方 舟（上海核工程研究设计院, 上海 200233）

核电厂人因工程集成系统确认

方 舟
（上海核工程研究设计院, 上海 200233）

核电厂控制室除了成百上千的人机接口资源，还是一个包括规程、操纵员、环境、组织和管理等多种要素的复杂集成系统。在设计阶段，这些要素往往由不同的负责方分别进行考虑。然而在实际核电厂运行中，这一集成系统能否顺利配合，是否具有良好的人因工程设计水平，以避免人员失误，都是在电厂交付前开展的集成系统确认活动需要解决的问题。文章借助某核电项目的开展，研究和实践人因工程集成系统的确认技术；介绍集成系统确认试验的背景、流程以及方法；讨论试验的开展情况及结果；总结整项研究工作中获得的经验。

人因工程；验证和确认；集成

近年来，全球核电行业对人因工程（HFE）的重要性已达成共识，HFE也成为核电设计和安全审评中必不可少的内容。文章对人因工程集成系统确认（ISV）的方法进行了自主深入研究，并将结果应用于一个30万kW压水堆的工程实践中。研究中，核电厂主控制室（MCR）属于混合型控制室，不但具有传统的模拟显示和控制设备，还具有一个无控制功能的电厂计算机系统（CPC）。而应急控制室（ECR）则完全由传统模拟设备实现。

整个HFE项目的开展，完全遵循了NUREG 0711[1]的要求，并且项目持续数年。根据NUREG 0711，人因工程项目可划分为4个阶段（计划和分析、设计、验证和确认、实施和运行），共12个要素。ISV是验证和确认（V&V）的活动之一。同时，ISV也和V&V之外的一些要素存在联系。例如，运行经验评审收集了参考核电厂的负面评价及改进建议。人员可靠性分析识别了核电厂的风险重要任务和关键人员操作。任务分析则基于规程分析了是否存在完备的人机接口（HSI）资源，足以支持操纵员以可接受的负荷完成运行任务。在HSI设计中，本项目开展了分别针对大屏幕（LDP）、CPC显示画面和CPC报警功能的3次工程试验。并基于全尺寸的MCR实体模型，采用导则比对和情境走查法进行了HSI资源静态特性的验证。

作为V&V活动的一部分，ISV在人因工程分析和设计工作完成后，核电厂投运前展开。相对于静态的验证工作，ISV则综合考虑硬件、软件、规程、操纵员、工作环境等因素，采用涵盖了一系列有代表性的试验情境的基于人员效能的试验，来论证和评估HSI设计的可用性和容错性，以及规程、培训和控制室人员配备水平的充分性，从而确定其能否合适地支持电厂安全运行。可以说，作为HSI资源的最终可用性试验，ISV体现了人因失误纵深防御的理念。

1 方法

ISV试验是一个需要多方参与，准备周期较长的活动。在ISV试验开始前，业主应完成规程的详细开发和验证，以及模拟机的调试验收工作，参与试验的操纵员也应完成一定的培训。同时，设计院则通过运行条件取样活动确定试验情境。在完成试验设计之后，应针对每个情境开展充分的预试验，以优化情境设计和试验设计。在正式试验开始前，还需按要求挑选有资质的操纵员作为试验被试，组织和建立来自不同领域的工作人员团队，并完成工作人员和被试的培训工作。正式试验与数据收集、处理和初步分析可以同步进行。在完成分析后，在整个ISV试验中发现的人因工程HED将输入给HED解决活动。下面将详细介绍ISV活动的一些重点环节。

1.1 情境选择

由于核电厂设计包含成百上千个单独的HSI设备，电厂运行情况也复杂多样，对所有的任务开展确认试验既不现实也没有必要，为此需要采用适当的策略（运行条件取样）来选择ISV情境。

在选择情境时，需要综合考虑以下因素：1）核电厂工况（正常运行、故障、瞬态和事故）；2）人员任务（风险重要的人员操作、系统和事故序列、知识型的任务和高频度执行的任务）；3）状态因素（运行上困难的任务和高工作负荷状态）。

鉴于研究核电厂属于改进项目，所有对人员效能有潜在影响的设计改进项也需重点分析，确定确认策略。为了确保所选情境的覆盖性和代表性，研究开发了运行条件取样代表性分析表，最终确定了6个情境。研究还为每一个情境编制了一份说明书，对情境假设条件、初始工况、事件描述、终止条件、使用到的规程和情境步骤列表等内容进行了阐述。同时，研究还开发了综合规程、HSI资源、班组任务分配等信息的观察员指南以支持观察员的工作。

1.2 ISV平台

ISV采用全范围培训模拟机作为试验平台，其模拟范围包括MCR和ECR。在试验前，需要确保模拟机良好再现了实际的控制室设施，即其在物理、功能、环境、数据完整性和动态特性等方面具有较高的逼真度。

1.3 资质及培训

经过充分培训、合格的操纵员可作为被试参与ISV试验，因为在实际运行中控制室和相应的HSI资源将仅供其使用。作为最终用户，目标核电厂的操纵员作为被试参与了试验。由于ISV试验的范围是MCR和ECR，在试验中就地操作员由模拟机教练员扮演。

