自动化的讽刺 | Kawhicurry's Blog

译者注：本文是作者在看纪录片空中浩劫S25: 三佛齐航空182号班机时，关注到的一篇论文，发现全网没有中文翻译，所以翻译了一下。

本文使用元宝翻译，并进行了全文人工校对，如有纰漏，烦请指正。

感谢ACICFG字幕组对空中浩劫的翻译，b站视频链接 https://www.bilibili.com/video/BV1eSA4eNEZU

论文原文：https://ckrybus.com/static/papers/Bainbridge_1983_Automatica.pdf

关键词：控制工程、计算机应用；人机系统；在线操作；过程控制；系统故障与恢复。

本文讨论了工业过程的自动化可能扩大而非消除人类操作员问题的方式。本文对在“经典”方法中减轻这些问题的方法进行了一些评论，即让操作员负责异常情况，并探讨了在人机协作中继续使用人类操作员进行在线决策的潜力。

讽刺：一种情况组合，其结果是预期直接相反的。
悖论：看似荒谬但可能实际上有充分根据的陈述。

自动化的经典目标是用人造设备和计算机取代人类的手动控制、规划和问题解决。然而，正如Bibby及其同事（1975）所指出的：“即使是高度自动化的系统，如电力网络，也需要人类进行监督、调整、维护、扩展和改进。因此可以得出一个悖论性的结论，即自动化系统仍然是人机系统，即技术因素和人为因素（译者注：对于自动化系统）都很重要。”本文认为，工程师对人为因素的比重增加反映了这样一个讽刺：控制系统越先进，人类操作员的贡献就越关键。

本文特别关注过程工业中的控制，尽管会从飞行甲板自动化（译者注：此处应当是指飞机飞控系统的自动化）中汲取一些例子。在过程工厂中，不同的操作模式可能在不同程度上实现自动化，例如正常操作和关闭可能是自动的，而启动和异常情况则是手动的。使用自动或手动控制的问题是过程行为可预测性的函数，无论操作模式如何。本文的前两部分讨论了在异常情况下期望人类操作员接管的自动在线控制，最后一部分介绍了在线控制中人机协作的一些方面。

1. 引言

经典自动化方法的重要的讽刺在于系统设计者的期望，以及留给人类操作员执行的任务的性质。

设计者对人类操作员的看法可能是操作员不可靠且效率低下，因此应该从系统中消除。这种态度有两个讽刺之处。一个是设计错误可能是操作问题的主要来源。不幸的是，收集这些数据的人不愿意发表它们，因为实际数字很难解释。（有些类型的错误可能比其他类型更容易报告，而且关于它们的起源可能存在分歧。）第二个讽刺是试图消除操作员的设计者仍然让操作员去做设计者无法思考如何自动化的任务。正是这种方法导致了这里讨论的问题，因为它意味着操作员可能会被留下一系列任意的任务，而且很少有人考虑为他们提供支持。

1.1. 自动化后的任务

在自动化系统中留给操作员的一般有两类任务。他可能需要监控自动系统是否正确运行，如果不是，则可能需要呼叫更有经验的操作员或自己接管。我们将首先讨论手动接管的讽刺之处，因为所提出的观点也适用于监控。接管并稳定过程需要手动控制技能，诊断故障作为关闭或恢复的基础需要认知技能。

1.1.1. 手动控制技能

几项研究（Edwards 和 Lees，1974）显示了经验丰富的和不经验的过程操作员在进行阶跃变化时的差异。经验丰富的操作员采取的动作最少，过程输出平稳快速地达到新水平，而不经验的操作员则围绕目标值振荡。不幸的是，当这些操作技能不被使用时，这些技能会退化，特别是面临增益和时机的微调时，这种情况更明显。这意味着，曾经经验丰富的操作员如果一直在监控自动化过程，现在可能变得像是没有经验一样。如果他接管控制过程，可能会使过程进入振荡。他可能需要等待反馈，而不是通过开环控制（译者注：指在没有反馈的情况下进行控制，与闭环控制相对，这里的环是指流程途中反馈和控制过程连接起来的“环”），而且他将难以解释反馈是否系统有问题，或者更简单地来说，他会误判他的控制动作。他不得不采取措施来抵消他的无效控制，这会增加他的工作量。当需要手动接管时，过程很可能出了问题，因此需要用不寻常的动作来控制它，所以可以说操作员需要比平均水平更高而不是更低的技能，以及更少而不是更多的工作量。

