專利名稱:通過(guò)hra判定dcs人機(jī)界面的可靠性的方法����、系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電廠的數(shù)字化控制領(lǐng)域�����,尤其涉及核電廠的數(shù)字化控制領(lǐng)域�,特別地,涉及一種通過(guò)HRA (人因可靠性分析)判定DCS (digital control system,數(shù)字化控制系統(tǒng))人機(jī)界面的可靠性的方法、系統(tǒng)��。
背景技術(shù):
近年來(lái)���,大規(guī)模復(fù)雜工業(yè)系統(tǒng)的安全評(píng)價(jià)越來(lái)越多地考慮人員在系統(tǒng)中的行為和活動(dòng)����。人與系統(tǒng)的交互作用被認(rèn)為復(fù)雜工業(yè)系統(tǒng)安全運(yùn)行的重要貢獻(xiàn)因素����。而由于復(fù)雜工業(yè)系統(tǒng)中人員行為與人機(jī)界面眾多,如何考量和計(jì)算復(fù)雜工業(yè)系統(tǒng)中的人機(jī)界面對(duì)系統(tǒng)安全的影響是一個(gè)難點(diǎn)�。復(fù)雜工業(yè)系統(tǒng)運(yùn)行安全性的主要人員行為集中在主控室(main control room:MCR)。在事故情景下���,控制室操縱員擁有對(duì)電廠事故處理的決策權(quán)����??刂剖抑腥藱C(jī)界面的好壞對(duì)控制室中的人員行為影響較大。對(duì)此種影響的研究方法主要包括三大類���,第一類是把核電廠事故后人機(jī)界面中的人員行為進(jìn)行任務(wù)分解����,以分解的任務(wù)為主要研究對(duì)象,代表的方法有Swain于1983年提出了人因失誤率預(yù)測(cè)技術(shù)(THERP technique for HumanError Rate Prediction)方法�,THERP是大多數(shù)核電廠采用的HRA主要方法。第二類把核電廠人機(jī)界面中的人員行為進(jìn)行整體考慮�,通過(guò)實(shí)驗(yàn)對(duì)人員干預(yù)行為的結(jié)果進(jìn)行分析,獲得人因失效概率數(shù)據(jù)�����,主要方法有Hannaman于1984年提出了人的認(rèn)知可靠性(HCR:humancognitive reliability)方法���。第三類是以核電廠情景,亦即影響核電廠人員行為的場(chǎng)景為主要研究對(duì)象��,研究核電廠事故后場(chǎng)景對(duì)于人員行為的影響��,主要方法有美國(guó)核管會(huì)于2002年提出了標(biāo)準(zhǔn)的電廠分析風(fēng)險(xiǎn)人因可靠性分析方法(SPAR-H standardized plantanalysis risk human reliability analysis)方法����。這些的人機(jī)界面評(píng)價(jià)中的人因可靠性方法大多是在20世紀(jì)80年代初建立的,最初的研究只是把電廠事故后的任務(wù)進(jìn)行分解�����,比如草稿本THERP。隨后的研究考慮人員的認(rèn)知行為特征����,操縱員對(duì)于電廠事故的診斷失效,比如HCR�。SPAR-H把人員行為分成診斷和操縱,進(jìn)一步反應(yīng)事故后人員對(duì)電廠事故處理的主要特征�。這些方法的研究的對(duì)象都是大規(guī)模復(fù)雜工業(yè)系統(tǒng)中的傳統(tǒng)的控制按鈕和盤臺(tái)操縱,經(jīng)驗(yàn)數(shù)據(jù)和實(shí)驗(yàn)數(shù)據(jù)也是基于傳統(tǒng)MCR的��,其事故后診斷和控制失誤概率都是以傳統(tǒng)的一����、二代控制室為基礎(chǔ)。隨著I&C安全技術(shù)的發(fā)展和進(jìn)步����,大規(guī)模復(fù)雜工業(yè)系統(tǒng)更多地采用數(shù)字化控制系統(tǒng)(DCS, digital control system)。復(fù)雜工業(yè)系統(tǒng)控制數(shù)字化以后,人機(jī)界面發(fā)生了較大變化��,信息顯示從光字牌��、報(bào)警器等轉(zhuǎn)變成大屏幕顯示(PDS:plant display system)和計(jì)算機(jī)終端顯示(VDU:video display unit),操縱員控制和操縱從傳統(tǒng)的控制盤臺(tái)的控制鍵操縱轉(zhuǎn)換成使用計(jì)算機(jī)終端的鼠標(biāo)操縱?��,F(xiàn)有的人機(jī)界面評(píng)價(jià)技術(shù)已經(jīng)不能反映現(xiàn)代控制室人機(jī)界面的變化對(duì)人員行為的影響���。因此需對(duì)數(shù)字化控制室人機(jī)界面的可靠性重新進(jìn)行計(jì)算和考量����。
發(fā)明內(nèi)容
