李鹏程,张 力,2,戴立操,胡 鸿,2
(1.南华大学 人因研究所,湖南 衡阳 421001;2.湖南工学院 人因与安全管理研究所,湖南 衡阳 421002)
随着计算机技术、控制和信息技术的快速发展和日益成熟,核电厂中的仪表和控制系统由传统的模拟控制发展为数字控制,控制室人-机界面由常规监控盘台为主发展为以计算机工作站为主。新技术(如数字化技术)是引发情境环境变化的根源,且所有的操纵员行为均会受其所处的情境环境的影响。对于核电厂操纵员,数字化主控室与传统的模拟主控室相比,在技术系统、人-系统界面、规程系统、报警系统、分析和决策支持系统、班组之间的结构和交流路径等影响人的可靠性的情境环境发生了变化[1-5]。这些变化导致操纵员的认知过程和行为响应方式也发生了变化,从而出现新的人因失误机理,包括新的人因失误模式(如模式混淆、情境意识的丧失)、新的行为形成因子(如界面管理任务)、新的人与自动化的交互方式以及新的人因失误分布(如执行型失误的增加)等[6],因此,传统的人因可靠性分析模型、方法和数据难以满足当前人因失误和可靠性分析的要求。目前,基于计算机的数字化技术对操纵员的影响越来越受到大家的关注。本文对数字化主控室的人因失误进行分类,通过全尺寸模拟机实验来辨识数字化主控室中操纵员发生的主要人因失误模式及其原因,为人因失误的预防提供理论支持。
人因失误的定义是进行人因失误分类的基础。事实上,不同学科领域的学者对人因失误有不同的定义,且术语“人因失误”也已用于表示事情的原因、事件本身(行为)以及行为的后果[7]。如Rigby[8]将人因失误定义为:作用于系统的人的行为没有或没有充分满足系统的要求称为人因失误。Swain[9]将人因失误定义为:能够或有可能引发不期望事件的所有人的行为或疏忽。上述定义主要是依据行为的后果进行确定的,工程技术人员趋向于将人看作是技术系统中的一组成部分,像描述设备的成功或失效一样来看待人工操作的成功与失败。
Reason[10]认为:人因失误就是计划中的心理和身体行为序列在执行后没能达到意向中的结果,且这种失效不能归因于随机触发因素的干扰作用。该定义是从心理学角度根据事件本身(行为)进行定义的,人被看作是技术系统中的一信息处理组分。心理学家通常最初假设人的行为基本上是带有目的性,只有依据人的主观目标和意向才能完全懂得人的行为。由该定义可知,人因失误应包括内部的失误模式与外部的失误模式。
Sträter[11]将人因失误定义为:人因失误一直存在于工作系统中,它具有引起工作系统处于非期望的或错误的状态的特性,它的产生导致系统需求处于没有满足或未能充分满足的状态,个人是工作系统的一组分,并与工作中的其他组分相互作用,工作系统中的所有组分相互依赖,相互影响。由Sträter的定义可知,其人因失误对应于“失误作为原因”、“失误作为后果”,而没有涉及“失误作为行为/事件本身”。
根据上述定义可知,人因失误的定义是多种多样的,但不管如何定义,人因失误一般具有以下3个基本的性质:
1) 人工操作是一有组织的机体,它像系统的硬件和软件一样具有失效率与容许度。
2) 人因失误包括隐性失误(认知失误)和显性失误(动作失误,可观察到的)。隐性失误是导致显性失误的原因之一,也是人因失误分析不可缺少的重要组成部分。
3) 相对于正常的人的行为,人因失误是一贬义词,它的产生一般归因于各种不利的情境环境条件。从工程应用的角度看,如核电厂中的人因可靠性分析,一般关注的是可能引起非期望后果的人的行为。因此,从工程的视角看,根据人的行为的后果来判定其是否属于人因失误是有其合理性的。
从理论和工程应用两方面,同时兼顾技术系统的局限性和人的局限性对人因失误进行全面定义:对于前线操纵员,受其个人的内部因素和所处外部情境因素的共同影响,使其不能精确地、恰当地、充分地、可接受地完成其所规定的绩效标准范围内的任务以满足系统的需求,则操纵员的这些行为(内在认知的和外在可观察到的行为)或疏忽被称为人因失误。简而言之,人因失误就是人的认知失误和行为失误(可观察到的),人的认知功能和行为响应没有达到正确和预期的标准和任务绩效。
