核电厂数字化SOP对人因失误的影响

【关 键 字】 SOP  事故规程  人因失误  数字化  界面管理任务
【摘    要】 主控室中数字化状态导向规程SOP (State-oriented Procedure)的应用使操纵员执行事故处理的逻辑和信息显示方式都发生了重大变化。本文介绍了SOP规程的原理,描述了数字化主控室中操纵员执行SOP处理电厂事故的流程。以核电厂主控室现场调研、行为观察、模拟机实验和操纵员访谈为依据,发现数字化SOP在操作控制、信息显示、班组合作等方面带来了大量可能导致人因失误的因素,以及可能出现的新的人误模式,可期为SOP规程的优化提供支持。
核电厂采用事故规程系统来指导操纵员执行事故处理操作[1]。经验丰富的操纵员在没有任何规程指引的情况下也能执行一般的任务[2],但面对稍复杂的任务,即便只是机组的正常启停堆,大多数操纵员都表示具有较大的认知负荷[3]。因此,在紧急情况下操纵员必须根据事故规程的指引进行操作。
 
核电厂事故规程主要有两类:事件导向法事故规程 (Event-oriented Procedure, EOP)和状态导向法事故规程(State-oriented Procedure,SOP)。早期核电厂采用EOP,EOP是确定论方法的直接延伸,基于采用包络假设所确定的事故规程,通过对预计中的每一个事件/事故瞬态过程的研究,确定了所需要的保护措施以及专设安全设施,以满足相关的安全准则要求。1979年三哩岛核电厂事故暴露出EOP的明显不足[4]:必须先成功判断出始发事件,才能进入与该始发事件对应的规程进行操作;每一个规程只能处理一个单一事故。为此,1986年法国电力公司与法马通公司合作开发了基于物理状态的状态导向法事故规程SOP,目前,法国的CPY型(900MW)机组已经全部采用了SOP[5],2010年投运的岭东核电厂在我国首次全面采用SOP,国内目前在建的压水堆核电厂一般也都全面采用SOP。SOP无需判断始发事件,只需通过对系统当前物理状态的识别来判断电厂系统所处状态,决定操纵员应采取的操作;通过反复诊断设备状态和电厂物理状态,可实现差错容忍和自我纠正。
 
随着计算机技术的快速发展和自动化程度的日渐提高,核电厂控制系统也实现了数字化。在这个过程中,核电站的事故规程也同步实现了数字化,事故后操纵员对事故的处理,由以往的通过翻阅纸质的EOP规程在传统模拟控制技术的仪表控制系统(I&C系统)上操作,转变为通过数字化的SOP规程在相关的数字化配套电脑画面上进行操作[6]。
 
从提供信息和处理信息的能力来看,计算机工作站有着巨大的优越性,然而也引出了一些新的人因问题。如数字化控制室显示屏幕提供了更多的人机界面,但这些人机界面在屏幕上没有空间固定连续可见的画面,或者说不能在屏幕上随时连续可见,即它们是一种虚拟存在而非实体工作空间[7]。又如:为了给操纵员提供更多的系统状态数据和控制手段,仪控信息系统包含可能上千幅显示画面,信息的层次结构非常复杂,要成功完成电厂监测和控制任务,操纵员除完成监视/检测、状态评估、响应计划和响应执行任务之外,还必须在工作站完成界面管理任务[8]。
 
因而,数字化SOP规程的应用相较于以往技术具有明显先进性,但同时也带来了诸多新的人因问题,尤其是在事故后的紧急情况下,任何人因失误都可能对事故后果产生极大影响,对此必须予以高度重视。本文首先对SOP规程进行分析介绍,然后依据对核电厂主控室的现场调研、行为观察、模拟机实验和操纵员访谈,分析数字化SOP对人因失误的影响,为事故工况下人因失误的预防和数字化SOP规程系统的优化提供支持。
 
1 SOP分析
 
SOP规程最大的特点是“闭环原理”,实现了对机组状态的定期诊断,在事故处理过程中,通过多次循环反复诊断设备状态和电厂物理状态,操纵员可以检查自身是否正在使用正确的程序,当发生非预期故障时也能及时响应,能够很好地避免人因失误或减小人因失误的后果。SOP与EOP的基本结构对比见图1。
 
1.1 SOP设计思想
 
SOP的设计是基于核电厂六大基本状态功能(见表1),这六大基本状态功能必要且充分地描述机组在某时刻所有可能的状态特征,事故处理的目标就是恢复和/或保持每个状态功能相关物理参数在安全范围内。SOP根据状态功能定义出反应堆的状态,并据此选择行动策略控制相应的功能目标,将机组后撤至安全状态或向安全状态过渡。
 
