崔瑶 董旭辰

摘要：现代核电厂的主控室设计要遵循人因工程原则，如何优化人-机功效来提升核电厂的安全性和经济性是主控室研究的重要方面。在主控室中的计算机化人机界面设计中，人因工程审查模型中的人因验证和确认具有重要的作用。本文以NUREG-0711为基础，重点讨论了人因设计验证的方法，步骤以及具体的工作过程等内容。

关键词：核电厂；人机界面；人因工程

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2018）14-0044-04

核电厂的控制室是与操纵员密切相关的一部分，尤其在现代化核电厂中都采用计算机化人机界面，因此控制室的设计要遵循人因工程原则。人因工程原则贯穿于核电站设计、建造、运行、退役的整个过程。核电厂人员对于核电厂的安全、可靠、有效运行起着重要作用，操纵员负责监督并控制电厂系统和部件的正常运行。鉴于“人”的重要性和不可替代性，必须充分研究核电厂设计与运行中与“人”相关的因素，充分发挥人的主观能动性，优化人-机功效，以满足和提升核电厂的安全性和经济性[1]。

NUREG-0711人因工程审查模型是NRC发布的关于人因工程的设计审查标准[2]，目的就是为了验证在申请者的人因工程程序中应用了公认的人因工程惯例和指导方针，从而能够支持公众健康和安全[3]。

1 人因设计验证方法研究目的

NUREG-0711中根据人因工程的内容定义了12个审查元素，即人因工程管理、运行经验评审、功能需求分析与功能分配、任务分析、人员配备与资质、人员可靠性分析、人机接口设计、规程开发、培训大纲开发、人因验证和确认、设计实现和人员效能监测[4]。人因验证和确认是人因活动的重要组成部分，其主要目的是用来评估控制室系统设计是否遵循了人因工程原则、人机接口设计是否有效地支持了电厂人员的任务需求，实现电厂运行的目标。人因验证与确认（ V&V;， Verification &Validation; ）活动用于检验控制室设计是否满足标准和运行需求，并及时将发现的任何人因或设计有关的问题反馈给设计部门，从而及时改进并优化设计。

V&V;活动可以在控制室设计的各个阶段进行，特别是对新控制室的设计，它是早期开始的反复过程，然后定期重复进行。这样可以使审查产生的设计变更较早地并入相应的系统，从而明显的提高总体设计的水平。

其中计算机化人机界面作为控制室中重要的人机接口的一部分，对其进行人因设计验证是整个V&V;活动的一项重要内容，因此对人机界面的人因设计验证具有重要的意义。

2 核电站计算机化人机界面的人因设计验证方法研究

根据标准要求，人因V&V;要素包括：运行条件采样、设计验证、集成系统确认、人因偏差项处理[5]（见图1）

运行条件采样，是为了选取能够反映电厂运行特点的运行条件作为人因V&V;的输入。不同V&V;任务的运行条件采样的范围和标准不尽相同。

根据人因V&V;要素，人因V&V;主要包括以下活动：

1） 人机接口任务支持验证（TSV）；

2） 人因工程设计验证（DV）；

3） 部分确认（PV）；

4） 集成系统确认（ISV）；

5） 人因工程差异项（HED）管理。

其中，PV活动是基于工程模拟机进行的HSI设计过程的确认活动。可作为V&V;的（可选）组成部分。人因DV用于评估人机接口和环境是否符合人因工程导则，DV适用于控制室中所有的HSI（HSI，Human System Interface），包括：MCR盘/台、RSS盘/台以及相关的部件清单，如所有计算机化显示画面（系统、综合、应急、报警和规程画面、SPDF画面）、常规盘台部件及其在盘台上的布置。本文研究的范围主要是计算机化显示画面，以系统画面为主，对画面进行人因设计验证。

2.1 人因设计验证的目标

计算机化显示画面的人因设计验证主要用于核查：

1）设计/实施的画面符合NUREG-0700导则要求；

2）设计/实施的画面符合项目画面设计的规定样式；

3）画面设计/实施的整体一致性；

4）识别和记录验证过程中的人因偏差项HEDs。

2.2 人因设计验证的输入文件

输入文件主要包括：

1）HSI设计规格书，包括显示画面，系统画面的输入文件（FD，LD，IO清单等）

2）NUREG-0700（Rev.2）

2.3 人因设计验证方法

根据DV的对象计算机化显示画面，选取NUREG-0700适用的导则条款，准备DV的核对清单。在NUREG-0700中DV的导则条款具体有很多条，但针对不同的对象或者不同的堆型，并不是所有的导则条款都能够适用，因此为了简化工作流程，提高DV的工作效率，需针对计算机化人机界面单独提取出一份核对清单，并对NUREG-0700中的导则进行简要说明，使DV相关工作人员在进行设计验证的工作时能够快速地找到对应的条款。

