應用屏障分析與ECF圖對LNA和LNC變壓器供電回路不可用事件分析

劉時賢，褚倩倩，劉 銳，車樹偉，楊未東

（生態環境部核與輻射安全中心，北京 100082）

在核電廠發生事件后需要進行事件評價和原因分析，針對事件原因制定并落實針對性的糾正措施，防止核電廠事件重發，進而保護工作人員、公眾和環境免遭過量輻射危害。因此對核電廠事件進行根本原因分析就成為防止事件重復發生的前提和關鍵。根本原因分析方法主要有變化分析法、任務分析法、屏障分析法、故障樹分析法、因果分析法、事件原因因素（Event And Cause Factor，ECF）圖分析法等［1］。變化分析法適用于事件起因不明確、無從下手或懷疑一個變化可能對結果有影響等情況，該方法通過找出事件發生之前或理想的狀態與事件實際狀態之間的差異來分析事件；任務分析法適用于所有涉及人因失誤的事件分析，目的在于找出事件發生過程中人的不當動作或管理缺陷，主要包括書面任務分析和實踐任務分析；屏障分析法適用于需要對核電廠縱深防御屏障進行評估的事件，需要由熟悉核電廠縱深防御屏障的人員實施；故障樹分析法適用于分析因果邏輯明確的事件，該分析方法將已知故障作為頂事件，分析所有可能導致該故障的原因；因果分析法適用于分析由人員失誤和設備故障共同作用引發的事件，通過分析因果關系來確定根本原因，實施方式為不斷詢問出現的結果和發生的原因，并從最末端的故障/缺陷開始往前追溯，以找出根本原因；事件原因因素圖分析法適用于分析大多數事件，無須考慮事件是由設備故障、人員失誤還是規程錯誤引起的。

目前針對運行事件的根本原因分析，吳彥農等［2］采用屏障分析法對某核電廠取水口堵塞事件進行根本原因分析，焦峰等［3］運用事件原因因素圖分析法對控制棒驅動機構電源全部喪失導致反應堆自動停堆事件進行根本原因分析。上述工作體現了監管部門對事件根本原因分析的密切關注和深入研究，但這些研究都是使用單一分析方法對事件進行根本原因分析，具有一定的局限性。比如，單獨使用屏障分析法很難確定所有失效的屏障，對屏障不熟悉的調查人員很可能找不全屏障，也無法體現事件的完整發生過程；單獨使用ECF 圖分析法雖然能夠以圖表的形式將事件信息清晰地表述出來，但未明確導致事件發生的失效屏障。本文將屏障分析法與ECF 圖分析法結合在一起使用，以克服單一分析方法的局限性。

2021 年1 月24 日，某核電廠機組處于功率運行模式，電氣人員發現，2021 年1 月6 日至2021 年1 月24 日期間，LNA、LNC 變壓器供電回路始終不可用，超出運行技術規范要求的維修期限。該事件的發生過程和進展較復雜，事件所涉及的時間范圍較長，適合采用ECF 圖分析法將事件的發生過程、事件后果、原因因素等要素以圖形的方式清晰、直觀地表達出來，從而使分析人員不必花大量精力去記憶分析的進展，可集中精力分析事件原因；同時事件發生過程中涉及多道管理屏障失效，采用屏障分析法可確定導致本次事件發生的失效屏障，并分析失效存在的深層次原因，因此本事件適合采用屏障分析與ECF 圖分析的綜合方法進行根本原因分析，從而吸取經驗教訓。

1 屏障分析和ECF 圖分析綜合應用

屏障分析法是根據事件過程的時序找出所有屏障，并鑒別出那些有助于阻止事件發生的屏障，正是這些屏障的依次失效才導致了不良后果。每個失效的屏障都有其對應的故障，因此，找到事件發生過程中的失效屏障就找到了相應的故障。核電廠的物理屏障通常包括：報警和信號、保守的設計裕量、專設安全裝置、上鎖的門和閥門、放射性屏障、冗余設備、安全和釋放裝置、接地故障保護裝置等；管理屏障通常包括：運行和維修規程、政策和實踐、運行總則、培訓和資格授權、員工資格許可、核電廠的運行執照、標簽和標志、輻射工作許可制度、技術規格書、工作實踐、工作票管理制度、交流方法、人員任命等［4］。

