核电厂主控室撤离场景的定量化研究

张佳佳，刘坤秀，钱鸿涛，张慧一,*

（1.生态环境部核与辐射安全中心，北京 102488；2.中国核电工程有限公司，北京 100840）

核电厂主控室（MCR）作为核电厂的大脑，对核电厂的运行控制起着至关重要的作用。MCR 由于火灾等因素可能失去控制或丧失可居留性，进而导致运行人员撤离MCR 至远程停堆站（RSS）进行核电厂监视和控制场景。然而RSS 主要设计了一些关键的安全监视和操作功能，并不能完全替代MCR。国内外火灾概率安全分析（PSA）表明MCR 火灾的风险起主导作用，对MCR 火灾风险的建模是火灾PSA 的重点，也是国内外核安全监管审评重点关注的内容[1,2]，其中，运行人员主控室撤离场景（MCRA）的人员可靠性分析（HRA）是MCR火灾PSA 的重要内容之一。

刘政等基于CFAST 研究人员撤离MCR 时间对核电厂堆芯损坏频率的影响[3]，畅小龙介绍了三门核电MCR/RSS 切换功能[4]，但未有专门针对MCRA 的详细分析。由于火灾情形下MCRA 的复杂性和特殊性，国内核电工程项目尚未开展详细的MCRA 场景HRA，一般采用保守或专家判断的方法进行定量化处理。美国核管会在发布的NUREG-1921 导则中特别说明对MCRA 的HRA 后续继续进行研究[5]，并在2019 年和 2020 年发布了两个增补版导则对MCRA 的定性分析[6]和定量分析[7]进行指导。

本文基于NUREG-1921 及其增补版导则，详细论述了MCRA 的两个类别和三个阶段，结合国内核电厂的实际情况，阐述MCRA 情景下人员响应的三个阶段及其定量化方法，以及分析过程中需要考虑的因素。以国内某核电厂MCRA 为例，利用上述方法开展了人员访谈获取了相应数据和资料，开展了定量化分析，并提出了建议。本研究为国内核电工程项目火灾PSA 开展MCRA 的定量化提供参考。

1 MCRA 的类别和阶段

1.1 MCRA 的类别和准则

MCRA 一般可以分为不可居留（LOH）和不可控（LOC）两种类型。LOH 是指当MCR发生火灾或附近区域房间发生火灾，烟雾可能进入主控制室，由于烟雾或热量导致MCR 不适合居留需要撤离到RSS。LOC 是指由于关键电缆或MCR 工作站/后备盘（BUP）等损毁引起MCR 无法实现机组的有效控制而需要撤离到RSS。

针对LOH，在NUREG/CR-6850 导则[8]给出了明确的撤离准则，涉及MCR 温度和烟雾浓度。即

（1）温度准则：地板上方6 ft（1.828 8 m）处的热通量超过1 kW/m2，这可以认为是皮肤疼痛的最小热通量。

（2）烟雾浓度：烟雾层从天花板下降到6 ft（1.828 8 m）以下，烟雾的光密度小于3 m-1。在这样的光密度下，反光的物体超过0.4 m 就看不见了，发光的物体超过1 m 就看不见了。

针对LOC，一般没有清晰的导则或指引。在LOH 的场景中，烟雾或者温度都是显而易见的线索，但由于LOC 导致MCRA 的线索并不一定是清晰的，一般核电厂也没有明确的程序进行指引，主要结合核电厂人员访谈结果开展HRA。

1.2 MCRA 的阶段

根据国内核电厂现场访谈和事故进展，核电厂运行人员MCRA 响应可分为MCRA 决策前、MCRA 决策和MCRA 决策后三个阶段（见图1）。

图1 MCRA 三个阶段Fig.1 Three phases of MCRA

第一阶段是MCRA 决策前响应。在这一阶段，电厂根据消防行动指南进行灭火响应，依据运行规程或事故规程对电厂进行控制，相应的指挥和控制在MCR 中，且消防行动指南与规程可能是并行的。

