IEC 61771:1995
(Main)Nuclear power plants - Main control-room - Verification and validation of design
Nuclear power plants - Main control-room - Verification and validation of design
Specifies verification and validation procedures for the design of t he control-room system of nuclear power plants and gives verificatio n and validation criteria for the assignment of functions and for the integrated control-room system.
Centrales nucléaires de puissance - Salle de commande principale - Vérification et validation de la conception
Définit les procédures de vérification et de validation applicables à la conception du système de la salle de commande dans les centrales nucléaires et répertorie les critères de vérification et de validation concernant l'affectation des fonctions et le système in tégré de salle de commande.
General Information
- Status
- Published
- Publication Date
- 12-Dec-1995
- Current Stage
- PPUB - Publication issued
- Start Date
- 13-Dec-1995
- Completion Date
- 31-Dec-1995
Relations
- Effective Date
- 10-Feb-2026
- Referred By
EN 61839:2014 - Nuclear power plants - Design of control rooms - Functional analysis and assignment - Effective Date
- 10-Feb-2026
- Referred By
EN 61772:2013 - Nuclear power plants - Control rooms - Application of visual display units (VDUs) - Effective Date
- 10-Feb-2026
- Effective Date
- 10-Feb-2026
- Effective Date
- 10-Feb-2026
- Effective Date
- 10-Feb-2026
- Effective Date
- 10-Feb-2026
- Effective Date
- 10-Feb-2026
- Effective Date
- 10-Feb-2026
- Referred By
EN 62241:2015 - Nuclear power plants - Main control room - Alarm functions and presentation - Effective Date
- 10-Feb-2026
IEC 61771:1995 - Nuclear Power Plants Main Control-Room: Verification and Validation of Design
Overview
IEC 61771:1995 is an essential international standard published by the International Electrotechnical Commission (IEC) that defines comprehensive verification and validation (V&V) procedures for the design of main control-room systems in nuclear power plants. The standard provides critical criteria for assessing both the assignment of operational functions and the integrated control-room system to ensure safe, effective, and ergonomic control-room environments.
This standard applies to new control-room designs as well as design modifications and backfits in existing plants, supporting the identification and remediation of design inadequacies before implementation. It emphasizes human factors engineering to ensure the control-room configuration aligns with both technical system demands and operator capabilities.
Key Topics
Verification and Validation (V&V) Processes
Detailed methodologies for systematic V&V activities cover both the assignment of functions and the integrated control-room system. This includes verifying function allocation between human operators and automated systems and validating performance under realistic operational conditions.Ergonomic Evaluation
An explicit focus on human factors guides the ergonomic review of workspace layout, instrumentation, operator controls, and other equipment. This ensures usability, reducing cognitive workload and minimizing operator errors.Design Modification and Backfits
IEC 61771:1995 addresses not only new control-room designs but also evolutionary changes and renovations. It provides procedures to evaluate impacted areas and ensure their seamless integration within the overall control-room.Multidisciplinary Evaluation Team
The standard recommends the formation of cross-functional evaluation teams to effectively review design proposals, analyze ergonomics, and validate system performance.Human-Machine Interface (HMI) Integration
It advocates for V&V of the integrated man-machine interface, including not only the main control-room but also related interfaces such as remote shutdown stations and locally important safety panels.
Applications
Implementing IEC 61771:1995 brings practical benefits for nuclear power plant operators and designers, including:
Ensuring Operational Safety
Verifying and validating control-room designs reduces the risk of human error, enhancing overall nuclear plant safety.Improved Operator Performance
Ergonomic assessments help tailor control-room layouts to operator needs and cognitive capabilities, facilitating quicker and more accurate responses in normal and emergency situations.Regulatory Compliance
The standard supports meeting international nuclear safety regulations and aligns with related IEC norms, thus aiding licensing and audit processes.Cost-Effective Design Updates
Provides a structured approach to incorporate technological and operational upgrades in existing control-rooms with minimized disruption.Cross-compatibility with Related Standards
IEC 61771 complements other IEC standards related to nuclear instrumentation and control, providing a cohesive framework for nuclear plant control-room design.
Related Standards
IEC 61771:1995 should be used in conjunction with the following key standards to ensure comprehensive nuclear control-room system design and safety:
IEC 964:1989 – Design for Control-Rooms of Nuclear Power Plants. This foundational standard provides broader design principles which IEC 61771 supplements by detailing V&V procedures.
IEC 1226:1993 – Nuclear Power Plants Instrumentation and Control Systems Important for Safety – Classification. It defines classification criteria essential for safety-related systems in the control-room.
IEC 1227:1993 – Nuclear Power Plants Control-Rooms – Operator Controls. Offers detailed guidance on operator control devices.
IEC 1772:1995 – Nuclear Power Plants Main Control-Room – Application of Visual Display Units (VDUs). Focuses on the use of visual display technologies in control-rooms.
IAEA Safety Guides – Including 50-SG-D3 and 50-SG-D8, providing internationally recognized safety recommendations relevant to protection systems and instrumentation.
Conclusion
IEC 61771:1995 serves as a vital standard for nuclear industry professionals engaged in control-room design, offering robust verification and validation guidelines to ensure ergonomic, functional, and safety-centric control environments. Adherence to this standard strengthens overall nuclear power plant safety culture and operational reliability by addressing both human factors and system integration comprehensively.
