GB/T 41145-2021 核电厂人因验证和确认.pdf
- 文档部分内容预览:
GB/T 41145-2021 核电厂人因验证和确认
应明确V&.V人员独立性水平要求,从而保证结果的客观性和公正性。 总结性V&.V团队应与设计团队保持独立。V&.V人员和设计人员可为同一组织工作,但V&.V 员不应参与V&V对象的设计工作,也不应对设计进度或财务绩效负责。V&.V人员不一定是HFE 专职人员,可从其他设计团队调入,但其职责只能是对目标对象进行V&.V。 形成性V&.V团队除了独立V&V人员,亦可安排设计人员参与,但设计人员不应主导或独立完成 具体V&V活动。设计人员对系统了解更为深刻,在多专业交流中能提出有益的建议或方案。同时,设 十人员参与形成性V&V能起到自查和培训作用,有助于提高后续设计的人因符合性 人员独立性要求应完整覆盖各项V&V活动及其具体环节。例如.HED解决中,人因例外项判定
GB/T 41145—2021
因不符合项分级科判定是否而 角认应由独立的V&.V人员实施,而 HED分析、人因不符合项解决方案 计团 队的共同参与
新建核电厂包括HSI集成系统全新设计和改进设计两类情况,在役核电厂则包含形式不一的改 造。第5章~第10章所述要求和指导完全适用于全新设计,其他情况可采用分等级的方式使用,改进 型项目的特殊考虑见第11章,改造项目的特殊考虑见第12章。 依据HSI系统特点、任务复杂性、人员参与程度、所需的人员响应速度、人员失误对运行造成的后 果等因素,核电厂物理区域可划分为运行和控制中心区域、就地区域两类。第5章至第10章所述要求 和指导完全适用于运行和控制中心的主控制室、辅助控制室,其他区域可采用分等级的方式使用。其 中,就地区域的特殊考虑见第13章
在电厂设计过程中开展形成性人因V&.V活动的目的如下。 a)改进HSI集成系统设计,如: 1)在设计方案比较选择时认证标准,确保HFE得到充分考虑; 对引入的新技术及其与已有系统的集成,开展系统的人因评估; 及时论证设计过程中的HFE假设,降低设计的不确定性; 对HSI设计导则未覆盖的设计特性,提供HFE见解; 5) 为HFE需求或HSI设计导则的传递和落实提供支撑手段。 b) 为总结性V&V提供支持,如: 1)避免大量问题识别不及时造成解决困难; 2 全范围或部分范围基于效能的形成性V&V活动,能提高ISV的效率,降低ISV的风险 例如,优化运行条件选取的范围,为ISV前提条件提供判断,以及为ISV建立参考基 准等。
5.2形成性V&V策划
项目开展HFE策划时,应对形成性V&V的必要性进行分析,确定本项目是否计划开展形成 性V&.V。 通常,形成性V&.V采用渐进、迭代的方式开展,其具体活动的目的、范围、时间节点应与项目阶段 相匹配,并与设计过程集成。除了按概念开发、需求开发、系统和子系统设计的节点策划形成性V&V 舌动,还可考虑下列维度: 按测试设施逼真度,如图纸、原型、模拟机; 一按V&V对象,如软控制器的设计、COPS、显示画面结构和导航。 应为形成性V&V制定详细计划,覆盖每项形成V&V活动目的、范围、过程和方法等信息
验证是对是否正确地开展了设计进行评估,如显示画面的设计规范是否符合HSI设计导则的 确认则是对是否设计了正确的系统进行评估,如软控制器的设计方案是否能支持安全目标和可 标的实现。在设计早期,因为活动可能会融合了两类目的,验证、确认往往难以清晰区分。越接 后期,则能更为独立地开展验证、确认活动。为此,形成性V&V有必要根据问题特点和设计阶息
GB/T 411452021
采用更为灵活的评估方法。 启发式评估、可用性评估、走查评估和试验评估均可应用于形成性V&V。例如,启发式评估主要 通过专家评估法对集成系统的设计特性提供主观定性评估,而试验评估则基于任务序列的时间响应和 准确性对HSI集成系统提供更为客观、系统的详细评估。对于难以独立支持一次V&V活动的方法, 定义为辅助方法,一个辅助方法可配合多类主方法使用,详见表2。
表2形成性V&V的方法
可能采用定量和客观的指标。通常难以直接对安全性和可用性这类总体目标进行测量,为此 同的指标对HSI集成系统的不同方面进行评估。除了完成时间、正确率、频次这些通用指标, (但不限于)以下指标:
应尽可能米 用定量和客观的指标。通常难以直接对安全性和可用性这类总体目标进行测量,为此 宜采用不同的指标对HSI集成系统的不同方面进行评估。除了完成时间、正确率、频次这些通用指标, 还可考虑(但不限于)以下指标: a 匹配性; b) 效能改进特性(如有效性、效率、满意度); 工作负荷(或心理负荷、工作记忆负荷); d 情境意识: 团队协作; 5ZC f 信任度; g 认知模型和可理解性; h) 易操作性、可控性; i) 易学性; j 生理因素(如视线位置和凝视时间、疲劳)等。 应根据对象的特点和评估的目标选取指标。例如,对显示画面导航结构进行评估的时候,除了导航 任务完成时间和正确率.还可采用位置感知满意度视觉搏索效率作为指标
应尽可能采用定量和客观的指标。通常难以 宜采用不同的指标对HSI集成系统的不同方面进 还可考虑(但不限于)以下指标: a) 匹配性; b) 效能改进特性(如有效性、效率、满意度) ) 工作负荷(或心理负荷、工作记忆负荷); d) 情境意识; 团队协作; ? f) 信任度; g) 认知模型和可理解性; h) 易操作性、可控性; i) 易学性; j) 生理因素(如视线位置和凝视时间、疲劳) 应根据对象的特点和评估的目标选取指标。 任务完成时间和正确率,还可采用位置感知满意度
GB/T41145—2021
除了目标电厂具有资质的运行人员,也可选择其他人员担任形成性V&V的参试者,如正在接受培 川的运行人员或设计人员。但应对其对目标电厂的熟悉程度做出正确评估,以支持最终分析结论的准 确性。 形成性V&V识别出的问题若不正式传递给HED解决活动,应证明项目已建立有效的人因问题 眼踪系统,识别的问题得到完整记
HFE设计验证从人的能力和局限性考虑HSI系统的恰当性。HFE设计验证的目的是确保H 的最终设计符合HSI设计导则的要求,
HFE设计验证的过程和方法如下。 a 获取HSI设计导则:应收集适用于当前项目的“样式导则”文件或文件集。 b)收集HSI系统特性:通过HSI清单和特性描述(见附录A)明确要验证的对象及其特性,应选 择能代表当前最新设计状态且最为逼真的测试设施。 C 匹配HSI设计导则和HSI系统特性间的对应关系:导则的某条要求可能适用于许多HSI系 统对象,在验证前应对两者的对应关系进行梳理,明确验证项。 将HSI设计导则和HSI系统的特性进行比较:对于通用属性(如菜单、特定静动态元素、某 型号开关),可基于标准化对象附加实例取样的方式进行验证,对于特殊属性则应逐一验证。 应对导则某条要求在多个HSI中应用的一致性进行评价。可根据各设计要素的成熟度从上 至下逐步推进HFE设计验证活动,如先开展控制室整体布置、硬件HSI特性、显示画面通用 特性的验证。 e)识别HED。 1)当HSI系统的某个特性偏离了导则要求时,应将其识别为一个HED。 2 只有完全符合HSI设计导则的要求,即验证项的每个用例完全符合由导则确定的准则 时,才可判定为“通过”。若存在任何HED,无论是完全还是部分存在HED,都应判定为 “不通过”,识别为HED 3) 若采用取样的策略进行验证,应充分分析HED潜在的扩展问题。例如,识别出某一幅显 示画面数据呈现格式不恰当时,其他显示画面格式的使用也可能不正确,或者被观察到的 格式在所有地方的使用都不恰当。 f)记录和传递HED:应定义格式化的方法,对识别的HED进行记录。记录应清晰标明相关的 验证对象,以及HSI特性与特定导则的偏离情况。记录的HED将传递给HED解决活动。 HED的分析和纠正属于HED解决活动,见第10章。 g HFE设计验证的关闭: 1 若验证项基于设计文件和图纸即可关闭,如果当前条件不成熟不能进行验证或尚无法确 定最终结论,应评价为“待定”并持续跟踪直至可评价为“通过”或“不通过”。 2 若验证项还需要跟踪到设计实现阶段才能关闭,应传递到设计实现活动。 在具体项目中,应综合考虑HSI系统固化情况以及后续设计实现活动的计划,明确HFE 设计验证活动关闭的条件, 4) HFE设计验证活动应与HSI系统设计和实现过程紧密结合,应明确应对设计变更和工 程实现偏差的措施
乙人机接口任务支持验证
GB/T 411452021
