ГОСТ Р МЭК 61227-2020. Национальный стандарт РФ: "Органы управления оператора пунктов управления атомной станции. Требования к проектированию" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 27.02.2020 N 86-ст)

Operator controls of control rooms on nuclear power plants. Design requirements

ОКС 27.120.20

Дата введения - 1 июля 2020 г.
Введен впервые

Предисловие

1 Подготовлен Акционерным обществом "Русатом Автоматизированные системы управления" (АО "РАСУ") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 Внесен Техническим комитетом по стандартизации ТК 322 "Атомная техника"

3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 февраля 2020 г. N 86-ст

4 Настоящий стандарт идентичен международному стандарту МЭК 61227:2008 "Атомные станции. Пункты управления. Органы управления оператора" (IEC 61227:2008 "Nuclear power plants - Control rooms - Operator controls", IDT).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных документов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 Введен впервые

Введение

a) Технический опыт, основные вопросы и организация стандарта

Стандарт МЭК 61227:2008 распространяется на органы управления оператора.

Стандарт предназначен для использования организациями, эксплуатирующими атомные станции (АС) (промышленностью), аналитиками, осуществляющими оценку систем, и надзорными органами.

b) Положение стандарта МЭК 61227:2008 в структуре серии стандартов подкомитета МЭК ПК 45А

МЭК 61227 является документом третьего уровня, в котором изложены общие положения, связанные с органами управления оператора.

МЭК 61227 необходимо применять в комплексе с МЭК 60964 и МЭК 61772. Стандарт МЭК 60964 является основополагающим документом подкомитета МЭК ПК 45А по пунктам управления, в котором содержится руководство по их проектированию и который ссылается на стандарт МЭК 61227. Стандарт МЭК 61772 устанавливает требования по применению визуальных устройств отображения.

Более подробная структура серии стандартов подкомитета МЭК ПК 45А приведена в пункте d) настоящего введения.

c) Рекомендации и ограничения в отношении применения настоящего стандарта

Важно отметить, что настоящий стандарт, подготовленный на основе указанного стандарта МЭК, не устанавливает каких-либо дополнительных функциональных требований к системам безопасности.

Для того чтобы настоящий стандарт оставался актуальным в течение последующих лет, наибольшее внимание в нем уделяется основным принципам, а не конкретным технологиям.

d) Описание структуры серии стандартов подкомитета МЭК ПК 45А и их взаимосвязь с другими документами МЭК и документами других организаций (МАГАТЭ, ИСО)

Документом верхнего уровня серии стандартов подкомитета МЭК ПК 45А является МЭК 61513. Он содержит общие требования к системам контроля и управления и к оборудованию, используемому для реализации функций, важных для безопасности АС. МЭК 61513 структурирует серию стандартов подкомитета МЭК ПК 45А.

МЭК 61513 содержит ссылки на другие стандарты подкомитета МЭК ПК 45А, раскрывающие основные вопросы, связанные с классификацией функций и систем, их характеристиками, обеспечением независимости систем, защитой от отказов по общей причине, программным и техническим обеспечением автоматизированных систем и проектированием пунктов управления. Эти стандарты, образующие второй уровень, должны рассматриваться совместно с МЭК 61513 в качестве комплекса взаимосогласованных документов.

На третьем уровне стандартов подкомитета МЭК ПК 45А находятся стандарты, непосредственно не упоминаемые в МЭК 61513, т.к. они касаются конкретного оборудования, технических методик или определенной деятельности. Как правило эти документы могут использоваться сами по себе, однако по общим вопросам в них содержатся ссылки на стандарты второго уровня.

Четвертый уровень серии стандартов подкомитета МЭК ПК 45А образуют технические отчеты, не являющиеся нормативными документами.

В МЭК 61513 был использован тот же формат представления, что и в основном документе по безопасности - МЭК 61508, устанавливающем общую структуру жизненного цикла безопасности и систем. Однако МЭК 61513 трактует общие требования стандартов МЭК 61508-1, МЭК 61508-2 и МЭК 61508-4 применительно к ядерной отрасли. Поэтому согласованность с МЭК 61513 обеспечит соответствие требованиям стандарта МЭК 61508 в их толковании для ядерной отрасли. С этой точки зрения МЭК 60880 и МЭК 62138 соответствуют МЭК 61508-3 в части использования в ядерной отрасли.

В МЭК 61513 имеются ссылки на стандарты ИСО и документы МАГАТЭ 50-C-QA (в настоящее время этот документ заменен на 50-C/SG-Q) по вопросам, связанным с обеспечением качества.

Серия стандартов подкомитета МЭК ПК 45А последовательно проводит в жизнь и детализирует принципы и основные аспекты безопасности, изложенные в правилах Международного агентства по атомной энергетике (МАГАТЭ) по безопасности АС и в серии руководств по безопасности МАГАТЭ, в частности в требованиях NS-R-1, устанавливающих требования по безопасности, закладываемые в проект АС, и в руководстве по безопасности NS-G-1.3, касающемся систем контроля и управления, важных для безопасности АС. Термины и определения, используемые в стандартах подкомитета МЭК ПК 45А, согласованы с теми, что используются в документах МАГАТЭ.

Положения настоящего стандарта действуют в целом в отношении атомных станций, сооружаемых по российским проектам за пределами Российской Федерации, а также в отношении сооружаемых на территории Российской Федерации атомных станций в части, не противоречащей требованиям Федеральных норм и правил в области использования атомной энергии согласно требованиям пункта 6 статьи 46 Федерального закона от 27 декабря 2002 г. N 184-ФЗ (ред. от 29 июля 2017 г.) "О техническом регулировании" и статьи 6 Федерального закона от 21 ноября 1995 г. N 170-ФЗ (ред. от 18 марта 2019 г.) "Об использовании атомной энергии".

1 Область применения

Настоящий стандарт дополняет МЭК 60964, применяемый для проектирования пунктов управления атомных станций, и устанавливает требования к человеко-машинному интерфейсу (ЧМИ) в части индивидуальных органов управления, традиционных систем избирательного управления и компьютеризованных виртуальных систем. Для блочных пунктов управления (БПУ) атомными станциями (АС) МЭК 60964 устанавливает общие требования к компоновке, методам анализа потребностей пользователей, верификации и валидации, поэтому настоящий стандарт данных требований не касается. В то же время МЭК 61772, распространяющийся на средства отображения информации (СОИ), также содержит некоторые указания по дисплеям и индикаторам, которые необходимо учитывать для корректного применения требований к управлению.

