基于數(shù)字化人機(jī)交互模型的核電廠人機(jī)接口設(shè)計(jì)方法研究

孟 光，劉至垚，邳立鵬，張 杰

（1.華龍國(guó)際核電技術(shù)有限公司，北京 100036；2.深圳中廣核工程設(shè)計(jì)有限公司，廣東 深圳 518000）

0 引言

在當(dāng)前計(jì)算機(jī)技術(shù)和信息化技術(shù)飛速發(fā)展情境下，國(guó)內(nèi)外核電站控制系統(tǒng)正由傳統(tǒng)的模擬控制交互界面發(fā)展到數(shù)字化人機(jī)交互界面[1,2]。設(shè)計(jì)的實(shí)現(xiàn)模型、表現(xiàn)模型和心理模型之間要實(shí)現(xiàn)一致性才能使設(shè)計(jì)界面有效的傳達(dá)信息，而模型之間的不匹配會(huì)導(dǎo)致認(rèn)知摩擦問(wèn)題，從而極大地影響人員的認(rèn)知水平和決策水平。

圖1 數(shù)字化人機(jī)交互模型Fig.1 Digital human-computer interaction model

國(guó)內(nèi)核電從嶺澳二期項(xiàng)目開(kāi)始已由數(shù)字化控制系統(tǒng)全面取代了傳統(tǒng)模擬控制系統(tǒng)，人機(jī)接口也已全面采用數(shù)字化人機(jī)界面。但是目前的數(shù)字化人機(jī)界面僅是對(duì)模擬控制盤(pán)臺(tái)的數(shù)字化實(shí)現(xiàn)，并未對(duì)數(shù)字化人機(jī)交互的特點(diǎn)和模型進(jìn)行深入分析。通過(guò)對(duì)數(shù)字化人機(jī)交互模型研究，介紹數(shù)字化人機(jī)交互模型中操縱員需要完成的主要任務(wù)和次要任務(wù)，針對(duì)操縱員需要完成的4 項(xiàng)通用認(rèn)知任務(wù)，分析人機(jī)界面設(shè)計(jì)中對(duì)各項(xiàng)任務(wù)的實(shí)現(xiàn)方式和注意事項(xiàng)，提出一套基于數(shù)字化人機(jī)交互模型的核電廠人機(jī)接口設(shè)計(jì)方法。

1 數(shù)字化人機(jī)交互模型定義

美國(guó)布魯克海文實(shí)驗(yàn)室（BNL）首先提出數(shù)字化人機(jī)交互模型的概念，定義了個(gè)人任務(wù)和團(tuán)隊(duì)任務(wù)所需要完成的4 項(xiàng)通用認(rèn)知任務(wù)（主要任務(wù)），給出了基于數(shù)字化人機(jī)交互模型的人機(jī)界面設(shè)計(jì)要求，并且在NUREG 設(shè)計(jì)安全審查系列文件中廣泛應(yīng)用。

在這個(gè)模型中，人作為監(jiān)控主體，通過(guò)人機(jī)接口系統(tǒng)（HSIs）完成對(duì)電廠的監(jiān)視。其中與人相關(guān)且影響人員效能和人員負(fù)荷的主要為監(jiān)視診斷、情景認(rèn)知、響應(yīng)制定和響應(yīng)執(zhí)行等任務(wù)。這些任務(wù)是完成核電廠安全和運(yùn)行的核心任務(wù)，也是首要任務(wù)。對(duì)HSIs 的管理和接口任務(wù)，如：導(dǎo)航、查找、歷史數(shù)據(jù)顯示等則屬于次要任務(wù)。其中HSIs 系統(tǒng)的主要功能分為以下子功能和子系統(tǒng)：信息顯示、軟控制、報(bào)警、數(shù)字化規(guī)程、操縱員支持系統(tǒng)，通訊系統(tǒng)等組成，完成向人提供電廠設(shè)備狀態(tài)和信息，并向現(xiàn)場(chǎng)設(shè)備傳遞人的控制指令?，F(xiàn)場(chǎng)設(shè)備按照功能進(jìn)行系統(tǒng)配置，完成工藝流程的自動(dòng)控制，同時(shí)，接受來(lái)自操縱員的手動(dòng)控制指令，實(shí)現(xiàn)手動(dòng)操作并反饋動(dòng)作結(jié)果。

