王秋雨，宋 霏，蒲曉彬，羅敬平

(1.上海核工程研究設(shè)計院有限公司，上海 200233；2.中核核電運行管理有限公司，浙江 海鹽 314300)

0 引言

美國核管會(United States nuclear regulatory commission,U.S.NRC)出版物NUREG-0711提出了核電廠人因工程(human factors engineering,HFE)的系統(tǒng)性方法，并將其劃分為12個HFE要素。HFE驗證和確認(verification and validation,V&V)是NUREG-0711中定義的核電廠HFE要素之一。任務(wù)支持驗證(task support verification,TSV)則是HFE V&V要素的一個重要組成部分。TSV關(guān)注支持任務(wù)需求所需物項的可用性，即確保人機接口(human system interface,HSI)設(shè)計能夠提供人員執(zhí)行任務(wù)所必需的報警、信息、控制和任務(wù)支持[1]。NUREG-0711中的系統(tǒng)性人因工程方法以及TSV方法已被廣泛應(yīng)用于新建核電廠項目中，并逐漸成為行業(yè)內(nèi)的通用要求。

然而，對于涉及人因工程或人機接口的電廠改造項目，由于沒有特別要求實施與新建項目一樣的系統(tǒng)性人因工程方法，各個改造項目在實施過程中對人因工程方法應(yīng)用的差異較大，沒有形成公認的要求或行業(yè)慣例。對于TSV，一方面較缺乏將其應(yīng)用于電廠改造項目的經(jīng)驗；另一方面，目前公開的標(biāo)準(zhǔn)和文獻對于電廠改造項目TSV方法的論述也較少。雖然NUREG-0711提供了針對改造項目TSV的額外考慮，但其指導(dǎo)也較為粗略。盡管改造項目TSV與新建項目TSV在本質(zhì)目標(biāo)和總體方法上大體一致，但由于兩者的關(guān)注點不同，在TSV的驗證范圍、實施過程和評價準(zhǔn)則等方面仍存在一定差異，即原有的方法無法完全適用于改造項目[2]。因此，在實施過程中存在不少需要解決的問題和難點。

綜上所述，有必要建立一套適用于核電廠改造項目的TSV方法。

秦山核電廠320 MW壓水堆核電機組(秦山一期)控制室整體改造項目，是我國第一個核電廠控制室整體改造項目。在控制室改造的整個周期內(nèi)，采用了系統(tǒng)性的人因工程方法。其中包括實施了適用于電廠改造項目的TSV方法。本文所論述的是一種在秦山一期控制室整體改造項目中應(yīng)用的TSV方法。它是以改造變更項為核心，圍繞變更項對人機交互的影響進行分析和驗證的方法。實踐證明，這一方法能夠很好地適用于電廠改造項目，且具有通用性，可推廣至其他電廠改造項目中。

1 HFE V&V和TSV簡介

1.1 HFE V&V

HFE V&V用于評價核電廠設(shè)計是否符合HFE設(shè)計準(zhǔn)則，并使電廠人員能夠成功完成他們的任務(wù)，以達到安全和其他運行目的。V&V要素由四個主要活動組成：運行條件取樣、設(shè)計驗證、集成系統(tǒng)確認(incegrated system validation,ISV)、人因工程偏差(human factor engincering deviation,HED)解決。

V&V活動概貌如圖1所示。

圖1 V&V活動概貌

作為HFE V&V的先決條件，運行條件取樣的開展十分重要。電廠評審涉及成百上千個獨立的HSI部件，沒有必要也不可能對每個HSI部件都進行評估。運行條件取樣利用一種取樣策略來指導(dǎo)要評審的HSI選擇。

V&V評審涉及兩種類型的設(shè)計驗證：HSI任務(wù)支持驗證和HFE設(shè)計驗證。前者是核實HSI是否支持任務(wù)分析所確定的任務(wù)需求。后者是核實HSI的設(shè)計是否能夠適應(yīng)HFE導(dǎo)則所反映的人的能力和局限性。

集成系統(tǒng)確認采用基于效能的試驗來評價集成系統(tǒng)的設(shè)計(即硬件、軟件和人員各要素)是否滿足效能要求，并能夠支持電廠的安全運行。

HED合理地保證了在V&V活動中確認的HED已經(jīng)得到了令人滿意的評估和解決。HED解決應(yīng)與V&V一起反復(fù)進行。也就是說，可以在實施其他V&V活動之前，處理和解決在前一個V&V活動中發(fā)現(xiàn)的問題。