为了ISV试验的顺利开展，为所有被试班组提供了半天的标准化培训。培训包括课堂和实地两个环节，内容主要是ISV介绍、设计改进项和规程整体性回顾。

工作人员主要有观察员、模拟机教练员和软、硬件支持人员。为了确保发现尽可能多的问题，观察员来自设计院和业主（参与预试验的操纵员）单位，涵盖了人因、仪控、概率安全评价和运行多个专业的专家组成。考虑到背景差异，研究从规程、运行、人机接口、试验用材料/流程/文档控制等多个角度对工作人员进行了有针对性的培训。

1.4 试验设计

试验设计的目的是确定在给定的试验情境数量下，每个情境需要重复试验的次数和被试班组数量。在试验设计时，存在以下原则或限制：1）每个情境需有多于一次的重复次数；2）每个情境的不同次重复试验应由不同的被试班组完成；3）每个情境的被试人数应满足数据分析的要求。由于ISV的目标是发现可用性问题而非进行假设检验，根据人因原则6～10位被试可发现89%～98%的问题。

可见，试验设计需要在ISV试验规模增加和边际效应递减间进行平衡。研究共选择了6个情境，每个班组包括6名操纵员，故每个情境最少需要两次重复试验。但若出现试验失败，为了避免结论的模糊性，则需要增加第三次试验。作为例外，启堆情境仅进行一次试验。因为此情境耗时较长、压力和工作负荷低，且可通过电厂调试数据进行补充。

由于试验条件的不确定性，在试验开始前仅能确定试验设计的原则。研究不采取随机分配的方式确定被试班组与情境的组合，而是根据实际情况采用滚动计划的方式动态安排试验日程。

1.5 预试验

预试验是ISV必不可少的一个重要环节。其目的是关闭实施计划中需要模拟机或现场资料才能确定的开口项（情境进程、培训充分性、数据收集手段等），以及发现模拟机软硬件、情境和试验设计等存在的潜在问题。在研究中，目标核电厂操纵员参与了为期一周的集中预试验以及后续若干次分散的预试验。

1.6 数据收集

研究通过模拟机、HFE专用软件、纸笔等手段，主要收集了3种类型的数据：1）核电厂反馈：核电厂运行数据；2）操纵员动作：操纵员操作记录；3）主观反馈：来自于被试、观察员、模拟机教员的反馈。

1.7 正式试验

每场正式试验中，试验前应做好充分的准备工作并留出一定时间回答被试的问题。在试验开展过程中，观察员将观测记录填写在观察员指南的空白栏中。而在试验过程中，也需要收集情境认知、工作负荷、团队效能等数据。在情境完成后，还需要组织相应的试验后讨论。

由于试验有多方人员参与、数据量大、耗时长，且临时变动的可能性大，所以一个良好的试验管理制度非常重要。在研究中，除了ISV总负责人外，每场试验均安排了一位负责人进行总控和跟踪。同时，还开发了文控总表、日程安排滚动计划表、试验日志表、讨论流程指南和试验偏差项表等多份管理性表单。

2 试验结果

在ISV试验数据处理中，由于样本数量的限制，统计上假设检验的方法一般无法运用。研究对于定量数据主要采取描述统计的方法进行分析，对于定性数据则进行归纳总结。

试验基于操纵员主观反馈，对工作负荷、情境认知和团队绩效进行了测量。下面以工作负荷为例进行说明。工作负荷代表了操纵员完成任务所需的投入。研究采用NASA-TLX的标准化量表对工作负荷进行测量。NASA-TLX从努力程度、挫败感、脑力需求、效能需求、体力需求和时间压力6个维度来分析工作负荷。所以在数据处理时，除了总工作负荷（6个维度工作负荷的均值），还对每个维度的工作负荷进行了统计计算。研究从情境和操纵员角色两个角度对工作负荷进行了分析。从分析结果来看，副值长（DSS）工作负荷最高，紧接着是值长（SS）和堆操1（RO1）。需要注意，试验中在瞬态时，DSS报告过工作负荷过高。在运行时，DSS负责读规程，帮助（RO）、机操（TO）和电操（EO），以及监视整个电厂的运行情况。为了解决紧急运行时的这一问题，一方面有必要增加RO、TO和EO的经验；另一方面，当遇到高工作负荷时则可采用灵活的任务分配方式（SS分担一部分DSS的工作）。在6个工作负荷维度中，负荷从高到低为：脑力需求、努力程度、时间压力、体力需求、挫败感和效能需求。这表明了负荷的主要来源是认知层面。较低的挫败感和较高的效能满意度也表明了操纵员基本满意自己在试验中的表现。