第二阶段是MCRA 决策响应。在这一阶段，由值长根据火灾发展的形势以及MCR 设备损坏的状态，判断是否撤离。撤离决策一旦做出，第二阶段结束，进入第三阶段。

第三阶段是MCRA 决策后响应。这一阶段包括控制权从主控制室转移到RSS 的过渡阶段以及撤离到RSS 执行后续机组控制的阶段。这一阶段典型的人员行为包括撤离MCR 前必要的停堆操作、MCR/RSS 切换操作，以及使用RSS 控制机组至稳定状态的操作等。

由于MCRA 场景的不同，图2 和图3 分别给出了LOH 和LOC 两种典型事故的进展。两者的区别在于LOH 情形下烟雾或温度的线索是明确的，因此在达到不可居留条件时，值长即可作出撤离决策，认知的时间较短。LOC 场景下火灾并不一定发生在MCR，第一时间发现的可能是MCR 设备不可用的线索，从发现线索至作出撤离决定的认知时间较长，需要等到满足最低的撤离准则时才会决定撤离。

图2 典型的MCRA LOH 场景进展Fig.2 The progress of the typical MCRA LOH scenario

图3 典型的MCRA LOC 场景进展Fig.3 The progress of the typical MCRA LOC scenario

2 MCRA 定量化方法

2.1 第一阶段定量化

MCRA 第一阶段的人员行动包括指挥和控制、程序使用等，与非MCRA 的人员行为类似，可以采用非MCR 火灾HRA 方法进行分析。主要考虑信号和指示、时间、程序和培训、复杂程度、工作负荷和压力、人机界面、环境、职责适宜度、班组沟通和人员配备9 个方面绩效形成因子（PSF），如环境PSF 因子中需重点考虑烟雾和热量等因素，时间PSF 因子需额外考虑线索识别时间和认知处理时间，压力PSF 需考虑压力因子水平增高等。可根据参考文献［5］提供的方法进行定量化分析。

2.2 第二阶段定量化

针对LOH 场景，在参考文献［7］中认为温度和烟雾的线索是明显的，此时MCRA 撤离决策的人员失误概率（HEP）可以忽略不计，但需要注意的是不同核电厂MCRA 的准则不同。图4 给出了国内某核电厂的LOH 场景的撤离规程，可以看出规程需要值长根据现场情况进行判断。基于国内多个核电厂的人员访谈结果，在未对人体造成损害或者能见度可见的情况下，MCR 人员通常不会撤离。具体工程实践中，LOH 场景下的撤离准则可参考NUREG/CR-6850 导则，并结合现场人员访谈结果进行适当修正。

图4 某核电厂MCR 不可居留时的规程Fig.4 Procedures of the MCRA LOH scenario of a NPP

针对LOC 场景，MCRA 决策相关人误事件主要涉及认知方面的失误，主要包括识别撤离线索、诊断以及最终作出撤离决策等。参考文献［7］给出了LOC 第二阶段定量化的决策树，主要依据6 个方面的PSF 因子来判断人误概率：

（1）LOC 撤离决策要有足够的指示/警报，否则必定不可能成功；

（2）用于决策的可用时间要不小于需求时间，否则来不及执行决策也必然导致失败；

（3）大部分核电厂消防行动指南或运行/事故规程中包含了撤离的选项，但需要判断核电厂是否有清晰的准则或由值长判断；

（4）针对撤离方面的培训，需要现场访谈运行人员是否在模拟机进行了专门培训/演练，还是仅仅开展了课堂培训；

（5）现场访谈，了解值长或操作员是否意识到该种情形下撤离的紧迫性；

（6）热工或专家判断等获取撤离决定的可用时间，根据撤离的可用时间来取不同HEP 值。

根据上述6 个PSF 因子，最终获得了28 种情形，10 个HEP 值，如图5 所示。

2.3 第三阶段定量化

第三阶段定量化采用与第一阶段相同的HRA 方法，但需要考虑到撤离操作的特殊性。需要考虑电厂有关MCRA 场景的程序中关于安全停堆以及MCR/RSS 切换操作程序的质量、操作员的熟知程度、培训演练等方面的因素。

