GB/T41145-2021
核电厂人因验证和确认
Humanfactorsverificationandvalidationfornuclearpowerplants
- 中国标准分类号(CCS)F65
- 国际标准分类号(ICS)27.120.20
- 实施日期2022-07-01
- 文件格式PDF
- 文本页数33页
- 文件大小2.61M
以图片形式预览核电厂人因验证和确认
核电厂人因验证和确认
国家标准 GB/T41145一2021 核电厂人因验证和确认 Humanfaetorsverifieationandvalidationfornuelearpowerplants 2021-12-31发布 2022-07-01实施 国家市场监督管理总局 发布 国家标涯花警理委员会国家标准
GB/41145一2021 目 次 前言 范围 规范性引用文件 2 术语、定义和缩略语 3.1术语和定义 3.2缩略语 人因验证和确认总则 活动和过程 4. 42 V8.V范围 4.3HFE人机接口设计导则 测试设施 44.4 4.5V&.V人员 4.6特殊考虑 形成性验证和确认 5 .1目的 形成性v&.V策划 5.2 5.3过程和方法 人因工程设计验证 6.1目的 6.2过程和方法 人机接口任务支持验证 7.1目的 7.2过程和方法 集成系统确认 8.1目的 10 8.2实施计划 8.3场景选择 8.4IsV试验设施 1 8.5参试者 ll1 8.6效能测量 12 试险设计 8,7 13 14 8.8数据分析 15 8.9HED识别、记录和传递 #*#*# 15 8.10ISV结论 15 设计实现
GB/T41145一202 15 9.1目的 15 9.2过程和方法 16 10 人因偏差解决 16 0.1目的 l6 0.2过程和方法 17 11 改进型新电厂的特殊考虑 18 12电厂改造的特殊考虑 18 12.1改造项的人因风险等级 19 12.2电厂改造人因V&.V策划 20 12.3电厂改造人因V&.V活动 21 13就地区域的特殊考虑 21 3.l概述 21 13.2特殊考虑 附录A(资料性》人机接口请单和特性描述 23 24 附录B(资料性运行条件选取 附录c(资料性)人因不符合项分级原则和示例 28 参考文献 29
GB/41145一2021 前 言 本文件按照GB/T1.1一2020<标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别专利的责任
本文件由全国核仪器仪表标准化技术委员会(SAC/Tc30)提出并归口
本文件起草单位:上海核工程研究设计院有限公司、清华大学、苏州热工研究院有限公司、中广核工 程有限公司、核电工程有限公司、核工业标准化研究所
本文件主要起草人:宋罪、王秋雨、张淑慧、王国强、李志忠、潘丹、高泉源、徐智、吴一谦、俞光卫、 邓士光、杜建、焦丽玲
GB/41145一2021 核电厂人因验证和确认 范围 本文件规定了核电厂人机接口集成系统人因验证和确认活动的准则和方法
本文件适用于新建核电厂,以及在役核电厂人机接口集成系统改造
其他类型核动力厂的人机接 口集成系统可参照执行
规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件
NB/T20270 人因工程在核电厂计算机化运行规程系统中的应用准则 术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件
3.1.1 验证yerifieation 从人因工程的角度确定设计或实现满足规定的要求的过程和活动
[[来源;IsO11064-7;2006,3.7,有修改] 3.1.2 确认validationm 从人因工程的角度确定设计或实现满足特定的用途或应用需求的过程和活动
[来源;IsO11064-7;2006,3.6,有修改] 3.1.3 形成性验证和确认formativeverifieationandvalidation 通过收集客观证据来发现人机接口集成系统存在的问题,以改进设计的过程和活动
3.1.4 总结性验证和确认sumatieverifieatiomandvalidationm 通过收集客观证据,对人机接口集成系统的设计和实现进行最后的符合性评估的过程和活动
3.1.5 人机接口human-systeminterface;HSI 系统的一部分,用于人与系统交互以完成它们的功能和任务
注1:系统指核电 注2:在运行和控制中心,典型的人机接口有报警、显示、控制、规程(纸质的、计算机的、通信等
注3:在就地区域,典型的人机接口有就地控制盘/箱/柜、阀门、手套箱、出人口(设备上不同尺寸需要人局部或全 身通过的开口),规程(纸质的,计算机的),通信,标识等
GB/T41145一2021 3.1.6 人机接口系统IHSIsystem 人机接口及其所处的空间和环境
注1:人机接口的组织形式及其所处空间的特性是影响人机接口使用的直接因素
例如,报警,指示、控制在控制 盘台上的布置特性、控制盘台和他设备在控制室中的布局特性、完成任务所需的移动和作业空间特性
注2人机接口所处的环境条件是影响人机接口使用的直接因素
例如温度,湿度、照明、噪声,通风等
3.1.7 人机接口集成系统IHs1intewrt edsystem 由人机接口系统、任务和人员共同组成的集成系统
3.1.8 运行和控制中心operationandeontrolcenter 对核电厂或其特定系统进行集中监控的控制中心,如主控制室、辅助控制室、就地控制站,以及对核 电厂运行进行监视并提供决策指导的设施,如技术支持中心,应急指挥中心 [来源:ISO1l064-l:;2000,3.1、3.2、3.3、3.10,有修改] 3.1.9 人因偏差hmanengineerimgdiserepaney;lHED 人因偏差项 与人因基准存在偏离的人机接口集成系统设计项
注人因基准基于人因工程原则和要求,电厂性能准则要求、人员效能要求,用户偏好等建立
[来源:ISO11064-7:2006,3.2,有修改] 3.1.10 人因例外项humanengineeringexepton 技术恰当性能被合理证明,判定为可接受的人因偏差项
3.1.11 人因不符合项humanengineeringnonconformity 不能判定为人因例外项的人因偏差项
3.2缩略语 下列缩略语适用于本文件 cOPS:计算机化运行规程系统(computerizedoperatingproceduresystem HED;人因偏差(ht humanengineeringdiscrepaney) HFE:人因工程(humanfactorsengineering) HSI:人机接口(human-systeminterface ISV;集成系统确认(integratedsystemvalidation I8.C:仪表和控制(instrumentationandcontrol sGTR;燕汽发生器传热管裂(steamgeneratortuberupture) v&.V;验证和确认(verifieationandvalidation 人因验证和确认总则 4.1活动和过程 人因V&.V全面评估电厂HSI集成系统设计是否符合HFE设计准则,使电厂人员能成功完成其
GB/41145一2021 任务,以达到安全和其他运行目标
V&.V活动贯穿于概念开发、需求开发,设计,以及设计实现全过 程,其概貌见图1
本文件将人因V8.V分为三个主要活动;形成性V&.V、总结性V&.V、HED解决
随着设计的推进,形成性V&.V活动逐步过渡到总结性V&.V活动
形成性V&v(见第5章)主要目的是通过客观证据的收集和评估来发现存在的问题,以改进Hsi 集成系统的设计
应根据技术需求,考虑可用资源,综合不同的评估方法以制定适用特定项目的形成性 v&.V方案
总结性V8.V是对HS1集成系统的设计和实现进行最后的评估,应采用标准化的方法开展,以支 持项目的符合性评价和安全审评
总结性v&.V分为HFE设计验证(见第6章)、HsI任务支持验证 见第7章),Isv见第8章)、设计实现(见第9章)四个活动
HFE设计验证和设计实现都是对Hs1 设计是否符合特定项目的HFE技术要求进行评估,其差异在于前者主要依赖最终的设计文件或原型, 后者则基于实际的HS集成系统开展,两者具有延续性和互补性
HSI任务支持验证是对HSI是否支 持任务要求进行评估
