自動化控制系統的應用可以提高裝置運行效率，減少人員工作負荷，提高安全性和可靠性。但是與此同時，自動化技術也引入了新的失效模式，帶來新的認知和注意以及培訓需求，并且延長了覺察和修復失效的時間。

1983年，倫敦大學認知心理學家莉珊·班布里奇 Lisanne Bainbridge發表了《自動化的諷刺 Ironies of Automation》一文，這是一篇被廣泛認為是對自動化固有問題進行了開創性陳述的文章，文中指出：

①如果一個系統被設計成盡可能自動化，這將使人面臨分散的、看似不相關的任務
②如果沒有反饋和實踐的機會，自動化可能會損害操作員在出現問題時進行干預的能力
③通過取消任務中的簡單部分，自動化將使操作員任務中的困難部分變得更加困難

石油化工領域近年在控制系統優化(如報警管理及APC項目)中經常提到“黑屏操作”概念(即裝置在全自動控制，控制屏幕呈現黑屏，若出現異常則自動顯示相應報警，提示操作人員處理)，這甚至成為了智能工廠的標配、技術人員的指標、管理人員的業績，能否實現“黑屏操作”成為了工廠控制水平的衡量標準。

但是，將“黑屏操作”簡化理解為“根據報警來控制裝置”的方式無異于用警報來規范飛行員駕駛(如下圖所示)。飛行員的航路控制不是通過控制系統不斷地提醒“過高”、“過低”、“左側偏離”、“右側偏離”來實現平穩飛行，而是通過主動性監控航向、速度和高度，不斷地調整縮小偏差；合適的儀表測量信息以合適的方式展示給飛行員，特別是在關鍵緊急的時刻輔助作出合理的決策。

操作員不能淪為控制系統的仆人，操作員應該是“自動化”的主人，簡單地將任務分配給機器而不考慮人機協同并不能稱之為是一種良好的控制方法。本文將通過一起空難事故討論“自動化悖論”，以及如何正確對待異常狀態管理。

◆法航447號航班的最后六分鐘
2009年6月1日，法國航空447號航班從巴西里約熱內盧飛往法國巴黎，由空中客車A330-203客機執飛(注冊編號F-GZCP)，飛機在巴西圣佩德羅和圣保羅島嶼附近墜毀，機上216名乘客及12名機組人員全數罹難。此次空難為法國航空成立以來最嚴重的空難，也是A330機型最嚴重及首次商業飛行空難。


備注：飛機殘骸散落在大西洋底200m×600m范圍中

飛機失事后，經過兩年多的搜尋，直至2011年5月AF447航班客機的2個黑匣子才在大西洋海底被成功找回。歷時一年多的數據分析與調查，2012年7月5日空難最終調查報告發布，報告中指出事故的兩大原因：
①監測速度的皮托管結冰使飛機未能偵測空速
②自動駕駛關閉后駕駛員錯誤操作導致飛機失速

◆最先進的飛機vs失能的駕駛艙
皮托管結冰現象的應對，是機組人員基礎培訓的一部分，皮托管只會被堵住大概56秒左右，隨后空速的數據就會恢復正常。飛行員只需要穩住飛機保持高度與速度，問題就會自然消除。


備注：A330飛機上監測空速的皮托管

你也許會疑惑為什么法航447航班上的飛行員面對如此簡單的問題，還會犯下如此低級的錯誤，而且還操作著當時最為先進的空中客車A330飛機。依靠精密的電傳飛行控制系統(Fly By Wire)，自從1994年問世以來，擁有這套自動化控制系統的A330在此后15年間的商業飛行中沒有發生過一起墜機事故。

這便是矛盾之處，當我們為飛機配置了一套細致入微照顧飛行員的自動控制系統，同時也帶來了新的風險。當某種少見的緊急情況出現時(即使是基本操作之一)，飛行員可能都沒有過處理經驗。自動化使得飛行員越來越不可能面對飛行中的原始風險，但他們也越來越不可能能夠應對這樣的危機。商業飛行已成為一個自動化過程，但自動化控制系統不再正常時，即使是基礎的操作，法航447飛行員都沒有經驗來處理緊急情況。



正如James Reason在《Human Error》一書中所說：人工操作是一種高技能的活動，這些技能需要堅持不懈的訓練才能保持水準。然而，少有失效的自動控制系統剝奪了操作者實踐基礎技能的機會。

這種科技越先進，人類反而越無能的現象被稱作自動化悖論。自動化悖論體現在三個方面：
①自動化系統操作便捷，而且其自動糾錯功能可以容忍人工操作的失誤。因此一個業務不甚熟練的操作者也可以濫竽充數很長時間，其技能匱乏往往被系統本身的強大功能所掩蓋。
②即便操作者已經擁有熟練技能，但在一個完善的自動化系統下，其熟練技能往往會因為缺少練習而日益生疏。
③自動化系統的失效往往發生在極端情況之下，因此需要更敏銳的反應處置，從這個角度講，自動化系統越完善，在面臨極端情況時有可能使問題變得更糟。

◆不要讓操作員成為控制系統的仆人
在危險化學品行業的發展歷史中，無法否認自動化在風險管理上對于減少人員失誤所帶來的貢獻，但需要警惕的是：我們是否讓操作員成為了自動化控制系統的仆人？在“黑屏操作”等同于“根據報警來控制裝置”的做法之下，中控室的操作員已經不是傳統意義上“控制裝置的人”，而成為了一個“裝置自動控制系統操作員”。我們認為，在如何對待“黑屏操作”的問題上，需要回歸到異常狀態管理來討論。

