核电厂数字化主控室操作员监视行为可靠性判定方法

摘要

本发明公开了一种核电厂数字化主控室操作员监视行为可靠性判定方法，包括步骤:根据监视任务中操作员对数字化主控室的监视过程，将各监视信息源划分为多个监视节点;分别确定对多个监视节点的监视行为的时间窗口;根据监视行为的时间窗口，确定操作员对多个监视节点的监视行为的转移顺序;计算多个监视节点的监视成功概率;根据监视成功概率，判定核电厂数字化主控室操作员的监视行为是否可靠。本发明通过对监视任务中各监视倍息源的划分，从而构建了监视行为以及监视转移的数学模型，并能对监视带点的监视成功概率进行量化计算，最终能判定核电厂数字化主控室操作员的监视行为可靠性。

说明书

技术领域

本发明涉及电厂的数字化控制领域，特别地，涉及一种核电厂数字化主控室操作员监视 行为可靠性判定方法。

背景技术

NUREG/RC(Regulatory guides，美国核管理委员会的技术文件))系列报告自20世纪80年代 初在研究操作员认知行为时，就对操作员获取信息行为进行系列实验观察与研究，并对核电 厂操作员的监视行为进行了界定，即是指从核电厂主控室环境中获得电厂信息的认知行为。 即操作员对电厂状态进行观察以决定电厂的运行状态，包括检查系统是否正在正确运行和对 某些已经变化状况进行识别与确认，如观察显示装置显示的系统运行参数、图表与警报等电 厂状态参数、操作员间交流、从电厂其他区域的其他操作员获得口头报告，以及向电厂其他 区域派遣人员以核查设备等。在数字化核电厂，监视为操作员从DCS环境中获取电厂相关信 息(如核电厂状态参数、设备状态、系统状态、运行趋势等)的认知行为，核电厂主控室主 要通过计算机显示器(屏)(VDU)显示所需监视的目标信息，操作员在电厂状态模型(正常 状态)与SOP(situation operationprocedure，操作规程状态)(异常状态)下来驱动与引导操作员 的监视行为。

而对核电厂操纵监视行为的研究起源于20世纪70年代，是基于对传统核电厂操作员监 视行为的研究开始，逐步发展到对半数字化(即传统核电厂仪控制I&C系统的数字化改造) 系统监视行为研究，一般重点关注操作员监视对象、监视失效模式、影响因素，及监视行为 的对比(模拟与半数字化)等。

国内对视觉行为的研究主要集中在阅读、信息处理机制与计算机人工智能等领域，对核 电厂操作员监视行为研究主要集中在操作员对电厂状态信息获取的有效方式的经验总结，没 有形成成熟的理论与技术。

国外关于主控室操作员监视行为的研究，主要集中在对操作员监视行为(主要为传统核 电厂与半数字化核电厂)分析目前主要集中在对监视活动的基本现象(如监视范围、监视对 象、监视任务分配与影响因素等)与特征的研究与实验观察，只有少数文献涉及到操作员监 视的认知模式与监视策略。而国内对监视行为的研究目前主要集中在阅读、人工智能领域的 视觉信息处理模式这一块，所有的研究也都是停留在对监视行为特征与规律的定性描述与总 结。且，目前关于主控室操作员监视行为的研究没有一个是以运营的数字化核电厂为研究对 象，不具备数字化这一本质背景与特征。

由此可见，国内外的监视研究均没有深入研究监视行为形成机理与动力学机制，没有提 出一种监视行为可靠性量化模型，对核电厂数字化主控室操作员监视行为研究还是空白，数 字化背景下操作员监视行为的原理、过程动力学机制没有建立，监视可靠性分析程序、数学 模型与分析软件，及其对应的支持数据库体系均未建立，以至于目前对数字化背景下核电厂 的人因可靠性分析的工程应用是不可能，严重影响数字化技术背景下核电厂的安全风险评估。