Keywords: IEC 61771, nuclear power plants, control-room design, verification, validation, V&V, human factors engineering, ergonomic assessment, nuclear safety, man-machine interface, design modification, backfits, instrumentation and control
Get Certified
Connect with accredited certification bodies for this standard
DNV
DNV is an independent assurance and risk management provider.
Lloyd's Register
Lloyd's Register is a global professional services organisation specialising in engineering and technology.
DNV Energy Systems
Energy and renewable energy certification.
Sponsored listings
Frequently Asked Questions
IEC 61771:1995 is a standard published by the International Electrotechnical Commission (IEC). Its full title is "Nuclear power plants - Main control-room - Verification and validation of design". This standard covers: Specifies verification and validation procedures for the design of t he control-room system of nuclear power plants and gives verificatio n and validation criteria for the assignment of functions and for the integrated control-room system.
Specifies verification and validation procedures for the design of t he control-room system of nuclear power plants and gives verificatio n and validation criteria for the assignment of functions and for the integrated control-room system.
IEC 61771:1995 is classified under the following ICS (International Classification for Standards) categories: 27.120.20 - Nuclear power plants. Safety. The ICS classification helps identify the subject area and facilitates finding related standards.
IEC 61771:1995 has the following relationships with other standards: It is inter standard links to EN 60965:2016, EN 61839:2014, EN 61772:2013, EN 61227:2016, EN 61226:2010, EN IEC 61226:2021, EN IEC 60964:2019, EN 60964:2010, EN 60965:2011, EN 62241:2015. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
IEC 61771:1995 is available in PDF format for immediate download after purchase. The document can be added to your cart and obtained through the secure checkout process. Digital delivery ensures instant access to the complete standard document.
Standards Content (Sample)
− 2 − 1771 © CEI:1995
SOMMAIRE
Pages
AVANT-PROPOS. 4
Articles
1 Domaine d'application et objet. 6
2 Références normatives . 6
3 Définitions. 8
4 Vérification et validation d'une nouvelle conception de salle de commande . 10
4.1 Processus de conception d'ensemble . 10
4.2 Activités de V&V . 10
4.3 Vérification de l'affectation des fonctions . 14
4.4 Validation de l'affectation des fonctions . 20
4.5 Vérification du système intégré de salle de commande . 24
4.6 Validation du système intégré de salle de commande . 30
5 Vérification et validation des conceptions évolutionnaires et des rénovations . 50
5.1 Généralités. 50
5.2 Vérification de l'affectation des fonctions . 52
5.3 Validation de l'affectation des fonctions . 54
5.4 Vérification du système intégré de salle de commande . 54
5.5 Validation du système intégré de salle de commande . 54
Annexes
A Exemple d'approches pour évaluer les performances fonctionnelles . 58
B Supports d'évaluation. 62
C Aspects cognitifs. 66
D Méthode d'évaluation typique . 74
1771 © IEC:1995 − 3 −
CONTENTS
Page
FOREWORD. 5
Clause
1 Scope and object . 7
2 Normative references. 7
3 Definitions. 9
4 Verification and validation of a new control-room design . 11
4.1 Overall design process. 11
4.2 V&V activities. 11
4.3 Verification of the function assignment. 15
4.4 Validation of the function assignment. 21
4.5 Verification of the integrated control-room system. 25
4.6 Validation of the integrated control-room . 31
5 Verification and validation of evolutionary designs and backfits. 51
5.1 General. 51
5.2 Verification of the function assignment. 53
5.3 Validation of the function assignment. 55
5.4 Verification of the integrated control-room system. 55
5.5 Validation of the integrated control-room system. 55
Annexes
A Example of approaches for evaluating function performance. 59
B Evaluation aids . 63
C Cognitive aspects. 67
D Typical evaluation method. 75
− 4 − 1771 © CEI:1995
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
__________
CENTRALES NUCLÉAIRES DE PUISSANCE −
SALLE DE COMMANDE PRINCIPALE −
VÉRIFICATION ET VALIDATION DE LA CONCEPTION
AVANT-PROPOS
1) La CEI (Commission Electrotechnique Internationale) est une organisation mondiale de normalisation
composée de l'ensemble des comités électrotechniques nationaux (Comités nationaux de la CEI). La CEI a
pour objet de favoriser la coopération internationale pour toutes les questions de normalisation dans les
domaines de l'électricité et de l'électronique. A cet effet, la CEI, entre autres activités, publie des Normes
Internationales. Leur élaboration est confiée à des comités d'études, aux travaux desquels tout Comité
national intéressé par le sujet traité peut participer. Les organisations internationales, gouvernementales et
non gouvernementales, en liaison avec la CEI, participent également aux travaux. La CEI collabore
étroitement avec l'Organisation Internationale de Normalisation (ISO), selon des conditions fixées par accord
entre les deux organisations.
2) Les décisions ou accords officiels de la CEI concernant les questions techniques, représentent, dans la
mesure du possible un accord international sur les sujets étudiés, étant donné que les Comités nationaux
intéressés sont représentés dans chaque comité d’études.
