李振纲　张力　洪俊

摘要 数字化控制系统相对于传统的模拟控制系统发生了很大的变化。数字化控制系统中，操作员的主要任务由原来的操作任务变成了认知任务，且认知负荷增大，硬控制变成了软控制，人机界面内容更丰富且灵活，纸规程变成了电子规程等。这篇文章通过人机交互复杂性的关键因子，即操作员因素、任务因素、以及人机界面因素，分析了它们对人因失误的影响，并提出了一系列策略来培养操作员，设计人机界面和完成任务。

关键词 数字化：人机交互；人因失误

分类号 B849

数字化控制系统目前已经广泛应用于核电、航空、石油化工等领域（Brito，2002）。人机交互是人与机器之间的双向通信，以一定的符号和操作来实现（Yoshikawa，2005）。有效的人机交互能提升系统的可靠性和安全性。另一方面，人机交互又是引发人因失误的直接来源，一旦人机交互出现差错，则可能导致任务失效或者灾难性事故。相关研究发现，在世界核营运者协会（WANO）的人因失误中仅操作失误就占了64.4%（张力，赵明，2005）。可想而知，人机交互理所当然的在人因失误中起着主导作用。1995年在美国所做的统计中，大约70%～90%事件与人机交互过程中所产生的人因事件有关。我国核电事故中，大约有70%与之相关。数字化控制系统与传统的模拟控制系统相比，影响人的可靠性的情境环境因素发生了显著变化，进而改变了操作员的心理认知过程、行为模式及任务特征，主要表现在信息显示、沟通协调管理、操作规程、控制和输入设施，以及报警系统、操作员的决策和支持系统等方面。本文依据对数字化主控室的现场调研和对操作员的访谈，以及对数字化控制系统与传统模拟控制系统的对比分析，总结出数字化控制系统人机交互的特征对人因失误的影响，并提出一些预防措施。

1.数字化控制系统人机交互的特征

人机交互是操作员获取信息、对信息进行决策及执行相关动作的过程。在大规模复杂人机系统中，操作员在长期训练及现场体验所获得的知识、技能和操作规程的基础上，通过主控室把握系统工作状态，进行复杂的控制操作。其运行过程为：通过仪表、视听显示装置将系统的运行状态信息发送给操作人员，操作人员通过认知处理后，做出控制操作，其特征是“监视—确认—决策—控制”。由于技术的发展和自动化程度的提高，操作员的工作由过去以“操作”为主变为“监视—决策—控制”，其主要任务通常表现为认知任务（Lee，Kim，Seong，2008）（如图1所示）。这也是数字化控制系统相对于传统的模拟控制系统的最大不同点。第二，人机界面发生了巨大的变化。人机界面是人机交互的主要接口，数字化控制系统基于计算机的数字显示，报警、操作画面和规程等要素集中在人机界面，具有更多、更详细、更丰富的信息显示。第三，操作员的控制操作。控制的自动化程度和综合性能大大提高，直接影响到了操作员的现场操作，比如从之前的站姿操作变成了坐姿操作，实体操作变成软操作，同时还出现了大量的界面管理，如配置、导航、画面调整、查询、快捷方式等。第四，规程。电厂的应急操作规程对电厂的安全至关重要。传统的模拟控制系统基于纸质的规程，而在数字化控制系统用的是电子化规程均一步一步呈现在各显示屏上，在发生事故时，操作人员能快速、准确、方便地执行规程。

2.数字化系统人机交互对人因失误的影响

人因失误有很多种定义。根据行为的后果，Rigby（1970）将人因失误定义为：作用于系统的人的行为没有满足或没有充分满足系统的要求。Swain（1992）将人因失误定义为：能够或有可能引发不期望事件的所有人的行为或疏忽。而Reason（1990）从心理学角度提出：人因失误就是计划中的心理和身体行为序列在执行后没能达到意向中的结果，且这种失效不能归因于随机触发因素的干扰作用。张力，王以群和刘志良（1996）考虑到复杂人机系统的基本特征，对人因失误作出如下定义：人因失误是指在没有超越人机系统设计功能的条件下，人为了完成其任务而进行的有计划行动的失败。它包括个体的、群体的和组织的失误。由于新技术的出现，情境环境发生了很大的变化，操纵员行为也会受所处情境环境的影响，通过现场调研和对操纵员的访谈，再对大量人因事故的分析，发现诱发数字化系统人因事故的主要原因可归结为下列三个因素。

