1、核安全导则HAD 102/21-2021核动力厂人因工程设计(国家核安全局 2021 年 12 月 17 日批准发布)国家核安全局核动力厂人因工程设计(2021 年 12 月 17 日国家核安全局批准发布)本导则自 2021 年 12 月 17 日起实施本导则由国家核安全局负责解释本导则是指导性文件。在实际工作中可以采用不同于本导则的方法和方案,但必须证明所采用的方法和方案至少具有与本导则相同的安全水平。I目 录1 引言.11.1 目的.11.2 范围.12 人因工程管理.12.1 总则.12.2 人因工程过程模型.32.3 工程项目中的人因工程活动.33 分析.73.1 运行经验评审.73.
2、2 功能分析.93.3 功能分配.1 03.4 任务分析.1 13.5 人员配置、组织和资质的分析.1 43.6 重要人员任务处理.1 64 设计.1 74.1 总则.1 74.2 主控制室.2 84.3 辅助控制室.3 34.4 其他场内应急设施.3 44.5 报警管理.3 54.6 规程开发.4 04.7 培训计划开发.4 15 人因验证和确认.4 15.1 总则.4 15.2 验证和确认计划.4 35.3 试验方法.4 55.4 效能测量.4 65.5 验证准则.4 65.6 确认试验.4 7II5.7 数据收集.4 75.8 数据分析.4 95.9 结果.4 96 人因工程设计实现.5
3、 06.1 人因工程设计实现的一般原则.5 06.2 人因工程设计实现的输出.5 17 人员效能监测.5 27.1 人员效能监测的目的.5 27.2 人员效能监测的实施.5 38 人因工程应用于计算机化规程设计.5 48.1 总则.5 48.2 计算机化规程系统的人机接口.5 58.3 与计算机化规程系统的交互.5 58.4 计算机化规程系统的功能(适用于 II 类、III 类).5 78.5 计算机化规程系统的降级和失效.5 78.6 计算机化规程的自动步骤序列.5 89 人因工程应用于产品选择.6 09.1 人员防护设备的使用.609.2 商业现货产品.6 19.3 移动设备.6 1名词解
4、释.6 3核动力厂人因工程设计-1-1 引言1.1 目的目的1.1.1 本导则是对核动力厂设计安全规定(HAF102)有关条款的说明和细化。1.1.2 本导则为人因工程应用于人机接口设计和改造提供一种结构化的方法和指导,以便最小化人员失误风险、优化人员效能,保证核动力厂的安全运行。1.2 范围范围1.2.1 本导则适用于人因工程在新建核动力厂的人机接口设计、运行和维护中的应用,也适用于现有核动力厂的人机接口改造。1.2.2 本导则适用于核动力厂设计、建造、运行和退役阶段的分析、验证和审查,技术支持以及核安全监督。1.2.3 本导则明确了设计和确认人机接口所必需的有关人的生理和认知过程的基本输入
5、信息。1.2.4 本导则不涉及核安保目的的人因工程应用。2 人因工程管理2.1 总则总则2.1.1 应在核动力厂的设计、调试、运行和维护中运用人因工程,以确保充分考虑了人的特性与能力。2.1.2 应对人因工程在设计中的结合进行规划和记录,并使其成为核动力厂项目的组成部分。核动力厂人因工程设计-2-2.1.3 应制定人因工程大纲,并形成文件。2.1.4 在人因工程大纲中,核动力厂应被视为由人、技术、组织构成的一个系统,应考虑所有相关因素内部和各因素之间的动态相互作用:人的因素(如专业知识、认知、效能期望、动机、压力、人体的力量和尺寸);技术因素(如控制与显示、软件、硬件、工具、设备、核动力厂设计
6、和核动力厂工艺);组织因素(如管理体系、组织结构、管治、资源、人员编制、管理者和其他核动力厂人员的角色与职责)。2.1.5 在为所有核动力厂状态设计人机接口和分配资源的过程中,人、技术和组织以及它们之间的相互作用,应在人因工程大纲的规划和整个项目执行过程中统筹考虑。2.1.6 在人因工程大纲中,在已有的设计方法和解决方案基础上,应考虑技术的发展,如新开发的信息技术、分析方法、知识和新技术的特点。2.1.7 人因工程的实施应采取分等级应用的方法,以确定适当的严格程度、资源和应用细则。2.1.8 人因工程大纲应概述人因工程活动及其输入与输出。人因工程活动包括管理、分析、设计、验证与确认、设计实现和
7、人员效能监测。2.1.9 人因工程大纲应详细说明人因工程是如何与核动力厂的设计或改造活动相结合的。2.1.10 人因工程大纲应确定负责人因工程的人员与项目和核动力厂人因工程设计-3-设计主管部门,以及与核动力厂其他组织单位人员之间的必要协调活动。2.1.11 人因工程大纲应建立将分析结果传递至责任部门的流程,并要求记录存档,同时保证分析结果已被落实。2.1.12 人因工程大纲应明确参与人因工程活动人员的组织要求和能力要求(如资质、技能、知识和培训)。2.1.13 人因工程大纲应建立一个架构,用于记录并跟踪人因工程活动中识别出的相关问题。2.1.14 人因工程大纲应规定设计团队有具备人因工程专业
