基于HFE的核电站计算机监控显示系统设计
2013-04-29陈泽侃顾吉青钱立虎秦超
陈泽侃 顾吉青 钱立虎 秦超
摘 要:在核电站发生的重大事件和事故中,人因失误引起的已占一半以上。人因失误主要发生在人机接口的部位,包括基于计算机的监控显示系统,因此在计算机监控显示系统的设计过程中贯彻人因工程原则是非常必要的。从画面开发方法和系统设计考虑因素两个方面,讨论如何将人因工程原则应用于核电站计算机监控显示系统的设计中,对核电站的安全生产具有重要意义。
关键词:人因工程 HFE 计算机监控显示 画面开发方法 系统设计考虑因素
中图分类号:TM623.8 文献标识码:A 文章编号:1007-3973(2013)006-119-03
1 引言
核电厂是一个庞大而复杂的系统工程,会发生各种各样的异常事件和事故。其原因大致有三种:(1)工程系统本身的缺陷或故障;(2)人为疏忽或错误操作所引起的;(3)上述两种原因的综合。根据世界上四百多座核电厂的统计,在发生的重大事件和事故中,人为失误引起的已占一半以上。人因失误主要发生在人机接口的部位,包括基于计算机的监控显示系统,因此在计算机监控显示系统的设计过程中贯彻人因工程(HFE)适用原则是非常必要的。特别是三哩岛事故和切尔诺贝利事故后,人们更加充分认识到人因工程的重要性。
2 人因工程与计算机监控显示系统
人因工程主要运用于核电站主控室的设计中。主控室中包含各种工作站,这些工作站包括控制台和控制盘,是人机接口集成的地方,它提供了电厂人员执行他们任务的区域。其中,计算机监控显示系统为操纵员提供了电厂系统工况和设备状态信息,并提供了软手操控制功能。这种监控显示系统是操纵员运行电厂最常用的手段之一。它包含3个人机接口基本元素:显示、人机交互与管理以及控制。工程师基于这些元素来开发监控显示系统以完成特定功能。
核电站计算机监控显示系统提供以下显示功能:状态总览、查看详细状态、报警、故障诊断、软手操控制、计算机化规程、事件记录等。
将人因工程运用于监控显示系统设计中,就是要研究人和机器、环境的相互作用及其合理结合,使设计的机器和环境系统适合人的生理、心理等特点,达到在生产中提高效率、安全、健康和舒适的目的。在画面开发和系统设计考虑因素中应用人因工程原则,可以保证计算机监控显示系统的安全性和可靠性,并实现良好的显示界面。
3 画面开发方法
画面显示的目的是为用户提供完成任务所必需的信息,所以画面开发应从确定显示系统的用户信息和控制需求开始。确定需求时先不考虑哪些信号或硬件在当前是可用的。任务分析是明确用户信息或其它用户认知需要的过程。任务分析有许多方法,所使用的方法应根据特定系统所需而定制。任务分析中需要考虑以下与显示画面相关的因素:
(1)用户类型(如操纵员、维护人员、工程师等)。
(2)用户需要的信息。
(3)用户决策和评估过程。
(4)用户采取的行动(每个决策之后)。
(5)用户所采取行动的反馈。
(6)工作辅助或参考。
任务分析确定的显示需求应用于画面的选择和布局。任务分析也用于分析用户工作负荷并明确哪些情况下会发生信息或工作超负荷。如果分析结果显示存在潜在的超负荷,就要重新评估系统和任务设计,并确定其他可选方案来重新分配功能和任务。
一旦明确了显示画面的信息需求,就可以根据反映用户感知和认知能力的准则来进行画面设计。感知因素包括视觉、听觉和其它感应能力,认知因素包括判断决策能力。感知因素和认知因素一起影响培训需求、时间因素以及人员的数量和技能。在设计如何将确定的信息需求显示给用户时,要考虑这两种因素。链接分析有助于整合信息和任务顺序数据,从而实现可接受的画面布局。最后,具体的画面和布局应接受充分的人机接口验证和确认。
4 计算机监控显示系统设计考虑因素
4.1 总体人机交互导则
在显示画面的设计中,要考虑用户的培训和专业技术等级。为了使需要的培训量最小化,系统硬件、画面间的导航和画面组态应易于理解。在最苛刻的运行工况下,画面上的数据和画面间的导航不能使用户超负荷。在预期的环境条件下,受过培训的用户应易于解读画面。在应急照明条件下,不能丧失关键的信息。
总体人机交互导则还包括以下方面:
(1)一致性。所有画面和系统文档内的命名、标签、编码、缩写、缩略语和图形符号应保持一致。信息和指令输入的措辞和格式应保持一致。
