中國AP1000的人因工程安全審評的幾個問題

馮 燕，路 燕，劉景賓，張云波

(環(huán)境保護部核與輻射安全中心，北京 100082)

AP1000核電站具有獨特設(shè)計特征，每個反應(yīng)堆有兩回路。電廠設(shè)計目標是60年，壽期內(nèi)不更換壓力容器，采用數(shù)字儀表控制系統(tǒng)和先進的主控室設(shè)計。主控室能夠在正常和預期的瞬態(tài)和設(shè)計基準事故期間控制電廠[1]。它包括能夠監(jiān)測和控制電廠安全系統(tǒng)以及非安全相關(guān)控制系統(tǒng)的指示和控制。遠程停堆站包含指示和控制器，允許操作員在主控制不可用時，在事件發(fā)生后實現(xiàn)并維護電廠的安全停堆。主控室和遠程停站均按照人因的工程原理和實踐設(shè)計。由于在現(xiàn)代人機接口中采用的數(shù)字計算機和圖形顯示技術(shù)發(fā)生了快速變化，AP1000的設(shè)計認證側(cè)重于用于設(shè)計和實現(xiàn)人機界面的過程。人因工程在AP1000設(shè)計中的應(yīng)用包括人因工程項目管理，運行經(jīng)驗評審，功能需求分析與分配，任務(wù)分析，人員配置，人員可靠性分析與人因工程集，人機接口設(shè)計，規(guī)程開發(fā)，培訓大綱開發(fā)，人因驗證與確認，設(shè)計實現(xiàn)，人員效能監(jiān)測等12個要素[2]。

人因工程包括資源和環(huán)境的設(shè)計和實施，幫助人們更可靠地執(zhí)行任務(wù)。 數(shù)字計算機和彩色圖形顯示技術(shù)的快速變化為AP1000設(shè)計團隊提供了改善操作員實時決策支持的機會。 AP1000的全廠網(wǎng)絡(luò)可為電廠人員提供預處理數(shù)據(jù)。 工廠工作人員和工廠設(shè)備之間的實時過程控制接口是儀表和控制(I&C)設(shè)備，在集成的人機界面中驅(qū)動圖形顯示設(shè)備。 認知系統(tǒng)工程應(yīng)用于人機界面的設(shè)計。電廠人員和設(shè)備之間的實時過程控制接口是圖形顯示設(shè)備驅(qū)動的儀控設(shè)備，并集成于人機接口。認知系統(tǒng)工程也應(yīng)用于人機接口設(shè)計。在中國AP1000機組人因工程和控制室設(shè)計的審評過程中，以下幾個問題得到了重點關(guān)注。

1 主控室的背景噪聲

背景噪聲是指在發(fā)生，檢查，測量和記錄系統(tǒng)中與有用信號無關(guān)的任何干擾。 環(huán)境噪聲是指工業(yè)生產(chǎn)，建設(shè)，運輸和社會生活中產(chǎn)生的噪音。 在核電廠的設(shè)計控制室工作環(huán)境中，背景噪聲是指設(shè)備在主控室工作的噪音。

關(guān)于主控室背景噪聲有一系列標準。

NUREG0700 (人機接口設(shè)計審評導則)要求控制室的聲學設(shè)計應(yīng)確保操縱員之間的語言通訊不能受損，聽覺信號易于檢測，并且最小化聽覺分散，刺激和疲勞。主控室的背景噪聲不能損害主控區(qū)域內(nèi)任意兩點之間的語言通訊。

圖1 背景噪聲和距離之間的聲級函數(shù) Fig.1 Voice level as a function of distance and ambient noise leve

NUREG0700也考慮了正常或輕微提高聲音的語言通訊。圖1說明具體距離時不同背景噪聲水平下的語言交流方式(正常，大聲……)[3]。

NUREG0700指出若在背景噪聲65dB的環(huán)境下，距離2.4米以上的操縱員就必須大聲說話。因此若控制室內(nèi)的工作站，顯示盤或控制接口距離較遠，就必須降低背景噪聲限值。

IEC 60964-2009要求聽覺環(huán)境的設(shè)計應(yīng)確保運營團隊容易溝通，環(huán)境噪聲的干擾最小，并可靠地獲知聲音信息，報警和應(yīng)急信號等[4]。IEC 60964-2009指出主控室正常運行時的環(huán)境技術(shù)要求參見ISO11064-6控制中心的環(huán)境設(shè)計, Part 6: 控制中心的環(huán)境要求)。ISO 11064-6要求環(huán)境噪聲不超過45 dB LAeq,T，控制室的本底噪聲在30 dB to 35 dB LAeq,T。等效連續(xù)A聲級(LAeq,T)是指在規(guī)定的時間內(nèi)，某一連續(xù)穩(wěn)態(tài)聲的A[計權(quán)]聲壓，具有與時變得噪聲相同的均方A[計權(quán)]聲壓，則這一連續(xù)穩(wěn)態(tài)聲的聲級，就是此時噪聲的等效聲級。噪聲等效聲級(分貝)數(shù)值越小越好。計算公式如下[5]：

