WO2014173276A1

WO2014173276A1 - 通过hra判定dcs人机界面的可靠性的方法、系统

Info

Publication number: WO2014173276A1
Application number: PCT/CN2014/075843
Authority: WO
Inventors: 张力; 戴立操; 李鹏程; 胡鸿; 蒋建军; 黄卫刚; 戴忠华; 黄俊歆; 邹衍华; 陈青青; 卢长申; 王春辉; 苏德颂; 李晓蔚
Original assignee: 湖南工学院; 南华大学; 中广核核电运营有限公司; 大亚湾核电运营管理有限责任公司
Priority date: 2013-04-23
Filing date: 2014-04-21
Publication date: 2014-10-30
Also published as: CN103198231B; CN103198231A

Abstract

本发明公开了一种通过HRA判定DCS人机界面的可靠性的方法，其将处理一个事故时关联的数字化控制室中的多个人机界面作为多个节点，根据对多个人机界面进行监视或操作的次序将多个节点按次序连接，建立班组响应树；将对节点进行监视或操作产生的人因失效类型作为顶节点，以人因失效模式作为中层节点，以人员监视或操作的动作失效源作为底层节点，建立节点的人因失效的故障树；确定影响底层节点的因素以及每个因素的影响概率，计算人因失效的概率；根据步骤S3计算得到失效概率值，判断人机界面的可靠性。本发明系统描述人机界面与人因失效的关系，可识别出人因失效概率较大的人机界面，为改善复杂工业系统中的数字化主控室人机界面提供基础。

