核電廠計算機化規(guī)程開發(fā)的人因工程活動方法研究

余周俊，吳 茜，劉一鳴

（華龍國際核電技術(shù)有限公司，北京 100036）

0 引言

計算機化規(guī)程系統(tǒng)在核電廠中的應用研究始于1980年代早期，1990年代末期才開始在核電廠主控制室采用電子顯示屏顯示運行規(guī)程[1]。計算機化規(guī)程有諸多優(yōu)勢，如計算機化規(guī)程能幫助操作員完成信息檢索、操作過程監(jiān)督、規(guī)程步驟檢查等任務。從人因工程的角度考慮，相比紙質(zhì)規(guī)程，雖然兩者在情景意識和工作負荷方面的區(qū)別很小[2]，但計算機化規(guī)程系統(tǒng)可以顯著提高操作員的人員效能，如減少操作時間及降低人為失誤率[3,4]。1979年的三里島事故是一個典型的由于規(guī)程和人機界面設(shè)計的不足，引發(fā)人為失誤進而導致嚴重事故的例子。三里島事故后，核工業(yè)業(yè)界開發(fā)了許多人機接口和操作員支持系統(tǒng)以減少人為失誤。這些事實表明，人為失誤對核電廠安全有重大影響，必需設(shè)計合理的人機接口和規(guī)程來減少人為失誤。

人因工程目前已成為核電廠設(shè)計和安全評審必不可缺少的內(nèi)容，被廣泛應用于核電廠控制室的設(shè)計或重要的控制室設(shè)計改進的人機接口設(shè)計和驗證與確認環(huán)節(jié)，但不常用于計算機化規(guī)程系統(tǒng)的設(shè)計，國內(nèi)核電廠規(guī)程類問題占人因因子的比例近幾年也在逐年上升[5]。為改善計算機化規(guī)程出現(xiàn)的人因工程問題，本文提出了計算機化規(guī)程系統(tǒng)開發(fā)的一種人因工程活動方法，并對開發(fā)過程中主要人因工程活動的應用過程進行說明，最后對各人因工程活動進行了總結(jié)。

1 計算機化規(guī)程存在的人因問題

隨著各核電廠對人因工程的關(guān)注度普遍提高，雖然近年來人因事件占總體事件的比例在顯著降低，但規(guī)程類問題占人因因子的比例卻呈上升趨勢。以國內(nèi)某核電廠計算機化事故規(guī)程為例，通過開展模擬機復訓、經(jīng)驗反饋、功能分析等活動，發(fā)現(xiàn)的人因工程類問題包括：

1） 畫面設(shè)計影響工作效率

畫面中的導航鏈接與操作員要執(zhí)行的任務無關(guān)，而能夠為操作員提供便捷的導航鏈接卻沒有在畫面中添加，操作員需要通過點擊多次鏈接進入目標畫面。這不僅增加了畫面調(diào)取時間，也增加了操作員的認知負荷，影響了工作效率。

2） 人因工程學考慮欠佳

畫面中重要的信息、參數(shù)、報警沒有充分利用顏色、圖形、動畫等方式以增加操作員的注意；畫面布局未充分考慮操作員的視覺監(jiān)視規(guī)律；畫面設(shè)計未能充分考慮格式塔原理中相似性、接近性、分組、連續(xù)性等常用原則的影響。

3） 畫面設(shè)計與規(guī)程功能的匹配性不好

計算機化規(guī)程的顯示畫面上存在多余信息。這些信息對于操作員執(zhí)行規(guī)程功能來說是不必要的，在占用大量畫面空間的同時，增加了操作員調(diào)取、管理上的工作負荷，且對操作員監(jiān)視電廠狀態(tài)存在一定的干擾。

2 計算機化規(guī)程開發(fā)的人因方法

為改善上文所述的計算機化規(guī)程人因工程類問題，需要考慮計算機化規(guī)程系統(tǒng)開發(fā)過程中的人因工程活動，建立一套有效的方法論和過程，以確保開發(fā)的計算機化規(guī)程滿足人因原則和要求。

計算機化規(guī)程系統(tǒng)的開發(fā)，團隊人員一般包括：具有數(shù)字化儀控項目經(jīng)驗的項目經(jīng)理、儀控工程師、IT工程師、電廠運行專家、規(guī)程編寫人員及軟件開發(fā)人員等。電廠運行專家和規(guī)程編寫人員提出一系列面向用戶的需求，所有的需求將形成系統(tǒng)設(shè)計規(guī)范；儀控工程師和IT工程師搭建計算機化規(guī)程的系統(tǒng)架構(gòu)，并充分考慮電廠儀控系統(tǒng)的優(yōu)勢和限制；軟件開發(fā)人員在軟件開發(fā)過程中采用敏捷開發(fā)方法，允許團隊在早期階段測試系統(tǒng)并確保產(chǎn)品不會丟失用戶想要的需求。開發(fā)團隊在項目的不同階段將與電廠運行人員舉行會議或研討會，以獲取用戶反饋。

