首页 人人文库网 > 行业资料 > 各类标准 > GB∕T 41145-2021 核电厂人因验证和确认
GB∕T 41145-2021 核电厂人因验证和确认.pdf

GB∕T 41145-2021 核电厂人因验证和确认

收藏

压缩包内文档预览:(预览前20页/共33页)
预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图 预览图
编号:201667567    类型:共享资源    大小:2.33MB    格式:ZIP    上传时间:2022-03-07 上传人:阿毅44****867 IP属地:广西
12
积分
举报
举报 版权申诉
版权申诉 word格式文档无特别注明外均可编辑修改;预览文档经过压缩,下载后原文更清晰! 立即下载
关 键 词:
GB∕T 41145-2021 核电厂人因验证和确认 GB 41145 2021 核电厂 验证 确认
资源描述:
GB∕T 41145-2021 核电厂人因验证和确认,GB∕T,41145-2021,核电厂人因验证和确认,GB,41145,2021,核电厂,验证,确认
内容简介:
h t t p :/w w w .b z f x b .co m书 书 书犐 犆犛 犆犆犛犉 中 华 人 民 共 和 国 国 家 标 准犌犅犜 核电厂人因验证和确认犎狌犿犪 狀犳 犪 犮 狋 狅 狉 狊狏 犲 狉 犻 犳 犻 犮 犪 狋 犻 狅 狀犪 狀 犱狏 犪 犾 犻 犱 犪 狋 犻 狅 狀犳 狅 狉狀 狌 犮 犾 犲 犪 狉狆 狅狑犲 狉狆 犾 犪 狀 狋 狊 发布 实施国 家 市 场 监 督 管 理 总 局国 家 标 准 化 管 理 委 员 会发 布标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co mh t t p :/w w w .b z f x b .co m书 书 书目次前言范围规范性引用文件术语、定义和缩略语 术语和定义 缩略语人因验证和确认总则 活动和过程 范围 人机接口设计导则 测试设施 人员 特殊考虑形成性验证和确认 目的 形成性策划 过程和方法人因工程设计验证 目的 过程和方法人机接口任务支持验证 目的 过程和方法集成系统确认 目的 实施计划 场景选择 试验设施 参试者 效能测量 试验设计 数据分析 识别、记录和传递 结论 设计实现 犌犅犜 标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co mh t t p :/w w w .b z f x b .co m 目的 过程和方法 人因偏差解决 目的 过程和方法 改进型新电厂的特殊考虑 电厂改造的特殊考虑 改造项的人因风险等级 电厂改造人因策划 电厂改造人因活动 就地区域的特殊考虑 概述 特殊考虑 附录(资料性)人机接口清单和特性描述 附录(资料性)运行条件选取 附录(资料性)人因不符合项分级原则和示例 参考文献 犌犅犜 标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co mh t t p :/w w w .b z f x b .co m前言本文件按照 标准化工作导则第部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国核仪器仪表标准化技术委员会( )提出并归口。本文件起草单位:上海核工程研究设计院有限公司、清华大学、苏州热工研究院有限公司、中广核工程有限公司、中国核电工程有限公司、核工业标准化研究所。本文件主要起草人:宋霏、王秋雨、张淑慧、王国强、李志忠、潘丹、高泉源、徐智、吴一谦、俞光卫、邓士光、杜建、焦丽玲。犌犅犜 标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co mh t t p :/w w w .b z f x b .co m核电厂人因验证和确认范围本文件规定了核电厂人机接口集成系统人因验证和确认活动的准则和方法。本文件适用于新建核电厂,以及在役核电厂人机接口集成系统改造。其他类型核动力厂的人机接口集成系统可参照执行。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 人因工程在核电厂计算机化运行规程系统中的应用准则术语、定义和缩略语 术语和定义下列术语和定义适用于本文件。 验证狏 犲 狉 犻 犳 犻 犮 犪 狋 犻 狅 狀从人因工程的角度确定设计或实现满足规定的要求的过程和活动。来源: : , ,有修改 确认狏 犪 犾 犻 犱 犪 狋 犻 狅 狀从人因工程的角度确定设计或实现满足特定的用途或应用需求的过程和活动。来源: : , ,有修改 形成性验证和确认犳 狅 狉犿犪 狋 犻 狏 犲狏 犲 狉 犻 犳 犻 犮 犪 狋 犻 狅 狀犪 狀 犱狏 犪 犾 犻 犱 犪 狋 犻 狅 狀通过收集客观证据来发现人机接口集成系统存在的问题,以改进设计的过程和活动。 总结性验证和确认狊 狌犿犿犪 狋 犻 狏 犲狏 犲 狉 犻 犳 犻 犮 犪 狋 犻 狅 狀犪 狀 犱狏 犪 犾 犻 犱 犪 狋 犻 狅 狀通过收集客观证据,对人机接口集成系统的设计和实现进行最后的符合性评估的过程和活动。 人机接口犺 狌犿犪 狀 狊 狔 狊 狋 犲犿犻 狀 狋 犲 狉 犳 犪 犮 犲;犎犛 犐系统的一部分,用于人与系统交互以完成它们的功能和任务。注:系统指核电厂。注:在运行和控制中心,典型的人机接口有报警、显示、控制、规程(纸质的、计算机的) 、通信等。注:在就地区域,典型的人机接口有就地控制盘箱柜、阀门、手套箱、出入口(设备上不同尺寸需要人局部或全身通过的开口) 、规程(纸质的、计算机的) 、通信、标识等。犌犅犜 标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co m 人机接口系统犎犛 犐狊 狔 狊 狋 犲犿人机接口及其所处的空间和环境。注:人机接口的组织形式及其所处空间的特性是影响人机接口使用的直接因素。例如,报警、指示、控制在控制盘台上的布置特性、控制盘台和他设备在控制室中的布局特性、完成任务所需的移动和作业空间特性。注:人机接口所处的环境条件是影响人机接口使用的直接因素。例如温度、湿度、照明、噪声、通风等。 人机接口集成系统犎犛 犐犻 狀 狋 犲 犵 狉 犪 狋 犲 犱狊 狔 狊 狋 犲犿由人机接口系统、任务和人员共同组成的集成系统。 运行和控制中心狅 狆 犲 狉 犪 狋 犻 狅 狀犪 狀 犱犮 狅 狀 狋 狉 狅 犾犮 犲 狀 狋 犲 狉对核电厂或其特定系统进行集中监控的控制中心,如主控制室、辅助控制室、就地控制站,以及对核电厂运行进行监视并提供决策指导的设施,如技术支持中心、应急指挥中心。来源: : , 、 、 、 ,有修改 人因偏差犺 狌犿犪 狀犲 狀 犵 犻 狀 犲 犲 狉 犻 狀 犵犱 犻 狊 犮 狉 犲 狆 犪 狀 犮 狔;犎犈犇人因偏差项与人因基准存在偏离的人机接口集成系统设计项。注:人因基准基于人因工程原则和要求、电厂性能准则要求、人员效能要求、用户偏好等建立。来源: : , ,有修改 人因例外项犺 狌犿犪 狀犲 狀 犵 犻 狀 犲 犲 狉 犻 狀 犵犲 狓 犮 犲 狆 狋 犻 狅 狀技术恰当性能被合理证明,判定为可接受的人因偏差项。 