基于模擬機(jī)實(shí)驗(yàn)的核電廠數(shù)字化主控室人因失誤辨識

李鵬程，張 力,2，戴立操，胡 鴻,2

(1.南華大學(xué) 人因研究所，湖南 衡陽 421001；2.湖南工學(xué)院 人因與安全管理研究所，湖南 衡陽 421002)

隨著計算機(jī)技術(shù)、控制和信息技術(shù)的快速發(fā)展和日益成熟，核電廠中的儀表和控制系統(tǒng)由傳統(tǒng)的模擬控制發(fā)展為數(shù)字控制，控制室人-機(jī)界面由常規(guī)監(jiān)控盤臺為主發(fā)展為以計算機(jī)工作站為主。新技術(shù)(如數(shù)字化技術(shù))是引發(fā)情境環(huán)境變化的根源，且所有的操縱員行為均會受其所處的情境環(huán)境的影響。對于核電廠操縱員，數(shù)字化主控室與傳統(tǒng)的模擬主控室相比，在技術(shù)系統(tǒng)、人-系統(tǒng)界面、規(guī)程系統(tǒng)、報警系統(tǒng)、分析和決策支持系統(tǒng)、班組之間的結(jié)構(gòu)和交流路徑等影響人的可靠性的情境環(huán)境發(fā)生了變化[1-5]。這些變化導(dǎo)致操縱員的認(rèn)知過程和行為響應(yīng)方式也發(fā)生了變化，從而出現(xiàn)新的人因失誤機(jī)理，包括新的人因失誤模式(如模式混淆、情境意識的喪失)、新的行為形成因子(如界面管理任務(wù))、新的人與自動化的交互方式以及新的人因失誤分布(如執(zhí)行型失誤的增加)等[6]，因此，傳統(tǒng)的人因可靠性分析模型、方法和數(shù)據(jù)難以滿足當(dāng)前人因失誤和可靠性分析的要求。目前，基于計算機(jī)的數(shù)字化技術(shù)對操縱員的影響越來越受到大家的關(guān)注。本文對數(shù)字化主控室的人因失誤進(jìn)行分類，通過全尺寸模擬機(jī)實(shí)驗(yàn)來辨識數(shù)字化主控室中操縱員發(fā)生的主要人因失誤模式及其原因，為人因失誤的預(yù)防提供理論支持。

1 數(shù)字化主控室的人因失誤分類

1.1 人因失誤的定義

人因失誤的定義是進(jìn)行人因失誤分類的基礎(chǔ)。事實(shí)上，不同學(xué)科領(lǐng)域的學(xué)者對人因失誤有不同的定義，且術(shù)語“人因失誤”也已用于表示事情的原因、事件本身(行為)以及行為的后果[7]。如Rigby[8]將人因失誤定義為：作用于系統(tǒng)的人的行為沒有或沒有充分滿足系統(tǒng)的要求稱為人因失誤。Swain[9]將人因失誤定義為：能夠或有可能引發(fā)不期望事件的所有人的行為或疏忽。上述定義主要是依據(jù)行為的后果進(jìn)行確定的，工程技術(shù)人員趨向于將人看作是技術(shù)系統(tǒng)中的一組成部分，像描述設(shè)備的成功或失效一樣來看待人工操作的成功與失敗。

Reason[10]認(rèn)為：人因失誤就是計劃中的心理和身體行為序列在執(zhí)行后沒能達(dá)到意向中的結(jié)果，且這種失效不能歸因于隨機(jī)觸發(fā)因素的干擾作用。該定義是從心理學(xué)角度根據(jù)事件本身(行為)進(jìn)行定義的，人被看作是技術(shù)系統(tǒng)中的一信息處理組分。心理學(xué)家通常最初假設(shè)人的行為基本上是帶有目的性，只有依據(jù)人的主觀目標(biāo)和意向才能完全懂得人的行為。由該定義可知，人因失誤應(yīng)包括內(nèi)部的失誤模式與外部的失誤模式。

