核電廠控制室系統(tǒng)人因驗證和確認(rèn)

張洪張淑慧宋霏

摘要：首先簡要介紹了人因驗證和確認(rèn)活動在控制室系統(tǒng)設(shè)計中的作用，闡述了人因驗證和確認(rèn)活動的組成部分和它們之間的相互關(guān)系，以C-2項目控制室系統(tǒng)為例分別詳細(xì)論述了這些組成部分各自的目標(biāo)、方法和過程、工具等內(nèi)容。

關(guān)鍵詞：控制室系統(tǒng)；人因；驗證和確認(rèn)

Abstract: this paper at first introduced the verification and validation activities for control in system design of the function, this paper expounds the verification and validation activities for part of their relationship, in C-2 project control system for example paper respectively the part of their goals, methods and processes, tools, etc.

Keywords: control system; Because people; Verification and validation

中圖分類號：[TL48]文獻(xiàn)標(biāo)識碼：A文章編號：

1人因工程概述

人因工程（HFE）是一門新興的綜合性學(xué)科。根據(jù)國際工效學(xué)學(xué)會（IEA）的定義，人因工程是一個研究人與系統(tǒng)其它元素之間交互作用的科學(xué)領(lǐng)域，是一個將理論、原則、數(shù)據(jù)、方法進(jìn)行設(shè)計以提升人類福利并優(yōu)化整體系統(tǒng)表現(xiàn)的學(xué)科。

在核電技術(shù)發(fā)展的最初20多年中，HFE的一些理念已部分地用于指導(dǎo)核設(shè)施的設(shè)計，但直到三哩島核電廠和切爾諾貝利核電廠事故后，HFE才開始系統(tǒng)地應(yīng)用于核設(shè)施的設(shè)計和運(yùn)行中。大量的核電工程實踐表明,有效的控制室人因工程設(shè)計與友好的人機(jī)界面對減少人因失誤、提高核電廠運(yùn)行的安全性、經(jīng)濟(jì)性有積極的作用。

2人因驗證和確認(rèn)的目的

人因驗證和確認(rèn)的目的是通過靜態(tài)或動態(tài)的全面分析、評估控制室系統(tǒng)的設(shè)計是否符合人因工程設(shè)計原則，并且確保電廠工作人員成功地完成其任務(wù)以達(dá)到電廠安全和其他運(yùn)行目標(biāo)。

3人因驗證和確認(rèn)的總體流程

根據(jù)NUREG-0711，人因的V&V主要包括以下四項活動[1]：

a) 任務(wù)支持驗證

b) 人因工程（HFE）設(shè)計驗證

c) 集成系統(tǒng)確認(rèn)

d) 人因偏差解決

在進(jìn)行上述V&V活動前，首先應(yīng)進(jìn)行運(yùn)行條件取樣，并確定HSI設(shè)備清單及其特性。人因V&V的過程和各項活動之間的相互關(guān)系見圖1。

圖1人因驗證和確認(rèn)活動的總體流程

Fig.1Overview of V&V activities

4運(yùn)行條件取樣

在設(shè)計階段對全部的運(yùn)行工況和人員任務(wù)進(jìn)行V&V既不現(xiàn)實也沒有必要，所以可以采用運(yùn)行條件取樣的方法，通過制定適當(dāng)?shù)娜硬呗詠磉x擇有代表性的運(yùn)行工況和人員任務(wù)。

運(yùn)行條件取樣的目標(biāo)是保證樣本具備以下特性：樣本能覆蓋電廠運(yùn)行期間所有可能遇到的典型事件，同時包含會對系統(tǒng)性能產(chǎn)生影響的所有特性以及安全重要的HSI設(shè)備。

5任務(wù)支持驗證

5.1任務(wù)支持驗證的目標(biāo)

任務(wù)支持驗證的目標(biāo)是驗證HSI設(shè)計提供了支持電廠人員完成任務(wù)必需的所有報警、顯示和控制，支持由任務(wù)分析規(guī)定的工作人員完成任務(wù)的要求。

5.2任務(wù)支持驗證的方法和過程

任務(wù)支持驗證采用比較分析法，由沒有參加過本項目相關(guān)系統(tǒng)設(shè)計的驗證者逐一將任務(wù)分析時對HSI的要求與當(dāng)前狀態(tài)的HSI及其特性進(jìn)行比較和分析。如果HSI資源與人員任務(wù)要求不一致，將標(biāo)識該結(jié)果，并列入偏差表，進(jìn)入偏差解決過程。

