(高清版)GBT 41145-2021 核电厂人因验证和确认

核电厂人因验证和确认2022-07-01实施国家标准化管理委员会I 2规范性引用文件 13术语、定义和缩略语 3.1术语和定义 3.2缩略语 24人因验证和确认总则 24.1活动和过程 2 34.3HFE人机接口设计导则 44.4测试设施 4 54.6特殊考虑 65形成性验证和确认 6 65.2形成性V&.V策划 65.3过程和方法 66人因工程设计验证 8 86.2过程和方法 87人机接口任务支持验证 9 97.2过程和方法 8集成系统确认 9 98.2实施计划 8.3场景选择 8.4ISV试验设施 8.5参试者 8.6效能测量 8.7试验设计 8.8数据分析 8.9HED识别、记录和传递 8.10ISV结论 9设计实现 Ⅱ 9.2过程和方法 10人因偏差解决 10.2过程和方法 11改进型新电厂的特殊考虑 12电厂改造的特殊考虑 12.1改造项的人因风险等级 12.2电厂改造人因V&.V策划 12.3电厂改造人因V&V活动 2013就地区域的特殊考虑 13.1概述 13.2特殊考虑 附录A(资料性)人机接口清单和特性描述 附录B(资料性)运行条件选取 附录C(资料性)人因不符合项分级原则和示例 参考文献 Ⅲ本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国核仪器仪表标准化技术委员会(SAC/TC30)提出并归口。本文件起草单位：上海核工程研究设计院有限公司、清华大学、苏州热工研究院有限公司、中广核工程有限公司、中国核电工程有限公司、核工业标准化研究所。1核电厂人因验证和确认本文件规定了核电厂人机接口集成系统人因验证和确认活动的准则和方法。本文件适用于新建核电厂，以及在役核电厂人机接口集成系统改造。其他类型核动力厂的人机接口集成系统可参照执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。NB/T20270人因工程在核电厂计算机化运行规程系统中的应用准则3.1术语和定义下列术语和定义适用于本文件。从人因工程的角度确定设计或实现满足规定的要求的过程和活动。从人因工程的角度确定设计或实现满足特定的用途或应用需求的过程和活动。形成性验证和确认formativeverificationandvalidation通过收集客观证据来发现人机接口集成系统存在的问题，以改进设计的过程和活动。通过收集客观证据，对人机接口集成系统的设计和实现进行最后的符合性评估的过程和活动。系统的一部分，用于人与系统交互以完成它们的功能和任务。注1:系统指核电厂。注3:在就地区域，典型的人机接口有就地控制盘/箱/柜、阀门、手套箱、出入口(设备上不同尺寸需要人局部或全2人机接口及其所处的空间和环境。注1:人机接口的组织形式及其所处空间的特性是影响人机接口使用的直接因素。例如，报警、指示、控制在控制盘台上的布置特性、控制盘台和他设备在控制室中的布局特性、完成任务所需的移动和作业空间特性。由人机接口系统、任务和人员共同组成的集成系统。运行和控制中心operationandcontrolce电厂运行进行监视并提供决策指导的设施，如技术支持中心、应急指挥中心。人因偏差humanengineeringdisc人因偏差项与人因基准存在偏离的人机接口集成系统设计项。技术恰当性能被合理证明，判定为可接受的人因偏差项。不能判定为人因例外项的人因偏差项。下列缩略语适用于本文件。HED:人因偏差(humanengineeringdiscrepancy)HSI:人机接口(human-systeminterface)ISV:集成系统确认(integratedsystemvalidation)I&.C:仪表和控制(instrumentationandcontrol)SGTR:蒸汽发生器传热管破裂(steamgeneratortuberupture)V&.V:验证和确认(verificationandvalidation)4人因验证和确认总则人因V&.V全面评估电厂HSI集成系统设计是否符合HFE设计准则，使电厂人员能成功完成其3任务，以达到安全和其他运行目标。V&.V活动贯穿于概念开发、需求开发、设计，以及设计实现全过程，其概貌见图1。本文件将人因V&.V分为三个主要活动：形成性V&.V、总结性V&.V、HED解决。随着设计的推进，形成性V&.V活动逐步过渡到总结性V&.V活动。形成性V&.V(见第5章)主要目的是通过客观证据的收集和评估来发现存在的问题，以改进HSI集成系统的设计。应根据技术需求，考虑可用资源，综合不同的评估方法以制定适用特定项目的形成性V&.V方案总结性V&.V是对HSI集成系统的设计和实现进行最后的评估，应采用标准化的方法开展，以支持项目的符合性评价和安全审评。总结性V&V分为HFE设计验证(见第6章)、HSI任务支持验证(见第7章)、ISV(见第8章)、设计实现(见第9章)四个活动。HFE设计验证和设计实现都是对HSI设计是否符合特定项目的HFE技术要求进行评估，其差异在于前者主要依赖最终的设计文件或原型，后者则基于实际的HSI集成系统开展，两者具有延续性和互补性。HSI任务支持验证是对HSI是否支持任务要求进行评估。ISV采用基于效能的试验，对整个HSI集成系统的最终设计是否满足效能要求进行最终评估。HED解决(见第10章)为在V&.V活动中识别的HED得到满意评估和解决提供了合理的保证。HED解决贯穿整个V&.V过程，与形成性V&.V和总结性V&.V存在迭代。对后续V&.V活动结果有效性具有潜在影响的人因HED,应在受影响的V&.V活动开展之前得到解决。运行和运行和形成性验证和确认(第5章)总结性验证和确认HFE设计验证(第6章)[[SI任务支持验证(第7章)集成系统(第8章)人因偏差解决(第10章)设计实现(第9章)概念开发设计实现HSI集成系统涵盖HSI系统、任务、人员(即最终用户)三个组成部分，见图2。开展具体V&.V活动时，应从这三个维度对人因V&.V范围进行界定。4IISIIISI集成系统HSI系统HSI子系统HSI特性任务图2HSI集成系统组成和V&V范围HSI系统可从系统、不同层次的子系统，划分至无需进一步细分的HSI特性。应根据具体V&.V活动的特点，按需要的层次准确定义HSI系统的范围，并详细描述其状态(HSI清单和特性描述方法见附录A)。在考虑任务序列特性的形成性V&.V、HSI任务支持验证和ISV中，除了HSI清单和特性描述之外，还应通过运行条件选取(见附录B)来进一步确定评估范围。新建核电厂设计和在役核电厂重大设计改进可能涉及成百上千个独立的HSI部件，对应的任务数量繁多，不可能对所有任务都进行评估。运行条件选取提供了平衡多个因素以识别需评估的最优任务集的策略。在基于HSI设计导则(见4.3)的形成性V&.V、HFE设计验证、设计实现，以及HSI任务支持验证中，对人员的考虑是隐含和抽象的。但在基于效能试验的形成性V&.V和ISV中，应对人员配置、资质和培训水平进行明确界定。