Настоящий стандарт предназначен для применения к тем новым БПУ АС, проектирование которых начнется после опубликования данного документа и будет выполняться в соответствии с МЭК 60964. При желании использовать его для резервных и местных пунктов управления, а также для существующих пунктов управления или проектов необходимо обратить особое внимание на то, какие допущения в нем делаются, например возможно ли достижение определенного уровня автоматизации.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие документы [для датированных ссылок используют только указанное издание ссылочного документа, для недатированных - последнее издание (включая все изменения к нему)]:

IEC 60073, Basic and safety principles for man-machine interface, marking and identification - Coding principles for indicators and actuators (Интерфейс человеко-машинный. Маркировка и обозначения органов управления и контрольных устройств. Правила кодирования информации)

IEC 60964, Nuclear power plants - Control rooms - Design of main control room (Атомные станции. Пункты управления. Проектирование)

IEC 61771, Nuclear power plants - Control rooms - Verification and validation of design (Атомные электростанции. Пункты управления. Верификация и валидация проекта)

IEC 61772, Nuclear power plants - Control rooms - Application of visual display units (VDU) (Атомные электростанции. Пункты управления. Применение дисплеев)

IAEA Safety guide NS-G-1.3:2002, Instrumentation and Control Systems Important to Safety in Nuclear Power Plants (Системы контроля и управления, важные для безопасности атомных станций) ^*

------------------------------

^*_{Заменен. Действует IAEA Specific safety guide SSG-39:2016.}

------------------------------

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 переключатель с индикацией расхождения (discrepancy control and indication): Переключатель, обеспечивающий управление двумя состояниями и индикацию расхождения установленного и реального состояний объекта управления.

3.2 индивидуальный орган управления [discrete (individual) controls]: Устройство, дающее оператору возможность управлять оборудованием АС, таким как насосы, задвижки, регуляторы. При этом каждый орган управления имеет единственную функцию и предназначен для управления единственным элементом оборудования АС.

3.3 избирательный орган управления (multiplexed): Орган управления, используемый для различных целей в разные моменты времени. Например, ключ пуска-остановки с помощью другого устройства, связанного с определенным количеством оборудования АС, может быть выбран и использован для пуска или остановки того оборудования, с которым он связан в данный момент.

3.4 органы управления (operator controls): Устройства, которые оператор пункта управления использует для выработки требуемых управляющих воздействий на систему контроля и управления (СКУ) и оборудование станции.

3.5 индикатор семафорного типа (semaphore): Электромеханическое устройство, которое отображает состояние оборудования АС (например, положение "открыто" или "закрыто") с использованием наклонного положения видимого элемента.

3.6 виртуальный орган управления (soft control): Устройство, предназначенное для ввода команд оператора и их передачи системе управления с использованием программного обеспечения, а не непосредственной физической связи.

Примечание 1 - Таким образом, функции виртуального органа управления (ОУ) могут варьироваться в зависимости от обстоятельств, а не оставаться статическими и определенными раз и навсегда.

Примечание 2 - Обычно виртуальные устройства управления выполняются с использованием дисплеев, на которых отображаются объекты ввода, и устройств управления курсором, таких как трекбол, мышь, сенсорные устройства или световое перо, предназначенных для выбора объекта.

3.7 сенсорная панель (touch panel): Виртуальный орган управления, в котором имеется устройство для определения позиции пальца оператора, указывающего на определенный объект, изображенный на дисплее. В качестве альтернативы для указания объекта может применяться световое перо или перемещение курсора по экрану дисплея. В качестве указываемого объекта может выступать ссылка на оборудование АС или управляющее действие.

4 Принципы проектирования

4.1 Базовые понятия

При проектировании ЧМИ необходимо применять общий подход к проектированию систем. В МЭК 60964 изложены требования к общему проекту систем пункта управления и установлению принципов, необходимых для обеспечения безопасности, доступности и учета пользовательских предпочтений, а также требования к функциональному проектированию системы в целом. Проектировщик должен учитывать задачи, решаемые пунктом управления, и относительную важность различных конструктивных факторов для конкретного применения этого пункта управления.

Органы управления (ОУ) оператора должны быть спроектированы таким образом, чтобы операторы могли правильно и беспрепятственно выполнять свои задачи. При выборе органов управления необходимо учитывать тип эксплуатационной процедуры и форму ее представления, а также уделять внимание интеграции органов управления и СОИ. Особое внимание следует обратить на необходимость обеспечения оператора простыми, защищенными от ошибок устройствами, оптимизирующими его деятельность в любых ситуациях. Для обеспечения простоты использования и минимизации ошибок оператора, состоящих в невыполнении или в неправильном выполнении действия, конструкция этих устройств должна основываться на эргономических принципах. При использовании традиционных устройств управления их механические характеристики, такие как размер, усилие при воздействии, тактильная обратная связь и др., должны соответствовать возможностям и характеристикам человека, указанным в базе антропометрических данных.

Конструкция панелей управления и органов управления должна соответствовать общей конструкции системы и должна соответствовать требованиям, указанным в стандарте МЭК 60964, а также требованиям настоящего стандарта к:

a) компоновке панели;

b) размещению вспомогательных средств;

c) информационным и управляющим системам;

d) интеграции органов управления и СОИ;

e) системе коммуникации;

f) другим требованиям.

Любая система должна обеспечивать немедленную обратную связь, информирующую оператора о том, что его управляющая команда принята, например, в виде загорания индикатора или появления отметки на дисплее. Кроме того, соответствующая обратная связь от станции должна показать, что команда была выполнена, например задвижка закрылась.

4.2 Типы человеко-машинного интерфейса

Способы организации ЧМИ для ввода управляющих воздействий можно разделить на две группы:

a) физические устройства, включающие в себя традиционные избирательные и индивидуальные ОУ;

b) виртуальные ОУ.

Характеристики ОУ каждой группы представлены ниже, а в 4.3 описана методика анализа задач управления, используемая для выбора наиболее подходящего типа ОУ в каждом конкретном случае.

