设计控制飞行机组差错

设计控制飞行机组差错

Paul C.Schutte，Kelli F.Willshire

NASA的Langley研究中心

Hampton，Virginia 23681-0001

摘要

普遍认为，人为差错是造成飞机事故的一个主要因素。有大量的研究解释这些差错的原因，许多报告指出飞机驾驶舱设计实际上促使人们产生差错。按照人为因素和以人为中心的原则，改变设计。美国宇航局（NASA）的Langley研究中心发起从白板开始（即没有现有设计约束）设计一个以人为中心的飞机驾驶舱。这项尝试将基于以人为中心的设计理念和任务管理分类的现有研究。这个设计将与飞机的功能和任务的人为因素模型相匹配，以减少不自然的或非直观的界面。得到的结果将是一个飞机驾驶舱设计的描绘，包括培训和程序，回溯到设计假设的相关参考或论文以及设计的评价。本文将讨论这种设计的理念、过程和状态。

1　人为差错和极大的期望

“我们都会犯错误。”“犯错误的是人。”“没有人是完美的。”“你不能做一切。”我们倾向于接受这些老套话作为常识真理。我们的日常生活也证明了这些。我们都会按错了开关，删除了重要的文件，或小心地走过走廊却忘记了为什么在那里。我们都做出过误判或是忽略与我们目前观点相反的数据。这是常见的行为例子——不是异常的或错误的行为。事实上，如果我们没有这些行为，那就太不正常了。然而，就像其他领域，在航空工业，设计人机界面往往没有考虑这些行为趋势。系统设计师通常期望人以不自然的方式行动，这就是说，不是倾向于符合这些自然行为。同样，当调查事故和事故征候时，调查者往往根据超出人的标准来判断人。

试想一下，如果我们设计了一个众所周知会产生大量热量的电脑系统，而我们却没有提供冷却。如果计算机失效了，我们要说它是电脑的错误还是设计的错误？我们会责怪计算机产生过多的热量？不会。由于设计之前就了解计算机会产生热量并有冷却的要求，我们将失效归为设计错误。然而，在航空事故调查中，事故往往归因于空气或飞行机组人员（驾驶员、副驾驶员等）的错误，而不是归因于不总是考虑人的行为的设计。

这里的问题是，我们由于人的自然行为而责备人。似乎我们有超人的期望。难道她忘记在一个5分钟内被介绍给20个生人的嘈杂聚会上，刚听到的人名是人为差错吗？一个人忘记了他15年前住的房子的电话号码是人为差错吗？如果一个人的地图不正确，迷失方向是人为差错吗？一个很少旅行的人在将“浴室”说为“洗手间”的国家，问“浴室”在哪是人为差错吗？在航空飞行运行中，类似事件引发的事件和意外事故通常归类为飞行机组人员的过错。

关于人的行为的确还有不少东西要学，但我们已经有了大量的相关信息。虽然人与人之间有显著的个体差异，也有很多相似之处。我们知道为了操作准确，人需要感知周围的环境；必须警惕和细心；需要有职权；需要了解自己在任务中的角色是什么；并且只能处理少量的变量。我们应设计系统，以满足这些及其他人的要求。然而，许多人-机设计不符合这些要求，航空器驾驶舱（包括以前的和现代的）包含大量这样的设计实例。

2　航空器驾驶舱环境

2.1　目前的飞机驾驶舱设计

目前的飞机驾驶舱设计通常考虑人的物理行为，但很少考虑人的认知行为。例如，他们会考虑这样一些因素，诸如能见度和易读性，工作负荷（例如，飞行员不能同时做比“X”多的事情），但他们往往不会考虑信息或界面是否直观的问题。他们并不总是考虑飞行员随着时间推移的表现。他们通常问：“一个人能操作吗？”代替“难道这就是人应该操作的方式吗？”结果，我们看到了很多造成的事故和事故症候，不是由于人为差错，而是由于人与系统行为之间的不匹配。［1］