8、知识的成员。2.1.15 在新建核动力厂的设计中,营运单位应确保预期的核动力厂设计满足适用的人因工程标准以及本导则的建议。2.2 人因工程过程模型人因工程过程模型完整的人因工程过程可分解为以下活动:管理;分析;设计;验证与确认;设计实现;人员效能监测。2.3 工程项目中的人因工程活动工程项目中的人因工程活动2.3.1 人因工程活动应结合到工程项目的各个阶段,具体见图 1。核动力厂人因工程设计-4-图 1 工程项目各阶段开展人因工程活动的示例2.3.2 在概念开发阶段,人因工程应考虑给工程设计提供以下输入:(1)人因工程大纲应确定一个系统的、完整的人因工程过程,应概述人因工程的职责,并描述人因工
9、程过程的预期设计输入与输出;(2)人因工程大纲应规定在所有层级建立一个有能力的组织来负责人因并被充分授权,以便实现必要的设计变更来满足人因工程期望;(3)人因工程大纲应确定适用于工程项目的、人因工程相关的最新法规、标准、方法论、导则;(4)人因工程分析应识别相关的经验反馈(包括正面的与负面的),重点关注人员效能问题以及潜在的人的失误及缓解措概念开发需求开发设计设计实现运行与维护阶段的设计支持分析人因工程管理人员效能监测验证与确认设计设计实现核动力厂人因工程设计-5-施;(5)人因工程分析应为制定与选择相关的设计方案提供必要的输入,如操纵员的需求与要求;(6)应通过人因工程分析确定组织结构,形成
10、人因工程大纲的使用框架,即识别用户以及他们的角色和职责、所需资质和监管要求,以支持运行和维护;(7)人因工程分析应对功能分配以及人员监控的信息需求提供初步评价,在适用的情况下,还应提供对核动力厂系统功能的初步评价;(8)人因工程分析应提供在控制系统及人机接口故障时,操纵员预计将如何应对的分析与考虑。2.3.3 在需求开发阶段,人因工程应考虑给工程设计提供以下输入:(1)确定构筑物、系统和部件功能需求的功能分析结果;(2)提供以下内容的任务分析结果:必要的报警、信息、规程、控制、系统反馈;可能的任务序列;潜在的人的失误与影响人员效能的因素,并提供减少错误和提高效能的设计要点;对于安全重要的、复杂
11、的任务,需要进行详细的技术分析和人因工程分析;重要任务的时间限制;人员完成其所分配任务并实现操作目标所需要的专业的知识、技能和能力;核动力厂人因工程设计-6-完成任务所需的人或组织之间的协作。(3)特定的人因工程设计原则和人机接口设计指南,用于制定对供应商的技术规范,并将其纳入供应商的人因工程规范。2.3.4 在设计阶段,人因工程应考虑给工程设计提供以下输入:(1)因设计发展和标准变化而更新的人因工程要求;(2)特定的人因工程设计原则以及人机接口设计指南,用于规范核动力厂和工作场所的设计与布局、人机接口部件及结构;(3)用于维护和试验的特定的人因工程设计原则和人机接口设计指南;(4)关于人员效
12、能的新设计或设计修改的潜在影响,以及规程和培训的开发;(5)通过以可用性测试和对原型和概念的用户审查形式进行的早期人因工程分析,对用户反馈进行的收集和分析;(6)对支持安全关键任务执行的运行规程的范围、内容和可用性的深入分析;(7)对培训范围和内容的深入分析。2.3.5 在设计实现阶段,人因工程应考虑给工程设计提供以下输入:(1)根据先前确定的人因工程设计原则和适用的人因工程设计法规、标准和导则,验证设计实现;(2)验证设计实现,以确保在设计中提供执行任务所必需的所有信息与控制;(3)从人因的角度进行确认,以确定人机接口设计及其机核动力厂人因工程设计-7-械设施在多大程度上有助于核动力厂安全运
13、行;(4)从人因的角度进行确认,证实在概率论和确定论安全分析中的重要人员任务的可行性;(5)确认人因工程分析以及用于设计的人因工程输入符合人因工程大纲和监管预期。2.3.6 在整个设计过程中,应考虑技术的约束条件(如可用性、可靠性、适用范围以及人员对技术的普遍的接受程度与熟悉程度)。例如:尽管人们在日常生活中已接受了数字技术,设计者仍需考虑采用虚拟现实或增强现实是否给人带来困难。2.3.7 人员效能监测应在运行与维护阶段进行,以验证设计阶段的分析与假设在核动力厂的整个生命周期依然有效。2.3.8 用于分析、设计、验证与确认的人因工程活动应在整个工程设计阶段迭代执行。2.3.9 支持分析、设计、
14、验证与确认的人因工程活动大多需要协作完成,应由一个具备人因工程专业知识的多学科团队来共同完成。人因工程分析、设计、验证与确认活动的结果应传递给参与设计的相关单位和部门,以便进行正确处理。2.3.10 人机接口及其功能应作为统一整体的一部分进行处理,而不仅仅是控制器、指示器、系统的离散组合。3 分析3.1 运行经验评审运行经验评审3.1.1 应对具有重要安全影响的事件进行调查,以查明其直接原因和根本原因,包括与设备设计、运行与维护、人员或组织核动力厂人因工程设计-8-因素有关的原因。3.1.2 从事件分析得到的数据与结论应作为新建核动力厂设计或现有核动力厂改造的人因工程输入。3.1.3 运行经验