4.2.1 Физические ОУ

Недостаток индивидуальных ОУ состоит в том, что они присутствуют даже тогда, когда они не нужны, увеличивая тем самым размер пульта управления в целом и создавая "помехи" для других ОУ во время их применения.

Индивидуальные ОУ особенно подходят в случаях, если они находятся в постоянном использовании, например ключ управления электрической мощностью, или если особую важность имеет надежность и обеспечение немедленного доступа к ним, например кнопка аварийной остановки. Требования к их компоновке приведены в 5.1.1.

Избирательные ОУ образуют подмножество физических ОУ и представляют собой один орган управления, предназначенный для выполнения одной и той же функции по отношению к нескольким единицам оборудования. Это позволяет уменьшить количество ОУ на пульте или панели, сделав их более компактными, что в свою очередь позволит пододвинуть органы управления ближе к оператору. Однако в этом случае оператор вынужден выполнять операцию выбора, в результате чего количество операций возрастает, увеличивая при этом возможности для ошибки и время реакции оператора.

Избирательные ОУ следует проектировать так, чтобы оператор был обеспечен хорошей обратной связью при управлении выбранной функцией, что позволит ему исправлять ошибки. В частности, избирательные ОУ уместны для управления редко используемыми системами, которые не требуют спешки, например для заполнения баков, а также системами, для которых последствия ошибок не столь серьезны и в случае совершения ошибки есть время на ее исправление.

4.2.2 Виртуальные ОУ

Виртуальные ОУ являются разновидностью избирательных устройств и могут выполнять различные функции в разные моменты времени. Обычно виртуальные ОУ реализуются с использованием одного (или двух) дисплея и устройства управления курсором (например, мышь, трекбол, световое перо, сенсорные устройства) либо в виде комбинации дисплея и набора индивидуальных ОУ. Управляющее воздействие выполняется следующим образом:

- выбор объекта управления с использованием устройства управления курсором;

- представление на экране дисплея доступных команд в виде меню или условных значков, размещенных на всплывающем окне или на отдельном дисплее;

- выбор и активация команды, подлежащей выполнению, осуществляемые опять с использованием устройства управления курсором.

Характеристики этих устройств во многом схожи с характеристиками традиционных избирательных ОУ, однако данная технология позволяет собрать вместе ОУ, имеющие отношение к определенной задаче, не предлагая при этом оператору те ОУ, которые непригодны или неуместны для данной задачи, что в свою очередь способствует совершению оператором правильных действий. Вся информация, требуемая оператору для выполнения правильного управляющего действия, должна предоставляться ему по мере необходимости на сенсорном экране или на вспомогательном видеокадре, расположенном рядом с основным.

Следствием плохо спроектированной системы может стать рост числа ошибок выбора, а также удлинение процедуры доступа к ОУ, отсутствующему в данный момент на экране дисплея, обусловленное необходимостью вызова нескольких иерархически организованных видеокадров при выполнении требуемой последовательности команд. Однако можно использовать единственный видеокадр со сменяемыми окнами для выполнения нескольких управляющих действий.

Часто бывает трудно выбрать оптимальное расположение дисплея, выполняющего сразу две функции - контроль и сенсорное управление. Для этого могут потребоваться два экрана. Альтернативным решением является использование устройств управления курсором, не встроенных в экран (например, трекбол или световое перо).

Виртуальные ОУ могут оказаться особенно полезными, когда задача управления выполняется под контролем оператора.

При использовании виртуальных ОУ необходимо обратить должное внимание на удовлетворение требований, предъявляемых к ЧМИ, например требований к времени выбора виртуального ключа, числу ошибок выбора ключей, связанному с человеческим фактором, или времени отклика системы. На экране дисплея может отображаться мнемосхема системы, содержащая информацию, запрошенную оператором, который идентифицирует в компьютере соответствующий элемент и использует сенсорную панель, виртуальный ключ управления или устройство управления курсором для достижения желаемого результата.

Более подробная информация и требования к ЧМИ, содержащему виртуальные ОУ, приведены в 5.2.

4.3 Выбор устройства управления

Процесс выбора и детальной проработки управляющей системы должен начинаться с обзора имеющихся на рынке технологий и отзывов с других станций.

В ходе данного процесса следует различать выбор "управляющей системы в целом" и отбор подходящего типа ОУ для каждого конкретного технологического оборудования или функции.

Необходимо также помнить, что с точки зрения отказов по общей причине для выполнения одной и той же функции можно выбрать две различные управляющие системы.

Принципиальной частью проектирования БПУ является анализ задач, отчет о котором должен быть оформлен так, чтобы из него следовали требования к органам управления, касающиеся:

a) частоты использования;

b) группирования и взаимосвязей с другими органами управления;

c) требуемой скорости доступа (в случае, если ОУ еще не используется);

d) надежности;

e) допустимости отказов по общей причине;

f) важности последствий ошибочного выбора управляющего воздействия;

g) сложности объекта управления;

h) предлагаемого типа средств отображения информации (дисплей или специальные приборы);

i) предполагаемого типа управляющего оборудования;

j) класса функций управления с точки зрения их важности для безопасности;

k) типа процедур, в которых они используются (например, нормальная эксплуатация, проверка, аварийные процедуры).

Принимая во внимание характеристики указанных в 4.2 типов интерфейса оператора, проектировщик должен выбрать наиболее подходящий интерфейс для каждого органа управления и разработать проект в соответствии с требованиями, приведенными в 5.1. Затем предлагаемая конструкция должна быть проверена в соответствии с методом, приведенным в МЭК 60964, и подробно изложена в соответствии с требованиями МЭК 61771. При проектировании и валидации важно, чтобы были учтены все соответствующие исходные данные для проекта ЧМИ. Они включают в себя данные, полученные от:

a) организации - проектировщика АС;

b) разработчика оборудования управляющей системы;

c) разработчика информационной системы;

d) специалистов по надежности и безопасности;

e) специалистов по отдельным предметным областям (например, специалиста по радиационной защите, химика и т.п.);

f) оперативного и ремонтного персонала;

g) существующих проектных ограничений (в случае переоснащения или расширения);

h) специалиста по человеческому фактору и эргономике.