IsV采用基于效能的试验,对整个HSI集成系统的最终设计是否满足效能要求 进行最终评估
HED解决(见第10章)为在V&V话动中识别的HED得到满意评估和解决提供了合理的保证
HED解决贯穿整个V&V过程,与形成性v&.V和总结性V&V存在迭代
对后续V&V活动结果有 效性具有潜在影响的人因HED,应在受影响的V&.V活动开展之前得到解决
概念 运行和 需求 设计 设计实现 开发开发 维护 形成性验证和确认 第5章 总结性验证和确认 HFE设计验证 设计实现 6 第9章 HIS任务支持验证 第7章 集成系统 确认 第8章 人因偏差解决 第1O章 图1人因V&V概貌 4.2V&V范围 HsI集成系统涵盖HsI系统、任务、人员《即最终用户)三个组成部分,见图2
开展具体v&V活 动时,应从这三个维度对人因V&.V范围进行界定
GB:/T41145一2021 H1S1集成系统 任务 HHSI系统 人员 HS1子系统 HSI特性 图2HS集成系统组成和&V范围 HSI系统可从系统、不同层次的子系统,划分至无需进一步细分的HS特性
应根据具体V8.V 活动的特点,按需要的层次准确定义HS系统的范围,并详细描述其状态(HSI清单和特性描述方法见 附录A 在考虑任务序列特性的形成性V8.V,HSI任务支持验证和IsV中,除了HSI清单和特性描述之 外,还应通过运行条件选取(见附录B)来进一步确定评估范围
新建核电厂设计和在役核电厂重大设 计改进可能涉及成百上千个独立的HSI部件,对应的任务数量繁多,不可能对所有任务都进行评估
运行条件选取提供了平衡多个因素以识别需评估的最优任务集的策略
在基于HSI设计导则见4.3)的形成性V&.V、HFE设计验证、设计实现,以及HSI任务支持验证 中,对人员的考虑是隐含和抽象的
但在基于效能试验的形成性V8.V和1SV中,应对人员配置、资质 和培训水平进行明确界定
应根据具体V&.V活动的特点确定人员配置、资质和水平要求
4.3HFE人机接口设计导则 HFE人机接口设计导则(以下简称“HSI设计导则”)的目的是为整个项目的HSI系统提供一致的 设计方法,确保设计遵循了适当的人因要求、与人的能力相匹配,电厂运行安全性和可用性得到保证
应对基于标准和文献的通用导则、当前工业运行实践和经验反馈、项目HSI特点进行分析和权衡, 制定一份或多份项目特定的“样式导则”文件,以支持特定项目的HSI设计,以及人因v8.V活动
HsI设计导则由设计活动开发,不属于人因V8.V的范围
但人因v&.V的经验反馈可为HHs设 计导则的优化提供输人
4.4测试设施 测试设施是用于替代v&.V系统设计的任何载体按其特点可分为图纸、原型模拟机和实际系统 四类,见表1
V&.V结果的全面性和可信性随着测试设施逼真度的增加而增加
逼真度包括完整性、 实体逼真度、功能逼真度、环境逼真度(如高噪声环境、高温、高湿度、照明不足等、数据完整性逼真度 数据内容和呈现逼真度、数据动态逼真度多个维度(见8.4)
测试设施的准备,应结合HsI清单和特性 描述的要求开展
GB/41145一2021 表1测试设施 类型 载体 特点 HsI设计文件 二维的设计信息,不同类型的图纸、文件呈现设计特性的详细和逼真程度不 图纸 照片、效果图 常需要多份资料才能“拼凑”出较为完整的HsI特性 产品手册 硬件类HsI的原型可对布置,外形尺寸,动作模式等特性进行描述
标准化设 备可直接利用产品样本
对于非标设备,可依赖于缩放的或等比例的实体模 产品样本 型 实体模型 对于数字化控制室大量存在的软件类HSI,界面原型能较好地模拟主要的呈现 原型 三维数字模型 和交互特性,但不必提供电厂动态参数的模拟例如,虽然原型提供了数字显示 界面原型 或趋势曲线,但这一数值是原型后台强制的,与电厂运行场景没有联系)
界面 原型可利用专业界面快速原型软件开发,也可利用目标平台开发 在静态特性上已较为完备,且具备模拟电厂动态参数响应的功能(部分范围或 工程模拟机 模拟机 全范围的)
ISV应采用全范围培训模拟机,且其逼真度应达到1SV试验的要求 全范围培训模拟机 见8.4 对于运行和控制中心,实际电厂主要为设计实现提供支持
对于就地区域,基 于具体目的,就地Hsl在完全就位前也可为V8.V活动提供支持
实际系统 电厂HS集成系统 实际电厂的优势是输人比设计阶段更多、更为直观,但缺点是识别到的HED的 改进空间一般局限在规程和培训领域 4.5v&V人员 4.5.1资质和培训 v&.V活动的实施,除了HFE专家,应根据需要安排具备不同技能和经验的专家共同参与,例如 Hs1专家,安全分析专家.人员可靠性专家.仪控专家,工艺系统专家.电厂运行专家.培训专家,模拟机 专家等
应明确不同v&.V活动对人员资质的要求,如HFE设计验证对人员知识背景和工作年限的具体 要求
应为v8V人员提供必要的培训,如为参与问卷调查的电厂运行专家提供专项培训,确保其掌握了 当前HsI集成系统的必要信息;为参与形成性V8V的设计人员提供HFE理论方法和HIsI设计导则 的培训;为IsVv的试验实施或管理人员提供试验程序和数据记录的培训
4.5.2独立性 应明确V&.V人员独立性水平要求,从而保证结果的客观性和公正性
总结性V8.V团队应与设计团队保持独立
V8.V人员和设计人员可为同一组织工作,但V8.V 人员不应参与V&.V对象的设计工作,也不应对设计进度或财务绩效负责
V&.V人员不一定是HFE 专职人员,可从其他设计团队调人,但其职责只能是对目标对象进行V&.V
形成性V&.V团队除了独立V8.V人员,亦可安排设计人员参与但设计人员不应主导或独立完成 具体V&.V活动
设计人员对系统了解更为深刻,在多专业交流中能提出有益的建议或方案
同时,设 计人员参与形成性V&.V能起到自查和培训作用,有助于提高后续设计的人因符合性
人员独立性要求应完整覆盖各项V&.V活动及其具体环节
例如,HED解决中,人因例外项判定、
GB/T41145一202 人因不符合项分级和判定是否需要解决、人因不符合项再验证和确认应由独立的V&.V人员实施,而 HED分析、人因不符合项解决方案开发和实施则需要设计团队的共同参与
4.6特殊考虑 新建核电厂包括HS集成系统全新设计和改进设计两类情况,在役核电厂则包含形式不一的改 造
第5章一第10章所述要求和指导完全适用于全新设计,其他情况可采用分等级的方式使用,改进 型项目的特殊考虑见第11章,改造项目的特殊考虑见第12章
依据Hs系统特点、任务复杂性、人员参与程度,所需的人员响应速度、人员失误对运行造成的后 果等因素,核电厂物理区域可划分为运行和控制中心区域、就地区域两类
第5章至第10章所述要求 和指导完全适用于运行和控制中心的主控制室、辅助控制室,其他区域可采用分等级的方式使用
其 中,就地区域的特殊考虑见第13章
5 形成性验证和确认 5.1目的 在电厂设计过程中开展形成性人因V8.V活动的目的如下
改进HSI集成系统设计,如 a 在设计方案比较选择时,确保HFE得到充分考虑; 1 对引人的新技术及其与已有系统的集成开展系统的人因评估 3 及时论证设计过程中的HFE假设,降低设计的不确定性 4 对HSI设计导则未覆盖的设计特性,提供HFE见解; 为HFE需求或HSI设计导则的传递和落实提供支撑手段
5 b)为总结性v8.V提供支持,如 避免大量问题识别不及时造成解决困难; 1! 2 全范围或部分范围基于效能的形成性V8.V活动,能提高IsV的效率,降低1sV的风险 例如,优化运行条件选取的范围,为IsV前提条件提供判断,以及为1SV建立参考基 准等
5.2形成性V&V策划 项目开展HFE策划时,应对形成性V&.V的必要性进行分析,确定本项目是否计划开展形成 性V8.V
通常,形成性v&V采用渐进、迭代的方式开展,其具体活动的目的、范围,时间节点应与项目阶段 相匹配,并与设计过程集成
除了按概念开发、需求开发、系统和子系统设计的节点策划形成性v&.vV 活动,还可考虑下列维度: 按测试设施逼真度如图纸、原型、模拟机 按V&.V对象,如软控制器的设计、cOPs,显示画面结构和导航
应为形成性v&.V制定详细计划,覆盖每项形成v&.V活动目的,范围、过程和方法等信息
5.3过程和方法 验证是对是否正确地开展了设计进行评估,如显示画面的设计规范是否符合HSI设计导则的要 求
确认则是对是否设计了正确的系统进行评估,如软控制器的设计方案是否能支持安全目标和可用 性目标的实现