Str?ter[11]將人因失誤定義為：人因失誤一直存在于工作系統(tǒng)中，它具有引起工作系統(tǒng)處于非期望的或錯誤的狀態(tài)的特性，它的產(chǎn)生導(dǎo)致系統(tǒng)需求處于沒有滿足或未能充分滿足的狀態(tài)，個人是工作系統(tǒng)的一組分，并與工作中的其他組分相互作用，工作系統(tǒng)中的所有組分相互依賴，相互影響。由Str?ter的定義可知，其人因失誤對應(yīng)于“失誤作為原因”、“失誤作為后果”，而沒有涉及“失誤作為行為/事件本身”。

根據(jù)上述定義可知，人因失誤的定義是多種多樣的，但不管如何定義，人因失誤一般具有以下3個基本的性質(zhì)：

1) 人工操作是一有組織的機(jī)體，它像系統(tǒng)的硬件和軟件一樣具有失效率與容許度。

2) 人因失誤包括隱性失誤(認(rèn)知失誤)和顯性失誤(動作失誤，可觀察到的)。隱性失誤是導(dǎo)致顯性失誤的原因之一，也是人因失誤分析不可缺少的重要組成部分。

3) 相對于正常的人的行為，人因失誤是一貶義詞，它的產(chǎn)生一般歸因于各種不利的情境環(huán)境條件。從工程應(yīng)用的角度看，如核電廠中的人因可靠性分析，一般關(guān)注的是可能引起非期望后果的人的行為。因此，從工程的視角看，根據(jù)人的行為的后果來判定其是否屬于人因失誤是有其合理性的。

從理論和工程應(yīng)用兩方面，同時兼顧技術(shù)系統(tǒng)的局限性和人的局限性對人因失誤進(jìn)行全面定義：對于前線操縱員，受其個人的內(nèi)部因素和所處外部情境因素的共同影響，使其不能精確地、恰當(dāng)?shù)?、充分地、可接受地完成其所?guī)定的績效標(biāo)準(zhǔn)范圍內(nèi)的任務(wù)以滿足系統(tǒng)的需求，則操縱員的這些行為(內(nèi)在認(rèn)知的和外在可觀察到的行為)或疏忽被稱為人因失誤。簡而言之，人因失誤就是人的認(rèn)知失誤和行為失誤(可觀察到的)，人的認(rèn)知功能和行為響應(yīng)沒有達(dá)到正確和預(yù)期的標(biāo)準(zhǔn)和任務(wù)績效。

1.2 數(shù)字化主控室中操縱員的認(rèn)知模型

Rouse等[12]認(rèn)為，如果人因失誤是基于失誤發(fā)生于其中的過程模型來進(jìn)行分類，則會提高人因失誤分類圖式的內(nèi)部一致性。這樣一個模型有利于識別不同的分類以及說明分類之間的關(guān)系。Kirwan[13]也認(rèn)為一個理論上合理的模型或框架對于減少失誤是十分重要的。盡管存在大量典型的人員認(rèn)知模型或框架(信息處理模型[14]、決策階梯模型與技能-規(guī)則-知識(S-R-K)模型[15]、7階段認(rèn)知模型[16-17]、通用失誤模擬系統(tǒng)[10]、操縱員的概念模型[12]、簡單認(rèn)知模型[7，18]、認(rèn)知模型[19]、IDAC模型[20]以及美國核管會發(fā)展的模型[21]等)，但由于新技術(shù)出現(xiàn)帶來的影響，上述認(rèn)知模型或框架不能完全用于分析核電廠數(shù)字化主控室操縱員的行為。因此，需發(fā)展新的認(rèn)知模型來指導(dǎo)核電廠數(shù)字化主控室的人因失誤分類和分析，本文建立的數(shù)字化主控室的認(rèn)知模型主要是基于美國核管會的模型(圖1)并通過認(rèn)知任務(wù)分析建立起來的。

圖1 核電廠操縱員的認(rèn)知行為模型

人的操作響應(yīng)行為均是在特定的場景中執(zhí)行，由于技術(shù)的發(fā)展和自動化程度的提高，在核電廠這種復(fù)雜的社會-技術(shù)系統(tǒng)中，操縱員的主要任務(wù)表現(xiàn)為認(rèn)知任務(wù)(圖1)，主要包括：1) 監(jiān)視/發(fā)覺；2) 狀態(tài)評價；3) 響應(yīng)計劃；4) 響應(yīng)執(zhí)行[21-22]。上述4個過程被看作認(rèn)知域[23]，其內(nèi)部還包括若干認(rèn)知功能，用認(rèn)知域來表示有助于克服早期信息處理理論的序列處理的過時思想。

