Diagnoseondersteuning voor de chef van de wacht in de technische centrale van het M-fregat.

Van' de chaff valln

wach

fin da

' achunfioclina cantrda vat it M-freEsit

W.W. Verduyn februari 1993

ok,f

TU Delft

oacmdemtheaulinfInE

Faculteit der INerktuigbouwkunde en Maritieme Techniek

S

-'Technische Universiteit Delft

Werktuigkundige Meet- en, Regeltechniek

Schrijver W.W. Verduyn

Titel : Diagnoseondersteuning voor de chef van de wacht in de technisch& centrale van het M-fregat

Rapport nummer A-638

Datum 24 februari 1993

BEKNOPTE SAMENVATTING

Operators aan boord van M-fregatten superviseren de werktuigkundige en elektrotechnische

instal-laties en zitten in principe alleen op post. Zij, blijjcen slechts rond 60 % _{van de optredende}

storin-gen juist te diagnostiseren.

Het diagnosegedrag kan verbeterd worden door het bieden van diagiloseendersteuning via de

mens-machine interface. Ontworpen is een relatief eenvoudige informatiehulp, die op aanvraag een aantal mogelijke oorzalcen voor een alarm biedt en aangeeft welke sensorinformatie ter control&

opgevraagd kan worden. Aan zestien ervaren operators zijn acht ,storingsscenario's voorgelegd om de .ondersteuning te testen.

De belangrijkste resultaten van dit onderzoek zijn:

het percentage juiste diagnoses stijgt van 62 % zonder naar 89 % met de beschildcing over

de diagnoseondersteuning;,

proefpersonen met een elektrotechnische achtergrond presteren zowel zonder als Met onder= steuning beter dan proefpersonen met een werIctuigkundige achtergrond;

de gemiddelde diagnosetijd wordt niet beInvloed door de diagnose,ondersteuning;

de mens-machine interface van het M-fregativordt door de proefpersonen, zowel zonder als met Cieldiagnoseondersteuning, als prang ervaren.

Ook buiten de marine kunnen/deeen uit deze 'ondersteuning toegepast worden, want er zijn teen,

typische marine randvoonvaarclen opgelegd.

2...,..e.iii. oco-r 4.44,---vvi

te AA(

'

:

:

Inhoudsopgave

Samenvatting iv

Abstract

A fstudeeropd rach t vi

Voorwoord vii

Lijst van afkortingen viii

Hoofdstuk 1 Inleiding 1

1.1 Algemene omschrijving problemgebied 1

1.2 Probleemstelling 2

1.3 Doelstelling 3

1.4 Overzicht verslag 3

Hoofdstuk 2 M-fregat 4

2.1 Platforminstallatie M-fregat 4

2.2 Globale opbouw platformautomatisering 5

2.3 Indeling van de technische centrale 6

2.4 Bedieningspositie 8

2.5 Bedrijfsvoering in de technische centrale 9

Hoofdstuk 3 Diagnose 10

3.1 Taken operator bij supervisory control 10

3.2 Fault management 12

3.3 Diagnosestrategieen 13

3.3.1 Symptomatisch zoeken 14

3.3.2 Topografisch zoeken 14

3.4 Synthese van diagnosestrategieen 15

3.5 Fault management in de TC van het M-fregat 16

Hoofdstuk 4 Diagnoseondersteuning 19

4.1 Decision support systems 19

4.2 Informatiehulp 21

4.2.1 Informatiehulp bij diagnose 21

4.2.2 Informatiehulp bij normaal bedrijf en diagnose 22

4.3 Automatische diagnose systemen 23

4.3.1 Expert systemen 24

4.3.2 Modelgebaseerde systemen 25

4.4 Discussie 27

4.5 Keuze diagnoseondersteuning M-fregat 28

4.5.2 Gekozen diagnoseondersteuning ₂₉

4.6 Ontwerp diagnoseondersteuning M-fregat ₃₀

4.6.1 Uitvoeringsvorm diagnoseondersteuning ₃₀

4.6.2 Overwegingen bij ontwerp diagnoseondersteuning 31

Hoofdstuk 5 Opzet en uitvoering experiment ₃₂

Si

5.2 Beperking bij experiment ₃₃

5.3 Proefpersonen ₃₃

5.4 Proefopstelling ₃₄

5.5 Storingsscenario' s ₃₅

5.6 Procedure voor experimenten ₃₇

5.6.1 Programma voor proefpersonen ₃₇

5.6.2 Volgorde proefpersonen en scenario's ₃₈

5.6.3 Geregistreerde informatie ₃₈

Hoofdstuk 6 Resultaten experiment ₄₀

6.1 Relativerende opmerkingen ₄₀

6.2 Interpretatie meetgegevens ₄₁

6.2.1 Diagnoseskwaliteit ₄₁

6.2.2 Benodigde tijd voor diagnoses ₄₄

6.2.3 Vertrouwen in diagnoses ₄₇

6.2.4 _{Aantal mimicwisselingen per scenario 47}

6.3 Resultaten enquetes ₄₈

6.3.1 Detectie en diagnose ₄₈

6.3.2 Diagnoseondersteuning ₄₉

6.3.3 Mens-machine interface M-fregat ₅₀

6.3.4 Werk van de chef van de wacht in de TC ₅₁

Hoofdstuk 7 Conclusies en aanbevelingen ₅₂

7.1 Conclusies ₅₂ 7.2 Aanbevelingen ₅₄ Literatuur ₅₇ Bijlagen 1 Ontworpen diagnoseondersteuning 60

2 Beschrij vingen mimics ₆₉

3 Storing sscenario? s ₇₀

4 Inwerkinstructie ₈₁

5 Volgorde proefpersonen en scenario's ₈₃

6 Enquetes ₈₄

Samenvatting

De taken van de mens in steeds complexere technische systemen zijn mede vanwege verdergaande automatisering sterk veranderd. De nadruk ligt nu op planning en fault management, taken waarbij geautomatiseerde hulpmiddelen tot voor kort weinig assistentie konden bieden.

Aan boord van de multi purpose (M-)fregatten van de Koninklijke marine blij ken operators, die in

principe alleen op post zitten in de technische centrale voor de bediening en bewalcing van werk-tuigkundige en elektrotechnische installaties, slechts ongeveer 60 % van de optredende storingen

juist te diagnostiseren.

