核安全工程师考试案例分析(第一章)-王秀清.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,全国注册核安全工程师培训 核安全案例分析,核反应堆工程案例,王秀清,2007年5月29日,1,核电厂全景,2,核电厂堆芯熔化事故风险,/堆-年,3,核电厂安全案例分析,前言,一 背景知识,二 案例分析,4,前言,核电厂和其它工业生产活动一样，不可避免地会发生设备失效、人员差错、意外、灾害等事件。,核能：,最危险/最安全的能源，一种事物矛盾体的两方面,核电厂严重事故后果可以引发世界性灾难；核能是世界公认有发展,前途的清洁能源。,核电厂安全,：取决于人类智慧和驾驭核能的能力,核电厂经验反馈/案例分析,：化

2、废为宝；吃一堑长一智把灾害变成财富的手段,-也是核电厂安全水平和经济效益提高的驱动力：,经验反馈；科技进步,是核电厂性能不断改进的两只车轮。,如：,核电厂经验,一万堆-年；,容量因子提高 20%。,5,背景知识,1 纵深防御,2 监督管理,3 分析方法,6,纵深防御,定义：,采用纵深防御概念是为了对潜在的人员差错和设备故障加以补偿，此概念的核心是提供多层保护，包括前后设置多层防止放射性物质向环境释放的屏障。它也包括在这些屏障不能完全起作用时为保护公众和环境免受危害而进一步采取各项措施。,7,纵深防御,(1),第一层次防御,的目的是,防止,偏离正常运行及防止系统失效。,(2),第二层次防御,的目

3、的是,检测和纠正,偏离正常运行状态，以防止,预计运行事件,升级为事故工况。,(3),设置第三层次,防御是基于以下假定：尽管极少可能，某些预计运行事件或假设始发事件的升级仍有可能未被前一层次防御所制止，而演变成一种,较严重的事件,。这些不大可能的事件在核动力厂设计基准中是,可预计,的，并且必须通过固有安全特性、故障安全设计、附加的设备和规程来,控制这些事件的后果,，使核动力厂在这些事件后达到稳定的、可接受的状态。,(4),第四层次防御,的目的是针对设计基准可能已被超过的,严重事故,的，并保证放射性释放保持在尽实际可能的低。这一层次最重要的目的是,保护包容功能。,(5),第五层次,，即最后层次防御

4、的目的是减轻可能由事故工况引起潜在的放射性物质释放造成的放射性后果。这方面要求有适当装备的应急控制中心及厂内、厂外,应急响应计划,。,8,监督管理,（1）监管方式,（2）报告制度,（3）事件分级,9,监管方式,中国核安全局；,美国核管会官员和委员会,北京；,Washington DC,监管的执行和检查,集中在四个地区办公室，该办公室有长驻每个核电反应堆的监督员；,Atlanta,东南地区（地区,IV）,总负责四个地区工作。,北京;上海;广东;成都；西北；东北六个监督站,有长驻每个核电厂的监督员。,10,监管方式,NRC,新的核电厂监督程序,检查集中于潜在风险大的活动；,加大对有行为问题的核电厂

5、的监督管理，对行为良好的核电厂予以一般地关注；,使用核电厂行为的客观性测度；,给公众和核工业双方以及时和合理的电厂行为评价；,减少核设施非必要的监督管理负担；,以预先发现和坚定执行的态度对待违反法规行为，强调违反法规的潜在安全隐患。,11,监管方式,NRC,新的核电厂监督程序,建立安全运行基石,监督三个领域内的行为：,反应堆安全性（避免事故和一旦发生减轻事故后果）；,辐射安全（电厂运行时保护电厂工作人员和公众）；,电厂防灾或其他安全威胁的防护。,12,监管方式,NRC,新的核电厂监督程序,建立安全运行基石,1,初始事件：该基石着重于核电厂的运行和事件，如果电厂安全系统不介入，这些事件可能导致事

6、故。这些事件包括设备失效导致电厂停堆，非予期的复杂化停堆或电厂功率大的变化。,2,缓解系统：该基石测度为防止事故或减轻可能事故后果而设计的安全系统功能。通过周期试验和性能测试检查这些设备。,3,屏蔽完整性：反应堆燃料高强度辐射物质和厂外公众及环境之间有三个重要屏蔽。这些屏蔽是装有燃料芯片的密封燃料棒，重的钢反应堆容器和相关管道，包容反应堆的予应力混凝土安全壳。用泄漏来连续检测燃料棒，压力容器和管道的完整性；按照规范检测安全壳防泄漏能力。,4,应急准备：要求每一个核电厂备有对可能事故做出反应的综合应急计划。该基本点测度电厂人员执行应急计划的有效性，演练期间应该包括电厂人员、本地、州和联邦当局参加