在设计早期,因为活动可能会融合了两类目的,验证,确认往往难以清晰区分
越接近 设计后期,则能更为独立地开展验证、确认活动
为此,形成性v8.V有必要根据问题特点和设计阶段,
GB/41145一2021 采用更为灵活的评估方法
启发式评估、可用性评估、走查评估和试验评估均可应用于形成性V8.V
例如,启发式评估主要 通过专家评估法对集成系统的设计特性提供主观定性评估,而试验评估则基于任务序列的时间响应和 准确性对HsSI集成系统提供更为客观、系统的详细评估
对于难以独立支持一次V8.V活动的方法 定义为辅助方法,一个辅助方法可配合多类主方法使用,详见表2. 表2形成性V&V的方法 类型 主方法 辅助方法 测试设施 评估重点 启发式讨论 图纸 设计特性 检查表法 启发式评估 专家评估法 问卷调查 原型 主观定性评估 访谈 观察法 原型 设计特性 检查表法 可用性评估 可用性试验法 模拟机 问卷调查 主观定性或定量评估 实际系统 访谈 观察法 有声思考法 图纸 走查评估 走查排演法 检查表法 原型 任务序列特性 实际系统 问卷调查 访谈 观察法 有声思考法 图纸 基于任务序列的 试验评估 基于效能的试验 检查表法 原型 时间响应和准确性 问卷调查 模拟机 访谈 应尽可能采用定量和客观的指标
通常难以直接对安全性和可用性这类总体目标进行测量,为此 宜采用不同的指标对HS1集成系统的不同方面进行评估
除了完成时间,正确率、频次这些通用指标, 还可考虑但不限于)以下指标 匹配性; 效能改进特性(如有效性、效率、满意度); b e 工作负荷(或心理负荷、工作记忆负荷); ) 情境意识 团队协作; e 信任度; 认知模型和可理解性; 易操作性、可控性; h) 易学性 j 生理因素如视线位置和凝视时间、疲劳)等
应根据对象的特点和评估的目标选取指标
例如,对显示画面导航结构进行评估的时候,除了导航 任务完成时间和正确率,还可采用位置感知满意度,视觉搜索效率作为指标
GB/T41145一202 除了目标电厂具有资质的运行人员,也可选择其他人员担任形成性v&.V的参试者,如正在接受培 训的运行人员或设计人员
但应对其对目标电厂的熟悉程度做出正确评估,以支持最终分析结论的准 确性
形成性V&.V识别出的问题若不正式传递给HED解决活动,应证明项目已建立有效的人因问题 跟踪系统,识别的问题得到完整记录、分析和解决,HSI集成系统设计得以优化
人因工程设计验证 6.1目的 HFE设计验证从人的能力和局限性考虑HsI系统的恰当性
HFE设计验证的目的是确保Hs1 系统的最终设计符合HHsI设计导则的要求
6.2过程和方法 HIFE设计验证的过程和方法如下
获取HSI设计导则:应收集适用于当前项目的“样式导则”文件或文件集
a b)收集HSI系统特性;通过HSI清单和特性描述(见附录A)明确要验证的对象及其特性,应选 择能代表当前最新设计状态且最为逼真的测试设施
匹配HS设计导则和HS系统特性间的对应关系:导则的某条要求可能适用于许多HS系 统对象在验证前应对两者的对应关系进行梳理,明确验证项
将HsI设计导则和HsI系统的特性进行比较;对于通用属性(如菜单、特定静动态死素,某一 d 型号开关),可基于标准化对象附加实例取样的方式进行验证,对于特殊属性则应逐一验证
应对导则某条要求在多个HsI中应用的一致性进行评价
可根据各设计要素的成熟度从上 至下逐步推进HFE设计验证活动,如先开展控制室整体布置、硬件HsI特性、显示画面通用 特性的验证
识别HED 1 当HSI系统的某个特性偏离了导则要求时,应将其识别为一个HED. 只有完全符合HSI设计导则的要求,即验证项的每个用例完全符合由导则确定的准则 2 时,才可判定为“通过”
若存在任何HED,无论是完全还是部分存在HED,都应判定为 “不通过”,识别为HED 33 若采用取样的策略进行验证,应充分分析HED潜在的扩展问题
例如,识别出某一幅显 示画面数据呈现格式不恰当时,其他显示画面格式的使用也可能不正确,或者被观察到的 格式在所有地方的使用都不恰当
f 记录和传递HED;应定义格式化的方法,对识别的HED进行记录
记录应清晰标明相关的 验证对象,以及Hs特性与特定导则的偏离情况
记录的HED将传递给HED解决活动 HED的分析和纠正属于HED解决活动,见第10章
HFE设计验证的关闭 若验证项基于设计文件和图纸即可关闭,如果当前条件不成熟不能进行验证或尚无法确 定最终结论,应评价为“待定”并持续跟踪直至可评价为“通过”或“不通过”
2 若验证项还需要跟踪到设计实现阶段才能关闭,应传递到设计实现活动
在具体项目中,应综合考虑HS系统固化情况以及后续设计实现活动的计划,明确HFE 设计验证活动关闭的条件
! HFE设计验证活动应与HSI系统设计和实现过程紧密结合,应明确应对设计变更和工 程实现偏差的措施
GB/41145一2021 人机接口任务支持验证 7.1目的 HSI任务支持验证关注用于支持人员任务需求物项的可用性
HSI任务支持验证的目的是确保 HSI系统的最终设计能为人员提供执行任务所必需的报警、信息、控制和任务支持
7.2过程和方法 HS任务支持验证的过程和方法如下
确定场景;应通过运行条件选取(见附录B)确定人员任务需求,即场景
HSI任务支持验证场 a 景的确定宜考虑与任务分析的延续性
收集HS1系统特性;通过HSI清单和特性描述(见附录A)明确要验证的对象及其特性
应选 择能代表当前最新设计状态且最为逼真的测试设施
将人员任务需求和HsI系统特性进行比较;HsI任务支持验证的启动时间取决于项目特点、 任务分析方法和实施节点,形成性V&.V的范围和实施节点等因素
验证可采用分批的方式 开展,如根据设计成熟度和场景重要性,先开展安全直接相关以及运行经验反馈存在问题的 任务
识别HED d 1)执行任务所需的某个HsI(某个必需的控制、显示或报警)不可用时,应识别为HED
HIsI系统特性与人员任务需求不匹配(例如,显示画面给出了需要的电厂参数但不满足 22 任务所需的参数范围或精度),应识别为HED. 存在不必要的HsI,应识别为HED
对不必要的HsI进行验证很重要,因为它会造成干 扰,并可能分散人员注意力,妨碍其选择适当的HsI
然而,不必要Hs的判定需要慎 重,避免由于下列原因造成误判;该HsI在某个任务中是必需的,但该任务不在分析考虑 的范围内;分析不完整,忽略了该HsI需求;该HsI仅部分满足所确定的人员任务需求
记录和传递HED;应定义格式化的方法,对识别的HED进行记录
记录应清晰标明相关的 验证对象(Hs!和任务)以及HED的依据(HsI的哪个方面不满足任务需求》
记录的HED 将传递给HED解决活动
HED的分析和纠正属于HED解决活动,见第10章
HSI任务支持验证的关闭 对于当前条件不成熟不能进行验证或无法下最终结论的验证项,应评价为“待定”并持续 跟踪直至可评价为“通过”或“不通过”; 在具体项目中,应综合考虑HSI系统和任务的固化情况以及后续ISV的范围和时间节 点,明确HSI任务支持验证关闭的条件; HS任务支持验证活动需要与HSI系统设计和实现过程紧密结合,应明确应对设计变更 和工程实现偏差的措施
集成系统确认 8.1目的 IsV采用基于人员效能和系统性能的试验对HS集成系统的设计进行确认,目的是确保HsI集成 系统充分支持人员对电厂的安全运行,具体包括以下方面
确认轮班班组的人员配备,成员的任务分配以及协作(包括内部以及内,外部人员之间的协作 a
GB/T41145一202 可接受,包括对最小人员配备、正常人员配备、最大人员配备和交接班的确认
b)确认设计能提供必需且恰当的报警、信息、控制和反馈,使得人员任务能成功完成,包括电厂正 常运行、瞬态、设计基准事故和选定的风险重要的设计扩展工况由运行条件选取确定,见附录 B 确认特定的人员任务可在符合时间和效能准则的情况下完成,并且人员情境意识水平较高,工 作负荷水平可接受(平衡了警觉性和负荷)
d 确认HSI使人员失误最少化,并确保在失误发生时具有失误识别和恢复的能力
确认重要人员动作相关的效能假设
例如,属于电厂概率安全评价一部分的人员可靠性分析 包含了许多关于风险重要人员动作效能的假设
应对这些假设进行确认,包括关键序列的决 策和诊断过程,以及人员操作
应在概率安全评价最终定量化之前完成这项工作 f 确认人员在完成其任务时,能有效地在HsI间包括规程)进行切换,并且HSI管理任务(如画 面配置、导航)不会造成人员注意力分散或负荷过度