 
图1 SOP与EOP的基本结构比较
Fig.1 Compare SOP with EOP in Structure
表1 SOP的六个状态功能
Table 1 6 State Functions of SOP
 
1.2 SOP组成
 
SOP主要组成及运行条件见表2。
 
表2 SOP组成
Table 2 Constitute of SOP
 
1.3 SOP控制方法
 
核电厂事故处理一般以一回路控制为主,二回路操纵员辅助一回路操纵员进行操作(控制一回路温度、维持SG完整性和水位等),因此此处只分析一回路操纵员规程。
 
操纵员根据DOS报警信号或其他判据(如一回路泄漏率等)进入DOS诊断程序,在DOS中根据机组6个基本状态参数范围确定相应状态功能降级水平,由此导向至对应的事故处理程序ECPi或直接在DOS中稳定。
 
所有的ECP程序具有类似的逻辑结构,都是由“初始导向”和多个“序列”组成。“序列”又是由 “行动”、“系统监视”、“再导向”组成,每个序列都对缓解当前事故提供一种策略,所有的序列的组合则为机组在某种状态条件下提供了完整的处理策略。
 
“初始导向”是操纵员进入ECP规程后根据当前降级的参数及其降级水平,选择该规程中的某一合适的“序列”处理事故。
 
“行动”是策略的具体执行。“系统监视”是对与操作相关的主要系统设备的监视,确保相关系统按照操作指令在运行。“再导向”分为两部分:(1) 通过“规程间导向”判断当前状态是否继续降级,若继续降级则转入更高级别的规程,若未降级则继续本规程。(2) 在本规程中进入“序列间导向”,即在程序内各序列间导向,若该序列的功能未实现,则导向至序列起点重新执行该序列直到序列功能完成;若该序列功能实现,则导入另一个序列或余热排出系统连接的ECPRi规程以最终把反应堆带到冷停堆状态。
 
当6个基本状态参数达到规定范围后,导出SOP、结束事故处理,形成以6个基本状态功能为导向的闭环事故处理过程。
 
SOP控制流程如图2所示。
 
 
图2 SOP控制流程
Fig.2 Process of SOP Operation
组织方面,SOP规程大大加强了协调员在事故处理中的作用。在SOP中,只有协调员的规程能够管理丧失支持功能的叠加事故,操纵员规程中则无此内容;在清楚操作目标的前提下,协调员有权终止操纵员正在进行的操作或错误的操作,转入协调员认为更重要的操作或正确的操作;且明确强调协调员是现场操作的指导者,操纵员只接受协调员的指令(不接受值长指令)。
 
2 数字化SOP对人因失误的影响
 
与传统的基于纸质的EOP规程系统相比,SOP的引入改变了操纵员进行事故诊断的内在认知过程,数字化的引入改变了操纵员进行信息接收和动作输出的方式,由于人的内在认知与外在的信息输入输出是相互影响的,因此二者带来的变化也不是彼此孤立的,其交互作用对人因失误的影响尤其值得重视,因此本文将数字化SOP作为一个整体,以核电厂主控室现场调研、行为观察、模拟机实验和操纵员访谈为依据[9],综合分析其对人因失误的影响。
 
作者从操作控制、信息显示等方面分析数字化SOP对操纵员个人行为的影响,从沟通方面分析对班组合作的影响,它们覆盖了与主控室人因失误相关的主要问题。
 
2.1 对操作控制的影响
 
操作控制上主要有两方面的变化:首先,SOP逻辑上要求的操作和确认动作远多于EOP;其次,数字化的应用带来了大量的界面管理任务,包括:寻找画面、打开操作窗口、点击操作指令(开/关,启/停等)、确认操作指令(安全设备)、执行操作指令、关闭操作窗口等,因此其操作比模拟主控更加复杂。操作任务的大量增加对操纵员人因失误的影响至少表现在以下几方面:
 
1) 频繁的操作以及操作数量剧增使操纵员操作失误的概率可能更高,或许增加了操作失误风险。基于数字化的设备操作,任何一个指令发出或取消都需要操纵员确认(除非设计专门的逻辑),操纵员操作某个设备后可能忘记将该设备的操作模块放回正确位置,设备自动动作无法生效,或者允许信号一直存在,导致设备不能正确动作或者出现误动作等。
 
