内布拉斯加州公共电力区库伯核电站内布拉斯加市以南约23英里处有一座沸水反应堆,该反应堆于20世纪70年代中期开始运行,为电网增加了约800兆瓦的电力。2016年9月24日,工作人员关闭了反应堆,进入预定的换料停机。这一过程最终导致了NRC的特别检查。
停电后,工人们于2016年11月8日将工厂重新连接到电网,开始30年的运营th操作周期。在停运期间,工作人员关闭了两个阀门,这两个阀门在反应堆运行时通常是打开的。后来在停电期间,工人们被指示重新打开阀门,他们完成了书面工作,表明阀门已经打开。但2017年2月5日的季度检查显示,两个阀门仍然关闭。关闭的阀门损坏了一个关键的安全系统89天,直到发现位置错误的阀门并打开。NRC于2017年3月1日派遣了一个特别检查组前往现场,调查阀门关闭不当的原因和后果。
事件
2016年9月24日,工作人员关闭了反应堆。干燥井口和反应堆容器头被拆除,以便进入反应堆堆芯中的燃料。到9月28日,水位已经上升到法兰上方21英尺以上,反应堆容器的头部用螺栓固定在容器的下部。将这个区域(称为反应堆腔或加油井)灌满,可以在水下移走乏燃料束,保护工作人员不受辐射伤害。
随着反应堆的关闭和大量可用的水库存,反应堆运行时所需的全套紧急堆芯冷却系统被减少到最小数量。需要保持服务的系统的减少有利于维护和测试退出服务的组件。
9月29日下午晚些时候,工人们拆除了余热排出(RHR)系统的A回路进行维护。RHR系统就像一把核瑞士军刀——它可以为反应堆堆芯、安全壳建筑和抑制池提供冷却水,也可以为反应堆容器和抑制池提供补充水。交叉连接使RHR系统能够执行如此多不同的功能。工人打开和关闭阀门,从一种RHR操作模式过渡到另一种。
如图1所示,库珀的RHR系统由两个子系统组成,分别称为回路A和回路b。这两个子系统提供了冗余——只有一个回路需要功能,才能成功完成必要的冷却或补料工作。
图一(资料来源:内布拉斯加州公共电力区,个体电厂检查(1993))
RHR回路A有两个电动泵(图中标记为P-A和P-C),可以从冷凝液储罐(CST)、抑制室或反应堆容器中抽水。泵将水通过或绕过一个热交换器(标记为HX-A)。当热量通过热交换器时,热量通过金属管壁被服务水(SW)系统带走。水可以被送到反应堆容器,喷洒在安全壳建筑内,或者送到抑制室。RHR循环B本质上是相同的。
维护活动的工作包包括在适用的情况下,打开电气断路器以切断组件的电源并保护工人免受电击,以及关闭阀门以使管道的隔离部分排干水,以便可以拆卸或更换阀门或泵。9月29日开始的RHR回路A维护指示包括关闭V-58和V-60阀门。这些阀门只能用手轮手动打开和关闭。阀门V-58位于RHR泵A的最小流线上,而V-60位于RHR泵c的最小流线上。这两条最小流线连接这些手动阀门的下游,然后这条公共管道连接到通往抑制室的更大的管道上。
当RHR泵A或C运行时,当泵的流量小于2731加仑/分钟时,公共管线中的电动阀move - m016a自动打开。大型RHR泵在运行时产生相当大的热量。最小的流线布置确保有足够的水流通过泵,以防止它们因过热而损坏。move - m016a在泵流量上升到2731加仑/分钟以上时自动关闭,以防止冷却流或补流被分流。
RHR环路A的维护工作已于10月7日完成。作业指导书要求操作人员重新打开V-58和V-60阀门,然后将阀门密封在开启位置。对于这些阀门,密封包括在手轮周围安装链条和挂锁,这样阀门就不能重新定位。阀门是密封的,但错误地处于关闭位置而不是打开位置。另一名操作员独立验证了作业指导书中的这一步骤已经完成,但没有注意到阀门密封在错误的位置。
在换料中断期间,RHR环路A不需要可操作。所有的燃料都已从反应堆堆芯卸入乏燃料池。10月19日,工作人员开始将燃料束转移回反应堆堆芯。
10月20日,作业者宣布RHR Loop A可操作。由于最小流道上的阀门关闭,RHR环路A实际上无法运行,但当时还不知道这种不对中。
11月8日,该核电站与电网连接,结束了加油中断,开始了下一个运行周期。
在11月23日至29日期间,工人们按照每个季度必须执行的程序对工厂所有密封的阀门进行了审计。工人们证实V-58和V-60阀门是密封的,但没有注意到阀门是密封关闭的,而不是打开的。
2017年2月5日,工人们再次对所有密封阀门进行季度审计。这一次,他们注意到V-58和V-60阀门没有按要求打开。他们纠正了错误,并通知了NRC。
