一种基于HRA的数字化人-机界面评价方法研究

李鹏程，戴立操，张 力，，赵 明，胡 鸿

(1.南华大学 人因研究所，湖南 衡阳 421001；2.湖南工学院 人因与安全管理研究所，湖南 衡阳 421002;3.中核核电运行管理有限公司，浙江 海盐 314300)

核电厂(NPP)是一种复杂的高风险系统，由于三哩岛和切尔诺贝利事故，人们认识到人-机交互的重要性，人-机界面(MMI)对于人员绩效和核安全至关重要。尽管花费了大量的人力和物力进行研究，以提高人-机界面的设计质量，但我国核电厂的人-机界面设计和人-机交互技术一直处于发展的早期阶段——学习和吸收阶段，即“设计可用就行”[1]。特别在核电厂主控室数字化之后，改变了操纵员所处的情境环境，如果设计人员不了解数字化人-机界面特征对操纵员有何不利影响，那么尽管设计人员在人-机界面的设计过程中遵循了一般的设计原理和参考了一些人因工程(HFE)的设计指南，但在设计中可能忽视了一些更为深层次的绩效问题，或忽视了操纵员在复杂人-机交互中所处的角色等，从而不足以确保通过参考一般的人因工程设计指南就能提高人员绩效和保证安全。并且，迄今为止，我国还没有发展出一种成熟的方法和工具来评价人-机界面的有效性，使其设计更适合我国操纵员的认知行为特性。

国内外研究人员在人-机界面评审或优化中进行了一些研究。美国核管会认为人-机界面设计评审一般包括以下几个过程：1) 计划；2) 预先分析；3) MMI设计检查和验证(V&V)；4) 人因工程缺陷的解决，来指导对人-机界面的人因工程评审[2]。文献[3]从信息显示、用户-界面交互和管理、控制、报警系统、安全功能和参数监控系统、成组-总体显示系统、软控制系统、计算机化的规程系统等方面提出了具体的审查项目。文献[4-6]分别采用访谈方式、人因工程检查表方式、模拟机实验观察的方法对先进的人-机界面设计进行审查。但上述方法难以发现人-机界面中诱发人因失误的深层次原因，且难以对成百上千幅画面进行有针对性的一一审查，这样会耗费大量人力和物力。因此，为提升数字化人-机界面的评审效率，识别更深层次的潜在的易诱发人因失误或弱化人员绩效的人-机界面缺陷，本文建立一种基于人因可靠性分析(HRA)方法的人-机界面评价方法，为针对性地识别深层次的潜在设计问题提供支持。

1 基于HRA的人-机界面评价方法

图1 基于HRA方法的人-机界面评价技术

本文建立一种基于HRA的人-机界面评价方法，即HCR+CREAM+HEC(人的认知可靠性+认知可靠性和失误分析方法+人因工程检查表)对数字化的人-机界面进行评价。评价方法的程序示于图1。

1.1 基于HCR的概率风险评价

在像核电厂这样的复杂系统中，对所有风险场景进行逐一分析和评价是不可能和不现实的，因此需采用一种筛选原则(如大于某个失效概率)来选取风险较大的风险场景进行详细分析。在众多的HRA方法中，根据电厂风险场景筛选(风险场景分析的必要性)的需要，一般考虑选取容易操作、可靠性高、成熟度好、对电厂资源需求少的HRA方法。经综合考虑，HCR方法可满足上述要求。HCR模型[7]建立在模拟机数据收集基础上，获得了操纵员认知可靠性数据，验证了HCR模型的可用性和可靠性。在对风险场景定量计算时，只需知道与时间相关的参数和人员行为的类型就可计算出风险场景的概率。该方法容易操作，对电厂资源需求少，故使用最少的人力和物力满足风险场景的筛选要求。

HCR模型主要基于以下假设：1) 基于Rasmussen的三级行为模型，依据是否为例行工作、规程书情况和培训程度等，将系统中所有人员动作的行为类型分为技能型、规则型和知识型3种；2) 认为每一种行为类型的失误概率取决于允许操纵员完成任务的可用时间t和操纵员完成任务的中值响应时间T1/2之比，且遵从三参数的威布尔分布。

