張佳佳,劉坤秀,錢鴻濤,張慧一,*
(1.生態環境部核與輻射安全中心,北京 102488;2.中國核電工程有限公司,北京 100840)
核電廠主控室(MCR)作為核電廠的大腦,對核電廠的運行控制起著至關重要的作用。MCR 由于火災等因素可能失去控制或喪失可居留性,進而導致運行人員撤離MCR 至遠程停堆站(RSS)進行核電廠監視和控制場景。然而RSS 主要設計了一些關鍵的安全監視和操作功能,并不能完全替代MCR。國內外火災概率安全分析(PSA)表明MCR 火災的風險起主導作用,對MCR 火災風險的建模是火災PSA 的重點,也是國內外核安全監管審評重點關注的內容[1,2],其中,運行人員主控室撤離場景(MCRA)的人員可靠性分析(HRA)是MCR火災PSA 的重要內容之一。
劉政等基于CFAST 研究人員撤離MCR 時間對核電廠堆芯損壞頻率的影響[3],暢小龍介紹了三門核電MCR/RSS 切換功能[4],但未有專門針對MCRA 的詳細分析。由于火災情形下MCRA 的復雜性和特殊性,國內核電工程項目尚未開展詳細的MCRA 場景HRA,一般采用保守或專家判斷的方法進行定量化處理。美國核管會在發布的NUREG-1921 導則中特別說明對MCRA 的HRA 后續繼續進行研究[5],并在2019 年和 2020 年發布了兩個增補版導則對MCRA 的定性分析[6]和定量分析[7]進行指導。
本文基于NUREG-1921 及其增補版導則,詳細論述了MCRA 的兩個類別和三個階段,結合國內核電廠的實際情況,闡述MCRA 情景下人員響應的三個階段及其定量化方法,以及分析過程中需要考慮的因素。以國內某核電廠MCRA 為例,利用上述方法開展了人員訪談獲取了相應數據和資料,開展了定量化分析,并提出了建議。本研究為國內核電工程項目火災PSA 開展MCRA 的定量化提供參考。
MCRA 一般可以分為不可居留(LOH)和不可控(LOC)兩種類型。LOH 是指當MCR發生火災或附近區域房間發生火災,煙霧可能進入主控制室,由于煙霧或熱量導致MCR 不適合居留需要撤離到RSS。LOC 是指由于關鍵電纜或MCR 工作站/后備盤(BUP)等損毀引起MCR 無法實現機組的有效控制而需要撤離到RSS。
針對LOH,在NUREG/CR-6850 導則[8]給出了明確的撤離準則,涉及MCR 溫度和煙霧濃度。即
(1)溫度準則:地板上方6 ft(1.828 8 m)處的熱通量超過1 kW/m2,這可以認為是皮膚疼痛的最小熱通量。
(2)煙霧濃度:煙霧層從天花板下降到6 ft(1.828 8 m)以下,煙霧的光密度小于3 m-1。在這樣的光密度下,反光的物體超過0.4 m 就看不見了,發光的物體超過1 m 就看不見了。
針對LOC,一般沒有清晰的導則或指引。在LOH 的場景中,煙霧或者溫度都是顯而易見的線索,但由于LOC 導致MCRA 的線索并不一定是清晰的,一般核電廠也沒有明確的程序進行指引,主要結合核電廠人員訪談結果開展HRA。
根據國內核電廠現場訪談和事故進展,核電廠運行人員MCRA 響應可分為MCRA 決策前、MCRA 決策和MCRA 決策后三個階段(見圖1)。
圖1 MCRA 三個階段Fig.1 Three phases of MCRA
第一階段是MCRA 決策前響應。在這一階段,電廠根據消防行動指南進行滅火響應,依據運行規程或事故規程對電廠進行控制,相應的指揮和控制在MCR 中,且消防行動指南與規程可能是并行的。
第二階段是MCRA 決策響應。在這一階段,由值長根據火災發展的形勢以及MCR 設備損壞的狀態,判斷是否撤離。撤離決策一旦做出,第二階段結束,進入第三階段。
第三階段是MCRA 決策后響應。這一階段包括控制權從主控制室轉移到RSS 的過渡階段以及撤離到RSS 執行后續機組控制的階段。這一階段典型的人員行為包括撤離MCR 前必要的停堆操作、MCR/RSS 切換操作,以及使用RSS 控制機組至穩定狀態的操作等。
