卢洋，梅亮，吴震华，王晓磊，唐琪

（1. 苏州热工研究院有限公司，广东 深圳，518000；2. 大亚湾核电运营管理有限公司，广东 深圳，518000）

在电子化规程方面，存在着很多的尝试工作。在20 世纪90 年代，法国EDF 开发了一套N4 机组的电子化规程执行系统[1]。在2000 年，美国核管理委员会（National Regulatory Commission，NRC）出版了一份规程电子化执行系统的技术基准和人因导则[2]。国内CPR1000 机组也进行了部分规程的电子化工作。在三代堆中，EPR机组的部分规程进行了电子化，AP1000 机组也装配了CPS 系统[3]。通过调研国内外压水堆电子化规程，得到以下结论：

（1）电子化规程是发展趋势。目前主要的三代堆主控室设计中都部署了电子化规程执行系统；

（2）部分电子化方案导致维护成本高，升版不灵活；

（3）执行体验不佳。部分电子化规程方案，没有系统的开发方法，无法满足操纵员的需求。

调研发现，基于上述（2）和（3）原因，很多的电子化规程方案并没有很好地解决规程执行问题，导致部分用户退回纸质规程的执行方式。

本文介绍了规程电子化方法，并结合事故规程案例，阐述了一种电子化规程执行系统在M310 机组的搭建和应用。其应用表明，该系统运维成本低，升版灵活方便；同时可以充分发挥信息技术优势，有效降低操纵员注意力资源消耗，提升运行团队人员绩效。

1 规程电子化方法

从纸质规程（Paper Based Procedure，PBP）转换到电子规程（Computer Based Procedure，CBP），执行媒介由纸质切换为电子设备。与纸质相比，电子设备具备信息显示灵活和信息自动处理的优点，同时存在依赖软硬件的缺点。另外，执行媒介的操作规则也相应发生改变。因此规程电子化应当从信息传递和操作规则两个方面进行分析。

1.1 信息传递

一般来说，CBP 信息传递的内容与PBP 大部分保持一致，这样可以避免规程结构或者风格改变引入的风险。有时候为了最大化利用信息技术优势，而对规程小部分进行修改是不可避免的，这时可以通过风险评估和采取措施（充分的培训）来解决。对于新电站则不需要考虑这个转换影响因素。

CBP 功能的实现需要软硬件的支持。系统的软硬件方案需要根据CBP 的技术规格需求进行设计。方案中采用的软硬件技术尽量保持与电站现有信息系统的融合，使用成熟技术，而无需引入特殊的技术要求。

在CBP 设计过程中，需要考虑信息流转过程的质量保证和人机接口（Human-Machine Interface，HMI）界面设计。

1.1.1 质量保证

在规程转换过程，需要清楚地建立信息输入、处理、存储、传输和输出过程的信息链条，在识别链条每个环节的风险基础上，制定对应的质量保证措施。在开发和实施阶段，确保上述质保措施得到很好地执行。

1.1.2 人因工程

由于CBP 涉及HMI 界面设计，因此人因工程（Human Factor Engineer，HFE）在CBP 设计中尤为重要。HFE 有一套完整的项目实施方法，在CBP 项目中，HFE 应当作为一个从设计到实施，再到评估贯穿项目始终的子项目存在。

1.2 操作规则转换

CBP 给执行团队带来便利的同时，对其角色责任和操作习惯也带来了冲击。在进行规程电子化的过程中，需要考虑如何降低这些改变带来的冲击影响。

1.2.1 角色责任的转变

电子化将原来的一些高负荷工作任务（规程跳转、查询、计算和简单判断等），分配给了自动系统或者半自动系统，大大降低执行团队的工作负荷。角色承担的责任也相应地被弱化，但这个情况容易被忽视而缺少评估。在CBP 项目中，需要对角色责任进行重新考虑和确认，并进行评估。

1.2.2 培训

CBP 涉及执行人员培训课程内容改变的，需要重新调整培训任务。特别是新的操作规则和媒介发生变化、新引入的重大人因风险操作等，也需要通过充分地培训，让运行团队掌握相关知识并形成能力。

