IEC 61772:2009 核电站 — 控制室 — 视觉显示单元(VDU)的应用

💡 核心见解： 三级显示层次（概览、系统、组件）是一种经过验证的方法，可在复杂控制环境中平衡信息可访问性与认知负荷管理。

⚠️ 重要考量： 报警泛滥仍然是数字控制室中最具挑战性的人因问题之一。按照IEC 61772正确实施报警过滤和优先级排序对于电厂异常期间操作员的有效性至关重要。

✅ 工程总结： 遵循IEC 61772中人因工程指南关于字符尺寸、对比度和颜色约定的要求，可显著提高控制室操作员的绩效并降低错误率。

🔴 设计风险： 缺乏适当导航辅助和一致屏幕布局的VDU显示可能导致操作员失去态势感知，在紧急情况下可能遗漏关键报警。

范围与显示系统架构

IEC 61772:2009（第2.0版）规定了核电站控制室中视觉显示单元(VDU)的应用要求。该标准涉及控制室操作员用于电厂监测和控制的VDU信息显示系统的设计、评估和实施。它涵盖了安全相关和非安全相关显示，为现代数字控制室界面提供了全面的框架。

该标准定义了三级层次化显示结构：第1级（电厂概览显示，提供整体电厂状态的高层摘要）、第2级（系统或过程显示，显示特定电厂系统的详细信息）和第3级（组件或细节显示，提供单个组件参数和控制功能的访问）。这种分层方法确保操作员能够快速访问适当详细程度的信息，而不会被数据淹没。

一个关键要求是安全关键信息必须在从概览显示出发最多两次操作员交互（如触摸屏或按键）内可访问。这一设计约束确保操作员在认知负荷已经很高的紧急情况下能够快速访问关键安全参数。

该标准非常重视报警管理，要求基于VDU的报警系统遵循结构化的优先级划分方案。报警分为三级：需要操作员立即响应的关键报警、需要及时知晓但不需要立即操作的警告报警、以及需要操作员了解的信息提示。每个类别必须通过颜色编码、报警模式和显示位置进行视觉区分。

报警泛滥防护是特别关注的问题。标准要求报警呈现系统包括过滤、抑制和搁置功能，以防止在电厂异常期间操作员过载。每分钟200个报警在10分钟周期内被定义为报警泛滥条件的阈值，显示系统必须提供工具帮助操作员在此类事件中优先处理和管理报警。

提供了VDU显示的信息密度指南。标准建议单个显示页面的信息密度不超过30-40%（活动信息元素与总可用显示面积之比），以保持可读性和操作员态势感知。需要导航辅助功能，如一致的菜单结构、页面标识和回溯功能。

人因工程是VDU应用要求的核心。标准根据观看距离规定了最小字符尺寸（主要信息通常为20-25弧分）、对比度（关键显示最小7:1）、颜色约定（红色表示危险/报警、黄色表示警告、绿色表示正常）和刷新率（动态过程参数至少10 Hz）。

标准要求基于VDU的控制系统包含防止操作员无意操作的保护措施。这包括安全关键操作的确认对话框、电厂级命令的两步操作序列以及未完成命令序列的自动超时。这些保护有助于防止可能导致电厂瞬态的操作员错误。

可用性测试被规定为设计过程的一部分。标准要求VDU显示必须经过具有代表性的操作员执行实际任务的迭代可用性评估。可用性指标包括任务完成时间、错误率、操作员工作负荷（使用标准化工具如NASA-TLX测量）和主观满意度评分。

该标准为混合控制室提供了具体指导，混合控制室结合了传统模拟仪表和现代VDU显示。它要求VDU显示以保持操作员跨两种呈现媒介的态势感知的方式集成到整体控制室设计中。强调信息编码、标签和导航的一致性，以防止过渡期间的混淆。

标准要求用于安全相关功能的VDU系统具有多层次冗余：双电源、冗余显示服务器和备用显示路径。平均无故障时间(MTBF)目标应基于所显示信息的安全分类，安全关键显示通常需要实现超过50,000小时的MTBF。

可以，但有严格限制。用于安全关键功能的触摸屏必须满足额外要求，包括触觉反馈（声音或震动）、确认机制以及通过保护带或两步操作防止意外激活。标准引用了IEC 60964了解安全关键操作界面的额外要求。