核電廠規(guī)程開發(fā)質(zhì)量保證方法研究

吳 茜，張瑞萍，孟 光，呂愛國，余周俊

（華龍國際核電技術(shù)有限公司，北京 100036）

0 引言

核安全的重要性和核電系統(tǒng)的復(fù)雜性造就了核電廠規(guī)程的重要地位。遵守程序作為核電廠防人因失誤工具的關(guān)鍵一項(xiàng)，已成為核安全文化的一部分，規(guī)程質(zhì)量至關(guān)重要。

經(jīng)調(diào)研，核電廠規(guī)程相關(guān)問題的總體趨勢如下：

◇ 人因因子占總體事件的比例有明顯下降趨勢。

◇ 程序和文件缺陷類問題占總體事件比例基本不變，略有上升。

◇ 工作實(shí)踐類問題占人因因子比例逐年下降。

圖1 近5年國內(nèi)核電廠事件根本原因統(tǒng)計(jì)Fig.1 Statistics of root causes of domestic nuclear power plant incidents in the past 5 years

◇ 程序和文件缺陷類問題占人因因子比例逐年上升，在2018 年首次超過工作實(shí)踐類問題，成為人因因子中占比最高的問題。

容易發(fā)現(xiàn)，近幾年各電廠對于人因工程的重視程度提高，人因事件總體比例下降。主要的成果是將工作實(shí)踐類問題的占比減少了，但程序和文件類問題尚未得到較好的解決。

為了解決這一問題，降低規(guī)程對人因事件的影響，提高核電廠規(guī)程開發(fā)的質(zhì)量，在對標(biāo)準(zhǔn)要求和規(guī)程體系對比研究的基礎(chǔ)上，詳細(xì)分析了開發(fā)過程及行業(yè)內(nèi)相關(guān)情況，提出了規(guī)程開發(fā)質(zhì)量保證方法，該方法對各堆型及實(shí)驗(yàn)堆具有普適的參考意義。

1 核電廠規(guī)程體系介紹

規(guī)程開發(fā)的目標(biāo)是確保電廠以安全的方式啟動(dòng)、運(yùn)轉(zhuǎn)和停運(yùn)，所有與安全有關(guān)的構(gòu)筑物、系統(tǒng)和部件的運(yùn)行必須按詳細(xì)的、書面的和已批準(zhǔn)的規(guī)程進(jìn)行。

國家核安全局對核電廠規(guī)程體系選擇方面無明確說明，相關(guān)文件規(guī)定如下：

《HAF103》中7.3 節(jié)要求：“所制定的運(yùn)行規(guī)程必須包括核電廠正常運(yùn)行、預(yù)計(jì)運(yùn)行事件和設(shè)計(jì)基準(zhǔn)事故情況下應(yīng)采取的行動(dòng)，并盡可能列入有關(guān)嚴(yán)重事故的條文。在預(yù)計(jì)運(yùn)行事件和設(shè)計(jì)基準(zhǔn)事故情況下可以使用系統(tǒng)定向的程序，但嚴(yán)重事故情況下宜使用以事故征兆為基礎(chǔ)的診斷和處理程序，并動(dòng)用核電廠可供利用的全部能力；規(guī)程應(yīng)便于執(zhí)行人員按照正確的順序進(jìn)行操作；必須明文規(guī)定運(yùn)行人員被迫偏離書面程序情況下的責(zé)任和聯(lián)絡(luò)渠道[1]?！?/p>

表1 SEOP監(jiān)控和控制的六大關(guān)鍵安全功能Table 1 Six key safety functions for SEOP monitoring and control

《核動(dòng)力廠運(yùn)行安全規(guī)定》中5.2.3 節(jié)要求：“必須制定正常運(yùn)行規(guī)程，以保證核動(dòng)力廠運(yùn)行在運(yùn)行限值和條件之內(nèi)。對預(yù)計(jì)運(yùn)行事件和設(shè)計(jì)基準(zhǔn)事故必須制定事件導(dǎo)向規(guī)程或征兆導(dǎo)向規(guī)程，還必須制定應(yīng)急運(yùn)行規(guī)程或嚴(yán)重事故（超設(shè)計(jì)基準(zhǔn)事故）管理指南?！?/p>

征兆導(dǎo)向法（SEOP）和狀態(tài)導(dǎo)向法（SOP）都屬于上文中“征兆導(dǎo)向規(guī)程”的范疇，都符合要求。

1.1 征兆導(dǎo)向法（SEOP）

征兆導(dǎo)向規(guī)程是以事故分析的概率論方法為基礎(chǔ)，認(rèn)為核電廠的安全由一些與安全相關(guān)的參數(shù)控制，這些值的變化被稱為“征兆”，只要所有安全相關(guān)參數(shù)在預(yù)先規(guī)定的范圍內(nèi)，就能夠確保電廠的關(guān)鍵安全功能（CFSs）。如果任一或多個(gè)參數(shù)超過安全限度，核電廠就處于異常工況或緊急狀態(tài)，此時(shí)操縱員可以利用針對征兆所制定的事故規(guī)程使核電廠恢復(fù)到安全狀態(tài)。

