核電廠換料大修的核安全風險管理
1 核電廠換料大修期間的核安全風險
核電廠換料大修期間,因在短時間內(nèi)執(zhí)行大量的維修工作、設備的檢查維護、定期試驗,變更/技改以及裝卸料等操作,使得電廠大量系統(tǒng)、設備集中停役,電源停電,所以在換料大修期間存在著較大的核安全風險。
1.1 系統(tǒng)設備方面存在的風險
換料大修期間,從系統(tǒng)設備可靠性和安全功能上,電廠存在的核安全風險主要涉及以下幾方面:反應堆余熱排出、堆芯水裝量保持、反應性控制、電源保障以及安全殼完整性維持。
1.1.1 反應堆失去衰變熱導出功能的風險因素
(1)大修前缺少余熱導出能力的分析,如:
1)未事先確定堆芯燃料布置下的初始衰變熱熱量、堆芯沸騰時間和裸露時間;
2)缺少對堆冷卻系統(tǒng)水裝量各種狀態(tài)(如充水、放水、半管水位、換料通道充水和換料水池充水)下余熱導出能力的分析;
3)缺少對主系統(tǒng)各種狀態(tài)(如反應堆冷卻劑系統(tǒng)(rcs)加壓或已通氣、主管道已堵板或主回路隔離閥已關(guān)閉、蒸汽發(fā)生器(sg)人孔開/關(guān)、通風系統(tǒng)可用性、臨時假蓋或壓緊部件已安裝、主蒸汽管道已隔離)下的余熱導出能力的分析;
4)缺少對sg二次側(cè)熱量交換能力的分析。
(2)大修計劃未考慮失去乏燃料冷卻的縱深防御措施,導致乏燃料池失去冷卻,或在高衰變熱或低水裝量期間,安排對余熱導出系統(tǒng)進行檢修,使余熱導出系統(tǒng)不可用。
(3)操縱員/電廠員工對工況變換/規(guī)程不了解,對縱深防御措施不清楚,如未能保障換料大廳通風以及空調(diào)系統(tǒng)的可運行性,設備閘門、人員閘門和貫穿件失去關(guān)閉能力。
1.1.2 失去水裝量的風險因素
在停堆期間,一回路的邊界已擴展到衰變熱導出管路、乏燃料池、換料水箱及其它相關(guān)的系統(tǒng),這種情況使得水裝量喪失的風險大大增加。業(yè)界曾發(fā)生了水意外排到換料水箱、安全殼地坑、安注箱及安全殼噴淋系統(tǒng)等事件。一回路水裝量快速喪失可能導致安全殼內(nèi)的輻射水平顯著升高。下面是常見的幾種誤操作。
(1)閥門誤操作,不可控地改變一回路流道,導致一回路水裝量快速喪失。
(2)換料水池充水前,未對反應堆水池密封、蒸汽發(fā)生器堵板和其它接管堵板等進行檢查或安裝后試驗,導致出現(xiàn)水裝量泄漏。
(3)下列情形下,主系統(tǒng)水位控制不當或意外排水到余熱導出系統(tǒng),導致失去衰變熱導出能力。
1)在反應堆頂蓋吊運前,排水至壓力容器法蘭面以下;
2)堆芯水位處在主管道中心線水位(稱低水位);
3)一回路水位處于與反應堆壓力殼連接的熱端上部以下;
4)關(guān)閉一回路隔離閥;
5)安裝蒸汽發(fā)生器一次側(cè)堵板。
(4)失去乏燃料池和反應堆水池的水裝量。即換料水池和乏燃料水池氣閘門的氣源不可靠,無后備氣源(如氮氣),未考慮水池密封加流量限制和圍堰等其它緩解措施。
1.1.3 電源可靠性風險因素
在停堆狀態(tài)下,交流電源維持堆芯和乏燃料池的冷卻,并把衰變熱傳輸?shù)綗嶷逯?,使安全殼保持密封,并支持其它重要功能。許多事件與人員差錯引起重要系統(tǒng)失電有關(guān),如大修計劃未能提供冗余的交流電源(縱深防御),對停堆期間安全功能的關(guān)鍵系統(tǒng)其交流和直流電源未得到保證,對失去交流電源的事件缺少規(guī)程和演練。
典型的高風險作業(yè),如開關(guān)站、變壓器和電氣設備工作未安裝警告信號或采取實體屏障,在多路電路停役的情況下在電廠唯一廠外電源的動力線路和變壓器上進行維修活動。
1.1.4 反應性控制風險因素
