基于认知的核电站软控制器设计

2020-12-10郭帅克顾吉青

仪器仪表用户 2020年12期

陈涵，郭帅克，顾吉青

（国核自仪系统工程有限公司，上海 200241）

0 引言

随着核电事业的发展，数字化仪控技术越来越多地应用于控制室内，新建核电站都采用了数字化仪控系统，国外很多在役核电站也正在进行数字化改造。

控制器是操纵员开展工作必要的人机接口资源之一，数字化后会带来一系列的新问题，比如软控制没有硬开关的“手感”，不能像硬开关那样加装保护罩等，如果设计不合理，会对操纵员的认知和行为带来负面影响，产生人因失误，降低人员可靠性，甚至影响核电站安全运行。统计表明约80%核电站运行事件或事故与人因失误有关，而人机接口设计引起的人因失误又占了其中的大多数。

因此，必须在设计之初就考虑人因工程原则，有效地发挥数字化的优势。本文基于操纵员认知行为模型，介绍了一种符合操纵员认知习惯的软控制器设计方法。

1 认知行为模型

数字化技术的成败取决于能否解决数字系统的特性与核电站运行人员特性的匹配问题。为了降低这种不匹配的可能性，减少人为因素所产生的错误，就要明白操纵员对什么决策负责并且他们怎样实时做出控制决策。

图1 核电站操纵员的操作过程Fig.1 Operation process of nuclear power plant operator

Rasmussen 的三级行为模型及操纵员信息处理和判断决策模型很好地解决了这个问题，经过对这两个模型的简化、提炼及修改，根据操纵员的认知习惯，得出了图1 中所示的操作过程。

1）检测和监测

2）状态评估及响应计划

3）响应执行

4）反馈

就人机接口支持而言，当操纵员执行实时或连续的决策时，各种例行的人员行为或活动可以在每个元素中预见到，该模型基本反映了操纵员与系统交互的方式，可作为设计的基本输入[1]。

2 设计方法

软控制器是操纵员执行响应动作，并获取动作反馈的重要载体。操纵员可通过软控制器控制设备，并监控设备的状态。基于上述的认知模型，充分考虑核电站操纵员的完整操作过程，可将软控制器设计细分为软控制器的识别、控制输入、容错和校正、反馈和监视等5 个部分，与操纵员操作过程的对应关系见表1。

2.1 软控制器的获取

软控制器的获取影响到操纵员制定和执行响应计划，若信息不清晰或方式不便捷，操纵员就必须进行判断和决策，产生额外的工作负荷。如界面管理任务，这时候需要的认知资源就多得多，在设计时应考虑下列要求。

2.1.1 提供多种便捷获取软控制器的方法

除了可从模拟图获取软控制器外，也应向操纵员提供其它获取软控制器的方式。比如，通过计算机化规程。假设其中一个程序步骤要求启动泵A，那么系统应自动打开泵A 的软控制器，或提供打开泵A 软控制器的链接。还有一种方式是在设备需要被控制的提示信息中，直接提供打开软控制器的链接。

表1 基于认知的软控制器设计分解Table 1 Design decomposition of soft controller based on cognition

总之，应基于显示画面的设计，提供多种打开软控制器的方法，以帮助操纵员在操作过程中能使用最简便的方法获取软控制器。这些方法的采用具有灵活性，应综合考虑其它因素，比如设计是否变得复杂，操作培训是否难以理解，操纵员是否难以做出决定等。

2.1.2 应明确区分控制动作和接口管理动作

比如在一副模拟图中，提供导航区域和软控制器区域。当操纵员查看该图形时，应能明显地区分这些区域，方便操纵员计划成功路径，制定响应计划[2]。

2.1.3 应在模拟图中提供清晰明了的标识

以区分每个受控设备，并且应清晰地从视觉上指示哪些设备可选择。

2.1.4 应能通过认知识别受控设备，而不是通过记忆

模拟图易于识别，是因为图中显示了每个设备。操纵员只需要知道自己想控制什么设备，然后通过观察就可以清晰地判断各个设备。当然，也可以通过命令语言来选择设备。例如，通过输入代码打开软控制器。但是相比选择输入来说，输入代码的速度较慢，而且容易产生错误，操纵员还需要额外记忆识别代码，所以不推荐使用这种方法。

2.1.5 应提供设备已被选择的反馈

例如，可在模拟图中高亮显示设备的图标或名称，表示设备已被选中。

表2 软控制器的两种控制区域Table 2 Two control areas of soft controller

2.2 软控制器的识别和管理

2.2.1 应将模拟图与软控制器联系起来

当操纵员打开一个软控制器时，应能很方便地验证所选软控制器是否正确。例如，可在模拟图上提供高亮指示。

1）软控制器中应清晰地标示出操纵员所控制的设备。软控制器可以和模拟图包含相同的识别信息，也可以包含更多的描述性信息，这类信息可以帮助操纵员理解控制过程并减少错误[3]。

