劉海宇，李　力，李　驁

基于任務分析的核電廠計算機化運行規(guī)程人機界面研究

劉海宇，李力，李驁

（中國核電工程有限公司，北京 100840）

為使核電廠計算機化運行規(guī)程人機界面更好地適應運行任務，本文首先通過計算機化運行規(guī)程使用行為分析和任務分析，確定計算機化運行規(guī)程執(zhí)行所需的功能信息清單。再依據(jù)功能信息的重要性和層次性等因素，結(jié)合經(jīng)驗反饋及人因工程原則，設計一種計算機化運行規(guī)程人機界面功能布局方案。該功能布局方案能夠滿足計算機化運行規(guī)程執(zhí)行的任務需求，同時預留了向Ⅲ類計算機化規(guī)程系統(tǒng)升級的可擴展性，能夠為相關核電項目計算機化運行規(guī)程的開發(fā)和設計提供參考。

計算機化運行規(guī)程（COP）；任務分析（TA）；人機界面（HMI）

核電廠運行規(guī)程為操縱員執(zhí)行運行任務提供操作指令，在面對較為緊急或較為復雜的任務時，即使是運行經(jīng)驗豐富和操縱員，也必須嚴格遵照運行規(guī)程的指引來完成相關的操作。隨著DCS技術在核電廠的廣泛應用，采用數(shù)字化控制技術的核電廠主控室為操縱員提供的工作環(huán)境和操作手段與使用模擬盤臺的傳統(tǒng)主控室相比發(fā)生了非常大的改變?；谟嬎銠C的操縱員工作站是主控室操縱員完成核電廠運行監(jiān)控任務的主要途徑。計算機化運行規(guī)程（Computerized operating procedure，也稱為數(shù)字化規(guī)程）能夠充分利用計算機在數(shù)據(jù)處理和運用方面的優(yōu)勢，為操縱員提供合理的監(jiān)視信息和控制手段，提高運行規(guī)程的執(zhí)行效率，降低了緊急或復雜工況下操縱員工作負荷，從而提升核電廠的安全性。計算機化運行規(guī)程除了用視頻顯示器向操縱員提供運行規(guī)程這一核心功能外，還會提供便于規(guī)程管理和執(zhí)行的附加功能[1]。核電廠計算機化運行規(guī)程系統(tǒng)設計準則（NB/T 20267—2014）中根據(jù)功能水平將計算機化運行規(guī)程分為三類：Ⅰ類系統(tǒng)僅提供規(guī)程的文本顯示，以及基本的導航鏈接；Ⅱ類系統(tǒng)在規(guī)程內(nèi)顯示動態(tài)的工藝參數(shù)，可以處理規(guī)程步邏輯并顯示評價結(jié)果，提供操作鏈接調(diào)用其他系統(tǒng)的工藝顯示和控制功能；Ⅲ類系統(tǒng)提供嵌入式軟控制器，并能根據(jù)運行人員指令啟動基于規(guī)程的自動化[1]。EPRI TR-1015313中將計算機化運行規(guī)程劃分為三種自動化水平：電子規(guī)程（EP）、基于計算機的規(guī)程（CBP）和基于規(guī)程的自動化（CBP with PBA）[2]，其功能范圍與NB/T 20267中的三類基本一致。目前國內(nèi)采用數(shù)字化主控室的核電廠，包括三代核電廠AP1000、“華龍一號”等，其計算機化運行規(guī)程基本為Ⅱ類。

在計算機化運行規(guī)程，特別是事故規(guī)程的執(zhí)行過程中，需要操作較多的界面管理任務，如調(diào)用信息和畫面、執(zhí)行或確認控制指令等，操作方式的變化會產(chǎn)生與以往不同的人因失誤模式，可能會對事故處理帶來負面影響[3]。這也說明計算機化運行規(guī)程操作的人機界面設計與運行任務的執(zhí)行過程尚不能很好地適應。因此，本研究從核電廠運行任務角度出發(fā)，對計算機化運行規(guī)程的人機界面功能設計進行研究。首先進行使用行為分析，研究各類運行工況下的運行任務和運行規(guī)程操作順序；再通過任務分析研究運行場景和操作任務，進而獲得計算機化運行規(guī)程執(zhí)行所需的操作、監(jiān)視和管理信息；最后分析這些信息在人機界面上的功能實現(xiàn)方式。

