标准规范下载简介
GB/T 41145-2021 核电厂人因验证和确认.pdf应为每个测量指标确定特定的准则 到断效能是否可接受,并描述其基准。要求、基准、规深 判断均可为制定效能指标的基础准则提供参考
立明确每不测量指标是通过 ;还是用于诊断存在的问题诊 断性准则,即用于更好地理解人员效能 IHED进行分析
应明确获取这些测量数据的方法,如通过模拟机数据记录、参试者调查问卷或观察员的观察记录 等。应规定何时获取或记录每个测量指标的数据,如连续获取、在场景中的某个特定时刻或在场景结 束后。
应在班组间对场景进行均衡分配,为每个班组提供相似的、有代表性的场景。在ISV中不宜将场 景随机分配给班组。只有参试者班组数量足够大时,随机分配才能有效控制偏差。 应平衡不同场景相对于参试者班组的出现顺序,以合理保证场景不会始终以相同的顺序出现。例 如,简单的场景不总是最先出现
GBT 18993.1-2020标准下载8.7.2.1程序内容
8.7.2.2避免偏差
试验程序应尽可能降低试验人员预期偏差或参试者响应偏差产生的可能性。 如果试验人员的预期对数据收集产生了系统化的影响,则可能引入偏差。预期可通过许多方工 效能。例如,试验人员可通过提供细微的线索或通过交流引导参试者,或者他们在评价参试者的效
GB/T41145—2021
时可能更倾向于反映有利设计的方面,而不是作为客观的观察者, 参试者响应偏差是指试验设计本身对参试者数据的获取产生了影响。响应偏差未必意味着参试者 的任何意图都不可信。试验环境可能影响参试者,使其无法完成试验目标。响应偏差可能以下列方式 出现: 参试者可能希望影响输出结果,因而偏向于使产生的数据与他们所期望的结果相一致: 参试者可能想要给出他们认为试验人员希望获取的数据; 参试者可能试图了解效能如何在不同情况下发生变化,因此使数据与这种变化相一致; 参试者可能和要表现得优秀,因为他们知道自已正在被观察
8.7.3.1试验人员培训
8.7.3.2参试者培训
对参试者培训的要求如下: 对参试者的培训应与电厂人员接受的培训高度相似,培训应合理保证参试者对电厂设计、运 行、以及HSI系统使用的了解与一名有经验的电厂人员相当; 不能对参试者开展专门针对选定ISV试验场景的培训: 应提供一致的培训,以避免引人偏差; 应使其效能趋于稳定,并在实际的ISV试验之前进行测试
应在ISV试验前进行预试验,以评估试验设计、效能测量和数据收集方法的正确性和充分性。 预试验不应使用ISV试验的参试者。 应在正式试验开始前,解决预试验识别出的、对正式试验开展和结果评估有效性有不可接受影响
应在试验完成后及时分析数据。数据分析应注意以下方面。 结合定量和定性的方法进行数据分析,建立所观察的效能数据与所建立的效能评价准则之间 清晰的关系 b 阐述试验数据的分析方法,包括用于判断每个给定场景是否成功的准则。 对相互关联的测量结果的收敛效度进行评价,即预期用于评价同一个效能因素的测量指标之 间应具有一致性。例如,如果情境意识通过参试者问卷和观察员打分两种手段测量,结果应具 有一致性,否则应确定其原因。 d)在解释试验结果时,应允许存在一定的误差容限(实际效能的变化可能大于观察到的试验效 能)。 e)核实数据分析的正确性。这项工作应由原先执行分析工作之外的人员或小组承担,但可来自 同一个组织
8.9HED识别、记录和传递
GB/T 411452021
以下情况应识别为HED: a)不满足通过性准则; b)与诊断性准则存在偏离; c)试验人员、参试者的负面反馈和评价。 鉴于ISV的综合性,ISV识别的HED可能覆盖HSI集成系统的某一个组成部分,或是多个组成部 分之间的交互。应定义格式化的方法,对识别的HED进行记录。记录应清晰标明相关的HSI集成系 统组成部分,以及识别为HED的原因。记录的HED将传递给HED解决活动。HED的分析和纠正属 于HED解决活动,见第10章
