張迅

（江蘇核電有限公司，江蘇連云港 222000）

0 引言

當(dāng)前田灣核電站的SAMG（Severe Accident Management Guidance，嚴(yán)重事故管理導(dǎo)則）是以國際普遍使用的嚴(yán)重事故管理導(dǎo)致框架為參考，同時結(jié)合電廠特定的系統(tǒng)和設(shè)備特點而進行開發(fā)的。田灣核電站的1 號、2 號機組是俄羅斯設(shè)計的VVER-1000 機組，也是世界上第一個正式運行的AES-91 型壓水堆核電機組，在系統(tǒng)設(shè)計上與國內(nèi)外其他核電廠有明顯差異。為滿足現(xiàn)場的運行實際的需要，田灣核電站的SAMG 在應(yīng)用中也針對這些差異做了適應(yīng)性優(yōu)化，但在實踐過程中還存在一些問題。

1 嚴(yán)重事故管理導(dǎo)則

1.1 嚴(yán)重事故簡介

嚴(yán)重事故是嚴(yán)重性超過設(shè)計基準(zhǔn)事故并造成堆芯明顯惡化的事故工況。反應(yīng)堆運行過程中，如果發(fā)生某種事故或瞬態(tài)，專設(shè)安全設(shè)施出現(xiàn)多重故障導(dǎo)致系統(tǒng)功能失效，或操縱員在操作過程中判斷失誤導(dǎo)致人為誤操作，就有可能導(dǎo)致事故繼續(xù)朝著不利的方向發(fā)展。隨著一回路水裝量減少，堆芯裸露繼而無法保證堆芯有效冷卻，導(dǎo)致堆芯過熱損壞，進而發(fā)展成嚴(yán)重事故。

SAMG 是當(dāng)發(fā)生堆芯損傷后達到以下目標(biāo)：①使堆芯返回可控的穩(wěn)定狀態(tài)；②維持或使安全殼回到穩(wěn)定的可控狀態(tài)；③終止放射性裂變產(chǎn)物釋放；④盡量將裂變產(chǎn)物釋放減少到最小和使設(shè)備及監(jiān)測能力最大化。

1.2 嚴(yán)重事故管理導(dǎo)則的框架

根據(jù)事故的嚴(yán)重程度劃分出不同的事故階段，田灣核電站的事故管理分別采用不同的程序與文件進行管控（圖1）。SAMG是介于EOP（Emergency Operating Procedure，應(yīng)急運行規(guī)程）與EP（Emergency Plan，應(yīng)急計劃）之間的指導(dǎo)性文件，既不像EOP一樣需要嚴(yán)格遵照執(zhí)行，也不像EP 樣偏重于組織管理。它給出的是對應(yīng)于堆芯和安全殼不同狀態(tài)的建議及正面、負(fù)面影響，至于如何采取措施則由主控室或技術(shù)支持中心決定。

圖1 不同事故階段管控程序與文件

田灣核電站SAMG 為狀態(tài)導(dǎo)向的、全范圍的嚴(yán)重事故管理導(dǎo)則，包括反應(yīng)堆嚴(yán)重事故管理導(dǎo)則和乏燃料水池嚴(yán)重事故管理導(dǎo)則兩部分（圖2）。根據(jù)對反應(yīng)堆及乏燃料水池嚴(yán)重事故的分析，由于反應(yīng)堆及乏燃料水池都位于安全殼內(nèi)，嚴(yán)重事故的現(xiàn)象及緩解措施有一定的相似性，因此將反應(yīng)堆及乏燃料水池嚴(yán)重事故管理導(dǎo)則合并在一起，在一個邏輯框架下考慮反應(yīng)堆和乏燃料水池的嚴(yán)重事故管理。

圖2 田灣核電站SAMG 文件體系

田灣核電站反應(yīng)堆嚴(yán)重事故管理導(dǎo)則包括MCR（Main Control Room，主控室）使用部分和TSC（Technical Support Center，技術(shù)支持中心）使用部分，其中前者包括TSC 人員未到位時的初始響應(yīng)導(dǎo)則和TSC 人員到位后的處理導(dǎo)則，而后者包括初始階段嚴(yán)重事故的診斷和處理導(dǎo)則、安全屏障受到嚴(yán)重威脅時的診斷和處理導(dǎo)則、嚴(yán)重事故緩解后的長期監(jiān)督和出口導(dǎo)則3個部分（圖3）。

