中各條款必須得到高度的重視并嚴格貫徹執行；運行值長負責組織運行值實施各項生產運行活動，確保機組的運行活動符合運行技術規范和電廠管理程序要求；主控制室操縱員在值長的領導下，根據運行技術規格書和運行規程，管理和執行主控室的所有操作；核安全監督工程師負責按照核安全法規、最終安全分析報告和運行技術規格書的要求，對電廠生產活動實施核安全監督管理。［4］

2.2 I0產生

核電廠在運行期間，必須滿足運行技術規范的要求，必須符合當前標準運行狀態所要求的可用系統設備配置。當班運行主控室操縱人員的一項職責是識別與診斷出不滿足運行技術規范要求的系統設備不可用。工作人員可以通過定期試驗、報警信號、監督檢查、預防性維修等任何方法發現系統設備不可用。

2.3 I0記錄與響應

當確定系統設備不可用后，工作人員需要按要求記錄I0，并采取事件要求的措施，保證機組處于滿足運行技術規范要求的安全狀態。記錄與響應要求如下：

（1）I0產生時，工作人員需在運行日志電子系統中及時記錄事件。I0記錄一般包含事件（事件原因與內容）、初始運行狀態（開始狀態）、退防狀態、退防時限、開始時間、結束時間、組別、性質、設備代碼、事件代碼等。

（2）一旦發現一個設備不可用時，核電廠必須確保其冗余設備的可用性。

（3）產生多個I0時，核電廠必須遵照運行技術規范規定進行多個事件累計，并采取相應的措施。

（4）當不可用設備或系統的維修已結束，且再鑒定試驗的結果滿足要求，或者反應堆已達到不需要該設備或系統的安全狀態時，就意味著該事件已結束。

（5）當不可用設備或系統的維修時間將超過退防時限或允許的維修時間時，核電廠應在盡可能短的時間內實施后撤或采取相應的緩解措施。

（6）達到退防狀態后，在核電廠設備未修復時，核電廠應維持退防狀態，不得向其他狀態轉換。

（7）當達到退防時限要求或檢修時間超出檢修時間要求時，核電廠應按照要求進行后撤或采取進一步措施。當不滿足運行技術規格書要求時，核電廠需要向國家核安全局報告執照運行事件。

3 I0記錄與管理問題

在核電廠進行內部監督檢查以及國家核安全局與地區監督站在對國內運行核電機組進行專項核安全檢查或臨界前核安全檢查時，經常發現核電廠營運單位在I0記錄與管理上存在不規范與不正確的問題，涉及事件原因、開始狀態、退防狀態、開始時間、結束時間、組別、性質、設備代碼、事件代碼等，詳見表1。

表1 I0記錄問題及原因分析Table 1 The I0 records problem and reason analysis

實例：（1）某核電廠2號機組處于NS/SG模式，2018/1/2 7:10至7:58，配合2RCP系統主泵惰走試驗，導致3臺主泵停運。工作人員記錄第一組計劃事件RCP6，開始狀態錯誤地記錄為NS/RRA模式，退防狀態錯誤地記錄為不適用。（2）某核電廠1號機組2018/12/3 14:11至15:16，機組處于RP模式，執行試驗PT1LLS002，關閉2RIS274VB，導致水壓試驗泵不可用。工作人員記錄第一組計劃事件RIS5，事件原因描述“關閉2RIS274VB”與《安全相關系統和設備定期試驗監督要求》中的描述“LLS002JS斷開”不符。（3）某核電廠2號機組2016年，有些I0記錄時開始時間/消除時間記錄錯誤，開始時間大于或等于消除時間，例如事件REN1，執行PT2RPB040導致硼表不可用，開始時間2016/4/11 20:00，結束時間2016/4/11 08:06。

4 問題分析與改進

4.1 I0記錄管理分析與改進

上述I0記錄問題可分為I0記錄不規范和I0記錄不正確兩類，下面本文分別進行分析并提出改進建議。

I0記錄不規范和I0記錄不正確問題源于記錄人員的人因失誤。核電廠人因失誤中分為技能型失誤、規則型失誤和知識型失誤［5］。技能型失誤是指在進行一些經常的、簡單的、熟練的操作過程中所犯的錯誤。導致這類失誤的原因通常是注意力不集中，或注意力僅集中于某一點而忽視其他方面。規則型失誤是指按規則進行操作時所犯的失誤，主要是由于運行技術規范中有些I0的規定不夠清晰導致進行I0記錄時不統一或不規范。知識型失誤是指人們通過分析、判斷來解決問題的過程中所犯的失誤。這類失誤通常是由于工作人員的知識欠缺、經驗不足、成見或偏見等因素造成。

