1、ICS 27.1却.10F臼J 中华人民共和国核行业标准EJ/T 1118-2000 核电厂控制室设计验证和确认(IEC 1771: 1995, Nuclear power plants Main control room Verification and validation of design,MOD) MMMM -EE- M呻HH4UUHM 们UUUUUUmuHHHHMMMMm咽nuatt配UUUAUMMMmmm啤啤EaizBE配mqu”HHHMMFD taEE-ttnu e卜们川川川川川auEE-EaEE-Eaa-ru -EE- . , EEEEEE- EE-EEl-fl a-EE-E
2、 2001-02-28发布2001 -08-01实施国防科学技术工业委员会发布EJ/T 1118一2000目次前言. II l 范围2 规范性引用文件.3 术语. I 4 新控制室设计的验证和确认2 5 改进型设计和设计修改的验证和确认.14附录A(资料性附录)功能分配评价方法的例子.18 附录BC资料性附录)评价的辅助手段.20 附录c(资料性附录)认知能力分析.21 附录DC资料性附录典型的评价方法.24 EJ/T 1118-2000 前昌本标准等效果用国际电工委员会标准IEC1771:1995 和IAEA50-SG-08: 1984 Safety-related instrumentat
3、ion and control systems for nuclear power plants己分别转化成我国核安全导则HAD102/10核电厂保护系统及有关设施和HAD102/14核电厂安全有关仪表和控制系统。因此,本标准将直接引用我国标准GB厅13630-92、GB厅15474一1995、EJ厅759.l759.2-2000、HAD102/10和HAD102/14。而对于lEC1771:1995中引用的其他标准,因为在本标准的条文中均未出现,所以未予引用。在本标准发布后,新的核电厂控制室的设计或现有核电厂控制室设计修改应符合本标准的规定。本标准可单独使用。与下述标准结合使用时,可以为核电
4、厂控制室的设计提供全面指导:GB/T 13630-92 核电厂控制室的设计(eqv IEC 964: 1989) GB/T 13631-92 核电厂辅助控制点设计准则(eqvIEC 965:1989) EJ厅759.l759.2-2000核电厂控制室控制器和屏幕显示的应用(eqvIEC 1227: 1993 & IEC 1772: 1995) HAF 10055 C 95) 核电厂控制室设计的人因工程原则本标准的附录A、附录B、附录C和附录D都是资料性附录。本标准由全国核仪器仪表标准化技术委员会提出。本标准由核工业标准化研究所归口。本标准起草单位:国家电力公司苏州热工研究所。本标准主要起草人:
5、范正平。EJ/T 1118-2000 核电厂控制室设计验证和确认1 范围本标准规定了核电厂控制室设计的验证和确认(V&V)程序和一体化控制室系统及功能分配的验证和确认(V&V)准则。本标准适用于新的核电厂控制室设计和现有核电厂控制室设计的更新或修改。核电厂内其他控制区域的设计也可以参照采用。2 规范性引用文件1)下列规范性文件中的有关条文通过本标准的引用而成为本标准的条文。下列注明日期或版次的引用文件,其后的任何修改单或修订版本都不适用于本标准,但提倡使用本标准的各方探讨使用其最新版本的可能性。下列未注明日期或版次的引用文件,其最新版本适用于本标准。GB厅136302核电广控制室的设计(eqv
6、IEC 964: 1994) GB厅15474-1995核电厂仪表和控制室系统及其供电设备安全分级(eqvIEC 1226: 1993) EJff 759.l759.2-2000 核电厂控制室控制器和屏幕显示的应用(eqvIEC 1227: 1993 & IEC 1772: 1995) HAD 102/10 核电厂保护系统及有关设施HAD 102/14 核电广安全有关仪表和控制系统3 术语3. 1 3. 2 3. 3 本标准除采用GB厅13630的术语外,还采用下列术语:新设计new design 全新电厂的设计和建造(本标准完全适用)。现行设计current design 新建电厂的设计和建
