小型模块堆的人因工程审评
——以高温气冷堆示范工程为例

董晓璐，刘景宾，孔 静

（生态环境部核与辐射安全中心，北京 100082）

美国三哩岛核事故之后，核电业界认识到人因工程在电厂设计中的重要性，特别是必须在核安全审评中对人因工程的要求予以关注［1］。随着人因工程理念在核电厂设计、建造和运行中的深入发展，逐渐形成了以人为中心、多阶段和全过程的设计思想［2-5］。核电厂的人因工程审评，涵盖了从计划、分析、设计、验证、确认到实施和运行的全过程，涉及到人与机器（硬件、软件）、环境和运行管理间的交互［2，3，6］。在NUREG-0711“Human Factors Engineering Program Review Model”中，将审查分解成人因工程管理、运行经验评审、功能分析与分配、任务分析、人员配备与资质、重要人员动作处理、人机接口设计、规程开发、培训大纲开发、人因验证与确认、设计实现和人员效能监视等12 个要素，并分别针对每个要素提出了相关的要求［5］。

在以往的核安全审评中，主要审评对象为大型压水堆核电厂，相关的信息与经验也来自于这些电厂的设计、建设、运行和维护。从人因工程的角度看，虽然对任何核电厂的设计审查都需要经过相似的步骤，并关注相似的人因工程要素，但如果电厂本身在采用技术和运行方式上发生较大的变化，会使在运行经验评审、功能分析与分配、任务分析、人员配备与资质、重要人员动作处理、人机接口设计、规程开发、培训大纲开发、人因验证与确认等诸多方面的审查内容发生重大变化。

小型模块堆是目前核电的一个重要发展方向。由于设计目标和技术的变化，小型模块堆在系统、功能和运行等多方面都与传统大型压水堆核电厂存在较大差异。因此，有必要探讨小型模块堆自身的设计情况和运行特点，了解这些变化对计划、分析、设计、验证、确认、实施和运行等阶段的具体影响，有助于人因工程的核安全审评。

高温气冷堆示范工程是我国目前在建的重要小型模块堆。本文将以高温气冷堆为例，对其设计和审评关注点进行介绍，以展示小型模块堆对人因工程审评的影响；再根据小型模块堆的设计和运行特点，总结人因工程核安全审评在计划、分析和设计阶段需要关注的重要问题。

1 小型模块堆的发展状况

优化新一代小型和中型核反应堆，旨在更灵活、经济地提供能源，电功率通常小于700 MWe，很多设计的功率小于300 MWe［7］。小型堆单堆热功率小，停堆后的剩余衰变热少，有利于提高固有安全，并可通过非能动安全设施的应用，进一步提高反应堆的安全性［2］。小型堆模块可使系统简化，实现模块化的设计、制造和安装，能缩短建设时间，并简化运行与维修［1］。多模块布置的小型堆可通过多模块组合，形成不同容量规模的核电厂或核供热厂［7，8］。除发电外，小型模块堆还可应用于蒸汽供应、区域供热、海水淡化和氢气生产等多方面，除了用于内陆地区，也可为海岛、海上油气钻井平台供电、供汽或供热。

小型反应堆的潜在风险小、用户多元化，既可用于具有大型电网的工业化国家，又可用于电网不发达的发展中国家［8］。在全球范围内，中国、阿根廷、南非、日本、法国、俄罗斯及美国等国家的多家公司积极参与小型模块堆的研发。根据IAEA于2014年发布的报告，全世界有超过45 个正在进行开发的中小型堆，包括中国的一体化压水堆ACP-100 和球床模块式高温气冷堆HTR-PM［7-11］。其中有4个反应堆已开始建设，包括阿根廷的工业原型堆CAREM-25，俄罗斯安装在驳船上的浮动堆KLT-40S 和破冰船RITM-200，还有中国的高温气冷堆工业示范电厂HTR-PM［7］。除水冷堆和高温气冷堆外，还有采用快堆技术的新型堆，如钠冷快堆、液态重金属堆、气冷快堆和熔盐快堆，其中包括中国钠冷池式快堆CFR-600 和铅基研究堆CLEAR-I［12］。表1 列出了我国主要中小型堆的设计情况［7-12］。