本發(fā)明目的在于提供一種可顯著地節(jié)約大量的工業(yè)安全成本的通過(guò)HRA判定DCS人機(jī)界面的可靠性的方法及系統(tǒng)���,以解決現(xiàn)有的人機(jī)界面中的人因可靠性分析技術(shù)已經(jīng)不能反應(yīng)數(shù)字化控制室人機(jī)界面的變化對(duì)人員行為的影響的技術(shù)問(wèn)題�����。為實(shí)現(xiàn)上述目的���,本發(fā)明提供了一種通過(guò)HRA判定DCS人機(jī)界面的可靠性的方法�,包括以下步驟:步驟S1:將處理一個(gè)事故時(shí)關(guān)聯(lián)的數(shù)字化控制室中的多個(gè)人機(jī)界面作為多個(gè)節(jié)點(diǎn),并根據(jù)操作人員班組對(duì)所述多個(gè)人機(jī)界面進(jìn)行監(jiān)視或操作的次序?qū)⑺龆鄠€(gè)節(jié)點(diǎn)按次序連接��,以建立班組響應(yīng)樹��;步驟S2:將所述操作人員班組對(duì)所述班組響應(yīng)樹中的所述節(jié)點(diǎn)進(jìn)行監(jiān)視或操作產(chǎn)生的人因失效類型作為頂節(jié)點(diǎn)��,以形成所述人因失效類型的人因失效模式作為中層節(jié)點(diǎn)�,以人員監(jiān)視或操作的動(dòng)作失效源作為底層節(jié)點(diǎn),根據(jù)所述底層節(jié)點(diǎn)���、中層節(jié)點(diǎn)和所述頂節(jié)點(diǎn)的邏輯關(guān)系將所述底層節(jié)點(diǎn)�����、中層節(jié)點(diǎn)與所述頂節(jié)點(diǎn)連接��,建立所述節(jié)點(diǎn)的人因失效的故障樹�����;步驟S3:確定影響所述底層節(jié)點(diǎn)的因素以及每個(gè)所述因素的影響概率�,計(jì)算所述人因失效的概率;步驟S4:根據(jù)步驟S3計(jì)算得到失效概率值��,判斷所述人機(jī)界面的可靠性��。作為本發(fā)明的方法進(jìn)一步改進(jìn):所述步驟SI中����,所述對(duì)所述多個(gè)人機(jī)界面進(jìn)行監(jiān)視或操作的次序包括:監(jiān)視提示所述事故發(fā)生的人機(jī)界面并根據(jù)所述提示進(jìn)行初始診斷,診斷處理所述事故需操作的人機(jī)界面并進(jìn)行操作�����,操作完成后定期監(jiān)視提示所述事故發(fā)生的人機(jī)界面����,如果系統(tǒng)狀態(tài)正常且系統(tǒng)處于穩(wěn)定狀態(tài)���,則處理所述事故成功;如定期監(jiān)視過(guò)程中發(fā)現(xiàn)系統(tǒng)異常����,需重新根據(jù)所述提示進(jìn)行初始診斷,并診斷處理所述事故需操作的人機(jī)界面并進(jìn)行另一操作或者診斷處理所述事故需操作的另一人機(jī)界面并進(jìn)行操作���,直到處理所述事故成功����。所述步驟S3中�����,所述計(jì)算是采用貝葉斯網(wǎng)絡(luò)進(jìn)行的�。所述人因失效類型包括:監(jiān)視失效���、狀態(tài)評(píng)估失效����、響應(yīng)計(jì)劃失效和響應(yīng)執(zhí)行失效。所述監(jiān)視失效的多種失效模式包括信息監(jiān)視失效��、屏幕配置失效�����、信息交流失效����、屏幕信息讀取失效以及讀取數(shù)據(jù)錯(cuò)誤。所述因素包括:工作設(shè)計(jì)���、系統(tǒng)狀態(tài)�����、可用時(shí)間�����、人員培訓(xùn)��、人員配置�、工作環(huán)境��、人機(jī)界面設(shè)計(jì)以及技術(shù)系統(tǒng)設(shè)計(jì)。作為一個(gè)總的技術(shù)構(gòu)思��,本發(fā)明還提供了一種數(shù)字化控制室人機(jī)界面的人因可靠性分析系統(tǒng)�����,包括:班組響應(yīng)模塊��,所述班組響應(yīng)模塊的多個(gè)節(jié)點(diǎn)為處理一個(gè)事故時(shí)關(guān)聯(lián)的所述數(shù)字化控制室中的多個(gè)人機(jī)界面���,所述多個(gè)節(jié)點(diǎn)的連接次序?yàn)椴僮魅藛T班組對(duì)所述多個(gè)人機(jī)界面進(jìn)行監(jiān)視或操作的次序����;故障模塊����,所述故障模塊的頂節(jié)點(diǎn)為所述操作人員班組對(duì)所述班組響應(yīng)模塊中的任一所述節(jié)點(diǎn)進(jìn)行監(jiān)視或操作產(chǎn)生的人因失效類型,中層節(jié)點(diǎn)為形成所述人因失效類型的人因失效模式���,底層節(jié)點(diǎn)為人員監(jiān)視或操作的動(dòng)作失效源;三者的連接關(guān)系為所述底層節(jié)點(diǎn)���、中層節(jié)點(diǎn)和所述頂節(jié)點(diǎn)的邏輯關(guān)系�;概率計(jì)算模塊,用于根據(jù)影響所述底層節(jié)點(diǎn)的因素以及每個(gè)所述因素的影響概率�,,計(jì)算任一所述失效類型的失效概率����;可靠性判定模塊,用于根據(jù)所述失效概率��,判斷所述人機(jī)界面的可靠性�����。作為本發(fā)明的系統(tǒng)的進(jìn)一步改進(jìn):所述概率計(jì)算模塊中采用的是貝葉斯網(wǎng)絡(luò)的計(jì)算方式�����。所述人因失效類型包括:監(jiān)視失效����、狀態(tài)評(píng)估失效、響應(yīng)計(jì)劃失效和響應(yīng)執(zhí)行失效�����。所述因素包括:工作設(shè)計(jì)、系統(tǒng)狀態(tài)��、可用時(shí)間���、人員培訓(xùn)�、人員配置�����、工作環(huán)境���、人機(jī)界面設(shè)計(jì)以及技術(shù)系統(tǒng)設(shè)計(jì)���。本發(fā)明具有以下有益效果:本發(fā)明的通過(guò)HRA判定DCS人機(jī)界面的可靠性的方法,可以系統(tǒng)描述人機(jī)界面與人因失效事故的關(guān)系��,并能推算失效概率����,從而識(shí)別出對(duì)于人因影響較大的人機(jī)界面,為改善主控人機(jī)界面提供數(shù)據(jù)基礎(chǔ)�����。除了上面所描述的目的����、特征和優(yōu)點(diǎn)之外,本發(fā)明還有其它的目的���、特征和優(yōu)點(diǎn)����。下面將參照?qǐng)D����,對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說(shuō)明。