Het diagnosegedrag 'can verbeterd worden door het bieden van diagnoseondersteuning. Ben

over-zicht wordt gegeven van twee soorten ondersteuning:

informatiehulp: de operator stelt diagnoses, eventueel met hulp van het hulpmiddel;

automatische diagnose systemen - zoals expert systemen en modelgebaseerde systemen

stellen diagnoses, eventued met hulp van de operator.

Ontworpen is een informatiehulp, die de operator op aanvraag een aantal mogelijke oorzaken voor

een alarm biedt en aangeeft welke sensorinformatie ter controle opgevraagd kan worden. Aan

zes-den ervaren operators zijn acht storingsscenario's voorgelegd om de waarde van de ondersteuning

te onderzoeken. Iedere proefpersoon had bij vier scenario's Met de beschikking over de ondersteu-ning en bij vier scenario's wel.

De belangrijkste resultaten van dit onderzoek zijn:

het percentage juiste diagnoses stijgt van 62 % zonder naar 89 % met de beschiklcing over

de diagnoseondersteuning;

proefpersonen met een elektrotechnische achtergrond presteren beter dan proefpersonen met

een werktuigkundige achtergrond, maar bij beide groepen stijgt het percentage juiste

diagnoses ongeveer evenveel;

de gemiddelde diagnosetijd wordt niet beInvloed door de diagnoseondersteuning; wel leidt

snel opvragen van de ondersteuning tot een relatief korte diagnosetijd; snel opvragen heeft

geen invloed op de kwaliteit van de diagnose.

de mens-machine interface van het M-fregat wordt door de proefpersonen, zowel zonder als met de diagnoseondersteuning, als prettig ervaren.

De Koninklijke marine Ian deze ondersteuning gebruiken aan boord van de M-fregatten en nieuw

te ontwikkelen schepen. Ook buiten de marine kunnen ideeen uit deze ondersteuning toegepast

Abstract

Partly due to advancing automation tasks of operators in increasingly complex technical _systems

have changed significantly. The emphasis for operators is now on planning and fault management, tasks for which until recently computerized aids were scarcely available.

Operators on board multi purpose frigates of the Royal Netherlands Navy perform their tasks of operating and monitoring mechanical and electrical systems alone from the ship control centre

(SCC). Only 60 % of system failures is diagnosed correctly from the SCC.

Decision support systems can be designed to support diagnosis. A _{survey is given of two kinds of}

aids:

information aid: the operator diagnoses a failure, if necessary supported by the aid;

automatic diagnosis systems (expert systems, model based systems) diagnose _{the fault, if}

necessary supported by the operator.

An information aid has been designed which may be used by the operator at his discretion offering

a number of most probable causes of an alarm and indicating which _{sensor information should be} checked. Sixteen experienced operators have diagnosed eight failures to evaluate the value of the

aid. Every testee had the information aid available for four failures. The most important conclusions of this study are:

the percentage of correct diagnosis increases from 62 % without available to 89 % with

diagnosis support available;

testees with an electrical background perform better than testees with a mechanical

background; both groups profit equally well from the support;

the avarage time needed to reach a diagnosis is _{not influenced by the support facility; there}

is a positive correlation between fast requests for support and time needed for diagnosis; the man-machine interface is experienced as easy, both with and without diagnosis support

available.

The Navy not only should implement this diagnosis _{support on multi purpose frigates, but also on}

future ships. This support could also prove useful in civil systems, as no typically naval limiting

Ake

TU Delft

Technische Universiteit Delft

juni 1992

Afstudeeropdracht voor de heer W. Verduyn Minervalaan 34"

1077 PA Amsterdam

Faculteit der VVerktuigbouwkunde en Maritieme Techniek

Vakgroep Meet- en Regeltechniek

Binnen de sectie Mens- Machine Systemen van de vakgroep Meet- en Regeltechniek wordt onderzoek verricht naar het functioneren van de mens bij de supervisie van geautomatiseerde

systemen. Voor een optimaal bedrijf van het geautomatiseerde proces dient het interface

tussen de menselijke supervisor en het proces zo goed mogelijk aan de menselijke capaciteiten

aangepast te worden.

De taak van de menselijke supervisor wordt verzwaard door de hogere eisen die aan het

functioneren van het mens-machine systeem wordt gesteld, maar ook door het venninderde contact van de supervisor met het proces. Zo wordt van de supervisor enerzijds verwacht dat

hij bij problemen in het bewaakte systeem, adequaat reageert, d.w.z. de foutieve situatie

onderkent, afdoende compenserende acties ondemeemt, tot een juiste diagnose komt en de

fout corrigeert, maar anderzijds ontbeert hem de ervaring met het functioneren van het

bewaakte proces in afwijkende omstandigheden.

De complexiteit van het systeem met automatisering is van invloed op het functioneren van

de operator. Het begrip complexiteit wordt in de literatuur verschillend gebruilct. Het is

daarom wenselijk hiervan een overzicht te maken in de vorm van een literatuurscriptie. In het vervolgonderzoek wordt van u verwacht dat u een studie maakt naar de door operators gemaakte fouten bij het diagnostiseren van storingen in een technische centrale op schepen. Bovendien client u een voorstel te maken voor een diagnoseondersteuning met als doel het verbeteren van het diagnose gedrag. U kunt hierbij gebruik maken van een simulator van het

M-fregat die is opgesteld bij TNO/IZF en bij het opleidingscentrum van de Marine te

Amsterdam

Bij het uitvoeren van uw opdracht kunt u rekenen op de begeleiding van dr.ir. P.A. Wieringa

en van dr.ir. J.G.W. Raaijmakers van TNO/IZF.

prof.dr.ir. FI.G. Stassen

Voorwoord

Dit afstudeerverslag is tot stand gekomen in de periode april 1992 - februari 1993. De experimen-ten zijn uitgevoerd bij TNO/Instituut voor Zintuigfysiologie te Soesterberg. De resultaexperimen-ten in dit

verslag zijn eigendom van TNO/IZF.

Ik heb getracht mijn werk bij de Koninklijke marine en het afstuderen zoveel mogelijk _gescheiden

te houden. Dan waar ik uren "van de baas" nodig had, heb ik _{een beroep kunnen doen op het}

hoofd van de Technische Opleidingen der Koninklijke marine (TOKM), Rob Weetink, die me met

name voor het uitvoeren van de bij dit onderzoek horende experimenten bijna vier weken de

ruimte heeft gegeven.

