李鵬程，戴立操，張 力，，趙 明，胡 鴻

(1.南華大學(xué) 人因研究所，湖南 衡陽 421001；2.湖南工學(xué)院 人因與安全管理研究所，湖南 衡陽 421002;3.中核核電運(yùn)行管理有限公司，浙江 海鹽 314300)

核電廠(NPP)是一種復(fù)雜的高風(fēng)險(xiǎn)系統(tǒng)，由于三哩島和切爾諾貝利事故，人們認(rèn)識(shí)到人-機(jī)交互的重要性，人-機(jī)界面(MMI)對(duì)于人員績(jī)效和核安全至關(guān)重要。盡管花費(fèi)了大量的人力和物力進(jìn)行研究，以提高人-機(jī)界面的設(shè)計(jì)質(zhì)量，但我國(guó)核電廠的人-機(jī)界面設(shè)計(jì)和人-機(jī)交互技術(shù)一直處于發(fā)展的早期階段——學(xué)習(xí)和吸收階段，即“設(shè)計(jì)可用就行”[1]。特別在核電廠主控室數(shù)字化之后，改變了操縱員所處的情境環(huán)境，如果設(shè)計(jì)人員不了解數(shù)字化人-機(jī)界面特征對(duì)操縱員有何不利影響，那么盡管設(shè)計(jì)人員在人-機(jī)界面的設(shè)計(jì)過程中遵循了一般的設(shè)計(jì)原理和參考了一些人因工程(HFE)的設(shè)計(jì)指南，但在設(shè)計(jì)中可能忽視了一些更為深層次的績(jī)效問題，或忽視了操縱員在復(fù)雜人-機(jī)交互中所處的角色等，從而不足以確保通過參考一般的人因工程設(shè)計(jì)指南就能提高人員績(jī)效和保證安全。并且，迄今為止，我國(guó)還沒有發(fā)展出一種成熟的方法和工具來評(píng)價(jià)人-機(jī)界面的有效性，使其設(shè)計(jì)更適合我國(guó)操縱員的認(rèn)知行為特性。

國(guó)內(nèi)外研究人員在人-機(jī)界面評(píng)審或優(yōu)化中進(jìn)行了一些研究。美國(guó)核管會(huì)認(rèn)為人-機(jī)界面設(shè)計(jì)評(píng)審一般包括以下幾個(gè)過程：1) 計(jì)劃；2) 預(yù)先分析；3) MMI設(shè)計(jì)檢查和驗(yàn)證(V&V)；4) 人因工程缺陷的解決，來指導(dǎo)對(duì)人-機(jī)界面的人因工程評(píng)審[2]。文獻(xiàn)[3]從信息顯示、用戶-界面交互和管理、控制、報(bào)警系統(tǒng)、安全功能和參數(shù)監(jiān)控系統(tǒng)、成組-總體顯示系統(tǒng)、軟控制系統(tǒng)、計(jì)算機(jī)化的規(guī)程系統(tǒng)等方面提出了具體的審查項(xiàng)目。文獻(xiàn)[4-6]分別采用訪談方式、人因工程檢查表方式、模擬機(jī)實(shí)驗(yàn)觀察的方法對(duì)先進(jìn)的人-機(jī)界面設(shè)計(jì)進(jìn)行審查。但上述方法難以發(fā)現(xiàn)人-機(jī)界面中誘發(fā)人因失誤的深層次原因，且難以對(duì)成百上千幅畫面進(jìn)行有針對(duì)性的一一審查，這樣會(huì)耗費(fèi)大量人力和物力。因此，為提升數(shù)字化人-機(jī)界面的評(píng)審效率，識(shí)別更深層次的潛在的易誘發(fā)人因失誤或弱化人員績(jī)效的人-機(jī)界面缺陷，本文建立一種基于人因可靠性分析(HRA)方法的人-機(jī)界面評(píng)價(jià)方法，為針對(duì)性地識(shí)別深層次的潛在設(shè)計(jì)問題提供支持。

1 基于HRA的人-機(jī)界面評(píng)價(jià)方法

圖1 基于HRA方法的人-機(jī)界面評(píng)價(jià)技術(shù)

