核電廠數字化SOP對人因失誤的影響

張 力，青 濤，戴立操，羅克川，周 杰

(1.南華大學核科學技術學院，湖南衡陽421001；2.湖南工學院，湖南衡陽421002；3.中廣核核電運營有限公司，廣東深圳518116)

?

核電廠數字化SOP對人因失誤的影響

張 力1,2，青 濤1，戴立操1，羅克川3，周 杰3

(1.南華大學核科學技術學院，湖南衡陽421001；2.湖南工學院，湖南衡陽421002；3.中廣核核電運營有限公司，廣東深圳518116)

主控室中數字化狀態導向規程SOP (State-oriented Procedure)的應用使操縱員執行事故處理的邏輯和信息顯示方式都發生了重大變化。本文介紹了SOP規程的原理，描述了數字化主控室中操縱員執行SOP處理電廠事故的流程。以核電廠主控室現場調研、行為觀察、模擬機實驗和操縱員訪談為依據，發現數字化SOP在操作控制、信息顯示、班組合作等方面帶來了大量可能導致人因失誤的因素，以及可能出現的新的人誤模式，可期為SOP規程的優化提供支持。

SOP；事故規程；人因失誤；數字化；界面管理任務

核電廠采用事故規程系統來指導操縱員執行事故處理操作[1]。經驗豐富的操縱員在沒有任何規程指引的情況下也能執行一般的任務[2]，但面對稍復雜的任務，即便只是機組的正常啟停堆，大多數操縱員都表示具有較大的認知負荷[3]。因此，在緊急情況下操縱員必須根據事故規程的指引進行操作。

核電廠事故規程主要有兩類：事件導向法事故規程 (Event-oriented Procedure, EOP)和狀態導向法事故規程(State-oriented Procedure，SOP)。早期核電廠采用EOP，EOP是確定論方法的直接延伸，基于采用包絡假設所確定的事故規程，通過對預計中的每一個事件/事故瞬態過程的研究，確定了所需要的保護措施以及專設安全設施，以滿足相關的安全準則要求。1979年三哩島核電廠事故暴露出EOP的明顯不足[4]：必須先成功判斷出始發事件，才能進入與該始發事件對應的規程進行操作；每一個規程只能處理一個單一事故。為此，1986年法國電力公司與法馬通公司合作開發了基于物理狀態的狀態導向法事故規程SOP，目前，法國的CPY型(900MW)機組已經全部采用了SOP[5]，2010年投運的嶺東核電廠在我國首次全面采用SOP，國內目前在建的壓水堆核電廠一般也都全面采用SOP。SOP無需判斷始發事件，只需通過對系統當前物理狀態的識別來判斷電廠系統所處狀態，決定操縱員應采取的操作；通過反復診斷設備狀態和電廠物理狀態，可實現差錯容忍和自我糾正。

隨著計算機技術的快速發展和自動化程度的日漸提高，核電廠控制系統也實現了數字化。在這個過程中，核電站的事故規程也同步實現了數字化，事故后操縱員對事故的處理，由以往的通過翻閱紙質的EOP規程在傳統模擬控制技術的儀表控制系統(I&C系統)上操作，轉變為通過數字化的SOP規程在相關的數字化配套電腦畫面上進行操作[6]。

從提供信息和處理信息的能力來看，計算機工作站有著巨大的優越性，然而也引出了一些新的人因問題。如數字化控制室顯示屏幕提供了更多的人機界面，但這些人機界面在屏幕上沒有空間固定連續可見的畫面，或者說不能在屏幕上隨時連續可見，即它們是一種虛擬存在而非實體工作空間[7]。又如：為了給操縱員提供更多的系統狀態數據和控制手段，儀控信息系統包含可能上千幅顯示畫面，信息的層次結構非常復雜，要成功完成電廠監測和控制任務，操縱員除完成監視/檢測、狀態評估、響應計劃和響應執行任務之外，還必須在工作站完成界面管理任務[8]。