7、13,监管方式,NRC,新的核电厂监督程序,建立安全运行基石,5,公众辐射安全：该基石测度为保持正常运行期间从核电厂释放的放射性为最小而设计的程序和系统，并且保持这些释放在联邦限制之内。,6,厂区的辐射安全：,NRC,法规设置了电厂工作人员所接受的辐射剂量限值，该基石为控制和保持这些剂量为最小的电厂大纲有效性。,7,实体保卫：要求核电厂必须有经过良好培训的安全保卫人员和各种防护系统来保卫重要电厂设备，同时岗位责任大纲保障雇员上岗要坚持通过毒品和酒精测试。该基石测度安全保卫和岗位责任大纲的有效性。,14,监管方式,NRC,新的核电厂监督程序,实时、客观公正监管,设计这些客观准则目的是根据既定

8、的安全裕量指出其风险，并且使用一组颜色标识系统将其标出。,“绿色”,标识表示行为在所期望的等级之内，满足相关基石目标；,“白色”,表示行为超出核电厂正常行为所期望的范围，但是还满足相关基石目标；,“黄色”,表示满足相关基石目标，但是安全裕量稍微下降；,“红色”,表示行为指标所测度的领域安全裕量相当大的下降。,每个核电厂以季度为单位向,NRC,报告行为指标。,NRC,官员将其编辑和审查后，将在,NRC,网站发布这些行为指标。,15,报告制度,核电厂事件通告,A.,口头通告，营运单位必须在事件发生后24小时内口头,通告,国家核安全局和所在地区监督站。,B.,书面通告，营运单位必须在事件发生后三天内

9、向国家核安全局和所在地区监督站递交书面,通告,。,16,报告制度,核电厂事件报告,A.,报告的方式和时间,营运单位应以公函形式在事件发生30天内向国家核安全局和所在地区监督站递交事件报告。,B.,事件报告内容,核电厂名称和核电机组编号、事件报告编号、事件通告编号、事件名称、始发事件、事件发生时间和结束时间、报告日期、报告人、报告准则、补充报告、事件发生前机组状态和功率水平、事件对运行的影响和事件后功率水平、放射性后果、安全评定、报告摘要、报告正文等共16项。,17,报告制度,核电厂事件报告准则,A,违反核动力厂技术规格书的事件,i.,核动力厂技术规格书要求停堆事件；,ii.,违反核动力厂技术规

10、格书的运行事件。,B,导致核电厂安全屏障或重要设备的性能受到严重损害或出现下列工况的事件,i.,明显危害安全的没有分析过的工况；,ii.,超出核电厂设计基准的工况；,iii.,在核电厂运行规程或应急规程中没有考虑的工况。,C,对核动力厂安全有现实威胁或明显妨碍核电厂值班人员完成安全运行的自然事件和其他外部事件,D,导致专设安全设施和反应堆保护系统自动或手动触发事件（预先安排的这类试验除 外）,18,报告制度,E,任何可能妨害构筑物或系统实现下列,安全功能,的事件,i.,停堆和保持安全停堆状态；,ii.,排出堆芯余热；,iii.,控制放射性物质释放；,iv.,缓解事故后果,这里不包括在同一系统中

11、冗余或备用设备能够完成所要求功能而个别部件出故障。,F,导致多个独立的具有下列功能的系统、序列或通道同时失效的共因事件,i.,停堆和保持安全停堆状态；,ii.,排出堆芯余热；,iii.,控制放射性物质释放；,G,放射性失去控制的事件；,H,对核电厂安全有现实威胁或明显妨碍值班人员安全运行的内部事件；,I,其他事件。,19,事件分级,INES,（INES:The International Nuclear Event Scale Users Manual）,是国际原子能机构和经济合作与发展组织核能机构，为便于核工业界、新闻媒介和公众之间对核事件的信息沟通而制定的,国际核事件分级管理办法,，同时建

12、立,事件报告系统。,国际原子能机构要求各成员国在发生2级和2级以上核事件以及引起新闻媒介和公众关注的核事件时，迅速定级并在24小时内通告国际原子能机构。,该分级把事件分成七个等级。,较低的级别（1-3级）称为事件；,而较高的级别（4-7级）称为事故；,安全上无重要意义的事件定为低于1级或称零级，并称为偏离。,与安全无关的事件称为分级范围之外事件。,20,事件分级,21,分析方法,引言,（1）,核事件评定程序,（2）核事件根本原因分析,（3）潜在后果分析,（4）轻微事件和未遂失误倾向分析,22,分析方法,引言,事件分析关注领域,事件物理背景：,安全功能：反应性控制；热量移出；放射性包容。,事件直

13、接原因：,设备缺欠；人员失误；意外、灾害,事件根本原因：,人因；程序；管理；安全文化,23,分析方法,引言,事件分析的材料要求,材料要求是,事件分析的第一步，也是最重要的一步，因为事件分析的正确与否、纠正行动制定的是否合适，都取决于所获得第一手信息的完整性、准确性及客观性。,参考我国核电厂运行事件报告所要求的格式及,IAEA,有关运行事件库的编码，材料应该涉及到以下几方面：,发生了什么（,What）：,停堆或停运类型，停运时间，事件 分类（如事件报告准则等），故障初因事件，事件进展序列，主要的失效（人因及技术），事件后果（对运行的影响，放射性后果，经济损失），事件重要性分级等。,24,分析方法