根据上述假设，基于三参数的威布尔分布函数，构建操纵员在时间t的响应失误概率模型：

(1)

式中：α为尺度参数(特征响应时)；β为形状参数；γ为位置参数(最小响应时)；P(t)为人员的不响应概率。α、β、γ的选取详见文献[7]。

由于每个运行班组的执行时间可能因各类情况而有所不同，故在使用公式之前需进行修正。在HCR模型中所考虑的关键的行为修正因子有训练(K1)、心理压力(K2)及人-机界面(K3)，用公式表示如下：

T1/2=T1/2,n(1+K1)(1+K2)(1+K3)

(2)

式中，T1/2，n为一般状况(如模拟机训练)的执行时间。K1、K2、K3的选取详见文献[7]。

因此，在实际应用中，只要给定任务的类型和任务的可用时间、操纵员完成任务的中值响应时间，即可求出人员的不响应失误概率。文献[8]对核电厂操纵员的认知可靠性模型进行了改进和实验研究，认为采用二参数威布尔分布来计算操纵员的认知可靠性也是合理的，但考虑到不同的事故场景，其尺度和形状参数取值不同，且缺乏足够的实验来获取不同事故场景的尺度和形状参数，故在此不再选用二参数威布尔的理论模型来进行分析。

1.2 基于CREAM方法的人因失误辨识

核电厂日益由传统的模拟控制系统逐渐转变为数字化的控制系统，为此，在先进的数字化控制系统中，操纵员角色由人工操作转变为监控、决策和管理者，且操纵员的任务更多地表现为认知任务，任务的执行是通过一系列的认知行为来完成的，如监控/发觉、状态评估、响应计划和行为执行。从人因失误辨识来看，文献[9]对人因失误的识别缺乏系统性分析框架，过度强调定量分析，从而忽略了定性分析。文献[10]对数字化控制系统中可用的HRA进行了分析，指出CREAM方法相比其他方法提供了一个系统化的框架和具体的行为分类系统来分析和预测人因失误，对人因失误辨识而言是最好的选择。同样，文献[11]对可用于人-机界面评价的HRA进行了比较分析，认为CREAM方法是可用来进行人-机界面评价的最有前途的方法，因为CREAM方法不仅考虑了认知失误，且充分考虑了影响人因失误的情境环境等。因此，从人因失误辨识的目的或视角看，选用CREAM方法能满足人因失误分析的要求，可针对风险大的场景采用CREAM方法进行具体的任务和行为分析，识别出关键的人因失误。

CREAM方法[12]的基本操作步骤如下。

1) 通过层次任务分析，构建事件序列。针对复杂人-机系统中的操作或维修等某类具体工作，利用层次任务分析(HTA)构建任务或子任务序列，获得具体工作的任务结构。

2) 分析情境环境。由于情境影响因素繁多，CREAM方法考虑到低交叉性和实用性，选择9种主要影响因素——共同行为条件(CPC)作为分析对象，识别各因素所处的状态等级。

3) 确定认知行为。每个基本任务单元均需某种具体的人的认知行为。认知行为的确定有利于确定具体任务所需的认知功能，人们在实践中表现的主要认知行为有协调、交流、比较、诊断、评估、执行、识别、维持、监控、观察、计划、记录、调节、扫描和核实。

4) 确定认知功能及人因失误模式。在确定基本任务单元的认知行为后，就可能确定认知失误模式，对应于人的认知功能失效。认知行为与4个认知功能(观察、解释、计划和执行)的关系详见文献[12]。根据认知行为所需的认知功能确定可能的认知失效模式，基本的认知失效模式列于表1。

表1 一般的认知功能失效模式

5) 确定失误模式概率。CREAM方法根据数据库收集的资料和专家判断建立了与失误模式相对应的基本失误概率(表1)。通过预测可能的失误模式得到其基本失误概率。

6) 考虑CPC影响权重，对基本失误概率进行修订。每个CPC对认知功能的影响权重参考文献[12]，对人的行为没有影响的因素定权重为1，基于此对基本失误概率进行修正，确定每个CPC等级对认知功能的影响，最后采用连乘的形式对基本的失误概率进行修正，得到修正后的失误模式概率。从而可对人因失误概率进行比较，识别优先性，确定关键的人因失误或任务。