2）软控制器不应遮挡设备的相关信息，否则，应该提供可以查看被遮挡信息的方法。软控制器可以直接显示在模拟图上（嵌入式），也可以显示在一个独立的窗口上，这两种方法的不同之处见表2。

3）当在同一个位置打开多个软控制器时，应清晰地显示每个软控制器的特有标识。为了显示每个软控制器的标识，软控制器间可以有一定的偏移。但是，同时打开多幅画面有一定的风险，会增加窗口管理的工作负荷，并容易造成混乱，导致控制了错误的设备。

2.2.2 控制逻辑信息

软控制器应向操纵员提供以下信息：

1）当软控制器有多个操作模式时，应突出地显示当前模式，其它模式也应处于可选状态。恰当的标识可以帮助操纵员避免模式错误，以防止操纵员认错设备所使用的模式，而输入不正确的指令。

2）应提供控制逻辑的信息，帮助操纵员正确执行控制功能。例如，提示操纵员当前存在哪些有效的联锁。

3）应直接提供设定值和反馈值的差值，而不需要通过操纵员的计算。通过检测该偏差值，可以评估系统的性能，偏差值的变化速率也可以给操纵员提供有效的信息。

4）软控制器应允许操纵员快速获取受控设备的状态。

2.3 控制输入

操纵员可通过调节型和非调节型软控制器输入控制命令。非调节型输入可从一组已定义的选项中选择所需的命令。例如，阀门的打开和关闭。调节型可输入一个连续的值，比如，当改变一个控制设定值时，操纵员可在一个预设的范围内增加或减少设定值。

1）输入区域应清晰，并有重点地表示出受控部分。应在输入区域与相应的变量或设备间提供强烈的视觉联系。

2）如果控制一个任务需要多个软控制器，应将这些软控制器合并成组打开，这将有助于减少查找，打开多个软控制器的工作负荷和时间。

3）如果使用键盘输入，应在软控制器的输入区域显示输入的内容，并且不应在确认响应之前执行控制，如按下返回或回车键。键盘输入，往往比其他输入方式快，但容易出错。比如，输入颠倒的数字或不小心碰触两个按键导致输入多出一位。因此，输入的内容应被清晰地显示出来，并且要提供确认步骤。

2.4 容错和校正

软控制器应尽可能地提高容错率。容错意味着尽可能地消除操纵员的错误，当操纵员犯错时，应为其提供发现错误的方法，并在错误发生后，减少错误的影响。许多控制系统有防止产生错误控制操作的功能。例如可通过以下方式实现：

1）在命令输入区域显示有效值范围、缺省值数字以及输入格式，例如0.XX 或XX.XXX，这种类型的输入格式可以帮助减少数据输入时的错误。

2）在执行重要的控制操作时，系统检错不充分以及响应时间允许的时候，应考虑提供确认步骤。例如通过一个对话框，要求操纵员确认操作指令[2]。

3）考虑操纵员控制输入验证，检查操纵员是否符合预定标准，帮助操纵员确认输入是否合理。

2.5 反馈和监视

软控制器应提供系统接收到操纵员输入的反馈，控制系统对指令的反馈以及实现预期目标的反馈，这些反馈可以帮助操纵员监视控制动作。

1）软控制器应显示操纵员的输入，并允许用于查看和确定输入是否正确。反馈可以使用各种文本和图形。例如，当操纵员输入一个控制设定值时，可以文本的形式显示，当然这个设定值也可以图形化。通常使用柱状图，根据输入的数值显示不同的长度或高度。

2）当接收到指令时应提供及时反馈，以显示操纵员的操作是否产生效果。反馈有助于防止因为系统延迟多次输入相同的指令[3]。

3）对于较长等待时间的操作，应提供“完成操作所需时间”的指示。该指示表明操作已经开始，并且向操纵员提供他们需要等待的时间（倒计时的形式）。指示的数值可以是预设的值或基于计算产生的值（比如预计的下载时间）[4]。

4）程控中的连续动作状态应有反馈。许多控制操作必须是特定的执行顺序，可能因为操作步骤的混乱（包括跳过、逆转和重复）而产生错误。例如，完成某个任务，可能需要有A、B、C、D、E 五个步骤，操纵员执行步骤A、B、C，在一些延迟或中断后，可能会误认为步骤D 已经完成，而直接执行任务E。这种错误也可能是因为操纵员重复进行相同的任务所造成。