反應性控制主要包括維持反應堆冷卻劑系統(tǒng)和乏燃料池有足夠的停堆裕量以及計劃和控制所有的燃料裝卸活動。壓水堆意外硼稀釋會發(fā)生非預期的反應堆臨界,甚至在控制棒全插入情況下。
典型的風險包括:探測硼稀釋手段(一回路取樣,在線分析和源量程探測器的計數(shù))失效,行政管理控制和計劃安排不當引起意外硼稀釋,無多重的加硼流道可用以響應硼稀釋事件,未定期校驗停堆裕量,在低于最低安全分析溫度期間移動燃料。
在換料期間,由于發(fā)生控制棒和燃料組件裝載錯誤,會引起堆芯臨界而未被源量程探測器探測到。燃料組件跌落、受裝卸料設備撞擊以及在堆芯錯裝位等事件還可能引起人員受超劑量照射以及嚴重的放射性污染。
1.1.5 安全殼密封性風險因素
安全殼在大修的某些階段需要密封,以限制放射性物質(zhì)未受監(jiān)督的釋放。如果安全殼的(設備和人員)閘門以及與大氣相連的貫穿件(一次或二次側(cè))在裝卸料操作期間、堆芯沸騰以及電源不可用時不能保持關(guān)閉狀態(tài),則風險會大大提高。
1.2 人因和管理上的風險
從人因和行政管理上,電廠存在的核安全風險主要涉及大修計劃、人員培訓、文件控制、經(jīng)驗反饋等
大修中電廠內(nèi)的工作人員數(shù)量很多,包括大量的承包商人員,而人總是要犯錯誤的,特別是在大量的操作過程中。因此,事先計劃不充分、文件包準備不足、培訓不足、時間的壓力、任務的壓力等都可能成為風險源。
2 秦山核電廠的核安全風險管理
2.1 系統(tǒng)狀態(tài)控制和大修運行程序
為確保大修期間操縱員有能力去監(jiān)督和控制安全系統(tǒng)及其支持系統(tǒng)的狀態(tài),保證系統(tǒng)的可用性,秦山核電廠在停堆前對操縱員進行了專項培訓。這種培訓在機組長期運行、整個循環(huán)都沒有停機停堆操作的情況下,特別重要。有針對性地安排在全尺寸模擬機上進行停堆操作、停堆過程中預定試驗的操作、備用系統(tǒng)投切、系統(tǒng)和設備的隔離、操縱員的溝通配合演練等,并設計一些異常和故障處理,使操縱員提前進入實戰(zhàn)演習,培養(yǎng)和考驗操縱員的心理和應變能力,將有助于提高操縱員工作水平,減少人因失誤。
讓操縱員提前了解大修項目和可能面對的困難,審查關(guān)鍵路徑、主隔離、技術(shù)規(guī)格書隔離窗、冗余系統(tǒng)的狀態(tài)、縱深防御措施,可以使操縱員了解大修中的關(guān)鍵設備和參數(shù)并加強監(jiān)視。同時,編制應急操作程序,減少核安全風險。
國外一些電廠采用psa技術(shù)對一些風險因子較高的大修狀態(tài)進行分析。通過psa評價,確保風險重要的系統(tǒng)和設備得到足夠的重視,使大修活動盡量不增加電廠風險。例如,用psa確定大修計劃的優(yōu)先順序,即通過系統(tǒng)和設備的風險重要度來指導維修活動的編排,或用psa技術(shù)監(jiān)視維修和試驗活動帶來的風險變化,估計累積堆芯損傷概率(cdf),并預先采取必要的緩解措施。秦山核電廠剛剛完成一級psa分析,條件成熟后將考慮應用psa成果到大修中。?考慮縱深防御措施是對系統(tǒng)狀態(tài)實施有效控制的最佳策略,如考慮安全系列、電源序列、關(guān)鍵安全功能的設備的冗余,利用報警和指示向運行人員提醒需要縱深防御的系統(tǒng)的問題,如臨時采用ups和后備交流電源,以減少發(fā)生失去電源事件的風險。秦山核電廠在日計劃中列出安全系統(tǒng)的可利用性和設備的狀態(tài)報告,以幫助運行人員維持和提高電廠部件和系統(tǒng)的可運行性。
除了正常運行規(guī)程(op)、異常處理規(guī)程(aop)、事故處理規(guī)程(eop)外,秦山核電廠還專門針對大修開發(fā)了大修運行程序,特別是對重要的操作都準備了操作票。
