案例分析课件1：核反应堆工程

1、1 全国注册核安全工程师培训全国注册核安全工程师培训 核安全案例分析核安全案例分析 核反应堆工程案例核反应堆工程案例 王秀清王秀清 2007年5月29日 2 核电厂全景核电厂全景 3 核电厂堆芯熔化事故风险核电厂堆芯熔化事故风险/堆堆-年年 4 核电厂安全案例分析核电厂安全案例分析 n前言前言 n一一 背景知识背景知识 n二二 案例分析案例分析 5 前言前言 n核电厂和其它工业生产活动一样，不可避免地会发生设备失效、核电厂和其它工业生产活动一样，不可避免地会发生设备失效、 人员差错、意外、灾害等事件。人员差错、意外、灾害等事件。 n核能：核能：最危险/最安全的能源，一种事物矛盾体的两方面 n

2、核电厂严重事故后果可以引发世界性灾难；核能是世界公认有发展 n 前途的清洁能源。 n核电厂安全核电厂安全：取决于人类智慧和驾驭核能的能力 n核电厂经验反馈核电厂经验反馈/ /案例分析案例分析：化废为宝；吃一堑长一智；把灾害变成 财富的手段 ；IAEA 的 IRS ：19802003 汇集3000 事件 n核电厂安全水平和经济效益提高的驱动力：核电厂安全水平和经济效益提高的驱动力：经验反馈；科技进步经验反馈；科技进步是 核电厂性能不断改进的两只车轮。核电厂经验 一万堆-年；容量因子 提高 20%。 n n n n 6 核电厂经验反馈核电厂经验反馈 7 背景知识背景知识 n1 1 纵深防御纵深防御

3、 n2 2 监督管理监督管理 n3 3 分析方法分析方法 8 纵深防御纵深防御 n定义：定义： n 采用纵深防御概念是为了对潜在的人员采用纵深防御概念是为了对潜在的人员 差错和设备故障加以补偿，此概念的核差错和设备故障加以补偿，此概念的核 心是提供多层保护，包括前后设置多层心是提供多层保护，包括前后设置多层 防止放射性物质向环境释放的屏障。它防止放射性物质向环境释放的屏障。它 也包括在这些屏障不能完全起作用时为也包括在这些屏障不能完全起作用时为 保护公众和环境免受危害而进一步采取保护公众和环境免受危害而进一步采取 各项措施。各项措施。 9 纵深防御纵深防御 (1) 第一层次防御第一层次防御的目

4、的是防止防止偏离正常运行及防止系统失效。 (2) 第二层次防御第二层次防御的目的是检测和纠正检测和纠正偏离正常运行状态，以防止预计运行预计运行 事件事件升级为事故工况。 (3)设置第三层次设置第三层次防御是基于以下假定：尽管极少可能，某些预计运行事件 或假设始发事件的升级仍有可能未被前一层次防御所制止，而演变成一 种较严重的事件较严重的事件。这些不大可能的事件在核动力厂设计基准中是可预计可预计 的，并且必须通过固有安全特性、故障安全设计、附加的设备和规程来 控制这些事件的后果控制这些事件的后果，使核动力厂在这些事件后达到稳定的、可接受的 状态。 (4)第四层次防御第四层次防御的目的是针对设计基

5、准可能已被超过的严重事故严重事故的，并保 证放射性释放保持在尽实际可能的低。这一层次最重要的目的是保护包保护包 容功能。容功能。 (5) 第五层次第五层次，即最后层次防御的目的是减轻可能由事故工况引起潜在的放 射性物质释放造成的放射性后果。这方面要求有适当装备的应急控制中 心及厂内、厂外应急响应计划应急响应计划。 10 监督管理监督管理 n（1）监管方式）监管方式 n（2）报告制度）报告制度 n（3）事件分级）事件分级 11 监管方式监管方式 n中国核安全局；中国核安全局；美国核管会官员和委员会美国核管会官员和委员会 n 北京；北京； Washington DC n 监管的执行和检查监管的执行

6、和检查 n 集中在四个地区办公室，该办公室有长驻每个 核电反应堆的监督员； n Atlanta东南地区（地区IV）总负责四个地区工作。 n n 北京北京; 上海上海; 广东广东; 成都；西北；东北六个监督成都；西北；东北六个监督 站有长驻每个核电厂的监督员。站有长驻每个核电厂的监督员。 12 监管方式监管方式 nNRCNRC新的核电厂监督程序新的核电厂监督程序 n检查集中于潜在风险大的活动； n加大对有行为问题的核电厂的监督管理，对行为良好的核电厂予 以一般地关注； n使用核电厂行为的客观性测度； n给公众和核工业双方以及时和合理的电厂行为评价； n减少核设施非必要的监督管理负担； n以预先发

7、现和坚定执行的态度对待违反法规行为，强调违反法规 的潜在安全隐患。 13 监管方式监管方式 nNRCNRC新的核电厂监督程序新的核电厂监督程序 n建立安全运行基石建立安全运行基石 n监督三个领域内的行为： n反应堆安全性（避免事故和一旦发生减轻事故后果）； n辐射安全（电厂运行时保护电厂工作人员和公众）； n电厂防灾或其他安全威胁的防护。 14 监管方式监管方式 nNRCNRC新的核电厂监督程序新的核电厂监督程序 n建立安全运行基石建立安全运行基石 n1初始事件：该基石着重于核电厂的运行和事件，如果电厂安全 系统不介入，这些事件可能导致事故。这些事件包括设备失效导致电厂 停堆，非予期的复杂化停