14、引言,事件分析的材料要求,什么时候发生的（,When,）：,事件发生及结束的日期及时间，当时反应堆所处的状态，事件发生前安全系统的可用性，事件发生时正在进行的活动，人员、规程、设备的可用性冗余系统和设备的可用性等。,在哪里发生的（,Where,）：,所涉及到的厂区、设备等。,涉及到什么人（,Who,）：,事件所涉及到的班组、人员，他们能够,从所得到的教训 中获益。,如何发生的（,How,）：,那些立即产生或导致事件的故障、行动、疏忽或条件。,那些相关的事件（,Which,）：,相关事件的报告等参考资料（即重复发生的事件）。,25,核事件评定程序,1,检查是否与核安全或与放射性安全有关：,工业

15、事故；核事件,2,有关事件需要分别考虑,三个影响准则：,厂外影响,厂内影响,纵深防御,3,选取三者中定级最高者,26,核事件评定程序,1,厂外影响准则,考虑电厂外的实际放射性影响：,释放的放射性总量,或公众个人所受照射量,厂外影响,3-7,级,27,核事件评定程序,2,厂内影响准则,包括三个方面：,放射性释放设施损坏程度,释放或迁移到厂内屏蔽薄弱地点,工作人员的剂量,厂内影响,2-5,级,28,核事件评定程序,3,纵深防御准则,考虑两个因素：,安全措施失效可能发生的最大后果,仍然有效的安全措施的数量及可靠性,纵深防御,0-3,级,29,核事件评定程序,核事件评定程序使用,实例说明：,由于违反规

16、程，某工作人员的事故剂量超过规定年剂量值（,50,mSv,），,但是没有放射性向环境释放。,应用核事件评定程序，确定为下述级别：,准则,1,：无关（无释放）,准则,2,：,2,级（工作人员的事故剂量超过规定年剂量值）,准则,3,：,1,级,（违反规程）。,取这三个准则所定级别中的最高级别，则该事件定为,2,级。,30,核事件评定程序,各级的定义,厂外影响准则,7,级：大量释放,放射性数量,10,16,Bq,I-131.,相当堆芯大部分储量（短、长寿命裂变产物混合物）。,有急性健康影响；大范围（几个国家）慢性影响；长期的环境后果。,31,核事件评定程序,6,级：明显释放,放射性数量相当于,10,

17、15,-10,16,Bq,I-131.,5,级：有限释放,放射性数量相当于,10,14,-10,15,Bq,I-131.,4,级：少量释放,最多,厂外人员受到的剂量为几,mSv,.,3,级：极少量释放,最多,厂外人员受到的剂量为十分之几,mSv,.,32,核事件评定程序,厂内影响准则,5级：反应堆堆芯或辐射屏障的严重损坏,百分之几的燃料熔化或百分之几的堆芯储量已从燃料组件中释放出来,其它设施涉及厂内大量放射性释放 如，大规模临界事故、火灾、或爆炸。,4级：反应堆堆芯或辐射屏障的明显损坏，或工作人员受到致死性照射,任何燃料熔化或约1%堆芯储量从燃料组件中释放出来,其它设施有10,15,Bq,放射

18、性释放且无法返回适当储存区,一个或多个工作人员受到早期死亡的外部照射（5,Gy,）。,33,核事件评定程序,3级：严重的污染扩散，和/或一个工作人员受到急性健康影响的过量照射,一个或多个工作人员受到为1,Gy,照射,操作区的,和中子总剂量率50,mSv,/h,事件,其它设施有10,15,Bq,放射性释放且能返回适当储存区,2级：重大污染扩散和/或工作人员受到过量剂量照射,50,mSv,设计未考虑区域内出现相当数量放射性并要求采取纠正行动，,相当数量,：,10,11,Bq Ru,-106,液体、或固体污染,10,10,Bq,I-131,气体（限于建筑物内）,34,核事件评定程序,纵深防御准则,纵

19、深防御是保守设计、质量保障、监督检查、缓解措施和安全文化的组合。,同时考虑：设备失效、人员差错、意外和灾害。,纵深防御准则分级取决于：,安全功能是否发挥作用；,安全系统的有效性。,保障核电厂安全的安全功能是：,反应性控制；,放射性物质得到足够冷却；,放射性物质的包容。,35,核事件评定程序,按,纵深防御准则分级两种方法,：,1,适用于：,始发事件的进程已在安全分析中提供，可以对处理这些始发事件的安全系统可用性进行分析。适用在功率运行时发生的事件。,定级依据：,处理事件安全系统的可用性；事件发生频率。,2,适用于：,安全问题要依据防止事件发生的系统和控制来作出评估；不能够对始发事件和安全系统的可