3) Les documents produits se présentent sous la forme de recommandations internationales. Ils sont publiés
comme normes, rapports techniques ou guides et agréés comme tels par les Comités nationaux.
4) Dans le but d'encourager l'unification internationale, les Comités nationaux de la CEI s'engagent à appliquer
de façon transparente, dans toute la mesure possible, les Normes Internationales de la CEI dans leurs
normes nationales et régionales. Toute divergence entre la recommandation de la CEI et la norme nationale
correspondante doit être indiquée en termes clairs dans cette dernière.
5) La CEI n’a fixé aucune procédure concernant le marquage comme indication d’approbation et sa
responsabilité n’est pas engagée quand un matériel est déclaré conforme à l’une de ses normes.
6) L’attention est attirée sur le fait que certains des éléments de la présente Norme internationale peuvent faire
l’objet de droits de propriété intellectuelle ou de droits analogues. La CEI ne saurait être tenue pour
responsable de ne pas avoir identifié de tels droits de propriété et de ne pas avoir signalé leur existence.
La Norme internationale CEI 1771 a été établie par le sous-comité 45A: Instrumentation des
réacteurs, du comité d’études 45 de la CEI: Instrumentation nucléaire.
La présente norme sert de norme complémentaire à la CEI 964. Elle répertorie les exigences
spécifiques à la vérification et à la validation mentionnées en 3.3, en 3.4 et à l'article 5 de la
CEI 964; elle remplace donc les recommandations données en A.3.3 de la CEI 964.
Le texte de cette norme est issu des documents suivants:
FDIS Rapport de vote
45A/205/FDIS 45A/212/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation de cette norme.
Les annexes A, B, C et D sont données uniquement à titre d’information.
1771 © IEC:1995 − 5 −
INTERNATIONAL ELECTROTECHNICAL COMMISSION
_________
NUCLEAR POWER PLANTS −
MAIN CONTROL-ROOM −
VERIFICATION AND VALIDATION OF DESIGN
FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization
comprising all national electrotechnical committees (IEC National Committees). The object of the IEC is to
promote international co-operation on all questions concerning standardization in the electrical and electronic
fields. To this end and in addition to other activities, the IEC publishes International Standards. Their
preparation is entrusted to technical committees; any IEC National Committee interested in the subject dealt
with may participate in this preparatory work. International, governmental and non-governmental organizations
liaising with the IEC also participate in this preparation. The IEC collaborates closely with the International
Organization for Standardization (ISO) in accordance with conditions determined by agreement between the
two organizations.
2) The formal decisions or agreements of the IEC on technical matters, express as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the
form of standards, technical reports or guides and they are accepted by the National Committees in that
sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the
subject of patent rights. IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 1771 has been prepared by sub-committee 45A: Reactor
instrumentation, of IEC technical committee 45: Nuclear instrumentation.
This standard serves as a supplementary standard to IEC 964. It gives specific requirements
for the performance of verification and validation given in 3.3, 3.4 and clause 5 of IEC 964 and
therefore supersedes the guidance given in A.3.3 of IEC 964.
The text of this standard is based on the following documents:
FDIS Report on voting
45A/205/FDIS 45A/212/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
Annexes A, B, C, and D are for information only.
− 6 − 1771 © CEI:1995
CENTRALES NUCLÉAIRES DE PUISSANCE −
SALLE DE COMMANDE PRINCIPALE −
VÉRIFICATION ET VALIDATION DE LA CONCEPTION
1 Domaine d'application et objet
La présente Norme internationale définit les procédures de vérification et de validation (V&V)
applicables à la conception du système de la salle de commande dans les centrales nucléaires
et répertorie les critères de vérification et de validation concernant l'affectation des fonctions et
le système intégré de salle de commande.
Elle décrit comment faire la revue et évaluer l'espace de travail, l'instrumentation, les
commandes et tous les autres équipements de la salle de commande sur un plan ergonomique
en tenant compte à la fois des exigences des systèmes et des aptitudes de l'opérateur. Par
ailleurs, elle permet également d'identifier, d'analyser et de mettre en oeuvre les modifications
de conception de la salle de commande visant à corriger tout élément non approprié ou
inadapté.
Il est prévu que la norme s'applique à la nouvelle conception de la salle de commande
principale des centrales nucléaires ou à des rénovations (renouvellement et modification de la
conception) apportées à une salle de commande existante. Dans ce dernier cas, il convient
d'identifier les zones affectées. Il convient d'appliquer cette norme à de telles zones et à leur
intégration dans l'ensemble de la salle de commande, en tenant compte des exigences
données à l'article 4 et en fonction des spécifications de l'article 5.
Cette norme peut être aussi appliquée à la conception d'autres zones de commande de la
centrale nucléaire. Pour la V&V du système intégré d'interface homme-machine, il est
recommandé que d'autres interfaces comme le panneau de repli et les panneaux locaux
importants pour la sûreté soient traités simultanément avec la salle de commande principale.
2 Références normatives
Les documents normatifs suivants contiennent des dispositions qui, par suite de la référence
qui y est faite, constituent des dispositions valables pour la présente Norme internationale. Au
moment de la publication, les éditions indiquées étaient en vigueur. Tout document normatif est
sujet à révision, et les parties prenantes aux accords fondés sur la présente Norme
internationale sont invitées à rechercher la possibilité d'appliquer les éditions les plus récentes
des documents normatifs indiqués ci-après. Les membres de la CEI et de l'ISO possèdent le
registre des Normes internationales en vigueur.