當(dāng)任務(wù)支持驗證完成后，可能出現(xiàn)設(shè)計變更。在新的設(shè)計變更被批準(zhǔn)后，應(yīng)對設(shè)計變更對任務(wù)支持的影響進(jìn)行評估，確保設(shè)計變更不會對先前已驗證的任務(wù)支持造成負(fù)面的影響。

任務(wù)支持驗證的過程見圖2所示。

圖2任務(wù)支持驗證的過程

Fig.2Process of task support verification

5.3任務(wù)支持驗證的工具

可以利用實體模型（Mockup）來進(jìn)行部分任務(wù)支持驗證，如C2項目中利用Mockup對LOCA工況和從冷停堆到100%功率運(yùn)行工況進(jìn)行了初步的任務(wù)支持驗證。

6HFE設(shè)計驗證

6.1HFE設(shè)計驗證的目標(biāo)

HFE設(shè)計驗證的目標(biāo)是驗證HSI的特性及其使用環(huán)境符合HFE導(dǎo)則。即驗證HSI的所有方面（如控制、顯示、規(guī)程等）與認(rèn)可的HFE導(dǎo)則、標(biāo)準(zhǔn)和原則是一致的。

6.2HFE設(shè)計驗證的方法和過程

HFE設(shè)計驗證采用比較分析法，由沒有參加過本項目相關(guān)系統(tǒng)設(shè)計的驗證者對將當(dāng)前狀態(tài)的HSI部件的特性與HFE導(dǎo)則（如C-2項目開發(fā)了控制盤、臺設(shè)計導(dǎo)則、工作空間設(shè)計導(dǎo)則等一系列HFE導(dǎo)則）進(jìn)行對照分析，過程如圖3所示。根據(jù)每一條導(dǎo)則，確定相應(yīng)的HSI是“通過”還是“不通過”，不通過的被列為HED。對于任何偏差，都將給出偏差評價。當(dāng)HFE設(shè)計驗證完成后，可能出現(xiàn)設(shè)計變更。在新的設(shè)計變更被批準(zhǔn)后，將對這些新的設(shè)計變更進(jìn)行HFE設(shè)計驗證，以確保設(shè)計變更沒有帶來負(fù)面影響。

圖3HFE設(shè)計驗證的過程

Fig.3Process of HFE design verification

6.2.2HSI特性分類

由于一條導(dǎo)則可能對應(yīng)許多相同或類似的HSI部件，而有些導(dǎo)則是總體性的。為了簡化驗證過程，將HSI特性分為“總體特性”、“標(biāo)準(zhǔn)化特性”和“特殊特性”三類，每一類采取特定的驗證方案。

a)總體特性

總體特性是與HSI的配置和環(huán)境方面有關(guān)的特性（如主控制室的布置、控制臺、盤的一般配置），這些特性傾向于只做一次評估。

b)標(biāo)準(zhǔn)化特性

標(biāo)準(zhǔn)化特性是適合于多種HSI資源的通用特性，對于完全標(biāo)準(zhǔn)的標(biāo)準(zhǔn)化特性（如某類控制器的通用特性、VDU屏幕的菜單欄等）只做一至兩次評估，對于不完全標(biāo)準(zhǔn)的特性（如VDU顯示格式等）則進(jìn)行多次抽樣評估。

c)特殊特性

“特殊特性”是適合于單個HSI資源的HFE導(dǎo)則，對其采取逐一進(jìn)行評估的驗證方式。

6.3HFE設(shè)計驗證的工具

對于HFE設(shè)計驗證中盤臺相關(guān)特性的驗證，可以利用實體模型（Mockup）來進(jìn)行，如C-2項目中利用1：1全范圍Mockup對控制盤臺的外形尺寸、控制器和顯示器的布置、標(biāo)記和分界線以及盤面布置等各方面的HFE設(shè)計進(jìn)行了驗證。

其他HFE設(shè)計驗證工具還包括模擬機(jī)或同最終工程實施一致的設(shè)計平臺等。

7集成系統(tǒng)確認(rèn)

7.1集成系統(tǒng)確認(rèn)的目標(biāo)