圖3 田灣核電站SAMG 邏輯框架

1.2.1 主控室嚴(yán)重事故管理導(dǎo)則

功率運行工況的主控室嚴(yán)重事故管理導(dǎo)則包括為《主控室嚴(yán)重事故初始響應(yīng)導(dǎo)則（SACRG-1）》和《TSC 正常運作后主控室嚴(yán)重事故導(dǎo)則（SACRG-2）》兩個分導(dǎo)則，具體采用哪個導(dǎo)則取決于TSC 的狀態(tài)。核電廠停堆工況余排系統(tǒng)接入時，采用導(dǎo)則SACRG-3 替代SACRG-1。

SACRG-1/3 是主控室從EOP 轉(zhuǎn)到SAMG 的入口。在進入SACRG-1/3 之后，主控室首先執(zhí)行一些需要立即執(zhí)行的操作，然后檢查TSC 的狀態(tài)。如果堆芯損壞發(fā)生得很快，TSC 人員可能還沒有做好準(zhǔn)備，主控室將執(zhí)行SACRG-1/3 的后續(xù)步驟。如果確認(rèn)TSC 此時已就位，則主控室進入SACRG-2 進行相關(guān)操作。

1.2.2 TSC 嚴(yán)重事故診斷與嚴(yán)重事故管理導(dǎo)則

TSC 有兩個工具進行嚴(yán)重事故診斷，分別為DFC（Diagnostic Flow Chart，診斷流程圖）和SCST（嚴(yán)重威脅狀態(tài)樹）。

（1）DFC 是診斷電廠狀態(tài)、判斷電廠是否達到可控穩(wěn)定狀態(tài)以及對安全殼裂變產(chǎn)物邊界的可能威脅進行早期診斷的主要工具。在嚴(yán)重事故進程中，DFC 對一些關(guān)鍵參數(shù)進行監(jiān)測和控制。每一個DFC 參數(shù)都需要定期監(jiān)測，直到所有參數(shù)達到設(shè)定值，此時電廠宣布達到了可控穩(wěn)定狀態(tài)。

（2）SCST 是在診斷安全殼裂變產(chǎn)物邊界直接的、嚴(yán)重的威脅時使用的主要工具。SCST 確定了在嚴(yán)重事故下所有可能出現(xiàn)的電廠狀態(tài)的嚴(yán)重威脅。相較于DFC，SCST 用于監(jiān)測更嚴(yán)重的電廠狀態(tài)。SCST 中的參數(shù)需要經(jīng)常監(jiān)測，確認(rèn)是否已經(jīng)發(fā)展成一種嚴(yán)重威脅。在執(zhí)行DFC 的同時也要進行SCST 參數(shù)的監(jiān)測，如果SCST 中的一個參數(shù)達到了整定值則DFC 中的所有行動暫停，直到SCST 中的威脅已經(jīng)得到處理。

SCST 與DFC 最主要的區(qū)別是策略實施的迫切程度不同：在DFC 中，需要評估策略的正負(fù)面影響，從而確定是否實施和實施哪些策略；而在SCST 中，如果不實施策略短期內(nèi)裂變產(chǎn)物邊界將可能被破壞，因此如果SCST 參數(shù)超限，則必須立即實施最合適的可用策略。

DFC/SCST 參數(shù)的優(yōu)先級順序的確定依據(jù)，是對安全殼裂變產(chǎn)物邊界的威脅、威脅發(fā)生的速度、在事故過程中威脅可能發(fā)生的時間以及可用于干預(yù)的時間的綜合考慮，具體邏輯關(guān)系見圖4。

圖4 DFC 診斷流程

2 SAMG 在應(yīng)用中存在的問題及分析

田灣VVER 機組的嚴(yán)重事故管理導(dǎo)則（SAMG 已應(yīng)用于電站的安全生產(chǎn)管理活動中，有利于提高核電廠的嚴(yán)重事故管理水平。針對以上VVER 機組所做的改進，在實際應(yīng)用過程中也發(fā)現(xiàn)一些存在的問題。

