核电厂主控室撤离场景的定量化研究
2023-11-08张佳佳刘坤秀钱鸿涛张慧一
张佳佳,刘坤秀,钱鸿涛,张慧一,*
(1.生态环境部核与辐射安全中心,北京 102488;2.中国核电工程有限公司,北京 100840)
核电厂主控室(MCR)作为核电厂的大脑,对核电厂的运行控制起着至关重要的作用。MCR 由于火灾等因素可能失去控制或丧失可居留性,进而导致运行人员撤离MCR 至远程停堆站(RSS)进行核电厂监视和控制场景。然而RSS 主要设计了一些关键的安全监视和操作功能,并不能完全替代MCR。国内外火灾概率安全分析(PSA)表明MCR 火灾的风险起主导作用,对MCR 火灾风险的建模是火灾PSA 的重点,也是国内外核安全监管审评重点关注的内容[1,2],其中,运行人员主控室撤离场景(MCRA)的人员可靠性分析(HRA)是MCR火灾PSA 的重要内容之一。
刘政等基于CFAST 研究人员撤离MCR 时间对核电厂堆芯损坏频率的影响[3],畅小龙介绍了三门核电MCR/RSS 切换功能[4],但未有专门针对MCRA 的详细分析。由于火灾情形下MCRA 的复杂性和特殊性,国内核电工程项目尚未开展详细的MCRA 场景HRA,一般采用保守或专家判断的方法进行定量化处理。美国核管会在发布的NUREG-1921 导则中特别说明对MCRA 的HRA 后续继续进行研究[5],并在2019 年和 2020 年发布了两个增补版导则对MCRA 的定性分析[6]和定量分析[7]进行指导。
本文基于NUREG-1921 及其增补版导则,详细论述了MCRA 的两个类别和三个阶段,结合国内核电厂的实际情况,阐述MCRA 情景下人员响应的三个阶段及其定量化方法,以及分析过程中需要考虑的因素。以国内某核电厂MCRA 为例,利用上述方法开展了人员访谈获取了相应数据和资料,开展了定量化分析,并提出了建议。本研究为国内核电工程项目火灾PSA 开展MCRA 的定量化提供参考。
1 MCRA 的类别和阶段
1.1 MCRA 的类别和准则
MCRA 一般可以分为不可居留(LOH)和不可控(LOC)两种类型。LOH 是指当MCR发生火灾或附近区域房间发生火灾,烟雾可能进入主控制室,由于烟雾或热量导致MCR 不适合居留需要撤离到RSS。LOC 是指由于关键电缆或MCR 工作站/后备盘(BUP)等损毁引起MCR 无法实现机组的有效控制而需要撤离到RSS。
针对LOH,在NUREG/CR-6850 导则[8]给出了明确的撤离准则,涉及MCR 温度和烟雾浓度。即
(1)温度准则:地板上方6 ft(1.828 8 m)处的热通量超过1 kW/m2,这可以认为是皮肤疼痛的最小热通量。
(2)烟雾浓度:烟雾层从天花板下降到6 ft(1.828 8 m)以下,烟雾的光密度小于3 m-1。在这样的光密度下,反光的物体超过0.4 m 就看不见了,发光的物体超过1 m 就看不见了。
针对LOC,一般没有清晰的导则或指引。在LOH 的场景中,烟雾或者温度都是显而易见的线索,但由于LOC 导致MCRA 的线索并不一定是清晰的,一般核电厂也没有明确的程序进行指引,主要结合核电厂人员访谈结果开展HRA。
1.2 MCRA 的阶段
根据国内核电厂现场访谈和事故进展,核电厂运行人员MCRA 响应可分为MCRA 决策前、MCRA 决策和MCRA 决策后三个阶段(见图1)。
图1 MCRA 三个阶段Fig.1 Three phases of MCRA
第一阶段是MCRA 决策前响应。在这一阶段,电厂根据消防行动指南进行灭火响应,依据运行规程或事故规程对电厂进行控制,相应的指挥和控制在MCR 中,且消防行动指南与规程可能是并行的。
第二阶段是MCRA 决策响应。在这一阶段,由值长根据火灾发展的形势以及MCR 设备损坏的状态,判断是否撤离。撤离决策一旦做出,第二阶段结束,进入第三阶段。
