De laboratorium-evaluatie van een operator support systeem

(1)

RappOrtnummer : A 610 Datum: 21 april 1993

Schtver

: E.F.T. Buiel Aantal pagina's: 166

De laboratorium-evaluatie

van

een operator support systeem

Afstudeerverslag

Korte samenvattmg

Voor de kemcentrale-simulatie van de vakgreep Meet- eri Regeltecluuek (de Genenc Nuclear Plant" ofwel de GNP> is eon automatisch foutendetectie- en foutencluignose-systeem (FDD foutencluignose-systeem) ontwilckeld Dit operator support foutencluignose-systeem is gebaseerd op multilevel flow modelling Om na to pan of eon operator, die gebruik maakt van du systeein, goad in stoat mag warden geacht stOringen bumen de GNP to detecteren en to diagnostiseren is eon laboratorium-evaluatie eitgevoerd Tudens dew evaluate zajn de detectie- en dingnoseprestaties van proefpersonen, die, gebruilc konden tnaken van het FDD systeem, vergeleken met de restates van t,pticieffierSOnerip.die sheen koncien

beschilcken over de mfonnatm die van ondsher in ditticlaSaiekerdNT mg:enter/ler worth gepresenteerd.

Da rapport presenteert de cipzet en uitkornsten van daze evaluate (de wtkomsten warden

verklaard aan de hand van operatorstrategieen). De uneementatie van de bevinchngen

van het MD systeem in eat multilevel flowmodel black to bewerksteligen dat de proof-personen in de GNP regelkamer met FDD systeem beter in staat waren diagnoses to stellen voor meervouchge storingen dan de proefpersonen. .de klaisipke .0NP regel-kamer (butaelfde gold voor met eerder waargenomen :stiringen).. BOVeiiilien bleken raj bete: in staat to beoordelen of rich eon storing vocirtleed: of St. (*rater in de GNP regellcamer met FDD systeent oak in staat mag werden piabt na /de intrbdactie van eat storing sneller een diagnose to vieden dan eon operator in.de klassieka GNP regelkamer

blijft onduideluk

(2)

(3)

Voorwoord

Dit rapport is de eerste uitkomst van het project waarasn i vanaf mart 1992 een jaar

lang met veel plezier heb gewerkt: de evaluatie van het automatisch foutendetectie- en foutendiagnosesysteem

voor de kemcentrale-simulatie van de

valcgroep Meet- en RegelteChniek, de "Generic Nuclear Plant" (in het dagelijlcs taalgebruik binnen de vakgroep eenvoudigiveg "de GNP" genoemd). De installatie van dit operator support

syste-em in de GNP rege1kamer brengt in theorie een awital voordelen met rich mee. Via een serie experimen ten met proefpersonen ben ik - in natrive samenWericing met Jan Hoegee - nagegaan hoe deze voordelen in de pralctijk tot uiting korner'.

Zonder de goede samenwerldng met Jan Iloegee en de twee "supervisors" van dit project Anne Marie Sassen en Peter Wieringa was dit rapport flood tot stand gelcomen. Naar hen gaat clan ook in de eerste plaats mijn dank uit. Daarnaast wil ilc oak Hans Andriessen beclanken, die mij bij het verbeteren van de tijdens de evaluatie gebruikte mens-machine interfaces van de nodige waardevolle adviezen voorzag En tenslotte: Bart, Mark, Wim,

Mick, 'Wouter, Michiel, K2, Annemarie, Mark, Yvonne, Leo, Frank, Bait en Koen,

bedankt voor de tientallen door jullie in de GNP regellcamer donrgebrachte &en en alle

door _Mlle geplaatste lgitiscbe kanttelceningen bij de daar opgestelde mens-machine

interfaces!

Eric Buiel april 1993

(4)

Samenvatting

Voor de kemcentrale-simulatie van de vakgroep Meet- en Regeltechniek (de "Generic Nuclear Plant" ofwel de GNP) is een auto matische foutendetectie- en foutendiagnose-systeem (FDD foutendiagnose-systeem) ontwildceld. Dit is een kennisfoutendiagnose-systeem dat aan de hand van het

verloop in de tijd van gemeten procesvariabelen beredeneert of zich binnen de GNP

storingea voordoen. Bovendien gut het na of de operator de juiste regelacties

onderneemt. Detecteert het systeem een storing of een verkeerde regelactie (een fout) dan stelt het hiervoor een diagnose en presenteert het deze an de operator. De bevindingen

van Mt FDD systeem kunnen in de simulatie-controlelcamer van de GNP (de GNP

regelkamer) worden weergegeven in een multilevel flowmodel (Lind, 1990).

Om na te gaan of de operator, die gebruik maa1ct van het FDD systeem, goal in staat is storingen binnen de GNP te detecteren en te diagnostiseren, is een laboratorium-evaluatie

uitgevoerd. Tijdens die evaluatie hebben de leden van twee groepen van zes

prod-personen (studenten Meet- en Regeltechnielc) individueel eenzelfde experiment uitgevoerd. Dit experiment bestond uit het detecteren en diagnostiseren van tvvaalf GNP storingen onder prestatie- en tijdsdruk. De leden van de ene groep proefpersonen rnaalcten tijdens de

uitvoering van dit experiment gebruik van het FDD systeem. De leden van de andere

groep konden alleen beschikken over de informatie die van oudsher in de (kassielce) GNP regelkamer vvordt gepresenteerd.

Tijdens de serie experimenten stelden de zes proefpersonen in de GNP regellcamer met FDD systeem significant meer juiste diagnoses voor meervoudige storingen en Met eerder

waargenornen storingen dan de zes proefpersonen in de klaccirice GNP regelkamer.

13ovendien bleken zij beter in staat te beoordelen of zich een storing voordeed dan de

proefpersonen in de ldassielce GNP regelkamer. Daar de proefpersonen in de beide

regelkame.rs minder belang hechtten aan de snelheid waarmee diagnoses voor

gedetec-teerde storingen werden afgelevenl, kon niet worden vastgesteld of een operator in de

GNP regellcauner met FDD systeem in staat mag worden geacht na de mtroductie van een storing sneller een diagnose te vinden dan een operator in de klassieke GNP regelkamer.

De betere prestaties van de proefpersonen in de GNP regellcamer met FDD systeem

vloeiden voort uit het inzichtelijke alarmsysteem van de daar opgesteide, op multilevel flow modelling gebaseerde mens-machine interface. Na verificatie van (de relaties tussen) de door dit alarmsysteem geponeerde hypothesen bleken zij goal in staat deze volledig te vertalen naar tijdelijke procesfluctuaties of een gentroduceerde storing (warmeer geen van

de hypothesen als relevant werd aangemerkt, werd aangenomen dat geen storing was

geIntroduceerd). De proefpersonen in de klassielce GNP regelkamer dirnrlen daarentegen (deels aan de hand van weinig informatieve alarmmeldingen en deeLs an de hand van een eigen analyse van procesinformatie) eigen hypothesen af te leiden, te verifieren en evt te vertalen naar een mogelijke storing (warmers geen van de alartnmeldingen als relevant werd aarigemerkt, werd de eigen analyse van procesinformatie gestart of voortgezet).

(5)

Inhoudsopgave,

Voorwoord 3 Samenvatting 4 Afstudeeropdracht 8 Welding 11 De GNP kerncentrale 15

§2.1 Een klassielce beschrijving van de GNP 15

§2.1.1 De hoofdcomponenten van het primaire circuit 15

§2.1.2 De hoofdcomponenten van het secundaire circuit 19

§2.1.3 De hoofdeornponent van het tertiaire circuit

. .

. . 21

§2.2 De means-end hierarchie van de GNP 21

§2.2.1 Het niveau van de hooldcloelen 22

§2.2.2 Het niveau van de abstracte fancies 24

§2.2.3 Het niveau van de gegeneraliseerde functies 25

§2.2.4 Het niveau van de procescomponenten . . . 26

De twee mens-machine interfac.es , 27

§3.1

...

27

§3.1.1 Her interface-concept: de

"een-sensor-etn-indicator-interface" 27

§3.1.2 De procespresentatie 28

§3.1.3 Het alarmsysteem 30

§3.2 De MFM interface

§3.2.1 Het interface-concept: de interface gebaseerd op

multilevel flow modelling 32

§3.2.2 De procespresentatie 33

§3.2.3 Het alarmsysteem 36

§3.3 Vergelijking van de twee interfaces a.d.h.v. algemene ontwemrichtlijnen 39

De opzet van de evaluatie 49

§4.1 Het basisexperiment 49

§4.1.1 De storingsscenario's . . . 49

§4.1.2 De omgeving van de proefpersoon 50

§4.1.3 De tijdsdruk 51

§4.1.4 De prestatiedruk 53

§4.2 De lcenmerken van de twee groepen proefpersorten 53

(6)

§4.3 De gemeten detectie- en diagnoseprestaties . .

. . .

. ... .

. 56

§4.3.1 De kwaliteit van de storingsdetecties . . .

. .. .

57

§4.3.2 De kwaliteit van de storingsdiagnoses

. ... .

