《中國核能行業(yè)智庫叢書（第四卷）》已完成出版發(fā)行，這是一本發(fā)產(chǎn)業(yè)先聲的智慧文萃，是行業(yè)專家們從不同角度、不同深度對產(chǎn)業(yè)前途命運進行思考的思想文庫。自2021年12月起，協(xié)會微信公眾號將精選大部分文章與廣大讀者共享。今天推出的是核電建設與運營管理板塊文章《計算機化規(guī)程使用對主控室操縱人員人因失誤的影響》。

李茂友

山東核電有限公司模擬機教員

《計算機化規(guī)程使用對主控室操縱人員人因失誤的影響》

作為民用核設施的一種，核電廠由于其在開始運行后長期具有放射性、需要持續(xù)冷卻，且發(fā)生過切爾諾貝利、福島等影響范圍巨大的核事故，其安全性一直廣受公眾關注。核行業(yè)內(nèi)也一直通過同行評估、經(jīng)驗反饋等方式積極提高人員績效。

核電廠主控室操縱人員作為電廠的關鍵崗位人員，其人員績效水平直接影響電廠的運行業(yè)績和安全水平。在事故情況下，主控室操縱人員的快速診斷和精準控制可以將機組參數(shù)控制在運行限值以內(nèi)，防止故障擴大。相應的，如果主控室操縱人員出現(xiàn)失誤，則可能導致較小的瞬態(tài)擴大至嚴重事故，三哩島事故就是一個典型的例子。

由于系統(tǒng)控制邏輯復雜和各種類型物理參數(shù)的變化速率不同，在主控室操縱人員執(zhí)行操作后，電流、電壓等參數(shù)可能會出現(xiàn)即時反饋，而像溫度、液位等參數(shù)則可能在幾秒或幾分鐘內(nèi)都無法觀察到明顯的變化。在事故情況下，由于事故后果的嚴重性，操縱人員往往同時還面臨著巨大的時間壓力。因此，核電廠的控制對操縱人員的觀察、記憶、決策和注意力分配等各方面能力要求均較高。

1 三代核電特點

1.1數(shù)字化主控室

隨著自動化控制技術的發(fā)展，目前三代核電基本都采用了數(shù)字化主控室配備， 主控室由以前傳統(tǒng)電廠的硬盤臺、指示儀等，改為了大屏顯示和多個電腦屏幕顯示、控制的配置，從而導致數(shù)字化主控室基本都具有“巨量信息、有限顯示”的特點。

傳統(tǒng)核電廠的主控室信息顯示主要布置在儀表盤臺上，信息直觀、數(shù)量較少， 且顯示位置基本固定在特定位置，操縱人員一般可以直接在固定的儀表盤臺上搜索到自己需要關注的信息，同時操縱設備也是在盤臺上通過硬手操的方式實現(xiàn)。

數(shù)字化后，操縱人員可以獲得的信息數(shù)量劇增，操縱人員可以通過電廠控制系統(tǒng)調(diào)取的畫面有數(shù)千幅之多，這些畫面不可能同時在屏幕上全部顯示出來，其結果就是同一時間所顯示的或操縱員所能觀察到的信息明顯減少。操縱人員為完整地完成某項監(jiān)督控制任務，即完成監(jiān)視與探測、狀態(tài)評估、響應計劃、響應執(zhí)行這四個子任務，常常需要調(diào)用多達幾十張 / 次的畫面，界面管理任務占用了操縱人員大量的注意力資源。

為了方便操縱人員獲取為完成某一典型任務所需要的信息，數(shù)字化主控室還設置了很多配套畫面，但不同界面上相同參數(shù)的位置是不一樣的，這同樣增加了操縱人員讀錯參數(shù)的風險。

1.2征兆導向事故規(guī)程體系

隨著事故研究的深入，目前核電廠越來越多地采用征兆導向法事故規(guī)程體系。和事件導向規(guī)程體系相比較，這類規(guī)程無需判斷始發(fā)事件，只需通過對系統(tǒng)當前物理狀態(tài)的識別來判斷電廠系統(tǒng)所處狀態(tài)，決定操縱人員應采取的操作，并且通過對關鍵安全功能狀態(tài)樹的循環(huán)監(jiān)視，反復診斷設備狀態(tài)和電廠物理狀態(tài)，可實現(xiàn)差錯容忍和自我糾正。

但征兆導向的事故規(guī)程體系在降低了因人員診斷失誤帶來的風險之外，由于其規(guī)程要求的確認和檢查項目遠多于事件導向性規(guī)程體系，因此在事故處理過程中，操縱人員的操作負荷大大增加，操縱人員在事故干預過程中的時間壓力也進一步增大，這又引入了新的人因失誤風險。