1.1 監(jiān)視診斷

監(jiān)視包括檢查電廠狀態(tài)以確定是否在正確運(yùn)行，如監(jiān)視電廠工藝參數(shù)在期望的范圍內(nèi)并保持期望的運(yùn)行狀態(tài)。診斷包括識(shí)別出與期望條件的偏差，或識(shí)別需要執(zhí)行的糾正動(dòng)作。例如，報(bào)警系統(tǒng)可以自動(dòng)監(jiān)視系統(tǒng)狀態(tài)，一旦被監(jiān)控參數(shù)超出邊界或限制條件，就可以自動(dòng)警示操縱員而不需要操縱員連續(xù)監(jiān)控。

1.2 情景認(rèn)知

情景認(rèn)知包括信息分析，支持理解當(dāng)前所處的工況和狀態(tài)等。例如，操縱員支持系統(tǒng)（COSS）在緊急情況或事故工況下，提升操縱員的情景認(rèn)知能力，減少操縱員負(fù)擔(dān)及人因失誤。通過(guò)對(duì)電廠綜合工況、事故嚴(yán)重程度、事故規(guī)程的選取以及安全動(dòng)作執(zhí)行結(jié)果等進(jìn)行綜合計(jì)算，提供支持性信息結(jié)果。

1.3 響應(yīng)制定

響應(yīng)制定包括考慮可行的解決方案，確定當(dāng)前狀態(tài)和工況下需要采取的解決措施，運(yùn)行程序作為響應(yīng)計(jì)劃的主要載體，需要根據(jù)不同的電廠工況選取不同的運(yùn)行程序。

1.4 響應(yīng)執(zhí)行

響應(yīng)執(zhí)行是指根據(jù)上述響應(yīng)制定的執(zhí)行步驟逐步完成執(zhí)行動(dòng)作，包括選取操作設(shè)備，執(zhí)行設(shè)備操作，驗(yàn)證動(dòng)作完成反饋情況等，也包括與電廠其他位置的運(yùn)行人員（如現(xiàn)場(chǎng)操作員）的交流和協(xié)調(diào)，指導(dǎo)現(xiàn)場(chǎng)操作員完成設(shè)備的操作。

1.5 界面管理

操縱員為了完成以上4 項(xiàng)第一類(lèi)任務(wù)，操縱員必執(zhí)行第二類(lèi)任務(wù)即“界面管理任務(wù)”，一般包括導(dǎo)航（navigating）、配置（configuring）、畫(huà)面調(diào)整（Arranging）、查詢（Interrogating）、自動(dòng)化/設(shè)置快捷方式（Automating）。

2 人機(jī)接口

本章節(jié)對(duì)支持各項(xiàng)認(rèn)知任務(wù)和管理任務(wù)的人機(jī)接口設(shè)計(jì)實(shí)現(xiàn)方法進(jìn)行應(yīng)用舉例。

2.1 監(jiān)視診斷

監(jiān)視診斷任務(wù)主要由人機(jī)接口中的報(bào)警子系統(tǒng)實(shí)現(xiàn)。報(bào)警作為一種帶聲光提醒功能的警告信息，用來(lái)通知操縱員電廠狀態(tài)偏離或者即將偏離正常運(yùn)行，并要求他們采取適當(dāng)?shù)奶幚硇袆?dòng)。數(shù)字化報(bào)警系統(tǒng)通過(guò)報(bào)警聲音、顏色閃爍等提醒信息，引導(dǎo)操縱員進(jìn)入報(bào)警列表，再進(jìn)入詳細(xì)的報(bào)警卡。