Description

通过 HRA判定 DCS人机界面的可靠性的方法、系统技术领域本发明涉及电厂的数字化控制领域，尤其涉及核电厂的数字化控制领域，特别地，涉及一种通过 HRA (人因可靠性分析;)判定 DCS(digital control system,数字化控制系统;) 人机界面的可靠性的方法、系统。背景技术近年来，大规模复杂工业系统的安全评价越来越多地考虑人员在系统中的行为和活动。人与系统的交互作用被认为复杂工业系统安全运行的重要贡献因素。而由于复杂工业系统中人员行为与人机界面众多，如何考量和计算复杂工业系统中的人机界面对系统安全的影响是一个难点。复杂工业系统运行安全性的主要人员行为集中在主控室（mam control room: MCR)。在事故情景下，控制室操纵员拥有对电厂事故处理的决策权。控制室中人机界面的好坏对控制室中的人员行为影响较大。对此种影响的研究方法主要包括三大类，第一类是把核电厂事故后人机界面中的人员行为进行任务分解，以分解的任务为主要研究对象，代表的方法有 Swam 于 1983 年提出了人因失误率预测技术 (THERP: Technique for Human Error Rate Prediction)方法， THERP是大多数核电厂采用的 HRA 主要方法。第二类把核电厂人机界面中的人员行为进行整体考虑，通过实验对人员干预行为的结果进行分析，获得人因失效概率数据，主要方法有 Hannaman于 1984年提出了人的认知可靠性（HCR: human cognitive reliability) 方法。第三类是以核电厂情景，亦即影响核电厂人员行为的场景为主要研究对象，研究核电厂事故后场景对于人员行为的影响，主要方法有美国核管会于 2002年提出了标准的电厂分析风险人因可靠性分析方法 ( SPAR-H: standardized plant analysis risk human reliability analysis ) 方法。这些的人机界面评价中的人因可靠性方法大多是在 20世纪 80年代初建立的，最初的研究只是把电厂事故后的任务进行分解，比如草稿本 THERP。随后的研究考虑人员的认知行为特征，操纵员对于电厂事故的诊断失效，比如 HCR。 SPAR-H把人员行为分成诊断和操纵，进一步反应事故后人员对电厂事故处理的主要特征。这些方法的研究的对象都是大规模复杂工业系统中的传统的控制按钮和盘台操纵，经验数据和实验数据也是基于传统 MCR的，其事故后诊断和控制失误概率都是以传统的一、二代控制室为基础。随着 I&C安全技术的发展和进步，大规模复杂工业系统更多地采用数字化控制系统（DCS , digital control system 复杂工业系统控制数字化以后，人机界面发生了较大变化，信息显示从光字牌、报警器等转变成大屏幕显示（PDS: plant display system ) 和计算机终端显示（VDU: video display unit ) , 操纵员控制和操纵从传统的控制盘台的控制键操纵转换成使用计算机终端的鼠标操纵。现有的人机界面评价技术已经不能反映现代控制室人机界面的变化对人员行为的影响。因此需对数字化控制室人机界面的可靠性重新进行计算和考量。发明内容本发明目的在于提供一种可显著地节约大量的工业安全成本的通过 HRA 判定 DCS人机界面的可靠性的方法及系统，以解决现有的人机界面中的人因可靠性分析技术已经不能反应数字化控制室人机界面的变化对人员行为的影响的技术问题。为实现上述目的，本发明实施例提供了一种通过 HRA判定 DCS人机界面的可靠性的方法，包括以下步骤：步骤 S 1 : 将处理一个事故时关联的数字化控制室中的多个人机界面作为多个节点，并根据操作人员班组对所述多个人机界面进行监视或操作的次序将所述多个节点按次序连接，以建立班组响应树；步骤 S2 : 将所述操作人员班组对所述班组响应树中的所述节点进行监视或操作产生的人因失效类型作为顶节点，以形成所述人因失效类型的人因失效模式作为中层节点，以人员监视或操作的动作失效源作为底层节点，根据所述底层节点、中层节点和所述顶节点的逻辑关系将所述底层节点、中层节点与所述顶节点连接，建立所述节点的人因失效的故障树；步骤 S3 : 确定影响所述底层节点的因素以及每个所述因素的影响概率，计算所述人因失效的概率；步骤 S4 : 根据步骤 S3计算得到失效概率值，判断所述人机界面的可靠性。作为本发明的方法进一步改进：所述步骤 S 1中，所述对所述多个人机界面进行监视或操作的次序包括：监视提示所述事故发生的人机界面并根据所述提示进行初始诊断，诊断处理所述事故需操作的人机界面并进行操作，操作完成后定期监视提示所述事故发生的人机界面，如果系统状态正常且系统处于稳定状态，则处理所述事故成功；如定期监视过程中发现系统异常，需重新根据所述提示进行初始诊断，并诊断处理所述事故需操作的人机界面并进行另一操作或者诊断处理所述事故需操作的另一人机界面并进行操作，直到处理所述事故成功。