1.1.2. 认知技能。

长期知识：一个自行学习控制过程，而没有经过明确的培训的操作员会使用一组关于可能的过程行为的命题，从中生成策略来进行尝试（例如Bainbridge，1981）。类似的，操作员只有在具备足够的关于过程的知识时，才能为不寻常的情况生成成功的新策略。这对于“机器看护操作员”有两个问题。一个是有效检索长期记忆中的知识依赖于使用的频率（考虑你在学校考试通过的任何科目，自从以后就没有再想过）。另一个问题是这种知识的发展只能通过使用和对它的效果反馈来实现。在没有适当实践练习的情况下，在理论课堂上获得这种知识的人可能不会理解太多，因为它将不在一个使其有意义的框架内，他们也不会记住太多知识，因为它不会与与其他任务整合的检索策略相关联。人们担心的是，目前这一代由前手动操作员监控的自动化系统，是建立在他们的技能上的，而后来的一代操作员不可能拥有这些技能。
工作存储：在线决策中认知技能的另一个重要方面是决策是在操作员对过程当前状态的知识背景下做出的。这是一种比存储电话号码这类有限容量短期存储更复杂的运行记忆形式。操作员存储在他头脑中的（Bainbridge，1975）不是过程状态的原始数据，而是关于过程做出预测和决策的结果，这些结果将在未来情况中有用，包括他未来的行动。这些信息需要时间来积累。手动操作员可能在他们接管控制之前十五分钟到半小时进入控制室，以便他们能够感受到过程正在做什么。这对从自动控制的工厂手动接管的含义是，必须迅速采取行动的操作员只能基于最少的信息这样做，他不能在检查并思考之前，基于对工厂状态的广泛知识做出决策。

1.1.3 监控

似乎操作员仅被期望监控自动系统是否正确运行，并在它们不正确时呼叫主管，这样的任务相对简单，并没有引发上述复杂性。当然，它确实引发了一个复杂性，那就是如果主管没有回顾他的相关知识或练习关键的手动技能，他也无法接管。当问及监控是否能由非熟练操作员完成时，会出现另一个问题。

我们从许多“警戒”研究中（Mackworth，1950）知道，即使是非常有动力的人类也无法长时间保持对信息源的有效视觉注意力，如果信息源上几乎没有什么发生的话，超过大约半小时。这意味着人类不可能执行监控不太可能发生的异常的基本功能，因此必须由连接到声音信号的自动报警系统来完成。（手动操作员会注意到他们作为控制任务的一部分查看的变量的异常行为，但也可能同样不擅长注意到其他变量的变化。）这引发了谁会在报警系统不工作时注意到的问题。同样，如果自动系统已经长时间运行得令人满意，操作员也不会有效地监控自动系统。强制操作员注意稳态系统的一个经典方法是要求他做日志。不幸的是，人们可以在不注意他们在写什么的情况下写下数字。

一个更严重的讽刺是，自动控制系统之所以被引入，是因为它可以比操作员更好地完成这项工作，但操作员却被要求监控它是否有效工作。这里有两种问题。在复杂的操作模式下，监控需要知道过程应该如何正确运行，例如在批处理过程中，变量必须遵循特定的时间轨迹。这样的知识需要特殊培训或特殊的显示。

第二个问题是，如果决策可以完全清晰，那么计算机可以考虑到更多维度并使用比人类操作员更准确指定的标准，并更快地做出决策。也因此，人类操作员无法实时检查计算机是否正确遵循其规则。因此，我们只能期望操作员在某种元级别上监控计算机的决策，以决定计算机的决策是否“可接受”。那如果使用计算机来做决策是因为人类判断和直觉推理在这种背景下不够充分，那么（译者注：人类监控员如何判断）哪些决策是可以接受的？人类监控员被赋予了一个不可能完成的任务。

