40年前的1979年3月28日,由大都会爱迪生公司(Metropolitan Edison Company)运营的三里岛核电站2号机组(TMI-2)发生了严重核事故。事故发生后,总统委员会进行了两次主要调查,一次由卡特总统任命,第二次由核管理委员会(NRC)特别调查小组进行。两次调查记录了事故发生的详细过程、设备可用性及故障,并分析了事故期间操作人员的行动、操作员培训以及适用于事件的NRC程序。
1、事故根本原因
在此次事件中,工厂设计程序和设计师均负有不可推卸的责任,包括工厂的安全分析,也没有进行有效的策划。
在过去的40年里,针对三里岛核事故已经发表了许多研究和论文,但没有一篇涉及到核电站的设计过程或安全分析。
唯一一个专门解决核电站设计和事故责任的努力,还是大都会爱迪生公司对核电站设计者巴布科克和威尔科克斯(B&W)提起的诉讼。审判开始又很快结束,而且案件主要在庭外解决,法庭记录还不对外公布。
在TMI-2事故发生的10多年前,B&W正在设计他们的第一座核电站。在安全系统的设计和电厂的安全分析中,出现了有两个相对较小但十分重要的遗漏。后来发现,这个失误是整个事故的根本原因。
如果在其间的几年里只纠正其中一个,三里岛核事故就可以避免。
TMI主要设计由B&W的公用事业采购厂和NRC审查,这期间遗漏仍然没有被发现。这个遗漏就是,先导式安全阀(PORV)和PORV截止阀的安全作用没有得到充分的认识,也没有通知PORV的制造商阀门的安全功能,即在阀门暴露于事故负荷后必须能够关闭。
此外,电厂的安全分析报告(SAR)没有涉及“非常小的破裂引发冷却剂损失事故(LOCA)”相关内容。
而且不幸的是,电站对PORV失效引发的事故响应与SAR中呈现的小破口事件响应非常不同。当时,没人预料到这种情况。如今,当新型反应堆——如小型模块堆——筹划设计的时候,设计人员从TMI核事故经验中学到了很多。
2、触发事件
清洁冷凝水精处理器的操作员,使蒸汽发生器给水泵跳闸。然后触发电厂安全系统,导致汽轮机跳闸。汽轮机不再从反应堆冷却剂系统(RCS)排出热量,RCS的温度和压力开始迅速上升,PORV按照设计打开。
给水泵关闭后,电厂安全系统开启应急给水泵。由于维护错误,两个应急给水截止阀(本应在核电站运行时打开)均关闭,因此没有应急给水到达蒸汽发生器。关闭的阀门导致RCS的加热速度比正常汽轮机运转时快得多,并且PORV暴露在比正常情况更大的负荷下,很可能是严重的两相流(蒸汽和水混合物)或排水。
因此,阀门关闭可能是造成事故的原因之一。不过文献中没有提到这种可能性。
随着RCS压力升高,反应堆保护系统关闭反应堆,之后RCS压力下降。PORV本应关闭,但却一直开着,核电站面临LOCA。
显而易见的问题是,“为什么PORV不能关闭?”
核电站设计者负有双重责任。他们设计发电厂,不仅应能保证电厂正常运行发电,而且还应预想到,在发电厂寿命期间如果发生意外事件和假设事故状况,能保证电厂的安全性。
设计中还必须识别具有操作功能和安全功能的系统部件,以可靠地执行这两种功能。
PORV就是一个很好的例子,在电厂正常运行期间,PORV通过开启和关闭以及从稳压器排出蒸汽,将RCS压力保持在规定限值以下。
异常事件期间,如TMI-2情况,PORV可能排放两相流或水。因此,这个时候,阀门必须要发挥其应有的安全功能,即在两相流或排水后关闭。显然,TMI事件中,阀门安全功能已经失效,甚至可以说,PORV就没有设想到安全功能。
阀门采购订单没有规定这一要求,阀门供应商也不知道阀门具有安全功能,并且在两相流或排水后必须关闭阀门。
3、核安全设备分类失误
设计师还负责将操作经验纳入其设计中。
在TMI-2事故之前,B&W电厂的PORV出现过七次未能关闭的情况。尽管有此记录,但PORV本身没有调整或更换。相反,还安装了一个指示灯,以显示PORV上游的截止阀是否收到关闭信号,但控制室内没有迹象表明阀门已实际关闭。
在B&W设计的PWR中,PORV的开启相对频繁。反应堆堆芯的热工水力设计比其他PWR堆芯更接近可接受的极限,蒸汽发生器二次侧的含水量非常小,仅为其他一些PWR含水量的25%。