15、评审应提供关于当前工作实践的信息,目的如下:(1)评估计划变更的潜在影响;(2)评估当前设计中的运行问题和困难,这些问题可能需要在核动力厂升级和设备改造过程中解决;(3)评估与仪控系统和人机接口技术的设计选项相关的工业经验对提高核动力厂安全和效率的潜在作用。3.1.4 运行经验评审过程中,效能和设计的正面和负面经验都应进行分析。3.1.5 运行经验评审应考虑以下因素:(1)核动力厂运行经验评审中识别出的适用于人因工程的相关问题;(2)从核动力厂工作人员识别出的经验中所获得的技术分析;(3)其他核动力厂及其他工业运行经验评审中识别出的问题。3.1.6 应考虑以下运行经验数据:(1)是更重大事件的
16、前兆或促成因素的小问题,例如:未遂事件或低级别事件;(2)能够表明可靠性下降的不利趋势;(3)需要进行设计改进的根本原因数据;核动力厂人因工程设计-9-(4)组织文化中可能会影响未来运行造成问题的证据;(5)纠正措施与实施;(6)重复发生的事件;(7)维护实践的评审;(8)行业良好实践。3.2 功能分析功能分析3.2.1 应针对所有核动力厂状态进行功能分析,以确保完成核动力厂安全运行所必需的功能得到明确的定义和充分的分析。3.2.2 功能分析应提供说明,以便于理解人在核动力厂控制过程中的角色。3.2.3 应通过功能分析确定人完成运行目标所需要的信息(例如:功能何时需要、何时可用、何时运行、何时
17、达到目的或终止)与控制。3.2.4 功能分析应提供执行功能所需的时间和性能要求及限制条件。3.2.5 功能分析应考虑人、技术和组织因素。3.2.6 应通过功能分析确定与维持核动力厂安全运行相关的高层次验收准则。3.2.7 以下内容应作为功能分析的一部分进行分析并存档:(1)确保核动力厂安全运行的高层次功能;(2)高层次功能与执行这些功能的核动力厂系统之间的关系(例如:核动力厂配置或“成功路径”1);1“成功路径”是所选构筑物、系统、设备的一个组合,该组合能高度确保核动力厂在事故发生后成功地达到安全状态。核动力厂人因工程设计-10-(3)将高层次功能分解为可自动执行、手动执行或手/自动执行相结合
18、的低层次功能;(4)确定人与自动控制的角色与职责的框架。3.2.8 实现高层次功能所需系统及过程和成功路径所需人员行为的组合应作为功能分析的一部分进行存档。3.2.9 核动力厂功能、系统以及支持系统之间存在的相关性应作为功能分析的一部分进行存档。3.3 功能分配功能分配3.3.1 应针对所有核动力厂状态进行功能分配,以确保实现核动力厂安全运行所必需的功能得到充分明确的定义和恰当的分析。3.3.2 进行人与自动控制的功能分配时,应考虑到人的能力(例如:改进能力、灵活性、判断与状态探查的能力)和机器的优势(例如:复杂操作的快速性与并行处理能力)。3.3.3 进行功能分配时应考虑人、技术和组织因素。
19、3.3.4 设计团队应利用工艺过程知识、当前工业技术、运行经验以及人员效能的优势和弱点,将功能分配给人和自动控制(如硬件和软件等)。3.3.5 功能分配应利用核动力厂控制系统的功能分析,建立控制过程的功能分配,可按以下方式分配:(1)分配给人,如手动控制(无自动控制);(2)分配给自动控制系统,如全自动控制和非能动控制;(3)分配给人与自动控制的组合,例如:共同操作,即:一个功能的某些方面为自动执行,其他核动力厂人因工程设计-11-方面则是手动操作;经过批准或授权的操作,即:当得到人员许可且条件允许时,功能通过自动控制实现;例外操作,即:功能通常通过自动控制实现,除非有特别预定义的情境或必须要
20、手动操作的情况。3.3.6 在功能分配时,除了考虑人的能力,还要考虑诸如技术是否可被人接受、系统响应的及时性、纵深防御等因素。3.3.7 如果控制功能的实现需要将重叠和冗余的职责分配给人和自动控制(例如:将对于自动控制系统的监视并维持监督控制的责任分配给人),则应对该分配进行记录并存档。3.3.8 对于所有功能,人员任务的性质和范围应进行记录并存档。3.3.9 应分析不同运行状态和事故工况下的功能分配。3.3.10 功能分析与分配应考虑严重事故管理指南实施的要求。3.3.11 功能分配应可从功能追溯至相关系统或部件。3.4 任务分析任务分析3.4.1 任务分析的方法应考虑核动力厂状态和与此任务
