采用自動診斷系統后核電應急決策流程的設計與分析

徐志輝

（中廣核工程有限公司，廣東 深圳 518172）

案例：某核電機組模擬化學和容積控制系統（RCV）破口疊加失去備用變壓器（ST）、輔助變壓器（AT）和A 列核島10 kV 應急配電系統（LHA）等支持功能場景，先處理“RCV 破口”還是先處理“失電”直接影響機組安全狀態和事故走向。運行班組在事故緩解過程中分工不明確，在沒有同值長（SS）/安全工程師（SE）討論和決策該事故程序的走向的前提下，直接選擇先處理失電，RCV 破口事故沒有得到有效控制，造成反應堆水池和燃料水池冷卻以及處理系統（PTR）大罐水位持續下降，機組余熱排出功能受到威脅[1]。

在電廠實際運行中，這類問題僅從技術層面進行分析和解決，而隱藏在技術問題背后更為本質的運行班組在瞬態/事故等應急情境下的集體決策機制的不完善與不清晰的問題往往被忽略。

核電廠運行班組在所有運行狀態和非預計（特別是處理應急）情況下，負有對電站運行的最終決定權和最終責任。非預計（特別是處理應急）情況發生頻率低、場景復雜，即使對經過大量模擬機培訓和日常運行經驗積累的運行班組而言也可能是陌生情境。超出規程指引后可能引發諸如羊群效應[2]、時間壓力、過度自信、錨定陷阱等，會嚴重影響運行班組的決策效率和可靠性，并進而影響事故緩解的有效性和機組最終安全。因此，研究一套合理、清晰的核電運行班組瞬態/事故等應急情境下的決策流程，對于保證核電站運行安全尤其關鍵和重要。

1 核電站運行班組的職責分析

HAD 103/06[3]對運行班組提出了“應給運行值班組的每位成員分配明確的權力和職責”的原則性要求，實踐中國內各核電廠運營單位在此基礎上進一步明確了運行班組的組成和職責，但在應急情境的決策方面，往往只有“集體決策”的籠統性描述，缺乏清晰而明確的決策流程設計。

1.1 運行班組的組成和職責

國內通行實踐中，運行班組一般組成如下：

（1） 一名值長（SS）負責機組的整體運行和安全，負責事故狀態的初始響應，啟動核安全相關決策程序并協調活動，在安全工程師到達前替代其執行監督程序；初步評估電站應急狀況，提出電站是否升級應急狀態的建議，密切關注機組情況，及時向廠內應急控制中心報告事故發展情況，落實技術支持組提出并經廠內應急控制中心批準的重大事故緩解措施，報告執行情況；

（2） 一名安全工程師（SE）在后備盤上獨立執行專門的監督程序獨立評估機組狀態并參與決策，確保多重冗余。獨立研究、分析、評估事故；獨立調查報告；獨立監督事故發生后的安全狀況，向運行班組人員提供事故處理意見、建議或技術支持；

（3） 一名機組長（US）擔任協調員，執行協調程序，確保運行程序中的主要目標與總體運行策略一致。在事故及瞬態運行期間，由其召集會議、協調操縱員執行控制，機組條件變化后或執行重要任務前明確機組控制策略；向值長和安全工程師匯報執行情況；在重要的控制過程中協調主控制室和就地人員的操作；

（4） 一名一回路操縱員（RO1）執行一回路程序；1 名二回路操縱員（RO2）執行二回路程序；根據診斷程序或診斷結果選擇適當的執行程序，執行主程序和控制單，按值長要求發布緊急通知和事故報警信號，確保機組回到安全運行模式，緩解事故后果；RO1 負責核蒸汽供應系統（NSSS）和安全功能，RO2 負責蒸汽發生器，汽輪機發電機組、給水系統及其他輔助系統的運行；

（5） 幾名現場操縱員（FO）根據主控制室的要求執行就地操作單（控制區，汽輪機廠房，電氣設備廠房等），進行就地事故處置。

1.2 運行班組的決策機制

運行班組的決策機制隨著不同國家和地區法律法規、電廠條件、甚至文化傳統而不同，從1.1 節國內通行實踐可知，運行班組的職責和分工一般采用三級決策機制，如圖1 所示。