De twee begeleiders van dit onderzoek, Peter Wieringa van de TU Delft en Jeroen Raaij makers van TNO/IZF, hebben me de vrijheid geboden om in mijn eigen tempo te werken. Verder gaat mijn dank uit naar Kees Houttuin van TNO/IZF, wiens waardevolle expertise noodzakelijk was bij de voorbereiding op de experimenten. Tenslotte wit ik de zestien proefpersonen, medewerkers van de TOKM, dank zeggen voor hun bijdrage aan dit onderzoek.

Lijist van afkortingen

AMK achtermachinelcamer

BB bakboord.

brst/rein brandstof/reiniging,

compr compressor

D-OFF damage control officier (nevenfunetie van ,OGHTD)

DSS decision support system E/H energieopwelcking/hotelbedrijf

gasturb gasturbine

GBB geintegreerde bedienings- en bewaldp,g,Sinstallatie

GG gasgenerator

GWF geleide wapen fregat (Tromp Masse)

HD hoge druk

HTD hoofd technische dienst HVGT hoofdvaartgasturbine ID-code identificatie-code

inh inhoud

ICBB knowledge-based behavior

KT krachtturbine

KVD kruisvaartdiesel(motor)

LCF lucht commando fregat (in ontwerp)

LD lage druk

LF luchtverdedigingsfregat (Jacob van Heemskerck Masse)

urn limiet

LVE lolcale verwerldngseenheid

MF multi purpose fregat (Karel Doorman Masse)

MMI mens-machine interface of man machine interface

NBCD nuclear, biological and. chemical damage control

niv niveau

OGHTD ondergeschikt lhoofd technische dienst

pos positie

PTET power turbine entry temperature

RBB rule-based behavior

SR stuurboord

SBB skill-based behavior

SF ,standaard fregat (Kortenaer Idassej

SMO smeerolie

STANAVFORMED Standing Naval Force Mediterraneank

TC technische centrale

TNO/IZF TNO/Instituut voor Zintuigfysiologie

TOKM Technische Opleidingen der Koninklijke marine

TWK tandwielkast

VRA voortstuwingsregelautomatiek

VSI verstelbare schroefinstallatie

VSINST voortstuwingsinstallatie

VST voortstuwing

Hoofdstuk 1. Inleiding

1.1 Algemene omschrijving probleemgebied

Technische rinstallaties, als vliegtuigen, electriciteitscentrales _{en chemische fabrieken,, zijn in de} afgelopen decennia steeds complexer geworden. Dit komt door toegenomen milieu- en veiligheids-eisen, door meet geavanceerde regelstrategiedn (mogelijk gemaakt _{door de vooruitgang in de} toe-gepaste informatica en de regeltechniek) en door toepassing van betere materialen [Stassen, 1992].

De taken van de mens als bedienaar en bewaker _{van dergelijke systemen zijn langzaam verschoven}

van fysieke bedienaar in de regellcring (kleppen en schakelaars bedienen) _{naar supervisor van een}

multivariabel proces, waarin een computer veel handelingen uitvoert en de mens boven de regel-Icing staat. De taalcuitoefening vindt meestal plaats vanuit een regellcamer, wan de operator via

ten mens-machine interface informatie gepresenteerd lcrijgt en bedieningen !can uitvoeren.

Bij het ontwerp van de mens-machine interface speelt de verdeling _{van taken tussen mens en}

com-puter (de taalcallocatie) een grote rol. In het algemeen gaan de goed te formuleren taken naar de computer en de moeilijker of niet te definieren taken naar de operator. Met het toenemen van de

mogelijkheden van automatisering worden steeds _{meer taken "goed te formuleren". Routinetaken}

worden zonder problemen aan de computer toebedeeld. De taken die voor de mens overblijven omvatten vooral het halen van het gestelde doe en het_{waar nodig ingrijpen in het proces,}

bijvoor-beeld bij storingen. Bij die taken zijn de creatieve capaciteiten van de mens (nog?) onmisbaar.

Fen gevaar van de meer geavanceerde automatisering is dat de _{operator onder normale} omstandig-heden weinig taken hoeft uit te voeren en daardoor zijn kennis niet op peil Ican houden. Mogelijk

schiet de kennis van de operator bij het plotseling _{moeten uitvoeren van een =lc, die de computer} ;Met aanlcan, tekort. Vooral in omvangrijke technische installaties !can dan een te late of verkeerde

attic emstige gevolgen hebben. Het ongeluk in de kemcentrale bij Tsjemobyl (1986) is een

voor-beeld van een ongeluk in een complex technisch systemen, dat veel (sociale) impact heeft gehad. Een van de belangrijkste taken voor operators is het op adequate wijze omgaan met storingen, fault management' zoveel mogelijk beperken van schade aan installatie en omgeving, localiseren van de. oorzaak van een storing (diagnose) en corrigeren _{van de opgetreden fout. De operator moet}

meest-al geprogrammeerde (snelle) procedures en origineel (tijdrovend) denkwerk combineren om de

kans op en de gevolgen van dergelijke ongeluklcen te minimaliseren. _{Juist voor deze taak zou} ade-quate geautomatiseerde hulp zeer waardevol zijn, maar dat blijkt ondanks de vlucht van de automa-tisering tot op heden slechts op beperkte schaal mogelijk. In hoofdstuk 4 wordt hierop ingegaan.

Het bovenstaande geldt ook voor technische installaties aan boord van schepen, die tegenwoordig

veelal Met onbemande machinelcamers varen. Bediening en bewaking vinden plaats vanaf een

cen-trale positie. Bij koopvaardijschepen kan dat de brug zijn. Bij _{marineschepen, die snel wisselende}

1.2 Probleemstelling

Op de S'-, L- en GW-fregatten van de Koninklijke marine,, die ongeveer twintig jaar geleden zijn ontworpen, zijn op zee vijf operators in de technische centrale (TC) op post. De TC heeft een

wand van ongeveer zeven meter breed, waarop van de gehele platforminstallatie

(scheepswerktuig-kundige en elelctrotechnische installaties) statusinformatie is opgenomen. De operators hebben

steeds een overzicht van de toestand van de hele installatie. Fault management wordt meestal

geini-tieerd door een alarm van een variabele die een limiet overschrijdt. De operators trachten dan samen, in de TC en in de machinekamer(s), de storing op te lossen..

In dit verslag wordt ingegaan op de TC van het multi purpose fregat (M-fregat), dat midden jaren tachtig ontworpen is. De TC van het M-fregat heeft een mens-machine interface, die den operator

in staat stelt de gehele platforminstallatie te superviseren. Op het M-fregat moet de operator alleen

en zonder de TC te verlaten zijn taken uitvoeren, waaronder de fault management taak. Dat

bete-kent dat via de mens-machine interface aangeboden informatie nog beter dan op S-, L- en GW-fre-gatten het fault management moet ondersteunen.