现代飞机驾驶舱（作为设计、设计理念、培训和程序的结果）通常呈现出人的行为与操作环境之间的不匹配。安静、暗驾驶舱理念（原本设计用于减少灯光和报警的干扰）与重要的编程或排定自动化相结合创建了一个环境，可诱使人进入一种漫不经心的状态。现代的飞机驾驶舱，飞行员并不总是有权对关键飞行功能进行掌控（例如，当电子控制设备检测到故障时，会自动关掉电子控制的发动机），或者权力可能难以行使（例如，一种自动驾驶仪和飞行模式组合，不允许驾驶员以正常方式脱开自动装置）。许多飞机驾驶舱自动化到如此地步，飞行员通常不愿意否认或超控其自动装置，即使管理和评估自动装置是飞行员的职责。在这种情况下，飞行员基本上成为自动装置的一部分或从属于它。最后，现代飞机驾驶舱的飞行员往往被大量的模式、显示类型、显示格式、警报类型和消息弄得不知所措。而且，这些只是当前飞机驾驶舱设计带来的突出问题中的一部分。

2.2　对设计的挑战

虽然很容易指责当前飞机驾驶舱设计，但纠正那些问题是一个更艰巨的任务。修改设计以解决这些问题存在的许多障碍［2］。其中最大的一个障碍是，尽管存在缺点，现代飞机驾驶舱功能运行良好（有利于降低飞机事故率），且很多人都不愿改变任何东西。然而，也有一些人相信显著改善目前安全记录的唯一途径是，大规模地改变飞机驾驶舱设计、培训及程序。美国联邦航空局（FAA）最近的一份报告［3］提出了一些解决这些问题需要的改变。综合这些改变可得到结论，渐进的、零碎的设计改变一般不会导致安全性上的显著改善。从文件中可得到以下观点：飞机驾驶舱设计不能到设计快结束时再来由“人为因素决定”；对于每一个人为因素问题，没有一个简单的单一解决方案；很多问题必须在总体飞机驾驶舱设计水平上处理。

3　以人为中心的飞机驾驶舱设计

虽然人是可训练的，但他们几乎不能像技术那样易于适应。目前的飞机驾驶舱设计被描述成以机器为中心的设计——这意味着技术是主要的设计考虑，人是之后的考虑因素。通过依靠其独特的灵活性和适应性特征，人已能应对这种技术控制。但是，这些特性已被推到了极限。由于效率和安全性的需求，先进的飞机是将继续如此高度自动化的，所以当设计这些新飞机时应遵循以人为中心的设计原则（更多侧重于人的行为），尤其是其驾驶舱。Billings［4］列出了这些以人为中心的自动化原则，并举例说明。

这些原理的基本宗旨如下，“人类操作者必须是指挥者”。在飞机上，飞行员始终有指挥权，即使他或她使用自动化装置。因此，自动化装置，包括空中交通管理自动化装置，决不能代替飞行员的指挥角色。例如，飞行员必须能够超控飞行控制自动化装置的授权，即使在正常工作限制内。然而，超控授权并不等同于指挥。指挥需要权力和意识。Billings强调飞行员适当参与到相关的信息中并理解所要执行任务的必要性。虽然很容易把它视为一种严格的界面问题，仔细观察就会发现这是一个系统问题。信息和格式可以帮助使复杂的事物变得可以理解，但是不会有效地降低复杂性。同样，关于系统状态的显示信息可以协助飞行员辨认模式，但设计一个只有飞行员才能改变模式的系统将提供更好的意识。因此，以人为中心的设计开始于整体功能配置水平，而不是界面水平。设计应该基于以人为中心的设计理念，而且应反映出任务目标和飞行员角色两者。

3.1　设计理念

以人为中心的飞机驾驶舱设计理念是NASA的Langley研究中心提出的［5］。这种理念表示为一组设计指导原则，并附有相关信息，能协助设计过程中早期反复地集中注意力在机组问题上。这种理念假设飞行机组人员在可预见的未来仍然是飞机驾驶舱的一个不可或缺的组成部分，因为在不可预料的动态环境中，复杂系统的安全、高效运行需要人的技能、知识和灵活性。这种理念认识到，人与机器是互补的，当设计支持这种互补性时，安全和飞行效率将最大化。理念试图将与对人类表现和人-机合作表现的理解相关的设计问题提升到如过去纯技术问题重要性的同一水平上，诸如硬件的性能和可靠性。此外，要考虑到组合的飞行机组/飞机驾驶舱系统性能优于整个系统的任何一个组成部分的重要性。它还旨在将飞行机组和飞机驾驶舱问题提升到其他飞机设计领域重要性的同级水平上，如空气动力学和结构工程。该理念包括这样一种观点，飞机驾驶舱自动装置应该总是支持成功完成任务的各种飞行员作用。这些作用是：飞行员作为团队成员；飞行员作为指挥员；飞行员作为独立操作者；以及飞行员作为飞机驾驶舱乘员。提出了一个详细指导框架，说明飞行员作用和驾驶舱不同种类特征（即显示，控制，自动化和报警）。

