Вопросы эргономики на АЭС - Принципы разделения функций между человеком и машиной на АЭС

Описав оборудование рабочего места операторов, мы теперь вплотную подошли к рассмотрению того, как и кем реализуются функции оперативного управления ЭБ АЭС. История разделения функций между человеком и машиной на АЭС отражается в трех общих принципах, сформировавшихся в разные периоды решения этой задачи.

1. Первый принцип распределения функций был сформулирован в эргономике еще в середине 50-х гг. и предлагал определять задачи человека и машины в соответствии с их наилучшими способностями. Были разработаны и опубликованы руководства, перечисляющие, какие функции машина выполняет лучше человека, а какие — наоборот. Основным сдерживающим фактором автоматизации было отсутствие гибких, надежных и высокопроизводительных устройств.
2. Такие устройства стали появляться с развитием компьютерной техники в конце 70-х гг., в результате чего возобладал другой принцип: автоматизировать все, что может быть автоматизировано, а что нельзя - оставить человеку. Тяготение к «всеобщей» автоматизации объяснялось еще и стремлением избавиться от операторских ошибок, ставших к тому времени причиной больших проблем. Однако со временем стало ясно, что использование автоматики может усугубить ситуацию, так как принципиально меняет роль человека в системе, исключая его из рабочего процесса и вынуждая терять навыки управления.
3. Избежать этого призван принцип, сформулированный в начале 90-х гг. и утверждающий, что баланс между человеком и автоматикой базируется на учете психологических особенностей человека.

Сегодня все три принципа рассматриваются как взаимодополняющие, а к задаче распределения функций, особенно при управлении такими опасными объектами как АЭС, подходят не столь прямолинейно, более осторожно и взвешенно. Предваряя обсуждение этих подходов, рассмотрим более подробно 40-летнюю историю применения компьютеров на АЭС. В течение этого срока фактически сложились семь способов их использования:

1. как система обработки (с 60-х гт.), предназначенная для регистрации и первичной обработки тысяч аналоговых и дискретных сигналов в режиме реального времени при работе на мощности, пуске и остановке;
2. как система мониторинга и диагностики оборудования (генераторов, насосов, клапанов), выполняющая обработку данных радиационного, ультразвукового и других видов контроля в помощь обслуживающему и ремонтному персоналу (с 70-х гг.);
3. как система защиты (с конца 70-х гг.), выполняющая расчет активной зоны, анализ опасности и автоматизацию срабатывания защитных функций;
4. как система безопасности (с конца 70-х гг.), отображающая важнейшие функции безопасности (управление реактивностью и отвод тепла) в сложных аварийных ситуациях;
5. как экспертная система (СПО) (с 80-х гг.), классифицирующая ситуации и опасности, сопровождающая исполнение процедур и др.;
6. как автоматический регулятор (контроллер) (с середины 80-х гг.), заменяющий применяемые ранее для этой цели аналоговые устройства;
7. как средство коммуникации (с конца 80-х гг.), организующее коллективный доступ к базам данных и распределенной информации организационного, директивного, нормативного и другого характера.

Расширение функций компьютеров на АЭС стало поводом для распространения (особенно среди проектировщиков оборудования) иллюзии о возможности исключения оператора из контура управления. Однако исследование, проведенное АЯЭ ОЭСР в 1988 г. [36], показало, что замена операторов компьютерами встретила резко отрицательное отношение всех европейских стран, эксплуатирующих коммерческие АЭС. Более приемлем подход, когда ЭВМ управляет рутинными операциями и процессами, важными для безопасности, оставляя во всех остальных случаях принятие решений и управление оператору. Практически все одобрили использование компьютеров для регистрации данных и их вывода на дисплеи, записи дискретных событий, определения приоритетов аварийных сигналов, выработки рекомендаций и представления блок-схемы алгоритма их реализации, планирования работ по техническому обслуживанию АЭС.
К аналогичным выводам пришли сегодня и специалисты МАГАТЭ, проводившие анализ текущего состояния дел с применением компьютеров на АЭС [149]. В результате этого анализа, функции, выполняемые компьютерами, были разделены на три категории: 1) представление информации и поддержка оператора; 2) автоматическое управление; 3) защитные функции.  Более подробно, это:
основные функции — обеспечение связи с технологическим процессом, фиксация последовательности событий, запись переходных процессов, тревожное оповещение, обработка сигнализации, архивация данных, постсобытийный анализ, контроль соблюдения ограничений, взаимодействие с системой внутриреак- торного контроля (СВРК);
общие функции - информирование о конечной продукции, измерение точного времени, наблюдение за функциями безопасности, наблюдение за состоянием станции, проверка систем безопасности, анализ достоверности информации и обобщение избыточных сигналов;
функции защиты - обнаружение условий и остановка реактора, запуск защитных систем безопасности;
функции внутриреакторного контроля - расчет и отображение нейтронного потока, расчет и представление состояния активной зоны, калибровка и наблюдение за датчиками нейтронного потока;
функции наблюдения за реактором - расчет тепловой мощности реактора, представление оперативных данных, слежение за параметрами теплоносителя, расчет и наблюдение за корпусом реактора;
функции наблюдения за турбиной - наблюдение за турбиной, управление регуляторами, наблюдение за работой конденсатора;
функции автоматического управления - управление пуском, управление стержнями в маневренных режимах, управление подачей питательной воды, управление температурой и давлением в реакторе, управление уровнем в сепараторе или в ПГ, управление насосами питательной воды.

