电厂计算机化过程控制人机接口的设计研究
The Study of Man-machine Interfaces Design for Process Control in Nuclear Power Plants

盛焕行 张 帆 李红霞
（中国核动力研究设计院，四川成都，610041）

摘 要 在早期显示设计方法的基础上，过程控制人机接口经过近30年的缓慢发展，现已日趋完善。过程控制人机接口的设计是通过对现有技术的扩展和集成、增加更多的功能并把这些功能集成进统一的人机接口中的方法，使过程控制人机接口具备能帮助操纵员更好了解核电厂当前的状况、对其作出正确的判断、并确定要采取什么行动的强大功能。同时，一种更具革命性的过程控制人机接口设计研究工作也在发展中。
关键词 核电厂 过程控制 人机接口
Abstract On the basis of early display design approach, computer-based process control man-machine interface has been developing slowly for nearly 30 years and gradually improved. The design of progress control man-machine interface is such that by expanding and integrating current technology and bringing more functions to integral man-machine interface, the process control man-machine interface would help enabling operators to have a better understanding of NPP’s present status, make proper diagnosis and determine what actions to take. In addition, the research work on the revolutionary process control man-machine interface design is now also under way.
Key words Nuclear power plant Process control Man-machine interface

       从第一个基于计算机的过程控制系统出现至今的近30年中，过程控制的人机接口的发展是缓慢的。早期的显示设计方法为发展进程的拓展打下了基础，信息通常来自管线和仪表图，以后，一些如报警和趋势显示等重要附加功能也增加到基本系统。今天，这些功能依然是基本功能，除了由于显示硬件的品质得到改进外，末端用户的显示并没有多少改变，而人们对控制室过程控制人机接口的要求却与日俱增，希望能帮助操纵员更好地了解核电厂正发生的事情，对它作出正确的判断，并确定应采取的动作。为此，过程控制的人机接口的设计正在对现有的技术进行扩展和集成，增加更多的功能和把这些功能集成到统一的人机接口中。与此同时，一种革命性的人机接口研究工作也在发展中。

1 过程控制人机接口的功能设计和设计原则[1-2]
1.1 基本功能设计
       为满足生产工艺流程对信息的需要和对机组运行工况控制和监督的需要，控制室中过程控制的人机接口应具备以下基本功能：
（1） 信息显示方面：应能对模拟图、趋势图和格式化元素等实现可视显示；
（2） 操纵员—系统间相互作用方面：操纵员和人机接口间能在对话格式、导航、显示控制器、进入信息和系统消息等方面相互作用；
（3） 过程控制和输入装置方面：能对信息入口、对话形式、显示控制、信息管理和系统响应时间等实现控制；
（4） 报警方面：能执行报警条件设定、设定值的选取、警报处理和报警信息显示等功能；
（5） 分析和决策支持方面：能分析和预示总体情况，并对所做决策给出支持；
（6） 人际间的通讯方面：能实现语音通讯和以计算机为媒介的通讯。
此外，控制室过程控制人机接口的设计还涉及工作场所的设计，即控制台、工作站、仪表屏、设备、控制室总体布置和环境等的设计，使其满足信息显示和人机交互作用的需求。对于就地控制站的设计，包含就地控制站指示器、就地控制站控制器以及与就地控制站外人员通讯等方面的设计。

