基于認知的核電站軟控制器設計

陳 涵，郭帥克，顧吉青

（國核自儀系統工程有限公司，上海 200241）

0 引言

隨著核電事業的發展，數字化儀控技術越來越多地應用于控制室內，新建核電站都采用了數字化儀控系統，國外很多在役核電站也正在進行數字化改造。

控制器是操縱員開展工作必要的人機接口資源之一，數字化后會帶來一系列的新問題，比如軟控制沒有硬開關的“手感”，不能像硬開關那樣加裝保護罩等，如果設計不合理，會對操縱員的認知和行為帶來負面影響，產生人因失誤，降低人員可靠性，甚至影響核電站安全運行。統計表明約80%核電站運行事件或事故與人因失誤有關，而人機接口設計引起的人因失誤又占了其中的大多數。

因此，必須在設計之初就考慮人因工程原則，有效地發揮數字化的優勢。本文基于操縱員認知行為模型，介紹了一種符合操縱員認知習慣的軟控制器設計方法。

1 認知行為模型

數字化技術的成敗取決于能否解決數字系統的特性與核電站運行人員特性的匹配問題。為了降低這種不匹配的可能性，減少人為因素所產生的錯誤，就要明白操縱員對什么決策負責并且他們怎樣實時做出控制決策。

圖1 核電站操縱員的操作過程Fig.1 Operation process of nuclear power plant operator

Rasmussen 的三級行為模型及操縱員信息處理和判斷決策模型很好地解決了這個問題，經過對這兩個模型的簡化、提煉及修改，根據操縱員的認知習慣，得出了圖1 中所示的操作過程。

1）檢測和監測

2）狀態評估及響應計劃

3）響應執行

4）反饋

就人機接口支持而言，當操縱員執行實時或連續的決策時，各種例行的人員行為或活動可以在每個元素中預見到，該模型基本反映了操縱員與系統交互的方式，可作為設計的基本輸入[1]。

2 設計方法

軟控制器是操縱員執行響應動作，并獲取動作反饋的重要載體。操縱員可通過軟控制器控制設備，并監控設備的狀態。基于上述的認知模型，充分考慮核電站操縱員的完整操作過程，可將軟控制器設計細分為軟控制器的識別、控制輸入、容錯和校正、反饋和監視等5 個部分，與操縱員操作過程的對應關系見表1。

2.1 軟控制器的獲取

軟控制器的獲取影響到操縱員制定和執行響應計劃，若信息不清晰或方式不便捷， 操縱員就必須進行判斷和決策，產生額外的工作負荷。如界面管理任務，這時候需要的認知資源就多得多，在設計時應考慮下列要求。

2.1.1 提供多種便捷獲取軟控制器的方法

除了可從模擬圖獲取軟控制器外，也應向操縱員提供其它獲取軟控制器的方式。比如，通過計算機化規程。假設其中一個程序步驟要求啟動泵A，那么系統應自動打開泵A 的軟控制器，或提供打開泵A 軟控制器的鏈接。還有一種方式是在設備需要被控制的提示信息中，直接提供打開軟控制器的鏈接。

表1 基于認知的軟控制器設計分解Table 1 Design decomposition of soft controller based on cognition

總之，應基于顯示畫面的設計，提供多種打開軟控制器的方法，以幫助操縱員在操作過程中能使用最簡便的方法獲取軟控制器。這些方法的采用具有靈活性，應綜合考慮其它因素，比如設計是否變得復雜，操作培訓是否難以理解，操縱員是否難以做出決定等。

2.1.2 應明確區分控制動作和接口管理動作

比如在一副模擬圖中，提供導航區域和軟控制器區域。當操縱員查看該圖形時，應能明顯地區分這些區域，方便操縱員計劃成功路徑，制定響應計劃[2]。

2.1.3 應在模擬圖中提供清晰明了的標識

以區分每個受控設備，并且應清晰地從視覺上指示哪些設備可選擇。

2.1.4 應能通過認知識別受控設備，而不是通過記憶

模擬圖易于識別，是因為圖中顯示了每個設備。操縱員只需要知道自己想控制什么設備，然后通過觀察就可以清晰地判斷各個設備。當然，也可以通過命令語言來選擇設備。例如，通過輸入代碼打開軟控制器。但是相比選擇輸入來說，輸入代碼的速度較慢，而且容易產生錯誤，操縱員還需要額外記憶識別代碼，所以不推薦使用這種方法。

2.1.5 應提供設備已被選擇的反饋

例如，可在模擬圖中高亮顯示設備的圖標或名稱，表示設備已被選中。

表2 軟控制器的兩種控制區域Table 2 Two control areas of soft controller

2.2 軟控制器的識別和管理

2.2.1 應將模擬圖與軟控制器聯系起來

當操縱員打開一個軟控制器時，應能很方便地驗證所選軟控制器是否正確。例如，可在模擬圖上提供高亮指示。

1）軟控制器中應清晰地標示出操縱員所控制的設備。軟控制器可以和模擬圖包含相同的識別信息，也可以包含更多的描述性信息，這類信息可以幫助操縱員理解控制過程并減少錯誤[3]。