应根据具体V&.V活动的特点确定人员配置、资质和水平要求。4.3HFE人机接口设计导则HFE人机接口设计导则(以下简称“HSI设计导则”)的目的是为整个项目的HSI系统提供一致的设计方法，确保设计遵循了适当的人因要求、与人的能力相匹配，电厂运行安全性和可用性得到保证。应对基于标准和文献的通用导则、当前工业运行实践和经验反馈、项目HSI特点进行分析和权衡，制定一份或多份项目特定的“样式导则”文件，以支持特定项目的HSI设计，以及人因V&.V活动。HSI设计导则由设计活动开发，不属于人因V&.V的范围。但人因V&.V的经验反馈可为HSI设计导则的优化提供输入。测试设施是用于替代V&.V系统设计的任何载体，按其特点可分为图纸、原型、模拟机和实际系统四类，见表1。V&.V结果的全面性和可信性随着测试设施逼真度的增加而增加。逼真度包括完整性、实体逼真度、功能逼真度、环境逼真度(如高噪声环境、高温、高湿度、照明不足等)、数据完整性逼真度、数据内容和呈现逼真度、数据动态逼真度多个维度(见8.4)。测试设施的准备，应结合HSI清单和特性描述的要求开展。5表1测试设施类型载体特点图纸HSI设计文件照片、效果图产品手册二维的设计信息，不同类型的图纸、文件呈现设计特性的详细和逼真程度不一，常需要多份资料才能“拼凑”出较为完整的HSI特性原型产品样本实体模型三维数字模型界面原型硬件类HSI的原型可对布置、外形尺寸、动作模式等特性进行描述。标准化设备可直接利用产品样本。对于非标设备，可依赖于缩放的或等比例的实体模型。三维数字模型的可用程度与建模深度相关。对于数字化控制室大量存在的软件类HSI,界面原型能较好地模拟主要的呈现和交互特性，但不必提供电厂动态参数的模拟(例如，虽然原型提供了数字显示或趋势曲线，但这一数值是原型后台强制的，与电厂运行场景没有联系)。界面原型可利用专业界面快速原型软件开发，也可利用目标平台开发模拟机工程模拟机全范围培训模拟机在静态特性上已较为完备，且具备模拟电厂动态参数响应的功能(部分范围或全范围的)。ISV应采用全范围培训模拟机，且其逼真度应达到ISV试验的要求(见8.4)实际系统电厂HSI集成系统对于运行和控制中心，实际电厂主要为设计实现提供支持。对于就地区域，基于具体目的，就地HSI在完全就位前也可为V&.V活动提供支持。实际电厂的优势是输入比设计阶段更多、更为直观，但缺点是识别到的HED的改进空间一般局限在规程和培训领域V&.V活动的实施，除了HFE专家，应根据需要安排具备不同技能和经验的专家共同参与，例如专家等。应明确不同V&.V活动对人员资质的要求，如HFE设计验证对人员知识背景和工作年限的具体要求。应为V&.V人员提供必要的培训，如为参与问卷调查的电厂运行专家提供专项培训，确保其掌握了当前HSI集成系统的必要信息；为参与形成性V&.V的设计人员提供HFE理论方法和HSI设计导则的培训；为ISV的试验实施或管理人员提供试验程序和数据记录的培训。应明确V&.V人员独立性水平要求，从而保证结果的客观性和公正性。总结性V&.V团队应与设计团队保持独立。V&.V人员和设计人员可为同一组织工作，但V&.V人员不应参与V&.V对象的设计工作，也不应对设计进度或财务绩效负责。V&.V人员不一定是HFE专职人员，可从其他设计团队调入，但其职责只能是对目标对象进行V&.V。形成性V&.V团队除了独立V&.V人员，亦可安排设计人员参与，但设计人员不应主导或独立完成具体V&.V活动。设计人员对系统了解更为深刻，在多专业交流中能提出有益的建议或方案。同时，设计人员参与形成性V&.V能起到自查和培训作用，有助于提高后续设计的人因符合性。人员独立性要求应完整覆盖各项V&.V活动及其具体环节。例如，HED解决中，人因例外项判定、6人因不符合项分级和判定是否需要解决、人因不符合项再验证和确认应由独立的V&.V人员实施，而HED分析、人因不符合项解决方案开发和实施则需要设计团队的共同参与。4.6特殊考虑新建核电厂包括HSI集成系统全新设计和改进设计两类情况，在役核电厂则包含形式不一的改造。第5章～第10章所述要求和指导完全适用于全新设计，其他情况可采用分等级的方式使用，改进型项目的特殊考虑见第11章，改造项目的特殊考虑见第12章。依据HSI系统特点、任务复杂性、人员参与程度、所需的人员响应速度、人员失误对运行造成的后果等因素，核电厂物理区域可划分为运行和控制中心区域、就地区域两类。第5章至第10章所述要求和指导完全适用于运行和控制中心的主控制室、辅助控制室，其他区域可采用分等级的方式使用。其中，就地区域的特殊考虑见第13章。5形成性验证和确认在电厂设计过程中开展形成性人因V&.V活动的目的如下。a)改进HSI集成系统设计，如：1)在设计方案比较选择时，确保HFE得到充分考虑；2)对引入的新技术及其与已有系统的集成，开展系统的人因评估；3)及时论证设计过程中的HFE假设，降低设计的不确定性；4)对HSI设计导则未覆盖的设计特性，提供HFE见解；5)为HFE需求或HSI设计导则的传递和落实提供支撑手段。b)为总结性V&.V提供支持，如：1)避免大量问题识别不及时造成解决困难；2)全范围或部分范围基于效能的形成性V&.V活动，能提高ISV的效率，降低ISV的风险，例如，优化运行条件选取的范围，为ISV前提条件提供判断，以及为ISV建立参考基准等。5.2形成性V&V策划项目开展HFE策划时，应对形成性V&.V的必要性进行分析，确定本项目是否计划开展形成通常，形成性V&.V采用渐进、迭代的方式开展，其具体活动的目的、范围、时间节点应与项目阶段相匹配，并与设计过程集成。除了按概念开发、需求开发、系统和子系统设计的节点策划形成性V&.V——按V&.V对象，如软控制器的设计、COPS、显示画面结构和导航。应为形成性V&.V制定详细计划，覆盖每项形成V&.V活动目的、范围、过程和方法等信息。5.3过程和方法验证是对是否正确地开展了设计进行评估，如显示画面的设计规范是否符合HSI设计导则的要求。确认则是对是否设计了正确的系统进行评估，如软控制器的设计方案是否能支持安全目标和可用性目标的实现。在设计早期，因为活动可能会融合了两类目的，验证、确认往往难以清晰区分。越接近设计后期，则能更为独立地开展验证、确认活动。为此，形成性V&.V有必要根据问题特点和设计阶段，7采用更为灵活的评估方法。启发式评估、可用性评估、走查评估和试验评估均可应用于形成性V&.V。例如，启发式评估主要通过专家评估法对集成系统的设计特性提供主观定性评估，而试验评估则基于任务序列的时间响应和准确性对HSI集成系统提供更为客观、系统的详细评估。对于难以独立支持一次V&.V活动的方法，定义为辅助方法，一个辅助方法可配合多类主方法使用，详见表2。表2形成性V&V的方法类型主方法辅助方法测试设施评估重点启发式评估专家评估法启发式讨论检查表法问卷调查访谈图纸原型设计特性(主观定性评估)可用性评估可用性试验法观察法检查表法问卷调查访谈原型模拟机实际系统设计特性(主观定性或定量评估)走查评估走查排演法观察法有声思考法检查表法问卷调查访谈图纸原型实际系统任务序列特性试验评估基于效能的试验观察法有声思考法检查表法问卷调查访谈图纸原型模拟机基于任务序列的时间响应和准确性应尽可能采用定量和客观的指标。