王秋雨，宋 霏，蒲晓彬，罗敬平

(1.上海核工程研究设计院有限公司，上海 200233；2.中核核电运行管理有限公司，浙江 海盐 314300)

0 引言

美国核管会(United States nuclear regulatory commission,U.S.NRC)出版物NUREG-0711提出了核电厂人因工程(human factors engineering,HFE)的系统性方法，并将其划分为12个HFE要素。HFE验证和确认(verification and validation,V&V)是NUREG-0711中定义的核电厂HFE要素之一。任务支持验证(task support verification,TSV)则是HFE V&V要素的一个重要组成部分。TSV关注支持任务需求所需物项的可用性，即确保人机接口(human system interface,HSI)设计能够提供人员执行任务所必需的报警、信息、控制和任务支持[1]。NUREG-0711中的系统性人因工程方法以及TSV方法已被广泛应用于新建核电厂项目中，并逐渐成为行业内的通用要求。

然而，对于涉及人因工程或人机接口的电厂改造项目，由于没有特别要求实施与新建项目一样的系统性人因工程方法，各个改造项目在实施过程中对人因工程方法应用的差异较大，没有形成公认的要求或行业惯例。对于TSV，一方面较缺乏将其应用于电厂改造项目的经验；另一方面，目前公开的标准和文献对于电厂改造项目TSV方法的论述也较少。虽然NUREG-0711提供了针对改造项目TSV的额外考虑，但其指导也较为粗略。尽管改造项目TSV与新建项目TSV在本质目标和总体方法上大体一致，但由于两者的关注点不同，在TSV的验证范围、实施过程和评价准则等方面仍存在一定差异，即原有的方法无法完全适用于改造项目[2]。因此，在实施过程中存在不少需要解决的问题和难点。

综上所述，有必要建立一套适用于核电厂改造项目的TSV方法。

秦山核电厂320 MW压水堆核电机组(秦山一期)控制室整体改造项目，是我国第一个核电厂控制室整体改造项目。在控制室改造的整个周期内，采用了系统性的人因工程方法。其中包括实施了适用于电厂改造项目的TSV方法。本文所论述的是一种在秦山一期控制室整体改造项目中应用的TSV方法。它是以改造变更项为核心，围绕变更项对人机交互的影响进行分析和验证的方法。实践证明，这一方法能够很好地适用于电厂改造项目，且具有通用性，可推广至其他电厂改造项目中。

1 HFE V&V和TSV简介

1.1 HFE V&V

HFE V&V用于评价核电厂设计是否符合HFE设计准则，并使电厂人员能够成功完成他们的任务，以达到安全和其他运行目的。V&V要素由四个主要活动组成：运行条件取样、设计验证、集成系统确认(incegrated system validation,ISV)、人因工程偏差(human factor engincering deviation,HED)解决。

V&V活动概貌如图1所示。

图1 V&V活动概貌

作为HFE V&V的先决条件，运行条件取样的开展十分重要。电厂评审涉及成百上千个独立的HSI部件，没有必要也不可能对每个HSI部件都进行评估。运行条件取样利用一种取样策略来指导要评审的HSI选择。

V&V评审涉及两种类型的设计验证：HSI任务支持验证和HFE设计验证。前者是核实HSI是否支持任务分析所确定的任务需求。后者是核实HSI的设计是否能够适应HFE导则所反映的人的能力和局限性。

集成系统确认采用基于效能的试验来评价集成系统的设计(即硬件、软件和人员各要素)是否满足效能要求，并能够支持电厂的安全运行。

HED合理地保证了在V&V活动中确认的HED已经得到了令人满意的评估和解决。HED解决应与V&V一起反复进行。也就是说，可以在实施其他V&V活动之前，处理和解决在前一个V&V活动中发现的问题。

1.2 TSV

如1.1节所述，TSV关注支持任务需求所需的物项可用性。其验证目标是确保HSI设计能够提供人员执行任务必需的报警、信息、控制和任务支持。

TSV的验证范围由运行条件取样决定，取样准则考虑了对电厂工况、重要和典型的人员任务以及影响人员效能的情境因素的覆盖性。取样的结果确定了TSV需要验证的任务情境。

TSV的验证过程是将HSI及其特性(基于设计文件、实体模型、工程样机、模拟机或安装的目标系统确定)与任务需求(基于任务分析或运行规程确定)进行比较。当出现如下情况时，申请者应对HED进行识别和记录。

①执行任务所需的某个HSI(某个必需的控制或显示)不可用。

②HSI特性与人员任务需求不匹配(例如，显示画面给出了需要的电厂参数，但不满足任务所需的参数范围或精度)。

TSV验证过程如图2所示。

图2 TSV验证过程示意图

2 适用于核电厂改造项目的TSV方法研究

2.1 电厂改造与新建电厂TSV的差异

如前文所述，电厂改造项目与新建电厂项目TSV在本质目标和总体方法上大体一致，但由于两者的关注点不同而存在一定差异。具体而言，两者的主要差异点如下[3-6]。

①验证范围。

对于新建电厂，TSV关注的是控制室内所有的人机接口和典型运行任务；对于电厂改造，TSV关注的是控制室内发生变更的人机接口或因为改造造成的任务需求变化。因此，两者在验证范围上存在较大的差异。