由于MCRA 場景的不同,圖2 和圖3 分別給出了LOH 和LOC 兩種典型事故的進展。兩者的區別在于LOH 情形下煙霧或溫度的線索是明確的,因此在達到不可居留條件時,值長即可作出撤離決策,認知的時間較短。LOC 場景下火災并不一定發生在MCR,第一時間發現的可能是MCR 設備不可用的線索,從發現線索至作出撤離決定的認知時間較長,需要等到滿足最低的撤離準則時才會決定撤離。
圖2 典型的MCRA LOH 場景進展Fig.2 The progress of the typical MCRA LOH scenario
圖3 典型的MCRA LOC 場景進展Fig.3 The progress of the typical MCRA LOC scenario
MCRA 第一階段的人員行動包括指揮和控制、程序使用等,與非MCRA 的人員行為類似,可以采用非MCR 火災HRA 方法進行分析。主要考慮信號和指示、時間、程序和培訓、復雜程度、工作負荷和壓力、人機界面、環境、職責適宜度、班組溝通和人員配備9 個方面績效形成因子(PSF),如環境PSF 因子中需重點考慮煙霧和熱量等因素,時間PSF 因子需額外考慮線索識別時間和認知處理時間,壓力PSF 需考慮壓力因子水平增高等??筛鶕⒖嘉墨I[5]提供的方法進行定量化分析。
針對LOH 場景,在參考文獻[7]中認為溫度和煙霧的線索是明顯的,此時MCRA 撤離決策的人員失誤概率(HEP)可以忽略不計,但需要注意的是不同核電廠MCRA 的準則不同。圖4 給出了國內某核電廠的LOH 場景的撤離規程,可以看出規程需要值長根據現場情況進行判斷?;趪鴥榷鄠€核電廠的人員訪談結果,在未對人體造成損害或者能見度可見的情況下,MCR 人員通常不會撤離。具體工程實踐中,LOH 場景下的撤離準則可參考NUREG/CR-6850 導則,并結合現場人員訪談結果進行適當修正。
圖4 某核電廠MCR 不可居留時的規程Fig.4 Procedures of the MCRA LOH scenario of a NPP
針對LOC 場景,MCRA 決策相關人誤事件主要涉及認知方面的失誤,主要包括識別撤離線索、診斷以及最終作出撤離決策等。參考文獻[7]給出了LOC 第二階段定量化的決策樹,主要依據6 個方面的PSF 因子來判斷人誤概率:
(1)LOC 撤離決策要有足夠的指示/警報,否則必定不可能成功;
(2)用于決策的可用時間要不小于需求時間,否則來不及執行決策也必然導致失??;
(3)大部分核電廠消防行動指南或運行/事故規程中包含了撤離的選項,但需要判斷核電廠是否有清晰的準則或由值長判斷;
(4)針對撤離方面的培訓,需要現場訪談運行人員是否在模擬機進行了專門培訓/演練,還是僅僅開展了課堂培訓;
(5)現場訪談,了解值長或操作員是否意識到該種情形下撤離的緊迫性;
(6)熱工或專家判斷等獲取撤離決定的可用時間,根據撤離的可用時間來取不同HEP 值。
根據上述6 個PSF 因子,最終獲得了28 種情形,10 個HEP 值,如圖5 所示。
第三階段定量化采用與第一階段相同的HRA 方法,但需要考慮到撤離操作的特殊性。需要考慮電廠有關MCRA 場景的程序中關于安全停堆以及MCR/RSS 切換操作程序的質量、操作員的熟知程度、培訓演練等方面的因素。
根據第2.1~2.3 節分別計算出MCRA 三個階段HEP 后,還需開展不確定性分析。一般情況下,不確定性與所使用的HRA 方法有關。參考文獻[7]說明可以按照SPAR-H 推薦的受約束的無信息先驗(CNI)分布開展不確定性分析,該方法也是國內工程實踐經常采用的火災HRA方法。CNI 分布為貝塔分布,其以先驗分布隨機變量滿足最大熵的概率分布為約束條件,HRA 分析獲得的HEP 作為后驗分布均值。α和β參數均是HEP 的函數,α參數依據HEP 數值查參考文獻[9]中獲得,β參數計算公式為:
三個階段的HEP 均可采用上述方法開展不確定性分析。此外,參考文獻[7]中美國電力學會針對第二階段的10 個HEP 值也給出了另一種不確定分布結果,可供工程上參考使用。
案例核電廠采用數字化儀控系統的MCR,在該MCR 內設有4 個操作員工作站,4 個大屏幕監視屏,1 個傳統的模擬備用盤(BUP)和緊急控制盤,每個盤臺都承載大量的電廠安全與監控功能。當發生火災引起1 個或2 個工作站不可用時,操作員根據規程可切換至剩余完好工作站進行機組控制;當發生3 個及以上工作站不可用時,操作員根據程序可切換至BUP 進行機組控制,若切換BUP 失敗,需要值長進行決策(無對應程序)并宣布撤離,撤離前在MCR完成停堆操作,并在RSS 完成MCR/RSS 切換操作。圖6 給出了該案例電廠3 個工作站不可用的事件樹??梢钥闯鯩CRA 第一階段的響應涉及滅火行動(H-0)和切換BUP(H-1)兩個人誤事件,第二階段涉及MCRA 決策人誤事件(H-2),第三階段涉及撤離MCR 前停堆操作,撤離以及MCR/RSS 切換(H-3)等。其中滅火成功的概率一般根據參考文獻[8]提供的滅火曲線計算,本文主要針對其余3 個人誤事件進行定量化分析,除H-2 外,H-1 和H-3 采用國內常用的SPAR-H 方法進行HRA。
圖6 某核電廠MCRA 事件樹Fig.6 The MCRA event tree of a NPP
根據案例電廠設計特點和專家判斷,操作員在50 min 內完成H-1 的響應或H-2 和H-3 的響應,可滿足機組控制要求,否則保守假設機組失控堆熔。根據操作員和模擬機教員訪談,第一階段診斷工作站不可用需要2 min,轉移到BUP,并完成切換需要2 min,合計所需時間為4 min;第二階段值長撤離決策需要5 min;第三階段MCR 停堆操作需要2 min,撤離本身需要11 min,MCR/RSS 切換需要2 min,合計所需時間為15 min。H-1 的允許時間為50 min,H-1 診斷可用時間為48 min,操作可用時間為48 min;扣減H-1 總的所需時間4 min,H-2 和H-3 總的允許時間為46 min,進一步扣減H-3總的所需時間 15 min,H-2 的可用時間為31 min;扣減H-2 所需時間5 min,H-3 總的可用時間為41 min。
該階段考慮人誤事件H-1,情景為三個操作員工作站均著火,雖然已撲滅火,但是工作站功能受損,需切換BUP,操作員根據規程切換BUP,登陸打開。
案例電廠在操作員模擬機初訓和復訓中均有BUP 切換操作內容,該情景壓力很高,復雜程度中等,結合3.1 節該階段可用時間和所需時間,SPAR-H 分析各PSF 因子取值過程如表1所示。
表1 H-1 人誤事件SPAR-H 分析過程Table 1 The SPAR-H analysis process of the H-1 human error event
第二階段考慮人誤事件H-2,僅涉及MCRA決策響應。在第一階段BUP 切換失敗的情況下,撤離的線索十分明確,但該核電廠程序中僅對不可居留的場景進行了規定(見圖4),未考慮MCR 不可用時的撤離場景,需要值長根據現場情況進行判斷,報請批準后撤離。
根據人員訪談,此情況下線索比較清晰,且案例核電廠RSS 有大多數核電廠控制手段,值長傾向于撤離。電廠操作員模擬機復訓中有撤離相關內容,每年進行1 次,根據3.1 節訪談信息,本階段可用時間為31 min。根據圖5,取后果編碼為(14)的HEP 值,即0.05。
該階段考慮人誤事件H-3,包括兩個子任務:
(1)值長宣布撤離MCR 后,在緊急操作盤按下兩個停堆按鈕完成手動停堆;
