(高清版)GBT 41145-2021 核電廠人因驗證和確認VIP

核電廠人因驗證和確認2022-07-01實施國家標準化管理委員會I 2規(guī)范性引用文件 13術語、定義和縮略語 3.1術語和定義 3.2縮略語 24人因驗證和確認總則 24.1活動和過程 2 34.3HFE人機接口設計導則 44.4測試設施 4 54.6特殊考慮 65形成性驗證和確認 6 65.2形成性V&.V策劃 65.3過程和方法 66人因工程設計驗證 8 86.2過程和方法 87人機接口任務支持驗證 9 97.2過程和方法 8集成系統(tǒng)確認 9 98.2實施計劃 8.3場景選擇 8.4ISV試驗設施 8.5參試者 8.6效能測量 8.7試驗設計 8.8數據分析 8.9HED識別、記錄和傳遞 8.10ISV結論 9設計實現 Ⅱ 9.2過程和方法 10人因偏差解決 10.2過程和方法 11改進型新電廠的特殊考慮 12電廠改造的特殊考慮 12.1改造項的人因風險等級 12.2電廠改造人因V&.V策劃 12.3電廠改造人因V&V活動 2013就地區(qū)域的特殊考慮 13.1概述 13.2特殊考慮 附錄A(資料性)人機接口清單和特性描述 附錄B(資料性)運行條件選取 附錄C(資料性)人因不符合項分級原則和示例 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國核儀器儀表標準化技術委員會(SAC/TC30)提出并歸口。本文件起草單位：上海核工程研究設計院有限公司、清華大學、蘇州熱工研究院有限公司、中廣核工程有限公司、中國核電工程有限公司、核工業(yè)標準化研究所。1核電廠人因驗證和確認本文件規(guī)定了核電廠人機接口集成系統(tǒng)人因驗證和確認活動的準則和方法。本文件適用于新建核電廠，以及在役核電廠人機接口集成系統(tǒng)改造。其他類型核動力廠的人機接口集成系統(tǒng)可參照執(zhí)行。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。NB/T20270人因工程在核電廠計算機化運行規(guī)程系統(tǒng)中的應用準則3.1術語和定義下列術語和定義適用于本文件。從人因工程的角度確定設計或實現滿足規(guī)定的要求的過程和活動。從人因工程的角度確定設計或實現滿足特定的用途或應用需求的過程和活動。形成性驗證和確認formativeverificationandvalidation通過收集客觀證據來發(fā)現人機接口集成系統(tǒng)存在的問題，以改進設計的過程和活動。通過收集客觀證據，對人機接口集成系統(tǒng)的設計和實現進行最后的符合性評估的過程和活動。系統(tǒng)的一部分，用于人與系統(tǒng)交互以完成它們的功能和任務。注1:系統(tǒng)指核電廠。注3:在就地區(qū)域，典型的人機接口有就地控制盤/箱/柜、閥門、手套箱、出入口(設備上不同尺寸需要人局部或全2人機接口及其所處的空間和環(huán)境。注1:人機接口的組織形式及其所處空間的特性是影響人機接口使用的直接因素。例如，報警、指示、控制在控制盤臺上的布置特性、控制盤臺和他設備在控制室中的布局特性、完成任務所需的移動和作業(yè)空間特性。由人機接口系統(tǒng)、任務和人員共同組成的集成系統(tǒng)。運行和控制中心operationandcontrolce電廠運行進行監(jiān)視并提供決策指導的設施，如技術支持中心、應急指揮中心。人因偏差humanengineeringdisc人因偏差項與人因基準存在偏離的人機接口集成系統(tǒng)設計項。技術恰當性能被合理證明，判定為可接受的人因偏差項。不能判定為人因例外項的人因偏差項。下列縮略語適用于本文件。HED:人因偏差(humanengineeringdiscrepancy)HSI:人機接口(human-systeminterface)ISV:集成系統(tǒng)確認(integratedsystemvalidation)I&.C:儀表和控制(instrumentationandcontrol)SGTR:蒸汽發(fā)生器傳熱管破裂(steamgeneratortuberupture)V&.V:驗證和確認(verificationandvalidation)4人因驗證和確認總則人因V&.V全面評估電廠HSI集成系統(tǒng)設計是否符合HFE設計準則，使電廠人員能成功完成其3任務，以達到安全和其他運行目標。V&.V活動貫穿于概念開發(fā)、需求開發(fā)、設計，以及設計實現全過程，其概貌見圖1。本文件將人因V&.V分為三個主要活動：形成性V&.V、總結性V&.V、HED解決。隨著設計的推進，形成性V&.V活動逐步過渡到總結性V&.V活動。形成性V&.V(見第5章)主要目的是通過客觀證據的收集和評估來發(fā)現存在的問題，以改進HSI集成系統(tǒng)的設計。應根據技術需求，考慮可用資源，綜合不同的評估方法以制定適用特定項目的形成性V&.V方案總結性V&.V是對HSI集成系統(tǒng)的設計和實現進行最后的評估，應采用標準化的方法開展，以支持項目的符合性評價和安全審評?？偨Y性V&V分為HFE設計驗證(見第6章)、HSI任務支持驗證(見第7章)、ISV(見第8章)、設計實現(見第9章)四個活動。HFE設計驗證和設計實現都是對HSI設計是否符合特定項目的HFE技術要求進行評估，其差異在于前者主要依賴最終的設計文件或原型，后者則基于實際的HSI集成系統(tǒng)開展，兩者具有延續(xù)性和互補性。HSI任務支持驗證是對HSI是否支持任務要求進行評估。ISV采用基于效能的試驗，對整個HSI集成系統(tǒng)的最終設計是否滿足效能要求進行最終評估。HED解決(見第10章)為在V&.V活動中識別的HED得到滿意評估和解決提供了合理的保證。HED解決貫穿整個V&.V過程，與形成性V&.V和總結性V&.V存在迭代。對后續(xù)V&.V活動結果有效性具有潛在影響的人因HED,應在受影響的V&.V活動開展之前得到解決。運行和運行和形成性驗證和確認(第5章)總結性驗證和確認HFE設計驗證(第6章)[[SI任務支持驗證(第7章)集成系統(tǒng)(第8章)人因偏差解決(第10章)設計實現(第9章)概念開發(fā)設計實現HSI集成系統(tǒng)涵蓋HSI系統(tǒng)、任務、人員(即最終用戶)三個組成部分，見圖2。開展具體V&.V活動時，應從這三個維度對人因V&.V范圍進行界定。4IISIIISI集成系統(tǒng)HSI系統(tǒng)HSI子系統(tǒng)HSI特性任務圖2HSI集成系統(tǒng)組成和V&V范圍HSI系統(tǒng)可從系統(tǒng)、不同層次的子系統(tǒng)，劃分至無需進一步細分的HSI特性。應根據具體V&.V活動的特點，按需要的層次準確定義HSI系統(tǒng)的范圍，并詳細描述其狀態(tài)(HSI清單和特性描述方法見附錄A)。在考慮任務序列特性的形成性V&.V、HSI任務支持驗證和ISV中，除了HSI清單和特性描述之外，還應通過運行條件選取(見附錄B)來進一步確定評估范圍。新建核電廠設計和在役核電廠重大設計改進可能涉及成百上千個獨立的HSI部件，對應的任務數量繁多，不可能對所有任務都進行評估。運行條件選取提供了平衡多個因素以識別需評估的最優(yōu)任務集的策略。在基于HSI設計導則(見4.3)的形成性V&.V、HFE設計驗證、設計實現，以及HSI任務支持驗證中，對人員的考慮是隱含和抽象的。