20、用性分开进行评价。一般是指有较常时间采取纠正行为的场合。处理这种事件的安全系统通常依靠行政措施，不是像功率运行时依靠自动快速动作的安全系统。,定级依据：,已经丧失的安全保护层数目，以及事件的潜在严重性。,如：,停堆期间的事件、乏燃料水池的事件、燃料装卸事件、违反排放规定等,36,核事件评定程序,按,纵深防御准则分级的评定程序,1 根据始发事件和安全系统的评定程序,（带功率运行的反应堆事件）,2 根据预防事故系统和行政控制措施的评定程序,低于1级事件：,把,1、2评定程序得不出较高级别的事件应该定义低于1级或0级。如：自动停堆过程正常；不影响核电厂安全和正常投入运行的安全系统误动作；各道屏障无明

21、显性能恶化；计划定期检查或实验时发现冗余系统中单一故障或部件不可运行。,附加因素考虑：,把1、2评定程序得出的定级提高一级的附加因素。,如：共因失效；规程问题；与安全文化有关。,37,核事件根本原因分析,目前各个国家使用的核电厂安全事件根本原因分析方法有十余个,IAEA,推荐的,事故根本原因分析方法,主要有,：,管理疏忽及风险树分析,Management Oversight and Risk Tree Analysis-MORT,安全重大事件评价组,Assessment of Safety Significant Events Team-ASSET,人员行为增强系统,Human Perform

22、ance Enhance System-HPES,38,核事件根本原因分析,管理疏忽及风险树分析（,Management Oversight and Risk Tree Analysis-MORT,）,管理疏忽风险树（,MORT,）,是美国能源部推荐的事故根本原因分析方法，利用一种安全程序和管理系统元素按顺序和逻辑方式排列的流程图，显示出一个动态的、全面的、理想化的安全系统模型的故障树。给出了比较简单的事故分析判断点，使调查分析者能够查出,人员遗漏、疏忽、管理系统缺陷和有关的风险。,优点：,该技术是一个,成熟的技术,，分析对象重点放在整个管理系统，利用,故障树的技术,，提供了多达,1500,个

23、潜在的原因因素，使用屏障分析，识别出管理所考虑的假想风险。,局限：,分析技术较复杂，需要一定的经验，因需要进行广泛的任务分析而耗时较多，对核电厂人员的日常例行调查不太适用。,39,核事件根本原因分析,安全重大事件评价组（,Assessment of Safety Significant Events Team-ASSET,）,ASSET,分析方法是专门为支持,IAEA ASSET,服务所开发出的一个根本原因分析方法，,ASSET,审评队利用该方法审查核电厂所发生的事件，,识别出悬而未决的安全问题,，从而为核电厂管理层加强管理系统预防事件发生提供咨询意见。根据该方法的逻辑，事件的发生总是由于,人

24、员、规程或设备,未能象预期的那样执行任务，其直接原因在于这三方面中所存在的潜在薄弱环节的贡献，其根本原因在于电厂在这三方面的监督大纲中存有缺陷，未能及时去除这些潜在的薄弱环节。这个方法可以被用做为一个框架，指导电厂对事件的调查及分析，以便确定事件的直接及根本原因。,优点：,该方法的重点放在组织管理问题，可以识别出不同管理层次的责任问题的详细原因，从而便于提出纠正措施。,局限：,其术语及根本原因定义不同于其他分析方法，需要有广泛知识基础及实践经验的人员来进行分析，对分析过程中事件信息的收集及处理缺乏足够的指南，其手册中所推荐的过程不容易被遵照执行。,40,核事件根本原因分析,人员行为增强系统（,

25、Human Performance Enhance System-HPES,）,HPES,系统是美国,INPO,多年开发的结果，已经在核工业领域内以不同的形式应用。,HPES,系统是一种综合了许多基本调查过程的方法，其中包括任务分析、变化分析、屏障分析以及事件及原因因素图。,优点：,HPES,提供了一个技术工具箱，是一个世界上广泛应用的成熟的灵活的方法，它将重点放在,人员行为,上，并且对人的行为分析提供了指导。,局限：,需要经验及培训以便能够有效地应用该技术，纠正行动取决于分析人员的经验，没有特别地识别出组织问题，对于事件的快速管理总览可能太过于广泛。,41,核事件根本原因分析,事件根本原因实

26、例：,1 程序潜在问题,低效的程序执行（工作计划和日程，预防维修，自我评价）：,无效的纠正措施（问题反复出现）；,笨拙的处理方式（强制人们按照该处理方式工作，如工作管理，工程设计）。,这就是不用程序来处理事情。例如，从不使用一种发电的漏电平衡单据计算程序，因为该单据长而且复杂。取而代之，操纵员使用另外的，绝对自信的，非书面的一种。,42,核事件根本原因分析,2,操作潜在问题,模糊的操作程序；,操纵员机械地使用程序，甚至当他们知道该程序是错的；缺乏质问主动性；,主要由关注生产的情绪支配着做出决定；,雇员存在极大抵触情绪；,认可并坚持长久性问题没有解决的设备服役；,缺乏开放性；,没有评估电厂物资条