Факторы, влияющие на разделение функций.

Рассмотрим теперь основные действующие факторы и принципы распределения ролей человека и автоматики на АЭС. Изложение информации сгруппируем в соответствии с пятью фундаментальными принципами распределения, предложенными группой экспертов МАГАТЭ в работе [105].

1. Необходимо полностью использовать возможности человеческого мышления - существуют вещи, которые человек делает лучше машины. Наилучшей реализацией этого принципа является определение ролей человека и машины в зависимости от типа поведения, на котором решается задача (по Дж. Расмуссену):

на уровне знаний ведущая роль принадлежит человеку, который управляет ситуацией, проявляя творческое мышление, адаптивность, опыт, подготовку, предусмотрительность, здравый смысл; машина - поддерживает человека, но не мешает ему;
на уровне правил осуществляется смешанное управление, когда человек в зависимости от ситуации действует заранее определенным образом, а машина поддерживает его решения;
на уровне навыков реализуется принцип жесткой автоматизации, человек лишь наблюдает за действиями автоматики.
Расмуссеновская концепция была развита в работе [166], в которой предлагается следующее разделение функций между оператором и автоматикой:

1. Наиболее хорошо описанные функции, основанные на запоминании или жестком выполнении последовательности действий, должны автоматизироваться везде, где это возможно.
2. Автоматика должна использоваться в целях защиты общества от ошибок и непостоянства человека. Участки деятельности, связанные с риском, должны быть автоматизированы, если это практически осуществимо и экономически целесообразно. Однако необходимо помнить, что иногда безопасность и работоспособность станции обеспечивается отклонениями от заранее подготовленных процедур, допускаемыми опытными операторами.
3. Автоматика призвана снизить загрузку человека и позволить ему избежать информационной и умственной перегрузки, вызванной скоростями информационных потоков и сложностью задач. Там, где это происходит, автоматика должна обеспечить предварительную обработку информации. Автоматика призвана также устранить «бумажные» и другие задачи, выводящие оператора из контура управления, минимизировать работу человека в режиме разделения времени и одновременного выполнения нескольких задач.
4. Баланс между человеком и автоматикой не может быть достигнут без учета профессиональной мотивации и психологических особенностей человека. Так, в последние годы все чаще отмечается, что слишком высокая степень автоматизации резко снижает нагрузку на оператора. В штатных стационарных режимах это приводит к очень опасному явлению - монотонии. 

Человек практически исключается из рабочего процесса, ему оставляется лишь роль наблюдателя, вследствие чего оператор утрачивает навыки управления и теряет «образ управления объектом». Вполне возможно, что в таком состоянии оператор окажется неспособным «подхватить» функции вышедшей из строя или не справляющейся с ситуацией автоматической системы с возможными последствиями для безопасности. Весь мировой опыт показывает, что люди, как правило, работают неэффективно, когда они используются в качестве резерва машины.
Неучет последнего принципа просматривается в одной из современных концепций, утверждающей, что «на современных АЭС роль оператора сводится к наблюдению за АЭС в целом, поддержанию непрерывности процесса автоматического управления, принятию необходимых решений на основе анализа тенденций в изменении рабочих параметров с учетом рекомендаций, выдаваемых системой поддержки; при этом обязанность контроля работы отдельного оборудования с оператора полностью снимается».
Чтобы избежать монотонии, необходимо периодически привлекать человека к участию в рутинных действиях и помогать ему уточнять и упрощать свой мысленный образ станции [131]. Такой подход реализован на ряде АЭС США и Японии [84]: по истечении определенного времени автоматическое управление прерывается, и оператор должен выдать разрешение на его продолжение, используя переключатели пульта управления. Это заставляет человека даже при автоматическом управлении постоянно контролировать состояние всех систем АЭС.
В дополнение к приведенным выше перечислим также лаконичные, но очень важные принципы взаимоотношений человека и автоматики, принятые в качестве основы нового щита CANDU и сформулированные в работе [118]:
командовать должен человек;
чтобы эффективно командовать, человек должен быть в курсе текущего состояния станции и тенденций его изменения;
оператор и автоматика должны быть осведомлены о намерениях друг друга;
человек должен иметь возможность контролировать автоматику и наоборот, автоматика должна иметь возможность контролировать человека;
автоматика должна быть предсказуемой.