CEI 73: 1991, Codage des dispositifs indicateurs et des organes de commande par couleurs et
moyens supplémentaires
CEI 447: 1993, Interface homme-machine (IHM) – Principes de manoeuvre
CEI 964: 1989, Conception des salles de commande des centrales nucléaires de puissance
CEI 1226: 1993, Centrales nucléaires – Systèmes d'instrumentation et de contrôle-commande
importants pour la sûreté – Classification
1771 © IEC:1995 − 7 −
NUCLEAR POWER PLANTS −
MAIN CONTROL-ROOM −
VERIFICATION AND VALIDATION OF DESIGN
1 Scope and object
This International Standard specifies verification and validation (V&V) procedures for the
design of the control-room system of nuclear power plants and gives verification and validation
criteria for the assignment of functions and for the integrated control-room system.
It describes how to review and evaluate the control-room workspace, instrumentation, controls,
and other equipment from a human factor engineering point of view that takes into account
both system demands and operator capabilities. In addition, control-room design modifications
that correct inadequate or unsuitable items, are to be identified, assessed, and implemented.
This standard is intended for application to new designs of the main control-room of nuclear
power plants or to backfits (design renewal and design modifications) to an existing control-
room design. In the latter case, attention should be given to identifying the areas affected. The
standard should be applied to those areas and to their integration into the whole control-room,
taking into account the requirements given in clause 4 and according to the specifications of
clause 5.
This standard can also be applied to the design of other control areas in the nuclear power
plant. For the V&V of the integrated man-machine interface system, it is recommended that
other interfaces such as the remote shut-down station and the safety-related local panels be
addressed simultaneously with the main control-room.
2 Normative references
The following normative documents contain provisions which, through reference in this text,
constitute provisions of this International Standard. At the time of publication, the editions
indicated were valid. All normative documents are subject to revision, and parties to
agreements based on this International Standard are encouraged to investigate the possibility
of applying the most recent editions of the normative documents indicated below. Members of
IEC and ISO maintain registers of currently valid International Standards.
IEC 73: 1991, Coding of indicating devices and actuators by colours and supplementary means
IEC 447: 1993, Man-machine interface (MMI) – Actuating principles
IEC 964: 1989, Design for control-rooms of nuclear power plants
IEC 1226: 1993, Nuclear power plants – Instrumentation and control systems important for
safety – Classification
− 8 − 1771 © CEI:1995
CEI 1227: 1993, Centrales nucléaires de puissance – Salles de commande – Commandes
opérateurs
CEI 1772: 1995, Centrales nucléaires de puissance – Salle de commande principale –
Application des unités de visualisation
AIEA Guide de sûreté 50-SG-D3: 1981, Système de protection et dispositifs associés dans les
centrales nucléaires
AIEA Guide de sûreté 50-SG-D8: 1985, Systèmes d'instrumentation et de commande liés à la
sûreté dans les centrales nucléaires
3 Définitions
Pour les besoins de la présente Norme internationale, les définitions des termes et les
abréviations de la CEI 964 s'appliquent, excepté pour les suivantes:
3.1 conception courante: Etat d'une centrale de puissance dans lequel la conception et la
construction ont commencé.
Cette norme est appliquée avec discernement pour les exceptions faites dues à l'état
d'avancement ou d'autres contraintes.
3.2 nouvelle conception: Conception et construction d'une centrale entièrement nouvelle.
Cette norme s'applique intégralement.
3.3 modifications de conception: Toute modification pouvant aller du changement d'un
seul instrument, en passant par une conception évolutive, jusqu'à la réplique, quand c'est
possible, d'une centrale déjà existante.
Cette norme est appliquée d'une façon appropriée aux modifications de conception
considérées.
Dans le cas d'une réplique, une revue est effectuée pour identifier les améliorations notables et
justifier toutes les différences majeures.
3.4 renouvellement de la conception: Conception d'une salle de commande ou d'une zone
totalement nouvelle, dans une centrale déjà existante.
Cette norme s'applique intégralement.
3.5 équipe d'évaluation: Equipe pluridisciplinaire chargée du processus de revue
d'évaluation.
3.6 affectation de fonction: Répartition des fonctions parmi les constituants humains et
automatisés d'un système.
3.7 discordance d'ergonomie: Déviation par rapport à un critère, tel qu'une norme ou une
pratique ergonomique conventionnelle, une préférence d’opérateur (ou un besoin), ou encore
d'un instrument (ou équipement) dont la caractéristique est nécessaire, de manière implicite ou
explicite pour l'exécution d'une tâche de l’opérateur.
1771 © IEC:1995 − 9 −
IEC 1227: 1993, Nuclear power plants – Control-rooms – Operator controls
IEC 1772: 1995, Nuclear power plants – Main control-room – Application of Visual Display Unit
(VDU)
IAEA Safety guide 50-SG-D3: 1980, Protection systems and related features in nuclear power
plants
IAEA Safety guide 50-SG-D8: 1984, Safety-related instrumentation and control systems for
nuclear power plants
3 Definitions
For the purpose of this International Standard the terms and abbreviations used in IEC 964
apply, except for the following:
3.1 current design: State in which the design and construction of a new power plant has
commenced.