27、件匮乏的总效果,没有评估设备不维修的累积效果；,修改电厂没有秩序,-,程序没有随时改进；,不完善的程序,-,具有隐含工况阶段的程序；,未授权的电厂修改；,处理解决长时期存在的物质问题缺乏紧急感。,43,核事件根本原因分析,3,维修潜在问题,维修项目大量堆积；,推迟维修和预防性维修大量堆积；,不能操作的自动设备；,由于维修错误引发停堆；,缺乏必要资金和物质条件；,不主动处理解决好物质条件问题；,违反即定程序；,处理方式缺乏全局观点。,44,核事件根本原因分析,4,工程潜在问题,供应配置的管理问题；,电厂修改缺乏准备；,运行,/,维修支持不充分；,缺乏质问态度：,操纵员机械地使用程序，甚至当他们知

28、道该程序是错的；缺乏质问主动性；,操纵员由于大意产生错误：,已经公布了操纵员错误的很多例子，像各种原因导致错误地开启或关停水泵；,阀门的状态错误,不恰当培训。,执行设备检查和监督失效：,机组启动期间，很多设备（阀门）必须处在正确位置。现场操纵员使用检查清单，然后在一定时间（周期）内检查该设备状态。,发电机联网以后几天，发现应急给水系统阀门处在错误位置上（关闭）。这个事件违背了技术说明书（,ST,）。,教训是：虽然当设备启动期间从设备检查和监督大纲里会发现这种失误，但是控制室人员没有遵照指令去做。,45,核事件根本原因分析,5,放射性操作潜在问题,缺乏放射性操作的计划和实践；,工人超剂量辐照；,

29、缺乏放射性培训；,放射性辐照和个人污染趋势上升。,46,潜在后果分析,目的：根据实际运行经验，验证核电厂的纵深防御是否有足够的能力对付可能出现的事故（特别是超设计基准事故）；也是运行经验反馈应用的一个非常重要的方面。,三个步骤：,（,1,）确定可能的分析对象（实际或潜在失效的状态；及人员不适宜的行动）；,（,2,）寻找潜在风险过程；,（,3,）评价核电厂纵深防御有效性。,47,潜在后果分析,确定分析对象：,考虑以下两种情况：,1）,已确定的分析对象，这包括：,可能带来其它未经分析风险已确定的分析对象；,实际发生的异常或部分失效转变成潜在的完全失效等。,2）,潜在的分析对象，这包括：,设备潜在的

30、共模失效；,同样的设备失效可能发生在其它安全重要的系统；,电厂人员良好实践或偶然的好的行动不起作用。,48,潜在后果分析,寻找潜在风险过程：,分为两种情况考虑：,正常运行操作,：对于各种有关的正常运行操作，所确定的实际或潜在的分析对象可能会导致后果偏离预定的方向，甚至恶化到不可接受的地步；这些正常运行的操作包括正常运行、维修、定期试验、预期瞬态等。,事故状态下,：在事故状态下，所确定的实际或潜在的分析对象可能会导致加剧不可接受的后果；这些状态包括核电厂设计中所考虑的、类工况，附加超设计基准工况，以及内、外部侵犯等。,此外，还可以根据实际发生的过程还是潜在可能发生的过程来进行潜在风险过程的寻找及

31、确定。,实际过程,：从核电厂实际发生的事件过程出发，考虑可能的条件变化，寻找潜在的不同的发展过程及其风险。,潜在过程,：非真实发生的事件过程，可以在假设的有关正常运行及事故状态条件下，根据真实的事件情况分析可能的发展过程及其风险情况。,49,潜在后果分析,评价核电厂纵深防御有效性及风险：,根据以上确定的潜在风险过程，通过事件树的方法来实现详细的潜在事件序列的构建，以评价有关电厂纵深防御的有效性及风险情况。,其思想是基于,PSA,（,概率安全评价）或安全分析中所考虑的所谓事故的初因事件出发，以与之关联的不可接受的后果（如堆芯熔化）为终，考虑相关的电厂纵深防御（电厂保护系统、工程安全设施、规程以及

32、人员必要的干预等）的有效与否，勾画出事件可能发展的途径及其风险情况。,50,潜在后果分析,予以特别关注的超设计基准事故初因事件,参考初因事件清单如下：,l,丧失一回路冷却剂事故（,LOCA,）；,l,二回路主蒸汽管线断裂（,SSLB,）；,l,蒸汽发生器传热管断裂（,SGTR,），,以及二回路主蒸汽管线断裂（,SSLB,）,+,蒸汽发生器传热管断裂（,SGTR,）；,l,丧失最终热阱（,H1,）；,l,丧失蒸汽发生器给水（,H2,）；,l,全厂断电（,H3,）；,l,未能停堆的预期瞬态（,ATWS,）；,l,一回路瞬态；,l,二回路瞬态；,l,丧失厂外电；,l,丧失压缩空气；,l,硼稀释；,l