但在基于效能試驗的形成性V&.V和ISV中，應對人員配置、資質和培訓水平進行明確界定。應根據具體V&.V活動的特點確定人員配置、資質和水平要求。4.3HFE人機接口設計導則HFE人機接口設計導則(以下簡稱“HSI設計導則”)的目的是為整個項目的HSI系統(tǒng)提供一致的設計方法，確保設計遵循了適當的人因要求、與人的能力相匹配，電廠運行安全性和可用性得到保證。應對基于標準和文獻的通用導則、當前工業(yè)運行實踐和經驗反饋、項目HSI特點進行分析和權衡，制定一份或多份項目特定的“樣式導則”文件，以支持特定項目的HSI設計，以及人因V&.V活動。HSI設計導則由設計活動開發(fā)，不屬于人因V&.V的范圍。但人因V&.V的經驗反饋可為HSI設計導則的優(yōu)化提供輸入。測試設施是用于替代V&.V系統(tǒng)設計的任何載體，按其特點可分為圖紙、原型、模擬機和實際系統(tǒng)四類，見表1。V&.V結果的全面性和可信性隨著測試設施逼真度的增加而增加。逼真度包括完整性、實體逼真度、功能逼真度、環(huán)境逼真度(如高噪聲環(huán)境、高溫、高濕度、照明不足等)、數據完整性逼真度、數據內容和呈現逼真度、數據動態(tài)逼真度多個維度(見8.4)。測試設施的準備，應結合HSI清單和特性描述的要求開展。5表1測試設施類型載體特點圖紙HSI設計文件照片、效果圖產品手冊二維的設計信息，不同類型的圖紙、文件呈現設計特性的詳細和逼真程度不一，常需要多份資料才能“拼湊”出較為完整的HSI特性原型產品樣本實體模型三維數字模型界面原型硬件類HSI的原型可對布置、外形尺寸、動作模式等特性進行描述。標準化設備可直接利用產品樣本。對于非標設備，可依賴于縮放的或等比例的實體模型。三維數字模型的可用程度與建模深度相關。對于數字化控制室大量存在的軟件類HSI,界面原型能較好地模擬主要的呈現和交互特性，但不必提供電廠動態(tài)參數的模擬(例如，雖然原型提供了數字顯示或趨勢曲線，但這一數值是原型后臺強制的，與電廠運行場景沒有聯系)。界面原型可利用專業(yè)界面快速原型軟件開發(fā)，也可利用目標平臺開發(fā)模擬機工程模擬機全范圍培訓模擬機在靜態(tài)特性上已較為完備，且具備模擬電廠動態(tài)參數響應的功能(部分范圍或全范圍的)。ISV應采用全范圍培訓模擬機，且其逼真度應達到ISV試驗的要求(見8.4)實際系統(tǒng)電廠HSI集成系統(tǒng)對于運行和控制中心，實際電廠主要為設計實現提供支持。對于就地區(qū)域，基于具體目的，就地HSI在完全就位前也可為V&.V活動提供支持。實際電廠的優(yōu)勢是輸入比設計階段更多、更為直觀，但缺點是識別到的HED的改進空間一般局限在規(guī)程和培訓領域V&.V活動的實施，除了HFE專家，應根據需要安排具備不同技能和經驗的專家共同參與，例如專家等。應明確不同V&.V活動對人員資質的要求，如HFE設計驗證對人員知識背景和工作年限的具體要求。應為V&.V人員提供必要的培訓，如為參與問卷調查的電廠運行專家提供專項培訓，確保其掌握了當前HSI集成系統(tǒng)的必要信息；為參與形成性V&.V的設計人員提供HFE理論方法和HSI設計導則的培訓；為ISV的試驗實施或管理人員提供試驗程序和數據記錄的培訓。應明確V&.V人員獨立性水平要求，從而保證結果的客觀性和公正性。總結性V&.V團隊應與設計團隊保持獨立。V&.V人員和設計人員可為同一組織工作，但V&.V人員不應參與V&.V對象的設計工作，也不應對設計進度或財務績效負責。V&.V人員不一定是HFE專職人員，可從其他設計團隊調入，但其職責只能是對目標對象進行V&.V。形成性V&.V團隊除了獨立V&.V人員，亦可安排設計人員參與，但設計人員不應主導或獨立完成具體V&.V活動。設計人員對系統(tǒng)了解更為深刻，在多專業(yè)交流中能提出有益的建議或方案。同時，設計人員參與形成性V&.V能起到自查和培訓作用，有助于提高后續(xù)設計的人因符合性。人員獨立性要求應完整覆蓋各項V&.V活動及其具體環(huán)節(jié)。例如，HED解決中，人因例外項判定、6人因不符合項分級和判定是否需要解決、人因不符合項再驗證和確認應由獨立的V&.V人員實施，而HED分析、人因不符合項解決方案開發(fā)和實施則需要設計團隊的共同參與。4.6特殊考慮新建核電廠包括HSI集成系統(tǒng)全新設計和改進設計兩類情況，在役核電廠則包含形式不一的改造。第5章～第10章所述要求和指導完全適用于全新設計，其他情況可采用分等級的方式使用，改進型項目的特殊考慮見第11章，改造項目的特殊考慮見第12章。依據HSI系統(tǒng)特點、任務復雜性、人員參與程度、所需的人員響應速度、人員失誤對運行造成的后果等因素，核電廠物理區(qū)域可劃分為運行和控制中心區(qū)域、就地區(qū)域兩類。第5章至第10章所述要求和指導完全適用于運行和控制中心的主控制室、輔助控制室，其他區(qū)域可采用分等級的方式使用。其中，就地區(qū)域的特殊考慮見第13章。5形成性驗證和確認在電廠設計過程中開展形成性人因V&.V活動的目的如下。a)改進HSI集成系統(tǒng)設計，如：1)在設計方案比較選擇時，確保HFE得到充分考慮；2)對引入的新技術及其與已有系統(tǒng)的集成，開展系統(tǒng)的人因評估；3)及時論證設計過程中的HFE假設，降低設計的不確定性；4)對HSI設計導則未覆蓋的設計特性，提供HFE見解；5)為HFE需求或HSI設計導則的傳遞和落實提供支撐手段。b)為總結性V&.V提供支持，如：1)避免大量問題識別不及時造成解決困難；2)全范圍或部分范圍基于效能的形成性V&.V活動，能提高ISV的效率，降低ISV的風險，例如，優(yōu)化運行條件選取的范圍，為ISV前提條件提供判斷，以及為ISV建立參考基準等。5.2形成性V&V策劃項目開展HFE策劃時，應對形成性V&.V的必要性進行分析，確定本項目是否計劃開展形成通常，形成性V&.V采用漸進、迭代的方式開展，其具體活動的目的、范圍、時間節(jié)點應與項目階段相匹配，并與設計過程集成。除了按概念開發(fā)、需求開發(fā)、系統(tǒng)和子系統(tǒng)設計的節(jié)點策劃形成性V&.V——按V&.V對象，如軟控制器的設計、COPS、顯示畫面結構和導航。應為形成性V&.V制定詳細計劃，覆蓋每項形成V&.V活動目的、范圍、過程和方法等信息。5.3過程和方法驗證是對是否正確地開展了設計進行評估，如顯示畫面的設計規(guī)范是否符合HSI設計導則的要求。確認則是對是否設計了正確的系統(tǒng)進行評估，如軟控制器的設計方案是否能支持安全目標和可用性目標的實現。在設計早期，因為活動可能會融合了兩類目的，驗證、確認往往難以清晰區(qū)分。越接近設計后期，則能更為獨立地開展驗證、確認活動。為此，形成性V&.V有必要根據問題特點和設計階段，7采用更為靈活的評估方法。啟發(fā)式評估、可用性評估、走查評估和試驗評估均可應用于形成性V&.V。例如，啟發(fā)式評估主要通過專家評估法對集成系統(tǒng)的設計特性提供主觀定性評估，而試驗評估則基于任務序列的時間響應和準確性對HSI集成系統(tǒng)提供更為客觀、系統(tǒng)的詳細評估。對于難以獨立支持一次V&.V活動的方法，定義為輔助方法，一個輔助方法可配合多類主方法使用，詳見表2。