На практике детальная проработка интерфейса зависит от тщательности проведения анализа задачи.

При выборе и разработке форматов отображения и управляющих воздействий следует консультироваться с представителями эксплуатирующей организации. Настоятельно рекомендуется проведение натурных испытаний на полномасштабном тренажере.

Наиболее значимая информация о качестве проекта может быть также получена по результатам опытной эксплуатации. Однако необходимость привыкания пользователей и ограничения, диктуемые эксплуатационными факторами, сводят такую обратную связь в большей степени к выявлению тех моментов, которые способны создать существенные проблемы в ходе работы и ремонта, чем к анализу отдельных деталей.

5 Требования к проектированию

5.1 Индивидуальные органы управления и средства отображения

Существуют три основных варианта сочетаний СОИ и ОУ, подлежащих рассмотрению:

a) индивидуальные приборы и органы управления;

b) дисплей и индивидуальные органы управления;

c) только дисплей.

Индивидуальные приборы и ОУ следует компоновать в соответствии с принципами, описанными ниже, и располагать поблизости от дисплея, на котором отображается соответствующая информация. Расположение дисплея описано в МЭК 61772 (см. также 5.1.8).

5.1.1 Компоновка пульта управления

Формальные правила компоновки устройств управления и отображения на поверхностях пульта и панели описаны в МЭК 60964 в виде распределенного по стандарту набора требований, привязанных к соответствующим объектам. Компоновка панелей и пультов управления с использованием индивидуальных ОУ и СОИ должна подчиняться единым принципам, принятым для данного проекта.

Невозможно сформулировать единые правила проектирования, которые будут применимы при всех возможных обстоятельствах проектирования и эксплуатации. Применение некоторых правил будет зависеть от точного соотношения целей для каждой конкретной части операторского интерфейса. В зависимости от ситуации приоритет будет отдаваться тем или иным принципам проектирования. Рекомендации, приводимые ниже, были сформулированы с целью охвата большинства возможных ситуаций.

Основная классификация устройств управления и отображения на пульте или панели базируется на их принадлежности тому оператору, который ответственен за их использование (если некоторая часть информации необходима более чем одному пользователю, то должна быть рассмотрена возможность дублирования СОИ). Этот фактор вместе с назначением и частотой использования главным образом определяют размещение устройства.

Компоновка пункта управления в целом будет определять функции ОУ и СОИ исходя из функций соответствующих пультов и панелей. Компоновка устройств должна подчиняться некоторой логической последовательности. Наиболее универсальную последовательность задает конструкция самой станции, т.е. ее мнемосхема, однако могут рассматриваться и другие принципы, такие как последовательность использования приборов.

В пределах некоторой конструкции (пульта или панели) устройства управления должны быть размещены таким образом, чтобы они образовывали функциональные группы независимо от характера представляемой ими информации. Функциональную группу формируют с целью выполнения заданной функции или управления заданным процессом. Для некоторого оборудования АС, например насосов, "функциональное" группирование может соответствовать группе механического оборудования АС. Группирование следует выполнять с учетом "систем", т.е. совокупности оборудования АС, объединенного некоторыми функциональными связями (например, система трубопроводов для перекачки жидкости, система электрических соединений), или совокупности оборудования, установленного для достижения или поддержания определенной функции АС, например основные и вспомогательные устройства остановки АС (эти две группы устройств могут быть функционально независимыми, однако при этом приводить к одному и тому же конечному результату, т.е. переводу реактора в подкритическое состояние).

Компоновка одной группы на панели должна быть аналогичной компоновке соседних функциональных групп.

Сформированные таким образом группы ОУ и СОИ обычно должны быть расположены в соответствии с последовательностью их использования, однако если они накладываются на мнемосхему, то и место их расположения должно определяться этой мнемосхемой.

5.1.2 Размещение групп

Оптимальное размещение группы на пульте или панели следует подбирать с учетом следующих факторов:

a) порядок их использования должен подчиняться некоторому простому принципу, такому как слева направо при пуске или подъеме мощности, или в соответствии с потоком энергии от источника, находящегося слева, к потребителю, расположенному справа. Это следует согласовывать с установившимися стереотипами населения (из которого набран персонал станции);

b) порядок использования органов управления не должен быть привязан к редким эксплуатационным ситуациям;

c) устройства, важные для безопасности или постоянно используемые в нормальных условиях, должны быть размещены вблизи от того места, с которого оператор ведет наблюдение, причем это правило составляет исключение из правила, описанного в перечислении а);

d) могут существовать приборы, которые должны быть доступны для обзора с нескольких рабочих мест, например приборы, дающие информацию обзорного характера, либо приборы, которые должны легко и надежно опознаваться в нештатной ситуации. Если такие приборы устанавливают на пульте, то предпочтительнее их размещать на вертикальной, а не на горизонтальной поверхности;

e) если имеется несколько функциональных групп, соответствующих идентичным единицам оборудования АС, например парогенераторам, то такие группы должны быть одинаковым образом скомпонованы и расположены в алфавитно-цифровом порядке.

5.1.3 Компоновка устройств

Для компоновки устройств внутри группы необходимо подробно проанализировать взаимосвязи между ними и последовательность их использования. Оптимальную компоновку следует подбирать с учетом следующих факторов:

a) для тех групп, где существует уникальная последовательность использования, устройства должны быть расположены слева направо в последовательности их использования с учетом общих требований безопасности и необходимости обзора, указанных в 5.1.2;

b) органы управления располагают под приборами или, если это неудобно, справа от прибора. Это не применимо для органов управления, являющихся общими для многих устройств, таких как "проверка ламп";

c) при отсутствии однозначной последовательности использования устройства размещают слева направо в порядке маркировки оборудования или в соответствии с потоком энергии.

Следует избегать "зеркальной" компоновки элементов, если это не обосновано специалистом по человеческому фактору и эргономике. При компоновке также следует избегать компромисса, на который идут просто ради экономии места.

Компоновка мнемосхемы может препятствовать соблюдению всех этих требований.

5.1.4 Единообразие ориентации

Сходные по внешнему виду элементы управления и устройства должны работать одинаковым образом и обеспечивать схожую процедуру выбора команд. Управляющие движения оператора должны соответствовать стереотипам населения, при этом типичные примеры управляющих движений приведены в приложении А.