2.2 情景認(rèn)知

情景認(rèn)知任務(wù)主要由人機(jī)接口中的信息顯示子系統(tǒng)和操縱員輔助支持系統(tǒng)實(shí)現(xiàn)。信息顯示子系統(tǒng)主要包括各類(lèi)顯示畫(huà)面、人機(jī)界面頁(yè)眉頁(yè)腳信息指示、顯示列表和趨勢(shì)等。其中，顯示畫(huà)面包括基于任務(wù)分析的顯示畫(huà)面、工藝流程畫(huà)面、基于功能的畫(huà)面、生態(tài)畫(huà)面、電廠概貌畫(huà)面、輔助分解畫(huà)面等。操縱員輔助支持系統(tǒng)包括支持各類(lèi)顯示畫(huà)面的應(yīng)用計(jì)算，如故障診斷、安全功能監(jiān)視、電廠性能監(jiān)視、自動(dòng)診斷、電廠工況計(jì)算等，用于支持操縱員對(duì)電廠信息和狀態(tài)的綜合監(jiān)視與認(rèn)知，降低認(rèn)知壓力，預(yù)防人因錯(cuò)誤。

2.3 響應(yīng)制定

圖2 報(bào)警處理流程Fig.2 Alarm processing process

圖3 計(jì)算機(jī)化運(yùn)行程序流程示意圖Fig.3 Computerized program flow diagram

響應(yīng)制定任務(wù)主要由計(jì)算機(jī)化運(yùn)行程序系統(tǒng)（CBPs）實(shí)現(xiàn)[3]，為了便于CBPs 的統(tǒng)一管理，將所有運(yùn)行程序的最小單位定義數(shù)字化操作單（MOP）。伴隨著CBPs 技術(shù)進(jìn)步和可實(shí)現(xiàn)功能的增加，CBPs 可以實(shí)現(xiàn)事故自動(dòng)診斷，參數(shù)監(jiān)視，顯示運(yùn)行步驟和后續(xù)將執(zhí)行序列等。通常情況下，CBP 不執(zhí)行設(shè)備控制的功能，而是由操縱員來(lái)執(zhí)行操作。但是，如果給CBP 提供控制動(dòng)作功能也具有部分自動(dòng)控制功能，例如PBA（Procedure-Based Automation），PBA 是在CBPs 提供的計(jì)算機(jī)處理能力的基礎(chǔ)上，在操縱員控制下，能夠自動(dòng)地執(zhí)行完成多個(gè)程序步驟。當(dāng)操縱員授權(quán)或啟動(dòng)某個(gè)PBA 后，PBA 可以根據(jù)當(dāng)前的電廠狀態(tài)和程序步驟的執(zhí)行條件，完成程序步驟的自動(dòng)執(zhí)行，包括控制指令的下發(fā)。

2.4 響應(yīng)執(zhí)行

響應(yīng)執(zhí)行任務(wù)通過(guò)控制畫(huà)面及控制畫(huà)面中的軟控制器實(shí)現(xiàn)，控制畫(huà)面設(shè)計(jì)需考慮為響應(yīng)執(zhí)行任務(wù)提供充分的參考信息。假設(shè)執(zhí)行某臺(tái)泵的啟動(dòng)任務(wù)，在控制畫(huà)面上除該泵本身的操作指令和狀態(tài)顯示外，還應(yīng)提供操縱員必要的流程信息，如上下游的閥門(mén)狀態(tài)、水箱水量、管道流量，泵的供電和設(shè)備可用性監(jiān)視信息等。在軟控制器設(shè)計(jì)時(shí)，還需考慮設(shè)備的試驗(yàn)隔離狀態(tài)、故障狀態(tài)、有效性狀態(tài)、自動(dòng)指令、開(kāi)關(guān)允許狀態(tài)等詳細(xì)信息，對(duì)于重要設(shè)備應(yīng)提供二次確認(rèn)等防誤操作手段，操作指令是否成功的反饋，故障反饋及操作閉鎖方法（避免因故障而頻繁下發(fā)指令而損壞設(shè)備）；對(duì)于在不同安全級(jí)別設(shè)備上的操作設(shè)備，需給予操縱員明確的提醒，以降低操縱員尋找軟控制器操作窗口的工作負(fù)荷。

