吴 茜，张瑞萍，孟 光，吕爱国，余周俊

（华龙国际核电技术有限公司，北京 100036）

0 引言

核安全的重要性和核电系统的复杂性造就了核电厂规程的重要地位。遵守程序作为核电厂防人因失误工具的关键一项，已成为核安全文化的一部分，规程质量至关重要。

经调研，核电厂规程相关问题的总体趋势如下：

◇ 人因因子占总体事件的比例有明显下降趋势。

◇ 程序和文件缺陷类问题占总体事件比例基本不变，略有上升。

◇ 工作实践类问题占人因因子比例逐年下降。

图1 近5年国内核电厂事件根本原因统计Fig.1 Statistics of root causes of domestic nuclear power plant incidents in the past 5 years

◇ 程序和文件缺陷类问题占人因因子比例逐年上升，在2018 年首次超过工作实践类问题，成为人因因子中占比最高的问题。

容易发现，近几年各电厂对于人因工程的重视程度提高，人因事件总体比例下降。主要的成果是将工作实践类问题的占比减少了，但程序和文件类问题尚未得到较好的解决。

为了解决这一问题，降低规程对人因事件的影响，提高核电厂规程开发的质量，在对标准要求和规程体系对比研究的基础上，详细分析了开发过程及行业内相关情况，提出了规程开发质量保证方法，该方法对各堆型及实验堆具有普适的参考意义。

1 核电厂规程体系介绍

规程开发的目标是确保电厂以安全的方式启动、运转和停运，所有与安全有关的构筑物、系统和部件的运行必须按详细的、书面的和已批准的规程进行。

国家核安全局对核电厂规程体系选择方面无明确说明，相关文件规定如下：

《HAF103》中7.3 节要求：“所制定的运行规程必须包括核电厂正常运行、预计运行事件和设计基准事故情况下应采取的行动，并尽可能列入有关严重事故的条文。在预计运行事件和设计基准事故情况下可以使用系统定向的程序，但严重事故情况下宜使用以事故征兆为基础的诊断和处理程序，并动用核电厂可供利用的全部能力；规程应便于执行人员按照正确的顺序进行操作；必须明文规定运行人员被迫偏离书面程序情况下的责任和联络渠道[1]。”

表1 SEOP监控和控制的六大关键安全功能Table 1 Six key safety functions for SEOP monitoring and control

《核动力厂运行安全规定》中5.2.3 节要求：“必须制定正常运行规程，以保证核动力厂运行在运行限值和条件之内。对预计运行事件和设计基准事故必须制定事件导向规程或征兆导向规程，还必须制定应急运行规程或严重事故（超设计基准事故）管理指南。”

征兆导向法（SEOP）和状态导向法（SOP）都属于上文中“征兆导向规程”的范畴，都符合要求。

1.1 征兆导向法（SEOP）

征兆导向规程是以事故分析的概率论方法为基础，认为核电厂的安全由一些与安全相关的参数控制，这些值的变化被称为“征兆”，只要所有安全相关参数在预先规定的范围内，就能够确保电厂的关键安全功能（CFSs）。如果任一或多个参数超过安全限度，核电厂就处于异常工况或紧急状态，此时操纵员可以利用针对征兆所制定的事故规程使核电厂恢复到安全状态。

征兆导向事故规程的处理策略有两种：

1）如果事件可以被诊断，则采用基于事件的规程，称为最佳恢复导则（ORGs）。

2）如果事件不能被诊断，通过监视关键安全功能（CFSs）来克服事件导向法的一些局限性，引导并恢复电厂安全状态。

因此，征兆导向可以帮助操纵员处理复杂的异常事件和选择最合适的操作来恢复核电厂的安全状态，进一步提高了核电厂的安全性。

从其内容上看，它不仅考虑对设计基准事故的处置，也考虑了多重故障。从处置的手段看，它首先保证核电厂的关键安全功能的完备，同时诊断事故的性质，一旦诊断清楚，则进入相应的事件导向最佳恢复导则（ORGs）；若由于操纵员误动作造成关键安全参数异常，则通过持续对关键安全参数进行监督的关键安全功能恢复规程（FRGs）引导操纵员去纠正错误动作，保证核电厂最终达到稳定的安全状态。