并且，国内外目前对监视行为研究都是以传统模拟核电厂或者半数字化核电为研究对象， 没有完全的数字化主控室作为有效的研究对象，相关研究手段、技术与结论具有很大的局限 性，相关研究结论与模型缺乏针对性。同时，现有的监视行为研究主要集中在对传统核电厂 主控室操作员监视行为特征、影响因素、过程与规律等的实验描述与总结，没有涉及到操作 员监视行为动力学机制与原理等本质规律研究，难以深入与客观地刻画与描述监视行为，更 加难以找到监视行为的本质运动规律，不可能进行广泛地工程推广与应用；另外，现有的监 视行为主要为定性描述，没有建立起相应的监视可靠性分析程序与数学模型，不具备工程应 用的基础。且，现有的监视行为研究没有建立起监视可靠性计算方法，使得动态、复杂与多 过程的监视行为可靠性工程量化分析缺乏手段，且没有建立起监视基础可靠性数据体系，使 得量化分析缺乏基础人误数据。

发明内容

本发明目的在于提供一种能对核电厂数字化主控室操作员监视行为可靠性进行量化分析 以及判定的核电厂数字化主控室操作员监视行为可靠性判定方法，以解决数字化背景下操作 员监视行为的原理、过程动力学机制没有建立，监视可靠性分析程序、数学模型，及其对应 的支持数据库体系均未建立，因此对数字化背景下核电厂的人因可靠性无法分析的技术问题。

为实现上述目的，本发明提供了一种核电厂数字化主控室操作员监视行为可靠性判定方 法，包括以下步骤：

步骤S1：根据监视任务中操作员对数字化主控室的监视过程，将各监视信息源划分为多 个监视节点；

步骤S2：分别确定对所述多个监视节点的监视行为的时间窗口；

步骤S3：根据所述监视行为的时间窗口，操作员确定所述操作员对所述多个监视节点的 监视行为的转移顺序；

步骤S4：计算所述多个监视节点的监视成功概率；

步骤S5：根据所述监视成功概率，，判定所述核电厂数字化主控室操作员的监视行为是否 可靠。

作为本发明的进一步改进：

所述步骤S4包括以下步骤：

步骤S401：计算操作员节点i的察觉成功概率

步骤S402：计算操作员自节点i-1的监视行为转移到节点i的监视行为时，操作员监视转 移成功概率

步骤S403：计算节点i的监视成功概率计算公式为

步骤S404：计算监视节点数为n时，所述多个监视节点的监视成功概率计算公式 为$P_M^S=\underset{i=1}{\overset{n}{\Pi }}{P}_{\mathrm{Mi}}^S=P_{M1}^S\times P_{M2}^S\times ···\times P_{\mathrm{Mi}}^S\times ···\times P_{\mathrm{Mn}}^S,$其中，n＝1，2，...，n。

所述步骤S402包括以下步骤：

当所述操作员的监视行为自节点i-1转移到节点i为同构转移时，进行步骤S4021以及步 骤S4022；当所述操作员的监视行为自节点i-1转移到节点i为异构转移时，进行步骤S4023 以及步骤S4024；

步骤S4021：采用以下公式计算操作员监视行为同构转移失败的概率：

$p\{{\mathrm{TR}}_{\mathrm{ij}}^k,H_i,S_j,A_k,R_p,M_q\}=p(T_j^k,H_i,S_j,A_k,R_p,M_q|{T_i}^k\}$

$=p\left\{T_j^k\right|H_i,S_j,A_k,R_p,M_q\}\left(p\right\{H_i\left(t\right)\left|H_i(t-1)\right\}+p\{S_j\left(t\right)\left|S_j(t-1)\right\}+p\left\{A_k\left(t\right)\right|A_k(t-1)\}+$

$p\left\{R_p\left(t\right)\right|R_p(t-1)\}+p\{M_q\left(t\right)\left|M_q(t-1)\right\})$

