注册核安全工程师考试案例分析培训(论文资料)

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,全国注册核平安工程师培训 核平安案例分析,核反响堆工程案例,王秀清,2007年5月29日,1,核电厂全景,2,核电厂堆芯熔化事故风险,/堆-年,3,核电厂平安案例分析,前言,一 背景知识,二 案例分析,4,前言,核电厂和其它工业生产活动一样，不可防止地会发生设备失效、人员过失、意外、灾害等事件。,核能：最危险/最平安的能源，一种事物矛盾体的两方面,核电厂严重事故后果可以引发世界性灾难；核能是世界公认有开展,前途的清洁能源。,核电厂平安：取决于人类智慧和驾驭核能的能力,核电厂经验反响/案例分析：化废为宝；吃一堑长一智把灾害变成财富的手段,-也是核电厂平安水平和经济效益提高的驱动力：经验反响；科技进步是核电厂性能不断改进的两只车轮。,如：核电厂经验 一万堆-年；,容量因子提高 20%。,5,背景知识,1 纵深防御,2 监督管理,3 分析方法,6,纵深防御,定义：,采用纵深防御概念是为了对潜在的人员过失和设备故障加以补偿，此概念的核心是提供多层保护，包括前后设置多层防止放射性物质向环境释放的屏障。它也包括在这些屏障不能完全起作用时为保护公众和环境免受危害而进一步采取各项措施。,7,纵深防御,(1)第一层次防御的目的是防止偏离正常运行及防止系统失效。,(2)第二层次防御的目的是检测和纠正偏离正常运行状态，以防止预计运行事件升级为事故工况。,(3)设置第三层次防御是基于以下假定：尽管极少可能，某些预计运行事件或假设始发事件的升级仍有可能未被前一层次防御所制止，而演变成一种较严重的事件。这些不大可能的事件在核动力厂设计基准中是可预计的，并且必须通过固有平安特性、故障平安设计、附加的设备和规程来控制这些事件的后果，使核动力厂在这些事件后到达稳定的、可接受的状态。,(4)第四层次防御的目的是针对设计基准可能已被超过的严重事故的，并保证放射性释放保持在尽实际可能的低。这一层次最重要的目的是保护包容功能。,(5)第五层次，即最后层次防御的目的是减轻可能由事故工况引起潜在的放射性物质释放造成的放射性后果。这方面要求有适当装备的应急控制中心及厂内、厂外应急响应方案。,8,监督管理,1监管方式,2报告制度,3事件分级,9,监管方式,中国核平安局；美国核管会官员和委员会,北京；Washington DC,监管的执行和检查,集中在四个地区办公室，该办公室有长驻每个核电反响堆的监督员；,Atlanta东南地区地区IV总负责四个地区工作。,北京;上海;广东;成都；西北；东北六个监督站有长驻每个核电厂的监督员。,10,监管方式,NRC新的核电厂监督程序,检查集中于潜在风险大的活动；,加大对有行为问题的核电厂的监督管理，对行为良好的核电厂予以一般地关注；,使用核电厂行为的客观性测度；,给公众和核工业双方以及时和合理的电厂行为评价；,减少核设施非必要的监督管理负担；,以预先发现和坚决执行的态度对待违反法规行为，强调违反法规的潜在平安隐患。,11,监管方式,NRC新的核电厂监督程序,建立平安运行基石,监督三个领域内的行为：,反响堆平安性防止事故和一旦发生减轻事故后果；,辐射平安电厂运行时保护电厂工作人员和公众；,电厂防灾或其他平安威胁的防护。,12,监管方式,NRC新的核电厂监督程序,建立平安运行基石,1 初始事件：该基石着重于核电厂的运行和事件，如果电厂平安系统不介入，这些事件可能导致事故。这些事件包括设备失效导致电厂停堆，非予期的复杂化停堆或电厂功率大的变化。,2 缓解系统：该基石测度为防止事故或减轻可能事故后果而设计的平安系统功能。通过周期试验和性能测试检查这些设备。,3 屏蔽完整性：反响堆燃料高强度辐射物质和厂外公众及环境之间有三个重要屏蔽。这些屏蔽是装有燃料芯片的密封燃料棒，重的钢反响堆容器和相关管道，包容反响堆的予应力混凝土平安壳。用泄漏来连续检测燃料棒，压力容器和管道的完整性；按照标准检测平安壳防泄漏能力。,4 应急准备：要求每一个核电厂备有对可能事故做出反响的综合应急方案。该根本点测度电厂人员执行应急方案的有效性，演练期间应该包括电厂人员、本地、州和联邦当局参加。,13,监管方式,NRC新的核电厂监督程序,建立平安运行基石,5 公众辐射平安：该基石测度为保持正常运行期间从核电厂释放的放射性为最小而设计的程序和系统，并且保持这些释放在联邦限制之内。,6 厂区的辐射平安：NRC法规设置了电厂工作人员所接受的辐射剂量限值，该基石为控制和保持这些剂量为最小的电厂大纲有效性。,7 实体保卫：要求核电厂必须有经过良好培训的平安保卫人员和各种防护系统来保卫重要电厂设备，同时岗位责任大纲保障雇员上岗要坚持通过毒品和酒精测试。该基石测度平安保卫和岗位责任大纲的有效性。,14,监管方式,NRC新的核电厂监督程序,实时、客观公正监管,设计这些客观准那么目的是根据既定的平安裕量指出其风险，并且使用一组颜色标识系统将其标出。,“绿色标识表示行为在所期望的等级之内，满足相关基石目标；“白色表示行为超出核电厂正常行为所期望的范围，但是还满足相关基石目标；,“黄色表示满足相关基石目标，但是平安裕量稍微下降；,“红色表示行为指标所测度的领域平安裕量相当大的下降。,每个核电厂以季度为单位向NRC报告行为指标。NRC官员将其编辑和审查后，将在NRC网站发布这些行为指标。,15,报告制度,核电厂事件通告,A.口头通告，营运单位必须在事件发生后24小时内口头通告国家核平安局和所在地区监督站。,B.书面通告，营运单位必须在事件发生后三天内向国家核平安局和所在地区监督站递交书面通告。,16,报告制度,核电厂事件报告,A.报告的方式和时间,营运单位应以公函形式在事件发生30天内向国家核平安局和所在地区监督站递交事件报告。,B.