This standard is applied with due judgement for exceptions made due to the state of progress
or other constraints.
3.2 new design: Design and construction of a totally new power plant.
This standard is applied fully.
3.3 design modification: All modifications varying from the change of a single instrument,
through evolutionary design, to replicating, where possible, an existing power plant.
This standard is applied in a manner appropriate to the design modification being considered.
In the case of replication, a review is held to identify significant improvements and to justify any
major differences.
3.4 design renewal: Design of a totally new control-room or control area in an existing
power plant.
This standard is applied fully.
3.5 evaluation team: Interdisciplinary team in charge of the evaluation review process.
3.6 function assignment: Distribution of functions among the human and automated
constituents of a system.
3.7 human engineering discrepancy: Deviation from some criterion such as a standard or
convention of human engineering practice, an operator preference (or need), or an instrument
(or equipment) characteristic implicitly or explicitly required for an operator task.
− 10 − 1771 © CEI:1995
3.8 erreur humaine (d'un opérateur): Omission d'une tâche ou exécution non appropriée,
incomplète ou dépassant les limites admissibles, d'une tâche humaine pour laquelle des
critères de performance sont spécifiés, qui n'est pas causée par un manque de présentation
d'informations et de possibilités de commandes adéquates.
3.9 processus de revue: Processus qui permet de vérifier la façon dont les moyens de la
salle de commande (informations, commandes, etc.) permettent aux opérateurs d'accomplir
leur tâche, c'est-à-dire d'atteindre leurs buts fonctionnels.
3.10 charge de travail opérateur: Ensemble des aptitudes professionnelles demandées à
l'opérateur dans un temps donné. Les actions requises peuvent être physiques, cognitives,
perceptibles sensoriellement, verbales, concrètes ou symboliques, ou encore une combinaison
de celles-ci.
4 Vérification et validation d'une nouvelle conception de salle de commande
4.1 Processus de conception d'ensemble
Conformément à la CEI 964, la conception de la salle de commande des centrales nucléaires
comprend deux étapes principales, la conception fonctionnelle et la conception détaillée:
− la conception fonctionnelle (article 3 de la CEI 964) définit les fonctions devant être
attribuées à l'homme ou à la machine. C'est un processus à multiples étapes. Les quatre
principales étapes sont l'analyse fonctionnelle (pour définir toutes les fonctions nécessaires
pour conduire une centrale), l'affectation des fonctions à l'homme ou à la machine, la
vérification et enfin la validation de l'affectation des fonctions.
Pendant le développement de la conception d'une nouvelle salle de commande, il convient
que des analyses soient menées dans un effort d'optimisation de l'affectation des fonctions
et des tâches qui mettent en oeuvre les fonctions.
− la conception détaillée (article 4 de la CEI 964) qui définit la configuration,
l'environnement et les spécifications fonctionnelles de la salle de commande. C'est un
processus à multiples étapes qui définit les spécifications fonctionnelles de la salle de
commande, les spécifications fonctionnelles des procédures, de la formation du personnel
et la documentation de la conception de la salle de commande. Elle se termine par la
vérification et enfin la validation du système intégré de salle de commande.
4.2 Activités de V&V
Le résultat de chacune des deux phases de la conception d'ensemble est vérifié par des
activités de V&V. Le but de ces activités est d'évaluer l'adéquation des interfaces entre
l'opérateur et la centrale telles que trouvées dans la salle de commande.
Il n'est pas de la responsabilité de l'équipe de V&V de reconcevoir la salle de commande.
Dans ce contexte, la V&V est comprise comme ceci (CEI 964):
− la vérification est définie comme le processus qui détermine si les composants
respectent les exigences spécifiées. Dans ce contexte, elle implique une série de contrôles
analytiques de l'instrumentation, des commandes, des afficheurs et de tous les autres
équipements, basés sur des critères techniques spécifiques et d'ingénierie des facteurs
humains, et des objectifs fonctionnels et de conduite;
− la validation, qu'il convient de conduire après avoir terminé la vérification, est
généralement définie comme le test et l'évaluation pour déterminer si la solution à un
problème est en accord avec les exigences fonctionnelles, de performance et d'interface. Il
s'agit plus précisément du processus permettant de définir si la conception physique et
organisationnelle de la conduite est adaptée aux performances réelles intégrées des
fonctions de l'équipe de conduite de la salle de commande.
1771 © IEC:1995 − 11 −
3.8 human error (of operator): Omission of a task, or improper, incomplete or out of
tolerance performance of a human task in which performance criteria are specified, not caused
by lack of adequate information presentation and control capabilities.
3.9 review process: Process of verifying the way that the control-room facilities (information,
controls, etc.) enable the operators to carry out their task of achieving their functional goals.
3.10 operator workload: Aggregate of occupational demands placed on the operator in a
given time. The actions required may be physical, cognitive, sensory-perceptual, verbal,
concrete or symbolic or some combination of these.
