核電廠系統(tǒng)設(shè)備不可用管理問題分析與改進(jìn)

楊永燈

（中核核電運(yùn)行管理有限公司，海鹽 314300）

運(yùn)行技術(shù)規(guī)范是在核電廠機(jī)組正常運(yùn)行期間，為確保公眾與工作人員的安全所必須遵守的最低技術(shù)規(guī)則。這些規(guī)則的執(zhí)行能夠確保重要的安全系統(tǒng)在異常或事故工況下正確運(yùn)行。嚴(yán)格遵守運(yùn)行技術(shù)規(guī)范是保證機(jī)組在整個壽期內(nèi)運(yùn)行安全所必須遵循的原則。但是，目前在核電廠運(yùn)行實(shí)踐中違反運(yùn)行技術(shù)規(guī)格書的執(zhí)照運(yùn)行事件時(shí)有發(fā)生。這些事件的發(fā)生多數(shù)源于設(shè)備管理方面存在不可用記錄不規(guī)范或不正確等問題。因此，規(guī)范和完善核電廠系統(tǒng)設(shè)備不可用管理就顯得極為重要。

1 核電廠運(yùn)行技術(shù)規(guī)范簡介

1.1 核電廠運(yùn)行技術(shù)規(guī)范

核電廠運(yùn)行的安全總目標(biāo)是維持設(shè)計(jì)確定的安全水平，并可以通過運(yùn)行中的經(jīng)驗(yàn)反饋加以改進(jìn)。核電廠為了實(shí)現(xiàn)這一總目標(biāo)，制訂了一系列的運(yùn)行規(guī)范，其中之一就是運(yùn)行技術(shù)規(guī)范（一般運(yùn)行技術(shù)規(guī)格書等同于或包含運(yùn)行技術(shù)規(guī)范）［1］。

1.2 不可用

一般說來，如果可以證明某一設(shè)備或系統(tǒng)能及時(shí)地執(zhí)行設(shè)計(jì)賦予的特定功能，同時(shí)又具備所要求的性能水平，則認(rèn)為（部件、設(shè)備或系統(tǒng)的）安全功能是可用的，特別是該系統(tǒng)或設(shè)備功能所必需的儀控設(shè)備和輔助設(shè)備是可用的。安全功能不能滿足上述可用性定義中規(guī)定的所有條件時(shí)，則視其為不可用。所有與各個運(yùn)行模式（狀態(tài)）相關(guān)的安全要求不一致的情況（要求的安全功能的不可用，或超出正常運(yùn)行限值）均被稱為“事件”。通常也簡稱“不可用”“I0”。

不可用事件由4部分內(nèi)容組成：事件、初始運(yùn)行狀態(tài)、退防狀態(tài)、退防時(shí)限。I0分為兩組，第一組和第二組，會導(dǎo)致三道屏障（燃料包殼、一回路壓力邊界、反應(yīng)堆廠房）損壞的風(fēng)險(xiǎn)增加的I0屬于第一組I0，不屬于第一組的I0屬于第二組。I0按性質(zhì)又分為隨機(jī)I0、計(jì)劃I0和其他I0。

2 核電廠I0管理總體原則

2.1 核安全法規(guī)要求與電廠管理要求

《核安全法》規(guī)定核設(shè)施營運(yùn)單位取得核設(shè)施運(yùn)行許可證后，應(yīng)當(dāng)按照許可證的規(guī)定運(yùn)行。國務(wù)院核安全監(jiān)督管理部門和其他有關(guān)部門應(yīng)當(dāng)對從事核安全活動單位遵守核安全法律、行政法規(guī)、規(guī)章和標(biāo)準(zhǔn)的情況進(jìn)行監(jiān)督檢查。國務(wù)院核安全監(jiān)督管理部門或者其派出機(jī)構(gòu)應(yīng)當(dāng)向核設(shè)施建造、運(yùn)行、退役等現(xiàn)場派遣監(jiān)督檢查人員，進(jìn)行核安全監(jiān)督檢查［2］。《核動力廠運(yùn)行安全規(guī)定》規(guī)定營運(yùn)單位必須對安全重要的記錄和報(bào)告進(jìn)行控制管理，要求其必須符合核動力廠質(zhì)量保證有關(guān)法規(guī)的要求［3］。