構(gòu)成本申請(qǐng)的一部分的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解��,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明�����,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定���。在附圖中:圖1是本發(fā)明優(yōu)選實(shí)施例的通過(guò)HRA判定DCS人機(jī)界面的可靠性的方法的流程示意圖��;圖2是本發(fā)明優(yōu)選實(shí)施例的通過(guò)HRA判定DCS人機(jī)界面的可靠性的系統(tǒng)的結(jié)構(gòu)示意圖����;圖3是本發(fā)明優(yōu)選實(shí)施例的通過(guò)HRA判定DCS人機(jī)界面的可靠性的系統(tǒng)的故障模塊的結(jié)構(gòu)示意圖;圖4是本發(fā)明優(yōu)選實(shí)施例的通過(guò)HRA判定DCS人機(jī)界面的可靠性的系統(tǒng)的故障模塊中的模擬響應(yīng)計(jì)劃的失效模式的分解結(jié)構(gòu)示意圖�;圖5是本發(fā)明優(yōu)選實(shí)施例1的通過(guò)HRA判定DCS人機(jī)界面的可靠性的系統(tǒng)的班組響應(yīng)模塊的分解結(jié)構(gòu)示意圖;圖6是本發(fā)明優(yōu)選實(shí)施例1的通過(guò)HRA判定DCS人機(jī)界面的可靠性的系統(tǒng)的班組響應(yīng)模塊中節(jié)點(diǎn)2的監(jiān)視失效的故障模塊結(jié)構(gòu)示意圖����;圖7是本發(fā)明優(yōu)選實(shí)施例的步驟S3中的概率計(jì)算模塊中的貝頁(yè)斯影響示意圖。
具體實(shí)施例方式以下結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說(shuō)明�,但是本發(fā)明可以由權(quán)利要求限定和覆蓋的多種不同方式實(shí)施。
操作人員對(duì)人機(jī)界面進(jìn)行監(jiān)視的行為是指觀察或發(fā)現(xiàn)人機(jī)界面提供的信息(一般包括讀數(shù)����、發(fā)現(xiàn)報(bào)警指示等)。工業(yè)應(yīng)用中�����,判定監(jiān)視行為是否成功則是根據(jù)操作人員是否根據(jù)該人機(jī)界面提供的數(shù)據(jù)或信息做出了下一步驟的正確的操作行為來(lái)判定的�,若下一步驟的操作行為是正確的,則判定該操作步驟之前的監(jiān)視步驟是成功的�;若下一步驟的操作行為不正確,則可能是由于操作人員讀數(shù)錯(cuò)誤(讀錯(cuò)或者未發(fā)現(xiàn)讀數(shù)�,該部分原因與人機(jī)界面的設(shè)置或布局有關(guān))或者操作人員本身不能根據(jù)該讀數(shù)作出下一步驟的正確判定(與操作人員的能力有關(guān)),則可能造成人囚事故���。本發(fā)明主要針對(duì)由于人機(jī)界面的設(shè)置或布局而導(dǎo)致的人因可靠性的分析(HRA)��。并且���,本發(fā)明所指的人因可靠性,研究的是人員行為(人因)與人機(jī)界面的交互活動(dòng)�����,其針對(duì)的是虛構(gòu)的一類人(排除個(gè)人的非常規(guī)的智力活動(dòng)以及主觀因素的影響)��,該類人是指接受了相應(yīng)的知識(shí)或者培訓(xùn)�����,能根據(jù)人機(jī)界面的交互信息作出符合邏輯的監(jiān)視行為和操作動(dòng)作的普通技術(shù)人員����。參見圖1,本發(fā)明的通過(guò)HRA判定DCS人機(jī)界面的可靠性的方法����,包括以下步驟:步驟S1:將處理一個(gè)事故(系統(tǒng)狀態(tài)偏離正常運(yùn)行時(shí)的任何狀態(tài),比如����,核電廠中的失水事故)時(shí)關(guān)聯(lián)的數(shù)字化控制室中的多個(gè)人機(jī)界面作為多個(gè)節(jié)點(diǎn)�����,并根據(jù)操作人員班組對(duì)多個(gè)人機(jī)界面進(jìn)行監(jiān)視或操作的次序?qū)⒍鄠€(gè)節(jié)點(diǎn)按次序連接���,以建立班組響應(yīng)樹(Crew response tree, CRT)。實(shí)際應(yīng)用中��,在構(gòu)建班組響應(yīng)樹之前����,優(yōu)選先進(jìn)行以下步驟:步驟SOOl:定義人因失效事故,作為步驟SI中的事故����。這些人因失效事故(事故題頭)是根據(jù)維修、試驗(yàn)�、檢查、核對(duì)等與人的活動(dòng)有關(guān)的規(guī)程和報(bào)告資料等確定的����,定義的目標(biāo)是概率安全評(píng)價(jià)(PSA:probabilistic safety assessment)中所有關(guān)鍵的人機(jī)界面中的人因失效事故都被分析到(本實(shí)施例中,主要對(duì)事故樹和故障樹中涉及人機(jī)界面與人有相互作用聯(lián)系的人因事故題頭與硬件設(shè)備失效)����。