应对ISV的计划、实施、分析和结论进行记录,特别是ISV试验的统计和逻辑依据。ISV结果的详 细程度,应能判断集成系统的效能在目前和将来都是可接受的,即确认试验能证明最终设计具备支持电 安全运行的能力。 应在文件中记录ISV试验的局限性,以及这种局限性可能会对ISV试验结论和设计实施产生的影 向。局限性可能包括: a)难以控制的试验特性; b)试验场景和真实运行的潜在差异,例如试验不存在电厂效益和安全之间的冲突; 经确认的设计和实际建成的电厂或系统之间的潜在差异,如果ISV试验是基于差异信息可获 取的、实际建造中的电厂,或是基于参考电厂的确认结果的新电厂设计
设计实现的目的是: a)确保在已完成的V&V活动中未涉及的设计特性,在设计实现中全部得到覆盖; b)证明最终的电厂与经过V&.V的设计是一致的,在实际电厂和工作环境中实现时,不存在非预 期的问题。
设计实现的过程和方法如下。 a)HED识别: 1)可采用类似于HFE设计验证的方法,基于实际电厂系统对V&.V活动中未涉及的设计特 性进行评价,识别HED; 2 对HFE设计验证、HSI任务支持验证、ISV之后存在的变更,以及实际电厂系统、规程、人 员配备和培训相对于设计描述级文件出现的偏离进行评价,核实其并未引人新的HED。 b)HED记录和传递:应定义格式化的方法,对识别的HED进行记录。记录的HED将传递给 HED解决活动。HED的分析和纠正属于HED解决活动,见第10章, C 设计实现的关闭:明确设计实现活动关闭条件时,应充分考虑9.1中目标的实现情况
GB/T 411452021
HED解决活动负责对V&V活动传递过来的HED进行分析、跟踪和解决。HED解决应: a)对HED进行分析和评价,以确定是否需要纠正; b)对必须纠正的HED,确定解决方案: c)确保解决方案的完整实现。 HED解决宜与V&V其他活动一起反复进行
10.2.1HED 分析
a)人员任务和功能:HED对人员任务的影响,以及这些任务所支持的功能。HED的影响可通过 人员功能对于电厂安全的重要性(例如,失败的后果)以及HED对人员效能的累积效应(例 如,损害程度和可能的失误类型)进行判断。 b)电厂系统:HED对电厂系统的影响,考虑这些系统的安全重要性、对事故分析的影响,及其与 电厂概率安全评价中风险重要序列之间的关系。HED对电厂安全和人员效能的潜在影响,可 部分地通过特定设备相关的电厂系统的安全重要性进行判断, HED的累积效应:HED分析应确定多个HED对电厂安全和人员效能潜在的累积作用。虽 然单个HED可能没有严重到需要纠正的程度,但多个HED的组合可能对设计的某一特性产 生严重损害电厂安全的作用,从而需要纠正。同样,如果单个电厂系统具有多个相关的HED, 并影响到多个HSI,则应分析这些HED对于电厂系统运行可能的组合效应。 d)HED的普遍效应:在解决特定HED的同时,应确定这一HED是否意味着存在潜在的普遍问 题。例如,若识别出与HSI某一设计特性(如远距离停堆盘)相关的多个HED,也可能意味着 导则”使用不一致
D.2.2人因例外项判定
在整个HSI集成系统的背景下,若某项HED的技术恰当性能被证明为可接受的,则可判定为人因 例外项。技术恰当性的分析包括最新研究文献的结果、当前的实践经验、对多个方案的权衡研究、形成 性V&V的评估等
10.2.3人因不符合项分级和判定是否需要解》
未通过人因例外项判定的HED定义为人因不符合项。 区分人因不符合项优先级时,应分析其对安全、经济性的影响。可针对不同优先级的人因不符合 项,制定不同的解决原则。人因不符合项分级原则和示例见附录C
