核電廠DCS系統相關的人因陷阱識別與優化措施

程 欣

（中核遼寧核電有限公司，遼寧 葫蘆島 125000）

0 引言

核電廠分布式控制系統（DCS）是核電廠的“神經中樞”，綜合了計算機、通信、顯示和控制等多項技術[1]。計算機化的規程系統、先進的報警系統與圖形化的信息顯示系統等人機接口為提升操縱員的績效發揮了積極作用，降低了操縱員的工作負荷，減少了人因失誤[2]。但先進的DCS 系統也大大增加了運行維護人員的負擔，需要轉變以往的操作模式，在大量信息中篩選出工作所需的關鍵部分。與此同時也衍生出了新的人因失誤分布，出現了新的人因陷阱需要進一步分析、識別，進而優化處理，避免人因失誤的發生。

1 現場控制站間通訊信號檢索問題

圖1 現場控制站間通訊信號傳遞示意圖Fig.1 Schematic diagram of communication signal transmission between field control stations

圖2 現場控制站間通訊信號檢索工具界面Fig.2 Interface of communication signal retrieval tool between field control stations

田灣核電廠5 號機非安全級DCS 系統采用廣利核Hollias-N 平臺，該平臺一層控制站間存在大量通過網絡傳遞的站間通訊信號，以達到信號點的單站定義多站使用的效果，同時避免了大量信號點的重復定義，也大大降低了DCS 系統總點數。

但是該平臺對于這些站間通訊點的檢索功能并未優化，工作人員在使用該站間通訊點時，通過軟件僅可查找該點定義站位置，具體哪些站引用了該點無法直接定位，每次都必須將DCS 系統所有控制站進行逐個檢索，而一層控制站共計73 個，數量多，人工查找極易出現漏站、漏點，造成人因失誤，最終導致分析不全面，給后續試驗的開展埋下隱患。

針對該問題，DCS 系統專業人員根據DCS 數據庫整理出全部站間通訊點及站間信號引用關系，并制作專用檢索工具，通過輸入站間通訊信號名就能直觀顯示該站間信號的定義及引用站，使用計算機運算代替人工手動檢索，能夠極大降低人因失誤概率，同時在工作效率方面也得到極大的提高。

2 DCS系統信號傳遞問題

田灣核電廠5 號機全廠級DCS 分為非安全級和安全級兩個部分，其中安全級DCS 系統主要實現緊急停堆，專設安全設施及支持系統驅動等安全級功能，非安全級DCS 系統主要實現在正常工況下的電廠運行監護等非安全級功能。由于兩者共用一套非安全級人機界面，所以安全級DCS 系統需要將部分指示及報警信號傳遞到非安全級DCS 系統，同時非安全級DCS 系統需要將控制指令傳遞到安全級DCS系統。

信號傳遞的方式有兩種：一種是通過硬接線的方式實現信號的雙向傳遞，主要涉及系統控制相關的信號；另一種則是采用網絡通訊，通過兩個DCS 系統間的網關機，由安全級DCS 向非安全級DCS 單向傳遞，其中這些信號不涉及控制指令，僅用于指示。

基于這種系統間數據傳輸的關系，導致DCS 系統內同一個信號存在兩個系統，具有兩種信號類型、兩種不同功能的現象，使得運行維護人員在進行信號隔離或強制時容易混淆，存在人因失誤陷阱。下面以具體信號舉例說明，反應堆冷卻劑系統（RCP）3 塊儀表RCP039/139/137MP，由安全級DCS 系統采集并通過隔離分配模塊分配，一路分給安全級DCS 系統，控制下游隔離閥行使安全級保護功能；另外一路分給非安全級DCS 系統，控制下游調節閥行使非安全級功能，同時安全級DCS 系統將3 個信號通過網關傳遞給非安全級DCS 系統，并通過偏差計算得出系統相關報警指示。如果工作中需要隔離該信號的安全級功能，在執行中就存在錯誤隔離其他兩個信號的可能，出現人因失誤，導致隔離失敗。

圖3 DCS系統信號傳遞示意圖Fig.3 Schematic diagram of DCS system signal transmission

圖4 RCP系統相關壓力信號傳遞示意圖Fig.4 Schematic diagram of pressure signal transmission of RCP system

圖5 DCS系統工程版本控制系統示意圖Fig.5 Schematic diagram of DCS engineering version control system

田灣5 號機前期調試期間，曾出現這種隔離失敗的情況，影響試驗的同時，容易造成系統設備誤動。為避免此類問題的發生，調試人員一方面通過細化調試規程或工作指令單，凡涉及信號隔離或強制，操作位置（安全級DCS系統或非安全級DCS 系統）必須通過工藝系統邏輯圖、模擬圖核實并步驟中明確，同時標注出工程組態中使用的信號點名；另一方面，通過管理手段，加強系統平臺相關的培訓，特別是電儀配合人員，從而減少知識型人因失誤的發生。