②实施过程。

为确定电厂改造项目中TSV的验证范围，需要进行改造差异分析，确定改造变更项是否可能对人机交互产生影响、影响程度、影响范围，从而便于开展后续的分析工作。因此，在流程上，相对于原有的TSV，增加了变更分析的步骤，且整个TSV活动都需围绕变更分析的结果开展。

③评价准则。

对于新建电厂，TSV关注的是人机接口及其特性是否能够满足操纵员的任务需求，以及是否需建立绝对准则。对于电厂改造，除建立绝对准则外，还需要对改造前后人机接口对任务的支持程度进行比较，从而评价改造的效果，即建立相对准则。

由于存在上述这些方面的差异，有必要对原有的TSV方法进行调整，使其适用于电厂改造项目。

2.2 总体框架

电厂改造项目的TSV过程大致可归纳为如下三个步骤。

①改造差异分析。

与新建电厂相比，改造项目TSV在过程前期增加了改造差异分析的过程，用于确定受改造变更项影响的人机交互任务，进而为确定TSV的验证范围提供输入。这里所说的受改造变更项影响的任务不仅包括直接与人机接口变更相关的任务，还包括因电厂其他系统改造而导致任务需求发生变化的任务(例如因泵的改造导致其操作方式发生变化)[3-4]。

②情境确定。

情境确定与新建电厂TSV中的运行条件取样的作用类似。对于改造项目，TSV的情境基于改造差异分析的结果确定。情境的选择需要覆盖受改造影响的典型任务。如果多个改造变更项所影响的任务相同或相关，则可以用同一个情境覆盖。

针对电厂改造项目的TSV过程如图3所示。

图3 电厂改造项目TSV过程示意图

③验证和评价过程。

为比较改造前后执行任务的差异，改造项目TSV除了将任务需求与HSI清单和特性进行比较外，还增加了与原有任务的比较环节，从而对改造结果进行定性评价。当评价结果为改造后变优或相当时，被认为直接可接受；当评价结果为改造后变差时，还需要根据改造综合效应的分析结果确定其是否可接受。由于一些改造变更项可能使得部分任务的执行变优、部分任务的执行变差，为了评价总体上改造的优劣，改造综合效应分析以单个改造变更项为单位，对受该变更项影响的所有任务进行综合分析，从而得到综合的评价结果。当综合评价结果为改造后变差时，该改造变更项才被认为不可接受，进入偏差解决过程。

2.3 实施方法和过程

2.3.1 改造差异分析

改造差异分析是改造项目TSV的重要输入之一，同时也是开展诸如改造相关规程修订、专项培训和ISV的重要输入之一。项目团队需要在项目早期就建立改造变更项清单，并在项目的整个执行过程中对该清单进行维护。改造差异分析基于改造变更项清单，确定每个变更项对人机交互的影响程度和受影响的具体任务。

改造变更项对人机交互影响程度的分析过程如图4所示。这一过程将所有改造变更项分为三类，即无影响、有较小影响和有较大影响。

图4 改造变更项对人机交互影响程度的分析过程

其中，对人机交互无影响较易直接判断，因此没有设置更详细的判断准则；而对人机交互有较小和较大影响，则通过如下三条准则进行判断。

①是否涉及重要人员动作。

重要人员动作是指通过确定论或概率论分析方法识别的、对于电厂安全或总体风险较重要的人员任务。从对电厂安全的影响程度来看，涉及重要人员动作的改造变更项显然具有较高的重要程度。因此，无论这些改造变更项的变更程度如何，都将其归类为有较大影响。

②信息组织、呈现形式或操作方式是否有较大变化。

此处的“较大变化”是指子系统级以上的HSI变更，例如某个HSI子系统的数字化改造、某个盘面的整体迁移或重新布局等；“较小变化”是指设备级的HSI变更，例如某个设备的换型等。

③任务需求是否有较大变化。

此处的“较大变化”是指子系统级的任务需求变更，例如某个工艺系统改造导致的任务需求变化等。“较小变化”是指设备级的任务需求变更，例如某个泵的控制方式的改变等。

上述关于改造变更项对人机交互影响程度的评价结果决定了每个改造变更项所需执行的分析、验证和确认过程，如图5所示。对于TSV，其验证范围是所有对人机交互有影响的改造变更项。