3.2　功能分配和参与

功能分配是飞机驾驶舱设计的一个重要组成部分。它是以人为中心设计的核心。下面的功能分配原则是从Billings［4］和Palmer等［5］精选出来的。总体而言，飞行员应多参与对整个任务有重要影响的行动和决策，少参与相对确定的、时间约束的、乏味或重复的，或需要高准确性的行动和决策。

参与的目的是让飞行员参与到任务中，以增加对情况的了解。当由于乏味、自满或疲劳等因素而导致参与度很低时，飞行员会进入一种Pope和Bogart［6］描述的危险意识状态。他们开发了一个程序，在脑电图（EEG）信号及其他意识生理指标的基础上来辨识危险意识状态。他们的预测飞行机组人员是否经历不当或危险意识状态的模型涉及3个因素：诱因（预先倾向），诱导以及抵消。诱因的例子是个人可能变得自满、厌烦或专注。诱导因素的例子是感官约束，如单调和来自生活状况的压力。假设的抵消因素会否定或防止导致危险状态的诱发因素的影响。这种因素的例子是注意的能力，通信的流量和任务的参与度。Pope等［7］已经开发出一种系统来测量智力任务参与度。由于人/自动化任务分配强烈地影响任务的参与度，这种参与度指数可以用来评价各种功能分配方案。

3.3　飞机驾驶舱任务分类

Abbott和Rogers［8］提出结合以人为中心的设计原则与系统导向的方法来设计新的，将满足总体任务要求的飞机驾驶舱。使用这种方法，他们认为将会减少系统集成问题。这种方法要求在任何飞机驾驶舱或其他飞机系统设计之前定义任务需求。在他们的研究中，假定飞机的一个任务目标是“安全和有效地将旅客和货物从一个机场的登机门移动到另一个机场的登机门”。那么，飞机驾驶舱系统的整体功能被设定为管理该飞机的任务。为了完成任务要考虑到正常的和不正常的情况。定义了任务管理的4个层次：飞行管理，通讯管理，系统管理和工作管理。虽然类似于传统的飞行员飞行、导航、通信功能，这些类别是从总体的飞机驾驶舱视角而不只是飞行员的。这些功能之间的相互作用产生了机组人员的混合任务。

Billings［4］的一个设计原则指出自动化装置的行为和目的使用者应当是明确知道的。因此，与实际任务、混合任务有关的信息，应呈现给飞行机组人员，并且以底层功能或关系对飞行机组人员是透明的这样一种方式提交。下面介绍如何做的一个例子。

3.4　任务定向显示设计

Abbott［9］开发了一种基于功能分配的显示设计过程，这种配置是“只将用户任务分解到相关信息能被识别的水平”，不要求识别数据来源。这相关内容的信息可能是也可能不是原始数据，并且可以由基础数据合成。此外，这些信息以一种更适合任务的形式呈现。Abbott对飞机引擎显示验证了这种任务定向设计过程。使用此过程，在一模拟机中飞行员使用新显示比使用传统显示表现得更好，越来越多的飞行员更偏爱新的显示。飞行员使用这种特殊的显示来控制发动机推力和监视发动机状况。取代提供给飞行员必须自行组合的若干单项信息（不适合于人和不直接与任务相关），显示呈现集成后的信息。这意味着传统的多台显示器上提供的信息被集成或综合在一个显示器上，从而减少飞行员做这项工作的努力，只需通过参考与多台显示器相对应的一台显示器。以飞行员定性处理的形式呈现这种合成的定量信息，达到对于任务足够的处理水平。成功使用此功能分配过程的关键是理解用户或飞行机组人员必须执行的实际任务。