其中，S_j为系统状态，H_i为人因状态，A_k为报警状态，R_p为操作规程状态与M_q为第二 类管理任务状态；

S_j(t)为第j个系统状态，且在时刻t时，j＝(0，1)；

H_i(t)为第i个人所处的状态，且在时刻t时，i＝(0，1)；

A_k(t)为第k个报警的状态，且在时刻t时，k＝(0，1)；

R_P(t)为第p个状态操作规程的状态，且在时刻t时，i＝(0，1)；

Mq(t)为第q个二类状管理任务的，且在时刻t时，k＝(0，1)；

T^K_j表示第k个功能块中的第j个部分；

T^K_i表示第k个功能块中的第i个部分；

为在人因状态i、系统状态j、警告状态k、操作规程状态p、二类管理任务状态q， 在第K个目标单元内，操作员监视活动从区域信息i转移到区域信息j；

为操作员在H_i、S_j、A_k、R_P、M_q状态下，监视K模块发生自 第i个信息转移到第j信息的失误率；

为在H_i、S_j、A_k、R_P、M_q状态下，监视K模块发生第j个信息 转移失误率；

p{H_i(t)|H_i(t-1)为人因系统状态失误率；

p{S_j(t)|S_j(t-1)}为电厂系统状态失误率；

p{A_k(t)|A_k(t-1)}为警告状态失误率；

p{R_P(t)|R_P(t-1)}为操作规程状态失误率；

p{M_q(t)|M_q(t-1)}为二类管理任务状态失误率；

步骤S4022：计算操作员监视行为同构转移成功的概率，计算公式为$P_{\mathrm{Ti}}^S=1-$$p\{{\mathrm{TR}}_{\mathrm{ij}}^k,H_i,S_j,A_k,R_p,M_q\};$

步骤S4023：采用以下公式计算操作员监视行为异构转移失败的概率：

$p\left({\lambda }_{\mathrm{jn}}^{\mathrm{im}}\right)=q_j(t+\mathrm{\Delta t})P\left(B_k^j\right|H_i,S_j,A_k,R_p,M_q)$

其中，

为在时刻t，系统状态j，人因状态i，警告状态k，操作规程状态p，以二类管理任务状态 q，从第i块的第m个构件转移到第j块的第n个构件转移过程；

为在系统状态j，人因状态i，警告状态k，操作规程状态p，二类管理任务状态q，监 视第i块的第j个构件；

为在时刻t，系统状态j，人因状态i，警告状态k，操作规程状态p，二类管理任务状 态q，从第i块的第m个构件转移到第j块的第n个构件转移失败的概率；

q_j(t+Δt)为在时刻(t+Δt)，系统状态j，人因状态i，警告状态k，操作规程状态p，二 类管理任务状态q，监视第i块的权重系数；

为在系统状态j，人因状态i，警告状态k，操作规程状态p，二 类管理任务状态q，监视第i块的第j个构件失败概率；

步骤S4024：计算操作员监视行为同构转移成功的概率，计算公式为

在进行所述步骤S1之前，所述方法还包括以下步骤：

步骤S0：判断电厂运行状态是正常还是异常。

当所述步骤S0的判断结果为正常时，所述步骤S1中，所述将各监视信息源划分为多个 监视节点是基于监视任务、相关监视参数、操作规程与操作员监视前述的任务的经验而进行 划分的；

当所述步骤S0的判断结果为异常时，所述步骤S1中，所述将各监视信息源划分为多个 监视节点是根据分析事件或事故的状态操作规程来划分的。

本发明具有以下有益效果：

本发明的核电厂数字化主控室操作员监视行为可靠性判定方法，通过对监视任务中各监视 信息源的划分，从而构建了监视行为以及监视转移的数学模型，并能对监视节点的监视成功 概率进行量化计算，最终能判定核电厂数字化主控室操作员的监视行为可靠性。本发明还可推广 应用到其他的类似数字化工业系统主控室操作员监视活动与行为可靠性分析领域，为数字化工业 系统操作员监视制监视失效预防与控制奠定基础。

除了上面所描述的目的、特征和优点之外，本发明还有其它的目的、特征和优点。下面 将参照图，对本发明作进一步详细的说明。

附图说明

构成本申请的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及 其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明优选实施例的核电厂数字化主控室操作员监视行为过程示意图；