8、堆或电厂功率大的变化。 n2缓解系统：该基石测度为防止事故或减轻可能事故后果而设计 的安全系统功能。通过周期试验和性能测试检查这些设备。 n3屏蔽完整性：反应堆燃料高强度辐射物质和厂外公众及环境之 间有三个重要屏蔽。这些屏蔽是装有燃料芯片的密封燃料棒，重的钢反 应堆容器和相关管道，包容反应堆的予应力混凝土安全壳。用泄漏来连 续检测燃料棒，压力容器和管道的完整性；按照规范检测安全壳防泄漏 能力。 n4应急准备：要求每一个核电厂备有对可能事故做出反应的综合 应急计划。该基本点测度电厂人员执行应急计划的有效性，演练期间应 该包括电厂人员、本地、州和联邦当局参加。 15 监管方式监管方式 NRCNRC

9、新的核电厂监督程序新的核电厂监督程序 建立安全运行基石建立安全运行基石 n5公众辐射安全：该基石测度为保持正常运行期间从核 电厂释放的放射性为最小而设计的程序和系统，并且保持这些 释放在联邦限制之内。 n6厂区的辐射安全：NRC法规设置了电厂工作人员所接 受的辐射剂量限值，该基石为控制和保持这些剂量为最小的电 厂大纲有效性。 n7实体保卫：要求核电厂必须有经过良好培训的安全保 卫人员和各种防护系统来保卫重要电厂设备，同时岗位责任大 纲保障雇员上岗要坚持通过毒品和酒精测试。该基石测度安全 保卫和岗位责任大纲的有效性。 16 监管方式监管方式 nNRCNRC新的核电厂监督程序新的核电厂监督程序 n

10、实时、客观公正监管实时、客观公正监管 n设计这些客观准则目的是根据既定的安全裕量指出其风险，并且设计这些客观准则目的是根据既定的安全裕量指出其风险，并且 使用一组颜色标识系统将其标出。使用一组颜色标识系统将其标出。 n“绿色绿色”标识表示行为在所期望的等级之内，满足相关基石目标； “白色白色”表示行为超出核电厂正常行为所期望的范围，但是还满 足相关基石目标； n“黄色黄色”表示满足相关基石目标，但是安全裕量稍微下降； n“红色”表示行为指标所测度的领域安全裕量相当大的下降。 n每个核电厂以季度为单位向NRC报告行为指标。NRC官员将其编 辑和审查后，将在NRC网站发布这些行为指标。 17 报告

11、制度报告制度 核电厂事件通告核电厂事件通告 A. 口头通告，营运单位必须在事件发生后24小时内口头通告通告国家核安全局 和所在地区监督站。 B. 书面通告，营运单位必须在事件发生后三天内向国家核安全局和所在地 区监督站递交书面通告通告。 18 报告制度报告制度 核电厂事件报告核电厂事件报告 A. 报告的方式和时间 营运单位应以公函形式在事件发生30天内向国家核安全局和所在地区监 督站递交事件报告。 B.事件报告内容 核电厂名称和核电机组编号、事件报告编号、事件通告编号、事件名称、 始发事件、事件发生时间和结束时间、报告日期、报告人、报告准则、 补充报告、事件发生前机组状态和功率水平、事件对运行

12、的影响和事件 后功率水平、放射性后果、安全评定、报告摘要、报告正文等共16项。 19 报告制度报告制度 n核电厂事件报告准则核电厂事件报告准则 A 违反核动力厂技术规格书的事件 i.核动力厂技术规格书要求停堆事件； ii.违反核动力厂技术规格书的运行事件。 B 导致核电厂安全屏障或重要设备的性能受到严重损害或出现下列工 况的事件 i.明显危害安全的没有分析过的工况； ii.超出核电厂设计基准的工况； iii.在核电厂运行规程或应急规程中没有考虑的工况。 C 对核动力厂安全有现实威胁或明显妨碍核电厂值班人员完成安全运行 的自然事件和其他外部事件 D 导致专设安全设施和反应堆保护系统自动或手动触发

13、事件（预先安 排的这类试验除 外） 20 报告制度报告制度 E 任何可能妨害构筑物或系统实现下列安全功能安全功能的事件 i. 停堆和保持安全停堆状态； ii. 排出堆芯余热； iii. 控制放射性物质释放； iv. 缓解事故后果 这里不包括在同一系统中冗余或备用设备能够完成所要求功能而个别部件 出故障。 F 导致多个独立的具有下列功能的系统、序列或通道同时失效的共因事 件 i. 停堆和保持安全停堆状态； ii. 排出堆芯余热； iii. 控制放射性物质释放； G 放射性失去控制的事件； H 对核电厂安全有现实威胁或明显妨碍值班人员安全运行的内部事件； I 其他事件。 21 事件分级事件分级 n

14、INES（INES: The International Nuclear Event Scale Users Manual）是国际原子 能机构和经济合作与发展组织核能机构，为便于核工业界、新闻媒介和公众之间 对核事件的信息沟通而制定的国际核事件分级管理办法国际核事件分级管理办法，同时建立事件报告系统。事件报告系统。 n国际原子能机构要求各成员国在发生2级和2级以上核事件以及引起新闻媒介和公 众关注的核事件时，迅速定级并在24小时内通告国际原子能机构。 n该分级把事件分成七个等级。该分级把事件分成七个等级。 n较低的级别（1-3级）称为事件； n而较高的级别（4-7级）称为事故； n安全上无重要

15、意义的事件定为低于1级或称零级，并称为偏离。 n与安全无关的事件称为分级范围之外事件。 22 事件分级事件分级 23 分析方法分析方法 n引言引言 n（1）核事件评定程序核事件评定程序 n（2 2）核事件根本原因分析）核事件根本原因分析 n（3 3）潜在后果分析）潜在后果分析 n（4 4）轻微事件和未遂失误倾向分析）轻微事件和未遂失误倾向分析 24 分析方法分析方法 n 引言引言 n 事件分析关注领域事件分析关注领域 n事件物理背景：事件物理背景：安全功能：反应性控制；热量移出；放射性包容。安全功能：反应性控制；热量移出；放射性包容。 n 事件直接原因：事件直接原因：设备缺欠；人员失误；意外、