本文建立一種基于HRA的人-機(jī)界面評(píng)價(jià)方法，即HCR+CREAM+HEC(人的認(rèn)知可靠性+認(rèn)知可靠性和失誤分析方法+人因工程檢查表)對(duì)數(shù)字化的人-機(jī)界面進(jìn)行評(píng)價(jià)。評(píng)價(jià)方法的程序示于圖1。

1.1 基于HCR的概率風(fēng)險(xiǎn)評(píng)價(jià)

在像核電廠這樣的復(fù)雜系統(tǒng)中，對(duì)所有風(fēng)險(xiǎn)場(chǎng)景進(jìn)行逐一分析和評(píng)價(jià)是不可能和不現(xiàn)實(shí)的，因此需采用一種篩選原則(如大于某個(gè)失效概率)來選取風(fēng)險(xiǎn)較大的風(fēng)險(xiǎn)場(chǎng)景進(jìn)行詳細(xì)分析。在眾多的HRA方法中，根據(jù)電廠風(fēng)險(xiǎn)場(chǎng)景篩選(風(fēng)險(xiǎn)場(chǎng)景分析的必要性)的需要，一般考慮選取容易操作、可靠性高、成熟度好、對(duì)電廠資源需求少的HRA方法。經(jīng)綜合考慮，HCR方法可滿足上述要求。HCR模型[7]建立在模擬機(jī)數(shù)據(jù)收集基礎(chǔ)上，獲得了操縱員認(rèn)知可靠性數(shù)據(jù)，驗(yàn)證了HCR模型的可用性和可靠性。在對(duì)風(fēng)險(xiǎn)場(chǎng)景定量計(jì)算時(shí)，只需知道與時(shí)間相關(guān)的參數(shù)和人員行為的類型就可計(jì)算出風(fēng)險(xiǎn)場(chǎng)景的概率。該方法容易操作，對(duì)電廠資源需求少，故使用最少的人力和物力滿足風(fēng)險(xiǎn)場(chǎng)景的篩選要求。

HCR模型主要基于以下假設(shè)：1) 基于Rasmussen的三級(jí)行為模型，依據(jù)是否為例行工作、規(guī)程書情況和培訓(xùn)程度等，將系統(tǒng)中所有人員動(dòng)作的行為類型分為技能型、規(guī)則型和知識(shí)型3種；2) 認(rèn)為每一種行為類型的失誤概率取決于允許操縱員完成任務(wù)的可用時(shí)間t和操縱員完成任務(wù)的中值響應(yīng)時(shí)間T1/2之比，且遵從三參數(shù)的威布爾分布。

根據(jù)上述假設(shè)，基于三參數(shù)的威布爾分布函數(shù)，構(gòu)建操縱員在時(shí)間t的響應(yīng)失誤概率模型：

(1)

式中：α為尺度參數(shù)(特征響應(yīng)時(shí))；β為形狀參數(shù)；γ為位置參數(shù)(最小響應(yīng)時(shí))；P(t)為人員的不響應(yīng)概率。α、β、γ的選取詳見文獻(xiàn)[7]。

由于每個(gè)運(yùn)行班組的執(zhí)行時(shí)間可能因各類情況而有所不同，故在使用公式之前需進(jìn)行修正。在HCR模型中所考慮的關(guān)鍵的行為修正因子有訓(xùn)練(K1)、心理壓力(K2)及人-機(jī)界面(K3)，用公式表示如下：

T1/2=T1/2,n(1+K1)(1+K2)(1+K3)

(2)

式中，T1/2，n為一般狀況(如模擬機(jī)訓(xùn)練)的執(zhí)行時(shí)間。K1、K2、K3的選取詳見文獻(xiàn)[7]。

因此，在實(shí)際應(yīng)用中，只要給定任務(wù)的類型和任務(wù)的可用時(shí)間、操縱員完成任務(wù)的中值響應(yīng)時(shí)間，即可求出人員的不響應(yīng)失誤概率。文獻(xiàn)[8]對(duì)核電廠操縱員的認(rèn)知可靠性模型進(jìn)行了改進(jìn)和實(shí)驗(yàn)研究，認(rèn)為采用二參數(shù)威布爾分布來計(jì)算操縱員的認(rèn)知可靠性也是合理的，但考慮到不同的事故場(chǎng)景，其尺度和形狀參數(shù)取值不同，且缺乏足夠的實(shí)驗(yàn)來獲取不同事故場(chǎng)景的尺度和形狀參數(shù)，故在此不再選用二參數(shù)威布爾的理論模型來進(jìn)行分析。