图2是本发明优选实施例的DCS主控室操作员监视行为定量分析的逻辑过程示意图；

图3是本发明优选实施例的监视过程的监视节点的转移顺序示意图；

图4是本发明优选实施例的带条件的隐马尔可夫模型示意图；以及

图5是本发明优选实施例的核电厂数字化主控室操作员监视行为可靠性判定方法的流程 示意图；

图6是本发明优选实施例1的核电厂数字化主控室操作员监视行为可靠性判定方法的流 程示意图。

具体实施方式

以下结合附图对本发明的实施例进行详细说明，但是本发明可以由权利要求限定和覆盖 的多种不同方式实施。

监视行为作为操作员认知活动的一部分，是电厂操作员的信息来源。基于DCS下操作员 监视行为的特征与规律，将监视活动从认知上基于电厂状态将其划分为两个阶段，一是对锁 定(当前时刻唯一的监视识别对象)监视目标(信息源，即DCS主控室监视单元或信息区域， object_i)的监视行为(监视察觉)，该过程为典型的静态认知活动，包括监视任务确认(始发 事件或初始活动)、获取监视信息(视觉或听觉的物理信息，如电厂系统状态参数、报警等)、 监视信息识别(包括监视信息选择、识别与评估)、选择监视策略(包括制定、选择监视策 略与监视路径)与监视输出(包括信息察觉，以及输出监视认知结果，并以短时记忆形式将 结果信息传递给状态评估认知环节，触发操作员的状态评估认知行为)；第二阶段是监视转 移，即操作员在目标(信息源)间的监视转移，以完成对信息搜索或监视路径转移的动态过 程(参见见图1、图2)。基于电厂当前状态与要求，操作员在监视过程中反复循环以上两个阶 段认知活动，以实现对电厂连续与动态的监视与控制，为电厂状态评估提供参数与信息。

如图1、图2所示，核电厂主控室显示装置上显示的信息源记为：Objecti(信息源)。操 作员从核电厂主控室显示装置上显示的信息源Object(Object1、Object2...Objectn表示第1个 信息源、第2个信息源、......第n个信息源)中的第i个信息Objecti(如第二个信息源Object2) 的锁定察觉，即操作员对锁定信息的获取认知过程，记为监视察觉。操作员从核电厂主控室 显示装置上显示的当前信息Object1转移到下一个目标信息源Object2的过程，即操作员监视 转移过程。核电厂主控室操作员基于任务导向电厂状态信息获取的监视过程就是操作员在主 控室环境下各监视信息对象间反复重复监视察觉与监视转移的过程，直到监视任务完成，监 视活动结束。

监视行为定量分析原理：

操作员在非单一(独立)任务下的监视行为(包括电厂正常运行状态与异常)为动态与 连续的，对给定的监视任务(如对某电厂事件或事故监视、对电厂某一特定系统的监视等)， 基于附图2可以将操作员监视行为按照监视活动固有的先后逻辑顺序(如关键信息呈现时间、 结构顺序，或者规程规定的操纵节点顺序等)，把连续、动态的监视过程依据过程中的监视目 标(监视任务中特定的信息源或目标，如电厂运行中的某一状态/设备温度参数的即时(Ti时 刻)监视)，将其划分为对应的监视点(称之为监视节点或转移节点，记为(N，n＝1，2，...，N) (见附图3)，并基于以下假设与逻辑规则：

(1)监视活动按照图示监视节点逻辑关系自左到右依次开展，操作员在监视过程中是不 能自动跳过前面节点而进入下一个监视节点(即不考虑监视活动跳跃监视节点情况)。

(2)监视过程成功与否，由操作员对图中的各监视节点的察觉，以及对在相邻监视节点 间监视转移成功与否决定，即任何一个节点监视失败将导致监视任务失败。

(3)不考虑监视失败的修复因子。

操作员的监视活动主要受两类影响因素作用，一是环境的特性和变化，在DCS中，主要 是指VDU上信息的显示特征和显示的电厂系统数据/信息的变化(与数字化控制室的人机界面 有关)；二是操作员的知识和期望，以及操作员根据自己对核电厂运行状态的理解而内在形 成的一个心理电厂状态模型。前一种影响因素导致的监视行为称为数据驱动的监视行为，后 者称为知识驱动或者模型驱动的监视行为。工业应用中，判定监视行为是否成功则是根据操 作人员是否根据该人机界面提供的数据或信息作出了下一步骤的正确的操作行为(操作员的 输入信息与数字化人机界面进行交互)来判定的，若下一步骤的操作行为是正确的，则判定 该操作步骤之前的监视步骤是成功的。