1.2. 操作员的态度

我知道有一个自动化工厂，那里的管理层必须在夜班期间在场，否则操作员会将过程切换到“手动”。这引出了一个关于技能对个人的重要性的普遍问题。这种技能导致的一个结果是，操作员知道如果需要的时候，他可以充分接管。否则，这份工作（译者注：对于操作员而言）是最糟糕的类型之一，非常无聊但又非常需要负责，与此同时缺又没有机会获得或维持处理责任所需的品质。工人拥有的技能水平也是他在工作社区内外地位的主要因素。如果工作因减少到监控而被“去技能化”，这对涉及的个体来说很难接受。当去技能化但坚持高薪的工人的工作内容不再能够证明其工作内容与薪资水平匹配的时候，这也会导致不协调的薪酬差异的讽刺。

Ekkers及其同事（1979）发表了一项关于控制系统特征与操作员主观健康和成就感之间相关性的初步研究。简单来说：过程信息的高度连贯性、过程的高度复杂性和过程的可控性（无论是手动还是通过适当的自动控制）都与低水平的压力和工作负荷以及良好的健康相关，反之亦然；快速的过程动态和频繁的不能直接在界面上进行的动作与高压力和工作负荷以及不良的健康相关。高水平的过程可控性、良好的界面人体工程学和丰富的活动模式都与高成就感相关。许多研究表明，高水平的压力会导致错误，而糟糕的健康状况和低工作满意度会导致缺勤等高间接成本（e.g. Mobley及其同事，1979）。

2. 解决方案的方法

人们可以将这些问题表述为一个悖论。通过自动化过程，人类操作员被赋予了一个只有在线控制的人才能完成的任务。本节将讨论一些可能的解决方案，以解决如果期望操作员监控和接管控制，如何保持操作员的效率和技能的问题；下一节将介绍最近关于在计算机支持下保持人类操作员在线的提议。

解决这些问题涉及多维度的决策：这里将提出一些讨论建议。任何特定情况下的建议将取决于诸如过程规模和复杂性、过程变化的速率、过程或自动控制失败的频率、产品和环境的可变性、关闭的简单性和成本以及操作员的素质等因素。

2.1. 监控

在任何情况下，如果必须快速注意到低概率事件，那么操作员必须得到人工辅助，必要时甚至是多重警报。在具有大量回路的过程中，如果没有警报，人类操作员无法快速到达工厂的正确部分，最好是还有某种形式的警报分析。不幸的是，闪烁的红灯泛滥会让人困惑而不是帮助。为人类操作员设计大型警报系统存在重大问题和讽刺（Rasmussen 和 Rouse，1981）。

显示器通过显示目标值可以帮助操作员监控自动控制性能。这对于单一容差带很简单，但如果容差在整个批处理过程中发生变化，就会变得更加复杂。一个可能的解决方案是通过软件生成在VDU（译者注：可视显示器）上显示当前适用的容差。这并没有真正解决问题，只是以不同的形式提出了同样的问题。如果计算机可以生成所需值，那么它也应该能够进行监控和警报。操作员如何监控计算机是否正确工作，或者在明显不正确时接管？对于高度习惯于使用计算机生成的显示器的操作员来说，如果这些显示器在紧急情况下不再可用，可能会引发重大问题。一个讽刺但合理的建议是，应使用直接有线显示器显示主要过程信息，而使用软件显示器显示定量细节（Jervis 和 Pope，1977）。

“灾难性”的故障中断相对容易识别。不幸的是，自动控制可以通过控制变量变化来“伪装”系统故障，使得趋势直到超出控制范围才变得明显。这意味着自动系统也应该监控不寻常的变量移动。“优雅降级”性能在“合适的列表”中作为人优于机器的优点被引用。这不是计算机应该追求的人类性能的一个方面，因为它会给故障监控带来问题（例如Wiener 和 Curry，1980）；自动系统应该明显失败。