1.3 認(rèn)知域的界定

國際上對圖1中操縱員的4個認(rèn)知域還沒有統(tǒng)一的清晰界定，從而導(dǎo)致混用并在工程應(yīng)用上存在困難。認(rèn)知域的界定對于確定認(rèn)知域的邊界和工程應(yīng)用是有益的。監(jiān)視/發(fā)覺是指從復(fù)雜動態(tài)的工作環(huán)境中獲取信息的行為[24]。當(dāng)核電廠發(fā)生異常狀態(tài)時，操縱員將根據(jù)核電廠的狀態(tài)參數(shù)構(gòu)建一合理的和合乎邏輯的解釋，來評估電廠所處的狀態(tài)，作為后續(xù)的響應(yīng)計劃和響應(yīng)執(zhí)行決策的依據(jù)。這一系列過程稱為狀態(tài)評估(或情境意識)，并涉及兩個相關(guān)模型，即狀態(tài)模型和心智模型[25]。狀態(tài)模型就是操縱員對特定狀態(tài)的理解，且當(dāng)收集到新的信息時，狀態(tài)模型會被經(jīng)常更新。心智模型是通過正式的教育、具體的培訓(xùn)和操縱員經(jīng)驗(yàn)來構(gòu)建，并存儲于大腦中。狀態(tài)評估過程主要就是發(fā)展一狀態(tài)模型來描述當(dāng)前電廠的狀態(tài)。響應(yīng)計劃是指為解決異常事件而制定行動方針、方法或方案的決策過程[26]。響應(yīng)執(zhí)行就是執(zhí)行在響應(yīng)計劃中確定的動作或行為序列。

1.4 基于認(rèn)知行為分析的人因失誤分類

對各種人因失誤分類進(jìn)行區(qū)分是非常重要的，因不同的失誤類型有不同的基本的失誤機(jī)制(不同的心理起源)，發(fā)生在不同的系統(tǒng)部位，由不同的失誤原因引起以及需要不同的方法來進(jìn)行失誤管理和糾正[22]。

1) 監(jiān)視/發(fā)覺認(rèn)知失誤分類

在監(jiān)視/發(fā)覺認(rèn)知過程中，最主要的功能是獲取信息和搜索信息，這種監(jiān)視行為主要有數(shù)據(jù)驅(qū)動的監(jiān)視(環(huán)境主導(dǎo)，從現(xiàn)象到本質(zhì)，從微觀到宏觀)和知識驅(qū)動的監(jiān)視(知識經(jīng)驗(yàn)主導(dǎo)，從規(guī)律到數(shù)據(jù)，從宏觀到微觀)。數(shù)據(jù)驅(qū)動的監(jiān)視受人-機(jī)界面設(shè)計特征或信息特征的影響，如信息的表現(xiàn)形式、信息的醒目性(尺寸、亮度、聲音的大小等)以及信息行為(如信息信號的頻寬及變化率等)，例如，信號變化迅速會被操縱員頻繁注意。由于這種監(jiān)視是受信息的特征驅(qū)動的，因此，一般該類監(jiān)視被認(rèn)為是“被動的”，而知識驅(qū)動的監(jiān)視一般看作是“主動的”監(jiān)視，因?yàn)椴倏v員不僅對環(huán)境特征(如報警、系統(tǒng)失效)做出響應(yīng)，且操縱員會有意將自己的注意力導(dǎo)向能完成特定目標(biāo)的特定信息呈現(xiàn)區(qū)(亦可稱目標(biāo)驅(qū)動)。由于受感知到的報警、系統(tǒng)失效或備選目標(biāo)的影響，故其也稱為模型驅(qū)動的信息搜索[26-27]。在緊急情況下，核電廠操縱員需監(jiān)視許多信息，但操縱員只有有限的注意資源和記憶能力。因此，如果沒有很好地分配注意資源和記憶能力，則會導(dǎo)致信息搜索失誤，從而引起各種認(rèn)知失誤。