因而，數字化SOP規程的應用相較于以往技術具有明顯先進性，但同時也帶來了諸多新的人因問題，尤其是在事故后的緊急情況下，任何人因失誤都可能對事故后果產生極大影響，對此必須予以高度重視。本文首先對SOP規程進行分析介紹，然后依據對核電廠主控室的現場調研、行為觀察、模擬機實驗和操縱員訪談，分析數字化SOP對人因失誤的影響，為事故工況下人因失誤的預防和數字化SOP規程系統的優化提供支持。

1 SOP分析

SOP規程最大的特點是“閉環原理”，實現了對機組狀態的定期診斷，在事故處理過程中，通過多次循環反復診斷設備狀態和電廠物理狀態，操縱員可以檢查自身是否正在使用正確的程序，當發生非預期故障時也能及時響應，能夠很好地避免人因失誤或減小人因失誤的后果。SOP與EOP的基本結構對比見圖1。

1.1 SOP設計思想

SOP的設計是基于核電廠六大基本狀態功能(見表1)，這六大基本狀態功能必要且充分地描述機組在某時刻所有可能的狀態特征，事故處理的目標就是恢復和/或保持每個狀態功能相關物理參數在安全范圍內。SOP根據狀態功能定義出反應堆的狀態，并據此選擇行動策略控制相應的功能目標，將機組后撤至安全狀態或向安全狀態過渡。

圖1 SOP與EOP的基本結構比較Fig.1 Compare SOP with EOP in Structure

狀態功能特征具有代表性的物理參數次臨界S/K核功率水平中間量程通道的功率功率的排放WR(P,T)一回路熱量ΔTsat一回路水裝量IEp堆芯熱量壓力容器液位蒸汽發生器完整性INTs放射性物質擴散蒸汽發生器放射性及相互間壓差二回路水裝量IEs一回路熱量排出蒸汽發生器液位安全殼完整性INTe放射性物質擴散安全殼內壓力、劑量率

1.2 SOP組成

SOP主要組成及運行條件見表2。

表2 SOP組成Table 2 Constitute of SOP

1.3 SOP控制方法

核電廠事故處理一般以一回路控制為主，二回路操縱員輔助一回路操縱員進行操作(控制一回路溫度、維持SG完整性和水位等)，因此此處只分析一回路操縱員規程。

操縱員根據DOS報警信號或其他判據(如一回路泄漏率等)進入DOS診斷程序，在DOS中根據機組6個基本狀態參數范圍確定相應狀態功能降級水平，由此導向至對應的事故處理程序ECPi或直接在DOS中穩定。

所有的ECP程序具有類似的邏輯結構，都是由“初始導向”和多個“序列”組成?！靶蛄小庇质怯?“行動”、“系統監視”、“再導向”組成，每個序列都對緩解當前事故提供一種策略，所有的序列的組合則為機組在某種狀態條件下提供了完整的處理策略。

“初始導向”是操縱員進入ECP規程后根據當前降級的參數及其降級水平，選擇該規程中的某一合適的“序列”處理事故。

“行動”是策略的具體執行?！跋到y監視”是對與操作相關的主要系統設備的監視，確保相關系統按照操作指令在運行?！霸賹颉狈譃閮刹糠郑?1) 通過“規程間導向”判斷當前狀態是否繼續降級，若繼續降級則轉入更高級別的規程，若未降級則繼續本規程。(2) 在本規程中進入“序列間導向”，即在程序內各序列間導向，若該序列的功能未實現，則導向至序列起點重新執行該序列直到序列功能完成；若該序列功能實現，則導入另一個序列或余熱排出系統連接的ECPRi規程以最終把反應堆帶到冷停堆狀態。

當6個基本狀態參數達到規定范圍后，導出SOP、結束事故處理，形成以6個基本狀態功能為導向的閉環事故處理過程。

SOP控制流程如圖2所示。

圖2 SOP控制流程Fig.2 Process of SOP Operation

組織方面，SOP規程大大加強了協調員在事故處理中的作用。在SOP中，只有協調員的規程能夠管理喪失支持功能的疊加事故，操縱員規程中則無此內容；在清楚操作目標的前提下，協調員有權終止操縱員正在進行的操作或錯誤的操作，轉入協調員認為更重要的操作或正確的操作；且明確強調協調員是現場操作的指導者，操縱員只接受協調員的指令(不接受值長指令)。