定義必須充分考慮完整性����,即所有重要的人員行為和人員操縱都需要包括在分析報(bào)告中��。定義是一個(gè)反復(fù)的過(guò)程�����。步驟S002:事故分解�����,對(duì)步驟SOOl定義的人因事故進(jìn)行詳細(xì)分解和分析(分析涉及的人機(jī)界面以及監(jiān)視和操作行為)����。其詳細(xì)程度應(yīng)當(dāng)達(dá)到描述操作人員采用什么樣的具體的操作步驟�,例如"打開***頁(yè)面"或者是"ROl配置第4屏信息",或者“R01打開**控件”等����。任務(wù)分解采用表格的形式進(jìn)行。任務(wù)分解基于相對(duì)應(yīng)的規(guī)程和對(duì)操縱員的測(cè)試得到�����。然后對(duì)步驟S002的分解結(jié)果進(jìn)行表征。本實(shí)施例中�,是采用班組響應(yīng)樹的方式,即將處理一個(gè)事故時(shí)關(guān)聯(lián)的數(shù)字化控制室中的多個(gè)人機(jī)界面作為多個(gè)節(jié)點(diǎn)��,并將操作人員班組對(duì)多個(gè)人機(jī)界面進(jìn)行監(jiān)視或操作的次序?qū)⒍鄠€(gè)節(jié)點(diǎn)按序連接���。其目的是可以清楚地了解操縱員在事故后對(duì)于電廠干預(yù)的這個(gè)人員行為過(guò)程�����。步驟S2:將操作人員班組對(duì)班組響應(yīng)樹中的節(jié)點(diǎn)進(jìn)行監(jiān)視或操作產(chǎn)生的人因失效類型作為頂節(jié)點(diǎn)�,以形成人因失效類型的人因失效模式作為中層節(jié)點(diǎn)���,以人員監(jiān)視或操作的動(dòng)作失效源作為底層節(jié)點(diǎn)�����,根據(jù)底層節(jié)點(diǎn)�、中層節(jié)點(diǎn)和頂節(jié)點(diǎn)的邏輯關(guān)系將底層節(jié)點(diǎn)���、中層節(jié)點(diǎn)與頂節(jié)點(diǎn)連接����,建立節(jié)點(diǎn)的人因失效的故障樹。如圖3所示��,故障樹中的頂節(jié)點(diǎn)是數(shù)字化控制室中的人因失效類型���,包括監(jiān)視失效��、狀態(tài)評(píng)估失效��、響應(yīng)計(jì)劃失效和響應(yīng)執(zhí)行失效��,四項(xiàng)中的任一項(xiàng)失效都會(huì)導(dǎo)致頂節(jié)點(diǎn)的發(fā)生。其中���,監(jiān)視是指操縱員決策和觀察外部的信息�,下一步信息加工是基于這個(gè)階段的���;狀態(tài)評(píng)估是指操縱員的認(rèn)知主要是利用在監(jiān)視過(guò)程中獲得信息與培訓(xùn)過(guò)程中獲得知識(shí)及經(jīng)驗(yàn)對(duì)電廠的實(shí)際狀態(tài)進(jìn)行評(píng)估�;響應(yīng)計(jì)劃是指在對(duì)電廠某一特定的狀態(tài)進(jìn)行評(píng)估之后����,操縱員需要考慮采取適當(dāng)?shù)男袆?dòng)�;響應(yīng)執(zhí)行���。操縱員根據(jù)響應(yīng)計(jì)劃執(zhí)行操縱動(dòng)作���。根據(jù)實(shí)際應(yīng)用的情況,以上四項(xiàng)人因失效類型還可向下擴(kuò)展延伸分支��,劃分為若干個(gè)中層節(jié)點(diǎn)�,這些擴(kuò)展延伸可根據(jù)行業(yè)規(guī)范或者應(yīng)用的需要來(lái)確定。一般來(lái)說(shuō)����,作為中層節(jié)點(diǎn)的監(jiān)視失效的多種失效模式包括信息監(jiān)視失效、屏幕配置失效����、信息交流失效、屏幕信息讀取失效以及讀取數(shù)據(jù)錯(cuò)誤�。例如,響應(yīng)計(jì)劃失效的失效模式(操作員響應(yīng)計(jì)劃失效)可以使用如圖4所示的故障樹的中層節(jié)點(diǎn)進(jìn)行分解�。其中,故障樹的底層節(jié)點(diǎn)為PSA(概率安全評(píng)價(jià))情景下的PSF(行為形成因子)(即人員監(jiān)視或操作的動(dòng)作失效源作)�。這些劃分是參考美國(guó)核管會(huì)所制定的行業(yè)規(guī)范而進(jìn)行的。步驟S3:確定影響底層節(jié)點(diǎn)的因素以及每個(gè)因素的影響概率,計(jì)算人因失效的概率�����。其中����,底層節(jié)點(diǎn)是指根據(jù)失效模式分解得到的不可再下分的組成節(jié)點(diǎn)。步驟S4:根據(jù)步驟S3計(jì)算得到失效概率值��,判斷人機(jī)界面的可靠性����。通過(guò)上述步驟S3,可計(jì)算得到多個(gè)節(jié)點(diǎn)(即人機(jī)界面)上的人因的失效概率值���,可以根據(jù)計(jì)算得到的失效概率值�,查找各種國(guó)際國(guó)內(nèi)的標(biāo)準(zhǔn)(根據(jù)應(yīng)用場(chǎng)合以及涉及的人機(jī)界面的類型和重要度的不同����,判斷的標(biāo)準(zhǔn)也不同����,判斷的標(biāo)準(zhǔn)根據(jù)實(shí)際應(yīng)用情況確定)或者根據(jù)預(yù)設(shè)的閾值,即可獲知人機(jī)界面的可靠性(人機(jī)界面是否可靠根據(jù)標(biāo)準(zhǔn)所列的項(xiàng)目及其判斷標(biāo)準(zhǔn)而定)。