的后果
阀门V-58和V-60已经不正确地关闭了89天12小时49分钟。在此期间,RHR环路A中的泵进行了15次各种测试。任何泵在没有最小流线可用的情况下运行的最长时间被确定为2分18秒。总的来说,RHR环路A中的泵的总运行时间为21分28秒,流量低于2731加仑/分钟。
泵在低于“最小”流量时运行,可能会因过热而损坏。工人们采取了几个步骤来确定是否发生了损坏。在RHR泵的定期测试中收集了大量数据(事实上,已知泵在没有最小流线的情况下最长运行时间为2分18秒)。工人们回顾了过去两年的测试数据,如压差和振动水平,发现当前泵的性能与2016年秋季加油中断之前的性能没有变化。
工作人员还计算了RHR泵在损坏之前运行所需的时间。他们估计时间是32分钟。为了再次检查他们的工作,他们聘请了一家咨询公司来独立回答同样的问题。顾问得出的结论是,RHR泵损坏需要一个小时。(两次计算之间28分钟的差异可能是由于现场工作人员做了保守的假设,更详细的分析能够减少。但这是一个没有区别的差异——两种计算都对RHR泵运行的总时间产生了足够的裕度。)
测试和分析清楚地表明,在89多天的运行中,RHR泵没有因最小流线不可用而损坏。
潜在的后果
RHR系统可以执行各种安全功能。如果连接到反应堆容器的最大管道有两个破裂,RHR回路中的两个泵都被设计成在反应堆堆芯过热之前提供足够多的补充流量来重新填充反应堆容器。
RHR系统具有高容量、低扬程泵。这意味着水泵以较低的压力供应大量的水(每分钟数千加仑)。RHR泵在反应堆容器内以大约三分之一的正常工作压力输送水。当小型或中型管道破裂时,冷却水排出,但反应堆容器压力需要更长的时间才能下降到RHR泵可以提供补充流量的点以下。在这样的事故中,RHR泵将自动启动,但将通过最小的流线输送水,直到反应堆容器压力下降到足够低的水平。V-58和V-60阀门的关闭可能导致RHR泵A和C在事故发生一小时后因过热而失效。
如果RHR泵B和D仍然可用,它们的损失将是微不足道的。如果RHR泵B和D无法使用(例如由于为它们供电的应急柴油发电机故障),标题可能会更糟糕。
美国核管理委员会的制裁
美国核管理委员会的特别视察队发现了以下两项明显违反监管要求的行为,在该机构的绿、白、黄、红分类系统中都被列为绿色:
- RHR环路A无法运行,超过运行许可允许的停机时间。运行许可证允许库珀在一个RHR回路不可用的情况下运行长达7天,但由于阀门位置错误,反应堆的运行时间远远超过这个时间。
- 没有实施足够的程序来控制设备。工人们每季度都采用一种程序来检查密封的阀门。但该程序的指导不够明确,无法确保工人们既能验证阀门是否密封,又能验证阀门的位置是否正确。
UCS的角度来看
这种险些失手的情况说明了纵深防御方法对核安全的优点和局限性。
维护程序指导操作人员在RHR环路A的工作完成后重新打开V-58和V-60阀门。
虽然非常明确,但仅凭这一程序步骤被认为不够可靠。因此,维护程序需要另一个操作员来独立地验证阀门是否已经重新打开。
虽然备份措施也是明确的,但它不被认为是绝对的检查。因此,另一个程序要求每个密封阀门每季度进行一次验证。
如果第一次季度检查能确定阀门位置错误就好了。
如果独立核查员能发现阀门位置错误,情况会更好。
最好是操作人员按照指示重新打开阀门。
但是由于没有单一的屏障是100%可靠的,所以需要使用多个屏障。在这种情况下,第三道屏障发现并纠正了一个问题,以免它导致核电站出现真正糟糕的一天。
深度防御也解释了NRC提出两项绿色调查结果,而不是实施更严厉的制裁。RHR系统在减轻事故方面发挥了许多安全作用。位置错误的阀门损坏了两个RHR回路中的一个,但没有使其丧失功能。这种损伤可能会阻止一个RHR循环在一些(但不是所有)可靠的事故场景中成功执行必要的安全功能。即使RHR循环A被损坏,库珀的紧急核心冷却系统团队的其他成员也可以介入。
如果阀门位置不正确,库柏公司只有更少的“如果”清单,而这些“如果”需要排在一起来造成灾难,或者可以减轻事故的选择明显更少,NRC的制裁将会更加严厉。在这种情况下,格林的调查结果足以提醒库珀核电站的所有者和其他核电站所有者,遵守安全法规的重要性。
事故无疑揭示了我们可以从中吸取教训,以减少再次发生事故的可能性。像这样的侥幸事件也揭示了同样价值的教训,但代价更低。