采用自动诊断系统后核电应急决策流程的设计与分析
时间:2023-01-28 18:10:04 来源:天一资源网 本文已影响 人
徐志辉
(中广核工程有限公司,广东 深圳 518172)
案例:某核电机组模拟化学和容积控制系统(RCV)破口叠加失去备用变压器(ST)、辅助变压器(AT)和A 列核岛10 kV 应急配电系统(LHA)等支持功能场景,先处理“RCV 破口”还是先处理“失电”直接影响机组安全状态和事故走向。运行班组在事故缓解过程中分工不明确,在没有同值长(SS)/安全工程师(SE)讨论和决策该事故程序的走向的前提下,直接选择先处理失电,RCV 破口事故没有得到有效控制,造成反应堆水池和燃料水池冷却以及处理系统(PTR)大罐水位持续下降,机组余热排出功能受到威胁[1]。
在电厂实际运行中,这类问题仅从技术层面进行分析和解决,而隐藏在技术问题背后更为本质的运行班组在瞬态/事故等应急情境下的集体决策机制的不完善与不清晰的问题往往被忽略。
核电厂运行班组在所有运行状态和非预计(特别是处理应急)情况下,负有对电站运行的最终决定权和最终责任。非预计(特别是处理应急)情况发生频率低、场景复杂,即使对经过大量模拟机培训和日常运行经验积累的运行班组而言也可能是陌生情境。超出规程指引后可能引发诸如羊群效应[2]、时间压力、过度自信、锚定陷阱等,会严重影响运行班组的决策效率和可靠性,并进而影响事故缓解的有效性和机组最终安全。因此,研究一套合理、清晰的核电运行班组瞬态/事故等应急情境下的决策流程,对于保证核电站运行安全尤其关键和重要。
HAD 103/06[3]对运行班组提出了“应给运行值班组的每位成员分配明确的权力和职责”的原则性要求,实践中国内各核电厂运营单位在此基础上进一步明确了运行班组的组成和职责,但在应急情境的决策方面,往往只有“集体决策”的笼统性描述,缺乏清晰而明确的决策流程设计。
1.1 运行班组的组成和职责
国内通行实践中,运行班组一般组成如下:
(1) 一名值长(SS)负责机组的整体运行和安全,负责事故状态的初始响应,启动核安全相关决策程序并协调活动,在安全工程师到达前替代其执行监督程序;
初步评估电站应急状况,提出电站是否升级应急状态的建议,密切关注机组情况,及时向厂内应急控制中心报告事故发展情况,落实技术支持组提出并经厂内应急控制中心批准的重大事故缓解措施,报告执行情况;
(2) 一名安全工程师(SE)在后备盘上独立执行专门的监督程序独立评估机组状态并参与决策,确保多重冗余。独立研究、分析、评估事故;
独立调查报告;
独立监督事故发生后的安全状况,向运行班组人员提供事故处理意见、建议或技术支持;
(3) 一名机组长(US)担任协调员,执行协调程序,确保运行程序中的主要目标与总体运行策略一致。在事故及瞬态运行期间,由其召集会议、协调操纵员执行控制,机组条件变化后或执行重要任务前明确机组控制策略;
向值长和安全工程师汇报执行情况;
在重要的控制过程中协调主控制室和就地人员的操作;
(4) 一名一回路操纵员(RO1)执行一回路程序;
1 名二回路操纵员(RO2)执行二回路程序;
根据诊断程序或诊断结果选择适当的执行程序,执行主程序和控制单,按值长要求发布紧急通知和事故报警信号,确保机组回到安全运行模式,缓解事故后果;
RO1 负责核蒸汽供应系统(NSSS)和安全功能,RO2 负责蒸汽发生器,汽轮机发电机组、给水系统及其他辅助系统的运行;
(5) 几名现场操纵员(FO)根据主控制室的要求执行就地操作单(控制区,汽轮机厂房,电气设备厂房等),进行就地事故处置。