7、造己经开始的状态。使用本标准的同时也要对进度状况或其他制约因素造成的例外进行判断。设计修改design modification 从更换单个仪表,渐进修改设计直到翻版一座现有电厂所进行的全部修改。本标准适用于正在考虑的设计修改。在翻版设计情况下,应进行审查以确定是否有明显的改进并对所有的重大差异进行论证。I )删去原标准引用的!EC73: 1991, !EC 447: 1993. 3.5 3.6 3. 7 EJ/T 1118-2000 3.4 设计更新design renewal 对现有电厂重新设计控制室或控制区(本标准完全适用)。评价工作组evaluation team 负责评审过程的多学科
8、工作组。功能分配function assignment 人和系统的自动化部件之间的功能分配。人因工程偏差human engineering discrepancy 与某些准则的偏离,例如偏离标准或人因工程惯例、偏离操纵员的爱好(或需要)或操纵员执行任务隐含的或明显需要的仪表(或设备)特性。3. 8 (操纵员)人为失误human error(of operator) 不是由于缺少适当的信息显示和控制能力所造成的对一项任务的疏忽或对己规定行为准则的操纵员任务完成不适当、不完全或超出允许偏差范围。3. 9 评审过程review process 验证操纵员通过控制室设施(信息量、控制设备等)为实现其功
9、能目标而执行其任务的过程。3. 10 操纵员的工作负荷operator workload 在规定时间内对操纵员要求完成的任务总和。要求的行为可能是体力的、认知的、感知的、言语的、具体的或象征的或其组合。4 新控制室设计的验证和确认4. 1 总体设计过程按照GB厅13630的规定,核电厂控制室设计包括两个主要阶段:功能设计和详细设计。4. 1. 1 功能设计阶段(见GBff13630-92第5章)在这个阶段完成对人和机器的功能分配,它包括四个主要步骤,即功能分析(确定电厂运行所需要的全部功能)、对人和机器的功能分配、功能分配的验证和确认、作业分析。对于新控制室设计,为了优化功能分配和实现这些功能
10、的任务分配,应进行相应的分析。4. 1. 2 详细设计阶段(见GB厅136392第6章)在这个阶段确定控制室的布置、环境和功能的技术要求。这个阶段的工作也按多个步骤进行,包括确定控制室功能的技术要求、规程和人员培训的功能技术要求及控制室的设计文件,对一体化控制室系统验证。最后是确认设计结果。4.2 验证和确认CV&V)活动整个设计过程的每个阶段的设计结果都将通过V&V活动来证实,目的是为了评价操纵员与控制室2 EJ/T 1118-2000 内显示的电厂过程之间接口的充分性。验证是确定各个部件是否满足规定要求的过程,即对照规定的技术规范、人因工程准则以及运行和功能目标,对测量仪表、控制器、显示器
11、和其他设备进行一系列的分析检验。确认是在完成验证以后进行的。它是为了确定验证中所发现问题的纠正方案是否与控制室的功能、设备性能和接口技术要求一致而进行的测试和评价确认过程就是确定为电厂运行所完成的实体设计和组织设计是否足以有效支持控制室运行人员履行其职能功能设计阶段的V&V评价人与控制电厂过程的自动化设备的功能和相互关系,并检查控制室操纵员的任务职责分配。通过V&V活动,按控制室接口如何充分地支持操纵员职责和任务对接口进行评价。详细设计阶段的V&V保证控制室功能设计过程中验证和确认过的功能要求已经作为设计输入,并产生用于控制室制造和建造的详细技术要求。验证和确认的目的之一是在制造过程开始前对详
12、细的技术要求进行校验。如果在现场安装时再进行校验,就可能延误工期。V&V活动可以在控制室设计的各个阶段进行。特别是对新控制室的设计,它是早期开始的反复过程,然后定期重复进行。这样可以使审查产生的设计变更较早地并入相应的系统,从而明显提高总体设计水平。控制室设计的V&V提供了一项重要担保,它可以构成核电厂执照申请的一部分。应充分努力,以保证该审查满足上述要求,审查结果是有用的,并且审查文件和报告能保证在控制室设计审查过程中适当考虑和应用了人因工程原则。验证和确认过程应包括:a)准备阶段必要的工作包括制定评价准则、规定V&V方法、鉴定原始文件(应证实直接影响控制室设计的文件己经过V&V)、组建进行