事件报告内容,核电厂名称和核电机组编号、事件报告编号、事件通告编号、事件名称、始发事件、事件发生时间和结束时间、报告日期、报告人、报告准那么、补充报告、事件发生前机组状态和功率水平、事件对运行的影响和事件后功率水平、放射性后果、平安评定、报告摘要、报告正文等共16项。,17,报告制度,核电厂事件报告准那么A 违反核动力厂技术规格书的事件,i.核动力厂技术规格书要求停堆事件；,ii.违反核动力厂技术规格书的运行事件。,B 导致核电厂平安屏障或重要设备的性能受到严重损害或出现以下工况的事件,i.明显危害平安的没有分析过的工况；,ii.超出核电厂设计基准的工况；,iii.在核电厂运行规程或应急规程中没有考虑的工况。,C 对核动力厂平安有现实威胁或明显阻碍核电厂值班人员完成平安运行的自然事件和其他外部事件,D 导致专设平安设施和反响堆保护系统自动或手动触发事件预先安排的这类试验除 外,18,报告制度,E 任何可能妨害构筑物或系统实现以下平安功能的事件,i.停堆和保持平安停堆状态；,ii.排出堆芯余热；,iii.控制放射性物质释放；,iv.缓解事故后果,这里不包括在同一系统中冗余或备用设备能够完成所要求功能而个别部件出故障。,F 导致多个独立的具有以下功能的系统、序列或通道同时失效的共因事件,i.停堆和保持平安停堆状态；,ii.排出堆芯余热；,iii.控制放射性物质释放；,G 放射性失去控制的事件；,H 对核电厂平安有现实威胁或明显阻碍值班人员平安运行的内部事件；,I 其他事件。,19,事件分级,INESINES:The International Nuclear Event Scale Users Manual是国际原子能机构和经济合作与开展组织核能机构，为便于核工业界、新闻媒介和公众之间对核事件的信息沟通而制定的国际核事件分级管理方法，同时建立事件报告系统。,国际原子能机构要求各成员国在发生2级和2级以上核事件以及引起新闻媒介和公众关注的核事件时，迅速定级并在24小时内通告国际原子能机构。,该分级把事件分成七个等级。,较低的级别1-3级称为事件；,而较高的级别4-7级称为事故；,平安上无重要意义的事件定为低于1级或称零级，并称为偏离。,与平安无关的事件称为分级范围之外事件。,20,事件分级,21,分析方法,引言,1核事件评定程序,2核事件根本原因分析,3潜在后果分析,4轻微事件和未遂失误倾向分析,22,分析方法,引言,事件分析关注领域,事件物理背景：平安功能：反响性控制；热量移出；放射性包容。,事件直接原因：设备缺欠；人员失误；意外、灾害,事件根本原因：人因；程序；管理；平安文化,23,分析方法,引言,事件分析的材料要求,材料要求是事件分析的第一步，也是最重要的一步，因为事件分析的正确与否、纠正行动制定的是否适宜，都取决于所获得第一手信息的完整性、准确性及客观性。,参考我国核电厂运行事件报告所要求的格式及IAEA有关运行事件库的编码，材料应该涉及到以下几方面：,发生了什么What：停堆或停运类型，停运时间，事件 分类如事件报告准那么等，故障初因事件，事件进展序列，主要的失效人因及技术，事件后果对运行的影响，放射性后果，经济损失，事件重要性分级等。,24,分析方法,引言,事件分析的材料要求,什么时候发生的When：事件发生及结束的日期及时间，当时反响堆所处的状态，事件发生前平安系统的可用性，事件发生时正在进行的活动，人员、规程、设备的可用性冗余系统和设备的可用性等。,在哪里发生的Where：所涉及到的厂区、设备等。,涉及到什么人Who：事件所涉及到的班组、人员，他们能够,从所得到的教训 中获益。,如何发生的How：那些立即产生或导致事件的故障、行动、疏忽或条件。,那些相关的事件Which：相关事件的报告等参考资料即重复发生的事件。,25,核事件评定程序,1 检查是否与核平安或与放射性平安有关：工业事故；核事件,2 有关事件需要分别考虑三个影响准那么：,厂外影响,厂内影响,纵深防御,3 选取三者中定级最高者,26,核事件评定程序,1 厂外影响准那么,考虑电厂外的实际放射性影响：,释放的放射性总量,或公众个人所受照射量,厂外影响3-7级,27,核事件评定程序,2 厂内影响准那么,包括三个方面：,放射性释放设施损坏程度,释放或迁移到厂内屏蔽薄弱地点,工作人员的剂量,厂内影响2-5级,28,核事件评定程序,3 纵深防御准那么,考虑两个因素：,平安措施失效可能发生的最大后果,仍然有效的平安措施的数量及可靠性,纵深防御0-3级,29,核事件评定程序,核事件评定程序使用,实例说明：,由于违反规程，某工作人员的事故剂量超过规定年剂量值50mSv，但是没有放射性向环境释放。,应用核事件评定程序，确定为下述级别：,准那么1：无关无释放,准那么2：2级工作人员的事故剂量超过规定年剂量值,准那么3：1级 违反规程。,取这三个准那么所定级别中的最高级别，那么该事件定为2级。,30,核事件评定程序,各级的定义,厂外影响准那么,7级：大量释放,放射性数量?1016Bq I-131.相当堆芯大局部储量短、长寿命裂变产物混合物。,有急性健康影响；大范围几个国家慢性影响；长期的环境后果。,31,核事件评定程序,6,级：明显释放,放射性数量相当于,10,15,-10,16,Bq I-131.,5,级：有限释放,放射性数量相当于,10,14,-10,15,Bq I-131.,4,级：少量释放,最多,厂外人员受到的剂量为几,mSv.,3,级：极少量释放,最多,厂外人员受到的剂量为十分之几,mSv.,32,核事件评定程序,厂内影响准那么,5级：反响堆堆芯或辐射屏障的严重损坏,百分之几的燃料熔化或百分之几的堆芯储量已从燃料组件中释放出来,其它设施涉及厂内大量放射性释放 如，大规模临界事故、火灾、或爆炸。,4级：反响堆堆芯或辐射屏障的明显损坏，或工作人员受到致死性照射,任何燃料熔化或约1%堆芯储量从燃料组件中释放出来,其它设施有1015Bq放射性释放且无法返回适当储存区,一个或多个工作人员受到早期死亡的外部照射5Gy。