1.2 重要功能设计[3]
        在常规仪表屏与可视显示单元相结合的混合型控制室中，操纵员既得不到发指令任务（故障辨识、诊断和优化）的支持，也不能给出过程状态的概貌，这种设计有太多的显示格式，人机工程性能差，报警系统常常不能恰当地支持故障诊断。这些不足，促使人机接口的设计扩展现有的技术，集合进众多的重要功能，帮助操纵员了解什么是核电厂中正在进行的过程，对它做出正确的判断，并决定应采取的行动。设计中可采用的重要功能有：
（1）面向功能的安全参数显示
     在美国三哩岛事件之后，发现在核电厂发生事故时，控制室操纵员缺少核电厂安全状态的连续显示，因此，NRC要求美国核电厂安装安全参数显示，并引入面向功能的应急操纵程序。如果这些功能有效并能正常维持，不管是何种初始事件均能保证反应堆和一次冷却剂系统的完整性。在压水堆，重要安全功能是用一组能防止堆芯熔化和减少向公众辐射排放的实体系统来维持的，这些实体系统保证反应性、反应堆冷却剂系统总量、反应堆冷却剂系统压力、堆芯导热、反应堆冷却剂系统导热、安全壳隔离、安全壳温度压力、可燃气体、重要设备维修和辐射排放等得到控制。同时，有的安全参数显示系统不仅在处理面向功能的应急程序时支持操纵员，而且能直接回答为什么安全功能受到质疑等问题。
（2）大范围的综观显示——核电厂状态综观显示
     新技术使得控制室设计人员可以在大屏幕显示上引入过程状态的综观显示，为核电厂过程状态提供一个共同参考点。在使用计算机屏幕一定时间后，设计者和使用者能察觉到被称之为“锁眼效应”问题，即会出现仅聚焦于一帧屏幕显示的倾向，在引入大屏幕动态显示后，就克服了这种效应。
（3）可靠的信息和在线标定
    核电厂的人员现在有能力管理宽范围的瞬态和事故，事故仅在安全有关设备的多故障、严重的人因差错、或两者纠合在一起时才发生。由核电厂仪表提供的及时、精确的核电厂状态信息对工作人员有效地执行校正作用的能力直接有影响。获得核电厂状态信息的主要方法为神经网络结合模糊逻辑技术的人工智能法。它能处理隐含在实际过程（特别是在异常工况）中的不确定性和非线性问题，可作为获得核电厂状态可靠信息和对信号进行在线标定的工具。基于神经—模糊技术的信号证实技术分两个阶段：第一阶段，模糊模式识别将所有可能的过程运行状态或事故状态识别和分类成“模糊集”；第二阶段，构成一种人工神经网络库，其中每一个神经网络只连接到一种运行状态（集）。每一个神经网络限定于仅表征核电厂的许多可能状态之一。这种结构的主要特性是快捷地将未知的过程状态识别作未知的情景。这种方法使操纵员能在核电厂的许多变量之中选择要校验的实时值、趋势、偏差和可靠性，并由报警提醒操纵员审视信号的偏差、估计的正确值和计算出回答的可靠性。
（4）计算机化的规程
     自三哩岛事件之后，操作规程已有许多改变，最著名的便是引入主要反映在控制室技术和自动化技术中的面向征兆的应急操作规程。显现规程的方式应为：
? 规程的移动应立足于页或段的显示，而不是连续的，使得操纵员更容易确立起自己所处的位置（即朝向和导航）。同时，显示不应该大于屏幕实体；
? 应使用在固定位置中明确规定场所的格式，使操纵员不需搜索就能辨别规程页数；
? 应避免窗和屏的重叠，窗和屏的重叠可阻塞重要信息或引起操纵员迷失方位；
? 规程步骤的许多子步骤使用与其他子步骤分开的单项表示，当执行时，每一项均应能被确认，这种确认提供了监测进程和附加解释的基础；
? 结构应最简单，所要求的相互作用（导航）应最少；
? 人们能向已存在的规程插入文本标记，说明规程中各个成分的意义，执行规程的人员是看不到这些标记的，而计算机能检查标记，并在执行规程中给出适当的帮助，此外，用规程的小单元可以组态系统，使系统匹配指令组和规程结构。
（5）预示仿真——反应堆堆芯监测
      预示仿真的主要功能之一是告知操纵员在不久的将来将要发生什么；其另一种功能是允许操纵员在核电厂实际执行之前试验调节决策。不论何种用途，这种预示仿真必须比实时速度快，实际上是快得多（～100倍），这当然与所做的核电厂模型和计算机的硬件性能有关。
以反应堆堆芯监测为例，能提供不同功率瞬态，如停堆后的启动、紧急停堆、功率增加/减少等的快速预示和优化，同时提出控制棒运动、温变程序及硼浓度变化的最优决策，然后，所提出的决策将被以比实时快得多的速度仿真，操纵员在选择决策之前能检查如δ通量和功率分布等关键参数。
（6）核电厂特性优化
     对业主来说，面对日益增加的电力需求和剧烈的市场竞争，对核电厂的热效率的监测和优化变得越来越重要。从这个角度出发，主要的措施是要有效的监测、核电厂测量的在线标定、故障检测和诊断、“what-if”分析以及运行模式与维修的优化。一种能提供帮助操纵员识别和校正影响核电厂性能的显示是组成核电厂透平循环物理模型的通用结构，用它可量化效率的损失、估计参数、并定量预示核电厂各种工况。
（7）核电厂布局和管理信息
     今天的支持系统的许多方法是面向系统功能的，但在可能的事故中，也需要基于核电厂布置的信息。例如，火灾事故主要发生在房间里，而不是系统里，辐射泄漏也有相同的情况，因此，操纵员和值班人员需要在核电厂布置图上表示的信息。更加复杂的是应用虚拟现实技术表现的三维厂房模型，来实施对操纵员班组的营救计划。关于火警位置、辐射检测器信号和人员移动的信息，对于决策者了解紊乱情况中已发生的事情有很大的帮助。将过程计算机、火灾报警系统、辐射检测数据库、化学数据库和管理数据库的信息结合在一起能提供出这类信息。