1.2 基于CREAM方法的人因失誤辨識(shí)

核電廠日益由傳統(tǒng)的模擬控制系統(tǒng)逐漸轉(zhuǎn)變?yōu)閿?shù)字化的控制系統(tǒng)，為此，在先進(jìn)的數(shù)字化控制系統(tǒng)中，操縱員角色由人工操作轉(zhuǎn)變?yōu)楸O(jiān)控、決策和管理者，且操縱員的任務(wù)更多地表現(xiàn)為認(rèn)知任務(wù)，任務(wù)的執(zhí)行是通過一系列的認(rèn)知行為來完成的，如監(jiān)控/發(fā)覺、狀態(tài)評(píng)估、響應(yīng)計(jì)劃和行為執(zhí)行。從人因失誤辨識(shí)來看，文獻(xiàn)[9]對(duì)人因失誤的識(shí)別缺乏系統(tǒng)性分析框架，過度強(qiáng)調(diào)定量分析，從而忽略了定性分析。文獻(xiàn)[10]對(duì)數(shù)字化控制系統(tǒng)中可用的HRA進(jìn)行了分析，指出CREAM方法相比其他方法提供了一個(gè)系統(tǒng)化的框架和具體的行為分類系統(tǒng)來分析和預(yù)測(cè)人因失誤，對(duì)人因失誤辨識(shí)而言是最好的選擇。同樣，文獻(xiàn)[11]對(duì)可用于人-機(jī)界面評(píng)價(jià)的HRA進(jìn)行了比較分析，認(rèn)為CREAM方法是可用來進(jìn)行人-機(jī)界面評(píng)價(jià)的最有前途的方法，因?yàn)镃REAM方法不僅考慮了認(rèn)知失誤，且充分考慮了影響人因失誤的情境環(huán)境等。因此，從人因失誤辨識(shí)的目的或視角看，選用CREAM方法能滿足人因失誤分析的要求，可針對(duì)風(fēng)險(xiǎn)大的場(chǎng)景采用CREAM方法進(jìn)行具體的任務(wù)和行為分析，識(shí)別出關(guān)鍵的人因失誤。

CREAM方法[12]的基本操作步驟如下。

1) 通過層次任務(wù)分析，構(gòu)建事件序列。針對(duì)復(fù)雜人-機(jī)系統(tǒng)中的操作或維修等某類具體工作，利用層次任務(wù)分析(HTA)構(gòu)建任務(wù)或子任務(wù)序列，獲得具體工作的任務(wù)結(jié)構(gòu)。

2) 分析情境環(huán)境。由于情境影響因素繁多，CREAM方法考慮到低交叉性和實(shí)用性，選擇9種主要影響因素——共同行為條件(CPC)作為分析對(duì)象，識(shí)別各因素所處的狀態(tài)等級(jí)。

3) 確定認(rèn)知行為。每個(gè)基本任務(wù)單元均需某種具體的人的認(rèn)知行為。認(rèn)知行為的確定有利于確定具體任務(wù)所需的認(rèn)知功能，人們?cè)趯?shí)踐中表現(xiàn)的主要認(rèn)知行為有協(xié)調(diào)、交流、比較、診斷、評(píng)估、執(zhí)行、識(shí)別、維持、監(jiān)控、觀察、計(jì)劃、記錄、調(diào)節(jié)、掃描和核實(shí)。