表2形成性V&V的方法類型主方法輔助方法測試設施評估重點啟發(fā)式評估專家評估法啟發(fā)式討論檢查表法問卷調查訪談圖紙原型設計特性(主觀定性評估)可用性評估可用性試驗法觀察法檢查表法問卷調查訪談原型模擬機實際系統(tǒng)設計特性(主觀定性或定量評估)走查評估走查排演法觀察法有聲思考法檢查表法問卷調查訪談圖紙原型實際系統(tǒng)任務序列特性試驗評估基于效能的試驗觀察法有聲思考法檢查表法問卷調查訪談圖紙原型模擬機基于任務序列的時間響應和準確性應盡可能采用定量和客觀的指標。通常難以直接對安全性和可用性這類總體目標進行測量，為此宜采用不同的指標對HSI集成系統(tǒng)的不同方面進行評估。除了完成時間、正確率、頻次這些通用指標，還可考慮(但不限于)以下指標：a)匹配性；b)效能改進特性(如有效性、效率、滿意度);c)工作負荷(或心理負荷、工作記憶負荷);d)情境意識；e)團隊協(xié)作；f)信任度；g)認知模型和可理解性；i)易學性；j)生理因素(如視線位置和凝視時間、疲勞)等。應根據對象的特點和評估的目標選取指標。例如，對顯示畫面導航結構進行評估的時候，除了導航任務完成時間和正確率，還可采用位置感知滿意度、視覺搜索效率作為指標。8除了目標電廠具有資質的運行人員，也可選擇其他人員擔任形成性V&.V的參試者，如正在接受培訓的運行人員或設計人員。但應對其對目標電廠的熟悉程度做出正確評估，以支持最終分析結論的準確性。形成性V&.V識別出的問題若不正式傳遞給HED解決活動，應證明項目已建立有效的人因問題跟蹤系統(tǒng)，識別的問題得到完整記錄、分析和解決，HSI集成系統(tǒng)設計得以優(yōu)化。6人因工程設計驗證6.1目的HFE設計驗證從人的能力和局限性考慮HSI系統(tǒng)的恰當性。HFE設計驗證的目的是確保HSI系統(tǒng)的最終設計符合HSI設計導則的要求。6.2過程和方法HFE設計驗證的過程和方法如下。b)收集HSI系統(tǒng)特性：通過HSI清單和特性描述(見附錄A)明確要驗證的對象及其特性，應選擇能代表當前最新設計狀態(tài)且最為逼真的測試設施。c)匹配HSI設計導則和HSI系統(tǒng)特性間的對應關系：導則的某條要求可能適用于許多HSI系統(tǒng)對象，在驗證前應對兩者的對應關系進行梳理，明確驗證項。d)將HSI設計導則和HSI系統(tǒng)的特性進行比較：對于通用屬性(如菜單、特定靜動態(tài)元素、某一型號開關),可基于標準化對象附加實例取樣的方式進行驗證，對于特殊屬性則應逐一驗證。應對導則某條要求在多個HSI中應用的一致性進行評價?？筛鶕髟O計要素的成熟度從上至下逐步推進HFE設計驗證活動，如先開展控制室整體布置、硬件HSI特性、顯示畫面通用特性的驗證。e)識別HED。1)當HSI系統(tǒng)的某個特性偏離了導則要求時，應將其識別為一個HED。2)只有完全符合HSI設計導則的要求，即驗證項的每個用例完全符合由導則確定的準則時，才可判定為“通過”。若存在任何HED,無論是完全還是部分存在HED,都應判定為“不通過”,識別為HED。3)若采用取樣的策略進行驗證，應充分分析HED潛在的擴展問題。例如，識別出某一幅顯示畫面數據呈現格式不恰當時，其他顯示畫面格式的使用也可能不正確，或者被觀察到的格式在所有地方的使用都不恰當。f)記錄和傳遞HED:應定義格式化的方法，對識別的HED進行記錄。記錄應清晰標明相關的驗證對象，以及HSI特性與特定導則的偏離情況。記錄的HED將傳遞給HED解決活動。HED的分析和糾正屬于HED解決活動，見第10章。g)HFE設計驗證的關閉：1)若驗證項基于設計文件和圖紙即可關閉，如果當前條件不成熟不能進行驗證或尚無法確2)若驗證項還需要跟蹤到設計實現階段才能關閉，應傳遞到設計實現活動。3)在具體項目中，應綜合考慮HSI系統(tǒng)固化情況以及后續(xù)設計實現活動的計劃，明確HFE設計驗證活動關閉的條件。4)HFE設計驗證活動應與HSI系統(tǒng)設計和實現過程緊密結合，應明確應對設計變更和工程實現偏差的措施。97人機接口任務支持驗證HSI任務支持驗證關注用于支持人員任務需求物項的可用性。HSI任務支持驗證的目的是確保HSI系統(tǒng)的最終設計能為人員提供執(zhí)行任務所必需的報警、信息、控制和任務支持。7.2過程和方法HSI任務支持驗證的過程和方法如下。a)確定場景：應通過運行條件選取(見附錄B)確定人員任務需求，即場景。HSI任務支持驗證場景的確定宜考慮與任務分析的延續(xù)性。b)收集HSI系統(tǒng)特性：通過HSI清單和特性描述(見附錄A)明確要驗證的對象及其特性。應選擇能代表當前最新設計狀態(tài)且最為逼真的測試設施。c)將人員任務需求和HSI系統(tǒng)特性進行比較：HSI任務支持驗證的啟動時間取決于項目特點、任務分析方法和實施節(jié)點、形成性V&.V的范圍和實施節(jié)點等因素。驗證可采用分批的方式開展，如根據設計成熟度和場景重要性，先開展安全直接相關以及運行經驗反饋存在問題的任務。d)識別HED。1)執(zhí)行任務所需的某個HSI(某個必需的控制、顯示或報警)不可用時，應識別為HED。2)HSI系統(tǒng)特性與人員任務需求不匹配(例如，顯示畫面給出了需要的電廠參數，但不滿足任務所需的參數范圍或精度),應識別為HED。3)存在不必要的HSI,應識別為HED。對不必要的HSI進行驗證很重要，因為它會造成干擾，并可能分散人員注意力，妨礙其選擇適當的HSI。然而，不必要HSI的判定需要慎重，避免由于下列原因造成誤判：該HSI在某個任務中是必需的，但該任務不在分析考慮的范圍內；分析不完整，忽略了該HSI需求；該HSI僅部分滿足所確定的人員任務需求。e)記錄和傳遞HED:應定義格式化的方法，對識別的HED進行記錄。記錄應清晰標明相關的驗證對象(HSI和任務)以及HED的依據(HSI的哪個方面不滿足任務需求)。記錄的HED將傳遞給HED解決活動。HED的分析和糾正屬于HED解決活動，見第10章。f)HSI任務支持驗證的關閉：1)對于當前條件不成熟不能進行驗證或無法下最終結論的驗證項，應評價為“待定”并持續(xù)2)在具體項目中，應綜合考慮HSI系統(tǒng)和任務的固化情況，以及后續(xù)ISV的范圍和時間節(jié)點，明確HSI任務支持驗證關閉的條件；3)HSI任務支持驗證活動需要與HSI系統(tǒng)設計和實現過程緊密結合，應明確應對設計變更和工程實現偏差的措施。8集成系統(tǒng)確認ISV采用基于人員效能和系統(tǒng)性能的試驗對HSI集成系統(tǒng)的設計進行確認，目的是確保HSI集成系統(tǒng)充分支持人員對電廠的安全運行，具體包括以下方面。a)確認輪班班組的人員配備、成員的任務分配以及協(xié)作(包括內部以及內、外部人員之間的協(xié)作)可接受，包括對最小人員配備、正常人員配備、最大人員配備和交接班的確認。b)確認設計能提供必需且恰當的報警、信息、控制和反饋，使得人員任務能成功完成，包括電廠正常運行、瞬態(tài)、設計基準事故和選定的風險重要的設計擴展工況(由運行條件選取確定，見附錄c)確認特定的人員任務可在符合時間和效能準則的情況下完成，并且人員情境意識水平較高，工作負荷水平可接受(平衡了警覺性和負荷)。d)確認HSI使人員失誤最少化，并確保在失誤發(fā)生時具有失誤識別和恢復的能力。e)確認重要人員動作相關的效能假設。例如，屬于電廠概率安全評價一部分的人員可靠性分析包含了許多關于風險重要人員動作效能的假設。應對這些假設進行確認，包括關鍵序列的決策和診斷過程，以及人員操作。應在概率安全評價最終定量化之前完成這項工作。f)確認人員在完成其任務時，能有效地在HSI間(包括規(guī)程)進行切換，并且HSI管理任務(如畫面配置、導航)不會造成人員注意力分散或負荷過度。