21、相关的运行和维修班组人员,如反应堆操纵员、汽机操纵员、值长、现场操作员、安工、运维人员。3.4.2 任务分析应考虑人、技术和组织因素(如领导、管理和沟通)。3.4.3 任务分析应对人员执行任务相关的身体活动与认知活动进行分析并存档。核动力厂人因工程设计-12-3.4.4 任务分析应从任务执行者的角度来分析任务内容及其关系。3.4.5 由于核动力厂个体的角色与活动的宽泛性,任务分析应确定分析的范围,一般包括以下内容:(1)不同地点(例如:主控制室、辅助控制室、就地控制站、应急控制中心)需要执行的任务;(2)取决于核动力厂状态的不同任务;(3)需要个体完成的任务和/或需要在不同组织(运行、维修、规
22、程编制、计算机系统工程)和相关方之间沟通协作的任务;(4)必须要在时间压力或恶劣的环境条件和背景下执行的任务,或对安全至关重要但很少被执行的任务。3.4.6 在确定需要进行分析的任务时应考虑风险与安全因素,包括以下任务:(1)对人员造成职业风险的任务;(2)安全分析中置信的任务;(3)从运行经验中识别出的具有挑战性的或易于出现失误的任务;(4)操纵员确定为高难度任务,且未制定自动实施计划;(5)对于维持核动力厂处于安全状态或事件发生后将核动力厂恢复至安全状态具有关键意义的任务。3.4.7 任务分析应分析对报警的响应,以及操纵员从控制室下达的监视和维护任务。3.4.8 任务分析的结果应有助于识别
23、以下内容:(1)对安全有影响的预期人员任务和潜在的人员失误;核动力厂人因工程设计-13-(2)关于如何执行每项任务的期望,预期的任务效果,任务的人员效能的可靠性评估;(3)安全关键任务的防失误措施;(4)各项任务的开始与终止条件以及受影响的安全功能;(5)执行任务和子任务的顺序;(6)人员需求(如组织方面、人员配置、资质与培训),设备需求(如人机接口、专用工具、防护服),文件需求(如程序、工艺流程和操作指南);(7)人员效能要求和限制(如时间、准确性和独立验证);(8)所需的通信系统及其使用。3.4.9 任务分析时应考虑以下信息来源:(1)文件(如供应商文件、技术规范、已有程序、手册和培训教材
24、);(2)来自专家的信息,包括设计团队专家、有类似核动力厂运行经验的运行人员、相关方以及其他行业专家;(3)通过排演、推演分析以往系统和相似核动力厂执行的任务,以及与正在开发的系统有关的任务;(4)运行经验评审的数据(考虑与参考设计的差异);(5)用户需求数据;(6)其他用做人因工程设计输入的数据(如功能分析与分配、重要人员任务处理);(7)来自模拟机研究的数据;(8)国内外相关的人因工程标准。3.4.10 应论证任务分析所使用的技术选项的适用性。核动力厂人因工程设计-14-3.4.11 应评估任务执行需求对人员可靠性的影响。3.4.12 对任务分析输入进行收集、列表和分析的一系列过程应存档。
25、3.4.13 任务分析是一项协作活动,应由具备人因工程专业知识和运行专业知识的多学科团队来共同完成。3.4.14 任务分析结果应传递给参与设计的相关单位和部门。3.4.15 任务分析结果可直接用于支持人的失误评估。3.4.16 应特别针对重要的认知活动(如决策、问题解决、记忆、注意力和判断)进行任务分析。3.4.17 当仅对文件(如规程)进行书面分析不足以确定任务可否执行时,可通过实物模型仿真、核动力厂实地考察、部分任务模拟机或全范围模拟机支持的模拟,来确定任务在真实场景中的可行性。3.4.18 任务分析应包含对错误进行分类的方法,该方法至少能得出每项任务潜在的疏忽/遗漏错误和执行错误,包括决
26、策错误、沟通错误。3.5 人员配置、组织和资质的分析人员配置、组织和资质的分析3.5.1 应分析人员配置、组织架构、人员资质对重要人员任务的影响,以确定人员需求数量、组织交互和人员资质。3.5.2 对于运行核动力厂的改造或新建核动力厂,应进行人员配置、组织和人员资质的分析,考虑相较参考核动力厂的所有变更,这些变更可能会影响:(1)人员任务的安全执行;(2)人的工作负荷;核动力厂人因工程设计-15-(3)使每个团队成员的贡献与团队任务相一致的能力;(4)负责检查任务进度(例如:检查操纵员在控制室和就地执行的行动)的个人的独立性与合作性;(5)对任务及其作用的认识,以及人对任务的接受度。3.5.3
27、 人员配置、组织和资质分析应涵盖执行影响安全任务的所有团队(见 3.4)。这包括所有运行值、服务支持团队、应急准备与响应团队。分析应识别并评估这些团队在人员配置、组织、资质方面的需求。3.5.4 人员配置、组织和资质分析应评估与参考核动力厂的组织和技术差异的影响。3.5.5 人员配置、组织和资质分析的输入应包括:(1)运行状态和事故工况下的运行概念方案;(2)设计需求;(3)任务需求;(4)监管要求;(5)运行经验;(6)重要人员任务的处理(例如:对重要人员任务的处理可能确定需要启用两人规则,以确保可靠地完成某些任务)。3.5.6 任务分析应用于支持对团队角色、需求、责任及必要输出的定义。3.