如果人类操作员必须监控计算机决策的细节，那么讽刺的是，计算机必须使用方法和标准来做出这些决策，而且速度应该是操作员可以跟随的，即使这在技术上可能不是最高效的方法。如果不这样做，那么当操作员不相信或不认同计算机时，他将无法追溯系统的决策序列，看看他在多大程度上同意。

克服警觉问题的一个经常被建议的方法是人为增加信号率。然而，人为增加计算机故障率是一个错误，因为操作员随后将不再信任系统。Ephrath（1980）报告了一项研究，其中系统性能在使用计算机辅助时更差，因为操作员无论如何都会做出决策，而检查计算机增加了他的工作负荷。

2.2. 工作存储

如果人类操作员不参与在线控制，他将没有系统的当前状态的详细知识。这决定了人类操作员可能会为了过程的稳定、关闭系统，或故障诊断对系统进行有效手动接管的操作限制。

当关闭简单且成本低时，直接关闭是一个简单的解决方案。问题出现在由于复杂性、成本或其他因素（例如空中的飞机）而必须稳定而不是关闭的过程中。这应该手动还是自动进行？如果过程动态可以在几分钟内保持不变，而操作员可以弄清楚发生了什么，那么手动关闭是可行的。对于非常快速的故障，几秒钟内（例如加压水核反应堆而不是飞机），由于没有来自先前变化的警告，所以在线的工作存储是无用的（译者注：这时操作员没有那么快介入，因此工作存储是无效的），这时无论需要多少投入，可靠的自动响应都是必要的，如果无法构造这样的自动响应系统，那么如果失败的成本就是不可接受的，就不应该构建这个过程。

对于较慢的故障，可能可以通过过度学习的手动响应来“争取时间”。这需要频繁地在高保真模拟器上进行练习，并且需要对系统故障有足够的理解，以确保覆盖所有类别的故障。如果对故障的响应需要比可用时间更多的单独动作，那么一些必须自动进行，其余的由高度熟练的操作员完成。

2.3. 长期知识

前一节的要点清楚地表明，保持手动技能可能很重要。一种可能性是允许操作员在每个班次中短时间使用手动控制。如果这个建议听起来好笑，那么必须提供模拟器练习。足以教授过程基本行为的模拟器可以非常原始。准确的快速反应只能在保真度高的模拟器上学习，所以如果需要这样的反应，这种学习就是一个必要的成本。

关于调度和诊断的认知技能也可以提出类似的观点。简单的图形表示足以训练某些类型的故障检测（Duncan 和 Shepherd，1975），但前提是故障可以从控制面板的稳态外观中识别出来，并且等待稳态是可以接受的。如果故障检测涉及识别随时间的变化，那么就需要动态模拟器进行培训（Marshall 和 Shepherd，1981）。简单的识别培训也不足以发展处理未知故障或选择纠正措施的能力（Duncan，1981）。

使用任何模拟器来培训极端情况都存在问题。未知故障无法模拟，而对于可以预测但尚未经历的故障，系统行为可能未知。这意味着培训必须关注一般策略，而不是具体响应，例如模拟器可以用来给操作员体验低概率事件的经验，这些事件可能是教练员知道的，但不是受训者知道的。没有人能教操作员关于系统的未知属性，但他们可以教他们在已知信息内练习解决问题。仅仅期望操作员通过查阅操作程序来应对不熟悉的事件是不够的。这些程序无法涵盖所有可能性，因此操作员被期望监控它们并填补这些空白的可能情形。然而，培训操作员遵循指令，然后又把这些操作员（译者注：当作一种“智能”）放在系统中提供智能，这也很讽刺。

当然，如果一天中经常出现警报，这些警报将成为操作员工作中的一部分，那么操作员将从这些工作中拥有有大量的经验来控制和思考过程。也许最终的讽刺是，最成功的自动化系统，需要很少的手动干预，却需要最大的人力操作员培训投资。