3.5　故障管理

自动化装置的使用和飞机系统的复杂性一般会随着技术的成熟而增加。然而，由于复杂性的增加，导致认识、预测和预防系统故障的难度也会增加。这些存在的困难，被称为“脆性”［4，10］。为了控制脆性的影响，大多数系统需要一个人加入这个系统。就使得人处于故障排解和发挥最佳、最后防线独特作用的地位。已经认定这种方法存在人类表现问题，特别是在驾驶舱内。Parasuraman［11］指出，在复杂的自动化系统中，如飞机驾驶舱，我们对人的行为能力问题的响应，并没有跟上自动化应用的步伐，以致这些问题在事故或事件发生时浮现出来。飞机驾驶舱中存在人的一个理由是为了处理问题、突发事件或失效。然而，飞机驾驶舱的设计、支持培训和程序并没有清晰地考虑人的作用。只提供给机组人员正常运行和预期故障的培训。如果故障是新的（意外），机组人员可能不会做出恰当的反应，由机组人员对故障的不恰当响应次数可知［12］，但是，应对新的故障是机组人员工作的一部分。

Rogers等［13］提出了一个整合3要素的实时故障管理框架：运行层次，包括飞机任务、在空气动力环境下的飞机以及飞机系统；控制的认知层次，这可定义为基于技能的、基于规则的、基于知识的行为；故障管理任务，即检测、诊断、预测和排除。所有这些因素的结合描述了故障管理的关键问题，这些问题应在任何飞机驾驶舱系统设计中被关注。

4　防错飞机驾驶舱计划

NASA的Langley研究中心实施了一个研究计划，旨在建立一个以人为中心的、自上而下需求驱动的飞机驾驶舱设计，并验证这种设计在减少机组人员错误及培训费用方面的有效性。这一计划虽然承认且充分利用过去的成功经验，但不会简单地强加设计，因为“那是它以往的方式”。在这个意义上，我们是在一张白纸上画图画。该计划被称为，“防错飞机驾驶舱”。称号源于一个事实，即人的“错误”是不可避免的，是我们行为的一部分，因此，目标应当是防止飞机驾驶舱中这些“错误”的消极后果传播到任务中。也就是说，“防错设计”是从任务的角度，而不是传统的人为差错角度。这一计划将持续5年，说明如下。

该研究计划的目标是开发出一个自上向下的、以人为中心的飞机驾驶舱设计。虽然设计任何系统完全‘自上而下'（见［2］）是不可能的，最好是采用更综合的且经过深思熟虑的设计方法，持续依赖于顶层任务需求、指导方针和原则作为它的基础。

4.1　设计属性

这样的一个飞机驾驶舱防错设计有如下一些属性：通过在设计和提供使用层次信息中反映他或她的心理模式来改善飞行员意识（例如，飞行-通信-系统-任务管理，战术-战略）；通过增加他或她对任务的参与（以适当方式）不增加工作负荷，改善飞行员的参与度；提供对所有关键飞行参数的密切控制（不只是超控能力）；明确定义操纵飞机的驾驶员和不操纵飞机的驾驶员在任务上的角色、职能和责任（而不是设备上）；减少飞行导航模式的数量；适当整合信息；保证格式、上下文和程序的一致性；使飞机驾驶舱设计与训练相结合。

4.2　假设目标

在设计开始前，关于飞机及其任务的某些假设是必需的。该设计选择的任务是公务喷气式飞机。选择这种飞机是因为它具有商业运输领域和通用航空领域的一些共性，因此，其结果也将适用于他们两者。

飞机：目标飞机通常有2名机组人员操作，但认证为单一的飞行员操作。它的重量超过12 500b（磅）（1磅＝0.453 6kg），服从FAA第25部的规定。它被认证作为一架公务喷气机（第91部），出租飞机（第135部）和定期航班服务的航空公司飞机（第121部）运行。它有能力运载20至30名乘客。它的航程达3 000mile（英里）（预留仪表飞行规则的海上航行），最高速度0.9马赫，并由两台涡轮风扇发动机提供动力。该机配备了自动相关监视B和全球定位系统/局域增强系统。该机配备了一个高带宽的数据链路和高品质的地面语音通信系统。