征兆導(dǎo)向事故規(guī)程的處理策略有兩種：

1）如果事件可以被診斷，則采用基于事件的規(guī)程，稱為最佳恢復(fù)導(dǎo)則（ORGs）。

2）如果事件不能被診斷，通過監(jiān)視關(guān)鍵安全功能（CFSs）來克服事件導(dǎo)向法的一些局限性，引導(dǎo)并恢復(fù)電廠安全狀態(tài)。

因此，征兆導(dǎo)向可以幫助操縱員處理復(fù)雜的異常事件和選擇最合適的操作來恢復(fù)核電廠的安全狀態(tài)，進(jìn)一步提高了核電廠的安全性。

從其內(nèi)容上看，它不僅考慮對設(shè)計(jì)基準(zhǔn)事故的處置，也考慮了多重故障。從處置的手段看，它首先保證核電廠的關(guān)鍵安全功能的完備，同時(shí)診斷事故的性質(zhì)，一旦診斷清楚，則進(jìn)入相應(yīng)的事件導(dǎo)向最佳恢復(fù)導(dǎo)則（ORGs）；若由于操縱員誤動(dòng)作造成關(guān)鍵安全參數(shù)異常，則通過持續(xù)對關(guān)鍵安全參數(shù)進(jìn)行監(jiān)督的關(guān)鍵安全功能恢復(fù)規(guī)程（FRGs）引導(dǎo)操縱員去糾正錯(cuò)誤動(dòng)作，保證核電廠最終達(dá)到穩(wěn)定的安全狀態(tài)。

表2 SOP監(jiān)控和控制的六大狀態(tài)功能Table 2 Six status functions for SOP monitoring and control

1.2 狀態(tài)導(dǎo)向法（SOP）

狀態(tài)導(dǎo)向法基于反應(yīng)堆和相關(guān)系統(tǒng)的中子物理和熱工水力原理，對反應(yīng)堆、蒸汽發(fā)生器和安全殼這3 個(gè)與核安全直接相關(guān)的基礎(chǔ)設(shè)備的行為進(jìn)行模型化，從安全角度，提出了表征核電站事故后機(jī)組狀態(tài)的6 個(gè)狀態(tài)功能（State Function）。

根據(jù)反映機(jī)組狀態(tài)的6 個(gè)狀態(tài)功能的物理參數(shù)特征，為了機(jī)組的安全、穩(wěn)定狀態(tài)，狀態(tài)導(dǎo)向法建立了一整套保證控制機(jī)組狀態(tài)惡化并退防的運(yùn)行策略。這些運(yùn)行策略，基于6 個(gè)狀態(tài)功能之間的各種可能組合而確定，其中融合了不同狀態(tài)功能所需的優(yōu)先順序。進(jìn)而，運(yùn)行規(guī)程架構(gòu)設(shè)計(jì)了循環(huán)監(jiān)測、循環(huán)診斷導(dǎo)向，確保適時(shí)使用恰當(dāng)?shù)倪\(yùn)行策略，達(dá)到全局控制機(jī)組狀態(tài)的目的。

1.3 對比分析

SOP 和SEOP 都在EOP 基礎(chǔ)上進(jìn)行了優(yōu)化，SOP 不依賴于具體的始發(fā)事件，基于對機(jī)組所體現(xiàn)出來的狀態(tài)，結(jié)合實(shí)際參數(shù)指引進(jìn)入相應(yīng)的事故處理規(guī)程。在狀態(tài)參數(shù)循環(huán)診斷過程中融入事件導(dǎo)向指引，即狀態(tài)導(dǎo)向+事件導(dǎo)向。SOP 程序?qū)崿F(xiàn)了閉環(huán)控制：診斷——行動(dòng)——監(jiān)督——重新定向——行動(dòng)。

SEOP 結(jié)合EOP 和SOP 規(guī)程的特點(diǎn)。其原理為，先運(yùn)用事件導(dǎo)向及時(shí)進(jìn)行事故處理，當(dāng)發(fā)生疊加事故等復(fù)雜事故時(shí)，運(yùn)用征兆導(dǎo)向進(jìn)行診斷處理，即事件導(dǎo)向+征兆導(dǎo)向。

SOP 文件體系覆蓋全面，按照人員職責(zé)劃分，結(jié)構(gòu)高度格式化、系統(tǒng)化；SEOP 文件體系只包含事故部分，按照機(jī)組功能劃分，文件體系相對分散，但分類明確。