10.2.4人因不符合项解决方案开发和实施
应确定纠正人因不符合项的解决方案,解决方案可涉及HSI系统(包括规程)、培训多个方面。 在开发和实施解决方案时,不应独立地考虑人因不符合项,而应最大限度地考虑各个人因不符合 可能存在的关系和相互影响。例如,如果单个电厂系统的HSI与多个人因不符合项关联,则解 应相互协调,从而提高整体的效能,并避免各个方案之间的冲突。与此类似,如果单个电厂系统
GB/T 411452021
加完善,而不是 损害系统的运行。在某项特定的V&.V活动中 人因不符合项之前,可先开发一部分人因不 符合项的解决方案。但前提是在实施解决方案之前,已经考虑了人因不符合项之间的潜在相互影响。
10.2.5人因不符合项再验证和确认
应对解决方案的实施进行评价,以证明该人因不符合项已被解决,并确保未引人新的人因不符 合项。 通常,该评价过程应使用最初确定该人因不符合项的V&V方法。例如,如果人因不符合项通过 HFE设计验证确定,则评价解决方案时应采用相同的验证过程。然而,也可采用其他方法评价解决方 案是否满足要求。例如,若通过HSI某方面的重大变更来同时解决多个人因不符合项,可对最终的 HSI设计进行一次确认,确保变更的最终完整效果是可接受的
10.2.6HED解决的记录
应对每个HED解决的信息进行记录,记录应包括HED如下信息: 编号; 相关的人员任务和功能、电厂系统; 判定为HED的原因; 对累积效应、普遍效应的分析; 人因例外项判定依据和结果; 人因不符合项优先级; 要否解决的判定依据和结果。 对于判定为需要解决的人因不符合项,还应记录:解决方案、再验证和确认的结果 HED解决的记录可与人因问题跟踪系统结合
0.2.7 HED 解决的关闭
应核实人因V&V所有活动识别出来的HED均已被充分考虑和应对,证明所有HED已被满意地 解决后,关闭HED解决活动。 对于在人因V&V中确定不解决的人因不符合项,应妥善记录并传递到运行和维护阶段,供电厂改 造考虑。
1改进型新电厂的特殊考虑
新建核电厂可分为HSI集成系统全新设计、改进设计两种情况。 应为全新设计开展最为完整的人因V&.V活动,包括及时、充分的形成性V&V,以及完整的总结 性V&.V。 改进型新电厂设计从HFE的角度,相对参考电厂仅进行了有限的变更或优化,即当前电厂仅是某 “标准”电厂的“翻版”项目。若能为当前项目属于改进型新电厂进行论证并提供充分的理由,则可对人 因V&.V活动进行裁切。 设计变更管理是改进型新电厂项目判定的基础,差异分析和变更管理应覆盖4.2的范围。形成性 V&.V、HFE设计验证、HSI任务支持验证、ISV裁切的程度,取决于: 一参考电厂V&V活动的完整性和质量; 变更和优化的范围和程度; 运行经验反馈:
GB/T41145—2021
是否存在新的监管要求; 是否存在新技术发展要求 设计实现、HED解决与全新设计项目不存在差异。
12.1改造项的人因风险等级
图3改造项的人因风险分析
人员风险三个方面对改造的人因风险进行综合分析。在对这三类风险分别分析的基础上,基于 全风险、经济风险和人员安全风险中的最高等级,可确定改造项初始人因风险等级,如表3所示。
表3改造项初始人因风险等级
确定改造项的初始人因风险等级后,可根据下列因素进行修正,以确定最终的人因 a)范围:
GB/T 411452021