任务：这架目标飞机由一家公司所拥有，所以其飞行员全是雇用的员工。这架飞机是机队的一部分，而飞行员是公司机组人员的一部分。飞行员全部具有商业等级执照。该公司是一家国际公司，所以它必须遵守联邦航空条例和欧洲联合航空条例。此外，飞行机组人员是多国籍的，飞机驾驶舱必须是适应多元文化的飞行员。这架飞机能在二类条件下降落。飞行的时间范围从0.75h至5h，其典型飞行时间为2h至2.5h。

4.3　方法

NASA中Langley的防错飞机驾驶舱研究小组由工程师、计算机科学家、飞行员和心理学家组成。该团队具有丰富的航空领域经验，参与过众多的飞机驾驶舱设计和项目。由NASA这样的机构来承担这项研究，其主要优势是可以负担起比较高的风险。请注意，这不是要减轻团队考虑实际业务需求的责任，如适航取证、运行费用和培训，而是要让团队自由探索高报酬∕高风险的解决方案。

在这一努力中采取的一般方法是一种迭代的由上向下的设计。每次迭代在概念定义和概念评估中都提供了更大的深度和广度。在每次重做时，制造商、航空公司、飞行员团体的代表都将对设计和评估提出意见。随着设计趋于成熟，制造商将会有更多的参与，以确保实用的细节不会被忽略，并增加技术的转让。最后的详细设计原型将主要由制造商来研制。

迭代任务分解：设计从上述任务分解开始（飞行管理，通讯管理，系统管理和任务管理），接下来将要细分这种任务分解。将按照设计理念和上面定义的功能分配原则定义每个子类。这包括确定飞行机组的角色与信息和任务需求。在定义下一层次之前，将开发一个具有相应细节（颗粒度）水平的飞机驾驶舱原型。

迭代原型设计：一旦飞行机组人员的角色、信息和任务需求被确定下来，设计团队将开发一个飞机驾驶舱的原型。与以往的设计不同，每一个为飞机驾驶舱所作的设计决定将有在设计准则中可找到的相应依据。该原型的形式可以采取叙述、图片集、软件（工作站）原型、模拟中实践的概念或者甚至是实际的飞机驾驶舱。该原型的实现深度取决于任务分解的深度。如果任务分解是在相对高的层次（不详细的），则原型将处在比较高的层次（即节目顺序表或罐装电脑显示）。分解得越细，所作的原型就越详细。这样做既经济又有效。当任务分解仍处于一个较高的层次时，在一个模拟设备上尝试执行这种概念将会是不成熟的、昂贵的。同样，在充分认识原型之前，并不适合进行太远的任务分解。这样做将提升实施分解的危险性，它将极大地（而且，确实，必然）误导人做出关于执行的假设。以前，这些假设往往是独立的，不考虑其他系统或功能。这将导致造成错误的矛盾和冲突。然而，这个计划的原理迭代方法将允许在早期建立一般的原则，而当细节需要违反这些原则的时候，他们将得到明确且统一的处理。

迭代评估：评估的级别在很大程度上取决于原型的深度。在项目的初始阶段，这些评估可能会面临来自航空领域、制造业领域和人为因素方面的专家的审查。之后，在工作站和早期的模拟阶段，评估将可能需要飞行员作为试验的被试者进行一系列操作。获取人数多、不同类型的被试组合很重要，以防概念只适应于特定的人群。在测试的最后阶段，飞行员们长时间参与研究是很必要的，它们将在那里接触到深层次的培训和一个更实际的运行环境。

情景开发：评价任何概念的一个重要方面是有一套用于评价的飞行任务具体方案。如果它过于狭窄或不现实，将可能会导致不准确的结果。情景是重要的，因为它们将原型呈现在现实世界中（即使原型本不是非常详细的）。在评估中使用的情景必须是多样的，而且还要涵盖具体的极端情况。他们应包括系统和功能失效、不良环境、文化差异、已形成的习惯和正常运行。

度量标准和测度。“提高安全性，降低事故，减少错误”常常是人们追求的崇高目标，但事实证明直到执行多年以后都很难达到。对发生在现实世界里的事故和事件的响应在控制的条件下难以逼真地重复，因为大部分试验对象都会准备好以一些方式进行响应。一般来说，增加这些被试的工作负荷会引发错误。但是，这种增加的工作负荷可能无法代表真实世界的失误。解决问题的途径之一是，发展基于先兆而不是实际差误的错误度量标准。错误的先兆是发生错误所必要的事件或状态，但不是充分的。先兆事件与错误事件的比率可能很大，这意味着先兆事件比错误事件更多。因此，如果先兆事件可以减少，错误事件的数量应该也将减少。