28、5.7 在给团队成员分配个体任务时应考虑以下几点:(1)分配给每个成员的任务清晰明了;(2)任务分配的依据是确定的、合理的;(3)在所有运行工况和事故工况下,每个成员的工作负荷核动力厂人因工程设计-16-是合适的;(4)在白班和夜班团队间分配任务时,应考虑对人员效能的影响;(5)不同运行工况下的任务应以某种方式分配给团队成员,这种方式要确保职责的连续性,并保持个人与团队的情境意识。3.5.8 任何人员配置的减少都应通过建模、分析以及全范围仿真试验评估其对安全的潜在影响。3.6 重要人员任务处理重要人员任务处理3.6.1 重要人员任务和动作应通过概率论或确定论的安全分析来识别。3.6.2 确定重
29、要人员任务的基本方法应同时考虑运行状态和事故工况下的响应。3.6.3 支持人因工程在设计中应用的分析可采用定性或定量分析的形式。3.6.4 至少应对安全分析中置信的操纵员任务与动作进行分析,包括影响效能的相关因素。应确认设计方案能满足与人员效能相关的安全要求。3.6.5 无论采取什么方法识别重要人员任务,设计、规程、培训、人员配置水平和运行概念应支持重要的人员决策与动作。3.6.6 核动力厂改造可能会改变重要人员任务的执行方式。所有核动力厂改造都应评估相关的重要人员任务是否仍然能够可靠地执行。核动力厂人因工程设计-17-4 设计4.1 总则总则4.1.1 必须在核动力厂设计过程初期就系统地考虑
30、人因(包括人机接口),并贯彻于设计全过程。4.1.2 设计必须支持运行人员履行职责和执行任务,并必须限制操作差错的可能性及其对安全造成的影响。设计过程必须适当考虑核动力厂布置、设备布置、以及包括维修程序和检查程序在内的有关程序,以便于在核动力厂各种状态下运行人员和核动力厂之间的互动。4.1.3 人机接口的设计必须能按照决策所需时间和行动所需时间给操纵员提供全面且易于管理的信息。向操纵员提供的用于决策和行动所需的信息必须简洁明了且无歧义。4.1.4 应采用结构化方法开展人机交互设计,可进行概念设计、备选人机接口方法的识别和选择、详细设计,以及必要时开展人机接口测试和评估。4.1.5 应将纵深防御
31、的理念应用于人机接口设计,以保证故障一旦发生可以被探查到,并可以通过采取适当措施进行弥补或纠正。4.1.6 设计应采用以人为中心的方法,从执行相关功能和任务的人员的角度来考虑设备和系统。4.1.7 人员、技术(包括硬件和软件)、工作环境以及使用的控制、运行和管理策略,应在设计全周期的所有阶段予以考虑(按照集成的和系统的方法)。核动力厂人因工程设计-18-4.1.8 设计应考虑人机接口信息如何在不同组织人员(例如:主控制室人员和其他应急响应设施人员)之间进行传递、交换和使用。4.1.9 设计应考虑必要的约束,并确保设计的灵活性,以便采用不同的控制和运行策略来应对不同的核动力厂状态和运行模式。4.
