《中国核能行业智库丛书（第四卷）》已完成出版发行，这是一本发产业先声的智慧文萃，是行业专家们从不同角度、不同深度对产业前途命运进行思考的思想文库。自2021年12月起，协会微信公众号将精选大部分文章与广大读者共享。今天推出的是核电建设与运营管理板块文章《计算机化规程使用对主控室操纵人员人因失误的影响》。

李茂友

山东核电有限公司模拟机教员

《计算机化规程使用对主控室操纵人员人因失误的影响》

作为民用核设施的一种，核电厂由于其在开始运行后长期具有放射性、需要持续冷却，且发生过切尔诺贝利、福岛等影响范围巨大的核事故，其安全性一直广受公众关注。核行业内也一直通过同行评估、经验反馈等方式积极提高人员绩效。

核电厂主控室操纵人员作为电厂的关键岗位人员，其人员绩效水平直接影响电厂的运行业绩和安全水平。在事故情况下，主控室操纵人员的快速诊断和精准控制可以将机组参数控制在运行限值以内，防止故障扩大。相应的，如果主控室操纵人员出现失误，则可能导致较小的瞬态扩大至严重事故，三哩岛事故就是一个典型的例子。

由于系统控制逻辑复杂和各种类型物理参数的变化速率不同，在主控室操纵人员执行操作后，电流、电压等参数可能会出现即时反馈，而像温度、液位等参数则可能在几秒或几分钟内都无法观察到明显的变化。在事故情况下，由于事故后果的严重性，操纵人员往往同时还面临着巨大的时间压力。因此，核电厂的控制对操纵人员的观察、记忆、决策和注意力分配等各方面能力要求均较高。

1 三代核电特点

1.1数字化主控室

随着自动化控制技术的发展，目前三代核电基本都采用了数字化主控室配备， 主控室由以前传统电厂的硬盘台、指示仪等，改为了大屏显示和多个电脑屏幕显示、控制的配置，从而导致数字化主控室基本都具有“巨量信息、有限显示”的特点。

传统核电厂的主控室信息显示主要布置在仪表盘台上，信息直观、数量较少， 且显示位置基本固定在特定位置，操纵人员一般可以直接在固定的仪表盘台上搜索到自己需要关注的信息，同时操纵设备也是在盘台上通过硬手操的方式实现。

数字化后，操纵人员可以获得的信息数量剧增，操纵人员可以通过电厂控制系统调取的画面有数千幅之多，这些画面不可能同时在屏幕上全部显示出来，其结果就是同一时间所显示的或操纵员所能观察到的信息明显减少。操纵人员为完整地完成某项监督控制任务，即完成监视与探测、状态评估、响应计划、响应执行这四个子任务，常常需要调用多达几十张 / 次的画面，界面管理任务占用了操纵人员大量的注意力资源。

为了方便操纵人员获取为完成某一典型任务所需要的信息，数字化主控室还设置了很多配套画面，但不同界面上相同参数的位置是不一样的，这同样增加了操纵人员读错参数的风险。

1.2征兆导向事故规程体系

随着事故研究的深入，目前核电厂越来越多地采用征兆导向法事故规程体系。和事件导向规程体系相比较，这类规程无需判断始发事件，只需通过对系统当前物理状态的识别来判断电厂系统所处状态，决定操纵人员应采取的操作，并且通过对关键安全功能状态树的循环监视，反复诊断设备状态和电厂物理状态，可实现差错容忍和自我纠正。

但征兆导向的事故规程体系在降低了因人员诊断失误带来的风险之外，由于其规程要求的确认和检查项目远多于事件导向性规程体系，因此在事故处理过程中，操纵人员的操作负荷大大增加，操纵人员在事故干预过程中的时间压力也进一步增大，这又引入了新的人因失误风险。