4.4　产品

也许从这个研究中得到的最重要的产品不是实际飞机驾驶舱的原型，而是指导原则、方法和如何创造一个成功原型的学习过程。设计者可能选择也可能不选择执行这个实际的设计，有很多不同的理由，从设计对他们手头问题的合适性到他们对一个与竞争者完全不同的飞机驾驶舱的需求。然而，指导方针、方法和吸取的教训应该还是适用于他们的设计，并且，一些具体的设计方面也可以直接转移至他们的设计（请注意，这里的危险是，在没有考虑旧有设计与新设计混合的总体影响下，从这个设计取出一些片断并把它们并入旧有的设计中。这并不是说，不能这样做，而是做的时候必须谨慎）。

5　总结

多年来，人为因素团体指出，在飞机中人/机结合上存在许多瑕疵。改变设计上的呼吁经常出现，但是回应却很少。这主要是由于基本设计变化的花费和风险。我们相信需要新的设计指导原则、方法和原型，建立这个过程也正是NASA的职责。这项研究正在实施，并且面临着这些挑战和风险。如上所述，它可能并不适合所有的飞机设计。然而，这样的设计可以作为飞机驾驶舱设计未来技术发展的目标。但是首先，如果只是想建立一个测试版本或者原型来评估在安全和效率上的影响，防错飞机驾驶舱概念必须采用。

参考文献

［1］P.C.Schutte.Wings：A New Paradigm in Human-Centered Design”.Proceedings of the 9^th International Symposium on Aviation Psychology，in press.1997

［2］W.R.Rogers，P.C.Schutte.Clean slate flight deck design：Theory-based solutions provide useful design goals.Proceedings of the 9^th International Symposium on Aviation Psychology，in press.1997

［3］Federal Aviation Administration Human Factors Team Report on：The Interfaces Between Flightcrews and Modern Flight Deck Systems.Federal Aviation Administration，June 18，1996.

［4］C.E.Billings，Aviation Automation：The Search for a Human-Centered Approach Mahwah.New Jersey：Lawrence Erlbaum Associates，Inc.1997.

［5］M.T.Palmer，W.H.Rogers，H.N.Press，K.A Latorella，T.S Abbott.A Crew-Centered Flight Deck Design Philosophy for High-Speed Civil Transport（HSCT）Aircraft.NASA TM 109171.Hampton，VA：NASA Langley Research Center.1995

［6］A.T.Pope，E.H.Bogart.Identification of Hazardous Awareness States in Monitoring Environments.SAE Technical Paper No.921136，SAE 1992Transactions：Journal of Aerospace，Section 1-Volume 101，1993，pp.449-457.

［7］A.T.Pope，E.H.Bogart，D.S.Bartolome.Biocybernetic System Validates Index of Operator Engagement in Automated Task.Biological Psychology，40，187-195，1995.

［8］Abbott，Terence S.and Rogers，William H.Functional Categories for Human-Centered Flight Deck Design.Presented at the 12^th AIAA/IEEE Digital Avionics Systems Conference.In Proceedings，pp.66-74，1993.

［9］T.S.Abbott.A simulation evaluation of the engine monitoring and control system display NASA-TM-2960.Hampton，VA：NASA Langley Research Center，1990.

［10］P.J.Smith，C.E.McCoy，C.Layton.Brittleness in the Design of Cooperative Problem-Solving Systems：The Effects on User Performance.IEEE Transactions on Systems，Man，and Cybernetics—Part A：Systems and Humans，Col.27，No.3，May 1997，pp.360-371.

［11］R.Parasuraman，V.Riley.Humans and Automation：Use，Misuse，Disuse，Abuse.Human Factors，in press，1997.

［12］Boeing Commercial Airplane Group.Statistical summary of commercial jet aircraft accidents，worldwide operations 1959-1993.Seattle，WA 1994.

［13］W.H.Rogers，P.C.Schutte，K.A.Latorella.Fault Management in Aviation Systems.in Automation and Human Performance：Theory and Applications，ed.R.Parasuraman，M.Mouloua，Mahwah.New Jersey：Lawrence Erlbaum Associates，Inc.1996.