具體的確認目的應基于項目需求，結合實際場景和效能測量準則，采用系統(tǒng)的方法確定。8.2實施計劃應為ISV實施制定詳細計劃，明確ISV的：b)場景信息，包括所采用的場景及其選擇依據、與試驗計劃內容詳細程度匹配的場景描述信息；c)測試設施及其符合性要求；d)參試者和試驗人員的資質要求和培訓計劃；e)每個場景特定的效能指標，包括用于判斷其“通過”或“析的診斷評價指標；f)試驗設計(包括場景分配、試驗程序、培訓安排、預試驗等);g)數據收集手段；h)數據分析方法；i)HED識別、記錄和傳遞。8.3場景選擇應通過運行條件選取(見附錄B),從以下多個維度確定最終的場景。a)電廠條件：1)正常運行；2)瞬態(tài)和事故；3)I&C和HSI故障。b)人員任務：1)重要人員動作、系統(tǒng)和事件序列；2)保護動作的手動觸發(fā)；4)運行經驗評審確定的困難任務；5)規(guī)程指導的任務；6)基于知識的任務；7)人員認知活動；8)人員交互。c)人員效能影響因素：1)高工作負荷；2)工作負荷變化；4)環(huán)境因素。8.4ISV試驗設施ISV試驗設施是用于實施ISV評價的HSI仿真系統(tǒng)。應在實施ISV試驗之前，核實試驗設施是否符合所要求的特性。主控制室ISV應采用全范圍模擬機，應對下述特性是否符合要求進行核實。a)完整性：試驗設施能完全仿真替代集成系統(tǒng)。試驗設施應不僅局限于試驗場景特別要求的HSI系統(tǒng)，因為鄰近的控制和顯示可能影響操縱員對特定ISV場景所需要的控制和顯示的使用方式。b)實體逼真度：試驗設施的HSI系統(tǒng)應能以較高的實體逼真度仿真參考設計，包括報警、顯示、c)功能逼真度：試驗設施的HSI系統(tǒng)的功能應能以較高的逼真度仿真參考設計，包括HSI運行模式(即人員選定模式后，可調用的功能發(fā)生變化)或電廠狀態(tài)變化。所有HSI功能都應可用。d)環(huán)境逼真度：試驗設施的環(huán)境應能以較高的逼真度仿真參考設計，包括預期的照明水平、噪聲、溫度和濕度。例如，暖通系統(tǒng)、計算機和通信設備產生的噪聲應在ISV試驗中進行模擬。e)數據完整性逼真度：提供給人員的信息和數據應完整展現由該設施監(jiān)視和控制的電廠系統(tǒng)。f)數據內容和呈現逼真度：試驗設施的數據內容應能以較高的逼真度仿真參考設計。信息和控制的呈現應基于一個能準確反映參考電廠的基本模型。該模型應能為HSI提供輸入，以便HSI顯示的信息與實際電廠運行時顯示的信息準確匹配。g)數據動態(tài)逼真度：試驗設施的數據動態(tài)特性應能以較高的逼真度進行仿真。工藝仿真模型應能為HSI提供輸入，以保證信息流和控制響應的準確性以及響應時間的正確性。例如，提供給人員的信息具有與實際電廠相同的時間延遲。對于全范圍模擬機無法支持的HSI,如重要人員動作相關的或復雜的主控制室外的HSI系統(tǒng)，如需要及時和準確的人員操作，應使用仿真或實體模型來核實所需的人員效能是否能滿足要求。若人員任務重要度低或相關的HSI復雜度不高，可基于分析來評價人員效能。8.5參試者ISV試驗參試者選擇應滿足以下要求。a)參與ISV試驗的人員應能代表目標電廠的實際用戶，其資質要求應與目標電廠運行資質要求一致。如，主控制室ISV應采用持證操縱員擔任值長、反應堆操縱員和安全工程師，而不是正在受訓的待取證運行人員或工程人員。b)為正確反映人員差異，應對參試者進行取樣。取樣應反映樣本來源群體的特性。應明確預期會對系統(tǒng)性能變化產生影響的樣本特性，取樣過程應合理保證ISV包含了該維度的變化。應明確執(zhí)照類型和資質、經驗，以及一般的人口學特征等因素對樣本代表性的影響。c)應覆蓋最小人員配備水平、正常配備水平和最大配備水平。d)為保證結果的可信性，應避免使用以下人員：1)設計組織的成員；2)參與過相同試驗場景的人員；3)基于某些特性選擇的人員，比如效能良好或經驗豐富的班組。8.6效能測量ISV應使用一組有層次的效能指標，包括電廠性能(如功能、系統(tǒng)或設備的性能)和人員效能(如人員任務效能、情境意識、認知負荷，以及人體測量/生理因素)。其目的是為確認集成系統(tǒng)設計提供充分信息，并為評價效能偏差提供基準，從而確定改進需求。應為每個特定的ISV場景確定適用的效能指標，包括以下方面。a)主任務指標。1)對于每個場景，應確定完成場景目標必須執(zhí)行的主任務，以便確定其測量指標。主任務是指電廠人員在監(jiān)督電廠過程中，行使其功能職責相關的任務，即監(jiān)視、檢查、場景評估、響應計劃和響應實施。對主任務的評價應足夠詳細，從而與任務需求相適應。例如，對一些簡單的場景，測量任務完成時間即可滿足要求。對于復雜的任務，特別是基于知識的任務，則更適合采用細致的分析，如確定任務的各個組成部分，即查找特定數據、進行決策、采取行動和獲取反饋。2)為評價人員任務效能，選擇的測量指標應能反映對于系統(tǒng)性能存在重要影響的任務因素，3)主任務分析有助于識別疏忽型人員失誤(未執(zhí)行的主要任務)。此外，應識別和記錄參試者偏離了主任務的實際任務操作。這些操作應被用于識別意圖型人員失誤。b)次任務指標：次任務是指電廠人員與HSI進行交互時必須執(zhí)行的任務，如在計算機屏幕中利用導航尋找所需畫面并對HSI進行配置。次任務效能指標應能反映HSI運行時的具體需求，如配置工作站的時間、顯示畫面間的導航，以及顯示畫面的操作(如變更顯示類型和刻度設c)情境意識指標：情境意識是指電廠人員在任意給定時刻，對電廠參數的感知，對電廠工況的理解，以及對電廠未來狀態(tài)的預測與其實際狀態(tài)的符合程度。d)工作負荷指標：工作負荷由體力負荷、認知負荷以及其他對電廠人員產生的需求組成。效能指標應體現工作負荷或不同維度工作負荷的影響。e)人體測量和生理類指標：人體測量和生理類的因素包括信息的可視性、控制裝置的可達性、控制裝置的操作便捷性等。這類設計特性大部分已由HFE設計驗證進行過評價。因此，應關注僅能通過集成系統(tǒng)試驗進行評價的設計特性，如人員在執(zhí)行任務時有效使用各種控制、顯示、工作站或控制臺的能力。在確定最終采用的效能測量方法前，應對如下特性進行權衡：——效度：一個測量指標應真實表征所要測量的效能因素；——信度：測量應可復現，即同一環(huán)境條件下用相同的方法測量同一變量，應得到相同的測量結果；——測量能力：測量范圍、靈敏度、數據采樣頻率應與要被評價的效能維度相適應；——侵入性：測量應盡可能少地改變參試者的心理或生理過程；——客觀性：測量應基于易觀察到的現象。應為每個測量指標確定特定的準則，用于判斷效能是否可接受，并描述其基準。要求、基準、規(guī)范、專家判斷均可為制定效能指標的基礎準則提供參考。應明確每個測量指標是通過性準則，即用來決定設計是否可通過確認；還是用于診斷存在的問題診斷性準則，即用于更好地理解人員效能，以便對人員失誤和HED進行分析。8.6.4測量和記錄應明確獲取這些測量數據的方法，如通過模擬機數據記錄、參試者調查問卷或觀察員的觀察記錄等。應規(guī)定何時獲取或記錄每個測量指標的數據，如連續(xù)獲取、在場景中的某個特定時刻或在場景結束后。8.7試驗設計應在班組間對場景進行均衡分配，為每個班組提供相似的、有代表性的場景。在ISV中不宜將場景隨機分配給班組。只有參試者班組數量足夠大時，隨機分配才能有效控制偏差。應平衡不同場景相對于參試者班組的出現順序，以合理保證場景不會始終以相同的順序出現。例如，簡單的場景不總是最先出現。