ECF 圖分析法是將整個事件分解為多個按邏輯次序發生的事實，每一個事實都用圖形化手段加以描述，比純文字的表達更清晰、直觀［5］。在構造事件時序圖時不限于單一事件主線，可以有分支。并要考慮影響事件進展的環境條件和人員決策過程，用與事件相關的條件或狀態確定事件的原因。ECF 圖分析包括兩個基本步驟。首先是在ECF 圖的橫向方向構建事件序列，逐步呈現事件的發展過程，確定事件過程的失效點；其次在ECF 圖縱向方向分析失效點的深層次原因［6-7］。

單獨使用屏障分析或ECF 圖分析事件時存在一些不足，可以將屏障分析與ECF 圖分析結合在一起使用，把屏障放進ECF 圖中，這樣就可以確定事件序列中屏障的位置，如圖1 所示。

圖1 屏障分析法與ECF 圖分析法的綜合應用Fig.1 Comprehensive application of barrier analysis and ECF diagram analysis

2 事件主要序列

2020 年11 月17 日，大修組隔離經理審查5LNA、5LNC 旁路電源改造票和改造試驗票，根據改造票和改造試驗票中的工作內容，進行隔離指令和試驗指令的準備。

2020 年11 月22 日，大修組隔離經理完成Y502 大修中5LKE（低壓交流電源380 V 系統-核島輔助設備）預防性檢修工作票準備，以及停送電文件包準備，編制了《5LKE001TB 停盤以及重新送電》文件包（下文簡稱為《5LKE 停送電》文件包），其中包括5LNA、5LNC 變壓器供電回路停運和送電的程序。

2020 年12 月30 日17∶00，5 號 機 組 處 于堆芯完全卸料模式（RCD），按大修計劃進行電廠內6.6 kV/380 V B 列配電盤維修工作。當班運行人員執行《5LKE 停送電》文件包的停盤部分，先停運5LKE 配電盤下游的5LNA、5LNC變壓器供電回路，再停運5LKE 配電盤。依據停盤程序斷開以下開關：5LKE2G1（5LNA 變壓器進線開關）、5LKE4F1（5LNC 變壓器進線開 關）、5LNA057FU（5LNA 變 壓 器 進 線 熔 斷器）、5LNC057FU（5LNC 變壓器進線熔斷器）、5LNA054FU、5LNC054FU，LNA 系統單線圖如圖2 所示。

圖2 LNA 系統單線圖Fig.2 One-line diagram of LNA system

2020 年12 月30 日17∶15，《5LKE 停送電》文件包的停盤部分執行完畢，5LKE 配電盤及下游負荷正常停運。

2020 年12 月30 日19∶30，當班隔離經理完成5LKE 預防性檢修工作票及5LNA、5LNC旁路電源改造工作票的隔離措施，發出對應的工作許可證。

2021 年1 月2 日13∶33，5LNA、5LNC 旁路電源改造票還票，當班隔離經理將此票解除隔離，發出5LNA、5LNC 旁路電源改造試驗許可證，改造負責人繼續執行改造后的試驗工作。

2021 年1 月3 日，5LKE 預防性檢修工作票還票，當班隔離經理A 執行解除隔離和《5LKE停送電》文件包，對5LKE 配電盤送電并恢復下游負荷供電。5LNA、5LNC 旁路電源改造試驗票（下文簡稱改造試驗票）未還票，當班隔離經理A 未對5LNA、5LNC 變壓器供電回路送電，在《5LKE 停送電》文件包中記錄遺留項。

2021 年1 月4 日，大修組隔離經理清理《5LKE 停送電》文件包遺留項，發現已記錄“5LNA、5LNC 變壓器送電程序未執行”的遺留項。查詢隔離管理系統，發現改造試驗票處于正在執行狀態，在文件包中標注“后由5LNA/LNC 的工作票跟蹤，解除”，將文件包中遺留項清除。