DCS中事故发生后，操作员与电厂界面交互过程中主要认知活动发生在监视阶段。电厂 通过DCS呈现事故后的电厂信息，操作员通过人的注意机制驱动感知系统感知电厂信息。影 响操作员监视行为主要认知负荷来源于DCS信息显示感知变化，VDU显示和界面管理任务引 起的工作记忆负荷变化和注意机制的变化。DCS主控室操作员监视驱动机制应该为数据驱动 与模型驱动共同作用的“混合驱动”，且模型驱动处于主导地位。一般情况下，操作员在电厂正 常运行与瞬态时，操作员监视行为驱动以数据驱动主导，在电厂处于事件或事故运行状态时， 操作员监视行为在状态操作规程引导下，以模型驱动为主导。

同构转移：同一屏幕的人机界面之间的转移，异构转移是不同数字化屏幕之间的转移。

参见图5，本发明的核电厂数字化主控室操作员监视行为可靠性判定方法，包括以下步骤：

步骤S1：根据监视任务中操作员对数字化主控室的监视过程，将各监视信息源划分为N 个监视节点，如N₁、N₂...N_n(参见图3)。从图3中可以看出，操作员基于某项操纵任务，从 逻辑抽象出的监视节点N1开始实施监视察觉与监视转移等行为，直到监视活动按照逻辑关系 (规程导向等)完成全部监视逻辑节点，达到监视结束的节点N_n。

步骤S2：分别确定对多个监视节点的监视行为的时间窗口，即划分监视活动的起点T0 与终点TE，确定监视活动的时间段(窗口)。在PSA-HRA(PSA：probability safety analysis，概 率安全分析；HRA：human reliability analysis，人因可靠性分析)分析中，监视起点可设置为进 入状态操作规程时刻(记0时刻)；在其他分析中要基于实际情况合理确定监视起点时刻。

步骤S3：根据监视行为的时间窗口，操作员确定操作员对所述多个监视节点的监视行为 的转移顺序(参见图3)。

步骤S4：计算多个监视节点的监视成功概率。实际应用中，一般是通过分别计算“操作员 节点i的察觉成功概率与操作员自节点i-1转移到节点i操作员监视转移成功概率并 取两者概率乘积而得到节点(i)操作员监视成功概率。

步骤S5：根据所述监视成功概率，判定核电厂数字化主控室操作员的监视行为是否可靠。 实际应用中，可根据得到的监视成功概率值，查询各种国际国内的行业标准(根据应用场合 以及涉及的人机界面的类型不同，判断的标准也不同，判断的标准根据实际应用情况确定， 也可以是电厂自设的标准)，即可获知监视成功概率值是否在允许的范围内(操作员的监视成 功概率是否可靠根据标准所列的项目及其判断标准而定)，从而判断是否可靠。

上述步骤，通过对监视任务中各监视信息源的划分，从而构建了监视行为以及监视转移 的数学模型，并能对监视节点的监视成功概率进行量化计算，最终能判定核电厂数字化主控 室操作员的监视行为可靠性。本发明还可推广应用到其他的类似数字化工业系统主控室操作 员监视活动与行为可靠性分析领域，为数字化工业系统操作员监视制监视失效预防与控制奠 定基础。

实施例1：

参见图6，本实施例的核电厂数字化主控室操作员的监视转移可靠性判定方法，包括以下 步骤：

步骤S0：判断电厂运行状态，即在开始确定监视任务，进行监视分析前需要确定电厂的 当前运行状态，只取“正常”与“异常”两种。

步骤S1：根据监视任务中操作员对数字化主控室的监视过程，将各监视信息源按照一定 规则与划分为N个监视节点，如N₁、N₂...N_n。本实施例中，当步骤S0的判断结果为正常时， 将各监视信息源划分为多个监视节点是基于监视任务、相关监视参数、操作规程与操作员监 视前述的任务的经验而进行划分的；当步骤S0的判断结果为异常时，对于PSA框架下的HRA 监视任务，将各监视信息源划分为多个监视节点是根据分析事件或事故的状态操作规程来划 分的。另外，对于节点划分还可基于对操作流程与事件处理规程的知识表征方法来实现。