EUR 2.10也明確了主控室的環(huán)境設(shè)計。包括主控室和技術(shù)支持中心的每個控制點的環(huán)境噪聲不超過50 dB，所有區(qū)域的正常或應(yīng)急通風系統(tǒng)應(yīng)滿足這一要求。

三門核電廠設(shè)計中，主控室的背景噪聲不超過50dBA, 噪聲峰值不超過65dBA .在電廠啟動階段的人因工程驗證活動中，主控室噪聲的實際測量值遠高于50dBA。

主控室的噪聲水平比驗收標準值高，這對操縱員通訊和效能產(chǎn)生負面影響。較高的噪聲水平會干擾語言通訊，操縱員極有可能不能正確的傾聽語言通訊和指令，引起操縱員失誤。除此之外，較高的背景噪聲水平影響操縱員探測聽覺信號，比如報警。聽覺干擾，刺激和疲勞也是潛在的后果。為了降低噪聲，必須采取一系列降噪措施。

2 對于三門核電廠DCP4733的考慮(主控室溫升問題)

事故工況下主控室應(yīng)急可居留系統(tǒng)(VES)投運后72h之內(nèi)，綜合考慮主控室人員可居留性和設(shè)備鑒定的要求，主控室溫升的驗收準則是不超過有效溫度85℉(29.5℃)的執(zhí)照申請限值，該值對應(yīng)的空氣參數(shù)為干球溫度95℉(35℃)且相對濕度50%。根據(jù)DCP4733報告的描述，結(jié)合主控室(MCR)內(nèi)部設(shè)備的發(fā)熱強度，VES系統(tǒng)現(xiàn)有的設(shè)計不能實現(xiàn)控制溫升的要求。圖2和圖3是現(xiàn)有VES設(shè)計下的主控室溫度。VES系統(tǒng)若要維持主控室壓力邊界(MCRE)內(nèi)設(shè)備鑒定和人員活動的要求，必須對現(xiàn)有設(shè)計作執(zhí)照申請相關(guān)的變更，具體做法是在啟動VES后關(guān)閉MCR內(nèi)非安全相關(guān)的電儀設(shè)備熱負荷，包括：局域網(wǎng)大屏幕顯示器、無蓄電池供應(yīng)的照明、主控室區(qū)域輻射監(jiān)測儀/處理器、TVS視頻控制器、辦公設(shè)備、廚房設(shè)備等熱負荷。表1是關(guān)閉主控室設(shè)備清單，圖4是設(shè)計變更后主控室溫升示意圖。變更實施后，設(shè)計基準事故(DBA)下啟動VES系統(tǒng)，MCR空氣溫度將不超過執(zhí)照申請的相關(guān)要求。同時可以手動將上述非安全相關(guān)的MCR電儀設(shè)備重新投運。

圖2 無切斷方案下主控室溫度Fig.2 No load shedding with AC power

圖3 蓄電池耗盡工況下主控制室溫度Fig.3 No load shedding with battery exhaustion

圖4 切斷方案下主控室溫度Fig.4 Temperature with the load shedding

階段一關(guān)閉的設(shè)備熱負荷(W)階段二關(guān)閉的設(shè)備熱負荷(W)局域網(wǎng)大屏幕顯示器691×2局域網(wǎng)電腦72×3無蓄電池供應(yīng)的照明2855MCR打印機158 5主控室區(qū)域輻射監(jiān)測儀/處理器192就地控制站109×2TVS視頻控制器520大屏幕顯示器691×14辦公設(shè)備1094廚房設(shè)備2457其它2663 4

針對該設(shè)計變更的具體實施內(nèi)容，VES觸發(fā)后，需要分兩個階段關(guān)閉部分非安全級的熱負荷，其中第一階段需關(guān)閉的設(shè)備包含15、16號局域網(wǎng)大屏幕顯示器、主控室區(qū)域輻射監(jiān)測儀/處理器、TVS視頻控制器、熱水器、對流加熱器(值長辦公室)、飲水機、冰箱和打印機等，均對安全功能無影響，對于第一階段需關(guān)閉的設(shè)備對人因工程影響的分析是可以接受的。同時，對于關(guān)閉無蓄電池供電的部分照明，通過試驗分析表明ELS關(guān)閉后主控室照度變化不大，因此關(guān)閉ELS是可以接受的。

