中国AP1000的人因工程安全审评的几个问题

2017-03-08 06:00刘景宾张云波
核安全 2017年4期
关键词:主控室模拟机人因

冯 燕,路 燕,刘景宾,张云波

(环境保护部核与辐射安全中心,北京 100082)

AP1000核电站具有独特设计特征,每个反应堆有两回路。电厂设计目标是60年,寿期内不更换压力容器,采用数字仪表控制系统和先进的主控室设计。主控室能够在正常和预期的瞬态和设计基准事故期间控制电厂[1]。它包括能够监测和控制电厂安全系统以及非安全相关控制系统的指示和控制。远程停堆站包含指示和控制器,允许操作员在主控制不可用时,在事件发生后实现并维护电厂的安全停堆。主控室和远程停站均按照人因的工程原理和实践设计。由于在现代人机接口中采用的数字计算机和图形显示技术发生了快速变化,AP1000的设计认证侧重于用于设计和实现人机界面的过程。人因工程在AP1000设计中的应用包括人因工程项目管理,运行经验评审,功能需求分析与分配,任务分析,人员配置,人员可靠性分析与人因工程集,人机接口设计,规程开发,培训大纲开发,人因验证与确认,设计实现,人员效能监测等12个要素[2]。

人因工程包括资源和环境的设计和实施,帮助人们更可靠地执行任务。 数字计算机和彩色图形显示技术的快速变化为AP1000设计团队提供了改善操作员实时决策支持的机会。 AP1000的全厂网络可为电厂人员提供预处理数据。 工厂工作人员和工厂设备之间的实时过程控制接口是仪表和控制(I&C)设备,在集成的人机界面中驱动图形显示设备。 认知系统工程应用于人机界面的设计。电厂人员和设备之间的实时过程控制接口是图形显示设备驱动的仪控设备,并集成于人机接口。认知系统工程也应用于人机接口设计。在中国AP1000机组人因工程和控制室设计的审评过程中,以下几个问题得到了重点关注。

1 主控室的背景噪声

背景噪声是指在发生,检查,测量和记录系统中与有用信号无关的任何干扰。 环境噪声是指工业生产,建设,运输和社会生活中产生的噪音。 在核电厂的设计控制室工作环境中,背景噪声是指设备在主控室工作的噪音。

关于主控室背景噪声有一系列标准。

NUREG0700 (人机接口设计审评导则)要求控制室的声学设计应确保操纵员之间的语言通讯不能受损,听觉信号易于检测,并且最小化听觉分散,刺激和疲劳。主控室的背景噪声不能损害主控区域内任意两点之间的语言通讯。

图1 背景噪声和距离之间的声级函数 Fig.1 Voice level as a function of distance and ambient noise leve

NUREG0700也考虑了正常或轻微提高声音的语言通讯。图1说明具体距离时不同背景噪声水平下的语言交流方式(正常,大声……)[3]。

NUREG0700指出若在背景噪声65dB的环境下,距离2.4米以上的操纵员就必须大声说话。因此若控制室内的工作站,显示盘或控制接口距离较远,就必须降低背景噪声限值。

IEC 60964-2009要求听觉环境的设计应确保运营团队容易沟通,环境噪声的干扰最小,并可靠地获知声音信息,报警和应急信号等[4]。IEC 60964-2009指出主控室正常运行时的环境技术要求参见ISO11064-6控制中心的环境设计, Part 6: 控制中心的环境要求)。ISO 11064-6要求环境噪声不超过45 dB LAeq,T,控制室的本底噪声在30 dB to 35 dB LAeq,T。等效连续A声级(LAeq,T)是指在规定的时间内,某一连续稳态声的A[计权]声压,具有与时变得噪声相同的均方A[计权]声压,则这一连续稳态声的声级,就是此时噪声的等效声级。噪声等效声级(分贝)数值越小越好。计算公式如下[5]:

EUR 2.10也明确了主控室的环境设计。包括主控室和技术支持中心的每个控制点的环境噪声不超过50 dB,所有区域的正常或应急通风系统应满足这一要求。

三门核电厂设计中,主控室的背景噪声不超过50dBA, 噪声峰值不超过65dBA .在电厂启动阶段的人因工程验证活动中,主控室噪声的实际测量值远高于50dBA。

主控室的噪声水平比验收标准值高,这对操纵员通讯和效能产生负面影响。较高的噪声水平会干扰语言通讯,操纵员极有可能不能正确的倾听语言通讯和指令,引起操纵员失误。除此之外,较高的背景噪声水平影响操纵员探测听觉信号,比如报警。听觉干扰,刺激和疲劳也是潜在的后果。为了降低噪声,必须采取一系列降噪措施。

2 对于三门核电厂DCP4733的考虑(主控室温升问题)