例如事故规程体系中的“连续操作步骤”，即“需要操纵人员持续关注响应参数，满足要求立即执行响应操作”的步骤，在征兆导向规程体系中每份规程都有很多，最常见的几份事故规程统计如表 1 所示。这些步骤如果采用纸质规程，由于规程标记和执行的要求，操纵人员需要耗费大量的精力和时间在关注是否满足条件上，而且在跳转规程之后上一份的连续操作步骤大部分仍然生效，数目繁多的连续步骤和机组控制压力下，操纵人员往往容易出现遗漏某些监视要求的现象，出现人因失误。

表 1 规程“连续操作步骤”数目统计表

综上所述，随着数字化主控室的普及，操纵人员在主控室能获得的信息大幅增加，瞬态情况下主控室内触发的报警数量也急剧增多。为了避免操纵人员诊断错误导致关键安全功能的丧失，征兆导向规程体系要求操纵人员循环检查机组的关键参数，导致操作步骤和关注事项也都较事件导向的规程体系增加了很多。而在瞬态工况下操纵人员控制机组又有着巨大的时间压力，这些综合起来导致主控室内操纵人员失误在电厂运行经验反馈中的占比居高不下。

2 计算机化规程

结合数字化主控室“巨量信息”和征兆导向规程“征兆导向”的特点，为降低主控室操纵人员负荷和人员失误概率，AP1000 机组在设计之初就考虑了计算机化规程系统。但最初的计算机化规程因未经过人因工程验证、规程版本过低、全英文界面等各种原因未能投入使用。2018 年后，山东核电耗费了大量时间和精力， 完成了各项前期工作，将计算机化规程成功应用于正常生产和培训。

计算机化规程是将异常和应急运行规程内容电子化，通过将计算机化规程的各个步骤与DCS 数据点以及相关的操作画面相链接，实现协助判断规程进入条件、协助判断规程步骤是否满足、帮助操纵员快速找到操作画面等作用。画面超链接的加入，不但可以使操纵员减少在“界面管理”任务上花费的时间和注意力，降低了时间压力，也降低了因操纵员找错画面导致的人员失误风险。

同样的，计算机化规程的协助判断功能可以帮助操纵员监视机组状态是否满足要求。以某个专设安全动作信号触发为例，在该信号触发后，由于该信号相关的触发逻辑和下游设备动作情况均可以在 DCS 中获取，计算机化规程系统可以根据获得的设备动作信号如“阀门 XXX 开启反馈信号”等，根据下游的逻辑判断该专设安全信号触发后机组响应是否正确，从而对规程该步骤中“检查 XXX 信号触发正确”进行自动判断。操纵员使用计算机化规程详细信息窗口的步骤导航可以进入响应的步骤，当逻辑判断满足时，点击导航按钮进入下一步可直接跳转。逻辑判断不满足时，点击导航按钮进入下一步会跳出确认窗口。此时计算机化规程的逻辑判断充当了独立验证的角色，防止操纵人员判断失误。（见图 1）

图 1 计算机化规程系统辅助判断示意图

在 AP1000 主控室内配备的大屏显示系统上，有一块大屏专门显示电站关键安全功能是否满足，其上面用“红、橙、黄、绿”四种颜色标明对应关键安全功能是否得到满足，DCS 自动按照关键安全功能状态树监视规程 F-0 的内容进行循环监视，并将结果用颜色显示在大屏最顶部，主控所有人员均可以十分方便地看到当前关键安全功能的状态。

同时计算机化规程能自动记录规程执行状态标记，这可大大减少操纵员耗费在“规程标记”上的时间，而且在因工况变化导致规程跳转或者人员交接的情况下，由于各个操纵员站均可通过计算机化规程看到已执行完的规程标记状态，从而可降低因操纵员忘记标记、交流失误带来的人员失误风险。同样地，副值长可以通过其所在的电脑查询规程之前的执行情况，监视操纵员目前规程的执行步骤，避免操纵员执行规程中出现诊断错误。