1.2 TSV

如1.1節(jié)所述，TSV關(guān)注支持任務(wù)需求所需的物項可用性。其驗證目標(biāo)是確保HSI設(shè)計能夠提供人員執(zhí)行任務(wù)必需的報警、信息、控制和任務(wù)支持。

TSV的驗證范圍由運行條件取樣決定，取樣準(zhǔn)則考慮了對電廠工況、重要和典型的人員任務(wù)以及影響人員效能的情境因素的覆蓋性。取樣的結(jié)果確定了TSV需要驗證的任務(wù)情境。

TSV的驗證過程是將HSI及其特性(基于設(shè)計文件、實體模型、工程樣機、模擬機或安裝的目標(biāo)系統(tǒng)確定)與任務(wù)需求(基于任務(wù)分析或運行規(guī)程確定)進行比較。當(dāng)出現(xiàn)如下情況時，申請者應(yīng)對HED進行識別和記錄。

①執(zhí)行任務(wù)所需的某個HSI(某個必需的控制或顯示)不可用。

②HSI特性與人員任務(wù)需求不匹配(例如，顯示畫面給出了需要的電廠參數(shù)，但不滿足任務(wù)所需的參數(shù)范圍或精度)。

TSV驗證過程如圖2所示。

圖2 TSV驗證過程示意圖

2 適用于核電廠改造項目的TSV方法研究

2.1 電廠改造與新建電廠TSV的差異

如前文所述，電廠改造項目與新建電廠項目TSV在本質(zhì)目標(biāo)和總體方法上大體一致，但由于兩者的關(guān)注點不同而存在一定差異。具體而言，兩者的主要差異點如下[3-6]。

①驗證范圍。

對于新建電廠，TSV關(guān)注的是控制室內(nèi)所有的人機接口和典型運行任務(wù)；對于電廠改造，TSV關(guān)注的是控制室內(nèi)發(fā)生變更的人機接口或因為改造造成的任務(wù)需求變化。因此，兩者在驗證范圍上存在較大的差異。

②實施過程。

為確定電廠改造項目中TSV的驗證范圍，需要進行改造差異分析，確定改造變更項是否可能對人機交互產(chǎn)生影響、影響程度、影響范圍，從而便于開展后續(xù)的分析工作。因此，在流程上，相對于原有的TSV，增加了變更分析的步驟，且整個TSV活動都需圍繞變更分析的結(jié)果開展。

③評價準(zhǔn)則。

對于新建電廠，TSV關(guān)注的是人機接口及其特性是否能夠滿足操縱員的任務(wù)需求，以及是否需建立絕對準(zhǔn)則。對于電廠改造，除建立絕對準(zhǔn)則外，還需要對改造前后人機接口對任務(wù)的支持程度進行比較，從而評價改造的效果，即建立相對準(zhǔn)則。

由于存在上述這些方面的差異，有必要對原有的TSV方法進行調(diào)整，使其適用于電廠改造項目。

2.2 總體框架

電廠改造項目的TSV過程大致可歸納為如下三個步驟。

①改造差異分析。

與新建電廠相比，改造項目TSV在過程前期增加了改造差異分析的過程，用于確定受改造變更項影響的人機交互任務(wù)，進而為確定TSV的驗證范圍提供輸入。這里所說的受改造變更項影響的任務(wù)不僅包括直接與人機接口變更相關(guān)的任務(wù)，還包括因電廠其他系統(tǒng)改造而導(dǎo)致任務(wù)需求發(fā)生變化的任務(wù)(例如因泵的改造導(dǎo)致其操作方式發(fā)生變化)[3-4]。

②情境確定。

情境確定與新建電廠TSV中的運行條件取樣的作用類似。對于改造項目，TSV的情境基于改造差異分析的結(jié)果確定。情境的選擇需要覆蓋受改造影響的典型任務(wù)。如果多個改造變更項所影響的任務(wù)相同或相關(guān)，則可以用同一個情境覆蓋。

針對電廠改造項目的TSV過程如圖3所示。

圖3 電廠改造項目TSV過程示意圖

③驗證和評價過程。

為比較改造前后執(zhí)行任務(wù)的差異，改造項目TSV除了將任務(wù)需求與HSI清單和特性進行比較外，還增加了與原有任務(wù)的比較環(huán)節(jié)，從而對改造結(jié)果進行定性評價。當(dāng)評價結(jié)果為改造后變優(yōu)或相當(dāng)時，被認為直接可接受；當(dāng)評價結(jié)果為改造后變差時，還需要根據(jù)改造綜合效應(yīng)的分析結(jié)果確定其是否可接受。由于一些改造變更項可能使得部分任務(wù)的執(zhí)行變優(yōu)、部分任務(wù)的執(zhí)行變差，為了評價總體上改造的優(yōu)劣，改造綜合效應(yīng)分析以單個改造變更項為單位，對受該變更項影響的所有任務(wù)進行綜合分析，從而得到綜合的評價結(jié)果。當(dāng)綜合評價結(jié)果為改造后變差時，該改造變更項才被認為不可接受，進入偏差解決過程。