此外，研究也对其他数据进行了分析。为今后的数字化控制室进行积累，一个分析重点是CPC的使用情况。在专业软件的支持下，研究对一场试验中CPC画面调用数量、每幅画面停留时间和访问频率、画面切换情况、鼠标移动和点击、功能键盘使用等数据进行了详细挖掘，并分析了导致操纵员低效或错误操作的潜在设计问题。而对于观察员指南上的评论、调查问卷、讨论记录等主观反馈，研究则进行了整理，并分析归纳了发现的问题。

在ISV中发现了近200条HED，例如，报警窗颜色、报警等级划分、盘台面板分割线、电动阀的中间位置指示、控制器类型、照明眩光、CPC画面工艺参数设置、CPC趋势功能多班组使用模式等问题。这些不符合项涉及设计院、业主、供货商多家单位，覆盖了人因、信息、控制室、堆控、仪表、电气、通信、建筑、工艺、规程、模拟机等多个专业。对于无法在电厂投运前需要解决的不符合项，将反馈给人员效能监测及后续项目的运行经验评审环节。

3 结论

文章研究的内容是国内首次参照NUREG 0711开展集成系统确认工作。整个集成系统确认工作由设计院主导，与业主共同完成，多专业共同参与，开展了大量工作。ISV结果不但为设计者和业主提供了大量有价值的反馈信息，也证明了研究中电厂控制室人机接口设计能实现安全运行，具有良好的人因工程设计水平。同时，通过对整个ISV的方法和组织进行了深入的研究，基于实践的反馈，作者对不同方法的优、缺点有了更为深入的认识，完整掌握了该技术，具备了独立开展相关工作的能力。此外，研究也对情境代表性的评判指标、情境认知的测量方法、团队效能的测量方法等一些国际学术和工业界尚在争论的技术点进行了尝试，积累了数据，为今后进一步深入研究打下了基础。

此次活动开展过程中也获得了一些宝贵的经验：为了确保ISV试验的顺利开展，提高预试验的效率，应将情境的测试纳入模拟机模型测试环节；由于ISV开展较晚，导致HED解决面临诸多限制，为此，在后续项目中应注重工程试验、任务分析、验证和确认活动之间的联动，尽量在设计阶段避免问题的产生等。

虽然研究积累了一定的经验，但由于ISV对象为模拟和数字过渡型控制室，后续还需要继续研究数字化控制室ISV的方法，并积累实践经验。

[1] J. O＇Hara, J. Higgins, et al. NUREG-0711, Human Factors Engineering Program Review Model[S]. Washington D.C.: U.S. Nuclear Regulatory Commission, Feb. 2004, Rev.2.

[2] J. O＇Hara, W. Stubler, et al. NUREG/CR-6393, Integrated system validation: Methodology and review criteria[S]. Washington D.C.: U.S. Nuclear Regulatory Commission, Sep. 1995.

[3] IEC 61771，Nuclear Power Plants Main Control Room Verification and Validation of Design [S]. Switzerland : International Electrotechnical Commission, Dec. 1995.

[4] K.S. Park, C.H. Lim. A structured methodology for comparative evaluation of user interface designs using usability criteria and measures[J]. International Journal of Industrial Ergonomics, 1999，（23）: 379-389.

[5] M.H. Yun, S.H. Han, S.W. Hong, et al. Development of a systematic checklist for the human factors evaluation of the operator aiding system in a nuclear power plant[J]. International Journal of Industrial Ergonomics, 2005,（25）: 597-609.

[6] David N. Hogg, Knut Folleso, et al.Development of a situation awareness measure to evaluate advanced alarm systems in nuclear power plant control rooms[J]. Ergonomics, 1995, Vol.38, No.11: 2394-2413.

[7] 董建明, 傅利民（美）. 人机交互：以用户为中心的设计和评估[M]. 北京：清华大学出版社，2007，第二版.（DONG Jian-ming, FU Li-min (US). Man-machine Interaction: User-oriented Design and Assessment[M]. Beijing:Tsinghua University Press, 2007, 2nd edition.）

[8] Clint A. Bowers, Ben B. Morgan, et al. Assessment of coordination demand for aircrew coordination training[J]. Military Psychology, 5（2）: 95-112.

Validation of Human Factor Engineering Integrated System

FANG Zhou
(Shanghai Nuclear Engineering Research and Design Institute, Shanghai 200233, China)

Apart from hundreds of thousands of human-machine interface resources, the control room of a nuclear power plant is a complex system integrated with many factors such as procedures, operators, environment, organization and management. In the design stage, these factors are considered by different organizations separately. However, whether above factors could corporate with each other well in operation and whether they have good human factors engineering (HFE) design to avoid human error, should be answered in validation of the HFE integrated system before delivery of the plant. This paper addresses the research and implementation of the ISV technology based on case study. After introduction of the background, process and methodology of ISV, the results of the test are discussed. At last, lessons learned from this research are summarized.

HFE；verification and validation (V&V)；integration

TL37 Article character: A Article ID: 1674-1617(2013)02-0111-04

TL37

A

1674-1617(2013)02-0111-04

2013-01-04

方 舟（1979—），男，浙江台州人，硕士，工程师，主要从事核电厂仪控、人因工程领域的设计等工作。