1　計算機化運行規(guī)程使用行為分析

核電廠的運行工況主要可以分為正常工況、異常工況（故障工況）和事故工況。在不同的運行工況下操縱員執(zhí)行的運行任務是有差別的，所需要的計算機化運行規(guī)程人機界面功能也不相同。正常工況是最常見的，此時電廠在規(guī)定的限值和條件的范圍之內(nèi)運行，操縱員運行任務包括啟動、功率運行、停堆、維修、試驗和換料。執(zhí)行正常工況運行任務主要使用系統(tǒng)規(guī)程、總體規(guī)程，定期試驗規(guī)程和大修規(guī)程。這些運行任務的特點是操作緊迫性較低、操作順序相對固定，并且就地操作較多。異常工況是指電廠偏離正常運行狀態(tài)或發(fā)生主要設備故障，操縱員運行任務是將機組恢復到正常運行狀態(tài)，或限制故障進一步發(fā)展并將機組帶入安全狀態(tài)。執(zhí)行異常工況運行任務主要使用報警規(guī)程和異常規(guī)程（故障規(guī)程）。異常工況運行任務介于正常工況和事故工況之間，具有一定的緊迫性，根據(jù)故障的影響范圍不同，任務操作可能簡單也可能較為復雜。事故工況是指電廠發(fā)生設計基準事故以及設計擴展工況，此時保護系統(tǒng)已經(jīng)動作，操縱員運行任務為緩解事故后果并將機組帶入安全停堆狀態(tài)。執(zhí)行事故工況運行任務需要使用事故規(guī)程或嚴重事故管理導則。事故工況運行任務的特點是操作緊迫性高，操作順序較為復雜，需要根據(jù)機組狀態(tài)變化隨時調(diào)整處理策略。由于事故工況運行任務關系到機組的安全性，計算機化運行規(guī)程人機界面的設計應優(yōu)先考慮事故規(guī)程執(zhí)行和管理的功能需求。

通常情況下，事故工況下操縱員的主要行為流程如圖1所示。操縱員發(fā)現(xiàn)事故出現(xiàn)的征兆，征兆可以是某些參數(shù)變化或報警，也可以是預先設置好的信號指示。隨后操縱員應立即找到并打開適當?shù)氖鹿室?guī)程，通常是診斷引導類的規(guī)程。根據(jù)事故規(guī)程中的操作指令，操縱員完成對事故的處理和機組狀態(tài)功能的恢復，最終將機組帶入安全停堆狀態(tài)后退出事故規(guī)程。在事故處理的過程中，操縱員對事故規(guī)程的操作記錄都應存檔以備后續(xù)的分析檢查。

上述操縱員行為無論對紙質(zhì)規(guī)程還是計算機化規(guī)程都是適用的，然而可以很容易地發(fā)現(xiàn)計算機化規(guī)程可以在其中的每個環(huán)節(jié)都為操縱員提供更便捷準確的信息，從而大幅度地提高事故規(guī)程的執(zhí)行效率。例如設置專門的事故征兆提示信息和事故規(guī)程快速進入方式，可以幫助操縱員在事故發(fā)生后第一時間打開合適的規(guī)程。

進一步的，可以按照操作順序?qū)Σ倏v員在執(zhí)行計算機化事故規(guī)程時與計算機系統(tǒng)的信息交互進行分析，從而確定在后續(xù)任務分析時，需要提取哪些人機界面相關的功能信息。對圖1的行為流程所做的操作順序分析如圖2所示。