33、一回路中环路水位运行时丧失冷却等。,51,潜在后果分析,事件树的构建流程图,初因事件,事件1,事件2,事件3,事件4,事件5,事件6,防线5,防线4,防线3,防线2,防线1,初因事件,后果描述,防线6,成功,成功,成功,成功,成功,成功,失败,失败,失败,失败,失败,失败,1,2,3,4,5,6,7,状态,后果,描述1,描述2,描述3,描述4,描述5,描述6,描述7,52,轻微事件和未遂失误倾向分析,世界运行核电厂经验反馈数据统计表明，核电厂重大事件发生以前，会出现无数个事件发生的先兆。如果，核电厂在重大事件发生前，分析确认的,轻微事件(,low level events),和未遂失误(,n

34、ear misses),倾向,，制定相应纠正措施应该可以避免这些重大事件发生。,介绍一种在核电厂经验反馈分析中，称为,“分析轻微事件和未遂失误倾向提高核电厂安全性能”,的方法，避免运行核电厂重大事件发生和保障核电厂安全，达到防患于未然的目的。简要介绍该方法在核电厂安全监管中的应用。,53,轻微事件和未遂失误倾向分析,1,未遂失误例子,一位操纵员把他的手放置在错误开关上，然而，启动开关以前他立刻意识到他的错误；,透平厂房一位工匠看到一位同伙没有正确使用安全设备和没有执行正确操作。他指出同伙的问题，从而避免了一个潜在安全事故；,一位穿着污染防护服的工匠工作在反应堆堆坑的悬梁上。该工匠滑了一跤，如果

35、他没有系安全带，他可能会坠落到堆坑里；,一位操纵员步行通过电厂，当时他向上看，并且看到了一位工匠从脚手架上踢掉一个工具落下来。操纵员迅速躲避防止了伤害。,这些例子表明未遂失误所发生的是没有后果的事情。如果不是及时采取个别措施的话，事件结果会决然不同。一些业主把未遂失误报告称谓“恰好把握（,good catches,）”，,事实上强调：由于及时察觉和采取个别适当措施防止了一次重大事件。,54,轻微事件和未遂失误倾向分析,2,从未遂失误到轻微事件再到严重事故的演变,分析重大事件和轻微事件或未遂失误的关系，会发现,重大事件，轻微事件和未遂失误全都具有共性：,相同的潜在弱点，该弱点出自于相同的屏障失效

36、和根本原因。所有这些事件不同点仅仅在于它们各自的后果。,正如纵深防御所关注的那样，一项有效纠正措施程序文件可以用在所有级别事件分析上。,关键是确认对共性原因贡献的最大潜在弱点是什么,，并且随后采取有效的纠正措施。照此办法，帮助编排程序和进行倾向分析。,正如所关注单个人为事件那样，可能应当充分的报告和讨论这些事件，因为隔绝起来它们就不会达到需要广泛改进的目的。另一方面，观察到这种事件大量重复发生，这类事件具有共同模式或相同原因也就容易归结于一种更通用的纠正措施。,55,轻微事件和未遂失误倾向分析,图表示,轻微事件到严重事故的演变：,表明一个轻微事件演变到一个更重大事件再到一个严重事故，取决于突破

37、多少道防线。防线包括实体屏障；管理屏障（程序，校验）和正确操作（源于培训，安全文化等综合结果）。,1,从轻微事件到失效，防线（,LOD,）,有作用但是失效了。这些防线是组织机构类型，只能失效时才能研究它们。,2,防线有作用，并且它们一般是成功的。仅能它们失效时研究它们。它们属于组织机构和设计类型。,3,防线不起作用。它们是未知的或许是成功的：这是,PSA,的任务。它们是关系到所有设计类型。,4,防线不起作用。关于它们不是很了解，对它们研究的不充分。稍许了解它们的改进进展。它们一般是设计类型。,56,轻微事件和未遂失误倾向分析,57,轻微事件和未遂失误倾向分析,倾向分析工具,下面说明的分析工具不

38、仅具有适用性，所介绍的也是数据分析成熟技术。,（,1,）,Pareto,图和分析,Pareto,准则是用于演示不平衡分布的一个数学模型。意大利经济学家,V.Pareto,发明了该准则。他观察意大利,20%,的人掌握着,80%,的财富。,V.Pareto,准则（或,80/20,定律）是一种自然存在的客观变化，可以用在任何领域。,V.Pareto,准则帮助我们找到“巨大撞击（,big hitters,）”。,应用,V.Pareto,准则让我们可以集中有限资源来解决,/,改善“巨大撞击”，不然“巨大撞击”会引发严重问题。利用该方法，我们可以使我们致力于改进的效率最大化。,进行,V.Pareto,分析