在數(shù)字化控制系統(tǒng)中，操縱員需要從畫面(報警畫面、規(guī)程畫面、狀態(tài)畫面等)、后備盤、電廠記錄日志和紙質(zhì)規(guī)程中等獲取信息。操縱員為了獲取信息，首先要產(chǎn)生監(jiān)視行為(看、聽，有主動看，有被動發(fā)覺)、然后視覺需定位到監(jiān)視目標(biāo)、對目標(biāo)進(jìn)行辨認(rèn)，如讀規(guī)程，再從畫面中找信息，進(jìn)行認(rèn)識。假設(shè)針對事故后規(guī)程中的基本任務(wù)“確認(rèn)RCP016KG處于自動”，則操縱員首先需執(zhí)行監(jiān)視行為(看、聽、讀)，然后需對這個基本任務(wù)的認(rèn)識，再者需在畫面中定位或搜索到RCP016KG，最終完成單個信息的監(jiān)視。如果對于復(fù)雜的任務(wù)，需搜集多個信息，不過也是重復(fù)單個信息的認(rèn)知過程。在此過程中可能產(chǎn)生的監(jiān)視失誤列于表1。如針對多個信息搜索有：遺漏信息、收集到不相關(guān)的信息、收集到多余的信息、信息收集不充分，分別采用關(guān)鍵詞列于表1中。

2) 狀態(tài)評價認(rèn)知失誤分類

在核電廠數(shù)字化控制系統(tǒng)中，由于自動化水平的提高，諸多的復(fù)雜任務(wù)均被自動化所取代(如安注是否投運(yùn)，是否失去給水等)，由操縱員支持系統(tǒng)來支持操縱員的診斷和判別。事故情況下，當(dāng)前操縱員的任務(wù)更多表現(xiàn)為簡單任務(wù)，主要表現(xiàn)在信息比較(如溫度、壓力的比較)、簡單判斷(如確認(rèn)報警是否出現(xiàn)，至少1個蒸發(fā)器被隔離)、簡單計算(如兩個蒸發(fā)器的壓差是否大于1 MPa(g))等。因此，對于這些簡單任務(wù)的評估稱之為信息比對，即監(jiān)視中識別的參數(shù)與規(guī)程中規(guī)定的參數(shù)的比較或系統(tǒng)組件的狀態(tài)確定。再者，若干簡單任務(wù)的組合可識別出系統(tǒng)組件的狀態(tài)(如是否關(guān)閉RCP泵需判斷一系列標(biāo)準(zhǔn))，通過簡單任務(wù)的比對，可得到單一參數(shù)的結(jié)果，然后將這些結(jié)果進(jìn)行信息整合(涉及理解和推理)，識別更大的組件或子系統(tǒng)的狀態(tài)，這一系列行為過程可能涉及的認(rèn)知功能包括“信息比對”、“信息的整合”、“狀態(tài)的理解”。對于更為復(fù)雜的事故的判斷(盡管DOS規(guī)程不需要判斷發(fā)生何種事故，但關(guān)鍵的六大參數(shù)及其組合的判斷也是復(fù)雜的)，則需對各種子系統(tǒng)的狀態(tài)的組合進(jìn)行判斷，同樣涉及上述認(rèn)知功能。同樣，對于不同的故障、失效或事故的原因需要識別，才有利于響應(yīng)計劃的選擇和制定，再者事故的嚴(yán)重性、組件、子系統(tǒng)和系統(tǒng)未來發(fā)展的情況需要做出預(yù)測。對于新出現(xiàn)的情況，操縱員也需根據(jù)自己的知識和經(jīng)驗(yàn)，以及有限的數(shù)據(jù)，進(jìn)行狀態(tài)預(yù)計和深層次的推理來評估當(dāng)前狀態(tài)。因此，狀態(tài)評估中還涉及的認(rèn)知功能有“原因識別”、“狀態(tài)預(yù)計”。同樣，在越高一級的和復(fù)雜的狀態(tài)的情境意識中越需“監(jiān)視”、“響應(yīng)計劃”以及“響應(yīng)執(zhí)行”的認(rèn)知功能的支持。