對(duì)不同的節(jié)點(diǎn)( 即人機(jī)界面)上的人因的失效概率值進(jìn)行比較��,即可找出人員失效概率較大的人機(jī)界面�,可為改善主控人機(jī)界面提供數(shù)據(jù)基礎(chǔ)。通過(guò)上述步驟SI至S4��,可以系統(tǒng)描述人機(jī)界面與人因失效事故的關(guān)系��,并能推算出人因失效的概率�,根據(jù)人機(jī)界面上的人因的失效概率值識(shí)別出人員失效概率值較大的人機(jī)界面,為改善主控人機(jī)界面提供數(shù)據(jù)基礎(chǔ)��。本方法能顯著地提高對(duì)電廠數(shù)字化控制室的不良人機(jī)界面的辨識(shí)度����,進(jìn)而便于有針對(duì)性地對(duì)復(fù)雜工業(yè)系統(tǒng)進(jìn)行改造,從而顯著地節(jié)約大量的工業(yè)安全成本�����。參見圖2�����,本發(fā)明的一種通過(guò)HRA判定DCS人機(jī)界面的可靠性的系統(tǒng)����,包括以下的三層結(jié)構(gòu)和一個(gè)可靠性判定模塊:第一層�,班組響應(yīng)模塊�����,班組響應(yīng)模塊的多個(gè)節(jié)點(diǎn)為處理一個(gè)事故時(shí)關(guān)聯(lián)的數(shù)字化控制室中的多個(gè)人機(jī)界面��,多個(gè)節(jié)點(diǎn)的連接次序?yàn)椴僮魅藛T班組對(duì)多個(gè)人機(jī)界面進(jìn)行監(jiān)視或操作的次序���。第二層���,故障模塊,故障模塊的頂節(jié)點(diǎn)為操作人員班組對(duì)班組響應(yīng)模塊中的節(jié)點(diǎn)進(jìn)行監(jiān)視或操作產(chǎn)生的人因失效類型���,中層節(jié)點(diǎn)為形成人因失效類型的人因失效模式�����,底層節(jié)點(diǎn)為人員監(jiān)視或操作的動(dòng)作失效源����;三者的連接關(guān)系為底層節(jié)點(diǎn)��、中層節(jié)點(diǎn)和頂節(jié)點(diǎn)的邏輯關(guān)系�。第三層,概率計(jì)算模塊�,用于根據(jù)影響底層節(jié)點(diǎn)的因素以及每個(gè)因素的影響概率,并根據(jù)因素計(jì)算任一失效類型的失效概率�。(圖2中,PSFU PSF2……PSFn分別指第一個(gè)行為形成因子���、第二個(gè)行為形成因子����、第三個(gè)行為形成因子……第η行為形成因子�����。)可靠性判定模塊��,用于根據(jù)失效概率����,判斷人機(jī)界面的可靠性。通過(guò)上述步驟S3�����,可計(jì)算得到多個(gè)節(jié)點(diǎn)(即人機(jī)界面)上的人因的失效概率值。另外�,還可以根據(jù)計(jì)算得到的失效概率值,查找各種國(guó)際國(guó)內(nèi)的標(biāo)準(zhǔn)((根據(jù)應(yīng)用場(chǎng)合以及涉及的人機(jī)界面的類型和重要度的不同��,判斷的標(biāo)準(zhǔn)也不同����,判斷的標(biāo)準(zhǔn)根據(jù)實(shí)際應(yīng)用情況確定),即可獲知人機(jī)界面的可靠性(人機(jī)界面是否可靠根據(jù)標(biāo)準(zhǔn)所列的項(xiàng)目及其判斷標(biāo)準(zhǔn)而定)���。對(duì)不同的節(jié)點(diǎn)(即人機(jī)界面)上的人因的失效概率值進(jìn)行比較�����,即可找出人員失效概率較大的人機(jī)界面��,可為改善主控人機(jī)界面提供數(shù)據(jù)基礎(chǔ)����。采用上述的結(jié)構(gòu)的通過(guò)HRA判定DCS人機(jī)界面的可靠性的系統(tǒng)����,可以實(shí)現(xiàn)本發(fā)明的數(shù)字化控制室人機(jī)界面的可靠性判斷方法。系統(tǒng)第一層的班組響應(yīng)模塊描述操縱員的動(dòng)作過(guò)程(事故后)與人機(jī)界面的交互影響關(guān)系��,能精確了解和評(píng)定事故后(或者完成某事故的操作過(guò)程中)人因失誤發(fā)生過(guò)程。第一層的故障模塊分解各個(gè)人機(jī)界面的改變可能產(chǎn)生的人因失效類型�,并將該人因失效類型分解為的失效模式�����,確定失效模式的概率便可獲得該人機(jī)界面對(duì)于系統(tǒng)安全的影響程度��,即人機(jī)界面上的人員行為的可靠性(稱為人因可靠性)�����。通過(guò)本發(fā)明的系統(tǒng)能顯著地提高對(duì)電廠數(shù)字化控制室的不良人機(jī)界面的辨識(shí)度�����,進(jìn)而便于有針對(duì)性地對(duì)復(fù)雜工業(yè)系統(tǒng)進(jìn)行改造����,從而節(jié)約工業(yè)安全成本。實(shí)施例1:本實(shí)施例采用某核電廠DCS中蒸汽傳熱管破裂(SGTR, steam generator tuberupture)事故為例�,具體地說(shuō)明本發(fā)明的通過(guò)HRA判定DCS人機(jī)界面的可靠性的方法及系統(tǒng)。該方法包括步驟:步驟SOOl:定義人因事故�。SGTR是始發(fā)事故頻率較高的人因事故。