應采用詳細、清晰的程序指導試驗的實施，程序內容應覆蓋以下方面。a)班組與場景的匹配信息，以及場景出現順序。b)用于參試者的詳細說明資料。說明資料的形式和詳略程度會對參試者任務完成效能造成影響，應通過一致性的說明資料最小化這一偏差。c)為試驗人員實施試驗場景提供的特別指導，見B.4。d)在模擬機或試驗出現問題時，何時和如何與參試者進行交互的指導。即使采用高逼真度的模擬機，參試者仍可能遇到試驗環(huán)境失真的情況，造成所關注任務的效能降低。應為試驗實施者提供處理此類情況的充分指導。e)關于何時、如何收集和儲存數據的說明，例如：2)特殊目的數據采集工具(如情境意識和工作負荷問卷，或生理測量儀器);3)攝像機(定位和視角);4)試驗人員(如觀察員的觀察清單)。f)文檔要求：1)標識和維護試驗記錄文件，包括班組和場景的詳細資料；2)收集的數據；3)試驗實施人員建立的日志；4)試驗程序應詳細說明日志需要記錄的信息類型(例如何時進行試驗、與試驗程序的偏差及偏差產生的原因、對于理解試驗進展狀態(tài)以及解釋試驗結果重要的任何不尋常的事件),程序還應闡述何時記錄各種類型的信息。試驗程序應盡可能降低試驗人員預期偏差或參試者響應偏差產生的可能性。如果試驗人員的預期對數據收集產生了系統(tǒng)化的影響，則可能引入偏差。預期可通過許多方式影響效能。例如，試驗人員可通過提供細微的線索或通過交流引導參試者，或者他們在評價參試者的效能時可能更傾向于反映有利設計的方面，而不是作為客觀的觀察者。參試者響應偏差是指試驗設計本身對參試者數據的獲取產生了影響。響應偏差未必意味著參試者的任何意圖都不可信。試驗環(huán)境可能影響參試者，使其無法完成試驗目標。響應偏差可能以下列方式——參試者可能希望影響輸出結果，因而偏向于使產生的數據與他們所期望的結果相一致；——參試者可能想要給出他們認為試驗人員希望獲取的數據；——參試者可能試圖了解效能如何在不同情況下發(fā)生變化，因此使數據與這種變化相一致；——參試者可能想要表現得優(yōu)秀，因為他們知道自己正在被觀察。對試驗人員的培訓應關注以下要點：——試驗程序的使用和重要性；——未能準確地執(zhí)行試驗程序，或與參試者不恰當的交互，在數據中引入的偏見和錯誤；——準確記錄試驗中發(fā)現的問題。對參試者培訓的要求如下：——對參試者的培訓應與電廠人員接受的培訓高度相似，培訓應合理保證參試者對電廠設計、運行、以及HSI系統(tǒng)使用的了解與一名有經驗的電廠人員相當；——不能對參試者開展專門針對選定ISV試驗場景的培訓；——應提供一致的培訓，以避免引入偏差；——應使其效能趨于穩(wěn)定，并在實際的ISV試驗之前進行測試。應在ISV試驗前進行預試驗，以評估試驗設計、效能測量和數據收集方法的正確性和充分性。預試驗不應使用ISV試驗的參試者。應在正式試驗開始前，解決預試驗識別出的、對正式試驗開展和結果評估有效性有不可接受影響的問題。8.8數據分析應在試驗完成后及時分析數據。數據分析應注意以下方面。a)結合定量和定性的方法進行數據分析，建立所觀察的效能數據與所建立的效能評價準則之間清晰的關系。b)闡述試驗數據的分析方法，包括用于判斷每個給定場景是否成功的準則。c)對相互關聯的測量結果的收斂效度進行評價，即預期用于評價同一個效能因素的測量指標之間應具有一致性。例如，如果情境意識通過參試者問卷和觀察員打分兩種手段測量，結果應具有一致性，否則應確定其原因。d)在解釋試驗結果時，應允許存在一定的誤差容限(實際效能的變化可能大于觀察到的試驗效e)核實數據分析的正確性。這項工作應由原先執(zhí)行分析工作之外的人員或小組承擔，但可來自同一個組織。以下情況應識別為HED:a)不滿足通過性準則；b)與診斷性準則存在偏離；c)試驗人員、參試者的負面反饋和評價。鑒于ISV的綜合性，ISV識別的HED可能覆蓋HSI集成系統(tǒng)的某一個組成部分，或是多個組成部分之間的交互。應定義格式化的方法，對識別的HED進行記錄。記錄應清晰標明相關的HSI集成系統(tǒng)組成部分，以及識別為HED的原因。記錄的HED將傳遞給HED解決活動。HED的分析和糾正屬于HED解決活動，見第10章。應對ISV的計劃、實施、分析和結論進行記錄，特別是ISV試驗的統(tǒng)計和邏輯依據。ISV結果的詳細程度，應能判斷集成系統(tǒng)的效能在目前和將來都是可接受的，即確認試驗能證明最終設計具備支持電廠安全運行的能力。應在文件中記錄ISV試驗的局限性，以及這種局限性可能會對ISV試驗結論和設計實施產生的影響。局限性可能包括：a)難以控制的試驗特性；b)試驗場景和真實運行的潛在差異，例如試驗不存在電廠效益和安全之間的沖突；c)經確認的設計和實際建成的電廠或系統(tǒng)之間的潛在差異，如果ISV試驗是基于差異信息可獲取的、實際建造中的電廠，或是基于參考電廠的確認結果的新電廠設計。9設計實現設計實現的目的是：a)確保在已完成的V&.V活動中未涉及的設計特性，在設計實現中全部得到覆蓋；b)證明最終的電廠與經過V&.V的設計是一致的，在實際電廠和工作環(huán)境中實現時，不存在非預期的問題。9.2過程和方法設計實現的過程和方法如下。a)HED識別：1)可采用類似于HFE設計驗證的方法，基于實際電廠系統(tǒng)對V&.V活動中未涉及的設計特員配備和培訓相對于設計描述級文件出現的偏離進行評價，核實其并未引入新的HED。b)HED記錄和傳遞：應定義格式化的方法，對識別的HED進行記錄。記錄的HED將傳遞給HED解決活動。HED的分析和糾正屬于HED解決活動，見第10章。c)設計實現的關閉：明確設計實現活動關閉條件時，應充分考慮9.1中目標的實現情況。10人因偏差解決HED解決活動負責對V&.V活動傳遞過來的HED進行分析、跟蹤和解決。HED解決應：a)對HED進行分析和評價，以確定是否需要糾正；b)對必須糾正的HED,確定解決方案；c)確保解決方案的完整實現。HED解決宜與V&.V其他活動一起反復進行。10.2過程和方法在進行HED分析時，應關注以下方面。a)人員任務和功能：HED對人員任務的影響，以及這些任務所支持的功能。HED的影響可通過人員功能對于電廠安全的重要性(例如，失敗的后果)以及HED對人員效能的累積效應(例如，損害程度和可能的失誤類型)進行判斷。b)電廠系統(tǒng)：HED對電廠系統(tǒng)的影響，考慮這些系統(tǒng)的安全重要性、對事故分析的影響，及其與電廠概率安全評價中風險重要序列之間的關系。HED對電廠安全和人員效能的潛在影響，可部分地通過特定設備相關的電廠系統(tǒng)的安全重要性進行判斷。c)HED的累積效應：HED分析應確定多個HED對電廠安全和人員效能潛在的累積作用。雖然單個HED可能沒有嚴重到需要糾正的程度，但多個HED的組合可能對設計的某一特性產生嚴重損害電廠安全的作用，從而需要糾正。同樣，如果單個電廠系統(tǒng)具有多個相關的HED,并影響到多個HSI,則應分析這些HED對于電廠系統(tǒng)運行可能的組合效應。d)HED的普遍效應：在解決特定HED的同時，應確定這一HED是否意味著存在潛在的普遍問題。例如，若識別出與HSI某一設計特性(如遠距離停堆盤)相關的多個HED,也可能意味著該設計特性存在其他問題，如設計程序和“樣式導則”使用不一致。在整個HSI集成系統(tǒng)的背景下，若某項HED的技術恰當性能被證明為可接受的，則可判定為人因例外項。技術恰當性的分析包括最新研究文獻的結果、當前的實踐經驗、對多個方案的權衡研究、形成性V&.V的評估等。