事故工况下主控室应急可居留系统(VES)投运后72h之内,综合考虑主控室人员可居留性和设备鉴定的要求,主控室温升的验收准则是不超过有效温度85℉(29.5℃)的执照申请限值,该值对应的空气参数为干球温度95℉(35℃)且相对湿度50%。根据DCP4733报告的描述,结合主控室(MCR)内部设备的发热强度,VES系统现有的设计不能实现控制温升的要求。图2和图3是现有VES设计下的主控室温度。VES系统若要维持主控室压力边界(MCRE)内设备鉴定和人员活动的要求,必须对现有设计作执照申请相关的变更,具体做法是在启动VES后关闭MCR内非安全相关的电仪设备热负荷,包括:局域网大屏幕显示器、无蓄电池供应的照明、主控室区域辐射监测仪/处理器、TVS视频控制器、办公设备、厨房设备等热负荷。表1是关闭主控室设备清单,图4是设计变更后主控室温升示意图。变更实施后,设计基准事故(DBA)下启动VES系统,MCR空气温度将不超过执照申请的相关要求。同时可以手动将上述非安全相关的MCR电仪设备重新投运。

图2 无切断方案下主控室温度Fig.2 No load shedding with AC power

图3 蓄电池耗尽工况下主控制室温度Fig.3 No load shedding with battery exhaustion

图4 切断方案下主控室温度Fig.4 Temperature with the load shedding

阶段一关闭的设备热负荷(W)阶段二关闭的设备热负荷(W)局域网大屏幕显示器691×2局域网电脑72×3无蓄电池供应的照明2855MCR打印机158 5主控室区域辐射监测仪/处理器192就地控制站109×2TVS视频控制器520大屏幕显示器691×14办公设备1094厨房设备2457其它2663 4

针对该设计变更的具体实施内容,VES触发后,需要分两个阶段关闭部分非安全级的热负荷,其中第一阶段需关闭的设备包含15、16号局域网大屏幕显示器、主控室区域辐射监测仪/处理器、TVS视频控制器、热水器、对流加热器(值长办公室)、饮水机、冰箱和打印机等,均对安全功能无影响,对于第一阶段需关闭的设备对人因工程影响的分析是可以接受的。同时,对于关闭无蓄电池供电的部分照明,通过试验分析表明ELS关闭后主控室照度变化不大,因此关闭ELS是可以接受的。

但关闭第二阶段的14块大屏幕,操纵员获取电厂信息的途径可能减少,或者不能直观快速的获取信息,这在一定程度上可能会增加操纵员负荷,而且此时主控室内的温度可能也会上升,在事故工况下可能会引起人因失误;而且关闭第二阶段大屏幕后,进入主控室的其他人员无法迅速了解电厂的当前状态,因此从控制室运行和人员负荷的角度第二阶段不应关闭所有大屏幕。而且控制主控制室温升的首选方案应是提高VES系统的能力和(或)减少主控制室内设备的发热量。鉴于AP1000依托项目VES系统的设计特性,提高VES系统的能力已不可行,但通过设备选型以降低主控制室内设备(特别是大屏幕的发热量)应是实际可行的。

3 集成系统确认试验

人因验证和确认全面评价核电厂人因工程设计是否符合人因工程设计准则,并使电厂人员能够成功完成他们的任务以达到安全和其他运行目的。HFE V&V活动由以下活动组成:运行条件取样、人机接口任务支持验证、HFE设计验证、集成系统确认和人因工程偏差(HED)解决。集成系统确认采用基于效能的试验来评价集成系统的设计(即,硬件、软件和人员各要素)是否满足效能要求,并能够支持电厂的安全运行。如果不满足效能准则则定为HED。集成系统确认试验须由操纵员在高度逼真、接近全范围的培训模拟机上进行[13]。图5是核电厂人因工程验证与确认活动总貌。

图5 核电厂先进控制室人因工程验证与确认总貌Fig.5 Overview of verification andvalidation activites

基于对ISV相关标准(NUREG 0711、NUREG 6393等)分析,以下几方面为ISV主要的评价要素与准则[6,7]:

3.1 验证团队

ISV试验由专门的验证团队完成,从事验证的人员应参与设计。

3.2 试验目标

详细的试验目标应被确定,以证明集成系统为电厂人员提供了充分的支持,使其安全运行电厂。

3.3 试验平台

集成系统确认试验的试验平台需具有以下特点:接口完整性,接口实体逼真度,接口功能逼真度,环境逼真度,数据完整性逼真度,数据内容逼真度,数据动态逼真度。

3.4 电厂人员

参与ISV试验的人员应能够代表实际电厂中与HSI直接交互的人员(例如,持证操纵员,而不是接受培训人员或工程人员);应对参试人员进行取样;选用人员时,应考虑最小人员配备,正常人员配备和最大人员配备水平;应避免选择带有偏好的测试人员。