HSI任务支持验证的过程和方法如下。 确定场景:应通过运行条件选取(见附录B)确定人员任务需求,即场景。HSI任务支持验证场 景的确定宜考虑与任务分析的延续性。 收集HSI系统特性:通过HSI清单和特性描述(见附录A)明确要验证的对象及其特性。应选 择能代表当前最新设计状态且最为逼真的测试设施。 c)将人员任务需求和HSI系统特性进行比较:HSI任务支持验证的启动时间取决于项目特点 任务分析方法和实施节点、形成性V&.V的范围和实施节点等因素。验证可采用分批的方式 开展,如根据设计成熟度和场景重要性,先开展安全直接相关以及运行经验反馈存在问题的 任务。 d 识别HED。 1)执行任务所需的某个HSI(某个必需的控制、显示或报警)不可用时,应识别为HED。 2) HSI系统特性与人员任务需求不匹配(例如,显示画面给出了需要的电厂参数,但不满足 任务所需的参数范围或精度),应识别为HED。 3)存在不必要的HSI,应识别为HED。对不必要的HSI进行验证很重要,因为它会造成干 扰,并可能分散人员注意力,妨碍其选择适当的HSI。然而,不必要HSI的判定需要慎 重,避免由于下列原因造成误判:该HSI在某个任务中是必需的,但该任务不在分析考虑 的范围内;分析不完整,忽略了该HSI需求;该HSI仅部分满足所确定的人员任务需求。 记录和传递HED:应定义格式化的方法,对识别的HED进行记录。记录应清晰标明相关的 验证对象(HSI和任务)以及HED的依据(HSI的哪个方面不满足任务需求)。记录的HED 将传递给HED解决活动。HED的分析和纠正属于HED解决活动,见第10章。 HSI任务支持验证的关闭: 1)对于当前条件不成熟不能进行验证或无法下最终结论的验证项,应评价为“待定”并持续 跟踪直至可评价为“通过”或“不通过”; 2 在具体项目中,应综合考虑HSI系统和任务的固化情况,以及后续ISV的范围和时间节 点,明确HSI任务支持验证关闭的条件; 3) HSI任务支持验证活动需要与HSI系统设计和实现过程紧密结合,应明确应对设计变更 和工程实现偏差的措施,
ISV采用基于人员效能和系统性能的试验对HSI集成系统的设计进行确认,目的是确保HSI 统充分支持人员对电厂的安全运行,具体包括以下方面。 a)确认轮班班组的人员配备、成员的任务分配以及协作(包括内部以及内、外部人员之间的协
GB/T 411452021
可接受,包括对最小人员配备、正常人员配备、最大人员配备和交接班的确认 b)确认设计能提供必需且恰当的报警、信息、控制和反馈,使得人员任务能成功完成,包括电厂正 常运行、瞬态、设计基准事故和选定的风险重要的设计扩展工况(由运行条件选取确定,见附录 B)。 C 确认特定的人员任务可在符合时间和效能准则的情况下完成,并且人员情境意识水平较高,工 作负荷水平可接受(平衡了警觉性和负荷)。 d)确认HSI使人员失误最少化,并确保在失误发生时具有失误识别和恢复的能力。 e 确认重要人员动作相关的效能假设。例如,属于电厂概率安全评价一部分的人员可靠性分析 包含了许多关于风险重要人员动作效能的假设。应对这些假设进行确认,包括关键序列的决 策和诊断过程,以及人员操作。应在概率安全评价最终定量化之前完成这项工作。 确认人员在完成其任务时,能有效地在HSI间(包括规程)进行切换,并且HSI管理任务(如画 面配置、导航)不会造成人员注意力分散或负荷过度
应为ISV实施制定详细计划,明确ISV的: 目的; b)场景信息,包括所采用的场景及其选择依据、与试验计划内容详细程度匹配的场景描述信息 )测试设施及其符合性要求; 参试者和试验人员的资质要求和培训计划: 每个场景特定的效能指标,包括用于判断其“通过”或“不通过”的指标,以及用于对结果深人分 析的诊断评价指标; 试验设计(包括场景分配、试验程序、培训安排、预试验等); g 数据收集手段; 数据分析方法; ) HED识别、记录和传递
应为ISV实施制定详细计划,明确ISV的: a)目的; b)场景信息,包括所采用的场景及其选择依据、与试验计划内容详细程度匹配的场景描述信息; C 测试设施及其符合性要求; 参试者和试验人员的资质要求和培训计划: 每个场景特定的效能指标,包括用于判断其“通过”或“不通过”的指标,以及用于对结果深人分 析的诊断评价指标; 试验设计(包括场景分配、试验程序、培训安排、预试验等); 数据收集手段; h) 数据分析方法; i) HED识别、记录和传递,
