楊永燈

（中核核電運行管理有限公司，海鹽 314300）

運行技術(shù)規(guī)范是在核電廠機組正常運行期間，為確保公眾與工作人員的安全所必須遵守的最低技術(shù)規(guī)則。這些規(guī)則的執(zhí)行能夠確保重要的安全系統(tǒng)在異?；蚴鹿使r下正確運行。嚴格遵守運行技術(shù)規(guī)范是保證機組在整個壽期內(nèi)運行安全所必須遵循的原則。但是，目前在核電廠運行實踐中違反運行技術(shù)規(guī)格書的執(zhí)照運行事件時有發(fā)生。這些事件的發(fā)生多數(shù)源于設(shè)備管理方面存在不可用記錄不規(guī)范或不正確等問題。因此，規(guī)范和完善核電廠系統(tǒng)設(shè)備不可用管理就顯得極為重要。

1 核電廠運行技術(shù)規(guī)范簡介

1.1 核電廠運行技術(shù)規(guī)范

核電廠運行的安全總目標是維持設(shè)計確定的安全水平，并可以通過運行中的經(jīng)驗反饋加以改進。核電廠為了實現(xiàn)這一總目標，制訂了一系列的運行規(guī)范，其中之一就是運行技術(shù)規(guī)范（一般運行技術(shù)規(guī)格書等同于或包含運行技術(shù)規(guī)范）［1］。

1.2 不可用

一般說來，如果可以證明某一設(shè)備或系統(tǒng)能及時地執(zhí)行設(shè)計賦予的特定功能，同時又具備所要求的性能水平，則認為（部件、設(shè)備或系統(tǒng)的）安全功能是可用的，特別是該系統(tǒng)或設(shè)備功能所必需的儀控設(shè)備和輔助設(shè)備是可用的。安全功能不能滿足上述可用性定義中規(guī)定的所有條件時，則視其為不可用。所有與各個運行模式（狀態(tài)）相關(guān)的安全要求不一致的情況（要求的安全功能的不可用，或超出正常運行限值）均被稱為“事件”。通常也簡稱“不可用”“I0”。

不可用事件由4部分內(nèi)容組成：事件、初始運行狀態(tài)、退防狀態(tài)、退防時限。I0分為兩組，第一組和第二組，會導致三道屏障（燃料包殼、一回路壓力邊界、反應(yīng)堆廠房）損壞的風險增加的I0屬于第一組I0，不屬于第一組的I0屬于第二組。I0按性質(zhì)又分為隨機I0、計劃I0和其他I0。

2 核電廠I0管理總體原則

2.1 核安全法規(guī)要求與電廠管理要求

《核安全法》規(guī)定核設(shè)施營運單位取得核設(shè)施運行許可證后，應(yīng)當按照許可證的規(guī)定運行。國務(wù)院核安全監(jiān)督管理部門和其他有關(guān)部門應(yīng)當對從事核安全活動單位遵守核安全法律、行政法規(guī)、規(guī)章和標準的情況進行監(jiān)督檢查。國務(wù)院核安全監(jiān)督管理部門或者其派出機構(gòu)應(yīng)當向核設(shè)施建造、運行、退役等現(xiàn)場派遣監(jiān)督檢查人員，進行核安全監(jiān)督檢查［2］。《核動力廠運行安全規(guī)定》規(guī)定營運單位必須對安全重要的記錄和報告進行控制管理，要求其必須符合核動力廠質(zhì)量保證有關(guān)法規(guī)的要求［3］。

《核電廠運行質(zhì)量保證大綱》明確運行技術(shù)規(guī)范作為確保機組核安全的基本要求，在生產(chǎn)運行活動中各條款必須得到高度的重視并嚴格貫徹執(zhí)行；運行值長負責組織運行值實施各項生產(chǎn)運行活動，確保機組的運行活動符合運行技術(shù)規(guī)范和電廠管理程序要求；主控制室操縱員在值長的領(lǐng)導下，根據(jù)運行技術(shù)規(guī)格書和運行規(guī)程，管理和執(zhí)行主控室的所有操作；核安全監(jiān)督工程師負責按照核安全法規(guī)、最終安全分析報告和運行技術(shù)規(guī)格書的要求，對電廠生產(chǎn)活動實施核安全監(jiān)督管理。［4］