1.3 经验反馈

除了上述内容外，还需要借鉴相关电厂和行业的经验反馈。既要针对本电厂在规程执行过程中出现的经验反馈进行总结分析，也要借鉴行业内外的规程电子化经验。

2 规程电子化执行系统开发方案

2.1 初步设计

规程使用过程中遇到的困难和运行团队的需求，是CBP 功能设计的初始输入。根据初始功能需求，确定CBP 系统所属的层级（一共有三个等级）。同时，根据电站信息系统的现状（比如根据与电站控制系统（Control System，CS）的关系，可以分为CS 集成方案和非CS 集成方案），可以初步确定CBP 的软硬件方案和主要功能。非CS 集成方案不涉及到控制系统的改造，在项目实施成本可控，对电站安全影响也可控，还具有升版灵活的优点。

CBP 方案的进一步细化，需要以规程转换方法，操作规则转换和经验反馈等为依据。反过来，CBP 方案确定之后，又会对上述要素产生影响。因此，在开发过程中，两者需要多次迭代之后才能找到最适宜的平衡方案。

2.2 设计中的质量保证

规程的转换需要确保质量控制的有效性，也即信息传递的可靠性。特别对于那些会涉及修改原规程内容、结构或风格的方式，转换过程需要经过严格的质量审查以确保信息的一致性。如果规程转换过程涉及到内容结构化标注的，也需要通过质量保证方式来确保标注的准确性和一致性。

此外，信息的可靠性还依赖于硬件和软件的可靠性。硬件可靠性要求采用可靠性高的硬件配置方案、有实力的硬件供应商、可靠的电源供应和网络系统。软件可靠性要求考虑服务器端应用服务和数据服务的读写、处理和传输可靠性，终端数据操作、处理、读写和传输可靠性。

规程电子化转换过程中的质量因素、风险评价及应对措施如表1 所示。

表1 规程电子化转换质量因素及措施Table 1 Quality factors and measures for electronic conversion of regulations

信息传递过程的具体质保措施需要根据实际情况来确定。一般来说，重要信息的质量失效需要给出明确的提示，比如网络通讯故障、数据错误等。整体来说，规程执行系统的质保要求在满足系统设计要求之外，还应不低于其所部署在整体信息系统的质保要求。

2.3 项目中的人因工程

人因工程应当融入到CBP 开发项目中。完整的人因工程项目相关的要素如表2 所示。根据不同的项目方案，会有不同侧重的要素。各要素之间也存在着循环迭代关系[4]。

表2 人因工程项目要素Table 2 Elements of a HFE project

CBP 方案还包括硬件和软件两个方面。

2.4 硬件方案

硬件方案往往依赖于电厂现有的网络和设备，需要考虑项目所处的网络通讯、服务器和终端的配置设置对信息质量的影响。

首先确定项目所处的网络通讯（比如：工业网、管理网或者其他专网），相关的安保等级、保密等管理要求。一方面需要考虑项目所处网络通讯对规程执行的影响，另一方面需要考虑项目的网络配置应不低于所处网络的安保等级和管理要求。

由于服务器的配置相对来说比较灵活，主要从高可靠性的角度出发，可以考虑采用热备用，双外电源，不间断电源（Uninterruptible Power Supply，UPS）等方式进行配置。

终端是规程执行时操作人员所直接面对的硬件设备，其参数性能选择（比如：显示屏尺寸、分辨率、整体重量等）需要符合人因工程设计。终端一般分主控使用和现场使用两种，都留有一定数量冗余备份。

服务器和终端都需要按管理要求定期维护。

2.5 软件方案

软件的方案设计来源于CBP 开发目标和需求，从需求分析到详细设计，再到软件测试，各阶段需要采用验证和确认（Verification &Validation，V&V）方法来保证最终软件功能满足开发需求。软件方案设计最基本的目标是提高规程执行效率。与此同时，作为人机接口的一部分，软件应当充分考虑人因工程设计因素，避免人因失误。软件除了满足需求功能设计和防人因设计之外，还需要考虑网络中断、电源不足、信号错误或者延时等影响因素，并在开发设计时尽量考虑应对措施。