这些差异使系统对变化的反应更快。由于反应迅速,PORV的作用相对频繁。更频繁地使用PORV导致更频繁的故障。TMI-2的PORV故障是B&W核电站的第八次,比其他反应堆设计的PORV故障高出一个数量级以上。
NRC对与安全相关的设备有具体要求。对于事故缓解至关重要的设备和其故障可能导致或加重事故的设备被视为“安全相关”设备。
卡在打开位置的PORV会导致RCS边界破裂,导致LOCA。而在一些假定事故中,LOCA被认为是最严重的,因此受到特别关注。
核电站设计了三道屏障,以保护公众免受放射性物质释放的影响:燃料被封闭在一个密封的包壳内,反应堆堆芯在封闭的RCS内,RCS被一个安全壳建筑覆盖。
在所有假定的事故中,只有一次——LOCA中——两个屏障预计会损坏。在LOCA的情况下,事件本身会破坏RCS,预计事故后果会损坏部分燃料包壳。对公众的保护被简化为一个单独的屏障,即安全壳。
此外,阀门故障比管道破裂更容易发生。因此,最有可能发生LOCA的是卡在打开位置的PORV。
令人惊讶的是,设计人员没有将PORV确定为安全相关设备。设计由大都会爱迪生公司审查,并由NRC进行评估。两方都未对PORV不被指定为安全相关提出意见。最终,NRC批准了施工许可证申请。
如果PORV被指定为安全相关设备,它将必须满足可靠性要求,并在事故条件下进行测试。如果TMI-2 PORV已经过测试,它很可能不会通过。
事故发生后,阀门制造商表示,TMI-2 PORV很难在两相流或水排放后关闭。如果PORV被指定为安全相关,它将被更换或返修。
未将PORV指定为安全相关的原因是PORV上游存在截止阀。如果PORV卡在打开位置,截止阀可以关闭,从而终止事故。因此,截止阀对于缓解PORV失效事故至关重要,并且必须也要考虑到安全相关设备范畴。
必须具有从卡在打开位置的PORV启动的自动安全等级驱动,或者,如果启动是手动的,则必须在控制室内提供安全等级位置指示,并有足够的时间供操作员操作。
TMI-2不存在这两种情况。PORV故障的后果是设计师的部分责任,没有对工厂进行全面详细的安全分析。
分析必须包括电厂可能发生的瞬态变化。瞬变分析必须表明,在这些事件之后,电厂继续运行可以保证安全。电厂的安全分析还必须解决所有潜在事故,包括系统故障和电厂可能发生的操作员错误 。除非认为极不可能发生(严重事故)。
设计师有责任确定电厂设计的所有特定事故类型。对于水冷反应堆,其中一种事故类型是RCS LOCA。
4、破裂分析疏漏
对于TMI-2等PWR,NRC要求对RCS中的全部破裂进行分析,从RCS中最大管道的双端破裂开始,直至补给水系统能够承受的破裂尺寸。
不幸的是,设计中没有注意到,如果阀门的排放区在假定事故范围内,系统故障也包括阀门卡在打开位置。PORV就是在尺寸范围内发生故障。完整的转动范围,也意味着所有可能的中断位置。稳压器顶部阀门卡在打开位置的后果,可能与较低标高处相同尺寸破裂的不同。
通常,在TMI事故之前,大破裂LOCA分析包括,RCS热管段和冷管段的破裂尺寸,从双端破裂到0.5平方英尺的破裂。
通常情况下,后果最严重的是大断裂,小尺寸断裂一般影响极小。小断裂LOCA分析从0.5平方英尺下降到约0.1平方英尺。趋势相同,较小的破裂有较轻的后果。
由于两个原因,没有对更小的断裂进行分析:(1)计算机上的计算时间长,分析成本高;(2)趋势已经确定。
相反,有人假设这一趋势将继续下降到所要求最小尺寸。此外,假设小断裂LOCA分析与断裂位置无关。因此,未在不同位置分析小于0.5平方英尺的断裂,也未对小于0.1平方英尺的断裂进行任何分析。
免责声明:本网转载自合作媒体、机构或其他网站的信息,登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。本网所有信息仅供参考,不做交易和服务的根据。本网内容如有侵权或其它问题请及时告之,本网将及时修改或删除。凡以任何方式登录本网站或直接、间接使用本网站资料者,视为自愿接受本网站声明的约束。