,33,核事件评定程序,3级：严重的污染扩散，和/或一个工作人员受到急性健康影响的过量照射,一个或多个工作人员受到为1Gy照射,操作区的和中子总剂量率?50mSv/h事件,其它设施有1015Bq放射性释放且能返回适当储存区,2级：重大污染扩散和/或工作人员受到过量剂量照射,50mSv,设计未考虑区域内出现相当数量放射性并要求采取纠正行动，相当数量：,1011Bq Ru-106 液体、或固体污染,1010Bq I-131 气体限于建筑物内,34,核事件评定程序,纵深防御准那么,纵深防御是保守设计、质量保障、监督检查、缓解措施和平安文化的组合。同时考虑：设备失效、人员过失、意外和灾害。,纵深防御准那么分级取决于：,平安功能是否发挥作用；,平安系统的有效性。,保障核电厂平安的平安功能是：反响性控制；,放射性物质得到足够冷却；,放射性物质的包容。,35,核事件评定程序,按纵深防御准那么分级两种方法：,1适用于：始发事件的进程已在平安分析中提供，可以对处理这些始发事件的平安系统可用性进行分析。适用在功率运行时发生的事件。,定级依据：处理事件平安系统的可用性；事件发生频率。,2适用于：平安问题要依据防止事件发生的系统和控制来作出评估；不能够对始发事件和平安系统的可用性分开进行评价。一般是指有较常时间采取纠正行为的场合。处理这种事件的平安系统通常依靠行政措施，不是像功率运行时依靠自动快速动作的平安系统。,定级依据：已经丧失的平安保护层数目，以及事件的潜在严重性。,如：停堆期间的事件、乏燃料水池的事件、燃料装卸事件、违反排放规定等,36,核事件评定程序,按纵深防御准那么分级的评定程序,1 根据始发事件和平安系统的评定程序带功率运行的反响堆事件,2 根据预防事故系统和行政控制措施的评定程序,低于1级事件：把1、2评定程序得不出较高级别的事件应该定义低于1级或0级。如：自动停堆过程正常；不影响核电厂平安和正常投入运行的平安系统误动作；各道屏障无明显性能恶化；方案定期检查或实验时发现冗余系统中单一故障或部件不可运行。,附加因素考虑：把1、2评定程序得出的定级提高一级的附加因素。,如：共因失效；规程问题；与平安文化有关。,37,核事件根本原因分析,目前各个国家使用的核电厂平安事件根本原因分析方法有十余个,IAEA推荐的事故根本原因分析方法主要有：,管理疏忽及风险树分析,Management Oversight and Risk Tree Analysis-MORT,平安重大事件评价组,Assessment of Safety Significant Events Team-ASSET,人员行为增强系统,Human Performance Enhance System-HPES,38,核事件根本原因分析,管理疏忽及风险树分析Management Oversight and Risk Tree Analysis-MORT,管理疏忽风险树MORT是美国能源部推荐的事故根本原因分析方法，利用一种平安程序和管理系统元素按顺序和逻辑方式排列的流程图，显示出一个动态的、全面的、理想化的平安系统模型的故障树。给出了比较简单的事故分析判断点，使调查分析者能够查出人员遗漏、疏忽、管理系统缺陷和有关的风险。,优点：该技术是一个成熟的技术，分析对象重点放在整个管理系统，利用故障树的技术，提供了多达1500个潜在的原因因素，使用屏障分析，识别出管理所考虑的假想风险。,局限：分析技术较复杂，需要一定的经验，因需要进行广泛的任务分析而耗时较多，对核电厂人员的日常例行调查不太适用。,39,核事件根本原因分析,平安重大事件评价组Assessment of Safety Significant Events Team-ASSET,ASSET分析方法是专门为支持IAEA ASSET效劳所开发出的一个根本原因分析方法，ASSET审评队利用该方法审查核电厂所发生的事件，识别出悬而未决的平安问题，从而为核电厂管理层加强管理系统预防事件发生提供咨询意见。根据该方法的逻辑，事件的发生总是由于人员、规程或设备未能象预期的那样执行任务，其直接原因在于这三方面中所存在的潜在薄弱环节的奉献，其根本原因在于电厂在这三方面的监督大纲中存有缺陷，未能及时去除这些潜在的薄弱环节。这个方法可以被用做为一个框架，指导电厂对事件的调查及分析，以便确定事件的直接及根本原因。,优点：该方法的重点放在组织管理问题，可以识别出不同管理层次的责任问题的详细原因，从而便于提出纠正措施。,局限：其术语及根本原因定义不同于其他分析方法，需要有广泛知识根底及实践经验的人员来进行分析，对分析过程中事件信息的收集及处理缺乏足够的指南，其手册中所推荐的过程不容易被遵照执行。,40,核事件根本原因分析,人员行为增强系统Human Performance Enhance System-HPES,HPES系统是美国INPO多年开发的结果，已经在核工业领域内以不同的形式应用。HPES系统是一种综合了许多根本调查过程的方法，其中包括任务分析、变化分析、屏障分析以及事件及原因因素图。,优点：HPES提供了一个技术工具箱，是一个世界上广泛应用的成熟的灵活的方法，它将重点放在人员行为上，并且对人的行为分析提供了指导。,局限：需要经验及培训以便能够有效地应用该技术，纠正行动取决于分析人员的经验，没有特别地识别出组织问题，对于事件的快速管理总览可能太过于广泛。,41,核事件根本原因分析,事件根本原因实例：,1 程序潜在问题,低效的程序执行工作方案和日程，预防维修，自我评价：,无效的纠正措施问题反复出现；,笨拙的处理方式强制人们按照该处理方式工作，如工作管理，工程设计。,这就是不用程序来处理事情。例如，从不使用一种发电的漏电平衡单据计算程序，因为该单据长而且复杂。取而代之，操纵员使用另外的，绝对自信的，非书面的一种。