2.5 界面管理

界面管理任務(wù)主要通過(guò)導(dǎo)航系統(tǒng)設(shè)計(jì)完成，同時(shí)給予操縱員靈活有效的配置查詢功能。由于縮孔效應(yīng)，操縱員必須執(zhí)行界面管理任務(wù)以檢索和配置需要的信息，而友好的用戶人機(jī)界面可以讓操縱員幾乎不投入精力到界面管理任務(wù)，集中全部精力應(yīng)對(duì)主要任務(wù)。

數(shù)字化人機(jī)界面應(yīng)該提供靈活的導(dǎo)航系統(tǒng)，主要包括兩種方式：一種是從頁(yè)眉或?qū)Ｓ玫膶?dǎo)航畫(huà)面出發(fā)，通過(guò)查詢或特定的排序方式，以盡量少的步驟調(diào)用操縱員需要的任何一張顯示畫(huà)面、數(shù)字化規(guī)程或設(shè)備狀態(tài)信息，這種方式可以確保操縱員得到任何需要的信息，但需要操縱員很熟悉目標(biāo)信息，對(duì)操縱員的工作負(fù)荷較重，同時(shí)會(huì)引入較高的人因失誤風(fēng)險(xiǎn)。第二種方式是通過(guò)操作單—畫(huà)面之間基于任務(wù)的導(dǎo)航鏈接方式，操縱員可以按照設(shè)計(jì)過(guò)程中設(shè)置好的導(dǎo)航鏈接，基于任務(wù)流向，在需要的操作單或畫(huà)面中獲得需要的信息，這種導(dǎo)航方式可以讓操縱員幾乎感覺(jué)不到界面管理任務(wù)的工作負(fù)荷，但需要設(shè)計(jì)人員在設(shè)計(jì)過(guò)程中詳細(xì)分析任務(wù)執(zhí)行所需的全部信息，并通過(guò)任務(wù)執(zhí)行的流向進(jìn)行導(dǎo)航設(shè)計(jì)。

3 優(yōu)勢(shì)分析

基于數(shù)字化人機(jī)交互模型的人機(jī)接口設(shè)計(jì)，可以有效應(yīng)對(duì)數(shù)字化系統(tǒng)帶來(lái)的諸多問(wèn)題，相比直接數(shù)字化模擬盤(pán)臺(tái)的人機(jī)接口，在運(yùn)行過(guò)程中具有顯著優(yōu)勢(shì)。

3.1 數(shù)字化運(yùn)行策略

基于數(shù)字化人機(jī)交互模型的人機(jī)接口設(shè)計(jì)可以更好地符合數(shù)字化運(yùn)行策略，符合利用數(shù)字化系統(tǒng)和數(shù)字化人機(jī)界面的操作運(yùn)行需要，以某一報(bào)警處理過(guò)程為列，監(jiān)視診斷：通過(guò)報(bào)警系統(tǒng)的聲光提醒，可以讓操縱員快速感知出

現(xiàn)異常狀態(tài)；情景認(rèn)知：通過(guò)大屏幕畫(huà)面和安全狀態(tài)監(jiān)視畫(huà)面，操縱員可以判斷電廠運(yùn)行工況和安全功能是否降級(jí)，進(jìn)而為響應(yīng)制定提供更充分的決策信息；響應(yīng)制定：通過(guò)報(bào)警列表中調(diào)用數(shù)字化報(bào)警卡，為操縱員提供必要的原因說(shuō)明、結(jié)果分析和操作要求，為操縱員響應(yīng)執(zhí)行提供明確的指導(dǎo)；響應(yīng)執(zhí)行：通過(guò)數(shù)字化報(bào)警卡上的導(dǎo)航按鈕調(diào)用需要的控制畫(huà)面，在控制畫(huà)面上調(diào)用需要操作設(shè)備的軟控制器面板，完成目標(biāo)操作任務(wù)。配以友好的導(dǎo)航系統(tǒng)，可以充分利用數(shù)字化優(yōu)勢(shì)，快速準(zhǔn)確地完成異常任務(wù)處理。