Rouse等[12]认为,如果人因失误是基于失误发生于其中的过程模型来进行分类,则会提高人因失误分类图式的内部一致性。这样一个模型有利于识别不同的分类以及说明分类之间的关系。Kirwan[13]也认为一个理论上合理的模型或框架对于减少失误是十分重要的。尽管存在大量典型的人员认知模型或框架(信息处理模型[14]、决策阶梯模型与技能-规则-知识(S-R-K)模型[15]、7阶段认知模型[16-17]、通用失误模拟系统[10]、操纵员的概念模型[12]、简单认知模型[7,18]、认知模型[19]、IDAC模型[20]以及美国核管会发展的模型[21]等),但由于新技术出现带来的影响,上述认知模型或框架不能完全用于分析核电厂数字化主控室操纵员的行为。因此,需发展新的认知模型来指导核电厂数字化主控室的人因失误分类和分析,本文建立的数字化主控室的认知模型主要是基于美国核管会的模型(图1)并通过认知任务分析建立起来的。
图1 核电厂操纵员的认知行为模型
人的操作响应行为均是在特定的场景中执行,由于技术的发展和自动化程度的提高,在核电厂这种复杂的社会-技术系统中,操纵员的主要任务表现为认知任务(图1),主要包括:1) 监视/发觉;2) 状态评价;3) 响应计划;4) 响应执行[21-22]。上述4个过程被看作认知域[23],其内部还包括若干认知功能,用认知域来表示有助于克服早期信息处理理论的序列处理的过时思想。
国际上对图1中操纵员的4个认知域还没有统一的清晰界定,从而导致混用并在工程应用上存在困难。认知域的界定对于确定认知域的边界和工程应用是有益的。监视/发觉是指从复杂动态的工作环境中获取信息的行为[24]。当核电厂发生异常状态时,操纵员将根据核电厂的状态参数构建一合理的和合乎逻辑的解释,来评估电厂所处的状态,作为后续的响应计划和响应执行决策的依据。这一系列过程称为状态评估(或情境意识),并涉及两个相关模型,即状态模型和心智模型[25]。状态模型就是操纵员对特定状态的理解,且当收集到新的信息时,状态模型会被经常更新。心智模型是通过正式的教育、具体的培训和操纵员经验来构建,并存储于大脑中。状态评估过程主要就是发展一状态模型来描述当前电厂的状态。响应计划是指为解决异常事件而制定行动方针、方法或方案的决策过程[26]。响应执行就是执行在响应计划中确定的动作或行为序列。
对各种人因失误分类进行区分是非常重要的,因不同的失误类型有不同的基本的失误机制(不同的心理起源),发生在不同的系统部位,由不同的失误原因引起以及需要不同的方法来进行失误管理和纠正[22]。
1) 监视/发觉认知失误分类
在监视/发觉认知过程中,最主要的功能是获取信息和搜索信息,这种监视行为主要有数据驱动的监视(环境主导,从现象到本质,从微观到宏观)和知识驱动的监视(知识经验主导,从规律到数据,从宏观到微观)。数据驱动的监视受人-机界面设计特征或信息特征的影响,如信息的表现形式、信息的醒目性(尺寸、亮度、声音的大小等)以及信息行为(如信息信号的频宽及变化率等),例如,信号变化迅速会被操纵员频繁注意。由于这种监视是受信息的特征驱动的,因此,一般该类监视被认为是“被动的”,而知识驱动的监视一般看作是“主动的”监视,因为操纵员不仅对环境特征(如报警、系统失效)做出响应,且操纵员会有意将自己的注意力导向能完成特定目标的特定信息呈现区(亦可称目标驱动)。由于受感知到的报警、系统失效或备选目标的影响,故其也称为模型驱动的信息搜索[26-27]。在紧急情况下,核电厂操纵员需监视许多信息,但操纵员只有有限的注意资源和记忆能力。因此,如果没有很好地分配注意资源和记忆能力,则会导致信息搜索失误,从而引起各种认知失误。