,42,核事件根本原因分析,2 操作潜在问题,模糊的操作程序；,操纵员机械地使用程序，甚至当他们知道该程序是错的；缺乏质问主动性；,主要由关注生产的情绪支配着做出决定；,雇员存在极大抵触情绪；,认可并坚持长久性问题没有解决的设备服役；,缺乏开放性；,没有评估电厂物资条件匮乏的总效果没有评估设备不维修的累积效果；,修改电厂没有秩序-程序没有随时改进；,不完善的程序-具有隐含工况阶段的程序；,未授权的电厂修改；,处理解决长时期存在的物质问题缺乏紧急感。,43,核事件根本原因分析,3 维修潜在问题,维修工程大量堆积；,推迟维修和预防性维修大量堆积；,不能操作的自动设备；,由于维修错误引发停堆；,缺乏必要资金和物质条件；,不主动处理解决好物质条件问题；,违反即定程序；,处理方式缺乏全局观点。,44,核事件根本原因分析,4 工程潜在问题,供给配置的管理问题；,电厂修改缺乏准备；,运行/维修支持不充分；,缺乏质问态度：,操纵员机械地使用程序，甚至当他们知道该程序是错的；缺乏质问主动性；,操纵员由于大意产生错误：,已经公布了操纵员错误的很多例子，像各种原因导致错误地开启或关停水泵；,阀门的状态错误,不恰当培训。,执行设备检查和监督失效：,机组启动期间，很多设备阀门必须处在正确位置。现场操纵员使用检查清单，然后在一定时间周期内检查该设备状态。,发电机联网以后几天，发现应急给水系统阀门处在错误位置上关闭。这个事件违背了技术说明书ST。教训是：虽然当设备启动期间从设备检查和监督大纲里会发现这种失误，但是控制室人员没有遵照指令去做。,45,核事件根本原因分析,5 放射性操作潜在问题,缺乏放射性操作的方案和实践；,工人超剂量辐照；,缺乏放射性培训；,放射性辐照和个人污染趋势上升。,46,潜在后果分析,目的：根据实际运行经验，验证核电厂的纵深防御是否有足够的能力对付可能出现的事故特别是超设计基准事故；也是运行经验反响应用的一个非常重要的方面。,三个步骤：,1确定可能的分析对象实际或潜在失效的状态；及人员不适宜的行动；,2寻找潜在风险过程；,3评价核电厂纵深防御有效性。,47,潜在后果分析,确定分析对象：,考虑以下两种情况：,1 已确定的分析对象，这包括：,可能带来其它未经分析风险已确定的分析对象；,实际发生的异常或局部失效转变成潜在的完全失效等。,2 潜在的分析对象，这包括：,设备潜在的共模失效；,同样的设备失效可能发生在其它平安重要的系统；,电厂人员良好实践或偶然的好的行动不起作用。,48,潜在后果分析,寻找潜在风险过程：,分为两种情况考虑：,正常运行操作：对于各种有关的正常运行操作，所确定的实际或潜在的分析对象可能会导致后果偏离预定的方向，甚至恶化到不可接受的地步；这些正常运行的操作包括正常运行、维修、定期试验、预期瞬态等。,事故状态下：在事故状态下，所确定的实际或潜在的分析对象可能会导致加剧不可接受的后果；这些状态包括核电厂设计中所考虑的、类工况，附加超设计基准工况，以及内、外部侵犯等。,此外，还可以根据实际发生的过程还是潜在可能发生的过程来进行潜在风险过程的寻找及确定。,实际过程：从核电厂实际发生的事件过程出发，考虑可能的条件变化，寻找潜在的不同的开展过程及其风险。,潜在过程：非真实发生的事件过程，可以在假设的有关正常运行及事故状态条件下，根据真实的事件情况分析可能的开展过程及其风险情况。,49,潜在后果分析,评价核电厂纵深防御有效性及风险：,根据以上确定的潜在风险过程，通过事件树的方法来实现详细的潜在事件序列的构建，以评价有关电厂纵深防御的有效性及风险情况。,其思想是基于PSA概率平安评价或平安分析中所考虑的所谓事故的初因事件出发，以与之关联的不可接受的后果如堆芯熔化为终，考虑相关的电厂纵深防御电厂保护系统、工程平安设施、规程以及人员必要的干预等的有效与否，勾画出事件可能开展的途径及其风险情况。,50,潜在后果分析,予以特别关注的超设计基准事故初因事件,参考初因事件清单如下：,l 丧失一回路冷却剂事故LOCA；,l 二回路主蒸汽管线断裂SSLB；,l 蒸汽发生器传热管断裂SGTR，以及二回路主蒸汽管线断裂SSLB+蒸汽发生器传热管断裂SGTR；,l 丧失最终热阱H1；,l 丧失蒸汽发生器给水H2；,l 全厂断电H3；,l 未能停堆的预期瞬态ATWS；,l 一回路瞬态；,l 二回路瞬态；,l 丧失厂外电；,l 丧失压缩空气；,l 硼稀释；,l 一回路中环路水位运行时丧失冷却等。,51,潜在后果分析,事件树的构建流程图,初因事件,事件1,事件2,事件3,事件4,事件5,事件6,防线5,防线4,防线3,防线2,防线1,初因事件,后果描述,防线6,成功,成功,成功,成功,成功,成功,失败,失败,失败,失败,失败,失败,1,2,3,4,5,6,7,状态,后果,描述1,描述2,描述3,描述4,描述5,描述6,描述7,52,轻微事件和未遂失误倾向分析,世界运行核电厂经验反响数据统计说明，核电厂重大事件发生以前，会出现无数个事件发生的先兆。如果，核电厂在重大事件发生前，分析确认的轻微事件(low level events)和未遂失误(near misses)倾向，制定相应纠正措施应该可以防止这些重大事件发生。,介绍一种在核电厂经验反响分析中，称为“分析轻微事件和未遂失误倾向提高核电厂平安性能的方法，防止运行核电厂重大事件发生和保障核电厂平安，到达防患于未然的目的。简要介绍该方法在核电厂平安监管中的应用。,53,轻微事件和未遂失误倾向分析,1 未遂失误例子,一位操纵员把他的手放置在错误开关上，然而，启动开关以前他立刻意识到他的错误；,透平厂房一位工匠看到一位同伙没有正确使用平安设备和没有执行正确操作。他指出同伙的问题，从而防止了一个潜在平安事故；,一位穿着污染防护服的工匠工作在反响堆堆坑的悬梁上。该工匠滑了一跤，如果他没有系平安带，他可能会坠落到堆坑里；,一位操纵员步行通过电厂，当时他向上看，并且看到了一位工匠从脚手架上踢掉一个工具落下来。操纵员迅速躲避防止了伤害。,这些例子说明未遂失误所发生的是没有后果的事情。如果不是及时采取个别措施的话，事件结果会决然不同。一些业主把未遂失误报告称谓“恰好把握good catches，事实上强调：由于及时觉察和采取个别适当措施防止了一次重大事件。