但關(guān)閉第二階段的14塊大屏幕，操縱員獲取電廠信息的途徑可能減少，或者不能直觀快速的獲取信息，這在一定程度上可能會增加操縱員負荷，而且此時主控室內(nèi)的溫度可能也會上升，在事故工況下可能會引起人因失誤；而且關(guān)閉第二階段大屏幕后，進入主控室的其他人員無法迅速了解電廠的當前狀態(tài)，因此從控制室運行和人員負荷的角度第二階段不應(yīng)關(guān)閉所有大屏幕。而且控制主控制室溫升的首選方案應(yīng)是提高VES系統(tǒng)的能力和(或)減少主控制室內(nèi)設(shè)備的發(fā)熱量。鑒于AP1000依托項目VES系統(tǒng)的設(shè)計特性，提高VES系統(tǒng)的能力已不可行，但通過設(shè)備選型以降低主控制室內(nèi)設(shè)備(特別是大屏幕的發(fā)熱量)應(yīng)是實際可行的。

3 集成系統(tǒng)確認試驗

人因驗證和確認全面評價核電廠人因工程設(shè)計是否符合人因工程設(shè)計準則，并使電廠人員能夠成功完成他們的任務(wù)以達到安全和其他運行目的。HFE V&V活動由以下活動組成：運行條件取樣、人機接口任務(wù)支持驗證、HFE設(shè)計驗證、集成系統(tǒng)確認和人因工程偏差(HED)解決。集成系統(tǒng)確認采用基于效能的試驗來評價集成系統(tǒng)的設(shè)計(即，硬件、軟件和人員各要素)是否滿足效能要求，并能夠支持電廠的安全運行。如果不滿足效能準則則定為HED。集成系統(tǒng)確認試驗須由操縱員在高度逼真、接近全范圍的培訓模擬機上進行[13]。圖5是核電廠人因工程驗證與確認活動總貌。

圖5 核電廠先進控制室人因工程驗證與確認總貌Fig.5 Overview of verification andvalidation activites

基于對ISV相關(guān)標準(NUREG 0711、NUREG 6393等)分析，以下幾方面為ISV主要的評價要素與準則[6，7]：

3.1 驗證團隊

ISV試驗由專門的驗證團隊完成，從事驗證的人員應(yīng)參與設(shè)計。

3.2 試驗?zāi)繕?/h3>

詳細的試驗?zāi)繕藨?yīng)被確定，以證明集成系統(tǒng)為電廠人員提供了充分的支持，使其安全運行電廠。

3.3 試驗平臺

集成系統(tǒng)確認試驗的試驗平臺需具有以下特點：接口完整性，接口實體逼真度，接口功能逼真度，環(huán)境逼真度，數(shù)據(jù)完整性逼真度，數(shù)據(jù)內(nèi)容逼真度，數(shù)據(jù)動態(tài)逼真度。

3.4 電廠人員

參與ISV試驗的人員應(yīng)能夠代表實際電廠中與HSI直接交互的人員(例如，持證操縱員，而不是接受培訓人員或工程人員)；應(yīng)對參試人員進行取樣；選用人員時，應(yīng)考慮最小人員配備，正常人員配備和最大人員配備水平；應(yīng)避免選擇帶有偏好的測試人員。

3.5 效能測量

ISV使用一組有層次的效能測量指標，包括測量電廠性能、人員任務(wù)效能、情境意識、認知負荷，以及人體測量/生理因素[8-10]。同時，也有研究強調(diào)了對團隊協(xié)作測量的重要性[11]。同時還需要確定合適的測量指標，如時間、準確性、頻率、失誤(包括EOO 和 EOC)、所用的假設(shè)條件數(shù)量、參與人員的主觀意識、觀察人員的觀察結(jié)果等[12]。效能測量指標見表2。

表2 效能測量指標特性Table 2 Characteristics of performance measures

3.6 試驗設(shè)計

試驗設(shè)計包括以下幾個方面：情景分配，試驗程序，試驗人員培訓，被測試人員培訓和預試驗。

3.7 數(shù)據(jù)分析與HED識別

(1)使用定性和定量方法對試驗所收集的數(shù)據(jù)進行分析，該分析應(yīng)建立所觀察的效能數(shù)據(jù)與所建立的效能評價準則之間的清楚關(guān)系。