在数字化控制系统中,操纵员需要从画面(报警画面、规程画面、状态画面等)、后备盘、电厂记录日志和纸质规程中等获取信息。操纵员为了获取信息,首先要产生监视行为(看、听,有主动看,有被动发觉)、然后视觉需定位到监视目标、对目标进行辨认,如读规程,再从画面中找信息,进行认识。假设针对事故后规程中的基本任务“确认RCP016KG处于自动”,则操纵员首先需执行监视行为(看、听、读),然后需对这个基本任务的认识,再者需在画面中定位或搜索到RCP016KG,最终完成单个信息的监视。如果对于复杂的任务,需搜集多个信息,不过也是重复单个信息的认知过程。在此过程中可能产生的监视失误列于表1。如针对多个信息搜索有:遗漏信息、收集到不相关的信息、收集到多余的信息、信息收集不充分,分别采用关键词列于表1中。
2) 状态评价认知失误分类
在核电厂数字化控制系统中,由于自动化水平的提高,诸多的复杂任务均被自动化所取代(如安注是否投运,是否失去给水等),由操纵员支持系统来支持操纵员的诊断和判别。事故情况下,当前操纵员的任务更多表现为简单任务,主要表现在信息比较(如温度、压力的比较)、简单判断(如确认报警是否出现,至少1个蒸发器被隔离)、简单计算(如两个蒸发器的压差是否大于1 MPa(g))等。因此,对于这些简单任务的评估称之为信息比对,即监视中识别的参数与规程中规定的参数的比较或系统组件的状态确定。再者,若干简单任务的组合可识别出系统组件的状态(如是否关闭RCP泵需判断一系列标准),通过简单任务的比对,可得到单一参数的结果,然后将这些结果进行信息整合(涉及理解和推理),识别更大的组件或子系统的状态,这一系列行为过程可能涉及的认知功能包括“信息比对”、“信息的整合”、“状态的理解”。对于更为复杂的事故的判断(尽管DOS规程不需要判断发生何种事故,但关键的六大参数及其组合的判断也是复杂的),则需对各种子系统的状态的组合进行判断,同样涉及上述认知功能。同样,对于不同的故障、失效或事故的原因需要识别,才有利于响应计划的选择和制定,再者事故的严重性、组件、子系统和系统未来发展的情况需要做出预测。对于新出现的情况,操纵员也需根据自己的知识和经验,以及有限的数据,进行状态预计和深层次的推理来评估当前状态。因此,状态评估中还涉及的认知功能有“原因识别”、“状态预计”。同样,在越高一级的和复杂的状态的情境意识中越需“监视”、“响应计划”以及“响应执行”的认知功能的支持。
表1 核电厂数字化主控室人因失误分类
在数字化控制室中,需对信息进行比对和判断,识别参数是否异常,从而容易产生信息的比对失误,没有比对或比对延迟。针对复杂任务,在搜集若干信息(在监视中完成)并进行比对后,对这些信息进行整合,综合考虑系统状态,有可能产生对状态的解释错误、对状态的解释不充分、对状态的解释延迟以及解释的丧失,比如有些参数与许多系统相关,则需进一步搜集相关信息才能做出进一步的解释。其他具体的分类列于表1。
3) 响应计划认知失误分类
在应急条件下,操纵员先识别目标,为了完成目标,就会产生一种或多种可供选择的响应方案,评估可供选择的方案,选择最优的行为方案执行以达到目标。一般而言,核电厂有正式的纸质和电子规程来指导操纵员的响应,但多年的实践和大量的案例表明操纵员不一定完全按规程办事,且尽管有规程指导,但规程不一定完全正确[28-29]。因此,操纵员在制定、评价和选择响应计划的过程中,可能出现各种人因失误。如果存在响应计划,操纵员可能在选择响应计划时出现错误,或未能做出选择,选择之后,操纵员需跟随响应计划,在跟随的过程中可能出现失误,如果没有响应计划,操纵员需重新评估做出新的响应计划,但响应计划可能是错误的、不充分的、无法做出以及延迟做出等。具体的分类列于表1。
4) 响应执行失误分类
响应执行涉及可观察到的行为失误。行为失误是指在事件/事故发生之前,一线操纵员失误的外在表象。行为失误发生在四维时空中,可用外在失误模式(EEM)来表示。行为失误模式可分为操作遗漏、错误的目标、错误的操作、不充分的操作和操作延迟5大类,其中操作遗漏包括遗漏规程中的步骤、没有认识到未执行的动作、遗漏规程步骤中的一个指令等;错误的目标包括正确的操作在错误的目标上、错误的操作在错误的目标上;不充分的操作包括操作太长/太短、操作太大/太小、操作不及时、操作不完整、调节速度太快/太慢;错误的操作包括操作在错误的方向上、错误的操作在正确的目标上、操作序列错误、数据输入错误、记录错误;操作延迟是指操作太晚。另外,对于班组之间的交流错误,可归类到行为响应失误分类中,包括错误的交流、不充分的交流、没有交流。具体的分类列于表1。
