《1 核电人因工程概貌》

1 核电人因工程概貌

核电被称为复杂社会—技术系统, 包括技术设备、人的群体和组织三类元素的大型经济实体, 属技术密集型。安全是核电存在和发展的基础, 一旦发生事故, 不但造成重大的人员和经济损失, 也会产生超出自身范围的巨大社会负面影响[1]。通过统计发现, 引发核电各种事故的诸因素中, 人因失效占主导地位。从20世纪的70年代起, 国际上出现了2次震惊人类的重大核事故, 即美国三哩岛 (Three Mile Island) 严重核事故和前苏联切尔诺贝利 (Chernobyl) 严重核事故。设计缺欠和设备故障固然是引发因素, 但主要事故进程是由人因失效所主导的[2]。在核电行业, 人因失效所引发的各种事故和安全事件, 占到总数的50% ~85%[3]。人因失效包括人的失误和人的违章, 二者之间的重要区别在于发生偏离或错误时, 后者主观是有所意识的, 而前者没有。

核电安全技术经历了4个发展阶段, 形成了4个领域, 即技术可靠性、人因工程、安全文化和正在形成的组织控制。前两者属于工程技术领域, 后两者属于管理技术领域, 后三者都与人的因素相关。目前4个方面都在向前发展, 共同保证着核电的安全[4]

核电人因工程的研究, 可以追溯到20世纪的60年代。1973年, IEEE的《Transaction of Reliability》发表了“人的可靠性”论文集[5], 标志着核电人因工程研究领域的确立。在1979年3月的美国三哩岛严重核事故后, 人因工程成为核电安全研究的主流。

通过美国三哩岛严重核事故, 国际上认为:尽管已有的核电厂的安全设计主要考虑设计基准事故, 但有很高的安全程度和保守程度, 常常可以经受住超设计基准事故。纵深防御的安全原则对于严重事故的早期预防和后期缓解也是有效的。固然重大设备故障对严重事故有影响, 但影响事故进程的主要是人的失误。解决的办法是:在设备可靠性已经得到很大提高的情况下, 在原有基础上, 设备方面不作大的改动, 而是加强人因工程的应用[6]

多年来, 在该领域各国均处于边研究边应用的状态。美国核管会 (USNRC) 率先提出了应用人因工程来防止或减少人的失误[7], 得到各国核安全管理部门的广泛响应。在各国核安全当局的要求和监管下, 核电厂也进行了大量的人因工程的研究和应用。我国起步相对较早, 一方面在我国建立了核安全人因工程技术学科, 启动核安全审评与监督程序, 并逐步得以完善;另一方面, 不断地把人因工程的研究成果应用于我国的核电厂, 使我国的核安全管理水平和核电厂的安全水平有所提高。

人因工程是研究人机交互作用, 把人的特点引入工程设计, 获得安全和高效的工艺设备与系统的新兴工程技术领域, 是跨越不同学科的边缘学科, 是国际科技前沿课题。人因工程以人的解剖学、生理学和心理学为基础, 研究人、机器和环境三者之间的相互作用关系, 为设计安全、高效和舒适的最优状态的技术设备及系统提供理论与方法[8]

在核电行业中, 国际上关于人因工程的的做法主要包括两个方面。一方面进行人的可靠性规律的研究, 包括人的失误是如何发生的、受到哪些因素的制约和怎样防止人的失误, 应用其研究成果来分析事故的原因和确定防范的对策。在安全风险分析 (PSA) 中, 必须同时考虑设备和人的可靠性, 不包括人的可靠性的安全风险分析是不完全的。此外人的可靠性研究还对控制室人机接口的改造、运行规程的改善和操纵员培训大纲的改进有重要的指导意义[9]。另一方面进行控制室设计方法的研究。美国三哩岛严重核事故后, 提出了“控制室系统”的新概念[10], 控制室不但在其提供的工作环境中装备人机接口等硬件设备, 还与在其中工作的操纵员和支持操纵员工作的软环境 (操纵规程、培训等) 紧密联系在一起, 三者构成了一个整体, 称为控制室系统。控制室设计应考虑控制室系统的各种因素, 特别是人的可靠性及采用系统工程的方法。首先进行功能分析和功能分配, 确定人机接口并依据人机工效学应用原则进行控制台、盘的设计, 在此基础上编制各种运行规程, 以及操纵员培训大纲。

