核电厂控制室系统人因验证和确认

张洪张淑慧宋霏

摘要：首先简要介绍了人因验证和确认活动在控制室系统设计中的作用，阐述了人因验证和确认活动的组成部分和它们之间的相互关系，以C-2项目控制室系统为例分别详细论述了这些组成部分各自的目标、方法和过程、工具等内容。

关键词：控制室系统；人因；验证和确认

Abstract: this paper at first introduced the verification and validation activities for control in system design of the function, this paper expounds the verification and validation activities for part of their relationship, in C-2 project control system for example paper respectively the part of their goals, methods and processes, tools, etc.

Keywords: control system; Because people; Verification and validation

中图分类号：[TL48]文献标识码：A文章编号：

1人因工程概述

人因工程（HFE）是一门新兴的综合性学科。根据国际工效学学会（IEA）的定义，人因工程是一个研究人与系统其它元素之间交互作用的科学领域，是一个将理论、原则、数据、方法进行设计以提升人类福利并优化整体系统表现的学科。

在核电技术发展的最初20多年中，HFE的一些理念已部分地用于指导核设施的设计，但直到三哩岛核电厂和切尔诺贝利核电厂事故后，HFE才开始系统地应用于核设施的设计和运行中。大量的核电工程实践表明,有效的控制室人因工程设计与友好的人机界面对减少人因失误、提高核电厂运行的安全性、经济性有积极的作用。

2人因验证和确认的目的

人因验证和确认的目的是通过静态或动态的全面分析、评估控制室系统的设计是否符合人因工程设计原则，并且确保电厂工作人员成功地完成其任务以达到电厂安全和其他运行目标。

3人因验证和确认的总体流程

根据NUREG-0711，人因的V&V主要包括以下四项活动[1]：

a) 任务支持验证

b) 人因工程（HFE）设计验证

c) 集成系统确认

d) 人因偏差解决

在进行上述V&V活动前，首先应进行运行条件取样，并确定HSI设备清单及其特性。人因V&V的过程和各项活动之间的相互关系见图1。

图1人因验证和确认活动的总体流程

Fig.1Overview of V&V activities

4运行条件取样

在设计阶段对全部的运行工况和人员任务进行V&V既不现实也没有必要，所以可以采用运行条件取样的方法，通过制定适当的取样策略来选择有代表性的运行工况和人员任务。

运行条件取样的目标是保证样本具备以下特性：样本能覆盖电厂运行期间所有可能遇到的典型事件，同时包含会对系统性能产生影响的所有特性以及安全重要的HSI设备。

5任务支持验证

5.1任务支持验证的目标

任务支持验证的目标是验证HSI设计提供了支持电厂人员完成任务必需的所有报警、显示和控制，支持由任务分析规定的工作人员完成任务的要求。

5.2任务支持验证的方法和过程

任务支持验证采用比较分析法，由没有参加过本项目相关系统设计的验证者逐一将任务分析时对HSI的要求与当前状态的HSI及其特性进行比较和分析。如果HSI资源与人员任务要求不一致，将标识该结果，并列入偏差表，进入偏差解决过程。

当任务支持验证完成后，可能出现设计变更。在新的设计变更被批准后，应对设计变更对任务支持的影响进行评估，确保设计变更不会对先前已验证的任务支持造成负面的影响。

任务支持验证的过程见图2所示。

图2任务支持验证的过程

Fig.2Process of task support verification

5.3任务支持验证的工具

可以利用实体模型（Mockup）来进行部分任务支持验证，如C2项目中利用Mockup对LOCA工况和从冷停堆到100%功率运行工况进行了初步的任务支持验证。

6HFE设计验证

6.1HFE设计验证的目标

HFE设计验证的目标是验证HSI的特性及其使用环境符合HFE导则。即验证HSI的所有方面（如控制、显示、规程等）与认可的HFE导则、标准和原则是一致的。

6.2HFE设计验证的方法和过程

HFE设计验证采用比较分析法，由没有参加过本项目相关系统设计的验证者对将当前状态的HSI部件的特性与HFE导则（如C-2项目开发了控制盘、台设计导则、工作空间设计导则等一系列HFE导则）进行对照分析，过程如图3所示。根据每一条导则，确定相应的HSI是“通过”还是“不通过”，不通过的被列为HED。对于任何偏差，都将给出偏差评价。当HFE设计验证完成后，可能出现设计变更。在新的设计变更被批准后，将对这些新的设计变更进行HFE设计验证，以确保设计变更没有带来负面影响。