. . . 57

§4.3.3 De cletectiesnelheid 58

§4.3.4 De diagnosesnelheid 58

§4.3.5 De totale detectie- en diagnosesnelheid 59 §4.4 De statistische analyse van de gemeten detectie- en

diagnoseprestaties 61

De uitkomsten van de evaluatie I: de taakstrategieen . . . 65

§5.1 De taakstrategie van de proefpersonen in de lclassieke GNP

regelkamer 66

§5.1.1 Het gedrag van de proefpersonen in niet-storingssituaties 66 §5.1.2 Het gedrag van de proefpersonen ii1 storingssituaties . . 69

§12

De taakstrategie van de proefpersonen in. de met het FDD systeem

uitgeruste GNP regelkamer 75

§5.2.1 Het gedrag van de proefpersonen hi niet-storingssituaties 76 §5.2.2 Het gedrag van tie proefpersonen in storingssituaties . . 79

§5.3 Vergelijking van de taakstrategieen 92

§5.4 Voorstellen ter verbetering van de interfaces 95

De uitkornsten van de evaluatie II: de detectie- en diagnoseprestaties 101

§6.1 De kwaliseit van de storingsdetecties 102

§6.2 De kwaliteit van de storingsdiagnoses 102

§6.3 De detectiesnelheid

... .

. . . 106

§6.4 De diagnosesnelheid 106

§63

De totale detectie- en diagtrosesnelheid 109

De uitkomsten van de evaluatie

de beoordeling van de interfaces door de proefpersonen 111

§7.1 De bee1dschermergonornie 111

§7.2 De naamgeving van de procesvariabelen 112

§7.3 Het alarrnsysteem 113

Conclusies en aanbevelingen 115

§8.1 Conclusies m.b.t. de uitkomsten van de evaluatie 115

§8.2 Conclusies m.b.t. de gebruikte simulatie-opstelling 116

§8.3 Aanbevelingen voor nader onderzoek 116

§8.4 Aanbevelingen voor verbetering van de simulatie-opstelling 117

Literatuurlijst 119

Bkjlage I: De configtrratie van de Idassieke interface 121 1.1 Overzicht van de weergegeven procesvariabelen 121

1.2 Instelling van de limiet-waarden 121

1.3 De elf processchema's 121

(7)

BUlage

13ijlage

Bijlage IV:

De configaratie tan de MFM inteFface 131

11.1 Overzicht van in MFM scheiria;1 afgebeelde trenddiagrammen 131

11.2 De 21 1VIFM schema's 131

De storingsstenario's 145

111.1 De djdens de oefensessies gebruikte storingsscenario's 145 111.2 De tijdens de eindtest gebruilde storingsscenario's . . . 147

111.3 De in het basisexperiment gebruikte storingsscenario's . . . . 148

Uitkomsten van de enquete onder de proefpersonen 151

IV.1 De t22kstrategie 152 1V.2 Het alarmsysteem 156 IV.3 De beeldschermafbeeldingen 159 IV.4 De evaluatie 162 W.5 Overigen 166 Inhothisopgaiie 7

(8)

Til Delft

Technische Universiteit Delft

mart 1992

Afstudee.ropdracht voor de beer E.F.T. Buia

1Calorama 56

2132 RB Hoofddorp

Het ontwerpen en evalueren van mens-machine interfaces

Binnen de sectie Mens-Machine System= van de valcgmep Meet- en Regeltechniek

worth onderzoek verricht naar het functioneren van de mens bij de supervisie van

geautomatiseerde systemen. Voor een optimaal bedrijf van het geautomatiseerde proces client de interface tussen de menselijke supervisor en het proces zo goal mogelijk aan de rnenselijke capaciteiten aangepast te vvorden.

De taak van de menselijke supervisor wordt verzwaard door de steeds groeiende

cornpledteit van bet door hem of haar bewaalcte proce-s en door de hogere eisen die aan

het functioneren van het mens-machine systeem worden gesteld, mar ook door het verminderde contact van de supervisor met het proces. Zo wordt van de supervisor

enerzijds verwacht dat hij bij problernen in het bevaakte systeem adequaat reagee.rt (thsv.z. de forgive sithatie onderkent, afdoende compenserende acties ondemeemt, tot een juiste diagnose komt en de lout corrigeert), war anderzijds ontbeert hij of zij de ervaring met het functioneren van het bewaakte proces in afwijkende omstandigheden.

Oplossing van dere problemafiek zou kunnen liggen in het volledig automatiseren van de bewakingsfunctie; bij de huidige stand van de techniek is dit echter niet mogelijk. De mens blijft nodig vanwege zijn creativiteit en ftexibiliteit. Beta lijkt het de mats te ondersteunen met geautomatiseerde hulpmiddelen, bijvoorbeeld met een automatisch foutdetectie- en diagnose-systeem (FDD-systeern). ahter, voordat een FDD-systeem geintroduceerd lam worden in de regelkamer is een uitgebreide evaluatie noodzalcelijk.

Om het nut van FDD-systemen vast te stellen worth er momenteel een regellcamer op de valcgroep gebouwd. In doze regellcamer lcan een kemcentrale-simulatie geobserveerd worden. Voor de kerncentrale is een FDD-systeem ontwiltheld. De bedoeling is nu om

via een serie experimenten met operators het FDD-systeem te evalueren... ifterbij

worden twee groepen operators met elkaAr verge.leken:

de we groep moet de

kerncentrale observer= met een mens-machine interface zoals dat nu ook gebruikt

Worth in een doorsnee-regelkamer (eta "klassieke" interface), en de andere groep rnoet de kerncetatrale observeren met een mens-machine interface waarin de infonnatie die het FDD-systeem oplevert, verwerkt is. Aangezien het FDD-systeem gebaseenl is op een Multilevel Flow Model worth dit de MFNI-interface genoemd.

Faculteit der VUerktuigbouwkunde en Maritierne Techniek

(9)

prof. dr. ft. H.G. Stassen

De afstudeeropdracht bestaat tilt het verbeteren van de twee mens-machine-interfa.ces volgens de dahtlijnen die naar Voren zijn gelconien in uw literatuurseriptie. Bovendien moet, in samenwerking met Jan Hoegee, boveastaand experiment daadwerkelijk uitgevoerd worden. Voor de dagelijkse begeleiding kan een beroep worden gedaan op drs. J.M.A. Sassen of dr. ft.. P.A. Wieringa.

(10)

(11)

Hoofdstuk 1

Inleiding

De huidige kennis van de regeltechnielc irmalct het mogelijk zeer complexe systemen te beheersen. 0.a in de olie- en chemische industrie en in elektriciteitscentrales wordt deze

kennis op grate

schaal toegepast: geavanceerde regelsystemen nemen de fysieke

regeltaken (manual control) over van de procesoperator en leiden het produktieproces in

goede banen. Met de installatie van een automatisch regelsysteem is de rol van de

operator echtex niet, uitgespeeld. Daar storingen binnen het proce,s (veroorzaakt door

bijvoorbeeld een defecte procescomponent of een niet goed functionerend regelsysteem) zeer snel verstrekkende gevolgen lcunnen hebben is er voor hem een geheel nieuwe Mak

1,veggelegd

het bewaken van

het complexe produktieproces

(ninth een

specia/e

regelkamer observeert de operator het proces en grijpt in zodm er lets mis dreigt te gaan). In feite promoveert de operator zo tot supervisor van het proces. In de literatuur wordt deze bewakingstaalc dan ook aangeduid met de term supervisory control (Sheridan, 1987).

Bij het uitvoeren van de supervisory controltaalc ondervindt de operator de nodige

problemen (Woods, 1987). Mlereerst tnoet deze het hoofd bieden aan onzekerheid in de in de regelkamey aangeboden procesirtformatie. Vanwege ingewikkelde koppelingen tussen de vele procescomponenten zijn daamaast met alle gevolgen van een (ergens binnen het

proces ontstane) storing te achterhalen en zijn met alle effecten van een regelactie te voorspellen. Daar staringen en verkeerde regeacties snel tot een gevaarlijke situatie kunnen leiden, moet hierop sneI, maar wel correct, worden gereageerd. Dit brengt de

nodige stress met zich mee. Daar storingen zich niet zo frequent voordoen is de operator zodoende ondexhevig aan een mentale piekbelasting.

Om grote ong,ehtleken te voorkomen is het van essentieel belang dat de operator optitnaal wordt cmdersteund bij het bewaken van een dergelijk complex proces. Een eerste aanzet

hiertoe is het verbeteren van de presentatie van procesinformatie in de regelkamer.

Hiertoe is in de literatuur een aantal richtlijnen geformuleerd (Buiel, 1992). Toepassing van deze richtlijnen heeft twee nieuwe concepten voor de mens-machine interface (het meditut tussen operator ("mens") en het complexe proces ("machine")) voortgebracht de

interface gebaseerd op een multilevel flowmodel van het proces (Lind, 1990) en de

ecologische interface (Vicente en Rasmussen, 1990).

Naast verbeteringen

in de wijze waarop procesinfonnatie in de regellcamer wordt

gepresenteerd worden er op dit moment speciale systemen ontwikkeld, die de operator helpen bij de uitvoering van zijn taak. Een voorbeeld van een dergelijk operator support systeem is een automatisch foutendetectie en foutendiagnose-systeem (FDD systeem). Dit

(12)

is een kennissysteem dat aan de hand van het verloop in de tijd van binnen het proces

gemeten variabelen beredeneert Of rich binnen het proces

storingen voordoen en

bovendien rtagaat of de operator de jaiste re.gelacties Ondemeemt. Detecteert het systeezn een storing of een verkeerde regelactie (een fout) dan stelt het hierVoor een diagnose en presenteert het deze aan de operator.