所述步骤 S3中，所述计算是采用贝叶斯网络进行的。所述人因失效类型包括：监视失效、状态评估失效、响应计划失效和响应执行失效。所述监视失效的多种失效模式包括信息监视失效、屏幕配置失效、信息交流失效、屏幕信息读取失效以及读取数据错误。所述因素包括：工作设计、系统状态、可用时间、人员培训、人员配置、工作环境、人机界面设计以及技术系统设计。作为一个总的技术构思，本发明还提供了一种数字化控制室人机界面的人因可靠性分析系统，包括：班组响应模块，所述班组响应模块的多个节点为处理一个事故时关联的所述数字化控制室中的多个人机界面，所述多个节点的连接次序为操作人员班组对所述多个人机界面进行监视或操作的次序；故障模块，所述故障模块的顶节点为所述操作人员班组对所述班组响应模块中的任一所述节点进行监视或操作产生的人因失效类型，中层节点为形成所述人因失效类型的人因失效模式，底层节点为人员监视或操作的动作失效源；三者的连接关系为所述底层节点、中层节点和所述顶节点的逻辑关系；概率计算模块，用于根据影响所述底层节点的因素以及每个所述因素的影响概率，，计算任一所述失效类型的失效概率；可靠性判定模块，用于根据所述失效概率，判断所述人机界面的可靠性。作为本发明的系统的进一步改进：所述概率计算模块中采用的是贝叶斯网络的计算方式。所述人因失效类型包括: 监视失效、状态评估失效、响应计划失效和响应执行失效。所述因素包括：工作设计、系统状态、可用时间、人员培训、人员配置、工作环境、人机界面设计以及技术系统设计。本发明具有以下有益效果：本发明的通过 HRA判定 DCS人机界面的可靠性的方法，可以系统描述人机界面与人因失效事故的关系，并能推算失效概率，从而识别出对于人因影响较大的人机界面，为改善主控人机界面提供数据基础。除了上面所描述的目的、特征和优点之外，本发明还有其它的目的、特征和优点。下面将参照图，对本发明作进一步详细的说明。附图说明构成本申请的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图 1是本发明优选实施例的通过 HRA判定 DCS人机界面的可靠性的方法的流程示意图；图 2是本发明优选实施例的通过 HRA判定 DCS人机界面的可靠性的系统的结构示意图；图 3是本发明优选实施例的通过 HRA判定 DCS人机界面的可靠性的系统的故障模块的结构示意图；图 4是本发明优选实施例的通过 HRA判定 DCS人机界面的可靠性的系统的故障模块中的模拟响应计划的失效模式的分解结构示意图；图 5是本发明优选实施例 1的通过 HRA判定 DCS人机界面的可靠性的系统的班组响应模块的分解结构示意图；图 6是本发明优选实施例 1的通过 HRA判定 DCS人机界面的可靠性的系统的班组响应模块中节点 2的监视失效的故障模块结构示意图；图 7是本发明优选实施例的步骤 S3中的概率计算模块中的贝页斯影响示意图。具体实施方式以下结合附图对本发明的实施例进行详细说明，但是本发明可以由权利要求限定和覆盖的多种不同方式实施。操作人员对人机界面进行监视的行为是指观察或发现人机界面提供的信息（一般包括读数、发现报警指示等）。工业应用中，判定监视行为是否成功则是根据操作人员是否根据该人机界面提供的数据或信息做出了下一步骤的正确的操作行为来判定的，若下一步骤的操作行为是正确的，则判定该操作步骤之前的监视步骤是成功的；若下一步骤的操作行为不正确，则可能是由于操作人员读数错误（读错或者未发现读数，该部分原因与人机界面的设置或布局有关）或者操作人员本身不能根据该读数作出下一步骤的正确判定（与操作人员的能力有关），则可能造成人因事故。本发明主要针对由于人机界面的设置或布局而导致的人因可靠性的分析（HRA)。并且，本发明所指的人因可靠性，研究的是人员行为（人因）与人机界面的交互活动，其针对的是虚构的一类人（排除个人的非常规的智力活动以及主观因素的影响），该类人是指接受了相应的知识或者培训，能根据人机界面的交互信息作出符合逻辑的监视行为和操作动作的普通技术人员。参见图 1，本发明的通过 HRA判定 DCS人机界面的可靠性的方法，包括以下步骤：步骤 S1 : 将处理一个事故（系统状态偏离正常运行时的任何状态，比如，核电厂中的失水事故）时关联的数字化控制室中的多个人机界面作为多个节点，并根据操作人员班组对多个人机界面进行监视或操作的次序将多个节点按次序连接，以建立班组口向应树 (Crew response tree , CRT)。实际应用中，在构建班组响应树之前，优选先进行以下步骤：步骤 S001 : 定义人因失效事故，作为步骤 S 1 中的事故。这些人因失效事故（事故题头）是根据维修、试验、检查、核对等与人的活动有关的规程和报告资料等确定的，定义的目标是概率安全评价（PSA: probabi l i stic safety assessment ) 中所有关键的人机界面中的人因失效事故都被分析到（本实施例中，主要对事故树和故障树中涉及人机界面与人有相互作用联系的人因事故题头与硬件设备失效）。