为识别核电厂数字化控制系统中发生的主要人因失误模式,采用全尺寸模拟机实验并结合操纵员访谈来对人因失误模式及原因进行识别。2011年模拟事故复训安排在11月至12月进行,共对4个班组(其中1个临时班组)参加的培训进行了观察、录像和分析。每个班组有RO1(一回路操纵员)、RO2(二回路操纵员)、协调员、值长4位操纵员,其中RO1主要负责一回路的系统控制,RO2主要负责二回路的系统控制,协调员主要负责两位操纵员的协调和监护,值长主要负责对电厂状态的重要决策。他们的平均年龄为29岁,最小年龄为26岁,最大年龄为35岁,均有5年以上核电厂工作经验。另外,教员会在模拟培训中扮演主控室外的多个角色,以上培训过程模拟真实事故环境。每个班组的培训时间为1周,每天3 h模拟培训和3 h讨论分析,培训内容主要为常见的单个严重事故(如失电、燃料包壳破损泄漏、一回路管道破口、二回路管道破口、失去热阱、失去给水等)或这些事故的叠加。培训过程中主要培训操纵员及其班组对事故的监视、诊断和处理能力。主要的模拟机实验场景(复训)列于表2。
表2 主要的模拟机实验场景
通过分析会的讨论与录相分析,识别的主要人因失误模式与引发失误的原因列于表3。依据模拟机实验结果可知,在每个认知域中均发生了人因失误模式。
表3 模拟机实验识别的主要人因失误模式及原因
续表3
在监视/发觉的认知阶段,发生的主要人因失误包括“信息定位丧失”、“没有监视到(看到或听到)”、“监视延迟”和“未能认识”,引起这些失误的原因主要涉及“信息所在的画面被覆盖”、“需要的信息在画面中的位置不固定”、“信息之间的关联性由成百上千的一张张画面被分隔,操纵员看起来需完成复杂的“拼图游戏”一样来对信息进行关联”,这些数字化主控室的新特征将增加操纵员的认知负荷(如记忆负荷和注意负荷)。另外,这也是操纵员不能遵从特定的行为规范的原因之一。
在状态评价认知阶段,识别的主要人因失误包括“状态的误解”、“未能对状态做出解释,即解释丧失”、“不充分的解释”和“原因辨识失误”。引发这些问题的原因主要包括“人机界面的问题,如信息的相似性”、“技术系统的问题,如自动化水平的高低和系统响应的延迟等”。例如,有些规程被计算机自动执行,使得操纵员没有参与到这些规程任务的执行中,从而使操纵员容易丧失对该类任务的情境意识。再者,大量的信息有限显示,会产生一个新的问题——锁孔效应,操纵员需要复杂导航并且只能看到画面的一小部分,而对整个电厂状态缺乏认识,这就像通过门上的一个小孔来看外面的世界,只能看到一部分。“操纵员完成任务的时间与系统确定的可用时间不是很匹配,有时操纵员的工作很闲,有时操纵员的任务忙不过来,如在误安注的情况下”,这将给操纵员带来心理负荷和压力。此外,不充分的培训、知识、经验和技能也是引发状态评估失误的主要原因之一。
在响应计划阶段,发生的主要人因失误包括“计划跟随失误”、“计划选择失误”,其主要原因在于“时间压力”,例如由复杂的界面管理任务带来的时间压力,和操纵员没有遵从行为规范以及故意违规等引起响应计划失误。
在响应执行阶段,发现主要的失误模式包括“操作遗漏”、“调节失误”、“操作延迟”、“操作在错误的方向”、“不充分的信息交流”、和“错误的信息交流”。引发这些失误的原因涉及“人机界面问题,如画面的相似性”、“技术系统问题,如系统反馈延迟”、“由任务的复杂性和紧急性带来的负荷”、“班组结构,如变化的班组交流路径和角色”等。详细的有关组织与原因的分析结果列于表3(原因的辨识框架选取参见文献[30])。毋庸置疑,前面的认知功能失误不仅可以引发后续的认知功能失误,而且可能在下一阶段得到发现和恢复。
在核电厂数字化主控室中(基于计算机的主控室),由于影响操纵员行为可靠性的情境环境发生了变化,这些变化的主控室设计特征改变了操纵员的认知行为机理,可能给操纵员的可靠性带来不利影响。因此,为了识别数字化主控室中操纵员的人因失误模式,本文通过现场观察、操纵员访谈和模拟机实验,建立了数字化控制系统中的人因失误分类体系,并通过模拟机实验辨识出主要的人因失误,得到如下结论。