2.2 大修計劃和關(guān)鍵路徑
事實證明,應至少提前一年準備大修計劃,大修計劃要得到各方人員的支持,以保證系統(tǒng)可利用率符合管理層的核安全期望值、程序要求和技術(shù)規(guī)格書要求。大修計劃要結(jié)合以往大修的經(jīng)驗教訓進行制訂和優(yōu)化,好的大修進度計劃可準確到小時而且不需要經(jīng)常修改,不但總進度誤差小,各分項目的進度計劃誤差也要求盡量做到很小。
隔離窗口或大修里程碑已證明在制訂大修總體進度計劃是很有用的。隔離窗口的大小和組成由系統(tǒng)滿足停堆安全要求而定,隔離窗口或大修里程碑計劃是一種進度安排的技巧,在一臺設備或一個系統(tǒng)通道上安排的維修、在役檢查和試驗工作被安排在大修中的某個時間段進行。例如:在大修某個時間段內(nèi)安排應急柴油發(fā)電機(edg)退出,在此系統(tǒng)窗口中同時安排由edg供電的安全設備的維修或試驗。某些電廠對系統(tǒng)窗口起渾號“保護傘”,表明在保護傘下進行活動,既滿足停堆安全要求,也保證在隔離窗口或里程碑終點前可安排品質(zhì)再鑒定和功能驗收,而不至于將所有試驗拖延到大修近結(jié)束時進行,有效地保證大修計劃的完成。
根據(jù)國際上的運行經(jīng)驗,單靠嚴格地遵守技術(shù)規(guī)格書的要求也許不能完全保證大修期間的安全裕量。因此,在進度計劃制訂期間,應明確規(guī)定大修期間必須確保安全功能可用的系統(tǒng),如衰變熱的導出、中子監(jiān)測、維持停堆裕度、反應堆系統(tǒng)水位監(jiān)測和控制、正常和備用電源、對人員安全必要的系統(tǒng)和部件(設備隔離或放射性要求)以及安全殼完整性要求、公用水/冷卻水的可利用性等。
失去連續(xù)冷卻手段將導致冷卻劑因過熱而損耗,最終將導致堆芯裸露燒毀。為避免這種情況的發(fā)生,大修計劃應充分保證停堆冷卻系統(tǒng)上的工作處于嚴格控制之中,并保障最低的冷卻系統(tǒng)要求。在冷卻系統(tǒng)(包括廢燃料冷卻系統(tǒng))上的工作,必須嚴格按照計劃進行。處于運行或備用的冷卻系統(tǒng)及其支持系統(tǒng)應處于良好的保護之中,應有適當?shù)膾炫苹蚋綦x圍欄等設施。在堆芯水位降低過程中,盡量避免停堆冷卻系統(tǒng)或其它冷卻系統(tǒng)上的試驗工作,避免造成擾動而影響系統(tǒng)的冷卻。
在堆芯水位降低過程中,如果失去了堆芯余熱排出的手段,將有可能在短時間內(nèi)導致堆芯溫度的升高,甚至損壞燃料。在換料期間,冷卻劑的邊界相應地延伸到停堆冷卻系統(tǒng)、燃料運輸通道、廢燃料系統(tǒng),所以除保證必要的系統(tǒng)維持在可運行狀態(tài)外,尚需注意以下事項:
(1)在降低堆芯水位之前,計劃上應保證堆芯有足夠長的衰變余熱排出時間,盡量使堆芯金屬溫度穩(wěn)定在環(huán)境溫度的水平;
(2)在堆芯有料期間,為防止主系統(tǒng)跑水,應保證停堆冷卻系統(tǒng)能從安全殼地坑吸水;
(3)在低水位期間,應盡量避免同堆芯相關(guān)聯(lián)的系統(tǒng)的試驗、頻繁啟動等操作,以免造成波動導致水裝量的變化。
電源是安全的最重要要素之一,電源的失去將有可能導致嚴重事故的發(fā)生。所以,從計劃上或行動上應確保換料大修期間的任何活動不會導致關(guān)鍵電源系統(tǒng)的喪失。特別需注意下列事項:
(1)任何有可能導致關(guān)鍵配電系統(tǒng)喪失的活動,必須處在可控條件之下,所有的這些活動都是嚴格按計劃進行的;
(2)安全電源系統(tǒng)上的工作是按計劃分列進行的,而不是并列進行的,避免同時失去安全電源;
(3)當只有一列電源系統(tǒng)處在運行狀態(tài)時,此系列電源區(qū)域應有良好的保護措施,如醒目的標志、隔離措施、圍欄、房間上鎖、人員控制等;