定义必须充分考虑完整性，即所有重要的人员行为和人员操纵都需要包括在分析报告中。定义是一个反复的过程。步骤 S002 : 事故分解，对步骤 S001定义的人因事故进行详细分解和分析（分析涉及的人机界面以及监视和操作行为）。其详细程度应当达到描述操作人员采用什么样的具体的操作步骤，例如"打开 ***页面"或者是 "R01配置第 4屏信息"，或者 " R01打开 **控件"等。任务分解采用表格的形式进行。任务分解基于相对应的规程和对操纵员的测试得到。然后对步骤 S002的分解结果进行表征。本实施例中，是采用班组响应树的方式，即将处理一个事故时关联的数字化控制室中的多个人机界面作为多个节点，并将操作人员班组对多个人机界面进行监视或操作的次序将多个节点按序连接。其目的是可以清楚地了解操纵员在事故后对于电厂干预的这个人员行为过程。步骤 S2 : 将操作人员班组对班组响应树中的节点进行监视或操作产生的人因失效类型作为顶节点，以形成人因失效类型的人因失效模式作为中层节点，以人员监视或操作的动作失效源作为底层节点，根据底层节点、中层节点和顶节点的逻辑关系将底层节点、中层节点与顶节点连接，建立节点的人因失效的故障树。如图 3所示，故障树中的顶节点是数字化控制室中的人因失效类型，包括监视失效、状态评估失效、响应计划失效和响应执行失效，四项中的任一项失效都会导致顶节点的发生。其中，监视是指操纵员决策和观察外部的信息，下一步信息加工是基于这个阶段的；状态评估是指操纵员的认知主要是利用在监视过程中获得信息与培训过程中获得知识及经验对电厂的实际状态进行评估；响应计划是指在对电厂某一特定的状态进行评估之后，操纵员需要考虑采取适当的行动；响应执行。操纵员根据响应计划执行操纵动作。根据实际应用的情况，以上四项人因失效类型还可向下扩展延伸分支，划分为若干个中层节点，这些扩展延伸可根据行业规范或者应用的需要来确定。一般来说，作为中层节点的监视失效的多种失效模式包括信息监视失效、屏幕配置失效、信息交流失效、屏幕信息读取失效以及读取数据错误。例如，响应计划失效的失效模式（操作员响应计划失效）可以使用如图 4所示的故障树的中层节点进行分解。其中，故障树的底层节点为 PSA (概率安全评价）情景下的 PSF (行为形成因子）（即人员监视或操作的动作失效源作）。这些划分是参考美国核管会所制定的行业规范而进行的。步骤 S3 : 确定影响底层节点的因素以及每个因素的影响概率，计算人因失效的概率。其中，底层节点是指根据失效模式分解得到的不可再下分的组成节点。步骤 S4 : 根据步骤 S3计算得到失效概率值，判断人机界面的可靠性。通过上述步骤 S3，可计算得到多个节点（即人机界面）上的人因的失效概率值，可以根据计算得到的失效概率值，查找各种国际国内的标准（根据应用场合以及涉及的人机界面的类型和重要度的不同，判断的标准也不同，判断的标准根据实际应用情况确定）或者根据预设的阈值，即可获知人机界面的可靠性（人机界面是否可靠根据标准所列的项目及其判断标准而定）。对不同的节点（即人机界面）上的人因的失效概率值进行比较，即可找出人员失效概率较大的人机界面，可为改善主控人机界面提供数据基础。通过上述步骤 S 1至 S4，可以系统描述人机界面与人因失效事故的关系，并能推算出人因失效的概率，根据人机界面上的人因的失效概率值识别出人员失效概率值较大的人机界面，为改善主控人机界面提供数据基础。本方法能显著地提高对电厂数字化控制室的不良人机界面的辨识度，进而便于有针对性地对复杂工业系统进行改造，从而显著地节约大量的工业安全成本。参见图 2，本发明的一种通过 HRA判定 DCS人机界面的可靠性的系统，包括以下的三层结构和一个可靠性判定模块：第一层，班组响应模块，班组响应模块的多个节点为处理一个事故时关联的数字化控制室中的多个人机界面，多个节点的连接次序为操作人员班组对多个人机界面进行监视或操作的次序。第二层，故障模块，故障模块的顶节点为操作人员班组对班组响应模块中的节点进行监视或操作产生的人因失效类型，中层节点为形成人因失效类型的人因失效模式，底层节点为人员监视或操作的动作失效源；三者的连接关系为底层节点、中层节点和顶节点的逻辑关系。第三层，概率计算模块，用于根据影响底层节点的因素以及每个因素的影响概率，并根据因素计算任一失效类型的失效概率。（图 2 中， PSF1、 PSF2…… PSFn分别指第一个行为形成因子、第二个行为形成因子、第三个行为形成因子……第 n行为形成因子。）可靠性判定模块，用于根据失效概率，判断人机界面的可靠性。通过上述步骤 S3，可计算得到多个节点（即人机界面）上的人因的失效概率值。另外，还可以根据计算得到的失效概率值，查找各种国际国内的标准（（根据应用场合以及涉及的人机界面的类型和重要度的不同，判断的标准也不同，判断的标准根据实际应用情况确定），即可获知人机界面的可靠性（人机界面是否可靠根据标准所列的项目及其判断标准而定）。