13、验证的评价工作组、确定工作组的工作场所和设备、确定评审进度:b) 评价阶段:c) 纠正方案阶段。在准备阶段考虑问题应仔细,以保证有良好的审查结果。准备工作应考虑对控制室人因数据和信息的需求,以便能建立数据库从而满足公共需求。本标准详细规定V&V每个步骤和活动。对每个步骤和活动,在说明基本要求以后,尽可能提出方法和详细的程序以完成该阶段的审查。然面,只要满足基本要求,也可采用其他方法。不管使用什么具体方法,都应形成文件。对人一机接口和控制室环境应规定V&V程序和总的评价准则。对控制室系统的其余部分,即控制室人员的构成、运行规程和培训大纲,应根据适用的标准和法规(见第2章分别编制评价程序和准则。4
14、.3 功能分配的验证对控制室功能在人和机器之间分配的完整性应进行验证。功能分配的基础是人或机器在实现功能时的特性。决定功能分配取决于人和机器各自擅长的方面,例如,在事件不能完全确定时人具有判断能力。而机器擅长于同时完成多项任务。对人或机器功能分配的基本准则见GB厅1363o-92中表A3,例如,工作负担、准确度、时间裕度、控制逻辑的复杂性、进行决断的类型和复杂性。功能可以分配给人或机器、远程手动控制或就地手动控制,或者分配给操纵员支持系统,也可以考虑这些方式的某种组合实现某个规定的功能。3 EJ/T 1118-2000 应论证所提出的功能分配最佳地发挥了人和机器的能力,而没有对他们中的任何一方
15、提出不合适的要求。4. 3. 1 评价准则制定在功能分配的验证工作开始之前,应确认用于功能分配的细则是符合要求的。验证的目的是证实:a) 实现电厂运行和安全目标所需的全部功能都己确定:b) 功能分配与相应的准则一致(例如,如果要求操纵员在几分钟以内进行干预,应采用自动控制):c) 与功能分配有关的全部要求已经确定。这些要求包括:1)所有适用的强制性管理规定:2)性能要求(如响应时间和精确度):3)安全原则:的可用率和可靠性要求;5)维护原则(可维护性):6)值班人员配置的惯例:7)从以往设计得到的经验反馈:8)操纵员接口和显示原则:9) GB厅13630以及其他有关法规和标准规定的要求(见第2
16、章)。对每个功能,应该将这些要求和依据形成文件:d)工作站的配置足以支持控制室人员执行其任务。验证工作在于将仪表、显示器、控制器和其他设备的设计与功能分析得出的要求进行比较,目的是确定工作站上的物项是否必要:e)在所有运行方式下较高层次功能目标的要求体现在较低层次功能中且没有矛盾。4. 3.2 原始文件的确定在开始功能分配验证之前应提供所有的适用文件。这些文件包括:a) 有关标准:b) 关于人机功能分配原则的资料(涉及人机功能分配结论的报告或文件):c) 以往设计的经验反馈(如果适用):d) 合同和管理当局要求:e) 以往设计的许可证事件报告(如果适用:。以往设计的故障和事故分析报告(如果适用
17、):g) 故障树和故障模式及影响分析资料(如果适用):h) 安全分析报告:i) 系统说明书:j) 系统技术规格书:k) 任务分析文件:I) 功能分配文件。对于现有控制室的设计修改,只需要其中一部分文件。4.3.3 执行验证的评价工作组的组成4 EJ/T 1118-2000 评价工作组的成员应与从事初始功能分配的设计者无关评价工作组应主要根据原始文件进行审查,但不排除与控制室和电厂系统的设计者联系,后者宣参加讨论和进行解释。评价工作组的人数不可能精确规定其规模和组成因电厂和控制室的类型或情况的不同而异。通常验证功能分配的评价工作组覆盖的专业领域应包括:a) 核和非核的系统设计:b) 建筑设计和土
18、木工程:c) 系统分析:d) 仪表和控制系统:e) 信息和计算机系统:f) 人因工程:g) 电厂运行(可能是操纵员)和操纵员培训。4. 3.4 确定评价工作组的工作场所和设备应在准备阶段考虑评价工作组(包括兼职顾问或专家的工作场所条件和设备要求。4. 3.5 确定评价日程应在准备阶段制定评价工作组的活动时间表。在安排时间表时,应注意一项任务对其他任务输出的依赖关系并估算完成每项任务所需要的时间,这些任务的安排应使工作组能不间断地工作。时间表可以从准备阶段一直延伸到设计审查报告的完成,其中应规定评价工作组每个成员的责任和职能,并应将每个成员的活动纳入整个审查过程。4.3.6 评价过程对功能分配完