Правила распределения функций.

Суммируя перечисленные факторы и принципы, можно сформулировать следующие правила определения, какие функции управления должны быть автоматизированы, а какие - выполняться человеком:

1. должны быть автоматизированы - полностью описанные функции, в которых у оператора не остается свободы действий; функции, предполагающие обработку больших массивов данных, высокую точность, многократное повторение, скорость исполнения; ситуации, в которых ошибки чреваты последствиями и в которых ошибки невозможно выявить и исправить (к подобным функциям относится управление реактором и системами безопасности, сбор, анализ и архивация данных);
2. лучше, если будут автоматизированы - функции, исполнение которых хоть и доступно человеку, однако имеющие большую длину и требующие соблюдения строгой последовательности, согласованности и высокой точности действий, а потому представляющие определенный риск для человека (к этим функциям относится контроль ПГ, компенсация течей трубопроводов и др.);
3. должны выполняться человеком - функции, требующие эвристических знаний, логического вывода, гибкости мышления, а также функции, автоматизация которых наталкивается на практические и технические ограничения (такие условия, как правило, возникают в заранее непредвиденных экстремальных и аварийных ситуациях).
4. должны выполняться совместно - функции, способные потребовать в какой-либо момент вмешательства человека;

Современная концепция разделения функций на отечественных и зарубежных АЭС.

 В заключение, рассмотрим современное положение дел с разделением ролей человека и машины в различных режимах эксплуатации на отечественных [75] и зарубежных АЭС. Серийные отечественные ЭБ АЭС предполагают, что:
в стояночных режимах функции автоматики сводятся, в основном, к контролю параметров (нейтронный поток, системы отвода остаточного тепла, давление в первом контуре);
в пусковых и остановочных режимах основная часть операций выполняется вручную, и лишь некоторые поручаются автоматике, например, регуляторам автоматического пуска, воздействующим на исполнительные органы реактора;
в режимах выработки электроэнергии основную роль в управлении выполняют автоматические регуляторы, поддерживающие основные параметры энергоблока; оператор воздействует на задатчики регуляторов и проверяет правильность работы автоматики и значения нерегулируемых параметров;
в аварийных режимах большинство операций проводится автоматикой; при особо тяжелых авариях вводится автоматический запрет на действия оператора.
Современная зарубежная концепция высокоавтоматизированного БЩУ предполагает следующее:
в пусковых и переходных режимах все действия исполняет автоматика; оператор выполняет предпусковые операции, выбирает и запускает программы автоматического пуска; в ходе пуска оператор должен наблюдать за ходом процесса и дублировать функции отказавших устройств;
в стационарном режиме оператор осуществляет общий контроль; компьютер по запросу оператора может предложить пути оптимизации процесса; оператор, оценив экономическую выгоду, безопасность и последствия возможных изменений, принимает решение, исполняемое затем автоматикой;
при незначительных возмущениях компьютер как можно раньше обнаруживает их, анализирует причины и предоставляет оператору сжатую информацию вместе с рекомендациями; решение принимает оператор;
при значительных возмущениях и авариях, непосредственно чреватых нарушением условий безопасности, автоматика без участия оператора немедленно выполняет предотвращающие действия; оператор должен дублировать действие технологических защит при их отказе и выполнять послеаварийные операции;
при тяжелых авариях компьютер обеспечивает оператора рекомендациями по смягчению и локализации последствий, все решения и действия предпринимаются оператором.
Концепция будущего предполагает освободить человека от операторских функций на щите управления и сменить роль оператора на роль супервизора по управлению станцией.