对不同的节点（即人机界面）上的人因的失效概率值进行比较，即可找出人员失效概率较大的人机界面，可为改善主控人机界面提供数据基础。采用上述的结构的通过 HRA判定 DCS人机界面的可靠性的系统，可以实现本发明的数字化控制室人机界面的可靠性判断方法。系统第一层的班组响应模块描述操纵员的动作过程（事故后）与人机界面的交互影响关系，能精确了解和评定事故后（或者完成某事故的操作过程中）人因失误发生过程。第一层的故障模块分解各个人机界面的改变可能产生的人因失效类型，并将该人因失效类型分解为的失效模式，确定失效模式的概率便可获得该人机界面对于系统安全的影响程度，即人机界面上的人员行为的可靠性（称为人因可靠性）。通过本发明的系统能显著地提高对电厂数字化控制室的不良人机界面的辨识度，进而便于有针对性地对复杂工业系统进行改造，从而节约工业安全成本。实施例 1 : 本实施例采用某核电厂 DCS 中蒸汽传热管破裂（SGTR， steam generator tube rupture )事故为例，具体地说明本发明的通过 HRA判定 DCS人机界面的可靠性的方法及系统。该方法包括步骤：步骤 S001 : 定义人因事故。 SGTR是始发事故频率较高的人因事故。 SGTR事故发生后，能够很迅速地引起二回路放射性（N16 ) 高报以及其他的报警信号，包括破损 SG液位的异常以及稳压器的低压力报警。 DCS中， SGTR出现大约 3分钟后，报警信号出现，这些报警包括：稳压器低压力和低液位，破损 SG液位上升，完好 SG和破损 SG 给水的不一致，二回路放射性报警等。 SGTR初始发生时，核电厂不会出现自动停堆，但随着事故的发生，系统会因为稳压器压力和液位低而自动停堆。步骤 S002 : 事故分解。对 SGTR事故涉及的人机界面以及监视和操作行为进行详细分解和分析。步骤 S 1 : 建立班组响应树。始发事故发生后， DCS中紫色报警（本实施例中，紫色报警是指优先级别最高的报警）被触发。操纵员进入 DOS进行处理。根据操作人员班组对多个人机界面进行监视或操作的次序，建立如图 5 所示的班组响应树。（出现 DOS (事故）报警之后，操纵员对事故进行初始诊断，然后进入相对应的 ECP规程或直接在 DOS中对机组稳定，随后进行定期监视，如果系统状态正常且系统处于稳定状态，则事故成功；如定期监视过程中出现系统异常，需重新定向（重新根据提示进行初始诊断，并诊断处理事故需操作的人机界面并进行另一操作或者诊断处理事故需操作的另一人机界面并进行操作），直到事故成功）。步骤 S2 : 分析图 5中各节点的失效模式（监视失效、状态评估失效、响应计划失效、响应执行失效），建立节点的故障树。如，节点 2 : DOS的初始判断，根据分析，主要是对信息的监视，也就是监视失效（得到的节点 2的故障模块见图 6 )。节点 3主要人因是"规程转移"，那么其主要失效模式是信息收集失效和决策失效（对应监视失效和响应计划失效），动作执行失效模式不再考虑。步骤 S3: 确定影响影响底层节点的因素以及每个因素的影响概率，并采用贝叶斯网络计算任一失效模式的失效概率。贝叶斯网络（BN)是由节点和边组成的有向无环图（Directed Acycl ic Graph, DAG)，可以用 N=〈〈V， E〉，？〉来描述。其中， V为离散随机变量且 V , ， …， Χ_π}，对应的节点 )d，， …， Χ_π表示具有有限状态的变量（因素），这些节点（因素）可以是任何抽象的问题，如设备部件状态、测试值、组织因素、人的诊断结果等，本实施例中，因素优选包括 8个：工作设计、系统状态、可用时间、人员培训、人员配置、工作环境、人机界面设计以及技术系统设计。 Ε 为有向边，表示节点间的概率因果关系，有向边的起始节点^'是终节点 '的父节点，称为子节点，没有父节点只有子节点的节点称为根节点。 DAG 蕴涵了一个条件独立假设：给定其父节点集，每一个变量独立于它的非子孙节点。 P为定量部分，是 V上的概率分布。对于离散情况，可用条件概率表来表示，用于定量说明父节点对子节点的影响。根节点的概率分布函数为边缘概率分布函数，由于该类节点的概率不以其它节点为条件，故其概率为先验概率，其它节点为条件概率分布函数。步骤 S3采用贝叶斯网络计算父节点（PSF) 对于故障树底层事故的影响。步骤 S4: 根据步骤 S3计算得到失效概率值，判断人机界面的人因可靠性。比如本例中操作员在本人机界面中的操作对于电厂安全（热阱的建立）非常重要且其失效概率确定大于 1 X 10—³ (THERP标准）则需要对该人机界面进行重新审查。完成以上步骤，即相应地，也建立了三层结构和一个可靠性判定模块的通过 HRA 判定 DCS人机界面的可靠性的系统。其中，三层结构为第一层为班组响应模块；第二层为故障模块；第三层为概率计算模块。综上可知，