应通过运行条件选取(见附录B),从以下多个维度确定最终的场景。 电厂条件: 1) 正常运行; 2) 瞬态和事故; 3) I&C和HSI故障。 b) 人员任务: 1) 重要人员动作、系统和事件序列; 2) 保护动作的手动触发; 3) 自动系统监视; 4) 运行经验评审确定的困难任务; 5) 规程指导的任务; 6) 基于知识的任务; 7) 人员认知活动; 8) 人员交互。 c) 人员效能影响因素:
1)高工作负荷; 2)工作负荷变化; 3)疲劳; 4)环境因素。
GB/T 411452021
1)高工作负荷; 2)工作负荷变化; 3)疲劳; 4)环境因素。
ISV试验设施是用于实施ISV评价的HSI仿真系统。应在实施ISV试验之前,核实试验设施是否 合所要求的特性。 主控制室ISV应采用全范围模拟机,应对下述特性是否符合要求进行核实。 a)完整性:试验设施能完全仿真替代集成系统。试验设施应不仅局限于试验场景特别要求的 HSI系统,因为邻近的控制和显示可能影响操纵员对特定ISV场景所需要的控制和显示的使 用方式。 b) 实体逼真度:试验设施的HSI系统应能以较高的实体逼真度仿真参考设计,包括报警、显示、 控制、工作辅助工具、规程、通信设备、界面管理工具、布局和空间关系。 c)功能逼真度:试验设施的HSI系统的功能应能以较高的逼真度仿真参考设计,包括HSI运行 模式(即人员选定模式后,可调用的功能发生变化)或电厂状态变化。所有HSI功能都应 可用。 d)环境追真度:试验设施的环境应能以较高的逼真度仿真参考设计,包括预期的照明水平、噪声 温度和湿度。例如,暖通系统、计算机和通信设备产生的噪声应在ISV试验中进行模拟。 e 数据完整性逼真度:提供给人员的信息和数据应完整展现由该设施监视和控制的电厂系统。 数据内容和呈现逼真度:试验设施的数据内容应能以较高的逼真度仿真参考设计。信息和控 制的呈现应基于一个能准确反映参考电厂的基本模型。该模型应能为HSI提供输入,以便 HSI显示的信息与实际电厂运行时显示的信息准确匹配。 g) 数据动态逼真度:试验设施的数据动态特性应能以较高的逼真度进行仿真。工艺仿真模型应 能为HSI提供输入,以保证信息流和控制响应的准确性以及响应时间的正确性。例如,提供 给人员的信息具有与实际电厂相同的时间延迟, 对于全范围模拟机无法支持的HSI,如重要人员动作相关的或复杂的主控制室外的HSI系统,如 要及时和准确的人员操作,应使用仿真或实体模型来核实所需的人员效能是否能满足要求。若人员 务重要度低或相关的HSI复杂度不高,可基于分析来评价人员效能
ISV试验参试者选择应满足以下要求。 a)参与ISV试验的人员应能代表目标电厂的实际用户,其资质要求应与目标电厂运行资质要求 一致。如,主控制室ISV应采用持证操纵员担任值长、反应堆操纵员和安全工程师,而不是正 在受训的待取证运行人员或工程人员, b) 为正确反映人员差异,应对参试者进行取样。取样应反映样本来源群体的特性。应明确预期 会对系统性能变化产生影响的样本特性,取样过程应合理保证ISV包含了该维度的变化。应 明确执照类型和资质、经验,以及一般的人口学特征等因素对样本代表性的影响。 应覆盖最小人员配备水平、正常配备水平和最大配备水平。 d)为保证结果的可信性,应避免使用以下人员: 1)设计组织的成员; 2)参与过相同试验场景的人员; 3)基基此特性选择的人员,比如效能良好或经验丰富的班组
GB/T 41145—2021
效脂(如八 任务效能、情境意识、认知负荷,以及人体测量/生理因素)。其目的是为确认集成系统设计提供充分 息,并为评价效能偏差提供基准,从而确定改进需求。 应为每个特定的ISV场景确定适用的效能指标,包括以下方面。 a)主任务指标。 1)对于每个场景,应确定完成场景目标必须执行的主任务,以便确定其测量指标。主任务是 指电厂人员在监督电厂过程中,行使其功能职责相关的任务,即监视、检查、场景评估、响 应计划和响应实施。对主任务的评价应足够详细,从而与任务需求相适应。例如,对一些 简单的场景,测量任务完成时间即可满足要求。对于复杂的任务,特别是基于知识的任 务,则更适合采用细致的分析,如确定任务的各个组成部分,即查找特定数据、进行决策、 采取行动和获取反馈。 