16、灾害设备缺欠；人员失误；意外、灾害 n 事件根本原因：事件根本原因：人因；程序；管理；安全文化人因；程序；管理；安全文化 25 分析方法分析方法 n引言引言 n 事件分析的材料要求事件分析的材料要求 n材料要求是材料要求是事件分析的第一步，也是最重要的一步，因为事件分事件分析的第一步，也是最重要的一步，因为事件分 析的正确与否、纠正行动制定的是否合适，都取决于所获得第一析的正确与否、纠正行动制定的是否合适，都取决于所获得第一 手信息的完整性、准确性及客观性。手信息的完整性、准确性及客观性。 n参考我国核电厂运行事件报告所要求的格式及参考我国核电厂运行事件报告所要求的格式及IAEA有关运行事有关

17、运行事 件库的编码，材料应该涉及到以下几方面：件库的编码，材料应该涉及到以下几方面： n n发生了什么（发生了什么（What）：）：停堆或停运类型，停运时间，事件分类（如事件 报告准则等），故障初因事件，事件进展序列，主要的失效（人因及技 术），事件后果（对运行的影响，放射性后果，经济损失），事件重要 性分级等。 26 分析方法分析方法 n引言引言 n 事件分析的材料要求事件分析的材料要求 n什么时候发生的（什么时候发生的（When）：）：事件发生及结束的日期及时间，当时反应堆所处的 状态，事件发生前安全系统的可用性，事件发生时正在进行的活动，人员、规程、 设备的可用性冗余系统和设备的可用性等

18、。 n n在哪里发生的（在哪里发生的（Where）：）：所涉及到的厂区、设备等。 n n涉及到什么人（涉及到什么人（Who）：）：事件所涉及到的班组、人员，他们能够 n从所得到的教训中获益。 n n如何发生的（如何发生的（How）：）：那些立即产生或导致事件的故障、行动、疏忽或条件。 n n那些相关的事件（那些相关的事件（Which）：）：相关事件的报告等参考资料（即重复发生的事件）。 27 核事件评定程序核事件评定程序 n1检查是否与核安全或与放射性安全有关：工业事故；核事件 n n2 有关事件需要分别考虑三个影响准则：三个影响准则： n n厂外影响 n n厂内影响 n n纵深防御 n n3

19、选取三者中定级最高者 28 核事件评定程序核事件评定程序 n1 厂外影响准则厂外影响准则 n n考虑电厂外的实际放射性影响： n n 释放的放射性总量 n n 或公众个人所受照射量 n n厂外影响3-7级 29 核事件评定程序核事件评定程序 n 2 厂内影响准则厂内影响准则 n n包括三个方面： n n 放射性释放设施损坏程度 n n 释放或迁移到厂内屏蔽薄弱地点 n n 工作人员的剂量 n n厂内影响2-5级 30 核事件评定程序核事件评定程序 n3 纵深防御准则纵深防御准则 n n考虑两个因素： n n 安全措施失效可能发生的最大后果安全措施失效可能发生的最大后果 n n 仍然有效的安全措

20、施的数量及可靠性仍然有效的安全措施的数量及可靠性 n n纵深防御0-3级 31 核事件评定程序核事件评定程序 n 核事件评定程序使用核事件评定程序使用 n n实例说明：实例说明： n由于违反规程，某工作人员的事故剂量超过规定年剂量值 （50mSv），但是没有放射性向环境释放。 n 应用核事件评定程序，确定为下述级别： n 准则1：无关（无释放） n 准则2：2级（工作人员的事故剂量超过规定年剂量值） n 准则3：1级 （违反规程）。 n取这三个准则所定级别中的最高级别，则该事件定为2级。 32 核事件评定程序核事件评定程序 n 各级的定义各级的定义 n n厂外影响准则厂外影响准则 n n7级：

21、大量释放级：大量释放 n 放射性数量1016Bq I-131.相当堆芯大部分储量 （短、长寿命裂变产物混合物）。 n 有急性健康影响；大范围（几个国家）慢性影响； 长期的环境后果。 33 核事件评定程序核事件评定程序 n6级：明显释放级：明显释放 n 放射性数量相当于1015-1016Bq I-131. n n5级：有限释放级：有限释放 n 放射性数量相当于1014-1015Bq I-131. n n4级：少量释放级：少量释放 n 最多最多厂外人员受到的剂量为几mSv. n3级：极少量释放级：极少量释放 n 最多最多厂外人员受到的剂量为十分之几mSv. 34 核事件评定程序核事件评定程序 n厂

22、内影响准则厂内影响准则 n n5级：反应堆堆芯或辐射屏障的严重损坏级：反应堆堆芯或辐射屏障的严重损坏 n 百分之几的燃料熔化或百分之几的堆芯储量已从燃料组件中释 放出来 n 其它设施涉及厂内大量放射性释放 如，大规模临界事故、火 灾、或爆炸。 n4级：反应堆堆芯或辐射屏障的明显损坏，或工作人员受到致死级：反应堆堆芯或辐射屏障的明显损坏，或工作人员受到致死 性照射性照射 n任何燃料熔化或约1%堆芯储量从燃料组件中释放出来 n其它设施有1015Bq放射性释放且无法返回适当储存区 n一个或多个工作人员受到早期死亡的外部照射（5Gy）。 35 核事件评定程序核事件评定程序 n3级：严重的污染扩散，和级

23、：严重的污染扩散，和/或一个工作人员受到急性健康影响的或一个工作人员受到急性健康影响的 过量照射过量照射 n 一个或多个工作人员受到为1Gy照射 n 操作区的和中子总剂量率50mSv/h事件 n 其它设施有1015Bq放射性释放且能返回适当储存区 n2级：重大污染扩散和级：重大污染扩散和/或工作人员受到过量剂量照射或工作人员受到过量剂量照射 n 50mSv n 设计未考虑区域内出现相当数量放射性并要求采取纠正行动， 相当数量相当数量： n 1011Bq Ru-106 液体、或固体污染 n 1010Bq I-131 气体（限于建筑物内） 36 核事件评定程序核事件评定程序 n 纵深防御准则纵深防