32、1.10 应通过如下检查,为运行人员和组织弹性2提供设计考虑:(1)是否恰当地为假设始发事件的响应分配了自动动作;(2)人机接口是否能够支持预测并响应一个非预期事件;(3)人机接口是否提供预期突发中断或故障条件下渐进式变化的有关信息(例如:使用预测性显示);(4)是否提供额外的工具和设备及其放置场所;(5)营运单位通过核动力厂系统对严重事故的响应而实施的“压力测试”,是否为操作人员如何将设备用于不同于最初目的而是为了保护裂变产物边界提供了分析;(6)当一个事件发展后,是否必须采用不同运行策略以达到安全状态;(7)设备能否超越设计意图,以支持其他不同的策略(例如:使用消防系统带出余热)。4.1.
33、11 人机接口设计输入4.1.11.1 应从设计早期阶段(见第 3 章)的以下分析中识别2 指组织应对逆境的能力,在面对异常、令人担忧的或意想不到的威胁之后,能够恢复和回到常态。核动力厂人因工程设计-19-出人机接口设计中需考虑的要求:(1)运行经验评审;(2)功能分析和功能分配;(3)任务分析;(4)人员配置、组织和资质的分析;(5)重要人员任务处理。4.1.11.2 人机接口设计中需要考虑的重要输入包括:(1)总体仪控系统的限制(例如:传感器数据的可用性对可提供信息的限制);(2)配置人机接口的物理环境;(3)用户的认知局限和能力;(4)不同专业组人员的知识、技能和能力;(5)适用的监管要
34、求。4.1.11.3 人机接口设计应支持核动力厂运行人员完成任务,应考虑在功能分析和功能分配中所确定的自动化水平。4.1.11.4 任务分析结果应为人机接口设计提供以下输入:(1)在各种状态下(从正常运行到事故工况)控制核动力厂的必要任务;(2)详细的仪表与控制要求(如显示范围、精度、准确度、测量单位等的要求);(3)有关任务支持方面的要求,包括可居留性(如照明和通风要求)。4.1.11.5 人员和资质分析结果应为人机接口设计提供输入,以确定控制室总体布置方案以及每个控制台、盘和工作站上的控核动力厂人因工程设计-20-制和显示的分配。4.1.11.6 在设计中应用人因工程的特定指南应记录存档,
35、并用于设计人机接口特性、人机接口布局及其部署环境。4.1.11.7 上述特定指南应规定人机接口要素的详细设计准则。如果运行核动力厂的人机接口要进行升级改造,则应根据人机接口升级改造和运行概念,对特定指南的任何必要修订进行评价。4.1.11.8 应基于通用的人因工程指南和与人机接口设计相关的分析来开发人因工程特定指南,并明确地反映出在处理人机接口设计的某些具体方面的设计考虑。4.1.12 人机接口的详细设计及其与核动力厂总体设计的结合4.1.12.1 人机接口应给操纵员提供必要的信息以便探查核动力厂状态的改变、诊断状态、采取行动以及确认手动或自动动作。4.1.12.2 人机接口设计应在各种环境条
36、件下(如丧失照明、烟尘、高放水平、水淹、蒸汽进入和有限通风的情况)支持人员效能。4.1.12.3 人机接口各个方面(包括控制、显示布置、编码方法)应与操纵员的心智模型和固有习惯保持一致。4.1.12.4 信息的呈现方式应使操纵员对核动力厂状态的理解以及控制核动力厂的必要活动最优化。4.1.12.5 不同信息和不同场所仪控设备的人机接口的操作方式和呈现形式应保持一致。核动力厂人因工程设计-21-4.1.12.6 人机接口的设计应尽可能地防止并探查操纵员失误,特别是可能在错误条件或不恰当的核动力厂配置情况下采取行动时。设计要保证能够对控制系统、监测系统、保护系统的定值改变进行确认。4.1.12.7
37、 当出现错误信息时,人机接口设计应给操纵员提供足够的信息来支持他们做出决策。4.1.12.8 信息流程图和控制动作应尽可能地与信息处理能力及操纵员效能匹配。4.1.12.9 人机接口设计:(1)应尽实际可能地适应与核动力厂有交互的各种运行人员的不同岗位和职责;(2)应重点关注负责设备安全运行的操作人员的角色;(3)应支持控制室人员建立共同的状况认知,例如:通过大屏幕显示核动力厂状态;(4)应提供一个有效的核动力厂状态总貌;(5)应尽实际可能地从使用者角度,采用满足功能和任务要求的最简单设计;(6)应以能使操纵员快速识别并理解的方式呈现信息(例如:考虑人的信息处理能力以及视觉注意力);(7)应适