2) 为评价人员任务效能,选择的测量指标应能反映对于系统性能存在重要影响的任务因素, 如时间、准确性、频率、完成量、资源消耗量、参试者主观反馈、观察员对于行为的分类等。 3 主任务分析有助于识别疏忽型人员失误(未执行的主要任务)。此外,应识别和记录参试 者偏离了主任务的实际任务操作。这些操作应被用于识别意图型大员失误。 b)次任务指标:次任务是指电厂人员与HSI进行交互时必须执行的任务,如在计算机屏幕中利 用导航寻找所需画面并对HSI进行配置。次任务效能指标应能反映HSI运行时的具体需求, 如配置工作站的时间、显示画面间的导航,以及显示画面的操作(如变更显示类型和刻度设 置)。 情境意识指标:情境意识是指电厂人员在任意给定时刻,对电厂参数的感知,对电厂工况的理 解,以及对电厂未来状态的预测与其实际状态的符合程度。 d)工作负荷指标:工作负荷由体力负荷、认知负荷以及其他对电厂人员产生的需求组成。效能指 标应体现工作负荷或不同维度工作负荷的影响。 e)人体测量和生理类指标:人体测量和生理类的因素包括信息的可视性、控制装置的可达性、控 制装置的操作便捷性等。这类设计特性大部分已由HFE设计验证进行过评价。因此,应关 注仅能通过集成系统试验进行评价的设计特性,如人员在执行任务时有效使用各种控制、显 示、工作站或控制台的能力。
在确定最终采用的效能测量方法前,应对如下特性进行权衡: 效度:一个测量指标应真实表征所要测量的效能因素; 信度:测量应可复现,即同一环境条件下用相同的方法测量同一变量,应得到相同的测量结果 测量能力:测量范围、灵敏度、数据采样频率应与要被评价的效能维度相适应; 侵入性:测量应尽可能少地改变参试者的心理或生理过程; 客观性:测量应基于易观察到的现象
在确定最终采用的效能测量方法前,应对如下特性进行权衡: 效度:一个测量指标应真实表征所要测量的效能因素; 信度:测量应可复现,即同一环境条件下用相同的方法测量同一变量,应得到相同的测量结果 测量能力:测量范围、灵敏度、数据采样频率应与要被评价的效能维度相适应; 侵入性:测量应尽可能少地改变参试者的心理或生理过程; 客观性:测量应基于易观察到的现象
应为每个测量指标确定特定的准则 到断效能是否可接受,并描述其基准。要求、基准、规深 判断均可为制定效能指标的基础准则提供参考
立明确每不测量指标是通过 ;还是用于诊断存在的问题诊 断性准则,即用于更好地理解人员效能 IHED进行分析
应明确获取这些测量数据的方法,如通过模拟机数据记录、参试者调查问卷或观察员的观察记录 等。应规定何时获取或记录每个测量指标的数据,如连续获取、在场景中的某个特定时刻或在场景结 束后。
应在班组间对场景进行均衡分配,为每个班组提供相似的、有代表性的场景。在ISV中不宜将场 景随机分配给班组。只有参试者班组数量足够大时,随机分配才能有效控制偏差。 应平衡不同场景相对于参试者班组的出现顺序,以合理保证场景不会始终以相同的顺序出现。例 如,简单的场景不总是最先出现
8.7.2.1程序内容
8.7.2.2避免偏差
试验程序应尽可能降低试验人员预期偏差或参试者响应偏差产生的可能性。 如果试验人员的预期对数据收集产生了系统化的影响,则可能引入偏差。预期可通过许多方工 效能。例如,试验人员可通过提供细微的线索或通过交流引导参试者,或者他们在评价参试者的效
GB/T41145—2021
时可能更倾向于反映有利设计的方面,而不是作为客观的观察者, 参试者响应偏差是指试验设计本身对参试者数据的获取产生了影响。响应偏差未必意味着参试者 的任何意图都不可信。试验环境可能影响参试者,使其无法完成试验目标。响应偏差可能以下列方式 出现: 参试者可能希望影响输出结果,因而偏向于使产生的数据与他们所期望的结果相一致: 参试者可能想要给出他们认为试验人员希望获取的数据; 参试者可能试图了解效能如何在不同情况下发生变化,因此使数据与这种变化相一致; 参试者可能和要表现得优秀,因为他们知道自已正在被观察
8.7.3.1试验人员培训
8.7.3.2参试者培训