通常难以直接对安全性和可用性这类总体目标进行测量，为此宜采用不同的指标对HSI集成系统的不同方面进行评估。除了完成时间、正确率、频次这些通用指标，还可考虑(但不限于)以下指标：a)匹配性；b)效能改进特性(如有效性、效率、满意度);c)工作负荷(或心理负荷、工作记忆负荷);d)情境意识；e)团队协作；f)信任度；g)认知模型和可理解性；i)易学性；j)生理因素(如视线位置和凝视时间、疲劳)等。应根据对象的特点和评估的目标选取指标。例如，对显示画面导航结构进行评估的时候，除了导航任务完成时间和正确率，还可采用位置感知满意度、视觉搜索效率作为指标。8除了目标电厂具有资质的运行人员，也可选择其他人员担任形成性V&.V的参试者，如正在接受培训的运行人员或设计人员。但应对其对目标电厂的熟悉程度做出正确评估，以支持最终分析结论的准确性。形成性V&.V识别出的问题若不正式传递给HED解决活动，应证明项目已建立有效的人因问题跟踪系统，识别的问题得到完整记录、分析和解决，HSI集成系统设计得以优化。6人因工程设计验证6.1目的HFE设计验证从人的能力和局限性考虑HSI系统的恰当性。HFE设计验证的目的是确保HSI系统的最终设计符合HSI设计导则的要求。6.2过程和方法HFE设计验证的过程和方法如下。b)收集HSI系统特性：通过HSI清单和特性描述(见附录A)明确要验证的对象及其特性，应选择能代表当前最新设计状态且最为逼真的测试设施。c)匹配HSI设计导则和HSI系统特性间的对应关系：导则的某条要求可能适用于许多HSI系统对象，在验证前应对两者的对应关系进行梳理，明确验证项。d)将HSI设计导则和HSI系统的特性进行比较：对于通用属性(如菜单、特定静动态元素、某一型号开关),可基于标准化对象附加实例取样的方式进行验证，对于特殊属性则应逐一验证。应对导则某条要求在多个HSI中应用的一致性进行评价。可根据各设计要素的成熟度从上至下逐步推进HFE设计验证活动，如先开展控制室整体布置、硬件HSI特性、显示画面通用特性的验证。e)识别HED。1)当HSI系统的某个特性偏离了导则要求时，应将其识别为一个HED。2)只有完全符合HSI设计导则的要求，即验证项的每个用例完全符合由导则确定的准则时，才可判定为“通过”。若存在任何HED,无论是完全还是部分存在HED,都应判定为“不通过”,识别为HED。3)若采用取样的策略进行验证，应充分分析HED潜在的扩展问题。例如，识别出某一幅显示画面数据呈现格式不恰当时，其他显示画面格式的使用也可能不正确，或者被观察到的格式在所有地方的使用都不恰当。f)记录和传递HED:应定义格式化的方法，对识别的HED进行记录。记录应清晰标明相关的验证对象，以及HSI特性与特定导则的偏离情况。记录的HED将传递给HED解决活动。HED的分析和纠正属于HED解决活动，见第10章。g)HFE设计验证的关闭：1)若验证项基于设计文件和图纸即可关闭，如果当前条件不成熟不能进行验证或尚无法确2)若验证项还需要跟踪到设计实现阶段才能关闭，应传递到设计实现活动。3)在具体项目中，应综合考虑HSI系统固化情况以及后续设计实现活动的计划，明确HFE设计验证活动关闭的条件。4)HFE设计验证活动应与HSI系统设计和实现过程紧密结合，应明确应对设计变更和工程实现偏差的措施。97人机接口任务支持验证HSI任务支持验证关注用于支持人员任务需求物项的可用性。HSI任务支持验证的目的是确保HSI系统的最终设计能为人员提供执行任务所必需的报警、信息、控制和任务支持。7.2过程和方法HSI任务支持验证的过程和方法如下。a)确定场景：应通过运行条件选取(见附录B)确定人员任务需求，即场景。HSI任务支持验证场景的确定宜考虑与任务分析的延续性。b)收集HSI系统特性：通过HSI清单和特性描述(见附录A)明确要验证的对象及其特性。应选择能代表当前最新设计状态且最为逼真的测试设施。c)将人员任务需求和HSI系统特性进行比较：HSI任务支持验证的启动时间取决于项目特点、任务分析方法和实施节点、形成性V&.V的范围和实施节点等因素。验证可采用分批的方式开展，如根据设计成熟度和场景重要性，先开展安全直接相关以及运行经验反馈存在问题的任务。d)识别HED。1)执行任务所需的某个HSI(某个必需的控制、显示或报警)不可用时，应识别为HED。2)HSI系统特性与人员任务需求不匹配(例如，显示画面给出了需要的电厂参数，但不满足任务所需的参数范围或精度),应识别为HED。3)存在不必要的HSI,应识别为HED。对不必要的HSI进行验证很重要，因为它会造成干扰，并可能分散人员注意力，妨碍其选择适当的HSI。然而，不必要HSI的判定需要慎重，避免由于下列原因造成误判：该HSI在某个任务中是必需的，但该任务不在分析考虑的范围内；分析不完整，忽略了该HSI需求；该HSI仅部分满足所确定的人员任务需求。e)记录和传递HED:应定义格式化的方法，对识别的HED进行记录。记录应清晰标明相关的验证对象(HSI和任务)以及HED的依据(HSI的哪个方面不满足任务需求)。记录的HED将传递给HED解决活动。HED的分析和纠正属于HED解决活动，见第10章。f)HSI任务支持验证的关闭：1)对于当前条件不成熟不能进行验证或无法下最终结论的验证项，应评价为“待定”并持续2)在具体项目中，应综合考虑HSI系统和任务的固化情况，以及后续ISV的范围和时间节点，明确HSI任务支持验证关闭的条件；3)HSI任务支持验证活动需要与HSI系统设计和实现过程紧密结合，应明确应对设计变更和工程实现偏差的措施。8集成系统确认ISV采用基于人员效能和系统性能的试验对HSI集成系统的设计进行确认，目的是确保HSI集成系统充分支持人员对电厂的安全运行，具体包括以下方面。a)确认轮班班组的人员配备、成员的任务分配以及协作(包括内部以及内、外部人员之间的协作)可接受，包括对最小人员配备、正常人员配备、最大人员配备和交接班的确认。b)确认设计能提供必需且恰当的报警、信息、控制和反馈，使得人员任务能成功完成，包括电厂正常运行、瞬态、设计基准事故和选定的风险重要的设计扩展工况(由运行条件选取确定，见附录c)确认特定的人员任务可在符合时间和效能准则的情况下完成，并且人员情境意识水平较高，工作负荷水平可接受(平衡了警觉性和负荷)。d)确认HSI使人员失误最少化，并确保在失误发生时具有失误识别和恢复的能力。e)确认重要人员动作相关的效能假设。例如，属于电厂概率安全评价一部分的人员可靠性分析包含了许多关于风险重要人员动作效能的假设。应对这些假设进行确认，包括关键序列的决策和诊断过程，以及人员操作。应在概率安全评价最终定量化之前完成这项工作。f)确认人员在完成其任务时，能有效地在HSI间(包括规程)进行切换，并且HSI管理任务(如画面配置、导航)不会造成人员注意力分散或负荷过度。