,54,轻微事件和未遂失误倾向分析,2 从未遂失误到轻微事件再到严重事故的演变,分析重大事件和轻微事件或未遂失误的关系，会发现重大事件，轻微事件和未遂失误全都具有共性：相同的潜在弱点，该弱点出自于相同的屏障失效和根本原因。所有这些事件不同点仅仅在于它们各自的后果。,正如纵深防御所关注的那样，一项有效纠正措施程序文件可以用在所有级别事件分析上。关键是确认对共性原因奉献的最大潜在弱点是什么，并且随后采取有效的纠正措施。照此方法，帮助编排程序和进行倾向分析。,正如所关注单个人为事件那样，可能应当充分的报告和讨论这些事件，因为隔绝起来它们就不会到达需要广泛改进的目的。另一方面，观察到这种事件大量重复发生，这类事件具有共同模式或相同原因也就容易归结于一种更通用的纠正措施。,55,轻微事件和未遂失误倾向分析,图表示轻微事件到严重事故的演变：说明一个轻微事件演变到一个更重大事件再到一个严重事故，取决于突破多少道防线。防线包括实体屏障；管理屏障程序，校验和正确操作源于培训，平安文化等综合结果。,1 从轻微事件到失效，防线LOD有作用但是失效了。这些防线是组织机构类型，只能失效时才能研究它们。,2 防线有作用，并且它们一般是成功的。仅能它们失效时研究它们。它们属于组织机构和设计类型。,3 防线不起作用。它们是未知的或许是成功的：这是PSA的任务。它们是关系到所有设计类型。,4 防线不起作用。关于它们不是很了解，对它们研究的不充分。稍许了解它们的改进进展。它们一般是设计类型。,56,轻微事件和未遂失误倾向分析,57,轻微事件和未遂失误倾向分析,倾向分析工具,下面说明的分析工具不仅具有适用性，所介绍的也是数据分析成熟技术。,1 Pareto图和分析,Pareto 准那么是用于演示不平衡分布的一个数学模型。意大利经济学家V.Pareto创造了该准那么。他观察意大利20%的人掌握着80%的财富。V.Pareto准那么或80/20定律是一种自然存在的客观变化，可以用在任何领域。V.Pareto准那么帮助我们找到“巨大撞击big hitters。应用V.Pareto准那么让我们可以集中有限资源来解决/改善“巨大撞击，不然“巨大撞击会引发严重问题。利用该方法，我们可以使我们致力于改进的效率最大化。,进行V.Pareto分析的六个阶段：,1)收集数据来源于初始条件报告CR；,2)范畴数据/问题根据初始目标的倾向范畴体系；,3)说明时间周期即，一个月；,4)计算每个范畴的累计百分比，%=局部/总量；,5)按照递减序列排列每一个范畴,一个V.Pareto图描绘出问题或给出限制范畴。按照递减序列绘制出问题范畴。因为该图不能表示数据如何随时间变化，因此，仅仅确认“巨大撞击范畴，一般按照前6-12个月绘出每个范畴。,6)问题范畴确认方法是与总量的80%相比较或近似80%,使用Pareto 准那么必须要有一个问题范畴的浓集度，如果问题分布相等，就不能使用80/20定律。,58,轻微事件和未遂失误倾向分析,2 控制图,1)控制图是一个管理工具，该工具展示一段时间测度的结果随着限值上下统计决定。该工具可以用在人因和设备性能两种问题上。,2)估价每一个参数即，运行或设计过程的配置控制、工程或物质条件的配置控制，确定一段时间初始条件报告的平均值即，6个月；,3)确定初始条件报告数据组的标准偏差。标准偏差是平均值离散度大小的量度。样本统计偏差计算(STDVEP)中可以使用Excel软件的统计功能。,4)当初始条件报告参数的数量大于或小于2个标准偏差高于或低于平均值，这个区域面积应该进一步审查/分析，以便确定偏差的潜在因素。,如果有足够的数据能够确定合理的平均值和标准偏差，可以使用专业判断做出倾向结论。,59,轻微事件和未遂失误倾向分析,3 倾向图示法,倾向分析可以使用相应图示方法和/或倾向数据计算方法，来确定是否存在潜在倾向。倾向分析专家分析这些领域的有用数据，确认那些领域需要更详细研究。如果确认系统、工程或组织机构倾向，分析专家应当审查特定领域关注点的有用数据。,为了提供更实用分析倾向，分析专家会按次序把数据格式化，应用格式化方法会使得确认更清晰。例如，当分析一个部门事件历史时，选择规格化人因误差率来计算人-小时工作量。,60,案例分析,1 三哩岛事故,2 切尔诺贝利事故,3 其它,61,案例分析,三哩岛事故,事故背景,核电机组：Babcock%Wilcox(B&W)公司；两环路4台冷却剂泵；961MWe97%功率运行；压力152bar：,高压安注系统：数台安注泵；自动启动压力冷却剂系统压力110bar；,关闭压力197bar；,安注箱堆芯再淹没系统：冷却剂系统压力下降到41bar自动启动；,低压安注系统：冷却剂系统压力下降28bar自动启动；,堆芯剩余释热：停堆时间 MW(t),1 分 97,1 小时 36,1 天 13,1 周 51,1 月 21,62,三哩岛冷却剂系统图,63,三哩岛核电厂2#机组反响堆图,64,案例分析,三哩岛事故,第1阶段 始发事件,1979年3月28日 04：00：37 am,二回路所有主给水泵停转；主汽轮机停转；,36秒 冷却剂系统压力155bar；冷却剂系统泄压阀开启；,8秒 冷却剂系统压力162bar；引发反响堆紧急停堆；,辅助给水泵启动；但是，泵和蒸气发生器之间的阀门处在关闭状态；,2分4秒 反响堆冷却剂系统压力下降到110bar；高压安注系统启动；稳压器水位上升。