1) 改变的情境环境特征可能对操纵员的情境意识等产生不利影响。
2) 基于认知任务分析识别数字化控制系统中操纵员在监视/发觉、状态评价、响应计划和响应执行的认知域中主要包括的认知功能有:信息搜索、信息比对、信息整合、状态理解、原因辨识、计划跟随、操作等。应急事故规程中任务的完成需要若干个认知功能的支持,支持的认知功能可能处在不同的认知域中。
3) 基于认知模型和任务分析对人因失误进行了分类,并通过模拟机实验识别数字化主控室中操纵员的主要人因失误,包括状态解释错误、丧失对状态的解释、对状态的解释不充分以及原因辨识错误等。
尽管建立了核电厂数字化主控室人因失误分类,并通过模拟机实验辨识出主要的人因失误模式,但人因失误的概率、影响人因失误的因素、人因失误与影响因素的因果关系及工程应用问题等还需进一步深入研究。
参考文献:
[1] SHERIDAN T B. Telerobotics, automation, and human supervisory control[M]. Cambridge, Mass: The MIT Press, 1992.
[2] WOODS D D, JOHANNESEN L J, COOK R I, et al. Behind human error: Cognitive systems, computers, and hindsight[M]. Wright-Patterson AFB, Ohio: Crew Systems Ergonomics Information Analysis Center, 1994.
[3] Committee on Application of Digital Instrumentation and Control Systems to Nuclear Power Plant Operations and Safety, National Research Council. Digital instrumentation and control systems in nuclear power plants: Safety and reliability issues[M]. Washington D. C.: The National Academies Press, 1997.
[4] O’HARA J M, BROWN W S, LEWIS P M, et al. The effects of interface management tasks on crew performance and safety in complex, computer-based systems: Detailed analysis, NUREG/CR-6690(Vol.2)[R]. Washington D. C.: Nuclear Regulatory Commission, 2002.
[5] O’HARA J M, HIGGINS J C, STUBLER W F. Computer-based procedure systems: Technical basis and human factors review guidance, NUREG/CR-6634[R]. Washington D. C.: Nuclear Regulatory Commission, 2000.
[6] SARTER N N, WOODS D D, BILLINGS C E. Automation surprises[M]∥SALVENDY G. Handbook of human factors/ergonomics. New York: Wiley, 1997.
[7] HOLLNAGEL E. Human reliability analysis: Context and control[M]. London: Academic Press, 1993.
