轮播
一味强调黑屏操作会让操作员沦为控制系统的仆人

2023/10/22 16:04:42 分类:DCS 
文章地址://www.e-cumulus.com/tech/5129.html

自动化控制系统的应用可以提高装置运行效率,减少人员工作负荷,提高安全性和可靠性。但是与此同时,自动化技术也引入了新的失效模式,带来新的认知和注意以及培训需求,并且延长了觉察和修复失效的时间。

1983年,伦敦大学认知心理学家莉珊·班布里奇 Lisanne Bainbridge发表了《自动化的讽刺 Ironies of Automation》一文,这是一篇被广泛认为是对自动化固有问题进行了开创性陈述的文章,文中指出:


①如果一个系统被设计成尽可能自动化,这将使人面临分散的、看似不相关的任务

②如果没有反馈和实践的机会,自动化可能会损害操作员在出现问题时进行干预的能力
③通过取消任务中的简单部分,自动化将使操作员任务中的困难部分变得更加困难

石油化工领域近年在控制系统优化(如报警管理及APC项目)中经常提到“黑屏操作”概念(即装置在全自动控制,控制屏幕呈现黑屏,若出现异常则自动显示相应报警,提示操作人员处理),这甚至成为了智能工厂的标配、技术人员的指标、管理人员的业绩,能否实现“黑屏操作”成为了工厂控制水平的衡量标准。


但是,将“黑屏操作”简化理解为“根据报警来控制装置”的方式无异于用警报来规范飞行员驾驶(如下图所示)。飞行员的航路控制不是通过控制系统不断地提醒“过高”、“过低”、“左侧偏离”、“右侧偏离”来实现平稳飞行,而是通过主动性监控航向、速度和高度,不断地调整缩小偏差;合适的仪表测量信息以合适的方式展示给飞行员,特别是在关键紧急的时刻辅助作出合理的决策。


操作员不能沦为控制系统的仆人,操作员应该是“自动化”的主人,简单地将任务分配给机器而不考虑人机协同并不能称之为是一种良好的控制方法。本文将通过一起空难事故讨论“自动化悖论”,以及如何正确对待异常状态管理。


◆法航447号航班的最后六分钟

2009年6月1日,法国航空447号航班从巴西里约热内卢飞往法国巴黎,由空中客车A330-203客机执飞(注册编号F-GZCP),飞机在巴西圣佩德罗和圣保罗岛屿附近坠毁,机上216名乘客及12名机组人员全数罹难。此次空难为法国航空成立以来最严重的空难,也是A330机型最严重及首次商业飞行空难。

飞机残骸散落在大西洋底200m×600m范围中
备注:飞机残骸散落在大西洋底200m×600m范围中


飞机失事后,经过两年多的搜寻,直至2011年5月AF447航班客机的2个黑匣子才在大西洋海底被成功找回。历时一年多的数据分析与调查,2012年7月5日空难最终调查报告发布,报告中指出事故的两大原因:

①监测速度的皮托管结冰使飞机未能侦测空速
②自动驾驶关闭后驾驶员错误操作导致飞机失速

◆最先进的飞机vs失能的驾驶舱

皮托管结冰现象的应对,是机组人员基础培训的一部分,皮托管只会被堵住大概56秒左右,随后空速的数据就会恢复正常。飞行员只需要稳住飞机保持高度与速度,问题就会自然消除。

A330飞机上监测空速的皮托管
备注:A330飞机上监测空速的皮托管


你也许会疑惑为什么法航447航班上的飞行员面对如此简单的问题,还会犯下如此低级的错误,而且还操作着当时最为先进的空中客车A330飞机。依靠精密的电传飞行控制系统(Fly By Wire),自从1994年问世以来,拥有这套自动化控制系统的A330在此后15年间的商业飞行中没有发生过一起坠机事故。


这便是矛盾之处,当我们为飞机配置了一套细致入微照顾飞行员的自动控制系统,同时也带来了新的风险。当某种少见的紧急情况出现时(即使是基本操作之一),飞行员可能都没有过处理经验。自动化使得飞行员越来越不可能面对飞行中的原始风险,但他们也越来越不可能能够应对这样的危机。商业飞行已成为一个自动化过程,但自动化控制系统不再正常时,即使是基础的操作,法航447飞行员都没有经验来处理紧急情况。


人工操作是一种高技能的活动,这些技能需要坚持不懈的训练才能保持水准。然而,少有失效的自动控制系统剥夺了操作者实践基础技能的机会

正如James Reason在《Human Error》一书中所说:人工操作是一种高技能的活动,这些技能需要坚持不懈的训练才能保持水准。然而,少有失效的自动控制系统剥夺了操作者实践基础技能的机会。


这种科技越先进,人类反而越无能的现象被称作自动化悖论。自动化悖论体现在三个方面:

①自动化系统操作便捷,而且其自动纠错功能可以容忍人工操作的失误。因此一个业务不甚熟练的操作者也可以滥竽充数很长时间,其技能匮乏往往被系统本身的强大功能所掩盖。
②即便操作者已经拥有熟练技能,但在一个完善的自动化系统下,其熟练技能往往会因为缺少练习而日益生疏。
③自动化系统的失效往往发生在极端情况之下,因此需要更敏锐的反应处置,从这个角度讲,自动化系统越完善,在面临极端情况时有可能使问题变得更糟。

◆不要让操作员成为控制系统的仆人

在危险化学品行业的发展历史中,无法否认自动化在风险管理上对于减少人员失误所带来的贡献,但需要警惕的是:我们是否让操作员成为了自动化控制系统的仆人?在“黑屏操作”等同于“根据报警来控制装置”的做法之下,中控室的操作员已经不是传统意义上“控制装置的人”,而成为了一个“装置自动控制系统操作员”。我们认为,在如何对待“黑屏操作”的问题上,需要回归到异常状态管理来讨论。

当工艺流程高度自动化时,操作员更多地扮演监控角色,需要采取的干预措施较少,只是监督控制系统是否按预期运行,并在异常出现时进行人工干预,但是自动化控制下异常状态管理存在的挑战是:


①操作员是否理解控制系统?