SGTR事故發(fā)生后���,能夠很迅速地引起二回路放射性(N16)高報(bào)以及其他的報(bào)警信號(hào)�,包括破損SG液位的異常以及穩(wěn)壓器的低壓力報(bào)警。DCS中�,SGTR出現(xiàn)大約3分鐘后,報(bào)警信號(hào)出現(xiàn)��,這些報(bào)警包括:穩(wěn)壓器低壓力和低液位����,破損SG液位上升,完好SG和破損SG給水的不一致�,二回路放射性報(bào)警等。SGTR初始發(fā)生時(shí)�����,核電廠不會(huì)出現(xiàn)自動(dòng)停堆����,但隨著事故的發(fā)生,系統(tǒng)會(huì)因?yàn)榉€(wěn)壓器壓力和液位低而自動(dòng)停堆����。步驟S002:事故分解。對(duì)SGTR事故涉及的人機(jī)界面以及監(jiān)視和操作行為進(jìn)行詳細(xì)分解和分析。步驟S1:建立班組響應(yīng)樹��。始發(fā)事故發(fā)生后��,DCS中紫色報(bào)警(本實(shí)施例中��,紫色報(bào)警是指優(yōu)先級(jí)別最高的報(bào)警)被觸發(fā)���。操縱員進(jìn)入DOS進(jìn)行處理。根據(jù)操作人員班組對(duì)多個(gè)人機(jī)界面進(jìn)行監(jiān)視或操作的次序���,建立如圖5所示的班組響應(yīng)樹�。(出現(xiàn)DOS (事故)報(bào)警之后���,操縱員對(duì)事故進(jìn)行初始診斷�����,然后進(jìn)入相對(duì)應(yīng)的ECP規(guī)程或直接在DOS中對(duì)機(jī)組穩(wěn)定����,隨后進(jìn)行定期監(jiān)視�,如果系統(tǒng)狀態(tài)正常且系統(tǒng)處于穩(wěn)定狀態(tài),則事故成功;如定期監(jiān)視過(guò)程中出現(xiàn)系統(tǒng)異常�����,需重新定向(重新根據(jù)提示進(jìn)行初始診斷���,并診斷處理事故需操作的人機(jī)界面并進(jìn)行另一操作或者診斷處理事故需操作的另一人機(jī)界面并進(jìn)行操作)��,直到事故成功)��。步驟S2:分析圖5中各節(jié)點(diǎn)的失效模式(監(jiān)視失效��、狀態(tài)評(píng)估失效�����、響應(yīng)計(jì)劃失效���、響應(yīng)執(zhí)行失效),建立節(jié)點(diǎn)的故障樹�����。如��,節(jié)點(diǎn)2 =DOS的初始判斷,根據(jù)分析����,主要是對(duì)信息的監(jiān)視,也就是監(jiān)視失效(得到的節(jié)點(diǎn)2的故障模塊見圖6)�����。節(jié)點(diǎn)3主要人因是“規(guī)程轉(zhuǎn)移”��,那么其主要失效模式是息收集失效和決策失效(對(duì)應(yīng)監(jiān)視失效和響應(yīng)計(jì)劃失效)��,動(dòng)作執(zhí)行失效模式不再考慮�����。步驟S3:確定影響影響底層節(jié)點(diǎn)的因素以及每個(gè)因素的影響概率���,并采用貝葉斯網(wǎng)絡(luò)計(jì)算任一失效模式的失效概率。
貝葉斯網(wǎng)絡(luò)(BN)是由節(jié)點(diǎn)和邊組成的有向無(wú)環(huán)圖(Directed Acyclic Graph,DAG)��,可以用N =〈〈V����,E>,P〉來(lái)描述。其中��,V為離散隨機(jī)變量且V = {X1����;X2,…,Xj����,對(duì)應(yīng)的節(jié)點(diǎn)X1,X2,…�����,Xn表示具有有限狀態(tài)的變量(因素)�,這些節(jié)點(diǎn)(因素)可以是任何抽象的問(wèn)題,如設(shè)備部件狀態(tài)���、測(cè)試值����、組織因素����、人的診斷結(jié)果等��,本實(shí)施例中�,因素優(yōu)選包括8個(gè):工作設(shè)計(jì)����、系統(tǒng)狀態(tài)、可用時(shí)間����、人員培訓(xùn)、人員配置����、工作環(huán)境、人機(jī)界面設(shè)計(jì)以及技術(shù)系統(tǒng)設(shè)計(jì)���。E為有向邊,表示節(jié)點(diǎn)間的概率因果關(guān)系��,有向邊的起始節(jié)點(diǎn)i是終節(jié)點(diǎn)j的父節(jié)點(diǎn)�����,j稱為子節(jié)點(diǎn)�����,沒有父節(jié)點(diǎn)只有子節(jié)點(diǎn)的節(jié)點(diǎn)稱為根節(jié)點(diǎn)。DAG蘊(yùn)涵了一個(gè)條件獨(dú)立假設(shè):給定其父節(jié)點(diǎn)集���,每一個(gè)變量獨(dú)立于它的非子孫節(jié)點(diǎn)����。P為定量部分�����,是V上的概率分布����。對(duì)于離散情況,可用條件概率表來(lái)表示�,用于定量說(shuō)明父節(jié)點(diǎn)對(duì)子節(jié)點(diǎn)的影響。根節(jié)點(diǎn)的概率分布函數(shù)為邊緣概率分布函數(shù)����,由于該類節(jié)點(diǎn)的概率不以其它節(jié)點(diǎn)為條件,故其概率為先驗(yàn)概率��,其它節(jié)點(diǎn)為條件概率分布函數(shù)����。步驟S3采用貝葉斯網(wǎng)絡(luò)計(jì)算父節(jié)點(diǎn)(PSF)對(duì)于故障樹底層事故的影響����。