《核電廠運(yùn)行質(zhì)量保證大綱》明確運(yùn)行技術(shù)規(guī)范作為確保機(jī)組核安全的基本要求，在生產(chǎn)運(yùn)行活動中各條款必須得到高度的重視并嚴(yán)格貫徹執(zhí)行；運(yùn)行值長負(fù)責(zé)組織運(yùn)行值實(shí)施各項(xiàng)生產(chǎn)運(yùn)行活動，確保機(jī)組的運(yùn)行活動符合運(yùn)行技術(shù)規(guī)范和電廠管理程序要求；主控制室操縱員在值長的領(lǐng)導(dǎo)下，根據(jù)運(yùn)行技術(shù)規(guī)格書和運(yùn)行規(guī)程，管理和執(zhí)行主控室的所有操作；核安全監(jiān)督工程師負(fù)責(zé)按照核安全法規(guī)、最終安全分析報(bào)告和運(yùn)行技術(shù)規(guī)格書的要求，對電廠生產(chǎn)活動實(shí)施核安全監(jiān)督管理。［4］

2.2 I0產(chǎn)生

核電廠在運(yùn)行期間，必須滿足運(yùn)行技術(shù)規(guī)范的要求，必須符合當(dāng)前標(biāo)準(zhǔn)運(yùn)行狀態(tài)所要求的可用系統(tǒng)設(shè)備配置。當(dāng)班運(yùn)行主控室操縱人員的一項(xiàng)職責(zé)是識別與診斷出不滿足運(yùn)行技術(shù)規(guī)范要求的系統(tǒng)設(shè)備不可用。工作人員可以通過定期試驗(yàn)、報(bào)警信號、監(jiān)督檢查、預(yù)防性維修等任何方法發(fā)現(xiàn)系統(tǒng)設(shè)備不可用。

2.3 I0記錄與響應(yīng)

當(dāng)確定系統(tǒng)設(shè)備不可用后，工作人員需要按要求記錄I0，并采取事件要求的措施，保證機(jī)組處于滿足運(yùn)行技術(shù)規(guī)范要求的安全狀態(tài)。記錄與響應(yīng)要求如下：

（1）I0產(chǎn)生時(shí)，工作人員需在運(yùn)行日志電子系統(tǒng)中及時(shí)記錄事件。I0記錄一般包含事件（事件原因與內(nèi)容）、初始運(yùn)行狀態(tài)（開始狀態(tài)）、退防狀態(tài)、退防時(shí)限、開始時(shí)間、結(jié)束時(shí)間、組別、性質(zhì)、設(shè)備代碼、事件代碼等。

（2）一旦發(fā)現(xiàn)一個設(shè)備不可用時(shí)，核電廠必須確保其冗余設(shè)備的可用性。

（3）產(chǎn)生多個I0時(shí)，核電廠必須遵照運(yùn)行技術(shù)規(guī)范規(guī)定進(jìn)行多個事件累計(jì)，并采取相應(yīng)的措施。

（4）當(dāng)不可用設(shè)備或系統(tǒng)的維修已結(jié)束，且再鑒定試驗(yàn)的結(jié)果滿足要求，或者反應(yīng)堆已達(dá)到不需要該設(shè)備或系統(tǒng)的安全狀態(tài)時(shí)，就意味著該事件已結(jié)束。

（5）當(dāng)不可用設(shè)備或系統(tǒng)的維修時(shí)間將超過退防時(shí)限或允許的維修時(shí)間時(shí)，核電廠應(yīng)在盡可能短的時(shí)間內(nèi)實(shí)施后撤或采取相應(yīng)的緩解措施。

（6）達(dá)到退防狀態(tài)后，在核電廠設(shè)備未修復(fù)時(shí)，核電廠應(yīng)維持退防狀態(tài)，不得向其他狀態(tài)轉(zhuǎn)換。