表2 SOP监控和控制的六大状态功能Table 2 Six status functions for SOP monitoring and control

1.2 状态导向法（SOP）

状态导向法基于反应堆和相关系统的中子物理和热工水力原理，对反应堆、蒸汽发生器和安全壳这3 个与核安全直接相关的基础设备的行为进行模型化，从安全角度，提出了表征核电站事故后机组状态的6 个状态功能（State Function）。

根据反映机组状态的6 个状态功能的物理参数特征，为了机组的安全、稳定状态，状态导向法建立了一整套保证控制机组状态恶化并退防的运行策略。这些运行策略，基于6 个状态功能之间的各种可能组合而确定，其中融合了不同状态功能所需的优先顺序。进而，运行规程架构设计了循环监测、循环诊断导向，确保适时使用恰当的运行策略，达到全局控制机组状态的目的。

1.3 对比分析

SOP 和SEOP 都在EOP 基础上进行了优化，SOP 不依赖于具体的始发事件，基于对机组所体现出来的状态，结合实际参数指引进入相应的事故处理规程。在状态参数循环诊断过程中融入事件导向指引，即状态导向+事件导向。SOP 程序实现了闭环控制：诊断——行动——监督——重新定向——行动。

SEOP 结合EOP 和SOP 规程的特点。其原理为，先运用事件导向及时进行事故处理，当发生叠加事故等复杂事故时，运用征兆导向进行诊断处理，即事件导向+征兆导向。

SOP 文件体系覆盖全面，按照人员职责划分，结构高度格式化、系统化；SEOP 文件体系只包含事故部分，按照机组功能划分，文件体系相对分散，但分类明确。

通过介绍和对比分析，SEOP 在事故处理上具有一定的优势，其事件导向+征兆导向的线性结构在事故处理中体现出来的高效性和使用体验更有优势。SOP 优化后在二代加的基础上有大幅提升，可执行性和使用体验得到大幅提升。

表3 应用情况及结论Table 3 Application and conclusion

图2 事故处理规程开发过程Fig.2 Accident handling procedure design process

2 规程开发过程介绍

事故处理规程的开发分为多个步骤，如图2 所示[2]。

- 确定事故处理导则或规程的原则：事故处理导则或规程的原则涉及事故处理方法的确定，事故处理导则或规程在核电厂规程中的作用，导则或规程人因工程、运行组织等方面的内容，事故处理规程和事故处理导则在导向方法上应保持一致。

- 事故处理导则：根据所确定的事故处理导则或规程的原则，进行事故处理导则开发。事故处理导则是事故处理规程的技术基础，事故处理导则的开发一般有两种方法，革新法和参考法。

- 编写事故处理规程编者导则：编者导则用于规范并保证事故处理规程是完整的、准确的、易读的和易使用的。编者导则应包含将事故处理导则转化成事故处理规程的方法。

- 编写事故处理规程：按照编者导则，基于事故处理导则，编写核电厂的事故处理规程。需要考虑对编写者的要求、由导则转化为规程、功能分析和任务分析、验证和确认等。

3 行业内技术进展

3.1 基于人因工程的事故规程配套画面问题

以XX 数字化主控室的数字化事故规程配套画面，存在画面设计与规程功能不匹配、设计细节考虑不足影响效率、人因工效学考虑不足等问题进行介绍如下[3]：

1）画面设计与规程所需功能不匹配

通过开展功能分析，调研数字化规程与配套页面对应显示信息发现，显示页面存在多个多余信息，占用大量空间。多余信息干扰操纵员对状态监视、增加监视负荷，浪费空间导致原本一页能够呈现的对应信息需要2 ～3 张页面方能完成，同时增加页面调取、管理工作负荷。