在DV实际执行时，可分两步执行：

1）比较设计HSI和适用的导则条款要求，确认与导则的符合性。

2）比较设计HSI和本项目规定样式要求，确认与设计规范的符合性。

使用校核清单对验证结果进行记录。对于一些不满足项产生的HED（如图2），经过确认、记录、评估、解决和结果验证对其进行管理。在VV的过程中，这些HED的最终解决方案要确保不会产生新的HED，在DV的活动中会发现一些问题，最终的解决方案可能会导致设计变更，但是对于项目的本身来说，这是对设计的一种优化，在后续项目中也可以避免类似的问题。

HED管理进程与V&V;同步，即从第一项V&V;活动开始便启动HED管理，通过V&V;偏差项表格等方式进行记录。HED管理的目標是为了确定、记录分析并解决在V&V;过程中发现的所有偏差项[6]：

1） HEDs确定、描述；

2） 分析确定HED的级别并给出初步的解决建议；

3） 评估HED，给出HED的最终解决方案，包括设计变更等；

4） 对HED解决方案的实施结果进行验证，确保消除HED并且不会产生新的HED项。

总体上，应考虑HED从产生到消除的整个过程。应记录HED纠正后的验证结果。若V&V;活动显示纠正活动不满足HED的处理要求或产生了新的问题，则HED保持“打开”状态一直到满意解决为止。

2.3.1 画面设计验证核对清单

根据NUREG-0700的导则条款，针对计算机化的人机界面的DV需要从多项导则条款中选取适合画面的部分，对于画面来说主要参考的部分有总体显示导则，标签，图元和符号，颜色等，其具体条款如下：

在进行DV的过程中，根据这份清单逐条地对每一张画面进行验证，如果发现有与清单不符合的地方需记录下来，填写一份HED。例如，以下图CSV系统画面为例，如图3：

本张画面中表示信息流向的箭头太少，一些主要管线上缺少箭头，因此不符合表1中1.2.8-5这条准则，因此需要填写一个HED表格，如下图4。

在一个HED增加之后，需要对该HED进行管理，也就是后期的评估及处理，以前面CSV系統的HED为例，下图5是经过评估处理后，HED被关闭的状态。

通过以上的例子可以看出，V&V;工作人员在对人机接口画面进行验证和确认活动后，把发现的问题记录并反馈给了画面设计人员，设计人员再经过确认评估等活动将设计进行升版或者更改，V&V;人员在收到下一版本的画面之后对画面进行验证，确认提出的HED已经修改了相关问题，如果该问题被拒绝修改，设计人员要写出拒绝的原因直到V&V;人员同意并关闭该HED。HED处理结果可能影响HSI硬件/软件设计（如，设备选型、图形显示性能）。同样地，硬件/软件的V&V;过程也能影响HSI设计（如，设备尺寸、图形显示布局）。通过人因V&V;发现问题的解决方案整合到HSI、硬件和软件的设计与实施中，把两个不同V&V;过程联系在一起。

人因验证和确认（V&V;）是为了证明最终的设计满足人因工程的要求，并满足人因工程实施计划中的人因原则、HSI设计导则、其他适用的法规和用户需求。项目实施前期，需制定人因验证和确认实施计划。V&V;需结合控制室系统总体设计进度适时开展，并及时将发现的任何人因或设计有关的问题反馈给设计部门，从而及时改进设计。

3 结论

通过以上对计算机化人机界面的人因设计验证方法的总结以及实例的分析，系统化地阐述了核电站中人机界面的人因设计的验证方法，该方法已经成功应用于多个国内新建核电站的人机界面设计中，遵循了人因工程的基本原则，减少在设计中的各种人因失误，提高了工程的设计质量。

参考文献：

[1] HAF J0055-1995.核电厂控制室设计的人因工程原则[Z].

[2] EJ/T1118-2000.核电厂控制室设计验证和确认[Z].

[3] NB/T 20016-2010.人因工程在核电厂基于计算机的监测和控制显示设计中的应用[Z].

[4] NUREG-0700， Rev.2.Human-System Interface Design Review Guidelines[Z].

[5] NUREG-0711， Rev.3.Human Factors Engineering Program Review Model[Z].

[6] NUREG-0800， Rev.2.Standard Review Plan for The Review of Safety Analysis Reports for Nuclear Power Plants[S].