对参试者培训的要求如下: 对参试者的培训应与电厂人员接受的培训高度相似,培训应合理保证参试者对电厂设计、运 行、以及HSI系统使用的了解与一名有经验的电厂人员相当; 不能对参试者开展专门针对选定ISV试验场景的培训: 应提供一致的培训,以避免引人偏差; 应使其效能趋于稳定,并在实际的ISV试验之前进行测试
应在ISV试验前进行预试验,以评估试验设计、效能测量和数据收集方法的正确性和充分性。 预试验不应使用ISV试验的参试者。 应在正式试验开始前,解决预试验识别出的、对正式试验开展和结果评估有效性有不可接受影响
应在试验完成后及时分析数据。数据分析应注意以下方面。 结合定量和定性的方法进行数据分析,建立所观察的效能数据与所建立的效能评价准则之间 清晰的关系 b 阐述试验数据的分析方法,包括用于判断每个给定场景是否成功的准则。 对相互关联的测量结果的收敛效度进行评价,即预期用于评价同一个效能因素的测量指标之 间应具有一致性。例如,如果情境意识通过参试者问卷和观察员打分两种手段测量,结果应具 有一致性,否则应确定其原因。 d)在解释试验结果时,应允许存在一定的误差容限(实际效能的变化可能大于观察到的试验效 能)。 e)核实数据分析的正确性。这项工作应由原先执行分析工作之外的人员或小组承担,但可来自 同一个组织
8.9HED识别、记录和传递
GB/T 411452021
以下情况应识别为HED: a)不满足通过性准则; b)与诊断性准则存在偏离; c)试验人员、参试者的负面反馈和评价。 鉴于ISV的综合性,ISV识别的HED可能覆盖HSI集成系统的某一个组成部分,或是多个组成部 分之间的交互。应定义格式化的方法,对识别的HED进行记录。记录应清晰标明相关的HSI集成系 统组成部分,以及识别为HED的原因。记录的HED将传递给HED解决活动。HED的分析和纠正属 于HED解决活动,见第10章
应对ISV的计划、实施、分析和结论进行记录,特别是ISV试验的统计和逻辑依据。ISV结果的详 细程度,应能判断集成系统的效能在目前和将来都是可接受的,即确认试验能证明最终设计具备支持电 安全运行的能力。 应在文件中记录ISV试验的局限性,以及这种局限性可能会对ISV试验结论和设计实施产生的影 向。局限性可能包括: a)难以控制的试验特性; b)试验场景和真实运行的潜在差异,例如试验不存在电厂效益和安全之间的冲突; 经确认的设计和实际建成的电厂或系统之间的潜在差异,如果ISV试验是基于差异信息可获 取的、实际建造中的电厂,或是基于参考电厂的确认结果的新电厂设计
设计实现的目的是: a)确保在已完成的V&V活动中未涉及的设计特性,在设计实现中全部得到覆盖; b)证明最终的电厂与经过V&.V的设计是一致的,在实际电厂和工作环境中实现时,不存在非预 期的问题。
设计实现的过程和方法如下。 a)HED识别: 1)可采用类似于HFE设计验证的方法,基于实际电厂系统对V&.V活动中未涉及的设计特 性进行评价,识别HED; 2 对HFE设计验证、HSI任务支持验证、ISV之后存在的变更,以及实际电厂系统、规程、人 员配备和培训相对于设计描述级文件出现的偏离进行评价,核实其并未引人新的HED。 b)HED记录和传递:应定义格式化的方法,对识别的HED进行记录。记录的HED将传递给 HED解决活动。HED的分析和纠正属于HED解决活动,见第10章, C 设计实现的关闭:明确设计实现活动关闭条件时,应充分考虑9.1中目标的实现情况
GB/T 411452021
HED解决活动负责对V&V活动传递过来的HED进行分析、跟踪和解决。HED解决应: a)对HED进行分析和评价,以确定是否需要纠正; b)对必须纠正的HED,确定解决方案: c)确保解决方案的完整实现。 HED解决宜与V&V其他活动一起反复进行
10.2.1HED 分析
a)人员任务和功能:HED对人员任务的影响,以及这些任务所支持的功能。HED的影响可通过 人员功能对于电厂安全的重要性(例如,失败的后果)以及HED对人员效能的累积效应(例 如,损害程度和可能的失误类型)进行判断。 b)电厂系统:HED对电厂系统的影响,考虑这些系统的安全重要性、对事故分析的影响,及其与 电厂概率安全评价中风险重要序列之间的关系。HED对电厂安全和人员效能的潜在影响,可 部分地通过特定设备相关的电厂系统的安全重要性进行判断, HED的累积效应:HED分析应确定多个HED对电厂安全和人员效能潜在的累积作用。虽 然单个HED可能没有严重到需要纠正的程度,但多个HED的组合可能对设计的某一特性产 生严重损害电厂安全的作用,从而需要纠正。同样,如果单个电厂系统具有多个相关的HED, 并影响到多个HSI,则应分析这些HED对于电厂系统运行可能的组合效应。 d)HED的普遍效应:在解决特定HED的同时,应确定这一HED是否意味着存在潜在的普遍问 题。例如,若识别出与HSI某一设计特性(如远距离停堆盘)相关的多个HED,也可能意味着 导则”使用不一致
