自動(dòng)化控制系統(tǒng)的應(yīng)用可以提高裝置運(yùn)行效率，減少人員工作負(fù)荷，提高安全性和可靠性。但是與此同時(shí)，自動(dòng)化技術(shù)也引入了新的失效模式，帶來新的認(rèn)知和注意以及培訓(xùn)需求，并且延長了覺察和修復(fù)失效的時(shí)間。

1983年，倫敦大學(xué)認(rèn)知心理學(xué)家莉珊·班布里奇 Lisanne Bainbridge發(fā)表了《自動(dòng)化的諷刺 Ironies of Automation》一文，這是一篇被廣泛認(rèn)為是對(duì)自動(dòng)化固有問題進(jìn)行了開創(chuàng)性陳述的文章，文中指出：

①如果一個(gè)系統(tǒng)被設(shè)計(jì)成盡可能自動(dòng)化，這將使人面臨分散的、看似不相關(guān)的任務(wù)
②如果沒有反饋和實(shí)踐的機(jī)會(huì)，自動(dòng)化可能會(huì)損害操作員在出現(xiàn)問題時(shí)進(jìn)行干預(yù)的能力
③通過取消任務(wù)中的簡單部分，自動(dòng)化將使操作員任務(wù)中的困難部分變得更加困難

石油化工領(lǐng)域近年在控制系統(tǒng)優(yōu)化(如報(bào)警管理及APC項(xiàng)目)中經(jīng)常提到“黑屏操作”概念(即裝置在全自動(dòng)控制，控制屏幕呈現(xiàn)黑屏，若出現(xiàn)異常則自動(dòng)顯示相應(yīng)報(bào)警，提示操作人員處理)，這甚至成為了智能工廠的標(biāo)配、技術(shù)人員的指標(biāo)、管理人員的業(yè)績，能否實(shí)現(xiàn)“黑屏操作”成為了工廠控制水平的衡量標(biāo)準(zhǔn)。

但是，將“黑屏操作”簡化理解為“根據(jù)報(bào)警來控制裝置”的方式無異于用警報(bào)來規(guī)范飛行員駕駛(如下圖所示)。飛行員的航路控制不是通過控制系統(tǒng)不斷地提醒“過高”、“過低”、“左側(cè)偏離”、“右側(cè)偏離”來實(shí)現(xiàn)平穩(wěn)飛行，而是通過主動(dòng)性監(jiān)控航向、速度和高度，不斷地調(diào)整縮小偏差；合適的儀表測量信息以合適的方式展示給飛行員，特別是在關(guān)鍵緊急的時(shí)刻輔助作出合理的決策。

操作員不能淪為控制系統(tǒng)的仆人，操作員應(yīng)該是“自動(dòng)化”的主人，簡單地將任務(wù)分配給機(jī)器而不考慮人機(jī)協(xié)同并不能稱之為是一種良好的控制方法。本文將通過一起空難事故討論“自動(dòng)化悖論”，以及如何正確對(duì)待異常狀態(tài)管理。

◆法航447號(hào)航班的最后六分鐘
2009年6月1日，法國航空447號(hào)航班從巴西里約熱內(nèi)盧飛往法國巴黎，由空中客車A330-203客機(jī)執(zhí)飛(注冊(cè)編號(hào)F-GZCP)，飛機(jī)在巴西圣佩德羅和圣保羅島嶼附近墜毀，機(jī)上216名乘客及12名機(jī)組人員全數(shù)罹難。此次空難為法國航空成立以來最嚴(yán)重的空難，也是A330機(jī)型最嚴(yán)重及首次商業(yè)飛行空難。


備注：飛機(jī)殘骸散落在大西洋底200m×600m范圍中

飛機(jī)失事后，經(jīng)過兩年多的搜尋，直至2011年5月AF447航班客機(jī)的2個(gè)黑匣子才在大西洋海底被成功找回。歷時(shí)一年多的數(shù)據(jù)分析與調(diào)查，2012年7月5日空難最終調(diào)查報(bào)告發(fā)布，報(bào)告中指出事故的兩大原因：
①監(jiān)測速度的皮托管結(jié)冰使飛機(jī)未能偵測空速
②自動(dòng)駕駛關(guān)閉后駕駛員錯(cuò)誤操作導(dǎo)致飛機(jī)失速