人因不符合项犺 狌犿犪 狀犲 狀 犵 犻 狀 犲 犲 狉 犻 狀 犵狀 狅 狀 犮 狅 狀 犳 狅 狉犿 犻 狋 狔不能判定为人因例外项的人因偏差项。 缩略语下列缩略语适用于本文件。:计算机化运行规程系统( ):人因偏差( ):人因工程( ) :人机接口( ) :集成系统确认( ):仪表和控制( ):蒸汽发生器传热管破裂( ):验证和确认( )人因验证和确认总则 活动和过程人因全面评估电厂 集成系统设计是否符合设计准则,使电厂人员能成功完成其犌犅犜 标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co m任务,以达到安全和其他运行目标。活动贯穿于概念开发、需求开发、设计,以及设计实现全过程,其概貌见图。本文件将人因分为三个主要活动:形成性、总结性、解决。随着设计的推进,形成性活动逐步过渡到总结性活动。形成性(见第章)主要目的是通过客观证据的收集和评估来发现存在的问题,以改进 集成系统的设计。应根据技术需求,考虑可用资源,综合不同的评估方法以制定适用特定项目的形成性方案。总结性是对 集成系统的设计和实现进行最后的评估,应采用标准化的方法开展,以支持项目的符合性评价和安全审评。总结性分为设计验证(见第章) 、 任务支持验证(见第章) 、 (见第章) 、设计实现(见第章)四个活动。设计验证和设计实现都是对 设计是否符合特定项目的技术要求进行评估,其差异在于前者主要依赖最终的设计文件或原型,后者则基于实际的 集成系统开展,两者具有延续性和互补性。 任务支持验证是对 是否支持任务要求进行评估。 采用基于效能的试验,对整个 集成系统的最终设计是否满足效能要求进行最终评估。解决(见第 章)为在活动中识别的得到满意评估和解决提供了合理的保证。解决贯穿整个过程,与形成性和总结性存在迭代。对后续活动结果有效性具有潜在影响的人因,应在受影响的活动开展之前得到解决。图人因犞牔犞概貌 犞牔犞范围 集成系统涵盖 系统、任务、人员(即最终用户)三个组成部分,见图。开展具体活动时,应从这三个维度对人因范围进行界定。犌犅犜 标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co m图犎犛 犐集成系统组成和犞牔犞范围 系统可从系统、不同层次的子系统,划分至无需进一步细分的 特性。应根据具体活动的特点,按需要的层次准确定义 系统的范围,并详细描述其状态( 清单和特性描述方法见附录) 。在考虑任务序列特性的形成性、 任务支持验证和 中,除了 清单和特性描述之外,还应通过运行条件选取(见附录)来进一步确定评估范围。新建核电厂设计和在役核电厂重大设计改进可能涉及成百上千个独立的 部件,对应的任务数量繁多,不可能对所有任务都进行评估。运行条件选取提供了平衡多个因素以识别需评估的最优任务集的策略。在基于 设计导则(见 )的形成性、设计验证、设计实现,以及 任务支持验证中,对人员的考虑是隐含和抽象的。但在基于效能试验的形成性和 中,应对人员配置、资质和培训水平进行明确界定。应根据具体活动的特点确定人员配置、资质和水平要求。 犎犉犈人机接口设计导则人机接口设计导则(以下简称“ 设计导则” )的目的是为整个项目的 系统提供一致的设计方法,确保设计遵循了适当的人因要求、与人的能力相匹配,电厂运行安全性和可用性得到保证。应对基于标准和文献的通用导则、当前工业运行实践和经验反馈、项目 特点进行分析和权衡,制定一份或多份项目特定的“样式导则”文件,以支持特定项目的 设计,以及人因活动。 设计导则由设计活动开发,不属于人因的范围。但人因的经验反馈可为 设计导则的优化提供输入。 测试设施测试设施是用于替代系统设计的任何载体,按其特点可分为图纸、原型、模拟机和实际系统四类,见表。结果的全面性和可信性随着测试设施逼真度的增加而增加。逼真度包括完整性、实体逼真度、功能逼真度、环境逼真度(如高噪声环境、高温、高湿度、照明不足等) 、数据完整性逼真度、数据内容和呈现逼真度、数据动态逼真度多个维度(见 ) 。测试设施的准备,应结合 清单和特性描述的要求开展。犌犅犜 标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co m表测试设施类型载体特点图纸 设计文件照片、效果图产品手册二维的设计信息,不同类型的图纸、文件呈现设计特性的详细和逼真程度不一,常需要多份资料才能“拼凑”出较为完整的 特性原型产品样本实体模型三维数字模型界面原型硬件类 的原型可对布置、外形尺寸、动作模式等特性进行描述。标准化设备可直接利用产品样本。对于非标设备,可依赖于缩放的或等比例的实体模型。三维数字模型的可用程度与建模深度相关。对于数字化控制室大量存在的软件类 ,界面原型能较好地模拟主要的呈现和交互特性,但不必提供电厂动态参数的模拟(例如,虽然原型提供了数字显示或趋势曲线,但这一数值是原型后台强制的,与电厂运行场景没有联系) 。界面原型可利用专业界面快速原型软件开发,也可利用目标平台开发模拟机工程模拟机全范围培训模拟机在静态特性上已较为完备,且具备模拟电厂动态参数响应的功能(部分范围或全范围的) 。 应采用全范围培训模拟机,且其逼真度应达到 试验的要求(见 )实际系统电厂 集成系统对于运行和控制中心,实际电厂主要为设计实现提供支持。对于就地区域,基于具体目的,就地 在完全就位前也可为活动提供支持。实际电厂的优势是输入比设计阶段更多、更为直观,但缺点是识别到的的改进空间一般局限在规程和培训领域 犞牔犞人员 资质和培训活动的实施,除了专家,应根据需要安排具备不同技能和经验的专家共同参与,例如 专家、安全分析专家、人员可靠性专家、仪控专家、工艺系统专家、电厂运行专家、培训专家、模拟机专家等。应明确不同活动对人员资质的要求,如设计验证对人员知识背景和工作年限的具体要求。应为人员提供必要的培训,如为参与问卷调查的电厂运行专家提供专项培训,确保其掌握了当前 集成系统的必要信息;为参与形成性的设计人员提供理论方法和 设计导则的培训;为 的试验实施或管理人员提供试验程序和数据记录的培训。 独立性应明确人员独立性水平要求,从而保证结果的客观性和公正性。总结性团队应与设计团队保持独立。人员和设计人员可为同一组织工作,但人员不应参与对象的设计工作,也不应对设计进度或财务绩效负责。人员不一定是专职人员,可从其他设计团队调入,但其职责只能是对目标对象进行。形成性团队除了独立人员,亦可安排设计人员参与,但设计人员不应主导或独立完成具体活动。设计人员对系统了解更为深刻,在多专业交流中能提出有益的建议或方案。同时,设计人员参与形成性能起到自查和培训作用,有助于提高后续设计的人因符合性。人员独立性要求应完整覆盖各项活动及其具体环节。例如,解决中,人因例外项判定、犌犅犜 标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co m人因不符合项分级和判定是否需要解决、人因不符合项再验证和确认应由独立的人员实施,而分析、人因不符合项解决方案开发和实施则需要设计团队的共同参与。 特殊考虑新建核电厂包括 集成系统全新设计和改进设计两类情况,在役核电厂则包含形式不一的改造。