Installatie van een FDD systeem in de procesregelkamer kart een aantal Voordelen Met

zich mee brengen.

Wefficht kunnen storingen

na die

installatie sneller worden gedetecteerd en gediagnostiseesd dan voorheen. Daarneast Ican het aantal onjuiste detecties en diagnoses wellicht worden verldeind (en daarmee het a.antal verkeerde regelacties). Indien het FDD systeem voot iedere diagnOse bovendien duidelijk aangeeft op basis van viellce reclenering het die diagnose stelt, km die informatie wellicht het inzicht van de operator in het functioneren van het proces vergroten en ertoe bijdtagen dat gevolgen van storingen en regelacties beter kunnen worden doorzien.

Voorafgaand aan de installatie van een FDD systeern in eat regellcamer lcan echter molt met zekerheid worden vastgesteld hoe de operator zal OPIgagT1 met dat systeem. Pas na die installatie wordt duidelijk op wellce wijze en hoe srtel de operator de door het FDD

systeem weergegeven informatie verwerkt. Pas vanaf dat moment 'can met zekerheid

worden vastgesteld hoe de thogelijke voordelen van die

installatie daadwerkelijk uitpakken.

Binnen de sectie Mens-Machine Systemen van de vakgroep Meet- en Regelteclutie,k is een

FDD systeetn ontwildceld voor de da.ar beschikbare Generic Nuclear Plant (de GNP;

Nielsen, 1985): een eenvoudig sinsulatiemodel van het electriciteitsopwekkingsproces

zoals dat wordt uitgevoerd in een kerncentr-ale. De bevindingen van lift Fl)]) systeem

worden geimplementeerd in een inzichtelijke procespresentatie: het multilevel flowmodel van de GNP. Dit model kan worden weergegeven in de simuLatie-controlekamer van de GNP (de GNP tegellcamer). In deze kamer kan het gedrag Van operator's bij het bewaken van de GNP wordea geobserveerd.

Gezien de reactie van de operator op de installatie van een FDD systeem in zijn/haar

werkamgeving, was het Met duidelijk in hoeverre het voor de GNP regelkamer

ontwikkelde POD systeem de GNP operator kon ondersteunen bij de uitvoering van de

supervisory controltaak. De vraag was of de operator, die gebruik kan maken van dit

systeem, nu daadwerkelijk beter in staat zou zijn storingen binnen de GNP te detecteren

en te diagnostiseren dan de operator die geen gebnlik Ian maken van dit systeem en

slechts de beschilcking heat over de informatie die van oudsher in de (klassieke) GNP regelkamer wordt gepresenteerd.

On een antwoord te vinden op deze vraag is een uitgebreide laboratorium-evaluatie

Uitgevoerd van het POD aysteem voor de GNP regelkarnet. Modem de.ze evaluatie tijn de

individuele detectie- en diagnoseprestaties van de leden van twee groepen van ze,s

proefpersonen (alien studenten

Meet- en

Regeltechniek)

gemeten. Elk van deze

proefpersditen heeft hiertoe eenzelfde elperiment uitgevoe:rd (het zgn. basisexperimenft. De leden van de ene groep proefpersonen voerden dit experiment uit in de met het FDD

systeem uitgerUste GNP regelkatner; de leden van de andere groep deden dat in de

kla csieke GNP regelkamer.

(13)

1

Tijdens de uitvoering van een basisexperiment (een experiment-sessie) had de

deelnemende proefpersoon vnl. een9bservatietaak.'Gevraagd werd gedurende drie uur de GNP te observeren en te beldjken of alle procescomponenten. normaal f-unctioriereit Op

het moment dat zich een of Meer storingen voordeden (of leken voor te doen), is

gevraagd zo gout, inaar ook zo snel rnogelijk (prestatie- en tijdsdrulc) een diagnose te

stellen Voor de oorzaak van deze storing(en). Tijdens iedere experiment-sessie is twaalf maal een storingsseenario gestart (tijdens iedere experiment-sessie dezelfde scenario's; de volgorde wagin dere we-den gestart verschilden echter per sessie). Na het stellen van een

diagnose voor (so van deze storingen werd niet verwacht dat ook de passende

rnaatregelen werden uitgevoeml (er zijn geen ingrijpmogelijltheden gecreeerd).

Om te kunnen vaststellen in hoeverre in de GNP regellcamer met FDD systeem storingen

beter kunnen worden gedetecteerd en gediagnostiseerd da:n

in de kincsieke GNP

regelkamer zijn na de uitvoering van de serie basisetperimenten via vergelijlwal

onderzoek vijf aSpecten van de door de twee groepen proefpersonen geleverde prestaties geanalyseerd:

Analyse van de kvraliteit van in de twee regellcamers gedane storingsdetecties. Analyse van de lcwaliteit van in de twee regellcamers afgeleide storingsdiagnOses.

Analyse van de snelheid waarmee in de twee regellcamers storingen werden

gedetecteerd.

Analyse van de snelheid waarmee gedeteeteerde storirtgen in de twee regelkamert

wet gediagnostise&d.

Analyse van de snellwid warm= in de twee regelkarners diagnoses voor storingen werden gewmden (de totale detectie- en diagnosesnelheid).

Door de aarmak van de experimenttaalc (de taalcstrategie) door de proefpersonen in de klassielce GNP regellcamer

te verge! ji ken met de aanpalc van die

taak door de

proefpersonen in de GNP regelkamer met FDD systeem zijn de uitkomsten van deze vhf

analyses verklanrd.

Dit rapport is eert versLag van de evaluatie (zie ook Hoegee, 1993). Na een beschrijving

van de GNP en de storirtgen die zich daarin voor kunnen doen (hoofdstuk 2) wordt in

hoofdstuk 3 geschetst hoe de GNP wordt gepresenteerd op het beeldscherm van de mens-machine interface in resp de ldassieke GNP regellmmer (de klassieke interface) en de GNP regelkamer met FDD systeern (de MFM interface; MFM = Multilevel Flowmodel). Aan de hand van de in de literatuur omschreven richtlijnen voor het ontwerpen van een mens-machine interface (Buiel, 1992) wordt aangegeven waarom voor deze uitvoeringen is gekozen.

De exacte opzet van de evaluatie is terug te vinden in hoofdstuk 4. Hier wordt verder

ingegaan op de taak die iedere proefpersoon heeft uitgevoerd. Aangegeven wordt volgens welke criteria de w analyseren storingsscenario's zijn gekozen, op welke manier prestatie-en tijdsdruk is opgelegd, in weIke omgeving de experimprestatie-entprestatie-en zifn uitgevoerd, etc In dit

hoofdstuk worden ook de tijdens de analyse van de prestaties -van de proefpersonen

getoetste hypothesen besproken.

De hoofdstukken 5, 6 en 7 presenteren de uitkornsten van de evaluatie. In hoofdsMIc 5 wordt de taakstrategie van de proefpersonen in de klassieke GNP regelkamer verge-leken

met die van de proefpersonen in de GNP regelkamer met FDD systeem. Hoofdstuk 6 presenteert overeenkomsten en verschillen tussen de in elk van de twee regelkamers

(14)

geleverde detectie- en diagnoseprestaties (afgeleitl via de veriAcatie van de in hoofdstult 4

geformuleerde hypothesen') en verklaart deze an de hand van de strategie-analyse tilt

hoofdstuk 5. Tenslotte komt in hoofdstuk 7 het oordeel, van de proefpersonen over de door hen gebruikte interfa.ces ter sprake ("de Melting van tie gebruiker").

In dit verslag worden slechts de voorlopige taticonisten Van deze analyse gepresenteerd. De definitieve nitloamsten en de wijze waarop deze zijn afgeleid zijn terug te vinden in het afstudeerverslag van Jan

Hoegee (1993).

(15)

Hoofdstuk 2

De GNP kerncentrale

De GNP kemcentrale (GNP = Generic Nuclear Plant; Nielsen, 1985) is een algetneen, sterk vereenvoucligd simidatiemodel van het eleictriciteitsopwekkingsproces zoals dat spats vindt in een kemcentrale van het PWR type (PWR = Pressurized Water Reactor).

Het model is niet gebaseerd op een werkelijk bestaande kemcentrale, maar special

gemaakt voor onderzoelc naar de activiteiten van een proefpezsoon in de regelkamer van een complex proces.

In dit hoofdstuk wordt de GNP op twee manieren beschreven: aan de hand van de

fysische hoofdcomponenten van de centrale (de ldassieke procesbeschrijving; §2.1) en aan

de hand van de in de centrale te realiseren hoofddoelen en de middelen die worden

gebruikt om die te realiseren (beschrijving van de centrale in een zgn. means-end

hierarch* §2.2). De eerste beschfijving vormde het uitgangspunt voor de

proces-presentatie op het beeldscherm van de klassieke interface (zie §3.1); de tweet voor de

procespresentatie op het beeldscherm van de MFM interface (zie §3.2).

§2.1 Een klassieke beschrijving van de GNP

De GNP bestaat uit drie gescheiden leidingcircuits, waarin water circuleert: het primaire, secumlaire en het tertiaire circuit (zie figuur 2.1). Het primaire en het secundaire circuit,

ma.ar oak het sectmdaire en het textiaire circuit, zijn d.m.v. wannte-tthwisseling met ellranr verbonden. Elk circuit ornvat een aantal hoofdcomponenten. Deze worden in §2.1.1 tm. §2.1.3 beschreven; bij iedere hoofdcomponent worth aangegeven wat de

functie van die component is en wellce storingen in (of in de buurt van) die component kunnen ontstaan (de componentnummers corresponderen met de numnaers in figuur 2.1).