1.3 基于HEC方法的人-机界面评审

针对CREAM方法识别出的关键的人因失误或任务，找到诱发人因失误的情境环境因素。但是CREAM方法考虑的CPC因子比较抽象，具体的影响因子或设计缺陷还需进一步审查，才能发现更多、更为具体的人-机界面设计中的人因工程缺陷。而HEC方法能发现更多潜在的不利的人-机界面问题。文献[5]也认为使用HEC方法能提供设计的检查标准，能快速检测出设计中的人因工程缺限。因此，使用HEC方法能够对人-机界面设计中的具体的、深层次问题进行识别，且设计一个系统化的人因工程检查表对检查具体的、深层次的问题至关重要。

本文以提高操纵员的绩效为目的，使操纵员产生的人因失误最小化，使操纵员能易于搜索信息，对信息易于识别与理解、易于操作。根据数字化人-机界面的特征，结合人因工程的基本设计原理、人-机界面设计评审指南及界面设计指南[2，3，13]分别对数字化后人-机界面的显著变化特征设计人因工程审查表，主要包括信息显示方面、数字化规程方面、软控制方面、界面管理方面、报警方面建立比较全面系统的人因工程检查表，利用人因工程检查表结合操纵员的调查和访谈对关键的人因失误及任务所涉及的人-机界面进行一一审查，识别人-机界面设计的缺陷，并提出一些改进的建议。

2 应用实例分析

2.1 风险场景概率分析

以核电厂数字化控制系统中误安注为例，在误安注场景下，分析操纵班组的不响应概率。根据式(1)可知，需评估操纵员执行的行为类型、操纵员完成任务的可用时间与实际完成任务的中值时间及HCR模型的行为形成因子，调查结果列于表2。

将K1、K2、K3代入式(2)可得T1/2=18.432 min。将α=0.601、β=0.9、γ=0.6、t=20 min、T1/2=18.432 min代入式(1)可得操纵员的不响应概率P(t)=0.438 4。

从分析结果看，误安注情况下操纵员的行为不响应概率非常高，因此，有必要对误安注场景下的人-机界面进行优化。

2.2 关键人因失误辨识

误安注场景下，一回路操纵员按照DOS规程操作。以DOS规程第1页MOP单——PRE-ACT中一回路操纵员行为为例，介绍该方法在人因失误识别中的具体应用。

1) 通过层次任务分析，构建事件序列

根据DOS规程中PRE-ACT的MOP单和误安注工况条件下操纵员所进行的操作行为，通过分析可知PRE-ACT任务共包括9个子任务。PRE-ACT操作MOP单的HTA框图示于图2。

2) 确认具体行为/活动的认知行为需求

根据CREAM方法中的15类行为分类、其具体描述及PRE-ACT中具体行为的描述，得到具体行为所对应的主要的认知行为，分析结果列于表3。

表2 收集和评估得到的数据

图2 PRE-ACT操作MOP单的HTA框图

表3 PRE-ACT中人因失误分析和量化结果

3) 确定认知功能失效

确定具体认知行为后，根据CREAM方法中的认知行为与认知功能间的对应关系，可识别出相应的认知功能。进而根据情境环境的评价及表1中基本的认知功能失效分类，评估出最有可能的认知功能失效模式。

4) 确定失误概率

根据表1可得到基本的失误概率，如E3对应的基本失误概率为5×10-4。然后考虑CPC影响权重，对基本失误概率进行修正，然后确定子任务的失误概率。PRE-ACT中基本失误概率的修正结果列于表3。

通过上述分析可知，在该事件树中，关键的人因失误依次是“I3解释延迟”和“O2错误辨识”等，关键的任务排序依次是“REA503KA报警出现？”、“REA404KA报警出现？”、“在此过程中是否有化学物质的注入”等。从而可重点针对这些关键的或重要的人因失误或任务进行分析，对由人-机界面诱发的人因失误进行重点审查，节省资源，做到有的放矢。