步骤S2：分别确定对多个监视节点的监视行为的时间窗口，即划分监视活动的起点T0 与终点TE，确定监视活动的时间段(窗口)。在PSA-HRA分析中，监视起点可设置为进入状 态操作规程时刻(记0时刻)；在其他分析中要基于实际情况合理确定监视起点时刻。

步骤S3：根据监视行为的时间窗口，操作员确定操作员对所述多个监视节点的监视行为 的转移顺序。

步骤S4：计算多个监视节点的监视成功概率。实际应用中，一般是通过分别计算“操作员 节点i的察觉成功概率与操作员自节点i-1转移到节点i操作员监视转移成功概率并 取两者概率乘积而得到节点(i)操作员监视成功概率。基于布尔代数逻辑运算规则，整个监 视过程失败的概率()为各监视节点失败概率之和；每个节点失败概率，可通过对该节点 监视成功概率()取逻辑补来获取，而每个节点的成功概率由跟该节点直接相关的两类监 视行为(即为对节点的察觉认知行为与从上个节点成功转移至该节点的监视转移行为)的成 功转移概率决定，分别记为与

本实施例中，优选采用如下步骤实现步骤S4：

步骤S401：计算操作员节点i的察觉成功概率

操作员对于节点i的监视认知活动，可以视为操作员对固定信息资源的监视认知活动，即 操作员对信息的察觉，其失败概率有两种方法可以得到：

(1)一是基于传统核电站监视失误经典概率值，结合数字化信息显示特征，采取外推方 法来获得监视察觉失败概率值区间，然后取补得到察觉成功概率

(2)二是基于信号检测论(SDT)理论，结合模拟机实验统计结果来获得DCS操作员对 信息察觉失误概率均值与范围，然后依据相应的节点信息特征与影响因素来确定节点i的察觉 成功概率

在信号和噪声两者处于离散状态而不容易分辨的情况下，可以应用信号检测论。信号必 须由操作者检测，在检测的过程中会出现“有”(我检测到了信号)和“没有”(我没有检测到信号) 两类反应模式。如表1所示将操作员在实验中的反应划分为四种：击中、虚报、漏报和正确 拒斥。

表1信号检测论实验中观察者的四种反应

在信号检测论中，可以用概率值表示这四类事件的值。各类事件的值等于该事件发生的 数值除以图中每一列事件发生的总数。

P_(hit)+P_(miss)＝1

P_(fa)+P_(cr)＝1

基于信号检测论(SDT，Signal detection theory)来计算操作员节点i的察觉成功概率

操作员在监视的察觉信息过程，实质上就是从大量的背景信息(电厂状态参数、图、表 等)准确获得监视对象信息，若对该过程作如下处理：

(1)假设操作员准确获得节点信息视为察觉成功，没有正确地获得到节点信息就视为察 觉失败。

(2)将节点所处的背景信息视为SDT中的噪音，则监视过程中需要操作员察觉的信息就 是可以视为操作员的刺激。

(3)对应操作员察觉节点信息失败概率就是SDT模型中操作员漏报的概率，操作员察觉 节点i的察觉成功概率就是SDT模型中操作员击中的概率P_(hit)。

而操作员漏报的概率P_(hit)是基于操作员在噪声背景中漏报刺激(监视节点信息)反应实验 的统计概率值(P_(miss))，则操作员察觉节点i的察觉成功概率

$P_{\mathrm{Di}}^S=1-P_{\left(\mathrm{miss}\right)}$

步骤S402：计算操作员自节点i-1的监视行为转移到节点i的监视行为时，操作员监视转 移成功概率本实施例中，步骤S402包括以下步骤：

通过对影响操作员监视行为的影响因素，如系统状态(S_i)、人因状态(H_i)、报警状态(A_k)、 操作规程状态(R_p)与第二类管理任务(M_q)状态等，可构建带条件的隐马尔可夫模型，见 图4。图4中，H_i(i＝1，2，…，n)表示人因状态，S_j(j＝1，2，…，m)表示系统状态， A_k(k＝1，2，…，s)表示警报状态，R_P(P＝1，2，…，y)表示操作规程状态，M_q(q＝1，2，…，x)表示 二类管理任务状态。前述的五方面影响因素的状态值，及其每种影响因素各主要构成因子的 基本失误率、权重，可通过监视眼动实验得到。

