ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

ПРОЕКТ БЛОЧНОГО ПУНКТА УПРАВЛЕНИЯ АТОМНЫХ СТАНЦИЙ

Верификация и валидация

(IEC 61771:1995, Nuclear power plants — Main control-room — Verification and validation of design, IDT)

Издание официальное

Предисловие

1    ПОДГОТОВЛЕН Акционерным обществом «Русатом Автоматизированные системы управления» (АО «РАСУ») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 322 «Атомная техника»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 мая 2021 г. № 422-ст

4    Настоящий стандарт идентичен международному стандарту МЭК 61771:1995 «Атомные станции. Блочный пункт управления. Верификация и валидация проекта» (IEC 61771:1995 «Nuclear power plants — Main control-room — Verification and validation of design», IDT).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных документов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    Положения настоящего стандарта действуют в целом в отношении атомных станций, сооружаемых по российским проектам за пределами Российской Федерации, а также в отношении сооружаемых на территории Российской Федерации атомных станций в части, не противоречащей требованиям Федеральных норм и правил в области использования атомной энергии

6    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информацион!Юм указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© IEC. 1995 — Все права сохраняются © Стандартинформ. оформление. 2021

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии И

Валидацию проводят главным образом на основе исходных документов, а по некоторым вопросам {при возможности) — путем испытаний, выполняемых операторами (см. возможные подходы, используемые для качественной и количественной оценок выполнения функций и рабочей нагрузки на оператора, в приложении А).

Для обеспечения представительности событий, выбранных для оценки, должны быть разработаны критерии отбора. При оценке функций, назначенных человеку, дополнительно ко всем нормальным состояниям, нарушениям эксплуатации и авариям должны быть рассмотрены события, вызванные репрезентативной комбинацией множества отказов, ведущих к максимальной рабочей нагрузке на оператора.

После завершения отбора этих событий функции, требуемые для каждого события, должны быть идентифицированы и расположены в порядке их следования во времени.

4.4.2    Определенно исходных документов

Документы, которые должны быть предоставлены экспертной группе на рассмотрение перед началом валидации распределения функций, перечислены в 4.3.2.

Некоторые документы могут обновляться вследствие решений, принятых в конце предшествующего шага верификации, и поэтому необходимо контролировать применение самых последних версий документов.

Наряду с перечисленными ранее документами могут быть использованы и другие документы:

-    план помещения БПУ;

-    предварительная компоновка БПУ (при наличии);

-    стереотипы поведения персонала.

4.4.3    Организация экспертной группы для проведения валидации

Применяют требования, указанные в 4.3.3.

4.4.4    Обеспечение экспортной группы рабочим помещением и оборудованием

Применяют требования, указанные в 4.3.4.

4.4.5    Составление графика проведения анализа

Применяют требования, указанные в 4.3.5.

4.4.6    Процесс анализа

Оценка распределения функций состоит в изучении представительного ряда соответствующих динамических сценариев. Она должна быть системной, а сам процесс оценки должен быть документально оформлен так, чтобы его можно было проследить.

4.4.7    Отчетные документы

Применяют требования, указанные в 4.3.7.

4.4.8    Принятие решения

Применяют требования, указанные в 4.3.8.

В качестве корректирующих действий могут быть предприняты одно или более из следующих действий.

-    выбор альтернативных проектов;

-    уточнение функциональных требований;

-    уточнение критериев проектирования:

-    анализ последствий изменений, внесенных в предыдущий вариант распределения функций.

4.5 Верификация интегрированной системы БПУ

На данной стадии анализа (верификации БПУ) имеют в виду следующее:

-    с одной стороны, БПУ существует как некая концепция, которая описана набором функциональных требований (сформированных на первом этапе), включающих в себя:

1)    полную конфигурацию человеко-машинного интерфейса;

2)    концепцию представления эксплуатационных процедур;

3)    правила обработки сигналов (например, стратегию подавления сигналов);

4)    прототипы видеокадров;

5)    концепцию органов ручного управления;

6)    условия пребывания персонала на БПУ;

-    с другой стороны. БПУ детально охарактеризован следующими проектными решениями:

1)    комплектом чертежей, на которых представлена компоновка помещения и панелей БПУ:

2)    функциональными диаграммами, определяющими работу систем и обработку сигналов;

3)    эскизами видеокадров;

4)    проектами эксплуатационных процедур;

5)    проектами программ подготовки.

В процессе верификации выполняют оценку соответствия вышеупомянутых проектных решений проектным требованиям.

4.5.1 Выработка критериев для оценки

Вырабатываемые критерии должны охватывать как технические аспекты, так и аспекты проектирования с учетом человеческого фактора. В частности, при верификации интегрированной системы БПУ проверяют удовлетворение следующим критериям.

-    функциональные характеристики человеко-машинного интерфейса соответствуют проектным требованиям, а также действующим в данной сфере нормам, стандартам и руководствам и корректно сочетаются с проектными органами управления, средствами отображения информации и другими устройствами и компонентами БПУ;

-    подготовка позволяет операторам получить правильное представление о функциях человеко-машинного интерфейса и об эксплуатационных процедурах;

-    эксплуатационные процедуры надлежащим образом включены в программу подготовки.

Верификацию по первому из перечисленных выше критериев проводят, главным образом, с целью установить, что перечень приборов и оборудования согласуется с требованиями, исходящими из спецификации системы, анализа системы и анализа задач. Верификацию проводят с использованием:

-    подробного перечня приборов и оборудования БПУ. В нем должны быть перечислены и описаны имеющиеся компоненты БПУ для сопоставления их с требованиями, предъявляемыми к приборам, органам управления, оборудованию и материалам. Данный перечень также используют для установления наличия на рабочем месте оператора необходимого и достаточного набора средств контроля и управления процессом.

Примерами более детальных критериев оценки в этой области являются следующие:

1)    при выходе из строя приборов и средств отображения информации факт их неисправности должен быть легко распознаваем:

2)    разные приборы, отображающие один и тот же параметр, должны показывать согласующиеся значения;

3)    органы управления следует располагать так, чтобы относящиеся к ним средства отображения информации могли быть использованы для обеспечения обратной связи (см. МЭК 1227);

-    перечня сигналов, включая методы их обработки (например, поддержание и подавление сигналов);

-    перечня форматов визуального отображения и процедур проверки их пригодности для решения своих задач операторами, а также информации о том. образуют ли они единое согласованное целое;

-    описания БПУ и рабочих мест, позволяющего убедиться в отсутствии помех на пути к органам управления и средствам отображения информации, расположенным на рабочих местах (или на панелях управления),

-    анализа приемлемости проекта БПУ с точки зрения учета человеческого фактора и условий работы, таких как освещенность и шум (см. МЭК 964:1989. пункт А.4.1.3 приложения А). Этот анализ должен определить, спроектированы ли компоненты и условия пребывания персонала на БПУ так, чтобы соответствовать основным характеристикам человека, таким как сенсомоторные способности;

-    проверки пригодности органов управления, предусмотренных для регулирования температуры воздуха, влажности, вентиляции и освещения.

4.5.2    Определение исходных документов

Документы, подлежащие рассмотрению экспертной группой, должны быть предоставлены ей для согласования до начала верификации интегрированной системы БПУ (см. МЭК 964:1989, рисунок 2).