In bijlage I.1 Ican worden teruggevonden welke procesvariabelen de toestand van the

hoofdcomponenten vastleggen (in het total zijn dit 74 variabelen).

§2.1.1 De hoofdcomponenten van het primaire circuit

Het primaire circuit van de GNP omvat vijf hoofdcomponenten: De reactor Het drukvat De water-voorraadtank De reactor-koelwaterpornp De stoomgenerator (zie §2.1.2) h2 De GNP kerneentrale 15

(16)

Overzicht van de GNP ( Generic Nuclear Plant")

36

REFI I

N-

--1

20 L

3

REF34

Lr.

-I/1

34

41

P7

15

AUFA7 3311

24

17 23e

_I-71--REF33

25

-114

L_

27 Y43

10

22

26

ZimIL

III

19

(17)

Figuur 2.1 Overzicht van de Generic Nuclear plant (GNP)

II III 11 3 5 6 7 10

Primaire circuit Secundaire circuit

Tertiaire circuit

Reactor Stoomgenerator Condensor Turbine Drukvat Watervoorraadtatilc Veiligheidsklep stg.

21 22 23

24

25 26 27 28 29 30

Voedingswaterpomp Koelwaterpomp Niveau-regelpomp Oliepomp Oliepomp Koelwaterreservoir Olietank Olietank Generator Regelaar watemiveau in Mg. (ALFA3)

11 112

Turbine Idep By-pass klep

31 32

Regelaar stoomdruk (p3) Regelaar spanning (V6)

113

Sproeier-toevoerklep

33

Regelaar waterniveau in drukvat

14 Niveau-regelklep (ALFA7) 15 Veiligheidsklep drulcvat

34

Regelaar druk in drukvat (p'7)

116

Verwanningselernent

36

Regotear stand van de staven (xl)

17

Oliefilter

41

Warne tak van het primaire circuit

18

Oliefilter

42

Koude tak van het pritnaire circuit

119 Wale&her 43 Stoompijp

20

Reactor-koelwaterpomp

(18)

pal=

In de reactor (1) wordt energie (Warmte) opgewekt door een geregeld proces van

kentsplitsing. In het koelwaterbassin van deze reactor hangen grafiet-staven en uranium-staven. De energie-opwekking wordt in gang gezet door een basing van een neutron met

een uranium-atom. Bij zo'n botsing wordt de kern van het uranium-atoom gesplitst en

komt o.a. energie vrij in de vorm van wannte en vrije neutronen. Elk van deze neutronen kan door het grafiet irtgevangen worden of op zijn beurt tegen een ander uranium-atoom botsen en deze doen splijten (kettingreactie). Door de grafiet-staven venter (minder ver)

het koelwaterbassin in te schuiven, worden er meet (minder) neutronen ingevangen, Vinden er minder (meer) kemsplitsingen pints en komt er minder (meer) warmte vrij.

Door de stand Van de grafiet-staven te regelen (regelaar 36) kan het

energieopwelckings-proces worden beheerst (in de stationaire toestand blijft er den neutron over om de

kettingreactie in stand te houden).

Het reactor-lcoelwater neemt de in de reactor gegenereerde wannte op en krijgt zodoe.nde een hoge tenmeratuur (daar het lcoelwater onder hoge druk staat kan er echter geen stoom ontstaan in het primaire circuit). Het reactor-koelwater is radio-actief en mag daarom Met uit het primaire circuit ontsnappen.

In de buurt van de reactor van de GNP lcunnen drie storingen ontstaan: Regent. 36 kan een verkeerde uitgang genereren.

Het setpoint voor regeJaar 36 (REF 1) kan verkeerd worden ingesteld.

De grafiet-staven kunnen St meer reageren op het stuursignaal van regitar 36. Het drulcvat

De druk in het drukvat (7) is bepalend voor de (relatief hoge) druk in het primaire circuit. Deze druk wordt geregeld door regelaar 34. Om de druk te verhogen wordt het in het vat aanWezige Water verhit ffi.b.v. een elektrisch venvarmingselement (16). Om een verlaging

van de druk te bereiken woidt, m.b.v. en sproeie,r, Water uit de koude tak van het

primaire circuit (42) in het drukvat gebracht, zodat een deed van de in het vat aanwezige sworn kan condenserert. Loopt de druk in het vat desondanks toch te hoog op, dan gaat de veiligheidsklep van het drulcvat (15) open en ontsnapt radio-actieve stoom uit het drukvat.

In de buurt van het drukvat van de GNP kunnen vijf storingen ontstaan: Regelaar 34 kan een verkeerde uitgang genereren.

Het setpoint voor de druk in het drukvat (REF34) kan verkeerd worden ingesteld. Het elektrisch verwanningselement (16) kan Met meer reageren op het stuursignaal van regelaar 34.

De Idep (13), waanrtee het debiet van het uit de koude tak van het primaire circuit instromende water wordt ingesteld, 'can niet meer reageren op het stuursignaal van regelaar 34.

De veiligheidsklep van het drulcvat (15) kan defect taken.

(19)

De Water-voormadtank

Het waternive.au in het drukvat wordt geregeld door regelaar 33. Indien het waterniveau in het drukvat te hoog oploopt, wordt water uit het primaire citolit via eert Idep (14) nut de watenfoorraadtank (8) afgevoerd. Ads het Wataniveau tO vet mkt, wordt, na.b.v. eta pomp (23), water" Varna dew tank naar het primaire circuit gepompt (pomp 23 heeft een variabel toerentai).

In de buurt van cle water-voorraadtank van bet primaire circuit kunnen Vier storingen

ontstaam

1) Regelaar 33 kart een verkeerde uitgang genererem

.2) Het setpaint van het waterniveau in het drukvat (REF33) kan verkeerd worden

irtgesteld.

De. pomp in de toevoaleiding (23) kan niet meet reagereii op het stuurSigriaal van regelaar 33.

De Idep in de afvoerleiding (14) kan St Meer reageteil op het stauttir221 van

regelaat 33.

Deleactor-koelwaterpomp

Be reactor-koelwaterpomp (20) zorgt voor de circulatie van het reactor-koelwater in het primaire circuit. In normale situaties is het toeraital van de pot') constant. Het oliecirtuit van deze pomp is bok terug te vinden in de GNP.

In On rondom cle reactor-koelvvaterpo.mp van de GNP kunrten drie staingen onrctaan: De reactor-koelwaterpomp Italy defect raken.

be oliepomp (24) in het oliecircuit van de reactor-lcoelwaterpomp kan defect

Taken.

Het obef4ter (17) in het oliecircuit van de reactor-koelwaterpomp }can verstopt taken of scheuren.

12.1.2 De hoofdcomponenten van het secundaire circuit

Het secundaire circuit van de GNP onwat vier hoofdcomponenten: De stoomgenerator

De turbine en de generator De voedingswaterpornp be conclensor (zie §2.1.3) De stoomgenerator

De stocithgetterator (3) is de Warinte-Wisselaar Ulaseil het prittaite On het Sedinidaire

circuit (en is dus ook een hoofdcomponerit van het priniaire circuit). In deze

warmte-wisselaar staat het in het primaire cireitit rondgepompte reactor-koelWater de in de reactor opgenoMen warinte af aan bet secundaire circuit (in de GNP is deze Warinte-civerdracht

evenredig Met het waternivean aan de seCundaire zijde van de stotungenerattir en het

(20)

tertiperatutirverschn tuasen primaire en secundaire zijde). Hierbij wordt het water in het secundaire &tint iodanig Verhit dat stOwn wardt gevormd.

De (reatief lage) druk van de &thorn in de stooingerierator (P3) Wordt indirect geregeld

door regelaar 31. Wanner de druk te bag (hoog) Wordt, wordt in de reactor meer

(winder) enertie gegenereerd (de stand van de regelstayen wordt dan an ; -past dear regelaar 36). Als de drult in het vat erg hang oploopt, waat de veiligheidsklep van de

stowngenerator (10) open en wordt mom, afgebiazen naar tie omgeving. In en rondom de stoomgenerator van de GNP lcunnen vier storingen ontstaan:

Regelaar 31 kan een verkeerde uitgang genereren.

Hot setpoint voor de stoomdruk (REF31) kan verkeerd warden ingesteld. De Veiligheittdiep vail de stoortigentrator (10) kin defect ralcen.

In de stOomgeterator Lag een lek entstaan (beet, radio-actief koelwater nit het

prirnaire circuit lekt par het secUndaire circuit). De turbine en de generator

De in de stoomgenerator geproduceerde stoom drijft de turbine (6) aan. De as van de

turbine is gekoppeld aan de as van de generator (29). De generator zet de rotatie-energie van de turbine om in elektrische egergie. In de GNP is de door de generator afgegeven stroomsterkte cOnstagt. De afgegeven spanning (V6) is evenredig met her toerental Van de turbine.

Regelaar 32 vergelijIct de geproduceerde spanning met de gewenste spanning en stutirt op

grotid van tilt verschg de Itletri in de stoomtoevoer (11) verder of minder ver open.

Wanneer het toeregtal van de turbine of het gegenereerde vermogen te groat wordt, worth een deel van de stoom via een by-pass leiding (12) om de turbine en de generator been geleid.