圖2　計算機化事故規(guī)程主要操作順序

當發(fā)生事故工況后，操縱員在顯示屏上發(fā)現(xiàn)事故征兆指示；之后，通過輸入設備打開計算機化事故規(guī)程；計算機化規(guī)程系統(tǒng)從服務器調(diào)取計算機化事故規(guī)程，并顯示在顯示屏上；操縱員通過輸入設備獲取規(guī)程的操作權限；被激活的規(guī)程將變?yōu)榭刹僮鳡顟B(tài)；操縱員在顯示屏上瀏覽事故規(guī)程步驟內(nèi)容以及規(guī)程要求監(jiān)視的參數(shù)和設備信息；根據(jù)規(guī)程操作指令，操縱員通過輸入設備完成相關設備的操作并在顯示屏上監(jiān)視設備狀態(tài)變化；步驟執(zhí)行完成后，操縱員通過輸入設備對已完成的規(guī)程步驟進行標記；已完成的規(guī)程步驟將在服務器上進行更新并實時顯示規(guī)程操作狀態(tài)；根據(jù)規(guī)程內(nèi)容需要，操縱員通過輸入設備執(zhí)行規(guī)程內(nèi)或規(guī)程間的跳轉(zhuǎn)操作；顯示屏會顯示跳轉(zhuǎn)后新的規(guī)程內(nèi)容，操縱員繼續(xù)執(zhí)行相關的操作直到事故處理完成；事故處理完成后，操縱員退出計算機化事故規(guī)程，所有已完成的事故規(guī)程應存檔記錄；退出后將釋放規(guī)程的操作權限，計算機化事故規(guī)程重新變?yōu)椴豢刹僮鳡顟B(tài)。以上過程即為操縱員在事故工況下執(zhí)行計算機化事故規(guī)程的主要操作順序。

2　計算機化運行規(guī)程任務分析

計算機化運行規(guī)程任務分析的目的是確定計算機化規(guī)程人機界面的各項功能需求，因此分析的側(cè)重點在于確定運行規(guī)程執(zhí)行過程中操縱員與計算機發(fā)生人機交互的操作信息。參考NUREG0711中對任務分析的要求[4]，首先將完整的運行任務根據(jù)運行操作順序和運行規(guī)程內(nèi)容選取若干運行場景，這些運行場景應能包含運行任務執(zhí)行過程中人機信息交互的各個功能要素，每個運行場景都由一系列子任務組成，子任務是從運行規(guī)程執(zhí)行過程中提煉出的典型操作。之后確定每個子任務包含的一系列人或計算機完成的操作所需的功能信息，并分析這些功能信息使用的頻度以及重要性。如果某一功能信息在規(guī)程每個步驟執(zhí)行過程中都會用到或很可能用到，則其操作頻度為高；如果功能信息在每本規(guī)程執(zhí)行過程中都可能會用到，則其操作頻度為中；如果功能信息只在事故處理的少數(shù)特定環(huán)節(jié)使用，則其操作頻度為低。功能信息的重要性體現(xiàn)在其對于事故后安全緩解和事故規(guī)程執(zhí)行的影響上，若功能信息的失效會導致核安全受到威脅或無法實現(xiàn)事故規(guī)程的執(zhí)行時，其重要性為高；若功能信息的失效會導致規(guī)程執(zhí)行收到干擾或規(guī)程執(zhí)行效率降低時，其重要性為中；若功能信息的失效對規(guī)程執(zhí)行過程影響很小時，其重要性為低。

根據(jù)上一節(jié)對事故工況下使用行為的分析，以及征兆導向法事故規(guī)程的特點，計算機化事故規(guī)程運行場景包括：事故規(guī)程的進入、一般規(guī)程步驟的操作、帶前置提醒信息步驟的操作、連續(xù)步的操作、規(guī)程內(nèi)導航、規(guī)程間導航、附錄的執(zhí)行、事故規(guī)程的退出等。表1和表2給出了事故規(guī)程的進入和一般規(guī)程步驟操作兩個運行場景的分析結(jié)果。表3給出了一般規(guī)程步驟操作子任務分析的結(jié)果。表4列出了通過任務分析確定的計算機化事故規(guī)程人機界面應包含的各類功能信息。