1)受影响HSI的数量; 2)受影响的任务数量; 3)受影响的人员范围。 b 复杂性: 1)被改造HSI的复杂性,如: 设计特性或设备级的改造,如修改设备标签、替换某一型号的控制器; 一系统级的改造,如将新的工艺系统引入主控制室、用COPS替代纸质规程; 整体性改造,如整个主控制室的数字化改造。 2)受影响任务的复杂性,如: 改变任务执行顺序; 一 改变任务执行的自动化水平; 改变任务执行时的环境条件。 3)相关技术的复杂性,如用Ⅲ类COPS替代纸质规程,相对于用I类COPS替代纸质规程 (COPS分类按照NB/T20270规定)。 c)改造实施的方式,如: 1)完整的大型改造,以及很多小的改造组成的改造项目; 单次停堆期间的改造,以及多次停堆期间的改造; 3 同时保留新旧设备的改造(包括新的非功能性HSI和旧的功能性HSI并存),以及不保留 旧设备的改造。 不确定性,如: 1)改造相关的经验水平,包括行业的和特定电厂组织的; 2)已有的人因分析和记录的完整性
12.2电厂改造人因V&V策划
可根据改造项目特点确定是否开展形成性V&.V活动 总结性V&V可按表4进行策划
表4改造项人因风险等级与V&V活动
V&.V活动的目标、范围、方法和深度可根据特定周期、特定改造对象特点单独定义,但应在整个改 造活动中实施统一的HED解决活动。 对于很多小改造组成改造项目或多周期电厂改造,应确保人因V&V策划的完整性和一致性,为改 造中和改造后电厂的安全运行提供合理保障。 应充分识别新旧系统并存对人员效能带来的负面影响。 应覆盖运行和维修人员在电厂非停堆期间以及停堆期间使用的临时配置,以证实它们从工程和运 行角度看都是可接受的
GB/T 41145—2021
12.3电厂改造人因V&V活动
12.3.4ISV的特殊考虑如下
GB/T 411452021
系统替代现有系统时,确保新系统能实现被替换系统的应用功能非常重要,尽管初始设计并未 有意包括这些功能,设计新系统时应对人员实际使用被替代系统的方式进行分析。 D 与其他HSI集成性差, 与规程和培训结合性差
13.2.1HSI 设计导则
应核对HSI设计导则是否满足就地人因V&.V的要求,包括以下方面。 导则涵盖就地特有HSI系统,如阀门、手套箱、人孔、爬梯、移动设备等, 导则指标符合就地人因要求。例如,由于电厂就地运维空间有限、环境条件控制困难,除了提 出一个优选、推荐的控制限值,导则宜补充一个“可接受限值”,该“可接受限值”可能超出其他 人因相关导则和标准中规定的首选或通常可接受的限值。 人体尺寸相关导则考虑了就地区域的特点,如百分位范围的选择、服饰修正量等。 鉴于就地问题的复杂性,除了详细的“样式导则”,亦可补充通用的人因原则以保证评估的全面性。
应核对HSI设计导则是否满足就地人因V&.V的要求,包括以下方面。 导则涵盖就地特有HSI系统,如阀门、手套箱、人孔、爬梯、移动设备等, 导则指标符合就地人因要求。例如,由于电厂就地运维空间有限、环境条件控制困难,除了提 出一个优选、推荐的控制限值,导则宜补充一个“可接受限值”,该“可接受限值”可能超出其他 人因相关导则和标准中规定的首选或通常可接受的限值。 人体尺寸相关导则考虑了就地区域的特点,如百分位范围的选择、服饰修正量等。 鉴于就地问题的复杂性,除了详细的“样式导则”,亦可补充通用的人因原则以保证评估的全面性
GB/T41145—2021
可用时间等。模型的精细程度应与评估目标相匹配,例如评估设备搬运抓握特性时,宜对设备质量也进 行模拟。若采用缩小或放大尺寸的模型,应分析其与等比例尺寸设备的差异,是否会对V&V结果有效 性造成影响。对于认知交互特性是人员效能主要影响因素的HSI系统,也应按需提供原型机。 必要时,需要对恶劣环境进行模拟, 就地V&V可采用数字人体模型或实体人体模型,包括完整的人体模型或局部的人体模型(如手)。 平估时应选择与设计尺寸相关的人体尺寸(集)。当存在多个人体尺寸耦合时,宜考虑适配率递减的 影响
13.2.3HED解决