39、的六个阶段：,1),收集数据（来源于初始条件报告,CR,）；,2),范畴数据,/,问题（根据初始目标的倾向范畴体系）；,3),说明时间周期（即，一个月）；,4),计算每个范畴的累计百分比，,%=,局部,/,总量；,5),按照递减序列排列每一个范畴,一个,V.Pareto,图描绘出问题或给出限制范畴。按照递减序列绘制出问题范畴。因为该图不能表示数据如何随时间变化，因此，仅仅确认“巨大撞击”范畴，一般按照前,6-12,个月绘出每个范畴。,6),问题范畴确认办法是与总量的,80%,相比较（或近似,80%,）,使用,Pareto,准则必须要有一个问题范畴的浓集度，如果问题分布相等，就不能使用,80/2

40、0,定律。,58,轻微事件和未遂失误倾向分析,（,2,）,控制图,1),控制图是一个管理工具，该工具展示一段时间测度的结果随着限值上下统计决定。该工具可以用在人因和设备性能两种问题上。,2),估价每一个参数（即，运行或设计过程的配置控制、工程或物质条件的配置控制），确定一段时间,初始条件报告,的平均值（即，,6,个月）；,3),确定,初始条件报告数据组的标准偏差。标准偏差是平均值离散度大小的量度。样本统计偏差计算,(,STDVEP),中,可以使用,Excel,软件的统计功能。,4),当初始条件报告参数的数量大于（或小于）,2,个标准偏差高于（或低于）平均值，这个区域面积应该进一步审查,/,分析

41、以便确定偏差的潜在因素。,如果有足够的数据能够确定合理的平均值和标准偏差，可以使用专业判断做出倾向结论。,59,轻微事件和未遂失误倾向分析,（,3,）,倾向图示法,倾向分析可以使用相应图示方法和,/,或倾向数据计算方法，来确定是否存在潜在倾向。倾向分析专家分析这些领域的有用数据，确认那些领域需要更详细研究。如果确认系统、项目或组织机构倾向，分析专家应当审查特定领域关注点的有用数据。,为了提供更实用分析倾向，分析专家会按次序把数据格式化，应用格式化方法会使得确认更清晰。例如，当分析一个部门事件历史时，选择规格化人因误差率来计算人,-,小时工作量。,60,案例分析,1 三哩岛事故,2 切尔诺贝利

42、事故,3 其它,61,案例分析,三哩岛事故,事故背景,核电机组：,Babcock%Wilcox(,B&W),公司；两环路4台冷却剂泵；961,MWe97%,功率运行；压力152,bar：,高压安注系统：,数台安注泵；自动启动压力（冷却剂系统压力）110,bar；,关闭压力197,bar；,安注箱（堆芯再淹没系统）,：,冷却剂系统压力下降到41,bar,自动启动；,低压安注系统：,冷却剂系统压力下降28,bar,自动启动,；,堆芯剩余释热：,停堆时间,MW(t),1,分 97,1,小时 36,1 天 13,1 周 51,1 月 21,62,三哩岛冷却剂系统图,63,三哩岛核电厂2#机组反应堆图,

43、64,案例分析,三哩岛事故,第1阶段,始发事件,1979年3月28日 04：00：37,am,二回路所有主给水泵停转；主汽轮机停转；,36秒 冷却剂系统压力,155,bar；,冷却剂系统泄压阀开启；,8秒,冷却剂系统压力,162,bar；,引发反应堆紧急停堆；,辅助给水泵启动；,但是，泵和蒸气发生器之间的阀门处在关闭状态；,2分4秒,反应堆冷却剂系统压力下降到110,bar；,高压安注系统启动,；,稳压器水位上升。,65,案例分析,三哩岛事故,第2阶段,小破口失水,13秒 反应堆冷却剂系统压力下降到,152,bar,减压阀自动关闭整定值；,但是，泄压阀没有关闭；,6分,稳压器气囊消失；反应堆冷

44、却剂泄压箱压力迅速上升,；,7分43秒 污水泵启动把反应堆污水坑水排到辅助厂房废水箱；,8分 蒸汽发生器干涸；操纵员发现辅助给水阀门关闭，开启阀门；,18分 通风系统测得气体放射性急剧增加；,反应堆冷却剂系统压力仅有83,bar,；,66,案例分析,三哩岛事故,第3阶段,小破口失水，连续泄压,20分1小时 反应堆冷却剂系统,70,bar，,温度290,o,C,；,核燃料尚未大量破损；,1小时14分 冷却剂泵,B,震动，,操纵员关闭冷却剂泵,B；,环路中存在气体空间冷却剂无法形成自然循环；,1小时40分 冷却剂泵,A,震动，,操纵员关闭冷却剂泵,A；,环路中存在气体空间冷却剂无法形成自然循环；,