通過介紹和對比分析，SEOP 在事故處理上具有一定的優(yōu)勢，其事件導(dǎo)向+征兆導(dǎo)向的線性結(jié)構(gòu)在事故處理中體現(xiàn)出來的高效性和使用體驗(yàn)更有優(yōu)勢。SOP 優(yōu)化后在二代加的基礎(chǔ)上有大幅提升，可執(zhí)行性和使用體驗(yàn)得到大幅提升。

表3 應(yīng)用情況及結(jié)論Table 3 Application and conclusion

圖2 事故處理規(guī)程開發(fā)過程Fig.2 Accident handling procedure design process

2 規(guī)程開發(fā)過程介紹

事故處理規(guī)程的開發(fā)分為多個(gè)步驟，如圖2 所示[2]。

- 確定事故處理導(dǎo)則或規(guī)程的原則：事故處理導(dǎo)則或規(guī)程的原則涉及事故處理方法的確定，事故處理導(dǎo)則或規(guī)程在核電廠規(guī)程中的作用，導(dǎo)則或規(guī)程人因工程、運(yùn)行組織等方面的內(nèi)容，事故處理規(guī)程和事故處理導(dǎo)則在導(dǎo)向方法上應(yīng)保持一致。

- 事故處理導(dǎo)則：根據(jù)所確定的事故處理導(dǎo)則或規(guī)程的原則，進(jìn)行事故處理導(dǎo)則開發(fā)。事故處理導(dǎo)則是事故處理規(guī)程的技術(shù)基礎(chǔ)，事故處理導(dǎo)則的開發(fā)一般有兩種方法，革新法和參考法。

- 編寫事故處理規(guī)程編者導(dǎo)則：編者導(dǎo)則用于規(guī)范并保證事故處理規(guī)程是完整的、準(zhǔn)確的、易讀的和易使用的。編者導(dǎo)則應(yīng)包含將事故處理導(dǎo)則轉(zhuǎn)化成事故處理規(guī)程的方法。

- 編寫事故處理規(guī)程：按照編者導(dǎo)則，基于事故處理導(dǎo)則，編寫核電廠的事故處理規(guī)程。需要考慮對編寫者的要求、由導(dǎo)則轉(zhuǎn)化為規(guī)程、功能分析和任務(wù)分析、驗(yàn)證和確認(rèn)等。

3 行業(yè)內(nèi)技術(shù)進(jìn)展

3.1 基于人因工程的事故規(guī)程配套畫面問題

以XX 數(shù)字化主控室的數(shù)字化事故規(guī)程配套畫面，存在畫面設(shè)計(jì)與規(guī)程功能不匹配、設(shè)計(jì)細(xì)節(jié)考慮不足影響效率、人因工效學(xué)考慮不足等問題進(jìn)行介紹如下[3]：

1）畫面設(shè)計(jì)與規(guī)程所需功能不匹配

通過開展功能分析，調(diào)研數(shù)字化規(guī)程與配套頁面對應(yīng)顯示信息發(fā)現(xiàn)，顯示頁面存在多個(gè)多余信息，占用大量空間。多余信息干擾操縱員對狀態(tài)監(jiān)視、增加監(jiān)視負(fù)荷，浪費(fèi)空間導(dǎo)致原本一頁能夠呈現(xiàn)的對應(yīng)信息需要2 ～3 張頁面方能完成，同時(shí)增加頁面調(diào)取、管理工作負(fù)荷。

2）設(shè)計(jì)細(xì)節(jié)不足影響工作效率

多年模擬機(jī)復(fù)訓(xùn)經(jīng)驗(yàn)反饋發(fā)現(xiàn)，畫面設(shè)計(jì)細(xì)節(jié)考慮不足。例如，許多鏈接與任務(wù)無關(guān)，同時(shí)許多本可以增加工作效率的鏈接頁面中未有考慮，操縱員需要通過自身的長時(shí)記憶調(diào)取這些頁面，花費(fèi)頁面調(diào)取時(shí)間的同時(shí)增加操縱員的認(rèn)知負(fù)荷。

3）人因工效學(xué)考慮不足

電廠經(jīng)驗(yàn)反饋發(fā)現(xiàn)，頁面的許多不良經(jīng)驗(yàn)反饋是由未能有效對人視覺信息顯示人因工效學(xué)維度開展深入評估造成的。例如，界面布局對視覺監(jiān)視規(guī)律考慮不夠充分，信息布局、重要信息、參數(shù)、報(bào)警未能充分利用顏色、圖形等方式增加操縱員注意力，未能充分考慮格式塔視覺認(rèn)知經(jīng)典理論中的相似性、相近性、連續(xù)性等問題的影響。