В число этих документов входят:

-    документ, содержащий предварительную оценку БПУ (при наличии);

-    отчет об экспертизе общего проекта БПУ (при наличии);

-    чертежи компоновки панелей и рабочих мест;

-    эскизы панелей или видеокадров или фотографии;

-    перечень сокращений и аббревиатур, используемых на БПУ;

-    описание принятых способов кодирования, используемых на БПУ. и руководство по стилям человеко-машинного интерфейса.

-    описание применения компьютерной техники (обработка сигналов, программно-реализуемые процедуры, дисплеи);

-    описание процедур (эксплуатационных и аварийных);

-    материалы по подготовке операторов.

Дополнительно могут оказаться полезными результаты исследования учета человеческого фактора и данные предварительных оценок или аудита БПУ других станций при обсуждении вопросов, связанных с эргономическими характеристиками, организацией труда и анализом требований к задачам.

Примечание — При модификации существующих проектов следует использовать соответствующее подмножество из вышеприведенного перечня.

4.5.3    Организация экспертной группы для проведения верификации

Применяют требования, указанные в 4.3.3.

Состав экспертной группы подбирают исходя из конкретной задачи проверки, подлежащей выполнению, например:

-    для анализа обработки сигналов необходимы, главным образом, консультанты в области технической эксплуатации и системные инженеры;

-    для проверки соответствия условий пребывания персонала на БПУ установленным критериям необходимы, в основном, специалисты в области человеческого фактора.

4.5.4    Обеспечение экспертной группы рабочим помещением и оборудованием

Применяют требования, указанные в 4.3.4.

На данном этапе может быть использовано и другое специальное оборудование (например, средства для измерения уровня шума и освещенности).

4.5.5    Составление графика проведения анализа Применяют требования, указанные в 4.3.5.

4.5.6    Процесс анализа

Оценка, выполняемая на данном этапе проектирования системы БПУ. представляет собой обычный анализ проекта и является частью процедуры обеспечения качества. Анализ должен охватывать эксплуатационные процедуры и программу подготовки.

Верификация системы БПУ должна быть системной, а сам процесс должен быть оформлен документально. чтобы его можно было проследить.

4.5.7    Отчетные документы

Применяют требования, указанные в 4.3.7.

4.5.8    Принятие решения

Корректирующие действия могут быть определены в рамках одного или нескольких из следующих пунктов:

-    выбор вариантов конструкции;

-    уточнение функциональных требований;

-    уточнение критериев проектирования;

-    изменение проектов эксплуатационных процедур и/или программы подготовки.

4.6 Валидация интегрированной системы БПУ

Перед детализированным проектированием системы БПУ и в процессе проектирования должна быть проведена валидация интегрированной системы БПУ в целом, чтобы убедиться в возможности достижения ожидаемых характеристик функционирования. В частности, особое внимание следует уделить динамическим временным характеристикам предлагаемой интегрированной системы.

Цель валидации заключается в том, чтобы установить, что взаимодействие компонентов системы БПУ обеспечивает такое поведение системы в целом, которое соответствует требованиям безопасной и надежной эксплуатации АС. В рамках валидации проводят оценку пригодности конструкции БПУ для обеспечения следующих видов взаимодействия:

-    БПУ и оператора;

-    БПУ и эксплуатационных процедур;

-    БПУ и программ подготовки;

-    оператора и другого персонала внутри и за пределами БПУ.

Объем работ по валидации зависит от объема средств, имеющихся в распоряжении экспертной группы для оценки. Существует несколько методов и средств оценки, описанных в приложении В:

-    подробный анализ конструкции БПУ и анализ документации;

-    экспериментальный стенд;

-    прототип с полномасштабной моделью станции;

-    использование площадки АС (можно считать, что первое применение на месте относится к фазе проектирования).

Следует отметить, что отдельные части процесса валидации интегрированной системы БПУ с различными допущениями и объемом работ могут быть выполнены на разных стадиях проектирования. Для каждой части процесса валидации могут быть использованы разные средства или одинаковые средства с разными характеристиками (см. 4.6.6. а также приложение В).

В процесс анализа должно быть вовлечено руководство.

Внимание руководства ко всему процессу является важным. Задача руководства заключается во всесторонней поддержке процесса анализа проекта БПУ и интеграции анализа проекта с другими исследованиями и анализом аспектов, связанных с человеческим фактором. Примером может служить оценка комплектования сменного персонала, организации работы, подготовки и лицензирования персонала и усовершенствования процедуры. Рекомендуется руководству обратить внимание на координацию всех этих задач на базе принципов проектирования с учетом человеческого фактора.

4.6.1 Выработка общих криториов оценки

Оценка должна быть направлена на достижение следующих конкретных целей:

-    определение способности БПУ предоставлять информацию о состоянии системы, обеспечивать возможность управления, обратную связь и средства представления, необходимые для эффективного выполнения операторами БПУ своих функций и задач в условиях нормальной эксплуатации, нарушений нормальной эксплуатации или в аварийных условиях.

-    определение свойств существующих на БПУ приборов, органов управления, средств отображения информации, другого оборудования и их физического размещения, которые могут отвлекать оператора от работы.

Далее будут описаны общие критерии оценки в привязке к перечисленным в 4.6 видам взаимодействия. Следует отметить, что основным интерфейсом, требующим оценки, является интерфейс взаимодействия оператора и БПУ. Основные вопросы, подлежащие рассмотрению, — это физические аспекты

и

и окружающая обстановка на БПУ и рабочих местах, физические и психические возможности человека, человеко-машинный интерфейс и когнитивные аспекты (деятельность человека в целом).

4.6.2 Критерии оценки взаимодействия БПУ/опоратор_

Последовательности, составленные из функций, назначенных персоналу БПУ и автоматике, должны быть взаимно согласующимися и полными.

Философия управления, выраженная в функциональных требованиях, должна быть применена ко всем функциям управления единообразно, чтобы подсистемами с одинаковыми характеристиками работы можно было управлять аналогичным образом.

Задачи, возложенные на персонал БПУ. не должны превышать пределы человеческих возможностей. Задачи, требующие быстрого, медленного или сложного управления и обработки информации, не следует закреплять за операторами.

Операторам должен быть предоставлен достаточный запас, например в отношении временных ограничений, учитывающий природную вариабельность человеческого поведения.

Характеристики восприятия операторов должны находиться в пределах общепризнанных границ сенсорных способностей человека в области зрения, слуха, осязания, чувствительности к вибрации ит. д.

Показатели моторной активности операторов должны находиться в пределах общепризнанных моторных способностей чеповека. характеризующихся подвижностью, способностью к манипуляциям. физической силой и выносливостью.

Показатели умственной деятельности операторов должны находиться в рамках возможных изменений этих способностей, обусловленных различными уровнями бдительности и усталости. Эти показатели оценивают в следующих областях:

* обработка информации;

-    восприятие;

-    удержание информации (кратковременное/долговременное);

-    объем памяти (кратковременной/долговременной).

Не следует пренебрегать исследованием визуальных аспектов, касающихся уровня освоения компьютеров и экранов дисплеев на БПУ.

Указанный способ представления информации создает ряд проблем, в особенности это касается зрительных способностей операторов (зрительная усталость, удобочитаемость, воздействие контрастности. воздействие бликов), что очень важно учитывать при проведении оценки данного типа.