2）軟控制器不應遮擋設備的相關信息，否則，應該提供可以查看被遮擋信息的方法。軟控制器可以直接顯示在模擬圖上（嵌入式），也可以顯示在一個獨立的窗口上，這兩種方法的不同之處見表2。

3）當在同一個位置打開多個軟控制器時，應清晰地顯示每個軟控制器的特有標識。為了顯示每個軟控制器的標識，軟控制器間可以有一定的偏移。但是，同時打開多幅畫面有一定的風險，會增加窗口管理的工作負荷，并容易造成混亂，導致控制了錯誤的設備。

2.2.2 控制邏輯信息

軟控制器應向操縱員提供以下信息：

1）當軟控制器有多個操作模式時，應突出地顯示當前模式，其它模式也應處于可選狀態。恰當的標識可以幫助操縱員避免模式錯誤，以防止操縱員認錯設備所使用的模式，而輸入不正確的指令。

2）應提供控制邏輯的信息，幫助操縱員正確執行控制功能。例如，提示操縱員當前存在哪些有效的聯鎖。

3）應直接提供設定值和反饋值的差值，而不需要通過操縱員的計算。通過檢測該偏差值，可以評估系統的性能，偏差值的變化速率也可以給操縱員提供有效的信息。

4）軟控制器應允許操縱員快速獲取受控設備的狀態。

2.3 控制輸入

操縱員可通過調節型和非調節型軟控制器輸入控制命令。非調節型輸入可從一組已定義的選項中選擇所需的命令。例如，閥門的打開和關閉。調節型可輸入一個連續的值，比如，當改變一個控制設定值時，操縱員可在一個預設的范圍內增加或減少設定值。

1）輸入區域應清晰，并有重點地表示出受控部分。應在輸入區域與相應的變量或設備間提供強烈的視覺聯系。

2）如果控制一個任務需要多個軟控制器，應將這些軟控制器合并成組打開，這將有助于減少查找，打開多個軟控制器的工作負荷和時間。

3）如果使用鍵盤輸入，應在軟控制器的輸入區域顯示輸入的內容，并且不應在確認響應之前執行控制，如按下返回或回車鍵。鍵盤輸入，往往比其他輸入方式快，但容易出錯。比如，輸入顛倒的數字或不小心碰觸兩個按鍵導致輸入多出一位。因此，輸入的內容應被清晰地顯示出來，并且要提供確認步驟。

2.4 容錯和校正

軟控制器應盡可能地提高容錯率。容錯意味著盡可能地消除操縱員的錯誤，當操縱員犯錯時，應為其提供發現錯誤的方法，并在錯誤發生后，減少錯誤的影響。許多控制系統有防止產生錯誤控制操作的功能。例如可通過以下方式實現：

1）在命令輸入區域顯示有效值范圍、缺省值數字以及輸入格式，例如0.XX 或XX.XXX，這種類型的輸入格式可以幫助減少數據輸入時的錯誤。

2）在執行重要的控制操作時，系統檢錯不充分以及響應時間允許的時候，應考慮提供確認步驟。例如通過一個對話框，要求操縱員確認操作指令[2]。

3）考慮操縱員控制輸入驗證，檢查操縱員是否符合預定標準，幫助操縱員確認輸入是否合理。

2.5 反饋和監視

軟控制器應提供系統接收到操縱員輸入的反饋，控制系統對指令的反饋以及實現預期目標的反饋，這些反饋可以幫助操縱員監視控制動作。

1）軟控制器應顯示操縱員的輸入，并允許用于查看和確定輸入是否正確。反饋可以使用各種文本和圖形。例如，當操縱員輸入一個控制設定值時，可以文本的形式顯示，當然這個設定值也可以圖形化。通常使用柱狀圖，根據輸入的數值顯示不同的長度或高度。

2）當接收到指令時應提供及時反饋，以顯示操縱員的操作是否產生效果。反饋有助于防止因為系統延遲多次輸入相同的指令[3]。

3）對于較長等待時間的操作，應提供“完成操作所需時間”的指示。該指示表明操作已經開始，并且向操縱員提供他們需要等待的時間（倒計時的形式）。指示的數值可以是預設的值或基于計算產生的值（比如預計的下載時間）[4]。

4）程控中的連續動作狀態應有反饋。許多控制操作必須是特定的執行順序，可能因為操作步驟的混亂（包括跳過、逆轉和重復）而產生錯誤。例如，完成某個任務，可能需要有A、B、C、D、E 五個步驟，操縱員執行步驟A、B、C，在一些延遲或中斷后，可能會誤認為步驟D 已經完成，而直接執行任務E。這種錯誤也可能是因為操縱員重復進行相同的任務所造成。

3 結論

核電站數字化儀控技術的發展為控制器的設計帶來了新的挑戰，基于操縱員認知行為模型的軟控制器設計方法符合操縱員的認知習慣，降低了人因失誤的可能性，提高了人員效能，保證了核電站的安全經濟運行。