表1 核電廠數(shù)字化主控室人因失誤分類

在數(shù)字化控制室中，需對信息進(jìn)行比對和判斷，識別參數(shù)是否異常，從而容易產(chǎn)生信息的比對失誤，沒有比對或比對延遲。針對復(fù)雜任務(wù)，在搜集若干信息(在監(jiān)視中完成)并進(jìn)行比對后，對這些信息進(jìn)行整合，綜合考慮系統(tǒng)狀態(tài)，有可能產(chǎn)生對狀態(tài)的解釋錯誤、對狀態(tài)的解釋不充分、對狀態(tài)的解釋延遲以及解釋的喪失，比如有些參數(shù)與許多系統(tǒng)相關(guān)，則需進(jìn)一步搜集相關(guān)信息才能做出進(jìn)一步的解釋。其他具體的分類列于表1。

3) 響應(yīng)計劃認(rèn)知失誤分類

在應(yīng)急條件下，操縱員先識別目標(biāo)，為了完成目標(biāo)，就會產(chǎn)生一種或多種可供選擇的響應(yīng)方案，評估可供選擇的方案，選擇最優(yōu)的行為方案執(zhí)行以達(dá)到目標(biāo)。一般而言，核電廠有正式的紙質(zhì)和電子規(guī)程來指導(dǎo)操縱員的響應(yīng)，但多年的實(shí)踐和大量的案例表明操縱員不一定完全按規(guī)程辦事，且盡管有規(guī)程指導(dǎo)，但規(guī)程不一定完全正確[28-29]。因此，操縱員在制定、評價和選擇響應(yīng)計劃的過程中，可能出現(xiàn)各種人因失誤。如果存在響應(yīng)計劃，操縱員可能在選擇響應(yīng)計劃時出現(xiàn)錯誤，或未能做出選擇，選擇之后，操縱員需跟隨響應(yīng)計劃，在跟隨的過程中可能出現(xiàn)失誤，如果沒有響應(yīng)計劃，操縱員需重新評估做出新的響應(yīng)計劃，但響應(yīng)計劃可能是錯誤的、不充分的、無法做出以及延遲做出等。具體的分類列于表1。

4) 響應(yīng)執(zhí)行失誤分類

響應(yīng)執(zhí)行涉及可觀察到的行為失誤。行為失誤是指在事件/事故發(fā)生之前，一線操縱員失誤的外在表象。行為失誤發(fā)生在四維時空中，可用外在失誤模式(EEM)來表示。行為失誤模式可分為操作遺漏、錯誤的目標(biāo)、錯誤的操作、不充分的操作和操作延遲5大類，其中操作遺漏包括遺漏規(guī)程中的步驟、沒有認(rèn)識到未執(zhí)行的動作、遺漏規(guī)程步驟中的一個指令等；錯誤的目標(biāo)包括正確的操作在錯誤的目標(biāo)上、錯誤的操作在錯誤的目標(biāo)上；不充分的操作包括操作太長/太短、操作太大/太小、操作不及時、操作不完整、調(diào)節(jié)速度太快/太慢；錯誤的操作包括操作在錯誤的方向上、錯誤的操作在正確的目標(biāo)上、操作序列錯誤、數(shù)據(jù)輸入錯誤、記錄錯誤；操作延遲是指操作太晚。另外，對于班組之間的交流錯誤，可歸類到行為響應(yīng)失誤分類中，包括錯誤的交流、不充分的交流、沒有交流。具體的分類列于表1。

2 基于模擬機(jī)實(shí)驗(yàn)的人因失誤辨識

為識別核電廠數(shù)字化控制系統(tǒng)中發(fā)生的主要人因失誤模式，采用全尺寸模擬機(jī)實(shí)驗(yàn)并結(jié)合操縱員訪談來對人因失誤模式及原因進(jìn)行識別。2011年模擬事故復(fù)訓(xùn)安排在11月至12月進(jìn)行，共對4個班組(其中1個臨時班組)參加的培訓(xùn)進(jìn)行了觀察、錄像和分析。每個班組有RO1(一回路操縱員)、RO2(二回路操縱員)、協(xié)調(diào)員、值長4位操縱員，其中RO1主要負(fù)責(zé)一回路的系統(tǒng)控制，RO2主要負(fù)責(zé)二回路的系統(tǒng)控制，協(xié)調(diào)員主要負(fù)責(zé)兩位操縱員的協(xié)調(diào)和監(jiān)護(hù)，值長主要負(fù)責(zé)對電廠狀態(tài)的重要決策。他們的平均年齡為29歲，最小年齡為26歲，最大年齡為35歲，均有5年以上核電廠工作經(jīng)驗(yàn)。另外，教員會在模擬培訓(xùn)中扮演主控室外的多個角色，以上培訓(xùn)過程模擬真實(shí)事故環(huán)境。每個班組的培訓(xùn)時間為1周，每天3 h模擬培訓(xùn)和3 h討論分析，培訓(xùn)內(nèi)容主要為常見的單個嚴(yán)重事故(如失電、燃料包殼破損泄漏、一回路管道破口、二回路管道破口、失去熱阱、失去給水等)或這些事故的疊加。培訓(xùn)過程中主要培訓(xùn)操縱員及其班組對事故的監(jiān)視、診斷和處理能力。主要的模擬機(jī)實(shí)驗(yàn)場景(復(fù)訓(xùn))列于表2。