4.1.1 I0記錄不規范

I0記錄問題中大多數為記錄不規范問題，分析其原因主要涉及人員行為不足和技術規定要求不明確兩個方面，對應技能型失誤和規則型失誤。

I0記錄不規范問題涉及：機組號記錄錯誤、事件的技術規范代碼錯誤、同一個事件對應的設備編碼記錄不統一或設備編碼有誤、導致設備不可用的原因不正確或不清晰、開始狀態填寫錯誤、退防狀態填寫錯誤、開始時間填寫錯誤、退防時限填寫錯誤、結束時間填寫錯誤、事件性質填寫錯誤、事件組別填寫錯誤。這些問題中大部分屬于技能型失誤，其余部分屬于規則型失誤。當技術文件與管理要求等規則明確之后，這些規則型失誤則變成技能型失誤。

國內有些核電廠機組的運行技術規范中每個事件的組別沒有單獨明確，按照退防時限或維修時限的長短來確定，小于15天的為第一組，大于等于15天的為第二組，一些有特別注釋說明的以注釋說明為準。這里存在一些問題：有些事件沒有退防時限或維修時限，但有一些補充要求，使得這些事件的退防時限和組別變得不清晰，也就是規則不明確。例如功率運行狀態下硼表不可用的技術規范代碼為REN1，退防狀態不適用，退防時限無，但有兩條補充要求“（1）停止任何稀釋操作，但控制棒處于自動控制模式下穩定功率運行時除外；（2）必須每8小時對主回路冷卻劑的硼濃度進行手動取樣分析”。這就帶來兩個問題：一是退防時限如何記錄，有的認為是“不適用”或“無”，有的則認為是8小時；二是組別如何記錄，屬于第一組還是第二組。技術規定條款的不清晰可能導致I0記錄出現不規范或不統一。因此，核電廠需要對運行技術規范進行優化完善，對不清晰的技術規定條款進行明確。

事件原因記錄不規范問題，主要是由于一項工作的多個操作步驟均會導致事件的產生，不同的人在記錄這個事件時會有不同的描述，建議事件原因填寫導致產生事件的第一個操作步驟事項。

減少和避免I0記錄不規范問題，一方面可以通過使用防人因失誤工具——自檢、遵守和使用規程、不確定時暫停、他檢以及獨立驗證，另一方面在技術文件和管理上進行優化，修訂運行技術規范，編制并完善相關的管理程序和管理通告等。此外，運行部門定期或不定期開展I0記錄自查工作，以及核安全監督部門定期或不定期獨立核查I0記錄情況也可以減少和避免I0記錄不規范問題。

4.1.2 I0記錄不正確

I0記錄不正確問題的原因主要是人員行為不足和人員知識技能不足，這兩方面不足對應技能型失誤和知識型失誤。

I0性質的記錄不正確的原因在于：一是對計劃性I0的理解不夠充分，認為只要是計劃提前安排的工作產生的I0就是計劃性的；二是多項工作同時開展產生的I0性質不明確，即同時開展糾正性維修工作和預防性維修工作，產生的I0是屬于計劃I0還是隨機I0不太明確。對于以上情況，對應的一種管理方式是：凡是同時開展糾正性維修工作和預防性維修工作，產生的事件均屬于隨機事件。另一種管理方式是：根據故障缺陷的影響開展維修工作的時機進行分別考慮，當缺陷未立即導致設備不可用，維修工作與預防項目一起開展時，產生的I0性質為計劃性；當缺陷立即導致設備不可用，必須立即記錄隨機I0，后續的檢修導致的I0也是隨機性，無論是否與預防性維修項目同時開展，都是隨機性的。