当操作员的监视行为自节点i-1转移到节点i为同构转移时，进行步骤S4021以及步骤 S4022，建立DCS核电厂带条件监视过程的同构马尔可夫转移失败模型(即计算操作员监视 行为同构转移失败的概率)。

步骤S4021：采用以下公式计算操作员监视行为同构转移失败的概率：

$p\{{\mathrm{TR}}_{\mathrm{ij}}^k,H_i,S_j,A_k,R_p,M_q\}=p(T_j^k,H_i,S_j,A_k,R_p,M_q|{T_i}^k\}$

$=p\left\{T_j^k\right|H_i,S_j,A_k,R_p,M_q\}\left(p\right\{H_i\left(t\right)\left|H_i(t-1)\right\}+p\{S_j\left(t\right)\left|S_j(t-1)\right\}+p\left\{A_k\left(t\right)\right|A_k(t-1)\}+$

$p\left\{R_p\left(t\right)\right|R_p(t-1)\}+p\{M_q\left(t\right)\left|M_q(t-1)\right\})$

其中，S_j为系统状态，H_i为人因状态(人的状态可能有几种，例如，轻松状态，一般，紧 张状态，高度紧张状态，i表示人在某时刻的其中一种状态)，A_k为报警状态，R_p为操作规程 状态与M_q为第二类管理任务状态；

S_j(t)为第j个系统状态，且在时刻t时，j＝(0，1)；

H_i(t)为第i个人所处的状态，且在时刻t时，i＝(0，1)；

A_k(t)为第k个报警的状态，且在时刻t时，k＝(0，1)；

R_P(t)为第p个状态操作规程的状态，且在时刻t时，i＝(0，1)；

M_q(t)为第q个二类状管理任务的，且在时刻t时，k＝(0，1)；

T^K_j表示第k个功能块中的第j个部分；

T^K_i表示第k个功能块中的第i个部分；

为在人因状态i、系统状态j、警告状态k、操作规程状态p、二类管理任务状态q， 在第K个目标单元内，操作员监视活动从区域信息i转移到区域信息j；

为操作员在H_i、S_j、A_k、R_P、M_q状态下，监视K模块发生自 第i个信息转移到第j信息的失误率；

为在H_i、S_j、A_k、R_P、M_q状态下，监视K模块发生第j个信息 转移失误率；

p{H_i(t)|H_i(t-1)为人因系统状态失误率；人的状态分为：很紧张，紧张，轻松三种状态； 分别用H_i(t)＝2，H_i(t)＝1，H_i(t)＝0表示。

p{S_j(t)|S_j(t-1)}为电厂系统状态失误率；电厂系统状态一般包括正常和异常状态，分 别用S_i(t)＝1，S_i(t)＝0表示。

p{A_k(t)|A_k(t-1)}为警告状态失误率；如果警告正常，用A_k(t)＝0表示.如果警告本身未 处于触发阶段，但警告系统却发出了警告，那么用A_k(t)＝1表示.如果警告系统处于错误警告信 号而发出了警告，那么用A_k(t)＝20表示。

p{R_P(t)|R_P(t-1)}为操作规程状态失误率；状态分为正常与异常，分别用R_i(t)＝1，R_i(t)＝0 表示。

p{M_q(t)|M_q(t-1)}为二类管理任务状态失误率。二类任务是指在完成任务时，通过对 应的软界面并不能完成该任务，这时需要打开其它对应的一系列软界面，这一系列软界面就 二类任务；所调用的二类任务状态一般包括正常和异常，分别用M_i(t)＝1，M_i(t)＝0表示。