19、整性的评价应分层次进行。审查过程应按可追溯的方式形成文件。4.3. 7 报告文件应记录审查结论,记录宜优先采用标准格式并应为讨论提供灵活性和空白页。与根据功能要求和其他输入文件产生的评价准则的偏离应形成文件,并评估它们对人机系统性能潜在影响的严重性。4.3.8 纠正方案评价中发现的任何偏离或错误应得到纠正(通过纠正错误或功能再分配),直到功能分配满足全部评价准则为止。对于发现的缺陷,应认真制定纠正方案并予以记录。如果是重大缺陷,应确保对以前已经满足的设计原则没有负面影响。4.4 功能分配的确认对功能分配的正确性应进行确认,以证明控制室系统能实现全部功能目标。尤其应在全部正常运行工况(包括停堆状
20、态和典型事故工况(包括相关的设计基准事故和非设计基准事故)下鉴定功能序列的操作效能。如果需要,还应证明在失去专门的自动操作功能时,手动备用装置是可用的。在功能分析中开发的面向目标的多层次结构主要是静态数据库。设计者了解每个功能能否按所规定的性能指标实现然而,在某个特定事件发生后所要求的一系列功能如何实现未必是明确的。当一个事件发生时,它的影响如何迅速地沿着该体系蔓延和哪些较高层次的功能可能受到影响取决于事件的类型及其规模。确认工作的主要目的是分析这些多层次结构的与时间有关的特性并保证功能分配的正确5 EJ/T 1118-2000 性。4.4. l 评价准则制定应满足的一般准则如下za) 要求控
21、制室人员承担的功能目标数量和额定的工作负荷应不超过他们的能力:b) 对控制室人员和就地操作员的功能分配是可接受的。尤其不应要求他们为了实现时间要求苛刻的或对电厂安全或可用率重要的某个功能而执行几个相互关联井需协作完成的任务。确认工作主要根据原始文件进行,如果问题是独立的,也可以借助于操纵员进行的实验性测试,见附录A(资料性附录)。为了评价时所选定的事件具有代表性,应制定事件选择标准。在评价对人的功能分配时,除了所有正常、事故和紧急工况外,还应考虑导致操纵员最大工作负荷的多重故障的典型组合所引起的事件。在选定这些事件以后,应确定每个事件所要求的功能并按时间顺序综合。4. 4.2 原始文件的确定确
22、认工作开始之前,应按4.3.2的规定提供用于评价的原始文件。由于在前一个验证步骤结束时采取了纠正措施,某些文件可能己被修订,因此应注意使用最新版本的文件。此外,还应提供下列文件:a) 控制室平面图:b) 控制室初步布置图(如果适用):c) 人员的岗位配备资料。4.4. 3 执行确认的评价工作组的组成见4.3.3。4.4.4 确定评价工作组的工作场所和设备见4.3.4.此外,评价所需要的设备可能包括实体模型和(或部分任务模拟机。4.4.5 确定评价日程见4.3.S.4.4.6 评价过程对功能分配的评价包括考虑一系列典型动态事件,事件的选择应适当井具有代表性。评价应是分层次的,评价过程应按可追溯的
23、方式形成文件。4.4. 7 报告文件见4.3.7.4.4.8 纠正方案见4.3.8.6 纠正措施可以按下列一种或儿种方式确定za) 选择替代的设计:的使功能要求更准确:c) 使设计准则更准确:d) 审查变更对先前功能分配的影响4.5控制窒系统验证EJ/T 1118-2000 控制室系统验证应通过对照适用的功能要求、设计要求和设计准则来评价设计技术规格书。在该阶段验证za) 控制室功能要求,包括:1)人机接口的总体配置:2)运行规程的表现形式:3)报警处理规则(如报警抑制方针:4)显示格式范例:5)手动控制设计原则:6)环境b) 控制室设计技术规格书的要求,包括:1)一套图纸,如控制室布置和屏、
24、台面板布置:2)功能图表,其中对系统运行和报警处理进行了说明:3)显示格式草图:的运行规程草稿:5)培训大纲草稿:4. 5. 1 评价准则制定4. 5. 1. 1 评价准则应包括技术和人因两个方面。对一体化的控制室系统的验证,应特别核查下列评价准则:a) 人机接口的功能技术规格书符合设计准则、有关的管理规章、标准和导则的要求,并正确地体现在控制器、显示器和控制室其他部件的设计中。b) 培训能使操纵员正确理解人机接口的功能和运行规程:c) 培训大纲正确地体现了运行规程。4. 5. 1.2 基本完成与4.5.1.1a)有关的验证,并通过下列资料证明所规定的仪表与设备符合系统技术规格书、系统审查和任