(2)用户期望。系统设计规范应与用户期望、培训、规程、经验和约定一致。应使用户便于认出当前所在画面结构中的位置并能快速访问其它画面的数据。信息输入顺序应反映用户期望,并提供需要的控制选项。在控制输入完成后,应指示输入的确认反馈信息。
(3)用户记忆需求。系统应最小化用户的记忆负荷。用户应始终可用关于所有缩写、符号、图标、代码、画面设计约定和指令等的词典。应向用户提供控制选项的清单,并且只提供当前实际可用的控制选项。所有缩写和术语应与电厂中使用的保持一致。
(4)显示元素明确的组织和结构。显示系统各个方面的组织应基于用户需求,并反映出组织的总体原则,即重要性、使用频率和使用顺序。关键安全功能信息应能使整个运行班组在特定位置上可见。用户输入功能要有独特的位置和样式。来自指令或数据输入的反馈要区别于显示文本。用户对显示文本添加的注释要与文本本身不同。
(5)降低工作负荷。只有完成特定操作所必需的信息(如标签、注释、提示或选项)才提供给用户。用户输入动作应是简单的,尤其对于需要快速用户响应的实时任务。用户接口应允许使用最小量的动作来完成一项任务。但出于安全和潜在破坏性的考虑,这条规则不能用于冗余动作。输入动作和相关画面应最小化输入模式或硬件之间的切换,如从鼠标切换到键盘。控制输入不应区分大小写。
(6)用户反馈。系统应提供系统状态、允许的操作、错误和错误修复选项、潜在的破坏性操作和数据有效性等信息。计算机应立即对每个输入做出响应。计算机响应的缺失不能指示输入已被处理。
(7)灵活性。系统应提供多种方式来执行操作。对话结构应有所不同,且与用户技能相兼容。它既允许初学者简单地一步一步动作,也允许经验丰富的用户进行复杂的输入。在浏览多个页面时,用户应能通过前进后退来切换。单个用户动作不能修改或移除已储存或已输入的数据。
(8)用户指导。系统应提供有效的在线和离线帮助功能。用户指导应提供下一步动作或可选项。
4.2 易读性和可读性
易读性是指无上下文语境时对单个字符的快速识别。可读性是指易于识别字符组文本。易读性和可读性可通过对比度、明亮度、视距和字符尺寸来优化。
(1)对比度。画面上对象亮度和背景亮度之间应具有高对比度。推荐对比度为10:1到8:1。
(2)明亮度。明亮度应控制在17-172 cd/㎡(5-50 ftL)。
(3)视距。画面设计应基于用户的正常视觉距离。需要引起注意的数据通常要大到足以使其在一定距离处可读。
(4)字符尺寸。字符尺寸与视角和视觉弧度有关。字符尺寸的测量方法是,在给定的距离下,从用户的眼睛处出发,测量视线到达字符顶部和底部之间的角度。明亮度大于34 cd/㎡(10 ftL)时,字符尺寸应符合准则如表1。
表1 字符尺寸准则
4.3 视觉环境
画面易读性高度依赖于周围环境照明情况。画面应在所有可能的照度环境(正常和应急)下进行测试。测试中应考虑强光、反向散射、背景光谱等的影响。
4.4 视觉编码
视觉编码包括颜色编码、尺寸编码、亮度编码、闪烁、形状编码、图标、定位编码等,可用于指示状态信息或便于定位特定物项。通常编码应冗余使用。因为编码的种类很多,所以仅有较少的意义分配给各个编码。另外,编码应与其表示的意义一致而不是与其相反,如旁通管线不应粗于主管线。
(1)颜色编码。颜色编码通常作为其它编码的冗余,因为颜色非常容易受到硬件和感知问题的影响,从而降低其有效性;并且在照明情况不佳时,颜色有效性也会降低。在有些基本的应用中可使用相同的颜色,如设备状态、报警等级等,用户可以轻易地分辨其含义。为了能够辨别颜色的含义,分配给一种颜色的不同含义应不大于六种,这取决于显示系统和视觉环境。显示系统中颜色的含义应保持一致。
(2)尺寸编码。尺寸编码可用于区分重要性或数量级。通常将尺寸编码用于管道粗细来指示电气或流体管道的不同传输能力,或用于区分正常和备用流道。为了便于识别尺寸编码的不同等级,不应使用超过3个等级,每个等级与下一级应相差至少50%。
(3)亮度编码。亮度编码可用于突出信息从而吸引注意力。应仅使用2个等级的亮度:大约33%和100%的显示亮度。两级亮度应同时使用以确保可靠的辨识度。
(4)闪烁。闪烁可以立即吸引用户的注意力。闪烁速率不应超过2级。两级闪烁速率间的差值至少为2 Hz。较慢的闪烁速率不应小于0.8 Hz,较快的闪烁速率不应大于5 Hz。图像的显示时间应长于或等于隐藏时间。