In de bunt/ vati de turbine en de generator van de GNP bin= Sr storingen Ohtstaan: Regelaar 32 lian een verkeerde uitgang genereren.

Het setpoint voor regelaar 32 (REF32) Iran verkeerd worden ingesteld.

De Idep in de stoonnoevoer (11) Icnt niet glee; reageren op het stuursignaal van regelaar 32.

De Idep in de. bypass-leiding (12) kan riiet Meer reageren op het stuursignaal van regetiar 32.

De voedingswaterpomp

Het waterniveau aan de secundaire zijde van de stoomgenerator wordt bewaakt door

regelaar 30. Als het niveau te ver daalt (stijgt) pompt de voedingswaterpomp (21) meet

(minder) water naar de stoomgenerator (de pomp heeft een variabel toerental). Het

oliecircuit van deze pomp is ook terug te vinden in de GNP.

(21)

In en rondom de voedingswaterpomp van de GNP kunnen vijf storingen ontstaan: Regelaar 30 kart een verkeerde uitgang genereren.

Het setpoint voor het watemiveatt aan de sectmdaite zijde van de stoomgentrator (R-EF30) kan verkeercl worden ingesteld.

De voedingswaterpomp (21) km Met meter reageren op het stuursignaal van

regelaar 30.

De oliepomp (25) in het oliecircuit van de voedingswaterpomp kan defect raken. Het Wieldier in het oliecircuit van de voedingswaterpomp (18) kan verstopt ralcen of scheuren.

§2.1.3 De hoofdcomponent van het tertiaire circuit

Het tertiaire circtiit van de GNP heeft din hoofdcomponent: de condensor. De ccmdensor

De condenser (5) is de warrnte-wiscelaar tussen het seetindaire en het tertiaire circuit (en is dus ook een hoofdcomponent van het secundaire citbuit). Hietin Vvordt de steam uit het secundaire circuit, nadat het een deel van z'n energie heeft afgegeven in de turbine, weer gecendenseerd en toegeveegd aan de voorraad voedingswater veer de stoomgenerator. In werkelijk bestaande PWR centrales wordt hierbij energie afgegeven gap Mt de orngeVing van de kemcentrale betroldcen lcoelwater (bijvoorbeeld uit en riVier). In de GNP wordt echter energie afgegeven a.an in het tertiaire circuit circulerend koelwater. De energie-inhoud en de massa van het water in dit circuit veranderen niet.

In de buurt van de condenser van de GNP kurmen ,twee stetingen ontstaan:

De pomp die het lcoelWater dOot de condenser pots (22) ka.n defect taken.

Het Waterfdter in de afvoetleiding van het koelwater kan scheuren of verstopt

raken.

§2.2 De means-end hierarchie van de GNP

In 42..1

zijn de fysische hoofdcomponenten van de GNP en de functies van die

compo:nenten beschreven. Rasmussen (1985, 1986) maakt duidelijk dat een dergelijk

systeem ook op een andere, meer inzichtelijke manier kan wordea beschreven, iii. in een

zgn. means-end hierarchie. Een dergelijke hierarchie is gebouVid op ee.n aantal lagen.

Iedere laag geeft het te beschrijven systeem weer op een ander abstractieniveau. De

onderlaag correspondeert met tie beschrijving van dit

systeem op het

Iaagste

ahstractieniveau (alle fysische details worden aangegeven). Volgende lagen geven het

systeem weer op een steeds hoger abstractieniveau (op de bovenste laag is er geen Oog

meet voor details,

maar worden alleen de met het systeent

te realiseren hoofd-doelstellingen beschreven).

De systeeritheschijvingen hangen nauw met eucaar samen: leder elemean van de

system-be,schijving op een zeker absttactieriiveau (niveau Y) vorint ee:n doel Waanan den of meer elementen van de systeembeschijving op het &vett ender niveau Y (niveau X)

(22)

bijdragen. Omgekeerd is ieder element van de systeembeschrijving op niveau X weer een nriddel dat bijdraagt an de realisatie van den of meer doelen op niveau Y (een element van een systeembeschrijving 'can dus een middel zijn voor rneerdere doelen en een doel voor meerdere middelen). Indien edit element op niveau X St goed functioneert, lumen meerdere elementen op niveau Y aangetast worden in bun ftuictioneren. Omgekeerd kan

het met goed functioneren van een element op niveau Y veroorzaakt worden door het gelijktijdig St goed functioneren van een aantal elementen op niveau X. Het onjuist

functioneren van een element van de systeembeschrijving op een bepaald abstractieniveau kan zich op deze manier snel voortplanten naar hogere niveau's.

In figuur 2.2 is de means-end hierarchie van de GNP afgebeeld. Deze hierarchie bevat procesbeschrijvingen op vier abstractieniveaus:

Het niveau van de hoofddoelen (niveau I, zie §2.2.1) Het nivea.0 van de abstracte nineties (niveau II, tie §2.2.2) Het niveau van gegeneraliseerde functies (niveau ifi, rie §2.2.3) Het niveau van procescomponenten (niveau IV, zie §2.2.4).

§2.2.1 Het niveau van de hoofddoelen

Op bet

niveau

van de hoofddoelen

worden de binnen

de GNP te

realiseren hoofddoelstellingen weergegeven. Er zijr; drie hoofddoelstellingen:

Het handhaven van de veifigheicl ('SAFETY') Hiertoe zijn drie aspecten van belang:

Er iriag geen radio-actief reactor-koelwater uit het primaire circuit naar de omgeving leldcen ('maintain mass primary circuit').

Nergens in de centrale mag ophoping van energie plaats vinden Dit is

afhanIcelijk van de fancties 'energy traiispcitt primary &eat', 'energy

transport secundary chant', 'energy transport tertiary circuit' en 'energy

conversion'.

Wanneer de generator 12% meet vermogen ciao normaal levert mag de

loxlwatertemperatuur bij de ingang van de reactor om veiligheidsredenen niet te laag zijn (het energieopwelddngsproces verloopt dan niet op nonnale

wijze; in de kemcentrale in Borssele wordt de kemreactor in tilt geval

uitgeschakeld). Mn deze vootwaarde vverdt in ieder g,eval voldaan wanneer de ingangstemperatuur van het koelwater groter is dan 270°C.

Het produceren van de gevraagde hoeveelbeid elektriciteit (PRODUCTION')

Dit doel kan alleen gemaliseerd worden als de in de reactor voldoende energie wordt gegenereerd en deze energie op correcte wijze door de centrale wordt getransporteerd. Het produktie-doel is dus afhankelijk van de nineties 'energy

generation', 'energy transport primary circuit', 'energy transport seeundary circuit', 'energy transport tertiary circuit' en 'energy conversion'. Bovendien is het doel direct afhankelijk van het goed functioneten van de turbine-klep ('Valve 11') en regelcircait 32 ('setpoint 32' en 'controller 32').

(23)

.Control

rods

Valve 12.

0.4/7

Maintain mass tert

SAFETY

(PRODUCTION

I

Figuur 2.2 De means-end hierarchi

van de NP CP-tc1/4., OtesPN rAILS

ceel/6-th-1-44,-/

(ECONOMICS) = Goal

--

I---

/4-0

Setpoint control Valve

"

7

= Function II

-...1011r32

32 7241' LI

'Component

i-..

eirda

trt4;:i

c

/hlH

nrun I

Le

S

AS-trr-a

En trans Maintain Maintain maintain maintain En trans stg shell mass sec energy,sec press stg

level stg cond shell

Maintain

Pump En trans

mass prim energy prim

press prim level prz Print stg tube Energy generation Energy transport-prim Energy transport sec. Energy conversion Energy transport tert.

(24)

3) Het efficient produceren van elektriciteit ('ECONOMICS').

Dez.e doelstelling zegt dat de Mn het electriciteitsnet geleverde energie in een

gunstige verhouding moet staan tot de in de kernreactor opgewekte energie. Dit rendement wordt bepaald door het doelmatig functioneren van 'energy generation',

'energy transport primary circuit', 'energy transport secundary circuit', 'energy

transport tertiary circuit' en 'energy conversion'.

§2.2.2 Het niveau van de abstracte functies

Op het niveau van de abstracte ft:males vvordt het transport van energie door de GNP beschreven. Deze beschrijving bestaat int vijf elernenten (functies):

I) Energiegeneratie ('energy generation')

Be hoeveelheid in de reactor gegeneseende energie moet in oveneenstemming zijn

met de vraag naar energie in het secundaire circuit. Of dit het geval is, is direct afhankelijk van het functioneren van regelcircuit 36 ('setpoint l' en 'controller

36') en de regelstaven ('control rods').

Energietransport door het rirknaire circuit' ('energy transport primary circuit') Dit transport verloopt op correcte wijze als:

Het reactor-koelwater (massa) snel genoeg circuleert door het primaire circuit Dit is gewaarborgd indien er geen lcoelwater weglekt ('maintain

mass primary circuit'), het watemiveau in bet drukvat met te hoog oploopt danwel te ver zakt ('maintain level pressurizer') en de reactor-koelwaterpomp ('pump primary circuit') snel genoeg draait.