1.2 运行班组的决策机制
运行班组的决策机制随着不同国家和地区法律法规、电厂条件、甚至文化传统而不同,从1.1 节国内通行实践可知,运行班组的职责和分工一般采用三级决策机制,如图1 所示。
在我国拥有完整自主知识产权的“华龙一号”三代核电机组中,已经开发设计了事故自动诊断系统(Automatic Diagnosis,AD),AD是通过核电厂计算机控制系统采集信号,再经过自身逻辑处理而产生事故诊断策略的综合信息系统,在事故发生后数秒至数分钟之内完成运行策略的初始定向或再定向诊断,并以声光等报警形式将诊断结果提供给操纵员。
AD 充分利用了状态导向法规程的优势,不再关心引起事故的始发事件而聚焦于影响机组安全的有限个状态参数的监测。AD 基于状态参数的退化程度进行事故应对策略运算,适用于从全功率模式到完全卸料模式的所有标准机组状态。
AD 的引入一方面提高了事故诊断速度,节约有限的事故处理可用时间窗口,另一方面极大程度上减轻了操纵员的工作负荷和心理压力。但与此同时,正是由于AD 在事故策略诊断速度方面的出色能力,操纵员更加倾向于依赖于AD 的诊断结果,其自身的诊断职责将不可避免地产生懈怠。如果AD 出现了软件故障或者因组态逻辑不完善在特定情形下给出了错误的结果,缺乏清晰的应对方案将削弱事故响应的可靠性。
AD 作为一个智能体参与到集体决策,与运行班组共同配合完成事故诊断。AD 与运行班组组成新型人机交互团队,因此团队的分工、职责与集体决策流程需要重新划分和评估。
图2 描述了现有AD 诊断过程。在AD 功能正常且满足自动诊断入口条件时,AD 自动激活,并根据自身逻辑进行判断,并给出诊断结果;
当AD 故障时,可进行自诊断,并给出故障提示,此时运行班组按照传统纸质诊断形式组织决策。
3.1 应急集体决策的要求
核电厂运行的基本目标就是控制三大基本安全功能,状态导向法事故规程通过对3 大安全功能的分解,选用了6 个基本的状态参数来表征核电厂的状态,操纵员根据状态参数导向至合适的事故处理策略规程,就能有效的控制机组状态,最终将事故后的机组引导至安全状态,确保核安全三要素得到保障。
瞬态/事故处理需要精细脑力活动,人员和组织的干涉可能中断脑力活动的连续性并导致错误,因此决策流程应隔离运行班组和外部组织的不必要联系以及组织内成员之间的不必要联系。
然而个体往往会受多种失效陷阱的影响,如倾向对最先收到的信息给予过高的权重;
倾向寻找支持自己现有观点的信息,对反面信息视而不见;
倾向基于对过去事件的记忆进行预测,并以此为依据进行决策;
倾向陷入问题本身;
倾向忽略或低估不确定的因素;
倾向只查询熟悉的信息和资源,在时间压力情况下,往往容易仓促做出不合适决策。
同时,操纵员的操作涉及其他班组成员操作的配合,主控制室的操作依赖于来自现场信息的及时准确反馈。因此,核电站的决策和操作又必须建立在团队合作的基础上,运行班组需要进行必要的信息交流、合理的决策协商和操作干预。
操纵员应集中精力到收集所有能够帮助理解当前情境、维持电站安全、解决问题的信息和重要操作上,保持行动的独立性,避免放弃自身的职责,避免过度依赖自动诊断系统的结果,避免在使用脑力诊断的同时又要管理瞬态/事故和新出现的问题。
机组长应等待每个操纵员至少完整执行一遍程序要求的循环,再进行干预。若换序列和程序是必须的或补充操作是必须的,可选择适当的时机中止操纵员的操作并进行干预。
值长和安工应把要求恢复安全设备可用,确保安全壳完整性等三道屏障相关安全状态作为首要关注目标,让操纵员和机组长有足够的时间来诊断和执行运行操作(通常不少于15 min),尽可能少的干扰操作员。