2 數字化SOP對人因失誤的影響

與傳統的基于紙質的EOP規程系統相比，SOP的引入改變了操縱員進行事故診斷的內在認知過程，數字化的引入改變了操縱員進行信息接收和動作輸出的方式，由于人的內在認知與外在的信息輸入輸出是相互影響的，因此二者帶來的變化也不是彼此孤立的，其交互作用對人因失誤的影響尤其值得重視，因此本文將數字化SOP作為一個整體，以核電廠主控室現場調研、行為觀察、模擬機實驗和操縱員訪談為依據[9]，綜合分析其對人因失誤的影響。

作者從操作控制、信息顯示等方面分析數字化SOP對操縱員個人行為的影響，從溝通方面分析對班組合作的影響，它們覆蓋了與主控室人因失誤相關的主要問題。

2.1 對操作控制的影響

操作控制上主要有兩方面的變化：首先，SOP邏輯上要求的操作和確認動作遠多于EOP；其次，數字化的應用帶來了大量的界面管理任務，包括：尋找畫面、打開操作窗口、點擊操作指令(開/關，啟/停等)、確認操作指令(安全設備)、執行操作指令、關閉操作窗口等，因此其操作比模擬主控更加復雜。操作任務的大量增加對操縱員人因失誤的影響至少表現在以下幾方面：

1) 頻繁的操作以及操作數量劇增使操縱員操作失誤的概率可能更高，或許增加了操作失誤風險?；跀底只脑O備操作，任何一個指令發出或取消都需要操縱員確認(除非設計專門的邏輯)，操縱員操作某個設備后可能忘記將該設備的操作模塊放回正確位置，設備自動動作無法生效，或者允許信號一直存在，導致設備不能正確動作或者出現誤動作等。

行為觀察和模擬機實驗均發現，在執行數字化SOP過程中較執行紙質EOP過程中，知識型行為(失誤)增加，執行型失誤增加。還發現出現了一些新的人誤模式，例如，傳統控制室人機界面的SB行為(技能級行為)，如按按鈕、旋動選擇鍵等SB行為失誤在數字化SOP執行過程中有可能轉化為需要較高意識水平的KB行為(知識級行為)。無論從產生的原因、還是從動作的表征來看，這一類行為失誤不能歸于Rasmussen的SLIP和LAPSE，這是在DCS中出現的一種新型的人因失誤模式，文獻[9]將它命名為KB-SLIP。此類失誤模式在DCS中發生頻率較高(約占操作失誤的17%)。另外，操作失誤模式分布發生了變化。THERP[10]手冊認為，操縱員執行操作時的主要失誤模式為EOO(error of omission，遺漏型失誤)。但作者研究數據表明，EOC(error of commission，執行型失誤)占整體失誤的59%，而EOO只占21%。同時人誤的原因也發生變化。THERP認為，執行規程時EOO的原因往往是“規程過長”，作者發現，數字化SOP中EOO的原因大部分是“執行規程的時間過長”，或者是“執行規程的形式復雜”。

2) 增加了時間壓力。作者在對相關核電廠的人因可靠性分析中發現，時間壓力的增大導致操縱員操作失誤(或不能完成操作)的可能性大大增加，在個別事故背景下，操縱員在熱工允許時間內甚至不能完成操作。如喪失熱阱事故，根據熱工計算，實施反冷操作的允許時間是10分鐘，但通過模擬機觀察與操縱員訪談，操縱員通過SOP執行相關診斷和操作平均需要約13分鐘，給事故處理帶來極大風險[9]。