表1 我国主要的先进中小型堆Table 1 Major advanced small and medium sized reactors in China

2 高温气冷堆示范工程的例子

球床模块式高温气冷堆（HTR-PM）由清华大学核研院设计，目前正进行示范工程的建设。该堆的设计具有固有的安全特性，有较低的功率密度、较大的负温度系数、较大的温度裕度和较低的剩余反应性。在设计基准事故下，衰变热可以通过热传导和热辐射，由非能动的方式从堆芯带出。设计限制了事故下的温度，基本消除了堆芯熔化和放射性大规模释放的可能性［7，13］。

高温气冷堆示范工程（以下简称示范工程）以发电为目标，由2座反应堆和相应的蒸汽发生器构成的核蒸汽供应系统模块共同向1台汽轮发电机组提供高参数的过热蒸汽，发电功率为200 MWe，如图1所示［7］。反应堆采用控制棒和吸收球两套系统来控制反应性，可进行在线换料［7］。HTR-PM 的一回路包括压力容器、蒸汽发生器和热气导管，主氦风机安装在蒸汽发生器的顶端，位于蒸汽发生器压力壳内，如图2所示［7］。2 座反应堆布置在同一反应堆厂房内。整个电厂由反应堆、一回路系统、专设安全设施、仪表与控制系统、电力系统、辅助系统、蒸汽电力转换系统、放射性废物处理系统和辐射防护系统等组成，核岛与常规岛的厂房布置如图3所示［7］。

HTR-PM 在设计上可以通过增加模块来提高电站功率。目前，清华大学核研院正在研究有多个标准反应堆模块（如2个、6个或9个）和单个汽轮机（200 MWe、600 MWe或1000 MWe）的方案。对于除发电外其他的目标，如过程热的应用和氢气生产，还需要进一步研究［7］。

图1 HTR-PM两堆带一机发电的流程图Fig.1 HTR-PM twin-reactor power conversion flow diagram

图2 HTR-PM的反应堆配置Fig.2 Reactor configuration of HTR-PM

在示范工程的主控制室内，布置有2个反应堆的控制台和位于中间的常规岛控制台，值班长台布置在控制台后方。控制室正前方设置了展示系统状态和流程的模拟盘，摆放顺序与控制台一致；乏燃料通风切换台、应急电力系统监控盘和火灾报警盘分别放置在控制室两侧，如图4～图6所示［14，15］。

图4 高温气冷堆示范工程主控制室布置Fig.4 Main control room layout of the HTR-PM demonstration project

图5 高温气冷堆示范工程主控制台示意图Fig.5 Main control stations of the HTR-PM demonstration project

图6 高温气冷堆示范工程模拟盘示意图Fig.6 Mimic panels of the HTR-PM demonstration project

2.1 高温气冷堆与水堆

示范工程在设计上与传统压水堆存在差异，如采用燃料球，可在线装卸料；使用氦气作为冷却剂，配备有氦风机和氦净化系统；采用两堆带一机的运行方案，在启停、瞬态和事故处理时2个反应堆间可能产生互相影响等。上述差异产生了新的任务要求，如启停堆时需要考虑2 个堆的情况；事故演变的风险不同于水堆，需要关注2个堆的状态；增加了燃料装卸系统和氦净化系统的操作任务等。相应地，根据确定论和概率论分析得到的重要人员动作也会有所差别［16］。

2.2 “两堆带一机”的控制室设计和现场布置

由于系统和任务的差异，示范工程安全重要的过程和参数与传统压水堆核电厂不同。2个堆的监控设施布置在同一控制室中，也容易发生干扰或混淆。示范工程的人机接口既有数字化的屏幕、鼠标和键盘，也有大量传统的监视和控制器，如安全工作站、棒控操作、报警光字牌、状态光字牌和模拟盘等，在操控时需要同时使用。在过程控制上，示范工程采用了很多自动化处理，包括功率调节和在线装卸料等功能。针对示范工程特殊的人机接口设计，应当关注功能分配和任务设置的合理性，以及操纵员对系统状态的监视情况和情境意识水平。界面设计应能清晰显示两堆的状态，避免两堆间的混淆，支持共用系统监控，并能为不同角色的人员提供任务上的帮助。

在传统的双机组核电厂中，现场常发生走错隔间或操作错误设备的事件。而示范工程中两个堆的许多就地设施布置在同一厂房或房间内，应关注现场标识的设置，以避免混淆。

2.3 运行团队的协作要求

示范工程中2个反应堆的监控位于同一控制室。正常运行时，主控制室内的3名操纵员分别负责1 号堆、2 号堆和常规岛的监控，1 名副值长负责协调监督。在发生异常或事故时，可由技术支持中心给予支持。值长在事故条件下，负责领导全值操纵员按规程指引将机组导入安全稳定状态。