4 Verification and validation of a new control-room design
4.1 Overall design process
As explained in IEC 964, the design of the control-room of nuclear power plants comprises two
main phases, the functional design and the detailed design:
– the functional design (clause 3 of IEC 964) defines the functions to be assigned to the
man or to the machine. It is a multiple-step process. The four main steps are function
analysis (to define all the functions required to operate the plant), function assignment to the
man or the machine, verification and then validation of the function assignment.
In the development of a new control-room design, analysis should be performed in an effort
to optimize the assignment of functions and the tasks that implement the functions.
– the detailed design (clause 4 of IEC 964) which defines the layout, the environment and
the functional specifications of the control-room. It is a multiple-step process defining the
functional specifications of the control-room, the functional specifications for procedures,
staff training and the control-room design documentation. It is concluded by the verification
and, finally, the validation of the integrated control-room system.
4.2 V&V activities
The result of each of the two phases of the overall design is checked by V&V activities. The
purpose of these activities is to assess the adequacy of the interfaces between operator and
plant processes as found in the control-room.
It is not the responsibility of the V&V team to redesign the control-room.
In this context V&V is understood as follows (IEC 964):
– verification is defined as the process of determining whether individual components meet
the specified requirements. In this context, it implies a series of analytical checks of
instrumentation, controls, displays and other equipment against specific technical and
human factor engineering criteria and operating and functional goals;
– validation, which should be carried out after completing the verification, is generally
defined as the test and evaluation to determine that a problem solution complies with
functional, performance and interface requirements. More specifically, it is the process of
determining whether the physical and organizational design for operations is adequate to
support effective integrated performance of the functions of the control-room operating staff.
− 12 − 1771 © CEI:1995
Les étapes de V&V de la conception fonctionnelle permettent d’évaluer les fonctions et les
relations du personnel et des automatismes contrôlant le processus et de contrôler l’allocation
des responsabilités des opérateurs dans la salle de commande. Les interfaces de la salle de
commande, telles qu’elles sont définies lors de la conception de la salle de commande, sont
évaluées par la V&V en termes de support des fonctions et des tâches des opérateurs.
Les étapes de V&V de la conception détaillée assurent que les exigences fonctionnelles,
vérifiées et validées lors du processus de conception fonctionnelle de la salle de commande,
ont bien été intégrées en tant qu'entrées dans la phase de conception et ont permis d'établir
des spécifications de fabrication et de construction détaillées de la salle de commande
souhaitée.
Un des objectifs de V&V est de vérifier les spécifications avant le début de fabrication. En effet,
s'il est nécessaire d'exécuter la vérification sur site, il y a un risque de retard potentiel du
projet.
Il convient de noter que cette activité de V&V peut être effectuée à différentes étapes de la
conception de la salle de commande. En particulier pour une conception nouvelle, elle peut
être vue comme un processus itératif appliqué très tôt, et répété régulièrement. Cela permet
aux modifications de conception résultant de revues d'être intégrées plus tôt dans les
systèmes. Cela conduit à une amélioration significative du processus général de conception.
La V&V de la conception de la salle de commande est une entreprise majeure: elle peut
constituer un élément pour obtenir la licence de la centrale. Il convient de faire les efforts pour
s'assurer, que la revue soit conforme aux objectifs de ces recommandations, que les résultats
de la revue soient exploitables et que la documentation et les rapports de la revue apportent la
preuve que l'ingénierie des facteurs humains a fait l'objet d'une étude appropriée et a été
appliquée dans la revue de processus de conception de salle de commande.
1)
Chaque étape du processus de V&V doit comprendre les activités ci-après:
− la préparation, qui comprend les actions essentielles suivantes:
. développement de critères d'évaluation (de manière à préparer l'évaluation et la
résolution),
. définition de la méthodologie de V&V,
. identification des documents sources; il convient de confirmer que la documentation
de conception de la centrale qui a un impact direct sur la conception de la salle de
commande a suivi un processus de V&V,
. organisation de l'équipe d'évaluation pour la vérification,
. définition de l'espace de travail et des moyens nécessaires pour l'équipe
d'évaluation,
. définition de la planification de la revue;
− l'évaluation;
− la résolution.
Un grand soin doit être apporté notamment dans la préparation afin d’assurer de bons
résultats à la revue. Il convient que la préparation prenne en compte les besoins en données
et informations relatifs aux facteurs humains en salle de commande, de telle façon qu'une
base de données puisse être mise au point pour satisfaire aux besoins communs.
_________
1)
Le texte encadré indique les exigences de la présente norme.
1771 © IEC:1995 − 13 −
The V&V steps of the functional design assess the functions and relationships of personnel and
automated equipment in controlling plant processes and check the allocation of the task
responsibilities of control-room operators. Control-room interfaces, as found in the control-room
design, are assessed by V&V in terms of how well they support the operators' functions and
tasks.
The V&V steps of the detailed design assure that the functional requirements, verified and
validated in the functional control-room design process, have been used as inputs for a design
effort, resulting in detailed specifications for the manufacturing and construction of the desired
control-room.
One of the V&V objectives is to check these detailed specifications before the manufacturing
process is started. In fact, if it is necessary to perform the check on the site installation, there
is a potential risk of delay to the project.
It should be noted that this V&V activity may be carried out at different stages of control-room
design. Particularly for a new design, it can be seen as an iterative process, starting at a very
early stage and being repeated periodically. This allows for design changes that result from the
reviews to be incorporated earlier in the systems. This results in a significant improvement of
the overall design process.