完成变更项对人机交互的影响分析后，分析人员还应识别出受每个变更项影响的具体任务。这里的任务指的是直接受变更项影响的监视或控制操作的最小集合，而不应代入任何背景或情境信息，或考虑其他关联任务。例如，对于柴油机辅助给水泵去蒸发器流量调节阀1E级手操器由拨盘定值方式换型为按键定值方式的变更项，识别到的受影响任务是柴油机辅助给水泵去蒸发器的流量调节任务。虽然这一任务可能在各种不同的工况下执行，但在改造差异分析阶段，并不需要明确任务的执行背景和情境信息。

图5 不同变更项适用的分析、验证和确认过程

2.3.2 情境确定

由变更项至TSV情境的演化过程示例如图6所示。

图6 由变更项至TSV情境的演化过程示例

根据2.3.1节所述，改造差异分析识别了受每个变更项影响的具体任务。但这些任务是孤立的，是直接受变更项影响的监视或控制操作的最小集合。然而，TSV必须考虑任务的执行背景和前后关联性，因此，应为每个任务赋予一个或多个典型情境。情境的选取不必覆盖所有需要执行某个特定任务的工况，但应至少覆盖有较大可能性执行该任务的一个代表性工况。

当某个任务在多种工况下的执行方式有较大差异时，还应考虑是否为其赋予多个典型情境。此外，对于具有一定相关性的多个任务，允许用同一个典型情境覆盖。

在总体上，情境的选取还应考虑到对于电厂各类工况覆盖性的适当平衡。例如，需适当覆盖电厂正常运行、故障或异常以及事故等情境类型。

2.3.3 验证和评价过程

验证和评价过程的目的是评价改造变更项是否可接受，并形成偏差列表和验证报告。TSV的验证和评价过程分为以下步骤。

(1)任务需求与HSI清单和特性的比较。

这一步骤用于确定改造后的任务是否可以顺利完成，HSI和规程是否对任务提供了足够的支持，属于绝对准则。在这一步骤中，可能被识别到的偏差项如下。

①人机接口问题：执行任务所需的某个HSI(某个必需的报警、信息、控制)不可用；HSI特性与人员任务需求不匹配(例如，不满足任务所需的参数范围或精度[7])。

②运行规程问题：规程描述与设备标识不一致；规程描述不清晰或不准确；规程未按照改造后的人机接口进行适应性修改。

此外，为提高问题检出率和分析标准化程度，本项目采用了详细的辅助检查表，帮助分析人员识别问题。

(2)现有任务与原有任务的比较。

为了比较改造前后执行任务的差异，在完成步骤(1)的验证工作之后，还需要对改造前后相同任务的执行过程进行比较，从而对改造的效果进行定性评价，即改造后变优、与改造前相当或变差。

对于TSV情境中每个受改造影响的任务，在完成上述评价过程后，由验证人员填写TSV验证表。验证表包含如下信息：情境步骤编号，操纵员动作，人机接口资源编号，人机接口资源描述，是否改造相关，任务评分(改造前后对比打分)，评分说明，识别的问题。

最后，HED的识别准则与具体任务的评分相关。例如，对于改造后无法完成的任务，直接判定为不通过并识别为HED；对于改造后可以完成但体验变差的任务，将结合步骤(3)“改造综合效应分析”确定其是否可接受；对于其他任务，可判定为通过。

(3)改造综合效应分析。

部分改造变更项对于执行某些任务而言是有利的，而对于执行另一些任务而言是不利的。因此，为了评价总体上改造的优劣，需要以变更项为单位，对受该变更项影响的所有任务进行综合分析，从而得到综合的评价结果。

改造综合效应分析采用与步骤(2)相同的评分标准，但其结果并不是对于受改造变更项影响的每个任务的独立评分，而是对受某个改造变更项影响的所有任务的综合评分。经过步骤(3)，对于综合评价改造后更差的变更项，判定其为不通过，对于综合评价改造前后相当或改造后更好的变更项，则判定其为通过。

2.4 验证结果

基于以上过程，TSV最终输出如下结果：针对每个受改造影响的任务的单独评分；针对每个改造变更项的综合评分；经TSV得到的HED清单。

这些结果一方面为HED解决提供输入，从而优化和完善HSI和规程；另一方面，为分析人员提供了改造对人机交互影响的定性评价结果，以确定改造的整体效果是否可接受。

此外，根据图3，经HED解决后的TSV偏差项还需要进行再验证，并对TSV结果进行更新，从而形成一个迭代的过程。

在秦山核电厂控制室整体改造项目中，TSV识别的各类HED及其占比如图7所示。

图7 TSV识别的各类HED及其占比

3 结束语

本文提出了一种适用于核电厂改造项目的人因工程任务支持验证方法。该方法在通用TSV方法的基础上，结合了电厂改造项目的特点进行开发，并考虑了改造项目与新建电厂项目在验证范围、实施过程和评价准则等方面的差异。本文建立的TSV方法已在秦山一期核电厂控制室整体改造项目中应用，并经实践证明是可行和有效的。该方法对于核电厂改造项目具有普适性，可推广至其他核电厂改造项目中。