第章第 章所述要求和指导完全适用于全新设计,其他情况可采用分等级的方式使用,改进型项目的特殊考虑见第 章,改造项目的特殊考虑见第 章。依据 系统特点、任务复杂性、人员参与程度、所需的人员响应速度、人员失误对运行造成的后果等因素,核电厂物理区域可划分为运行和控制中心区域、就地区域两类。第章至第 章所述要求和指导完全适用于运行和控制中心的主控制室、辅助控制室,其他区域可采用分等级的方式使用。其中,就地区域的特殊考虑见第 章。形成性验证和确认 目的在电厂设计过程中开展形成性人因活动的目的如下。)改进 集成系统设计,如:)在设计方案比较选择时,确保得到充分考虑;)对引入的新技术及其与已有系统的集成,开展系统的人因评估;)及时论证设计过程中的假设,降低设计的不确定性;)对 设计导则未覆盖的设计特性,提供见解;)为需求或 设计导则的传递和落实提供支撑手段。)为总结性提供支持,如:)避免大量问题识别不及时造成解决困难;)全范围或部分范围基于效能的形成性活动,能提高 的效率,降低 的风险,例如,优化运行条件选取的范围,为 前提条件提供判断,以及为 建立参考基准等。 形成性犞牔犞策划项目开展策划时,应对形成性的必要性进行分析,确定本项目是否计划开展形成性。通常,形成性采用渐进、迭代的方式开展,其具体活动的目的、范围、时间节点应与项目阶段相匹配,并与设计过程集成。除了按概念开发、需求开发、系统和子系统设计的节点策划形成性活动,还可考虑下列维度: 按测试设施逼真度,如图纸、原型、模拟机; 按对象,如软控制器的设计、显示画面结构和导航。应为形成性制定详细计划,覆盖每项形成活动目的、范围、过程和方法等信息。 过程和方法验证是对是否正确地开展了设计进行评估,如显示画面的设计规范是否符合 设计导则的要求。确认则是对是否设计了正确的系统进行评估,如软控制器的设计方案是否能支持安全目标和可用性目标的实现。在设计早期,因为活动可能会融合了两类目的,验证、确认往往难以清晰区分。越接近设计后期,则能更为独立地开展验证、确认活动。为此,形成性有必要根据问题特点和设计阶段,犌犅犜 标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co m采用更为灵活的评估方法。启发式评估、可用性评估、走查评估和试验评估均可应用于形成性。例如,启发式评估主要通过专家评估法对集成系统的设计特性提供主观定性评估,而试验评估则基于任务序列的时间响应和准确性对 集成系统提供更为客观、系统的详细评估。对于难以独立支持一次活动的方法,定义为辅助方法,一个辅助方法可配合多类主方法使用,详见表。表形成性犞牔犞的方法类型主方法辅助方法测试设施评估重点启发式评估专家评估法启发式讨论检查表法问卷调查访谈图纸原型设计特性(主观定性评估)可用性评估可用性试验法观察法检查表法问卷调查访谈原型模拟机实际系统设计特性(主观定性或定量评估)走查评估走查排演法观察法有声思考法检查表法问卷调查访谈图纸原型实际系统任务序列特性试验评估基于效能的试验观察法有声思考法检查表法问卷调查访谈图纸原型模拟机基于任务序列的时间响应和准确性应尽可能采用定量和客观的指标。通常难以直接对安全性和可用性这类总体目标进行测量,为此宜采用不同的指标对 集成系统的不同方面进行评估。除了完成时间、正确率、频次这些通用指标,还可考虑(但不限于)以下指标:)匹配性;)效能改进特性(如有效性、效率、满意度) ;)工作负荷(或心理负荷、工作记忆负荷) ;)情境意识;)团队协作;)信任度;)认知模型和可理解性;)易操作性、可控性;)易学性;)生理因素(如视线位置和凝视时间、疲劳)等。应根据对象的特点和评估的目标选取指标。例如,对显示画面导航结构进行评估的时候,除了导航任务完成时间和正确率,还可采用位置感知满意度、视觉搜索效率作为指标。犌犅犜 除了目标电厂具有资质的运行人员,也可选择其他人员担任形成性的参试者,如正在接受培训的运行人员或设计人员。但应对其对目标电厂的熟悉程度做出正确评估,以支持最终分析结论的准确性。形成性识别出的问题若不正式传递给解决活动,应证明项目已建立有效的人因问题跟踪系统,识别的问题得到完整记录、分析和解决, 集成系统设计得以优化。人因工程设计验证 目的设计验证从人的能力和局限性考虑 系统的恰当性。设计验证的目的是确保 系统的最终设计符合 设计导则的要求。 过程和方法设计验证的过程和方法如下。)获取 设计导则:应收集适用于当前项目的“样式导则”文件或文件集。)收集 系统特性:通过 清单和特性描述(见附录)明确要验证的对象及其特性,应选择能代表当前最新设计状态且最为逼真的测试设施。)匹配 设计导则和 系统特性间的对应关系:导则的某条要求可能适用于许多 系统对象,在验证前应对两者的对应关系进行梳理,明确验证项。)将 设计导则和 系统的特性进行比较:对于通用属性(如菜单、特定静动态元素、某一型号开关) ,可基于标准化对象附加实例取样的方式进行验证,对于特殊属性则应逐一验证。应对导则某条要求在多个 中应用的一致性进行评价。可根据各设计要素的成熟度从上至下逐步推进设计验证活动,如先开展控制室整体布置、硬件 特性、显示画面通用特性的验证。)识别。)当 系统的某个特性偏离了导则要求时,应将其识别为一个。)只有完全符合 设计导则的要求,即验证项的每个用例完全符合由导则确定的准则时,才可判定为“通过” 。若存在任何,无论是完全还是部分存在,都应判定为“不通过” ,识别为。)若采用取样的策略进行验证,应充分分析潜在的扩展问题。例如,识别出某一幅显示画面数据呈现格式不恰当时,其他显示画面格式的使用也可能不正确,或者被观察到的格式在所有地方的使用都不恰当。)记录和传递:应定义格式化的方法,对识别的进行记录。记录应清晰标明相关的验证对象,以及 特性与特定导则的偏离情况。记录的将传递给解决活动。的分析和纠正属于解决活动,见第 章。)设计验证的关闭:)若验证项基于设计文件和图纸即可关闭,如果当前条件不成熟不能进行验证或尚无法确定最终结论,应评价为“待定”并持续跟踪直至可评价为“通过”或“不通过” 。)若验证项还需要跟踪到设计实现阶段才能关闭,应传递到设计实现活动。)在具体项目中,应综合考虑 系统固化情况以及后续设计实现活动的计划,明确设计验证活动关闭的条件。)设计验证活动应与 系统设计和实现过程紧密结合,应明确应对设计变更和工程实现偏差的措施。犌犅犜 人机接口任务支持验证 目的 任务支持验证关注用于支持人员任务需求物项的可用性。 任务支持验证的目的是确保 系统的最终设计能为人员提供执行任务所必需的报警、信息、控制和任务支持。 过程和方法 任务支持验证的过程和方法如下。)确定场景:应通过运行条件选取(见附录)确定人员任务需求,即场景。 任务支持验证场景的确定宜考虑与任务分析的延续性。)收集 系统特性:通过 清单和特性描述(见附录)明确要验证的对象及其特性。应选择能代表当前最新设计状态且最为逼真的测试设施。)将人员任务需求和 系统特性进行比较: 任务支持验证的启动时间取决于项目特点、任务分析方法和实施节点、形成性的范围和实施节点等因素。验证可采用分批的方式开展,如根据设计成熟度和场景重要性,先开展安全直接相关以及运行经验反馈存在问题的任务。)识别。)执行任务所需的某个 (某个必需的控制、显示或报警)不可用时,应识别为。) 