一種基于HRA的數字化人-機界面評價方法研究

李鵬程，戴立操，張 力，，趙 明，胡 鴻

(1.南華大學 人因研究所，湖南 衡陽 421001；2.湖南工學院 人因與安全管理研究所，湖南 衡陽 421002;3.中核核電運行管理有限公司，浙江 海鹽 314300)

核電廠(NPP)是一種復雜的高風險系統，由于三哩島和切爾諾貝利事故，人們認識到人-機交互的重要性，人-機界面(MMI)對于人員績效和核安全至關重要。盡管花費了大量的人力和物力進行研究，以提高人-機界面的設計質量，但我國核電廠的人-機界面設計和人-機交互技術一直處于發展的早期階段——學習和吸收階段，即“設計可用就行”[1]。特別在核電廠主控室數字化之后，改變了操縱員所處的情境環境，如果設計人員不了解數字化人-機界面特征對操縱員有何不利影響，那么盡管設計人員在人-機界面的設計過程中遵循了一般的設計原理和參考了一些人因工程(HFE)的設計指南，但在設計中可能忽視了一些更為深層次的績效問題，或忽視了操縱員在復雜人-機交互中所處的角色等，從而不足以確保通過參考一般的人因工程設計指南就能提高人員績效和保證安全。并且，迄今為止，我國還沒有發展出一種成熟的方法和工具來評價人-機界面的有效性，使其設計更適合我國操縱員的認知行為特性。

國內外研究人員在人-機界面評審或優化中進行了一些研究。美國核管會認為人-機界面設計評審一般包括以下幾個過程：1) 計劃；2) 預先分析；3) MMI設計檢查和驗證(V&V)；4) 人因工程缺陷的解決，來指導對人-機界面的人因工程評審[2]。文獻[3]從信息顯示、用戶-界面交互和管理、控制、報警系統、安全功能和參數監控系統、成組-總體顯示系統、軟控制系統、計算機化的規程系統等方面提出了具體的審查項目。文獻[4-6]分別采用訪談方式、人因工程檢查表方式、模擬機實驗觀察的方法對先進的人-機界面設計進行審查。但上述方法難以發現人-機界面中誘發人因失誤的深層次原因，且難以對成百上千幅畫面進行有針對性的一一審查，這樣會耗費大量人力和物力。因此，為提升數字化人-機界面的評審效率，識別更深層次的潛在的易誘發人因失誤或弱化人員績效的人-機界面缺陷，本文建立一種基于人因可靠性分析(HRA)方法的人-機界面評價方法，為針對性地識別深層次的潛在設計問題提供支持。

1 基于HRA的人-機界面評價方法

圖1 基于HRA方法的人-機界面評價技術

本文建立一種基于HRA的人-機界面評價方法，即HCR+CREAM+HEC(人的認知可靠性+認知可靠性和失誤分析方法+人因工程檢查表)對數字化的人-機界面進行評價。評價方法的程序示于圖1。

1.1 基于HCR的概率風險評價

在像核電廠這樣的復雜系統中，對所有風險場景進行逐一分析和評價是不可能和不現實的，因此需采用一種篩選原則(如大于某個失效概率)來選取風險較大的風險場景進行詳細分析。在眾多的HRA方法中，根據電廠風險場景篩選(風險場景分析的必要性)的需要，一般考慮選取容易操作、可靠性高、成熟度好、對電廠資源需求少的HRA方法。經綜合考慮，HCR方法可滿足上述要求。HCR模型[7]建立在模擬機數據收集基礎上，獲得了操縱員認知可靠性數據，驗證了HCR模型的可用性和可靠性。在對風險場景定量計算時，只需知道與時間相關的參數和人員行為的類型就可計算出風險場景的概率。該方法容易操作，對電廠資源需求少，故使用最少的人力和物力滿足風險場景的篩選要求。

HCR模型主要基于以下假設：1) 基于Rasmussen的三級行為模型，依據是否為例行工作、規程書情況和培訓程度等，將系統中所有人員動作的行為類型分為技能型、規則型和知識型3種；2) 認為每一種行為類型的失誤概率取決于允許操縱員完成任務的可用時間t和操縱員完成任務的中值響應時間T1/2之比，且遵從三參數的威布爾分布。