25、务分析的要求:a) 控制室仪表和设备的详细清单,清单逐项登记和说明控制室的所有部件,并与仪表、控制器、设备和材料的设计要求进行比较。该清单还用于确定工作站上的物项是否必要。本项中评价准则的例子有:1)失效的仪表和显示器应容易识别:2)指示同一参数的不同仪表所显示的数值应一致:3)控制器的定位应便于操纵员从有关的显示器得到反馈信息见EJ厅759.l759.2);b) 报警信号清单,包括报警处理摘要如报警的产生条件和抑制:c) 显示格式和规程的清单,用于检查它们是否适合于操纵员的任务并且相互协调一致:d) 控制室和工作站布置清单,用于检查能否不受妨碍地接近工作站(或控制屏)、控制器和显示器:e)按
26、人因工程原则检查控制室部件和条件的可接受性记录(如照明度和听觉环境,见GB厅136307 EJ/T 1118-2000 -92的A6.1.3),其目的是为了确定控制室部件和环境的设计是否适合于人的基本特征,如感知能力:f) 室内温度、湿度、通风和照明控制器充分性的资料。4.5.2 原始文件的确定应在验证工作开始之前向评价工作组提供下列文件:a) 控制室初步评定(如果适用:b) 控制室设计审查报告(如果适用):c) 屏和工作站布置图:d) 屏或柜的简图或照片:的控制室使用的缩写词和缩略语一览表:。在控制室和人机接口样本手册中使用的编码说明:g) 计算机处理系统技术规格书(报警处理、软件规程、显示
27、器):h) 应急规程和运行规程:i) 操纵员培训文件。此外,其他电厂控制室人因分析及初步评定或监查中发现的问题可能对阐明人因要求、人因工程目标和审查任务要求是有用的。对己有控制室设计修改的验证,只需要上述文件中的适用部分。4. 5. 3 执行验证的评价工作组的组成见4.3.3.工作组的成员应适合于所承担的工作,如报警处理的验证主要需要运行技术顾问和系统工程师,环境准则的验证主要需要人因工程师。4. 5.4 确定评价工作组的工作场所和设备见4.3.4。控制室系统验证可能需要其他一些专用设备,如测声仪、照度计。4. 5. 5 确定评价日程见4.3.5。4.5. 6 评价过程对控制室系统设计阶段的评
28、价属于一般的设计审查,并且是质保程序的部分。审查的内容应包括运行规程和培训大纲。控制室系统的验证应是系统性的,并将其过程按可追溯的方式形成文件。4.5. 7 报告文件见4.3.7.4.5.8 纠正方案8 可以按照下列一种或儿种方式确定纠正措施:a)选择替代的设计:b) 使功能要求更准确:c) 使设计准则更准确:EJ/T 1118-2000 d)修改规程和(或)培训大纲的初稿。对于发现的缺陷,应认真制定纠正方案并予以记录。如果属于重大缺陷,应确保对以前己满足的设计原则没有负面影响。4. 6 控制室系统确认在控制室系统详细设计之前和设计期间,应对整个控制室系统的设计进行确认,以证明它可以实现预定的
29、功能,尤其应注意整个系统与时间有关的动态特性。确认的目的是为了确定控制室系统部件之间的相互影响能使整个系统按电厂安全可靠运行所要求的方式运转。这包括评定控制室设计适合于支持下列相互影响:a)控制室和操纵员:b)控制室和运行规程:c)控制室和培训大纲:d) 操纵员和控制室内外其他工作人员。确认的范围随评价工作组可用的评价方法不同而异附录B(资料性附录介绍了几种评价方法(见表Bl)。具有不同假设和范围的控制室系统各部分的确认可以在不同的设计阶段进行。对每个部分的确认可以使用不同方法或具有不同特点的同一方法,见4丘9和附录B(资料性附录)。管理应包含在审查过程中。管理工作包括对控制室设计审查过程的支
30、持,以及将设计审查与人因研究和分析相结合。评价的内容包括值班人员配备、工作组织、人员培训和资格考核以及规程改进。管理应使所有这些工作在人因工程方面相互协调。4. 6. 1 评价总则的制定评价应针对下列具体目标:的确定控制室系统是否能为操纵员在正常(包括停堆状态)、异常或应急工况下有效地完成其职责和任务提供所需的系统状态信息、控制能力、反馈信息和操作手段:b) 确定控制室现有的仪表、控制器、显示器和其他设备的性能及其实体布置是否会妨碍操纵员的操作效能。主要评价的项目有:控制室和工作站的实体和环境、人的体力和精神状态、人机接口和认知能力。4.6.2 控制室操纵员相互影晌评价准则4. 6. 2. 1