2.1操作员因素

第一，人才匮乏。数字化人机交互系统对操作员的知识水平和操作经验的要求越来越高，真正达到要求的人才并不多。第二，情景意识降低。数字化控制系统中计算机工作站代替了传统的控制盘台，各种显示如报警显示灯、压力表等，改成了符号、数值来表示，没有以前那么直观，因此减少了情景压力，特别是紧急情况下有可能导致操纵员没有充足的情景意识。第三，沟通协调方面。主控室操作员的任务需要团队协作来完成，特别是在出现事故时。传统的主控室值长可以很容易根据操作员的位置观察到他在做些什么操作。而数字化控制系统中，每个操纵员是在计算机工作站上执行任务，环境封闭，操纵员之间并不清楚各自在做什么，因此较难进行监控、检查和发觉失误。

2.2人机界面因素

第一，信息显示丰富而复杂。数字化后，信息的数量剧增，数干幅画面全部拥挤在有限的几个显示屏上，他们的显示很形象，但也带来了很多复杂性。如果人机界面设计得符合人机工程学原则，会降低操作员的认知疲劳，反之则会造成认知疲劳增加。第二，巨量信息有限显示。由于数干幅画面全部要在有限的几个显示屏上显示，这些画面不可能同时在屏幕上全部显示出来，当操作员需要完成某项任务时，又要调用几十张，次画面，在这寻找搜索的过程中，必然会降低他的注意资源，乃至读错参数，或耗费大量时间，不能在规定的时间内完成任务等。第三，报警过多。操作员的任务之一就是监控电厂的运行状况和通过相关报警识别电厂的异常状态。数字化后，产生了大量故障自诊断信息，报警的数量和信息显著增加。在紧急状况下出现大量报警，将超出操作员的处理能力。

2.3任务因素

第一，数字化控制系统中操作员主要完成两类任务：第一类是操作员直接为监控系统运行而需完成的任务。而第二类任务是不直接监控系统运行的那些任务。根据人的信息处理理论（张力，王以群，邓志良，2010），任何一项任务的完成都需要满足两个条件，即：有足够的认知资源；可以获得充分的信息。认知资源包括长期记忆、短时记忆和注意力等。当资源需求与资源供给相匹配时，任务才有可能得到较好的执行。认知资源需求超过供给时，人的效能就会下降。但如果缺乏足够的信息，即使认知资源再多，任务完成的效果都会受影响，人因失误就可能产生。第二，完成任务的具体操作。传统的硬控制是基于实物的按钮、调节旋钮或操纵杆等对电厂进行控制；而数字化控制是通过鼠标对虚拟的图标进行软操作，没有以前那么直观，而且操作步骤多而复杂，增加了操作员的认知负荷和时间压力。在执行软操作时，软控制的弹出窗口有时会覆盖一些重要参数的显示，对信息的查看带来影响，有些软控制的操作区在画面中被覆盖，需拖动才能操作，影响操作速度。第三，应急规程。国内目前的操作规程往往直接采用国外版本，并不符合国内操作员的认知习惯。规程在执行过程中通过在计算机界面上“打勾”来确认执行到哪个的步骤，但是在应急情况下容易漏项。还存在执行规程的标准并不确定，评价方法过于主观等问题。

3.预防对策

在复杂的人机系统中，人因失误的产生是一个动态的过程，牵涉到许多因素，包括操作员个体因素，设计上的因素，作业上的因素，程序运行的因素，教育的因素等等，可以说是各个因素的综合体。因此预防人因失误的发生需依据上述因素综合考虑。本文从以下方面探讨预防和减轻数字化控制系统下人因失误的影响应该采取的策略。

3.1操作员

在大规模的数字化人机系统中，人并不是以一个孤立的个体或群体出现于该系统中，而是作为组织与环境中的一员而存在。张力（2006）应用数据挖掘技术对来源于世界核营运者协会（WANO）1993～2002年间的1628份事件报告分析得出：组织管理缺陷、与规程有关的缺陷、培训不足、人员之间交流不足、缺乏监督检查、组织决策失误、组织文化不良与人员操作失误之间存在很高的相关性，是导致操作员失误的重要原因。所以培养一个合格的操作员不仅仅要从操作员个体考虑，还要放大到组织层面上来考虑。组织因子对个人及技术系统的影响关系图见图2。