Er zijn meerdere onderzoeken gedaan naar de fault management, taak van operators

in de TC an

Kruijt [1988] heeft onderzocht hoe operators een afwijkende procestoestand diagnostiseren. Het clod van het onderzoek was aan te geven hoe via de mens-machineinterface het diagnoseproces

optimaal ondersteund zou kunnen worden. De belangrijkste aanbevelingen van Kruijt zijn om bij

alarmen de volgende informatie aan de operator te presenteren: benodigde noodprocedure om schade aan de installatie te mogelijke storingsoorzaken;

referentiewaarden van belangrijke variabelen (voor berekenen van, die- waarden, is een

simulatie nodig).

Het onderzoek van Beks [1991] ligt rechtstreeks in het verlengde van ICruijes onderzoek (zie ook Boer [1992]). Ook Beks heeft onderzocht hoe operators afwijkende procestoestanden (dezelfde als

ICruijt) diagnostiseren, maar Beks beschikte daartoe over een simulatie van het dynamische gedrag

van (een deel van) de platforminstallatie van het M-fregat. Analyse van de resultaten van Beks

door Raaij makers en Voorlcamp [19931 levert op dat 59 ror van de diagnoses' (in hoofdlijnen) juist

is.

ikaaijmakers en Voorlcamp [1993] onderzochten voorts met dezelfde afwijkena prOcestoestanden in een nieuw experiment welke (soon) kennis bij de operators ontbreekt voor het stellen van een juiste diagnose. Bij dit onderzoek is 62 % van de diagnoses juist. De belangrijlcste conclusie is dat

op grond van de score bij eenvoudige kennisvragen en het opleidingsniveau een nauwkeurige

voorspelling mogelijk is over het aantal afwijkende procestoestanden dat de proefpersoon juist zal diagnostiseren. De correlatiecoefficient is 0.95.

Gebleken is dus dat bij fault management het percentage goede diagnoses met de bestaande mens-machine interface in de TC van het M-fregat rand % ligt. Dat percentage is te laag, zeker

gezien het uitgangspunt dat den operator de platforminstallatie moet bedienen en bewaken en

gezien de schade die foute diagnoses kunnen opleveren.

13 Doelstelling

Verduyn (1992] beschrijft dat er in het algemeen drie mogelijkheden zijn voor het verbeteren van

prestaties van operators inlicomplexe technische systemen:.

het tecluiische syste,em minder complex maken, bijvoorbeeld door ten hierarchische struc-tuur van subsystemen te bevorderen, waardoor elk systeem min of meer,ionafhankelijk van een ander subsysteem }can functioneren of door het aantal componenten te beperken;

de operator beter opleiden, bijvoorbeeld door _{van simulatoren gebruik te maken, waarin de} (toekomstige) operator vooral wordt geconfronteerd met zelden voorkomende storingen; de mens-machine interface verbeteren, bijvoorbeeld door diagnose ondersteunende

hulpmid-delen aan te brengen of door alternatieve beeldschermpresentaties _{als Multi level Flow}

Modeling [Lind, 1981] te gebruiken.

Het streven mar minder complexe platformsystemen van het M-fregat is in het huidige stadium wan het M-fregattenproject niet realistisch. Het afstemmen van de onderwijsinspanning van de marine op het. takenpaldcet van de _{operators van het M-fregat valt buiten het bereik van een} ionderzoek aan de Technische Universiteit Delft. Derhalve zal voor verbetering van de prestaties

van de operator verbetering van de mens-machine interface onderzocht warden..

De doelstelling van (lit onderzoek is de fault management taak van de operator in de IC van het M-fregat zodanig te steunen met een te ontwiklcelen .diagnoseondersteuning, dat het percentage juiste diagnoses hoger wordt dan de in voorgaande onderzoeken behaalde percentages van rand

601%..

1.4 Overzicht verslag

In dit verslag worden na dit inleidende hoofdstuk de _{volgende zaken besproken. Hoofdstuk 2}

beschrijft hoe de de platforminstallatie _{van het M-fregat is opgebouwd en hoe de operator die} superviseert. Hoofdstuk 3 geeft een theoretische beschrijving van de manier waarop diagnose plaats vindt. In hoofdstuk 4 worden enkele in, de literatuur _{beschreven diagnose ondersteunende,}

hulpmiddelen beschreven. Vervolgens wordt _{aangegeven welk hulpmiddel voor het M-fregat} ont-wikkeld is. In hoofdstuk 5 komen de opzet en de uitvoering van de experimenten on de

ontwikkel-de diagnoseonontwikkel-dersteuning te _{toetsen ter sprake. Hoofdstuk 6 lbehandelt de resulaten van de}

experimenten. _{hoofdstuk 7 tenslotte zijn de conclusies en aanbevelingen opgenomen.}

60

Hoofdstuk 2. M-fregat

In dit hoofdstuk wordt aangegeven hoe de technische installatie aan boord van het M-fregat er globaal uit ziet, hoe de mens-machine interface, waarmee de operator (chef van de wacht) die

installatie vanuit de technische centrale (TC) bedient en bewaakt, is opgebouwd en hoe de bedrijfs-voering is.

2.1 Platforminstallatie M-fregat

De Koninklijke marine heeft midden jaren tachtig acht M-fregatten besteld bij de Koninklijke Maatschappij "De Schelde" in Vlissingen. In 1990 heeft de Karel Doorman als eerste schip van de klasse zijn proefvaart gedaan. In februari 1993 heeft het vierde M-fregat de proefvaart afgerond.

De schepen vijf tot en met acht zijn thans nog in aanbouw.

KUD SB

TUK BB

TUK 513

HUGT 1313

HUGT SB

De platforminstallatie aan boord wordt bediend, bewaakt en onderhouden door de technfsche

dienst. De bediening en bewaldng geschieden zowel op zee als in de haven op basis van een

continudienst en worden uitgevoerd in de 'TC. De taak van de platforminstallatie is het verzorgen

van voortstuwing, elektrische energievoorziening en ondersteuning. In figuur 2.1 is de voortstu-wingsinstallatie weergegeven; op die installatie ligt bij het experiment de nadruk (zie hierover

verder paragraaf 5.2).