2.2 I0產(chǎn)生

核電廠在運行期間，必須滿足運行技術(shù)規(guī)范的要求，必須符合當前標準運行狀態(tài)所要求的可用系統(tǒng)設(shè)備配置。當班運行主控室操縱人員的一項職責是識別與診斷出不滿足運行技術(shù)規(guī)范要求的系統(tǒng)設(shè)備不可用。工作人員可以通過定期試驗、報警信號、監(jiān)督檢查、預(yù)防性維修等任何方法發(fā)現(xiàn)系統(tǒng)設(shè)備不可用。

2.3 I0記錄與響應(yīng)

當確定系統(tǒng)設(shè)備不可用后，工作人員需要按要求記錄I0，并采取事件要求的措施，保證機組處于滿足運行技術(shù)規(guī)范要求的安全狀態(tài)。記錄與響應(yīng)要求如下：

（1）I0產(chǎn)生時，工作人員需在運行日志電子系統(tǒng)中及時記錄事件。I0記錄一般包含事件（事件原因與內(nèi)容）、初始運行狀態(tài)（開始狀態(tài)）、退防狀態(tài)、退防時限、開始時間、結(jié)束時間、組別、性質(zhì)、設(shè)備代碼、事件代碼等。

（2）一旦發(fā)現(xiàn)一個設(shè)備不可用時，核電廠必須確保其冗余設(shè)備的可用性。

（3）產(chǎn)生多個I0時，核電廠必須遵照運行技術(shù)規(guī)范規(guī)定進行多個事件累計，并采取相應(yīng)的措施。

（4）當不可用設(shè)備或系統(tǒng)的維修已結(jié)束，且再鑒定試驗的結(jié)果滿足要求，或者反應(yīng)堆已達到不需要該設(shè)備或系統(tǒng)的安全狀態(tài)時，就意味著該事件已結(jié)束。

（5）當不可用設(shè)備或系統(tǒng)的維修時間將超過退防時限或允許的維修時間時，核電廠應(yīng)在盡可能短的時間內(nèi)實施后撤或采取相應(yīng)的緩解措施。

（6）達到退防狀態(tài)后，在核電廠設(shè)備未修復時，核電廠應(yīng)維持退防狀態(tài)，不得向其他狀態(tài)轉(zhuǎn)換。

（7）當達到退防時限要求或檢修時間超出檢修時間要求時，核電廠應(yīng)按照要求進行后撤或采取進一步措施。當不滿足運行技術(shù)規(guī)格書要求時，核電廠需要向國家核安全局報告執(zhí)照運行事件。

3 I0記錄與管理問題

在核電廠進行內(nèi)部監(jiān)督檢查以及國家核安全局與地區(qū)監(jiān)督站在對國內(nèi)運行核電機組進行專項核安全檢查或臨界前核安全檢查時，經(jīng)常發(fā)現(xiàn)核電廠營運單位在I0記錄與管理上存在不規(guī)范與不正確的問題，涉及事件原因、開始狀態(tài)、退防狀態(tài)、開始時間、結(jié)束時間、組別、性質(zhì)、設(shè)備代碼、事件代碼等，詳見表1。

表1 I0記錄問題及原因分析Table 1 The I0 records problem and reason analysis

實例：（1）某核電廠2號機組處于NS/SG模式，2018/1/2 7:10至7:58，配合2RCP系統(tǒng)主泵惰走試驗，導致3臺主泵停運。工作人員記錄第一組計劃事件RCP6，開始狀態(tài)錯誤地記錄為NS/RRA模式，退防狀態(tài)錯誤地記錄為不適用。（2）某核電廠1號機組2018/12/3 14:11至15:16，機組處于RP模式，執(zhí)行試驗PT1LLS002，關(guān)閉2RIS274VB，導致水壓試驗泵不可用。工作人員記錄第一組計劃事件RIS5，事件原因描述“關(guān)閉2RIS274VB”與《安全相關(guān)系統(tǒng)和設(shè)備定期試驗監(jiān)督要求》中的描述“LLS002JS斷開”不符。（3）某核電廠2號機組2016年，有些I0記錄時開始時間/消除時間記錄錯誤，開始時間大于或等于消除時間，例如事件REN1，執(zhí)行PT2RPB040導致硼表不可用，開始時間2016/4/11 20:00，結(jié)束時間2016/4/11 08:06。