表2 主要的模擬機(jī)實(shí)驗(yàn)場景

通過分析會的討論與錄相分析，識別的主要人因失誤模式與引發(fā)失誤的原因列于表3。依據(jù)模擬機(jī)實(shí)驗(yàn)結(jié)果可知，在每個認(rèn)知域中均發(fā)生了人因失誤模式。

表3 模擬機(jī)實(shí)驗(yàn)識別的主要人因失誤模式及原因

續(xù)表3

在監(jiān)視/發(fā)覺的認(rèn)知階段，發(fā)生的主要人因失誤包括“信息定位喪失”、“沒有監(jiān)視到(看到或聽到)”、“監(jiān)視延遲”和“未能認(rèn)識”，引起這些失誤的原因主要涉及“信息所在的畫面被覆蓋”、“需要的信息在畫面中的位置不固定”、“信息之間的關(guān)聯(lián)性由成百上千的一張張畫面被分隔，操縱員看起來需完成復(fù)雜的“拼圖游戲”一樣來對信息進(jìn)行關(guān)聯(lián)”，這些數(shù)字化主控室的新特征將增加操縱員的認(rèn)知負(fù)荷(如記憶負(fù)荷和注意負(fù)荷)。另外，這也是操縱員不能遵從特定的行為規(guī)范的原因之一。

在狀態(tài)評價認(rèn)知階段，識別的主要人因失誤包括“狀態(tài)的誤解”、“未能對狀態(tài)做出解釋，即解釋喪失”、“不充分的解釋”和“原因辨識失誤”。引發(fā)這些問題的原因主要包括“人機(jī)界面的問題，如信息的相似性”、“技術(shù)系統(tǒng)的問題，如自動化水平的高低和系統(tǒng)響應(yīng)的延遲等”。例如，有些規(guī)程被計算機(jī)自動執(zhí)行，使得操縱員沒有參與到這些規(guī)程任務(wù)的執(zhí)行中，從而使操縱員容易喪失對該類任務(wù)的情境意識。再者，大量的信息有限顯示，會產(chǎn)生一個新的問題——鎖孔效應(yīng)，操縱員需要復(fù)雜導(dǎo)航并且只能看到畫面的一小部分，而對整個電廠狀態(tài)缺乏認(rèn)識，這就像通過門上的一個小孔來看外面的世界，只能看到一部分?！安倏v員完成任務(wù)的時間與系統(tǒng)確定的可用時間不是很匹配，有時操縱員的工作很閑，有時操縱員的任務(wù)忙不過來，如在誤安注的情況下”，這將給操縱員帶來心理負(fù)荷和壓力。此外，不充分的培訓(xùn)、知識、經(jīng)驗(yàn)和技能也是引發(fā)狀態(tài)評估失誤的主要原因之一。

在響應(yīng)計劃階段，發(fā)生的主要人因失誤包括“計劃跟隨失誤”、“計劃選擇失誤”，其主要原因在于“時間壓力”，例如由復(fù)雜的界面管理任務(wù)帶來的時間壓力，和操縱員沒有遵從行為規(guī)范以及故意違規(guī)等引起響應(yīng)計劃失誤。