Требуемые от операторов характеристики должны находиться в пределах их способности работать в неблагоприятных условиях внешней среды, характеризуемых:

-    аномальными температурами, влажностью, давлением;

-    неблагоприятным освещением (контрастность, уровень, блики и др.);

-    неблагоприятными шумом и акустическими свойствами БПУ;

-    наличием токсических веществ и радиации.

Валидация должна включать в себя оценку способов улучшения общей работоспособности оператора.

Для оценки когнитивных аспектов рекомендуется использовать модели деятельности человека. В приложении С приведена одна из таких моделей принятия решения для иллюстрации некоторых деталей анализа в данной области.

Согласно этой модели основными видами деятельности оператора являются:

-    обнаружение и анализ изменений состояния станции;

-    диагностика причин изменения и планирование корректирующих действий;

-    отбор и выполнение управляющих действий (в виде конкретных операций или др.).

Должны быть рассмотрены указанные виды деятельности и проведены соответствующие испытания с целью оценки возможности улучшения общей работоспособности оператора.

Задачи, назначенные отдельным операторам, не должны приводить к рабочим нагрузкам, превышающим общепризнанные пределы возможностей нормального оператора.

Валидация должна включать в себя оценку расположения рабочего места и условий окружающей его среды. Рабочее место и устройства ввода-вывода информации должны быть установлены таким образом, а характеристики окружающей среды (температура, шум. свет) должны быть такими, чтобы оператор мог работать с максимальным комфортом и эффективностью.

Вся информация, которая необходима оператору для выполнения возложенных на него задач во время различных эксплуатационных и переходных режимов, должна быть легко доступной. Должны быть предусмотрены необходимые органы управления. В случае ручного управления должна быть обеспечена обратная связь, дающая операторам адекватную информацию о фактическом поведении системы.

При использовании устройств визуального отображения доступ к информации должен быть обеспечен при минимальных действиях по ое поиску.

Информация о различных параметрах, необходимая в один и тот же момент времени, должна отображаться одновременно на одном и том же устройстве визуального отображения, если это согласуется с требованиями к разнообразию. Система дисплеев должна иметь достаточную площадь отображения и разрешение, чтобы обеспечивать стабильное и легко читаемое изображение. Клавиатуры и другие рабочие устройства должны способствовать простой и надежной работе информационной системы. Дизайн видеокадров должен соответствовать общепризнанным стандартам и помогать операторам в восприятии и понимании информации.

Оценку человеко-машинного интерфейса проводят с целью проверки того. что. с одной стороны, способы двусторонней связи и представления информации понятны и совместимы друг с другом, а также с их внутренней логикой, выбранными средствами взаимодействия и требуемыми рабочими характеристиками, а с другой стороны, информационные и исполнительные средства, одновременно имеющиеся в распоряжении оператора на рабочем месте, являются достаточными и ими можно пользоваться.

Ниже приведены примеры конкретных критериев оценки:

-    являются ли станционная сигнализация, приборы или средства отображения информации пригодными для извещения оператора о необходимости выполнения требуемых действий?

-    являются ли органы управления доступными, а визуальные отображения на дисплеях удобочитаемыми на анализируемой панели БПУ?

-    являются ли маркировочные таблички на приборах и органах управления достаточно разборчивыми, точными и полными, чтобы позволить оператору определить панель и конкретный орган управления. не обращаясь к другой документации?

-    позволяет ли индикация определить оператору, что действие завершено или что ситуация ликвидирована? Насколько удовлетворительно эта индикация отражает информацию?

-    если основные сигналы, органы управления и индикаторы не доступны, имеется ли еще какой-либо способ завершить предпринятое действие?

-    если предполагается, что оператор должен совершить какое-либо действие при достижении технологическим параметром определенного значения, существует ли прибор, по которому можно легко определить факт достижения параметром данного значения?

-    все ли шкалы и диапазоны измерения приборов обеспечивают требуемую точность считывания с учетом разрешающей способности шкалы и скорости изменения параметра?

В случае оценки компьютеризированного БПУ следует принять во внимание вопросы управления автоматизированным рабочим местом.

Это управление включает в себя действия, которые оператор должен предпринять для получения информации и отправки команд.

Должно быть показано, что системы информационной поддержки оператора увеличивают потенциальные возможности оператора, не создавая при этом непредвиденных побочных эффектов, которые могут стать причиной скрытых препятствий деятельности оператора по принятию решения, например мониторингу и мыслительной деятельности высокого уровня.

Система человеко-машинного интерфейса должна быть способной обеспечить достаточное количество требуемой информации от оборудования, находящегося за пределами БПУ.

4.6.3    Критерии оценки взаимодействия БПУ/эксплуатационные процедуры

Эксплуатационные процедуры должны быть совместимыми с требованиями к человеко-машинным интерфейсам и ожидаемой реакцией станции. Эксплуатационные процедуры должны включать все предполагаемые задачи и последовательности функций, выполняемые на БПУ.

Описания процедур должны быть корректными, полными, непротиворечивыми и легко интерпретируемыми.

Когнитивная деятельность требует использования процедур, которые могут вызвать проблемы при проведении оценки. Действия, состоящие в последовательном выполнении процедур, требуют особого рассмотрения при разработке тестов (см. приложение С).

В качестве конкретных критериев оценки могут быть приняты следующие критерии:

-    могут ли действия, предписанные процедурами, быть выполнены в указанной последовательности?

-    имеются ли альтернативные пути достижения цели, не отраженные в анализируемой процедуре?

-    могут ли предписанные процедурой действия быть выполнены в БПУ за отведенное для этого время?

-    может ли оператор получить информацию, необходимую для действий по процедуре, с использованием установленных на БПУ приборов?

-    обеспечивают ли установленные приборы и средства отображения информации достаточное дублирование и разнообразие, чтобы оператор мог выбрать приемлемую процедуру?

-    необходимо ли оператору для выполнения своей задачи использовать информацию или оборудование, не указанные в процедурах?

-    является ли представление информации на БПУ о ситуациях на АС совместимым с описанием ситуаций в процедурах?

-    может ли оператор найти нужное оборудование, используя предлагаемые маркировки, сокращения. обозначения и информацию о его размещении?

-    согласуются ли диапазоны приборов с измеряемыми значениями, указанными в процедурах?

-    вызовет ли использование процедур дополнительную нагрузку на память оператора?

-    легко ли отличить аварийные процедуры от других процедур на БПУ (по цвету, форме, местоположению. организации и представлению)?

-    совместимы ли физически процедуры и БПУ?

-    имеется ли в различных частях БПУ достаточно места для размещения процедур (бумажных процедур) и позволяет ли переплет развернуть их на рабочем месте в плоском виде?

-    не являются ли бумажные процедуры слишком громоздкими или слишком тяжелыми для удобного обращения с ними?

4.6.4    Критерии оценки взаимодействия БПУ/программа подготовки

Программа подготовки должна быть совместима с требованиями к процедурам и человеко-машинному интерфейсу. Она должна давать операторам навыки и знания, необходимые для безопасной и надежной эксплуатации АС. в том числе и для работы в непредвиденных ситуациях.

Персонал БПУ должен быть полностью адаптирован к требованиям для безопасной и надежной работы и усвоить эксплуатационные процедуры и программу подготовки.

В качестве конкретных критериев оценки могут быть следующие:

-    всеми ли технологическими системами и оборудованием АС можно управлять безопасно и правильно при имеющихся органах управления и приборах?