10.2.3人因不符合項分級和判定是否需要解決未通過人因例外項判定的HED定義為人因不符合項。區(qū)分人因不符合項優(yōu)先級時，應分析其對安全、經濟性的影響?？舍槍Σ煌瑑?yōu)先級的人因不符合項，制定不同的解決原則。人因不符合項分級原則和示例見附錄C。10.2.4人因不符合項解決方案開發(fā)和實施應確定糾正人因不符合項的解決方案，解決方案可涉及HSI系統(tǒng)(包括規(guī)程)、培訓多個方面。在開發(fā)和實施解決方案時，不應獨立地考慮人因不符合項，而應最大限度地考慮各個人因不符合項之間可能存在的關系和相互影響。例如，如果單個電廠系統(tǒng)的HSI與多個人因不符合項關聯，則解決方案應相互協(xié)調，從而提高整體的效能，并避免各個方案之間的沖突。與此類似，如果單個電廠系統(tǒng)與多個具有人因不符合項的HSI關聯，則每個解決方案應是相互協(xié)調的，使得設計結果更加完善，而不是損害系統(tǒng)的運行。在某項特定的V&.V活動中，在識別所有人因不符合項之前，可先開發(fā)一部分人因不符合項的解決方案。但前提是在實施解決方案之前，已經考慮了人因不符合項之間的潛在相互影響。10.2.5人因不符合項再驗證和確認應對解決方案的實施進行評價，以證明該人因不符合項已被解決，并確保未引入新的人因不符合項。通常，該評價過程應使用最初確定該人因不符合項的V&.V方法。例如，如果人因不符合項通過HFE設計驗證確定，則評價解決方案時應采用相同的驗證過程。然而，也可采用其他方法評價解決方案是否滿足要求。例如，若通過HSI某方面的重大變更來同時解決多個人因不符合項，可對最終的HSI設計進行一次確認，確保變更的最終完整效果是可接受的。應對每個HED解決的信息進行記錄，記錄應包括HED如下信息：——編號；——相關的人員任務和功能、電廠系統(tǒng)；——判定為HED的原因；——對累積效應、普遍效應的分析；——人因例外項判定依據和結果；——人因不符合項優(yōu)先級；——要否解決的判定依據和結果。對于判定為需要解決的人因不符合項，還應記錄：解決方案、再驗證和確認的結果。HED解決的記錄可與人因問題跟蹤系統(tǒng)結合。應核實人因V&.V所有活動識別出來的HED均已被充分考慮和應對，證明所有HED已被滿意地對于在人因V&.V中確定不解決的人因不符合項，應妥善記錄并傳遞到運行和維護階段，供電廠改造考慮。11改進型新電廠的特殊考慮新建核電廠可分為HSI集成系統(tǒng)全新設計、改進設計兩種情況。應為全新設計開展最為完整的人因V&.V活動，包括及時、充分的形成性V&.V,以及完整的總結改進型新電廠設計從HFE的角度，相對參考電廠僅進行了有限的變更或優(yōu)化，即當前電廠僅是某“標準”電廠的“翻版”項目。若能為當前項目屬于改進型新電廠進行論證并提供充分的理由，則可對人因V&.V活動進行裁切。設計變更管理是改進型新電廠項目判定的基礎，差異分析和變更管理應覆蓋4.2的范圍。形成性——參考電廠V&.V活動的完整性和質量；——變更和優(yōu)化的范圍和程度；——運行經驗反饋；——是否存在新的監(jiān)管要求；——是否存在新技術發(fā)展要求。設計實現、HED解決與全新設計項目不存在差異。12電廠改造的特殊考慮12.1改造項的人因風險等級電廠改造項目開展人因V&V的必要性取決于改造是否對人員效能造成了影響。不同改造項目差異較大，應有針對性地開展人因V&.V活動。圖3描述了確定改造項的人因風險分析過程。對人員效能產生影響的改造項對人員效能產生影響的改造項風險水平綜合分析經濟性初始人因風險等級根據次要因素調整風險水平復雜性改造實施方式最終人因風險等級人員安全性電廠安全性不確定性范圍圖3改造項的人因風險分析若改造項對人員效能存在影響，則應從電廠安全性、電廠經濟性(電廠運行、電廠可靠性和投資保護)、人員風險三個方面對改造的人因風險進行綜合分析。在對這三類風險分別分析的基礎上，基于電廠安全風險、經濟風險和人員安全風險中的最高等級，可確定改造項初始人因風險等級，如表3所示。表3改造項初始人因風險等級電廠安全風險經濟風險人員安全風險改造項初始人因風險等級高緊急停堆、主要設備損壞、長期停堆存在死亡、嚴重傷害，或嚴重的放射性/嚴苛環(huán)境暴露風險1級人因改造項(高風險)中電廠收益下降或同等的設備損失存在傷害、或放射性/嚴苛環(huán)境暴露風險2級人因改造項(中等風險)低其他無人員安全影響3級人因改造項(低風險)確定改造項的初始人因風險等級后，可根據下列因素進行修正，以確定最終的人因風險等級。a)范圍：1)受影響HSI的數量；2)受影響的任務數量；3)受影響的人員范圍。b)復雜性：——設計特性或設備級的改造，如修改設備標簽、替換某一型號的控制器；——系統(tǒng)級的改造，如將新的工藝系統(tǒng)引入主控制室、用COPS替代紙質規(guī)程；——整體性改造，如整個主控制室的數字化改造。2)受影響任務的復雜性，如：——改變任務執(zhí)行順序；——改變任務執(zhí)行的自動化水平；——改變任務執(zhí)行時的環(huán)境條件。3)相關技術的復雜性，如用Ⅲ類COPS替代紙質規(guī)程，相對于用I類COPS替代紙質規(guī)程(COPS分類按照NB/T20270規(guī)定)。1)完整的大型改造，以及很多小的改造組成的改造項目；2)單次停堆期間的改造，以及多次停堆期間的改造；3)同時保留新舊設備的改造(包括新的非功能性HSI和舊的功能性HSI并存),以及不保留舊設備的改造。1)改造相關的經驗水平，包括行業(yè)的和特定電廠組織的；2)已有的人因分析和記錄的完整性。12.2電廠改造人因V&V策劃可根據改造項目特點確定是否開展形成性V&.V活動?？偨Y性V&.V可按表4進行策劃。表4改造項人因風險等級與V&V活動1級人因改造項2級人因改造項3級人因改造項HFE設計驗證√√√HSI任務支持驗證√√√設計實現√√√√√√V&.V活動的目標、范圍、方法和深度可根據特定周期、特定改造對象特點單獨定義，但應在整個改造活動中實施統(tǒng)一的HED解決活動。對于很多小改造組成改造項目或多周期電廠改造，應確保人因V&.V策劃的完整性和一致性，為改造中和改造后電廠的安全運行提供合理保障。應充分識別新舊系統(tǒng)并存對人員效能帶來的負面影響。應覆蓋運行和維修人員在電廠非停堆期間以及停堆期間使用的臨時配置，以證實它們從工程和運行角度看都是可接受的。12.3電廠改造人因V&V活動12.3.1雖然改造項的人因V&.V活動與新建核電廠類似，但不同V&.V活動也存在特殊的考慮。12.3.2HFE設計驗證和設計實現的特殊考慮如下：a)驗證范圍可限定于被改造的HSI系統(tǒng)，以及受改造影響的HSI系統(tǒng)；b)應確保改造項都遵循了一致的HFE原則和HSI設計導則，從而保證舊系統(tǒng)和新系統(tǒng)之間，以及新系統(tǒng)內的標準化和一致性；c)當相似HSI的舊版和新版同時可用時，應能為兩者在顯示、操作方式上的協(xié)調提供合理保證，以便交替使用它們時，人員效能不會受到影響；d)應采用一致的HFE原則對臨時配置進行驗證，確保臨時配置的設計遵循了良好的HFE原則；e)應清晰標識非功能狀態(tài)的HSI。12.3.3HSI任務支持驗證的特殊考慮如下。a)應核實執(zhí)行重要人員動作所需的HSI具有一致性，且是標準化的。b)應核實新的系統(tǒng)滿足明確的運行需求，并且不對現有系統(tǒng)造成干擾。例如，新HSI的報警聲不應干擾操縱員處理更重要的報警。