集成系統(tǒng)確認(rèn)是基于性能的試驗。它根據(jù)運(yùn)行條件取樣的結(jié)果，采用一系列有代表性的試驗情境來測試和評估人機(jī)接口設(shè)計的可用性和容錯性（或敏感性），以及規(guī)程、培訓(xùn)和控制室人員配備水平的充分性（或不足），從而確定其能否合適地支持電廠安全運(yùn)行。

7.2集成系統(tǒng)確認(rèn)的方法和過程

集成系統(tǒng)的確認(rèn)采用試驗法。電廠操縱員利用模擬機(jī)或者其他合適的系統(tǒng)表現(xiàn)形式來演示運(yùn)行事件，以確定其支持安全運(yùn)行的充分性。

7.2.1性能測量

性能測量包括電廠的性能測量和人的行為測量。其中電廠的性能測量可作為確認(rèn)“通過/故障”準(zhǔn)則，人的行為測量能更好的理解人的行為并便于分析行為的錯誤。試驗設(shè)計者將識別性能測量的類別。

a) 電廠性能測量

對代表功能、系統(tǒng)、部件和HSI使用的電廠性能進(jìn)行測量。

b) 人的任務(wù)測量

對于每個特定的腳本，將對要求人執(zhí)行的任務(wù)進(jìn)行鑒別和評價。人的任務(wù)的測量有兩類：主要任務(wù)和次要任務(wù)。

c) 狀態(tài)理解

人對狀態(tài)的理解將進(jìn)行評價，測量狀態(tài)理解的方法將反映當(dāng)前的發(fā)展水平。

d) 智力負(fù)荷

將對人的智力負(fù)荷進(jìn)行評價，智力負(fù)荷的測量方法將反映當(dāng)前的發(fā)展水平。

e) 人體測量學(xué)和生理學(xué)因素

這些因素包括指示的可見性，控制設(shè)備的可進(jìn)入性及其操作的便利性。進(jìn)行上述因素測量時，重點放在只能在集成系統(tǒng)試驗時才能評價的設(shè)計問題。如工作人員有效使用各種控制器、顯示、工作站或組合控制器的能力。

7.2.2試驗設(shè)計

試驗設(shè)計分為以下三個部分。

7.2.2.1運(yùn)行班組與腳本的配對

將在各班組之間平衡地進(jìn)行分配腳本的重要特性，不推薦隨機(jī)分配[3]。將盡量向各個班組提供類似的有代表性的腳本。將仔細(xì)地權(quán)衡由班組人員演示的各種類型腳本的順序，使同樣的腳本不總是在同樣的順序位置上出現(xiàn)，如容易的腳本不總是首先出現(xiàn)。

7.2.2.2試驗規(guī)程

a) 將制定詳細(xì)、清晰、客觀的試驗規(guī)程，以便對試驗的實施進(jìn)行管理。

b) 試驗規(guī)程將盡可能減少試驗參與人員預(yù)期的偏差或參與者的響應(yīng)偏差。

7.2.2.3測試性試驗

確認(rèn)試驗前應(yīng)進(jìn)行至少一次測試性試驗，以評價試驗的設(shè)計、性能測量和數(shù)據(jù)收集方法的充分性。

7.2.3數(shù)據(jù)分析和解釋

7.2.3.1數(shù)據(jù)分析的準(zhǔn)則

a) 采用定量和定性方法的綜合進(jìn)行數(shù)據(jù)分析。根據(jù)分析建立被測性能與性能準(zhǔn)則之間的關(guān)系和依據(jù)；

b) 必須在設(shè)計確認(rèn)前確定用作確認(rèn)“通過/故障”的指示符。其他的性能測量不滿足準(zhǔn)則時應(yīng)采用HED評價過程進(jìn)行評價；

c) 應(yīng)對性能測量的收斂性和一致性進(jìn)行評價；

d) 對數(shù)據(jù)的正確性應(yīng)進(jìn)行獨(dú)立驗證；

e) 由于實際性能可能比確認(rèn)試驗中觀測的性能有一些變化，應(yīng)確定它們之間允許偏差的裕量。

集成系統(tǒng)確認(rèn)的過程見圖4所示。

圖4集成系統(tǒng)確認(rèn)的過程

Fig.4Process of integrated system validation

7.3集成系統(tǒng)確認(rèn)的工具

高度完整（界面的完整性）和逼真（界面的實體逼真性、界面的功能逼真性、環(huán)境逼真性、數(shù)據(jù)完整逼真性、數(shù)據(jù)內(nèi)容逼真性、數(shù)據(jù)動態(tài)逼真性）的模擬機(jī)將用于集成系統(tǒng)確認(rèn)試驗。