具体的确认目的应基于项目需求，结合实际场景和效能测量准则，采用系统的方法确定。8.2实施计划应为ISV实施制定详细计划，明确ISV的：b)场景信息，包括所采用的场景及其选择依据、与试验计划内容详细程度匹配的场景描述信息；c)测试设施及其符合性要求；d)参试者和试验人员的资质要求和培训计划；e)每个场景特定的效能指标，包括用于判断其“通过”或“析的诊断评价指标；f)试验设计(包括场景分配、试验程序、培训安排、预试验等);g)数据收集手段；h)数据分析方法；i)HED识别、记录和传递。8.3场景选择应通过运行条件选取(见附录B),从以下多个维度确定最终的场景。a)电厂条件：1)正常运行；2)瞬态和事故；3)I&C和HSI故障。b)人员任务：1)重要人员动作、系统和事件序列；2)保护动作的手动触发；4)运行经验评审确定的困难任务；5)规程指导的任务；6)基于知识的任务；7)人员认知活动；8)人员交互。c)人员效能影响因素：1)高工作负荷；2)工作负荷变化；4)环境因素。8.4ISV试验设施ISV试验设施是用于实施ISV评价的HSI仿真系统。应在实施ISV试验之前，核实试验设施是否符合所要求的特性。主控制室ISV应采用全范围模拟机，应对下述特性是否符合要求进行核实。a)完整性：试验设施能完全仿真替代集成系统。试验设施应不仅局限于试验场景特别要求的HSI系统，因为邻近的控制和显示可能影响操纵员对特定ISV场景所需要的控制和显示的使用方式。b)实体逼真度：试验设施的HSI系统应能以较高的实体逼真度仿真参考设计，包括报警、显示、c)功能逼真度：试验设施的HSI系统的功能应能以较高的逼真度仿真参考设计，包括HSI运行模式(即人员选定模式后，可调用的功能发生变化)或电厂状态变化。所有HSI功能都应可用。d)环境逼真度：试验设施的环境应能以较高的逼真度仿真参考设计，包括预期的照明水平、噪声、温度和湿度。例如，暖通系统、计算机和通信设备产生的噪声应在ISV试验中进行模拟。e)数据完整性逼真度：提供给人员的信息和数据应完整展现由该设施监视和控制的电厂系统。f)数据内容和呈现逼真度：试验设施的数据内容应能以较高的逼真度仿真参考设计。信息和控制的呈现应基于一个能准确反映参考电厂的基本模型。该模型应能为HSI提供输入，以便HSI显示的信息与实际电厂运行时显示的信息准确匹配。g)数据动态逼真度：试验设施的数据动态特性应能以较高的逼真度进行仿真。工艺仿真模型应能为HSI提供输入，以保证信息流和控制响应的准确性以及响应时间的正确性。例如，提供给人员的信息具有与实际电厂相同的时间延迟。对于全范围模拟机无法支持的HSI,如重要人员动作相关的或复杂的主控制室外的HSI系统，如需要及时和准确的人员操作，应使用仿真或实体模型来核实所需的人员效能是否能满足要求。若人员任务重要度低或相关的HSI复杂度不高，可基于分析来评价人员效能。8.5参试者ISV试验参试者选择应满足以下要求。a)参与ISV试验的人员应能代表目标电厂的实际用户，其资质要求应与目标电厂运行资质要求一致。如，主控制室ISV应采用持证操纵员担任值长、反应堆操纵员和安全工程师，而不是正在受训的待取证运行人员或工程人员。b)为正确反映人员差异，应对参试者进行取样。取样应反映样本来源群体的特性。应明确预期会对系统性能变化产生影响的样本特性，取样过程应合理保证ISV包含了该维度的变化。应明确执照类型和资质、经验，以及一般的人口学特征等因素对样本代表性的影响。c)应覆盖最小人员配备水平、正常配备水平和最大配备水平。d)为保证结果的可信性，应避免使用以下人员：1)设计组织的成员；2)参与过相同试验场景的人员；3)基于某些特性选择的人员，比如效能良好或经验丰富的班组。8.6效能测量ISV应使用一组有层次的效能指标，包括电厂性能(如功能、系统或设备的性能)和人员效能(如人员任务效能、情境意识、认知负荷，以及人体测量/生理因素)。其目的是为确认集成系统设计提供充分信息，并为评价效能偏差提供基准，从而确定改进需求。应为每个特定的ISV场景确定适用的效能指标，包括以下方面。a)主任务指标。1)对于每个场景，应确定完成场景目标必须执行的主任务，以便确定其测量指标。主任务是指电厂人员在监督电厂过程中，行使其功能职责相关的任务，即监视、检查、场景评估、响应计划和响应实施。对主任务的评价应足够详细，从而与任务需求相适应。例如，对一些简单的场景，测量任务完成时间即可满足要求。对于复杂的任务，特别是基于知识的任务，则更适合采用细致的分析，如确定任务的各个组成部分，即查找特定数据、进行决策、采取行动和获取反馈。2)为评价人员任务效能，选择的测量指标应能反映对于系统性能存在重要影响的任务因素，3)主任务分析有助于识别疏忽型人员失误(未执行的主要任务)。此外，应识别和记录参试者偏离了主任务的实际任务操作。这些操作应被用于识别意图型人员失误。b)次任务指标：次任务是指电厂人员与HSI进行交互时必须执行的任务，如在计算机屏幕中利用导航寻找所需画面并对HSI进行配置。次任务效能指标应能反映HSI运行时的具体需求，如配置工作站的时间、显示画面间的导航，以及显示画面的操作(如变更显示类型和刻度设c)情境意识指标：情境意识是指电厂人员在任意给定时刻，对电厂参数的感知，对电厂工况的理解，以及对电厂未来状态的预测与其实际状态的符合程度。d)工作负荷指标：工作负荷由体力负荷、认知负荷以及其他对电厂人员产生的需求组成。效能指标应体现工作负荷或不同维度工作负荷的影响。e)人体测量和生理类指标：人体测量和生理类的因素包括信息的可视性、控制装置的可达性、控制装置的操作便捷性等。这类设计特性大部分已由HFE设计验证进行过评价。因此，应关注仅能通过集成系统试验进行评价的设计特性，如人员在执行任务时有效使用各种控制、显示、工作站或控制台的能力。在确定最终采用的效能测量方法前，应对如下特性进行权衡：——效度：一个测量指标应真实表征所要测量的效能因素；——信度：测量应可复现，即同一环境条件下用相同的方法测量同一变量，应得到相同的测量结果；——测量能力：测量范围、灵敏度、数据采样频率应与要被评价的效能维度相适应；——侵入性：测量应尽可能少地改变参试者的心理或生理过程；——客观性：测量应基于易观察到的现象。应为每个测量指标确定特定的准则，用于判断效能是否可接受，并描述其基准。要求、基准、规范、专家判断均可为制定效能指标的基础准则提供参考。应明确每个测量指标是通过性准则，即用来决定设计是否可通过确认；还是用于诊断存在的问题诊断性准则，即用于更好地理解人员效能，以便对人员失误和HED进行分析。8.6.4测量和记录应明确获取这些测量数据的方法，如通过模拟机数据记录、参试者调查问卷或观察员的观察记录等。应规定何时获取或记录每个测量指标的数据，如连续获取、在场景中的某个特定时刻或在场景结束后。8.7试验设计应在班组间对场景进行均衡分配，为每个班组提供相似的、有代表性的场景。在ISV中不宜将场景随机分配给班组。只有参试者班组数量足够大时，随机分配才能有效控制偏差。