3.2 優(yōu)化方案

1）優(yōu)化界面布局及邊界形式

根據(jù)經(jīng)驗(yàn)反饋里的界面信息設(shè)置及布局問題和任務(wù)分析，確定必要信息、提出多余信息，對信息內(nèi)容布局進(jìn)行分類和重要度優(yōu)化，同時(shí)使用不同顏色邊框進(jìn)行區(qū)分，減少操縱員辨識信息區(qū)域時(shí)的認(rèn)知負(fù)荷。

2）圖形化顯示重點(diǎn)參數(shù)

數(shù)值顯示的參數(shù)因?yàn)樾枰^為深入的認(rèn)知加工過程，因此出現(xiàn)異常不易引起操縱員注意，考慮到人對于圖形輪廓及顏色的認(rèn)知負(fù)荷較低且更易引起注意，為了強(qiáng)調(diào)重要參數(shù)，減少操縱員對此的認(rèn)知負(fù)荷，優(yōu)化時(shí)引入圖形顯示工具，例如色條圖形式，一旦到達(dá)閾值，色條圖變色。

3）精細(xì)化鏈接設(shè)計(jì)

圖3 規(guī)程開發(fā)質(zhì)量保障方法Fig.3 Procedure development quality assurance method

根據(jù)運(yùn)行經(jīng)驗(yàn)及操縱員行為數(shù)據(jù)統(tǒng)計(jì)，界面調(diào)取任務(wù)占用操縱員大量認(rèn)知負(fù)荷和時(shí)間，而快速鏈接是數(shù)字化規(guī)程執(zhí)行效率的重要影響因素。因此，秉持“一次點(diǎn)擊，即達(dá)目的”的原則進(jìn)行優(yōu)化，系統(tǒng)類畫面由原需要操縱多次優(yōu)化為一次，增加參數(shù)、趨勢類畫面，標(biāo)題即為鏈接。

4）儀表故障智能輔助診斷

將單一物理量平均值顯示方式優(yōu)化為畫面比較所有測量值，差值超預(yù)設(shè)值后顯示框激活為紅色閃爍框，以此提醒操縱員出現(xiàn)異常參數(shù)、設(shè)備。

5）重要狀態(tài)參數(shù)智能輔助診斷

針對事故程序主要控制的目標(biāo)參數(shù)（見第一節(jié)規(guī)程體系內(nèi)的介紹），根據(jù)規(guī)程對參數(shù)的要求，使用智能技術(shù)對其進(jìn)行輔助診斷。當(dāng)參數(shù)超控制預(yù)期，或由于事故進(jìn)展導(dǎo)致參數(shù)惡化，對參數(shù)框激活動(dòng)態(tài)提示動(dòng)作，提醒操縱員注意。

4 規(guī)程開發(fā)質(zhì)量保證方法

4.1 規(guī)程開發(fā)中的人因工程考慮

規(guī)程開發(fā)中的人因工程需要考慮3 個(gè)因素[4]：

◇ 人因工程原則（如何評價(jià)規(guī)程體系或一份規(guī)程質(zhì)量的優(yōu)劣；用戶友好的規(guī)程，內(nèi)涵是什么）。

◇ 人因工程活動(dòng)（建立一套有效的方法論和過程，確保開發(fā)和規(guī)程滿足人因工程原則和要求）。

◇ 在運(yùn)電廠規(guī)程維護(hù)的人因貢獻(xiàn)（將規(guī)程開發(fā)過程中的有益經(jīng)驗(yàn)，用于在運(yùn)電廠的規(guī)程維護(hù)和優(yōu)化）。

4.2 規(guī)程開發(fā)中的人因工程原則及保障方法

規(guī)程開發(fā)中的人因工程頂層原則：

◇ 完整性。

◇ 正確性。

◇ 清晰性。

◇ 呈現(xiàn)友好性：

◇ 語言友好性。

◇ 格式友好性（例如，構(gòu)造層次性的規(guī)程）。

◇ 流程友好性。

◇ 一致性。

◇ 防錯(cuò)性。

保障方法，如圖3 所示。

為了確保規(guī)程的高質(zhì)量，除了執(zhí)行上述過程，還需要考慮運(yùn)行經(jīng)驗(yàn)、用戶能力和班組結(jié)構(gòu)匹配、人機(jī)功能匹配性、任務(wù)流程合理性、人員負(fù)荷可接受性、重要人員動(dòng)作、人機(jī)接口匹配性等因素。

5 結(jié)語

介紹了規(guī)程體系及開發(fā)過程，在對行業(yè)內(nèi)規(guī)程問題及優(yōu)化情況進(jìn)行分析的基礎(chǔ)上，提出了規(guī)程開發(fā)的質(zhì)量保證方法，該方法對各堆型及實(shí)驗(yàn)堆具有普適的參考意義。