例如事故規(guī)程體系中的“連續(xù)操作步驟”，即“需要操縱人員持續(xù)關注響應參數(shù)，滿足要求立即執(zhí)行響應操作”的步驟，在征兆導向規(guī)程體系中每份規(guī)程都有很多，最常見的幾份事故規(guī)程統(tǒng)計如表 1 所示。這些步驟如果采用紙質(zhì)規(guī)程，由于規(guī)程標記和執(zhí)行的要求，操縱人員需要耗費大量的精力和時間在關注是否滿足條件上，而且在跳轉(zhuǎn)規(guī)程之后上一份的連續(xù)操作步驟大部分仍然生效，數(shù)目繁多的連續(xù)步驟和機組控制壓力下，操縱人員往往容易出現(xiàn)遺漏某些監(jiān)視要求的現(xiàn)象，出現(xiàn)人因失誤。

表 1 規(guī)程“連續(xù)操作步驟”數(shù)目統(tǒng)計表

綜上所述，隨著數(shù)字化主控室的普及，操縱人員在主控室能獲得的信息大幅增加，瞬態(tài)情況下主控室內(nèi)觸發(fā)的報警數(shù)量也急劇增多。為了避免操縱人員診斷錯誤導致關鍵安全功能的喪失，征兆導向規(guī)程體系要求操縱人員循環(huán)檢查機組的關鍵參數(shù)，導致操作步驟和關注事項也都較事件導向的規(guī)程體系增加了很多。而在瞬態(tài)工況下操縱人員控制機組又有著巨大的時間壓力，這些綜合起來導致主控室內(nèi)操縱人員失誤在電廠運行經(jīng)驗反饋中的占比居高不下。

2 計算機化規(guī)程

結合數(shù)字化主控室“巨量信息”和征兆導向規(guī)程“征兆導向”的特點，為降低主控室操縱人員負荷和人員失誤概率，AP1000 機組在設計之初就考慮了計算機化規(guī)程系統(tǒng)。但最初的計算機化規(guī)程因未經(jīng)過人因工程驗證、規(guī)程版本過低、全英文界面等各種原因未能投入使用。2018 年后，山東核電耗費了大量時間和精力， 完成了各項前期工作，將計算機化規(guī)程成功應用于正常生產(chǎn)和培訓。

計算機化規(guī)程是將異常和應急運行規(guī)程內(nèi)容電子化，通過將計算機化規(guī)程的各個步驟與DCS 數(shù)據(jù)點以及相關的操作畫面相鏈接，實現(xiàn)協(xié)助判斷規(guī)程進入條件、協(xié)助判斷規(guī)程步驟是否滿足、幫助操縱員快速找到操作畫面等作用。畫面超鏈接的加入，不但可以使操縱員減少在“界面管理”任務上花費的時間和注意力，降低了時間壓力，也降低了因操縱員找錯畫面導致的人員失誤風險。

同樣的，計算機化規(guī)程的協(xié)助判斷功能可以幫助操縱員監(jiān)視機組狀態(tài)是否滿足要求。以某個專設安全動作信號觸發(fā)為例，在該信號觸發(fā)后，由于該信號相關的觸發(fā)邏輯和下游設備動作情況均可以在 DCS 中獲取，計算機化規(guī)程系統(tǒng)可以根據(jù)獲得的設備動作信號如“閥門 XXX 開啟反饋信號”等，根據(jù)下游的邏輯判斷該專設安全信號觸發(fā)后機組響應是否正確，從而對規(guī)程該步驟中“檢查 XXX 信號觸發(fā)正確”進行自動判斷。操縱員使用計算機化規(guī)程詳細信息窗口的步驟導航可以進入響應的步驟，當邏輯判斷滿足時，點擊導航按鈕進入下一步可直接跳轉(zhuǎn)。邏輯判斷不滿足時，點擊導航按鈕進入下一步會跳出確認窗口。此時計算機化規(guī)程的邏輯判斷充當了獨立驗證的角色，防止操縱人員判斷失誤。（見圖 1）

圖 1 計算機化規(guī)程系統(tǒng)輔助判斷示意圖

在 AP1000 主控室內(nèi)配備的大屏顯示系統(tǒng)上，有一塊大屏專門顯示電站關鍵安全功能是否滿足，其上面用“紅、橙、黃、綠”四種顏色標明對應關鍵安全功能是否得到滿足，DCS 自動按照關鍵安全功能狀態(tài)樹監(jiān)視規(guī)程 F-0 的內(nèi)容進行循環(huán)監(jiān)視，并將結果用顏色顯示在大屏最頂部，主控所有人員均可以十分方便地看到當前關鍵安全功能的狀態(tài)。

同時計算機化規(guī)程能自動記錄規(guī)程執(zhí)行狀態(tài)標記，這可大大減少操縱員耗費在“規(guī)程標記”上的時間，而且在因工況變化導致規(guī)程跳轉(zhuǎn)或者人員交接的情況下，由于各個操縱員站均可通過計算機化規(guī)程看到已執(zhí)行完的規(guī)程標記狀態(tài)，從而可降低因操縱員忘記標記、交流失誤帶來的人員失誤風險。同樣地，副值長可以通過其所在的電腦查詢規(guī)程之前的執(zhí)行情況，監(jiān)視操縱員目前規(guī)程的執(zhí)行步驟，避免操縱員執(zhí)行規(guī)程中出現(xiàn)診斷錯誤。