De voortstuwingsinstallatie kan het schip voortbewegen met een maximale snelheidvan ongeveer

30 lcnopen (55 km/uur).. Het schip is voorzien van twee schroeven, een stuurboord (SB) en !eon

bakboord '(BB), die worden aangedreven door twee onafhankelijke en (bijna) identieke installaties.. Eke installatie bestaat uit een hoofdvaartgasturbine (HVGT) voor de hoge vaart, een

kruisvaartdie-selmotor (KVD) voor snelheden tot 20 imopen, een hoofdtandwielkast om de toerentallen van gasturbine en dieselmotor te reduceren, een verstelbare schroefinstallatie _{en diverse hulpsystemen}

voor onder meer smeerolie-, koelwater en brandstofvoorziening.

Eike schroefas kan door maximaal een machine worden aangedreven Het is ,niet mogelijk een

HVGT en een KVD dezelfde tandwielicast te laten aandrijven. Er zijn acht configuraties voor de voortstuwing mogelijk, waarvan vier met twee aandrijvende machines (twee HVGT, twee KVD,

HVGT SB/KVD BB en HVGT BB/KVD SB) en vier met een aandrijvende machine _{(de niet}

,aangedreven as is dan trailend, hi] draait nice vanwege de snelheid van het schip, of staat',stil bij

lage scheepssnelheid).

Voor de opwelcking van elektrische energie zijn vier dieselgeneratoren aan boord geplaatst. Onder normale omstandigheden staan twee dieselgeneratoren te werk. De andere twee zijn beschikbaar bij

storingen of in onderhoud. Verder ican een nooddieselgenerator bij emstige _{calamiteiten, waarbij}

de normale elektrische energievoorziening is weggevallen, een klein aantal verbruikers (waaronder een brandbluspomp en communicatiemiddelen) van energie voorzien.

Alle overige systemen onder de verantwoordelijkheid _{van de technische dienst zijn ondergebracht}

onder de noemer ondersteunende systemen. Die omvatten onder meet brandblussystemen (water,

schuim,, halon), drinIcwaterwatersysteem verschillende hydraulieksystemen, airconditioning,

stuurmachines, kombuisfaciliteiten en koel- en vriescellen.

2.2 Globale opbouw platformautomatisering

De platformautomatisering, de geintegreerde bedienings- _{en ibewakingsinstallatie (GBB), iS zo"} uitgevoerd, dat op zee een operator in de TC volstaat. Zo'n _{operator heeft tussen twaalf en twintig} jaar ervaring in de marine (zie figuur

In de TC zit het hart van de GBB. Daar bevinden nch de twee centrale _{computers, drie}

bedie-nings- en twee managementposities en de communicatie- en randapparatuur., 2.2).

ten niveau lager bevinden zich de lokale verwerkingseenheden (LVE) en de automatieken. Die bewerken ruwe sensordata alvorens die worden doorgezonden naar de centrale computers.

Bedie-ningen vanuit de TC gaan via LVE of automatiek naar componenten.

Automatieken regelen en bewaken de belangrijke installaties en kunnen dat zo nodig los van het

centrale deel van de GBB doen. De voortstuwing bijvoorbeeld heeft .een voortstuwingsregelauto-matiek, die, op het starten en stoppen van voortstuwingsmachines na, ervoor zorgt dat de door de brug gevraagde snelheid gerealiseerd wordt. Starten en stoppen doet een operator in de TC of een

bedienaar in de machinelcamer.

2.3 Indeling van de technische centrale

In figuur 2.3 is weergegeven hoe de TC is ingedeeld. Er zijn vijf posities, driebedieningspositie&

in het voorste echelon en twee managementposities in het achterste echelon.

GEINTEGREERDE BEDIENINGS- EN BEWAKINGSINSTALLATIE

TC-nfveau ILVE automatiek-niveau periferie-niveau platform-niveau platforminstallaties

Figuur 2.2 !Globale opbouw platformautomatisering M-fregat ID 248, 19911

A-638-6 AUTOMATIEKEN 1 I NFORMATIEVERWERKEND SYSTEEM 1111P5

Ira:

WI

0

It

i Lai

+

IL!

/

0

II

*

*

De linker bedieningspositie in het voorste echelon is bestemd voor bediening en bewaking van de energieopwelcicingsinstallatie en de ondersteunende systemen, de middelste voor de

voortstuwings-installatie en de rechter voor bewaking van de scheepsveiligheid (brand-, waterschade,

olietrans-port, etc.). Op de opbouw van een bedieningpositie wordt in 2.4 ingegaan.

Het achterste echelon bestaat Mt twee managementposities, want-van er bij hogere operationele gereeclheid (bijvoorbeeld olieladen op zee, brand, dreiging van een aanval) een of twee bezet

worden door het hoofd technische dienst en/of zijn plaatsvervanger. Eke managementpositie _heeft

een beeldscherm. Vanaf de managementposities zijn alleen superviserende en coordinerende activi-teiten mogelijk, geen bedieningsactiviactivi-teiten.

Bij de vijf posities zijn verschillende communicatiemiddelen aangebracht. De belangrijkste danrvan zijn een omroepinstallatie voor de verschillende technische ruimten (machinelcamers,

dieselgenera-torkamer, etc.) en het hele schip, telefoons en directe lijnen met belangrijke ruimtes in het schip, zoals de brug, de commando centrale en de sectieposten (waar bij calamiteiten de damage control act iviteiten worden geleid).

becheningsposities

go

managomentsposities

2.4 Bedieningspositie

In figuur 2.4

bedieningspositie heeft drie 19 inch beeldschermen, een toetsenbord en een trackball. De voortstu-wingspositie heeft een aantal extra faciliteiten, onder meet om voortstuwingsmachines te starten en te stoppen.

Van de drie beeldschermen fungeert er altijd een als alarmscherm. Op dat scherm komen alarrnen

binnen. De volgende informatie wordt getoond:

de tijd van optralen van het alarm;

(eventueel) de tijd van verdwijnen van het alarm; de toegekende prioriteit (een, twee of drie sterren); een verwijzing naar een mimic;

de hoogte van de in alarm zijnde variabele.

Op de andere twee beeldschermen kan de operator mimics van de platforminstallie opvragen. Een

mimic is een weergave van een (sub)systeem, waarin de belangrijkste componenten en bedienings-mogelijkheden zijn weergegeven. De mimics hebben beperkte topografische referentie.