3.5 效能测量

ISV使用一组有层次的效能测量指标,包括测量电厂性能、人员任务效能、情境意识、认知负荷,以及人体测量/生理因素[8-10]。同时,也有研究强调了对团队协作测量的重要性[11]。同时还需要确定合适的测量指标,如时间、准确性、频率、失误(包括EOO 和 EOC)、所用的假设条件数量、参与人员的主观意识、观察人员的观察结果等[12]。效能测量指标见表2。

表2 效能测量指标特性Table 2 Characteristics of performance measures

3.6 试验设计

试验设计包括以下几个方面:情景分配,试验程序,试验人员培训,被测试人员培训和预试验。

3.7 数据分析与HED识别

(1)使用定性和定量方法对试验所收集的数据进行分析,该分析应建立所观察的效能数据与所建立的效能评价准则之间的清楚关系。

(2)使用不同方法进行测试,获取的不同结果应集中评估,而各自获得的数据应先进行独立分析。

(3)通过数据分析发现设计中的不足之处。

(4)当所观察的效能不满足效能准则时,应确定为HED。对于由“通过/不通过”测量指标确定的HED,应在设计完成之前进行解决。

3.8 确认结论

确认报告中应记录ISV试验的统计和逻辑依据,用于判断集成系统的效能在目前和将来都是可接受的。确认报告文件中也记录ISV试验的局限性,以及这种局限性可能会对ISV试验结论和设计的实施产生的影响。

全范围模拟机平台将在需要时可用于HFE V&V工作,模拟机包含了代表主控室的控制台、盘、大屏幕、操纵员工作站以及最新可用的控制逻辑和操纵员画面。集成系统确认试验的人员从目标用户里提取,选择的人员应最能代表实际的运行人员,最终操纵AP1000电厂[14]。

三门核电厂的人因工程集成系统确认试验活动包括四项活动:

(1)第一项活动是在中国标准电厂模拟机上,由西屋公司运行教练员作为被试人员进行集成系统确认活动并完成了中国AP1000标准电厂集成系统确认报告(CPP-OCS-GER-003,Rev 0)。

这份报告明确了几点限制:模拟机限制(模拟机没有包括一些电厂系统,软件不能满足测试的先决条件),致使23个情境只开展了16个,并存在情境失败情况(5个);规程限制(规程没有被人机接口确认,不能连续使用等);被试人员限制(只有两组操纵员用于试验,这些操纵员是美国或西班牙的培训教员,没有中国的AP1000操纵员参加)。另外还有测试方法限制等因素。这次试验依据CPP-OCS-GEH-001(China AP1000 Human Factors Engineering Verification and Validation Plan)中,没有集成系统确认试验计划。

(2)第二项活动是在AP1000标准电厂模拟机上,使用美国受训的操纵员作为被试人员,重新进行了一遍早期中国标准电厂ISV中包含有1级HED的情境以及早期由于模拟机原因未能覆盖的7个情境(CPP-0CS-GER-007)。这项活动使用的是美国操作员,不能代表未来中国的操纵员。

(3)第三项活动是中国操纵员模拟机培训观察。在中国AP1000人因工程验证和确认结果报告(CPP-OCS-GER-004,Rev 0)中。此项活动也有局限性:培训情境与ISV的情境有很大不同;观察者不能直接收集操纵员的任何主观的数据和个人意见,这使观察者结论(满足ISV目标)大打折扣。此外,中国操纵员使用英语交流,降低了通讯效率并影响班组效能。此外,此次观察也没有采集操纵员的相关绩效数据。

(4)第四项活动是在AP1000标准电厂模拟机上实施AP1000标准电厂ISV,并解决早期中国项目ISV中遗留的开口项和HED。APP-OCS-GER-320(AP1000 Human Factors Engineering Integrated System Validation Report),对AP1000标准电厂的ISV活动进行了描述和总结,但整个报告并未提及早期中国项目ISV中遗留的开口项和HED。

三门核电厂ISV进行时模拟机的状态与实际使用的状态相差较远。同时,并未采用中国操纵员参与试验,而是使用美国和西班牙的教员,试验人员也承认这是一个局限。且补充的模拟机培训观察,没有采集操纵员的相关绩效数据,执行的任务也与ISV中的不相同,另外操纵员的熟练程度也不足。因此上述四项活动不能替代相关的确认试验,应重新开展确认试验。

4 人因工程偏差项(HED)

