基于数字化人机交互模型的核电厂人机接口设计方法研究

2019-08-05刘至垚邳立鹏

仪器仪表用户 2019年9期

孟光，刘至垚，邳立鹏，张杰

（1.华龙国际核电技术有限公司，北京 100036；2.深圳中广核工程设计有限公司，广东深圳 518000）

0 引言

在当前计算机技术和信息化技术飞速发展情境下，国内外核电站控制系统正由传统的模拟控制交互界面发展到数字化人机交互界面[1,2]。设计的实现模型、表现模型和心理模型之间要实现一致性才能使设计界面有效的传达信息，而模型之间的不匹配会导致认知摩擦问题，从而极大地影响人员的认知水平和决策水平。

图1 数字化人机交互模型Fig.1 Digital human-computer interaction model

国内核电从岭澳二期项目开始已由数字化控制系统全面取代了传统模拟控制系统，人机接口也已全面采用数字化人机界面。但是目前的数字化人机界面仅是对模拟控制盘台的数字化实现，并未对数字化人机交互的特点和模型进行深入分析。通过对数字化人机交互模型研究，介绍数字化人机交互模型中操纵员需要完成的主要任务和次要任务，针对操纵员需要完成的4 项通用认知任务，分析人机界面设计中对各项任务的实现方式和注意事项，提出一套基于数字化人机交互模型的核电厂人机接口设计方法。

1 数字化人机交互模型定义

美国布鲁克海文实验室（BNL）首先提出数字化人机交互模型的概念，定义了个人任务和团队任务所需要完成的4 项通用认知任务（主要任务），给出了基于数字化人机交互模型的人机界面设计要求，并且在NUREG 设计安全审查系列文件中广泛应用。

在这个模型中，人作为监控主体，通过人机接口系统（HSIs）完成对电厂的监视。其中与人相关且影响人员效能和人员负荷的主要为监视诊断、情景认知、响应制定和响应执行等任务。这些任务是完成核电厂安全和运行的核心任务，也是首要任务。对HSIs 的管理和接口任务，如：导航、查找、历史数据显示等则属于次要任务。其中HSIs 系统的主要功能分为以下子功能和子系统：信息显示、软控制、报警、数字化规程、操纵员支持系统，通讯系统等组成，完成向人提供电厂设备状态和信息，并向现场设备传递人的控制指令。现场设备按照功能进行系统配置，完成工艺流程的自动控制，同时，接受来自操纵员的手动控制指令，实现手动操作并反馈动作结果。

1.1 监视诊断

监视包括检查电厂状态以确定是否在正确运行，如监视电厂工艺参数在期望的范围内并保持期望的运行状态。诊断包括识别出与期望条件的偏差，或识别需要执行的纠正动作。例如，报警系统可以自动监视系统状态，一旦被监控参数超出边界或限制条件，就可以自动警示操纵员而不需要操纵员连续监控。

1.2 情景认知

情景认知包括信息分析，支持理解当前所处的工况和状态等。例如，操纵员支持系统（COSS）在紧急情况或事故工况下，提升操纵员的情景认知能力，减少操纵员负担及人因失误。通过对电厂综合工况、事故严重程度、事故规程的选取以及安全动作执行结果等进行综合计算，提供支持性信息结果。

1.3 响应制定

响应制定包括考虑可行的解决方案，确定当前状态和工况下需要采取的解决措施，运行程序作为响应计划的主要载体，需要根据不同的电厂工况选取不同的运行程序。

1.4 响应执行

响应执行是指根据上述响应制定的执行步骤逐步完成执行动作，包括选取操作设备，执行设备操作，验证动作完成反馈情况等，也包括与电厂其他位置的运行人员（如现场操作员）的交流和协调，指导现场操作员完成设备的操作。

1.5 界面管理

操纵员为了完成以上4 项第一类任务，操纵员必执行第二类任务即“界面管理任务”，一般包括导航（navigating）、配置（configuring）、画面调整（Arranging）、查询（Interrogating）、自动化/设置快捷方式（Automating）。

2 人机接口

本章节对支持各项认知任务和管理任务的人机接口设计实现方法进行应用举例。

2.1 监视诊断

监视诊断任务主要由人机接口中的报警子系统实现。报警作为一种带声光提醒功能的警告信息，用来通知操纵员电厂状态偏离或者即将偏离正常运行，并要求他们采取适当的处理行动。数字化报警系统通过报警声音、颜色闪烁等提醒信息，引导操纵员进入报警列表，再进入详细的报警卡。

2.2 情景认知

情景认知任务主要由人机接口中的信息显示子系统和操纵员辅助支持系统实现。信息显示子系统主要包括各类显示画面、人机界面页眉页脚信息指示、显示列表和趋势等。其中，显示画面包括基于任务分析的显示画面、工艺流程画面、基于功能的画面、生态画面、电厂概貌画面、辅助分解画面等。操纵员辅助支持系统包括支持各类显示画面的应用计算，如故障诊断、安全功能监视、电厂性能监视、自动诊断、电厂工况计算等，用于支持操纵员对电厂信息和状态的综合监视与认知，降低认知压力，预防人因错误。