具体的确认目的应基于项目需求,结合实际场景和效能测量准则,采用系统的方法确定
8.2实施计划 应为ISV实施制定详细计划,明确1SV的: a 目的 D场景信息包括所采用的场景及其选择依据,与试验计划内容详细程度匹配的场景描述信息 c 测试设施及其符合性要求: 参试者和试验人员的资质要求和培训计划 d 每个场景特定的效能指标,包括用于判断其“通过”或“不通过”的指标,以及用于对结果深人分 析的诊断评价指标; 试验设计(包括场景分配、试验程序、培训安排、预试验等) 数据收集手段 8 h)数据分析方法; HED识别、记录和传递
8.3场景选择 应通过运行条件选取(见附录B),从以下多个维度确定最终的场景
电厂条件 a 1) 正常运行; 2) 瞬态和事故; I&.C和HSI故障
3) b)人员任务 重要人员动作、系统和事件序列 1) 保护动作的手动触发; 2 3 自动系统监视; 运行经验评审确定的困难任务; 44 5 规程指导的任务; 基于知识的任务; 6 77 人员认知活动 8 人员交互
人员效能影响因素: 10
GB/41145一2021 1高工作负荷; 22 工作负荷变化 33 疲劳; ! 环境因素
8.4ISV试验设施 ISV试验设施是用于实施ISV评价的HSI仿真系统
应在实施ISV试验之前,核实试验设施是否 符合所要求的特性
主控制室1SV应采用全范围模拟机,应对下述特性是否符合要求进行核实
完整性:试验设施能完全仿真替代集成系统
试验设施应不仅局限于试验场景特别要求的 a HSI系统,因为邻近的控制和显示可能影响操纵员对特定IsV场景所需要的控制和显示的使 用方式
实体通真度;试验设施的HsI系统应能以较高的实体逼真度仿真参考设计,包括报警、显示、 控制,工作辅助工具,规程、通信设备、界面管理工具布局和空间关系
功能逼真度;试验设施的HsI系统的功能应能以较高的通真度仿真参考设计,包括HsI运行 模式即人员选定模式后,可调用的功能发生变化)或电厂状态变化
所有Hsl功能都应 可用
d 环境逼真度;试验设施的环境应能以较高的道真度仿真参考设计,包括预明的照明水平,噪 温度和湿度
例如,暖通系统、计算机和通信设备产生的噪声应在Isv试验中进行模拟 数据完整性逼真度;提供给人员的信息和数据应完整展现由该设施监视和控制的电厂系统
数据内容和呈现逼真度;试验设施的数据内容应能以较高的逼真度仿真参考设计
信息和控 制的呈现应基于 个能准确反映参考电厂的基本模型
该模型应能为Hs提供输人,以便 Hs显示的信息与实际电厂运行时显示的信息准确匹配
数据动态逼真度;试验设施的数据动态特性应能以较高的逼真度进行仿真
工艺仿真模型应 能为HsI提供输人,以保证信息流和控制响应的准确性以及响应时间的正确性
例如,提供 给人员的信息具有与实际电厂相同的时间延迟 对于全范围模拟机无法支持的HSI,如重要人员动作相关的或复杂的主控制室外的HsI系统,如 需要及时和准确的人员操作,应使用仿真或实体模型来核实所需的人员效能是否能满足要求
若人员 任务重要度低或相关的HSI复杂度不高,可基于分析来评价人员效能
8.5参试者 1sV试验参试者选择应满足以下要求
参与ISV试验的人员应能代表目标电厂的实际用户,其资质要求应与目标电厂运行资质要求 a -致
如,主控制室ISV应采用持证操纵员担任值长、反应堆操纵员和安全工程师,而不是正 在受训的待取证运行人员或工程人员
为正确反映人员差异,应对参试者进行取样
取样应反映样本来源群体的特性
应明确预期 会对系统性能变化产生影响的样本特性,取样过程应合理保证IsV包含了该维度的变化 应 明确执照类型和资质、经验,以及一般的人口学特征等因素对样本代表性的影响
应覆盖最小人员配备水平、正常配备水平和最大配备水平
为保证结果的可信性,应避免使用以下人员 d 设计组织的成员; 1 22 参与过相同试验场景的人员 33 基于某些特性选择的人员,比如效能良好或经验丰富的班组
11
GB/T41145一2021 8.6效能测量 8.6.1类型 1sV应使用一组有层次的效能指标,包括电厂性能(如功能、系统或设备的性能)和人员效能如人 员任务效能、情境意识、认知负荷,以及人体测量/生理因素)
其目的是为确认集成系统设计提供充分 信息,并为评价效能偏差提供基准,从而确定改进需求
应为每个特定的ISV场景确定适用的效能指标,包括以下方面
主任务指标
a 对于每个场景,应确定完成场景目标必须执行的主任务,以便确定其测量指标
主任务是 指电厂人员在监督电厂过程中,行使其功能职责相关的任务,即监视、检查、场景评估、响 应计划和响应实施
对主任务的评价应足够详细,从而与任务需求相适应
例如,对一些 简单的场景,测量任务完成时间即可满足要求
对于复杂的任务,特别是基于知识的任 务,则更适合采用细致的分析,如确定任务的各个组成部分,即查找特定数据,进行决策、 采取行动和获取反馈
为评价人员任务效能,选择的测量指标应能反映对于系统性能存在重要影响的任务因素 22 如时间、准确性、频率,完成量、资源消耗量,参试者主观反馈、观察员对于行为的分类等
主任务分析有助于识别流忽型人员失误(未执行的主要任务》 33 此外,应识别和记录参试 者偏离了主任务的实际任务操作
这些操作应被用于识别意图型人员失误
次任务指标;次任务是指电厂人员与H!sI进行交互时必须执行的任务,如在计算机屏幕中利 用导航寻找所需画面并对HSI进行配置
次任务效能指标应能反映HHSI运行时的具体需求, 如配置工作站的时间、显示画面间的导航,以及显示画面的操作(如变更显示类型和刻度设 置 情境意识指标;情境意识是指电厂人员在任意给定时刻,对电厂参数的感知,对电厂工况的理 解,以及对电厂未来状态的预测与其实际状态的符合程度
工作负荷指标;工作负荷由体力负荷、认知负荷以及其他对电厂人员产生的需求组成
效能指 d 标应体现工作负荷或不同维度工作负荷的影响
人体测量和生理类指标;人体测量和生理类的因素包括信息的可视性、控制装置的可达性、控 制装置的操作便捷性等
这类设计特性大部分已由HFE设计验证进行过评价
因此,应关 注仅能通过集成系统试验进行评价的设计特性,如人员在执行任务时有效使用各种控制、显 示、工作站或控制台的能力
8.6.2特性要求 在确定最终采用的效能测量方法前,应对如下特性进行权衡 效度;一个测量指标应真实表征所要测量的效能因素; 信度;测量应可复现,即同一环境条件下用相同的方达测量同一变量,应得到相同的测量结果 测量能力测量范围,灵敏度、数据采样频率应与要被评价的效能维度相适应 侵人性;测量应尽可能少地改变参试者的心理或生理过程 -客观性;测量应基于易观察到的现象
8.6.3准则 应为每个测量指标确定特定的准则,用于判断效能是否可接受,并描述其基准
要求、基准、规范、 专家判断均可为制定效能指标的基础准则提供参考
12
GB/41145一2021 应明确每个测量指标是通过性准则,即用来决定设计是否可通过确认;还是用于诊断存在的问题诊 断性准则,即用于更好地理解人员效能,以便对人员失误和HED进行分析
8.6.4测量和记录 应明确获取这些测量数据的方法,如通过模拟机数据记录、参试者调查问卷或观察员的观察记录 等
应规定何时获取或记录每个测量指标的数据,如连续获取、在场景中的某个特定时刻或在场景结 束后
8.7试验设计 8.7.1场景分配 应在班组间对场景进行均衡分配,为每个班组提供相似的、有代表性的场景
在IsV中不宜将场 景随机分配给班组
只有参试者班组数量足够大时,随机分配才能有效控制偏差
应平衡不同场景相对于参试者班组的出现顺序,以合理保证场景不会始终以相同的顺序出现
例 如,简单的场景不总是最先出现
8.7.2试验程序 8.7.2.1 程序内容 应采用详细、清晰的程序指导试验的实施,程序内容应覆盖以下方面
班组与场景的匹配信息,以及场景出现顺序
a 用于参试者的详细说明资料
说明资料的形式和详略程度会对参试者任务完成效能造成影 D 响,应通过一致性的说明资料最小化这一偏差
为试验人员实施试验场景提供的特别指导,见B,!
在模拟机或试验出现问题时,何时和如何与参试者进行交互的指导
即使采用高逼真度的模 拟机,参试者仍可能遇到试验环境失真的情况,造成所关注任务的效能降低
应为试验实施者 提供处理此类情况的充分指导 关于何时、如何收集和储存数据的说明,例如: 模拟机 2) 特殊目的数据采集工具(如情境意识和工作负荷问卷,或生理测量仪器); 3)摄像机(定位和视角) 4)试验人员(如观察员的观察清单).