3.1.1加强组织文化建设和完善组织结构

组织文化是指处于一定社会经济文化环境中的组织在长期发展过程中形成和发展起来的共有的、独特的价值观、制度形式和行为方式的总和。一个组织具有良好文化，管理者和员工都能很好地融入进去，将会产生更强的组织承诺，运行更有效率，也会有更高的安全性和更好的效益。复杂人机系统中的组织文化因素包括：安全质量文化、内聚力和协作意识等。如果能把安全第一、质量至上的要求扎根于每个员工的脑海中，每个员工不仅仅会努力干好本职工作，也乐于和其他员工交流配合，乐于接受监督，人因失误自然会大大减少。

组织结构是组织内部分工与协调的基本形式。组织结构是否有效决定了组织内部各要素（目标、协同、人员、责任、职位、关系、信息等）之间的配置效率、协调程度以及组织与所处环境的适应程度，从而影响组织目标能否顺利实现。良好的组织结构是保证任务有效完成的最基本的前提条件，对提高工作效率和减少人因失误有十分重要的意义。

3.1.2完善沟通机制

在数字化控制系统中，操作员在相对比较封闭工作环境中能获得很多信息，交流的次数反而比原来要少，往往不清楚其他操作员在做什么。由此减少了监督和反馈，增加了人因失误的可能性，在这种新情况下，需要建立一个更好的沟通机制。

3.1.3加大培训和教育力度

人员培养是一个基本的也是很重要的过程，特别是在复杂的人机系统中。培训可使员工具有一定技能和知识，从而能够安全有效地完成工作。员工需要接受系统培训，培训的内容有一般系统知识、安全知识和特殊专业技能等。良好的培训可以使操作员更加熟练，正确率更高，而且更加自信，这无疑会减少人因失误的发生。

3.1.4加强监察的力度

监察，是组织和个人能顺利达到目标的一个关键因素。通常管理者和自己都能起到监护的作用，而数字化后，由于操作员的操作方式的改变，反而失去了原来的监护，由此发生操作失误。因此，应该建立一个有效的监察机制来加强监督。

3.2人机界面

人机界面是操作员操作和控制设备的主要接口，优良的人机界面能大大降低人机交互的难度，减少操作失误。人机界面设计的目的，就是最大限度地满足操作员执行任务时所需要的信息同时又能把操作步骤和界面管理的复杂度降到最低。

3.2.1要按照人因工程来规范化设计

设计之初就要以系统化的、统一的人因工程设计规范来指导界面设计，要确保画面设计的一致性。设计的目的是为了完成任务，我们可以以任务为导向设计画面，完成任务需要的信息可以重点描述，和任务不相关的信息可以减少或者忽略。设计的目的也是为了让操作更舒适，可以根据操作员的操作习惯和生理特性来布局画面。

3.2.2要有合理的审评方法

要使数字化控制系统的人机界面在使用之前达到要求，必须要进行审评。目前国内这方面的研究还比较少，发展一个能解决表面缺陷还能识别并解决潜在缺陷的方法迫在眉睫。

3.3操作规程

数字化系统的人机交互具体体现在完成任务上，在低负荷的环境下，操作员通常能很好地完成各项任务。只是在紧急状况下，容易出现失误。这一部分主要讨论的是在紧急情况下操作员应该怎样完成任务。

3.3.1规程设计

操作程序设计得太复杂和难理解是导致失误的重要原因之一。操作规程应该符合我国操作员的认知习惯。因为规程都是在计算机页面上操作，所以在设计页面的时候就要使有些判断智能化，结构层次化，要素集成化。尽量减少操作员的思维负担及操作步骤。这在应急情况下尤为重要。

3.3.2规程量化

关于核电厂应急操作规程复杂度评估方法的研究，在国际上是一个比较前沿的方向。Park，Jung和Ha（2001）借鉴了度量软件复杂度的方法，提出了基于熵值法的步骤复杂度的概念，用来测量核电站应急规程步骤的复杂度。相关研交对电厂应急操作规程的使用和编写具有实际的指导作用，也能成为操作员的培训时间安排的依据。

4.总结

关于数字化控制系统人机交互的研究目前还是个比较新颖的领域，操作员在主控室为了完成任务进行的每个步骤都可以说是人机交互。本文分析了数字化控制系统与传统模拟控制系统的区别，总结了数字化控制系统下人机交互的特征，总结起来三个因素：操作员因素，人机界面因素和任务因素。本文还提出了一些解决策略：第一，从组织层面上加强管理，包括完善组织结构、加强组织文化建设、加强教育、完善沟通机制以及及时监督等。第二，设计良好的人机界面，包括按照人因工程的要求规范化界面设计，以及建立合理的评审机制。第三，尽量把规程设计的简单易懂易操作。