-    есть ли вероятность некорректного управления системами и оборудованием станции вследствие недостаточно правильного понимания операторами имеющихся устройств?

-    может ли быть предпринято необходимое действие в ответ на аварийный сигнал?

-    может ли информация, получаемая от органов управления и приборов, быть неверно интерпретирована?

-    могут ли быть сделаны ошибочные заключения из положения органов управления и показаний приборов?

-    должно ли быть предусмотрено обучение, компенсирующее недостатки проекта БПУ или плохие процедуры?

Для каждого валидационного теста должен быть определен минимальный уровень квалификации операторов, необходимый для проведения этого теста {навыки, опыт).

Анализ результатов теста может свидетельствовать о необходимости модификации программы подготовки (обратная связь с программой подготовки).

4.6.5    Критерии оценки взаимодействия оператора с персоналом внутри и вне БПУ

Данное положение стандарта рассматривает действия по управлению как коллективное использование БПУ.

Должны быть проверены приспособленность конструкции БПУ для слаженной групповой работы смены, а также организационные условия и потребности, при этом особое внимание должно быть уделено организации рабочих мест.

Оценка аспектов коллективной деятельности включает два направления:

-    организацию индивидуальной деятельности операторов на БПУ (назначение им задач, их координацию);

-    особенности отношений между операторами и персоналом за пределами БПУ (оперативный персонал, ремонтный персонал, руководство). Верификация этого аспекта состоит в проверке пригодности системы связи между персоналом БПУ и операторами на местах, а также с персоналом, расположенным за пределами БПУ.

При оценке организационных аспектов рассматривают вопросы, связанные с разработкой порядка работы на станции, то есть организации, продолжительности и ротации смен, подготовки персонала идр.

Использование для оценки рабочих условий экспериментальных стендов и прототипов, которые неизбежно отличаются от реальной ситуации, приводит к погрешностям любых оценок и к тому, что некоторые аспекты реальной работы не могут быть полностью воспроизведены. Поэтому оценку организационных аспектов следует проводить в ходе отдельного дополнительного исследования в условиях реальной рабочей ситуации.

4.6.6    Методы оценки

Известны следующие методы проведения оценки (см. приложение В), которые следует применять при разработке проекта.

-    метод «за столом», предполагающий всестороннее обсуждение процедурных шагов для предложенного рабочего сценария:

-    метод прогона, в котором лица, действующие в качестве операторов, шаг за шагом, следуя предложенному сценарию, исполняют для группы наблюдателей предусмотренные процедурой действия. не осуществляя при этом реальных функций управления. Необходимым условием для прогона является модельный стенд, простейшим образцом которого служит помещение, на стенах которого развешены чертежи панелей управления;

-    метод с использованием тренажера, в ходе которого лица, действующие в качестве операторов, выполняют перед группой наблюдателей реальные функции управления на оборудовании тренажера, следуя предложенному сценарию;

-    имитация оператора, человеко-машинного интерфейса и станции.

Использование модельного стенда делает возможным экспериментальный подход к анализу и оценке отдельных функций. Получаемые при этом результаты полезны, но имеют ограниченное применение: можно сказать, что они относятся только к тестируемым функциям. Они лишь частично освещают вопросы взаимодействия.

Использование прототипа в сочетании с тренажером станции является более сложным методом оценки, однако дает возможность воспроизводить будущее выполнение функций в динамике и в целом.

Проведение оценки на месте обеспечивает доступ ко всем видам взаимодействия, однако это усложняет соотнесение результатов наблюдения с конкретной функцией. Кроме того, на этом этапе реализации пересмотр проекта может оказаться практически невозможным (по крайней мере, в отношении аппаратных средств).

Метод оценки, не зависящий от используемых средств, основан на априорном выделении действий операторов:

-    оценка БПУ предусматривает оценку общей деятельности по управлению. Эту комплексную деятельность выполняет оператор, обладающий определенными индивидуальными характеристиками (физиологическими, когнитивными и др.):

-    наблюдение и анализ этой деятельности требуют разделения процесса оценки по различным направлениям (анализ эргономических и когнитивных факторов).

Оценка может быть также сосредоточена на технических параметрах, лежащих в основе действий разработчиков, при условии, что их можно определить заранее.

Общее описание типового метода оценки вместе с некоторыми примерами и обсуждением преимуществ и недостатков приведено в приложении D.

4.6.7    Определение исходных документов

Экспертной группе необходимо значительное количество справочных материалов. При оценке модифицированного проекта БПУ обычно требуется только часть этих материалов.

Перечень документов, подлежащих рассмотрению экспертной группой до начала валидации системы БПУ. аналогичен перечню, указанному в 4.5.2.

4.6.8    Организация экспертной группы для валидации

Анализ должны проводить специалисты, независимые от проектировщиков, участвующих в интеграции БПУ (примером независимой группы может быть группа экспертов, руководитель которой независим от подразделения проектирования и представляет, например, подразделение ввода в эксплуатацию).

Группа должна выполнять анализ, главным образом, на основе исходной документации и специальных тестов.

В дополнение к требованиям, изложенным в 4.3.3. необходимо участие операторов для пробного выполнения предложенных задач, а также для консультаций.

Если основная группа испытывает недостаток экспертного опыта, то он может быть компенсирован за счет привлечения специалистов или консультантов, например, для непосредственного выполнения некоторых специфических оценок функций системы и анализа задач операторов БПУ. для подготовки и/или проведения опроса операторов или интервью, для проведения измерений параметров окружающей среды на БПУ или для предложения альтернативных модификаций проекта, позволяющих устранить недостатки проекта БПУ. выявленные группой.

Необходимы техническое руководство и поддержка группы. Для обеспечения координированного управления группой, выполнения и обеспечения повседневной работы группы, организации поддержки со стороны консультантов или специалистов, при необходимости, а также для руководства процессами изучения, реализации и подготовки отчетности должен быть назначен менеджер проекта. Менеджер проекта также отвечает за выполнение графика и контроль всей деятельности, касающейся БПУ. в том числе за подбор и привлечение операторов для оказания помощи экспертной группе.

Для данного этапа работы группа проверки должна быть правильно подобрана. Необходимость и формы участия операторов зависят от выбранных способов поддержки следующим образом:

-    на самых ранних этапах проектирования (во время рассмотрения проектной документации) и на этапе оценивания с использованием модельного стенда наряду с упомянутыми выше операторами к участию могут быть привлечены, например, технические консультанты по эксплуатации. В идеале, они 16

не должны быть теми людьми, кто обычно выполняет исследуемую задачу. В этом случае они, вероятно, будут менее озабочены неизбежными отличиями модельного стенда (недостатками или неточностями в воспроизведении реальной задачи) и будут способны более объективно оценивать те аспекты, которые исследуют на данном этапе;

-    с момента использования средств в условиях, сравнительно близких к реальным (прототипа), участие операторов является обязательным. Если операторы тем или иным образом уже привлекались на предыдущих этапах работы с проектом, то те же самые операторы не должны участвовать в тестах с использованием прототипа, чтобы избежать постановки их в положение арбитров.

4.6.9    Обеспечение экспертной группы рабочим помещением и оборудованном

Применяют требования, указанные в 4.3.4.

Оборудование, необходимое на данном этапе, может включать в себя модельные стенды и/или тренажеры. В этом случае в процессе подготовки должна быть составлена детальная спецификация требований к этому оборудованию (релевантных данной стадии проектирования и целям проводимых тестов).