在使用计算机化规程时，如果连续操作步骤（CA）条件满足，则会自动弹出对话框，若规程执行人员正在响应该步骤，可征得副值长同意后选择“Snooze”5分钟、10 分钟或 15 分钟。若该步骤内容已完成，且无需继续监视，则可征得副值长同意后选择“Disable”，当所有的 CA 弹出框中的项目都处理完毕后，可选择关闭该对话框。这可大大减少操纵人员分配在连续监视方面的精力，只需要在弹出窗口时进行对应的检查，也避免出现遗漏现象。

在实际使用计算机化规程系统之前，电厂在模拟机上完成了相关的人因工程验证和确认工作，以测试不同工况下主控室资源配置的影响、人机接口出现故障 / 错误的状态，同时也可以对程序、培训、组织机构、工作执行方式、人员资质能力等进行评估。人因工程验证工作的数据来源主要包括场景执行中观察员的观察、每个场景执行后的工后会和单场景调查问卷、全部场景执行后关于易用性的整体调查问卷。通用评估准则包括所有场景的安全限值都得到满足、人机接口（HSI）能够支持电厂和操纵员完成各场景目标及任务、所有人机接口（HSI） 的调查问卷得分和易用性在 3 分以上、所有场景中没有出现资源的重大延迟、不利后果或潜在的安全风险等。以人机接口的易用性得分为例，电厂各场景调查问卷“目标达成”部分关于计算机化规程（CPS）的所有得分的总平均值为 4.239分（满分 5 分），各场景中计算机化规程（CPS）的平均得分均大于 3 分的边际限制值，如图 2 所示。

图 2 计算机化规程系统人机接口易用性调查问卷得分

编写完成的计算机化规程与纸质版规程一起进行模拟机验证，主要通过不同场景的设置，确保规程步骤得到相应的验证，验证内容包括：规程内容与纸质版规程的一致性、步骤链接的正确性、规程步骤画面链接的正确性、规程步骤逻辑的正确性。

对参与验证的人员的工作负荷、情境意识、团队表现和场景诊断方面的分析结果也表明，计算机化规程能够有效地支持班组完成正常、异常、事故的操作。较未使用计算机化规程进行人因工程验证时，规程执行的速度、规程走向的准确性，都有了一定的提高。

3 结束语

使用计算机化规程虽然具有很多优点，但其仍有很大的局限性，如很多异常和应急规程的入口、步骤的判断等无明确的逻辑判定，而是比较模糊的“压力下降、液位下降”等参数变化，这些都需要操纵人员进行人为判定。导致目前的计算机化规程不能自动监视所有规程的入口条件，仅有部分规程如停堆或安注信号触发后能自动激活规程，提醒操纵人员开始执行，大部分规程仍需操纵人员人为判定后手动激活进入。

同时计算机化的使用也引入了新的问题，如计算机化规程可能更新滞后，导致事故下使用计算机化规程不是最新的工作文件。另外由于预防可能出现的辅助判断失误，计算机化规程系统允许操纵员通过双击规程流程图中的步骤进入相应的步骤，而这就可能导致由于操纵人员误点击出现“规程跳步、漏步”情况。目前电厂通过管理程序的方式对上述已察觉到的问题进行约束，但在后期使用中仍可能出现其他的问题，这需要在实际工作中进一步进行优化。

最后需要指出的一点是，使用电子化规程是为了降低操纵人员负荷、减少人员失误风险，而不是完全排除操纵人员的主观能动性。毕竟规程不可能包括所有的事故工况。而在机组工况超出规程要求时，就需要操纵人员依据其掌握的参数和技能进行及时干预，因此无论使用哪种形式的规程，运行团队均需要保持

对机组状态的整体把控。尤其是值长要具有全局把控能力，应监控和观察所有活动，并在发现团队成员行为不满足期望时及时干预，确保运行决策过程中始终将核安全考虑置于首位。（本文刊载结束）