应平衡不同场景相对于参试者班组的出现顺序，以合理保证场景不会始终以相同的顺序出现。例如，简单的场景不总是最先出现。应采用详细、清晰的程序指导试验的实施，程序内容应覆盖以下方面。a)班组与场景的匹配信息，以及场景出现顺序。b)用于参试者的详细说明资料。说明资料的形式和详略程度会对参试者任务完成效能造成影响，应通过一致性的说明资料最小化这一偏差。c)为试验人员实施试验场景提供的特别指导，见B.4。d)在模拟机或试验出现问题时，何时和如何与参试者进行交互的指导。即使采用高逼真度的模拟机，参试者仍可能遇到试验环境失真的情况，造成所关注任务的效能降低。应为试验实施者提供处理此类情况的充分指导。e)关于何时、如何收集和储存数据的说明，例如：2)特殊目的数据采集工具(如情境意识和工作负荷问卷，或生理测量仪器);3)摄像机(定位和视角);4)试验人员(如观察员的观察清单)。f)文档要求：1)标识和维护试验记录文件，包括班组和场景的详细资料；2)收集的数据；3)试验实施人员建立的日志；4)试验程序应详细说明日志需要记录的信息类型(例如何时进行试验、与试验程序的偏差及偏差产生的原因、对于理解试验进展状态以及解释试验结果重要的任何不寻常的事件),程序还应阐述何时记录各种类型的信息。试验程序应尽可能降低试验人员预期偏差或参试者响应偏差产生的可能性。如果试验人员的预期对数据收集产生了系统化的影响，则可能引入偏差。预期可通过许多方式影响效能。例如，试验人员可通过提供细微的线索或通过交流引导参试者，或者他们在评价参试者的效能时可能更倾向于反映有利设计的方面，而不是作为客观的观察者。参试者响应偏差是指试验设计本身对参试者数据的获取产生了影响。响应偏差未必意味着参试者的任何意图都不可信。试验环境可能影响参试者，使其无法完成试验目标。响应偏差可能以下列方式——参试者可能希望影响输出结果，因而偏向于使产生的数据与他们所期望的结果相一致；——参试者可能想要给出他们认为试验人员希望获取的数据；——参试者可能试图了解效能如何在不同情况下发生变化，因此使数据与这种变化相一致；——参试者可能想要表现得优秀，因为他们知道自己正在被观察。对试验人员的培训应关注以下要点：——试验程序的使用和重要性；——未能准确地执行试验程序，或与参试者不恰当的交互，在数据中引入的偏见和错误；——准确记录试验中发现的问题。对参试者培训的要求如下：——对参试者的培训应与电厂人员接受的培训高度相似，培训应合理保证参试者对电厂设计、运行、以及HSI系统使用的了解与一名有经验的电厂人员相当；——不能对参试者开展专门针对选定ISV试验场景的培训；——应提供一致的培训，以避免引入偏差；——应使其效能趋于稳定，并在实际的ISV试验之前进行测试。应在ISV试验前进行预试验，以评估试验设计、效能测量和数据收集方法的正确性和充分性。预试验不应使用ISV试验的参试者。应在正式试验开始前，解决预试验识别出的、对正式试验开展和结果评估有效性有不可接受影响的问题。8.8数据分析应在试验完成后及时分析数据。数据分析应注意以下方面。a)结合定量和定性的方法进行数据分析，建立所观察的效能数据与所建立的效能评价准则之间清晰的关系。b)阐述试验数据的分析方法，包括用于判断每个给定场景是否成功的准则。c)对相互关联的测量结果的收敛效度进行评价，即预期用于评价同一个效能因素的测量指标之间应具有一致性。例如，如果情境意识通过参试者问卷和观察员打分两种手段测量，结果应具有一致性，否则应确定其原因。d)在解释试验结果时，应允许存在一定的误差容限(实际效能的变化可能大于观察到的试验效e)核实数据分析的正确性。这项工作应由原先执行分析工作之外的人员或小组承担，但可来自同一个组织。以下情况应识别为HED:a)不满足通过性准则；b)与诊断性准则存在偏离；c)试验人员、参试者的负面反馈和评价。鉴于ISV的综合性，ISV识别的HED可能覆盖HSI集成系统的某一个组成部分，或是多个组成部分之间的交互。应定义格式化的方法，对识别的HED进行记录。记录应清晰标明相关的HSI集成系统组成部分，以及识别为HED的原因。记录的HED将传递给HED解决活动。HED的分析和纠正属于HED解决活动，见第10章。应对ISV的计划、实施、分析和结论进行记录，特别是ISV试验的统计和逻辑依据。ISV结果的详细程度，应能判断集成系统的效能在目前和将来都是可接受的，即确认试验能证明最终设计具备支持电厂安全运行的能力。应在文件中记录ISV试验的局限性，以及这种局限性可能会对ISV试验结论和设计实施产生的影响。局限性可能包括：a)难以控制的试验特性；b)试验场景和真实运行的潜在差异，例如试验不存在电厂效益和安全之间的冲突；c)经确认的设计和实际建成的电厂或系统之间的潜在差异，如果ISV试验是基于差异信息可获取的、实际建造中的电厂，或是基于参考电厂的确认结果的新电厂设计。9设计实现设计实现的目的是：a)确保在已完成的V&.V活动中未涉及的设计特性，在设计实现中全部得到覆盖；b)证明最终的电厂与经过V&.V的设计是一致的，在实际电厂和工作环境中实现时，不存在非预期的问题。9.2过程和方法设计实现的过程和方法如下。a)HED识别：1)可采用类似于HFE设计验证的方法，基于实际电厂系统对V&.V活动中未涉及的设计特员配备和培训相对于设计描述级文件出现的偏离进行评价，核实其并未引入新的HED。b)HED记录和传递：应定义格式化的方法，对识别的HED进行记录。记录的HED将传递给HED解决活动。HED的分析和纠正属于HED解决活动，见第10章。c)设计实现的关闭：明确设计实现活动关闭条件时，应充分考虑9.1中目标的实现情况。10人因偏差解决HED解决活动负责对V&.V活动传递过来的HED进行分析、跟踪和解决。HED解决应：a)对HED进行分析和评价，以确定是否需要纠正；b)对必须纠正的HED,确定解决方案；c)确保解决方案的完整实现。HED解决宜与V&.V其他活动一起反复进行。10.2过程和方法在进行HED分析时，应关注以下方面。a)人员任务和功能：HED对人员任务的影响，以及这些任务所支持的功能。HED的影响可通过人员功能对于电厂安全的重要性(例如，失败的后果)以及HED对人员效能的累积效应(例如，损害程度和可能的失误类型)进行判断。b)电厂系统：HED对电厂系统的影响，考虑这些系统的安全重要性、对事故分析的影响，及其与电厂概率安全评价中风险重要序列之间的关系。HED对电厂安全和人员效能的潜在影响，可部分地通过特定设备相关的电厂系统的安全重要性进行判断。c)HED的累积效应：HED分析应确定多个HED对电厂安全和人员效能潜在的累积作用。虽然单个HED可能没有严重到需要纠正的程度，但多个HED的组合可能对设计的某一特性产生严重损害电厂安全的作用，从而需要纠正。同样，如果单个电厂系统具有多个相关的HED,并影响到多个HSI,则应分析这些HED对于电厂系统运行可能的组合效应。d)HED的普遍效应：在解决特定HED的同时，应确定这一HED是否意味着存在潜在的普遍问题。