31、 分配给控制室人员和自动装置的功能的组成顺序应相互一致且完整。用功能要求表示的操作原则应一致地适用于所有的控制功能,以使具有相似运行特性的子系统能相似运行。分配给控制室人员的任务应在人的能力限度之内。不应将要求快速、缓慢或复杂的控制和信息处理任务分配给操纵员。应给操纵员留有足够的裕度(如在制约时间方面,以考虑人的自然可变性。4.6.2.2 在视觉、昕觉、触觉等方面,操纵员的感觉行为应在公认的人的感知能力极限以内。操纵员的动作应在公认的以移动、操作、体力和耐力为特征的人的运动能力范围以内。操纵员的认知行为应在由于信息处理、感觉过程、信息记忆(短期或长期)和记忆信息量(短期或长期)等方面不同程度的
32、警觉和疲劳所引起的能力变化范围以内。9 EJ/T 1118-2000 在控制室引入计算机和显示屏幕的情况下,应重视视觉方面的审查。因为这种信息显示方式将使操纵员在视觉方面产生多种问题,如视觉疲劳、清晰度不够、反差效应、反射效应等。4.6.2. 3 要求操纵员的操作技能在下列不利环境中仍应处于其工作能力范围以内:a) 异常温度、湿度和压力:b) 异常照明(反差、水平照射、眩光等):c) 异常噪声和控制室的声学特性:d) 有毒物质和放射性。确认应包括对操纵员综合操作技能改善的评价。人的行为模型可用于表示认知方面的特性。推荐使用这种模型。在附录c(资料性附录)中,利用这样的判定模型详细说明这方面需要
33、的评价e按这种模型考虑操纵员的下列主要活动:电厂状态变化的检测和观察、状态变化的诊断和纠正措施制定、控制操作的选择和执行(符合规程或反之),并进行相应的试验,以评价操纵员综合技能的改善。4. 6. 2.4 分配给操纵员的任务不会使其工作负荷超过公认的操纵员正常能力的极限。确认应包括对工作站布置及其环境的评价。工作站和对话装置的安装及其环境特征(温度、噪声、照明)应最大限度满足操纵员舒适和有效工作的需要。在各种运行工况和瞬态期间,操纵员为了执行分配给他的任务而需要的所有信息应以简捷的方式得到。应提供必要的控制器。在手动控制情况下,应向操纵员提供足够的关于系统运行情况的反馈信息。如果使用VDU(屏
34、幕显示,应用最少的检索操作得到信息。对于同时需要不同变量的信息,如符合多样性要求,应同时显示在同一个VDU上。显示系统应有足够的显示面积和清晰度,以使画面稳定和易读。键盘和其他操作装置应适合于信息系统简单可靠操作。显示格式的设计应符合公认的标准,井有利于操纵员阅读和理解信息。4. 6.2.5 应对人机接口进行评价,一方面为了验证所有的对话和信息显示方式相互协调和兼容性,包括它们的内部逻辑、相互影响方式和性能的选择:另一方面为了验证工作站上同时可用的信息和操作手段是充分和必要的。具体评价准则的例子如下:a) 报警装置、仪表和显示器对提醒操纵员完成某个要求的行动是否充分?b) 在所审查的控制屏上的
35、控制器是否可达和显示器是否可读?c) 为了使操纵员不依靠其他文件可以找出屏和一个控制器的位置,仪表和控制器的识别标志是否足够清晰、准确和齐全?d) 是否提供了一些指示以使操纵员能确定已完成的某个操作或了解某种状态?该指示是否能满意地传递信息?e) 如果主要的控制器或显示器不能用,是否仍有完成某个规定操作的途径?。如果过程参数达到某个数值时需要操纵员进行某个操作,那么显示该参数的仪表是否可以读到这个数值?g) 所有的仪表刻度和量程是否适合于刻度和时间分辨方面的读数准确度要求?4.6. 2. 6 对计算机化的控制室进行评价,应考虑工作站的管理,如操纵员为了获得信息和传递指令而必须进行的操作。10
36、EJ/T 1118-2000 4.6.2. 7 应证明操纵员支持系统加强了操纵员的潜在能力,而不会产生意外的可能潜在地妨碍操纵员监视和高级思维活动等判定过程的负面效应人机接口系统应能提供所要求的控制室外设施的足够信息4. 6.3 控制室运行规程相互影晌的评价准则运行规程应与人机接口要求和预期的电厂响应相适应它应覆盖控制室完成的所有预期任务和功能序列。规程的说明应准确、全面、一致和易于解释。思维活动需要利用可能提出评价问题的规程。试验时需要特别考虑规程跟踪活动,见附录C(资料性附录)。具体的评价准则如下:a) 规程中规定的操作是否能按指定的顺序完成?的是否有替代的成功路径未包括在被审查的规程内?