4) 確定認(rèn)知功能及人因失誤模式。在確定基本任務(wù)單元的認(rèn)知行為后，就可能確定認(rèn)知失誤模式，對(duì)應(yīng)于人的認(rèn)知功能失效。認(rèn)知行為與4個(gè)認(rèn)知功能(觀察、解釋、計(jì)劃和執(zhí)行)的關(guān)系詳見文獻(xiàn)[12]。根據(jù)認(rèn)知行為所需的認(rèn)知功能確定可能的認(rèn)知失效模式，基本的認(rèn)知失效模式列于表1。

表1 一般的認(rèn)知功能失效模式

5) 確定失誤模式概率。CREAM方法根據(jù)數(shù)據(jù)庫收集的資料和專家判斷建立了與失誤模式相對(duì)應(yīng)的基本失誤概率(表1)。通過預(yù)測(cè)可能的失誤模式得到其基本失誤概率。

6) 考慮CPC影響權(quán)重，對(duì)基本失誤概率進(jìn)行修訂。每個(gè)CPC對(duì)認(rèn)知功能的影響權(quán)重參考文獻(xiàn)[12]，對(duì)人的行為沒有影響的因素定權(quán)重為1，基于此對(duì)基本失誤概率進(jìn)行修正，確定每個(gè)CPC等級(jí)對(duì)認(rèn)知功能的影響，最后采用連乘的形式對(duì)基本的失誤概率進(jìn)行修正，得到修正后的失誤模式概率。從而可對(duì)人因失誤概率進(jìn)行比較，識(shí)別優(yōu)先性，確定關(guān)鍵的人因失誤或任務(wù)。

1.3 基于HEC方法的人-機(jī)界面評(píng)審

針對(duì)CREAM方法識(shí)別出的關(guān)鍵的人因失誤或任務(wù)，找到誘發(fā)人因失誤的情境環(huán)境因素。但是CREAM方法考慮的CPC因子比較抽象，具體的影響因子或設(shè)計(jì)缺陷還需進(jìn)一步審查，才能發(fā)現(xiàn)更多、更為具體的人-機(jī)界面設(shè)計(jì)中的人因工程缺陷。而HEC方法能發(fā)現(xiàn)更多潛在的不利的人-機(jī)界面問題。文獻(xiàn)[5]也認(rèn)為使用HEC方法能提供設(shè)計(jì)的檢查標(biāo)準(zhǔn)，能快速檢測(cè)出設(shè)計(jì)中的人因工程缺限。因此，使用HEC方法能夠?qū)θ?機(jī)界面設(shè)計(jì)中的具體的、深層次問題進(jìn)行識(shí)別，且設(shè)計(jì)一個(gè)系統(tǒng)化的人因工程檢查表對(duì)檢查具體的、深層次的問題至關(guān)重要。

本文以提高操縱員的績(jī)效為目的，使操縱員產(chǎn)生的人因失誤最小化，使操縱員能易于搜索信息，對(duì)信息易于識(shí)別與理解、易于操作。根據(jù)數(shù)字化人-機(jī)界面的特征，結(jié)合人因工程的基本設(shè)計(jì)原理、人-機(jī)界面設(shè)計(jì)評(píng)審指南及界面設(shè)計(jì)指南[2，3，13]分別對(duì)數(shù)字化后人-機(jī)界面的顯著變化特征設(shè)計(jì)人因工程審查表，主要包括信息顯示方面、數(shù)字化規(guī)程方面、軟控制方面、界面管理方面、報(bào)警方面建立比較全面系統(tǒng)的人因工程檢查表，利用人因工程檢查表結(jié)合操縱員的調(diào)查和訪談對(duì)關(guān)鍵的人因失誤及任務(wù)所涉及的人-機(jī)界面進(jìn)行一一審查，識(shí)別人-機(jī)界面設(shè)計(jì)的缺陷，并提出一些改進(jìn)的建議。

2 應(yīng)用實(shí)例分析

2.1 風(fēng)險(xiǎn)場(chǎng)景概率分析

以核電廠數(shù)字化控制系統(tǒng)中誤安注為例，在誤安注場(chǎng)景下，分析操縱班組的不響應(yīng)概率。根據(jù)式(1)可知，需評(píng)估操縱員執(zhí)行的行為類型、操縱員完成任務(wù)的可用時(shí)間與實(shí)際完成任務(wù)的中值時(shí)間及HCR模型的行為形成因子，調(diào)查結(jié)果列于表2。