《2 人的可靠性理论的发展》

2 人的可靠性理论的发展

人的可靠性或人的失误规律研究是人因工程的核心所在, 得到国内外的极大重视, 取得了重要进展。由于人的复杂性和可变性, 研究人的可靠性具有极大的困难, 在理论和实践上还有许多问题需要解决。人的可靠性研究始于心理学, 并已走上与工程实践相结合的道路。

《2.1SRK分类法》

2.1SRK分类法

丹麦心理学家Rusmussen的理论[11]是研究人的可靠性的基础。当操纵员面对需要处理的任务时, 依据人的主观思维方式, 将人的决策和操作行为分为技能基、规则基和知识基3种类型, 称为SRK分类法。其人机交互作用 (HI) 结构如图1所示。

《图1》

图1 SRK 分类法HI 结构图 Fig.1 Strcture of SRK classification

图1 SRK 分类法HI 结构图 Fig.1 Strcture of SRK classification  

《2.2CP分类法》

2.2CP分类法

该分类法[12]也把决策和操作行为分为3种类型:CP1基、CP2基和CP3基, 其HI逻辑关系如图2所示。当操纵员面对需要处理的任务时, 其表现行为受到任务的复杂性的制约而有所不同。该分类法依据规程 (成文的和特殊情况下不成文的) 驱动的任务进程中信号—响应的逻辑结构关系, 即依据客观的事物进程的特点来对人的行为进行分类。

《图2》

图2 CP分类法HI逻辑图 Fig.2 HI logic of CP classification

图2 CP分类法HI逻辑图 Fig.2 HI logic of CP classification  

《2.3综合分类法》

2.3综合分类法

作者提出了一种新的分类法, 称为综合分类法[13], 其框架如图3所示。该分类法的特点是同时依据人的主观思维方式因素和客观事物进程因素来进行决策和操作行为的分类, 把人的决策和操作行为分为5种类型, 即技能-CP2基、规则-CP2基、规则-CP1基、规则-CP3基和知识-CP3基。

应当指出SRK分类法在应用中具有局限性。核电厂操纵员与自然人群体有本质的区别, 已经过严格而充分的培训和复训, 还有淘汰制度。这些就保证操纵员能熟练掌握核电厂的知识和操作技能, 但又不能过分自信, 特别考虑到人在紧张情景中的思维会受到影响, 要求操纵员必须严格遵守已经成熟的、合理的诊断规程和运行规程。因此, 核电厂操纵员的绝大多数决策和操作行为属于规则基类型, 而技能基类型的行为所占份额是很低的, 尤其是知识基类型的行为所占份额更低。由于规则基类型包容了绝大多数的决策和操作行为, 而实际上它们之间在定量上的差别很大, 用规则基的统一定量研究规律来描述它们, 会带来较大的偏差。SRK分类法无法解释操纵员及其班组在面对属于规则基类型的绝大多数决策和操作行为、所持的心理和思维状态基本一致, 为什么在定量上的差别很大;不同的操纵员及其班组之间, 其差别无法完全归结为行为类型的差别。此外, 在技能基和规则基、知识基和规则基之间界限很难划分。这是SRK分类法的主要局限性所在。

《图3》

图3 综合法与SRK、CP分类法逻辑关系图 Fig.3 Logical relation of integrated approach with SRK and CP classification

图3 综合法与SRK、CP分类法逻辑关系图 Fig.3 Logical relation of integrated approach with SRK and CP classification  

CP分类法是针对SRK分类法的缺欠而提出的, 依据客观事物进程的特点来进行分类, 比较直观, 可以预先进行类型的划分, 能够克服SRK分类法的上述局限性, 这是CP分类法的优点。但它不直接反映人的主观思维方式的差别, 不能解释为什么对于相同类型的客观事物的决策和操作行为, 会在操纵员及其班组之间存在响应上的差别, 这是CP分类法的不足之处。