(4)相關(guān)的試驗活動應盡量避免,以免造成電源的喪失。
保證反應性控制也是停堆安全的一個重要因素。意外的硼稀釋事故將導致停堆裕度的降低,嚴重的有可能導致反應堆重返臨界,使人員遭受意外的劑量照射,甚至可能損壞燃料元件等。除必須保證必要的系統(tǒng)處在可運行狀態(tài)外,尚需注意下列事項:
(1)可能導致意外硼稀釋事故的系統(tǒng)必須同冷卻劑系統(tǒng)隔離掛牌,相關(guān)閥門應上鎖;
(2)必須保證有硼注入系統(tǒng)處于可運行狀態(tài),在硼濃度意外降低情況下,能保證按一定的流量,將高濃度硼注入堆芯;
(3)換料現(xiàn)場和主控室應有臨界監(jiān)測系統(tǒng),主控室和現(xiàn)場之間的聯(lián)系保持通暢;
(4)裝卸料操作嚴格按換料方案進行,移出堆芯的燃料按規(guī)定放置。
安全殼是防止放射性外泄的最后一道屏障,關(guān)閉安全殼是減少放射性釋放的最基本也是最有效的方法。一般情況下,安全殼的完整性不應該被破壞。但當由于檢修而破壞了安全殼的完整性時,工作前應準備相應的措施或作其他準備,在需要的時候,能快速恢復安全殼的完整性。只要堆芯有料,計劃上就應盡量避免安排貫穿件、隔離閥等檢修工作,以免破壞安全殼的完整性。即使需要,也應有手段快速恢復安全殼的隔離。
2.3 大修的培訓和經(jīng)驗反饋
大修核安全有關(guān)的培訓應包括余熱排出、廠外電源、反應堆冷卻劑裝量、燃料池的裝量和反應性控制或停堆裕量事件以及低水位運行和為防止意外硼稀釋方面的培訓。外部運行經(jīng)驗應反映到培訓中去,特別是對非經(jīng)常工作和關(guān)鍵項目,應考慮給予專門的培訓,并采用班前會進行復習。
電廠人員,包括承包商和其它臨時指派去支持大修的人員,需要進行大修核安全方面的培訓。他們應了解縱深防御的概念,在大修期間提供縱深防御的系統(tǒng)或部件以及風險預防或限制措施。應使培訓人員了解停堆工況下堆芯毀損的潛在危險和事件的潛在后果。培訓中應強調(diào)怎樣去避免這些事件,并包括停堆期間可能發(fā)生事件的響應頻譜。
大修中應每天提醒昨日的經(jīng)驗和近日的主要風險,特別是歷史上已經(jīng)出過的事件、人因事件等是防范的重點。以下是典型的提醒項目:? 降功率過程中注意的問題;
防意外硼稀釋和意外人員輻照;
人因失誤的十大誘因;
低水位的變化及控制;
承包商問題及監(jiān)管;
國外電廠在卸料過程中出現(xiàn)的問題;
防異物管理;
人因失誤十大誘因之一:時間緊迫;
低水位閥門檢修時防止意外跑水;
工業(yè)安全;
容器及狹小空間內(nèi)作業(yè);
起吊作業(yè);
人因失誤十大誘因之二:任務繁重;
輻射防護;
乏燃料池冷卻系統(tǒng)的運行;
驗收——應急柴油機系統(tǒng);
驗收——接線錯誤。
2.4 大修控制點
對大修的一些關(guān)鍵點設置控制點和停工待檢點是一種規(guī)避風險的好做法。秦山核電廠根據(jù)大修進度計劃,設置了10多個控制檢查點。包括反應堆開蓋、頂蓋吊運、壓緊部件吊運、吊籃部件吊運、卸料、裝料、堆芯核查、反應堆合蓋、升溫升壓、臨界、并網(wǎng)等控制點,并開發(fā)了相關(guān)控制程序。
在進入設定的控制點前,由運行和檢修部門按相關(guān)程序完成系統(tǒng)/設備條件的準備、檢查及確認工作,確認控制點轉(zhuǎn)換條件滿足,由工作負責人填寫《控制點轉(zhuǎn)換申請單》,再由核安全工程師對控制點條件進行獨立驗證。如控制點條件不滿足要求,不得進行控制點轉(zhuǎn)換。當控制點控制條件滿足后,核安全工程師驗證后將許可單提交大修核安全經(jīng)理確認簽字,再經(jīng)大修經(jīng)理許可釋放控制點,授權(quán)工作負責人進行節(jié)點轉(zhuǎn)換。以下是典型的控制點。