5.1.5 Мнемосхемы

В тех случаях, когда устройства индикации и управления расположены на диаграмме или на схематическом изображении (обычно называемом мнемосхемой), вышеуказанные принципы компоновки применяют к функциональным кластерам элементов управления и отображения, при этом существует ряд дополнительных соображений.

Схематическое представление должно соответствовать той мысленной модели АС, которую могут использовать операторы. Эта модель формируется на основе внешнего вида и общей компоновки оборудования АС, компоновки ОУ и СОИ в пункте управления и на местных панелях, а также на основе наиболее часто используемых чертежей и схем. Необходимо принимать во внимание все эти три фактора. Например, если исходить только из физической компоновки оборудования первого контура, разделенного на четыре петли, то это может привести к мнемосхеме, отображающей эти петли в зеркальном виде. В то же время существует общее правило о нежелательности зеркальной компоновки, которую следует избегать. ОУ и СОИ должны быть расположены так, чтобы отражать физическое расположение соответствующего им оборудования АС.

Во всех идентичных ситуациях соответствующую информацию следует размещать в одной и той же относительной позиции. Этот подход применяют для пультов управления и поэтому элементы, отображающие четыре петли реактора, должны быть спроектированы идентично, отличаясь при этом лишь наименованиями, маркировкой или цветом. Такая унифицированная компоновка, например для насосных групп, облегчает их распознавание операторами.

Потоки должны быть показаны как можно лаконичнее и в целом должны идти слева направо и сверху вниз. В случае замкнутых систем разработчик должен решить, какое направление будет более приемлемым - по часовой стрелке или, наоборот, против часовой стрелки, хотя при этом сохраняются приведенные выше рекомендации. Направление потока на разных мнемосхемах должно быть согласовано. Обычно наиболее насыщенная или наиболее важная часть потоков должна быть показана слева направо. Направление потока должно сохраняться в пределах всех функциональных областей АС.

Следует учитывать и определенные физические аспекты системы. Так для систем, в которых большую роль играет гравитация (например, система воды низкого давления), мнемосхема должна отражать это качество путем определенного размещения резервуаров, насосов и др. Аналогичным образом крупные физические объекты, такие как парогенераторы или турбогенераторы, должны быть представлены в форме, соответствующей их внешнему виду.

Для графического дизайна применяют обычные правила, благодаря которым изображение должно плавно "вести" взгляд пользователя вдоль мнемосхемы. Наклонные линии могут вести взгляд пользователя в конкретную точку на дисплее, однако в целом мнемосхемы должны представлять собой прямолинейную конструкцию, аналогичную той, которую используют в потоковых диаграммах. Соединения должны быть показаны так, чтобы не терялось общее направление потока, а пересечения должны быть сведены к минимуму. Если линии потоков не соединяются, то они не должны соприкасаться. Менее существенная линия потока должна быть пунктирной, чтобы как-то отличаться от основных линий. Если обе линии равнозначны, то вертикальная линия должна разрываться при пересечении.

Организация мнемосхемы в целом должна позволять пользователю отождествить ее со станцией и быстро найти на схеме информацию, дающую ему ясное представление о том, что происходит на АС, а также обнаружить расположение сенсорных панелей и управляемых элементов. Когда несколько агрегатов АС работают параллельно друг другу (например, группа парогенераторов или насосов), то сопоставление их рабочих характеристик упрощается, если ключевые параметры этих агрегатов отображаются рядом с ними и образуют линии или колонки.

5.1.5.1 Мнемосхемы электрических систем

Все символы выключателей должны быть размещены на вертикальных участках цепей, а органы управления ими и устройства отображения их состояния должны быть расположены рядом с соответствующим символом.

Цепи, входящие в распределительное устройство, должны примыкать к верхней части символа устройства.

Цепи, исходящие из распределительного устройства, должны идти вниз от символа устройства.

Взаимосвязи между распределительными устройствами должны быть показаны горизонтальными линиями, разорванными при пересечении с вертикальными частями схемы. Выключатели на этих линиях устанавливают в соответствии с общим для выключателей правилом. Порядок размещения выключателей на мнемосхеме не должен отражать их физическое расположение в помещениях с электрооборудованием. Преимущество следует отдавать простоте и ясности схемы. Однако необходимо отметить, что данное правило не применимо, если схема находится в том же помещении, где расположено реальное электрооборудование. Необходимо предусмотреть достаточное расстояние между изображением цепей, которое будет зависеть от физического размера самого большого используемого элемента. Это может быть, например, выключатель или амперметр. Должно быть также предусмотрено достаточное расстояние между соседними коммутационными устройствами, обеспечивающее необходимую степень визуального отличия не связанных друг с другом цепей.

5.1.6 Кодирование

При проектировании органов управления применяют кодирование, согласованное со всеми соответствующими системами и оборудованием.

Формы визуального кодирования, применяемые для человеко-машинного интерфейса пункта управления, включают в себя (в порядке значимости для разработчика) следующее:

a) текст: с помощью текстовых форм кодирования выполняют маркировку функций устройств, наносимую либо на само устройство, либо рядом с ним (при условии унификации относительного расположения этой надписи). Формирование и использование обозначений и сокращений выходит за рамки настоящего стандарта, в то время как правила их размещения рассматриваются ниже;

b) позиция: конструкция пульта и панели может основываться на идее "темной панели", при которой нормальным условиям функционирования соответствует полностью погашенная панель. При этом состояние оборудования АС отображается положением таких устройств, как индикатор расхождения и индикатор семафорного типа;

c) подсветка: необходимость повышения пропускной способности интерфейса в части представления информации и стремление к увеличению возможностей оператора по контролю АС привели к использованию световых индикационных систем. В целом световые индикаторы и метод "темной панели" не следует одновременно применять на одной и той же панели или пульте. Развитие световых индикаторов и возрастающая автоматизация привели к более интенсивному использованию подсвечиваемых кнопок по сравнению с поворотными переключателями.