The V&V of the control-room design is a major undertaking: it may constitute an element of the
plant licensing. Every effort should be made to ensure that the review meets the objectives of
these guidelines, that the review results are usable, and that review documentation and
reporting provide the necessary assurance that human factor engineering has been
appropriately considered and applied in the control-room design review process.
1)
Each step of the V&V process shall include the following activities:
– preparation, which includes the following essential actions:
. development of evaluation criteria (in order to prepare the evaluation and resolution),
. definition of V&V methodology,
. identification of source documents. It should be confirmed that the plant design
documentation which directly impacts upon the control-room design has followed a V&V
process,
. organization of the evaluation team for the verification,
. definition of workspace and equipment for the evaluation team,
. schedule definition for the review;
– evaluation;
– resolution.
Great care shall be taken notably in the preparation in order to ensure good review results.
Preparation should take into account the data and information needs of control-room human
factors, so that a database can be developed to meet common needs.
_________
1)
The framed text shows the requirements of this standard.
− 14 − 1771 © CEI:1995
La norme est organisée de façon à traiter chaque étape et activité de la V&V dans un
paragraphe séparé. Pour chaque étape et phase, après indication des exigences
fondamentales, les méthodes et les procédures détaillées seront suggérées comme moyens
possibles d'exécution de cette partie de revue. Néanmoins, si les exigences de base sont
satisfaites, d'autres approches pourraient également convenir. Quelle que soit l'approche
adoptée, elle doit être clairement documentée.
Le processus et les critères généraux d'évaluation de la vérification et de la validation sont
spécifiés pour l'interface homme-machine et l'environnement. Pour les autres composants du
système de salle de commande, c'est-à-dire la structure du personnel en salle de commande,
les procédures de conduite et le programme de formation, il convient de développer
séparément le processus et les critères d'évaluation en utilisant les normes nationales
appropriées et les recommandations internationales disponibles (voir article 2).
4.3 Vérification de l'affectation des fonctions
L'exhaustivité de la répartition proposée des fonctions de salle de commande, entre l'homme
et la machine, doit être vérifiée.
L'affectation est basée sur les performances de l'opérateur ou de la machine dans la mise en
oeuvre de la fonction. La décision d'affectation est basée sur des actions dans lesquelles l'être
humain excelle, comme la capacité de porter un jugement quand les événements ne peuvent
pas être complètement définis, et sur des actions dans lesquelles la machine excelle, comme
l'exécution simultanée de nombreuses tâches. Les critères de base pour l'affectation des
fonctions à l'homme ou à la machine, comme la charge, la précision, les marges de temps, la
complexité de la logique d'action, les types et les complexités de prise de décision sont
présentés dans le tableau A.3 de la CEI 964.
Les fonctions peuvent être affectées:
− à l'homme ou à la machine;
− aux commandes manuelles télécommandées ou aux commandes manuelles locales;
− aux systèmes d'aide opérateur.
Une combinaison des points ci-dessus peut également être considérée pour réaliser une
fonction donnée.
Il doit être démontré que l'affectation proposée des fonctions exploite de manière optimale les
aptitudes de l'homme et de la machine sans imposer de contraintes indésirables à l'un ou à
l'autre.
4.3.1 Développement de critères d'évaluation
Avant de tenter de vérifier l'affectation proposée des fonctions, il doit être confirmé que les
critères utilisés pour l'affectation sont suffisants et cohérents.
Le but de la vérification est de confirmer que:
− Toutes les fonctions nécessaires pour atteindre les objectifs opérationnels et de sûreté
de la centrale sont identifiées.
NOTE – Il est nécessaire de procéder à une approche «du haut vers le bas» en commençant par une revue
des objectifs fonctionnels de la centrale, des systèmes support, des sous-systèmes et de leurs fonctions de
manière à vérifier que toutes les fonctions et tâches opérateur sont prises en compte. Une fois cette analyse
»
«du haut vers le bas terminée, il est possible de « remonter » la chaîne afin d'évaluer les effets des
possibles erreurs de conception de performance sur la sûreté des systèmes.
1771 © IEC:1995 − 15 −
The standard is organized in order to treat each V&V step and activity in a separate
subclause. For each step and activity, after the indication of the basic requirements, methods
and detailed procedures are suggested as possible means for accomplishing that portion of
the review. However, if the basic requirements are satisfied, other approaches could also be
satisfactory. Whatever the specific approach used, it shall be clearly documented.
The process and general evaluation criteria of verification and validation are specified for the
man-machine interface and the environment. For other control-room system constituents, i.e.
the control-room staff structure, the operating procedures and the training programme, the
evaluation process and criteria should be developed separately using appropriate national
standards and available internationally agreed guidelines (see clause 2).
4.3 Verification of the function assignment
The completeness of the proposed control-room functions assigned to man and to machine
shall be verified.
The basis for the assignment are the expected performances of the operator or the machine in
the implementation of the function. The assignment decision is based on actions in which a
human excels, such as the ability to exercise judgement where events cannot be completely
defined and on actions in which a machine excels such as carrying out many tasks
simultaneously. The basic criteria for function assignment to man or machine such as load,
accuracy, time margins, complexity of action logic, types and complexities of decision-making
are presented in IEC 964, table A.3.