例如，若识别出与HSI某一设计特性(如远距离停堆盘)相关的多个HED,也可能意味着该设计特性存在其他问题，如设计程序和“样式导则”使用不一致。在整个HSI集成系统的背景下，若某项HED的技术恰当性能被证明为可接受的，则可判定为人因例外项。技术恰当性的分析包括最新研究文献的结果、当前的实践经验、对多个方案的权衡研究、形成性V&.V的评估等。10.2.3人因不符合项分级和判定是否需要解决未通过人因例外项判定的HED定义为人因不符合项。区分人因不符合项优先级时，应分析其对安全、经济性的影响。可针对不同优先级的人因不符合项，制定不同的解决原则。人因不符合项分级原则和示例见附录C。10.2.4人因不符合项解决方案开发和实施应确定纠正人因不符合项的解决方案，解决方案可涉及HSI系统(包括规程)、培训多个方面。在开发和实施解决方案时，不应独立地考虑人因不符合项，而应最大限度地考虑各个人因不符合项之间可能存在的关系和相互影响。例如，如果单个电厂系统的HSI与多个人因不符合项关联，则解决方案应相互协调，从而提高整体的效能，并避免各个方案之间的冲突。与此类似，如果单个电厂系统与多个具有人因不符合项的HSI关联，则每个解决方案应是相互协调的，使得设计结果更加完善，而不是损害系统的运行。在某项特定的V&.V活动中，在识别所有人因不符合项之前，可先开发一部分人因不符合项的解决方案。但前提是在实施解决方案之前，已经考虑了人因不符合项之间的潜在相互影响。10.2.5人因不符合项再验证和确认应对解决方案的实施进行评价，以证明该人因不符合项已被解决，并确保未引入新的人因不符合项。通常，该评价过程应使用最初确定该人因不符合项的V&.V方法。例如，如果人因不符合项通过HFE设计验证确定，则评价解决方案时应采用相同的验证过程。然而，也可采用其他方法评价解决方案是否满足要求。例如，若通过HSI某方面的重大变更来同时解决多个人因不符合项，可对最终的HSI设计进行一次确认，确保变更的最终完整效果是可接受的。应对每个HED解决的信息进行记录，记录应包括HED如下信息：——编号；——相关的人员任务和功能、电厂系统；——判定为HED的原因；——对累积效应、普遍效应的分析；——人因例外项判定依据和结果；——人因不符合项优先级；——要否解决的判定依据和结果。对于判定为需要解决的人因不符合项，还应记录：解决方案、再验证和确认的结果。HED解决的记录可与人因问题跟踪系统结合。应核实人因V&.V所有活动识别出来的HED均已被充分考虑和应对，证明所有HED已被满意地对于在人因V&.V中确定不解决的人因不符合项，应妥善记录并传递到运行和维护阶段，供电厂改造考虑。11改进型新电厂的特殊考虑新建核电厂可分为HSI集成系统全新设计、改进设计两种情况。应为全新设计开展最为完整的人因V&.V活动，包括及时、充分的形成性V&.V,以及完整的总结改进型新电厂设计从HFE的角度，相对参考电厂仅进行了有限的变更或优化，即当前电厂仅是某“标准”电厂的“翻版”项目。若能为当前项目属于改进型新电厂进行论证并提供充分的理由，则可对人因V&.V活动进行裁切。设计变更管理是改进型新电厂项目判定的基础，差异分析和变更管理应覆盖4.2的范围。形成性——参考电厂V&.V活动的完整性和质量；——变更和优化的范围和程度；——运行经验反馈；——是否存在新的监管要求；——是否存在新技术发展要求。设计实现、HED解决与全新设计项目不存在差异。12电厂改造的特殊考虑12.1改造项的人因风险等级电厂改造项目开展人因V&V的必要性取决于改造是否对人员效能造成了影响。不同改造项目差异较大，应有针对性地开展人因V&.V活动。图3描述了确定改造项的人因风险分析过程。对人员效能产生影响的改造项对人员效能产生影响的改造项风险水平综合分析经济性初始人因风险等级根据次要因素调整风险水平复杂性改造实施方式最终人因风险等级人员安全性电厂安全性不确定性范围图3改造项的人因风险分析若改造项对人员效能存在影响，则应从电厂安全性、电厂经济性(电厂运行、电厂可靠性和投资保护)、人员风险三个方面对改造的人因风险进行综合分析。在对这三类风险分别分析的基础上，基于电厂安全风险、经济风险和人员安全风险中的最高等级，可确定改造项初始人因风险等级，如表3所示。表3改造项初始人因风险等级电厂安全风险经济风险人员安全风险改造项初始人因风险等级高紧急停堆、主要设备损坏、长期停堆存在死亡、严重伤害，或严重的放射性/严苛环境暴露风险1级人因改造项(高风险)中电厂收益下降或同等的设备损失存在伤害、或放射性/严苛环境暴露风险2级人因改造项(中等风险)低其他无人员安全影响3级人因改造项(低风险)确定改造项的初始人因风险等级后，可根据下列因素进行修正，以确定最终的人因风险等级。a)范围：1)受影响HSI的数量；2)受影响的任务数量；3)受影响的人员范围。b)复杂性：——设计特性或设备级的改造，如修改设备标签、替换某一型号的控制器；——系统级的改造，如将新的工艺系统引入主控制室、用COPS替代纸质规程；——整体性改造，如整个主控制室的数字化改造。2)受影响任务的复杂性，如：——改变任务执行顺序；——改变任务执行的自动化水平；——改变任务执行时的环境条件。3)相关技术的复杂性，如用Ⅲ类COPS替代纸质规程，相对于用I类COPS替代纸质规程(COPS分类按照NB/T20270规定)。1)完整的大型改造，以及很多小的改造组成的改造项目；2)单次停堆期间的改造，以及多次停堆期间的改造；3)同时保留新旧设备的改造(包括新的非功能性HSI和旧的功能性HSI并存),以及不保留旧设备的改造。1)改造相关的经验水平，包括行业的和特定电厂组织的；2)已有的人因分析和记录的完整性。12.2电厂改造人因V&V策划可根据改造项目特点确定是否开展形成性V&.V活动。总结性V&.V可按表4进行策划。表4改造项人因风险等级与V&V活动1级人因改造项2级人因改造项3级人因改造项HFE设计验证√√√HSI任务支持验证√√√设计实现√√√√√√V&.V活动的目标、范围、方法和深度可根据特定周期、特定改造对象特点单独定义，但应在整个改造活动中实施统一的HED解决活动。对于很多小改造组成改造项目或多周期电厂改造，应确保人因V&.V策划的完整性和一致性，为改造中和改造后电厂的安全运行提供合理保障。应充分识别新旧系统并存对人员效能带来的负面影响。应覆盖运行和维修人员在电厂非停堆期间以及停堆期间使用的临时配置，以证实它们从工程和运行角度看都是可接受的。12.3电厂改造人因V&V活动12.3.1虽然改造项的人因V&.V活动与新建核电厂类似，但不同V&.V活动也存在特殊的考虑。12.3.2HFE设计验证和设计实现的特殊考虑如下：a)验证范围可限定于被改造的HSI系统，以及受改造影响的HSI系统；b)应确保改造项都遵循了一致的HFE原则和HSI设计导则，从而保证旧系统和新系统之间，以及新系统内的标准化和一致性；c)当相似HSI的旧版和新版同时可用时，应能为两者在显示、操作方式上的协调提供合理保证，以便交替使用它们时，人员效能不会受到影响；d)应采用一致的HFE原则对临时配置进行验证，确保临时配置的设计遵循了良好的HFE原则；e)应清晰标识非功能状态的HSI。