2 自動診斷（AD）引入對決策機制的挑戰

在我國擁有完整自主知識產權的“華龍一號”三代核電機組中，已經開發設計了事故自動診斷系統（Automatic Diagnosis，AD），AD是通過核電廠計算機控制系統采集信號，再經過自身邏輯處理而產生事故診斷策略的綜合信息系統，在事故發生后數秒至數分鐘之內完成運行策略的初始定向或再定向診斷，并以聲光等報警形式將診斷結果提供給操縱員。

AD 充分利用了狀態導向法規程的優勢，不再關心引起事故的始發事件而聚焦于影響機組安全的有限個狀態參數的監測。AD 基于狀態參數的退化程度進行事故應對策略運算，適用于從全功率模式到完全卸料模式的所有標準機組狀態。

AD 的引入一方面提高了事故診斷速度，節約有限的事故處理可用時間窗口，另一方面極大程度上減輕了操縱員的工作負荷和心理壓力。但與此同時，正是由于AD 在事故策略診斷速度方面的出色能力，操縱員更加傾向于依賴于AD 的診斷結果，其自身的診斷職責將不可避免地產生懈怠。如果AD 出現了軟件故障或者因組態邏輯不完善在特定情形下給出了錯誤的結果，缺乏清晰的應對方案將削弱事故響應的可靠性。

AD 作為一個智能體參與到集體決策，與運行班組共同配合完成事故診斷。AD 與運行班組組成新型人機交互團隊，因此團隊的分工、職責與集體決策流程需要重新劃分和評估。

圖2 描述了現有AD 診斷過程。在AD 功能正常且滿足自動診斷入口條件時，AD 自動激活，并根據自身邏輯進行判斷，并給出診斷結果；當AD 故障時，可進行自診斷，并給出故障提示，此時運行班組按照傳統紙質診斷形式組織決策。

3 引入AD 后運行班組應急集體決策總體要求

3.1 應急集體決策的要求

核電廠運行的基本目標就是控制三大基本安全功能，狀態導向法事故規程通過對3 大安全功能的分解，選用了6 個基本的狀態參數來表征核電廠的狀態，操縱員根據狀態參數導向至合適的事故處理策略規程，就能有效的控制機組狀態，最終將事故后的機組引導至安全狀態，確保核安全三要素得到保障。

瞬態/事故處理需要精細腦力活動，人員和組織的干涉可能中斷腦力活動的連續性并導致錯誤，因此決策流程應隔離運行班組和外部組織的不必要聯系以及組織內成員之間的不必要聯系。

然而個體往往會受多種失效陷阱的影響，如傾向對最先收到的信息給予過高的權重；傾向尋找支持自己現有觀點的信息，對反面信息視而不見；傾向基于對過去事件的記憶進行預測，并以此為依據進行決策；傾向陷入問題本身；傾向忽略或低估不確定的因素；傾向只查詢熟悉的信息和資源，在時間壓力情況下，往往容易倉促做出不合適決策。

同時，操縱員的操作涉及其他班組成員操作的配合，主控制室的操作依賴于來自現場信息的及時準確反饋。因此，核電站的決策和操作又必須建立在團隊合作的基礎上，運行班組需要進行必要的信息交流、合理的決策協商和操作干預。

操縱員應集中精力到收集所有能夠幫助理解當前情境、維持電站安全、解決問題的信息和重要操作上，保持行動的獨立性，避免放棄自身的職責，避免過度依賴自動診斷系統的結果，避免在使用腦力診斷的同時又要管理瞬態/事故和新出現的問題。

機組長應等待每個操縱員至少完整執行一遍程序要求的循環，再進行干預。若換序列和程序是必須的或補充操作是必須的，可選擇適當的時機中止操縱員的操作并進行干預。

值長和安工應把要求恢復安全設備可用，確保安全殼完整性等三道屏障相關安全狀態作為首要關注目標，讓操縱員和機組長有足夠的時間來診斷和執行運行操作（通常不少于15 min），盡可能少的干擾操作員。