Нарушения нормальной эксплуатации могут отображаться непрерывным свечением, например переход на ручное управление - подсвечиванием кнопки ручного управления, в то время как мигание можно использовать для кодирования факта необходимости привлечения внимания оператора к опасному событию или к изменению состояния АС;

d) кодирование формой: для индивидуальных поворотных ключей следует использовать кодирование формой, преимущество которого состоит в обеспечении оператора обратной связью, позволяющей ему убедиться в том, что он выбрал надлежащий орган управления. Переключатели могли бы иметь стреловидную рукоятку, ясно указывающую на выбранную позицию, тогда как органы управления, служащие для уменьшения или увеличения параметра, могут использовать Т-образную рукоятку, а выключатели электрической цепи - рукоятку типа "спускового крючка";

e) кодирование цветом: цветовое кодирование является удобным, однако использование цвета в качестве единственного способа кодирования чревато проблемами из-за нарушений цветового восприятия, субъективной интерпретации цветов и изобилия "стандартов" относительно использования цветов. Цветовое кодирование следует применять только в качестве дополнительного средства. Почти во всех случаях этого можно достигнуть применением в дополнение к цвету таких способов кодирования, как форма, знак, размер или дополнительный текст. Алфавит кодирования следует применять единообразно для всех ОУ в рамках данной АС.

Современный опыт применения цветов на дисплеях описан в МЭК 61772, а для ручных ОУ можно использовать МЭК 60073.

Особое внимание необходимо уделять использованию в качестве кода красного и зеленого цветов. Так, если красный и зеленый цвета используют для кодирования состояния выключателя, то их уже нельзя применять для кодирования какой-либо другой информации, такой как готовность и неисправность оборудования;

f) кодирование размером: кодирование размером можно применять для привлечения внимания к часто требуемым элементам или к элементам, важным для безопасности и требующим быстрой реакции. Однако в обычных случаях кодирование размером не столь эффективно как другие способы.

5.1.7 Защита от ошибочных воздействий на устройства управления

Чтобы предотвратить события, возникающие по вине человека, необходимо свести к минимуму ошибочные воздействия на ОУ. Для защиты от случайного или неправильного воздействия на устройство управления используют такие способы, как определенное размещение устройства, его физическая защита и встроенные в него средства защиты, реализуемые следующими методами:

а) правильное расположение: ОУ должны быть расположены так, чтобы оператор не мог их случайно задеть или изменить их состояние, выполняя любую из возможных последовательностей управляющих движений. Для снижения риска непреднамеренного воздействия такие устройства, как устройства остановки реактора, турбины или устройства управления защитными клапанами, которые оказывают немедленное и серьезное влияние на состояние станции, должны быть расположены в верхней или дальней части пульта управления.

ОУ, оказывающие серьезное влияние на работу станции, такие как органы управления важными клапанами или ключи воздействия на управляющие стержни, наряду с их расположением, исключающим непреднамеренное воздействие, должны быть оборудованы еще и съемными защитными приспособлениями (откидывающимися колпачками), которые необходимо поднять, чтобы обеспечить доступ к устройству. Другие ОУ следует утапливать, закрывать щитком или окружать другими физическими барьерами. Для снижения подверженности непреднамеренному воздействию на незащищенные кнопки применяют выступающие цилиндрические гильзы;

b) приоритет запуска: сигналы запуска систем безопасности, поступающие от автоматики, должны иметь приоритет над сигналами ручного включения. Любые исключения должны быть четко обоснованы;

c) ОУ с блокировкой: ОУ могут быть оснащены блокировками, предусматривающими, например, дублирование воздействия, встроенную логику разрешения действия или одновременное нажатие двух независимых кнопок. Если какая-либо кнопка является общей для нескольких независимых ОУ и используется в качестве общей кнопки подтверждения управляющего воздействия, то контакт этой кнопки должен быть импульсного типа, а не залипающим, что позволит предотвратить исполнение последовательностей несанкционированных управляющих действий.

Во избежание непреднамеренного воздействия и с целью обеспечения адекватной тактильной обратной связи необходимо подбирать устройства, требующие соответствующего усилия для поворота или нажатия. Использование устройств, требующих двойного воздействия, комбинации устройств или (в особых случаях) устройств с блокировочным замком также часто позволяет уменьшить количество ошибочных действий. Такие устройства, как ключи с индикацией расхождения, предполагающие цепочку нажатие-поворот-нажатие, снижают вероятность непреднамеренного воздействия, однако не слишком помогают избежать проблемы поворота ключа в неправильную позицию.

Если для разных систем или комплектов используют похожие ОУ, то они должны быть отделены друг от друга или хорошо различимы, например благодаря использованию цвета;

d) ручное дублирование: в случае неисправности сложных автоматических систем ответственность за управление может быть возложена на оператора. Даже при наличии необходимых ОУ и информации существует возможность человеческой ошибки в том случае, если требуемые операции не являются простыми и легко распознаваемыми и оператор не обучен надлежащим образом. Для приведения задачи в соответствие с возможностями человека может потребоваться дублирование со стороны автоматики или использование альтернативных систем, обеспечивающих соответствующую индикацию;

e) индивидуальные ошибки оператора: оборудование или программное обеспечение системы управления не должны вызывать срабатывания устройства, управляемого виртуальным ОУ. Единственным способом удовлетворения этого требования является разрешение воздействия виртуальным ОУ на работу устройства только при условии поступления и от оператора, и от системы управления двух независимых и достоверных команд (например, выбор оборудования и управление оборудованием).

5.1.8 Совместимость с дисплейными форматами

При проектировании ЧМИ, включающего в себя как компьютерные дисплеи, так и традиционные индивидуальные СОИ, важно, чтобы данный интерфейс рассматривался как единое целое. Согласованность между компьютерными дисплеями и индивидуальными СОИ может рассматриваться с четырех позиций:

а) компоновка: должна быть проанализирована взаимосвязь между ОУ и СОИ, расположенными как на поверхностях пультов и панелей, так и на экране дисплея. Обычно дисплей служит больше для отображения, нежели в качестве активного устройства управления, однако при наличии в системе сенсорных дисплеев на них могут быть выведены органы управления, непосредственно связанные с одним или более элементами информации.

Подробные рекомендации по компоновке информации на экранах дисплеев выходят за рамки настоящего стандарта, однако их можно найти в МЭК 61772, распространяющемся на проектирование дисплейных форматов. В целом описанные в нем правила размещения применимы как для элементов, отображаемых на дисплее, так и для традиционных индивидуальных СОИ.

