核电厂系统设备不可用管理问题分析与改进

杨永灯

（中核核电运行管理有限公司，海盐 314300）

运行技术规范是在核电厂机组正常运行期间，为确保公众与工作人员的安全所必须遵守的最低技术规则。这些规则的执行能够确保重要的安全系统在异常或事故工况下正确运行。严格遵守运行技术规范是保证机组在整个寿期内运行安全所必须遵循的原则。但是，目前在核电厂运行实践中违反运行技术规格书的执照运行事件时有发生。这些事件的发生多数源于设备管理方面存在不可用记录不规范或不正确等问题。因此，规范和完善核电厂系统设备不可用管理就显得极为重要。

1 核电厂运行技术规范简介

1.1 核电厂运行技术规范

核电厂运行的安全总目标是维持设计确定的安全水平，并可以通过运行中的经验反馈加以改进。核电厂为了实现这一总目标，制订了一系列的运行规范，其中之一就是运行技术规范（一般运行技术规格书等同于或包含运行技术规范）［1］。

1.2 不可用

一般说来，如果可以证明某一设备或系统能及时地执行设计赋予的特定功能，同时又具备所要求的性能水平，则认为（部件、设备或系统的）安全功能是可用的，特别是该系统或设备功能所必需的仪控设备和辅助设备是可用的。安全功能不能满足上述可用性定义中规定的所有条件时，则视其为不可用。所有与各个运行模式（状态）相关的安全要求不一致的情况（要求的安全功能的不可用，或超出正常运行限值）均被称为“事件”。通常也简称“不可用”“I0”。

不可用事件由4部分内容组成：事件、初始运行状态、退防状态、退防时限。I0分为两组，第一组和第二组，会导致三道屏障（燃料包壳、一回路压力边界、反应堆厂房）损坏的风险增加的I0属于第一组I0，不属于第一组的I0属于第二组。I0按性质又分为随机I0、计划I0和其他I0。

2 核电厂I0管理总体原则

2.1 核安全法规要求与电厂管理要求

《核安全法》规定核设施营运单位取得核设施运行许可证后，应当按照许可证的规定运行。国务院核安全监督管理部门和其他有关部门应当对从事核安全活动单位遵守核安全法律、行政法规、规章和标准的情况进行监督检查。国务院核安全监督管理部门或者其派出机构应当向核设施建造、运行、退役等现场派遣监督检查人员，进行核安全监督检查［2］。《核动力厂运行安全规定》规定营运单位必须对安全重要的记录和报告进行控制管理，要求其必须符合核动力厂质量保证有关法规的要求［3］。

《核电厂运行质量保证大纲》明确运行技术规范作为确保机组核安全的基本要求，在生产运行活动中各条款必须得到高度的重视并严格贯彻执行；运行值长负责组织运行值实施各项生产运行活动，确保机组的运行活动符合运行技术规范和电厂管理程序要求；主控制室操纵员在值长的领导下，根据运行技术规格书和运行规程，管理和执行主控室的所有操作；核安全监督工程师负责按照核安全法规、最终安全分析报告和运行技术规格书的要求，对电厂生产活动实施核安全监督管理。［4］

2.2 I0产生

核电厂在运行期间，必须满足运行技术规范的要求，必须符合当前标准运行状态所要求的可用系统设备配置。当班运行主控室操纵人员的一项职责是识别与诊断出不满足运行技术规范要求的系统设备不可用。工作人员可以通过定期试验、报警信号、监督检查、预防性维修等任何方法发现系统设备不可用。

2.3 I0记录与响应

当确定系统设备不可用后，工作人员需要按要求记录I0，并采取事件要求的措施，保证机组处于满足运行技术规范要求的安全状态。记录与响应要求如下：

（1）I0产生时，工作人员需在运行日志电子系统中及时记录事件。I0记录一般包含事件（事件原因与内容）、初始运行状态（开始状态）、退防状态、退防时限、开始时间、结束时间、组别、性质、设备代码、事件代码等。

（2）一旦发现一个设备不可用时，核电厂必须确保其冗余设备的可用性。

（3）产生多个I0时，核电厂必须遵照运行技术规范规定进行多个事件累计，并采取相应的措施。

（4）当不可用设备或系统的维修已结束，且再鉴定试验的结果满足要求，或者反应堆已达到不需要该设备或系统的安全状态时，就意味着该事件已结束。

（5）当不可用设备或系统的维修时间将超过退防时限或允许的维修时间时，核电厂应在尽可能短的时间内实施后撤或采取相应的缓解措施。

（6）达到退防状态后，在核电厂设备未修复时，核电厂应维持退防状态，不得向其他状态转换。

（7）当达到退防时限要求或检修时间超出检修时间要求时，核电厂应按照要求进行后撤或采取进一步措施。当不满足运行技术规格书要求时，核电厂需要向国家核安全局报告执照运行事件。