在響應(yīng)執(zhí)行階段，發(fā)現(xiàn)主要的失誤模式包括“操作遺漏”、“調(diào)節(jié)失誤”、“操作延遲”、“操作在錯誤的方向”、“不充分的信息交流”、和“錯誤的信息交流”。引發(fā)這些失誤的原因涉及“人機(jī)界面問題，如畫面的相似性”、“技術(shù)系統(tǒng)問題，如系統(tǒng)反饋延遲”、“由任務(wù)的復(fù)雜性和緊急性帶來的負(fù)荷”、“班組結(jié)構(gòu)，如變化的班組交流路徑和角色”等。詳細(xì)的有關(guān)組織與原因的分析結(jié)果列于表3(原因的辨識框架選取參見文獻(xiàn)[30])。毋庸置疑，前面的認(rèn)知功能失誤不僅可以引發(fā)后續(xù)的認(rèn)知功能失誤，而且可能在下一階段得到發(fā)現(xiàn)和恢復(fù)。

3 結(jié)論

在核電廠數(shù)字化主控室中(基于計算機(jī)的主控室)，由于影響操縱員行為可靠性的情境環(huán)境發(fā)生了變化，這些變化的主控室設(shè)計特征改變了操縱員的認(rèn)知行為機(jī)理，可能給操縱員的可靠性帶來不利影響。因此，為了識別數(shù)字化主控室中操縱員的人因失誤模式，本文通過現(xiàn)場觀察、操縱員訪談和模擬機(jī)實(shí)驗(yàn)，建立了數(shù)字化控制系統(tǒng)中的人因失誤分類體系，并通過模擬機(jī)實(shí)驗(yàn)辨識出主要的人因失誤，得到如下結(jié)論。

1) 改變的情境環(huán)境特征可能對操縱員的情境意識等產(chǎn)生不利影響。

2) 基于認(rèn)知任務(wù)分析識別數(shù)字化控制系統(tǒng)中操縱員在監(jiān)視/發(fā)覺、狀態(tài)評價、響應(yīng)計劃和響應(yīng)執(zhí)行的認(rèn)知域中主要包括的認(rèn)知功能有：信息搜索、信息比對、信息整合、狀態(tài)理解、原因辨識、計劃跟隨、操作等。應(yīng)急事故規(guī)程中任務(wù)的完成需要若干個認(rèn)知功能的支持，支持的認(rèn)知功能可能處在不同的認(rèn)知域中。

3) 基于認(rèn)知模型和任務(wù)分析對人因失誤進(jìn)行了分類，并通過模擬機(jī)實(shí)驗(yàn)識別數(shù)字化主控室中操縱員的主要人因失誤，包括狀態(tài)解釋錯誤、喪失對狀態(tài)的解釋、對狀態(tài)的解釋不充分以及原因辨識錯誤等。

盡管建立了核電廠數(shù)字化主控室人因失誤分類，并通過模擬機(jī)實(shí)驗(yàn)辨識出主要的人因失誤模式，但人因失誤的概率、影響人因失誤的因素、人因失誤與影響因素的因果關(guān)系及工程應(yīng)用問題等還需進(jìn)一步深入研究。

參考文獻(xiàn)：

[1] SHERIDAN T B. Telerobotics, automation, and human supervisory control[M]. Cambridge, Mass: The MIT Press, 1992.

[2] WOODS D D, JOHANNESEN L J, COOK R I, et al. Behind human error: Cognitive systems, computers, and hindsight[M]. Wright-Patterson AFB, Ohio: Crew Systems Ergonomics Information Analysis Center, 1994.

[3] Committee on Application of Digital Instrumentation and Control Systems to Nuclear Power Plant Operations and Safety, National Research Council. Digital instrumentation and control systems in nuclear power plants: Safety and reliability issues[M]. Washington D. C.: The National Academies Press, 1997.

[4] O’HARA J M, BROWN W S, LEWIS P M, et al. The effects of interface management tasks on crew performance and safety in complex, computer-based systems: Detailed analysis, NUREG/CR-6690(Vol.2)[R]. Washington D. C.: Nuclear Regulatory Commission, 2002.

[5] O’HARA J M, HIGGINS J C, STUBLER W F. Computer-based procedure systems: Technical basis and human factors review guidance, NUREG/CR-6634[R]. Washington D. C.: Nuclear Regulatory Commission, 2000.

[6] SARTER N N, WOODS D D, BILLINGS C E. Automation surprises[M]∥SALVENDY G. Handbook of human factors/ergonomics. New York: Wiley, 1997.