將K1、K2、K3代入式(2)可得T1/2=18.432 min。將α=0.601、β=0.9、γ=0.6、t=20 min、T1/2=18.432 min代入式(1)可得操縱員的不響應(yīng)概率P(t)=0.438 4。

從分析結(jié)果看，誤安注情況下操縱員的行為不響應(yīng)概率非常高，因此，有必要對(duì)誤安注場(chǎng)景下的人-機(jī)界面進(jìn)行優(yōu)化。

2.2 關(guān)鍵人因失誤辨識(shí)

誤安注場(chǎng)景下，一回路操縱員按照DOS規(guī)程操作。以DOS規(guī)程第1頁MOP單——PRE-ACT中一回路操縱員行為為例，介紹該方法在人因失誤識(shí)別中的具體應(yīng)用。

1) 通過層次任務(wù)分析，構(gòu)建事件序列

根據(jù)DOS規(guī)程中PRE-ACT的MOP單和誤安注工況條件下操縱員所進(jìn)行的操作行為，通過分析可知PRE-ACT任務(wù)共包括9個(gè)子任務(wù)。PRE-ACT操作MOP單的HTA框圖示于圖2。

2) 確認(rèn)具體行為/活動(dòng)的認(rèn)知行為需求

根據(jù)CREAM方法中的15類行為分類、其具體描述及PRE-ACT中具體行為的描述，得到具體行為所對(duì)應(yīng)的主要的認(rèn)知行為，分析結(jié)果列于表3。

表2 收集和評(píng)估得到的數(shù)據(jù)

圖2 PRE-ACT操作MOP單的HTA框圖

表3 PRE-ACT中人因失誤分析和量化結(jié)果

3) 確定認(rèn)知功能失效

確定具體認(rèn)知行為后，根據(jù)CREAM方法中的認(rèn)知行為與認(rèn)知功能間的對(duì)應(yīng)關(guān)系，可識(shí)別出相應(yīng)的認(rèn)知功能。進(jìn)而根據(jù)情境環(huán)境的評(píng)價(jià)及表1中基本的認(rèn)知功能失效分類，評(píng)估出最有可能的認(rèn)知功能失效模式。

4) 確定失誤概率

根據(jù)表1可得到基本的失誤概率，如E3對(duì)應(yīng)的基本失誤概率為5×10-4。然后考慮CPC影響權(quán)重，對(duì)基本失誤概率進(jìn)行修正，然后確定子任務(wù)的失誤概率。PRE-ACT中基本失誤概率的修正結(jié)果列于表3。

通過上述分析可知，在該事件樹中，關(guān)鍵的人因失誤依次是“I3解釋延遲”和“O2錯(cuò)誤辨識(shí)”等，關(guān)鍵的任務(wù)排序依次是“REA503KA報(bào)警出現(xiàn)？”、“REA404KA報(bào)警出現(xiàn)？”、“在此過程中是否有化學(xué)物質(zhì)的注入”等。從而可重點(diǎn)針對(duì)這些關(guān)鍵的或重要的人因失誤或任務(wù)進(jìn)行分析，對(duì)由人-機(jī)界面誘發(fā)的人因失誤進(jìn)行重點(diǎn)審查，節(jié)省資源，做到有的放矢。

2.3 基于建立的HEC對(duì)人-機(jī)界面進(jìn)行評(píng)價(jià)

針對(duì)PRE-ACT事件樹中的任務(wù)的人因工程審查和關(guān)鍵人因失誤列于表4、5。其余的誤安注事件樹中關(guān)鍵的人因失誤/任務(wù)審查由于篇幅所限不再給出。