I0記錄不正確的一種特別情況是未按要求記錄事件，包含I0記錄遺漏和未識別出事件兩種情形。未識別出事件情況實例：2020年1月國內某核電廠2號機組核島400 V調壓變壓器配電盤C相6個調壓臂中的主調壓臂不動作，配電盤就地C相電壓正常，認為核島400 V調壓變壓器配電盤可用，之后，檢查確認不能正常響應電壓變化，確認核島400 V調壓變壓器配電盤不可用，導致一起執照運行事件——某核電廠2號機組存在第一組事件情況下執行產生第一組事件的定期試驗導致不滿足運行技術規范要求。該事件的直接原因是維修人員沒有準確判斷調壓變壓器已失去調壓功能，導致運行人員沒有及時記錄核島400 V調壓變壓器核電廠的第一組I0。根本原因是相關部門在核島400 V調壓變壓器的可用性管理方面存在不足。

如何才能避免因為未識別出事件而未能及時正確地記錄事件導致發生違反運行技術規格書的執照運行事件呢？核電廠首先應通過巡檢、試驗等各種方式及時發現系統設備的故障和缺陷，對缺陷保持敏感；其次，應全面分析缺陷故障對系統設備實現其功能的影響，正確判斷系統設備的可用性。設備可用性判定需要建立一套有效可行的管理流程，避免因個人知識和技能不全面導致判斷不準確。

4.1.3 可用性判定

主控室是核電廠機組信息收集中心，當出現導致或可能導致產生I0的故障，主控室應判斷是否導致產生I0，若不能做出判斷則立即啟動設備可用性判定流程，由運行人員、維修人員、技術人員、核安全監督人員等專業人員給出分析與結論。這樣可以避免和減少在I0分析判斷過程中出現失誤。在可用性判定過程中，當班值長和核安全監督工程師可以做出正確判斷的前提條件是維修人員或技術人員對故障的檢查、描述與分析必須全面和客觀。同時，這里需要注意的是，主控室人員在知道系統設備故障后做初步判斷是否導致產生I0時應該保守決策，否則可能錯誤地確定不會導致產生I0，并決定不啟動可用性判定流程。

判斷設備可用性的一般原則，或者是需要考慮的因素有以下幾個方面：設備是否可以實現其安全功能；設備是否被斷電隔離；設備性能是否完好；設備的支持系統是否可用；設備的重要監視儀表是否可用（能夠證明測量參數在要求范圍之內的情況除外）；設備的動作邏輯（起、停、開、關等）功能是否完好；設備的狀態是否發生改變；需要投運該設備時是否需要現場操作；能夠無延時地執行其功能；是否在規定的期限內（允許25%的裕度）完成定期試驗監督大綱規定的定期試驗項目；定期試驗結果是否滿足驗收準則。當任意一項不滿足或不肯定時，就需要考慮啟用設備可用性判定流程。本文建議核電廠編制和完善《運行技術規格書遵守》管理程序和相應管理通告、技術通告等，特別是關于系統設備可用性判定流程。

4.2 影響I0記錄的其他因素

世界核運營者協會為衡量核電廠在安全性、可靠性以及人員安全方面的業績制訂了一套量化的指標——WANO指標。我國為了更好地維護核電廠安全，保證核電廠安全、穩定、可靠運行，確保核電廠運行期間公眾的輻射健康與安全，建立了運行安全性能指標體系［6］。這些指標涉及安全系統不可用相關指標。在實踐中，核電廠要避免為了取得好的指標排名或者因為公司內部考核，而不能如實地、正確地記錄I0。

核電廠應加強管理，推崇開放透明的核安全文化，定期或不定期地學習與宣貫相應的管理程序和管理通告；從根本上減少系統設備不可用的產生；從運行管理、檢修質量、設備質量、備件質量等方面考慮，減少設備故障和重復維修，保證設備可靠運行，從而保證核電廠機組安全、穩定、可靠運行，提高核電廠業績。

5 結論

本文提出了運行核電廠關于系統設備不可用I0記錄和管理上存在的問題，詳細分析了問題產生的原因和影響因素，并針對各類問題給出了改進建議。這些改進建議的實施可以使核電廠的I0記錄與管理日趨完善，保證運行技術規格書得到遵守，核電廠機組運行安全得到保證。本文對運行核電廠尤其是新建成的運行核電廠的運行管理有一定的借鑒意義，也對核安全監督管理部門對核電廠的監督管理有一定的參考意義。I0記錄還涉及限制條件相關的I0記錄問題，有待核電廠、設計院及核安全監督管理部門進一步溝通對相應的管理要求進行優化與完善。