1. 本方法可以系统描述人机系统场景以及其如何对于人员行为产生影响。如果人机系统的人员行为集合 A= {y y₂—y丄受到主控人机界面因素（_Xij )的影响如图 7所示，其中！^第一个人员行为收到第一个人机界面的影响 ^₂₁第二个人员行为受到第一个人机界面的影响 M ^第 n个人机界面受到第一个人机界面的影响。可见本发明能可以系统描述主控人机界面因素对于人员行为的影响，从而识别出对于人员行为影响较大的人机界面因素，进而改善主控人机界面，进而显著地提高对不良人机界面的辨识度。

2. 人员行为主要影响主控事故序列进程。采用本方法可以计算出人员行为对于事故缓解的成功概率，从而可以有针对性地高效率地对主控事故序列进行培训，本方法可以显著地节约复杂工业系统中人员的培训成本。

3. 对于人员行为成功概率较低的事故序列所属之人机界面，可以有针对性地对于复杂工业系统进行改造，本方法可以显著地节约大量的工业安全成本。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种通过 HRA判定 DCS人机界面的可靠性的方法，包括以下步骤：

步骤 S1 :将处理一个事故时关联的数字化控制室中的多个人机界面作为多个节点，并根据操作人员班组对所述多个人机界面进行监视或操作的次序将所述多个节点按次序连接，以建立班组响应树；

步骤 S2:将所述操作人员班组对所述班组响应树中的所述节点进行监视或操作产生的人因失效类型作为顶节点，以形成所述人因失效类型的人因失效模式作为中层节点，以人员监视或操作的动作失效源作为底层节点，根据所述底层节点、中层节点和所述顶节点的逻辑关系将所述底层节点、中层节点与所述顶节点连接，建立所述节点的人因失效的故障树；

步骤 S3 : 确定影响所述底层节点的因素以及每个所述因素的影响概率，计算所述人因失效的概率；

步骤 S4: 根据步骤 S3计算得到失效概率值，判断所述人机界面的可靠性。

2. 根据权利要求 1所述的方法，其中，

所述步骤 S1 中，所述对所述多个人机界面进行监视或操作的次序包括：监视提示所述事故发生的人机界面并根据所述提示进行初始诊断，诊断处理所述事故需操作的人机界面并进行操作，操作完成后定期监视提示所述事故发生的人机界面，如果系统状态正常且系统处于稳定状态，则处理所述事故成功；如定期监视过程中发现系统异常，需重新根据所述提示进行初始诊断，并诊断处理所述事故需操作的人机界面并进行另一操作或者诊断处理所述事故需操作的另一人机界面并进行操作，直到处理所述事故成功。

3. 根据权利要求 2所述的方法，其中，

所述步骤 S3中，所述计算是采用贝叶斯网络进行的。

4. 根据权利要求 3所述的方法，其中，所述人因失效类型包括：

监视失效、状态评估失效、响应计划失效和响应执行失效。根据权利要求 4所述的方法，其中，所述监视失效的多种失效模式包括信息监视失效、屏幕配置失效、信息交流失效、屏幕信息读取失效以及读取数据错误。根据权利要求 1至 5中任一项所述的方法，其中，所述因素包括：工作设计、系统状态、可用时间、人员培训、人员配置、工作环境、人机界面设计以及技术系统设计。一种通过 HRA判定 DCS人机界面的可靠性的系统，包括：

班组响应模块，所述班组响应模块的多个节点为处理一个事故时关联的数字化控制室中的多个人机界面，所述多个节点的连接次序为操作人员班组对所述多个人机界面进行监视或操作的次序；

故障模块，所述故障模块的顶节点为所述操作人员班组对所述班组响应模块中的任一所述节点进行监视或操作产生的人因失效类型，中层节点为形成所述人因失效类型的人因失效模式，底层节点为人员监视或操作的动作失效源；三者的连接关系为所述底层节点、中层节点和所述顶节点的逻辑关系；

概率计算模块，用于根据影响所述底层节点的因素以及每个所述因素的影响概率，计算任一所述失效类型的失效概率；

可靠性判定模块，用于根据所述失效概率，判断所述人机界面的可靠性。根据权利要求 7所述的系统，其中，所述概率计算模块中采用的是贝叶斯网络的计算方式。根据权利要求 8所述的系统，其中，所述人因失效类型包括：监视失效、状态评估失效、响应计划失效和响应执行失效。根据权利要求 7至 9中任一项所述的系统，其中，所述因素包括：工作设计、系统状态、可用时间、人员培训、人员配置、工作环境、人机界面设计以及技术系统设计。