3.2.3.1在判断就地HED是否需要进行纠正时,需对多种因素进行权衡。例如,对于人体尺寸相关 问题,若操作员为了进行控制或操作而屈膝、跪下或弯腰,或者向上伸手超出其头部,在确定HED是 否需要解决时,可综合分析相关控制操作是否是: 不频繁的; 短时间的; 便于操作员读取标识,以确保操纵员能正确完成任务; 一无需精确控制和调节的; 一 一控制器足够大,不需要非常灵巧的操作(如控制器可用手抓握,而不是用手指操作); 一 一在控制器附近提供弯腰和工作的空间。 3.2.3.2环境条件越宽松,电厂就地区域内偏离HFE要求的HSI系统和不方便的操作就越可能被接 受。若经济代价超过收益,解决方案也可进行适当的要协。例如,解决可达性问题时,通过设置临时或 移动的访问平台,避免对工艺系统进行设计变更;通过增加轮替人员,缩短工作人员暴露在不舒适环 竞中的时间长度,将不利环境对人员健康的影响控制在可接受范围内。但对于降低电厂安全、阻碍人员 完成任务或使人员有受伤风险的情况是不可接受的
13.2.3.3把商业现货产品集成到已有系统中时
应对一致性等HSI人因特性进行评估; 应对是否会导致工作环境或任务执行产生不良变化进行评估; 应对是否需要开发额外规程或进行规程优化进行评估; 应对是否需要额外的培训进或提出人员技能和资质的新要求进行评估; 与HSI设计导则要求偏离较大,对人员安全和效能、工作环境带来了较大负面影响的产品不 应用于核电厂就地区域
GB/T 411452021
HSI清单和特性描述属于人因V&.V中的支持性活动,其目的是确保收集的资料或所采用的测试 施能体现HSI系统当前最新有效状态,对设计变更进行有效追踪和管理,保证特定验证或确认活动 入的有效性和规范性 可通过不同的方式开展HSI清单和特性描述,但应确保采用方法的有效性。一般而言,清单信息 至少包括HSI系统的范围、完整的基线信息、HSI系统各组成部分的特性描述。 HSI系统的范围包括待V&.V的HSI系统组成部分,或运行条件选取确定的所有HSI系统组成 分。 完整的基线信息包括唯一的标识码或名称、版本信息、适用的设计变更等信息, 对于HSI系统各组成部分的特性描述,无论依赖于4.4的哪一类载体,都应确保其准确地反映了 SI系统的当前状态。特性描述的逼真度取决于具体V&V活动的需求。定义描述HSI特性所需的 小信息集时,可考虑下列信息。 a)相关的电厂系统和子系统。 b) 相关的人员功能和任务。 C HSI类型,如: 1 基于计算机的控制,例如,触摸屏或光标操作的按钮和键盘输人; 硬接线控制,例如,J形手柄控制器、按钮和自动控制器; 3 基于计算机的显示,例如,数字读数和模拟显示 硬接线显示,例如,刻度盘、表计和带状图记录仪; 5 就地特有的HSI,例如,阀门、手套箱。 d)显示特性和功能,例如,电厂变量/参数、测量单位、变量/参数准确度、显示精确度、动态响应和 显示格式(如棒状图和趋势图)。 控制特性和功能,例如,连续与离散的设置、控制模式的数量和类型、准确度、精确度、动态响应 和控制方式(输人方式)。 f 人机交互和对话类型,例如,导航辅助和菜单, g 数据管理系统中的定位信息,例如,信息显示屏幕标识码。 HSI的物理位置,例如,房间号、控制盘区(若适用)
GB/T 411452021
GB/T41145202
因子)。 B.2.2.2 保护动作的手动触发:应包含关键安全功能的手动系统级驱动。 B.2.2.3 自动系统监视:应包含人员必须监视风险重要的自动系统的场景。 B.2.2.4 运行经验评审确定的困难任务:应包含在运行经验评审中确定的存在困难的所有人员任务。 B.2.2.5 规程指导的任务包括以下方面,
B.2.2.6基于知识的任务包括以下方面。