第三阶段是MCRA 决策后响应。这一阶段包括控制权从主控制室转移到RSS 的过渡阶段以及撤离到RSS 执行后续机组控制的阶段。这一阶段典型的人员行为包括撤离MCR 前必要的停堆操作、MCR/RSS 切换操作,以及使用RSS 控制机组至稳定状态的操作等。
由于MCRA 场景的不同,图2 和图3 分别给出了LOH 和LOC 两种典型事故的进展。两者的区别在于LOH 情形下烟雾或温度的线索是明确的,因此在达到不可居留条件时,值长即可作出撤离决策,认知的时间较短。LOC 场景下火灾并不一定发生在MCR,第一时间发现的可能是MCR 设备不可用的线索,从发现线索至作出撤离决定的认知时间较长,需要等到满足最低的撤离准则时才会决定撤离。
图2 典型的MCRA LOH 场景进展Fig.2 The progress of the typical MCRA LOH scenario
图3 典型的MCRA LOC 场景进展Fig.3 The progress of the typical MCRA LOC scenario
2 MCRA 定量化方法
2.1 第一阶段定量化
MCRA 第一阶段的人员行动包括指挥和控制、程序使用等,与非MCRA 的人员行为类似,可以采用非MCR 火灾HRA 方法进行分析。主要考虑信号和指示、时间、程序和培训、复杂程度、工作负荷和压力、人机界面、环境、职责适宜度、班组沟通和人员配备9 个方面绩效形成因子(PSF),如环境PSF 因子中需重点考虑烟雾和热量等因素,时间PSF 因子需额外考虑线索识别时间和认知处理时间,压力PSF 需考虑压力因子水平增高等。可根据参考文献[5]提供的方法进行定量化分析。
2.2 第二阶段定量化
针对LOH 场景,在参考文献[7]中认为温度和烟雾的线索是明显的,此时MCRA 撤离决策的人员失误概率(HEP)可以忽略不计,但需要注意的是不同核电厂MCRA 的准则不同。图4 给出了国内某核电厂的LOH 场景的撤离规程,可以看出规程需要值长根据现场情况进行判断。基于国内多个核电厂的人员访谈结果,在未对人体造成损害或者能见度可见的情况下,MCR 人员通常不会撤离。具体工程实践中,LOH 场景下的撤离准则可参考NUREG/CR-6850 导则,并结合现场人员访谈结果进行适当修正。
图4 某核电厂MCR 不可居留时的规程Fig.4 Procedures of the MCRA LOH scenario of a NPP
针对LOC 场景,MCRA 决策相关人误事件主要涉及认知方面的失误,主要包括识别撤离线索、诊断以及最终作出撤离决策等。参考文献[7]给出了LOC 第二阶段定量化的决策树,主要依据6 个方面的PSF 因子来判断人误概率:
(1)LOC 撤离决策要有足够的指示/警报,否则必定不可能成功;
(2)用于决策的可用时间要不小于需求时间,否则来不及执行决策也必然导致失败;
(3)大部分核电厂消防行动指南或运行/事故规程中包含了撤离的选项,但需要判断核电厂是否有清晰的准则或由值长判断;
(4)针对撤离方面的培训,需要现场访谈运行人员是否在模拟机进行了专门培训/演练,还是仅仅开展了课堂培训;
(5)现场访谈,了解值长或操作员是否意识到该种情形下撤离的紧迫性;
(6)热工或专家判断等获取撤离决定的可用时间,根据撤离的可用时间来取不同HEP 值。
根据上述6 个PSF 因子,最终获得了28 种情形,10 个HEP 值,如图5 所示。
2.3 第三阶段定量化
第三阶段定量化采用与第一阶段相同的HRA 方法,但需要考虑到撤离操作的特殊性。需要考虑电厂有关MCRA 场景的程序中关于安全停堆以及MCR/RSS 切换操作程序的质量、操作员的熟知程度、培训演练等方面的因素。
2.4 不确定性分析
根据第2.1~2.3 节分别计算出MCRA 三个阶段HEP 后,还需开展不确定性分析。一般情况下,不确定性与所使用的HRA 方法有关。参考文献[7]说明可以按照SPAR-H 推荐的受约束的无信息先验(CNI)分布开展不确定性分析,该方法也是国内工程实践经常采用的火灾HRA方法。CNI 分布为贝塔分布,其以先验分布随机变量满足最大熵的概率分布为约束条件,HRA 分析获得的HEP 作为后验分布均值。α和β参数均是HEP 的函数,α参数依据HEP 数值查参考文献[9]中获得,β参数计算公式为:
三个阶段的HEP 均可采用上述方法开展不确定性分析。此外,参考文献[7]中美国电力学会针对第二阶段的10 个HEP 值也给出了另一种不确定分布结果,可供工程上参考使用。
3 案例分析
3.1 分析案例
案例核电厂采用数字化仪控系统的MCR,在该MCR 内设有4 个操作员工作站,4 个大屏幕监视屏,1 个传统的模拟备用盘(BUP)和紧急控制盘,每个盘台都承载大量的电厂安全与监控功能。当发生火灾引起1 个或2 个工作站不可用时,操作员根据规程可切换至剩余完好工作站进行机组控制;当发生3 个及以上工作站不可用时,操作员根据程序可切换至BUP 进行机组控制,若切换BUP 失败,需要值长进行决策(无对应程序)并宣布撤离,撤离前在MCR完成停堆操作,并在RSS 完成MCR/RSS 切换操作。图6 给出了该案例电厂3 个工作站不可用的事件树。可以看出MCRA 第一阶段的响应涉及灭火行动(H-0)和切换BUP(H-1)两个人误事件,第二阶段涉及MCRA 决策人误事件(H-2),第三阶段涉及撤离MCR 前停堆操作,撤离以及MCR/RSS 切换(H-3)等。其中灭火成功的概率一般根据参考文献[8]提供的灭火曲线计算,本文主要针对其余3 个人误事件进行定量化分析,除H-2 外,H-1 和H-3 采用国内常用的SPAR-H 方法进行HRA。
图6 某核电厂MCRA 事件树Fig.6 The MCRA event tree of a NPP
根据案例电厂设计特点和专家判断,操作员在50 min 内完成H-1 的响应或H-2 和H-3 的响应,可满足机组控制要求,否则保守假设机组失控堆熔。根据操作员和模拟机教员访谈,第一阶段诊断工作站不可用需要2 min,转移到BUP,并完成切换需要2 min,合计所需时间为4 min;第二阶段值长撤离决策需要5 min;第三阶段MCR 停堆操作需要2 min,撤离本身需要11 min,MCR/RSS 切换需要2 min,合计所需时间为15 min。H-1 的允许时间为50 min,H-1 诊断可用时间为48 min,操作可用时间为48 min;扣减H-1 总的所需时间4 min,H-2 和H-3 总的允许时间为46 min,进一步扣减H-3总的所需时间 15 min,H-2 的可用时间为31 min;扣减H-2 所需时间5 min,H-3 总的可用时间为41 min。
3.2 第一阶段定量化
该阶段考虑人误事件H-1,情景为三个操作员工作站均着火,虽然已扑灭火,但是工作站功能受损,需切换BUP,操作员根据规程切换BUP,登陆打开。
案例电厂在操作员模拟机初训和复训中均有BUP 切换操作内容,该情景压力很高,复杂程度中等,结合3.1 节该阶段可用时间和所需时间,SPAR-H 分析各PSF 因子取值过程如表1所示。
表1 H-1 人误事件SPAR-H 分析过程Table 1 The SPAR-H analysis process of the H-1 human error event
3.3 第二阶段定量化
第二阶段考虑人误事件H-2,仅涉及MCRA决策响应。在第一阶段BUP 切换失败的情况下,撤离的线索十分明确,但该核电厂程序中仅对不可居留的场景进行了规定(见图4),未考虑MCR 不可用时的撤离场景,需要值长根据现场情况进行判断,报请批准后撤离。
根据人员访谈,此情况下线索比较清晰,且案例核电厂RSS 有大多数核电厂控制手段,值长倾向于撤离。电厂操作员模拟机复训中有撤离相关内容,每年进行1 次,根据3.1 节访谈信息,本阶段可用时间为31 min。根据图5,取后果编码为(14)的HEP 值,即0.05。
3.4 第三阶段定量化
该阶段考虑人误事件H-3,包括两个子任务:
(1)值长宣布撤离MCR 后,在紧急操作盘按下两个停堆按钮完成手动停堆;
(2)从MCR 撤离到RSS,操作相关开关,完成MCR/RSS A 列和B 列的切换。
保守认为任何一个步骤的失败,均将导致核电厂不可控而堆芯损坏。值长宣布撤离即进入相应撤离规程,且操作明确,因此,H-3 人误事件不涉及诊断失误,主要是操作失误。
根据3.1 节访谈信息,MCR 停堆操作时间为2 min,可用时间保守认为2 min;撤离到RSS及完成MCR/RSS 切换操作所需时间为13 min,可用时间扣减 MCR 停堆操作时间后剩余39 min。电厂操作员复训针对上述撤离操作每年进行1 次,该情景压力很高,复杂程度一般,SPAR-H 分析各PSF 因子取值如表2 所示。
表2 H-3 人误事件SPAR-H 分析过程Table 2 The SPAR-H analysis process of the H-3 human error event
3.5 分析结果及讨论
三个阶段人误事件分析结果如表3 所示。可以看出尽管案例核电厂操作员工作站的冗余性较高,且撤离的线索十分明确,但由于案例电厂在程序中没有对LOC 场景的撤离给予明确的规定,导致H-2 结果偏大。
表3 三个阶段人误事件分析结果Table 3 Analysis results of 3 phases of human error events
针对不确定性分布,根据表3 参数采用Microsoft EXCEL 函数BETA.INV 可以获得三个人误事件各分位数下的HEP 值,图7 给出了三个人误事件HEP 的CNI 分布,表4 给出了不确定范围结果。可以看出3 个人误事件HEP 上限(95%分位数)与均值的比值在3.8 左右,均值与HEP 下限(5%)的比值在252~292 之间,HEP 上限与下限的比值在1 000 左右。均值接近不确定性区间的上限,处在较窄的范围内。然而由于HEP 下限概率极低,概率的下限引入了更多的不确定性,导致HEP 上下限范围较大。但从安全角度出发,HRA 分析更关注不确定上限的估计,最重要的结论与上限和均值(期望值)有关,不确定性范围的下限不影响安全相关的结论。
表4 三个人误事件不确定范围Table 4 The range of the uncertainty for the 3 human failure events
图7 三个人误事件HEP 的CNI 分布Fig.7 The CNI distribution of HEP for the 3 human failure events
4 结论与建议
MCRA 是指由于火灾等因素导致核电厂主控室失去控制或不可居留,运行人员从MCR 撤离至RSS,从而实现核电厂的监视和控制功能,是火灾HRA 的一种特殊情况,也是火灾PSA的重要贡献项。由于国内缺乏 MCRA 分析导则,当前国内核电工程项目中一般采用保守或专家判断的方法简化处理,尚未开展详细分析。
本文基于NUREG-1921 及其增补版导则,详细论述了MCRA 的两个类别和三个阶段。结合国内核电厂的实际情况,阐述MCRA 情景下人员响应的三个阶段及其定量化方法,以及分析过程中需要考虑的因素。以国内某核电厂MCRA 场景为例,针对MCR 人员响应的三个阶段开展了人员访谈和定量化分析。结果表明,针对MCR 不可居留的情景,该电厂有明确的程序文件和清晰的撤离准则用于支持MCRA;但是针对MCR 失去控制的情景,该电厂缺乏相应的程序文件和撤离准则,导致其人员失误概率较大。尽管MCR 失去控制的条件概率较低,但后果比较严重,建议该电厂增加相应的程序文件和撤离判断准则用于支持操作员在MCR 失去控制时的响应行为。此外,本文还针对案例电厂MCRA 定量化结果的不确定性进行了分析和讨论,可以为火灾PSA 提供输入。
综上所述,本研究首次开展了详细的MCRA 分析和研究,可为国内核电工程项目开展火灾PSA 中的MCRA 定量化分析提供参考。