文档要求 fD 1标识和维护试验记录文件,包括班组和场景的详细资料; 2 收集的数据; 试验实施人员建立的日志; 33) 4 试验程序应详细说明日志需要记录的信息类型(例如何时进行试验、与试验程序的偏差及 偏差产生的原因、对于理解试验进展状态以及解释试验结果重要的任何不寻常的事件), 程序还应阐述何时记录各种类型的信息 8.7.2.2避免偏差 试验程序应尽可能降低试验人员预期偏差或参试者响应偏差产生的可能性
如果试验人员的预期对数据收集产生了系统化的影响,则可能引人偏差
预期可通过许多方式影 响效能
例如,试验人员可通过提供细微的线索或通过交流引导参试者,或者他们在评价参试者的效能 13
GB/T41145一202 时可能更倾向于反映有利设计的方面,而不是作为客观的观察者
参试者响应偏差是指试验设计本身对参试者数据的获取产生了影响
响应偏差未必意味着参试者 的任何意图都不可信
试验环境可能影响参试者,使其无法完成试验目标
响应偏差可能以下列方式 出现: 参试者可能希望影响输出结果,因而偏向于使产生的数据与他们所期望的结果相一致; 参试者可能想要给出他们认为试验人员希望获取的数据 参试者可能试图了解效能如何在不同情况下发生变化,因此使数据与这种变化相一致 参试者可能想要表现得优秀,因为他们知道自己正在被观察
8.7.3培训 8.7.3.1试验人员培训 对试验人员的培训应关注以下要点 试验程序的使用和重要性 未能准确地执行试验程序,或与参试者不恰当的交互,在数据中引人的偏见和错误; 准确记录试验中发现的问题 8.7.3.2参试者培训 对参试者培训的要求如下 -对参试者的培训应与电厂人员接受的培训高度相似,培训应合理保证参试者对电厂设计、运 行,以及HSI系统使用的了解与一名有经验的电厂人员相当; -不能对参试者开展专门针对选定ISV试验场景的培训 应提供一致的培训,以避免引人偏差; 应使其效能趋于稳定,并在实际的1SV试验之前进行测试
8.7.4预试验 应在ISV试验前进行预试验,以评估试验设计,效能测量和数据收集方法的正确性和充分性
预试验不应使用IsV试验的参试者
应在正式试验开始前,解决预试验识别出的,对正式试验开展和结果评估有效性有不可接受影响的 问题
8.8数据分析 应在试验完成后及时分析数据
数据分析应注意以下方面
结合定量和定性的方法进行数据分析,建立所观察的效能数据与所建立的效能评价准则之间 a 清晰的关系
闸述试验数据的分析方法包括用于判断每个给定场景是否成功的准则 b 对相互关联的测量结果的收敛效度进行评价,即预期用于评价同一个效能因素的测量指标之 间应具有一致性
例如,如果情境意识通过参试者问卷和观察员打分两种手段测量,结果应具 有一致性,否则应确定其原因
在解释试验结果时,应允许存在一定的误差容限(实际效能的变化可能大于观察到的试验效 能 核实数据分析的正确性
这项工作应由原先执行分析工作之外的人员或小组承担,但可来自 同一个组织
14
GB/41145一2021 8.9HED识别记录和传递 以下情况应识别为HED: 不满足通过性准则; a b 与诊断性准则存在偏离; c 试验人员、参试者的负面反馈和评价 鉴于ISV的综合性,ISV识别的HED可能覆盖HSI集成系统的某一个组成部分,或是多个组成部 分之间的交互
应定义格式化的方法,对识别的HED进行记录
记录应清晰标明相关的HSI集成系 统组成部分,以及识别为HED的原因
记录的HED将传递给HED解决活动
HED的分析和纠正属 于HED解决活动,见第10章
8.10IsV结论 应对IsV的计划、实施、分析和结论进行记录,特别是Isv试验的统计和逻辑依据
IsV结果的详 细程度,应能判断集成系统的效能在目前和将来都是可接受的,即确认试验能证明最终设计具备支持电 安全运行的能力
应在文件中记录ISV试验的局限性,以及这种局限性可能会对ISV试验结论和设计实施产生的影 响
局限性可能包括: 难以控制的试验特性, a 试验场景和真实运行的潜在差异,例如试验不存在电厂效益和安全之间的冲突 b 经确认的设计和实际建成的电厂或系统之间的潜在差异如果1sV试验是基于差异信息可获 c 取的,实际建造中的电厂,或是基于参考电厂的确认结果的新电厂设计
设计实现 9.1目的 设计实现的目的是 确保在已完成的V&.V活动中未涉及的设计特性,在设计实现中全部得到覆盖 aa b 证明最终的电厂与经过v&.V的设计是一致的,在实际电厂和工作环境中实现时,不存在非预 期的问题 9.2过程和方法 设计实现的过程和方法如下
HED识别 a 可采用类似于HFE设计验证的方法,基于实际电厂系统对V8.V活动中未涉及的设计特 性进行评价,识别HED; 22 对HFE设计验证、HSI任务支持验证、ISV之后存在的变更,以及实际电厂系统、规程、人 员配备和培训相对于设计描述级文件出现的偏离进行评价,核实其并未引人新的HED b HED记录和传递;应定义格式化的方法,对识别的HED进行记录
记录的HED将传递给 HED解决活动
HED的分析和纠正属于HED解决活动,见第10章
设计实现的关闭;明确设计实现活动关闭条件时,应充分考虑9.1中目标的实现情况
15
GB/T41145一2021 0人因偏差解决 10.1目的 HED解决活动负责对V8.V活动传递过来的HED进行分析跟踪和解决
HED解决应: 对HED进行分析和评价,以确定是否需要纠正; a b)对必须纠正的HED,确定解决方案; c 确保解决方案的完整实现
HED解决宜与v&.V其他活动一起反复进行
0.2过程和方法 10.2.1HED分析 在进行HED分析时,应关注以下方面
人员任务和功能;HED对人员任务的影响,以及这些任务所支持的功能
HED的影响可通过 a 人员功能对于电厂安全的重要性例如,失败的后果)以及HED对人员效能的累积效应(例 如,损害程度和可能的失误类型)进行判断
b 电厂系统:HED对电厂系统的影响,考虑这些系统的安全重要性、对事故分析的影响,及其与 电厂概率安全评价中风险重要序列之间的关系
HED对电厂安全和人员效能的潜在影响,可 部分地通过特定设备相关的电厂系统的安全重要性进行判断
HED的累积效应:HED分析应确定多个HED对电厂安全和人员效能潜在的累积作用
虽 然单个HED可能没有严重到需要纠正的程度,但多个HED的组合可能对设计的某一特性产 生严重损害电厂安全的作用,从而需要纠正
同样,如果单个电厂系统具有多个相关的HED 并影响到多个HSI,则应分析这些HED对于电厂系统运行可能的组合效应
d HED的普遍效应;在解决特定HED的同时,应确定这一HED是否意味着存在潜在的普遍问 题
例如,若识别出与HSI某一设计特性(如远距离停堆盘)相关的多个HED,也可能意味着 该设计特性存在其他问题,如设计程序和“样式导则”使用不一致
10.2.2人因例外项判定 在整个HSI集成系统的背景下,若某项HED的技术恰当性能被证明为可接受的,则可判定为人因 例外项
技术恰当性的分析包括最新研究文献的结果、当前的实践经验、对多个方案的权衡研究、形成 性v&.V的评估等
10.2.3人因不符合项分级和判定是否需要解决 未通过人因例外项判定的HED定义为人因不符合项
区分人因不符合项优先级时,应分析其对安全、经济性的影响
可针对不同优先级的人因不符合 项,制定不同的解决原则
人因不符合项分级原则和示例见附录C 10.2.4人因不符合项解决方案开发和实施 应确定纠正人因不符合项的解决方案,解决方案可涉及HSI系统(包括规程,培训多个方面
在开发和实施解决方案时,不应独立地考虑人因不符合项,而应最大限度地考虑各个人因不符合项 之间可能存在的关系和相互影响
例如,如果单个电厂系统的HsI与多个人因不符合项关联,则解决 方案应相互协调,从而提高整体的效能,并避免各个方案之间的冲突
与此类似,如果单个电厂系统与 l6
GB/41145一2021 多个具有人因不符合项的HSI关联,则每个解决方案应是相互协调的,使得设计结果更加完善,而不是 损害系统的运行