在集體決策時，各參與主體提供的信息在內容上應該是有用的和可靠的，要求的行動在目標上是必須的，在時間安排上，應該考慮各自獨立決策的節奏，不應該走在必要機組監視、診斷和操作前面。

3.2 應急集體決策的范圍

核電廠通常具備完善的報警和規程體系，基于已有報警和規程體系的決策通常具備較高的可靠性。因此，有規程覆蓋的正常運行狀態和預計瞬態情況下，操縱員通常可以通過獨立決策加以應對。

然而，當機組出現非預計情況或是超出規程指引范圍，需要立即決策或分析決策時，根據拉斯姆森提出的三種人的績效類型（技能型-規則性-知識性，SKR）[4]的分類，這類情況往往屬于知識型，也是人因失誤最為高發的情形。

特別是滿足以下條件時，運行班組應及時停止當前工作，基于保守的態度并充分發揮集體決策的多道屏障作用，保障最終決策的正確性和可靠性，將機組盡快置于安全狀態。

（1） 機組安全水平降級或安全裕度降低；

（2） 機組存在非預期和不確定因素；

（3） 機組狀態比較緊急（需要數分鐘或數小時內采取措施將機組置于安全狀態）；

（4） 沒有明確程序指引或超出現有程序范圍；

（5） 判定AD 故障或邏輯錯誤。

圖3 和圖4 分別從診斷復雜度和發生頻率的角度說明了運行班組集體決策的典型適用情境。

4 引入AD 后新的應急決策流程設計

本文結合核電廠應急狀態運行班組職責，按照事故后時間線發展，設計了一套集體決策流程，如圖5 所示。該流程圖給出了基于運行經驗并考慮AD 引入后的應急決策流程；基于縱深防御理念將運行班組各成員及AD 設計為事故響應的屏障之一；各道屏障的同時運轉，能夠有效降低核電廠應急狀態決策的可靠性；同時，在診斷結果不一致時，基于不同成員診斷可靠性，在保守決策的原則下給出了具體的決策偏差處理流程，具有很好的工程實踐參考價值。

決策具體流程如下：

（1） 在核電廠發生事故后，主控制室出現相關表征報警信號，在其后數秒到數分鐘之內（一般為5 min），AD 系統即給出診斷結果，提示應該采取的事故處理規程。

（2） 在報警信號出現并被運行班組接受后，RO1、US、SS/SE 開始拿取紙質診斷規程同步并行開展診斷，并在數分鐘至十幾分鐘內得出各自診斷結果，給出應該采取的事故處理規程。

（3） 在RO1 得出診斷結果后，先行與AD診斷結果進行對比。如果診斷結果一致，進一步征詢US 意見，在得到US 同意后，按照AD/RO1/US 確認一致的策略選擇事故處理規程，診斷過程結束。

（4） 在RO1 和AD 診斷結果不一致時，RO1 快速自檢，如發現自身診斷錯誤，返回步驟二。如認為自身診斷正確，進一步征詢US意見。

（5） US 在得出診斷結果后與RO1 同步，比較自身診斷結果與AD 的一致性，如不一致，快速自檢，確認是否自身診斷有誤，如發現自身診斷錯誤，返回步驟二。如認為自身診斷正確，進一步比較自身診斷結果與RO1 的一致性，如與RO1/AD 任何一方存在不一致，進一步征詢安工/值長意見。

（6） US 召集RO1、SS 和SE 討論，對AD邏輯故障進行診斷，如能確認AD 邏輯故障，經值長同意，宣布放棄AD。

（7） 由于AD 從KIC 采集信號，應同時檢查KIC 可用與否，如判斷KIC 可用，按照RO1＜US＜SE 建議權選取事故處理規程并經值長同意后執行，診斷過程結束。如KIC 不可用，切換至后備盤重新診斷和控制。