步驟S4:根據(jù)步驟S3計(jì)算得到失效概率值���,判斷人機(jī)界面的人因可靠性�。比如本例中操作員在本人機(jī)界面中的操作對(duì)于電廠安全(熱阱的建立)非常重要且其失效概率確定大于I X IO-3CfflERP標(biāo)準(zhǔn))則需要對(duì)該人機(jī)界面進(jìn)行重新審查�����。完成以上步驟�,即相應(yīng)地,也建立了三層結(jié)構(gòu)和一個(gè)可靠性判定模塊的通過(guò)HRA判定DCS人機(jī)界面的可靠性的系統(tǒng)�。其中,三層結(jié)構(gòu)為第一層為班組響應(yīng)模塊��;第二層為故障模塊�����;第三層為概率計(jì)算模塊�����。綜上可知��, 1.本方法可以系統(tǒng)描述人機(jī)系統(tǒng)場(chǎng)景以及其如何對(duì)于人員行為產(chǎn)生影響����。如果人機(jī)系統(tǒng)的人員行為集合A= {y1; y^yn}���,受到主控人機(jī)界面因素(Xu)的影響如圖7所示����,其中W11第一個(gè)人員行為收到第一個(gè)人機(jī)界面的影響W21第二個(gè)人員行為受到第一個(gè)人機(jī)界面的影響Wnl第η個(gè)人機(jī)界面受到第一個(gè)人機(jī)界面的影響�。可見本發(fā)明能可以系統(tǒng)描述主控人機(jī)界面因素對(duì)于人員行為的影響��,從而識(shí)別出對(duì)于人員行為影響較大的人機(jī)界面因素���,進(jìn)而改善主控人機(jī)界面�,進(jìn)而顯著地提高對(duì)不良人機(jī)界面的辨識(shí)度�。2.人員行為主要影響主控事故序列進(jìn)程。采用本方法可以計(jì)算出人員行為對(duì)于事故緩解的成功概率��,從而可以有針對(duì)性地高效率地對(duì)主控事故序列進(jìn)行培訓(xùn)����,本方法可以顯著地節(jié)約復(fù)雜工業(yè)系統(tǒng)中人員的培訓(xùn)成本�。3.對(duì)于人員行為成功概率較低的事故序列所屬之人機(jī)界面���,可以有針對(duì)性地對(duì)于復(fù)雜工業(yè)系統(tǒng)進(jìn)行改造��,本方法可以顯著地節(jié)約大量的工業(yè)安全成本��。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已����,并不用于限制本發(fā)明��,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)�����,本發(fā)明可以有各種更改和變化��。凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改、等同替換�����、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種通過(guò)HRA判定DCS人機(jī)界面的可靠性的方法����,其特征在于,包括以下步驟: 步驟S1:將處理一個(gè)事故時(shí)關(guān)聯(lián)的數(shù)字化控制室中的多個(gè)人機(jī)界面作為多個(gè)節(jié)點(diǎn)����,并根據(jù)操作人員班組對(duì)所述多個(gè)人機(jī)界面進(jìn)行監(jiān)視或操作的次序?qū)⑺龆鄠€(gè)節(jié)點(diǎn)按次序連接,以建立班組響應(yīng)樹����; 步驟S2:將所述操作人員班組對(duì)所述班組響應(yīng)樹中的所述節(jié)點(diǎn)進(jìn)行監(jiān)視或操作產(chǎn)生的人因失效類型作為頂節(jié)點(diǎn),以形成所述人因失效類型的人因失效模式作為中層節(jié)點(diǎn)�,以人員監(jiān)視或操作的動(dòng)作失效源作為底層節(jié)點(diǎn),根據(jù)所述底層節(jié)點(diǎn)�、中層節(jié)點(diǎn)和所述頂節(jié)點(diǎn)的邏輯關(guān)系將所述底層節(jié)點(diǎn)、中層節(jié)點(diǎn)與所述頂節(jié)點(diǎn)連接���,建立所述節(jié)點(diǎn)的人因失效的故障樹���; 步驟S3:確定影響所述底層節(jié)點(diǎn)的因素以及每個(gè)所述因素的影響概率,計(jì)算所述人因失效的概率; 步驟S4:根據(jù)步驟S3計(jì)算得到失效概率值�����,判斷所述人機(jī)界面的可靠性�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于���, 所述步驟SI中��,所述對(duì)所述多個(gè)人機(jī)界面進(jìn)行監(jiān)視或操作的次序包括:監(jiān)視提示所述事故發(fā)生的人機(jī)界面并根據(jù)所述提示進(jìn)行初始診斷�����,診斷處理所述事故需操作的人機(jī)界面并進(jìn)行操作���,操作完成后定期監(jiān)視提示所述事故發(fā)生的人機(jī)界面,如果系統(tǒng)狀態(tài)正常且系統(tǒng)處于穩(wěn)定狀態(tài)�,則處理所述事故成功;如定期監(jiān)視過(guò)程中發(fā)現(xiàn)系統(tǒng)異常���,需重新根據(jù)所述提示進(jìn)行初始診斷�,并診斷處理所述事故需操作的人機(jī)界面并進(jìn)行另一操作或者診斷處理所述事故需操作的另一人機(jī)界面并進(jìn)行操作����,直到處理所述事故成功���。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于�����, 所述步驟S3中�����,所述計(jì)算 是采用貝葉斯網(wǎng)絡(luò)進(jìn)行的����。