在集体决策时,各参与主体提供的信息在内容上应该是有用的和可靠的,要求的行动在目标上是必须的,在时间安排上,应该考虑各自独立决策的节奏,不应该走在必要机组监视、诊断和操作前面。
3.2 应急集体决策的范围
核电厂通常具备完善的报警和规程体系,基于已有报警和规程体系的决策通常具备较高的可靠性。因此,有规程覆盖的正常运行状态和预计瞬态情况下,操纵员通常可以通过独立决策加以应对。
然而,当机组出现非预计情况或是超出规程指引范围,需要立即决策或分析决策时,根据拉斯姆森提出的三种人的绩效类型(技能型-规则性-知识性,SKR)[4]的分类,这类情况往往属于知识型,也是人因失误最为高发的情形。
特别是满足以下条件时,运行班组应及时停止当前工作,基于保守的态度并充分发挥集体决策的多道屏障作用,保障最终决策的正确性和可靠性,将机组尽快置于安全状态。
(1) 机组安全水平降级或安全裕度降低;
(2) 机组存在非预期和不确定因素;
(3) 机组状态比较紧急(需要数分钟或数小时内采取措施将机组置于安全状态);
(4) 没有明确程序指引或超出现有程序范围;
(5) 判定AD 故障或逻辑错误。
图3 和图4 分别从诊断复杂度和发生频率的角度说明了运行班组集体决策的典型适用情境。
本文结合核电厂应急状态运行班组职责,按照事故后时间线发展,设计了一套集体决策流程,如图5 所示。该流程图给出了基于运行经验并考虑AD 引入后的应急决策流程;
基于纵深防御理念将运行班组各成员及AD 设计为事故响应的屏障之一;
各道屏障的同时运转,能够有效降低核电厂应急状态决策的可靠性;
同时,在诊断结果不一致时,基于不同成员诊断可靠性,在保守决策的原则下给出了具体的决策偏差处理流程,具有很好的工程实践参考价值。
决策具体流程如下:
(1) 在核电厂发生事故后,主控制室出现相关表征报警信号,在其后数秒到数分钟之内(一般为5 min),AD 系统即给出诊断结果,提示应该采取的事故处理规程。
(2) 在报警信号出现并被运行班组接受后,RO1、US、SS/SE 开始拿取纸质诊断规程同步并行开展诊断,并在数分钟至十几分钟内得出各自诊断结果,给出应该采取的事故处理规程。
(3) 在RO1 得出诊断结果后,先行与AD诊断结果进行对比。如果诊断结果一致,进一步征询US 意见,在得到US 同意后,按照AD/RO1/US 确认一致的策略选择事故处理规程,诊断过程结束。
(4) 在RO1 和AD 诊断结果不一致时,RO1 快速自检,如发现自身诊断错误,返回步骤二。如认为自身诊断正确,进一步征询US意见。
(5) US 在得出诊断结果后与RO1 同步,比较自身诊断结果与AD 的一致性,如不一致,快速自检,确认是否自身诊断有误,如发现自身诊断错误,返回步骤二。如认为自身诊断正确,进一步比较自身诊断结果与RO1 的一致性,如与RO1/AD 任何一方存在不一致,进一步征询安工/值长意见。
(6) US 召集RO1、SS 和SE 讨论,对AD逻辑故障进行诊断,如能确认AD 逻辑故障,经值长同意,宣布放弃AD。
(7) 由于AD 从KIC 采集信号,应同时检查KIC 可用与否,如判断KIC 可用,按照RO1<US<SE 建议权选取事故处理规程并经值长同意后执行,诊断过程结束。如KIC 不可用,切换至后备盘重新诊断和控制。
(8) 如不能确认AD 故障,经US/RO1 讨论AD 逻辑和纸质规程单个判据差异,如可以判定AD 逻辑故障,经值长同意,宣布放弃AD,执行步骤(7)。
