孟 光，劉至垚，邳立鵬，張 杰

（1.華龍國際核電技術有限公司，北京 100036；2.深圳中廣核工程設計有限公司，廣東 深圳 518000）

0 引言

在當前計算機技術和信息化技術飛速發(fā)展情境下，國內外核電站控制系統(tǒng)正由傳統(tǒng)的模擬控制交互界面發(fā)展到數(shù)字化人機交互界面[1,2]。設計的實現(xiàn)模型、表現(xiàn)模型和心理模型之間要實現(xiàn)一致性才能使設計界面有效的傳達信息，而模型之間的不匹配會導致認知摩擦問題，從而極大地影響人員的認知水平和決策水平。

圖1 數(shù)字化人機交互模型Fig.1 Digital human-computer interaction model

國內核電從嶺澳二期項目開始已由數(shù)字化控制系統(tǒng)全面取代了傳統(tǒng)模擬控制系統(tǒng)，人機接口也已全面采用數(shù)字化人機界面。但是目前的數(shù)字化人機界面僅是對模擬控制盤臺的數(shù)字化實現(xiàn)，并未對數(shù)字化人機交互的特點和模型進行深入分析。通過對數(shù)字化人機交互模型研究，介紹數(shù)字化人機交互模型中操縱員需要完成的主要任務和次要任務，針對操縱員需要完成的4 項通用認知任務，分析人機界面設計中對各項任務的實現(xiàn)方式和注意事項，提出一套基于數(shù)字化人機交互模型的核電廠人機接口設計方法。

1 數(shù)字化人機交互模型定義

美國布魯克海文實驗室（BNL）首先提出數(shù)字化人機交互模型的概念，定義了個人任務和團隊任務所需要完成的4 項通用認知任務（主要任務），給出了基于數(shù)字化人機交互模型的人機界面設計要求，并且在NUREG 設計安全審查系列文件中廣泛應用。

在這個模型中，人作為監(jiān)控主體，通過人機接口系統(tǒng)（HSIs）完成對電廠的監(jiān)視。其中與人相關且影響人員效能和人員負荷的主要為監(jiān)視診斷、情景認知、響應制定和響應執(zhí)行等任務。這些任務是完成核電廠安全和運行的核心任務，也是首要任務。對HSIs 的管理和接口任務，如：導航、查找、歷史數(shù)據(jù)顯示等則屬于次要任務。其中HSIs 系統(tǒng)的主要功能分為以下子功能和子系統(tǒng)：信息顯示、軟控制、報警、數(shù)字化規(guī)程、操縱員支持系統(tǒng)，通訊系統(tǒng)等組成，完成向人提供電廠設備狀態(tài)和信息，并向現(xiàn)場設備傳遞人的控制指令?，F(xiàn)場設備按照功能進行系統(tǒng)配置，完成工藝流程的自動控制，同時，接受來自操縱員的手動控制指令，實現(xiàn)手動操作并反饋動作結果。

1.1 監(jiān)視診斷

監(jiān)視包括檢查電廠狀態(tài)以確定是否在正確運行，如監(jiān)視電廠工藝參數(shù)在期望的范圍內并保持期望的運行狀態(tài)。診斷包括識別出與期望條件的偏差，或識別需要執(zhí)行的糾正動作。例如，報警系統(tǒng)可以自動監(jiān)視系統(tǒng)狀態(tài)，一旦被監(jiān)控參數(shù)超出邊界或限制條件，就可以自動警示操縱員而不需要操縱員連續(xù)監(jiān)控。

1.2 情景認知

情景認知包括信息分析，支持理解當前所處的工況和狀態(tài)等。例如，操縱員支持系統(tǒng)（COSS）在緊急情況或事故工況下，提升操縱員的情景認知能力，減少操縱員負擔及人因失誤。通過對電廠綜合工況、事故嚴重程度、事故規(guī)程的選取以及安全動作執(zhí)行結果等進行綜合計算，提供支持性信息結果。

1.3 響應制定

響應制定包括考慮可行的解決方案，確定當前狀態(tài)和工況下需要采取的解決措施，運行程序作為響應計劃的主要載體，需要根據(jù)不同的電廠工況選取不同的運行程序。

1.4 響應執(zhí)行

響應執(zhí)行是指根據(jù)上述響應制定的執(zhí)行步驟逐步完成執(zhí)行動作，包括選取操作設備，執(zhí)行設備操作，驗證動作完成反饋情況等，也包括與電廠其他位置的運行人員（如現(xiàn)場操作員）的交流和協(xié)調，指導現(xiàn)場操作員完成設備的操作。