（7）當(dāng)達(dá)到退防時(shí)限要求或檢修時(shí)間超出檢修時(shí)間要求時(shí)，核電廠應(yīng)按照要求進(jìn)行后撤或采取進(jìn)一步措施。當(dāng)不滿足運(yùn)行技術(shù)規(guī)格書要求時(shí)，核電廠需要向國家核安全局報(bào)告執(zhí)照運(yùn)行事件。

3 I0記錄與管理問題

在核電廠進(jìn)行內(nèi)部監(jiān)督檢查以及國家核安全局與地區(qū)監(jiān)督站在對國內(nèi)運(yùn)行核電機(jī)組進(jìn)行專項(xiàng)核安全檢查或臨界前核安全檢查時(shí)，經(jīng)常發(fā)現(xiàn)核電廠營運(yùn)單位在I0記錄與管理上存在不規(guī)范與不正確的問題，涉及事件原因、開始狀態(tài)、退防狀態(tài)、開始時(shí)間、結(jié)束時(shí)間、組別、性質(zhì)、設(shè)備代碼、事件代碼等，詳見表1。

表1 I0記錄問題及原因分析Table 1 The I0 records problem and reason analysis

實(shí)例：（1）某核電廠2號機(jī)組處于NS/SG模式，2018/1/2 7:10至7:58，配合2RCP系統(tǒng)主泵惰走試驗(yàn)，導(dǎo)致3臺主泵停運(yùn)。工作人員記錄第一組計(jì)劃事件RCP6，開始狀態(tài)錯誤地記錄為NS/RRA模式，退防狀態(tài)錯誤地記錄為不適用。（2）某核電廠1號機(jī)組2018/12/3 14:11至15:16，機(jī)組處于RP模式，執(zhí)行試驗(yàn)PT1LLS002，關(guān)閉2RIS274VB，導(dǎo)致水壓試驗(yàn)泵不可用。工作人員記錄第一組計(jì)劃事件RIS5，事件原因描述“關(guān)閉2RIS274VB”與《安全相關(guān)系統(tǒng)和設(shè)備定期試驗(yàn)監(jiān)督要求》中的描述“LLS002JS斷開”不符。（3）某核電廠2號機(jī)組2016年，有些I0記錄時(shí)開始時(shí)間/消除時(shí)間記錄錯誤，開始時(shí)間大于或等于消除時(shí)間，例如事件REN1，執(zhí)行PT2RPB040導(dǎo)致硼表不可用，開始時(shí)間2016/4/11 20:00，結(jié)束時(shí)間2016/4/11 08:06。

4 問題分析與改進(jìn)

4.1 I0記錄管理分析與改進(jìn)

上述I0記錄問題可分為I0記錄不規(guī)范和I0記錄不正確兩類，下面本文分別進(jìn)行分析并提出改進(jìn)建議。

I0記錄不規(guī)范和I0記錄不正確問題源于記錄人員的人因失誤。核電廠人因失誤中分為技能型失誤、規(guī)則型失誤和知識型失誤［5］。技能型失誤是指在進(jìn)行一些經(jīng)常的、簡單的、熟練的操作過程中所犯的錯誤。導(dǎo)致這類失誤的原因通常是注意力不集中，或注意力僅集中于某一點(diǎn)而忽視其他方面。規(guī)則型失誤是指按規(guī)則進(jìn)行操作時(shí)所犯的失誤，主要是由于運(yùn)行技術(shù)規(guī)范中有些I0的規(guī)定不夠清晰導(dǎo)致進(jìn)行I0記錄時(shí)不統(tǒng)一或不規(guī)范。知識型失誤是指人們通過分析、判斷來解決問題的過程中所犯的失誤。這類失誤通常是由于工作人員的知識欠缺、經(jīng)驗(yàn)不足、成見或偏見等因素造成。

4.1.1 I0記錄不規(guī)范

I0記錄問題中大多數(shù)為記錄不規(guī)范問題，分析其原因主要涉及人員行為不足和技術(shù)規(guī)定要求不明確兩個方面，對應(yīng)技能型失誤和規(guī)則型失誤。