系统特性与人员任务需求不匹配(例如,显示画面给出了需要的电厂参数,但不满足任务所需的参数范围或精度) ,应识别为。)存在不必要的 ,应识别为。对不必要的 进行验证很重要,因为它会造成干扰,并可能分散人员注意力,妨碍其选择适当的 。然而,不必要 的判定需要慎重,避免由于下列原因造成误判:该 在某个任务中是必需的,但该任务不在分析考虑的范围内;分析不完整,忽略了该 需求;该 仅部分满足所确定的人员任务需求。)记录和传递:应定义格式化的方法,对识别的进行记录。记录应清晰标明相关的验证对象( 和任务)以及的依据( 的哪个方面不满足任务需求) 。记录的将传递给解决活动。的分析和纠正属于解决活动,见第 章。) 任务支持验证的关闭:)对于当前条件不成熟不能进行验证或无法下最终结论的验证项,应评价为“待定”并持续跟踪直至可评价为“通过”或“不通过” ;)在具体项目中,应综合考虑 系统和任务的固化情况,以及后续 的范围和时间节点,明确 任务支持验证关闭的条件;) 任务支持验证活动需要与 系统设计和实现过程紧密结合,应明确应对设计变更和工程实现偏差的措施。集成系统确认 目的 采用基于人员效能和系统性能的试验对 集成系统的设计进行确认,目的是确保 集成系统充分支持人员对电厂的安全运行,具体包括以下方面。)确认轮班班组的人员配备、成员的任务分配以及协作(包括内部以及内、外部人员之间的协作)犌犅犜 可接受,包括对最小人员配备、正常人员配备、最大人员配备和交接班的确认。)确认设计能提供必需且恰当的报警、信息、控制和反馈,使得人员任务能成功完成,包括电厂正常运行、瞬态、设计基准事故和选定的风险重要的设计扩展工况(由运行条件选取确定,见附录) 。)确认特定的人员任务可在符合时间和效能准则的情况下完成,并且人员情境意识水平较高,工作负荷水平可接受(平衡了警觉性和负荷) 。)确认 使人员失误最少化,并确保在失误发生时具有失误识别和恢复的能力。)确认重要人员动作相关的效能假设。例如,属于电厂概率安全评价一部分的人员可靠性分析包含了许多关于风险重要人员动作效能的假设。应对这些假设进行确认,包括关键序列的决策和诊断过程,以及人员操作。应在概率安全评价最终定量化之前完成这项工作。)确认人员在完成其任务时,能有效地在 间(包括规程)进行切换,并且 管理任务(如画面配置、导航)不会造成人员注意力分散或负荷过度。具体的确认目的应基于项目需求,结合实际场景和效能测量准则,采用系统的方法确定。 实施计划应为 实施制定详细计划,明确 的:)目的;)场景信息,包括所采用的场景及其选择依据、与试验计划内容详细程度匹配的场景描述信息;)测试设施及其符合性要求;)参试者和试验人员的资质要求和培训计划;)每个场景特定的效能指标,包括用于判断其“通过”或“不通过”的指标,以及用于对结果深入分析的诊断评价指标;)试验设计(包括场景分配、试验程序、培训安排、预试验等) ;)数据收集手段;)数据分析方法;)识别、记录和传递。 场景选择应通过运行条件选取(见附录) ,从以下多个维度确定最终的场景。)电厂条件:)正常运行;)瞬态和事故;)和 故障。)人员任务:)重要人员动作、系统和事件序列;)保护动作的手动触发;)自动系统监视;)运行经验评审确定的困难任务;)规程指导的任务;)基于知识的任务;)人员认知活动;)人员交互。)人员效能影响因素: 犌犅犜 )高工作负荷;)工作负荷变化;)疲劳;)环境因素。 犐 犛犞试验设施 试验设施是用于实施 评价的 仿真系统。应在实施 试验之前,核实试验设施是否符合所要求的特性。主控制室 应采用全范围模拟机,应对下述特性是否符合要求进行核实。)完整性:试验设施能完全仿真替代集成系统。试验设施应不仅局限于试验场景特别要求的 系统,因为邻近的控制和显示可能影响操纵员对特定 场景所需要的控制和显示的使用方式。)实体逼真度:试验设施的 系统应能以较高的实体逼真度仿真参考设计,包括报警、显示、控制、工作辅助工具、规程、通信设备、界面管理工具、布局和空间关系。)功能逼真度:试验设施的 系统的功能应能以较高的逼真度仿真参考设计,包括 运行模式(即人员选定模式后,可调用的功能发生变化)或电厂状态变化。所有 功能都应可用。)环境逼真度:试验设施的环境应能以较高的逼真度仿真参考设计,包括预期的照明水平、噪声、温度和湿度。例如,暖通系统、计算机和通信设备产生的噪声应在 试验中进行模拟。)数据完整性逼真度:提供给人员的信息和数据应完整展现由该设施监视和控制的电厂系统。)数据内容和呈现逼真度:试验设施的数据内容应能以较高的逼真度仿真参考设计。信息和控制的呈现应基于一个能准确反映参考电厂的基本模型。该模型应能为 提供输入,以便 显示的信息与实际电厂运行时显示的信息准确匹配。)数据动态逼真度:试验设施的数据动态特性应能以较高的逼真度进行仿真。工艺仿真模型应能为 提供输入,以保证信息流和控制响应的准确性以及响应时间的正确性。例如,提供给人员的信息具有与实际电厂相同的时间延迟。对于全范围模拟机无法支持的 ,如重要人员动作相关的或复杂的主控制室外的 系统,如需要及时和准确的人员操作,应使用仿真或实体模型来核实所需的人员效能是否能满足要求。若人员任务重要度低或相关的 复杂度不高,可基于分析来评价人员效能。 参试者 试验参试者选择应满足以下要求。)参与 试验的人员应能代表目标电厂的实际用户,其资质要求应与目标电厂运行资质要求一致。如,主控制室 应采用持证操纵员担任值长、反应堆操纵员和安全工程师,而不是正在受训的待取证运行人员或工程人员。)为正确反映人员差异,应对参试者进行取样。取样应反映样本来源群体的特性。应明确预期会对系统性能变化产生影响的样本特性,取样过程应合理保证 包含了该维度的变化。应明确执照类型和资质、经验,以及一般的人口学特征等因素对样本代表性的影响。)应覆盖最小人员配备水平、正常配备水平和最大配备水平。)为保证结果的可信性,应避免使用以下人员:)设计组织的成员;)参与过相同试验场景的人员;)基于某些特性选择的人员,比如效能良好或经验丰富的班组。 犌犅犜 效能测量 类型 应使用一组有层次的效能指标,包括电厂性能(如功能、系统或设备的性能)和人员效能(如人员任务效能、情境意识、认知负荷,以及人体测量生理因素) 。其目的是为确认集成系统设计提供充分信息,并为评价效能偏差提供基准,从而确定改进需求。应为每个特定的 场景确定适用的效能指标,包括以下方面。)主任务指标。)对于每个场景,应确定完成场景目标必须执行的主任务,以便确定其测量指标。主任务是指电厂人员在监督电厂过程中,行使其功能职责相关的任务,即监视、检查、场景评估、响应计划和响应实施。对主任务的评价应足够详细,从而与任务需求相适应。例如,对一些简单的场景,测量任务完成时间即可满足要求。对于复杂的任务,特别是基于知识的任务,则更适合采用细致的分析,如确定任务的各个组成部分,即查找特定数据、进行决策、采取行动和获取反馈。)为评价人员任务效能,选择的测量指标应能反映对于系统性能存在重要影响的任务因素,如时间、准确性、频率、完成量、资源消耗量、参试者主观反馈、观察员对于行为的分类等。)主任务分析有助于识别疏忽型人员失误(未执行的主要任务) 。此外,应识别和记录参试者偏离了主任务的实际任务操作。这些操作应被用于识别意图型人员失误。)