1.3 设计原则
     为保证电站安全、稳定、可靠、经济运行，先进控制室的设计应遵循以下原则：故障安全原则、多样性原则、独立性原则、冗余性原则、共模故障最小原则、人因工程最佳原则、节能降耗原则和经济性原则。

2 过程控制人机接口设计的支持技术
     现阶段比较典型的先进的过程控制人机接口设计有法国法马通公司的Choose和Civaux N4核电厂的控制室、日本Kashiwasaki-6核电厂的控制室、德国西门子公司的TELEPERM XP+XS系统和美国Eagle21+WDPFII系统等，它们的设计经验值得借鉴。这些先进的过程控制人机接口主要支持技术如下。
（1）立足于适合控制室环境的紧凑的工作站技术的基础上的先进控制室设计。交互作用不再用键盘和鼠标而是用触摸屏，键盘仅为特殊目的使用而设置或是用标准键盘简化型式。
（2）用大尺寸屏幕显示技术支持操纵员对过程状态的综观和了解，过程综观显示将核电厂重要参数、安全参数和重要安全功能的数值以及主要报警集合在一起。
（3）在综观显示图上点一个对象或用软键盘键入一个对象，即能逐层显示核电厂具体系统的详细模拟图。
（4）根据历史数据、所选参数以及曲线的数量，能非常灵活地进行实时趋势显示的技术。
（5）统一的计算机化报警系统。报警系统使用综合过滤算法，能从核电厂具体系统、规定的优先级、时间窗等方面选择报警显示，也可以用不同的方法，如用敷设的信号器、专用可视显示单元或集合进过程模拟图等方式表现警报。
（6）面向功能、或面向任务的信息导航技术。信息导航是必须的，即使在使用多显示站时计算机产生的显示也仅允许信息序贯接入。
（7）智能化的操纵支持技术。
（8）高水准的自动化技术，能提供核电厂自动化系统状态综观；同时，广泛使用信息技术。
（9）信息冗余技术，即重要的参数要有多种可用显示。信息冗余可保证在所有时间能控制过程和局部地补偿因信息序贯接入与有限的信息表现面的限制。此外，信息冗余可服务于克服硬件或软件中可能的故障或缺陷。

3 革命性的过程控制人机接口设计研究工作[4]
        与过去30年的传统设计方法截然不同，革命性设计方法是基于认知工程、热动力学基本原理和核电厂功能结构的概念，核电厂的功能将根据核电厂的目标和子目标以及达到这些目标的方法来确定，然后设计显示这种功能的结构。这种设计方法是更高层次上的认知工程型设计方法，它的概念正在被使用，并正在评估它对正常运行和应急响应的有效性。随同所用的设计方法，也相应出现了各具特色的显示方法，例如，快车道（Motorway）显示、面向功能显示、面向任务显示、生态接口显示及虚拟现实技术等。最近十年，已经出现了综观核电厂的两种显示：Beltracchi显示和快车道显示，其他技术也在快速发展中，这些成果的获得，将为认知型过程控制人机接口的工程设计铺平道路。

4 结语
      从第一个基于计算机的过程控制系统出现以来，经过近30年缓慢的发展，计算机化过程控制人机接口在早期显示设计方法的基础上，通过对现有技术的扩展和集成，即增加更多的功能和把这些功能集成进统一的人机接口中，使过程控制人机接口的设计日趋完善，已具备能帮助操纵员更好了解核电厂状况和对此作出正确决策的强大功能。同时，一种更具革命性的人机接口设计研究工作也在发展中。

参考文献
[1] “Human-System interface design review guideline”, NUREG-0700, Rev.1 U.S. NRC 1996 June.
[2] “Human System interface and plant modernization process: technical basis and human factors review guidance”, NUREG/CR-6637, USNRC.
[3] F. Ower. Historical overview，current status，and future trends in human-computer interfaces for process control. Nuclear Technology Vol. 141 Jan. 2003.
[4] K. VICENTE and J. RASMUSSEN, “Ecological Interface Design: Theoretical Foundations,” IEEE Trans. Systems, Man, Cybernetics, SMC-22, 589 (1992).