(2)使用不同方法進行測試，獲取的不同結(jié)果應(yīng)集中評估，而各自獲得的數(shù)據(jù)應(yīng)先進行獨立分析。

(3)通過數(shù)據(jù)分析發(fā)現(xiàn)設(shè)計中的不足之處。

(4)當所觀察的效能不滿足效能準則時，應(yīng)確定為HED。對于由“通過/不通過”測量指標確定的HED，應(yīng)在設(shè)計完成之前進行解決。

3.8 確認結(jié)論

確認報告中應(yīng)記錄ISV試驗的統(tǒng)計和邏輯依據(jù)，用于判斷集成系統(tǒng)的效能在目前和將來都是可接受的。確認報告文件中也記錄ISV試驗的局限性，以及這種局限性可能會對ISV試驗結(jié)論和設(shè)計的實施產(chǎn)生的影響。

全范圍模擬機平臺將在需要時可用于HFE V&V工作，模擬機包含了代表主控室的控制臺、盤、大屏幕、操縱員工作站以及最新可用的控制邏輯和操縱員畫面。集成系統(tǒng)確認試驗的人員從目標用戶里提取，選擇的人員應(yīng)最能代表實際的運行人員，最終操縱AP1000電廠[14]。

三門核電廠的人因工程集成系統(tǒng)確認試驗活動包括四項活動：

(1)第一項活動是在中國標準電廠模擬機上，由西屋公司運行教練員作為被試人員進行集成系統(tǒng)確認活動并完成了中國AP1000標準電廠集成系統(tǒng)確認報告(CPP-OCS-GER-003,Rev 0)。

這份報告明確了幾點限制：模擬機限制(模擬機沒有包括一些電廠系統(tǒng)，軟件不能滿足測試的先決條件)，致使23個情境只開展了16個，并存在情境失敗情況(5個)；規(guī)程限制(規(guī)程沒有被人機接口確認，不能連續(xù)使用等)；被試人員限制(只有兩組操縱員用于試驗，這些操縱員是美國或西班牙的培訓教員，沒有中國的AP1000操縱員參加)。另外還有測試方法限制等因素。這次試驗依據(jù)CPP-OCS-GEH-001(China AP1000 Human Factors Engineering Verification and Validation Plan)中，沒有集成系統(tǒng)確認試驗計劃。

(2)第二項活動是在AP1000標準電廠模擬機上，使用美國受訓的操縱員作為被試人員，重新進行了一遍早期中國標準電廠ISV中包含有1級HED的情境以及早期由于模擬機原因未能覆蓋的7個情境(CPP-0CS-GER-007)。這項活動使用的是美國操作員，不能代表未來中國的操縱員。

(3)第三項活動是中國操縱員模擬機培訓觀察。在中國AP1000人因工程驗證和確認結(jié)果報告(CPP-OCS-GER-004,Rev 0)中。此項活動也有局限性：培訓情境與ISV的情境有很大不同；觀察者不能直接收集操縱員的任何主觀的數(shù)據(jù)和個人意見，這使觀察者結(jié)論(滿足ISV目標)大打折扣。此外，中國操縱員使用英語交流，降低了通訊效率并影響班組效能。此外，此次觀察也沒有采集操縱員的相關(guān)績效數(shù)據(jù)。

(4)第四項活動是在AP1000標準電廠模擬機上實施AP1000標準電廠ISV，并解決早期中國項目ISV中遺留的開口項和HED。APP-OCS-GER-320(AP1000 Human Factors Engineering Integrated System Validation Report),對AP1000標準電廠的ISV活動進行了描述和總結(jié)，但整個報告并未提及早期中國項目ISV中遺留的開口項和HED。

三門核電廠ISV進行時模擬機的狀態(tài)與實際使用的狀態(tài)相差較遠。同時，并未采用中國操縱員參與試驗，而是使用美國和西班牙的教員，試驗人員也承認這是一個局限。且補充的模擬機培訓觀察，沒有采集操縱員的相關(guān)績效數(shù)據(jù)，執(zhí)行的任務(wù)也與ISV中的不相同，另外操縱員的熟練程度也不足。因此上述四項活動不能替代相關(guān)的確認試驗，應(yīng)重新開展確認試驗。

4 人因工程偏差項(HED)

驗證和確認(V&V)全面評價確定電廠的人因工程符合人因工程設(shè)計原則，并使電廠人員能夠成功執(zhí)行其任務(wù)，以確保電廠安全和運行目標。這些評價確定人因工程偏差項(HED)。人機接口任務(wù)支持驗證中， HED的定義是：(1)HSI不能完全支持人員任務(wù)要求，(2)存在不需要支持人員任務(wù)的HSI部件。HFE設(shè)計驗證是核實HSI的設(shè)計是否能夠適應(yīng)HFE導則(例如NUREG-0700中的導則)所反映的人的能力和局限性。如果設(shè)計與HFE導則不一致則定為HED。集成系統(tǒng)確認采用基于效能的試驗來評價集成系統(tǒng)的設(shè)計(即，硬件、軟件和人員各要素)是否滿足效能要求，并能夠支持電廠的安全運行。如果不滿足效能準則則定為HED。HED解決合理地保證了在V&V活動中確認的HED已經(jīng)得到了令人滿意的評估和解決。HED解決應(yīng)與V&V一起反復進行。