行为观察和模拟机实验均发现,在执行数字化SOP过程中较执行纸质EOP过程中,知识型行为(失误)增加,执行型失误增加。还发现出现了一些新的人误模式,例如,传统控制室人机界面的SB行为(技能级行为),如按按钮、旋动选择键等SB行为失误在数字化SOP执行过程中有可能转化为需要较高意识水平的KB行为(知识级行为)。无论从产生的原因、还是从动作的表征来看,这一类行为失误不能归于Rasmussen的SLIP和LAPSE,这是在DCS中出现的一种新型的人因失误模式,文献[9]将它命名为KB-SLIP。此类失误模式在DCS中发生频率较高(约占操作失误的17%)。另外,操作失误模式分布发生了变化。THERP[10]手册认为,操纵员执行操作时的主要失误模式为EOO(error of omission,遗漏型失误)。但作者研究数据表明,EOC(error of commission,执行型失误)占整体失误的59%,而EOO只占21%。同时人误的原因也发生变化。THERP认为,执行规程时EOO的原因往往是“规程过长”,作者发现,数字化SOP中EOO的原因大部分是“执行规程的时间过长”,或者是“执行规程的形式复杂”。
 
2) 增加了时间压力。作者在对相关核电厂的人因可靠性分析中发现,时间压力的增大导致操纵员操作失误(或不能完成操作)的可能性大大增加,在个别事故背景下,操纵员在热工允许时间内甚至不能完成操作。如丧失热阱事故,根据热工计算,实施反冷操作的允许时间是10分钟,但通过模拟机观察与操纵员访谈,操纵员通过SOP执行相关诊断和操作平均需要约13分钟,给事故处理带来极大风险[9]。
 
3) 执行SOP时,没有监控到机组的重要异常。执行SOP时,操纵员任务繁多,除非规程指引或者应急组织同意,操纵员循环执行规程不能停止,事故情况下,电站动作和参数持续演变,信息量很大,再加上在数字化界面中操纵员信息获取不直观,不能及时获取隐藏在屏幕后的信息,操纵员巡盘难度很大,如果重要缺陷报警和参数信息没有及时监视到,则会延误事故处理和判断,恶化事故后果。
 
4) 忙于操作,丧失情景意识。人因研究中用情景意识(Situation Awareness,SA)来解释复杂人-机系统中操纵员理解系统和环境正在发生什么和如何发生的,良好的情景意识水平是保持有效决策和绩效的先决条件[11]。核电厂在运行过程中系统状态持续变化,主控室操纵员需要在动态的环境中处理大量的信息,理解系统的当前状态并及时做出正确决策以确保核电厂安全,因此,保持良好的SA对于确保核电厂安全至关重要。根据注意资源论[12],由于注意资源总量一定,当额外的操作内容消耗的注意资源过多时,必然会降低其他的注意资源,因此过多的操作动作可能导致操纵员丧失主动思考的能力,丧失对电厂当前状况的情景意识,导致电厂纵深防御中操纵员这道人员屏障失效。作者设计了三种不同自动化水平的事故规程开展实验,自动化水平越高代表数字化的应用程度越高,三种自动化水平规程下人员情景意识得分如图3所示,可见随着规程自动化水平的提高,人员的情景意识水平呈不断降低的趋势,结论与以上分析相符[9]。
 
 
图3 各自动化水平上SA比较
Fig.3 The comparison of SA in each automation level
2.2 对信息显示的影响
 
1) 不同界面上参数位置不固定增加了读错参数的风险。数字化背景下,SOP通过数字化界面获取信息、操作设备,为了快速执行SOP程序,设计了许多配套画面,画面数量增加,同一参数在不同画面中出现的位置不固定,增加了操纵员读错参数的风险;不同的参数在同一画面中区分不明显带来的读取参数失误。
 
2) 同时打开多个画面,忘记了正在进行的监视。SOP情况下,操作要求连贯进行(不需等待),并存在大量的操作和确认动作,按程序要求打开多个画面,并且需要连续监视某些参数,因操作任务繁重,操纵员可能忘记正在进行的监视。
 
3) 程序结构的复杂性增加了执行程序跳项或错误的风险。SOP程序包括主程序和操作单,执行主程序时经常调用操作单来完成某项具体操作(如投运上充),采用数字化程序后,主体程序和数字化操作单分离,增加了程序调用的次数和层级,若操纵员未养成操作后打勾标记习惯或忘记打勾,在不断更换程序后容易出现程序跳项或使用错误的操作单和程序。
 