表1　計算機化事故規(guī)程運行場景（1）：事故規(guī)程的進入

表2　計算機化事故規(guī)程運行場景（2）：一般規(guī)程步驟的操作

表3　一般規(guī)程步驟操作子任務分析表

表4　計算機化事故規(guī)程功能信息

續(xù)表

功能分類功能信息信息重要性信息層次 監(jiān)視步驟邏輯顯示功能低步驟級 工藝參數(shù)顯示功能（趨勢/數(shù)值）中設備級 日志顯示功能低NA 存檔顯示功能低規(guī)程級 導航事故規(guī)程快速進入功能高規(guī)程級 運行規(guī)程菜單進入功能低規(guī)程級 規(guī)程結(jié)構導航功能中規(guī)程級 畫面鏈接功能中步驟級 規(guī)程內(nèi)導航功能中步驟級 規(guī)程間導航功能中步驟級 管理權限管理功能中規(guī)程級 存檔功能中規(guī)程級 連續(xù)步管理功能中步驟級 未完成規(guī)程清單功能低規(guī)程級 控制步驟操作標記功能中步驟級 設備軟控制功能中設備級

3　計算機化運行規(guī)程人機界面設計

人機界面設計就是合理安排各類功能信息在計算機顯示屏上布局的過程。計算機化運行規(guī)程作為一類重要的人機接口，其界面設計應遵循人因工程原則和方法。此外還應從功能信息的重要性、層次性和可擴展性等方面來考慮人機界面的布局。

3.1　信息重要性

任務分析中將人機界面功能信息的重要性分為三級，不同重要性的信息，應在顯示方式上加以區(qū)別。

任務分析中確定的高重要性的功能信息包括事故征兆信號、事故規(guī)程快速進入功能和機組關鍵安全功能狀態(tài)信息。這些信息必須要確保操縱員能在任何情況下發(fā)現(xiàn)和使用，應將其布置在固定位置且不應被其他界面或信息覆蓋。

中重要性的功能信息在任務分析的結(jié)果中占了大部分，這些功能信息應在其使用時直接顯示在顯示屏上而無需調(diào)用。中重要性信息的布置需要進一步考慮信息的層次性和操縱員使用習慣等方面。

對于任務分析中確定的低重要性信息，如操作日志，應通過二級菜單的方式調(diào)用，而不占用計算機化運行規(guī)程正常使用時的界面空間。

3.2　信息層次性與關聯(lián)性

從功能信息與計算機化規(guī)程內(nèi)容對應方式上可以將其分為三個層次：規(guī)程級、步驟級和設備級。例如規(guī)程結(jié)構導航功能就屬于規(guī)程級，規(guī)程內(nèi)容顯示功能屬于步驟級，參數(shù)顯示和設備軟控制器等功能屬于設備級。依據(jù)規(guī)程使用方式和正常閱讀順序，應按照從左到右、從上到下的順序布置規(guī)程級、步驟級和設備級的功能信息。

在布置功能信息時還應充分考慮信息之間的關聯(lián)性，對關聯(lián)性高的應集中布置，因此可以將規(guī)程內(nèi)容顯示布局在中心位置，因為這一功能信息既使用頻度很高，又與大多數(shù)功能關聯(lián)性較高。

3.3　可擴展性

本文對計算機化運行規(guī)程人機界面的研究是基于當前對運行任務和規(guī)程使用行為的理解，然而受限于核電廠現(xiàn)有計算機化規(guī)程的自動化程度，對于NB/T 20267標準中提到的Ⅲ類計算機化規(guī)程系統(tǒng)的基于規(guī)程的自動化功能，尚無實際的核電廠運行經(jīng)驗，因此基于規(guī)程的自動化對運行任務執(zhí)行過程的影響無法充分分析。在人機界面中預留部分相關功能，可以在今后升級為Ⅲ類計算機化運行規(guī)程系統(tǒng)時避免界面結(jié)構顛覆性的修改。