Требования к оборудованию включают:

-    представительность тестируемых объектов:

-    физическое сходство (от абстрактного представления в виде чертежей до модельных стендов и прототипов);

-    точное воспроизведение функциональных возможностей, включая:

1)    информационное содержание (например, использование случайных данных, экспериментальных данных или полных, точных данных);

2)    динамику (от статического состояния до развивающихся ситуаций в реальном времени).

На данном этапе может быть использовано другое специальное оборудование (например, приборы для измерения громкости звука, освещенности, видеомагнитофон или фотоаппаратура).

4.6.10    Составление графика проведения анализа

На подготовительном этапе должен быть составлен подробный график по каждому пункту, подлежащему анализу, с учетом последующей оценки и реализации задач, выполняемых операторами. Особое внимание следует уделить зависимости одних задач от результата выполнения других задач и оценке времени, необходимого для выполнения каждой задачи. Задачи должны быть скомпонованы так. чтобы обеспечить непрерывную работу экспертной группы. При наличии общих данных о результатах анализа проекта БПУ их использование должно быть предусмотрено на подготовительном этапе, а график должен быть уточнен с учетом этих данных. График должен учитывать всю деятельность, зависящую от человеческого фактора (например, анализ процедур), включая очевидную взаимную связь между отдельными действиями.

При модификации конструкции существующего БПУ деятельность экспертной группы на БПУ должна быть запланирована таким образом, чтобы свести к минимуму помехи работе БПУ. особенно на работающих АС. Для выполнения некоторых оценочных задач могут быть использованы точные модельные стенды БПУ или тренажеры, другие задачи могут быть выполнены во время периодов останова станции. Однако, некоторые задачи (например, измерение такой характеристики условий пребывания персонала на БПУ, как уровень шума) должны быть выполнены на БПУ во время работы станции, чтобы получить достоверные данные.

Программа должна охватывать весь период анализа БПУ — от подготовительного этапа до завершения отчета по анализу. На это время необходимо распределить обязанности и функции отдельных членов группы, деятельность которых должна быть интегрирована в общие графики анализа, оценивания и формулирования рекомендаций.

4.6.11    Процесс анализа

Оценка должна быть системной, а процесс проведения оценки должен быть оформлен документально так, чтобы его можно было проследить.

Кроме того, оценка должна включать, насколько возможно, количественные измерения требуемых свойств и характеристик.

Для каждого запланированного теста или серии тестов должны быть определены количественные критерии признания их результатов.

Содержание

1    Область применения .................................................................1

2    Нормативные ссылки .................................................................1

3    Термины и определения...............................................................2

4    Верификация и валидация проекта нового БПУ ...........................................3

4.1    Общие принципы проектирования...................................................3

4.2    Действия по верификации и валидации ..............................................3

4.3    Верификация распределения функций ...............................................5

4.4    Валидация распределения функций .................................................7

4.5    Верификация интегрированной системы БПУ .........................................8

4.6    Валидация интегрированной системы БПУ...........................................11

5    Верификация и валидация эволюционных проектов и усовершенствований...................19

5.1    Общие положения...............................................................19

5.2    Верификация распределения функций..............................................20

5.3    Валидация распределения функций ................................................20

5.4    Верификация интегрированной системы БПУ ........................................20

5.5    Валидациия интегрированной системы БПУ..........................................21

Приложение А (справочное) Примеры подходов к оценке функциональных характеристик.........22

Приложение В (справочное) Средства для оценки..........................................24

Приложение С (справочное) Когнитивные аспекты..........................................25

Приложение D (справочное) Типовой метод оценки................................ 28

Приложение ДА (справочное) Сведения о соответствии ссылочных международных документов

национальным и межгосударственным стандартам...........................33

4.6.12    Отчетные документы

Результаты анализа каждой задачи, выполняемой в соответствии с проектом БПУ, должны быть зафиксированы.

Для систематизации этой деятельности рекомендуется по возможности использовать унифицированные формы. На подготовительном этапе должно быть предусмотрено время для разработки этих форм и для создания системы управления этими формами.

Типы форм, которые могут быть востребованы, включают:

-    чек-лист для регистрации тех элементов БПУ или характеристик его конструкции, которые не соответствуют требованиям МЭК 964:1989 (приложение D) и МЭК 1227;

-    формы регистрации эргономических нарушений, предназначенные для идентификации мест нарушений и описания их природы с достаточной степенью детализации, позволяющие определить требуемые корректирующие действия;

-    инвентаризационные формы для регистрации всех элементов, имеющихся на БПУ;

-    формы для регистрации специальных измерений, например измерений шума, окружающего освещения, освещенности средств отображения информации и климатических измерений;

-    формы управления документацией, такие как журналы для фотографий;

-    формы для интервьюирования операторов и опросные листы;

-    формы для описания реакции операторов на конкретные тесты (например, с использованием тренажера);

-    формы, включающие средства проверки, учитываются ли и каким образом учитываются замечания (для обеспечения качества).

Крайне полезно ввести данные анализа (такие, как данные анализа задач, перечень элементов БПУ и результаты исследования) в автоматизированную информационную систему. Например, с использованием компьютера сопоставление перечня элементов БПУ и технических параметров задач оператора может быть осуществлено гораздо быстрее, чем при ручной обработке.

4.6.13    Принятие решения

На этапе валидации должно быть оценено несоответствие принципам эргономического проектирования. Решение должно содержать предложения о корректирующих действиях.

По результатам оценки делают вывод о необходимости одного или более действий из следующих:

-    уточнения критериев оценки;

-    модификаций проекта:

-    модификаций процедур.

-    улучшения подготовки.

При принятии решения о модификации проекта существующего БПУ в решение включают установление приоритетов и графиков корректирующих действий, определение масштабов вносимых изменений и обоснование рекомендаций или решений, которые не полностью устраняют нарушения.

После выбора корректирующих действий они должны быть реализованы в кратчайшие сроки. Усовершенствования конструкции, которые могут быть проведены без вмешательства в нормальную работу БПУ (например, изменение поверхностных элементов, таких как маркировочные таблички и указатели). должны быть начаты сразу по завершении процесса оценки. Другие усовершенствования, вносящие изменения в оборудование или конструкцию БПУ или требующие переподготовки операторов, должны быть запланированы и внесены в график в соответствии с их важностью для безопасности АС и с учетом эксплуатационных факторов.

Для нового БПУ любые ошибки, выявленные в процессе проведения оценки, подлежат корректировке до тех пор. пока не будет достигнуто соответствие оценочным критериям.

Если выявлены существенные недостатки, то решение должно быть тщательно проработано и задокументировано. чтобы исключить неблагоприятное побочное воздействие на взаимосвязанные проектные решения, которые были признаны правильными при первоначальной оценке.

В любом случае после реализации предложенных изменений должна быть проведена повторная валидация затронутых при этом частей.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРОЕКТ БЛОЧНОГО ПУНКТА УПРАВЛЕНИЯ АТОМНЫХ СТАНЦИЙ Ворификация и валидация

Design of mam control-room for nuclear power plants. Verification and validation

Дата введения — 2022—01—01

1    Область применения

Настоящий стандарт устанавливает процедуры верификации и валидации при проектировании системы блочного пункта управления (БПУ) атомных станций (АС) и определяет критерии для верификации и валидации распределения функций и интегрированной системы БПУ¹*.