4) 数字化控制系统的信息故障不能及时甄别,导致执行程序错误。SOP情况下,因任务繁重,信息获取不主直观,设备的故障信息很难引起操纵员关注,执行SOP程序时,操纵员会直接引用配套化面中数字化控制系统的诊断结果,因设备异常导致操纵员误用系统中错误的诊断信息,从而执行错误的程序。
 
5) 因画面覆盖,未能确认设备是否达到要求状态。SOP大量的操作情况下,操纵员忙于完成程序的各项指令,操作不同设备需要切换不同的画面,上一个操作的画面将被新的操作画面覆盖,操纵员没有确认上一操作的效果,而设备可能并未操作成功。
 
2.3 对班组合作的影响
 
信息共享和沟通量大增,失误几率增加。SOP程序设计增加了大量的信息记录(如可用性、支持功能、现场操作等)、信息沟通点(如冷却、隔离、定报警、改变程序等),信息共享和沟通在运行人员之间以及运行人员与现场人员和应急组织之间进行,信息共享和沟通量的增加也使操纵员失误的几率增加。
 
3 结论
 
1) 相比以往最常用的纸质EOP规程,数字化SOP规程系统提高了操纵员绩效。但技术的改变使信息的呈现方式、控制模式、事故处理逻辑都发生了巨大变化,带来了新的人因失误模式。
 
2) 数字化与SOP这两项新技术各有其特点,且当二者部分特征结合在一起时,可能会对操纵员的事故处理带来很大的负面影响。如二者都有大量操作动作,大大增加了操纵员执行事故处理的时间,尤其在事故后操纵员极大的心理压力和时间压力下,可能导致严重后果。
 
3) 数字化SOP对人因失误的影响巨大,应当继续深入研究,为规程系统的改进提供支持。在此之前,各相关电厂应针对易导致人因失误的部分加强操纵员培训,降低人因失误率。
 
参考文献:
 
[1] Husseiny AA, Sabri ZA, Packer D, Holmes JW, Adams SK, Rodriguez RJ. Operating procedure automation to enhance safety of nuclear power plants. Nuclear Engineering and Design, 1989;110(3):277-297.
 
[2] Chang SH, Choi SS, Park JK, Heo G, Kim HG. Development of an advanced human-machine interface for next generation nuclear power plants. Reliability Engineering & System Safety 1999;64(1):109-126.
 
[3] Ross MA, Iwaki K, Makino M. Control room design and automation in the advanced BWR. In: Proceedings of international symposium on balancing automation and human action in nuclear power plants, Munich, Germany, July 9-13, 1990. p. 399-412.
 
[4] EPRI Nuclear Safety Analysis Center. Analysis of Three Mile Island-Unit 2 accident[R]. Washington DC: US Electric Power Research Institute,NSAC-80-1,1979.
 
[5] 冉旭,方红宇. 状态导向规程引导下的蒸汽发生器给水流量完全丧失事故分析研究[J].核动力工程,2010, S1:8-10.
 
[6] 刘素娟.核电厂数字化主控室界面管理任务对控制室运行人员的影响[J].中国核电,2008,1(2):162—167.
 
[7] 张力,杨大新,王以群. 数字化控制室信息显示对人因可靠性的影响[J]. 中国安全科学学报. 2010(09).
 
[8] J.M O’ Hara; W.S.Brown. et al. The effect of interface management tasks on crew performance and safety in complex, computer-based systems(NUREG—6690):U.S.NRC[R],2002.
 
[9] 张力,等. 岭东核电站DCS+SOP人因可靠性分析研究报告,湖南工学院,2014,12
 
[10] Swain, A.D., & Guttman, H.E. Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant Applications, NUREG/CR-1278. Washington, DC: US Nuclear Regulatory Commission.1983.
 
[11] Lee S.W., Park J., Kim A.R., Seong P.H. Measuring situation awareness of operation teams in NPPs using a verbal protocol analysis [J]. Annals of Nuclear Energy, 2012,43:167-175.
 
[12] John B m,st[美].认知心理学[M].黄希庭译.北京:中国轻工业出版社,2001:45—46.
 
张力,青涛,戴立操,罗克川,周杰
【作者机构】 南华大学核科学技术学院;湖南工学院;中广核核电运营有限公司
【来    源】 核科学与工程》 2017年第3期P428-433页

在线咨询
了解我们
网站介绍
经营许可
常见问题
联系我们
横格论文网联系方式
售前咨询:0311-85287508
夜间值班:0311-85525743
投诉电话:0311-85525743
授权服务
代理征稿
支付方式
工作日 8:00-22:00
经营许可
机构信用代码证
杂志社征稿授权
企业营业执照
银行开户许可证
其它
发表服务
在线投稿
征稿授权