次任务指标:次任务是指电厂人员与 进行交互时必须执行的任务,如在计算机屏幕中利用导航寻找所需画面并对 进行配置。次任务效能指标应能反映 运行时的具体需求,如配置工作站的时间、显示画面间的导航,以及显示画面的操作(如变更显示类型和刻度设置) 。)情境意识指标:情境意识是指电厂人员在任意给定时刻,对电厂参数的感知,对电厂工况的理解,以及对电厂未来状态的预测与其实际状态的符合程度。)工作负荷指标:工作负荷由体力负荷、认知负荷以及其他对电厂人员产生的需求组成。效能指标应体现工作负荷或不同维度工作负荷的影响。)人体测量和生理类指标:人体测量和生理类的因素包括信息的可视性、控制装置的可达性、控制装置的操作便捷性等。这类设计特性大部分已由设计验证进行过评价。因此,应关注仅能通过集成系统试验进行评价的设计特性,如人员在执行任务时有效使用各种控制、显示、工作站或控制台的能力。 特性要求在确定最终采用的效能测量方法前,应对如下特性进行权衡: 效度:一个测量指标应真实表征所要测量的效能因素; 信度:测量应可复现,即同一环境条件下用相同的方法测量同一变量,应得到相同的测量结果; 测量能力:测量范围、灵敏度、数据采样频率应与要被评价的效能维度相适应; 侵入性:测量应尽可能少地改变参试者的心理或生理过程; 客观性:测量应基于易观察到的现象。 准则应为每个测量指标确定特定的准则,用于判断效能是否可接受,并描述其基准。要求、基准、规范、专家判断均可为制定效能指标的基础准则提供参考。 犌犅犜 应明确每个测量指标是通过性准则,即用来决定设计是否可通过确认;还是用于诊断存在的问题诊断性准则,即用于更好地理解人员效能,以便对人员失误和进行分析。 测量和记录应明确获取这些测量数据的方法,如通过模拟机数据记录、参试者调查问卷或观察员的观察记录等。应规定何时获取或记录每个测量指标的数据,如连续获取、在场景中的某个特定时刻或在场景结束后。 试验设计 场景分配应在班组间对场景进行均衡分配,为每个班组提供相似的、有代表性的场景。在 中不宜将场景随机分配给班组。只有参试者班组数量足够大时,随机分配才能有效控制偏差。应平衡不同场景相对于参试者班组的出现顺序,以合理保证场景不会始终以相同的顺序出现。例如,简单的场景不总是最先出现。 试验程序 程序内容应采用详细、清晰的程序指导试验的实施,程序内容应覆盖以下方面。)班组与场景的匹配信息,以及场景出现顺序。)用于参试者的详细说明资料。说明资料的形式和详略程度会对参试者任务完成效能造成影响,应通过一致性的说明资料最小化这一偏差。)为试验人员实施试验场景提供的特别指导,见 。)在模拟机或试验出现问题时,何时和如何与参试者进行交互的指导。即使采用高逼真度的模拟机,参试者仍可能遇到试验环境失真的情况,造成所关注任务的效能降低。应为试验实施者提供处理此类情况的充分指导。)关于何时、如何收集和储存数据的说明,例如:)模拟机;)特殊目的数据采集工具(如情境意识和工作负荷问卷,或生理测量仪器) ;)摄像机(定位和视角) ;)试验人员(如观察员的观察清单) 。)文档要求:)标识和维护试验记录文件,包括班组和场景的详细资料;)收集的数据;)试验实施人员建立的日志;)试验程序应详细说明日志需要记录的信息类型(例如何时进行试验、与试验程序的偏差及偏差产生的原因、对于理解试验进展状态以及解释试验结果重要的任何不寻常的事件) ,程序还应阐述何时记录各种类型的信息。 避免偏差试验程序应尽可能降低试验人员预期偏差或参试者响应偏差产生的可能性。如果试验人员的预期对数据收集产生了系统化的影响,则可能引入偏差。预期可通过许多方式影响效能。例如,试验人员可通过提供细微的线索或通过交流引导参试者,或者他们在评价参试者的效能 犌犅犜 时可能更倾向于反映有利设计的方面,而不是作为客观的观察者。参试者响应偏差是指试验设计本身对参试者数据的获取产生了影响。响应偏差未必意味着参试者的任何意图都不可信。试验环境可能影响参试者,使其无法完成试验目标。响应偏差可能以下列方式出现: 参试者可能希望影响输出结果,因而偏向于使产生的数据与他们所期望的结果相一致; 参试者可能想要给出他们认为试验人员希望获取的数据; 参试者可能试图了解效能如何在不同情况下发生变化,因此使数据与这种变化相一致; 参试者可能想要表现得优秀,因为他们知道自己正在被观察。 培训 试验人员培训对试验人员的培训应关注以下要点: 试验程序的使用和重要性; 未能准确地执行试验程序,或与参试者不恰当的交互,在数据中引入的偏见和错误; 准确记录试验中发现的问题。 参试者培训对参试者培训的要求如下: 对参试者的培训应与电厂人员接受的培训高度相似,培训应合理保证参试者对电厂设计、运行、以及 系统使用的了解与一名有经验的电厂人员相当; 不能对参试者开展专门针对选定 试验场景的培训; 应提供一致的培训,以避免引入偏差; 应使其效能趋于稳定,并在实际的 试验之前进行测试。 预试验应在 试验前进行预试验,以评估试验设计、效能测量和数据收集方法的正确性和充分性。预试验不应使用 试验的参试者。应在正式试验开始前,解决预试验识别出的、对正式试验开展和结果评估有效性有不可接受影响的问题。 数据分析应在试验完成后及时分析数据。数据分析应注意以下方面。)结合定量和定性的方法进行数据分析,建立所观察的效能数据与所建立的效能评价准则之间清晰的关系。)阐述试验数据的分析方法,包括用于判断每个给定场景是否成功的准则。)对相互关联的测量结果的收敛效度进行评价,即预期用于评价同一个效能因素的测量指标之间应具有一致性。例如,如果情境意识通过参试者问卷和观察员打分两种手段测量,结果应具有一致性,否则应确定其原因。)在解释试验结果时,应允许存在一定的误差容限(实际效能的变化可能大于观察到的试验效能) 。)核实数据分析的正确性。这项工作应由原先执行分析工作之外的人员或小组承担,但可来自同一个组织。 犌犅犜 犎犈犇识别、记录和传递以下情况应识别为:)不满足通过性准则;)与诊断性准则存在偏离;)试验人员、参试者的负面反馈和评价。鉴于 的综合性, 识别的可能覆盖 集成系统的某一个组成部分,或是多个组成部分之间的交互。应定义格式化的方法,对识别的进行记录。记录应清晰标明相关的 集成系统组成部分,以及识别为的原因。记录的将传递给解决活动。的分析和纠正属于解决活动,见第 章。 犐 犛犞结论应对 的计划、实施、分析和结论进行记录,特别是 试验的统计和逻辑依据。 结果的详细程度,应能判断集成系统的效能在目前和将来都是可接受的,即确认试验能证明最终设计具备支持电厂安全运行的能力。应在文件中记录 试验的局限性,以及这种局限性可能会对 试验结论和设计实施产生的影响。局限性可能包括:)难以控制的试验特性;)试验场景和真实运行的潜在差异,例如试验不存在电厂效益和安全之间的冲突;)经确认的设计和实际建成的电厂或系统之间的潜在差异,如果 试验是基于差异信息可获取的、实际建造中的电厂,或是基于参考电厂的确认结果的新电厂设计。设计实现 目的设计实现的目的是:)确保在已完成的活动中未涉及的设计特性,在设计实现中全部得到覆盖;)证明最终的电厂与经过的设计是一致的,在实际电厂和工作环境中实现时,不存在非预期的问题。 过程和方法设计实现的过程和方法如下。)识别:)可采用类似于设计验证的方法,基于实际电厂系统对活动中未涉及的设计特性进行评价,识别;)对设计验证、 任务支持验证、 之后存在的变更,以及实际电厂系统、规程、人员配备和培训相对于设计描述级文件出现的偏离进行评价,核实其并未引入新的。)