(9) 如检查判据差异后,仍不能判定AD故障,运行班组基于保守决策,宣布放弃AD,执行步骤(7)。
由于 AD 系统要经过充分的验证与确认(Verification & Validation)过程及模拟机验证才能投入运行,同时核电站运行班组操纵员均为持照且经验丰富人员,实际的瞬态/事故过程,应急决策流程大都属于图5 中步骤(3)的情形,也即按照AD/RO1/US 确认一致的策略选择事故处理规程。图5 中详细描述了AD 故障带来偏差的处理流程,但是对于班组成员内部的偏差处理,尤其是RO/US/SE 之间的诊断处理,仍需补充如下决策过程的指导。
(1)描述事实、明确决策目标
发挥团队成员的屏障力量,多方面的独立收集客观信息,列出当前已知的事实,过去的经验反馈,在确保信息来源准确的基础上分析现有和潜在的后果,事实的准确性对后续的决策起着重要作用。
明确决策目标,整个决策过程都要始终围绕决策目标开展工作,尤其是事故处置时间窗口受限的情形下,首要决策目标是“将机组置于安全状态,而不是解决问题本身”,解决问题可以放到机组状态稳定后。
(2)确定决策参与者
确认电厂是否有相应规程指引应对这种工况;
如无,确认决策是否紧急,明确决策的时间期限。
(3)分析问题,确定可行方案
列出所有可行的方案及每种方案的优缺点,选择最利于机组安全的方案,可以参考(但不限于)以下的维度进行比较和考虑:不能实现决策目标(机组置于已知的安全状态)最坏的结果是什么?是否满足相关标准要求?对机组安全的影响是否清楚(指示和报警是否得到充分解释)?
(4)信息交流与寻求支持
当诊断结果存在不确定性或者偏差出现时,在保持意见独立性的同时,应及时寻求上一级决策人进行技术支持;
确保运行班组成员清楚决策的结果;
确保安全工程师应全程保持其独立性并能够对RO/US 决策进行验证;
(5) 集体决策
确保最终决策方案与初始的决策目标一致;
确定决策方案时,记录清楚选择该方案理由;
决策者不要陷入问题或事故本身,而要专注于当前机组安全和核安全;
值长要把握集体决策节奏,决策太仓促可能导致决策错误,决策太慢或不决策可能导致错过最佳决策时机,机组状态将进一步恶化。
(6)书面记录决策过程
集体决策过程需要有书面记录,用于经验共享和定期评估;
紧急情况下,可以先行决策,等待机组被置于安全状态后,再完整补充决策记录;
(7)行动执行
确保决策结果得到有效执行;
评估执行结果是否符合预期,不符合预期、机组状态恶化或有重大改变,必要时重新启动决策。安全工程师独立评价机组安全状态并向电厂管理层汇报集体决策情况,管理层审查集体决策的有效性。
现有核电厂应急状态下的集体决策定义过于原则,对需要集体决策的具体内容、范围、职责和流程等界定不清楚,细化不足,在电厂实际运行中可操作性不强,缺乏针对性,操纵员难以准确把握。决策人员在压力情境下容易职责不清或弱化,导致集体决策屏障可能因“羊群效应”产生破坏,决策的科学性、正确性得不到保证。
本文提出了一套引入考虑自动诊断系统后的运行班组应急集体决策流程,明确了应急集体决策成员的职责、机制、过程、范围和要求,细化了决策者之间的偏差处理流程,尤其是AD故障带来的偏差。使运行班组应急集体决策体系化,有清晰而明确的规则、流程依据;
同时又不妨碍运行班组随时根据掌握的信息变化、影响因素、可用手段等及时调整和修正决策;
充分形成班组成员独立性和集体性的有机结合,提高运行班组整体决策能力、决策质量和决策效率,最大限度的减少或避免决策失误,使决策真正建立在尊重实际,集思广益,保守决策的基础上。