2.3 實施方法和過程

2.3.1 改造差異分析

改造差異分析是改造項目TSV的重要輸入之一，同時也是開展諸如改造相關(guān)規(guī)程修訂、專項培訓(xùn)和ISV的重要輸入之一。項目團隊需要在項目早期就建立改造變更項清單，并在項目的整個執(zhí)行過程中對該清單進行維護。改造差異分析基于改造變更項清單，確定每個變更項對人機交互的影響程度和受影響的具體任務(wù)。

改造變更項對人機交互影響程度的分析過程如圖4所示。這一過程將所有改造變更項分為三類，即無影響、有較小影響和有較大影響。

圖4 改造變更項對人機交互影響程度的分析過程

其中，對人機交互無影響較易直接判斷，因此沒有設(shè)置更詳細的判斷準(zhǔn)則；而對人機交互有較小和較大影響，則通過如下三條準(zhǔn)則進行判斷。

①是否涉及重要人員動作。

重要人員動作是指通過確定論或概率論分析方法識別的、對于電廠安全或總體風(fēng)險較重要的人員任務(wù)。從對電廠安全的影響程度來看，涉及重要人員動作的改造變更項顯然具有較高的重要程度。因此，無論這些改造變更項的變更程度如何，都將其歸類為有較大影響。

②信息組織、呈現(xiàn)形式或操作方式是否有較大變化。

此處的“較大變化”是指子系統(tǒng)級以上的HSI變更，例如某個HSI子系統(tǒng)的數(shù)字化改造、某個盤面的整體遷移或重新布局等；“較小變化”是指設(shè)備級的HSI變更，例如某個設(shè)備的換型等。

③任務(wù)需求是否有較大變化。

此處的“較大變化”是指子系統(tǒng)級的任務(wù)需求變更，例如某個工藝系統(tǒng)改造導(dǎo)致的任務(wù)需求變化等?！拜^小變化”是指設(shè)備級的任務(wù)需求變更，例如某個泵的控制方式的改變等。

上述關(guān)于改造變更項對人機交互影響程度的評價結(jié)果決定了每個改造變更項所需執(zhí)行的分析、驗證和確認過程，如圖5所示。對于TSV，其驗證范圍是所有對人機交互有影響的改造變更項。

完成變更項對人機交互的影響分析后，分析人員還應(yīng)識別出受每個變更項影響的具體任務(wù)。這里的任務(wù)指的是直接受變更項影響的監(jiān)視或控制操作的最小集合，而不應(yīng)代入任何背景或情境信息，或考慮其他關(guān)聯(lián)任務(wù)。例如，對于柴油機輔助給水泵去蒸發(fā)器流量調(diào)節(jié)閥1E級手操器由撥盤定值方式換型為按鍵定值方式的變更項，識別到的受影響任務(wù)是柴油機輔助給水泵去蒸發(fā)器的流量調(diào)節(jié)任務(wù)。雖然這一任務(wù)可能在各種不同的工況下執(zhí)行，但在改造差異分析階段，并不需要明確任務(wù)的執(zhí)行背景和情境信息。

圖5 不同變更項適用的分析、驗證和確認過程

2.3.2 情境確定

由變更項至TSV情境的演化過程示例如圖6所示。

圖6 由變更項至TSV情境的演化過程示例

根據(jù)2.3.1節(jié)所述，改造差異分析識別了受每個變更項影響的具體任務(wù)。但這些任務(wù)是孤立的，是直接受變更項影響的監(jiān)視或控制操作的最小集合。然而，TSV必須考慮任務(wù)的執(zhí)行背景和前后關(guān)聯(lián)性，因此，應(yīng)為每個任務(wù)賦予一個或多個典型情境。情境的選取不必覆蓋所有需要執(zhí)行某個特定任務(wù)的工況，但應(yīng)至少覆蓋有較大可能性執(zhí)行該任務(wù)的一個代表性工況。

當(dāng)某個任務(wù)在多種工況下的執(zhí)行方式有較大差異時，還應(yīng)考慮是否為其賦予多個典型情境。此外，對于具有一定相關(guān)性的多個任務(wù)，允許用同一個典型情境覆蓋。