3. 人机协作

如果通过拿走自动化任务的简单部分，自动化可以使人类操作员任务的困难部分更加困难。几位作家（Wiener 和 Curry，1980；Rouse，1981）指出，“Fitts列表”方法来自动化，分配给人和机器他们最擅长的任务，已经不够了。它没有考虑人与计算机的集成，也没有考虑如何通过支持他的技能和动机来保持人类操作员的有效性。总是会有大量的人类参与自动化系统，因为除了效率之外，还涉及其他标准，例如当自动化某些操作模式的成本不被产品的价值所证明时，或者因为公众不会接受没有人类成分的高风险系统。这表明需要更全面地发展人机协作的方法。Dellner（1981）列出了自动化决策中人类干预的可能水平。本文将讨论计算机干预人类决策的可能性。这些包括指导或建议操作员、减轻他的错误、提供复杂的显示，以及在任务负载高时协助他。Rouse（1981）称这些为“隐蔽”的人机交互。

3.1. 指导和建议

如果操作员只是作为一个传感器行事，使用计算机给出指令是不合适的，因为计算机同样可以激活一个更可靠的传感器。Thompson（1981）列出了四种类型的建议，关于：根本原因、相对重要性、可用的替代行动，以及如何实施行动。在遵循建议时，操作员的反应会更慢，也不如他自己生成活动序列那样整合；并且他没有练习“智能”（译者注：这里是指相对于计算机）。关于程序信息的有效显示也存在问题。

3.2. 减轻人为错误

机器减轻人为错误的可能性范围从简单的硬件互锁到复杂的在线计算。除非必须遵循特定的操作顺序，否则将其放在操作的效应上更为合适，因为这不会假设用于达到此效应的策略。在手动控制下，人类操作员通常在几秒钟内就能获得足够的反馈来纠正他们自己的错误（Ruffell-Smith，1979），但Wiener 和 Curry（1980）给出了人类在没有得到足够反馈时，设置和监控自动化设备时犯同样类型错误的例子。这种情况也许应该被设计进去到系统里。Kreifeldt 和 McCarthy（1981）提供了关于显示的建议，以帮助在中途被打断的操作员。Rouse（1981）建议计算机监控人类的眼球运动，以检查仪器扫描是否合适，例如防止隧道视觉。

3.3. 软件生成的显示

VDU上软显示的日益普及提出了设计兼容特定任务中使用的具体知识和认知过程的显示的迷人可能性。这导致了如此丰富的创造性推测，指出实践中的困难似乎有点吝啬。

一种可能性是只显示与特定操作模式相关的数据，例如启动、常规操作或维护。然而，需要注意的是，一个界面对于正常条件可能是理想的，但可能会掩盖异常情况的发展（Edwards，1981）。

Goodstein（1981）讨论了与不同类型的操作员技能兼容的过程显示，使用Rasmussen（1979）建议的行为分类，即基于技能、基于规则和基于知识。使用不同类型的技能部分是操作员经验的功能，尽管这些类型可能并不简单地落在单一连续体上。Chafin（1981）讨论了界面设计建议如何取决于操作员是否是新手/新手/胜任/专家。然而，他关注的是在没有时间压力的情况下人类访问计算机数据库。在时间压力下的人机交互提出了特殊的问题。知识型思维和“反射”反应之间的变化不仅仅是练习的功能，还取决于环境的不确定性，因此同样的任务元素可能在不同的时间使用不同类型的技能来完成。因此，给操作员一个仅与他整体技能水平相关的显示可能会混淆而不是帮助他。非时间压力下的操作员，如果他们发现自己有错误的显示类型，可能会自己请求不同级别的信息。这将增加某人做出由动态系统节奏决定的决策的工作量。Rouse（1981）因此建议计算机可能会识别操作员正在使用的技能类型，并改变显示（他没有说如何做到这一点）。我们不知道操作员对于不受他们自己控制的显示变化会感到多么困惑。Ephraph 和 Young（1981）评论说，操作员在不同活动模式之间切换，例如从监控到控制，即使这些是在他们的控制下，也需要时间，我们假设在显示模式变化时会出现同样的问题。当然，需要非常小心以确保不同的显示是兼容的。Rasmussen 和 Lind 最近的论文（1981）是关于操作员可能正在思考过程的不同抽象层次，这将定义要显示的知识库。同样，尽管操作员显然在不同的时间以不同的复杂性和抽象水平.