37、c) 能否在控制室井在规定的时间内完成规程操作?d) 操纵员能否按规程的要求从指定的控制室仪表得到必要的信息?e) 指定的仪表和显示器是否能为操纵员选定合适的规程提供足够的冗余度和多样性?。操纵员利用规程中未指定的信息或设备完成其任务是否必要? 在控制室显示的电厂工况是否与规程对同一工况的说明一致?h) 操纵员能否通过所提供的标识、缩写词、符号和位置信息正确地找到设备?i) 仪表量程是否与规程中说明的仪表读数一致?j) 规程的使用是否对操纵员的记忆力造成过分的负担?k) 应急运行规程与控制室的其他规程是否易于区分(颜色、形状、放置地点、编排方式和外观)?I) 规程和控制室在实体上是否相容?m)
38、 控制室内各个部位是否有适当的空间放置书面规程?规程的装订是否可以让其平放在工作地点?n) 书面规程对简便搬运是否太重或太大?4.6.4 控制室培训大纲棉互影晌的评价准则培训大纲应与规程和人机接口要求协调一致。应向操纵员提供包括非预计事件处理在内的电厂安全可靠运行所需要的技能和知识。控制室人员应完全熟悉安全可靠运行要求,适应运行规程和培训大纲具体的评价准则如下:a) 使用现有的控制器和仪表,电厂所有的系统和设备是否能安全正确运行?b) 如果不熟悉这些装置,电厂系统和设备的运行是否可能不正确?c) 能否对报警采取响应行动?d) 来自控制器和仪表的信息能否被误解?e) 根据控制器和仪表是否会得出错
39、误的结论?。是否能利用培训来补偿控制室设计和规程的不足?应对每项测试规定确认所要求的操纵员的最低资格水平(技能、专门知识)。II EJ/T 1118-2000 测试结果分析还可能指明修改培训大纲的必要性(信息反愤)。4. 6. 5 操纵员控制室内外工作人员相互影晌的评价准则应验证控制室设计适合于集体协同工作和组织的要求与需要,应特别注意工作站的布置。对于集体活动,主要评价下列两个方面ta) 在控制室内操纵员单独活动的组织(任务分派和相互协作):b)操纵员和控制室外工作人员(辅助操纵员、维修人员和管理人员)之间的关系,包括控制室人员与就地操作员及控制室外设施的工作人员之间通信系统的适用性。对于工
40、作组织,主要评价与电厂活动有关的项目,如班组的组成、每值时间、班组轮换、培训等。评价中的不符合实际情况的国有偏差意味着实际运行的某些方面不会完全重复,因此,对工作组织的评价,可以通过完全独立的对实际工作情况的审查来进行。4. 6. 6 方法4.6.6. 1 随着设计开展,可以使用下列典型评价方法za) “圆桌”法,包括对所提交的脚本,按其程序的步骤进行深入讨论:b) 排演法,充当操纵员的人员按提供的脚本为观察组演示一步一步的程序操作指令,但不进行实际操作。该方法的前提是具有实体模型,最简单的模型是一个房间,其墙壁上有控制屏图案:c) 模拟机法,充当操纵员的人员当观察组面在模拟的设备上进行运行期
41、间的实际控制操作:d)操纵员、人机接口和电厂的模拟。附录B(资料性附录给出各种方法的优缺点使用模型为进行特定功能的测试和评价提供一种实验方法所得到的答案确切但有局限性,仅局限于被试功能且部分地展示相互影响样机和电厂模拟机结合使用是更符合要求的评价方法,而且能对将来使用的功能进行综合动态测试。通过现场应用的评价可以了解所有的相互影响情况但是获得具体功能的观察结果的难度较大。在这个阶段,对设计进行再评定可能实际上不可行(至少是对硬件4. 6.6.2 与手段无关的评价方法是建立在事先省略操纵员操作的基础上,对其要求如下za) 控制室评价着重于总体运行活动。这种复杂的活动由具有各自特性(生理和认知能力
42、等)的操纵员执行:b) 对这种活动的观察分析结果分解成几个评价主题人类工效学的和认知的。评价还可以技术特征为中心,只要确实可以预先对它们进行规定。附录D(资料性附录给出了典型评价方法的一般说明、实例及其优缺点的讨论。4. 6. 7 原始文件的确定在确认工作开始之前,应按4.5.2的规定向评价工作组提供原始文件。对控制室的设计修改通常只需要上述一部分资料。4. 6.8执行确认的评价工作组的组成评价工作组成员不应包括承担控制室综合体设计的人员例如,可以由调试部门人员担任工作组组长评价工作主要根据原始文件和专门的测试进行除满足4.3.3的要求外,还要求操纵员参与试验任12 EJ/T 1118-200