上述2种分类法的共同缺点是划分类型少, 对于核电厂大量的决策和操作行为, 分类过于粗糙。从核电厂纵深防御出发, 对操纵员而言, 其主观思维方式和所遭遇的客观事物进程都必然有很大的差异, 划分类型少不利于反映决策和操作行为的特殊之处。因此, SRK分类法与CP分类法在核电厂操纵员可靠性的研究中应用不便。

针对SRK分类法和CP分类法的缺欠, 作者提出了综合分类法。人的决策和操作行为与时间因素关系极为密切, 一个是给定的决策和操作的可用时间, 另一个是操纵员实际响应所花费的时间。当二者属同一数量级的条件下, 操纵员成功地使用规程作出响应的能力起主导作用, 属规则基;而当前者大大超过后者的条件下, 操纵员对事件作出解释、评估并形成正确响应的能力才起主导作用, 属知识基;只有当前者少于后者较多的条件下, 操纵员立即作出正确响应的能力才起主导作用, 属技能基。但操纵员实际响应所花费的决策和操作时间也直接与客观事物进程因素有关, 对事件本身的复杂程度和难易程度等依赖关系极大, 按照CP2基、CP1基、CP3基的顺序排列。因此SRK分类法和CP分类法之间具有“潜在联系”, 对SRK分类法而言, 人的主观思维方式因素是显形因子, 客观事物进程因素是隐形因子;对CP分类法而言, 则相反。而综合分类法的特点是使二者都成为显形因子, 因此集中了SRK分类法和CP分类法的优点, 应用起来非常方便。

综合分类法的另一特点是与上述的SRK分类法、CP分类法相兼容, 其HI对应关系如图4所示。虽然综合分类法只有5种类型, 但把SRK分类法中的规则基行为细分为3种类型, 同时把CP分类法中的CP2基和CP3基各细分为2种类型。这样, 综合分类法就在保留SRK分类法和CP分类法优点的同时, 克服了2种分类法的局限性和不足之处。

《图4》

图4 3种分类法HI对应关系示意图 Fig.4 HI relations of three classification

图4 3种分类法HI对应关系示意图 Fig.4 HI relations of three classification  

说明:①技能-CP2基;②规则-CP2基;③规则-CP1基; ④规则-CP3基;⑤知识-CP3基

综合分类法的机理, 不但得到理论上的论证, 也得到了实验的验证, 已应用于我国核电厂操纵员可靠性的研究。在“九五”时期, 我国参加了国际原子能机构十四国协调研究计划项目, 在核电厂全范围仿真机上完成了大型实验, 首次获得了我国核电厂操纵员可靠性的规律和定量研究结果。为此我国成为国际上4个系统进行该项研究的国家之一 (另3个国家是美国、法国和匈牙利) [14]。在此基础上形成了我国核电厂操纵员事故后不干预准则。根据人的可靠性研究规律, 事故后5 min内, 操纵员成功干预的置信度几乎为零;在没有支持系统的情况下, 10 min时的置信度约为80%, 20 min时的置信度约为95%。如要对“操纵员不干预时间”下定义的话, 应是事故发生至操纵员成功干预的置信度为95%以上的时刻之间的时间段。在这段时间内, 自动保护和控制系统的功能设计应能够使核电厂保持在安全限值之内而无需操纵员采取任何干预行动。其成果已用于我国新建和进出口核电厂的安全审评中[15], 并在国内外进行了交流。