三門核電廠的人因工程偏差項報告總結(jié)了中國AP1000人因驗證和確認活動期間確定的HED的狀態(tài)。從設(shè)計驗證，任務(wù)支持驗證和ISV生成的所有HED都被正式記錄和跟蹤到解決。 “人因工程偏差項解決總結(jié)報告”總結(jié)了HED解決過程的結(jié)果，并包含以下信息：HEDs根據(jù)其對安全性和可操作性的潛在影響進行優(yōu)先排序;描述HED根據(jù)設(shè)計，程序或培訓計劃是可接受的理由關(guān)閉HED的理由;描述通過設(shè)計更改解決的HED決議，程序修改，人員配置建議或其他培訓要求;以及關(guān)閉HED所需的任何剩余活動的說明;在設(shè)計的基礎(chǔ)上關(guān)閉HED的理由【15】。但到目前為止，三門核電廠還有一些HED的狀態(tài)是開放的。

5 結(jié)論

中國的AP1000核電廠作為世界首臺AP1000機組，沒有豐富的建設(shè)經(jīng)驗和運行經(jīng)驗，控制室設(shè)計和人因工程能獲取的經(jīng)驗反饋也不多，因此控制室的環(huán)境設(shè)計，驗證和確認方面可能會存在一些問題，所以進行充足的驗證和確認非常必要，在后續(xù)的電廠優(yōu)化和新電廠設(shè)計中考慮這些問題，提升電廠的安全水平。

[1] 張淑慧，任永忠．AP1000核電廠儀控系統(tǒng)介紹〔J〕．自動化儀表，2010,31(10)：48-51+56．

[2] U.S. NRC. NUREG-0711, Human Factors Engineering Program Review Model. Rev. 3[S].Washington, DC: U.S. NRC ,2012.

[3] U.S. NRC. NUREG-0700, Human-System Interface Review Guidelines. Rev. 2[S].Washington, DC：U.S. NRC，2002.

[4] International Electrotechnical Commission.IEC60964, Nuclear power plant-Control rooms-Design，Rev. 2[S].Geneva:International Electrotechnical Commission ，2009.

[5] International Organization for Standardization.ISO116064-2, Ergonomic design of control centres-Part 2: Principles for the arrangement of control suites. Rev. 1[S].Geneva : International Organization for Standardization,2000.

[6]U.S. NRC. NUREG/CR-6393, Integrated System Validation: Methodology and Review Criteria[S].Washington, DC: U.S. NRC,1995.

[7]全國核儀器儀表標準化技術(shù)委員會.EJ/T 1118-2000核電廠控制室設(shè)計驗證和確認[S]北京：核工業(yè)標準化研究所，2000．

[8]HA Junsu，Seong，Poong Hyun，et al. Development of human performance measures for human factors validation in the advanced MCR of APR-1400[J].IEEE Transactions on Nuclear Science，2007，54(6)：2687-2700.

[9] 方舟．核電廠人因工程集成系統(tǒng)確認[J]．中國核電，2013，6(2)：111-114．

[10] Gawron V J. Human performance, workload, and situational awareness measures handbook，Second edition[M].Boca Raton: CRC press，2008.

[11] Tran T Q，Boring R L， Dudenhoeffer D D，et al. Advantages and Disadvantages of physiological assessment for next generation control room design.[C].Oak Ridge: Office of Scientific and Technical Information,2007.

[12] Michael T. Brannick，Eduardo Salas，Carolyn W. Prince.Team performance assessment and measurement: theory, methods, and applications[M].Abingdon: Taylor and Francis,1997.

[13] 張建波，孫永濱，劉燕子．核電廠先進控制室人因工程V&V方法體系探討[J].儀器儀表用戶，2013，20(5):23-27．

[14]馮燕，李亮，范瑾，等．核電廠先進控制室人因工程集成系統(tǒng)確認的探討[J]．自動化儀表，2015，36(7):37-39．

[15] Westinghouse Electric Company LLC.CPP-OCS-GER-420. China AP1000 Human Engineering Discrepancy Resolution Summary Report[R].Cranberry Township:Westinghouse Electric Company LLC，2014.