根據上述假設，基于三參數的威布爾分布函數，構建操縱員在時間t的響應失誤概率模型：

(1)

式中：α為尺度參數(特征響應時)；β為形狀參數；γ為位置參數(最小響應時)；P(t)為人員的不響應概率。α、β、γ的選取詳見文獻[7]。

由于每個運行班組的執行時間可能因各類情況而有所不同，故在使用公式之前需進行修正。在HCR模型中所考慮的關鍵的行為修正因子有訓練(K1)、心理壓力(K2)及人-機界面(K3)，用公式表示如下：

T1/2=T1/2,n(1+K1)(1+K2)(1+K3)

(2)

式中，T1/2，n為一般狀況(如模擬機訓練)的執行時間。K1、K2、K3的選取詳見文獻[7]。

因此，在實際應用中，只要給定任務的類型和任務的可用時間、操縱員完成任務的中值響應時間，即可求出人員的不響應失誤概率。文獻[8]對核電廠操縱員的認知可靠性模型進行了改進和實驗研究，認為采用二參數威布爾分布來計算操縱員的認知可靠性也是合理的，但考慮到不同的事故場景，其尺度和形狀參數取值不同，且缺乏足夠的實驗來獲取不同事故場景的尺度和形狀參數，故在此不再選用二參數威布爾的理論模型來進行分析。

1.2 基于CREAM方法的人因失誤辨識

核電廠日益由傳統的模擬控制系統逐漸轉變為數字化的控制系統，為此，在先進的數字化控制系統中，操縱員角色由人工操作轉變為監控、決策和管理者，且操縱員的任務更多地表現為認知任務，任務的執行是通過一系列的認知行為來完成的，如監控/發覺、狀態評估、響應計劃和行為執行。從人因失誤辨識來看，文獻[9]對人因失誤的識別缺乏系統性分析框架，過度強調定量分析，從而忽略了定性分析。文獻[10]對數字化控制系統中可用的HRA進行了分析，指出CREAM方法相比其他方法提供了一個系統化的框架和具體的行為分類系統來分析和預測人因失誤，對人因失誤辨識而言是最好的選擇。同樣，文獻[11]對可用于人-機界面評價的HRA進行了比較分析，認為CREAM方法是可用來進行人-機界面評價的最有前途的方法，因為CREAM方法不僅考慮了認知失誤，且充分考慮了影響人因失誤的情境環境等。因此，從人因失誤辨識的目的或視角看，選用CREAM方法能滿足人因失誤分析的要求，可針對風險大的場景采用CREAM方法進行具體的任務和行為分析，識別出關鍵的人因失誤。

CREAM方法[12]的基本操作步驟如下。

1) 通過層次任務分析，構建事件序列。針對復雜人-機系統中的操作或維修等某類具體工作，利用層次任務分析(HTA)構建任務或子任務序列，獲得具體工作的任務結構。

2) 分析情境環境。由于情境影響因素繁多，CREAM方法考慮到低交叉性和實用性，選擇9種主要影響因素——共同行為條件(CPC)作為分析對象，識別各因素所處的狀態等級。

3) 確定認知行為。每個基本任務單元均需某種具體的人的認知行為。認知行為的確定有利于確定具體任務所需的認知功能，人們在實踐中表現的主要認知行為有協調、交流、比較、診斷、評估、執行、識別、維持、監控、觀察、計劃、記錄、調節、掃描和核實。

4) 確定認知功能及人因失誤模式。在確定基本任務單元的認知行為后，就可能確定認知失誤模式，對應于人的認知功能失效。認知行為與4個認知功能(觀察、解釋、計劃和執行)的關系詳見文獻[12]。根據認知行為所需的認知功能確定可能的認知失效模式，基本的認知失效模式列于表1。

表1 一般的認知功能失效模式

5) 確定失誤模式概率。CREAM方法根據數據庫收集的資料和專家判斷建立了與失誤模式相對應的基本失誤概率(表1)。通過預測可能的失誤模式得到其基本失誤概率。

6) 考慮CPC影響權重，對基本失誤概率進行修訂。每個CPC對認知功能的影響權重參考文獻[12]，對人的行為沒有影響的因素定權重為1，基于此對基本失誤概率進行修正，確定每個CPC等級對認知功能的影響，最后采用連乘的形式對基本的失誤概率進行修正，得到修正后的失誤模式概率。從而可對人因失誤概率進行比較，識別優先性，確定關鍵的人因失誤或任務。