В настоящем стандарте описаны методы анализа и оценки рабочего пространства пункта управления. измерительных приборов, органов управления и другого оборудования БПУ с точки зрения проектирования с учетом человеческого фактора, что позволяет одновременно принять во внимание требования системы и возможности оператора. Кроме того, такой подход позволяет выявить, оценить и реализовать мероприятия по модификации не отвечающих требованиям или неподходящих элементов.

Настоящий стандарт предназначен для применения при проектировании новых БПУ атомных станций или при усовершенствовании (обновлении или модификации) существующих БПУ. В последнем случае необходимо обратить внимание на выявление участков, подвергающихся изменениям. Стандарт следует применять к этим участкам, а также к их интеграции с БПУ в целом с учетом требований раздела 4 и в соответствии с положениями раздела 5.

Настоящий стандарт может быть применен также к проектированию других зон управления на атомных станциях²*. При верификации и валидации интегрированной системы человеко-машинного интерфейса рекомендуется другие интерфейсы, такие как дистанционный пункт останова и связанные с безопасностью местные пункты управления, испытывать одновременно с БПУ.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие документы (для датированных ссылок применяют только указанное издание ссылочного документа. Однако, стороны, участвующие в соглашениях, основанных на настоящем стандарте, могут рассмотреть возможность применения последних изданий указанных ниже нормативных документов):

IEC 73:1991, Coding of indicating devices and actuators by colours and supplementary means (Кодирование показывающих устройств и исполнительных механизмов с помощью цветов и дополнительных средств)³*

^Настоящий стандарт дополняет ГОСТ Р МЭК 60964—2012 «Атомные станции. Пункты управления. Проектирование».

²> Требования стандарта могут быть распространены на резервные пункты управления, а также тренажеры. ³¹ Действует IEC 60073:2002. Basic and safety principles for man-machine interface, marking and identification — Coding principles for indicators and actuators (Основные принципы и принципы безопасности для человеко-машинного интерфейса, маркировка и идентификация. Принципы кодирования индикаторов и исполнительных механизмов).

Издание официальное

IEC 447:1993, Man-machine interface (MMI) — Actuating principles [Человеко-машинный интерфейс (ЧМИ). Принципы включения]¹*

IEC 964:1989. Design for control-rooms of nuclear power plants (Проектирование пунктов управления атомных электростанций)²*

IEC 1226:1993, Nuclear power plants — Instrumentation and control systems important for safety — Classification (Атомные станции. Системы контроля и управления, важные для безопасности. Классификация)³*

IEC 1227:1993. Nuclear power plants — Control-rooms — Operator controls (Атомные электростанции. Пункты управления. Органы управления)⁴*

IEC 1772:1995, Nuclear power plants — Main control-room — Applications of Visual Display Unit (VDU) [Атомные станции. Пункт управления. Применение устройств визуального отображения (УВО)]⁵>

IAEA Safety guide 50-SG-D3:1980. Protection systems and related features in nuclear power plants (Руководство no безопасности МАГАТЭ. Системы защиты и связанные с ними функции на атомных станциях)⁶*

IAEA Safety guide 50-SG-D8:1984, Safety-related instrumentation and control systems for nuclear power plants (Руководство no безопасности МАГАТЭ. Системы контроля и управления, важные для безопасности. на атомных станциях)⁶*

3 Термины и определения

В настоящем стандарте применены термины по МЭК 964. а также следующие термины с соответствующими определениями:

3.1    текущий проект (current design): Завершенный проект, по которому уже началось строительство АС.

Примечание — Для таких проектов настоящий стандарт применяют, проводя надлежащее рассмотрение исключительных обстоятельств или других ограничений, обусловленных состоянием проекта и обнаруженных на текущий момент.

3.2    новый проект (new design): Проект строительства абсолютно новой АС.

Примечание — Для таких проектов настоящий стандарт применим полностью.

3.3    модификация проекта (design modification): Весь диапазон модификаций — от замены одного устройства, через усовершенствование проекта, до воспроизведения там, где это возможно, проекта существующей АС.

Примечание — Для таких проектов настоящий стандарт применяют в той степени, которая соответствует рассматриваемой модификации проекта. В случае повторения проекта проводят анализ, направленный на выявление существенных усовершенствований и обоснование любых серьезных отличий.

3.4    обновление проекта (design renewal): Проектирование совершенно нового БПУ или участка управления на существующей АС.

Примечание — Для таких проектов настоящий стандарт применим полностью.

3.5    экспортная группа (evaluation team): Группа людей различной специализации, ответственная за рассмотрение проекта и проведение его оценки.

3.6    распределение функций (function assignment): Распределение функций меходу человеком и автоматизированными компонентами системы.

3.7    нарушение требований проектирования вследствие человеческого фактора (human engineering discrepancy): Отклонение от критерия, определяемого стандартом или установившейся практикой в области проектирования с учетом человеческого фактора, в пользу предпочтений (или потребностей) оператора или характеристик прибора (или оборудования), явно или неявно требуемых для выполнения оператором поставленной задачи.

3.8    ошибка персонала (оператора) [human error (of operator)]: Невыполнение задачи, ненадлежащее. неполное или выходящее за пределы допуска исполнение человеком задачи, для которой определены критерии выполнения, не обусловленное отсутствием адекватной информации и возможностей управления.

3.9    процесс анализа (review process): Процесс проверки того, каким образом оснащение БПУ (средства представления информации, органы управления и др.) дает операторам возможность выполнять свои задачи по достижению соответствующих функциональных целей.

3.10    рабочая нагрузка оператора (operator workload): Совокупность профессиональных задач, возложенных на оператора в течение заданного времени.

Примечание — Выполняемые действия могут быть физическими, когнитивными, сенсорно-перцептивными. вербальными, конкретными или условными или представлять собой их комбинацию.

4 Верификация и валидация проекта нового БПУ

4.1    Общие принципы проектирования

Согласно положениям МЭК 964 проектирование БПУ атомной станции имеет две основные фазы — функциональное проектирование и детальное проектирование:

-    в ходе функционального проектирования (см. МЭК 964:1989. раздел 3) определяют функции, подлежащие распределению между человеком и компонентами систем. Этот процесс является многоступенчатым и включает в себя четыре основных шага: функциональный анализ (выявление всех функций, требуемых для работы станции), распределение функций между человеком и компонентами систем, верификация и валидация распределения функций.

При разработке проекта нового БПУ должен быть проведен анализ с целью оптимизации распределения функций и задач, решение которых требует реализации этих функций;

-    в ходе детального проектирования (см. МЭК 964:1989. раздел 4) определяют планировку, условия внешней среды и функциональные характеристики БПУ. Этот процесс является многоступенчатым и включает в себя разработку функциональных требований к самому пункту управления и процедурам управления, к подготовке персонала и проектной документации БПУ. Процесс завершают верификация и. в конечном итоге, валидация интегрированной системы БПУ.

4.2    Действия по верификации и валидации

Результат каждой из двух фаз общего процесса проектирования подлежит верификации и валидации. Цель этих действий состоит в оценке адекватности интерфейсов между оператором и технологическими процессами АС. установленных пунктом управления.

В обязанности экспертной группы по верификации и валидации не входит переработка проекта

БПУ.