[8] RIGBY L. The nature of human error[C]∥24 Annual Technical Conference Transaction of the ASQC. Pittsburgh, PA: [s. n.], 1970.
[9] SWAIN A D. Quantitative assessment of human errors[M]. Köln, Germany: Protokoll des Vortrages bei der GRS im Juni GRS, 1992.
[10] REASON J. Human error[M]. Cambridge: Cambridge University Press, 1990.
[12] ROUSE W B, ROUSE S H. Analysis and classification of human error[J]. IEEE Transactions on Systems Man and Cybernetics, 1983, 14: 539-549.
[13] KIRWAN B. Human error identification in human reliability assessment, Part 1: Overview of approaches[J]. Applied Ergonomics, 1992, 23(5): 299-318.
[14] WICKENS C. Engineering psychology and human performance[M]. New York: [s. n.], 1992.
[15] RASMUSSEN J. Information processing and human-machine interaction: An approach to cognitive engineering[M]. New York: North-Holland, 1986.
[16] NORMAN D A. Categorisation of action slips[J]. Psychological Review, 1981, 88: 1-15.
[17] NORMAN D A. Cognitive engineering[M]∥NORMAN D A, DRAPER S W. User centered system design: New perspectives on human-computer interaction. Lawrence Erlbaum: [s. n.], 1986.
[18] HOLLNAGEL E. Cognitive reliability error analysis method[M]. London: Elsevier, 1998.
[19] JONES D G, ENDSLEY M R. Sources of situation awareness errors in aviation[J]. Aviation, Space, and Environmental Medicine, 1996, 67(6): 507-512.
[20] CHANG Y H J. Cognitive modeling and dynamic probabilistic simulation of operating crew response to complex system accident(ADS-IDACrew)[D]. Maryland: University of Maryland, 1999.
[21] THOMPSON C M, COOPER S E, BLEY D C, et al. The application of ATHEANA: A technique for human error analysis[C]∥IEEE Sixth Annual Human Factors Meeting. Florida: [s. n.], 1997.
[22] REASON J, MADDOX M E. Human factors guide for aviation maintenance[M]. Washington D. C.: Federal Aviation Administration/Office of Aviation Medicine, 1996
[23] REASON J T. A framework for classifying errors[M]∥RASMUSSEN J, DUNCAN K D, LEPLAT J. New technology and human error. Chichester: Wiley, 1987.
[24] O’HARA J M, HIGGINS J C, STUBLER W F, et al. Computer-based procedure systems: Technical basis and human factors review guidance, NUREG/CR-6634[R]. Washington D. C.: Nuclear Regulatory Commission, 2000.
[25] O’HARA J M, HIGGINS J C, KRAMER J. Advanced information systems: Technical basis and human factors review guidance, NUREG/CR-6633[R]. Washington D. C.: Nuclear Regulatory Commission, 2000.
[26] VICENTE K J, MUMAW R J, ROTH E M. Operator monitoring in a complex dynamic work environment: A qualitative cognitive model based on field observations[J]. Theoretical Issues in Ergonomics Science, 2004, 5(5): 359-384.
[27] KONTOGIANNIS T. A framework for the analysis of cognitive reliability in complex systems: A recovery centred approach[J]. Reliability Engineering and System Safety, 1997, 58(3): 233-248.
[28] 张力,赵明. WANO人因事件统计及分析[J]. 核动力工程,2005,26(3):291-296.
ZHANG Li, ZHAO Ming. Statistics and analysis of WANO human factor events[J]. Nuclear Power Engineering, 2005, 26(3): 291-296(in Chinese).
[29] 张力,邹衍华,黄卫刚. 核电站运行事件人误因素交互作用分析[J]. 核动力工程,2010,31(6):41-46.
ZHANG Li, ZOU Yanhua, HUANG Weigang. Interactive analysis of human error factors in NPP operation events[J]. Nuclear Power Engineering, 2010, 31(6): 41-46(in Chinese).
[30] LI P C, CHEN G H, DAI L C, et al. A fuzzy Bayesian network approach to improve the quantification of organizational influences in HRA frameworks[J]. Safety Science, 2012, 50(7): 1 569-1 583.