12.3.3HSI任务支持验证的特殊考虑如下。a)应核实执行重要人员动作所需的HSI具有一致性，且是标准化的。b)应核实新的系统满足明确的运行需求，并且不对现有系统造成干扰。例如，新HSI的报警声不应干扰操纵员处理更重要的报警。c)若存在未引起HSI系统改造的电厂系统改造，应关注电厂系统改造是否带来了新的监测和控制需求，并评价现有的HSI设计是否能满足要求。d)若改造同时保留新旧HIS。1)不应要求人员在执行同一任务的不同部分时，既使用旧HSI又使用新HSI。2)当设备控制可同时由多个不同的HSI控制器实现时，应对其中的安全问题进行识别和解决。例如，为了避免同时产生控制输入，可为控制同一设备的两个HSI控制设备增设一个选择开关。3)对于改造，HSI包含了不支持人员任务的信息、显示或控制可能难以避免。被永久禁止但仍保留在原位(如该位置被弃用)的HSI可能对人员效能产生负面影响(如阻碍了重要信息的查看，或增加影响监视的视觉干扰),应对其进行识别和评估。评估可进一步结合其他人因V&.V活动。e)应验证临时配置对预期任务的支持。1)临时配置可包括与最终设计目的不同的HSI,以及各自的初始目的以及组合后的预期目的不同的HSI和系统的配置组合。2)对于每个临时HSI配置来说，应鉴别人员的任务需求，并将其与所提供的信息和控制功能相比较。例如，如果电厂系统的临时配置引入特殊的监控要求，应对所需的HSI支持进行验证。12.3.4ISV的特殊考虑如下。a)若电厂模拟机培训已覆盖2级人因改造项所涉及的场景，并能为人因评估提供充分保障，可采用培训观察替代ISV。b)若改造同时保留新旧HSI:1)应对并行报警的同时出现对人员效能造成的负面效应进行识别和解决；2)若同一信息在新旧系统的显示或指示存在差异，应对其引起的人员效能负面效应进行识别。c)若受临时配置影响的人员任务具有较高的风险或重要性，ISV应覆盖临时配置。临时配置应包括临时规程以及针对临时配置的培训。12.3.5HED识别的特殊考虑如下。a)除了系统设计者指定的特定功能，HSI不能实现其他“人员指定的”功能。例如，当一个数字化系统替代现有系统时，确保新系统能实现被替换系统的应用功能非常重要，尽管初始设计并未有意包括这些功能，设计新系统时应对人员实际使用被替代系统的方式进行分析。b)与其他HSI集成性差。c)与规程和培训结合性差。13就地区域的特殊考虑为了确保电厂的安全性、可运行性和可维修性，有必要对电厂就地区域开展人因V&.V。这不但有助于提升具体设备和系统的人因水平，也能更好地保证全厂范围内HSI设计的一致性。当电厂人员从某个区域或设备转到另一个区域或设备时，HSI设计的不一致将大大增加人员失误的可能性。可根据改造项目特点确定是否开展就地人因V&.V活动。鉴于就地HSI的复杂性、任务类型的多样性，以及项目限制条件，应逐一确定就地人因V&.V活动采用的方法。方法选择应综合考虑不同的形成性V&.V和总结性V&.V活动，以及任务分析等其他人因活动的特点和关联。允许对方法进行裁切，如将形成性V&.V、HSI任务支持验证和ISV进行合并，或采用任务分析替代HSI任务支持验证。若进行裁切，应论证整个HFE项目依然能为就地HSI集成系统提供充分的HFE保障。应为就地人因V&.V制定策划，保证活动的统一性，并指导具体就地V&.V活动的开展。制定策划确定义就地人因V&.V活动的范围。应覆盖重要人员动作相关的就地HSI。 用户类型：就地HSI用户类型广泛。优先考虑负责执行与电厂安全直接有关任务的人员，如现场操作员。按需考虑I&.C技术人员、电气维修人员、机械维修人员、辐射防护技术人员、化学技术人员、工程支持等其他类型用户。相关人员的参与，对获得全面、平衡的反馈至关重要。——组织结构和授权：应清晰定义就地人因V&.V相关的组织、专业的职责及相互间的接口，应从组织层面保证与解决就地HED匹配的授权。 流程和里程碑；由于就地区域设计变更相对困难，应定义合理的时间节点和里程碑。例如，申厂布置等特性的人因V&.V,应在设计初期就开展。应核对HSI设计导则是否满足就地人因V&.V的要求，包括以下方面。——导则指标符合就地人因要求。例如，由于电厂就地运维空间有限、环境条件控制困难，除了提出一个优选、推荐的控制限值，导则宜补充一个“可接受限值”,该“可接受限值”可能超出其他人因相关导则和标准中规定的首选或通常可接受的限值。——人体尺寸相关导则考虑了就地区域的特点，如百分位范围的选择、服饰修正量等。鉴于就地问题的复杂性，除了详细的“样式导则”,亦可补充通用的人因原则以保证评估的全面性。应对支持就地HSI物理特性评估的实体模型、三维数字模型进行系统规划，包括范围、精细程度、可用时间等。模型的精细程度应与评估目标相匹配，例如评估设备搬运抓握特性时，宜对设备质量也进行模拟。若采用缩小或放大尺寸的模型，应分析其与等比例尺寸设备的差异，是否会对V&.V结果有效性造成影响。对于认知交互特性是人员效能主要影响因素的HSI系统，也应按需提供原型机。必要时，需要对恶劣环境进行模拟。就地V&.V可采用数字人体模型或实体人体模型，包括完整的人体模型或局部的人体模型(如手)。评估时应选择与设计尺寸相关的人体尺寸(集)。当存在多个人体尺寸耦合时，宜考虑适配率递减的影响。13.2.3.1在判断就地HED是否需要进行纠正时，需对多种因素进行权衡。例如，对于人体尺寸相关的问题，若操作员为了进行控制或操作而屈膝、跪下或弯腰，或者向上伸手超出其头部，在确定HED是否需要解决时，可综合分析相关控制操作是否是：——不频繁的；——短时间的；——便于操作员读取标识，以确保操纵员能正确完成任务；——无需精确控制和调节的；——控制器足够大，不需要非常灵巧的操作(如控制器可用手抓握，而不是用手指操作);——在控制器附近提供弯腰和工作的空间。13.2.3.2环境条件越宽松，电厂就地区域内偏离HFE要求的HSI系统和不方便的操作就越可能被接受。若经济代价超过收益，解决方案也可进行适当的妥协。例如，解决可达性问题时，通过设置临时或可移动的访问平台，避免对工艺系统进行设计变更；通过增加轮替人员，缩短工作人员暴露在不舒适环境中的时间长度，将不利环境对人员健康的影响控制在可接受范围内。但对于降低电厂安全、阻碍人员完成任务或使人员有受伤风险的情况是不可接受的。13.2.3.3把商业现货产品集成到已有系统中时：——应对一致性等HSI人因特性进行评估；——应对是否会导致工作环境或任务执行产生不良变化进行评估；——应对是否需要开发额外规程或进行规程优化进行评估；——应对是否需要额外的培训进或提出人员技能和资质的新要求进行评估； 与HSI设计导则要求偏离较大，对人员安全和效能、工作环境带来了较大负面影响的产品不应用于核电厂就地区域。(资料性)人机接口清单和特性描述HSI清单和特性描述属于人因V&.V中的支持性活动，其目的是确保收集的资料或所采用的测试设施能体现HSI系统当前最新有效状态，对设计变更进行有效追踪和管理，保证特定验证或确认活动输入的有效性和规范性。