3.2 降低設(shè)備負(fù)荷

基于數(shù)字化人機(jī)交互模型的人機(jī)接口設(shè)計(jì)，以任務(wù)為導(dǎo)向設(shè)計(jì)操作監(jiān)視畫(huà)面，可以減少僵尸畫(huà)面，降低DCS 設(shè)備負(fù)荷。例如在模擬盤(pán)臺(tái)上由于設(shè)備布置的相對(duì)固定和全景展現(xiàn)，提供給操縱員良好的全流程信息，而由于數(shù)字化人機(jī)接口的窗口限制，必然導(dǎo)致流程的切分。若簡(jiǎn)單按照模擬盤(pán)臺(tái)的流程進(jìn)行切割，則不再具有提供給操縱員全流程信息的特點(diǎn)，而數(shù)字化的導(dǎo)航系統(tǒng)卻沒(méi)有把切割后的流程畫(huà)面納入任務(wù)流程中來(lái)，會(huì)導(dǎo)致大量的流程畫(huà)面在整個(gè)運(yùn)行過(guò)程都不會(huì)被使用。此外，對(duì)于沒(méi)有模擬盤(pán)臺(tái)運(yùn)行經(jīng)驗(yàn)的操縱員來(lái)說(shuō)，并不理解此類(lèi)專(zhuān)用畫(huà)面（直接數(shù)字化模擬盤(pán)臺(tái)的專(zhuān)用畫(huà)面）的功能和作用，也會(huì)大量產(chǎn)生此類(lèi)僵尸畫(huà)面，進(jìn)而增加DCS 設(shè)備負(fù)荷。

3.3 降低認(rèn)知負(fù)荷

數(shù)字化人機(jī)接口帶來(lái)海量的畫(huà)面信息，給操縱員的認(rèn)知負(fù)荷造成很大負(fù)擔(dān)。以CPR1000 項(xiàng)目電站為例，具有900 多幅顯示畫(huà)面，操縱員無(wú)法將所有的主要設(shè)備位置記憶準(zhǔn)確。數(shù)字化人機(jī)接口設(shè)計(jì)，需要在充分考慮基于數(shù)字化人機(jī)交互模型的任務(wù)導(dǎo)向界面設(shè)計(jì)，通過(guò)設(shè)計(jì)引導(dǎo)操縱員的操作運(yùn)行，降低操縱員的認(rèn)知負(fù)荷。

3.4 降低人因失誤風(fēng)險(xiǎn)

數(shù)字化系統(tǒng)的引入為計(jì)算機(jī)提供便利的同時(shí)，也同時(shí)引入了新的人因失誤類(lèi)型，例如畫(huà)面入口錯(cuò)誤、重要信息湮沒(méi)等，基于數(shù)字化人機(jī)交互模型的人機(jī)接口設(shè)計(jì)，可以針對(duì)數(shù)字化運(yùn)行任務(wù)執(zhí)行過(guò)程中的各個(gè)環(huán)節(jié)去有針對(duì)性的設(shè)計(jì)，以降低各環(huán)節(jié)中常見(jiàn)的人因失誤類(lèi)型，進(jìn)而可以系統(tǒng)性地、較全面地分析整個(gè)數(shù)字化運(yùn)行任務(wù)執(zhí)行過(guò)程中的人因失誤可能，降低人因失誤風(fēng)險(xiǎn)。

4 結(jié)束語(yǔ)

數(shù)字化人機(jī)交互模型為核電廠人機(jī)接口設(shè)計(jì)提供了一種全面、系統(tǒng)、有效的設(shè)計(jì)方法，基于數(shù)字化人機(jī)交互模型的人機(jī)接口設(shè)計(jì)可以有效應(yīng)對(duì)數(shù)字化系統(tǒng)帶來(lái)的新挑戰(zhàn)，為核電廠的運(yùn)行提供良好的人機(jī)接口支持，更充分地發(fā)揮計(jì)算機(jī)有效的同時(shí)，降低操縱員的認(rèn)知負(fù)荷和人因失誤風(fēng)險(xiǎn)。