,65,案例分析,三哩岛事故,第2阶段 小破口失水,13秒 反响堆冷却剂系统压力下降到152bar减压阀自动关闭整定值；但是，泄压阀没有关闭；,6分 稳压器气囊消失；反响堆冷却剂泄压箱压力迅速上升；,7分43秒 污水泵启动把反响堆污水坑水排到辅助厂房废水箱；,8分 蒸汽发生器干涸；操纵员发现辅助给水阀门关闭，开启阀门；,18分 通风系统测得气体放射性急剧增加；反响堆冷却剂系统压力仅有83bar；,66,案例分析,三哩岛事故,第3阶段 小破口失水，连续泄压,20分1小时 反响堆冷却剂系统70bar，温度290 oC；核燃料尚未大量破损；,1小时14分 冷却剂泵B震动，操纵员关闭冷却剂泵B；环路中存在气体空间冷却剂无法形成自然循环；,1小时40分 冷却剂泵A震动，操纵员关闭冷却剂泵A；环路中存在气体空间冷却剂无法形成自然循环；,冷却剂高出堆芯顶部30厘米；堆芯升温瞬变开始；,67,案例分析,三哩岛事故,第4阶段 堆芯升温瞬变,1小时50分110分堆芯元件第一次裸露；,2小时18分138分操纵员发现卸压阀卡开，关闭卸压阀的截止阀；但是没有加大高压安注，事故继续；,2小时55分175分 宣布厂区应急；放射性监测报警；堆芯局部燃料烧毁；,3小时20分7小时200分-420分；冷却剂泵没有运行；堆芯15米裸露1小时燃料大量烧毁；,68,案例分析,三哩岛事故,第5阶段 持续泄压,7小时38分 操纵员翻开卸压阀的截止阀，关小高压安注；失去冷却剂引起第二次堆芯裸露；,8小时41分 反响堆冷却剂系统到达41bar；安注箱注水；但是很小，操纵员认为堆芯被注满水；,9小时50分 氢爆脉冲；平安壳喷淋6分钟；反响堆冷却剂系统减压至30bar；操纵员减压投入低压安注系统失败 28bar；,11小时08分 操纵员关闭卸压阀；有2小时安注箱停止注水；高压安注小流量；蒸汽发生器不能使冷却剂形成自然循环；堆芯长时间失去任何冷却手段；第三次堆芯裸露；,69,案例分析,三哩岛事故,第6阶段 增压和最终确立稳态冷却,13小时51分操纵员从新关闭卸压阀截止阀；加大高压安注流量；结束堆芯第三次裸露；,15小时51分 成功启动环路 A的一台冷却剂泵；热管温度293 oC冷管温度 205oC；流体经过蒸汽发生器；反响堆冷却剂系统恢复移出衰变热的能力。,70,案例分析,三哩岛事故,事故后果：堆芯3次裸露；锆包壳总量的30%-40%被氧化；堆芯上部1/3严重损坏；,放射性惰性气体的30%-40%被释放；10%-15%的碘、锶、艳从燃料中释放；但是被平安壳包容，少量释放到环境；,半径80公里范围200万居民的集体剂量当量约,20人Sv；最大个人计量1mSv；名工作人员收照射分别38、34、31mSv；,巨大经济后果：经济损失200亿美元以上，美国核电工业推迟20年。,71,案例分析,三哩岛事故,物理背景：堆芯衰变热移出的反响堆平安功能失效，引发反响堆严重事故；,直接原因：稳压器卸压阀故障；操纵员判断、操作失误；,根本原因：反响堆设计；设备质量保证；人员培训；人机接口人因工程；检修规程；经验反响：1977年9月美国Ohio州 Oak Harbor市 Davis-Besse 核电厂发生类似瞬态事件，但是，事故21分钟，操纵员正确判断稳压器卸压阀卡开，他们关闭了下游连接的截止阀 从而结束事故。该核电机组也是由B&W公司设计的相同型号的核电机组。,改正措施：操纵员模拟机培训；按照人因工程设计主控室；反响堆改进执行三哩岛行动方案；建立全世界范围运行经验反响体系。,72,案例分析,三哩岛事故,问题：,1 是那项反响堆平安功能失效导致三哩岛事故？,2 请描述导致三哩岛事故的初始事件？,3 三哩岛事故是INES分级那级核事故？,4 根据反响堆堆芯传热理论分析三哩岛事故的成因？,5 三哩岛事故中的设备和设计问题？,6 三哩岛事故中的操纵员操作失误？,7 三哩岛事故中运行和操作规程问题？,8 三哩岛事故中的业主管理问题？,9三哩岛事故给纵深防御准那么带来的新思考？,10三哩岛事故中那些反响堆平安功能发挥了作用？,73,案例分析,三哩岛事故问题和答案,1 是那项反响堆平安功能失效导致三哩岛事故？,放射性物质得到足够冷却 堆芯衰变热移出功能失效，导致局部堆芯熔融的严重事故。,2 请描述导致三哩岛事故的初始事件？,始发事件,1979年3月28日 04：00：37 am,二回路所有主给水泵停转；主汽轮机停转；,36秒 冷却剂系统压力155bar；冷却剂系统泄压阀开启；,8秒 冷却剂系统压力162bar；引发反响堆紧急停堆；,辅助给水泵启动；但是，泵和蒸气发生器之间的阀门处于关闭状态；,2分4秒 反响堆冷却剂系统压力下降到110bar；高压安注系统启动；稳压器水位上升。,74,案例分析,三哩岛事故问题和答案,3 三哩岛事故是INES分级那级核事故？,按照厂内影响准那么的最高级，5级。,4 根据反响堆堆芯传热理论分析三哩岛事故的成因？,传热能力形成三个条件：热阱；传热方式冷却手段；传热介质堆芯冷却剂水装量。,5 三哩岛事故中的设备和设计问题？,卸压阀门质量和设计；控制台显示：辅助给水阀门状态指示信号，堆芯冷却剂水装量指示信号，卸压阀门状态。,75,案例分析,三哩岛事故问题和答案,6 三哩岛事故中的操纵员操作失误？,操纵员关闭冷却剂泵B；环路中存在气体空间冷却剂无法形成自然循环；操纵员关闭冷却剂泵A；环路中存在气体空间冷却剂无法形成自然循环破坏传热方式；1小时50分110分堆芯元件第一次裸露；,2小时18分138分操纵员发现卸压阀卡开，虽然关闭卸压阀的截止阀；但是没有加大高压安注流量，事故继续；操纵员翻开卸压阀的截止阀，关小高压安注减少堆芯水装量；失去冷却剂引起第二次堆芯裸露；,使反响堆冷却剂系统继续减压；虽然反响堆冷却剂系统到达41bar加大冷却剂系统蒸汽含量，环路中存在气体空间冷却剂无法形成自然循环，破坏传热方式；安注箱注水；但是很小，操纵员认为堆芯被注满水；11小时08分有2小时安注箱停止注水；高压安注小流量；蒸汽发生器不能使冷却剂形成自然循环；堆芯长时间失去任何冷却手段；第三次堆芯裸露；,76,案例分析,三哩岛事故问题和答案,7 三哩岛事故中运行和操作规程问题？,事故处理规程：因为震动关闭冷却剂泵错误；规程应该首先保证平安功能实现特别堆芯衰变热移出：热阱、传热方式、水装量；维修后检查规程。,8 三哩岛事故中的业主管理问题？,运行经验反响；操纵员培训；错误事故规程制定；维修后检查规程制定；设备质量保证。