2.1 組織體系方面的問題

2.1.1 TSC 沒有足夠?qū)I(yè)能力水平的人員參與決策

田灣SAMG 開發(fā)過程以國際普遍使用的嚴(yán)重事故管理導(dǎo)致框架為參考，結(jié)合VVER AES-91 型機組的技術(shù)特點形成了最終的成果。本文介紹田灣SAMG 針對這些差異所做的改進，在實際應(yīng)用過程中也發(fā)現(xiàn)，由于東西方文化的差異與核電發(fā)展階段的不同，組織體系的差異對實際應(yīng)用效果產(chǎn)生了影響。

西方國家的核電發(fā)展相對較早，在20 世紀(jì)的70 年代處于蓬勃發(fā)展階段。之后發(fā)生了美國三哩島事件和前蘇聯(lián)切爾諾貝利事件，給國際核電事業(yè)的發(fā)展帶來了重大打擊。在美國三哩島事件發(fā)生后的30 年左右的時間里，沒有建成或投產(chǎn)過一臺核電機組，只是在近些年才重啟核電項目的發(fā)展。這使得在西方核電企業(yè)積累了一大批具有幾十年核電運行經(jīng)驗的從業(yè)者，他們可以分配到堆芯物理、熱工水力、設(shè)備管理等技術(shù)支持崗位，利用他們豐富的從業(yè)經(jīng)驗和專業(yè)知識對運行操作提供支持。因此在SAMG 運作過程中，TSC 的工作人員具備了足夠的知識與能力，可以對主控室的運行操作提出建議意見。

國內(nèi)的核電行業(yè)起步于20 世紀(jì)的80 年代，21 世紀(jì)進入快速發(fā)展時期。田灣核電站的工作人員比較年輕化，大多數(shù)人在大學(xué)畢業(yè)后直接進入電站工作，工作經(jīng)歷與經(jīng)驗積累不足。近些年國內(nèi)新的核電廠不斷出現(xiàn)，也稀釋了田灣核電站調(diào)試期間培養(yǎng)的人才隊伍。同時，田灣核電站面臨著機組運行、新機組調(diào)試、新機組工程建設(shè)及4 臺機組的前期準(zhǔn)備工作，生產(chǎn)隊伍中具有一定專業(yè)能力的人才處于緊缺狀態(tài)。這種現(xiàn)狀使得專業(yè)能力較強、工作經(jīng)驗比較豐富的工程技術(shù)人員主要配置在生產(chǎn)一線部門，技術(shù)支持部門大多數(shù)為直接從大學(xué)應(yīng)屆招聘的本科與研究生畢業(yè)生，他們具有一定的理論水平但欠缺現(xiàn)場工作經(jīng)驗，對運行機組的控制與對系統(tǒng)設(shè)備的了解不足是主要薄弱環(huán)節(jié)，在使用SAMG 過程中向運行控制組提供的支持力度會受到專業(yè)能力的限制。

為此，在TSC 中應(yīng)盡量配備具有運行經(jīng)歷的專業(yè)人員，將運行系統(tǒng)工程師、模擬機教員等納入到技術(shù)支持組中，彌補存在的不足與短板。

2.1.2 TSC 工作人員沒有參與SAMG 的前期開發(fā)工作

為了確保嚴(yán)重事故管理工作的開展，核電站在處室崗位職責(zé)中做了明確界定，SAMG 由核安全處的核安全工程師崗位（以下簡稱“安工”）負(fù)責(zé)。SAMG 開發(fā)完成后，電廠組織升版了《技術(shù)支持組的應(yīng)急響應(yīng)行動》程序，明確了由技術(shù)支持組承擔(dān)TSC 的職責(zé)。根據(jù)管理程序《應(yīng)急響應(yīng)崗位人員的提名、批準(zhǔn)與ON-CALL 值班安排》的規(guī)定，技術(shù)支持組各崗位擔(dān)當(dāng)人員資格如圖5 所示。

由圖5 可知，技術(shù)支持組的主要工作人員，分別來自于技術(shù)支持處、設(shè)備管理處、運行處、保健物理處、培訓(xùn)處及儀控部門。而這些部門的工作人員，都沒有直接參與到SAMG 的前期開發(fā)過程中。在應(yīng)急組織體系中，對SAMG 研究最透徹的人員沒有參與TSC 工作組，是組織配置方面存在的最大問題。