1.5 界面管理

操縱員為了完成以上4 項第一類任務，操縱員必執(zhí)行第二類任務即“界面管理任務”，一般包括導航（navigating）、配置（configuring）、畫面調整（Arranging）、查詢（Interrogating）、自動化/設置快捷方式（Automating）。

2 人機接口

本章節(jié)對支持各項認知任務和管理任務的人機接口設計實現(xiàn)方法進行應用舉例。

2.1 監(jiān)視診斷

監(jiān)視診斷任務主要由人機接口中的報警子系統(tǒng)實現(xiàn)。報警作為一種帶聲光提醒功能的警告信息，用來通知操縱員電廠狀態(tài)偏離或者即將偏離正常運行，并要求他們采取適當?shù)奶幚硇袆印?shù)字化報警系統(tǒng)通過報警聲音、顏色閃爍等提醒信息，引導操縱員進入報警列表，再進入詳細的報警卡。

2.2 情景認知

情景認知任務主要由人機接口中的信息顯示子系統(tǒng)和操縱員輔助支持系統(tǒng)實現(xiàn)。信息顯示子系統(tǒng)主要包括各類顯示畫面、人機界面頁眉頁腳信息指示、顯示列表和趨勢等。其中，顯示畫面包括基于任務分析的顯示畫面、工藝流程畫面、基于功能的畫面、生態(tài)畫面、電廠概貌畫面、輔助分解畫面等。操縱員輔助支持系統(tǒng)包括支持各類顯示畫面的應用計算，如故障診斷、安全功能監(jiān)視、電廠性能監(jiān)視、自動診斷、電廠工況計算等，用于支持操縱員對電廠信息和狀態(tài)的綜合監(jiān)視與認知，降低認知壓力，預防人因錯誤。

2.3 響應制定

圖2 報警處理流程Fig.2 Alarm processing process

圖3 計算機化運行程序流程示意圖Fig.3 Computerized program flow diagram

響應制定任務主要由計算機化運行程序系統(tǒng)（CBPs）實現(xiàn)[3]，為了便于CBPs 的統(tǒng)一管理，將所有運行程序的最小單位定義數(shù)字化操作單（MOP）。伴隨著CBPs 技術進步和可實現(xiàn)功能的增加，CBPs 可以實現(xiàn)事故自動診斷，參數(shù)監(jiān)視，顯示運行步驟和后續(xù)將執(zhí)行序列等。通常情況下，CBP 不執(zhí)行設備控制的功能，而是由操縱員來執(zhí)行操作。但是，如果給CBP 提供控制動作功能也具有部分自動控制功能，例如PBA（Procedure-Based Automation），PBA 是在CBPs 提供的計算機處理能力的基礎上，在操縱員控制下，能夠自動地執(zhí)行完成多個程序步驟。當操縱員授權或啟動某個PBA 后，PBA 可以根據(jù)當前的電廠狀態(tài)和程序步驟的執(zhí)行條件，完成程序步驟的自動執(zhí)行，包括控制指令的下發(fā)。

2.4 響應執(zhí)行

響應執(zhí)行任務通過控制畫面及控制畫面中的軟控制器實現(xiàn)，控制畫面設計需考慮為響應執(zhí)行任務提供充分的參考信息。假設執(zhí)行某臺泵的啟動任務，在控制畫面上除該泵本身的操作指令和狀態(tài)顯示外，還應提供操縱員必要的流程信息，如上下游的閥門狀態(tài)、水箱水量、管道流量，泵的供電和設備可用性監(jiān)視信息等。在軟控制器設計時，還需考慮設備的試驗隔離狀態(tài)、故障狀態(tài)、有效性狀態(tài)、自動指令、開關允許狀態(tài)等詳細信息，對于重要設備應提供二次確認等防誤操作手段，操作指令是否成功的反饋，故障反饋及操作閉鎖方法（避免因故障而頻繁下發(fā)指令而損壞設備）；對于在不同安全級別設備上的操作設備，需給予操縱員明確的提醒，以降低操縱員尋找軟控制器操作窗口的工作負荷。

2.5 界面管理

界面管理任務主要通過導航系統(tǒng)設計完成，同時給予操縱員靈活有效的配置查詢功能。由于縮孔效應，操縱員必須執(zhí)行界面管理任務以檢索和配置需要的信息，而友好的用戶人機界面可以讓操縱員幾乎不投入精力到界面管理任務，集中全部精力應對主要任務。