24、御准则 n纵深防御是保守设计、质量保障、监督检查、缓解措施和安全文化的组合。 同 时考虑：设备失效、人员差错、意外和灾害。 n纵深防御准则分级取决于：纵深防御准则分级取决于： n 安全功能是否发挥作用；安全功能是否发挥作用； n 安全系统的有效性。安全系统的有效性。 n保障核电厂安全的安全功能是：保障核电厂安全的安全功能是：反应性控制；反应性控制； n 放射性物质得到足够冷却；放射性物质得到足够冷却； n 放射性物质的包容。放射性物质的包容。 n 37 核事件评定程序核事件评定程序 n 按纵深防御准则分级两种方法按纵深防御准则分级两种方法： n n1 适用于：适用于：始发事件的进程已在安全分析

25、中提供，可以对处理这些始 发事件的安全系统可用性进行分析。适用在功率运行时发生的事件。 n定级依据：定级依据：处理事件安全系统的可用性；事件发生频率。 n2 适用于：适用于：安全问题要依据防止事件发生的系统和控制来作出评估； 不能够对始发事件和安全系统的可用性分开进行评价 。一般是指有较常 时间采取纠正行为的场合。处理这种事件的安全系统通常依靠行政措施， 不是像功率运行时依靠自动快速动作的安全系统。 n定级依据：定级依据：已经丧失的安全保护层数目，以及事件的潜在严重性。 n如：如：停堆期间的事件、乏燃料水池的事件、燃料装卸事件、违反排放规 定等 38 核事件评定程序核事件评定程序 n按纵深防御

26、准则分级的评定程序按纵深防御准则分级的评定程序 n1 根据始发事件和安全系统的评定程序根据始发事件和安全系统的评定程序（带功率运行的反应堆事件）（带功率运行的反应堆事件） n2 根据预防事故系统和行政控制措施的评定程序根据预防事故系统和行政控制措施的评定程序 n低于低于1级事件：级事件：把1、2评定程序得不出较高级别的事件应该定义低于1级或0级。 如：自动停堆过程正常；不影响核电厂安全和正常投入运行的安全系统误动作； 各道屏障无明显性能恶化；计划定期检查或实验时发现冗余系统中单一故障或部 件不可运行。 n附加因素考虑：附加因素考虑：把1、2评定程序得出的定级提高一级的附加因素。 n如：共因失效

27、；规程问题；与安全文化有关。 39 核事件根本原因分析核事件根本原因分析 n目前各个国家使用的核电厂安全事件根本原因分析方法有十余个 n IAEA推荐的事故根本原因分析方法事故根本原因分析方法主要有： n管理疏忽及风险树分析管理疏忽及风险树分析 nManagementOversightandRiskTreeAnalysis-MORT n安全重大事件评价组安全重大事件评价组 nAssessmentofSafetySignificantEventsTeam-ASSET n人员行为增强系统人员行为增强系统 nHumanPerformanceEnhanceSystem-HPES 40 核事件根本原因分

28、析核事件根本原因分析 n管理疏忽及风险树分析（管理疏忽及风险树分析（Management Oversight and Risk Tree Analysis- MORT） n管理疏忽风险树（MORT）是美国能源部推荐的事故根本原因分析方法， 利用一种安全程序和管理系统元素按顺序和逻辑方式排列的流程图，显 示出一个动态的、全面的、理想化的安全系统模型的故障树。给出了比 较简单的事故分析判断点，使调查分析者能够查出人员遗漏、疏忽、管人员遗漏、疏忽、管 理系统缺陷和有关的风险。理系统缺陷和有关的风险。 n优点：该技术是一个成熟的技术成熟的技术，分析对象重点放在整个管理系统，利 用故障树的技术故障树的技

29、术，提供了多达1500个潜在的原因因素，使用屏障分析， 识别出管理所考虑的假想风险。 n局限：分析技术较复杂，需要一定的经验，因需要进行广泛的任务分析 而耗时较多，对核电厂人员的日常例行调查不太适用。 41 核事件根本原因分析核事件根本原因分析 n安全重大事件评价组（安全重大事件评价组（Assessment of Safety Significant Events Team-ASSET） nASSET分析方法是专门为支持IAEAASSET服务所开发出的一个根本原因分析方 法，ASSET审评队利用该方法审查核电厂所发生的事件，识别出悬而未决的安全识别出悬而未决的安全 问题问题，从而为核电厂管理层

30、加强管理系统预防事件发生提供咨询意见。根据该方 法的逻辑，事件的发生总是由于人员、规程或设备人员、规程或设备未能象预期的那样执行任务， 其直接原因在于这三方面中所存在的潜在薄弱环节的贡献，其根本原因在于电厂 在这三方面的监督大纲中存有缺陷，未能及时去除这些潜在的薄弱环节。这个方 法可以被用做为一个框架，指导电厂对事件的调查及分析，以便确定事件的直接 及根本原因。 n优点：该方法的重点放在组织管理问题，可以识别出不同管理层次的责任问题的 详细原因，从而便于提出纠正措施。 n局限：其术语及根本原因定义不同于其他分析方法，需要有广泛知识基础及实践 经验的人员来进行分析，对分析过程中事件信息的收集及处

31、理缺乏足够的指南， 其手册中所推荐的过程不容易被遵照执行。 42 核事件根本原因分析核事件根本原因分析 n人员行为增强系统（人员行为增强系统（Human Performance Enhance System-HPES） nHPES系统是美国INPO多年开发的结果，已经在核工业领域内以 不同的形式应用。HPES系统是一种综合了许多基本调查过程的方 法，其中包括任务分析、变化分析、屏障分析以及事件及原因因 素图。 n优点：HPES提供了一个技术工具箱，是一个世界上广泛应用的成 熟的灵活的方法，它将重点放在人员行为人员行为上，并且对人的行为分 析提供了指导。 n局限：需要经验及培训以便能够有效地应用