2021 年1 月6 日12∶30，5LNA、5LNC 旁路電源改造試驗負責人歸還改造試驗票，并告知當班隔離經理B“試驗票所涉及的電源開關已全部合閘”。當班隔離經理B 對改造試驗票解除隔離，按照解除隔離操作單的設備指令檢 查 確 認5LKE2G1、5LKE4F1、5LNA057FU、5LNC057FU 四個開關處于合閘狀態。

2021 年1 月10 日至1 月18 日，當班運行人員執行動態控制點程序，根據程序要求，檢查確 認5LN* 系 統（5LNA/LNB/LNC/LND/LNE/LNG/LNP/LNH 系統的總稱）沒有“導致配電盤不可用”的相關報警。

2021 年1 月6 日至1 月24 日，運行人員每天中班根據巡視儀（巡視記錄本電子化終端）的要求對5LNA、5LNC 配電盤進行巡視。巡視內容包括：檢查逆變器運行正常且無報警、檢查充電器運行指示燈亮和負荷運行指示燈亮、檢查系統運行參數正常。

2021 年1 月24 日10∶15，電 氣 人 員 發 現5LNA054FU、5LNC054FU 處于斷開狀態，通知當班運行人員。13∶40 當班運行人員按系統運行程序要求將5LNA054FU、5LNC054FU 合閘，恢復5LNA、5LNC 變壓器供電回路可用。

3 事件原因分析

3.1 屏障失效原因分析

采用屏障分析法與ECF 圖分析法梳理事件序列并確定了6 道管理屏障失效，并對屏障失效的原因進行進一步分析。

（1）第一道工作實踐屏障失效：大修組隔離經理未將5LNA、5LNC 旁路電源改造工作票和試驗票的工作內容加入《5LKE 停送電》文件包中。

因大修增加5LNA、5LNC 旁路電源改造工作，5LKE 預防性檢修的停送電流程發生改變。大修組隔離經理在準備階段，只準備了5LKE預防性檢修的停送電文件，未按照電廠管理程序《隔離經理工作規范》要求“對于操作步驟多、復雜、風險高的解除隔離操作單，使用文件包或者專項操作單進行解除隔離和系統恢復”執行，大修組隔離經理未將5LNA、5LNC 旁路電源改造工作票和試驗票的工作內容，寫入《5LKE 停送電》文件包中，以便在執行過程中使用此文件包控制整個停送電工作流程?！?LKE 停送電》文件包準備不完整的問題在審查和批準環節也未被發現，說明此文件包的準備過程不嚴謹。

因此，第一道工作實踐屏障失效導致《5LKE 停送電》文件包準備環節出現失效點。

（2）第二道工作實踐屏障失效：當班隔離經理A 未按要求在5LNA、5LNC 旁路電源改造試驗票中記錄遺留項。

5LKE 預防性檢修票還票，當班隔離經理A根據《5LKE 停送電》文件包對5LKE 送電并恢復下游負荷供電。由于5LNA、5LNC 旁路電源改造試驗未結束，當班隔離經理A 未對5LNA、5LNC 變壓器供電回路送電。遇到此種情況，根據電廠管理程序《工作票解除在線及遺留項清理》中的要求“涉及隔離票的文件包遺留項，記錄遺留項的某運行值的隔離經理需在隔離票的隔離清單中增加標準注釋指令‘解除隔離時清理文件包（編號）遺留項’”，需要在文件包和改造試驗票中分別記錄遺留項信息。但當班隔離經理A 僅在《5LKE 停送電》文件包中記錄遺留項，未在改造試驗票的隔離清單中增加標準注釋指令“解除隔離時清理《5LKE 停送電》文件包遺留項”，未能有效提醒后續人員在解除隔離時執行5LNA、5LNC 變壓器送電程序。