《3 控制室的设计——功能分析与分配》

3 控制室的设计——功能分析与分配

《3.1控制室设计方法的进展》

3.1控制室设计方法的进展

在核电厂半个多世纪的历史进程中, 控制室的设计经历了3个发展阶段:开始阶段, 进入控制室的只是主工艺系统的人机接口, 人们根据自己的认识和经验, 进行排列组合, 对控制台和盘进行设计, 辅助工艺系统的监控在就地完成;在第二阶段, 人们追求把尽量多的 (包括主工艺系统和大量辅助工艺系统) 人机接口放入控制室, 并尽可能地提高自动化的水平, 但并没有强调人机工效学的应用;美国三哩岛严重核事故之后, 进入第三阶段, 人们认识到, 并不是进入控制室的人机接口越多越好, 也不是自动化的水平越高越好, 如果设计不当, 完全会带来负面的效应, 直至引发严重核事故。提出控制室功能设置要得当, 人机功能分配要合理, 人机接口的设计要符合人机工效学的应用原则。在设计方法上必须采用系统工程的方法。理论和实践都已证明, 系统工程的方法和以前半经验的拼凑设计方法相比, 有着不可比拟的优越性, 已在国际上被接受。

《3.2功能分析与分配》

3.2功能分析与分配

控制室采用系统工程的方法进行设计, 其先决条件是进行控制室的功能分析与分配。IEC 964-1989[16]是国际上公认的通用标准, 我国的国标GB/T 13630-1992[17]与之相对应, 二者共同的缺欠是可操作性差。为此我国制定了核安全法规技术文件《核电厂控制室设计——功能分析与分配》。控制室功能分析和功能分配的流程如图5所示。

功能分析是在核电厂工艺系统功能初步设计的基础上进行的。从核电厂的安全目标 (防止放射性物质外泄) 和可用性目标 (有效发电) 出发进行功能分解, 得到各层次的子目标, 形成核电厂的“功能树”。其顶层是总功能目标, 中间层是系统级功能, 底层是具体的控制功能。之后对每项功能进行静态分析 (监视参数、控制动作、性能度量和安全等级 ) 与动态分析 (典型事件的信息链和时间要求) 。

通过功能分析, 可对所有工艺系统 (包括流体系统、电气系统等) 功能初步设计结果是否满足全面实现核电厂运行总目标的要求进行验证和确认, 保证工艺系统功能设计结果达到必要、充分, 且正确无误的程度, 并形成相关的文件。

根据功能分析的结果进行功能分配, 规定那些功能在控制室内完成或就地完成, 那些功能分配给人或自动设备。分配给人的任务, 仅限于通过监视、手动、高级思维或其组合来实现, 与人对探测信号的感知能力、对信息的记忆和处理能力、进行操作的响应能力是一致的。在功能分配时, 必须运用人的可靠性研究结果。对某一具体的操作, 如果由工艺过程给定的决策和操作的可用时间不低于操纵员的实际响应时间 (95%置信度) , 则该任务可以分配给人来完成, 否则只能分配给自动设备来完成。分配给自动设备的功能, 首先是不能或不适于分配给人的功能, 例如超过人的能力限度和操作环境恶劣的功能。除此之外, 将成熟的和重复的过程自动化, 包括提高执行系统的自动化程度, 增强数据处理能力, 提高信息显示的集成度, 设置故障诊断功能等。通过功能分配, 可使操纵员和自动设备的功能得到最优的配合与有效的发挥。

根据功能分配的结果, 对控制室进行设计。确定操纵员所需的人因特性优良的人机接口, 包括显示器、控制器和其它辅助设施, 按功能对人机接口进行分组, 依据人机工效学的应用原则, 在控制台和盘上进行布置和标识, 为操纵员完成所赋于的职责创造了有效和舒适的工作条件。

《图5》

图5 功能分析与分配 (FA&A) 程序的图 Fig.5 Procedure of FA & A

图5 功能分析与分配 (FA&A) 程序的图 Fig.5 Procedure of FA & A  

功能分析和分配的结果以及控制室设计的结果是制定运行规程特别是应急运行规程的基础。完善的运行规程特别是应急运行规程, 不但能够指导操纵员正确地完成处理操作任务, 还能发现其处理操作的错误并加以纠正。

受过良好教育和培训的操纵员, 是实现核电厂安全可靠性和经济有效性的重要因素。因此, 培训大纲起着举足轻重的作用。 而操纵员培训大纲是以功能分析和分配的结果、控制室的设计、运行规程特别是应急运行规程的规定为基础而编写的。