c)若存在未引起HSI系統(tǒng)改造的電廠系統(tǒng)改造，應關注電廠系統(tǒng)改造是否帶來了新的監(jiān)測和控制需求，并評價現有的HSI設計是否能滿足要求。d)若改造同時保留新舊HIS。1)不應要求人員在執(zhí)行同一任務的不同部分時，既使用舊HSI又使用新HSI。2)當設備控制可同時由多個不同的HSI控制器實現時，應對其中的安全問題進行識別和解決。例如，為了避免同時產生控制輸入，可為控制同一設備的兩個HSI控制設備增設一個選擇開關。3)對于改造，HSI包含了不支持人員任務的信息、顯示或控制可能難以避免。被永久禁止但仍保留在原位(如該位置被棄用)的HSI可能對人員效能產生負面影響(如阻礙了重要信息的查看，或增加影響監(jiān)視的視覺干擾),應對其進行識別和評估。評估可進一步結合其他人因V&.V活動。e)應驗證臨時配置對預期任務的支持。1)臨時配置可包括與最終設計目的不同的HSI,以及各自的初始目的以及組合后的預期目的不同的HSI和系統(tǒng)的配置組合。2)對于每個臨時HSI配置來說，應鑒別人員的任務需求，并將其與所提供的信息和控制功能相比較。例如，如果電廠系統(tǒng)的臨時配置引入特殊的監(jiān)控要求，應對所需的HSI支持進行驗證。12.3.4ISV的特殊考慮如下。a)若電廠模擬機培訓已覆蓋2級人因改造項所涉及的場景，并能為人因評估提供充分保障，可采用培訓觀察替代ISV。b)若改造同時保留新舊HSI:1)應對并行報警的同時出現對人員效能造成的負面效應進行識別和解決；2)若同一信息在新舊系統(tǒng)的顯示或指示存在差異，應對其引起的人員效能負面效應進行識別。c)若受臨時配置影響的人員任務具有較高的風險或重要性，ISV應覆蓋臨時配置。臨時配置應包括臨時規(guī)程以及針對臨時配置的培訓。12.3.5HED識別的特殊考慮如下。a)除了系統(tǒng)設計者指定的特定功能，HSI不能實現其他“人員指定的”功能。例如，當一個數字化系統(tǒng)替代現有系統(tǒng)時，確保新系統(tǒng)能實現被替換系統(tǒng)的應用功能非常重要，盡管初始設計并未有意包括這些功能，設計新系統(tǒng)時應對人員實際使用被替代系統(tǒng)的方式進行分析。b)與其他HSI集成性差。c)與規(guī)程和培訓結合性差。13就地區(qū)域的特殊考慮為了確保電廠的安全性、可運行性和可維修性，有必要對電廠就地區(qū)域開展人因V&.V。這不但有助于提升具體設備和系統(tǒng)的人因水平，也能更好地保證全廠范圍內HSI設計的一致性。當電廠人員從某個區(qū)域或設備轉到另一個區(qū)域或設備時，HSI設計的不一致將大大增加人員失誤的可能性。可根據改造項目特點確定是否開展就地人因V&.V活動。鑒于就地HSI的復雜性、任務類型的多樣性，以及項目限制條件，應逐一確定就地人因V&.V活動采用的方法。方法選擇應綜合考慮不同的形成性V&.V和總結性V&.V活動，以及任務分析等其他人因活動的特點和關聯。允許對方法進行裁切，如將形成性V&.V、HSI任務支持驗證和ISV進行合并，或采用任務分析替代HSI任務支持驗證。若進行裁切，應論證整個HFE項目依然能為就地HSI集成系統(tǒng)提供充分的HFE保障。應為就地人因V&.V制定策劃，保證活動的統(tǒng)一性，并指導具體就地V&.V活動的開展。制定策劃確定義就地人因V&.V活動的范圍。應覆蓋重要人員動作相關的就地HSI。 用戶類型：就地HSI用戶類型廣泛。優(yōu)先考慮負責執(zhí)行與電廠安全直接有關任務的人員，如現場操作員。按需考慮I&.C技術人員、電氣維修人員、機械維修人員、輻射防護技術人員、化學技術人員、工程支持等其他類型用戶。相關人員的參與，對獲得全面、平衡的反饋至關重要?！M織結構和授權：應清晰定義就地人因V&.V相關的組織、專業(yè)的職責及相互間的接口，應從組織層面保證與解決就地HED匹配的授權。 流程和里程碑；由于就地區(qū)域設計變更相對困難，應定義合理的時間節(jié)點和里程碑。例如，申廠布置等特性的人因V&.V,應在設計初期就開展。應核對HSI設計導則是否滿足就地人因V&.V的要求，包括以下方面?！獙t指標符合就地人因要求。例如，由于電廠就地運維空間有限、環(huán)境條件控制困難，除了提出一個優(yōu)選、推薦的控制限值，導則宜補充一個“可接受限值”,該“可接受限值”可能超出其他人因相關導則和標準中規(guī)定的首選或通?？山邮艿南拗怠！梭w尺寸相關導則考慮了就地區(qū)域的特點，如百分位范圍的選擇、服飾修正量等。鑒于就地問題的復雜性，除了詳細的“樣式導則”,亦可補充通用的人因原則以保證評估的全面性。應對支持就地HSI物理特性評估的實體模型、三維數字模型進行系統(tǒng)規(guī)劃，包括范圍、精細程度、可用時間等。模型的精細程度應與評估目標相匹配，例如評估設備搬運抓握特性時，宜對設備質量也進行模擬。若采用縮小或放大尺寸的模型，應分析其與等比例尺寸設備的差異，是否會對V&.V結果有效性造成影響。對于認知交互特性是人員效能主要影響因素的HSI系統(tǒng)，也應按需提供原型機。必要時，需要對惡劣環(huán)境進行模擬。就地V&.V可采用數字人體模型或實體人體模型，包括完整的人體模型或局部的人體模型(如手)。評估時應選擇與設計尺寸相關的人體尺寸(集)。當存在多個人體尺寸耦合時，宜考慮適配率遞減的影響。13.2.3.1在判斷就地HED是否需要進行糾正時，需對多種因素進行權衡。例如，對于人體尺寸相關的問題，若操作員為了進行控制或操作而屈膝、跪下或彎腰，或者向上伸手超出其頭部，在確定HED是否需要解決時，可綜合分析相關控制操作是否是：——不頻繁的；——短時間的；——便于操作員讀取標識，以確保操縱員能正確完成任務；——無需精確控制和調節(jié)的；——控制器足夠大，不需要非常靈巧的操作(如控制器可用手抓握，而不是用手指操作);——在控制器附近提供彎腰和工作的空間。13.2.3.2環(huán)境條件越寬松，電廠就地區(qū)域內偏離HFE要求的HSI系統(tǒng)和不方便的操作就越可能被接受。若經濟代價超過收益，解決方案也可進行適當的妥協(xié)。例如，解決可達性問題時，通過設置臨時或可移動的訪問平臺，避免對工藝系統(tǒng)進行設計變更；通過增加輪替人員，縮短工作人員暴露在不舒適環(huán)境中的時間長度，將不利環(huán)境對人員健康的影響控制在可接受范圍內。但對于降低電廠安全、阻礙人員完成任務或使人員有受傷風險的情況是不可接受的。13.2.3.3把商業(yè)現貨產品集成到已有系統(tǒng)中時：——應對一致性等HSI人因特性進行評估；——應對是否會導致工作環(huán)境或任務執(zhí)行產生不良變化進行評估；——應對是否需要開發(fā)額外規(guī)程或進行規(guī)程優(yōu)化進行評估；——應對是否需要額外的培訓進或提出人員技能和資質的新要求進行評估； 與HSI設計導則要求偏離較大，對人員安全和效能、工作環(huán)境帶來了較大負面影響的產品不應用于核電廠就地區(qū)域。(資料性)人機接口清單和特性描述HSI清單和特性描述屬于人因V&.V中的支持性活動，其目的是確保收集的資料或所采用的測試設施能體現HSI系統(tǒng)當前最新有效狀態(tài)，對設計變更進行有效追蹤和管理，保證特定驗證或確認活動輸入的有效性和規(guī)范性?？赏ㄟ^不同的方式開展HSI清單和特性描述，但應確保采用方法的有效性。一般而言，清單信息應至少包括HSI系統(tǒng)的范圍、完整的基線信息、HSI系統(tǒng)各組成部分的特性描述。