Het drulcvat voldoende druk levert ('maintain pressure primary circuit') Er geen energie uit het prirriaite circuit naar de omgeving lekt ('rnaintain energy primary circuit'

In de reactor gegenereerde energie op correcte wijze afgestaan wordt aan het secundaire circuit ('energy transport steamgenerator

Energietransport door het secundaire circuit' ('energy transport secondary

circuit')

Dit transport verloopt op correcte wijze als:

De watermassa in het sectindaire circuit voldoende snel circuleert. Mt is gewaarborgd als

er geen massa weglekt ('maintain mass secondary

circuit'), als er voldoende drulc in de stoompijp is ('maintain pressure

steamgenerator') en als er voldoende voedingsvvater in de stoomgeneraor aanwezig is ('maintain level steamgenerator').

Er geen energie uit het secunciaire circuit naar de omgeving lekt ('maintain energy secundary circuit').

In de reactor gegenereerde energie op correcte wijze opgenotnen wordt uit het primaire circuit ('energy transport steamgentrator shell').

Energie uit het secundaire circuit op correcte wijze afgestaan wordt an het tertiaire circuit ('energy transport condensor shell').

Enatieconversie ('energy conversion').

Deze functie controleert het rendement van de omzetting van thennisclie energie oar elektrische energie in de turbine en de generator.

(25)

5) Energiettansport door het tertiaire circuit' ('energy transport tertiary circuit')

Dit transport verlocipt op correcte wijze alt

Er geen energie uit het tertiaire circuit naar de orngeving weglekt.

Het koelwater voldoende snel circuleert door het tertiaire circuit Een

voorwaarde hiervoor is dat er geen koelwater weglekt ('maintain mass

tertiary circuit').

§2.2.3 Het niveau van de gegeneraliseerde ftmeties

Op het niveau van gegeneraliseerde functies worden de functies beschreven die bijdragen aan een correcte realisatie van de energiefuncties op het niveau van abstracte nineties. Deze functies kurmen worden onderverdeeld in vier categbrieen:

1) Massabehoudsfuncties

Een massabehdudsfunctie bewaakt het behoud van masa in een bepaald gedeelte van de GNP. Ieder circuit heeft z'n eigen triassabehoudsfunetie (' maintain mass

primary circuit', 'maintain mass secondary circuit' en 'maintain mass tertiary

circuit'). In elk van deze functies wordt door een beschouwing van de massabalans van (delen van) dat circuit vastgesteld of geen massa uit het circuit weglekt.

Energiebehondsfuncties

Een energiebehoudsfunctie bewaakt het behoud van energie in een bepaald gedeelte van de GNP. Het pritnaire circuit en het secundaito &Mat hebben leder een eigen energiebehoudsfunctie inaintain energy primnry circuit' en 'maintain energy

secundary circuit'). In elk van deze functies WOrdt door een besehoinvhig van de energiebalans van (delen van) een circuit vastgesteld of gem energie uit het circuit

vveglekt.

Energieoverdrachtsfuncties

De energieoverdracht tussen de verschillende circuits wordt in aparte functies

bewaalct ('energy transport steamgenerator tube', 'energy transport steamgenerator shell' en 'energy transport condensor shell').

Overige functies

In vier fineries worth de grootte van belangrijke variabelen in de GNP bewaakt (de geregelde variabelen). De vier op dit niveaui bewaakte variabelen rijn:

-

de druk in het primaire circuit P7 ('maintain press primary circuit')

de druk aan de secundaire zijde van de stoorngenerator P3 ('maintain

presssure steamgenerator')

het waterniveau in het drulcvat ALFA7 maintain level pressiirizer')

het wateniiveau aan de secundaire zijde van de stoothgenerator ALFA3

('maintain level steamgeneraton

I In de nineties 'production' en 'energy generation' worden de grootten van de twee andere geregelde

variabelan beWaakt (resp dp gegencreardp eleittrische spanning V6 en de stand van de regelstaven X1).

(26)

§2.2.4 Het niveau van de proce.scomponenten

Op de onderlaag van de gleans-end hitnrchie van de GNP iijn al de elementaire

procescomponenten van de centrale terug te vinden. De meeste Componenten zijn eext middel voor dem of meer van de functies op het niveau van gegeneraliseerde functies_

Somrnige componenten zijn echter direct een middel voor een funetie op een hoger

abstractieniveau.

In figuur 21 zijn de namen van procescomponenten weergegeven in cirkels. Wegens

ruimtegebrek zijn echter niet alle procescomponenten afgebeeld; alleen die componenten waarin een storing kart worden geintroduceerd (zie §2.1) zijn weergegeven (daar geen

leldcen lcunnen worden geintrodureerd in het tertiaire circuit zijn de leidingen in dat

chalk bifroorbeeld filet terug te vinden in figuur 22)

(27)

Thofdstuk 3

De twee mens-machine interfaces

In dit hoofdstuk wordt geschetst op welke wijze de twee tijdeas de evaluatie gebruikte mens-machine interfaces - de klassieke interface (§3.1) en de MFM interface (§3.2)

-procesinformatie presenteren in de GNP regelkamer. Na teen bespieking van het concept volgens welke een interface is cmtworpen (§3.1.1 re-sp. §3.2.1) wordt aangegeven welke procesafbeeldingen via deze interface kunnen worden bekeken resp. §32.2) en op

welke wijze proefpersonen worden geattendeerd op afwijldngen van de norrnale situatie (het aLarmsysteem; §3.1.3 resp. §3.2.3). Tenslotte worden de beide interfaces met elkaar

vergeleken aan de hand van de in literatuur gegeven richtlijnen voor het ontwerpen van een mens-machine interface (§3.3).

§3.1 De klassieke interface

In regelkamers van complexe produlcdeprocessen wordt het uitgevoerde proces veelal op eenzelfde wijze gepresenteerd. Deze "klassieke" procespresentatie (een benadering van de-zgn. "edn-sensor-den-indicator" interface) is als uitgangspunt gekozen voor het ontwerp

van de ldassieke interface voor de GNP. Na een analyse van de verschilien tussen de

tijdens de etaluatie Met elk van de twee interfaces hehaalde "scores" zoti va een (eerste)

schatting kunnen worden gemaakt van de bruikbaarheid van eert FDD systeem in een

werkelijke bestaande (dassieke) procesregellcamer.

§3.2.2 Het interface-concept: de "e0n-sensor-ien-indicatcir-interface"

ken "den-sensor-Cten-indicator" interface (Goodstein, 1981) geeft simpelweg alle elementaire data weer die met een aantal sensoren worden gemeten !airmen het proces

(ruwe, onbewerkte data). Een strilct volgens dit principe ontworpen interface plaatst de momentane waarde van elke gemeten procesvariabele op het beeldscherm (een scherm vol

gelijk ogende analoge danwel digitate meters). Wanneer de waarde vas den van die

variabelen een tolerantiegrens

overschrijdt wordt de operator

hierop geattendeerd (alarmmeldingen).

De meeste in de huidige procesregellcamers geplaatste mensinachine interfaces benadere,n

het "den-sensor-din-indicator" principe. Naast de momentane waarden van de

proces-variabelen kart bier veelal oak het verloop van the varinbelen in de tijd worden bekeken, zodat trends lcunnen worden waargenomen. Bovendien ka i een op het beeldscherm

(28)

afgebeelde procesplattegrond worden achterhaald op wake pints in het proms due

variabelen worden gemeten. Alarmmeldingen warden veelal geplaatst op een hveede

beeldscherm.

§3.1.2 De procespresentatie

In figuur 3.1 is het (rn.b.v. het programmapakket 'Data Views' onhVikkelde) beeldscherm van de klassieke interface afgebeeld. De linkerzijde van dit beeldscherm is gereserveerd

voor het weergeven van procesinformatie. De volgende informade kan worden

terug-gevcmden:

a)

De morhentane waarden van de 73 variabelen die de toestand van de GNP

vastleggen:

Zes setpoint-waarden ('setpoint values' in figuur3.1)

Uitgangen van de zes regelaars ('controller outputs' in figuur 3.1) Overige grootheden ('measured values' in figuur 3.1).

b) Plattegronden van (gedeelten van) de GNP waarirt kart worden teruggevonden op welke pints in de centrale de onder a) genoemde grootheden zijn gemeten.

c) Het verloop van de onder a) genoernde variabelen in de tijd (trencidiagrarnmen). Proefpersonen kunnert vijftig "tijdstappen"

terug in het verleden Idjken (edn

tijdstap bedraagt ongeveer 2 sec.)

d) Referentiewaarden ('reference values' in figuur 3.1) voor de onder a) genoemde grootheden. Dit zijn de waarden rond welke deze grootheden zich in een nonnale

situatie beViegen.

Deze informatie is ondergebracht in elf processchema's: beeldschennafbeddingen van de

gehele of een deel van de centrale (in het keuzemenu in beeldschennwindow 1 bin uit deze afbeeldingen, m.b.v. een muis, den schema worden geselecteerd on te worden

afgebeeld in beeldschermwindow 2). Mn de bovenzijde van ieder schema is een

plattegrond van dat procesgedeelte afgebeeld. Namen van daar gemeten grootheden zijn,

samen met hun actuele wa.arde, afgebeeld op de plaatsen in de plattegrond die

corresponderen met de plaatsen in de centrale war deze grootheden zijn gemeten. Mn de ondenijde van ieder schema is het verloop van deze variabelen in de tijcl afgebeeld. In deze trenddiagrammen (zie figuur 3.2) zijn tevens de referentiewaarden en limiet-waarden (zie §3.13) voor die variabelen aangegeven.