[7] HOLLNAGEL E. Human reliability analysis: Context and control[M]. London: Academic Press, 1993.

[8] RIGBY L. The nature of human error[C]∥24 Annual Technical Conference Transaction of the ASQC. Pittsburgh, PA: [s. n.], 1970.

[9] SWAIN A D. Quantitative assessment of human errors[M]. K?ln, Germany: Protokoll des Vortrages bei der GRS im Juni GRS, 1992.

[10] REASON J. Human error[M]. Cambridge: Cambridge University Press, 1990.

[12] ROUSE W B, ROUSE S H. Analysis and classification of human error[J]. IEEE Transactions on Systems Man and Cybernetics, 1983, 14: 539-549.

[13] KIRWAN B. Human error identification in human reliability assessment, Part 1: Overview of approaches[J]. Applied Ergonomics, 1992, 23(5): 299-318.

[14] WICKENS C. Engineering psychology and human performance[M]. New York: [s. n.], 1992.

[15] RASMUSSEN J. Information processing and human-machine interaction: An approach to cognitive engineering[M]. New York: North-Holland, 1986.

[16] NORMAN D A. Categorisation of action slips[J]. Psychological Review, 1981, 88: 1-15.

[17] NORMAN D A. Cognitive engineering[M]∥NORMAN D A, DRAPER S W. User centered system design: New perspectives on human-computer interaction. Lawrence Erlbaum: [s. n.], 1986.

[18] HOLLNAGEL E. Cognitive reliability error analysis method[M]. London: Elsevier, 1998.

[19] JONES D G, ENDSLEY M R. Sources of situation awareness errors in aviation[J]. Aviation, Space, and Environmental Medicine, 1996, 67(6): 507-512.

[20] CHANG Y H J. Cognitive modeling and dynamic probabilistic simulation of operating crew response to complex system accident(ADS-IDACrew)[D]. Maryland: University of Maryland, 1999.

[21] THOMPSON C M, COOPER S E, BLEY D C, et al. The application of ATHEANA: A technique for human error analysis[C]∥IEEE Sixth Annual Human Factors Meeting. Florida: [s. n.], 1997.

[22] REASON J, MADDOX M E. Human factors guide for aviation maintenance[M]. Washington D. C.: Federal Aviation Administration/Office of Aviation Medicine, 1996

[23] REASON J T. A framework for classifying errors[M]∥RASMUSSEN J, DUNCAN K D, LEPLAT J. New technology and human error. Chichester: Wiley, 1987.

[24] O’HARA J M, HIGGINS J C, STUBLER W F, et al. Computer-based procedure systems: Technical basis and human factors review guidance, NUREG/CR-6634[R]. Washington D. C.: Nuclear Regulatory Commission, 2000.

[25] O’HARA J M, HIGGINS J C, KRAMER J. Advanced information systems: Technical basis and human factors review guidance, NUREG/CR-6633[R]. Washington D. C.: Nuclear Regulatory Commission, 2000.

[26] VICENTE K J, MUMAW R J, ROTH E M. Operator monitoring in a complex dynamic work environment: A qualitative cognitive model based on field observations[J]. Theoretical Issues in Ergonomics Science, 2004, 5(5): 359-384.

[27] KONTOGIANNIS T. A framework for the analysis of cognitive reliability in complex systems: A recovery centred approach[J]. Reliability Engineering and System Safety, 1997, 58(3): 233-248.

[28] 張力，趙明. WANO人因事件統(tǒng)計及分析[J]. 核動力工程，2005，26(3)：291-296.

ZHANG Li, ZHAO Ming. Statistics and analysis of WANO human factor events[J]. Nuclear Power Engineering, 2005, 26(3): 291-296(in Chinese).

[29] 張力，鄒衍華，黃衛(wèi)剛. 核電站運(yùn)行事件人誤因素交互作用分析[J]. 核動力工程，2010，31(6)：41-46.

ZHANG Li, ZOU Yanhua, HUANG Weigang. Interactive analysis of human error factors in NPP operation events[J]. Nuclear Power Engineering, 2010, 31(6): 41-46(in Chinese).

[30] LI P C, CHEN G H, DAI L C, et al. A fuzzy Bayesian network approach to improve the quantification of organizational influences in HRA frameworks[J]. Safety Science, 2012, 50(7): 1 569-1 583.