2）设计细节不足影响工作效率

多年模拟机复训经验反馈发现，画面设计细节考虑不足。例如，许多链接与任务无关，同时许多本可以增加工作效率的链接页面中未有考虑，操纵员需要通过自身的长时记忆调取这些页面，花费页面调取时间的同时增加操纵员的认知负荷。

3）人因工效学考虑不足

电厂经验反馈发现，页面的许多不良经验反馈是由未能有效对人视觉信息显示人因工效学维度开展深入评估造成的。例如，界面布局对视觉监视规律考虑不够充分，信息布局、重要信息、参数、报警未能充分利用颜色、图形等方式增加操纵员注意力，未能充分考虑格式塔视觉认知经典理论中的相似性、相近性、连续性等问题的影响。

3.2 优化方案

1）优化界面布局及边界形式

根据经验反馈里的界面信息设置及布局问题和任务分析，确定必要信息、提出多余信息，对信息内容布局进行分类和重要度优化，同时使用不同颜色边框进行区分，减少操纵员辨识信息区域时的认知负荷。

2）图形化显示重点参数

数值显示的参数因为需要较为深入的认知加工过程，因此出现异常不易引起操纵员注意，考虑到人对于图形轮廓及颜色的认知负荷较低且更易引起注意，为了强调重要参数，减少操纵员对此的认知负荷，优化时引入图形显示工具，例如色条图形式，一旦到达阈值，色条图变色。

3）精细化链接设计

图3 规程开发质量保障方法Fig.3 Procedure development quality assurance method

根据运行经验及操纵员行为数据统计，界面调取任务占用操纵员大量认知负荷和时间，而快速链接是数字化规程执行效率的重要影响因素。因此，秉持“一次点击，即达目的”的原则进行优化，系统类画面由原需要操纵多次优化为一次，增加参数、趋势类画面，标题即为链接。

4）仪表故障智能辅助诊断

将单一物理量平均值显示方式优化为画面比较所有测量值，差值超预设值后显示框激活为红色闪烁框，以此提醒操纵员出现异常参数、设备。

5）重要状态参数智能辅助诊断

针对事故程序主要控制的目标参数（见第一节规程体系内的介绍），根据规程对参数的要求，使用智能技术对其进行辅助诊断。当参数超控制预期，或由于事故进展导致参数恶化，对参数框激活动态提示动作，提醒操纵员注意。

4 规程开发质量保证方法

4.1 规程开发中的人因工程考虑

规程开发中的人因工程需要考虑3 个因素[4]：

◇ 人因工程原则（如何评价规程体系或一份规程质量的优劣；用户友好的规程，内涵是什么）。

◇ 人因工程活动（建立一套有效的方法论和过程，确保开发和规程满足人因工程原则和要求）。

◇ 在运电厂规程维护的人因贡献（将规程开发过程中的有益经验，用于在运电厂的规程维护和优化）。

4.2 规程开发中的人因工程原则及保障方法

规程开发中的人因工程顶层原则：

◇ 完整性。

◇ 正确性。

◇ 清晰性。

◇ 呈现友好性：

◇ 语言友好性。

◇ 格式友好性（例如，构造层次性的规程）。

◇ 流程友好性。

◇ 一致性。

◇ 防错性。

保障方法，如图3 所示。

为了确保规程的高质量，除了执行上述过程，还需要考虑运行经验、用户能力和班组结构匹配、人机功能匹配性、任务流程合理性、人员负荷可接受性、重要人员动作、人机接口匹配性等因素。

5 结语

介绍了规程体系及开发过程，在对行业内规程问题及优化情况进行分析的基础上，提出了规程开发的质量保证方法，该方法对各堆型及实验堆具有普适的参考意义。