1.3 基于HEC方法的人-機界面評審

針對CREAM方法識別出的關鍵的人因失誤或任務，找到誘發人因失誤的情境環境因素。但是CREAM方法考慮的CPC因子比較抽象，具體的影響因子或設計缺陷還需進一步審查，才能發現更多、更為具體的人-機界面設計中的人因工程缺陷。而HEC方法能發現更多潛在的不利的人-機界面問題。文獻[5]也認為使用HEC方法能提供設計的檢查標準，能快速檢測出設計中的人因工程缺限。因此，使用HEC方法能夠對人-機界面設計中的具體的、深層次問題進行識別，且設計一個系統化的人因工程檢查表對檢查具體的、深層次的問題至關重要。

本文以提高操縱員的績效為目的，使操縱員產生的人因失誤最小化，使操縱員能易于搜索信息，對信息易于識別與理解、易于操作。根據數字化人-機界面的特征，結合人因工程的基本設計原理、人-機界面設計評審指南及界面設計指南[2，3，13]分別對數字化后人-機界面的顯著變化特征設計人因工程審查表，主要包括信息顯示方面、數字化規程方面、軟控制方面、界面管理方面、報警方面建立比較全面系統的人因工程檢查表，利用人因工程檢查表結合操縱員的調查和訪談對關鍵的人因失誤及任務所涉及的人-機界面進行一一審查，識別人-機界面設計的缺陷，并提出一些改進的建議。

2 應用實例分析

2.1 風險場景概率分析

以核電廠數字化控制系統中誤安注為例，在誤安注場景下，分析操縱班組的不響應概率。根據式(1)可知，需評估操縱員執行的行為類型、操縱員完成任務的可用時間與實際完成任務的中值時間及HCR模型的行為形成因子，調查結果列于表2。

將K1、K2、K3代入式(2)可得T1/2=18.432 min。將α=0.601、β=0.9、γ=0.6、t=20 min、T1/2=18.432 min代入式(1)可得操縱員的不響應概率P(t)=0.438 4。

從分析結果看，誤安注情況下操縱員的行為不響應概率非常高，因此，有必要對誤安注場景下的人-機界面進行優化。

2.2 關鍵人因失誤辨識

誤安注場景下，一回路操縱員按照DOS規程操作。以DOS規程第1頁MOP單——PRE-ACT中一回路操縱員行為為例，介紹該方法在人因失誤識別中的具體應用。

1) 通過層次任務分析，構建事件序列

根據DOS規程中PRE-ACT的MOP單和誤安注工況條件下操縱員所進行的操作行為，通過分析可知PRE-ACT任務共包括9個子任務。PRE-ACT操作MOP單的HTA框圖示于圖2。

2) 確認具體行為/活動的認知行為需求

根據CREAM方法中的15類行為分類、其具體描述及PRE-ACT中具體行為的描述，得到具體行為所對應的主要的認知行為，分析結果列于表3。

表2 收集和評估得到的數據

圖2 PRE-ACT操作MOP單的HTA框圖

表3 PRE-ACT中人因失誤分析和量化結果

3) 確定認知功能失效

確定具體認知行為后，根據CREAM方法中的認知行為與認知功能間的對應關系，可識別出相應的認知功能。進而根據情境環境的評價及表1中基本的認知功能失效分類，評估出最有可能的認知功能失效模式。

4) 確定失誤概率

根據表1可得到基本的失誤概率，如E3對應的基本失誤概率為5×10-4。然后考慮CPC影響權重，對基本失誤概率進行修正，然后確定子任務的失誤概率。PRE-ACT中基本失誤概率的修正結果列于表3。