可通过不同的方式开展HSI清单和特性描述，但应确保采用方法的有效性。一般而言，清单信息应至少包括HSI系统的范围、完整的基线信息、HSI系统各组成部分的特性描述。HSI系统的范围包括待V&.V的HSI系统组成部分，或运行条件选取确定的所有HSI系统组成部分。完整的基线信息包括唯一的标识码或名称、版本信息、适用的设计变更等信息。对于HSI系统各组成部分的特性描述，无论依赖于4.4的哪一类载体，都应确保其准确地反映了HSI系统的当前状态。特性描述的逼真度取决于具体V&V活动的需求。定义描述HSI特性所需的最小信息集时，可考虑下列信息。a)相关的电厂系统和子系统。b)相关的人员功能和任务。1)基于计算机的控制，例如，触摸屏或光标操作的按钮和键盘输入；2)硬接线控制，例如，J形手柄控制器、按钮和自动控制器；3)基于计算机的显示，例如，数字读数和模拟显示；显示格式(如棒状图和趋势图)。和控制方式(输入方式)。f)人机交互和对话类型，例如，导航辅助和菜单。g)数据管理系统中的定位信息，例如，信息显示屏幕标识码。(资料性)运行条件选取运行条件选取应：——涵盖电厂运行期间可能遇到的典型代表事件；——体现对系统性能变化有预期影响的系统特性；——考虑HSI设备的安全重要性。这些取样特征可由多维度的取样策略识别，这一最优策略保证了V&.V能够覆盖重要维度的变化。运行条件选取将确定一个运行条件范围，用于指导基于任务序列的考虑任务序列特性的形成性V&.V、HSI任务支持验证和ISV。B.2～B.4将针对主控制室HSI任务支持验证和ISV进行描述，即运行条件选取应同时考虑电厂条件、人员任务和人员效能影响因素三个维度。其他V&.V活动的运行条件选取可按需要进行裁切，但需清晰描述用于鉴别和选择运行条件的维度，以及它们与场景的结合情况，见B.5。B.2维度电厂运行包括以下方面。1)电厂启动；2)电厂停堆或换料；3)运行功率发生大的变化。1)瞬态(例如，汽轮机紧急停机、丧失厂外电源、全厂断电、丧失所有给水、丧失厂用水、主控制室电源或选定母线失去供电，以及安全阀或卸压阀瞬态故障);2)事故(例如，主蒸汽管道破裂、正反应性引入、功率运行期间控制棒插入、未能紧急停堆的预期瞬态、不同尺寸的冷却剂丧失事故);3)使用远距离停堆系统实现反应堆停堆或冷却；4)由电厂特定的概率安全评价确定的合理的、风险重要的、超设计基准事件。1)I&.C系统，包括传感器、监视、自动控制和通信子系统(例如，安全有关系统的逻辑和控制单元、容错控制器);2)设计基准事故期间I&.C系统共因故障；3)HSI,包括丧失报警、显示、控制和COPS的处理和显示功能。B.2.2人员任务B.2.2.1重要人员动作、系统和事件序列应包含所有重要人员动作。根据概率安全评价的定义，其他对风险贡献很大的因素也应被覆盖：a)占主导地位的事故序列；b)占主导地位的系统(通过概率安全评价重要性评价识别到的，例如，风险增加因子或风险降低因子)。B.2.2.2保护动作的手动触发：应包含关键安全功能的手动系统级驱动。B.2.2.4运行经验评审确定的困难任务：应包含在运行经验评审中确定的存在困难的所有人员任务。B.2.2.5规程指导的任务包括以下方面。a)应包含规程明确定义的任务。b)操纵员应能理解和执行规程规定的步骤，这个过程是基于规则的决策活动的一部分。2)电厂总体运行规程；3)安全有关系统的启动、运行和停止规程；5)应急和其他重大事件规程(例如，反应堆事故，以及通报应急行动水平);6)放射性控制规程；7)测量和试验设备控制规程、监督试验规程和校准规程；8)运行维护规程；9)化学和放射性化学控制规程。B.2.2.6基于知识的任务包括以下方面。a)取样应包含规程未详细规定的任务。b)如果规程提供的规则不能完全解决问题，或者未明确该如何选择适当的规则，那么一些场景可能需要基于知识的决策过程。例如，在压水反应堆电厂中，如果电厂二次侧的放射性监测发生故障，那么诊断SGTR可能会很困难。这是因为通过二次侧出现放射性来判断，破口没有明显的指示；破口引发的效应(即一次侧和二次侧液位和压力会发生轻微的变化)可能被认为是由其他原因引起。尽管操纵员会使用规程来处理事件症状，但确定事件的起因是SGTR就需要开展场景评价，而且这一评价就是基于操纵员对电厂设计和能引起所观察症状的所有可能的故障组合的理解。基于规则的决策中的错误，是由选择了错误的规则或不正确使用规则所致。基于知识的决策中的错误则是由较高层次的认知功能(如判断、计划和分析)错误所致。后者更可能发生在症状与典型事件不相似的复杂故障事件中，因此后者不遵从预先建立的B.2.2.7人员认知活动包括以下方面。a)检查和监视(如查看关键安全功能是否受到威胁)。b)场景评估(如为诊断电厂工艺过程、自动控制系统和安全系统的故障，对报警和显示画面所做解释)。c)响应计划(如评估恢复电厂故障的可选方案)。d)响应实施(如电厂系统的控制回路中，对自动控制系统采取手动控制，并执行复杂的控制操作)。e)获取反馈(如操作成功的反馈信息)。B.2.2.8人员交互包括以下方面。a)应包含由单个人员独立完成的任务。b)应包含由团队完成的任务：1)主控制室操纵员之间的交互(如运行、操纵员交接班);2)主控制室操纵员与辅助操纵员及其他在就地执行任务的电厂人员之间的交互(如维修人3)主控制室操纵员与技术支持中心和应急指挥中心之间的交互；4)主控制室操纵员与电厂管理人员、安全监管方和其他厂外组织间的交互。B.2.3人员效能影响因素应包括影响人员效能的场景因素或导致失误的情况。还应包含经过特殊设计、易造成人员失误的情况，以此评价系统的容错性，以及当失误发生时操纵员从失误中恢复的能力。例如以下因素。a)高工作负荷：应包含工作负荷高的情况，以便评估人员效能由于高工作负荷和多任务处理发生的变化。b)工作负荷变化：取样应包含工作负荷变化的情况，以便评估由于工作负荷变化引起的人员效能变化。工作负荷变化的情况如：1)一段时间内信号很少，随后突然出现大量需要监视和处理的信号；2)一段时间内持续高任务负荷，随后需要监视和处理的信号突然减少。c)疲劳：在可行的范围内，取样应包含与疲劳相关的场景，例如，上晚班，以及频繁执行重复动作的任务(如在电厂运行或提棒期间对触摸屏重复输入)。d)环境因素：在可行的范围内，取样应包含可能导致人员效能变化的环境条件，例如，弱照明、极端温度、高噪声和模拟的放射性污染。B.3场景确定应将取样结果组合起来，确定一系列用于后续分析的V&.V场景。一个给定场景可能组合了由运行条件选取确定的多个特性。确定场景时还应避免有下列倾向。——预期只会产生有利结果的场景。——相对易于实施的场景。例如不能仅仅因为需要在模拟机上安装和运行，而取消某一用于ISV的场景。——熟悉的、标准化的场景。例如，处理熟悉的系统以及与电厂规程高度一致的故障模式的ISVB.4场景定义场景应对任务序列信息进行清晰描述。场景定义的详细程度应与试验计划包含的内容相当。对于