◆最先進(jìn)的飛機(jī)vs失能的駕駛艙
皮托管結(jié)冰現(xiàn)象的應(yīng)對(duì)，是機(jī)組人員基礎(chǔ)培訓(xùn)的一部分，皮托管只會(huì)被堵住大概56秒左右，隨后空速的數(shù)據(jù)就會(huì)恢復(fù)正常。飛行員只需要穩(wěn)住飛機(jī)保持高度與速度，問題就會(huì)自然消除。


備注：A330飛機(jī)上監(jiān)測空速的皮托管

你也許會(huì)疑惑為什么法航447航班上的飛行員面對(duì)如此簡單的問題，還會(huì)犯下如此低級(jí)的錯(cuò)誤，而且還操作著當(dāng)時(shí)最為先進(jìn)的空中客車A330飛機(jī)。依靠精密的電傳飛行控制系統(tǒng)(Fly By Wire)，自從1994年問世以來，擁有這套自動(dòng)化控制系統(tǒng)的A330在此后15年間的商業(yè)飛行中沒有發(fā)生過一起墜機(jī)事故。

這便是矛盾之處，當(dāng)我們?yōu)轱w機(jī)配置了一套細(xì)致入微照顧飛行員的自動(dòng)控制系統(tǒng)，同時(shí)也帶來了新的風(fēng)險(xiǎn)。當(dāng)某種少見的緊急情況出現(xiàn)時(shí)(即使是基本操作之一)，飛行員可能都沒有過處理經(jīng)驗(yàn)。自動(dòng)化使得飛行員越來越不可能面對(duì)飛行中的原始風(fēng)險(xiǎn)，但他們也越來越不可能能夠應(yīng)對(duì)這樣的危機(jī)。商業(yè)飛行已成為一個(gè)自動(dòng)化過程，但自動(dòng)化控制系統(tǒng)不再正常時(shí)，即使是基礎(chǔ)的操作，法航447飛行員都沒有經(jīng)驗(yàn)來處理緊急情況。



正如James Reason在《Human Error》一書中所說：人工操作是一種高技能的活動(dòng)，這些技能需要堅(jiān)持不懈的訓(xùn)練才能保持水準(zhǔn)。然而，少有失效的自動(dòng)控制系統(tǒng)剝奪了操作者實(shí)踐基礎(chǔ)技能的機(jī)會(huì)。

這種科技越先進(jìn)，人類反而越無能的現(xiàn)象被稱作自動(dòng)化悖論。自動(dòng)化悖論體現(xiàn)在三個(gè)方面：
①自動(dòng)化系統(tǒng)操作便捷，而且其自動(dòng)糾錯(cuò)功能可以容忍人工操作的失誤。因此一個(gè)業(yè)務(wù)不甚熟練的操作者也可以濫竽充數(shù)很長時(shí)間，其技能匱乏往往被系統(tǒng)本身的強(qiáng)大功能所掩蓋。
②即便操作者已經(jīng)擁有熟練技能，但在一個(gè)完善的自動(dòng)化系統(tǒng)下，其熟練技能往往會(huì)因?yàn)槿鄙倬毩?xí)而日益生疏。
③自動(dòng)化系統(tǒng)的失效往往發(fā)生在極端情況之下，因此需要更敏銳的反應(yīng)處置，從這個(gè)角度講，自動(dòng)化系統(tǒng)越完善，在面臨極端情況時(shí)有可能使問題變得更糟。

◆不要讓操作員成為控制系統(tǒng)的仆人
在危險(xiǎn)化學(xué)品行業(yè)的發(fā)展歷史中，無法否認(rèn)自動(dòng)化在風(fēng)險(xiǎn)管理上對(duì)于減少人員失誤所帶來的貢獻(xiàn)，但需要警惕的是：我們是否讓操作員成為了自動(dòng)化控制系統(tǒng)的仆人？在“黑屏操作”等同于“根據(jù)報(bào)警來控制裝置”的做法之下，中控室的操作員已經(jīng)不是傳統(tǒng)意義上“控制裝置的人”，而成為了一個(gè)“裝置自動(dòng)控制系統(tǒng)操作員”。我們認(rèn)為，在如何對(duì)待“黑屏操作”的問題上，需要回歸到異常狀態(tài)管理來討論。