3 現場控制站工程版本問題

調試是一個發現問題、解決問題的過程，伴隨著DCS系統中現場控制站中的一些重要工藝系統參數等其他配置的修改，進而導致其內部工程版本的更新。而現場控制站是整個DCS 系統的核心，下行控制現場設備，上行接受工程師站的組態邏輯以及上傳數據給操作員站[3]。所以，在不影響調試的情況下，合理地控制現場控制站工程版本是極為重要的。

田灣5 號機DCS 系統工程版本控制系統包含監視工程師站、組態工程師站、配置站，同時安裝Visual SourceSafe版本控制專用軟件，配合相關軟件管理相關要求，以實現工程版本控制。其結構示意圖如圖5 所示。其中，監視工程師站可從配置站更新本站內工程版本，不可反向更新配置站工程版本，同時還用于控制器參數的在線監視；組態工程師站除具有監視工程師站的功能外，還具有更新配置站內工程版本、控制器組態修改和下裝的功能；配置站則僅用于存儲機組最新版本的工程。

雖然該控制系統基本可以實現工程版本的有效控制，但是調試期間仍然發現該系統存在導致版本控制失效的人因陷阱。比如，雖然相關軟件管理要求規定監視工程師站與組態工程師站各自執行不同功能，但實際兩臺工程師站是完全相同的，這樣就有可能會出現兩臺工程師站同時修改控制站工程，并在更新配置站工程版本時，后者工程覆蓋前者修改后的工程版本的情況，進而出現控制站工程丟失部分修改內容，最終導致現場控制站工程版本失效。

針對該問題，調試人員對軟件版本控制系統進行了優化，利用Visual SourceSafe 權限功能，對監視工程師站進行限制，使其從功能上無法對配置站軟件進行更新，從根本上消除監視工程師站對現場控制站工程版本失效的影響。

4 工藝系統流程圖畫面問題

工藝系統流程圖畫面作為運行維護人員最常使用的人機界面，可以顯示系統設備組成及設備間位置關系，以及系統間關系，同時還能提供重要參數的實時值與設備的控制界面，使操作人員監視和控制工藝系統變得十分方便。但是，由于設計人員個人主觀感覺及調試期間工藝系統的改造，往往會造成工藝系統流程圖畫面存在很多易造成人因失誤的不合理之處，需要在調試及運行期間不斷優化。

通過分析田灣5 號機整個調試期間工藝系統流程圖畫面修改情況，梳理出以下幾類存在人因陷阱的畫面問題：

1）畫面中設備間或設備與儀表間位置不合理，不能正確指示設備間或儀表與設備間的關系，容易誤導運行人員，造成理解失誤。

2）畫面中存在與實際工藝系統不相符合的設備，由于技術改進或其他原因，該設備就地已取消，但畫面中依然存在，干擾運行人員隔離或其他工作的實施。

3） 畫面中存在儀表設備無單位或單位指示不明確，特別是壓力儀表是否為絕壓應注明。

4）畫面中內容描述指示不明確，主要涉及到設備操作按鈕說明及設備功能描述。

針對此類問題，調試期間一般采取以下流程進行處理：首先，識別此類人因陷阱后，提出優化方案。然后，與實施方確認方案是否具有實施可行性，若不可執行，則繼續優化方案；若可以實施，則繼續與設計單位核實方案是否符合設計規范，若不符合則繼續優化方案，若符合則組織實施并驗證。

工藝系統流程圖畫面人因陷阱優化過程中，一定要各方核實并確認，否則極易出現需求高，平臺功能無法實現，或方案容易實現但無法滿足運行要求的情況，還有可能產生新的人因陷阱等一系列問題。只有各方協商確認后，才能得出最符合運行人員操作習慣、設計規范，同時DCS 系統平臺可以實現的結果，從而實現人因問題的優化處理。

5 總結

圖6 工藝系統流程圖畫面人因問題優化流程Fig.6 Optimization process of human factor problems on the flow chart screen of process system

本文列舉了田灣核電廠5 號機組調試期間DCS 系統的幾個相關的典型人因失誤陷阱問題，通過分析其產生的機理和采取的優化措施，可以看出這些人因陷阱均與人機環境有關，采取適當的優化可以得到很好的解決。因此，核電廠DCS 系統在滿足現有功能的基礎上還需要繼續優化，同時電廠運行維護人員也應該增加對人機環境的熟悉程度，以便有效地識別人因陷阱，避免人因失誤的發生。