图3HFE设计验证的过程

Fig.3Process of HFE design verification

6.2.2HSI特性分类

由于一条导则可能对应许多相同或类似的HSI部件，而有些导则是总体性的。为了简化验证过程，将HSI特性分为“总体特性”、“标准化特性”和“特殊特性”三类，每一类采取特定的验证方案。

a)总体特性

总体特性是与HSI的配置和环境方面有关的特性（如主控制室的布置、控制台、盘的一般配置），这些特性倾向于只做一次评估。

b)标准化特性

标准化特性是适合于多种HSI资源的通用特性，对于完全标准的标准化特性（如某类控制器的通用特性、VDU屏幕的菜单栏等）只做一至两次评估，对于不完全标准的特性（如VDU显示格式等）则进行多次抽样评估。

c)特殊特性

“特殊特性”是适合于单个HSI资源的HFE导则，对其采取逐一进行评估的验证方式。

6.3HFE设计验证的工具

对于HFE设计验证中盘台相关特性的验证，可以利用实体模型（Mockup）来进行，如C-2项目中利用1：1全范围Mockup对控制盘台的外形尺寸、控制器和显示器的布置、标记和分界线以及盘面布置等各方面的HFE设计进行了验证。

其他HFE设计验证工具还包括模拟机或同最终工程实施一致的设计平台等。

7集成系统确认

7.1集成系统确认的目标

集成系统确认是基于性能的试验。它根据运行条件取样的结果，采用一系列有代表性的试验情境来测试和评估人机接口设计的可用性和容错性（或敏感性），以及规程、培训和控制室人员配备水平的充分性（或不足），从而确定其能否合适地支持电厂安全运行。

7.2集成系统确认的方法和过程

集成系统的确认采用试验法。电厂操纵员利用模拟机或者其他合适的系统表现形式来演示运行事件，以确定其支持安全运行的充分性。

7.2.1性能测量

性能测量包括电厂的性能测量和人的行为测量。其中电厂的性能测量可作为确认“通过/故障”准则，人的行为测量能更好的理解人的行为并便于分析行为的错误。试验设计者将识别性能测量的类别。

a) 电厂性能测量

对代表功能、系统、部件和HSI使用的电厂性能进行测量。

b) 人的任务测量

对于每个特定的脚本，将对要求人执行的任务进行鉴别和评价。人的任务的测量有两类：主要任务和次要任务。

c) 状态理解

人对状态的理解将进行评价，测量状态理解的方法将反映当前的发展水平。

d) 智力负荷

将对人的智力负荷进行评价，智力负荷的测量方法将反映当前的发展水平。

e) 人体测量学和生理学因素

这些因素包括指示的可见性，控制设备的可进入性及其操作的便利性。进行上述因素测量时，重点放在只能在集成系统试验时才能评价的设计问题。如工作人员有效使用各种控制器、显示、工作站或组合控制器的能力。

7.2.2试验设计

试验设计分为以下三个部分。

7.2.2.1运行班组与脚本的配对

将在各班组之间平衡地进行分配脚本的重要特性，不推荐随机分配[3]。将尽量向各个班组提供类似的有代表性的脚本。将仔细地权衡由班组人员演示的各种类型脚本的顺序，使同样的脚本不总是在同样的顺序位置上出现，如容易的脚本不总是首先出现。