De elf processchema's zijn onder te verdelen in drie categorithr Het totaaloverzicht (1 processchema)

In dit processchema is een overzichtsplattegrond van de GNP te zien

(de

regel1cringen en oliecircuits zijn echter Met afgebeeld). Tevens zijn de belangrijkste binnen de centrale gemeten variabelen te nen.

Circuit-processchema's (3 processchema's)

later van de drie circuit-processchema's geeft een overzicht van een van de drie leidingcircuits in de GNP en de belangrijkste daarbinnen gemeten variabelen (de regelkringen zijn wet afgebeeld, man de oliecircuits niet).

(29)

Ti 329.2 measured value reference value limit value 700 600 558 300 T1 (deg C) 350 331 329 300 OM/0 (rpm) ALFA3 [0.1] 1 0.6 0.5 0.25 0 12 (deg C) 350 293 290 250 180 166 .158 140 P7 OF) PM6 (rpm) 2500 .1803 [900

Keuzemenu voor de in window 2 al te beelden processchema's

Window waarin de in window 1 aangeklikte processcherna's worden afgebeeld

Window waarin alarinmeldingen worden afgebeeld

Flgaur 3.1 Het beeldscherm van de klassieke interface

ALARMS

0 P3 LOW Q1 HIGH P3 NO LONGER LOW FI4 HIGH Si RIGEL Ti MGM F14 NO LONGER HIGH (MW) FIthar] 1100 90

Ncrec.

75 65 343 30 20 500

(30)

Figuur 3.2 Twee voorbeeklen van trenddiagrammen 3) Hoofdcomponent-processchema's (7 processchema's).

leder van de zeven hoofdcomponent-processchema's geeft een

gedetaffieerd

overitcht van ein van de in §2.1 besprolcen hoofdcomponenten in de GNP en alle in de buurt van die component gemeten variabelen (voor de hoofdcomponent van

het tertiaire circuit, de condensor, is geen apart processchema gemaakt; alit

rondom deze component gemeten variabelen zijn al terug te vinden in het circuit-processchema van het tertiaire circuit).

In bijlage 1.3 zijn de elf processchema's afgebeeld.

§3.1.3 Het alarmsysteem

De werking van het alarrnsysteem

Aan de rechternjde van het beeldschenn van de ldassielce interface is het alarmwintlow afgebeeld (beeldschennwindow 3 in figuur 3.1). Dit window is permanent zichtbaar op

beeldscherm. Indien een procesvariabele te ver afvvijkt van zijn referentiewaarde

wcmit *Ivan direct melding gemaalct in het alarmwindow: onder het laatst in het window ALFA3, REF30 [0,1]

1 Limiet-waarden toot ALFA3

((slider- en bovengrens)

0.6

Waarde van refREF30 (referentiewaarde voor FtEF30)

Waarde van ALFA3

0.25

0 _{Weenie van REF3O}

(setpoint voor ALFA3)

021, X0M21

(rpm)

625 _{Waarde van refOlvi21}

(referentiewaarde voor 0M21)

Waarde van 0M21

396 (toerental pomp 21, waarmee ALFA3 wordt geregeld)

368

Waarde van X0M21

300 _{regeiaar 30 near pomp 21)}(stuursignaal van

50 tijdstappen 1C0 sec. _{Limiet-waarde voor 0M21} (onderrens)

(31)

verschenen bericht wordt (met rode letters) aangegeven dat de waarde van die variabele tot onder (boven) de vooraf vastgestelde ondergrens (bovengrens) is gezakt (gestegen). Op het moment dat de melding wordt ingetrokken verschijnt er (weer onder het laatst in dat window verschenen bericht, man nu met witte letters) een tweede, afmeldend bericht op het scherm. De oorspronlcelijk alarmmekling verdwijnt na deze afmelding echter met van

het scherm, maar worth vanaf dat moment met witte letters weergegeven (i.p.v. rode

letters). Op deze manier is

altijd op het beeldscherm

te zien in welke volgorde

alartnmeldingen zijn afgekondigd en ingetroldcen.

Aan de hand van het alarmwindow in figuur 3.1 kan de vverldng van het alannsysteem nader worden toegelicht In deze figuur zijn zeven meldingen terug te vinden. De actuele

waarden van de variabelen Ql, E7 en Ti liggen allemaal boven de vooraf vastgestelde bovengrens: de (upper) limit value (van Q1 en T1 is een trenddiagram afgebeeld; het

trenddiagrarn van E7 kan

alleen worden teruggevonden in een hoofdcomponent-processchema). De alannmeldingen voor de variabelen F14 en P3 zijn na enige tijd weer ingetrokken (van P3 is een trenddiagram afgebeeld; het trenddiagram van F14 kan alleen worden teruggevonden in een hoofdcomponent-processchema).

To het alannwindow kunnen maximaal 40 meldingen worden afgebeeld (in iedere kolona

20 theldingen). Op het Moment dat alle 40 plaatsen zijn bezet en er rich een nieuwe Melding voordoet verdwijnen de eerste 20 meldingen van het therm. Proefpersonen

kcinden deze 20 meldingen Met meer terughalen. Aangenomen is dat zij hiervan lijdens de evaluatie geen hinder zouden ondervinden.

Het vaststellen van at limiet-waarden (limit values)

Het instellen van de onder- en bovengrenzen waartussen de procesvariabelen zich, zonder dat alannen worden gegenereerd, moeten bewegen (de limiet-waarden) vraagt de nodige aandacht. Wanneer deze gemiddeld te dicht in de buurt van de referentiewaarden worden

gelegd worden de proefpersonen al bij zeer kleine variaties in de wamden van de

variabelen overspoeld met alarmmeldingen. Is het verschil tussen de referentievvaarden en de limiet-waarden daarentegen gemiddeld erg groot, dan verschijnen, ook op het moment dat zich een storing voordoet, nauwelijks alannmeldingen in het alarmwindow.

Om na te gaan hoe de limiet-waarden het beste lconden worden ingesteld, is voorafgaand

an de evaluatie een bezoek gebracht an de kemcentrale in BorsseIe. In deze centrale

wordt - wanneer de vele, niet in de GNP terug te vinden veiligheidsvoorzieningen even terzijde worden geschoven - globaal op eenzelfde manier elektriciteit opgewekt aLs is

gemodelleerd in de GNP. Tijdens het bezoek zijn de limiet-waarden, zoals die zijn

ingesteld in die hoofdcomponenten van de kerncentrale in Borssele die ook zijn terug te vinden in de GNP, genoteerd en vertaald naar at GNP (in bijlage 1.2 is de instelling van de limiet-waarden terug te vinden).

(32)

§31 De IVIFM interface

De bevindingen van het FDD systeem voor de GNP worden op het bee1dschenn van de MFM interne gepresenteerd in een multilevel flowmodel (MFM; Lind, 1990). Met dit

model zouden proefpersonen in staat rnoeten zijn een diepgaand inzicht te verkrijgen in het functioneren van deze centrale en zouden zij oorzaak en gevolgen van storingen sad moeten lumen achterhalen.

§3.2.1 Het interface-concept:

de interface gebaseerd op multilevel flow modelling

Een op multilevel flow modelling (Lind, 1990) gebaseerde interface brengt represe-Maties (multi) van een proces op verschillende abstractieniveaus (level) met elkaar in verband in

een means-end hierarchie (tie §2.2). Kenmerkend voor dit multilevel flowmalel is dat

'there representatie het proces - zoals dat functioneert in normale omstandigheden

-beschrijft

in termen van massa- en energiestromen

(flow);

elk element van een

procesrepresentatie is eel aaneenschalceling van elementaire nineties van mass- of

energiestroom (een massa, of energie-stroomdiagram. ). Lind onderscheidt hiertoe zes eletnentaire stromingsfuncties:

De opslagfunctie

Een opslagfunctie representeert een mogelijkheid energie of massa op te slaan (in

het multilevel flowmodel van de GNP wordt het drukvat gemodelleerd als

opslagplaats van mass en energie, zie §3.2.2). De balansfunctie

Een balansfunctie representeen een deel van het proces war de in- en uitgaande massastromen (energiestromen) met elkaar in evenwicht zijn: er stroomt evenveel massa (energie) het dee binnen als er uit stroomt.

De transportfunctie

Een transportfunctie repretenteert de mogelijkheid mass (atergie) te verplaatsen

tus.sen twee dew van het proces (leidingen uit de GNP zijn in het multilevel

ftowmodel van die centmle terug te vinden als transportfunctie, tie §3.2.2).

De barriere-functie

Een barriere-functie representeert de mogelijkheid het

transport van massa

(eneigie) tussen twee delen van het proces te blokkeren (de wand Van een

geisoleerde leiding in

de GNP veorkomt dat er massa en energie wordt

getransporteerd tussen de leiding en de omgeving van the leiding en heeft dtis een barriere-functie, zie §3.2.2).

De bron-fundie

Fen bron-ftmctie representeert een oneindig grote voorraad van massa (energie). In

werkelijItheid besman dergelijlce voorraden natuurlijk niet, mar in een aantal

gevallen kan het gedrag van een procesdeel wel goed worden benaderd met het

gedrag van zo'n oneindig grote voorraad (in een aantal elementen van het

multilevel flowmodel voor de GNP worth de reactor gemodelleerd als een

energiebron, zie §3.12).