Под верификацией и валидацией в соответствии с МЭК 964 понимают следующее:

-    верификация — это процесс выявления соответствия отдельных компонентов предъявляемым требованиям. В этом контексте верификация предполагает ряд аналитических проверок аппаратуры, органов управления, средств отображения информации и другого оборудования на соответствие определенным техническим критериям и критериям проектирования с учетом человеческого фактора, а также эксплуатационным и функциональным целям;

-    валидация, которая должна быть выполнена после завершения верификации, представляет собой испытание и оценку, позволяющие убедиться, что решение задач на БПУ согласуется с требованиями к функциональности, рабочим характеристикам и интерфейсу. Более конкретно, валидация — это

процесс, в котором определяют, способен ли проект с физической и организационной точек зрения обеспечивать эффективное совместное выполнение оперативным персоналом БПУ своих функций.

В ходе функционального проектирования путем верификации и валидации оценивают функции и взаимоотношения персонала и автоматизированного оборудования при управлении технологическими процессами, а также проверяют распределение ответственности за решение задач между операторами БПУ. Проект интерфейсов БПУ в процессе верификации и валидации оценивают с точки зрения того, насколько хорошо эти интерфейсы способствуют выполнению операторами своих функций и задач.

В ходе детального проектирования верификацию и валидацию осуществляют с целью убедиться, что функциональные требования, прошедшие верификацию и валидацию в процессе функционального проектирования БПУ, были использованы в качестве исходных данных для проектирования, что привело к детализации технических требований к изготовлению и монтажу требуемого пункта управления.

Одна из целей верификации и валидации состоит в проверке этих детальных технических требований до того, как начнется процесс изготовления. Если при необходимости выполняют проверку уже установленного на месте оборудования, то существует потенциальный риск задержки проекта.

Следует отметить, что действия по верификации и валидации могут быть проведены на разных стадиях проектирования БПУ. В частности, для нового проекта этот процесс можно рассматривать как итерационный, проводимый сначала на очень ранней стадии проектирования и периодически повторяющийся. Это позволяет уже на ранних стадиях вносить в системы изменения, вытекающие из результатов проведенного анализа, что приводит к существенному улучшению процесса проектирования в целом.

Верификация и валидация проекта БПУ являются важными этапами и могут быть частью процесса лицензирования АС. Все усилия должны быть направлены на обеспечение соответствия анализа целям, указанным в руководствах по верификации и валидации, на возможность использования в дальнейшем результатов анализа, на то. чтобы документация и отчеты по анализу давали достаточную уверенность в том. что требования проектирования с учетом человеческого фактора были соответствующим образом рассмотрены и применены в процессе анализа проекта БПУ.

Примечание — В Российской Федерации процесс лицензирования регламентируется другими нормативными документами.

Каждый шаг процессов верификации и валидации должен включать¹':

-    подготовку, содержащую следующие важные действия:

1)    разработку критериев оценки (для подготовки процессов оценки и принятия решения);

2)    определение методики верификации и валидации;

3)    определение исходных документов. Должно быть подтверждено, что проектная документация АС. напрямую связанная с проектом БПУ, была составлена после верификации и валидации;

4)    организацию экспертной группы для верификации;

5)    обеспечение рабочего помещения и оборудования для экспертной группы;

6)    составление графика проведения анализа;

-    оценку;

-    принятие решения.

Для достижения хороших результатов анализа необходимо уделить особое внимание его подготовке. Чтобы создать базу данных, отвечающую общим потребностям, уже на этапе подготовки анализа следует учесть необходимые данные и информацию о человеческом факторе в работе БПУ.

Особенностью структуры настоящего стандарта является то, что каждый шаг верификации и валидации и каждый вид деятельности освещены в отдельных подразделах. Для каждого шага и каждого вида деятельности после указания основных требований предложены методы и подробные инструкции в качестве возможных средств выполнения этой части анализа. Однако, при условии соблюдения основных требований могут быть использованы и другие (неописанные) подходы. Какой бы конкретный подход ни был использован, он должен быть четко документирован.

Сам процесс и общие критерии оценки при верификации и валидации устанавливают для человеко-машинного интерфейса и условий окружающей обстановки. Для других компонентов системы БПУ, таких как структура персонала БПУ. эксплуатационные процедуры и программы для тренинга, процесс анализа и критерии оценки разрабатывают отдельно с использованием соответствующих национальных стандартов и имеющихся согласованных на международном уровне руководств (см. раздел 2).

Текст, заключенный в рамку, отражает требования настоящего стандарта.

4.3 Верификация распределения функций

Распределение предполагаемых функций БПУ между человеком и компонентами системы должно быть верифицировано.

Основу для распределения функций составляет ожидаемая эффективность работы оператора или компонентов системы при выполнении этих функций. Решение о назначении функции исходит из перечня действий, в выполнении которых человек превосходит компоненты системы, например способность к рассуждениям в условиях неопределенности ситуации, а также действий, в которых компоненты системы превосходят человека, например одновременное выполнение нескольких задач. Основные критерии назначения функций человеку или компоненту системы, такие как рабочая нагрузка, точность, временные ограничения, логическая сложность действий, типы и сложности принятия решений, изложены в МЭК 964:1989. таблица А.З.

Функция может быть назначена:

-    человеку или компоненту системы;

-    ручному дистанционному управлению или ручному управлению по месту;

-    системам поддержки оператора.

Для выполнения определенной функции может быть предусмотрена комбинация вышеперечисленного.

Необходимо представить обоснование того, что предложенное распределение функций максимально использует преимущества способностей человека и возможностей компонентов системы, не предъявляя нежелательных требований (не накладывая ограничений) к (на) любому(го) из них.

4.3.1 Разработка критериев оценки

Прежде чем приступать к верификации распределения предполагаемых функций, следует согласовать критерии, используемые для такого распределения.

Цель верификации состоит в подтверждении следующего:

-    все функции, необходимые для достижения целей эксплуатации и безопасности АС. определены.

Примечание — Для гарантированного учета всех функций и задач оператора необходимо использовать принцип нисходящего анализа, начиная с анализа функциональных целей станции, обеспечивающих систем, подсистем и их функций. Когда анализ сверху вниз выполнен, можно пройти назад по цепочке, чтобы оценить влияние на безопасность систем любых потенциальных ошибок функционирования, связанных с проектом;

-    предложенное назначение функций выполнено в соответствии с критериями, установленными для распределения (например, операция автоматизирована, если промежуток времени, в течение которого оператор должен вмешаться, составляет менее нескольких минут);

-    все требования, имеющие отношение к распределению функций, определены. Эти требования должны включать:

1)    любые обязательные к применению предписания регулирующего органа;

2)    функциональные характеристики (например, время реакции):

3)    принципы безопасности;

4)    требования к работоспособности и надежности;

5)    возможность технического обслуживания (ремонтопригодность);

6)    установившуюся в отрасли практику сменной работы персонала;

7)    учет опыта реализации предшествующих проектов;

8)    принципы построения интерфейса оператора и средств отображения информации;

9)    требования, указанные в МЭК 964;

10)    требования, вытекающие из положений других стандартов и руководств регулирующей организации (см. раздел 2).