32、该技术，纠正行动取 决于分析人员的经验，没有特别地识别出组织问题，对于事件的 快速管理总览可能太过于广泛。 43 核事件根本原因分析核事件根本原因分析 n 事件根本原因实例：事件根本原因实例： n1 程序潜在问题程序潜在问题 n n低效的程序执行（工作计划和日程，预防维修，自我评价）：低效的程序执行（工作计划和日程，预防维修，自我评价）： n无效的纠正措施（问题反复出现）；无效的纠正措施（问题反复出现）； n笨拙的处理方式（强制人们按照该处理方式工作，如工作管理，工程设笨拙的处理方式（强制人们按照该处理方式工作，如工作管理，工程设 计）。计）。 n 这就是不用程序来处理事情。例如，从不使用一种

33、发电的漏电平衡单据这就是不用程序来处理事情。例如，从不使用一种发电的漏电平衡单据 计算程序，因为该单据长而且复杂。取而代之，操纵员使用另外的，绝计算程序，因为该单据长而且复杂。取而代之，操纵员使用另外的，绝 对自信的，非书面的一种。对自信的，非书面的一种。 44 核事件根本原因分析核事件根本原因分析 n2 操作潜在问题操作潜在问题 n n模糊的操作程序； n操纵员机械地使用程序，甚至当他们知道该程序是错的；缺乏质问主动性； n主要由关注生产的情绪支配着做出决定； n雇员存在极大抵触情绪； n认可并坚持长久性问题没有解决的设备服役； n缺乏开放性； n没有评估电厂物资条件匮乏的总效果没有评估设备

34、不维修的累积效果； n修改电厂没有秩序-程序没有随时改进； n不完善的程序-具有隐含工况阶段的程序； n未授权的电厂修改； n处理解决长时期存在的物质问题缺乏紧急感。 45 核事件根本原因分析核事件根本原因分析 n3 维修潜在问题维修潜在问题 n n维修项目大量堆积； n推迟维修和预防性维修大量堆积； n不能操作的自动设备； n由于维修错误引发停堆； n缺乏必要资金和物质条件； n不主动处理解决好物质条件问题； n违反即定程序； n处理方式缺乏全局观点。 46 核事件根本原因分析核事件根本原因分析 n4 工程潜在问题工程潜在问题 n n供应配置的管理问题； n电厂修改缺乏准备； n运行/维修支

35、持不充分； n缺乏质问态度： n操纵员机械地使用程序，甚至当他们知道该程序是错的；缺乏质问主动性； n操纵员由于大意产生错误： n已经公布了操纵员错误的很多例子，像各种原因导致错误地开启或关停水泵； n阀门的状态错误 n不恰当培训。 n执行设备检查和监督失效： n机组启动期间，很多设备（阀门）必须处在正确位置。现场操纵员使用检查清单，然后在一 定时间（周期）内检查该设备状态。 n发电机联网以后几天，发现应急给水系统阀门处在错误位置上（关闭）。这个事件违背了技 术说明书（ST）。教训是：虽然当设备启动期间从设备检查和监督大纲里会发现这种失误， 但是控制室人员没有遵照指令去做。 47 核事件根本原

36、因分析核事件根本原因分析 n5 放射性操作潜在问题放射性操作潜在问题 n n缺乏放射性操作的计划和实践； n工人超剂量辐照； n缺乏放射性培训； n放射性辐照和个人污染趋势上升。 48 潜在后果分析潜在后果分析 n目的：根据实际运行经验，验证核电厂的纵深防御是否有足够的能力对目的：根据实际运行经验，验证核电厂的纵深防御是否有足够的能力对 付可能出现的事故（特别是超设计基准事故）；也是运行经验反馈应用付可能出现的事故（特别是超设计基准事故）；也是运行经验反馈应用 的一个非常重要的方面。的一个非常重要的方面。 n三个步骤：三个步骤： n（1）确定可能的分析对象（实际或潜在失效的状态；及人员不适宜的

37、）确定可能的分析对象（实际或潜在失效的状态；及人员不适宜的 行动）；行动）； n（2）寻找潜在风险过程；）寻找潜在风险过程； n（3）评价核电厂纵深防御有效性。）评价核电厂纵深防御有效性。 49 潜在后果分析潜在后果分析 n 确定分析对象：确定分析对象： n考虑以下两种情况： n1）已确定的分析对象，这包括： 可能带来其它未经分析风险已确定的分析对象； 实际发生的异常或部分失效转变成潜在的完全失效等。 2）潜在的分析对象，这包括： 设备潜在的共模失效； 同样的设备失效可能发生在其它安全重要的系统； 电厂人员良好实践或偶然的好的行动不起作用。 50 潜在后果分析潜在后果分析 n 寻找潜在风险过程

38、：寻找潜在风险过程： n分为两种情况考虑： n正常运行操作正常运行操作：对于各种有关的正常运行操作，所确定的实际或潜在的 分析对象可能会导致后果偏离预定的方向，甚至恶化到不可接受的地步； 这些正常运行的操作包括正常运行、维修、定期试验、预期瞬态等。 n事故状态下事故状态下：在事故状态下，所确定的实际或潜在的分析对象可能会导 致加剧不可接受的后果；这些状态包括核电厂设计中所考虑的、类 工况，附加超设计基准工况，以及内、外部侵犯等。 n此外，还可以根据实际发生的过程还是潜在可能发生的过程来进行潜在 风险过程的寻找及确定。 n实际过程实际过程：从核电厂实际发生的事件过程出发，考虑可能的条件变化， 寻