D.2.2人因例外项判定
在整个HSI集成系统的背景下,若某项HED的技术恰当性能被证明为可接受的,则可判定为人因 例外项。技术恰当性的分析包括最新研究文献的结果、当前的实践经验、对多个方案的权衡研究、形成 性V&V的评估等
10.2.3人因不符合项分级和判定是否需要解》
未通过人因例外项判定的HED定义为人因不符合项。 区分人因不符合项优先级时,应分析其对安全、经济性的影响。可针对不同优先级的人因不符合 项,制定不同的解决原则。人因不符合项分级原则和示例见附录C
10.2.4人因不符合项解决方案开发和实施
应确定纠正人因不符合项的解决方案,解决方案可涉及HSI系统(包括规程)、培训多个方面。 在开发和实施解决方案时,不应独立地考虑人因不符合项,而应最大限度地考虑各个人因不符合 可能存在的关系和相互影响。例如,如果单个电厂系统的HSI与多个人因不符合项关联,则解 应相互协调,从而提高整体的效能,并避免各个方案之间的冲突。与此类似,如果单个电厂系统
GB/T 411452021
加完善,而不是 损害系统的运行。在某项特定的V&.V活动中 人因不符合项之前,可先开发一部分人因不 符合项的解决方案。但前提是在实施解决方案之前,已经考虑了人因不符合项之间的潜在相互影响。
10.2.5人因不符合项再验证和确认
应对解决方案的实施进行评价,以证明该人因不符合项已被解决,并确保未引人新的人因不符 合项。 通常,该评价过程应使用最初确定该人因不符合项的V&V方法。例如,如果人因不符合项通过 HFE设计验证确定,则评价解决方案时应采用相同的验证过程。然而,也可采用其他方法评价解决方 案是否满足要求。例如,若通过HSI某方面的重大变更来同时解决多个人因不符合项,可对最终的 HSI设计进行一次确认,确保变更的最终完整效果是可接受的
10.2.6HED解决的记录
应对每个HED解决的信息进行记录,记录应包括HED如下信息: 编号; 相关的人员任务和功能、电厂系统; 判定为HED的原因; 对累积效应、普遍效应的分析; 人因例外项判定依据和结果; 人因不符合项优先级; 要否解决的判定依据和结果。 对于判定为需要解决的人因不符合项,还应记录:解决方案、再验证和确认的结果 HED解决的记录可与人因问题跟踪系统结合
0.2.7 HED 解决的关闭
应核实人因V&V所有活动识别出来的HED均已被充分考虑和应对,证明所有HED已被满意地 解决后,关闭HED解决活动。 对于在人因V&V中确定不解决的人因不符合项,应妥善记录并传递到运行和维护阶段,供电厂改 造考虑。
1改进型新电厂的特殊考虑
新建核电厂可分为HSI集成系统全新设计、改进设计两种情况。 应为全新设计开展最为完整的人因V&.V活动,包括及时、充分的形成性V&V,以及完整的总结 性V&.V。 改进型新电厂设计从HFE的角度,相对参考电厂仅进行了有限的变更或优化,即当前电厂仅是某 “标准”电厂的“翻版”项目。若能为当前项目属于改进型新电厂进行论证并提供充分的理由,则可对人 因V&.V活动进行裁切。 设计变更管理是改进型新电厂项目判定的基础,差异分析和变更管理应覆盖4.2的范围。形成性 V&.V、HFE设计验证、HSI任务支持验证、ISV裁切的程度,取决于: 一参考电厂V&V活动的完整性和质量; 变更和优化的范围和程度; 运行经验反馈:
GB/T41145—2021
是否存在新的监管要求; 是否存在新技术发展要求 设计实现、HED解决与全新设计项目不存在差异。
12.1改造项的人因风险等级
图3改造项的人因风险分析
人员风险三个方面对改造的人因风险进行综合分析。在对这三类风险分别分析的基础上,基于 全风险、经济风险和人员安全风险中的最高等级,可确定改造项初始人因风险等级,如表3所示。