3) 執行SOP時，沒有監控到機組的重要異常。執行SOP時，操縱員任務繁多，除非規程指引或者應急組織同意，操縱員循環執行規程不能停止，事故情況下，電站動作和參數持續演變，信息量很大，再加上在數字化界面中操縱員信息獲取不直觀，不能及時獲取隱藏在屏幕后的信息，操縱員巡盤難度很大，如果重要缺陷報警和參數信息沒有及時監視到，則會延誤事故處理和判斷，惡化事故后果。

4) 忙于操作，喪失情景意識。人因研究中用情景意識(Situation Awareness，SA)來解釋復雜人-機系統中操縱員理解系統和環境正在發生什么和如何發生的，良好的情景意識水平是保持有效決策和績效的先決條件[11]。核電廠在運行過程中系統狀態持續變化，主控室操縱員需要在動態的環境中處理大量的信息，理解系統的當前狀態并及時做出正確決策以確保核電廠安全，因此，保持良好的SA對于確保核電廠安全至關重要。根據注意資源論[12]，由于注意資源總量一定，當額外的操作內容消耗的注意資源過多時，必然會降低其他的注意資源，因此過多的操作動作可能導致操縱員喪失主動思考的能力，喪失對電廠當前狀況的情景意識，導致電廠縱深防御中操縱員這道人員屏障失效。作者設計了三種不同自動化水平的事故規程開展實驗，自動化水平越高代表數字化的應用程度越高，三種自動化水平規程下人員情景意識得分如圖3所示，可見隨著規程自動化水平的提高，人員的情景意識水平呈不斷降低的趨勢，結論與以上分析相符[9]。

圖3 各自動化水平上SA比較Fig.3 The comparison of SA in each automation level

2.2 對信息顯示的影響

1) 不同界面上參數位置不固定增加了讀錯參數的風險。數字化背景下，SOP通過數字化界面獲取信息、操作設備，為了快速執行SOP程序，設計了許多配套畫面，畫面數量增加，同一參數在不同畫面中出現的位置不固定，增加了操縱員讀錯參數的風險；不同的參數在同一畫面中區分不明顯帶來的讀取參數失誤。

2) 同時打開多個畫面，忘記了正在進行的監視。SOP情況下，操作要求連貫進行(不需等待)，并存在大量的操作和確認動作，按程序要求打開多個畫面，并且需要連續監視某些參數，因操作任務繁重，操縱員可能忘記正在進行的監視。

3) 程序結構的復雜性增加了執行程序跳項或錯誤的風險。SOP程序包括主程序和操作單，執行主程序時經常調用操作單來完成某項具體操作(如投運上充)，采用數字化程序后，主體程序和數字化操作單分離，增加了程序調用的次數和層級，若操縱員未養成操作后打勾標記習慣或忘記打勾，在不斷更換程序后容易出現程序跳項或使用錯誤的操作單和程序。

4) 數字化控制系統的信息故障不能及時甄別，導致執行程序錯誤。SOP情況下，因任務繁重，信息獲取不主直觀，設備的故障信息很難引起操縱員關注，執行SOP程序時，操縱員會直接引用配套化面中數字化控制系統的診斷結果，因設備異常導致操縱員誤用系統中錯誤的診斷信息，從而執行錯誤的程序。

5) 因畫面覆蓋，未能確認設備是否達到要求狀態。SOP大量的操作情況下，操縱員忙于完成程序的各項指令，操作不同設備需要切換不同的畫面，上一個操作的畫面將被新的操作畫面覆蓋，操縱員沒有確認上一操作的效果，而設備可能并未操作成功。

2.3 對班組合作的影響

信息共享和溝通量大增，失誤幾率增加。SOP程序設計增加了大量的信息記錄(如可用性、支持功能、現場操作等)、信息溝通點(如冷卻、隔離、定報警、改變程序等)，信息共享和溝通在運行人員之間以及運行人員與現場人員和應急組織之間進行，信息共享和溝通量的增加也使操縱員失誤的幾率增加。

3 結論

1) 相比以往最常用的紙質EOP規程，數字化SOP規程系統提高了操縱員績效。但技術的改變使信息的呈現方式、控制模式、事故處理邏輯都發生了巨大變化，帶來了新的人因失誤模式。