3.4　人機界面布局

依據(jù)上述分析，結(jié)合以往工程項目計算機化規(guī)程人機界面的設計經(jīng)驗，圖3給出了計算機化運行規(guī)程人機界面的功能布局方案。

圖3　計算機化運行規(guī)程人機界面功能布局方案

圖中所示功能布局涵蓋了任務分析結(jié)果中重要性高和中的全部功能，重要性低的功能可設置在二級功能菜單中根據(jù)需要調(diào)用。也為后續(xù)升級實現(xiàn)基于規(guī)程的自動化預留了部分功能。這一功能布局符合計算機化運行規(guī)程，特別時事故規(guī)程執(zhí)行時的功能需求和操縱員使用習慣。在實際工程項目上，依據(jù)軟件平臺特點和顯示屏尺寸的不同，可以選擇設計在同一屏幕中，也可以按照不同的分區(qū)由多個屏幕共同實現(xiàn)。監(jiān)視操作區(qū)的設備級顯示和控制功能也可改由專門的任務畫面實現(xiàn)，通過步驟級功能區(qū)的畫面鏈接功能調(diào)取。擴展區(qū)可設計為隱藏式的，僅在需要時打開。

4　結(jié)論

通過對核電廠各類運行工況，特別是事故工況下操縱員運行任務的分析，得到計算機化運行規(guī)程執(zhí)行所需的功能信息清單。再依據(jù)功能信息的重要性和層次性等因素，結(jié)合現(xiàn)有項目經(jīng)驗反饋及人因工程原則，確定計算機化運行規(guī)程人機界面功能布局。功能布局方案充分考慮了操縱員采用計算機化運行規(guī)程時的使用行為和運行任務的需求，同時為了配合后續(xù)開展的Ⅲ類計算機化規(guī)程系統(tǒng)功能，特別是基于規(guī)程的自動化技術的研究，在人機界面上預留了向Ⅲ類計算機化規(guī)程系統(tǒng)升級的可擴展性，能夠很好地為相關核電項目計算機化運行規(guī)程的開發(fā)和設計提供參考。

［1］ 核工業(yè)標準化研究所．核電廠計算機化運行規(guī)程系統(tǒng)設計準則：NB/T 20267［S］．北京：中國標準出版社，2014．

［2］ Electric Power Research Institute．Computerized procedures design and implementation guidance for procedures，associated automation and soft controls：EPRI 1015313［S］．Palo Alto：Electric Power Research Institute，2010．

［3］ 張力，青濤，戴立操，等．核電廠數(shù)字化SOP對人因失誤的影響［J］．核科學與工程，2017，37（3）：427-433．

［4］ Brookhaven National Laboratory．Human factors engineering program review model：NUREG-0711［R］．Washington DC：US Nuclear Regulatory Commission，2012．

Research on Human-machine Interface of Computerized Operating Procedure for Nuclear Power Plant Based on Task Analysis

LIU Haiyu，LI Li，LI Ao

（China Nuclear Power Engineering Co．Ltd，Beijing 100840，China）

In order to make the computerized operating procedure’s（COP）human-machine interface of nuclear power plant fit operating tasks，this paper firstly determine the functional information list required for COP implementation through COP use behavior analysis and task analysis．Then design a HMI function layout scheme of COP according to the importance and hierarchy of functional information，combined with experience feedback and HFE principles．This function layout scheme can meet the task requirements of COP implementation，and at the same time，scalability for upgrading to type 3 COP system is reserved．This function layout is able to provide a reference for the development and design of COP for subsequent nuclear power projects．

Computerized operating procedure（COP）；Task analysis（TA）；Human-machine interface（HMI）

TL48

A

0258-0918（2021）03-0649-08

2020-06-11

劉海宇（1982—），男，黑龍江人，高級工程師，碩士，現(xiàn)主要從事核電廠運行策略和計算機化規(guī)程等方面研究