表4 針對(duì)具體任務(wù)的人因工程審查

表5 PRE-ACT中關(guān)鍵的人因失誤/任務(wù)所涉及畫面的整體審查

3 結(jié)束語

我國(guó)在建核電廠和傳統(tǒng)基于模擬控制系統(tǒng)的核電廠的更新基本采用數(shù)字化控制系統(tǒng)，當(dāng)前數(shù)字化人-機(jī)界面設(shè)計(jì)存在諸多不足，且缺乏有效的評(píng)價(jià)方法。因此，本文從提高操縱員績(jī)效和可靠性視角出發(fā)，建立了一種綜合性的基于HRA的人-機(jī)界面評(píng)價(jià)方法(HCR+CREAM+HEC)，以期彌補(bǔ)這方面的不足。實(shí)例分析表明，該方法不僅能有效識(shí)別數(shù)字化MMI中存在的影響人員績(jī)效的設(shè)計(jì)缺陷，且能通過風(fēng)險(xiǎn)場(chǎng)景評(píng)價(jià)、關(guān)鍵人因失誤辨識(shí)等篩選工作，有針對(duì)性地對(duì)關(guān)鍵人-機(jī)界面進(jìn)行評(píng)審，做到有的放矢，節(jié)省大量的人力、物力和成本。該方法可從理論上為人-機(jī)界面的進(jìn)一步評(píng)價(jià)和再設(shè)計(jì)提供系統(tǒng)性的方法指導(dǎo)，從實(shí)踐上為人-機(jī)界面的修訂和優(yōu)化提供決策支持。因此，基于HRA方法對(duì)MMI進(jìn)行評(píng)價(jià)使評(píng)價(jià)結(jié)果更為可靠且有針對(duì)性，并具有廣泛的應(yīng)用前景和實(shí)際意義。

參考文獻(xiàn)：

[1] CHEN Xiaoming, ZHOU Zhiwei, GAO Zuying et al. Assessment of human-manchine interface design for a Chinese nuclear power plant[J]. Reliability Engineering & System Safety, 2005, 87: 37-44.

[2] NRC. Human-system interface design review guideline, NUREG-0700, Rev.1[R]. US: NRC, 1995.

[3] NRC. Human-system interface design review guidelines, NUREG-0700, Rev.2[R]. US: NRC, 2002.

[4] HWANG Sheueling, MAXLIANG Sheaufarn, YEHLIU Tzuyi, et al. Evaluation of human factors in interface design in main control rooms[J]. Nuclear Engineering and Design, 2009, 239(12): 3 069-3 075.

[5] JOU Yungtsan, JOELIN Chiuhsiang, YENN Tzuchung, et al. The implementation of a human factors engineering checklist for human-system interfaces upgrade in nuclear power plants[J]. Safety Science, 2009, 47(7): 1 016-1 025.

[6] CARVALHO P V R, dos SANTOS I L, GOMES J O, et al. Human factors approach for evaluation and redesign of human-system interfaces of a nuclear power plant simulator[J]. Displays, 2008, 29(3): 273-284.

[7] HANNAMAN G W, SPURGIN A J, LUKIC Y D. Human cognitive reliability model for PRA analysis, NUS-4531[R]. California: NUS Corporation, 1984.

[8] 方向，趙炳全. 核電廠操縱員認(rèn)知可靠性研究模型的選擇與實(shí)驗(yàn)[J]. 核科學(xué)與工程，2000，20(1)：18-24.

FANG Xiang, ZHAO Bingquan. Theory model and experiment research about the cognition reliability of nuclear power plant operators[J]. Chinese Journal of Nuclear Science and Engineering, 2000, 20(1): 18-24(in Chinese).

[9] SWAIN A D, GUTTMANN H E. Handbook for human reliability analysis with emphasis on nuclear power plants application, NUREG/CR-1278 (SAND80-0200)[R]. US: NRC, 1983.

[10] SEONG Poonghyun. Reliability and risk issues in large scale safety-critical digital control systems[M]. London: SpringerLink, 2008.

[11] KIM I S. Human reliability analysis in the man-machine interface design review[J]. Annals of Nuclear Energy, 2001, 28: 1 069-1 081.

[12] HOLLNAGEL E. Cognitive reliability and error analysis method[M].Oxford, UK: Elsevier Science Ltd., 1998.

[13] EPRI. Human factors guidance for control room and digital human-system interface design and modification[R]. Washington D. C.: EPRI, 2004.