Function assignment can be:
– to man or machine;
– to remote manual control or local manual control;
– to operator support systems.
A combination of the above can also be considered to perform a given function.
Evidence shall be presented that a proposed function assignment takes the maximum
advantage of the capabilities of man and machine without imposing undesirable requirements
on either of them.
4.3.1 Development of evaluation criteria
Before attempting to verify the proposed function assignment, the detailed criteria used for the
assignment shall be confirmed consistent.
The goal of the verification is to confirm that:
– All the functions necessary for the achievement of the plant operational and safety goals
are identified.
NOTE – A top-down approach, starting with a review of plant functional goals, supporting systems, sub-
systems, and their functions, is necessary to assure that all operator functions and tasks are considered.
When the top-down analysis is completed, it is possible to trace back along the chain to assess the effects
of any potential design-related performance errors on systems safety.
− 16 − 1771 © CEI:1995
− L'affectation proposée des fonctions est en accord avec les critères définis pour cette
répartition (par exemple: commande automatique si le temps requis d'intervention opérateur
est inférieur à quelques minutes).
− Toutes les exigences relatives à la répartition des fonctions sont identifiées. Il convient
d'inclure dans ces exigences:
. toutes les règles applicables obligatoires éventuelles;
. les aspects de performances (par exemple, précision du temps de réponse);
. les principes de sûreté;
. les exigences de disponibilité et de fiabilité;
. les principes de maintenance (aptitude à la maintenance);
. les pratiques des exploitants pour l'organisation du travail;
. le retour d'expérience provenant de conceptions précédentes;
. les principes d'interface opérateurs et les principes d'affichage;
. les exigences spécifiées dans la CEI 964;
. les exigences prescrites à partir d'autres normes, les réglementations (voir article 2).
Les exigences et leurs fondements doivent être documentées pour chaque fonction.
− Les postes opérateurs sont conçus de manière à permettre aux personnels de la salle de
commande d'exécuter leurs tâches. La vérification consiste à comparer la conception en
termes d’instruments, d’affichages, de commandes et autres équipements aux exigences
définies à partir de l’analyse des fonctions. Le but est d'établir la présence sur le poste
opérateur des éléments nécessaires (ou non appropriés).
− Les exigences liées aux objectifs fonctionnels de niveau supérieur deviennent celles du
niveau fonctionnel inférieur sans affecter l'ensemble des modes de conduite.
4.3.2 Identification des documents source
Tous les documents applicables doivent être fournis à l'équipe d'évaluation pour utilisation
avant le début de la vérification de l'affectation des fonctions (CEI 964, figure 2).
Parmi ces documents applicables, on trouve les documents suivants:
– documents normatifs;
– information sur les principes d'affectation des fonctions à l'homme ou à la machine
(rapports ou documents traitant des résultats de l'affectation homme-machine);
– retour d'expérience provenant de conceptions précédentes (le cas échéant);
– exigences contractuelles et des autorités;
– rapports sur les événements des titulaires de licence, provenant des conceptions
précédentes (le cas échéant);
– rapports d'analyse sur les incidents et accidents, provenant des conceptions précédentes
(le cas échéant);
– arborescences des défaillances, analyses du mode de défaillance et des effets (le cas
échéant);
– rapport d'analyse de sûreté;
– descriptions des systèmes;
– spécifications des systèmes;
– documents d'analyse des tâches;
– documents sur l'affectation des fonctions.
NOTE – Pour les modifications de conceptions existantes, il convient d'utiliser un sous-ensemble approprié
de la liste ci-dessus.
1771 © IEC:1995 − 17 −
– The proposed function assignment is in accordance with criteria established for the
assignment (e.g. automatic operation if the required operator intervention time is less than a
few minutes).
– All the relevant requirements to assign the functions are identified. These requirements
should include:
. any applicable mandatory regulatory assignments;
. performance aspects (e.g. response time accuracy);
. safety principles;
. availability and reliability requirements;
. maintenance principles (maintainability);
. utility practices for shift manning;
. feedback of experience from previous designs;
. operator interface and display principles;
. the requirements specified in IEC 964;
. the requirements derived from other standards, regulation guidelines (see clause 2).
The requirements and the bases of each shall be documented for each function.
– The workstation configurations are adequate to support execution of control-room
personnel tasks. The verification consists in comparing the design in terms of
instrumentation, displays, controls and other equipment to the requirements derived from
the function analysis. The goal is to establish the presence on the workstation of the
necessary (or irrelevant) items.
– Requirements from higher level functional goals merge at a lower functional level without
conflict under all operational modes.
4.3.2 Identification of source documents
All of the applicable documents shall be provided for consultation by the evaluation team prior
to beginning the function assignment verification (IEC 964, figure 2).
These documents include the following:
– normative documents;
– information on man-machine assignment principles (reports or documents dealing with
results of man-machine assignment);
– feedback of experience from predecessor designs (where applicable);
– contract and authority requirements;
– licensee event reports from predecessor designs (where applicable);
– incident and accident analysis reports from predecessor designs (where applicable);
– fault trees and failure mode and effects analyses (where applicable);
– safety analysis report;
– systems descriptions;
– system specifications;
– task analysis do
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...