圖5 技術(shù)支持崗位人員資格表（示例）

根據(jù)核安全法規(guī)《核電廠應(yīng)急計劃與準(zhǔn)備準(zhǔn)則》第6 部分規(guī)定，在應(yīng)急組織中運行控制組必須包含核安全工程師。電站當(dāng)前1 號～6 號機組運行，7 號/8 號機組建設(shè)。成立運行控制一組、運行控制二組和運行控制二組，分別對應(yīng)1 號/2 號機組、3 號/4 號機組和5 號/6 號機組。電站應(yīng)急值班實行A、B 角制度，即每周每個崗位ON-CALL 待命值班人數(shù)為兩人，其中A 角需60 min 內(nèi)到崗，B 角需要保持通信暢通、在12 h 內(nèi)到崗。按照標(biāo)準(zhǔn)組織機構(gòu)的規(guī)定，田灣核電站每兩臺機組標(biāo)準(zhǔn)的安工配置為6 人。但實際情況是，由于擴建工程的需要安工實際到崗人數(shù)分別為4 人、4 人和5 人，較少的安工配備導(dǎo)致目前在應(yīng)急組織中，安工只能根據(jù)法規(guī)的要求參加運行控制組的值班，不能兼顧參加技術(shù)支持組的值班。

為解決這一問題，長遠來看需要從人力資源角度著手，增加安工的培養(yǎng)與配置，或從組織機構(gòu)上調(diào)整職責(zé)分工，將嚴(yán)重事故管理的職責(zé)轉(zhuǎn)移到核電站的技術(shù)支持部門。當(dāng)前，為確保TSC 工作組對SAMG 的熟悉程度，建議采取的措施有：①成立專項組，組織TSC 相關(guān)人員參與后續(xù)的SAMG 審查與升版工作；②增加技術(shù)支持組的專項培訓(xùn)與演練頻次；③在應(yīng)急決策工作中，將嚴(yán)重事故決策的批準(zhǔn)權(quán)限移交應(yīng)急指揮部，并組織對應(yīng)急指揮部成員的SAMG 專項培訓(xùn)。應(yīng)急期間，由應(yīng)急指揮部調(diào)動電廠的所有資源，確保嚴(yán)重事故決策的準(zhǔn)確性。

2.2 當(dāng)堆芯出口溫度達到400 ℃時的不同程序?qū)ψ⑺呗缘囊蟠嬖诓灰恢虑闆r

在電廠原有的BDBA（超設(shè)計管理導(dǎo)則）中，對于失水類超設(shè)計基準(zhǔn)事故，當(dāng)監(jiān)測到堆芯裸露并嚴(yán)重過熱（400 ℃）時將停止所有未完成的向堆芯注水冷卻的操作，因為此時堆芯已經(jīng)部分干涸，冷水與過熱的燃料元件包殼的接觸有蒸汽爆炸的危險。

國內(nèi)外的研究表明，壓力容器內(nèi)蒸汽爆炸不能導(dǎo)致安全殼喪失完整性，也不一定能造成壓力容器重大損壞。在三哩島事故中堆芯損壞后向堆芯注水冷卻，已證明具有很好的嚴(yán)重事故緩解作用。因此，在田灣核電站SAMG 的《向反應(yīng)堆冷卻劑系統(tǒng)注水（SAG-3）》中，采用了向一回路注水的策略。

BDBA 導(dǎo)則中的相關(guān)規(guī)定與目前SAMG 中的“SAG-3 向反應(yīng)堆冷卻劑系統(tǒng)注水”存在定沖突，這可能導(dǎo)致在400 ℃時操縱員停止注水而到650 ℃時恢復(fù)注水。這一方面使操縱員的操作不連貫（400 ℃時停止注水的操作是不必要的），另一方面對事故后果有不利影響（有意推遲注水導(dǎo)致更劇烈的鋯水反應(yīng)）。后續(xù)的工作中需要對此問題進行研究后，明確對BDBA 導(dǎo)則的修改建議。