在某项特定的V&.V活动中,在识别所有人因不符合项之前,可先开发一部分人因不 符合项的解决方案
但前提是在实施解决方案之前,已经考虑了人因不符合项之间的潜在相互影响
10.2.5人因不符合项再验证和确认 应对解决方案的实施进行评价,以证明该人因不符合项已被解决,并确保未引人新的人因不符 合项
通常,该评价过程应使用最初确定该人因不符合项的V8.V方法
例如,如果人因不符合项通过 HFE设计验证确定,则评价解决方案时应采用相同的验证过程
然而,也可采用其他方法评价解决方 案是否满足要求
例如,若通过HSI某方面的重大变更来同时解决多个人因不符合项,可对最终的 HsI设计进行一次确认,确保变更的最终完整效果是可接受的
10.2.6HED解决的记录 应对每个HED解决的信息进行记录,记录应包括HED如下信息 编号; 相关的人员任务和功能、电厂 系统; 判定为HED的原因; -对累积效应、普遍效应的分析; 人因例外项判定依据和结果 人因不符合项优先级 要否解决的判定依据和结果
对于判定为需要解决的人因不符合项,还应记录;解决方案、再验证和确认的结果
HED解决的记录可与人因问题跟踪系统结合
0.2.7HED解决的关闭 应核实人因v8.V所有活动识别出来的HED均已被充分考虑和应对,证明所有HED已被满意地 解决后,关闭HED解决活动
对于在人因v8.V中确定不解决的人因不符合项,应妥善记录并传递到运行和维护阶段,供电厂改 造考虑
改进型新电厂的特殊考虑 1 新建核电厂可分为HSI集成系统全新设计、改进设计两种情况
应为全新设计开展最为完整的人因V&.V活动,包括及时,充分的形成性V8.V,以及完整的总结 性V&.V
改进型新电厂设计从HFE的角度,相对参考电厂仅进行了有限的变更或优化,即当前电厂仅是某 “标准”电厂的“翻版”项目
若能为当前项目属于改进型新电厂进行论证并提供充分的理由,则可对人 因V8.V活动进行裁切
设计变更管理是改进型新电厂项目判定的基础,差异分析和变更管理应覆盖4.2的范围
形成性 V8.V、HFE设计验证、HSI任务支持验证、,IsV裁切的程度,取决于 参考电厂V8.V活动的完整性和质量; 变更和优化的范围和程度; 运行经验反馈; 17
GB/T41145一2021 是否存在新的监管要求; 是否存在新技术发展要求
设计实现、HED解决与全新设计项目不存在差异
2电厂改造的特殊考虑 12.1改造项的人因风险等级 电厂改造项目开展人因v&.V的必要性取决于改造是否对人员效能造成了影响
不同改造项目差 异较大,应有针对性地开展人因v&V活动
图3描述了确定改造项的人因风险分析过程
对人员效能产生影响的改造项 风险水平综合分析 电厂安全性 经济性 人员安全性 初始人因风险等级 根次要因素调整风险水平 不确定性 范围 复杂性 改造实施方式 最终人因风险等级 图3改造项的人因风险分析 若改造项对人员效能存在影响,则应从电厂安全性、电厂经济性(电厂运行、电厂可靠性和投资保 护),人员风险三个方面对改造的人因风险进行综合分析
在对这三类风险分别分析的基础上,基于电 厂安全风险、经济风险和人员安全风险中的最高等级,可确定改造项初始人因风险等级,如表3所示
表3改造项初始人因风险等级 电厂安全风险 经济风险 人员安全风险 改造项初始人因风险等级 紧急停堆、主要设备损坏,长存在死亡,严重伤害,或严重 1级人因改造项 高 期停堆 的放射性/严苛环境暴露风险 高风险 电厂收益下降或同等的设备存在伤害、或放射性/严苛环 2级人因改造项 中 损失 境暴露风险 中等风险) 3级人因改造项 其他 无人员安全影响 低 低风险) 确定改造项的初始人因风险等级后,可根据下列因素进行修正,以确定最终的人因风险等级
范围: a 18
GB/41145一2021 受影响HSI的数量; 1 22 受影响的任务数量; 33 受影响的人员范围
b)复杂性 1 被改造HS的复杂性,如 -设计特性或设备级的改造,如修改设备标签、替换某一型号的控制器; 系统级的改造,如将新的工艺系统引人主控制室、用cOPS替代纸质规程; 整体性改造,如整个主控制室的数字化改造
2 受影响任务的复杂性,如 改变任务执行顺序; 改变任务执行的自动化水平; -改变任务执行时的环境条件
相关技术的复杂性,如用类cOPS替代纸质规程,相对于用I类cOPS替代纸质规程 cOPs分类按照NB/T20270规定). 改造实施的方式,如: c 1) 完整的大型改造,以及很多小的改造组成的改造项目 22 单次停堆期间的改造,以及多次停堆期间的改造 33 同时保留新旧设备的改造(包括新的非功能性HS和旧的功能性HSI并存),以及不保留 旧设备的改造
d 不确定性,如: 1D 改造相关的经验水平,包括行业的和特定电厂组织的 22 已有的人因分析和记录的完整性
12.2电厂改造人因V&V策划 可根据改造项目特点确定是否开展形成性V&.V活动
总结性V8.V可按表4进行策划
表4改造项人因风险等级与V&V活动 V8.V活动 】级人因改造项 2级人因改造项 3级人因改造项 HFE设计验证 HS任务支持验证 ISV 设计实现 HED解决 V&.V活动的目标、范围,方法和深度可根据特定周期、特定改造对象特点单独定义,但应在整个改 造活动中实施统一的HED解决活动
对于很多小改造组成改造项目或多周期电厂改造,应确保人因V8.V策划的完整性和一致性,为改 造中和改造后电厂的安全运行提供合理保障
应充分识别新旧系统并存对人员效能带来的负面影响
应覆盖运行和维修人员在电厂非停堆期间以及停堆期间使用的临时配置,以证实它们从工程和运 行角度看都是可接受的
19
GB/T41145一2021 12.3电厂改造人因V&V活动 12.3.1虽然改造项的人因V&.V活动与新建核电厂类似,但不同V&.V活动也存在特殊的考虑
12.3.2HFE设计验证和设计实现的特殊考虑如下 验证范围可限定于被改造的HS系统,以及受改造影响的HSI系统 a b 应确保改造项都遵循了一致的HFE原则和HSI设计导则,从而保证旧系统和新系统之间,以 及新系统内的标准化和一致性 当相似HsI的旧版和新版同时可用时,应能为两者在显示,操作方式上的协调提供合理保证, 以便交替使用它们时,人员效能不会受到影响 d 应采用一致的HFE原则对临时配置进行验证,确保临时配置的设计遵循了良好的HFE 原则 e 应清晰标识非功能状态的HSI
12.3.3HSI任务支持验证的特殊考虑如下
a 应核实执行重要人员动作所需的HSI具有一致性,且是标准化的
b)应核实新的系统满足明确的运行需求,并且不对现有系统造成干扰
例如,新HSI的报警声 不应干扰操纵员处理更重要的报警
若存在未引起Hs1系统改造的电厂系统改造,应关注电厂系统改造是否带来了新的监剖和拉 制需求,并评价现有的HsI设计是否能满足要求
若改造同时保留新旧HIS d 不应要求人员在执行同一任务的不同部分时,既使用旧HsI又使用新HsI. 当设备控制可同时由多个不同的HsI控制器实现时,应对其中的安全问题进行识别和解 22 决
例如,为了避免同时产生控制输人,可为控制同一设备的两个HsI控制设备增设 个选择开关
对于改造,HsI包含了不支持人员任务的信息、显示或控制可能难以避免
被永久禁止但 仍保留在原位(如该位置被弃用)的HsI可能对人员效能产生负面影响(如阻碍了重要信 息的查看,或增加影响监视的视觉干扰),应对其进行识别和评估
评估可进一步结合其 他人因Vv8.V活动
应验证临时配置对预期任务的支持 临时配置可包括与最终设计目的不同的HSI,以及各自的初始目的以及组合后的预期目 的不同的HSI和系统的配置组合
对于每个临时HSI配置来说,应鉴别人员的任务需求,并将其与所提供的信息和控制功 能相比较
例如,如果电厂系统的临时配置引人特殊的监控要求,应对所需的HSI支持 进行验证
12.3.4ISV的特殊考虑如下
若电厂模拟机培训已覆盖2级人因改造项所涉及的场景,并能为人因评估提供充分保障,可采 a 用培训观察替代ISV
若改造同时保留新旧HsI b) 1) 应对并行报警的同时出现对人员效能造成的负面效应进行识别和解决; 22) 若同一信息在新旧系统的显示或指示存在差异,应对其引起的人员效能负面效应进行 识别