2.4 不确定性分析

根据第2.1～2.3 节分别计算出MCRA 三个阶段HEP 后，还需开展不确定性分析。一般情况下，不确定性与所使用的HRA 方法有关。参考文献［7］说明可以按照SPAR-H 推荐的受约束的无信息先验（CNI）分布开展不确定性分析，该方法也是国内工程实践经常采用的火灾HRA方法。CNI 分布为贝塔分布，其以先验分布随机变量满足最大熵的概率分布为约束条件，HRA 分析获得的HEP 作为后验分布均值。α和β参数均是HEP 的函数，α参数依据HEP 数值查参考文献［9］中获得，β参数计算公式为：

三个阶段的HEP 均可采用上述方法开展不确定性分析。此外，参考文献［7］中美国电力学会针对第二阶段的10 个HEP 值也给出了另一种不确定分布结果，可供工程上参考使用。

3 案例分析

3.1 分析案例

案例核电厂采用数字化仪控系统的MCR，在该MCR 内设有4 个操作员工作站，4 个大屏幕监视屏，1 个传统的模拟备用盘（BUP）和紧急控制盘，每个盘台都承载大量的电厂安全与监控功能。当发生火灾引起1 个或2 个工作站不可用时，操作员根据规程可切换至剩余完好工作站进行机组控制；当发生3 个及以上工作站不可用时，操作员根据程序可切换至BUP 进行机组控制，若切换BUP 失败，需要值长进行决策（无对应程序）并宣布撤离，撤离前在MCR完成停堆操作，并在RSS 完成MCR/RSS 切换操作。图6 给出了该案例电厂3 个工作站不可用的事件树。可以看出MCRA 第一阶段的响应涉及灭火行动（H-0）和切换BUP（H-1）两个人误事件，第二阶段涉及MCRA 决策人误事件（H-2），第三阶段涉及撤离MCR 前停堆操作，撤离以及MCR/RSS 切换（H-3）等。其中灭火成功的概率一般根据参考文献［8］提供的灭火曲线计算，本文主要针对其余3 个人误事件进行定量化分析，除H-2 外，H-1 和H-3 采用国内常用的SPAR-H 方法进行HRA。

图6 某核电厂MCRA 事件树Fig.6 The MCRA event tree of a NPP

根据案例电厂设计特点和专家判断，操作员在50 min 内完成H-1 的响应或H-2 和H-3 的响应，可满足机组控制要求，否则保守假设机组失控堆熔。根据操作员和模拟机教员访谈，第一阶段诊断工作站不可用需要2 min，转移到BUP，并完成切换需要2 min，合计所需时间为4 min；第二阶段值长撤离决策需要5 min；第三阶段MCR 停堆操作需要2 min，撤离本身需要11 min，MCR/RSS 切换需要2 min，合计所需时间为15 min。H-1 的允许时间为50 min，H-1 诊断可用时间为48 min，操作可用时间为48 min；扣减H-1 总的所需时间4 min，H-2 和H-3 总的允许时间为46 min，进一步扣减H-3总的所需时间 15 min，H-2 的可用时间为31 min；扣减H-2 所需时间5 min，H-3 总的可用时间为41 min。

3.2 第一阶段定量化

该阶段考虑人误事件H-1，情景为三个操作员工作站均着火，虽然已扑灭火，但是工作站功能受损，需切换BUP，操作员根据规程切换BUP，登陆打开。

案例电厂在操作员模拟机初训和复训中均有BUP 切换操作内容，该情景压力很高，复杂程度中等，结合3.1 节该阶段可用时间和所需时间，SPAR-H 分析各PSF 因子取值过程如表1所示。

表1 H-1 人误事件SPAR-H 分析过程Table 1 The SPAR-H analysis process of the H-1 human error event

3.3 第二阶段定量化

第二阶段考虑人误事件H-2，仅涉及MCRA决策响应。在第一阶段BUP 切换失败的情况下，撤离的线索十分明确，但该核电厂程序中仅对不可居留的场景进行了规定（见图4），未考虑MCR 不可用时的撤离场景，需要值长根据现场情况进行判断，报请批准后撤离。

根据人员访谈，此情况下线索比较清晰，且案例核电厂RSS 有大多数核电厂控制手段，值长倾向于撤离。电厂操作员模拟机复训中有撤离相关内容，每年进行1 次，根据3.1 节访谈信息，本阶段可用时间为31 min。根据图5，取后果编码为（14）的HEP 值，即0.05。