3 I0记录与管理问题

在核电厂进行内部监督检查以及国家核安全局与地区监督站在对国内运行核电机组进行专项核安全检查或临界前核安全检查时，经常发现核电厂营运单位在I0记录与管理上存在不规范与不正确的问题，涉及事件原因、开始状态、退防状态、开始时间、结束时间、组别、性质、设备代码、事件代码等，详见表1。

表1 I0记录问题及原因分析Table 1 The I0 records problem and reason analysis

实例：（1）某核电厂2号机组处于NS/SG模式，2018/1/2 7:10至7:58，配合2RCP系统主泵惰走试验，导致3台主泵停运。工作人员记录第一组计划事件RCP6，开始状态错误地记录为NS/RRA模式，退防状态错误地记录为不适用。（2）某核电厂1号机组2018/12/3 14:11至15:16，机组处于RP模式，执行试验PT1LLS002，关闭2RIS274VB，导致水压试验泵不可用。工作人员记录第一组计划事件RIS5，事件原因描述“关闭2RIS274VB”与《安全相关系统和设备定期试验监督要求》中的描述“LLS002JS断开”不符。（3）某核电厂2号机组2016年，有些I0记录时开始时间/消除时间记录错误，开始时间大于或等于消除时间，例如事件REN1，执行PT2RPB040导致硼表不可用，开始时间2016/4/11 20:00，结束时间2016/4/11 08:06。

4 问题分析与改进

4.1 I0记录管理分析与改进

上述I0记录问题可分为I0记录不规范和I0记录不正确两类，下面本文分别进行分析并提出改进建议。

I0记录不规范和I0记录不正确问题源于记录人员的人因失误。核电厂人因失误中分为技能型失误、规则型失误和知识型失误［5］。技能型失误是指在进行一些经常的、简单的、熟练的操作过程中所犯的错误。导致这类失误的原因通常是注意力不集中，或注意力仅集中于某一点而忽视其他方面。规则型失误是指按规则进行操作时所犯的失误，主要是由于运行技术规范中有些I0的规定不够清晰导致进行I0记录时不统一或不规范。知识型失误是指人们通过分析、判断来解决问题的过程中所犯的失误。这类失误通常是由于工作人员的知识欠缺、经验不足、成见或偏见等因素造成。

4.1.1 I0记录不规范

I0记录问题中大多数为记录不规范问题，分析其原因主要涉及人员行为不足和技术规定要求不明确两个方面，对应技能型失误和规则型失误。

I0记录不规范问题涉及：机组号记录错误、事件的技术规范代码错误、同一个事件对应的设备编码记录不统一或设备编码有误、导致设备不可用的原因不正确或不清晰、开始状态填写错误、退防状态填写错误、开始时间填写错误、退防时限填写错误、结束时间填写错误、事件性质填写错误、事件组别填写错误。这些问题中大部分属于技能型失误，其余部分属于规则型失误。当技术文件与管理要求等规则明确之后，这些规则型失误则变成技能型失误。

国内有些核电厂机组的运行技术规范中每个事件的组别没有单独明确，按照退防时限或维修时限的长短来确定，小于15天的为第一组，大于等于15天的为第二组，一些有特别注释说明的以注释说明为准。这里存在一些问题：有些事件没有退防时限或维修时限，但有一些补充要求，使得这些事件的退防时限和组别变得不清晰，也就是规则不明确。例如功率运行状态下硼表不可用的技术规范代码为REN1，退防状态不适用，退防时限无，但有两条补充要求“（1）停止任何稀释操作，但控制棒处于自动控制模式下稳定功率运行时除外；（2）必须每8小时对主回路冷却剂的硼浓度进行手动取样分析”。这就带来两个问题：一是退防时限如何记录，有的认为是“不适用”或“无”，有的则认为是8小时；二是组别如何记录，属于第一组还是第二组。技术规定条款的不清晰可能导致I0记录出现不规范或不统一。因此，核电厂需要对运行技术规范进行优化完善，对不清晰的技术规定条款进行明确。

事件原因记录不规范问题，主要是由于一项工作的多个操作步骤均会导致事件的产生，不同的人在记录这个事件时会有不同的描述，建议事件原因填写导致产生事件的第一个操作步骤事项。

减少和避免I0记录不规范问题，一方面可以通过使用防人因失误工具——自检、遵守和使用规程、不确定时暂停、他检以及独立验证，另一方面在技术文件和管理上进行优化，修订运行技术规范，编制并完善相关的管理程序和管理通告等。此外，运行部门定期或不定期开展I0记录自查工作，以及核安全监督部门定期或不定期独立核查I0记录情况也可以减少和避免I0记录不规范问题。