(2)從MCR 撤離到RSS,操作相關開關,完成MCR/RSS A 列和B 列的切換。
保守認為任何一個步驟的失敗,均將導致核電廠不可控而堆芯損壞。值長宣布撤離即進入相應撤離規程,且操作明確,因此,H-3 人誤事件不涉及診斷失誤,主要是操作失誤。
根據3.1 節訪談信息,MCR 停堆操作時間為2 min,可用時間保守認為2 min;撤離到RSS及完成MCR/RSS 切換操作所需時間為13 min,可用時間扣減 MCR 停堆操作時間后剩余39 min。電廠操作員復訓針對上述撤離操作每年進行1 次,該情景壓力很高,復雜程度一般,SPAR-H 分析各PSF 因子取值如表2 所示。
表2 H-3 人誤事件SPAR-H 分析過程Table 2 The SPAR-H analysis process of the H-3 human error event
三個階段人誤事件分析結果如表3 所示??梢钥闯霰M管案例核電廠操作員工作站的冗余性較高,且撤離的線索十分明確,但由于案例電廠在程序中沒有對LOC 場景的撤離給予明確的規定,導致H-2 結果偏大。
表3 三個階段人誤事件分析結果Table 3 Analysis results of 3 phases of human error events
針對不確定性分布,根據表3 參數采用Microsoft EXCEL 函數BETA.INV 可以獲得三個人誤事件各分位數下的HEP 值,圖7 給出了三個人誤事件HEP 的CNI 分布,表4 給出了不確定范圍結果??梢钥闯? 個人誤事件HEP 上限(95%分位數)與均值的比值在3.8 左右,均值與HEP 下限(5%)的比值在252~292 之間,HEP 上限與下限的比值在1 000 左右。均值接近不確定性區間的上限,處在較窄的范圍內。然而由于HEP 下限概率極低,概率的下限引入了更多的不確定性,導致HEP 上下限范圍較大。但從安全角度出發,HRA 分析更關注不確定上限的估計,最重要的結論與上限和均值(期望值)有關,不確定性范圍的下限不影響安全相關的結論。
表4 三個人誤事件不確定范圍Table 4 The range of the uncertainty for the 3 human failure events
圖7 三個人誤事件HEP 的CNI 分布Fig.7 The CNI distribution of HEP for the 3 human failure events
MCRA 是指由于火災等因素導致核電廠主控室失去控制或不可居留,運行人員從MCR 撤離至RSS,從而實現核電廠的監視和控制功能,是火災HRA 的一種特殊情況,也是火災PSA的重要貢獻項。由于國內缺乏 MCRA 分析導則,當前國內核電工程項目中一般采用保守或專家判斷的方法簡化處理,尚未開展詳細分析。
本文基于NUREG-1921 及其增補版導則,詳細論述了MCRA 的兩個類別和三個階段。結合國內核電廠的實際情況,闡述MCRA 情景下人員響應的三個階段及其定量化方法,以及分析過程中需要考慮的因素。以國內某核電廠MCRA 場景為例,針對MCR 人員響應的三個階段開展了人員訪談和定量化分析。結果表明,針對MCR 不可居留的情景,該電廠有明確的程序文件和清晰的撤離準則用于支持MCRA;但是針對MCR 失去控制的情景,該電廠缺乏相應的程序文件和撤離準則,導致其人員失誤概率較大。盡管MCR 失去控制的條件概率較低,但后果比較嚴重,建議該電廠增加相應的程序文件和撤離判斷準則用于支持操作員在MCR 失去控制時的響應行為。此外,本文還針對案例電廠MCRA 定量化結果的不確定性進行了分析和討論,可以為火災PSA 提供輸入。
綜上所述,本研究首次開展了詳細的MCRA 分析和研究,可為國內核電工程項目開展火災PSA 中的MCRA 定量化分析提供參考。