（8） 如不能確認AD 故障，經US/RO1 討論AD 邏輯和紙質規程單個判據差異，如可以判定AD 邏輯故障，經值長同意，宣布放棄AD，執行步驟（7）。

（9） 如檢查判據差異后，仍不能判定AD故障，運行班組基于保守決策，宣布放棄AD，執行步驟（7）。

5 引入AD 后應急集體決策的工程經驗

由于 AD 系統要經過充分的驗證與確認（Verification & Validation）過程及模擬機驗證才能投入運行，同時核電站運行班組操縱員均為持照且經驗豐富人員，實際的瞬態/事故過程，應急決策流程大都屬于圖5 中步驟（3）的情形，也即按照AD/RO1/US 確認一致的策略選擇事故處理規程。圖5 中詳細描述了AD 故障帶來偏差的處理流程，但是對于班組成員內部的偏差處理，尤其是RO/US/SE 之間的診斷處理，仍需補充如下決策過程的指導。

（1）描述事實、明確決策目標

發揮團隊成員的屏障力量，多方面的獨立收集客觀信息，列出當前已知的事實，過去的經驗反饋，在確保信息來源準確的基礎上分析現有和潛在的后果，事實的準確性對后續的決策起著重要作用。

明確決策目標，整個決策過程都要始終圍繞決策目標開展工作，尤其是事故處置時間窗口受限的情形下，首要決策目標是“將機組置于安全狀態，而不是解決問題本身”，解決問題可以放到機組狀態穩定后。

（2）確定決策參與者

確認電廠是否有相應規程指引應對這種工況；如無，確認決策是否緊急，明確決策的時間期限。

（3）分析問題，確定可行方案

列出所有可行的方案及每種方案的優缺點，選擇最利于機組安全的方案，可以參考（但不限于）以下的維度進行比較和考慮：不能實現決策目標（機組置于已知的安全狀態）最壞的結果是什么？是否滿足相關標準要求？對機組安全的影響是否清楚（指示和報警是否得到充分解釋）？

（4）信息交流與尋求支持

當診斷結果存在不確定性或者偏差出現時，在保持意見獨立性的同時，應及時尋求上一級決策人進行技術支持；確保運行班組成員清楚決策的結果；確保安全工程師應全程保持其獨立性并能夠對RO/US 決策進行驗證；

（5） 集體決策

確保最終決策方案與初始的決策目標一致；確定決策方案時，記錄清楚選擇該方案理由；決策者不要陷入問題或事故本身，而要專注于當前機組安全和核安全；值長要把握集體決策節奏，決策太倉促可能導致決策錯誤，決策太慢或不決策可能導致錯過最佳決策時機，機組狀態將進一步惡化。

（6）書面記錄決策過程

集體決策過程需要有書面記錄，用于經驗共享和定期評估；緊急情況下，可以先行決策，等待機組被置于安全狀態后，再完整補充決策記錄；

（7）行動執行

確保決策結果得到有效執行；評估執行結果是否符合預期，不符合預期、機組狀態惡化或有重大改變，必要時重新啟動決策。安全工程師獨立評價機組安全狀態并向電廠管理層匯報集體決策情況，管理層審查集體決策的有效性。

6 結論

現有核電廠應急狀態下的集體決策定義過于原則，對需要集體決策的具體內容、范圍、職責和流程等界定不清楚，細化不足，在電廠實際運行中可操作性不強，缺乏針對性，操縱員難以準確把握。決策人員在壓力情境下容易職責不清或弱化，導致集體決策屏障可能因“羊群效應”產生破壞，決策的科學性、正確性得不到保證。

本文提出了一套引入考慮自動診斷系統后的運行班組應急集體決策流程，明確了應急集體決策成員的職責、機制、過程、范圍和要求，細化了決策者之間的偏差處理流程，尤其是AD故障帶來的偏差。使運行班組應急集體決策體系化，有清晰而明確的規則、流程依據；同時又不妨礙運行班組隨時根據掌握的信息變化、影響因素、可用手段等及時調整和修正決策；充分形成班組成員獨立性和集體性的有機結合，提高運行班組整體決策能力、決策質量和決策效率，最大限度的減少或避免決策失誤，使決策真正建立在尊重實際，集思廣益，保守決策的基礎上。