因此，第二道工作實踐屏障失效導致《5LKE 停送電》文件包執行環節出現失效點。

（3）第三道工作實踐屏障失效：大修組隔離經理未核實改造試驗票中的遺留項記錄情況就清除《5LKE 停送電》文件包中的遺留項。

大修組隔離經理清理《5LKE 停送電》文件包遺留項，發現5LNA、5LNC 變壓器送電程序未執行，檢查文件包遺留項清單中已正確記錄的信息。查詢隔離管理系統檢查改造試驗票的執行進展，發現此票處于正在執行狀態，但未檢查改造試驗票中是否已按要求正確記錄遺留項信息。因“解除隔離時需要執行系統程序進行完整在線”是隔離經理的基本工作規范，基于這一理解，大修組隔離經理認為后續人員在解除改造試驗票時，會自行準備5LNA、5LNC 變壓器送電程序進行完整在線，在文件包中標注“后由5LNA/LNC 的工作票跟蹤，解除”，將文件包中“5LNA、5LNC 變壓器送電”的步驟標記完成，并清除遺留項，該行為與大修遺留項清理的規范做法不符。在5LNA、5LNC 變壓器送電程序未執行的情況下，提前清除遺留項，導致屏障作用失效。

因此，第三道工作實踐屏障失效導致《5LKE 停送電》文件包跟蹤環節出現失效點。

（4）第四道工作實踐屏障失效：當班隔離經理B 未使用5LNA、5LNC 變壓器送電程序進行完整在線。

當班隔離經理B 在準備解除改造試驗票時，未查詢5LNA、5LNC 變壓器停運時所執行的程序步驟，未能發現5LNA054FU、5LNC054FU處于斷開狀態。僅根據不完整的信息進行分析，錯誤地判斷變壓器供電回路已恢復至正常的備用狀態，認為無須準備5LNA、5LNC 變壓器送電程序進行完整在線，只需檢查5LKE2G1、5LKE4F1、5LNA057FU、5LNC057FU 合閘即可。實際上變壓器雖已送電啟動，但靜態轉換開關上游熔斷器處于斷開狀態，變壓器供電回路未恢復備用狀態。根據隔離經理基本工作規范，當班隔離經理B 在解除隔離時，無論5LNA、5LNC 變壓器處于何種狀態，都應該使用送電程序進行完整在線，才能確保系統設備可用。因前序當班隔離經理A 未按要求在改造試驗票中記錄遺留項信息，導致隔離經理B 在解除隔離時未取用大修組準備的5LNA、5LNC 變壓器送電程序。而當班隔離經理B 也未自行準備系統送電程序對5LNA、5LNC 變壓器供電回路進行完整在線，導致解除隔離時5LNA054FU、5LNC054FU 未進行合閘操作。

因此，第四道工作實踐屏障失效導致改造試驗票解除隔離及在線投運環節出現失效點。

（5）第一道程序屏障失效：動態控制點程序未能引導運行人員正確判斷LN*系統可用性。

2021 年1 月10 日至1 月18 日，在機組上行期間，運行人員執行動態控制點程序，程序要求“檢查沒有導致5LN*配電盤不可用的相關報警”，如表1 所示。運行人員在主控檢查沒有LN*報警，將動態控制點程序簽字完成。由于“5LNA054FU、5LNC054FU 斷開”在設計上無相關報警，運行人員僅在主控檢查沒有LN*配電盤報警，不能確認LN*配電盤可用。

表1 檢查沒有導致5LN＊配電盤不可用的相關報警Table 1 Checks of no alarm of unavailability of the 5LN＊ switchboard