當(dāng)工藝流程高度自動(dòng)化時(shí)，操作員更多地扮演監(jiān)控角色，需要采取的干預(yù)措施較少，只是監(jiān)督控制系統(tǒng)是否按預(yù)期運(yùn)行，并在異常出現(xiàn)時(shí)進(jìn)行人工干預(yù)，但是自動(dòng)化控制下異常狀態(tài)管理存在的挑戰(zhàn)是：

①操作員是否理解控制系統(tǒng)？
隨著自動(dòng)控制系統(tǒng)越來越先進(jìn)，越來越復(fù)雜，變更改進(jìn)越來越多，控制室操作員在經(jīng)過培訓(xùn)之后，可能仍然不能充分理解控制系統(tǒng)的所有執(zhí)行規(guī)則、操作模式和失效可能。如果操作人員在裝置自動(dòng)化之前沒有系統(tǒng)理解或?qū)μ囟ó惓顟B(tài)場景的實(shí)際操作經(jīng)驗(yàn)，他們可能不具備成功控制所需要的理解。這就導(dǎo)致了在面對(duì)異常狀態(tài)時(shí)，操作員坐在中控室里，卻不能理解裝置的真實(shí)狀態(tài)，也不知道如何防范異常狀態(tài)的擴(kuò)大化。

②操作員能否保持警惕？
即使是高度積極的人也可能失去對(duì)異常的警惕，在長期依賴自動(dòng)控制系統(tǒng)的控制室中，監(jiān)控枯燥的運(yùn)行界面和數(shù)據(jù)使得操作員處于較低的應(yīng)激狀態(tài)，操作員的操作能力、異常態(tài)勢感知能力均會(huì)明顯下降。應(yīng)激水平下降也將導(dǎo)致操作員思維定勢，產(chǎn)生“只要看看有沒有警告就行了”僥幸心理；態(tài)勢感知不足將導(dǎo)致操作員對(duì)未來將要發(fā)生的預(yù)期降低，操作失誤增加；這樣的環(huán)境將進(jìn)一步導(dǎo)致原本并非粗心大意的人，擁有了“事故傾向性”。

③操作員能否及時(shí)切換模式？
操作員在操作模式之間的轉(zhuǎn)換是需要時(shí)間的，例如從“監(jiān)視模式”切換到“控制模式”。面對(duì)黑色的屏幕，操作員長時(shí)間地脫離“感知-決策-執(zhí)行”的循環(huán)，已經(jīng)失去了完整準(zhǔn)確的態(tài)勢感知。當(dāng)需要在短時(shí)間內(nèi)接管自動(dòng)化系統(tǒng)，并且沒有足夠的時(shí)間來獲得完整的上下文信息時(shí)，操作員試圖再次干預(yù)裝置運(yùn)行時(shí)，將會(huì)出現(xiàn)技能退化，他們的操作不再會(huì)像以前那樣精細(xì)。

◆重新認(rèn)識(shí)操作員與人機(jī)交互
如何解決自動(dòng)化悖論在化工生產(chǎn)裝置控制中的上述矛盾？我們需要重新審視在自動(dòng)化控制大量應(yīng)用環(huán)境中的操作員和人機(jī)交互。

①操作員
化工裝置控制室中的操作員所擁有的是以安全和效益為最終目的的實(shí)用技術(shù)，作為一個(gè)實(shí)踐操作崗位，需要操作員不斷重復(fù)記憶、熟練操作，培養(yǎng)自己對(duì)裝置運(yùn)行狀態(tài)的判斷能力。

如果操作員缺乏長期的日常練習(xí)，就不要期待異常狀況發(fā)生時(shí)操作員可以“英雄般地回歸”。正如全美航空1549號(hào)航班成功迫降哈德遜河的奇跡發(fā)生后，薩倫伯格機(jī)長所說的：“在成千上萬次的飛行中，我總是盡力飛在最佳的飛行軌跡上。這種習(xí)慣的養(yǎng)成對(duì)1549航班迫降成功才是最重要的。”