记录和传递:应定义格式化的方法,对识别的进行记录。记录的将传递给解决活动。的分析和纠正属于解决活动,见第 章。)设计实现的关闭:明确设计实现活动关闭条件时,应充分考虑 中目标的实现情况。 犌犅犜 人因偏差解决 目的解决活动负责对活动传递过来的进行分析、跟踪和解决。解决应:)对进行分析和评价,以确定是否需要纠正;)对必须纠正的,确定解决方案;)确保解决方案的完整实现。解决宜与其他活动一起反复进行。 过程和方法 犎犈犇分析在进行分析时,应关注以下方面。)人员任务和功能:对人员任务的影响,以及这些任务所支持的功能。的影响可通过人员功能对于电厂安全的重要性(例如,失败的后果)以及对人员效能的累积效应(例如,损害程度和可能的失误类型)进行判断。)电厂系统:对电厂系统的影响,考虑这些系统的安全重要性、对事故分析的影响,及其与电厂概率安全评价中风险重要序列之间的关系。对电厂安全和人员效能的潜在影响,可部分地通过特定设备相关的电厂系统的安全重要性进行判断。)的累积效应:分析应确定多个对电厂安全和人员效能潜在的累积作用。虽然单个可能没有严重到需要纠正的程度,但多个的组合可能对设计的某一特性产生严重损害电厂安全的作用,从而需要纠正。同样,如果单个电厂系统具有多个相关的,并影响到多个 ,则应分析这些对于电厂系统运行可能的组合效应。)的普遍效应:在解决特定的同时,应确定这一是否意味着存在潜在的普遍问题。例如,若识别出与 某一设计特性(如远距离停堆盘)相关的多个,也可能意味着该设计特性存在其他问题,如设计程序和“样式导则”使用不一致。 人因例外项判定在整个 集成系统的背景下,若某项的技术恰当性能被证明为可接受的,则可判定为人因例外项。技术恰当性的分析包括最新研究文献的结果、当前的实践经验、对多个方案的权衡研究、形成性的评估等。 人因不符合项分级和判定是否需要解决未通过人因例外项判定的定义为人因不符合项。区分人因不符合项优先级时,应分析其对安全、经济性的影响。可针对不同优先级的人因不符合项,制定不同的解决原则。人因不符合项分级原则和示例见附录。 人因不符合项解决方案开发和实施应确定纠正人因不符合项的解决方案,解决方案可涉及 系统(包括规程) 、培训多个方面。在开发和实施解决方案时,不应独立地考虑人因不符合项,而应最大限度地考虑各个人因不符合项之间可能存在的关系和相互影响。例如,如果单个电厂系统的 与多个人因不符合项关联,则解决方案应相互协调,从而提高整体的效能,并避免各个方案之间的冲突。与此类似,如果单个电厂系统与 犌犅犜 多个具有人因不符合项的 关联,则每个解决方案应是相互协调的,使得设计结果更加完善,而不是损害系统的运行。在某项特定的活动中,在识别所有人因不符合项之前,可先开发一部分人因不符合项的解决方案。但前提是在实施解决方案之前,已经考虑了人因不符合项之间的潜在相互影响。 人因不符合项再验证和确认应对解决方案的实施进行评价,以证明该人因不符合项已被解决,并确保未引入新的人因不符合项。通常,该评价过程应使用最初确定该人因不符合项的方法。例如,如果人因不符合项通过设计验证确定,则评价解决方案时应采用相同的验证过程。然而,也可采用其他方法评价解决方案是否满足要求。例如,若通过 某方面的重大变更来同时解决多个人因不符合项,可对最终的 设计进行一次确认,确保变更的最终完整效果是可接受的。 犎犈犇解决的记录应对每个解决的信息进行记录,记录应包括如下信息: 编号; 相关的人员任务和功能、电厂系统; 判定为的原因; 对累积效应、普遍效应的分析; 人因例外项判定依据和结果; 人因不符合项优先级; 要否解决的判定依据和结果。对于判定为需要解决的人因不符合项,还应记录:解决方案、再验证和确认的结果。解决的记录可与人因问题跟踪系统结合。 犎犈犇解决的关闭应核实人因所有活动识别出来的均已被充分考虑和应对,证明所有已被满意地解决后,关闭解决活动。对于在人因中确定不解决的人因不符合项,应妥善记录并传递到运行和维护阶段,供电厂改造考虑。 改进型新电厂的特殊考虑新建核电厂可分为 集成系统全新设计、改进设计两种情况。应为全新设计开展最为完整的人因活动,包括及时、充分的形成性,以及完整的总结性。改进型新电厂设计从的角度,相对参考电厂仅进行了有限的变更或优化,即当前电厂仅是某“标准”电厂的“翻版”项目。若能为当前项目属于改进型新电厂进行论证并提供充分的理由,则可对人因活动进行裁切。设计变更管理是改进型新电厂项目判定的基础,差异分析和变更管理应覆盖 的范围。形成性、设计验证、 任务支持验证、 裁切的程度,取决于: 参考电厂活动的完整性和质量; 变更和优化的范围和程度; 运行经验反馈; 犌犅犜 是否存在新的监管要求; 是否存在新技术发展要求。设计实现、解决与全新设计项目不存在差异。 电厂改造的特殊考虑 改造项的人因风险等级电厂改造项目开展人因的必要性取决于改造是否对人员效能造成了影响。不同改造项目差异较大,应有针对性地开展人因活动。图描述了确定改造项的人因风险分析过程。图改造项的人因风险分析若改造项对人员效能存在影响,则应从电厂安全性、电厂经济性(电厂运行、电厂可靠性和投资保护) 、人员风险三个方面对改造的人因风险进行综合分析。在对这三类风险分别分析的基础上,基于电厂安全风险、经济风险和人员安全风险中的最高等级,可确定改造项初始人因风险等级,如表所示。表改造项初始人因风险等级电厂安全风险经济风险人员安全风险改造项初始人因风险等级高紧急停堆、主要设备损坏、长期停堆存在死亡、严重伤害,或严重的放射性严苛环境暴露风险级人因改造项(高风险)中电厂收益下降或同等的设备损失存在伤害、或放射性严苛环境暴露风险级人因改造项(中等风险)低其他无人员安全影响级人因改造项(低风险)确定改造项的初始人因风险等级后,可根据下列因素进行修正,以确定最终的人因风险等级。)范围: 犌犅犜 )受影响 的数量;)受影响的任务数量;)受影响的人员范围。)复杂性:)被改造 的复杂性,如: 设计特性或设备级的改造,如修改设备标签、替换某一型号的控制器; 系统级的改造,如将新的工艺系统引入主控制室、用替代纸质规程; 整体性改造,如整个主控制室的数字化改造。)受影响任务的复杂性,如: 改变任务执行顺序; 改变任务执行的自动化水平; 改变任务执行时的环境条件。)相关技术的复杂性,如用类替代纸质规程,相对于用类替代纸质规程(分类按照 规定) 。)改造实施的方式,如:)完整的大型改造,以及很多小的改造组成的改造项目;)单次停堆期间的改造,以及多次停堆期间的改造;)同时保留新旧设备的改造(包括新的非功能性 和旧的功能性 并存) ,以及不保留旧设备的改造。)不确定性,如:)改造相关的经验水平,包括行业的和特定电厂组织的;)已有的人因分析和记录的完整性。 电厂改造人因犞牔犞策划可根据改造项目特点确定是否开展形成性活动。总结性可按表进行策划。表改造项人因风险等级与犞牔犞活动活动级人因改造项级人因改造项级人因改造项设计验证 任务支持验证 设计实现解决活动的目标、范围、方法和深度可根据特定周期、特定改造对象特点单独定义,但应在整个改造活动中实施统一的解决活动。对于很多小改造组成改造项目或多周期电厂改造,应确保人因策划的完整性和一致性,为改造中和改造后电厂的安全运行提供合理保障。