Rouse（1981）因此建议计算机可以识别操作员正在使用的技能类型，并改变显示（他没有说明如何做到这一点）。我们不知道操作员对于不受他们自己控制的显示变化会感到多么困惑。Ephraph 和 Young（1981）评论说，操作员在不同活动模式之间切换，例如从监控到控制，即使这些是在他们的控制下，也需要时间，我们假设在显示模式变化时会出现同样的问题。当然，需要非常小心以确保不同的显示是兼容的。Rasmussen 和 Lind 最近的论文（1981）是关于操作员可能正在思考过程的不同抽象层次，这将定义要显示的知识库。同样，尽管操作员显然在不同的时间以不同的复杂性和抽象水平进行思考，但不清楚他们在时间压力下是否能使用或选择许多不同的显示。

上面提到了一些关于操作员在异常情况下无法使用计算机生成的显示的问题。最近关于人类记忆的研究（Craik，1979）表明，数据接收到的意义处理越多，它被记住的效果就越好。这让人想知道，如果信息被如此成功地呈现，以至于操作员不需要思考就能接受，那么他将学到多少关于过程结构的知识。如果最终发现最兼容的显示并不是给操作员的最佳显示，这将是讽刺的！（通常在选择显示的决定中，这取决于要完成的任务。高度兼容的显示总是支持快速反应。这些观点推测它们是否也支持在异常条件下所需的知识和思维技能的获取。）

可以提出一些实用的建议。每种类型的信息至少应该有一个永久可用的信息来源，这些信息不能简单地映射到其他信息上，例如关于工厂的空间布局与其功能拓扑的信息。操作员不应该需要在显示之间翻页来获取关于他们当前未考虑的过程部分的异常状态的信息，也不应该在决策过程中需要的信息之间翻页。

关于复杂显示的研究应集中在确保它们之间的兼容性问题上，而不是寻找哪个独立显示最适合某个特定功能而不考虑与其他功能信息的关系。最后，乐观地说，软件显示提供了一些有趣的可能性，通过允许操作员设计自己的界面来丰富他的任务。

3.4. 减轻人类工作负荷

计算机可以通过简化操作员的决策或接管一些决策来减轻人类工作负荷，这方面的研究显示这是一个复杂的问题。Ephrath 和 Young（1981）发现，单回路的手动控制总体控制性能更好，但在复杂的驾驶舱模拟器环境中，自动驾驶仪也更好。这表明辅助最好在高工作负荷时使用。然而，辅助类型的效果取决于工作负荷的类型。Johannsen 和 Rouse（1981）发现飞行员在自动驾驶仪下报告在异常环境条件下的计划深度较低，可能是由于自动驾驶仪在处理条件，但在紧急飞机条件下，他们建议自动驾驶仪使飞行员从在线控制中解放出来，以便他能考虑其他事情。Chu 和 Rouse（1979）研究了既有计算机辅助又有自动驾驶仪的情况。他们安排计算机在操作员手动控制时有一个其他任务项待处理时接管决策，或者在自动驾驶仪控制时有一个三个任务项的队列后接管。Enstrom 和 Rouse（1977）的研究清楚地说明了为什么Rouse（1981）评论说，只有在实时计算工作负荷的情况下，才能实现更复杂的在线方法来适应计算机辅助和人类工作负荷。（宣称辅助人类有限能力的目的是将计算推向其能力的极限是轻率的，因为技术有办法赶上这样的说法。）Enstrom 和 Rouse 还强调了人类必须知道计算机正在处理哪些任务以及如何处理，否则就会出现类似于人类团队中没有明确责任分配的问题。Sinaiko（1972）的评论强调了人类操作员对计算机能力的感知的重要性：“当负载较轻时，人们似乎愿意让计算机承担大部分任务责任；当负载较重时，人们更经常介入并超控（译者注：这里是指权限超过计算机）计算机”。显然，除了技术考虑之外，计算机辅助的设计是一个多维问题。