2) 數字化與SOP這兩項新技術各有其特點，且當二者部分特征結合在一起時，可能會對操縱員的事故處理帶來很大的負面影響。如二者都有大量操作動作，大大增加了操縱員執行事故處理的時間，尤其在事故后操縱員極大的心理壓力和時間壓力下，可能導致嚴重后果。

3) 數字化SOP對人因失誤的影響巨大，應當繼續深入研究，為規程系統的改進提供支持。在此之前，各相關電廠應針對易導致人因失誤的部分加強操縱員培訓，降低人因失誤率。

[1] Husseiny AA, Sabri ZA, Packer D, Holmes JW, Adams SK, Rodriguez RJ. Operating procedure automation to enhance safety of nuclear power plants. Nuclear Engineering and Design, 1989;110(3):277-297.

[2] Chang SH, Choi SS, Park JK, Heo G, Kim HG. Development of an advanced human-machine interface for next generation nuclear power plants. Reliability Engineering & System Safety 1999;64(1):109-126.

[3] Ross MA, Iwaki K, Makino M. Control room design and automation in the advanced BWR. In: Proceedings of international symposium on balancing automation and human action in nuclear power plants, Munich, Germany, July 9-13, 1990. p. 399-412.

[4] EPRI Nuclear Safety Analysis Center. Analysis of Three Mile Island-Unit 2 accident[R]. Washington DC: US Electric Power Research Institute，NSAC-80-1，1979.

[5] 冉旭，方紅宇. 狀態導向規程引導下的蒸汽發生器給水流量完全喪失事故分析研究[J].核動力工程,2010, S1：8-10.

[6] 劉素娟.核電廠數字化主控室界面管理任務對控制室運行人員的影響[J].中國核電，2008，1(2)：162—167.

[7] 張力,楊大新,王以群. 數字化控制室信息顯示對人因可靠性的影響[J]. 中國安全科學學報. 2010(09).

[8] J.M O’ Hara; W.S.Brown. et al. The effect of interface management tasks on crew performance and safety in complex, computer-based systems(NUREG—6690):U.S.NRC[R],2002.

[9] 張力，等. 嶺東核電站DCS+SOP人因可靠性分析研究報告，湖南工學院，2014,12

[10] Swain, A.D., & Guttman, H.E. Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant Applications, NUREG/CR-1278. Washington, DC: US Nuclear Regulatory Commission.1983.

[11] Lee S.W., Park J., Kim A.R., Seong P.H. Measuring situation awareness of operation teams in NPPs using a verbal protocol analysis [J]. Annals of Nuclear Energy, 2012,43:167-175.

[12] John B m,st[美].認知心理學[M].黃希庭譯.北京：中國輕工業出版社，2001：45—46.

The Effects of Digital State-oriented Procedures on Human Errors of Nuclear Power Plant

ZHANG Li1,2, QING Tao1, DAI Li-cao1, LUO Ke-chuan3, ZHOU Jie3

(1.College of Nuclear Science and Technology, University of South China, Hengyang 421001, China; 2.Hunan Institute of Technology, Hengyang 421002, China; 3.China Nuclear Power Operations Co.,Ltd,Shenzhen 518116, China)

The application of digital SOP significantly changes the logic of operator handle the accident and the information display pattern in a main control room(MCR).This paper introduces the basic principle and the importance of the SOP of nuclear power plants. It describes the process that the operator using SOP to handle nuclear power plant incident in digital MCR. The negative effects of digital SOP on human error are identified by field research、behavior observation、simulator experiment and interviewing with operators in the aspects of the information display, control systems and the cooperation in the team, which provides the support to the optimize of SOP.

SOP；Accident operating rules; Human error; Digitalization; Interface management tasks

2016-11-20

國家自然科學基金資助項目(71071051,71371070)；嶺東核電有限公司科研項目(KR70543)

張 力(1955—)，男，四川德陽人，博士，教授，博士生導師，國務院政府特殊津貼獲得者?，F從事人因工程、系統安全分析與評價方面研究

TL48

A

0258-0918(2017)03-0427-07