2.3 响应制定

图2 报警处理流程Fig.2 Alarm processing process

图3 计算机化运行程序流程示意图Fig.3 Computerized program flow diagram

响应制定任务主要由计算机化运行程序系统（CBPs）实现[3]，为了便于CBPs 的统一管理，将所有运行程序的最小单位定义数字化操作单（MOP）。伴随着CBPs 技术进步和可实现功能的增加，CBPs 可以实现事故自动诊断，参数监视，显示运行步骤和后续将执行序列等。通常情况下，CBP 不执行设备控制的功能，而是由操纵员来执行操作。但是，如果给CBP 提供控制动作功能也具有部分自动控制功能，例如PBA（Procedure-Based Automation），PBA 是在CBPs 提供的计算机处理能力的基础上，在操纵员控制下，能够自动地执行完成多个程序步骤。当操纵员授权或启动某个PBA 后，PBA 可以根据当前的电厂状态和程序步骤的执行条件，完成程序步骤的自动执行，包括控制指令的下发。

2.4 响应执行

响应执行任务通过控制画面及控制画面中的软控制器实现，控制画面设计需考虑为响应执行任务提供充分的参考信息。假设执行某台泵的启动任务，在控制画面上除该泵本身的操作指令和状态显示外，还应提供操纵员必要的流程信息，如上下游的阀门状态、水箱水量、管道流量，泵的供电和设备可用性监视信息等。在软控制器设计时，还需考虑设备的试验隔离状态、故障状态、有效性状态、自动指令、开关允许状态等详细信息，对于重要设备应提供二次确认等防误操作手段，操作指令是否成功的反馈，故障反馈及操作闭锁方法（避免因故障而频繁下发指令而损坏设备）；对于在不同安全级别设备上的操作设备，需给予操纵员明确的提醒，以降低操纵员寻找软控制器操作窗口的工作负荷。

2.5 界面管理

界面管理任务主要通过导航系统设计完成，同时给予操纵员灵活有效的配置查询功能。由于缩孔效应，操纵员必须执行界面管理任务以检索和配置需要的信息，而友好的用户人机界面可以让操纵员几乎不投入精力到界面管理任务，集中全部精力应对主要任务。

数字化人机界面应该提供灵活的导航系统，主要包括两种方式：一种是从页眉或专用的导航画面出发，通过查询或特定的排序方式，以尽量少的步骤调用操纵员需要的任何一张显示画面、数字化规程或设备状态信息，这种方式可以确保操纵员得到任何需要的信息，但需要操纵员很熟悉目标信息，对操纵员的工作负荷较重，同时会引入较高的人因失误风险。第二种方式是通过操作单—画面之间基于任务的导航链接方式，操纵员可以按照设计过程中设置好的导航链接，基于任务流向，在需要的操作单或画面中获得需要的信息，这种导航方式可以让操纵员几乎感觉不到界面管理任务的工作负荷，但需要设计人员在设计过程中详细分析任务执行所需的全部信息，并通过任务执行的流向进行导航设计。

3 优势分析

基于数字化人机交互模型的人机接口设计，可以有效应对数字化系统带来的诸多问题，相比直接数字化模拟盘台的人机接口，在运行过程中具有显著优势。

3.1 数字化运行策略

基于数字化人机交互模型的人机接口设计可以更好地符合数字化运行策略，符合利用数字化系统和数字化人机界面的操作运行需要，以某一报警处理过程为列，监视诊断：通过报警系统的声光提醒，可以让操纵员快速感知出

现异常状态；情景认知：通过大屏幕画面和安全状态监视画面，操纵员可以判断电厂运行工况和安全功能是否降级，进而为响应制定提供更充分的决策信息；响应制定：通过报警列表中调用数字化报警卡，为操纵员提供必要的原因说明、结果分析和操作要求，为操纵员响应执行提供明确的指导；响应执行：通过数字化报警卡上的导航按钮调用需要的控制画面，在控制画面上调用需要操作设备的软控制器面板，完成目标操作任务。配以友好的导航系统，可以充分利用数字化优势，快速准确地完成异常任务处理。

3.2 降低设备负荷

基于数字化人机交互模型的人机接口设计，以任务为导向设计操作监视画面，可以减少僵尸画面，降低DCS 设备负荷。例如在模拟盘台上由于设备布置的相对固定和全景展现，提供给操纵员良好的全流程信息，而由于数字化人机接口的窗口限制，必然导致流程的切分。若简单按照模拟盘台的流程进行切割，则不再具有提供给操纵员全流程信息的特点，而数字化的导航系统却没有把切割后的流程画面纳入任务流程中来，会导致大量的流程画面在整个运行过程都不会被使用。此外，对于没有模拟盘台运行经验的操纵员来说，并不理解此类专用画面（直接数字化模拟盘台的专用画面）的功能和作用，也会大量产生此类僵尸画面，进而增加DCS 设备负荷。

3.3 降低认知负荷

数字化人机接口带来海量的画面信息，给操纵员的认知负荷造成很大负担。以CPR1000 项目电站为例，具有900 多幅显示画面，操纵员无法将所有的主要设备位置记忆准确。数字化人机接口设计，需要在充分考虑基于数字化人机交互模型的任务导向界面设计，通过设计引导操纵员的操作运行，降低操纵员的认知负荷。

3.4 降低人因失误风险

数字化系统的引入为计算机提供便利的同时，也同时引入了新的人因失误类型，例如画面入口错误、重要信息湮没等，基于数字化人机交互模型的人机接口设计，可以针对数字化运行任务执行过程中的各个环节去有针对性的设计，以降低各环节中常见的人因失误类型，进而可以系统性地、较全面地分析整个数字化运行任务执行过程中的人因失误可能，降低人因失误风险。