2.3 基于建立的HEC对人-机界面进行评价

针对PRE-ACT事件树中的任务的人因工程审查和关键人因失误列于表4、5。其余的误安注事件树中关键的人因失误/任务审查由于篇幅所限不再给出。

表4 针对具体任务的人因工程审查

表5 PRE-ACT中关键的人因失误/任务所涉及画面的整体审查

3 结束语

我国在建核电厂和传统基于模拟控制系统的核电厂的更新基本采用数字化控制系统，当前数字化人-机界面设计存在诸多不足，且缺乏有效的评价方法。因此，本文从提高操纵员绩效和可靠性视角出发，建立了一种综合性的基于HRA的人-机界面评价方法(HCR+CREAM+HEC)，以期弥补这方面的不足。实例分析表明，该方法不仅能有效识别数字化MMI中存在的影响人员绩效的设计缺陷，且能通过风险场景评价、关键人因失误辨识等筛选工作，有针对性地对关键人-机界面进行评审，做到有的放矢，节省大量的人力、物力和成本。该方法可从理论上为人-机界面的进一步评价和再设计提供系统性的方法指导，从实践上为人-机界面的修订和优化提供决策支持。因此，基于HRA方法对MMI进行评价使评价结果更为可靠且有针对性，并具有广泛的应用前景和实际意义。

参考文献：

[1] CHEN Xiaoming, ZHOU Zhiwei, GAO Zuying et al. Assessment of human-manchine interface design for a Chinese nuclear power plant[J]. Reliability Engineering & System Safety, 2005, 87: 37-44.

[2] NRC. Human-system interface design review guideline, NUREG-0700, Rev.1[R]. US: NRC, 1995.

[3] NRC. Human-system interface design review guidelines, NUREG-0700, Rev.2[R]. US: NRC, 2002.

[4] HWANG Sheueling, MAXLIANG Sheaufarn, YEHLIU Tzuyi, et al. Evaluation of human factors in interface design in main control rooms[J]. Nuclear Engineering and Design, 2009, 239(12): 3 069-3 075.

[5] JOU Yungtsan, JOELIN Chiuhsiang, YENN Tzuchung, et al. The implementation of a human factors engineering checklist for human-system interfaces upgrade in nuclear power plants[J]. Safety Science, 2009, 47(7): 1 016-1 025.

[6] CARVALHO P V R, dos SANTOS I L, GOMES J O, et al. Human factors approach for evaluation and redesign of human-system interfaces of a nuclear power plant simulator[J]. Displays, 2008, 29(3): 273-284.

[7] HANNAMAN G W, SPURGIN A J, LUKIC Y D. Human cognitive reliability model for PRA analysis, NUS-4531[R]. California: NUS Corporation, 1984.

[8] 方向，赵炳全. 核电厂操纵员认知可靠性研究模型的选择与实验[J]. 核科学与工程，2000，20(1)：18-24.

FANG Xiang, ZHAO Bingquan. Theory model and experiment research about the cognition reliability of nuclear power plant operators[J]. Chinese Journal of Nuclear Science and Engineering, 2000, 20(1): 18-24(in Chinese).

[9] SWAIN A D, GUTTMANN H E. Handbook for human reliability analysis with emphasis on nuclear power plants application, NUREG/CR-1278 (SAND80-0200)[R]. US: NRC, 1983.

[10] SEONG Poonghyun. Reliability and risk issues in large scale safety-critical digital control systems[M]. London: SpringerLink, 2008.

[11] KIM I S. Human reliability analysis in the man-machine interface design review[J]. Annals of Nuclear Energy, 2001, 28: 1 069-1 081.

[12] HOLLNAGEL E. Cognitive reliability and error analysis method[M].Oxford, UK: Elsevier Science Ltd., 1998.

[13] EPRI. Human factors guidance for control room and digital human-system interface design and modification[R]. Washington D. C.: EPRI, 2004.