39、找潜在的不同的发展过程及其风险。 n潜在过程潜在过程：非真实发生的事件过程，可以在假设的有关正常运行及事故 状态条件下，根据真实的事件情况分析可能的发展过程及其风险情况。 51 潜在后果分析潜在后果分析 n评价核电厂纵深防御有效性及风险：评价核电厂纵深防御有效性及风险： n n根据以上确定的潜在风险过程，通过事件树的方法来实现详细的潜在事 件序列的构建，以评价有关电厂纵深防御的有效性及风险情况。 n其思想是基于PSA（概率安全评价）或安全分析中所考虑的所谓事故的 初因事件出发，以与之关联的不可接受的后果（如堆芯熔化）为终，考 虑相关的电厂纵深防御（电厂保护系统、工程安全设施、规程以及人员 必要

40、的干预等）的有效与否，勾画出事件可能发展的途径及其风险情况。 52 潜在后果分析潜在后果分析 n予以特别关注的超设计基准事故初因事件予以特别关注的超设计基准事故初因事件 n参考初因事件清单如下：参考初因事件清单如下： l丧失一回路冷却剂事故（LOCA）； l二回路主蒸汽管线断裂（SSLB）； l蒸汽发生器传热管断裂（SGTR），以及二回路主蒸汽管线断裂（SSLB）+蒸汽发生器传 热管断裂（SGTR）； l丧失最终热阱（H1）； l丧失蒸汽发生器给水（H2）； l全厂断电（H3）； l未能停堆的预期瞬态（ATWS）； l一回路瞬态； l二回路瞬态； l丧失厂外电； l丧失压缩空气； l硼稀释；

41、l一回路中环路水位运行时丧失冷却等。 53 潜在后果分析潜在后果分析 n 事件树的构建流程图事件树的构建流程图 初因事件事件1事件2事件3事件4事件5事件6 防线5防线4防线3防线2防线1初因事件 后果描述 防线6 成功 成功 成功 成功 成功 成功 失败 失败 失败 失败 失败 失败 1 2 3 4 5 6 7 状 态 后 果 描述1 描述2 描述3 描述4 描述5 描述6 描述7 54 轻微事件和未遂失误倾向分析轻微事件和未遂失误倾向分析 n世界运行核电厂经验反馈数据统计表明，核电厂重大 事件发生以前，会出现无数个事件发生的先兆。如果， 核电厂在重大事件发生前，分析确认的轻微事件轻微事件(

42、low level events)和未遂失误和未遂失误(near misses)倾向倾向，制定相应 纠正措施应该可以避免这些重大事件发生。 n介绍一种在核电厂经验反馈分析中，称为“分析轻微分析轻微 事件和未遂失误倾向提高核电厂安全性能事件和未遂失误倾向提高核电厂安全性能”的方法， 避免运行核电厂重大事件发生和保障核电厂安全，达 到防患于未然的目的。简要介绍该方法在核电厂安全 监管中的应用。 55 轻微事件和未遂失误倾向分析轻微事件和未遂失误倾向分析 n1 未遂失误例子未遂失误例子 n n一位操纵员把他的手放置在错误开关上，然而，启动开关以前他立刻意 识到他的错误； n透平厂房一位工匠看到一位同

43、伙没有正确使用安全设备和没有执行正确 操作。他指出同伙的问题，从而避免了一个潜在安全事故； n一位穿着污染防护服的工匠工作在反应堆堆坑的悬梁上。该工匠滑了一 跤，如果他没有系安全带，他可能会坠落到堆坑里； n一位操纵员步行通过电厂，当时他向上看，并且看到了一位工匠从脚手 架上踢掉一个工具落下来。操纵员迅速躲避防止了伤害。 n这些例子表明未遂失误所发生的是没有后果的事情。如果不是及时采取 个别措施的话，事件结果会决然不同。一些业主把未遂失误报告称谓 “恰好把握（good catches）”，事实上强调：由于及时察觉和采取个 别适当措施防止了一次重大事件。 56 轻微事件和未遂失误倾向分析轻微事件

44、和未遂失误倾向分析 n2 从未遂失误到轻微事件再到严重事故的演变从未遂失误到轻微事件再到严重事故的演变 n n分析重大事件和轻微事件或未遂失误的关系，会发现分析重大事件和轻微事件或未遂失误的关系，会发现重大事件，轻微事重大事件，轻微事 件和未遂失误全都具有共性：件和未遂失误全都具有共性：相同的潜在弱点，该弱点出自于相同的屏 障失效和根本原因。所有这些事件不同点仅仅在于它们各自的后果。 n正如纵深防御所关注的那样，一项有效纠正措施程序文件可以用在所有 级别事件分析上。关键是确认对共性原因贡献的最大潜在弱点是什么关键是确认对共性原因贡献的最大潜在弱点是什么， 并且随后采取有效的纠正措施。照此办法，

45、帮助编排程序和进行倾向分 析。 n正如所关注单个人为事件那样，可能应当充分的报告和讨论这些事件， 因为隔绝起来它们就不会达到需要广泛改进的目的。另一方面，观察到 这种事件大量重复发生，这类事件具有共同模式或相同原因也就容易归 结于一种更通用的纠正措施。 57 轻微事件和未遂失误倾向分析轻微事件和未遂失误倾向分析 n图表示图表示轻微事件到严重事故的演变：轻微事件到严重事故的演变：表明一个轻微事件演变到一 个更重大事件再到一个严重事故，取决于突破多少道防线。防线 包括实体屏障；管理屏障（程序，校验）和正确操作（源于培训， 安全文化等综合结果）。 n1 从轻微事件到失效，防线（从轻微事件到失效，防线