Trackball

Alarm

Mimic

Figuur 2.4 Voortstuwingspositie in het voorste echelon [D 247, 1991]

Toetsenbord

Het is mogelijk bedieningen van bijvoorbeeld pompen (starten, stoppen) en kleppen (openen, sluiten) via een mimic uit te voeren. Daartoe moet eerst de trackball op de te bedienen component

worden gezet, waarna het gewenste commando kan worden uitgevoerd. Een druk-flow algorithme geeft aan wat de toestand van een medium in een leiding is: lichtgroen betekent flow aanwezig,

donkergroen betekent wel druk, geen flow en grijs betekent geen druk en geen flow.

Er zijn totaal 58 mimics: 14 van de voortstuwing, 9 _{van de elektrische energievoorziening, 14 van} de ondersteunende systemen, 14 van de scheepsveiligheid en 7 voor het managament. Die zeven

lcunnen alleen op de twee managementposities worden opgevraagd.

2.5 Bedrijfsvoering in de technische centrale

Bij reewacht (binnenliggend) zijn twee personen (korporaal en/of matroos) ingedeeld voor de wacht in de TC. Een van hen fungeert als bedienaar/bewaker; de ander maakt rondes door het

schip. Hun opleidingsniveau en ervaring zijn beperkt, _{maar dat is geen bezwaar, want bij reewacht} staat maar een beperkt aantal minder omvangrijke installaties bij.

Bij het ontwerp van het M-fregat is uitgegaan van _{een eenmansfilosofie voor de routine zeewacht} (gewoon varend op zee) [Kruijt, 1988]. De operator, de chef van de wacht, voert de volledige bediening en bewaking van alle installaties uit vanaf de middelste bedieningspositie _(de voortstu-wingspositie). En rondeman is beschikbaar voor rondes en plaatselijke controles. De chef van de wacht is een onderofficier met een elektrotechnische of werktuigkundige achtergrond op

MTS-niveau met twaalf tot twintig jaar ervaring in de marine.

Tot nu toe is de zeewacht aan boord van de M-fregatten met drie tot vijf man gelopen. Hierbij spelen onder meer opleidingsargumenten een rol: jongere onderofficieren en matrozen moeten

ervaring opbouwen om later als zelfstandig chef van de wacht te kunnen fungeren.

Er zijn een of twee bedieningsposities bezet, waaronder in ieder geval _{de voortstuwingspositie.} Minimal een operator (doorgaans de chef van de wacht) is in de TC, de overigen kunnen

werk-zaamheden in een machinekamer hebben of op ronde zijn.

Bij verhoogde operationele gereedheid (bijvoorbeeld olieladen _{op zee of binnenlopen van een}

haven) zijn dric bedieningsposities en een managementpositie bezel.

Bij ernstige calamiteiten (brand, dreiging van een aanval) zijn de vijf posities alle bezet. Daarnaast wordt extra personeel voor assistentie van het management toegewezen aan de TC.

Hoofdstuk 3. Diagnose

Hoofdstuk 3 bevat een theoretische beschrijving van de taken die de operator in moderne

regelkamers moet uitvoeren. Daarbij wordt de aandacht gericht op de diagnosetaak.

3.1 Taken operator bij supervisory control

In hoofdstuk 1 is aangegeven dat de mens in steeds complexere technische systemen niet meer de

fysieke bedienaar van kleppen en schakelaars in de regelkring is, maar supervisor (boven de

regel-lcring) van een multivariabel proces. Sheridan [1976, 1988, 1992] geeft aan welke taken door een

operator uitgevoerd worden bij supervisory control:

plan bedenken wat er moet gebeuren

teach aan de computer vertellen wat die gedurende een bepaald tijdsinterval moet doen

monitor automatische taalcuitvoering door de computer controleren

intervene onderbreken van de automatische taakuitoefening door de computer, bijvoorbeeld bij storingen

learn ervaring opdoen bij het optreden van onbekende situaties fault management omgaan met storingen

In figuur 3.1 is aangegeven hoe die verschillende taken door de operator worden uitgevoerd. Voor de meeste taken geldt dat ze soms relatief eenvoudig uit te voeren zijn en soms veel inspanning kosten. Rasmussen [1983] heeft een model gepresenteerd dat aangeeft op welke verschillende

niveaus een operator taken uit kan voeren (zie figuur 3.2):

vex stor ingen

taak CD operator

0

Figuur 3.1 Taken operator bij supervisie van een technisch systeem [Stassen, 1992] (aangepast) MMI = mens-machine interface

Skill-based behavior (SBB) is gedrag dat vanwege de ervaring van de operator automatisch

wordt uitgevoerd. Dit gedrag komt voornamelijk voor bij eenvoudige, routinematige taken,

zoals het sturen in een auto.

Rule-based behavior (RBB) is gebaseerd op regels en procedures. Door herkenning van

tekens wordt een verband gelegd met een uit te voeren actie. Een voorbeeld is een nood-stopprocedure van een kerncentrale.

Knowledge-based behavior (KBB) is gebaseerd op kennis en maakt gebruik van symptomen. De kennis van het systeem wordt gebruikt om in onbekende situaties, waarvoor geen regels bestaan, een actie te bedenken.

Voor taken op het skill- en sommige taken op het rule-based behavior niveau _{kunnen computers} ingezet worden. Met het geavanceerder worden van de automatisering houdt de mens steeds meer alleen de "moeilijke" taken over [Thijs, 1987]. In tabel 3.1 zal de nadruk verschuiven naar taken

op het knowledge-based behavior niveau. Het gevaar bestaat dat operators routine lcwijtraken,

omdat ze tijdens normaal bedrijf zeer weinig acties hoeven te nemen en alleen nog maar bij bijzon-dere omstandigheclen, als opstarten, stoppen en fault management jets hoeven te doen.

Vanwege de veranderende inhoud van de taken verschuift het _{gewenste (opleidings)niveau van}

operators. Onderzoek near de benodigde opleiding valt overigens buiten het bestek van tilt verslag.

Van groot belang op het knowledge-based behavior niveau is de _{fault management taak: nadelige} gevolgen van storingen, zowel voor de installatie als voor de omgeving, moeten zoveel mogelijk

beperkt word en.

GOALS KNOWLEDGE -BASED BEHAVIOUR RULE -BASED BEHAVIOUR SKILL -BASED BEHAviouR SYMBOLS FEATURE FORMATION !DENT!