Если для традиционных элементов ЧМИ более значимыми являются физические и антропометрические ограничения, то для компьютерных дисплеев ограничивающим фактором являются правила размещения текста и др. При применении компьютерной информационной системы необходимо сделать акцент на использование схем и таблиц, однако в случае организации ОУ на сенсорных дисплеях необходимо уделить повышенное внимание компоновке элементов управления на экране дисплея (см. также 5.2, характеризующий виртуальные ОУ);

b) обозначение: принятые на станции обозначения, сокращения и т.п. должны единообразно использоваться как для традиционных СОИ, так и для компьютерных дисплеев. Нехватка места, часто характерная для компьютерных дисплеев, может привести к необходимости разработки более лаконичных форм по сравнению с теми, что используются в традиционной части интерфейса;

c) символы: в случае предоставления информации на мнемосхемах набор символов, используемых для обозначения оборудования АС, должен быть единым. Учитывая, что традиционные приборы и компьютерные дисплеи представляют собой два различных по физической природе средства отображения информации (первые обычно воспринимаются в отраженном свете, в то время как вторые сами являются источником света), невозможно гарантировать, что используемые символы будут выглядеть одинаково. Этот фактор следует учитывать при определении формы некоторых символов, относительной толщины линий и т.д.;

d) цвет: применяемое цветовое кодирование должно быть одинаковым для обоих форматов интерфейсов. Визуальное восприятие отображения люминофоров может способствовать тому, что некоторые цвета будут более заметными, чем другие (например, оранжевый может быть более заметным, чем красный), и это может диктовать ослабление абсолютных стандартов видимости. Цвета, которые могут быть использованы в интерфейсе, выполненном на основе обособленных компонентов, устанавливают исходя из соображений цветового контраста и видимости. Цвет фона для пультов и щитов управления должен быть выбран исходя из необходимости обеспечения приемлемого цветового контраста со всеми обычно используемыми цветами, в частности, часто применяется светло-серый цвет фона. Иногда может быть необходимым дополнительное усиление контраста, такое как нанесение контура.

5.2 Виртуальные органы управления

Виртуальные ОУ образуют ЧМИ, который приводится в действие программным обеспечением, а не непосредственными физическими связями. Для разработки виртуальных ОУ применимы требования к проектированию, приведенные в 5.1.5 и 5.1.8, однако наряду с ними виртуальные ОУ имеют ряд специфических характеристик, отличающих их от традиционных ОУ. Например, традиционные ОУ имеют четко определенное пространственное местоположение, в то время как виртуальные ОУ имеют виртуальное положение. Все традиционные ОУ пребывают в своем неизменном местоположении в каждый момент времени. Виртуальные ОУ отображаются на дисплеях и зачастую их нельзя увидеть все сразу. Один и тот же набор виртуальных ОУ может также быть использован для разных режимов, выполняя в каждом из них различные функции. Наконец, интерфейсы, построенные на виртуальных ОУ и реализуемые с использованием компьютерной программы, являются гибкими и могут быть переконфигурированы. Все эти специфические характеристики создают очевидные проблемы проектирования, требующие специального руководства. Данное руководство приведено в 5.2.1-5.2.5.

5.2.1 Дисплеи

Все дисплеи имеют ограниченный размер и, следовательно, не все компоненты системы управления могут быть представлены оператору одновременно. Тем не менее, в случае необходимости технология виртуальных ОУ должна обеспечить оператору доступ к каждому отдельному компоненту и предоставить информацию о его состоянии и об управляющих связях с другими компонентами. Необходимо предусмотреть достаточную площадь на экране, обеспечивающую выполнение кратковременных задач управления, не создавая при этом помехи исполнению более продолжительных задач. В противном случае для обеспечения различных задач управления можно использовать несколько дисплеев. Более подробную информацию о требованиях к проектированию дисплеев можно найти в МЭК 61772.

5.2.2 Поля выбора

Поля выбора отображают множество элементов оборудования или параметров, которые могут быть выбраны для выполнения задачи управления. Для обеспечения выбора правильного объекта оборудование и параметры, представленные в поле выбора, должны визуально отличаться друг от друга. В качестве общего формата для их представления может быть использована мнемосхема (см. 5.1.5). Поля выбора должны быть отчетливо скомпонованы и снабжены маркировкой, позволяющей операторам отличать объекты выбора друг от друга. Для обеспечения визуальной различимости и содействия операторам в правильном выборе объектов компоновку и маркировку оборудования и параметров, составляющих поле выбора, следует выполнять на основе руководства, приведенного в настоящем стандарте, а также в МЭК 61772.

Должны быть проанализированы и урегулированы случаи одновременного доступа нескольких операторов к одному и тому же оборудованию АС. Если одно и то же поле выбора используют на нескольких рабочих станциях, то система должна позволять одному оператору быть в курсе действий другого.

5.2.3 Поля ввода

Поля, предназначенные для ввода управляющего воздействия, должны быть спроектированы и промаркированы так, чтобы операторы могли определить, каким оборудованием АС они в настоящий момент управляют. При возникновении ошибок ввода оператору должно выводиться сообщение об ошибке. Управляющая информация может вводиться путем указания соответствующей функции меню или в виде алфавитно-цифровых символов (клавиши +/-, клавиши со стрелками, функциональные клавиши и др.).

5.2.4 Форматы ввода

Ниже описаны несколько типов форматов ввода, которые рассматривают при проектировании виртуальных органов управления. Для каждого из них интерфейс должен ясно отражать, какое состояние или значение было выбрано:

a) интерфейс для дискретного управления следует использовать для выбора из множества отдельных состояний или значений. Каждая выбираемая опция должна иметь четкую маркировку;

b) интерфейс для непрерывного управления необходимо применять, когда выбор осуществляют из непрерывного множества или из очень большого числа дискретных значений. Каждая выбираемая опция должна иметь четкую маркировку;

c) интерфейс типа "ползунок" может быть использован в том случае, когда необходимо отображать весь диапазон возможных значений и место выбранного значения внутри этого диапазона. Диапазон значений указывают на ползунке в соответствии с правилами маркировки, описанными в настоящем стандарте. Числовое значение, соответствующее текущему положению виртуального ползунка, должно быть отображено на этом ползунке в цифровом виде;

d) кнопки со стрелками можно использовать в случаях, когда состояния или значения могут возрастать или уменьшаться шаг за шагом. При этом в численном виде должен быть отображен количественный показатель, характеризующий текущее состояние. Каждое нажатие кнопки со стрелкой должно изменять состояние или значение легко предсказуемым образом. При срабатывании кнопки со стрелкой должна также быть обеспечена достаточно заметная обратная связь. Каждая кнопка со стрелкой должна иметь четкую маркировку;

e) поле с ячейками выбора можно использовать для непосредственного ввода команд, осуществляемого комбинированным способом, сочетающим чек-лист и алфавитно-цифровую строку (например, для непосредственного ввода идентификатора насоса без навигации по странице). После того, как выбор сделан, пользователю предъявляют стандартное окно для ввода управляющей команды, через которое осуществляется управление.