8人因偏差項的解決

8.1HED解決的目標(biāo)

HED解決的目標(biāo)是確保人因工程偏差被記錄和跟蹤，并在最終的電廠設(shè)計配置中被合理地處理。

8.2HED解決的方法和過程

HED解決主要采用評價分析法確定必須進(jìn)行設(shè)計改進(jìn)的內(nèi)容，然后研究、開發(fā)解決的方案，經(jīng)評價后進(jìn)行設(shè)計改進(jìn)。

HED的解決實施過程主要步驟如下所述：

a) HED合理性判定

評審小組對來自HFE 驗證和確認(rèn)過程的所有HED進(jìn)行初步評審，根據(jù)已形成文件的相關(guān)依據(jù)對HED的合理性進(jìn)行分析、評價。如果有充分理由證明該偏差的合理性，則該偏差被認(rèn)定為例外項。經(jīng)過合理性判定后，不能作為例外項的偏差將確定為不符合項。

b) 不符合項分級

HED糾正的確定將基于系統(tǒng)化的評價。在分析過程中將HED進(jìn)行分級：

1) 第一級：對安全有直接影響、間接影響或可能影響的HED屬于第一級。

2) 第二級：第二級HED對安全沒有重大影響，但可以對電廠性能/可運(yùn)行性、非安全有關(guān)的人的行為/工作效率、或整個電廠的可運(yùn)行性有影響。

3) 其余的HED。

c)不符合項分類和綜合效應(yīng)分析

應(yīng)先對不符合項進(jìn)行分類，然后進(jìn)一步考慮多個不符合項之間的相互關(guān)聯(lián)，進(jìn)行綜合效應(yīng)分析，以形成一個最佳的綜合性解決方案。

d)設(shè)計解決方案的開發(fā)和評價

將確定糾正HED的設(shè)計解決方案。該方案應(yīng)與前期分析中確定的系統(tǒng)和人員的要求一致。在制定方案時將考慮和分析各個HED之間的相互關(guān)系。解決各個HED的方案應(yīng)相互協(xié)調(diào)，各方案的聯(lián)合影響應(yīng)該增強(qiáng)而不是削弱該系統(tǒng)的運(yùn)行性能。

e)設(shè)計變更以及設(shè)計變更再驗證和確認(rèn)

對于人因V&V活動中相關(guān)的不符合項設(shè)計變更方案，應(yīng)先開展設(shè)計變更驗證，然后根據(jù)該設(shè)計變更的復(fù)雜程度及其影響，決定是否有必要進(jìn)行再確認(rèn)，直至不符合項關(guān)閉。

人因不符合解決的過程見圖5所示。

圖5人因不符合解決的過程

Fig.5Process of HED resolution

9結(jié)束語

本文雖然是以C2項目（采用常規(guī)儀表的控制室）為例論述控制室人因驗證和確認(rèn)的過程、方法、工具等內(nèi)容，但這些內(nèi)容和過程同樣適用于采用數(shù)字化儀控系統(tǒng)的先進(jìn)控制室（如AP1000主控制室）人因驗證和確認(rèn)活動，只不過驗證和確認(rèn)的側(cè)重點有所差別。此外，對于C3C4控制室系統(tǒng)的人因V&V活動，我們只需結(jié)合C2運(yùn)行經(jīng)驗反饋，重點關(guān)注其改進(jìn)部分即可。

參考文獻(xiàn):

NUREG 0700-2002. Human-System Interface Design Review Guidelines[S]. U.S. Nuclear Regulatory Commission, May 2002

EJ/T 1118-2000. 核電廠控制室設(shè)計驗證與確認(rèn)[S]. 中國國防科學(xué)技術(shù)工業(yè)委員會, 2001年2月

孫漢虹. 第3代核電技術(shù)AP1000[M]．北京：中國電力出版社，2010：433-438．

作者簡介：張洪（1979－），男，江蘇南通人，工程師，大學(xué)本科，從事核電控制室設(shè)計工作。

注：文章內(nèi)所有公式及圖表請以PDF形式查看