Требования и обоснования по каждому из перечисленных пунктов должны быть документально оформлены для каждой функции;

-    конфигурация рабочих мест в достаточной мере способствует выполнению персоналом БПУ своих задач. Верификация состоит в сопоставлении проекта в отношении измерительных приборов, средств отображения информации, органов управления и другого оборудования с требованиями, выте-

кающими из результатов функционального анализа. Цель состоит в установлении наличия на рабочем месте необходимых (или не относящихся к делу) средств;

-    требования, вытекающие из функциональных целей более высокого уровня, не конфликтуют друг с другом на более низком уровне для всех эксплуатационных режимов.

4.3.2    Определение исходных документов

Все имеющие отношение к делу документы должны быть представлены для обсуждения экспертной группе до начала верификации распределения функций (МЭК 964:1989. рисунок 2).

Эти документы содержат:

-    нормативные документы;

-    информацию о принципах распределения функций между человеком и компонентами системы (отчеты или документы, касающиеся результатов распределения функций между человеком и компонентами системы);

-    замечания и комментарии по поводу опыта предшествующих проектов (при наличии);

-    требования контракта и вышестоящих инстанций;

-    отчеты по лицензированию предшествующих проектов (при наличии);

-    отчеты, включающие анализ нарушений и аварий на предшествующих проектах (при наличии):

-    древовидные схемы отказов и виды отказов, а также анализ последствий отказов (при наличии);

-    отчет об анализе безопасности:

-    описания систем;

-    технические характеристики систем.

-    документы по анализу задач;

-    документацию о распределении функций.

Примечание — При модификации существующих проектов используют соответствующее подмножество из выше приведенного перечня.

4.3.3    Организация экспертной группы для проведения верификации

Верификацию должен проводить персонал, независимый от проектировщиков, участвовавших в первоначальном распределении функций (примером независимой группы может быть группа экспертов. возглавляемая руководителем, независимым от подразделения проектирования, например представляющим службу ввода в эксплуатацию).

Экспертная группа должна выполнять анализ, главным образом, на базе исходной документации. Однако, при этом нет необходимости препятствовать их контактам с проектировщиками БПУ и технологических систем АС. Разработчики должны быть доступны для обсуждений и разъяснений.

Численность группы, необходимую для выполнения оценки проекта БПУ, невозможно определить точно. Как численность группы, так и ее состав могут изменяться в зависимости от типа АС. вида пункта управления и состояния БПУ и самой станции. Основу технической группы для верификации распределения функций должны составлять эксперты в следующих областях:

-    проектирование установок, использующих и не использующих радиоактивные материалы;

-    архитектурное проектирование и гражданское строительство;

-    системный анализ;

-    системы контроля и управления;

-    информационные и компьютерные системы;

-    проектирование с учетом человеческого фактора;

-    эксплуатация АС (могут быть операторы) и обучение операторов.

4.3.4    Обеспечение экспертной группы рабочим помещением и оборудованием

Требования к рабочему помещению и потребности в оборудовании для экспертной группы следует согласовать на подготовительной стадии. Подходящий офис, место хранения (вещей и документов) и место для совещаний должны быть предусмотрены как для экспертной группы, так и для любых временно привлекаемых консультантов и специалистов.

4.3.5    Составление графика проведения анализа

На подготовительной стадии должен быть разработан подробный график работы экспертной группы. Особое внимание должно быть уделено зависимости одних задач от исполнения других задач и 6

оценке времени, необходимого для решения каждой задачи. Эти задачи должны быть скомпонованы так. чтобы обеспечить непрерывную работу экспертной группы. График должен охватывать все этапы — от подготовительного до составления отчета по экспертизе проекта. На это время должны быть определены ответственность и функции отдельных членов группы, и деятельность каждого члена группы должна быть интегрирована в общий процесс анализа.

4.3.6    Процесс анализа

Оценка полноты распределения предполагаемых функций БПУ между человеком и компонентами системы должна быть рационально организована, а сам процесс анализа должен быть документально оформлен так, чтобы его можно было проследить.

4.3.7    Отчетные документы

Результаты анализа должны быть зафиксированы. Для этого предпочтительно использовать типовые формы, однако они должны допускать вариативность и оставлять место для обсуждения.

Отклонения от критериев оценки, сформулированных на основе функциональных требований и/или других исходных документов, должны быть зафиксированы и упорядочены по важности с точки зрения их потенциального влияния на функционирование системы «человек-машина».

4.3.8    Принятие решения

Любые отклонения или ошибки, обнаруженные в ходе анализа, подлежат исправлению (путем корректировки ошибочных решений или перераспределения функций) до тех пор. пока распределение функций не будет соответствовать всем оценочным критериям.

В случае выявления недостатков решение по ним должно быть тщательно проработано и задокументировано. Если эти недостатки являются существенными, то необходимо с особой тщательностью убедиться, что на проектные решения, которые до этого были признаны удовлетворительными, не оказывают неблагоприятное влияние какие-либо побочные факторы.

4.4 Валидация распределения функций

Правильность предложенного распределения функций БПУ должна быть подтверждена, чтобы показать возможность достижения системой всех функциональных целей. В частности, необходимо оценить последовательность выполнения функций во всех нормальных режимах (включая останов) и в нескольких типичных ситуациях (включая соответствующие проектные и запроектные аварии).

Валидация должна также продемонстрировать, что в случае потери некоторых автоматизированных функций доступно их ручное дублирование.

Иерархические структуры целей, разработанные в ходе функционального анализа, являются в основном статическими данными. Ориентируясь на критерии качества, определенные для каждой функции, разработчик понимает, что означает выполнение функции или невыполнение функции. Однако, не обязательно очевидно, как должна быть выполнена последовательность функций в процессе развития определенного события. Когда событие происходит, то от его типа и масштаба зависит, как быстро его влияние может распространиться по иерархической структуре и на какие из функций более высокого уровня это может повлиять. Главные цели валидации состоят в том, чтобы проанализировать эти зависящие от времени характеристики иерархий и убедиться в адекватности распределения функций.

4.4.1 Разработка критериев оценки

Основные критерии, соответствие которым должно быть установлено при валидации, следующие:

-    число функциональных целей и требуемый для их достижения объем рабочей нагрузки на персонал БПУ не превышают его потенциальные возможности;

-    распределение функций между персоналом БПУ и местными операторами — приемлемое.

В частности, нельзя требовать, чтобы операторы совместно решали взаимозависимые задачи по выполнению функции, которая критична по времени или важна для безопасности или работоспособности станции.

1

’* Действует IEC 60447:2004, Basic and safety principles for man-machine interface, marking and identification — Actuating principles (Основные принципы и принципы безопасности для человеко-машинного интерфейса, маркировка и идентификация. Принципы включения).

2

* Действует IEC 60964:2018. Nuclear power plants — Control rooms — Design (Атомные станции. Пункты управления. Проектирование).

3

* Действует IEC 61226:2020. Nuclear power plants — Instrumentation, control and electrical power systems important to safety — Categorization of functions and classification of systems (Атомные станции. Системы контроля и управления и электроэнергетические системы, важные для безопасности. Категоризация функций и классификация систем).

4

* Действует IEC 61227:2008.

5

* Действует IEC 61772:2009. Nuclear power plants — Control rooms — Application of visual display units (VDUs) [Атомные станции. Пункты управления. Применение устройств визуального отображения (УВО)].

6

* Действует IAEA SSG-39. Design of Instrumentation and Control Systems for Nuclear Power Plants (2016) (Проектирование систем контроля и управления для атомных станций).