4 問題分析與改進

4.1 I0記錄管理分析與改進

上述I0記錄問題可分為I0記錄不規(guī)范和I0記錄不正確兩類，下面本文分別進行分析并提出改進建議。

I0記錄不規(guī)范和I0記錄不正確問題源于記錄人員的人因失誤。核電廠人因失誤中分為技能型失誤、規(guī)則型失誤和知識型失誤［5］。技能型失誤是指在進行一些經(jīng)常的、簡單的、熟練的操作過程中所犯的錯誤。導致這類失誤的原因通常是注意力不集中，或注意力僅集中于某一點而忽視其他方面。規(guī)則型失誤是指按規(guī)則進行操作時所犯的失誤，主要是由于運行技術(shù)規(guī)范中有些I0的規(guī)定不夠清晰導致進行I0記錄時不統(tǒng)一或不規(guī)范。知識型失誤是指人們通過分析、判斷來解決問題的過程中所犯的失誤。這類失誤通常是由于工作人員的知識欠缺、經(jīng)驗不足、成見或偏見等因素造成。

4.1.1 I0記錄不規(guī)范

I0記錄問題中大多數(shù)為記錄不規(guī)范問題，分析其原因主要涉及人員行為不足和技術(shù)規(guī)定要求不明確兩個方面，對應(yīng)技能型失誤和規(guī)則型失誤。

I0記錄不規(guī)范問題涉及：機組號記錄錯誤、事件的技術(shù)規(guī)范代碼錯誤、同一個事件對應(yīng)的設(shè)備編碼記錄不統(tǒng)一或設(shè)備編碼有誤、導致設(shè)備不可用的原因不正確或不清晰、開始狀態(tài)填寫錯誤、退防狀態(tài)填寫錯誤、開始時間填寫錯誤、退防時限填寫錯誤、結(jié)束時間填寫錯誤、事件性質(zhì)填寫錯誤、事件組別填寫錯誤。這些問題中大部分屬于技能型失誤，其余部分屬于規(guī)則型失誤。當技術(shù)文件與管理要求等規(guī)則明確之后，這些規(guī)則型失誤則變成技能型失誤。

國內(nèi)有些核電廠機組的運行技術(shù)規(guī)范中每個事件的組別沒有單獨明確，按照退防時限或維修時限的長短來確定，小于15天的為第一組，大于等于15天的為第二組，一些有特別注釋說明的以注釋說明為準。這里存在一些問題：有些事件沒有退防時限或維修時限，但有一些補充要求，使得這些事件的退防時限和組別變得不清晰，也就是規(guī)則不明確。例如功率運行狀態(tài)下硼表不可用的技術(shù)規(guī)范代碼為REN1，退防狀態(tài)不適用，退防時限無，但有兩條補充要求“（1）停止任何稀釋操作，但控制棒處于自動控制模式下穩(wěn)定功率運行時除外；（2）必須每8小時對主回路冷卻劑的硼濃度進行手動取樣分析”。這就帶來兩個問題：一是退防時限如何記錄，有的認為是“不適用”或“無”，有的則認為是8小時；二是組別如何記錄，屬于第一組還是第二組。技術(shù)規(guī)定條款的不清晰可能導致I0記錄出現(xiàn)不規(guī)范或不統(tǒng)一。因此，核電廠需要對運行技術(shù)規(guī)范進行優(yōu)化完善，對不清晰的技術(shù)規(guī)定條款進行明確。