2.3 未考慮堆芯捕集器失效情況下的應(yīng)對措施

VVER 機組設(shè)計有堆芯捕集器，在嚴(yán)重事故過程中將利用堆芯捕集器冷卻堆芯熔融物，緩解相關(guān)的嚴(yán)重事故現(xiàn)象。堆芯捕集器的相關(guān)操作被放在SACRG-1 和SACRG-2 中，但在這兩導(dǎo)則中沒有考慮堆芯捕集器失效（或未按設(shè)計運行）。堆芯捕集器的損壞的可能原因包括：堆芯捕集器內(nèi)發(fā)生蒸汽爆炸，對堆芯捕集器產(chǎn)生了破壞；由于操作不及時，沒有及時對堆芯捕集器的換熱器進行注水操作，從而無法確保堆芯捕集器完成它的全部功能等。

雖然堆芯捕集器失效的概率較小，但就縱深防御的角度來看，SAMG 應(yīng)當(dāng)對此進行考慮。在由堆芯捕集器接收堆芯熔融物的情況下，余熱由堆芯捕集器導(dǎo)出。在壓力容器失效后，堆芯捕集器上部的液位傳感器和溫度傳感器的讀數(shù)都是重要的監(jiān)測參數(shù)，因此堆芯捕集器失效時如何執(zhí)行后續(xù)的響應(yīng)是SAMG 的改進方向。

2.4 電子化軟件不能確保嚴(yán)重事故期間的可用性

田灣核電站開發(fā)SAMG 時，同步開發(fā)了電子化軟件，該軟件以直觀的顯示幫助電廠工作人員判斷嚴(yán)重事故期間機組的狀態(tài)參數(shù)并提供決策引導(dǎo)。但是，SAMG 電子化軟件還存在一些不足，影響事故后的使用效果。

（1）SAMG 電子化軟件目前普遍安裝在日常工作計算機上。如果電廠發(fā)生了失電等事故，日常使用的計算機都將在較短時間內(nèi)因失去電源而喪失工作能力。這些計算機都沒有像電廠安全系統(tǒng)一樣配置有應(yīng)急電源，即使計算機帶有蓄電池，蓄電池的容量也不足以滿足嚴(yán)重事故處理的供電需要。因此，在嚴(yán)重事故發(fā)生期間，并不能確保SAMG 電子化軟件的正常運行。

（2）SAMG 電子化軟件所獲取的機組實時數(shù)據(jù)是通過“江蘇核電實時數(shù)據(jù)系統(tǒng)PI”系統(tǒng)獲取的。該系統(tǒng)用于獲取機組的主要參數(shù)并在公司局域網(wǎng)傳輸，在員工日常電腦顯示，是為了技術(shù)支持類工作人員根據(jù)分析與了解系統(tǒng)設(shè)備參數(shù)及其變化趨勢提供便利。該系統(tǒng)為非安全相關(guān)系統(tǒng)，安全等級較低，對可靠性沒有嚴(yán)格要求，因此不能滿足嚴(yán)重事故發(fā)生期間對SAMG 電子化軟件具有即時的數(shù)據(jù)輸入功能。

（3）電子化軟件的形式使軟件不能得到及時升版。SAMG 開發(fā)完成之后，在培訓(xùn)演練中逐漸發(fā)現(xiàn)了一些問題和錯誤，但是這些錯誤需要外部開發(fā)單位修改軟件代碼從而對軟件進行升版，這需要經(jīng)過一段時間的問題累積之后才能得以實施。田灣核電站內(nèi)部目前也在著手開發(fā)網(wǎng)頁版SAMG 軟件，以解決目前依賴外部單位的現(xiàn)狀。

由于SAMG 電子化軟件存在上述弱點，目前其在實際應(yīng)用中只能作為輔助手段和培訓(xùn)工具使用。在實際演練中，相關(guān)人員要適應(yīng)沒有這套軟件的情況下如何準(zhǔn)確掌握參數(shù)并作出正確的決策。

3 結(jié)論

總體上，田灣核電站VVER 機組嚴(yán)重事故管理導(dǎo)則的開發(fā)和應(yīng)用是成功的。但是從上述分析不難看出，其在實際應(yīng)用中還存在一些問題需要解決，相關(guān)人員未來還將針對這些問題不斷地進行總結(jié)完善。