系统状态j、警告状态k、操作规程状态p以及二类管理任务状态q在对应的状态情况下 的失误率是从监视转移失效基础数据库中查询得到的。

步骤S4022：计算操作员监视行为同构转移成功的概率，计算公式为$P_{\mathrm{Ti}}^S=1-$$p\{{\mathrm{TR}}_{\mathrm{ij}}^k,H_i,S_j,A_k,R_p,M_q\}.$

当操作员的监视行为自节点i-1转移到节点i为异构转移时，进行步骤S4023以及步骤 S4024，建立DCS核电厂带条件监视过程的异构马尔可夫转移失败模型(即计算操作员监视 行为异构转移失败的概率)。

步骤S4023：采用以下公式计算操作员监视行为异构转移失败的概率：

$p\left({\lambda }_{\mathrm{jn}}^{\mathrm{im}}\right)=q_j(t+\mathrm{\Delta t})P\left(B_k^j\right|H_i,S_j,A_k,R_p,M_q)$

其中，

为在时刻t，系统状态j，人因状态i，警告状态k，操作规程状态p，以二类管理任务状态 q，从第i块的第m个构件转移到第j块的第n个构件转移过程；

为在系统状态j，人因状态i，警告状态k，操作规程状态p，以二类管理任务状态q， 监视第i块的第j个构件；

为在时刻t，系统状态j，人因状态i，警告状态k，操作规程状态p，以二类管理任务 状态q，从第i块的第m个构件转移到第j块的第n个构件转移失败的概率；

q_j(t+Δt)为在时刻(t+Δt)，系统状态j，人因状态i，警告状态k，操作规程状态p，以 二类管理任务状态q，监视第i块的权重系数；

为在系统状态j，人因状态i，警告状态k，操作规程状态p，以 二类管理任务状态q，监视第i块的第j个构件失败概率；

步骤S4024：计算操作员监视行为同构转移成功的概率，计算公式为

步骤S4的另一种实现方式：

当步骤S1的监视任务为单一(独立)任务时，操作员监视失败定量分析如下：

操作员单一任务指的是操作员执行定值、试验或维修等相对独立的特殊操纵任务。操作 员的监视行为主要为对操纵任务中的异常信息进行发现(察觉)。若假定操作员发现任务操纵 中的异常信息就视为监视成功，没有发现异常信息就视为监视失败，那么也可以利用信号检 查论(SDT)方法，参照“操作员节点i的察觉成功概率的计算原理与方法来计算单一(独 立)任务操作员监视失败概率

$P_M^F=P_{\left(\mathrm{miss}\right)}=1-P_{\left(\mathrm{hit}\right)}$

步骤S403：计算节点i的监视成功概率计算公式为

步骤S404：计算监视节点数为n时，多个监视节点的监视成功概率计算公式为 $P_M^S=\underset{i=1}{\overset{n}{\Pi }}{P}_{\mathrm{Mi}}^S=P_{M1}^S\times P_{M2}^S\times ···\times P_{\mathrm{Mi}}^S\times ···\times P_{\mathrm{Mn}}^S,$其中，n＝1，2，...，n。

步骤S5：根据所述监视成功概率，判定核电厂数字化主控室操作员的监视行为是否可靠。

综上可知，本发明具有以下优点：

(1)本发明建立了核电厂数字化主控室操作员监视行为过程与动力学机制，为制定操作 员监视行为规范、提升监视绩效与预防监视失误提供策略与手段。

(2)本发明建立了操纵监视行为定量分析数学模型，给出了操作员执行操纵任务监视可 靠性量化分析及判定的数学模型，为工程监视可靠性量化分析工程化提供了有效算法与规则。

(3)本发明基于上述监视可靠性分析的数学模型，可为监视可靠性工程应用提供手段， 为核电厂数字化主控室操作员人因可靠性分析提供支持。

(4)本发明可推广应用到其他领域的类似数字化工业系统主控室操作员监视活动与行为 可靠性分析领域，为数字化工业系统操作员监视制监视失效预防与控制奠定基础。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员 来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等 同替换、改进等，均应包含在本发明的保护范围之内。