(5)形状编码。应尽量使用少量的形状来表示特定意义。所使用的形状要经过测试,确保其易于分辨,并且其意义易于了解和记忆。形状要足够大以便于辨别。推荐的最小尺寸是在预期的视距处有20分的视角弧度。选择的形状要尽量简单,要避免不必要的枝节。计算机系统应有一个包含所有形状的辞典,显示在画面和键盘上。
(6)图标。图标是一种特殊的图符,用作功能或数据的速记象形标签。图标要有与众不同的外形或边界。图标的外观应与其意义一致。应为图标提供补充标签来识别其功能。
(7)定位编码。在所有画面的相同位置上应布置相同的信息区,如标题、消息区、翻页功能键等。
(8)多重编码。在需要指示多重意义时可以结合多重编码一起使用。例如,红色与闪烁结合可表示“超出设定值”并且“需要立即关注”。
4.5 信息密度
信息密度是指在单幅画面上显示的信息量。信息密度低有利于快速查找和检索数据,但同时会需要更多的画面,因此必须在密度与导航所需时间之间取得平衡。
对于字母数字画面,字符显示量与字符间距量之比应小于25%。表格与清单往往具有较高的信息密度。如果表格或清单以便于查找的方式组织,比如每隔三、四行插入空行,那么其密度可超出25%。
图形画面中的图形量不应影响用户辨识单个显示元素和对画面的理解。
4.6 对话结构
对话结构包括菜单、地图、专用功能键等。对话结构基于任务需求,应符合逻辑并保持一致。系统应允许用户中止或撤销输入,且应保留用户输入的顺序文件,在用户调用时可以显示。系统应检查每个输入并提供反馈,在指令无效或超出范围时提供错误消息。在使用指令语言处,应在线提供适用的指令清单。
4.7 听觉信号
听觉信号用于警告用户系统中发生了重大变化。多种听觉信号之间应易于相互区分。
4.8 频闪
在用户实际使用的情况下,显示画面应在至少90%的时间里无频闪。
4.9 画面刷新速率与采样速率
画面刷新速率是指屏幕上信息增加或移除的速率。刷新速率要足以及时获取系统参数的重大变化。
采样速率是从现场传感器获取数据的速率。采样速率也要足以采集系统参数的重大变化。采样速率应超过刷新速率。
4.10 数据完整性
数据完整性算法可用于识别超出正常范围的数据。数据的异常状态和基于该数据的计算结果要在所有受影响的画面上识别出来,比如用某种颜色标识可疑数据。
4.11 量程
量程应足够宽,从而包括参数所有可能的值。量程也应足够窄,从而可以提高数据的精度。刻度标记必须提供任务所需的精度。
4.12 重要人机接口的集成系统响应时间
运用时间线分析得到从事件触发到用户动作并且系统响应完成所需的最小时间。画面和交互控制的样式影响到用户响应所需的时间,这是集成系统响应时间的主要组成部分。要在最极限的预期负载条件下,仔细评估画面样式对集成系统响应时间的影响。
4.13 可靠性
显示系统应在需要时可用,并应显示正确的值。即使用户输入是错误的,系统也不能闭锁对用户输入的响应,而是应该提供识别错误数据或警告用户的方法。
4.14 数据精确度
数据精确度是指可以直接从画面读到一个值的详细程度,比如精确到小数点后三位。显示精确度要符合任务需求,但不应超过任务需求。
5 结束语
核电厂作为一个复杂、高度自动化的人机系统,其运行控制特征使得人因失误发生的可能性较大,如何将人为失误事件降低到最低限度已成为核电生产中亟需解决的重要问题。本文从人因工程与计算机监控显示系统的关系、显示画面开发方法和系统设计考虑因素等方面出发,论述并总结了人因工程原则在核电站计算机监控显示系统设计中的应用,从而实现良好的人机接口显示画面,提高核电运行的安全性和可靠性,具有重要实践意义。
参考文献:
[1] 李俭秋.人因工程与控制室[J].核工程研究与设计,2006(4):40-44.
[2] 杨孟琢.核电人因工程领域的发展[J].中国工程科学,2002,4(8):12-19.
[3] U.S. Nuclear Regulatory Commission.NUREG-0700, Rev.2,Human-System Interface Design Review Guidelines[S].2002.
[4] [美]C.D.威肯斯,J.D.李,刘乙力,S.G.贝克.人因工程学导论[M].张侃,等.译.上海:华东师范大学出版社,2007:2.
[5] International Ergonomics Association.Definition of Ergonomics[EB/OL].2000.
[6] 张言滨.核电站人因失误的产生机理及其预防措施[J].电网与清洁能源,2011,27(1):76-78.