16+
Регистрация
РУС ENG
http://www.eprussia.ru/epr/14/715.htm
Газета "Энергетика и промышленность России" | № 10 (14) октябрь 2001 года

Техника или человек?

Энергетика Н.П. Филиштинский

События, в результате которых новейшая, поражающая своим совершенством техника внезапно выходит из контроля, унося человеческие жизни, часто кажутся цепью нелепых случайностей.

Однако крупные технические неудачи часто подчиняются своей неумолимой логике. Одни и те же фразы звучат в заключениях экспертных комиссий. Итак, каковы же психологические причины технических проблем?

Роковое стечение обстоятельств (нерасчетный режим)

Безусловно, невозможно создать устройство, способное выполнять свою функцию после выхода из строя всех его составляющих. При проектировании любой системы определяют объем проблем, которые могут возникнуть одновременно, и исходя из этого конструируют защиту, автоматику, проводят расчеты на прочность. Беда в том, что дикое, невероятное стечение обстоятельств часто бывает очевидным следствием какого-нибудь распространенного физического явления.

Ошибка персонала

Конечно, человеку свойственно ошибаться. Однако катастрофические последствия возникают в одном из следующих случаев.

Все заинтересованные лица уверены, что система прощает ошибки. Большие запасы прочности, развитая система защит и автоматики, высокий уровень дуракоустойчивости буквально провоцируют на небрежность.

Сжатые сроки. Известно, что скорость нужна при ловле блох, однако противостоять нажиму со стороны руководства - не просто.

Опасность глубоко неочевидна. Такая ситуация часто возникает в случаях, когда те, кто принимает решения, не обладают всей необходимой информацией. Сюда следует отнести и документацию, которая пишется после того, как деньги получены и потрачены, и недостаточный объем измерительных приборов, и многое другое.

Отказ систем безопасности

Несмотря то что в ответственных случаях принимаются параноические меры предосторожности, эффективность защиты может оказаться нулевой. Вот несколько распространенных причин такой ситуации.

Основная и резервные защиты выполнены на одних и тех же физических принципах. Масштабы создаваемых человеком технических систем непрерывно увеличиваются. Растут мощность, скорость, размеры и т.д. При этом процессы, которые раньше не оказывали существенного влияния на систему, внезапно могут стать определяющими. Как результат - четыре одинаковые защиты, одновременный отказ которых представлялся совершенно невероятным, бодро не реагируют на аварийную ситуацию.

Неправильная настройка. Когда вся автоматика агрегата обслуживается одним и тем же человеком, велика вероятность, что свои технические представления о правильной регулировке он воплотит при наладке как основных, так и дублирующих устройств. Если эти представления неадекватны, один и тот же «хомут» будет содержаться во всех защитах, сколько бы их ни было.

Недостаточный объем регламентных работ. Опыт показывает, что если последний пункт методики технического обслуживания требует времени, глубоких знаний и ловкости - времени на его выполнение наверняка не хватит. Как следствие - весь комплекс автоматики неправильно реагирует на одну и ту же ситуацию.

Вот пример, иллюстрирующий вышесказанное.

7 апреля 1989 г. Гибель атомной подводной лодки «Комсомолец».

По данным материалов www.submarine.id.ru 7 апреля

1989 г. в 11 час. 41 мин. на торпедной подводной лодке с атомной энергоустановкой в районе примерно в 180 км юго-западнее о.Медвежий в нейтральных водах в одном из отсеков возник пожар. Произошла разгерметизация трубопровода системы воздуха высокого давления. Отсек превратился в подобие мартеновской печи. При таких обстоятельствах система пожаротушения оказалась неэффективной, однако в распоряжении команды не было средств об этом узнать. Началось лавинообразное развитие аварии, когда отказ одной системы влечет за собой выход из строя других. Несмотря на принятые меры, в 17 час. 15 мин. подводная лодка затонула на глубине свыше 1500 м.

Краткая физическая справка

Среди радионуклидов, образующихся в процессе работы реактора и играющих значительную роль в некоторых режимах его работы, особо выделяется ксенон 135Хе. Он активно поглощает тепловые нейтроны, замедляя реакцию. Некоторое количество ксенона образуется непосредственно при делении ядер топлива, но основная его часть получается в результате распада йода (период полураспада 6,7 ч). При работе энергоблока на номинальной мощности ксенон интенсивно выгорает, вследствие чего не оказывает большого влияния на работу реактора. При остановке или резком снижении мощности ксенон накапливается из-за распада йода. Только, когда произойдет распад ксенона (или значительное снижение его концентрации), возможен нормальный выход реактора на мощность. Работа в состоянии «ксеноновой ямы» (отравление реактора) крайне неустойчива: уменьшение мощности приводит к повышению концентрации 135Хе и дальнейшему падению мощности, а увеличение мощности - соответственно к выгоранию этого изотопа и дальнейшему разгону реактора.

Развитие событий

Факты таковы, что в ночь с 6 на 7 апреля в результате сбоя управляющей ЭВМ или ошибки персонала было допущено уменьшение тепловой мощности до 30 МВт (номинальная мощность 3200 МВт), в результате чего развилось отравление реактора. В такой ситуации инструкции требуют немедленно остановить блок. Это сделано не было, вероятно, на то было несколько причин.

Эксперимент, результатом которого стала авария, проводился отнюдь не из праздного любопытства. Цель испытаний - «довести до ума» систему управления магнитным полем генератора. Обнаруженные недостатки были чреваты серьезными неприятностями, поэтому понятно нежелание прекращать работу при первых признаках опасности. В юридической практике такая ситуация называется «состоянием крайней необходимости».

При грамотных действиях персонала возможно вывести реактор из «ксеноновой» ямы.

Разгон реактора происходит не мгновенно, в любом случае будет время нажать кнопку аварийной защиты (АЗ).

После ряда манипуляций удалось стабилизировать тепловую мощность на уровне 200 МВт (программа испытаний предполагала 700 - 1000 МВт), и эксперимент начался. Действия, связанные с началом испытаний, нарушили шаткое равновесие, теплоноситель вскипел, и начальник смены дал команду на аварийный останов. Однако давление пара не позволило стержням системы управления и защиты (СУЗ) опуститься и прекратить реакцию. Через 18 секунд произошел взрыв.

Причины

Поведение защиты в данном случае является классическим примером нерасчетного режима. Хотя требование эффективности систем безопасности в любом возможном случае является логичным, разработчики явно не считали возможной ситуацию, когда придется останавливать интенсивно кипящий реактор. В данном случае источником нерасчетного режима были вполне логичные действия персонала, заблокировавшего сигналы на останов реактора на ранних стадиях развития аварии (по уровню теплоносителя, по факту посадки стопорных клапанов турбины и пр.).

Кабельная арматура, Мощность, Топливо, Турбины, Провод, СРО

Отправить на Email

Похожие Свежие Популярные

Войти или Зарегистрироваться, чтобы оставить комментарий.