随着自动控制系统越来越先进,越来越复杂,变更改进越来越多,控制室操作员在经过培训之后,可能仍然不能充分理解控制系统的所有执行规则、操作模式和失效可能。如果操作人员在装置自动化之前没有系统理解或对特定异常状态场景的实际操作经验,他们可能不具备成功控制所需要的理解。这就导致了在面对异常状态时,操作员坐在中控室里,却不能理解装置的真实状态,也不知道如何防范异常状态的扩大化。

②操作员能否保持警惕?

即使是高度积极的人也可能失去对异常的警惕,在长期依赖自动控制系统的控制室中,监控枯燥的运行界面和数据使得操作员处于较低的应激状态,操作员的操作能力、异常态势感知能力均会明显下降。应激水平下降也将导致操作员思维定势,产生“只要看看有没有警告就行了”侥幸心理;态势感知不足将导致操作员对未来将要发生的预期降低,操作失误增加;这样的环境将进一步导致原本并非粗心大意的人,拥有了“事故倾向性”。

③操作员能否及时切换模式?

操作员在操作模式之间的转换是需要时间的,例如从“监视模式”切换到“控制模式”。面对黑色的屏幕,操作员长时间地脱离“感知-决策-执行”的循环,已经失去了完整准确的态势感知。当需要在短时间内接管自动化系统,并且没有足够的时间来获得完整的上下文信息时,操作员试图再次干预装置运行时,将会出现技能退化,他们的操作不再会像以前那样精细。

◆重新认识操作员与人机交互

如何解决自动化悖论在化工生产装置控制中的上述矛盾?我们需要重新审视在自动化控制大量应用环境中的操作员和人机交互。

①操作员

化工装置控制室中的操作员所拥有的是以安全和效益为最终目的的实用技术,作为一个实践操作岗位,需要操作员不断重复记忆、熟练操作,培养自己对装置运行状态的判断能力。

如果操作员缺乏长期的日常练习,就不要期待异常状况发生时操作员可以“英雄般地回归”。正如全美航空1549号航班成功迫降哈德逊河的奇迹发生后,萨伦伯格机长所说的:“在成千上万次的飞行中,我总是尽力飞在最佳的飞行轨迹上。这种习惯的养成对1549航班迫降成功才是最重要的。”


如何提高操作员的操作能力?“无他,唯手熟尔”。通过OTS仿真培训系统和实操验证培训,操作员可以增强自身对装置操作的“正确感知”。这种“正确感知”包括操作员熟练地分配注意力,对处于自动控制状态下装置关键参数和变化趋势的敏感度,在随时出现异常时知晓如何手动干预并保持技能熟练。特别是在处理复杂异常场景中,装置或系统受到干扰时,操作员(和操作员之间)必须通过大量的实践不断练习和摸索,才能高效有效准确完美地完成一系列决策和操作。


②人机交互

在法航447号航班事故中,虽然自动驾驶在皮托管堵塞后关闭,但是控制系统但还是对操作员发出了失速警告(一个机械的声音提示“失速”,随后发出无法忽视的高音警告),在飞机从37000英尺的高空坠入大西洋的过程中,它至少提醒了75 次。驾驶舱内的飞行员或许已经做了所有能做的事情,但却唯独忘记了与控制系统对话,他们完全忽视了它的提醒。

化工装置控制室中重要的人机交互之一就是报警,很多文章中讨论过关于报警系统及报警系统优化,现实中众多化工生产企业的报警系统存在着报警策略不明确、报警识别不系统、报警合理化缺失、报警人机界面不合理的问题,都直接影响了人机交互的有效性,报警无法起到有效的提醒操作员现场装置异常的作用。这些都是我们需要优先解决的问题,而并非盲目地追寻“黑屏操作”。


在“黑屏操作”这个话题中,很多企业更是树立了“报警越少越好”的错误导向,盲目地用不合理的方式削减报警点。我们期望通过设置报警,将装置的控制权移交给操作员,其实就是要求工艺系统知道自己的能力范围,了解自己什么状态下能行以及什么状态下不行。这是非常困难的事情,如何确认已经设置了所有的“控制权移交点”?许多企业还没有开展基于风险评估的报警识别和合理化分析,更何况:我们真的可以确保风险已经被完全辨识了吗?工艺系统各控制参数间中还存在着许多操作模式我们没有完全理解和解决,例如多变量、非线性、多约束、强耦合、多目标调控和间歇/连续式控制并存。



当我们越依赖技术,了解人为因素就越重要,在自动化控制系统的实施过程中,我们还要考虑人在系统中不断变化的角色,毕竟“操作员”才是异常状态管理的核心。正如彼得·德鲁克所说:我们逐渐意识到,有关技术的主要问题不是技术问题,而是人的问题。


作者:李国林


相关阅读

冯恩波:我对化工装置黑屏操作理念的四点看法


上一篇:盘点GDS、DCS、SIS、CCR和FAR安全检查要点

下一篇:为什么DCS系统用户要进行授权设置

云南昌晖仪表制造有限公司 香港昌晖自动化系统有限公司
技术支持:昌晖自动化 滇ICP备14003915号