(33)

6) De put-functie

Een put-flinctie gedtaagt zich als een afvalput, waarin oneindig veel massa

(energie) kan worden gestort. Dergelijke oneindig diepe putten bestaan in

we.rkelijkheid natuurlijk met, maar het gedrag van een procesdeel kan in een aantal

gevallen wel goed worden benaderd door het gedrag van zo'n put (in het

multilevel flowmodel voor de GNP wordt het elektriciteitsnet gemodelleerd als de energieput waaraan de in de centr-ale gegenereerde energie wordt afgestaan, zie

Eke elementaire stromingsfunctie kan worden gekarakteriseerd met een differentiaal- of

algebraische vergelijIcing. In tabel 3.1 zijn deze vergelijkingen weergegevea. Ook de

symbolen waannee de zes functies in een multilevel flowmodel worden gevisualise.erd (de

eletnentaire bouwstenen van ieder multilevel flowmodel) zijn in deze tabel terug te vhiden, eves de regels die moeten worden gevolgd bij het aaneenschalcelen van de

symbolen (deze volgen logisch nit de aard van de functies die de symbolen visualiseren).

De modellering van een deel van het proces met een van de in tabel 3.1 afgebeelde

symbolen geeft Wet altijd een voldoende beschrijving van dat procesgedeelte. Vaak wordt dit symbool daarom voorzien van ten of 'neer condities voor het correct uitvoeren van de

met dat symbool gevisualiseerde functie (bijvoorbeeld een conditie, waarin wordt

aangegeven hoeveel energie maximaal in een procesdeel met een energie-opslagfwictie

kan worden operegen).

§3.2.2 De procespre.sentatie

In fleinir 33 is het beeldschenn van de MFM interface afgebeeld (dit is, evenaLs dat van

de klassieke interface, m.b.v. het programmapalcket 'Data Views' ontwilckeld). De

beeldschermwindows 1 en 2 aan de linkerzijde van het beeldscherm zijn gereserveerd voor het weergeven van procesinformatie op het laagste abstractieniveau van de

means-end hierarchic van de GNP (niveau IV, zie §2.2.4). Aan de rechtenijde - d.w.z. hi de

beeldschermwindows 3 en 4 - wordt procesinformatie op de drie hogere abstractieniveaus

in die hierarchie (de niveaus

I,

II en III,

zie §2.2.1 tm.

§2.2.3) gepresenteerd. Gezamenlijk vormt deze informatie het multilevel flowmodel van de GNP.

De rechterzijde van het beeldscherm (informatie op de abstractieniveaus I. II en 1111

Beeldschermadow 3 geeft een overzicht van de top van de in fignur 2.2 afgebeelde

means-end hierarchie van de GNP. Na een van de in dit window afgebeelde elementen

(d.w.z. een functie of een doe!) met de muis te hebben aangeldilct, verschlint in

beeldschermwindow 4 het MFM schema bij dat element een beeldschermafbeelding

wamin dit element volgens de MFM methodologie worth beschreven. Het belangrijkste

onderdeel van de =este MFM schema's is een in de rechterbovenhoek van het schema

afgebeeld massa- en/of energie-stroomdiagram. Dit stroomdiagram (een aaneenschakeling

van syrnbolen uit tabel 3.1) symboliseert de naam van het MFM schema. Onder en/of

links van dat diagram is het verloop van relevante variabelen afgebeeld trenddiagrammen (zie figuur 3.2). Vaal( hebben cleze variabelen een directe relatie met den van de MFM symbolen in het stroomdiagrarn (bij een opsiagfunctie-symbool hoort bijvoorbeeld de waarde van een hoeveelheid opgeslagen

massa- (entree)). Pe

(34)

Tabel 3.1 Overzicht van de in een multilevel flowmodel gebruikte symbolen

Symbool

..

Naam stromingsfunctie Toelichting

dQ/clt = F./ + F2 - F3

F1

F

Opslagfunctie

er kunnen meer in- en/of uitgangen worden toegevoegd

-een opslagfunctie kan all-een met transport- of barrierefuncties warden verbonden

0 = F./ - F2 - F3

Balansfunctie

er kunnen meer in- en/of

uitgangen vvorden toegevoegd

F3 een balansfunctie Iran alleen met

transport- of barrierefuncties warden verbouden

Fi = F2

Ui F2

_{Transportfunctie}

er kunnen slechts 2 verbindingen met een transportfunctie warden

gelegd (in- en uitgang,sstroom)

een transportfunctie kan alleen verbonden worden met put-, bran-, balans- en opslagfuncties

Fl = F2

(Als condities> dan Fi = F2 = 0)

F/ F2

Barrfere-functie

er kunnen slechts 2 verbindingen met een barriere-functie worden gelegd (in- en nitgangsstroom) een barriere-functie kan alleen verbonden worden met put-, bron-, balans- en opslagfuncties

kan slechts 1 verbinding met een bran worden gelegd (uitgangsstroom)

Bron-functie

een bran kan alleen verbonden warden met een transportfunctie

-Put-functie

er lain slechts 1 verbinding met een put worden gelegd (ingangsstroom) een put kan alleen verbonden worden met een transportfunctie

Q = hoeveelheid opgeslagen massa (energie) [kg] of [J]

(35)

T1 335 Q1 995 mesured vine nleren el Salos 91 040/1, 11130 500 ON20 Opal 700 558 300 T1 olep 351 331 329 300 111840 SO 75 65 0.5 293 290 0 97090 180 Ii.) .118 140 1900 ORO 0M6 1860 WES 323 0846 lAm1

Safety

printery ₁ environment circuit maintain man prim is OK ALSO T2>270 Qi-WE6 loam Prevent1os of cooling: 08420> 558 AND 1.1 <331

Goals and functions

Keuzemenu voor de in window 2 af te beelden processchema's

Window waarin de in window 1 aangeklikte processchema's worden afgebeeld

overzicht van het MFM model. Tevens keuzemenu voor de in window 41 te beelden MFNI schema's

Window waarin de in window 3 aangeklikte MFM schema's worden afgebeeld

(36)

belangrijlcste in het element bewaalcte variabelen (meestal et of meer massabaLansen, eau of mee.r energiebalansen, of een geregelde variabele) zijn geplaatst in de linlcerbovenhoek van het schema. Bewaalct de functie een gerege1de variabele dan is ook het fimctioneren

van de procescomponenten die deze regeling bewerlcstelligen (een regt.122r en egn of twee ingrijporganen) uit het MFM schema af te lezen.

In de rechterbovenhoek van figuur 3.3 is een voorbeeld van een MFM schema afgebeeld:

het MFM schema bij het veiligheidsdoel ('SAFETY'). Het eerste aspect van dit doel voorlcomen dat radio-actief reactor-koelwater ontsnapt nit het prirnaire circuit - wordt

gevisualiseerd door het bovenste (rna.ssa)stroomdiagram: de barriere-functie tussen het primaire circuit (opslagfunctie) en de omgeving (putfunctie) geeft an dat geen massa uit

het primaire circuit naar de omgeving mag stromen ('maintain mass prim' is OK). Het

twee-de aspect - nergens in de centrale mag energie zich ophopen - is gevisualiseerd met een (energie)stroomdiagram en drie (bijbehorende) trenddiagrammen. Het stroomdiagram geeft aan dat de in de reactor gegenereerde energie (Q1) voor een deel wordt omgezet in elelctrische vermogen (WE6) (de niet omgezette energie wordt beschouwd als verloren energie: losses'). Alleen als het koelwater voldoende circuleert (de

reactor-koelwaterpomp (pomp 20) moet snel genoeg draaie.n: 0M20 > 558 toeren per minuut) ea de temperatuur in de buurt van de re.actor niet te hoog oploopt (T1 < 331°C) hoopt zich geen energie op. Het derde aspect van het veiligheidsdoel - het energieopwelckingsproces

moet correct verlopen - is gerepresenteerd met een voorwaarde waaraan de

koelwater-temperatuur aan de ingang van de reactor moet voldoen (T2 > 270°C).

In bijlage 11.2 zijn the 21 in beeldschermwindow 4 op te vragen MFM schema's

afgebeeld.

De linkerzijde van het beeldscherm (informatie op abstractieniveau IV)

De procesinformatie op het laagste abstractieniveau van de means-end hierarahie van de GNP wordt niet gepresenteerd in MFM stroomdiagrammen, tnaar in processchema's. In

het keuzemenu in beeldscherrnwindow 1 lcan (rn.b.v.

een muis) een van de elf

processchema's wordert geselecteerd on) it warden afgebeeld in beeldschermwindow 2.

Dew elf processcheraa's zijn identiek an de via de ldassielce interface op te vragen

processchema's (ne §3.1.2 en bijlage 1.3).

De relaties

tussen de elementen van de procesbescluijvingen op de tie hoogste

abstractieniveaus (de niveaus I, II en III) en de procesbeschrijving op het niveau van de

procescomponenten (niveau IV) zijn Ida direct zichtbaar op het beeldscherrn van de

MFM interface. De gebruiker van de interface moet dew relaties, an de hand van de in de MFM schema's weergegeven informatie, zelf afleiden.

§3.2.3 Het alarmsysteem

Het alarmsysteem van de MFM interface waarschuwt (in tegenstelling tot het

alarm-systeem van de ldassielce interface) met voor het overschrij den van tolerantiegrenzen door procesvariabelen, maar rneldt wellce doelen en middelen in de means-end hierarchie van

de GNP met, of met op correcte wijze, worden gerealiseerd. Het system is vallettfig