4.1.2 I0记录不正确

I0记录不正确问题的原因主要是人员行为不足和人员知识技能不足，这两方面不足对应技能型失误和知识型失误。

I0性质的记录不正确的原因在于：一是对计划性I0的理解不够充分，认为只要是计划提前安排的工作产生的I0就是计划性的；二是多项工作同时开展产生的I0性质不明确，即同时开展纠正性维修工作和预防性维修工作，产生的I0是属于计划I0还是随机I0不太明确。对于以上情况，对应的一种管理方式是：凡是同时开展纠正性维修工作和预防性维修工作，产生的事件均属于随机事件。另一种管理方式是：根据故障缺陷的影响开展维修工作的时机进行分别考虑，当缺陷未立即导致设备不可用，维修工作与预防项目一起开展时，产生的I0性质为计划性；当缺陷立即导致设备不可用，必须立即记录随机I0，后续的检修导致的I0也是随机性，无论是否与预防性维修项目同时开展，都是随机性的。

I0记录不正确的一种特别情况是未按要求记录事件，包含I0记录遗漏和未识别出事件两种情形。未识别出事件情况实例：2020年1月国内某核电厂2号机组核岛400 V调压变压器配电盘C相6个调压臂中的主调压臂不动作，配电盘就地C相电压正常，认为核岛400 V调压变压器配电盘可用，之后，检查确认不能正常响应电压变化，确认核岛400 V调压变压器配电盘不可用，导致一起执照运行事件——某核电厂2号机组存在第一组事件情况下执行产生第一组事件的定期试验导致不满足运行技术规范要求。该事件的直接原因是维修人员没有准确判断调压变压器已失去调压功能，导致运行人员没有及时记录核岛400 V调压变压器核电厂的第一组I0。根本原因是相关部门在核岛400 V调压变压器的可用性管理方面存在不足。

如何才能避免因为未识别出事件而未能及时正确地记录事件导致发生违反运行技术规格书的执照运行事件呢？核电厂首先应通过巡检、试验等各种方式及时发现系统设备的故障和缺陷，对缺陷保持敏感；其次，应全面分析缺陷故障对系统设备实现其功能的影响，正确判断系统设备的可用性。设备可用性判定需要建立一套有效可行的管理流程，避免因个人知识和技能不全面导致判断不准确。

4.1.3 可用性判定

主控室是核电厂机组信息收集中心，当出现导致或可能导致产生I0的故障，主控室应判断是否导致产生I0，若不能做出判断则立即启动设备可用性判定流程，由运行人员、维修人员、技术人员、核安全监督人员等专业人员给出分析与结论。这样可以避免和减少在I0分析判断过程中出现失误。在可用性判定过程中，当班值长和核安全监督工程师可以做出正确判断的前提条件是维修人员或技术人员对故障的检查、描述与分析必须全面和客观。同时，这里需要注意的是，主控室人员在知道系统设备故障后做初步判断是否导致产生I0时应该保守决策，否则可能错误地确定不会导致产生I0，并决定不启动可用性判定流程。

判断设备可用性的一般原则，或者是需要考虑的因素有以下几个方面：设备是否可以实现其安全功能；设备是否被断电隔离；设备性能是否完好；设备的支持系统是否可用；设备的重要监视仪表是否可用（能够证明测量参数在要求范围之内的情况除外）；设备的动作逻辑（起、停、开、关等）功能是否完好；设备的状态是否发生改变；需要投运该设备时是否需要现场操作；能够无延时地执行其功能；是否在规定的期限内（允许25%的裕度）完成定期试验监督大纲规定的定期试验项目；定期试验结果是否满足验收准则。当任意一项不满足或不肯定时，就需要考虑启用设备可用性判定流程。本文建议核电厂编制和完善《运行技术规格书遵守》管理程序和相应管理通告、技术通告等，特别是关于系统设备可用性判定流程。

4.2 影响I0记录的其他因素

世界核运营者协会为衡量核电厂在安全性、可靠性以及人员安全方面的业绩制订了一套量化的指标——WANO指标。我国为了更好地维护核电厂安全，保证核电厂安全、稳定、可靠运行，确保核电厂运行期间公众的辐射健康与安全，建立了运行安全性能指标体系［6］。这些指标涉及安全系统不可用相关指标。在实践中，核电厂要避免为了取得好的指标排名或者因为公司内部考核，而不能如实地、正确地记录I0。

核电厂应加强管理，推崇开放透明的核安全文化，定期或不定期地学习与宣贯相应的管理程序和管理通告；从根本上减少系统设备不可用的产生；从运行管理、检修质量、设备质量、备件质量等方面考虑，减少设备故障和重复维修，保证设备可靠运行，从而保证核电厂机组安全、稳定、可靠运行，提高核电厂业绩。

5 结论

本文提出了运行核电厂关于系统设备不可用I0记录和管理上存在的问题，详细分析了问题产生的原因和影响因素，并针对各类问题给出了改进建议。这些改进建议的实施可以使核电厂的I0记录与管理日趋完善，保证运行技术规格书得到遵守，核电厂机组运行安全得到保证。本文对运行核电厂尤其是新建成的运行核电厂的运行管理有一定的借鉴意义，也对核安全监督管理部门对核电厂的监督管理有一定的参考意义。I0记录还涉及限制条件相关的I0记录问题，有待核电厂、设计院及核安全监督管理部门进一步沟通对相应的管理要求进行优化与完善。