38、应模拟和数字显示的故障,不导致重大的控制动作的中断;(8)应反映出对人员认知、生理特征、人体运动控制特征和人体尺寸的考虑。4.1.12.10 人机接口应对探查到的操纵员失误提供简单且易核动力厂人因工程设计-22-于理解的提示,并能够提供简单有效的恢复手段。4.1.12.11 应设计和比较人机接口程序和培训大纲,以确保彼此的一致性。4.1.12.12 所有的描述性的标识和标签应考虑使用同一种语言和协调一致的描述。4.1.12.13 人机接口设计应考虑对其进行检查、维护、测试和维修而不影响其他的核动力厂控制活动。4.1.12.14 人机接口设计应支持在最小、典型或优化人员配置条件下完成任务。4.1
39、.12.15 如果要进行人机接口改造,则新的人机接口应:(1)与已有人机接口的设计指南保持一致,这样新旧设备对于操纵员来说接口相似;(2)尽可能与任务分析中用户现有的收集和处理信息、执行动作的策略保持一致。4.1.12.16 如果修改人机接口,减少任何显示信息都应经过设计工程师、人因工程师和操纵员的论证、评审和一致同意。4.1.12.17 就地控制站的人机接口设计应与控制室的人机接口设计保持一致。4.1.12.18 监控安全系统的人机接口设计应采用纵深防御的理念。4.1.12.19 应说明人机接口是如何进行控制、显示和报警的,以保证正确可靠地执行识别出来的重要人员任务。4.1.12.20 人机
40、接口设计应考虑必要的补偿动作和支持程序,以保证人员能够有效地应对仪控功能和人机接口的降级,并提供核动力厂人因工程设计-23-后备系统切换。4.1.13 人机接口的测试和评估4.1.13.1 在人机接口的开发过程中应对概念设计和详细设计的特性进行可用性测试。4.1.13.2 权衡评价是基于对成功完成任务重要的人员效能的各个方面和其他设计考量,对设计选项进行比较。权衡评价应考虑:(1)人员任务的要求;(2)人员能力和限制;(3)人机接口的性能要求;(4)检查和测试所需;(5)维护要求;(6)用经过验证的技术和先前设计的运行经验。4.1.13.3 可用性和性能测试包括对人机接口性能的评价(其中包含用
41、户意见),以评估设计选项和设计可接受性。4.1.14 人机接口控制的设计4.1.14.1 如果一个控制可以从多个地点实施,例如:分别从主控制室、辅助控制点和就地都可进行控制,则应采取保护措施以保证多个运行人员之间的协调控制。4.1.14.2 人机接口控制可以通过“软”控制(见 4.1.15)来实现,适用于多路复用控制设备、专用控制设备或两者结合的控制设备。4.1.14.3 模拟控制设备(如按钮、旋转开关、滑动/拨动开关、摇臂开关)适用于经常使用的控制(如电气输出),以及注重立核动力厂人因工程设计-24-即可达和可靠性的控制(如紧急停堆按钮)。4.1.14.4 控制应及时提供视觉的和/或听觉的反
42、馈,以表明系统已收到了控制输入。4.1.14.5 控制应与反馈相伴,以展示数据输入过程(例如:调整设定值)并确认数据输入完成。4.1.14.6 人机接口应保证在执行会产生负面结果的动作时要求采取一些谨慎的操作(如确认按钮、开关上的保护罩),从而使误触发的可能性最小。4.1.14.7 防止模拟控制误触发的措施包括:(1)控制器布置在合适的位置;(2)使用保护结构;(3)要求二次确认动作;(4)通过优先级的合理分配,使用联锁或允许信号;(5)正确选择控制器的物理特性,例如:尺寸大小、操作用力以及触觉、视觉、听觉反馈。4.1.14.8 为将操纵员失误减到最少,控制动作应符合常规(例如:应符合用户期望
43、),而且应适合控制变量的属性。4.1.15 软控制的设计考虑4.1.15.1 软控制是通过视频显示单元与一个定位设备(如鼠标、跟踪球、光笔、触摸屏)共同来实现的,或者是一个视频显示单元与一套专用控制器的集成。4.1.15.2 以下信息显示方式会极大地影响操纵员使用软控制的效能:选择被控部件的方式、输入的显示区域、输入数据的格式。核动力厂人因工程设计-25-4.1.15.3 软控制宜用于交互,例如:选择一个变量或被控部件,提供控制输入并监测系统响应。4.1.15.4 软控制通过显示设备应做到:(1)必要时能够访问单个部件;(2)能够访问每个部件的状态信息;(3)控制与其他部件的关系。4.1.15
44、.5“选择显示”显示一组要控制的部件或变量,它们应有明显的视觉差异,布局清晰,标识唯一,以便能够正确选择。4.1.15.6 软控制应设计成操纵员能够通过诸如前后关联、视觉上独特的格式、分隔、输入区域、可选部件等特性,一眼就能辨别出选项。4.1.15.7 常与软控制共用的输入格式包括离散型控制界面、滚动条、箭头按钮。软控制中必须为输入数据提供输入格式。4.1.15.8 光标应有独特的标识,其移动应灵敏,适合所要求的任务和操纵员技能。光标移动应符合操纵员的捕捉、视觉、舒适度等特性,应能够快速移动并准确定位。4.1.15.9 人机界面中控制导航的操作应与控制核动力厂的操作(例如:从计算机屏幕启/停泵