事件原因記錄不規(guī)范問題，主要是由于一項工作的多個操作步驟均會導致事件的產(chǎn)生，不同的人在記錄這個事件時會有不同的描述，建議事件原因填寫導致產(chǎn)生事件的第一個操作步驟事項。

減少和避免I0記錄不規(guī)范問題，一方面可以通過使用防人因失誤工具——自檢、遵守和使用規(guī)程、不確定時暫停、他檢以及獨立驗證，另一方面在技術(shù)文件和管理上進行優(yōu)化，修訂運行技術(shù)規(guī)范，編制并完善相關(guān)的管理程序和管理通告等。此外，運行部門定期或不定期開展I0記錄自查工作，以及核安全監(jiān)督部門定期或不定期獨立核查I0記錄情況也可以減少和避免I0記錄不規(guī)范問題。

4.1.2 I0記錄不正確

I0記錄不正確問題的原因主要是人員行為不足和人員知識技能不足，這兩方面不足對應(yīng)技能型失誤和知識型失誤。

I0性質(zhì)的記錄不正確的原因在于：一是對計劃性I0的理解不夠充分，認為只要是計劃提前安排的工作產(chǎn)生的I0就是計劃性的；二是多項工作同時開展產(chǎn)生的I0性質(zhì)不明確，即同時開展糾正性維修工作和預(yù)防性維修工作，產(chǎn)生的I0是屬于計劃I0還是隨機I0不太明確。對于以上情況，對應(yīng)的一種管理方式是：凡是同時開展糾正性維修工作和預(yù)防性維修工作，產(chǎn)生的事件均屬于隨機事件。另一種管理方式是：根據(jù)故障缺陷的影響開展維修工作的時機進行分別考慮，當缺陷未立即導致設(shè)備不可用，維修工作與預(yù)防項目一起開展時，產(chǎn)生的I0性質(zhì)為計劃性；當缺陷立即導致設(shè)備不可用，必須立即記錄隨機I0，后續(xù)的檢修導致的I0也是隨機性，無論是否與預(yù)防性維修項目同時開展，都是隨機性的。

I0記錄不正確的一種特別情況是未按要求記錄事件，包含I0記錄遺漏和未識別出事件兩種情形。未識別出事件情況實例：2020年1月國內(nèi)某核電廠2號機組核島400 V調(diào)壓變壓器配電盤C相6個調(diào)壓臂中的主調(diào)壓臂不動作，配電盤就地C相電壓正常，認為核島400 V調(diào)壓變壓器配電盤可用，之后，檢查確認不能正常響應(yīng)電壓變化，確認核島400 V調(diào)壓變壓器配電盤不可用，導致一起執(zhí)照運行事件——某核電廠2號機組存在第一組事件情況下執(zhí)行產(chǎn)生第一組事件的定期試驗導致不滿足運行技術(shù)規(guī)范要求。該事件的直接原因是維修人員沒有準確判斷調(diào)壓變壓器已失去調(diào)壓功能，導致運行人員沒有及時記錄核島400 V調(diào)壓變壓器核電廠的第一組I0。根本原因是相關(guān)部門在核島400 V調(diào)壓變壓器的可用性管理方面存在不足。

如何才能避免因為未識別出事件而未能及時正確地記錄事件導致發(fā)生違反運行技術(shù)規(guī)格書的執(zhí)照運行事件呢？核電廠首先應(yīng)通過巡檢、試驗等各種方式及時發(fā)現(xiàn)系統(tǒng)設(shè)備的故障和缺陷，對缺陷保持敏感；其次，應(yīng)全面分析缺陷故障對系統(tǒng)設(shè)備實現(xiàn)其功能的影響，正確判斷系統(tǒng)設(shè)備的可用性。設(shè)備可用性判定需要建立一套有效可行的管理流程，避免因個人知識和技能不全面導致判斷不準確。