3 事故规程电子化执行系统应用

3.1 应用案例

以某M310 电厂SOP 事故规程电子化执行系统（简称“iSOP”）为例，简单说明规程电子化开发过程。该电厂主控室为传统模拟盘面，在执行事故规程时，需要操作人员手持纸质文件，在盘台不同区域之间来回操作。其事故规程为流程图结构形式的SOP 事故规程。

iSOP 项目依托电厂第四代移动通信（the 4 th generation mobile communication，4G）无线专网，通过在主控室配置移动终端的方式，让操纵员从大量的纸质文件工作中解脱出来。项目所属网络安全等级保护为第三级。依托电厂4G 无线专网的方案具有运维简单，升版灵活的特性。

iSOP 项目应用服务器和数据服务器都采用热备用方式配置，双外电源并配备UPS，采用光纤接入4G 专网核心交换机。终端采用长期演进版（Long Term Evolution，LTE）移动设备，通过用户身份识别卡（Subscriber Identification Module，SIM）卡接入4G 专网。执行系统硬件配置结构示意如图1 所示。项目硬件设备为非安全相关级，因此在主控室保留纸质版规程作为冗余备用。

图1 iSOP 项目硬件配置结构示意图Fig.1 Hardware configuration structure of iSOP

软件系统包括一个用于规程结构化标注的工具软件和一个用于规程执行的应用软件。

工具软件的目的是将原规程转换为能够在应用软件中操作执行的电子化规程，其主要功能是进行结构化标注（规程步类型的识别，规程步之间的关系设置等）。

应用软件安装于终端，用于事故规程的执行。其主要功能包括：

（1）通过规程链接功能，消除了纸质规程执行时的大量页面跳转和查找工作；

（2）通过无线4G 网络，实现了规程信息即时共享的功能；

（3）通过归档复盘功能，使得事故规程的执行记录可以自动归档和便捷复盘；

（4）通过自动识别和辅助计算，实现了纸质规程步之间的逻辑关系识别和硼浓度等数据的辅助计算；

（5）通过开发序列概览图，提高了操纵员在事故规程执行时的整体大局观，从而避免其陷入具体操作而丧失对事故整体走向的控制；

（6）通过无线网络和触控执行，保持纸质版手写功能，降低人机系统对操纵人员的执行体验冲突；

（7）iSOP 属于非DCS 集成方案，相关的规程和软件升版不涉及DCS 工作，从而不影响机组的运行控制工作，具备运维成本低、升版灵活的优点。

3.2 人因评价

不论是PBP 还是CBP，在执行规程时，都存在接收信息、理解信息和操作这个过程。根据VACP 多资源理论[5]，规程执行过程可以具体分解为视觉、听觉、认知和操作4 个环节要素。采用VACP 模型，对主蒸汽管道破裂事故（MSLB）处理中涉及规程DOS、ECP2-IO、ECP2-S2 的主要步骤进行了元操作分解分析，合计约120 规程步骤，分解为约400 个元动作。纸质规程和iSOP系统的VACP 分值如图2 所示。

图2 纸质规程与iSOP 系统的VACP 分值图Fig.2 VACP value of PBP and iSOP

从图2 中可以看出，相对于纸质规程，iSOP系统在VACP 总分上降低了11.0%，说明该系统可以有效降低操纵员注意力资源消耗，从注意力资源的角度提升人员绩效。其中，主要降低部分在于视觉和操作这两个阶段，分别降低16.7%和9.6%，说明iSOP 系统通过电子化设计，主要优化了操纵员信息获取和操作方式。而内在认知过程无显著差异，其原因是 iSOP系统采用简单的规程迁移方式，未改变事故规程的结构。

4 结论

在介绍了规程电子化方法的基础上，提出了CBP 系统开发方案。根据某M310 机组特点，阐述了事故规程电子化的应用案例。其应用表明，该系统运维成本低，升版灵活方便。基于VACP 模型分析的结果表明，iSOP 系统可以有效降低操纵员注意力资源消耗，提升人员绩效。该研究成果可对国内其他电厂运行规程电子化工作提供重要技术支持和参考。在核电站现代化和主控室智能化的大背景下，可以进一步推广应用。