I0記錄不規(guī)范問題涉及：機(jī)組號記錄錯誤、事件的技術(shù)規(guī)范代碼錯誤、同一個事件對應(yīng)的設(shè)備編碼記錄不統(tǒng)一或設(shè)備編碼有誤、導(dǎo)致設(shè)備不可用的原因不正確或不清晰、開始狀態(tài)填寫錯誤、退防狀態(tài)填寫錯誤、開始時(shí)間填寫錯誤、退防時(shí)限填寫錯誤、結(jié)束時(shí)間填寫錯誤、事件性質(zhì)填寫錯誤、事件組別填寫錯誤。這些問題中大部分屬于技能型失誤，其余部分屬于規(guī)則型失誤。當(dāng)技術(shù)文件與管理要求等規(guī)則明確之后，這些規(guī)則型失誤則變成技能型失誤。

國內(nèi)有些核電廠機(jī)組的運(yùn)行技術(shù)規(guī)范中每個事件的組別沒有單獨(dú)明確，按照退防時(shí)限或維修時(shí)限的長短來確定，小于15天的為第一組，大于等于15天的為第二組，一些有特別注釋說明的以注釋說明為準(zhǔn)。這里存在一些問題：有些事件沒有退防時(shí)限或維修時(shí)限，但有一些補(bǔ)充要求，使得這些事件的退防時(shí)限和組別變得不清晰，也就是規(guī)則不明確。例如功率運(yùn)行狀態(tài)下硼表不可用的技術(shù)規(guī)范代碼為REN1，退防狀態(tài)不適用，退防時(shí)限無，但有兩條補(bǔ)充要求“（1）停止任何稀釋操作，但控制棒處于自動控制模式下穩(wěn)定功率運(yùn)行時(shí)除外；（2）必須每8小時(shí)對主回路冷卻劑的硼濃度進(jìn)行手動取樣分析”。這就帶來兩個問題：一是退防時(shí)限如何記錄，有的認(rèn)為是“不適用”或“無”，有的則認(rèn)為是8小時(shí)；二是組別如何記錄，屬于第一組還是第二組。技術(shù)規(guī)定條款的不清晰可能導(dǎo)致I0記錄出現(xiàn)不規(guī)范或不統(tǒng)一。因此，核電廠需要對運(yùn)行技術(shù)規(guī)范進(jìn)行優(yōu)化完善，對不清晰的技術(shù)規(guī)定條款進(jìn)行明確。

事件原因記錄不規(guī)范問題，主要是由于一項(xiàng)工作的多個操作步驟均會導(dǎo)致事件的產(chǎn)生，不同的人在記錄這個事件時(shí)會有不同的描述，建議事件原因填寫導(dǎo)致產(chǎn)生事件的第一個操作步驟事項(xiàng)。

減少和避免I0記錄不規(guī)范問題，一方面可以通過使用防人因失誤工具——自檢、遵守和使用規(guī)程、不確定時(shí)暫停、他檢以及獨(dú)立驗(yàn)證，另一方面在技術(shù)文件和管理上進(jìn)行優(yōu)化，修訂運(yùn)行技術(shù)規(guī)范，編制并完善相關(guān)的管理程序和管理通告等。此外，運(yùn)行部門定期或不定期開展I0記錄自查工作，以及核安全監(jiān)督部門定期或不定期獨(dú)立核查I0記錄情況也可以減少和避免I0記錄不規(guī)范問題。