若受临时配置影响的人员任务具有较高的风险或重要性,ISV应覆盖临时配置
临时配置应 包括临时规程以及针对临时配置的培训
12.3.5HED识别的特殊考虑如下
20
GB/41145一2021 除了系统设计者指定的特定功能,HSI不能实现其他“人员指定的”功能
例如,当一个数字化 a 系统替代现有系统时,确保新系统能实现被替换系统的应用功能非常重要,尽管初始设计并未 有意包括这些功能,设计新系统时应对人员实际使用被替代系统的方式进行分析
b 与其他HSI集成性差
与规程和培训结合性差
c 3就地区域的特殊考虑 13.1概述 为了确保电厂的安全性、可运行性和可维修性,有必要对电厂就地区域开展人因V&.V
这不但有 助于提升具体设备和系统的人因水平,也能更好地保证全厂范围内HSI设计的一致性
当电厂人员从 某个区域或设备转到另一个区域或设备时,HSI设计的不一致将大大增加人员失误的可能性
可根据改造项目特点确定是否开展就地人因V8.V活动
鉴于就地HSI的复杂性、任务类型的多样性,以及项目限制条件,应逐一确定就地人因v8.V活动 采用的方法
方法选择应综合考虑不同的形成性Vv&.V和总结性V8.V活动,以及任务分析等其他人 因活动的特点和关联
允许对方法进行裁切,如将形成性v&.V、HSI任务支持验证和ISV进行合并
或采用任务分析替代HS任务支持验证
若进行裁切,应论证整个HFE项目依然能为就地HSI集成 系统提供充分的HFE保障
应为就地人因v&.V制定策划,保证活动的统一性,并指导具体就地Vv8V活动的开展
制定策划 时,应关注以下方面
范围:应根据重要性、使用频率、经验反馈、设计差异性等因素,选择关键的系统、设备、任务,明 确定义就地人因v8.V活动的范围
应覆盖重要人员动作相关的就地HSI
用户类型:就地HSI用户类型广泛
优先考虑负责执行与电厂安全直接有关任务的人员,如 现场操作员
按需考虑8.C技术人员、电气维修人员、机械维修人员、辐射防护技术人员、化 学技术人员、工程支持等其他类型用户
相关人员的参与,对获得全面、平衡的反馈至关重要
组织结构和授权:应清晰定义就地人因V&.V相关的组织、专业的职责及相互间的接口,应从 组织层面保证与解决就地HED匹配的授权
流程和里程碑;由于就地区域设计变更相对困难,应定义合理的时间节点和里程碑
例如,电 布置等特性的人因V8.V,应在设计初期就开展
3.2特殊考虑 3.2.1Hs设计导则 应核对HSI设计导则是否满足就地人因V&.V的要求,包括以下方面
-导则涵盖就地特有HSI系统,如阀门、手套箱、人孔、爬梯、移动设备等
-导则指标符合就地人因要求
例如,由于电厂就地运维空间有限、环境条件控制困难,除了提 出一个优选,推荐的控制限值,导则宜补充一个“可接受限值",该“可接受限值”可能超出其他 人因相关导则和标准中规定的首选或通常可接受的限值 人体尺寸相关导则考虑了就地区域的特点,如百分位范围的选择、服饰修正量等
鉴于就地问题的复杂性,除了详细的“样式导则”,亦可补充通用的人因原则以保证评估的全面性
3.2.2测试设施 应对支持就地HSI物理特性评估的实体模型,三维数字模型进行系统规划,包括范围、精细程度、 21
GB/T41145一202 可用时间等
模型的精细程度应与评估目标相匹配,例如评估设备搬运抓握特性时,宜对设备质量也进 行模拟
若采用缩小或放大尺寸的模型,应分析其与等比例尺寸设备的差异,是否会对V8.V结果有效 性造成影响
对于认知交互特性是人员效能主要影响因素的HS系统,也应按需提供原型机 必要时,需要对恶劣环境进行模拟
就地V&.V可采用数字人体模型或实体人体模型,包括完整的人体模型或局部的人体模型(如手)
评估时应选择与设计尺寸相关的人体尺寸集)
当存在多个人体尺寸合时,宜考虑适配率递减的 影响
13.2.3IHED解决 13.2.3.1在判断就地HED是否需要进行纠正时,需对多种因素进行权衡
例如,对于人体尺寸相关 的问题,若操作员为了进行控制或操作而屈膝、跪下或弯腰,或者向上伸手超出其头部,在确定HED是 否需要解决时,可综合分析相关控制操作是否是 不频繁的; 短时间的; 便于操作员读取标识,以确保操纵员能正确完成任务; 无需梢确控制和调节的 控制器足够大,不需要非常灵巧的操作(如控制器可用手抓握,而不是用手指操作); 在控制器附近提供弯腰和工作的空间
13.2.3.2环境条件越宽松,电厂就地区域内偏离HFE要求的Hs系统和不方便的操作就越可能被接 受
若经济代价超过收益,解决方案也可进行适当的妥协
例如,解决可达性问题时,通过设置临时或 可移动的访问平台,避免对工艺系统进行设计变更;通过增加轮替人员,缩短工作人员暴露在不舒适环 境中的时间长度,将不利环境对人员健康的影响控制在可接受范围内
但对于降低电厂安全、阻碍人员 完成任务或使人员有受伤风险的情况是不可接受的
13.2.3.3把商业现货产品集成到已有系统中时 应对一致性等HsI人因特性进行评估; 应对是否会导致工作环境或任务执行产生不良变化进行评估; 应对是否需要开发额外规程或进行规程优化进行评估 应对是否需要额外的培训进或提出人员技能和资质的新要求进行评估 HSI设计导则要求偏离较大,对人员安全和效能、工作环境带来了较大负面影响的产品不 导 应用于核电厂就地区域
22
GB/41145一2021 附 录 A 资料性 人机接口清单和特性描述 Hs清单和特性描述属于人因v&.V中的支持性活动,其目的是确保收集的资料或所采用的测试 设施能体现HsI系统当前最新有效状态,对设计变更进行有效追踪和管理,保证特定验证或确认活动 输人的有效性和规范性
可通过不同的方式开展HS清单和特性描述,但应确保采用方法的有效性
一般而言,清单信息 应至少包括HSI系统的范围、完整的基线信息、HSI系统各组成部分的特性描述
HS系统的范围包括待V8.V的HSI系统组成部分,或运行条件选取确定的所有HS1系统组成 部分
完整的基线信息包括唯一的标识码或名称、版本信息、适用的设计变更等信息
对于HSI系统各组成部分的特性描述,无论依赖于4.4的哪一类载体,都应确保其准确地反映了 HSI系统的当前状态
特性描述的逼真度取决于具体V&.V活动的需求
定义描述HS特性所需的 最小信息集时,可考虑下列信息
相关的电厂系统和子系统
a b 相关的人员功能和任务
HSI类型,如: c 1) 基于计算机的控制,例如,触摸屏或光标操作的按钮和键盘输人; 22 硬接线控制,例如,J形手柄控制器、按钮和自动控制器; 33 基于计算机的显示,例如,数字读数和模拟显示 4 硬接线显示,例如,刻度盘,表计和带状图记录仪; 5 就地特有的HSI,例如,阀门、手套箱
d 显示特性和功能,例如,电厂变量/参数、测量单位、变量/参数准确度、显示精确度,动态响应和 显示格式如棒状图和趋势图. 控制特性和功能,例如,连续与离散的设置、控制模式的数量和类型、准确度、精确度,动态响应 和控制方式(输人方式. 人机交互和对话类型,例如,导航辅助和菜单
数据管理系统中的定位信息,例如,信息显示屏幕标识码
g h)HsI的物理位置,例如,房间号、控制盘区(若适用
23
GB:/T41145一2021 附 录 B (资料性) 运行条件选取 B.1 目标 运行条件选取应 涵盖电厂运行期间可能遇到的典型代表事件; 体现对系统性能变化有预期影响的系统特性; -考虑HSI设备的安全重要性
这些取样特征可由多维度的取样策略识别,这一最优策略保证了v&V能够覆盖重要维度的变化 运行条件选取将确定一个运行条件范围,用于指导基于任务序列的考虑任务序列特性的形成性V&.V HSI任务支持验证和ISV
B.2B.4将针对主控制室HSI任务支持验证和ISsV进行描述,即运行条件选取应同时考虑电厂条 件、人员任务和人员效能影响因素三个维度
其他V8.V活动的运行条件选取可按需要进行裁切,但需 清晰描述用于鉴别和选择运行条件的维度,以及它们与场景的结合情况,见B.5.