通過上述分析可知，在該事件樹中，關鍵的人因失誤依次是“I3解釋延遲”和“O2錯誤辨識”等，關鍵的任務排序依次是“REA503KA報警出現？”、“REA404KA報警出現？”、“在此過程中是否有化學物質的注入”等。從而可重點針對這些關鍵的或重要的人因失誤或任務進行分析，對由人-機界面誘發的人因失誤進行重點審查，節省資源，做到有的放矢。

2.3 基于建立的HEC對人-機界面進行評價

針對PRE-ACT事件樹中的任務的人因工程審查和關鍵人因失誤列于表4、5。其余的誤安注事件樹中關鍵的人因失誤/任務審查由于篇幅所限不再給出。

表4 針對具體任務的人因工程審查

表5 PRE-ACT中關鍵的人因失誤/任務所涉及畫面的整體審查

3 結束語

我國在建核電廠和傳統基于模擬控制系統的核電廠的更新基本采用數字化控制系統，當前數字化人-機界面設計存在諸多不足，且缺乏有效的評價方法。因此，本文從提高操縱員績效和可靠性視角出發，建立了一種綜合性的基于HRA的人-機界面評價方法(HCR+CREAM+HEC)，以期彌補這方面的不足。實例分析表明，該方法不僅能有效識別數字化MMI中存在的影響人員績效的設計缺陷，且能通過風險場景評價、關鍵人因失誤辨識等篩選工作，有針對性地對關鍵人-機界面進行評審，做到有的放矢，節省大量的人力、物力和成本。該方法可從理論上為人-機界面的進一步評價和再設計提供系統性的方法指導，從實踐上為人-機界面的修訂和優化提供決策支持。因此，基于HRA方法對MMI進行評價使評價結果更為可靠且有針對性，并具有廣泛的應用前景和實際意義。

參考文獻：

[1] CHEN Xiaoming, ZHOU Zhiwei, GAO Zuying et al. Assessment of human-manchine interface design for a Chinese nuclear power plant[J]. Reliability Engineering & System Safety, 2005, 87: 37-44.

[2] NRC. Human-system interface design review guideline, NUREG-0700, Rev.1[R]. US: NRC, 1995.

[3] NRC. Human-system interface design review guidelines, NUREG-0700, Rev.2[R]. US: NRC, 2002.

[4] HWANG Sheueling, MAXLIANG Sheaufarn, YEHLIU Tzuyi, et al. Evaluation of human factors in interface design in main control rooms[J]. Nuclear Engineering and Design, 2009, 239(12): 3 069-3 075.

[5] JOU Yungtsan, JOELIN Chiuhsiang, YENN Tzuchung, et al. The implementation of a human factors engineering checklist for human-system interfaces upgrade in nuclear power plants[J]. Safety Science, 2009, 47(7): 1 016-1 025.

[6] CARVALHO P V R, dos SANTOS I L, GOMES J O, et al. Human factors approach for evaluation and redesign of human-system interfaces of a nuclear power plant simulator[J]. Displays, 2008, 29(3): 273-284.

[7] HANNAMAN G W, SPURGIN A J, LUKIC Y D. Human cognitive reliability model for PRA analysis, NUS-4531[R]. California: NUS Corporation, 1984.

[8] 方向，趙炳全. 核電廠操縱員認知可靠性研究模型的選擇與實驗[J]. 核科學與工程，2000，20(1)：18-24.

FANG Xiang, ZHAO Bingquan. Theory model and experiment research about the cognition reliability of nuclear power plant operators[J]. Chinese Journal of Nuclear Science and Engineering, 2000, 20(1): 18-24(in Chinese).

[9] SWAIN A D, GUTTMANN H E. Handbook for human reliability analysis with emphasis on nuclear power plants application, NUREG/CR-1278 (SAND80-0200)[R]. US: NRC, 1983.

[10] SEONG Poonghyun. Reliability and risk issues in large scale safety-critical digital control systems[M]. London: SpringerLink, 2008.

[11] KIM I S. Human reliability analysis in the man-machine interface design review[J]. Annals of Nuclear Energy, 2001, 28: 1 069-1 081.

[12] HOLLNAGEL E. Cognitive reliability and error analysis method[M].Oxford, UK: Elsevier Science Ltd., 1998.

[13] EPRI. Human factors guidance for control room and digital human-system interface design and modification[R]. Washington D. C.: EPRI, 2004.