4.1.2 I0記錄不正確

I0記錄不正確問題的原因主要是人員行為不足和人員知識技能不足，這兩方面不足對應(yīng)技能型失誤和知識型失誤。

I0性質(zhì)的記錄不正確的原因在于：一是對計(jì)劃性I0的理解不夠充分，認(rèn)為只要是計(jì)劃提前安排的工作產(chǎn)生的I0就是計(jì)劃性的；二是多項(xiàng)工作同時(shí)開展產(chǎn)生的I0性質(zhì)不明確，即同時(shí)開展糾正性維修工作和預(yù)防性維修工作，產(chǎn)生的I0是屬于計(jì)劃I0還是隨機(jī)I0不太明確。對于以上情況，對應(yīng)的一種管理方式是：凡是同時(shí)開展糾正性維修工作和預(yù)防性維修工作，產(chǎn)生的事件均屬于隨機(jī)事件。另一種管理方式是：根據(jù)故障缺陷的影響開展維修工作的時(shí)機(jī)進(jìn)行分別考慮，當(dāng)缺陷未立即導(dǎo)致設(shè)備不可用，維修工作與預(yù)防項(xiàng)目一起開展時(shí)，產(chǎn)生的I0性質(zhì)為計(jì)劃性；當(dāng)缺陷立即導(dǎo)致設(shè)備不可用，必須立即記錄隨機(jī)I0，后續(xù)的檢修導(dǎo)致的I0也是隨機(jī)性，無論是否與預(yù)防性維修項(xiàng)目同時(shí)開展，都是隨機(jī)性的。

I0記錄不正確的一種特別情況是未按要求記錄事件，包含I0記錄遺漏和未識別出事件兩種情形。未識別出事件情況實(shí)例：2020年1月國內(nèi)某核電廠2號機(jī)組核島400 V調(diào)壓變壓器配電盤C相6個調(diào)壓臂中的主調(diào)壓臂不動作，配電盤就地C相電壓正常，認(rèn)為核島400 V調(diào)壓變壓器配電盤可用，之后，檢查確認(rèn)不能正常響應(yīng)電壓變化，確認(rèn)核島400 V調(diào)壓變壓器配電盤不可用，導(dǎo)致一起執(zhí)照運(yùn)行事件——某核電廠2號機(jī)組存在第一組事件情況下執(zhí)行產(chǎn)生第一組事件的定期試驗(yàn)導(dǎo)致不滿足運(yùn)行技術(shù)規(guī)范要求。該事件的直接原因是維修人員沒有準(zhǔn)確判斷調(diào)壓變壓器已失去調(diào)壓功能，導(dǎo)致運(yùn)行人員沒有及時(shí)記錄核島400 V調(diào)壓變壓器核電廠的第一組I0。根本原因是相關(guān)部門在核島400 V調(diào)壓變壓器的可用性管理方面存在不足。

如何才能避免因?yàn)槲醋R別出事件而未能及時(shí)正確地記錄事件導(dǎo)致發(fā)生違反運(yùn)行技術(shù)規(guī)格書的執(zhí)照運(yùn)行事件呢？核電廠首先應(yīng)通過巡檢、試驗(yàn)等各種方式及時(shí)發(fā)現(xiàn)系統(tǒng)設(shè)備的故障和缺陷，對缺陷保持敏感；其次，應(yīng)全面分析缺陷故障對系統(tǒng)設(shè)備實(shí)現(xiàn)其功能的影響，正確判斷系統(tǒng)設(shè)備的可用性。設(shè)備可用性判定需要建立一套有效可行的管理流程，避免因個人知識和技能不全面導(dǎo)致判斷不準(zhǔn)確。

4.1.3 可用性判定

主控室是核電廠機(jī)組信息收集中心，當(dāng)出現(xiàn)導(dǎo)致或可能導(dǎo)致產(chǎn)生I0的故障，主控室應(yīng)判斷是否導(dǎo)致產(chǎn)生I0，若不能做出判斷則立即啟動設(shè)備可用性判定流程，由運(yùn)行人員、維修人員、技術(shù)人員、核安全監(jiān)督人員等專業(yè)人員給出分析與結(jié)論。這樣可以避免和減少在I0分析判斷過程中出現(xiàn)失誤。在可用性判定過程中，當(dāng)班值長和核安全監(jiān)督工程師可以做出正確判斷的前提條件是維修人員或技術(shù)人員對故障的檢查、描述與分析必須全面和客觀。同時(shí)，這里需要注意的是，主控室人員在知道系統(tǒng)設(shè)備故障后做初步判斷是否導(dǎo)致產(chǎn)生I0時(shí)應(yīng)該保守決策，否則可能錯誤地確定不會導(dǎo)致產(chǎn)生I0，并決定不啟動可用性判定流程。