B.2维度 B.2.1电厂条件 电厂运行包括以下方面
正常运行,例如: a 电厂启动 1 2) 电厂停堆或换料; 33) 运行功率发生大的变化
瞬态和事故,例如 b 瞬态(例如,汽轮机紧急停机,丧失厂外电源、全厂断电、丧失所有给水,丧失厂用水、主控 1! 制室电源或选定母线失去供电,以及安全阀或卸压阀瞬态故障); 事故(例如,主蒸汽管道破裂、正反应性引人,功率运行期间控制棒插人、未能紧急停堆的 22 预期瞬态,不同尺寸的冷却剂丧失事故); 使用远距离停堆系统实现反应堆停堆或冷却; 3 由电厂特定的概率安全评价确定的合理的,风险重要的,超设计基准事件
4 18.C和HsI故障,例如 &C系统,包括传感器,监视、自动控制和通信子系统(例如,安全有关系统的逻辑和控制 单元、容错控制器); 22 设计基准事故期间I&C系统共因故障; 33 HsI,包括丧失报警、显示、控制和COPs的处理和显示功能
B.2.2人员任务 B.2.2.1重要人员动作、系统和事件序列应包含所有重要人员动作
根据概率安全评价的定义,其他 对风险贡献很大的因素也应被覆盖: 占主导地位的事故序列; a 24
GB/41145一2021 b 占主导地位的系统(通过概率安全评价重要性评价识别到的,例如,风险增加因子或风险降低 因子 B.2.2.2保护动作的手动触发;应包含关键安全功能的手动系统级驱动
B.2.2.3自动系统监视;应包含人员必须监视风险重要的自动系统的场景
B.2.2.4运行经验评审确定的困难任务;应包含在运行经验评审中确定的存在困难的所有人员任务
B.2.2.5规程指导的任务包括以下方面
应包含规程明确定义的任务
b 操纵员应能理解和执行规程规定的步骤,这个过程是基于规则的决策活动的一部分
应包含每类规程中恰当的规程,如 管理规程; 22 电厂总体运行规程; 33 安全有关系统的启动、运行和停止规程; 4 异常、偏离正常和报警工况规程; 5 应急和其他重大事件规程例如,反应堆事故.以及通报应急行动水平) 6 放射性控制规程; 测量和试验设备控制规程、监督试验规程和校准规程; 8 运行维护规程; 9 化学和放射性化学控制规程 B.2.2.6基于知识的任务包括以下方面 取样应包含规程未详细规定的任务
a 如果规程提供的规则不能完全解决问题,或者未明确该如何选择适当的规则,那么一些场景可 b 能需要基于知识的决策过程
例如,在压水反应堆电厂中,如果电厂二次侧的放射性监测发生 故障,那么诊断sGTR可能会很困难
这是因为通过二次侧出现放射性来判断,破口没有明 显的指示;破口引发的效应(即一次侧和二次侧液位和压力会发生轻微的变化)可能被认为是 由其他原因引起
尽管操纵员会使用规程来处理事件症状,但确定事件的起因是sGTR就需 要开展场景评价,而且这一评价就是基于操纵员对电厂设计和能引起所观察症状的所有可能 的故障组合的理解
基于规则的决策中的错误,是由选择了错误的规则或不正确使用规则所 致
基于知识的决策中的错误则是由较高层次的认知功能(如判断、计划和分析)错误所致
后者更可能发生在症状与典型事件不相似的复杂故障事件中,因此后者不遵从预先建立的 规则
B.2.2.7人员认知活动包括以下方面
检查和监视(如查看关键安全功能是否受到威胁)
a 场景评估(如为诊断电厂工艺过程、自动控制系统和安全系统的故障,对报警和显示画面所做 b 解释). 响应计划(如评估恢复电厂故障的可选方案)
c 响应实施(如电厂系统的控制回路中,对自动控制系统采取手动控制,并执行复杂的控制操 d 作) 获取反馈(如操作成功的反馈信息)
e B.2.2.8人员交互包括以下方面
应包含由单个人员独立完成的任务
a b 应包含由团队完成的任务: lD 主控制室操纵员之间的交互(如运行、操纵员交接班); 22 主控制室操纵员与辅助操纵员及其他在就地执行任务的电厂人员之间的交互(如维修人 25
GB:/T41145一2021 员、,I&.C技术人员、化学技术人员); 33 主控制室操纵员与技术支持中心和应急指挥中心之间的交互; ! 主控制室操纵员与电厂管理人员、安全监管方和其他厂外组织间的交互
B.2.3人员效能影响因素 应包括影响人员效能的场景因素或导致失误的情况
还应包含经过特殊设计、易造成人员失误的 情况,以此评价系统的容错性,以及当失误发生时操纵员从失误中恢复的能力
例如以下因素
高工作负荷:应包含工作负荷高的情况,以便评估人员效能由于高工作负荷和多任务处理发生 a 的变化
b工作负荷变化:取样应包含工作负荷变化的情况,以便评估由于工作负荷变化引起的人员效能 变化
工作负荷变化的情况如: -段时间内信号很少,随后突然出现大量需要监视和处理的信号 1) 2 -段时间内持续高任务负荷,随后需要监视和处理的信号突然减少 疲劳:在可行的范围内,取样应包含与疲劳相关的场景,例如,上晚班,以及频繁执行重复动作 的任务(如在电厂运行或提棒期间对触摸屏重复输人. 环境因素;在可行的范围内,取样应包含可能导致人员效能变化的环境条件,例如,弱照明、极 d 端温度、高噪声和模拟的放射性污染
B.3场景确定 应将取样结果组合起来,确定一系列用于后续分析的v8.V场景
一个给定场景可能组合了由运 行条件选取确定的多个特性
确定场景时还应避免有下列倾向
预期只会产生有利结果的场景
相对易于实施的场景
例如不能仅仅因为需要在模拟机上安装和运行,而取消某一用于Isv 的场景
熟悉的、标准化的场景
例如,处理熟悉的系统以及与电厂规程高度一致的故障模式的ISV 场景,如“教科书”式的设计基准事故
B.4场景定义 场景应对任务序列信息进行清晰描述
场景定义的详细程度应与试验计划包含的内容相当
对于 每个场景,至少应确定以下信息,以便合理保证对效能的重要维度进行了考虑,并且能在重复试验中精 确和一致地呈现场景
场景简介以及任何相关的前提背景以便试验人员理解电厂在场景开始时所处的状态
a b) 特定的初始条件(精确定义电厂的功能、工艺过程、系统、设备状态和性能参数,例如,与换班时 明确工况相似 场景中将要发生的事件(如故障),以及它们的触发条件(如基于时间或某个特定参数的值)
d 工作场所因素的详细定义(例如,照明水平低等环境条件). 任务支持需求(例如,规程和技术规格书)
e 人员配备水平 控制室人员与远程人员的详细通信内容(例如,与负荷调度员的电话通信)
为试验人员在试 8 验场景中充当电厂人员预先确定对话内容
由试验人员充当控制室外的人员
在可行的范围 内,尽可能对操纵员与控制室外人员通信时可能提到的问题准备好回答内容
预先计划通信 内容具有一定局限性,因为人员可能会问及出乎预期的问题或提出不可预料的要求
然而,应 26
核电厂人因验证和确认GB/T41145-2021
随着核能在能源领域中的应用愈发广泛,核电厂的安全问题受到了越来越多的关注。人因验证是核电厂安全管理中重要的一环,它包括对人员进行能力评估、培训和认证等方面的工作。GB/T41145-2021是我国制定的核电厂人因验证和确认的标准,为保障核电厂运营安全起到了至关重要的作用。
根据GB/T41145-2021标准,核电厂人因验证和确认应当包括以下步骤:
- 确定人员需要接受人因验证和确认的范围和级别,以及需要证明的信息;
- 使用多种方法和技术对人员进行评估和认证,并记录评估和认证结果;
- 确保人员在核电厂内进行工作前已经接受了必要的人因验证和确认,并具备相应的技能和知识;
- 对核电厂内工作人员进行定期的人因验证和确认,以保证其持续满足所需的技能水平和知识背景。
此外,GB/T41145-2021还规定了核电厂应当建立完善的人因验证和确认管理体系,并对相关人员进行培训,以确保标准的有效实施。通过严格执行GB/T41145-2021标准中规定的各项要求,可以有效地提高核电厂人员的素质和安全意识,降低事故发生的概率,保障核电厂的安全运营。
总之,核电厂人因验证和确认是核电厂安全管理中非常重要的一环,GB/T41145-2021为该领域的管理提供了科学、规范的指导,帮助核电企业有效地控制风险,确保安全生产。专业人士应当充分了解该标准,积极推动其在核电厂内的广泛应用。