-ALA

--Figuur 3.2 _{Drie prestatieniveaus van operators [Rasmussen, 1983]} AUTOMATED

SENSOR -MOTOR

PATTERNS ASSOCI A - STORED SIGNS RECOG- TION RULES,

FOR

/TASK TASKS

SIGNALS _ACTIONS

Tabel 3.1 Verband tussen, operatorgedrag en -taken [Stassen, 1990] (verbeterd)

3.2 Fault 'management

Er bestaan vele beschrijvingen van fault management,, onder meer van Rasmussen [1986], Thijs 119871 en Schaafstal [1991]. Gekozen is voor de beschrijving, van Thijs [19871 Hij, onderscheidt

vier fasen in de fault management taak: detectie

compensatie diagnose correctie

In flguur 3.3 is aangegeven hoe deze vier fasen passen binnen het supervisorycontrol concept van Sheridan.

detectie wordt de operator zich bewust van ,een Mut: hij, ziet een symptoom als gevolg van een

storing. De storing zelf is nog onbekend. De detectietaak is danlczij de automatisering veranderd.

Vroeger zochten operators actief naar het ontstaan van afwijkende toestanden. Tegenwoordig waarschuwen automatische detectiesystemen de operator vanzelf voor een afwijkende toestand.

supervisory control

plan teach

fault management

detectie compensatie diagnose ,IF correctie

Figuur 3.3 Fault management als den Nan de taken Man de supervisor'

Human Operator 'Human Task Behavior Intervening Manual Control Supervisory control Interpreting Monitoring I Teaching Fault Management i 'Planning Optimization SBB IRBB

'

'

"

monitor intervene learn fault management

De detectietaak is echter niet altijd, eenvoudig. Plotselinge, kort durende afwijlcingen (spikes), zeer

langzaam veranderende variabelen en fouten die door regelingen worden gecompenseerd vergen

soms wel en soms niet actie en vereisen meer dan skill-based detectie [Johannsen, 1988].

Bij een storing kan een groot aantal alarmen optreden. Het kan zeer moeilijk zijn om de

gedetec-teerde alarmen juist te interpreteren en de diagnose meteen goed te beginnen.

Na de detectie Ian de operator soms meteen een compenserende actie uitvoeren _{om gevolgen van} opgetreden ongewenste situaties te beperken, het systeem te stabiliseren of verwachte _ongewenste

situaties te voorkomen. Een voorbeeld is het noodstoppen van een dieselmotor,, zodra de smeerolie-druk onder de minimaal itoegestane waarde komt. Op dat moment hoeft de oorzaak van de storing nog niet bekend te ziTn.

Diagnose is het bepalen van de oorzaak van de geobserveerde symptomen ofwel lie oorzaak van de,

afwijkende toestand. Net doel van diagnose is het ievalueren van de mogelijke gevolgen van de

storing, het aangeven van een doeltoestand (terug naar de oude toestand of naar ten nieuwe veilige

toestand) en het aangeven van de benodigde compenserende of correctieve _handelingen.

Vaak zal diagnose knowledge-based behavior vereisen: de operator moet bij een onbekende combi-natie van symptomen een oorzaak zoeken. Verder }can de diagnosefase _{verstoord worden door het}

steeds optreden van alarmen: nieuwe, die onafbankelijk of afhankelijk kunnen zijn van de

onder-zochte storing, en oude, die steeds doorkomen als een variabele weer de limiet overschrijdt.

Compensatie en diagnose vinden vaak gelijktijdig plaats: tijdens pogingen orh het systeem, te

stabiliseren wordt al nagedacht over een mogelijke oorzaalc.

Als diagnose de oorzaak van de storing heeft opgeleverd, Clan Ican een corrigerende ,actie (bijvoon

beeld vervangen van een component) worden genomen. Correctie wordt meestal uitgevoerd door

een onderhoudsploeg en' is derhalve mauwelijks van belang voor 'de operator.

De diagnosefase is de belangrijkste in het fault _{management. De toegenomen automatisering heeft} geen duidelijke positieve, mogelijk zelfs een negatieve invloed op de diagnose: de afstand tusseni operator en proces is vaak toegenomen, terwijl het percentage van de tijd dat de operator bezig is

met uitvoeren van taken is afgenomen. Tijdens normale bedrijfsvoering kan de operator een goe,de

interne representatie [Stassen et al., 1988], die _{voor diagnose van groot belang is, niet of}

nau-welijks opbouwen of instandhouden. Ondersteuning van de diagnosetaalc met geavanceerde hulp-middelen is van groot belang en komt in hoofdstuk 4 ter sprake.

3.3 Diagnosestrategieen

Rasmussen 1[19811 beschrijft twee principieet verschillende zoekstrategieen _{die gebruikt kunnen} worden bij diagnose van storingen:

symptomatisch zoeken; topografisch zoeken.

33.1 Symptomatisch zoeken

.Bij symptomatisch zoeken fungeert de verzameling waargenomen symptomen van een storing als uitgangspunt. Dat patroon wordt vergeleken met door de operator opgeslagen patronen, die horen bij bepaalde afwijkende toestanden. Als een patroon wordt gevonden dat overeenkomt met de

geobserveerde symptomen, dan is bekend wat de storing is.

Symptomatisch zoeken kan zeer snel een oplossing bieden, maar is over het algemeen context-specifiek: er moeten bekende storingen voorhanden zijn. Als er geen bekende patronen zijn - de storing is onbekend - dan kan de operator zelf patronen genereren ter vergelijking met de

optre-dende symptomen, maar dat kost veel inspanning..

Symptomatisch zoeken kan op idrie manieren,, met oplopende mentale belasting, uitgevcerd.

worden:

mL Patroonherkenning

Bij patroonherkenning wordt snel parallel' een verzamehng opgeslagen patronen idoorzocht. en vergeleken met de geobserveerde symptomen.

Decision table search

Decision table search lijkt op patroonherkenning, maar nu wordtjnneer een

ver-zame-ling opgeslagen patronen doorzocht. Dat gebeurt als parallel controleren van patronen, bijvoorbeeld vanwege een onduidelijke link met geobserveerde symptomen, niet mogelijk

is. De zoelcsnelheid is lager dan bij patroonherkenning,. Hypothese genereren en testen

Als de geobserveerde symptomen niet bekend zijn, dan Ian een operator zelf bij een

veronderstelde oorzaak (hypothese) ten patroon van symptomen bepalen en dat vergelijken

(testen) met de geobserveerde symptomen: hypothese genereren en testen.