當工藝流程高度自動化時，操作員更多地扮演監控角色，需要采取的干預措施較少，只是監督控制系統是否按預期運行，并在異常出現時進行人工干預，但是自動化控制下異常狀態管理存在的挑戰是：

①操作員是否理解控制系統？
隨著自動控制系統越來越先進，越來越復雜，變更改進越來越多，控制室操作員在經過培訓之后，可能仍然不能充分理解控制系統的所有執行規則、操作模式和失效可能。如果操作人員在裝置自動化之前沒有系統理解或對特定異常狀態場景的實際操作經驗，他們可能不具備成功控制所需要的理解。這就導致了在面對異常狀態時，操作員坐在中控室里，卻不能理解裝置的真實狀態，也不知道如何防范異常狀態的擴大化。

②操作員能否保持警惕？
即使是高度積極的人也可能失去對異常的警惕，在長期依賴自動控制系統的控制室中，監控枯燥的運行界面和數據使得操作員處于較低的應激狀態，操作員的操作能力、異常態勢感知能力均會明顯下降。應激水平下降也將導致操作員思維定勢，產生“只要看看有沒有警告就行了”僥幸心理；態勢感知不足將導致操作員對未來將要發生的預期降低，操作失誤增加；這樣的環境將進一步導致原本并非粗心大意的人，擁有了“事故傾向性”。

③操作員能否及時切換模式？
操作員在操作模式之間的轉換是需要時間的，例如從“監視模式”切換到“控制模式”。面對黑色的屏幕，操作員長時間地脫離“感知-決策-執行”的循環，已經失去了完整準確的態勢感知。當需要在短時間內接管自動化系統，并且沒有足夠的時間來獲得完整的上下文信息時，操作員試圖再次干預裝置運行時，將會出現技能退化，他們的操作不再會像以前那樣精細。

◆重新認識操作員與人機交互
如何解決自動化悖論在化工生產裝置控制中的上述矛盾？我們需要重新審視在自動化控制大量應用環境中的操作員和人機交互。

①操作員
化工裝置控制室中的操作員所擁有的是以安全和效益為最終目的的實用技術，作為一個實踐操作崗位，需要操作員不斷重復記憶、熟練操作，培養自己對裝置運行狀態的判斷能力。

如果操作員缺乏長期的日常練習，就不要期待異常狀況發生時操作員可以“英雄般地回歸”。正如全美航空1549號航班成功迫降哈德遜河的奇跡發生后，薩倫伯格機長所說的：“在成千上萬次的飛行中，我總是盡力飛在最佳的飛行軌跡上。這種習慣的養成對1549航班迫降成功才是最重要的。”

如何提高操作員的操作能力？“無他，唯手熟爾”。通過OTS仿真培訓系統和實操驗證培訓，操作員可以增強自身對裝置操作的“正確感知”。這種“正確感知”包括操作員熟練地分配注意力，對處于自動控制狀態下裝置關鍵參數和變化趨勢的敏感度，在隨時出現異常時知曉如何手動干預并保持技能熟練。特別是在處理復雜異常場景中，裝置或系統受到干擾時，操作員(和操作員之間)必須通過大量的實踐不斷練習和摸索，才能高效有效準確完美地完成一系列決策和操作。

②人機交互
在法航447號航班事故中，雖然自動駕駛在皮托管堵塞后關閉，但是控制系統但還是對操作員發出了失速警告(一個機械的聲音提示“失速”，隨后發出無法忽視的高音警告)，在飛機從37000英尺的高空墜入大西洋的過程中，它至少提醒了75 次。駕駛艙內的飛行員或許已經做了所有能做的事情，但卻唯獨忘記了與控制系統對話，他們完全忽視了它的提醒。

化工裝置控制室中重要的人機交互之一就是報警，很多文章中討論過關于報警系統及報警系統優化，現實中眾多化工生產企業的報警系統存在著報警策略不明確、報警識別不系統、報警合理化缺失、報警人機界面不合理的問題，都直接影響了人機交互的有效性，報警無法起到有效的提醒操作員現場裝置異常的作用。這些都是我們需要優先解決的問題，而并非盲目地追尋“黑屏操作”。

在“黑屏操作”這個話題中，很多企業更是樹立了“報警越少越好”的錯誤導向，盲目地用不合理的方式削減報警點。我們期望通過設置報警，將裝置的控制權移交給操作員，其實就是要求工藝系統知道自己的能力范圍，了解自己什么狀態下能行以及什么狀態下不行。這是非常困難的事情，如何確認已經設置了所有的“控制權移交點”？許多企業還沒有開展基于風險評估的報警識別和合理化分析，更何況：我們真的可以確保風險已經被完全辨識了嗎？工藝系統各控制參數間中還存在著許多操作模式我們沒有完全理解和解決，例如多變量、非線性、多約束、強耦合、多目標調控和間歇/連續式控制并存。



當我們越依賴技術，了解人為因素就越重要，在自動化控制系統的實施過程中，我們還要考慮人在系統中不斷變化的角色，畢竟“操作員”才是異常狀態管理的核心。正如彼得·德魯克所說：我們逐漸意識到，有關技術的主要問題不是技術問題，而是人的問題。

作者：李國林

相關閱讀
◆馮恩波：我對化工裝置黑屏操作理念的四點看法