人因工程活動將與上述項目管理活動相結(jié)合，應用系統(tǒng)流程來記錄和解決人因活動或軟件開發(fā)測試產(chǎn)生的任何問題。計算機化規(guī)程系統(tǒng)的開發(fā)過程將關(guān)注為產(chǎn)品提供價值的人因活動，主要的人因工程活動包括：

1） 運行經(jīng)驗反饋。

2） 功能和任務分析。

3） 設(shè)計驗證。

4） 集成系統(tǒng)確認。

2.1 運行經(jīng)驗反饋

核電廠的設(shè)計應適當考慮以往的運行經(jīng)驗和經(jīng)驗證的研究成果[6]。對核電廠規(guī)程的使用情況實施運行經(jīng)驗反饋，可以為計算機化規(guī)程系統(tǒng)的設(shè)計提供輸入，以確保其當前設(shè)計避免以往設(shè)計中的任何負面特征，同時保留其正面特征[7]。

根據(jù)美國核管會（NRC）發(fā)布的人因工程評審大綱NUREG-0711，運行經(jīng)驗反饋的來源可包括[7]：

1） 先前電廠和系統(tǒng)。

2） 核工業(yè)業(yè)界公認的HFE問題。

3） 人機接口技術(shù)相關(guān)的問題。

4） 電廠人員識別的問題。

5） 重要人員動作相關(guān)的問題。

圖1是實施運行經(jīng)驗反饋活動的流程。

按照圖1描述的方法，根據(jù)核電廠運行規(guī)程運行經(jīng)驗反饋活動的來源，對搜集、識別、分析的運行規(guī)程相關(guān)人因工程問題進行了如下總結(jié)：

圖1 運行經(jīng)驗反饋流程圖Fig.1 Flow diagram of the OER（Operating Experience Review）process

a）核工業(yè)業(yè)界公認的運行規(guī)程HFE問題主要針對紙質(zhì)規(guī)程，來源于NUREG/CR-6400及行業(yè)公開發(fā)表的相關(guān)研究[8-10]，部分主要結(jié)果見表1。

表1 核工業(yè)業(yè)界公認的運行規(guī)程HFE問題Table 1 Recognized industry HFE issues for procedure

b）人機接口技術(shù)相關(guān)的運行規(guī)程問題來源于國內(nèi)已運行的核電機組，部分主要結(jié)果見表2。

表2 人機接口技術(shù)相關(guān)的運行規(guī)程問題Table 2 Related HIS（Human-Machine Interfaces）technology issues for procedure

2.2 功能和任務分析

計算機化規(guī)程系統(tǒng)功能和任務分析的目的是：通過識別和分析操作員及電廠其他人員使用運行規(guī)程時所需執(zhí)行的功能和任務，確定計算機化規(guī)程系統(tǒng)的各項設(shè)計需求。

通過識別與分析，計算機化規(guī)程系統(tǒng)的通用功能包括：

1） 按照規(guī)程執(zhí)行操作。

2） 監(jiān)視電廠和系統(tǒng)的狀態(tài)。

3） 監(jiān)督上述兩項通用功能。

4） 識別、實施、準許規(guī)程的修改及新規(guī)程的添加。

5） 規(guī)程的分配及存檔。

根據(jù)以上通用功能涉及到的電廠人員（主控制室操作員、管理人員等）的不同角色，將通用功能劃分為更詳細的子功能。各子功能經(jīng)識別和分析后，可得出各電廠人員完成分配給其功能所需執(zhí)行的特定任務。這些特定任務將進一步形成計算機化規(guī)程具體的設(shè)計需求。功能和任務分析可確保在計算機化規(guī)程的設(shè)計過程中，將功能和任務需求轉(zhuǎn)化為計算機化規(guī)程的系統(tǒng)特征。圖2詳細展示了計算機化規(guī)程設(shè)計需求開發(fā)的流程。

圖2 計算機化規(guī)程設(shè)計需求流程圖Fig.2 Specific requirements generation process for CPS

功能和任務分析的結(jié)果將為計算機化規(guī)程的設(shè)計需求奠定基礎(chǔ)。表3列舉了功能和任務分析所識別出的部分特定任務，以及如何將這些任務轉(zhuǎn)化為計算機化規(guī)程系統(tǒng)的設(shè)計需求。

表3 任務分析轉(zhuǎn)化為計算機化規(guī)程系統(tǒng)設(shè)計需求的例子Table 3 Example of design requirements for CPS driven from the task analysis

2.3 設(shè)計驗證

對計算機化規(guī)程系統(tǒng)進行設(shè)計驗證的目的是：確保其滿足NUREG-0700（Rev.2）中規(guī)定的人因工程導則。

實施計算機化規(guī)程設(shè)計驗證的流程如下：

1） 篩選適用的人因工程導則

NUREG-0700中的人機接口設(shè)計審查導則可分為4個部分，13個章節(jié)[11]，用于人機接口設(shè)計驗證的人因工程導則有很多條，但并不是所有的導則都適用于計算機化規(guī)程。因此，進行設(shè)計驗證前，需要首先從中挑選出合適計算機化規(guī)程設(shè)計驗證的章節(jié)，并從相關(guān)章節(jié)的具體導則中篩選出一份檢查清單，以提高設(shè)計驗證人員的工作效率。針對計算機化規(guī)程，表4中NUREG-0700的第1、2、7、8章適用于其人機接口的人因設(shè)計驗證。