综上所述, 只有在合理的功能分析和功能分配的基础上, 才能进行控制室的详细技术设计, 控制室系统各个组成部分相互协调和相互配合, 最大限度地提高人的可靠性, 抑制人的失误, 进一步提高核电厂的安全性和可靠性水平。

《3.3具体的实施》

3.3具体的实施

国际上只有很少的国家开展了控制室的功能分析与分配的设计工作, 且尚未见到工作成果的报告。在国家核安全局的规定和国家环保总局核安全中心专家的指导下, 该项工作已在我国核工业第二设计研究院进行, 作为对法国进口的岭澳核电厂控制室设计的验证和确认, 标致着我国开始采用系统工程的方法进行核电厂控制室设计[18]

该项工作基本上是依据IEC 964-1989、GB/T 13630-1992和我国的核安全法规技术文件《核电厂控制室设计——功能分析与分配》而进行的, 即依据如图5所示的控制室功能分析与分配的流程而进行的。

鉴于国内外核安全技术发展的现状, 国家核安全局规定目前安全审评只限于设计基准事故。在进行岭澳核电厂控制室设计的静态分析与动态分析时, 没有包括严重核事故, 只对核电厂失水、蒸汽发生器导热管断裂、主蒸汽管道断裂、主给水管道断裂和失去厂外交流电源5种设计基准事故进行了分析并得出结论:岭澳核电厂控制室针对上述设计基准事故的功能设计基本上是可行的, 对于严重核事故, 有一定的防范作用。该项工作已通过国家核安全局的安全审评并被接受, 是国内外核安全法规规定的内容, 出口国尚未开展进行。

《4 核安全人因工程的技术范围 [19]》

4 核安全人因工程的技术范围 [19]

在核电厂中, 人因工程的应用对实现其总目标——安全发电至关重要。控制室人机接口最集中, 操纵员与人机接口联系最密切, 发生人的失误最多, 后果也最严重;同时核电厂运行经验反馈也表明, 控制室的设计缺欠, 主要是由于缺乏人因工程考虑所致。因此人们自然地首先针对核电厂控制室进行人因工程的研究与应用 (包括主控制室和辅助控制点) 。

对控制室设计的安全审评必然涉及控制室系统的各个组成部分。同时, 控制室的设计也是在控制室系统的范畴内采用系统工程的方法来进行的, 自始至终贯穿人因工程的应用, 为安全审评准备了充分的条件。作者对核安全人因工程的技术范围作了界定, 具体包括如下5个方面。

《4.1控制室的功能》

4.1控制室的功能

控制室功能的安全审评包括上述运行目标和安全目标, 但主要针对根据安全目标确定的控制室安全功能。由于核电厂反应堆一般设置3道屏障, 即燃料包壳、反应堆冷却系统边界和安全壳, 因此实现安全目标即归结为保证3道屏障的完整性。安全审评要审查功能的分配是否合理, 使机器设备和操纵员的效能都得到了充分的发挥;审查规定的操纵员应急操作任务是否完整, 从而保证能够和机器设备密切配合, 实现控制室的安全功能。

《4.2操纵员的可靠性》

4.2操纵员的可靠性

基于功能分析和分配的结果, 设计确定了操纵员在应急操作中的任务, 并具体落实到每个操纵员。安全审评要审查每个操纵员的工作负荷是否适宜, 过低、特别是过高的工作负荷是引起人的失误多发的原因之一。

在事故发生后的不干预时间结束后才允许操纵员进行干预。安全审评要审查操纵员可靠性的测试数据, 从而确定不干预时间的正确性, 以及事故后操纵员可不进行干预的宽容时间是否满足要求。

《4.3人机接口》

4.3人机接口

在控制室的设计中, 根据功能设计的要求, 已确定了核电厂在正常运行、预计运行事件和事故工况下, 需要向操纵员提供的全部信息和控制手段。安全审评要确认操纵员所需的信息、显示器、控制器以及执行应急操作任务的其它人机接口均已在主控制室和辅助控制点得到提供。