,9三哩岛事故给纵深防御准那么带来的新思考？,纵深防御准那么正确性经受了实践考验，缓解事故、包容放射性；但是，操纵员错误能够使纵深防御准那么失效；核电工业提出“人因工程；操纵员模拟机培训。,10三哩岛事故中那些反响堆平安功能发挥了作用？,反响堆平安功能三项中两项发挥了作用：反响性控制；放射性包容。,77,案例分析,三哩岛事故经验反响,修改美国联邦法规10CFR50.34(f)要求新建核电站必须对三里岛事故以后，所总结的平安问题提出应对措施或处理意见，送交 NRC审查。,NRC制定导那么?三里岛行动方案?NUREG-0660和NREG-0737附加要求：,1一回路功能保护；辅助给水系统评价、自动动力排放阀隔离系统、自动减压系统动作、氢控制系统评估等5项。,2平安保护系统：模拟器能力、控制室设计、氢气控制、阀门位置指示 等28项,3管理程序：工业经验、质量保证大纲、平安壳设计、氢气复合器、管理大纲 等7项,78,案例分析,切尔诺贝利事故,事故背景：RBMK类型1000MWe级大型石墨压力管式沸水堆类似于压力管式压水堆，蒸汽发生器和稳压器位于堆外；,反响堆固有设计缺欠：堆芯具有正汽泡反响性、控制棒挤水棒正反响性效应、无平安壳厂房屏蔽、无纵深防御准那么；,运行管理混乱：实验规程不完整、运行指令、规程不标准；,实验前反响堆状态：4月26日1时，解除应急冷却系统备用连锁，反响堆200MWt运行；堆芯处于降功率过程“Xe中毒状态;人为解除蒸汽发生器蒸汽压力和水位低值事故保护信号；投入8台水泵加大水流量运行，堆芯汽泡正反响性效应假设汽泡减少负反响性效应，引发自动调节棒提出堆芯；人为提升手动棒维持反响堆200MWt运行；堆芯仅有6-8根控制棒少于30根限值；,79,切尔诺贝利核电厂流程图,80,案例分析,切尔诺贝利事故,事故背景：,主要优点：,RBMK类型核电站的低功率密度提供了承受较大的全厂断电能力，可以在一个小时内堆芯不会损伤；,机组可以在运行时换料，提高了可利用率水平；,石墨慢化剂设计允许使用轻水做慢化剂反响堆不适用的燃料。,81,案例分析,切尔诺贝利事故,事故背景：,主要弱点：,RBMK类型设计与大世界多数核电站的最主要差异是RBMK类型设计没有钢和/或重混凝土平安壳结构作为事故期间防止大量放射性释放的最后屏障。1979年三岛2#机组事故说明美国为代表的西方类型反响堆平安壳的有效性，尽管堆芯燃料一定程度熔融，事实上全部放射性被保存在平安壳内。在Chernobyl事故，RBMK机组发生事故的系统RBMK形式的平安壳，不能承受事故冲击力。虽然估计爆炸释放的能量高于大多数平安壳设计所能承受的，但是平安壳结构可以防止放射性物质在Chernobyl释放；,事故缓解系统有限和无效；,82,案例分析,切尔诺贝利事故,事故背景：,反响堆控制系统潜在很多失调，潜在着导致顺利恢复的困难；,当冷却水丧失，反响堆产生快速核链式反响和功率增加。该特性被称为“正空泡系数，前苏联工程师应该用快速落控制棒和其他方式的设计缓解这种瞬发效应。所有RBMK反响堆作的修改是适当维持正空泡效应足够低，以便防止像切尔诺贝利Chernobyl事故那样核功率突增。美国类型轻水反响堆设计成，具有相反的特性“负空泡系数所以当反响堆失水时，核链式反响自动停止；,防火系统不适当；,在石墨砌体中有限的蒸汽反响遏制能力；,电气和平安系统的实体别离和余度；,杂乱的管道布置。,83,案例分析,切尔诺贝利事故,核电机组实验发电机惰转特性：,1986年4月26日1时23分04秒 核电机组8号汽轮机紧急截止阀关闭停止向汽轮机供汽，反响堆应该自动停堆；但是，操纵员解除了停机-停堆连锁保护信号维持反响堆200MWt运行；关闭4台水泵因为不需要向汽轮机供汽堆内蒸汽量增加，汽泡正反响性引发自动棒下插；,1时23分31秒 反响性继续增加自动棒不能补偿汽泡正反响性；功率急剧上升；,1时23分40秒 值班长下令紧急停堆；堆芯具有正气泡反响性和控制棒挤水棒正反响性效应相加；导致反响堆功率剧增；40秒上升100倍；,1时24分 发生两次爆炸；引发反响堆厂房、汽轮机厂房大火；油管损坏、电缆短路、放射性辐照造成附近区域30余处火灾；,26日5时 扑灭火灾,11月 使用混凝土封闭4号机组；继续去除放射性污染；,84,案例分析,切尔诺贝利事故,事故后果：,严重人员伤亡：爆炸死亡2人；237人受到临床效应超剂量照射，其中134人辐射病死亡；,东欧广阔地区环境和居民受到放射性污染：1986-1987年20万人受到100mSv以上平均剂量照射；从事故后从禁区周围30公里半径撤离万余名居民，其中5%受到大于100mSv以上平均照射剂量；,北半球各国不同程度受到事故影响：最大的平均个人计量约为08mSv至12mSv；,巨大经济和社会后果：经济损失约200亿美元以上，引发世界性反核浪潮，为核电工业开展构成巨大冲击，留下难以消除的阴影。,85,案例分析,切尔诺贝利事故,物理背景：堆芯瞬发临界，使反响堆平安功能迅速全部失效，引发灾难性严重事故；,直接原因：设计缺欠；人员违规操作；,根本原因：管理部门和业主不具备健全的核平安文化,改正措施：取消或改进该种类型反响堆；国际核工 业协助核电站管理部门和业主健全核平安文化。,86,案例分析,切尔诺贝利事故,问题：,1 切尔诺贝利事故物理背景是什么？,2 切尔诺贝利核电厂运行，用反响堆理论说明为什么堆芯水量增加、汽泡减少控制棒会自动提升？,3 切尔诺贝利事故是INES分级那级核事故？,4 切尔诺贝利核电厂是那种类型反响堆/使用的慢化剂、冷却剂？,5 切尔诺贝利事故中的设备和设计问题？,6 切尔诺贝利事故中的操纵员操作失误？,7 切尔诺贝利事故中运行和操作规程问题？,8 切尔诺贝利事故中的业主管理问题？,9 切尔诺贝利事故带给世界核工业带来的新思考？,10 防止切尔诺贝利事故再发生应该采取的措施？,87,案例分析,其它,案例1,伴随设备和应急气动闸门维修活动发生的平安壳缺口。