应充分识别新旧系统并存对人员效能带来的负面影响。应覆盖运行和维修人员在电厂非停堆期间以及停堆期间使用的临时配置,以证实它们从工程和运行角度看都是可接受的。 犌犅犜 电厂改造人因犞牔犞活动 虽然改造项的人因活动与新建核电厂类似,但不同活动也存在特殊的考虑。 设计验证和设计实现的特殊考虑如下:)验证范围可限定于被改造的 系统,以及受改造影响的 系统;)应确保改造项都遵循了一致的原则和 设计导则,从而保证旧系统和新系统之间,以及新系统内的标准化和一致性;)当相似 的旧版和新版同时可用时,应能为两者在显示、操作方式上的协调提供合理保证,以便交替使用它们时,人员效能不会受到影响;)应采用一致的原则对临时配置进行验证,确保临时配置的设计遵循了良好的原则;)应清晰标识非功能状态的 。 任务支持验证的特殊考虑如下。)应核实执行重要人员动作所需的 具有一致性,且是标准化的。)应核实新的系统满足明确的运行需求,并且不对现有系统造成干扰。例如,新 的报警声不应干扰操纵员处理更重要的报警。)若存在未引起 系统改造的电厂系统改造,应关注电厂系统改造是否带来了新的监测和控制需求,并评价现有的 设计是否能满足要求。)若改造同时保留新旧 。)不应要求人员在执行同一任务的不同部分时,既使用旧 又使用新 。)当设备控制可同时由多个不同的 控制器实现时,应对其中的安全问题进行识别和解决。例如,为了避免同时产生控制输入,可为控制同一设备的两个 控制设备增设一个选择开关。)对于改造, 包含了不支持人员任务的信息、显示或控制可能难以避免。被永久禁止但仍保留在原位(如该位置被弃用)的 可能对人员效能产生负面影响(如阻碍了重要信息的查看,或增加影响监视的视觉干扰) ,应对其进行识别和评估。评估可进一步结合其他人因活动。)应验证临时配置对预期任务的支持。)临时配置可包括与最终设计目的不同的 ,以及各自的初始目的以及组合后的预期目的不同的 和系统的配置组合。)对于每个临时 配置来说,应鉴别人员的任务需求,并将其与所提供的信息和控制功能相比较。例如,如果电厂系统的临时配置引入特殊的监控要求,应对所需的 支持进行验证。 的特殊考虑如下。)若电厂模拟机培训已覆盖级人因改造项所涉及的场景,并能为人因评估提供充分保障,可采用培训观察替代 。)若改造同时保留新旧 :)应对并行报警的同时出现对人员效能造成的负面效应进行识别和解决;)若同一信息在新旧系统的显示或指示存在差异,应对其引起的人员效能负面效应进行识别。)若受临时配置影响的人员任务具有较高的风险或重要性, 应覆盖临时配置。临时配置应包括临时规程以及针对临时配置的培训。 识别的特殊考虑如下。 犌犅犜 )除了系统设计者指定的特定功能, 不能实现其他“人员指定的”功能。例如,当一个数字化系统替代现有系统时,确保新系统能实现被替换系统的应用功能非常重要,尽管初始设计并未有意包括这些功能,设计新系统时应对人员实际使用被替代系统的方式进行分析。)与其他 集成性差。)与规程和培训结合性差。 就地区域的特殊考虑 概述为了确保电厂的安全性、可运行性和可维修性,有必要对电厂就地区域开展人因。这不但有助于提升具体设备和系统的人因水平,也能更好地保证全厂范围内 设计的一致性。当电厂人员从某个区域或设备转到另一个区域或设备时, 设计的不一致将大大增加人员失误的可能性。可根据改造项目特点确定是否开展就地人因活动。鉴于就地 的复杂性、任务类型的多样性,以及项目限制条件,应逐一确定就地人因活动采用的方法。方法选择应综合考虑不同的形成性和总结性活动,以及任务分析等其他人因活动的特点和关联。允许对方法进行裁切,如将形成性、 任务支持验证和 进行合并,或采用任务分析替代 任务支持验证。若进行裁切,应论证整个项目依然能为就地 集成系统提供充分的保障。应为就地人因制定策划,保证活动的统一性,并指导具体就地活动的开展。制定策划时,应关注以下方面。 范围:应根据重要性、使用频率、经验反馈、设计差异性等因素,选择关键的系统、设备、任务,明确定义就地人因活动的范围。应覆盖重要人员动作相关的就地 。 用户类型:就地 用户类型广泛。优先考虑负责执行与电厂安全直接有关任务的人员,如现场操作员。按需考虑技术人员、电气维修人员、机械维修人员、辐射防护技术人员、化学技术人员、工程支持等其他类型用户。相关人员的参与,对获得全面、平衡的反馈至关重要。 组织结构和授权:应清晰定义就地人因相关的组织、专业的职责及相互间的接口,应从组织层面保证与解决就地匹配的授权。 流程和里程碑:由于就地区域设计变更相对困难,应定义合理的时间节点和里程碑。例如,电厂布置等特性的人因,应在设计初期就开展。 特殊考虑 犎犛 犐设计导则应核对 设计导则是否满足就地人因的要求,包括以下方面。 导则涵盖就地特有 系统,如阀门、手套箱、人孔、爬梯、移动设备等。 导则指标符合就地人因要求。例如,由于电厂就地运维空间有限、环境条件控制困难,除了提出一个优选、推荐的控制限值,导则宜补充一个“可接受限值” ,该“可接受限值”可能超出其他人因相关导则和标准中规定的首选或通常可接受的限值。 人体尺寸相关导则考虑了就地区域的特点,如百分位范围的选择、服饰修正量等。鉴于就地问题的复杂性,除了详细的“样式导则” ,亦可补充通用的人因原则以保证评估的全面性。 测试设施应对支持就地 物理特性评估的实体模型、三维数字模型进行系统规划,包括范围、精细程度、 犌犅犜 可用时间等。模型的精细程度应与评估目标相匹配,例如评估设备搬运抓握特性时,宜对设备质量也进行模拟。若采用缩小或放大尺寸的模型,应分析其与等比例尺寸设备的差异,是否会对结果有效性造成影响。对于认知交互特性是人员效能主要影响因素的 系统,也应按需提供原型机。必要时,需要对恶劣环境进行模拟。就地可采用数字人体模型或实体人体模型,包括完整的人体模型或局部的人体模型(如手) 。评估时应选择与设计尺寸相关的人体尺寸(集) 。当存在多个人体尺寸耦合时,宜考虑适配率递减的影响。 犎犈犇解决 在判断就地是否需要进行纠正时,需对多种因素进行权衡。例如,对于人体尺寸相关的问题,若操作员为了进行控制或操作而屈膝、跪下或弯腰,或者向上伸手超出其头部,在确定是否需要解决时,可综合分析相关控制操作是否是: 不频繁的; 短时间的; 便于操作员读取标识,以确保操纵员能正确完成任务; 无需精确控制和调节的; 控制器足够大,不需要非常灵巧的操作(如控制器可用手抓握,而不是用手指操作) ; 在控制器附近提供弯腰和工作的空间。 环境条件越宽松,电厂就地区域内偏离要求的 系统和不方便的操作就越可能被接受。若经济代价超过收益,解决方案也可进行适当的妥协。例如,解决可达性问题时,通过设置临时或可移动的访问平台,避免对工艺系统进行设计变更;通过增加轮替人员,缩短工作人员暴露在不舒适环境中的时间长度,将不利环境对人员健康的影响控制在可接受范围内。但对于降低电厂安全、阻碍人员完成任务或使人员有受伤风险的情况是不可接受的。 把商业现货产品集成到已有系统中时: 应对一致性等 人因特性进行评估; 应对是否会导致工作环境或任务执行产生不良变化进行评估; 应对是否需要开发额外规程或进行规程优化进行评估; 应对是否需要额外的培训进或提出人员技能和资质的新要求进行评估; 与 设计导则要求偏离较大,对人员安全和效能、工作环境带来了较大负面影响的产品不应用于核电厂就地区域。 