在使用計算機化規(guī)程時，如果連續(xù)操作步驟（CA）條件滿足，則會自動彈出對話框，若規(guī)程執(zhí)行人員正在響應該步驟，可征得副值長同意后選擇“Snooze”5分鐘、10 分鐘或 15 分鐘。若該步驟內(nèi)容已完成，且無需繼續(xù)監(jiān)視，則可征得副值長同意后選擇“Disable”，當所有的 CA 彈出框中的項目都處理完畢后，可選擇關閉該對話框。這可大大減少操縱人員分配在連續(xù)監(jiān)視方面的精力，只需要在彈出窗口時進行對應的檢查，也避免出現(xiàn)遺漏現(xiàn)象。

在實際使用計算機化規(guī)程系統(tǒng)之前，電廠在模擬機上完成了相關的人因工程驗證和確認工作，以測試不同工況下主控室資源配置的影響、人機接口出現(xiàn)故障 / 錯誤的狀態(tài)，同時也可以對程序、培訓、組織機構、工作執(zhí)行方式、人員資質(zhì)能力等進行評估。人因工程驗證工作的數(shù)據(jù)來源主要包括場景執(zhí)行中觀察員的觀察、每個場景執(zhí)行后的工后會和單場景調(diào)查問卷、全部場景執(zhí)行后關于易用性的整體調(diào)查問卷。通用評估準則包括所有場景的安全限值都得到滿足、人機接口（HSI）能夠支持電廠和操縱員完成各場景目標及任務、所有人機接口（HSI） 的調(diào)查問卷得分和易用性在 3 分以上、所有場景中沒有出現(xiàn)資源的重大延遲、不利后果或潛在的安全風險等。以人機接口的易用性得分為例，電廠各場景調(diào)查問卷“目標達成”部分關于計算機化規(guī)程（CPS）的所有得分的總平均值為 4.239分（滿分 5 分），各場景中計算機化規(guī)程（CPS）的平均得分均大于 3 分的邊際限制值，如圖 2 所示。

圖 2 計算機化規(guī)程系統(tǒng)人機接口易用性調(diào)查問卷得分

編寫完成的計算機化規(guī)程與紙質(zhì)版規(guī)程一起進行模擬機驗證，主要通過不同場景的設置，確保規(guī)程步驟得到相應的驗證，驗證內(nèi)容包括：規(guī)程內(nèi)容與紙質(zhì)版規(guī)程的一致性、步驟鏈接的正確性、規(guī)程步驟畫面鏈接的正確性、規(guī)程步驟邏輯的正確性。

對參與驗證的人員的工作負荷、情境意識、團隊表現(xiàn)和場景診斷方面的分析結果也表明，計算機化規(guī)程能夠有效地支持班組完成正常、異常、事故的操作。較未使用計算機化規(guī)程進行人因工程驗證時，規(guī)程執(zhí)行的速度、規(guī)程走向的準確性，都有了一定的提高。

3 結束語

使用計算機化規(guī)程雖然具有很多優(yōu)點，但其仍有很大的局限性，如很多異常和應急規(guī)程的入口、步驟的判斷等無明確的邏輯判定，而是比較模糊的“壓力下降、液位下降”等參數(shù)變化，這些都需要操縱人員進行人為判定。導致目前的計算機化規(guī)程不能自動監(jiān)視所有規(guī)程的入口條件，僅有部分規(guī)程如停堆或安注信號觸發(fā)后能自動激活規(guī)程，提醒操縱人員開始執(zhí)行，大部分規(guī)程仍需操縱人員人為判定后手動激活進入。

同時計算機化的使用也引入了新的問題，如計算機化規(guī)程可能更新滯后，導致事故下使用計算機化規(guī)程不是最新的工作文件。另外由于預防可能出現(xiàn)的輔助判斷失誤，計算機化規(guī)程系統(tǒng)允許操縱員通過雙擊規(guī)程流程圖中的步驟進入相應的步驟，而這就可能導致由于操縱人員誤點擊出現(xiàn)“規(guī)程跳步、漏步”情況。目前電廠通過管理程序的方式對上述已察覺到的問題進行約束，但在后期使用中仍可能出現(xiàn)其他的問題，這需要在實際工作中進一步進行優(yōu)化。

最后需要指出的一點是，使用電子化規(guī)程是為了降低操縱人員負荷、減少人員失誤風險，而不是完全排除操縱人員的主觀能動性。畢竟規(guī)程不可能包括所有的事故工況。而在機組工況超出規(guī)程要求時，就需要操縱人員依據(jù)其掌握的參數(shù)和技能進行及時干預，因此無論使用哪種形式的規(guī)程，運行團隊均需要保持

對機組狀態(tài)的整體把控。尤其是值長要具有全局把控能力，應監(jiān)控和觀察所有活動，并在發(fā)現(xiàn)團隊成員行為不滿足期望時及時干預，確保運行決策過程中始終將核安全考慮置于首位。（本文刊載結束）