4.根據(jù)權(quán)利要求3所述的方法�,其特征在于,所述人因失效類型包括: 監(jiān)視失效����、狀態(tài)評(píng)估失效、響應(yīng)計(jì)劃失效和響應(yīng)執(zhí)行失效���。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于���, 所述監(jiān)視失效的多種失效模式包括信息監(jiān)視失效�����、屏幕配置失效����、信息交流失效���、屏幕信息讀取失效以及讀取數(shù)據(jù)錯(cuò)誤����。
6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的方法����,其特征在于,所述因素包括: 工作設(shè)計(jì)�����、系統(tǒng)狀態(tài)、可用時(shí)間�����、人員培訓(xùn)�、人員配置��、工作環(huán)境�、人機(jī)界面設(shè)計(jì)以及技術(shù)系統(tǒng)設(shè)計(jì)。
7.一種通過(guò)HRA判定DCS人機(jī)界面的可靠性的系統(tǒng)��,其特征在于��,包括: 班組響應(yīng)模塊����,所述班組響應(yīng)模塊的多個(gè)節(jié)點(diǎn)為處理一個(gè)事故時(shí)關(guān)聯(lián)的所述數(shù)字化控制室中的多個(gè)人機(jī)界面,所述多個(gè)節(jié)點(diǎn)的連接次序?yàn)椴僮魅藛T班組對(duì)所述多個(gè)人機(jī)界面進(jìn)行監(jiān)視或操作的次序�����; 故障模塊���,所述故障模塊的頂節(jié)點(diǎn)為所述操作人員班組對(duì)所述班組響應(yīng)模塊中的任一所述節(jié)點(diǎn)進(jìn)行監(jiān)視或操作產(chǎn)生的人因失效類型�����,中層節(jié)點(diǎn)為形成所述人因失效類型的人因失效模式�,底層節(jié)點(diǎn)為人員監(jiān)視或操作的動(dòng)作失效源;三者的連接關(guān)系為所述底層節(jié)點(diǎn)�、中層節(jié)點(diǎn)和所述頂節(jié)點(diǎn)的邏輯關(guān)系; 概率計(jì)算模塊�����,用于根據(jù)影響所述底層節(jié)點(diǎn)的因素以及每個(gè)所述因素的影響概率����,計(jì)算任一所述失效類型的失效概率;町靠性判定模塊�,用于根據(jù)所述失效概率,判斷所述人機(jī)界面的可靠性�����。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)���,其特征在于��, 所述概率計(jì)算模塊中采用的是貝葉斯網(wǎng)絡(luò)的計(jì)算方式����。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于�,所述人因失效類型包括: 監(jiān)視失效、狀態(tài)評(píng)估失效�����、響應(yīng)計(jì)劃失效和響應(yīng)執(zhí)行失效����。
10.根據(jù)權(quán)利要求7至9中任一項(xiàng)所述的系統(tǒng)����,其特征在于,所述因素包括: 工作設(shè)計(jì)�����、系統(tǒng)狀態(tài)�、可用時(shí)間、人員培訓(xùn)�����、人員配置、工作環(huán)境���、人機(jī)界面設(shè)計(jì)以及技術(shù)系統(tǒng)設(shè)計(jì)����。
全文摘要
本發(fā)明公開了一種通過(guò)HRA判定DCS人機(jī)界面的可靠性的方法�����,其將處理一個(gè)事故時(shí)關(guān)聯(lián)的數(shù)字化控制室中的多個(gè)人機(jī)界面作為多個(gè)節(jié)點(diǎn)���,根據(jù)對(duì)多個(gè)人機(jī)界面進(jìn)行監(jiān)視或操作的次序?qū)⒍鄠€(gè)節(jié)點(diǎn)按次序連接���,建立班組響應(yīng)樹;將對(duì)節(jié)點(diǎn)進(jìn)行監(jiān)視或操作產(chǎn)生的人因失效類型作為頂節(jié)點(diǎn)��,以人因失效模式作為中層節(jié)點(diǎn)����,以人員監(jiān)視或操作的動(dòng)作失效源作為底層節(jié)點(diǎn),建立節(jié)點(diǎn)的人因失效的故障樹�;確定影響底層節(jié)點(diǎn)的因素以及每個(gè)因素的影響概率��,計(jì)算人因失效的概率��;根據(jù)步驟S3計(jì)算得到失效概率值��,判斷人機(jī)界面的可靠性���。本發(fā)明系統(tǒng)描述人機(jī)界面與人因失效的關(guān)系,可識(shí)別出人因失效概率較大的人機(jī)界面��,為改善復(fù)雜工業(yè)系統(tǒng)中的數(shù)字化主控室人機(jī)界面提供基礎(chǔ)���。
文檔編號(hào)G06F19/00GK103198231SQ20131014254
公開日2013年7月10日 申請(qǐng)日期2013年4月23日 優(yōu)先權(quán)日2013年4月23日
發(fā)明者張力, 戴立操, 李鵬程, 胡鴻, 蔣建軍, 黃衛(wèi)剛, 戴忠華, 黃俊歆, 鄒衍華, 陳青青, 盧長(zhǎng)申 申請(qǐng)人:湖南工學(xué)院, 南華大學(xué), 中廣核核電運(yùn)營(yíng)有限公司