犌犅犜 附录犃(资料性)人机接口清单和特性描述 清单和特性描述属于人因中的支持性活动,其目的是确保收集的资料或所采用的测试设施能体现 系统当前最新有效状态,对设计变更进行有效追踪和管理,保证特定验证或确认活动输入的有效性和规范性。可通过不同的方式开展 清单和特性描述,但应确保采用方法的有效性。一般而言,清单信息应至少包括 系统的范围、完整的基线信息、 系统各组成部分的特性描述。 系统的范围包括待的 系统组成部分,或运行条件选取确定的所有 系统组成部分。完整的基线信息包括唯一的标识码或名称、版本信息、适用的设计变更等信息。对于 系统各组成部分的特性描述,无论依赖于 的哪一类载体,都应确保其准确地反映了 系统的当前状态。特性描述的逼真度取决于具体活动的需求。定义描述 特性所需的最小信息集时,可考虑下列信息。)相关的电厂系统和子系统。)相关的人员功能和任务。) 类型,如:)基于计算机的控制,例如,触摸屏或光标操作的按钮和键盘输入;)硬接线控制,例如,形手柄控制器、按钮和自动控制器;)基于计算机的显示,例如,数字读数和模拟显示;)硬接线显示,例如,刻度盘、表计和带状图记录仪;)就地特有的 ,例如,阀门、手套箱。)显示特性和功能,例如,电厂变量参数、测量单位、变量参数准确度、显示精确度、动态响应和显示格式(如棒状图和趋势图) 。)控制特性和功能,例如,连续与离散的设置、控制模式的数量和类型、准确度、精确度、动态响应和控制方式(输入方式) 。)人机交互和对话类型,例如,导航辅助和菜单。)数据管理系统中的定位信息,例如,信息显示屏幕标识码。) 的物理位置,例如,房间号、控制盘区(若适用) 。 犌犅犜 附录犅(资料性)运行条件选取犅 目标运行条件选取应: 涵盖电厂运行期间可能遇到的典型代表事件; 体现对系统性能变化有预期影响的系统特性; 考虑 设备的安全重要性。这些取样特征可由多维度的取样策略识别,这一最优策略保证了能够覆盖重要维度的变化。运行条件选取将确定一个运行条件范围,用于指导基于任务序列的考虑任务序列特性的形成性、 任务支持验证和 。 将针对主控制室 任务支持验证和 进行描述,即运行条件选取应同时考虑电厂条件、人员任务和人员效能影响因素三个维度。其他活动的运行条件选取可按需要进行裁切,但需清晰描述用于鉴别和选择运行条件的维度,以及它们与场景的结合情况,见 。犅 维度犅 电厂条件电厂运行包括以下方面。)正常运行,例如:)电厂启动;)电厂停堆或换料;)运行功率发生大的变化。)瞬态和事故,例如:)瞬态(例如,汽轮机紧急停机、丧失厂外电源、全厂断电、丧失所有给水、丧失厂用水、主控制室电源或选定母线失去供电,以及安全阀或卸压阀瞬态故障) ;)事故(例如,主蒸汽管道破裂、正反应性引入、功率运行期间控制棒插入、未能紧急停堆的预期瞬态、不同尺寸的冷却剂丧失事故) ;)使用远距离停堆系统实现反应堆停堆或冷却;)由电厂特定的概率安全评价确定的合理的、风险重要的、超设计基准事件。)和 故障,例如:)系统,包括传感器、监视、自动控制和通信子系统(例如,安全有关系统的逻辑和控制单元、容错控制器) ;)设计基准事故期间系统共因故障;) ,包括丧失报警、显示、控制和的处理和显示功能。犅 人员任务犅 重要人员动作、系统和事件序列应包含所有重要人员动作。根据概率安全评价的定义,其他对风险贡献很大的因素也应被覆盖:)占主导地位的事故序列; 犌犅犜 )占主导地位的系统(通过概率安全评价重要性评价识别到的,例如,风险增加因子或风险降低因子) 。犅 保护动作的手动触发:应包含关键安全功能的手动系统级驱动。犅 自动系统监视:应包含人员必须监视风险重要的自动系统的场景。犅 运行经验评审确定的困难任务:应包含在运行经验评审中确定的存在困难的所有人员任务。犅 规程指导的任务包括以下方面。)应包含规程明确定义的任务。)操纵员应能理解和执行规程规定的步骤,这个过程是基于规则的决策活动的一部分。)应包含每类规程中恰当的规程,如:)管理规程;)电厂总体运行规程;)安全有关系统的启动、运行和停止规程;)异常、偏离正常和报警工况规程;)应急和其他重大事件规程(例如,反应堆事故,以及通报应急行动水平) ;)放射性控制规程;)测量和试验设备控制规程、监督试验规程和校准规程;)运行维护规程;)化学和放射性化学控制规程。犅 基于知识的任务包括以下方面。)取样应包含规程未详细规定的任务。)如果规程提供的规则不能完全解决问题,或者未明确该如何选择适当的规则,那么一些场景可能需要基于知识的决策过程。例如,在压水反应堆电厂中,如果电厂二次侧的放射性监测发生故障,那么诊断可能会很困难。这是因为通过二次侧出现放射性来判断,破口没有明显的指示;破口引发的效应(即一次侧和二次侧液位和压力会发生轻微的变化)可能被认为是由其他原因引起。尽管操纵员会使用规程来处理事件症状,但确定事件的起因是就需要开展场景评价,而且这一评价就是基于操纵员对电厂设计和能引起所观察症状的所有可能的故障组合的理解。基于规则的决策中的错误,是由选择了错误的规则或不正确使用规则所致。基于知识的决策中的错误则是由较高层次的认知功能(如判断、计划和分析)错误所致。后者更可能发生在症状与典型事件不相似的复杂故障事件中,因此后者不遵从预先建立的规则。犅 人员认知活动包括以下方面。)检查和监视(如查看关键安全功能是否受到威胁) 。)场景评估(如为诊断电厂工艺过程、自动控制系统和安全系统的故障,对报警和显示画面所做解释) 。)响应计划(如评估恢复电厂故障的可选方案) 。)响应实施(如电厂系统的控制回路中,对自动控制系统采取手动控制,并执行复杂的控制操作) 。)获取反馈(如操作成功的反馈信息) 。犅 人员交互包括以下方面。)应包含由单个人员独立完成的任务。)应包含由团队完成的任务:)主控
温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
提示  人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文
本文标题:GB∕T 41145-2021 核电厂人因验证和确认
链接地址:https://www.renrendoc.com/paper/201667567.html

官方联系方式

网站客服网站客服      侵权投诉侵权投诉
1:下载资料失败解决办法   
2:不支持迅雷下载,请使用浏览器下载   
3:不支持QQ浏览器下载,请用其他浏览器   
4:下载后的文档和图纸-无水印   
5:文档经过压缩,下载后原文更清晰   
点击下载此资源
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

网站客服QQ:2881952447     

copyright@ 2020-2025  renrendoc.com 人人文库版权所有   联系电话:400-852-1180

备案号:蜀ICP备2022000484号-2       经营许可证: 川B2-20220663       公网安备川公网安备: 51019002004831号

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知人人文库网,我们立即给予删除!