46、（LOD）有作用但是失效了。这些防线是组织机构类型，只能失）有作用但是失效了。这些防线是组织机构类型，只能失 效时才能研究它们。效时才能研究它们。 n2 防线有作用，并且它们一般是成功的。仅能它们失效时研究它们。它们属于组织机构和设防线有作用，并且它们一般是成功的。仅能它们失效时研究它们。它们属于组织机构和设 计类型。计类型。 n3 防线不起作用。它们是未知的或许是成功的：这是防线不起作用。它们是未知的或许是成功的：这是PSA的任务。它们是关系到所有设计类的任务。它们是关系到所有设计类 型。型。 n4 防线不起作用。关于它们不是很了解，对它们研究的不充分。稍许了解它们的改进进展。防线不起作用。

47、关于它们不是很了解，对它们研究的不充分。稍许了解它们的改进进展。 它们一般是设计类型。它们一般是设计类型。 n n 58 轻微事件和未遂失误倾向分析轻微事件和未遂失误倾向分析 59 轻微事件和未遂失误倾向分析轻微事件和未遂失误倾向分析 n 倾向分析工具倾向分析工具 n下面说明的分析工具不仅具有适用性，所介绍的也是数据分析成熟技术。 n（1） Pareto图和分析图和分析 n nPareto 准则是用于演示不平衡分布的一个数学模型。意大利经济学家V. Pareto发明了该准则。他观察意大 利20%的人掌握着80%的财富。V. Pareto准则（或80/20定律）是一种自然存在的客观变化，可以用在

48、 任何领域。V. Pareto准则帮助我们找到“巨大撞击（big hitters）”。应用V. Pareto准则让我们可以集 中有限资源来解决/改善“巨大撞击”，不然“巨大撞击”会引发严重问题。利用该方法，我们可以使我们 致力于改进的效率最大化。 n进行V. Pareto分析的六个阶段： n1) 收集数据（来源于初始条件报告CR）； n2) 范畴数据/问题（根据初始目标的倾向范畴体系）； n3) 说明时间周期（即，一个月）； n4) 计算每个范畴的累计百分比，%=局部/总量； n5) 按照递减序列排列每一个范畴 n一个V. Pareto图描绘出问题或给出限制范畴。按照递减序列绘制出问题范畴。因

49、为该图不能表示数据如何 随时间变化，因此，仅仅确认“巨大撞击”范畴，一般按照前6-12个月绘出每个范畴。 n6) 问题范畴确认办法是与总量的80%相比较（或近似80%） n使用Pareto 准则必须要有一个问题范畴的浓集度，如果问题分布相等，就不能使用80/20定律。 60 轻微事件和未遂失误倾向分析轻微事件和未遂失误倾向分析 n（2） 控制图控制图 n n1) 控制图是一个管理工具，该工具展示一段时间测度的结果随着限值上下统 计决定。该工具可以用在人因和设备性能两种问题上。 n2) 估价每一个参数（即，运行或设计过程的配置控制、工程或物质条件的配 置控制），确定一段时间初始条件报告的平均值（

50、即，6个月）； n3) 确定初始条件报告数据组的标准偏差。标准偏差是平均值离散度大小的量 度。样本统计偏差计算(STDVEP)中可以使用Excel软件的统计功能。 n4) 当初始条件报告参数的数量大于（或小于）2个标准偏差高于（或低于） 平均值，这个区域面积应该进一步审查/分析，以便确定偏差的潜在因素。 n如果有足够的数据能够确定合理的平均值和标准偏差，可以使用专业判断做出倾 向结论。 61 轻微事件和未遂失误倾向分析轻微事件和未遂失误倾向分析 n（3） 倾向图示法倾向图示法 n n倾向分析可以使用相应图示方法和/或倾向数据计算方法，来确 定是否存在潜在倾向。倾向分析专家分析这些领域的有用数据

51、， 确认那些领域需要更详细研究。如果确认系统、项目或组织机构 倾向，分析专家应当审查特定领域关注点的有用数据。 n为了提供更实用分析倾向，分析专家会按次序把数据格式化，应 用格式化方法会使得确认更清晰。例如，当分析一个部门事件历 史时，选择规格化人因误差率来计算人-小时工作量。 62 案例分析案例分析 n1 1 三哩岛事故三哩岛事故 n2 2 切尔诺贝利事故切尔诺贝利事故 n3 3某核电厂全部丧失安全厂用水事件某核电厂全部丧失安全厂用水事件 n4 4 其它其它 63 案例分析案例分析 n三哩岛事故三哩岛事故 n事故背景事故背景 n核电机组：核电机组：Babcock % Wilcox (B人为解

52、 除蒸汽发生器蒸汽压力和水位低值事故保护信号；投入8台水泵加 大水流量运行，堆芯（汽泡正反应性效应若汽泡减少）负反应性 效应，引发自动调节棒提出堆芯；人为提升手动棒（维持反应堆 200MWt运行）；堆芯仅有6-8根控制棒（少于30根限值）； 81 切尔诺贝利核电厂流程图切尔诺贝利核电厂流程图 82 切尔诺贝利事故切尔诺贝利事故 83 案例分析案例分析 n切尔诺贝利事故切尔诺贝利事故 n事故背景：事故背景： n主要优点：主要优点： nRBMK类型核电站的低功率密度提供了承受较大的全厂断电能力，可以在 一个小时内堆芯不会损伤； n机组可以在运行时换料，提高了可利用率水平； n石墨慢化剂设计允许使用

53、轻水做慢化剂反应堆不适用的燃料。 84 案例分析案例分析 n切尔诺贝利事故切尔诺贝利事故 n事故背景：事故背景： n主要弱点：主要弱点： nRBMK类型设计与大世界多数核电站的最主要差别是RBMK类型设 计没有钢和/或重混凝土安全壳结构作为事故期间防止大量放射性 释放的最后屏障。1979年三岛2#机组事故表明美国为代表的西方 类型反应堆安全壳的有效性，尽管堆芯燃料一定程度熔融，事实 上全部放射性被保存在安全壳内。在Chernobyl事故，RBMK机组 发生事故的系统（RBMK形式的安全壳），不能承受事故冲击力。 虽然估计爆炸释放的能量高于大多数安全壳设计所能承受的，但 是安全壳结构可以防止放射