判斷設(shè)備可用性的一般原則，或者是需要考慮的因素有以下幾個方面：設(shè)備是否可以實(shí)現(xiàn)其安全功能；設(shè)備是否被斷電隔離；設(shè)備性能是否完好；設(shè)備的支持系統(tǒng)是否可用；設(shè)備的重要監(jiān)視儀表是否可用（能夠證明測量參數(shù)在要求范圍之內(nèi)的情況除外）；設(shè)備的動作邏輯（起、停、開、關(guān)等）功能是否完好；設(shè)備的狀態(tài)是否發(fā)生改變；需要投運(yùn)該設(shè)備時(shí)是否需要現(xiàn)場操作；能夠無延時(shí)地執(zhí)行其功能；是否在規(guī)定的期限內(nèi)（允許25%的裕度）完成定期試驗(yàn)監(jiān)督大綱規(guī)定的定期試驗(yàn)項(xiàng)目；定期試驗(yàn)結(jié)果是否滿足驗(yàn)收準(zhǔn)則。當(dāng)任意一項(xiàng)不滿足或不肯定時(shí)，就需要考慮啟用設(shè)備可用性判定流程。本文建議核電廠編制和完善《運(yùn)行技術(shù)規(guī)格書遵守》管理程序和相應(yīng)管理通告、技術(shù)通告等，特別是關(guān)于系統(tǒng)設(shè)備可用性判定流程。

4.2 影響I0記錄的其他因素

世界核運(yùn)營者協(xié)會為衡量核電廠在安全性、可靠性以及人員安全方面的業(yè)績制訂了一套量化的指標(biāo)——WANO指標(biāo)。我國為了更好地維護(hù)核電廠安全，保證核電廠安全、穩(wěn)定、可靠運(yùn)行，確保核電廠運(yùn)行期間公眾的輻射健康與安全，建立了運(yùn)行安全性能指標(biāo)體系［6］。這些指標(biāo)涉及安全系統(tǒng)不可用相關(guān)指標(biāo)。在實(shí)踐中，核電廠要避免為了取得好的指標(biāo)排名或者因?yàn)楣緝?nèi)部考核，而不能如實(shí)地、正確地記錄I0。

核電廠應(yīng)加強(qiáng)管理，推崇開放透明的核安全文化，定期或不定期地學(xué)習(xí)與宣貫相應(yīng)的管理程序和管理通告；從根本上減少系統(tǒng)設(shè)備不可用的產(chǎn)生；從運(yùn)行管理、檢修質(zhì)量、設(shè)備質(zhì)量、備件質(zhì)量等方面考慮，減少設(shè)備故障和重復(fù)維修，保證設(shè)備可靠運(yùn)行，從而保證核電廠機(jī)組安全、穩(wěn)定、可靠運(yùn)行，提高核電廠業(yè)績。

5 結(jié)論

本文提出了運(yùn)行核電廠關(guān)于系統(tǒng)設(shè)備不可用I0記錄和管理上存在的問題，詳細(xì)分析了問題產(chǎn)生的原因和影響因素，并針對各類問題給出了改進(jìn)建議。這些改進(jìn)建議的實(shí)施可以使核電廠的I0記錄與管理日趨完善，保證運(yùn)行技術(shù)規(guī)格書得到遵守，核電廠機(jī)組運(yùn)行安全得到保證。本文對運(yùn)行核電廠尤其是新建成的運(yùn)行核電廠的運(yùn)行管理有一定的借鑒意義，也對核安全監(jiān)督管理部門對核電廠的監(jiān)督管理有一定的參考意義。I0記錄還涉及限制條件相關(guān)的I0記錄問題，有待核電廠、設(shè)計(jì)院及核安全監(jiān)督管理部門進(jìn)一步溝通對相應(yīng)的管理要求進(jìn)行優(yōu)化與完善。