45、冷却剂高出堆芯顶部30厘米；堆芯升温瞬变开始,；,67,案例分析,三哩岛事故,第4阶段,堆芯升温瞬变,1小时50分（110分）,堆芯元件第一次裸露,；,2小时18分（138分）操纵员发现卸压阀卡开，关闭卸压阀的截止阀；,但是没有加大高压安注，事故继续；,2小时55分（175分）宣布厂区应急；放射性监测报警；,堆芯部分燃料烧毁；,3小时20分7小时（200分-420分）；,冷却剂泵没有运行；堆芯15米裸露1小时燃料大量烧毁；,68,案例分析,三哩岛事故,第5阶段,持续泄压,7小时38分,操纵员打开卸压阀的截止阀，关小高压安注；失去冷却剂引起第二次堆芯裸露；,8小时41分,反应堆冷却剂系统达到41

46、bar；,安注箱注水；但是很小，操纵员认为堆芯被注满水,；,9小时50分 氢爆脉冲；安全壳喷淋6分钟；,反应堆冷却剂系统减压至30,bar；,操纵员减压投入低压安注系统失败（28,bar）,；,11,小时08分 操纵员关闭卸压阀；,有2小时安注箱停止注水；高压安注小流量；蒸汽发生器不能使冷却剂形成自然循环；堆芯长时间失去任何冷却手段；第三次堆芯裸露；,69,案例分析,三哩岛事故,第6阶段,增压和最终确立稳态冷却,13小时51分操纵员从新关闭卸压阀截止阀；加大高压安注流量；结束堆芯第三次裸露；,15小时51分 成功启动环路,A,的一台冷却剂泵；热管温度,293,o,C,冷管温度 205,o,C

47、流体经过蒸汽发生器；反应堆冷却剂系统恢复移出衰变热的能力。,70,案例分析,三哩岛事故,事故后果：,堆芯3次裸露；锆包壳总量的30%-40%被氧化；堆芯上部1/3严重损坏；,放射性惰性气体的30%-40%被释放；10%-15%的碘、锶、艳从燃料中释放；但是被安全壳包容，少量释放到环境；,半径80公里范围200万居民的集体剂量当量约,20人,Sv,；,最大个人计量1,mSv,；,名工作人员收照射分别38、34、31,mSv,；,巨大经济后果：经济损失200亿美元以上，美国核电工业推迟20年。,71,案例分析,三哩岛事故,物理背景：,堆芯衰变热移出的反应堆安全功能失效，引发反应堆严重事故；,

48、直接原因：,稳压器卸压阀故障；操纵员判断、操作失误；,根本原因：,反应堆设计,；,设备质量保证；人员培训；人机接口（人因工程）；检修规程；经验反馈：,1977年9月美国,Ohio,州,Oak Harbor,市,Davis-,Besse,核,电厂发生类似瞬态事件，但是，事故21分钟，操纵员正确判断稳压器卸压阀卡开，他们关闭了下游连接的截止阀 从而结束事故。该核电机组也是由,B&W,公司设计的相同型号的核电机组。,改正措施：,操纵员模拟机培训；按照人因工程设计主控室；反应堆改进执行三哩岛行动计划；建立全世界范围运行经验反馈体系。,72,案例分析,三哩岛事故,问题,：,1 是那项反应堆安全功能失效导

49、致三哩岛事故？,2 请描述导致三哩岛事故的初始事件？,3 三哩岛事故是,INES,分级那级核事故？,4 根据反应堆堆芯传热理论分析三哩岛事故的成因？,5 三哩岛事故中的设备和设计问题？,6 三哩岛事故中的操纵员操作失误？,7 三哩岛事故中运行和操作规程问题？,8 三哩岛事故中的业主管理问题？,9三哩岛事故给纵深防御准则带来的新思考？,10三哩岛事故中那些反应堆安全功能发挥了作用？,73,案例分析,三哩岛事故问题和答案,1 是那项反应堆安全功能失效导致三哩岛事故？,放射性物质得到足够冷却（堆芯衰变热移出）功能失效，导致部分堆芯熔融的严重事故。,2 请描述导致三哩岛事故的初始事件？,始发事件,19

50、79年3月28日 04：00：37,am,二回路所有主给水泵停转；,主汽轮机停转；,36秒 冷却剂系统压力155,bar；,冷却剂系统泄压阀开启；,8秒 冷却剂系统压力162,bar；,引发反应堆紧急停堆；,辅助给水泵启动；,但是，泵和蒸气发生器之间的阀门处于关闭状态；,2分4秒 反应堆冷却剂系统压力下降到110,bar；,高压安注系统启动；稳压器水位上升。,74,案例分析,三哩岛事故问题和答案,3 三哩岛事故是,INES,分级那级核事故？,按照厂内影响准则的最高级，5级。,4 根据反应堆堆芯传热理论分析三哩岛事故的成因？,传热能力形成三个条件：热阱；传热方式（冷却手段）；传热介质堆芯冷却剂（