54、性物质在Chernobyl释放； n事故缓解系统有限和无效； 85 案例分析案例分析 n切尔诺贝利事故切尔诺贝利事故 n事故背景：事故背景： n反应堆控制系统潜在很多失调，潜在着导致顺利恢复的困难； n当冷却水丧失，反应堆产生快速核链式反应和功率增加。该特性被称为 “正空泡系数”，前苏联工程师应该用快速落控制棒和其他方式的设计 缓解这种瞬发效应。所有RBMK反应堆作的修改是适当维持正空泡效应足 够低，以便防止像切尔诺贝利Chernobyl事故那样核功率突增。美国类型 轻水反应堆设计成，具有相反的特性“负空泡系数”所以当反应堆失水 时，核链式反应自动停止； n防火系统不适当； n在石墨砌体中有限

55、的蒸汽反应遏制能力； n电气和安全系统的实体分离和余度； n杂乱的管道布置。 86 案例分析案例分析 n切尔诺贝利事故切尔诺贝利事故 n核电机组实验（发电机惰转特性）：核电机组实验（发电机惰转特性）： n1时23分04秒 核电机组8号汽轮机紧急截止阀关闭停止向汽轮机供汽，反 应堆应该自动停堆；但是，操纵员解除了停机-停堆连锁保护信号维持反 应堆200MWt运行）；关闭4台水泵（因为不需要向汽轮机供汽）堆内蒸汽 量增加，汽泡正反应性引发自动棒下插； n1时23分31秒 反应性继续增加（自动棒不能补偿汽泡正反应性）；功率 急剧上升； n1时23分40秒 值班长下令紧急停堆；堆芯具有正气泡反应性和控

56、制棒挤 水棒正反应性效应相加；导致反应堆功率剧增；40秒上升100倍； n1时24分 发生两次爆炸；引发反应堆厂房、汽轮机厂房大火；油管损坏、 电缆短路、放射性辐照造成附近区域30余处火灾； n26日5时 扑灭火灾 n11月 使用混凝土封闭4号机组；继续清除放射性污染； 87 案例分析案例分析 n切尔诺贝利事故切尔诺贝利事故 n事故后果：事故后果： n严重人员伤亡：严重人员伤亡：爆炸死亡2人；237人受到临床效应超剂量照射，其中 134人辐射病死亡； n东欧广大地区环境和居民受到放射性污染：1986-1987年20万人受到 100mSv以上平均剂量照射；从事故后从禁区周围（30公里半径）撤离万

57、 余名居民，其中5%受到大于100mSv以上平均照射剂量； n北半球各国不同程度受到事故影响：最大的平均个人计量约为 08mSv至12mSv； n巨大经济和社会后果：巨大经济和社会后果：经济损失约200亿美元以上，引发世界性 反核浪潮，为核电工业发展构成巨大冲击，留下难以消除的阴影。 88 案例分析案例分析 n切尔诺贝利事故切尔诺贝利事故 n物理背景：物理背景：堆芯瞬发临界，使反应堆安全功能迅速 全部失效，引发灾难性严重事故； n直接原因：直接原因：设计缺欠；人员违规操作； n根本原因：根本原因：管理部门和业主不具备健全的核安全文 化 n改正措施：改正措施：取消或改进该种类型反应堆；国际核工

58、业协助核电站管理部门和业主健全核安全文化。 89 案例分析案例分析 n切尔诺贝利事故切尔诺贝利事故 n问题：问题： n1 切尔诺贝利事故物理背景是什么？ n2 切尔诺贝利核电厂运行，用反应堆理论说明为什么堆芯水量增加、汽 泡减少控制棒会自动提升？ n3 切尔诺贝利事故是INES分级那级核事故？ n4 切尔诺贝利核电厂是那种类型反应堆/使用的慢化剂、冷却剂？ n5 切尔诺贝利事故中的设备和设计问题？ n6 切尔诺贝利事故中的操纵员操作失误？ n7 切尔诺贝利事故中运行和操作规程问题？ n8 切尔诺贝利事故中的业主管理问题？ n9 切尔诺贝利事故带给世界核工业带来的新思考？ n10 防止切尔诺贝利

59、事故再发生应该采取的措施？ 90 案例分析案例分析 n某核电厂全部丧失安全厂用水事件某核电厂全部丧失安全厂用水事件 n事件物理背景：事件物理背景： n设备冷却水系统：设备冷却水系统：-用于从含放射性水系统，如反应堆冷却剂系统、化 容控制系统、余热排出系统等除去热量。然后把热量输送给厂用水系统， 把热量释放到环境中去。该系统式一个封闭系统，它在放射性系统和环 境之间起屏蔽作用。 n厂用水系统：厂用水系统：-用于除去运行各个阶段主要和非主要负荷产生的热量， 把热量传输给外界环境。该系统是一个开放系统，从外界取水，又把水 返回到外界环境，它也是核电厂许多系统和环境之间的分界面。 n抗震类，即要求部件

60、与设备能够抵御“安全停堆地震（SSE）” 的荷载而保持其结构完 整性、可运行性和功能能力；设备冗余，两个独立输水母管8台泵；安全电源，即 69KV停堆配电盘 91 92 案例分析案例分析 n某核电厂全部丧失安全厂用水事件某核电厂全部丧失安全厂用水事件 n事件后果：事件后果： n影响纵深防御准则：核电厂失去最终热阱，影响纵深防御准则：核电厂失去最终热阱，1 13 3级（依据事件详细过程，级（依据事件详细过程， 研判潜在后果）研判潜在后果） n无放射性后果；无事故伤害（后果）；无放射性后果；无事故伤害（后果）；0 0级级 n违反规程；违反规程；1 1级级 n丧失安全功能；丧失安全功能；1 1级级