表3改造项初始人因风险等级
确定改造项的初始人因风险等级后,可根据下列因素进行修正,以确定最终的人因 a)范围:
GB/T 411452021
1)受影响HSI的数量; 2)受影响的任务数量; 3)受影响的人员范围。 b 复杂性: 1)被改造HSI的复杂性,如: 设计特性或设备级的改造,如修改设备标签、替换某一型号的控制器; 一系统级的改造,如将新的工艺系统引入主控制室、用COPS替代纸质规程; 整体性改造,如整个主控制室的数字化改造。 2)受影响任务的复杂性,如: 改变任务执行顺序; 一 改变任务执行的自动化水平; 改变任务执行时的环境条件。 3)相关技术的复杂性,如用Ⅲ类COPS替代纸质规程,相对于用I类COPS替代纸质规程 (COPS分类按照NB/T20270规定)。 c)改造实施的方式,如: 1)完整的大型改造,以及很多小的改造组成的改造项目; 单次停堆期间的改造,以及多次停堆期间的改造; 3 同时保留新旧设备的改造(包括新的非功能性HSI和旧的功能性HSI并存),以及不保留 旧设备的改造。 不确定性,如: 1)改造相关的经验水平,包括行业的和特定电厂组织的; 2)已有的人因分析和记录的完整性
12.2电厂改造人因V&V策划
可根据改造项目特点确定是否开展形成性V&.V活动 总结性V&V可按表4进行策划
表4改造项人因风险等级与V&V活动
V&.V活动的目标、范围、方法和深度可根据特定周期、特定改造对象特点单独定义,但应在整个改 造活动中实施统一的HED解决活动。 对于很多小改造组成改造项目或多周期电厂改造,应确保人因V&V策划的完整性和一致性,为改 造中和改造后电厂的安全运行提供合理保障。 应充分识别新旧系统并存对人员效能带来的负面影响。 应覆盖运行和维修人员在电厂非停堆期间以及停堆期间使用的临时配置,以证实它们从工程和运 行角度看都是可接受的
GB/T 41145—2021
12.3电厂改造人因V&V活动
12.3.4ISV的特殊考虑如下
电缆标准规范范本GB/T 411452021
系统替代现有系统时,确保新系统能实现被替换系统的应用功能非常重要,尽管初始设计并未 有意包括这些功能,设计新系统时应对人员实际使用被替代系统的方式进行分析。 D 与其他HSI集成性差, 与规程和培训结合性差
13.2.1HSI 设计导则
应核对HSI设计导则是否满足就地人因V&.V的要求,包括以下方面。 导则涵盖就地特有HSI系统,如阀门、手套箱、人孔、爬梯、移动设备等, 导则指标符合就地人因要求。例如,由于电厂就地运维空间有限、环境条件控制困难,除了提 出一个优选、推荐的控制限值,导则宜补充一个“可接受限值”,该“可接受限值”可能超出其他 人因相关导则和标准中规定的首选或通常可接受的限值。 人体尺寸相关导则考虑了就地区域的特点,如百分位范围的选择、服饰修正量等。 鉴于就地问题的复杂性,除了详细的“样式导则”,亦可补充通用的人因原则以保证评估的全面性。
应核对HSI设计导则是否满足就地人因V&.V的要求,包括以下方面。 导则涵盖就地特有HSI系统,如阀门、手套箱、人孔、爬梯、移动设备等, 导则指标符合就地人因要求。例如,由于电厂就地运维空间有限、环境条件控制困难,除了提 出一个优选、推荐的控制限值,导则宜补充一个“可接受限值”,该“可接受限值”可能超出其他 人因相关导则和标准中规定的首选或通常可接受的限值。 人体尺寸相关导则考虑了就地区域的特点,如百分位范围的选择、服饰修正量等。 鉴于就地问题的复杂性,除了详细的“样式导则”,亦可补充通用的人因原则以保证评估的全面性
装饰装修标准规范范本GB/T41145—2021
可用时间等。模型的精细程度应与评估目标相匹配,例如评估设备搬运抓握特性时,宜对设备质量也进 行模拟。若采用缩小或放大尺寸的模型,应分析其与等比例尺寸设备的差异,是否会对V&V结果有效 性造成影响。对于认知交互特性是人员效能主要影响因素的HSI系统,也应按需提供原型机。 必要时,需要对恶劣环境进行模拟, 就地V&V可采用数字人体模型或实体人体模型,包括完整的人体模型或局部的人体模型(如手)。 平估时应选择与设计尺寸相关的人体尺寸(集)。当存在多个人体尺寸耦合时,宜考虑适配率递减的 影响
13.2.3HED解决
....- 相关专题: 核电厂