Примечание - Следует избегать использования ввода алфавитно-цифровых строк в качестве основного формата операторского интерфейса. Такой формат можно применять только в качестве дополнительного средства в определенных случаях.

5.2.5 Взаимодействие пользователя с системой

Если устройство ввода или отображения проектируют для выполнения более чем одной функции, то это приводит к большому количеству возможных состояний и режимов виртуального ОУ. Работа оператора с многочисленными состояниями подвержена ошибкам. Они заключаются в том, что оператор, работая с виртуальным ОУ, предполагает, что интерфейс находится в одном состоянии, в то время как фактически он находится в другом. Уменьшение числа возможных состояний и режимов управления может снизить вероятность ошибок. Необходимо избегать использования чрезмерно большого числа состояний для виртуальных ОУ. Если многочисленные состояния неизбежны, то они должны быть указаны настолько ясно, чтобы оператор мог легко определить текущее состояние.

Для взаимодействия с виртуальными ОУ часто используют курсоры. Курсоры должны иметь отличительные визуальные черты, обеспечивающие их легкое обнаружение операторами. Если рабочая станция включает в себя несколько дисплеев, то система должна показывать, на каком из них курсор является активным. Курсор должен быть стабильным и иметь возможность перемещения от одного дисплея к другому в случае многодисплейной рабочей станции. Управляющие действия, прилагаемые к устройству управления (например, к мыши), должны быть совместимыми с движениями курсора, наблюдаемыми на дисплее. Необходимо избегать использования нескольких курсоров на одном дисплее.

При вводе данных операторам должны выдаваться подсказки в виде ясной и конкретной информации или окна ввода. Эта информация может указывать, когда и где следует осуществить ввод, а также связанные с ним последствия и необходимые разрешения. Для подсказок, выдаваемых при вводе, следует использовать стандартные символы.

ЧМИ должен обеспечивать операторам обратную связь по всем предпринимаемым действиям. Он может также позволять отменять действия до того, как они будут выполнены. ЧМИ должен также отображать состояние действия по мере его выполнения. Более подробную информацию об обратной связи и времени реакции системы можно найти в МЭК 61772. Оператору также должны выдаваться оповещения, из которых он может получить подробную информацию, описывающую, какое действие было исполнено, как оно было исполнено и почему оно было неуместным.

Должны быть предусмотрены средства самокоррекции, обнаруживающие и автоматически исправляющие ошибки, совершаемые операторами при вводе. Действия по самокоррекции вызывают дополнительную умственную нагрузку на операторов. Следовательно, автоматические средства самокоррекции не следует использовать для действий, связанных с управлением станцией.

При выполнении цепочки последовательных действий ЧМИ должен позволять операторам быстро оценить состояние этой последовательности по ходу ее реализации. Выполнение шагов, требующих подтверждения, должно осуществляться после ответа оператора на предупредительное сообщение или совет (например, "Хотите ли вы продолжить?"). При использовании подтверждений они должны содержать подробности о цели действия, а не только о самом действии. Например, должно требоваться подтверждение удаления конкретного файла, а не просто удаления как такового. Для всех действий по управлению станцией, осуществляемых с использованием компьютерных интерфейсов, должны быть одинаково доступны функции отмены действия и возврата к предыдущему состоянию интерфейса.

Во избежание ошибочного или непреднамеренного управления (например, путаницы и заблуждения) при отправке команды необходимо соблюдать следующую общую последовательность действий:

a) выбор органа управления;

b) выбор управляющей команды;

c) подтверждение управляющей команды.

Команды, которые не воздействуют непосредственно на процесс, не должны требовать подтверждения. Некоторые ОУ могут также требовать быстрого доступа (например, гашение сирены сигнализации).

5.3 Специальные требования для сенсорных панелей

Сенсорные панели можно применять там, где допустима задержка. Они должны быть расположены так, чтобы удовлетворять эргономическим требованиям, предъявляемым и к контролю, и к управлению. Там, где это уместно, можно рассмотреть использование нескольких экранов или внешних манипуляторов (трекбола или джойстика).

Дисплейные видеокадры и сенсорные панели должны обеспечивать рабочую область, которая является достаточно полной для запланированной задачи и которая направляет оператора на соответствующие действия. Должны быть также предусмотрены простые способы выбора новых форматов или перехода к другим рабочим областям, которые, вероятно, могут потребоваться. Хотя видимая область сенсорной панели и может занимать весь экран дисплея, действительно активные чувствительные области и промежутки между ними должны быть организованы так, чтобы активные области было легко выбрать и риск попадания на некорректную область был очень небольшим, особенно для критических действий. Должны быть предусмотрены соответствующие средства для сопоставления позиций пальца, обнаруженных чувствительной матрицей, и активных областей, размеченных на видеокадре.

Реакция оборудования должна быть надежной и единообразной, а оператор должен быть немедленно проинформирован о каждом обнаруженном касании изменением цвета, появлением символа, сообщения или звукового сигнала. В форматах должны быть предусмотрены индикация и сигнализация о недопустимых операциях (например, превышение параметром допустимого уровня), представляемые в удобном виде (например, отображением текущего значения, аварийной уставки или причины, по которой действие квалифицируется как недопустимое). Важные для станции необратимые операции должны требовать двух касаний, производимых в течение определенного времени. Дополнительные требования к виртуальным ОУ приведены также в 5.2.