按照人因工程原则的要求, 还要进行人机接口“三性”的重点审评:

一致性 (提供给操纵员的信息显示和预期从操纵员得到的响应, 其特性与人的接受和付出能力的限度相一致) ;

可理解性 (人机对话的结构、格式和内容, 对信息交流应是有意义的, 即显示的信息应使操纵员容易理解, 操纵员对系统施加控制操作应能得到系统预期的响应) ;

有效性 (人机接口能以某种方式帮助操纵员或其他运行人员提高操作效能) 。

《4.4人机工效学应用原则》

4.4人机工效学应用原则

安全审评要对下述各方面设计是否符合人机工效学应用原则进行审查:1) 控制室工作空间;2) 工作环境;3) 报警系统;4) 控制器;5) 显示器;6) 音响信号系统;7) 标牌和位置指示;8) 过程计算机;9) 盘与台面布置;10) 控制—显示综合。

《4.5操纵员支持系统》

4.5操纵员支持系统

设置安全参数显示是实现主控制室安全功能的重要保证。在硬件组成上, 安全参数显示与过程计算机共用一部分。其主要用于应急状态, 将显示和报警过程综合在一起, 以一组最少的又是足够的核电厂参数向操纵员、安全工程师、必要时向专家队伍提供反应堆的安全信息, 估价核电厂的安全状态, 判断并决策是否需要操纵员采取措施以避免堆芯性能的进一步恶化。安全参数显示应做到易发觉和易理解, 并具有简明性和连续性, 其可靠性必须得到保证。以上即是安全审评的内容。

上述5个方面组成了核安全人因工程技术领域。从人因工程应用角度出发, 对控制室 (主控制室与辅助控制点) 进行安全审评, 是核电厂安全审评的重要组成部分, 是国际上核电行业近十几年来发展迅速的领域之一, 并已在我国取得了很大的进展, 对国际上制定相应的核安全对策也具有可推广性。

《5 建立核安全法规技术文件体系与启动安全审评》

5 建立核安全法规技术文件体系与启动安全审评

核安全人因工程的安全审评必须依据核安全法规进行。美国NRC的NUREG 0700-1981[20]是一个重要的核安全法规技术术文件, 但至今已有20多年没有修订, 并且IAEA明确指出, 一国不能直接引用他国的有关人因工程的数据, 因此NUREG 0700不能完全适合于我国。在国家核安全局的安排下, 以国家环保总局核安全中心为首的攻关专家组, 建立了我国在该领域的核安全法规技术文件体系, 包括4个技术文件, 分别是:

1) HAF·J0042《核电厂安全分析报告的标准格式和内容——第18章人因工程与控制室》;

2) HAF·J0054《核电厂人因工程与控制室的安全审评大纲》;

3) HAF·J0055《核电厂控制室设计的人因工程原则》;

4) 《核电厂控制室设计—功能分析与分配》 (待发表) 。

核安全法规技术文件体系的建立, 启动了我国该领域安全审评, 对安全审评的有序进行及其广度和深度提供指导。该法规体系已在我国新建的核电厂、核动力厂以及进出口核电厂的安全审评中加以应用, 同时业主也在控制室设计中参照执行。国际上只有极少数国家开展此项工作, 说明我国在该领域已经跟上了国际的先进潮流。

《6 核电人因工程的发展》

6 核电人因工程的发展

核电人因工程在现有研究和应用的基础上将继续向前发展。 除此之外, 以下两个方面将可能是进一步发展的方向:

1) 计算机网络控制保护和信息系统已应用于核电厂, 尤其应当指出, “以人为中心”的人机接口是进一步发展方向[21], 要进行研究并逐步加以应用, 这将引起控制室的组成和情景发生根本的变化, 其人因工程的内容也随之发生变化。

2) 核电人因工程的研究和应用, 目前还主要限于核电厂控制室系统, 扩展到核电厂的其它工艺系统和场合是该领域进一步发展的方向[22]

应及时开展核安全人因工程的安全审评与监督, 以推动上述的科技发展形势。