表4 計算機化規(guī)程設(shè)計驗證適用的人因工程導則Table 4 Applicable HFE guidelines for CPS design verification

2）執(zhí)行設(shè)計驗證

根據(jù)形成的檢查清單，驗證計算機化規(guī)程的人機界面是否符合人因工程導則的要求，評估驗證結(jié)果是否滿足用戶的設(shè)計需求。驗證結(jié)果需使用檢查清單（圖3）進行記錄，對驗證結(jié)果的分類及說明見表5。

表5 計算化規(guī)程設(shè)計驗證的結(jié)果分類及說明Table 5 Classification and interpretation for the results of CPS DV（Design Verification）

圖3 計算機化規(guī)程設(shè)計驗證檢查清單Fig.3 DV（Design Verification）checklist for CPS

3）管理人因不符合項

對于驗證過程中發(fā)現(xiàn)的不滿足項，需要形成人因不符合項（HED，Human Engineering Discrepancy），并通過記錄、評估和處理、結(jié)果確認等過程進行管理。其目的是為了：①確定HED是否需要修正；②確定必須糾正的HED的解決方案；③確定HED解決方案已經(jīng)實施。計算機化規(guī)程人機界面設(shè)計驗證的HED表單如圖4。

圖4 計算機化規(guī)程設(shè)計驗證HED表單Fig.4 HED form for CPS

2.4 集成系統(tǒng)確認

人因工程集成系統(tǒng)確認是人因驗證與確認的重要組成部分，可以綜合性地檢驗核電廠控制室系統(tǒng)的人因工程設(shè)計，支持對HSI設(shè)計、培訓、規(guī)程開發(fā)進行有效評估，從而確保核電廠安全有效地運行[12]。因此，對計算機化規(guī)程系統(tǒng)進行該項活動，可以確認計算機化規(guī)程系統(tǒng)的人機界面是否能夠支持操作員正確地執(zhí)行操作規(guī)程，以最大程度地減少人為失誤的可能性，提高人員效能，從而為電廠的安全運行做出貢獻。

為分析和評估計算機化規(guī)程系統(tǒng)上述所要實現(xiàn)的目標，需要獨立于設(shè)計的確認團隊在全范圍模擬機平臺上收集適當?shù)臄?shù)據(jù)。表6是執(zhí)行計算機化規(guī)程系統(tǒng)人因工程集成系統(tǒng)確認時，需要收集的數(shù)據(jù)。

表6 執(zhí)行計算機化規(guī)程系統(tǒng)集成系統(tǒng)確認時需收集的數(shù)據(jù)Table 6 Data collected during the execution of the CPS ISV（Integrated System Validation）

3 結(jié)果分析

相關(guān)分析結(jié)果基于各人因工程活動，更重要的是，通過對人因工程各項活動的分析，將對計算機化規(guī)程系統(tǒng)設(shè)計規(guī)范中的各項需求產(chǎn)生更深的理解。

1） 運行經(jīng)驗反饋的結(jié)果基于核電廠以往使用運行規(guī)程所發(fā)現(xiàn)的問題，為計算機化規(guī)程系統(tǒng)提供關(guān)鍵的設(shè)計特征。

2） 功能和任務分析識別出計算機化規(guī)程系統(tǒng)的所有相關(guān)人員，提出大量新的設(shè)計需求，并可在早期的概念設(shè)計階段集成軟件和網(wǎng)絡(luò)安全的需求。

3） 設(shè)計驗證開發(fā)出的計算機化規(guī)程系統(tǒng)與具體的人因工程導則具一致性，以確保其設(shè)計是合適的。實際上，在計算機化規(guī)程系統(tǒng)的設(shè)計規(guī)范制定前就會考慮人因工程導則，而且會對設(shè)計規(guī)范與人因工程導則做一致性分析。

4） 當計算機化規(guī)程系統(tǒng)完成最終的設(shè)計開發(fā)并經(jīng)驗證后，集成系統(tǒng)確認將確保其人機接口的設(shè)計及其在控制室的實施允許操作員成功地執(zhí)行分配給他們的任務。

4 結(jié)語

本文提出了計算機化規(guī)程系統(tǒng)開發(fā)的一種人因工程活動方法，建立了運行經(jīng)驗反饋、功能和任務分析、設(shè)計驗證、驗證與確認等關(guān)鍵人因工程活動的應用方法和過程，以確保開發(fā)的計算機化規(guī)程系統(tǒng)滿足人因原則和要求。該人因工程活動方法對核電廠計算機化規(guī)程系統(tǒng)的開發(fā)具有一定參考意義。