如何提高操作員的操作能力？“無他，唯手熟爾”。通過OTS仿真培訓(xùn)系統(tǒng)和實(shí)操驗(yàn)證培訓(xùn)，操作員可以增強(qiáng)自身對(duì)裝置操作的“正確感知”。這種“正確感知”包括操作員熟練地分配注意力，對(duì)處于自動(dòng)控制狀態(tài)下裝置關(guān)鍵參數(shù)和變化趨勢的敏感度，在隨時(shí)出現(xiàn)異常時(shí)知曉如何手動(dòng)干預(yù)并保持技能熟練。特別是在處理復(fù)雜異常場景中，裝置或系統(tǒng)受到干擾時(shí)，操作員(和操作員之間)必須通過大量的實(shí)踐不斷練習(xí)和摸索，才能高效有效準(zhǔn)確完美地完成一系列決策和操作。

②人機(jī)交互
在法航447號(hào)航班事故中，雖然自動(dòng)駕駛在皮托管堵塞后關(guān)閉，但是控制系統(tǒng)但還是對(duì)操作員發(fā)出了失速警告(一個(gè)機(jī)械的聲音提示“失速”，隨后發(fā)出無法忽視的高音警告)，在飛機(jī)從37000英尺的高空墜入大西洋的過程中，它至少提醒了75 次。駕駛艙內(nèi)的飛行員或許已經(jīng)做了所有能做的事情，但卻唯獨(dú)忘記了與控制系統(tǒng)對(duì)話，他們完全忽視了它的提醒。

化工裝置控制室中重要的人機(jī)交互之一就是報(bào)警，很多文章中討論過關(guān)于報(bào)警系統(tǒng)及報(bào)警系統(tǒng)優(yōu)化，現(xiàn)實(shí)中眾多化工生產(chǎn)企業(yè)的報(bào)警系統(tǒng)存在著報(bào)警策略不明確、報(bào)警識(shí)別不系統(tǒng)、報(bào)警合理化缺失、報(bào)警人機(jī)界面不合理的問題，都直接影響了人機(jī)交互的有效性，報(bào)警無法起到有效的提醒操作員現(xiàn)場裝置異常的作用。這些都是我們需要優(yōu)先解決的問題，而并非盲目地追尋“黑屏操作”。

在“黑屏操作”這個(gè)話題中，很多企業(yè)更是樹立了“報(bào)警越少越好”的錯(cuò)誤導(dǎo)向，盲目地用不合理的方式削減報(bào)警點(diǎn)。我們期望通過設(shè)置報(bào)警，將裝置的控制權(quán)移交給操作員，其實(shí)就是要求工藝系統(tǒng)知道自己的能力范圍，了解自己什么狀態(tài)下能行以及什么狀態(tài)下不行。這是非常困難的事情，如何確認(rèn)已經(jīng)設(shè)置了所有的“控制權(quán)移交點(diǎn)”？許多企業(yè)還沒有開展基于風(fēng)險(xiǎn)評(píng)估的報(bào)警識(shí)別和合理化分析，更何況：我們真的可以確保風(fēng)險(xiǎn)已經(jīng)被完全辨識(shí)了嗎？工藝系統(tǒng)各控制參數(shù)間中還存在著許多操作模式我們沒有完全理解和解決，例如多變量、非線性、多約束、強(qiáng)耦合、多目標(biāo)調(diào)控和間歇/連續(xù)式控制并存。



當(dāng)我們?cè)揭蕾嚰夹g(shù)，了解人為因素就越重要，在自動(dòng)化控制系統(tǒng)的實(shí)施過程中，我們還要考慮人在系統(tǒng)中不斷變化的角色，畢竟“操作員”才是異常狀態(tài)管理的核心。正如彼得·德魯克所說：我們逐漸意識(shí)到，有關(guān)技術(shù)的主要問題不是技術(shù)問題，而是人的問題。

作者：李國林

相關(guān)閱讀
◆馮恩波：我對(duì)化工裝置黑屏操作理念的四點(diǎn)看法