在總體上，情境的選取還應(yīng)考慮到對于電廠各類工況覆蓋性的適當(dāng)平衡。例如，需適當(dāng)覆蓋電廠正常運行、故障或異常以及事故等情境類型。

2.3.3 驗證和評價過程

驗證和評價過程的目的是評價改造變更項是否可接受，并形成偏差列表和驗證報告。TSV的驗證和評價過程分為以下步驟。

(1)任務(wù)需求與HSI清單和特性的比較。

這一步驟用于確定改造后的任務(wù)是否可以順利完成，HSI和規(guī)程是否對任務(wù)提供了足夠的支持，屬于絕對準(zhǔn)則。在這一步驟中，可能被識別到的偏差項如下。

①人機接口問題：執(zhí)行任務(wù)所需的某個HSI(某個必需的報警、信息、控制)不可用；HSI特性與人員任務(wù)需求不匹配(例如，不滿足任務(wù)所需的參數(shù)范圍或精度[7])。

②運行規(guī)程問題：規(guī)程描述與設(shè)備標(biāo)識不一致；規(guī)程描述不清晰或不準(zhǔn)確；規(guī)程未按照改造后的人機接口進行適應(yīng)性修改。

此外，為提高問題檢出率和分析標(biāo)準(zhǔn)化程度，本項目采用了詳細的輔助檢查表，幫助分析人員識別問題。

(2)現(xiàn)有任務(wù)與原有任務(wù)的比較。

為了比較改造前后執(zhí)行任務(wù)的差異，在完成步驟(1)的驗證工作之后，還需要對改造前后相同任務(wù)的執(zhí)行過程進行比較，從而對改造的效果進行定性評價，即改造后變優(yōu)、與改造前相當(dāng)或變差。

對于TSV情境中每個受改造影響的任務(wù)，在完成上述評價過程后，由驗證人員填寫TSV驗證表。驗證表包含如下信息：情境步驟編號，操縱員動作，人機接口資源編號，人機接口資源描述，是否改造相關(guān)，任務(wù)評分(改造前后對比打分)，評分說明，識別的問題。

最后，HED的識別準(zhǔn)則與具體任務(wù)的評分相關(guān)。例如，對于改造后無法完成的任務(wù)，直接判定為不通過并識別為HED；對于改造后可以完成但體驗變差的任務(wù)，將結(jié)合步驟(3)“改造綜合效應(yīng)分析”確定其是否可接受；對于其他任務(wù)，可判定為通過。

(3)改造綜合效應(yīng)分析。

部分改造變更項對于執(zhí)行某些任務(wù)而言是有利的，而對于執(zhí)行另一些任務(wù)而言是不利的。因此，為了評價總體上改造的優(yōu)劣，需要以變更項為單位，對受該變更項影響的所有任務(wù)進行綜合分析，從而得到綜合的評價結(jié)果。

改造綜合效應(yīng)分析采用與步驟(2)相同的評分標(biāo)準(zhǔn)，但其結(jié)果并不是對于受改造變更項影響的每個任務(wù)的獨立評分，而是對受某個改造變更項影響的所有任務(wù)的綜合評分。經(jīng)過步驟(3)，對于綜合評價改造后更差的變更項，判定其為不通過，對于綜合評價改造前后相當(dāng)或改造后更好的變更項，則判定其為通過。

2.4 驗證結(jié)果

基于以上過程，TSV最終輸出如下結(jié)果：針對每個受改造影響的任務(wù)的單獨評分；針對每個改造變更項的綜合評分；經(jīng)TSV得到的HED清單。

這些結(jié)果一方面為HED解決提供輸入，從而優(yōu)化和完善HSI和規(guī)程；另一方面，為分析人員提供了改造對人機交互影響的定性評價結(jié)果，以確定改造的整體效果是否可接受。

此外，根據(jù)圖3，經(jīng)HED解決后的TSV偏差項還需要進行再驗證，并對TSV結(jié)果進行更新，從而形成一個迭代的過程。

在秦山核電廠控制室整體改造項目中，TSV識別的各類HED及其占比如圖7所示。

圖7 TSV識別的各類HED及其占比

3 結(jié)束語

本文提出了一種適用于核電廠改造項目的人因工程任務(wù)支持驗證方法。該方法在通用TSV方法的基礎(chǔ)上，結(jié)合了電廠改造項目的特點進行開發(fā)，并考慮了改造項目與新建電廠項目在驗證范圍、實施過程和評價準(zhǔn)則等方面的差異。本文建立的TSV方法已在秦山一期核電廠控制室整體改造項目中應(yīng)用，并經(jīng)實踐證明是可行和有效的。該方法對于核電廠改造項目具有普適性，可推廣至其他核電廠改造項目中。