相比传统压水堆，示范工程平均每堆的负责人员数量减少。操纵员的任务分配、班组的协调配合以及交接班的内容方式都有很大差异。对于示范工程，2名反应堆操纵员间可能存在干扰，从而影响对所负责的机组状态的判断；操纵员对于两堆共用系统的监控可能变得薄弱；二回路操纵员要关注来自2 个堆的需求，工作负荷可能增加；副值长和值长须了解2个堆各自的状态，但若发生混淆或产生“锁孔”效应，则会影响决策。尽管在正常工况下，2名反应堆操纵员的工作相对独立，但在发生对两堆均有影响的瞬态、异常或事故时（如失电和二回路事故），或两堆共用系统异常时，则需要更好的团队配合。另外，当两堆同时发生瞬态、异常或事故时，协作上的难度也会增加。

2.4 “两堆带一机”的故障处理和规程编制

示范工程的运行规程主要包括总体运行规程、系统运行规程、报警响应规程、故障处理规程、事故处理规程和定期试验规程几类。规程的编写考虑双堆运行的需求和各类工况，包括了1号堆、2号堆、共用系统和协调控制等几个方面的内容。在故障处理时，两堆单独使用的规程互不影响；但在核岛侧公共系统故障处理规程中，分别阐述了对2个堆检查与处理的要求。在共用系统故障时，除解决系统本身的故障，也需对可能受影响的2个反应堆进行检查。

3 与小型模块堆相关的人因工程问题

从高温气冷堆示范工程的例子可以看到，小型模块堆在电厂设计目标、自动化水平、班组协作、人员配备、运行和维修等方面，都与传统的大型商业核电厂存在差别。由不同的设计特点和运行特征所带来的差异和影响可分为以下几类［17］：

（1） 新技术带来的功能和任务。例如，新目标带来新任务和附加的负荷；对于采用非轻水堆技术的电厂，有不同的管理要求；更多采用负荷跟踪的运行方式，由此需要更多的监控活动；新的换料方法；新技术带来的新的危害；模块化的建造和系统模块的维护等。对于采用多堆运行且可改变规模的设计，可能在其他堆运行时增加或减少反应堆模块。除了产生新的任务，也会对正在运行的反应堆产生影响。

（2）多机组运行、团队协作和人员配备。各个机组可能处于不同工况，如不同功率水平、停堆、启堆、换料、瞬态、事故以及不同的试验或维修状态。同时，机组间的设计也常常存在差异。如果操纵员把注意力放在某个特定机组上，可能会忽视（Neglect）其他机组，或不能注意到其他机组的重要变化，即变化盲视（Change blindness）。若需要单个班组或操纵员同时监控多个机组，保持情境意识会更困难［18，19］。与此同时，模块间的共用设备和机组间的相互影响也可能增加操纵员的工作负荷。

对于小型模块堆，在启堆或事故等高工作负荷的情境下，可能需要增加人员。设计时需考虑操纵员的角色分配，以及角色分配对团队协作的影响，使设计能更好地支持人员绩效和系统安全。在交接班时，由于可能涉及多个机组，情况也更为复杂。

（3）设置自动化水平。设置自动化水平需确定功能在系统和人员间的分配。在管理多机组的小型模块堆时，人员需要自动化的辅助。自动化水平的变化，会对操纵员的任务、认知和协作模型产生深层影响。

在人与高自动化水平的系统进行交互时，会出现新的情况，如分配给人的角色不支持人员绩效；操纵员对自动化过程不理解；人的工作负荷低、丧失警惕和自满松懈；操纵员因在环路外而不熟悉，情境意识降低；在自动化失效时，人的工作突增，可能存在工作负荷转换的困难；人员的技能丧失；产生新的人员失误类型，如“模式错误”；而当系统自动化的可靠性降低时，操纵员对自动化的信任降低，人员绩效也会下降［20］。设计时需设置合适的自动化水平，以便操纵员管理变化的工作负荷，保持对多机组的情境意识。为了避免过度自动化带来的负面影响，可使用不同水平的、更加“交互式”的自动化方式；也可使用“适应性”的自动化，即自动化水平根据人员的需要和电厂的状态而动态变化［19，21］。

（4）多机组监控的人机界面设计。需考虑的情况包括：不同机组状态不同、机组间存在设计差异、对共用部分的监控、在其他机组运行期间加入新机组、多机组的异常工况和事故条件下机组间的影响等。