,事件说明,按照一项应急气动闸门的压力实验安排，要求该项实验把一个盲板安置在一条通向气动闸门的管路上。该盲板的作用是保持气动闸门平安壳功能。使用这个管路由连接到电厂空气系统一条软管来的空气给气动闸门加压。因为程序没有说明该盲板的位置，技工有理由认为该盲板连接在空气通路上一种逻辑做法，因此他按照常规把盲板安置在空气阀门下游。所以，他再开启阀门，确认从连接软管进来空气，并且在空气通路上安装了盲板。由于空气通路现在没有与气动闸门连接并且盲板处在错误位置上，平安壳有了缺口。这种情况存在了约15小时，并且在反响堆构筑物侧，气动闸门的门每次开启造成一次平安壳缺口。当班组轮换倒班，技工们讨论当值工作时，发现了这种情况。另外的技工执行当值工作以前，相当地了解正确安装和不正确纠正盲板安装的后果。立刻将该信息告诉班组主管并且纠正了该情况。反响堆构筑物平安壳功能总的无效率大约30分钟18次开启每次约100秒。,88,案例分析,两天后，为了两周以后停堆期间反响厂房压力实验进行准备时，要求进行另外管道修改。当值工作是在一个空气通路阀门下游辅助厂房一侧安装一个 T型管连到设备的气动闸门上。因为工作文件没有清楚说明T型管是什么样的或应该把它安装在什么地方，与期望的安装比较存在相当混淆。方案员预期安装的T型管，事实上是一只带有两个出口连到通风系统去的长管。工人们根据现有配置评价去理解，安装T型管的位置是安装在与气动闸门连接阀门上游平安壳侧的一个连接短管。他们向系统工程师说T型管找不到了并且他们需要一张图纸。没有找到图纸，并且没有特殊要求承受125 kPag的空气压力，系统工程师建议他们加工一个新T型管和安装上。工人们按照他们理解的那样加工了一个T型管，替换连接短管并且把它安装上。再次出现这种情况，位于反响堆厂房侧气动闸门的门开启形成一个平安壳缺口。两个小时后操纵员发现了这种情况，当操纵员了解应急气动闸门的其它事件时，他看到气动闸门前面的安装感到疑惑不解。他查看管道系统并且发现异常，随后正确纠正了这种情况。,89,案例分析,后果,直接后果是形成总间隔约40分钟的平安壳两个缺口。作为一个严重突破平安规定来考虑这种事件，甚至认为可靠性目标已经处于10-3y/y(8.8h/y)。另外潜在后果，如果该项忽略的错误没有被发现，反响堆厂房高压实验期间按照125kPag进行，应急时进入反响堆厂房将不可能，将无法验证停堆平安分析确认的一些情况。,原因确认,两个事件确定主要原因是当值工作所用的程序，不具有新手执行时所需要的那样精确程度。多年以来使用这些程序所以能适用，因为按照常规使用，有资格的人员做该当值工作，这些人做当值工作以前要取得资格。然而，在这个事件里两个技工虽然有经验，但是并不熟悉该项任务。虽然他们表示了一种积极地征询意见态度，但是这种沟通没有起作用。他们在没有任何岗前说明的情况下开始当值工作，没有确认任务应该具有的危重性。在第二种情况，该项工作授权说明一项空气系统的修改而不是平安壳系统，所以班组的主管确认不需要一项专门资格才能做该项工作。,90,案例分析,纠正措施,由这些轻微事件所建议的常规纠正措施那些在事件后，最终执行和可以防止重大事件发生的措施是：在第一次执行一个平安系统程序前要有岗前介绍缓解程序问题；关于一种专门系统的培训/资格限定；一些程序的审查；和监督。,91,案例分析,案例2,反响堆厂房内烘干过滤器时的电缆火灾,事件说明,出于对低放废物储存区域氚释放的关心，决定在送往低放废物储存区域以前，烘干所有来自重水系统冷却剂和慢化剂的过滤器。为这项工作设计了一个桶和一个枯燥器。过滤器顺利地被枯燥，事情过去了10天。为了对剩余的过滤器加快枯燥进程，增加了加热器的功率。要求工人们安装增加枯燥功率的设备。然而，并没有提供精确地指导。,由一个更大的桶和一个总功率2kW的加热器组成新的配置。先前加热器仅为200W。新的桶完全覆盖了加热器。虽然工人们在加热器和桶之间留出空间，但是并不能提供大量空气流通。一只空气软管用于桶顶部的通风，并且直接与反响堆厂房通风系统相连。准许该装置用于过滤器烘干，并没有制定任何监督要求。,92,案例分析,几小时以后，在气体排放监测器上氚剂量水平上升。班组主管指示停止枯燥工作并且断开空气软管连接。他不知道桶内还留有加热器。因为继续的热量释放，过滤器被枯燥并且枯燥粒子污染被扩散。一项放射性应急非应急行动水平启动并且拔去了加热器电源插头。随后吸取装置教训和探讨发生的事情，班组主管要该装置重新设计并且要求重水的蒸汽能够被送到重水复原系统代替先前直接连到通风系统减少氚对外界的释放，事实上这也是这项工作的初衷。完成一定修改以后，重新进行枯燥。当放射性防护工人们做清理工作时，其中一人注意到有一种东西过热的味道。他认为是正常的，因为这是过滤器正在烘干。,两小时以后，一些火光从该装置下面冒出来火灾应急报警启动。立刻在反响堆厂房内，一位放射性防护技术员评价了放射性区域并且判断可以接近和准备灭火。经历两次失败尝试，他们决定把大桶从加热器上移开。这样做以后，他们成功地扑灭了火灾。这似乎是电源引起的火灾。加热器使得加热器动力电缆过热并且引起电力绝缘燃烧。,93,案例分析,后果,没有造成严重后果，因为房间内没有燃烧荷载。尽管如此，如果过滤器着火污染扩散就会很严重。,原因确认,虽然这一系列事情确认了无数原因，但是最主要的因素是缺乏监督，没有岗前说明和没有归纳分类。确认包容当值工作全部阶段程序的缺乏是一种失效的平安屏障，特别强调这不是一项常规任务。不知道或没有说明当值工作每个阶段的职责。,94,案例分析,纠正措施,由这些轻微事件所建议的通用纠正措施，那些在事件后，最终执行和可以防止重大事件发生的措施是：增加该领域第一线管理者的监督；对于任何新的或非常规工作需要一个监督员；对于包容了多于一个专业或单位的工作指派一名协调员；现有设计修改程序的审查。,95,案例分析,案例3,由于维修期间仪表空气导管连接错误，反响堆压力容器上封头冷却系统的两个阀门不能操作,事件说明,考虑到反响堆压力容器上封头冷却系统的两个阀门原来