GB/T 41145—2021
员、I&C技术人员、化学技术人员): 3)主控制室操纵员与技术支持中心和应急指挥中心之间的交互; )主控制室操纵员与电厂管理人员、安全监管方和其他厂外组织间的交互
B.2.3人员效能影响因素
应包括影响人员效能的场景因素或导致失误的情况。还应包含经过特殊设计、易造成人员失误的 青况,以此评价系统的容错性,以及当失误发生时操纵员从失误中恢复的能力。例如以下因素。 a)高工作负荷:应包含工作负荷高的情况,以便评估人员效能由于高工作负荷和多任务处理发生 的变化。 b)工作负荷变化:取样应包含工作负荷变化的情况,以便评估由于工作负荷变化引起的人员效能 变化。工作负荷变化的情况如: 1)一段时间内信号很少,随后突然出现大量需要监视和处理的信号; 2)一段时间内持续高任务负荷,随后需要监视和处理的信号突然减少。 疲劳:在可行的范围内,取样应包含与疲劳相关的场景,例如,上晚班,以及频繁执行重复动作 的任务(如在电厂运行或提棒期间对触摸屏重复输人)。 d)环境因素:在可行的范围内,取样应包含可能导致人员效能变化的环境条件,例如,弱照明、极 端温度、高噪声和模拟的放射性污染
应将取样结果组合起来,确定一系列用于后续分析的V&V场景。一个给定场景可能组合了由运 行条件选取确定的多个特性。 确定场景时还应避免有下列倾向。 预期只会产生有利结果的场景。 相对易于实施的场景。例如不能仅仅因为需要在模拟机上安装和运行,而取消某一用于ISV 的场景。 熟悉的、标准化的场景。例如,处理熟悉的系统以及与电厂规程高度一致的故障模式的ISV 场景中建大厦基础钻孔灌注桩压浆施工方案(20P)-.doc,如“教科书”式的设计基准事故
GB/T 411452021
尽可能详细地明确控制室外人员能提供的信息,并对可能提到的问题预先确定回答内容。 h)详细规定需要收集和存储的数据,以及何时、如何收集和存储数据(包括摄像、问卷调查和打分 的管理)。 详细规定测试设施的设置。 j)场景终止的特定准则。 定义的场景应逼真地再现试验中的操纵员任务,从而可对试验结果进行总结,用于电厂的实际 运行
广州市市住建局穗建规字【20】30号+广州市住房和城乡建设局关于规范建筑工程地基基础检测工作的通知GB/T 41145—2021
对于人因不符合项,根据以下原则进行分级并判定是否需要解决以下问题 a)I级。 1)具有直接安全后果的人因不符合项,即可能对人员效能产生不利影响,从而使电厂安全裕 量降低到可接受水平以下。例如: 违反技术规格书的安全限值、运行限值或运行限制条件; 一被确认活动的通过性准则判定为“不通过”; 与安全有关的HSI,其特性阻止任务成功执行; 与重要人员动作相关,如未提供重要人员动作任务成功完成所需的报警、显示或控 制,或报警、显示、控制的特性影响重要人员动作的完成。 2)在电厂装料前,应消除所有I级人因不符合项。 b)ⅡI级。 1)具有潜在安全影响但没有达到工级的程度的人因不符合项,或可能对人员效能产生不利 影响,从而影响到电厂性能或系统、构筑物和部件的可用性,以及人员效能或效率的人因 不符合项。例如: 妨碍电厂正常运行的人因不符合项,即妨碍电厂运行规程要求执行的任务,包括但不 局限于纵深防御系统和重要人员动作相关的人因不符合项; 违反关系到电厂生产效益、可用性和资产保护任务的HFE需求; 一与非安全有关HSI的HFE强制性原则相关; 被确认活动的诊断性准则判定为“不通过”。 2)应对Ⅱ级人因不符合项进行解决,除非能证明维持原状是合理、可接受的。对装料前无法 解决的人因不符合项,应制定后续解决计划 C I级。 1)所有其他的人因不符合项; 2 可自行决定是否解决Ⅲ级人因不符合项
GB/T41145202