综上，小型模块堆与传统压水堆核电厂存在较多差异。新技术的应用使得小型模块堆在系统特性、事故演化和过程控制等方面都有所不同，加上多堆运行和自动化水平的提高，这些差异可影响任务、人员、界面、规程和培训等各方面。在计划、分析和设计阶段，与小型模块堆相关的人因工程问题包括以下方面。

3.1 运行经验评审

小型模块堆的设计虽然没有直接的参考电厂和运行经验，但相关领域的应用实践和研究结果都可以提供参考。在核电厂已有经验的基础上，可调研并参考业界的相似应用，比如，火电厂、化工厂甚至无人机控制［13］。相关调研使设计人员可以更全面地考虑各个影响因素、吸收优秀经验和规避错误设计。

3.2 功能分析分配和任务分析

由于小型模块堆可能采用新的技术和系统设计，其功能分析分配的结果与传统电厂有较大差异，相应的人员任务和重要人员动作也不相同。此外，还需关注以下2个方面。

3.2.1 反应堆的设计目标

目前，我国设计的小型反应堆主要以发电为目的，但在计划中，也提到了供热或氢气生产等用途。如果实施，需要考虑不同目标对于系统和任务的影响。

3.2.2 自动化水平的设置

由于新任务和多堆运行，小型模块堆需要通过提高系统的自动化水平来减轻人员负荷，提高系统的整体效率和安全水平。由于过高的自动化可能让人失去警觉，且自动化的失效不仅会直接影响系统绩效，也会影响人员对自动化的信任和人的工作模式。因此，设置合适的自动化水平是一个重要且复杂的问题。

3.3 团队协作、人员配备和职责分配

由于功能和任务的变化，以及控制室布置和设施的差异，使得小型模块堆操纵员的配备和职责与传统核电厂相比有所不同。多堆运行条件下，控制室中平均每个堆的人员配备会少于传统核电厂。人员配备和职责的变化，会影响正常和事故条件下，班组执行任务的方式和方法。设计需要研究和验证新的团队协作方式对任务执行的支持，还应考虑对于共用设施监控任务的职责分配。

3.4 人机接口设计

人机接口设计应当结合功能、任务、自动化水平和人员配备等方面的要求，清晰、准确地为操纵员提供所需的信息，提供方便可靠的操作方式，并为人员的任务和决策提供恰当的支持。人机接口支持的任务包括正常运行、异常工况和事故管理以及维修和变更的管理。

在多堆运行的情况下，需要关注相关的信息呈现。多个机组可能处于不同的运行状态，其设计也可能存在差异，导致产生混淆的情况。而当操纵员将注意力集中在一个机组上时，可能会忽视其他机组。在进行异常处理或发生事故时，这些问题的影响变得更加显著。同时，不同机组间的互相影响、多堆出现异常和共用系统异常可能会使情况变得更加复杂。因此，人机接口设计需要对上述情况予以考虑，并为相关任务提供支持。在人机接口设计的评估测试中，需考虑增加能体现多堆影响的指标，如忽视时间、变化觉察和变化盲视。同时，由于自动化水平的提升，应关注其失效带来的影响。在评估场景的选择上，需要做相应的考虑。

若小型模块堆采用多个反应堆模块，并拥有较多的共用设施，则更易发生混淆，应关注就地设施的接口设计、标识设置和现场管理。

3.5 规程编制和人员培训

规程和培训内容的制定，需考虑前述各项因素。同时，规程的执行方式也会对人机接口的设计、人员职责、团队协作方式和人员培训产生影响。对于适用于多堆运行的规程，在内容上需考虑多堆的影响和人员的职责分配。

3.6 对于日常维修、大修和装卸料的考虑

目前，小型模块堆的运行经验尚且不足，对日常维修、大修和装卸料等活动的考虑有限。由于设计的改变，上述活动的执行方式和相关要求与传统电厂有较大差异，可能会产生新的人因问题。需要对相关任务进行分析，充分考虑人因工程方面的要求，在设计上对人员任务予以相应的支持。

4 结论

本文综述了小型模块堆的发展情况，以高温气冷堆示范工程为例，介绍了相关的设计和审评中关注的主要内容。在此基础上，本文综述了小型模块堆的设计和运行特征，并总结了在计划、分析和设计阶段与之相关的人因工程问题。小型模块堆是未来核电的一个重要发展方向，本文希望通过对小型模块堆发展情况和设计特征的综合分析，以及对审评情况和相关人因工程问题的总结讨论，为今后相关的审评工作提供参考和支持。