7.2.2.2试验规程

a) 将制定详细、清晰、客观的试验规程，以便对试验的实施进行管理。

b) 试验规程将尽可能减少试验参与人员预期的偏差或参与者的响应偏差。

7.2.2.3测试性试验

确认试验前应进行至少一次测试性试验，以评价试验的设计、性能测量和数据收集方法的充分性。

7.2.3数据分析和解释

7.2.3.1数据分析的准则

a) 采用定量和定性方法的综合进行数据分析。根据分析建立被测性能与性能准则之间的关系和依据；

b) 必须在设计确认前确定用作确认“通过/故障”的指示符。其他的性能测量不满足准则时应采用HED评价过程进行评价；

c) 应对性能测量的收敛性和一致性进行评价；

d) 对数据的正确性应进行独立验证；

e) 由于实际性能可能比确认试验中观测的性能有一些变化，应确定它们之间允许偏差的裕量。

集成系统确认的过程见图4所示。

图4集成系统确认的过程

Fig.4Process of integrated system validation

7.3集成系统确认的工具

高度完整（界面的完整性）和逼真（界面的实体逼真性、界面的功能逼真性、环境逼真性、数据完整逼真性、数据内容逼真性、数据动态逼真性）的模拟机将用于集成系统确认试验。

8人因偏差项的解决

8.1HED解决的目标

HED解决的目标是确保人因工程偏差被记录和跟踪，并在最终的电厂设计配置中被合理地处理。

8.2HED解决的方法和过程

HED解决主要采用评价分析法确定必须进行设计改进的内容，然后研究、开发解决的方案，经评价后进行设计改进。

HED的解决实施过程主要步骤如下所述：

a) HED合理性判定

评审小组对来自HFE 验证和确认过程的所有HED进行初步评审，根据已形成文件的相关依据对HED的合理性进行分析、评价。如果有充分理由证明该偏差的合理性，则该偏差被认定为例外项。经过合理性判定后，不能作为例外项的偏差将确定为不符合项。

b) 不符合项分级

HED纠正的确定将基于系统化的评价。在分析过程中将HED进行分级：

1) 第一级：对安全有直接影响、间接影响或可能影响的HED属于第一级。

2) 第二级：第二级HED对安全没有重大影响，但可以对电厂性能/可运行性、非安全有关的人的行为/工作效率、或整个电厂的可运行性有影响。

3) 其余的HED。

c)不符合项分类和综合效应分析

应先对不符合项进行分类，然后进一步考虑多个不符合项之间的相互关联，进行综合效应分析，以形成一个最佳的综合性解决方案。

d)设计解决方案的开发和评价

将确定纠正HED的设计解决方案。该方案应与前期分析中确定的系统和人员的要求一致。在制定方案时将考虑和分析各个HED之间的相互关系。解决各个HED的方案应相互协调，各方案的联合影响应该增强而不是削弱该系统的运行性能。

e)设计变更以及设计变更再验证和确认

对于人因V&V活动中相关的不符合项设计变更方案，应先开展设计变更验证，然后根据该设计变更的复杂程度及其影响，决定是否有必要进行再确认，直至不符合项关闭。

人因不符合解决的过程见图5所示。

图5人因不符合解决的过程

Fig.5Process of HED resolution

9结束语

本文虽然是以C2项目（采用常规仪表的控制室）为例论述控制室人因验证和确认的过程、方法、工具等内容，但这些内容和过程同样适用于采用数字化仪控系统的先进控制室（如AP1000主控制室）人因验证和确认活动，只不过验证和确认的侧重点有所差别。此外，对于C3C4控制室系统的人因V&V活动，我们只需结合C2运行经验反馈，重点关注其改进部分即可。

参考文献:

NUREG 0700-2002. Human-System Interface Design Review Guidelines[S]. U.S. Nuclear Regulatory Commission, May 2002

EJ/T 1118-2000. 核电厂控制室设计验证与确认[S]. 中国国防科学技术工业委员会, 2001年2月

孙汉虹. 第3代核电技术AP1000[M]．北京：中国电力出版社，2010：433-438．

作者简介：张洪（1979－），男，江苏南通人，工程师，大学本科，从事核电控制室设计工作。

注：文章内所有公式及图表请以PDF形式查看