4.1.3 可用性判定

主控室是核電廠機組信息收集中心，當出現(xiàn)導致或可能導致產(chǎn)生I0的故障，主控室應(yīng)判斷是否導致產(chǎn)生I0，若不能做出判斷則立即啟動設(shè)備可用性判定流程，由運行人員、維修人員、技術(shù)人員、核安全監(jiān)督人員等專業(yè)人員給出分析與結(jié)論。這樣可以避免和減少在I0分析判斷過程中出現(xiàn)失誤。在可用性判定過程中，當班值長和核安全監(jiān)督工程師可以做出正確判斷的前提條件是維修人員或技術(shù)人員對故障的檢查、描述與分析必須全面和客觀。同時，這里需要注意的是，主控室人員在知道系統(tǒng)設(shè)備故障后做初步判斷是否導致產(chǎn)生I0時應(yīng)該保守決策，否則可能錯誤地確定不會導致產(chǎn)生I0，并決定不啟動可用性判定流程。

判斷設(shè)備可用性的一般原則，或者是需要考慮的因素有以下幾個方面：設(shè)備是否可以實現(xiàn)其安全功能；設(shè)備是否被斷電隔離；設(shè)備性能是否完好；設(shè)備的支持系統(tǒng)是否可用；設(shè)備的重要監(jiān)視儀表是否可用（能夠證明測量參數(shù)在要求范圍之內(nèi)的情況除外）；設(shè)備的動作邏輯（起、停、開、關(guān)等）功能是否完好；設(shè)備的狀態(tài)是否發(fā)生改變；需要投運該設(shè)備時是否需要現(xiàn)場操作；能夠無延時地執(zhí)行其功能；是否在規(guī)定的期限內(nèi)（允許25%的裕度）完成定期試驗監(jiān)督大綱規(guī)定的定期試驗項目；定期試驗結(jié)果是否滿足驗收準則。當任意一項不滿足或不肯定時，就需要考慮啟用設(shè)備可用性判定流程。本文建議核電廠編制和完善《運行技術(shù)規(guī)格書遵守》管理程序和相應(yīng)管理通告、技術(shù)通告等，特別是關(guān)于系統(tǒng)設(shè)備可用性判定流程。

4.2 影響I0記錄的其他因素

世界核運營者協(xié)會為衡量核電廠在安全性、可靠性以及人員安全方面的業(yè)績制訂了一套量化的指標——WANO指標。我國為了更好地維護核電廠安全，保證核電廠安全、穩(wěn)定、可靠運行，確保核電廠運行期間公眾的輻射健康與安全，建立了運行安全性能指標體系［6］。這些指標涉及安全系統(tǒng)不可用相關(guān)指標。在實踐中，核電廠要避免為了取得好的指標排名或者因為公司內(nèi)部考核，而不能如實地、正確地記錄I0。

核電廠應(yīng)加強管理，推崇開放透明的核安全文化，定期或不定期地學習與宣貫相應(yīng)的管理程序和管理通告；從根本上減少系統(tǒng)設(shè)備不可用的產(chǎn)生；從運行管理、檢修質(zhì)量、設(shè)備質(zhì)量、備件質(zhì)量等方面考慮，減少設(shè)備故障和重復維修，保證設(shè)備可靠運行，從而保證核電廠機組安全、穩(wěn)定、可靠運行，提高核電廠業(yè)績。

5 結(jié)論

本文提出了運行核電廠關(guān)于系統(tǒng)設(shè)備不可用I0記錄和管理上存在的問題，詳細分析了問題產(chǎn)生的原因和影響因素，并針對各類問題給出了改進建議。這些改進建議的實施可以使核電廠的I0記錄與管理日趨完善，保證運行技術(shù)規(guī)格書得到遵守，核電廠機組運行安全得到保證。本文對運行核電廠尤其是新建成的運行核電廠的運行管理有一定的借鑒意義，也對核安全監(jiān)督管理部門對核電廠的監(jiān)督管理有一定的參考意義。I0記錄還涉及限制條件相關(guān)的I0記錄問題，有待核電廠、設(shè)計院及核安全監(jiān)督管理部門進一步溝通對相應(yīng)的管理要求進行優(yōu)化與完善。