43、0 务和咨询。如果评价工作组缺少某些方面的专门知识,可以聘请专家或顾问参加评价工作。例如,可以让他们直接完成一些系统功能的特定评价和控制室操纵员任务分析,编制和管理操纵员问题调查和访问清单,进行控制室的环境测量,或者为了纠正评价中发现的设计缺陷而确定替代的设计修改方案技术组的指导和支持将是必要的。应指派项目负责人以协调、领导和支持审查组的日常工作,在需要时安排顾问或专家后援并指导评价实施和报告过程项目负责人还应负责涉及控制室所有活动的安排及其控制,包括对协助评价组工作的操纵员的分配和使用操纵员参与的必要性和方式随着所选用的评价手段不同而异,主要有下列两方面za) 对于最早的设计阶段,即设计文件
44、审查和实体模型评价阶段,除了上述的操纵员参与以外,还可能聘请其他的参与者,如运行技术顾问理论上,他们不宜直接参与完成任务,以减少模型不可避免的偏差(对实际任务的逼真度不够对他们的影响,使他们更容易评价本阶段能确定的诸方面:b) 一旦使用较接近实际情况的评价手段(样机,就必须要求操纵员参与。在进行样机测试时,如果有一些操纵员己经以某种方式介入以前的设计过程,则不宜使用同样的操纵员,以避免将他们置于仲裁和评判的位置。4.6.9 确定评价工作组的工作场所和设备见4.4.4。这个阶段需要的设施可能有实体模型和(或模拟机在准备工作中,应对这些设施提出详细技术要求(与设计阶段和测试目的有关。这些要求如下:
45、a) 测试范围的代表性:b) 实体逼真度(从抽象的展示一图纸到实体模型和样机:c) 功能逼真度,包括信息内容(如使用随机数据、取样数据或完整的准确数据和动态特性(从静态到实时动态在这个阶段还可能使用其他专用设备,如测声仪、照度计、盒式磁带录象机或照相设备。4.6. 10评价日程的确定应在准备阶段制定详细的评价工作日程表应特别注意每项任务与其他任务的相关性,估算完成每项任务所需要的时间对这些任务的安排,应使工作组能不间断地工作。如果有控制室的一般设计审查资料,在准备阶段应考虑对这些资料的利用,以便对审查日程进行相应的调整。日程表应考虑所有的与人因有关的活动(如程序审查),包括这些活动之间所需的输
46、入一输出关系。对于现有控制室的设计修改,评价组在控制室内的活动应制定工作程序,以减少对控制室的操作,尤其是对电厂运行的干扰可以运用准确的控制室实体模型或模拟机完成一些评价任务,而另一些评价任务可以在电厂停运期间完成然而,为了确定相关数据,某些任务(如噪声水平等环境参数测量需要在电厂运行期间在控制室内进行工作程序应该从准备阶段延伸到设计审查报告的完成其中应对评价工作组每个成员规定责任和职能,每个成员的活动应纳入评价工作的总日程表。4. 6. 11 过程评价评价应系统地进行,对其过程应按可追溯的方式形成文件。13 EJ/T 1118-2000 此外,应尽可能要求对特性和性能进行定量测量。对于计划的
47、试验,应规定定量的验收准则。4.6. 12 报告文件应记录每项任务的审查结果,推荐使用标准格式。在准备阶段就应制订这样的格式并建立一个相应的管理系统可能的表格类型如下:a) 记录不符合GB厅1363-92中A6和日厅759.1759.2规定的控制室部件和设计特征的检查单:b) 人因工程不符合事项表,用于指明不符合事实,并详细说明其性质以确定纠正措施的要求:c)记录控制室部件的登记表:d)特定的测量值表格,如噪声、环境照明、显示器照明和气候耐量结果:e)文件控制表格,如照相登记:。操纵员问题调查或访问表格:g) 记录操纵员对特定测试(如使用模拟机响应的表格:h) 记录“是否或怎样注明意见”核对方式的表格为了质量保证跟踪将审查数据(如任务分析数据、控制室部件登记和调查结果)输入自动数据库管理系统