HSI系統(tǒng)的范圍包括待V&.V的HSI系統(tǒng)組成部分，或運行條件選取確定的所有HSI系統(tǒng)組成部分。完整的基線信息包括唯一的標識碼或名稱、版本信息、適用的設計變更等信息。對于HSI系統(tǒng)各組成部分的特性描述，無論依賴于4.4的哪一類載體，都應確保其準確地反映了HSI系統(tǒng)的當前狀態(tài)。特性描述的逼真度取決于具體V&V活動的需求。定義描述HSI特性所需的最小信息集時，可考慮下列信息。a)相關的電廠系統(tǒng)和子系統(tǒng)。b)相關的人員功能和任務。1)基于計算機的控制，例如，觸摸屏或光標操作的按鈕和鍵盤輸入；2)硬接線控制，例如，J形手柄控制器、按鈕和自動控制器；3)基于計算機的顯示，例如，數字讀數和模擬顯示；顯示格式(如棒狀圖和趨勢圖)。和控制方式(輸入方式)。f)人機交互和對話類型，例如，導航輔助和菜單。g)數據管理系統(tǒng)中的定位信息，例如，信息顯示屏幕標識碼。(資料性)運行條件選取運行條件選取應：——涵蓋電廠運行期間可能遇到的典型代表事件；——體現對系統(tǒng)性能變化有預期影響的系統(tǒng)特性；——考慮HSI設備的安全重要性。這些取樣特征可由多維度的取樣策略識別，這一最優(yōu)策略保證了V&.V能夠覆蓋重要維度的變化。運行條件選取將確定一個運行條件范圍，用于指導基于任務序列的考慮任務序列特性的形成性V&.V、HSI任務支持驗證和ISV。B.2～B.4將針對主控制室HSI任務支持驗證和ISV進行描述，即運行條件選取應同時考慮電廠條件、人員任務和人員效能影響因素三個維度。其他V&.V活動的運行條件選取可按需要進行裁切，但需清晰描述用于鑒別和選擇運行條件的維度，以及它們與場景的結合情況，見B.5。B.2維度電廠運行包括以下方面。1)電廠啟動；2)電廠停堆或換料；3)運行功率發(fā)生大的變化。1)瞬態(tài)(例如，汽輪機緊急停機、喪失廠外電源、全廠斷電、喪失所有給水、喪失廠用水、主控制室電源或選定母線失去供電，以及安全閥或卸壓閥瞬態(tài)故障);2)事故(例如，主蒸汽管道破裂、正反應性引入、功率運行期間控制棒插入、未能緊急停堆的預期瞬態(tài)、不同尺寸的冷卻劑喪失事故);3)使用遠距離停堆系統(tǒng)實現反應堆停堆或冷卻；4)由電廠特定的概率安全評價確定的合理的、風險重要的、超設計基準事件。1)I&.C系統(tǒng)，包括傳感器、監(jiān)視、自動控制和通信子系統(tǒng)(例如，安全有關系統(tǒng)的邏輯和控制單元、容錯控制器);2)設計基準事故期間I&.C系統(tǒng)共因故障；3)HSI,包括喪失報警、顯示、控制和COPS的處理和顯示功能。B.2.2人員任務B.2.2.1重要人員動作、系統(tǒng)和事件序列應包含所有重要人員動作。根據概率安全評價的定義，其他對風險貢獻很大的因素也應被覆蓋：a)占主導地位的事故序列；b)占主導地位的系統(tǒng)(通過概率安全評價重要性評價識別到的，例如，風險增加因子或風險降低因子)。B.2.2.2保護動作的手動觸發(fā)：應包含關鍵安全功能的手動系統(tǒng)級驅動。B.2.2.4運行經驗評審確定的困難任務：應包含在運行經驗評審中確定的存在困難的所有人員任務。B.2.2.5規(guī)程指導的任務包括以下方面。a)應包含規(guī)程明確定義的任務。b)操縱員應能理解和執(zhí)行規(guī)程規(guī)定的步驟，這個過程是基于規(guī)則的決策活動的一部分。2)電廠總體運行規(guī)程；3)安全有關系統(tǒng)的啟動、運行和停止規(guī)程；5)應急和其他重大事件規(guī)程(例如，反應堆事故，以及通報應急行動水平);6)放射性控制規(guī)程；7)測量和試驗設備控制規(guī)程、監(jiān)督試驗規(guī)程和校準規(guī)程；8)運行維護規(guī)程；9)化學和放射性化學控制規(guī)程。B.2.2.6基于知識的任務包括以下方面。a)取樣應包含規(guī)程未詳細規(guī)定的任務。b)如果規(guī)程提供的規(guī)則不能完全解決問題，或者未明確該如何選擇適當的規(guī)則，那么一些場景可能需要基于知識的決策過程。例如，在壓水反應堆電廠中，如果電廠二次側的放射性監(jiān)測發(fā)生故障，那么診斷SGTR可能會很困難。這是因為通過二次側出現放射性來判斷，破口沒有明顯的指示；破口引發(fā)的效應(即一次側和二次側液位和壓力會發(fā)生輕微的變化)可能被認為是由其他原因引起。盡管操縱員會使用規(guī)程來處理事件癥狀，但確定事件的起因是SGTR就需要開展場景評價，而且這一評價就是基于操縱員對電廠設計和能引起所觀察癥狀的所有可能的故障組合的理解?；谝?guī)則的決策中的錯誤，是由選擇了錯誤的規(guī)則或不正確使用規(guī)則所致?；谥R的決策中的錯誤則是由較高層次的認知功能(如判斷、計劃和分析)錯誤所致。后者更可能發(fā)生在癥狀與典型事件不相似的復雜故障事件中，因此后者不遵從預先建立的B.2.2.7人員認知活動包括以下方面。a)檢查和監(jiān)視(如查看關鍵安全功能是否受到威脅)。b)場景評估(如為診斷電廠工藝過程、自動控制系統(tǒng)和安全系統(tǒng)的故障，對報警和顯示畫面所做解釋)。c)響應計劃(如評估恢復電廠故障的可選方案)。d)響應實施(如電廠系統(tǒng)的控制回路中，對自動控制系統(tǒng)采取手動控制，并執(zhí)行復雜的控制操作)。e)獲取反饋(如操作成功的反饋信息)。B.2.2.8人員交互包括以下方面。a)應包含由單個人員獨立完成的任務。b)應包含由團隊完成的任務：1)主控制室操縱員之間的交互(如運行、操縱員交接班);2)主控制室操縱員與輔助操縱員及其他在就地執(zhí)行任務的電廠人員之間的交互(如維修人3)主控制室操縱員與技術支持中心和應急指揮中心之間的交互；4)主控制室操縱員與電廠管理人員、安全監(jiān)管方和其他廠外組織間的交互。B.2.3人員效能影響因素應包括影響人員效能的場景因素或導致失誤的情況。還應包含經過特殊設計、易造成人員失誤的情況，以此評價系統(tǒng)的容錯性，以及當失誤發(fā)生時操縱員從失誤中恢復的能力。例如以下因素。a)高工作負荷：應包含工作負荷高的情況，以便評估人員效能由于高工作負荷和多任務處理發(fā)生的變化。b)工作負荷變化：取樣應包含工作負荷變化的情況，以便評估由于工作負荷變化引起的人員效能變化。工作負荷變化的情況如：1)一段時間內信號很少，隨后突然出現大量需要監(jiān)視和處理的信號；2)一段時間內持續(xù)高任務負荷，隨后需要監(jiān)視和處理的信號突然減少。c)疲勞：在可行的范圍內，取樣應包含與疲勞相關的場景，例如，上晚班，以及頻繁執(zhí)行重復動作的任務(如在電廠運行或提棒期間對觸摸屏重復輸入)。d)環(huán)境因素：在可行的范圍內，取樣應包含可能導致人員效能變化的環(huán)境條件，例如，弱照明、極端溫度、高噪聲和模擬的放射性污染。B.3場景確定應將取樣結果組合起來，確定一系列用于后續(xù)分析的V&.V場景。一個給定場景可能組合了由運行條件選取確定的多個特性。確定場景時還應避免有下列傾向?！A期只會產生有利結果的場景?！鄬σ子趯嵤┑膱鼍啊＠绮荒軆H僅因為需要在模擬機上安裝和運行，而取消某一用于ISV的場景?！煜さ?、標準化的場景。例如，處理熟悉的系統(tǒng)以及與電廠規(guī)程高度一致的故障模式的ISVB.4場景定義場景應對任務序列信息進行清晰描述。場景定義的詳細程度應與試驗計劃包含的內容相當。對于