45、)区分开来。4.1.15.10 对于任何特定动作的控制输入,应只向操纵员提供可选项和控件。选项应列在附加于工作显示区的一个菜单中,而不需要操纵员记忆它们或访问一个不同的菜单显示。4.1.15.11 软控制菜单设计应保持一致,其选项列表的文字和排序在整个人机界面也应一致。4.1.15.12 为避免执行命令时出现失误,控制顺序应包含:核动力厂人因工程设计-26-控制选择、命令选择、命令确认。4.1.16 人因工程在工作站设计中的应用4.1.16.1 工作站设计应考虑操纵员的可达性、视野和舒适度等相关特性,如:(1)工作站的高度;(2)工作台的倾斜度、控制台的角度和深度,以及可以根据坐姿和立姿调整的
46、工作站;(3)控制设备的位置;(4)显示设备的位置;(5)控制和显示设备在控制台或工作站上的布局;(6)文本和图形的尺寸和易读性;(7)容腿和容足空间。4.1.16.2 控制台的高度应允许操纵员越过它的顶部观看,例如:看到共享显示和其他操纵员。4.1.16.3 报警面板的位置应可以在主控制室的操作区域看到,并且处在便于操纵员可见和易读的高度。4.1.16.4 频繁使用的控制器应布置在操纵员的伸展范围内,与之相关的指示和显示设备在操纵员位置即可观察到。4.1.16.5 应根据功能和工艺运行的特点将其组合成功能组。4.1.16.6 应根据功能、使用顺序、使用频率、优先级、操作规程或模拟显示3布置的
47、系统划分功能组。4.1.16.7 功能上相关的控制和显示,应与其他功能组的控制和显示区分开来。3 模拟显示是指在显示盘上模拟核动力厂的实际布置情况。核动力厂人因工程设计-27-4.1.16.8 为防止操纵员左右混淆,应避免控制盘、控制和显示设备的镜像布置。4.1.16.9 应为工作站上的控制、显示和其他设备设置恰当、清晰的标识,以使人员迅速准确地识别相关信息。4.1.16.10 应采用分层级的标识体系,以减少混淆、缩短查找时间和避免重复。主要标识应用于识别主要的系统或工作站,次要标识应用于识别子系统或功能组,设备标识应用于识别每个部件。4.1.16.11 标识应描述设备物项的功能,所使用的符号
48、应是唯一的、易于互相区分的。4.1.16.12 控制盘上标识使用的词语、缩略语、缩写词以及系统和设备编号应保持一致。此外,程序文件和印刻在铭牌上的名词术语之间应保持一致。4.1.16.13 工作站的设计应考虑必须在工作站进行的测试和维护活动,这种考虑包括:(1)对盘上部件进行维修、移除或更换的通道;(2)将仅用于测试和维护的显示和控制设备与用于运行的显示和控制设备分开;(3)用于特殊测试设备或维修通道的应急空间。4.1.17 人因工程在可达性及工作环境设计中的应用4.1.17.1 在需要运行人员监视和控制核动力厂系统的区域,应采取必要的措施确保适宜的工作环境,保护人员免受有害影响。4.1.17
49、.2 工作环境设计中应考虑的因素包括照明、温度、湿度、噪声和振动。核动力厂人因工程设计-28-4.1.17.3 应考虑的危害包括放射性、烟尘以及环境中的有毒物质。4.1.17.4 确保可达的一种恰当方法是提供受到保护、不受潜在内部和外部危险影响的合格路径,通向辅助控制点和预计操纵员采取行动的其他现场地点。4.2主控制室主控制室4.2.1 总体要求4.2.1.1 核动力厂必须设置主控制室,以进行下述活动:在各种运行状态下以自动或手动方式安全地运行核动力厂;出现预计运行事件和事故工况后,采取相应措施,以使核动力厂保持在安全状态或回到安全状态。4.2.1.2 必须向操纵员提供能够进行下列工作的必要信
50、息:(1)评估核动力厂在任何工况下的总体状态;(2)在系统和设备规定的参数限值(运行限值和条件)内运行核动力厂;(3)确认启动安全系统所需的安全动作在需要时自动触发,且相关系统按预期要求执行功能;(4)确定手动启动特定安全动作的必要性和时间。4.2.1.3 必须采取适当的措施(包括在核动力厂主控制室和外部环境之间设置屏障),并向主控制室人员提供足够的信息,以在较长时间内保护控制室人员免于受到事故工况下形成的高辐照水平、放射性物质释放、火灾、易爆或有毒气体的危害。4.2.2 主控制室人机接口设计4.2.2.1 主控制室设计应符合运行概念,运行概念描述了在核动力厂人因工程设计-29-所有核动力厂状
浙ICP备2021020529号-1 | 浙B2-20240490 