數(shù)字化人機界面應該提供靈活的導航系統(tǒng)，主要包括兩種方式：一種是從頁眉或專用的導航畫面出發(fā)，通過查詢或特定的排序方式，以盡量少的步驟調用操縱員需要的任何一張顯示畫面、數(shù)字化規(guī)程或設備狀態(tài)信息，這種方式可以確保操縱員得到任何需要的信息，但需要操縱員很熟悉目標信息，對操縱員的工作負荷較重，同時會引入較高的人因失誤風險。第二種方式是通過操作單—畫面之間基于任務的導航鏈接方式，操縱員可以按照設計過程中設置好的導航鏈接，基于任務流向，在需要的操作單或畫面中獲得需要的信息，這種導航方式可以讓操縱員幾乎感覺不到界面管理任務的工作負荷，但需要設計人員在設計過程中詳細分析任務執(zhí)行所需的全部信息，并通過任務執(zhí)行的流向進行導航設計。

3 優(yōu)勢分析

基于數(shù)字化人機交互模型的人機接口設計，可以有效應對數(shù)字化系統(tǒng)帶來的諸多問題，相比直接數(shù)字化模擬盤臺的人機接口，在運行過程中具有顯著優(yōu)勢。

3.1 數(shù)字化運行策略

基于數(shù)字化人機交互模型的人機接口設計可以更好地符合數(shù)字化運行策略，符合利用數(shù)字化系統(tǒng)和數(shù)字化人機界面的操作運行需要，以某一報警處理過程為列，監(jiān)視診斷：通過報警系統(tǒng)的聲光提醒，可以讓操縱員快速感知出

現(xiàn)異常狀態(tài)；情景認知：通過大屏幕畫面和安全狀態(tài)監(jiān)視畫面，操縱員可以判斷電廠運行工況和安全功能是否降級，進而為響應制定提供更充分的決策信息；響應制定：通過報警列表中調用數(shù)字化報警卡，為操縱員提供必要的原因說明、結果分析和操作要求，為操縱員響應執(zhí)行提供明確的指導；響應執(zhí)行：通過數(shù)字化報警卡上的導航按鈕調用需要的控制畫面，在控制畫面上調用需要操作設備的軟控制器面板，完成目標操作任務。配以友好的導航系統(tǒng)，可以充分利用數(shù)字化優(yōu)勢，快速準確地完成異常任務處理。

3.2 降低設備負荷

基于數(shù)字化人機交互模型的人機接口設計，以任務為導向設計操作監(jiān)視畫面，可以減少僵尸畫面，降低DCS 設備負荷。例如在模擬盤臺上由于設備布置的相對固定和全景展現(xiàn)，提供給操縱員良好的全流程信息，而由于數(shù)字化人機接口的窗口限制，必然導致流程的切分。若簡單按照模擬盤臺的流程進行切割，則不再具有提供給操縱員全流程信息的特點，而數(shù)字化的導航系統(tǒng)卻沒有把切割后的流程畫面納入任務流程中來，會導致大量的流程畫面在整個運行過程都不會被使用。此外，對于沒有模擬盤臺運行經驗的操縱員來說，并不理解此類專用畫面（直接數(shù)字化模擬盤臺的專用畫面）的功能和作用，也會大量產生此類僵尸畫面，進而增加DCS 設備負荷。

3.3 降低認知負荷

數(shù)字化人機接口帶來海量的畫面信息，給操縱員的認知負荷造成很大負擔。以CPR1000 項目電站為例，具有900 多幅顯示畫面，操縱員無法將所有的主要設備位置記憶準確。數(shù)字化人機接口設計，需要在充分考慮基于數(shù)字化人機交互模型的任務導向界面設計，通過設計引導操縱員的操作運行，降低操縱員的認知負荷。

3.4 降低人因失誤風險

數(shù)字化系統(tǒng)的引入為計算機提供便利的同時，也同時引入了新的人因失誤類型，例如畫面入口錯誤、重要信息湮沒等，基于數(shù)字化人機交互模型的人機接口設計，可以針對數(shù)字化運行任務執(zhí)行過程中的各個環(huán)節(jié)去有針對性的設計，以降低各環(huán)節(jié)中常見的人因失誤類型，進而可以系統(tǒng)性地、較全面地分析整個數(shù)字化運行任務執(zhí)行過程中的人因失誤可能，降低人因失誤風險。

4 結束語

數(shù)字化人機交互模型為核電廠人機接口設計提供了一種全面、系統(tǒng)、有效的設計方法，基于數(shù)字化人機交互模型的人機接口設計可以有效應對數(shù)字化系統(tǒng)帶來的新挑戰(zhàn)，為核電廠的運行提供良好的人機接口支持，更充分地發(fā)揮計算機有效的同時，降低操縱員的認知負荷和人因失誤風險。