因此，第一道程序屏障失效導致運行人員未能正確判斷LN*系統的可用性。

（6）第二道程序屏障失效：5LNA、5LNC 程序未能引導現場操作員全面地檢查5LNA、5LNC 的設備運行狀態。

2021 年1 月6 日至1 月24 日，現場操作員按照巡視儀的要求執行檢查，未能全面地檢查5LNA、5LNC 系統設備運行狀態，綜合判斷系統設備是否運行正常。巡視儀中檢查內容來源于《5 號機電氣廠房巡視記錄本》，此記錄本中關于5LNA 系統巡視內容，只要求檢查“UPS 處于逆變器運行模式且無報警”，未要求檢查變壓器處于熱備用狀態，如表2 所示。對比系統結構相似的5LNG 系統（220 V 交流不間斷電源系統-系列A），巡視要求檢查“逆變器帶載，無異常報警”和“變壓器回路處于熱備用且無異?！?，如表3 所示。對比表2 和表3 發現，5LNA 系統程序巡視內容不完整。

表2 5LNA 系統的巡視內容Table 2 Content of inspection for the 5LNA system

表3 5LNG 系統的巡視內容Table 3 Content of inspection for the 5LNG system

因此，第二道程序屏障失效導致現場操作員未能全面地檢查5LNA、5LNC 系統的設備運行狀態，未能判斷5LNA、5LNC 變壓器供電回路中的開關狀態。

3.2 根本原因分析

對上述屏障失效的更深層次原因進行挖掘和歸納，最終得到事件的屏障分析與ECF 圖分析圖，如圖3 所示。

圖3 事件的屏障分析與ECF 圖分析圖Fig.3 Chart of barrier analysis and ECF analysis of event

最終得到事件的根本原因包括：

（1）人員技能不足和行為不規范

事件過程中出現四道工作實踐屏障失效，導致大修期間電氣系統在線活動不規范，其深層次原因是人員技能不足和行為不規范，主要體現在：大修組隔離經理未按照《隔離經理工作規范》要求準備《5LKE 停送電》文件包以及審查和批準環節未發現《5LKE 停送電》文件包內容不完整，導致未將5LNA、5LNC 旁路電源改造工作票和試驗票的工作內容加入《5LKE 停送電》文件包中；當班隔離經理A 未嚴格執行電廠管理程序《工作票解除在線及遺留項清理》要求，導致未按要求在5LNA、5LNC 旁路電源改造試驗票中記錄遺留項；大修組隔離經理未采用規范做法管理遺留項導致未核實改造試驗票中的遺留項記錄情況就清除《5LKE 停送電》文件包中的遺留項；當班隔離經理B 未按隔離經理基本工作規范執行解除隔離，導致未使用5LNA、5LNC 變壓器送電程序進行完整在線。

（2）程序不完善

事件過程中出現兩道程序屏障失效，其深層次原因是程序不完善，主要體現在：動態控制點程序對于220 V 配電盤可用性判斷標準不完整，導致未能引導運行人員正確判斷LN*系統的可用性；5LNA、5LNC 系統程序巡視內容不完整，導致未能引導現場操作員全面地檢查5LNA、5LNC 的設備運行狀態。

4 結論

本文綜合采用了屏障分析法和ECF 圖分析法對國內某核電廠大修期間電氣系統在線活動不規范導致LNA 和LNC 變壓器供電回路不可用事件進行原因分析，結果表明四道工作實踐屏障和兩道程序屏障連續失效導致事件發生，本事件發生的根本原因是人員技能不足和行為不規范以及程序不完善。根據事件的根本原因，建議營運單位從以下兩方面進行改進。

（1）加強員工技能和行為規范準則培訓

本次事件中出現了大修組隔離經理未按照程序要求準備《5LKE 停送電》文件包以及審查和批準環節未發現其內容不完整，以及大修組隔離經理未采用規范做法管理遺留項等，建議營運單位加強遺留項管理、隔離與解除隔離等相關知識點培訓，保證相關工作人員熟悉程序要求，同時加強遵守程序的訓練，保證員工行為規范，符合程序要求。培訓使電廠和員工更安全［8］。

（2）升版和完善相關程序

本次事件中出現了動態控制點程序對于220 V 配電盤可用性判斷標準不完整以及5LNA、5LNC 系統程序巡視內容不完整，建議營運單位升版動態控制點程序，調整配電盤可用性判斷標準，同時完善5LNA、5LNC 系統程序的運行監視章節，增加變壓器供電回路的檢查要求。