3.4 第三阶段定量化

该阶段考虑人误事件H-3，包括两个子任务：

（1）值长宣布撤离MCR 后，在紧急操作盘按下两个停堆按钮完成手动停堆；

（2）从MCR 撤离到RSS，操作相关开关，完成MCR/RSS A 列和B 列的切换。

保守认为任何一个步骤的失败，均将导致核电厂不可控而堆芯损坏。值长宣布撤离即进入相应撤离规程，且操作明确，因此，H-3 人误事件不涉及诊断失误，主要是操作失误。

根据3.1 节访谈信息，MCR 停堆操作时间为2 min，可用时间保守认为2 min；撤离到RSS及完成MCR/RSS 切换操作所需时间为13 min，可用时间扣减 MCR 停堆操作时间后剩余39 min。电厂操作员复训针对上述撤离操作每年进行1 次，该情景压力很高，复杂程度一般，SPAR-H 分析各PSF 因子取值如表2 所示。

表2 H-3 人误事件SPAR-H 分析过程Table 2 The SPAR-H analysis process of the H-3 human error event

3.5 分析结果及讨论

三个阶段人误事件分析结果如表3 所示。可以看出尽管案例核电厂操作员工作站的冗余性较高，且撤离的线索十分明确，但由于案例电厂在程序中没有对LOC 场景的撤离给予明确的规定，导致H-2 结果偏大。

表3 三个阶段人误事件分析结果Table 3 Analysis results of 3 phases of human error events

针对不确定性分布，根据表3 参数采用Microsoft EXCEL 函数BETA.INV 可以获得三个人误事件各分位数下的HEP 值，图7 给出了三个人误事件HEP 的CNI 分布，表4 给出了不确定范围结果。可以看出3 个人误事件HEP 上限（95%分位数）与均值的比值在3.8 左右，均值与HEP 下限（5%）的比值在252～292 之间，HEP 上限与下限的比值在1 000 左右。均值接近不确定性区间的上限，处在较窄的范围内。然而由于HEP 下限概率极低，概率的下限引入了更多的不确定性，导致HEP 上下限范围较大。但从安全角度出发，HRA 分析更关注不确定上限的估计，最重要的结论与上限和均值（期望值）有关，不确定性范围的下限不影响安全相关的结论。

表4 三个人误事件不确定范围Table 4 The range of the uncertainty for the 3 human failure events

图7 三个人误事件HEP 的CNI 分布Fig.7 The CNI distribution of HEP for the 3 human failure events

4 结论与建议

MCRA 是指由于火灾等因素导致核电厂主控室失去控制或不可居留，运行人员从MCR 撤离至RSS，从而实现核电厂的监视和控制功能，是火灾HRA 的一种特殊情况，也是火灾PSA的重要贡献项。由于国内缺乏 MCRA 分析导则，当前国内核电工程项目中一般采用保守或专家判断的方法简化处理，尚未开展详细分析。

本文基于NUREG-1921 及其增补版导则，详细论述了MCRA 的两个类别和三个阶段。结合国内核电厂的实际情况，阐述MCRA 情景下人员响应的三个阶段及其定量化方法，以及分析过程中需要考虑的因素。以国内某核电厂MCRA 场景为例，针对MCR 人员响应的三个阶段开展了人员访谈和定量化分析。结果表明，针对MCR 不可居留的情景，该电厂有明确的程序文件和清晰的撤离准则用于支持MCRA；但是针对MCR 失去控制的情景，该电厂缺乏相应的程序文件和撤离准则，导致其人员失误概率较大。尽管MCR 失去控制的条件概率较低，但后果比较严重，建议该电厂增加相应的程序文件和撤离判断准则用于支持操作员在MCR 失去控制时的响应行为。此外，本文还针对案例电厂MCRA 定量化结果的不确定性进行了分析和讨论，可以为火灾PSA 提供输入。

综上所述，本研究首次开展了详细的MCRA 分析和研究，可为国内核电工程项目开展火灾PSA 中的MCRA 定量化分析提供参考。