验证和确认(V&V)全面评价确定电厂的人因工程符合人因工程设计原则,并使电厂人员能够成功执行其任务,以确保电厂安全和运行目标。这些评价确定人因工程偏差项(HED)。人机接口任务支持验证中, HED的定义是:(1)HSI不能完全支持人员任务要求,(2)存在不需要支持人员任务的HSI部件。HFE设计验证是核实HSI的设计是否能够适应HFE导则(例如NUREG-0700中的导则)所反映的人的能力和局限性。如果设计与HFE导则不一致则定为HED。集成系统确认采用基于效能的试验来评价集成系统的设计(即,硬件、软件和人员各要素)是否满足效能要求,并能够支持电厂的安全运行。如果不满足效能准则则定为HED。HED解决合理地保证了在V&V活动中确认的HED已经得到了令人满意的评估和解决。HED解决应与V&V一起反复进行。

三门核电厂的人因工程偏差项报告总结了中国AP1000人因验证和确认活动期间确定的HED的状态。从设计验证,任务支持验证和ISV生成的所有HED都被正式记录和跟踪到解决。 “人因工程偏差项解决总结报告”总结了HED解决过程的结果,并包含以下信息:HEDs根据其对安全性和可操作性的潜在影响进行优先排序;描述HED根据设计,程序或培训计划是可接受的理由关闭HED的理由;描述通过设计更改解决的HED决议,程序修改,人员配置建议或其他培训要求;以及关闭HED所需的任何剩余活动的说明;在设计的基础上关闭HED的理由【15】。但到目前为止,三门核电厂还有一些HED的状态是开放的。

5 结论

中国的AP1000核电厂作为世界首台AP1000机组,没有丰富的建设经验和运行经验,控制室设计和人因工程能获取的经验反馈也不多,因此控制室的环境设计,验证和确认方面可能会存在一些问题,所以进行充足的验证和确认非常必要,在后续的电厂优化和新电厂设计中考虑这些问题,提升电厂的安全水平。

[1] 张淑慧,任永忠.AP1000核电厂仪控系统介绍〔J〕.自动化仪表,2010,31(10):48-51+56.

[2] U.S. NRC. NUREG-0711, Human Factors Engineering Program Review Model. Rev. 3[S].Washington, DC: U.S. NRC ,2012.

[3] U.S. NRC. NUREG-0700, Human-System Interface Review Guidelines. Rev. 2[S].Washington, DC:U.S. NRC,2002.

[4] International Electrotechnical Commission.IEC60964, Nuclear power plant-Control rooms-Design,Rev. 2[S].Geneva:International Electrotechnical Commission ,2009.

[5] International Organization for Standardization.ISO116064-2, Ergonomic design of control centres-Part 2: Principles for the arrangement of control suites. Rev. 1[S].Geneva : International Organization for Standardization,2000.

[6]U.S. NRC. NUREG/CR-6393, Integrated System Validation: Methodology and Review Criteria[S].Washington, DC: U.S. NRC,1995.

[7]全国核仪器仪表标准化技术委员会.EJ/T 1118-2000核电厂控制室设计验证和确认[S]北京:核工业标准化研究所,2000.

[8]HA Junsu,Seong,Poong Hyun,et al. Development of human performance measures for human factors validation in the advanced MCR of APR-1400[J].IEEE Transactions on Nuclear Science,2007,54(6):2687-2700.

[9] 方舟.核电厂人因工程集成系统确认[J].中国核电,2013,6(2):111-114.

[10] Gawron V J. Human performance, workload, and situational awareness measures handbook,Second edition[M].Boca Raton: CRC press,2008.

[11] Tran T Q,Boring R L, Dudenhoeffer D D,et al. Advantages and Disadvantages of physiological assessment for next generation control room design.[C].Oak Ridge: Office of Scientific and Technical Information,2007.

[12] Michael T. Brannick,Eduardo Salas,Carolyn W. Prince.Team performance assessment and measurement: theory, methods, and applications[M].Abingdon: Taylor and Francis,1997.

[13] 张建波,孙永滨,刘燕子.核电厂先进控制室人因工程V&V方法体系探讨[J].仪器仪表用户,2013,20(5):23-27.

[14]冯燕,李亮,范瑾,等.核电厂先进控制室人因工程集成系统确认的探讨[J].自动化仪表,2015,36(7):37-39.

[15] Westinghouse Electric Company LLC.CPP-OCS-GER-420. China AP1000 Human Engineering Discrepancy Resolution Summary Report[R].Cranberry Township:Westinghouse Electric Company LLC,2014.

猜你喜欢
主控室模拟机人因
基于“BOPPS+对分”的人因工程课堂教学改革与实践
飞行模拟机远程诊断系统
某核电站主控室空调系统设计改进及应用
核电主控室热舒适性分析
智珠
一例涡桨飞机飞行事故中的人因分析与研究
厦航第五台模拟机正式交付
压水堆核电厂主控室不可用时的机组运行策略研究
应用道路模拟机进行整车强化坏路试验研究
核电厂主控室可居留性评价相关研究问题综述