(1)裝卸料控制點
裝卸料前應充分保證相關(guān)系統(tǒng)和設備的可運行性,從而保證有充分的手段控制余熱的排出、堆芯水裝量的維持、反應性的控制、安全殼完整性以及電源的保證。同時,為避免燃料操作事故的發(fā)生,裝卸料工具必須經(jīng)過操作前的驗證,操作人員已經(jīng)過培訓,通訊系統(tǒng)暢通,撤離警告裝置正常以及撤離通道順暢。并且,卸料前已進行相關(guān)的應急演練。
在燃料運輸中防止錯裝料所采取的步驟包括以下幾條:
1)使用規(guī)程和詳細的燃料移動計劃,特別對不用的或很少用的操作,包括人員職責和專門安全措施的安全手冊能有助于減少燃料裝卸的事件;
2)在堆內(nèi)移動燃料或燃料運輸以前,對換料人員進行培訓;
3)在所有裝卸料操作期間,保持換料水池的清潔度;
4)在燃料運輸前,對所有裝卸料設備進行全面的檢查和標定,包括水下運輸設備的檢查;
5)使用輔助設備,諸如使用雙筒望遠鏡或水下電視去觀察燃料裝卸設備的工作情況,以及核實燃料組件移動的自由度。
因此,卸料控制點至少應檢查以下系統(tǒng)和設備:乏燃料池冷卻系統(tǒng)、設冷水系統(tǒng)、一回路海水系統(tǒng)、停堆冷卻系統(tǒng)、乏燃料池補水系統(tǒng)、換料水池水位、乏燃料池水位、外電源、柴油發(fā)電機、交流電源、直流電源、硼水源、硼水注入通道、源量程監(jiān)測儀、燃料操作事故輻射監(jiān)測系統(tǒng)、通訊、換料水池硼濃度、衰變時間、裝卸料機、燃料廠房吊車、安全殼清洗送排風隔離系統(tǒng)、設備閘門、人員閘門、貫穿件、燃料廠房事故排風凈化系統(tǒng)。另外,保持水池區(qū)的清潔度,禁止水池四周高處作業(yè),控制人員數(shù)量也是非常重要的行政管理措施。
(2)重要物項吊運控制點
堆內(nèi)構(gòu)件在吊運前,為保證物項安全移動,必須有充分的手段確認將投入的設備是可靠的。如:
1)長時間停役或經(jīng)檢修改造后設備(如環(huán)吊、裝卸料機)已經(jīng)按相關(guān)的制度進行了品質(zhì)鑒定和功能性試驗,且試驗合格;
2)原備用或運行系統(tǒng)一直按正常的定期試驗要求進行試驗,試驗期限在規(guī)定的有效期內(nèi);
3)吊具經(jīng)過檢定和充分的試驗;
4)計算機控制軟件經(jīng)過充分的驗證;
5)吊運人員資格符合要求,指揮人員有特別標記;
6)輻射監(jiān)測系統(tǒng)就緒,監(jiān)測人員到位;
7)徹底檢查是否還有異物,連接電纜是否已脫開;
8)培訓、演練、演習已完成;
9)由指揮負責組織各小組按系統(tǒng)、設備、清潔、程序進行安全與質(zhì)量檢查,且已合格。
(3)臨界控制點
反應堆進入臨界,意味著核加熱運行的開始。此階段的運行,應特別注意任何操作可能帶來的核風險。在進入臨界前,應充分保證反應性控制系統(tǒng)、堆芯冷卻系統(tǒng)、屏障系統(tǒng)的可運行性。進入臨界前至少應檢查下列項目:停堆深度、冷卻劑平均溫度、控制棒、棒位指示器通道、落棒時間、rcs、pzr安全閥、氫氣分析器、消氫系統(tǒng)、氫氣混合系統(tǒng)。
3 結(jié)束語
事實證明,有效的大修計劃、完備的規(guī)程體系、嚴格遵守規(guī)程、有效利用經(jīng)驗反饋信息、加強人員培訓和演習以及預先設置大修過程控制點、核安全監(jiān)督人員獨立驗證、采取專項交叉檢查等手段,加上良好的安全文化、保守決策、縱深防御、風險分析與防范,都能有效地緩解大修中的核安全風險,確保核電廠滿足技術(shù)規(guī)格書運行限制條件和整個換料大修期間的運行安全。