Het testen kan gebeuren door doorrekenen van het gegenereerde model van het verstoorde

systeem (door een operator, wat een zeer zware mentale belasting betekent, of door een computer) of door proberen (de bij de hypothese horende correctie uitvoeren en kijken wat

er gebeurt). Overigens is "proberen" vaak, bijvoorbeeld bij een ernstige storing in een

kerncentrale, ge,en reele optie.

Meestal zal een operator vanwege de mentale belasting maar em n beperkt aantal hypotheses

kunnen genereren en testert

3.3.2 'Topografisch zoeken

Bij topografisch zoeken fungeert ten patroon van symptomen van hetnormaal werkende systeem

als uitgangspunt. Het gebruikte model van de normale werking van het systeem Ian tijdens

ont-werp of normaal bedrijf gevormd worden en is dus niet afhankelijk van storingen.

Er wordt gecontroleerd of subsystemen, componenten en variabelen voldoen aan de normale func-tie. Steeds is de vraag: goed of foot? Op ideze wijze daalt de operator steeds verder af in de details

A:638-14

van het systeem en wordt het zoekgebied steeds verder versmald. De storing wordt gevonden als

een afwijking van de normale situatie wordt geconstateerd.

Topografisch zoeken is vanwege de onafhankelijkheid van eerder opgetreden storingen context-vrij

en dus breed toepasbaar voor niet voorziene storingen. Er worth echter geen gebruik gemaakt van

ervaring met eerder opgetreden fouten.

3.4 Synthese van diagnosestrategieen

Zowel bij symptomatisch als bij topografisch zoeken kunnen stappen in het zoekproces gezet worden op grond van heuristische, meer op ervaring en intuitie berustende overwegingen, of op

grond van causale, meer bewuste overwegingen.

Het gebruik van heuristieken, die gebaseerd zijn op ervaring, op bekende situaties, 'can de mentale

belasting beperken. Vaak kunnen heuristieken snel een oplossing bieden. Er bestaat _{echter gevaar}

voor fouten (biases), omdat alleen de meer waarschijnlijke oorzalcen worden beschouwd [Tversky, Kahneman, 1982].

Bij causal redeneren, causal tracing [Schaafstal, 1991], wordt bewust gezocht _{naar de oorzaak van} de storing via causale relaties. De nadruk ligt op relaties tussen _{componenten en subsystemen, die}

aangeven welke component nodig is om een bepaald doe te bereiken.

In figuur 3.4 staat voor de in paragraaf 3.3 beschreven zoekstrategieen of die voornamelijk op

grond van heuristische of causale overwegingen zullen plaatsvinden. Het _{aantal sterretjes geeft an} hoe sterk een zoekstrategie met heuristisch of causaal redeneren samenhangt. Onderin de figuur is vermeld op welk cognitief niveau van het model voor skill-, rule- en knowledge-based behavior

een zoekstrategie zich overwegend afspeelt.

Figuur 3.4 Diagnose als den van de then van fault management zoekstrategie _{symptomatisch zoeken}

topografisch zoeken patroonherken-fling decision table search hypothese gene-reren en testen heuristisch ** ** * * causaal * ** ** SBB RBB KBB KBB fault management

Patroonherkenning speelt zich bijna automatisch af en wordt sterk beinvloed door heuristische overwegingen: skill-based behavior. Decision table search lijkt sterk op patroonherkenning, maar verloopt minder snel. Hier is overwegend sprake van heuristisch redeneren. Bekende patronen refereren naar een actie: rule-based behavior. Topografisch zoeken en hypothese genereren en testen vereisen causaal redeneren. Incidenteel kunnen op grond van heuristische overwegingen

stappen gezet worden, bijvoorbeeld bij topografisch zoeken om het zoekgebied te versmallen. Er is knowledge-based behavior vereist.

In het algemeen zal een operator IA diagnose zoekstrategieen op verschillende cognitieve niveaus afwisselen. Een ervaren operator weet wanneer hij moet overschakelen van skill- of rule-based behavior, bijvoorbeeld pattern recognition, naar knowledge-based behavior [Rasmussen, 1986; Thijs, 1987]. Andersom Ian de operator bij zware mentale inspanning, zoals bij hypothese genere-ren en testen, het diagnoseproces trachten te bespoedigen door op een lager cognitief niveau een oplossing te zoeken. Het is overigens twijfelachtig of dat tot goede resultaten leidt.

Rasmussen [1981] geeft aan dat een operator bij diagnose vaak de weg van de minste weerstand

zal kiezen; hij neemt impulsieve en zelfs irrationele [Thijs, 1987] beslissingen op grond van op dat

moment beschikbare informatie. Zolang eenvoudige methoden voortgang bieden wordt geen

afstand genomen om het probleemgebied te overzien.

In het algemeen bestaat gevaar voor cognitive tunnel vision: een eenmaal ingeslagen weg, een eerste idee dat impulsief gevormd 'can zijn, wordt vastgehouden. Signalen die de gegenereerde mogelijke oorzaak tegenspreken worden genegeerd of verworpen (bijvoorbeeld als meetfout),

terwijl juist die signalen aantonen dat de hypothese onjuist is. Signalen die passen bij de hypothese bewijzen niet dat de hypothese juist is.

3.5 Fault management in de TC van het M-fregat

De activiteiten van de chef van de wacht in de TC van het M-fregat bij fault management zijn

(aangenomen dat hij de correctie, die volgt op de diagnose, niet zelf uitvoert):

detectie

compensatie

diagnose

Kruijt [1988] heeft ideeen van Thijs [1987] en Rasmussen [1980] gebruikt voor een fault

manage-ment model bij operators in de TC van het M-fregat, waarin de nadruk ligt op diagnose. Het

model is weergegeven in figuur 3.5.

Detectie van een afwijkende toestand vindt plaats na presentatie van een alarm op het alarmscherm

_-van de interface. De chef _-van de wacht zal trachten zich een beeWle vormen _-van de toestand _-van het systeem door informatie op mimics en/of panelen te belcijken. Deze activiteit wordt deels

Het gevormde beeld van de systeemtoestand vergelijkt hij met een referentie, die via de interface, uit een boekwerk of uit zijn eigen interne representatie afkomstig kan zijn. Dit leidt tot het inzicht

welke afwijkende toestand er heerst. Op grond van de verworven kennis kan compensatie worden

uitgevoerd om de installatie veilig te stellen.

IDETECT IE I eventueel 1COMPENSATIE .1 alarm interpretati: W, I, R . Cepgvii;roil; beeld-vorming II, R, C alarm ischerm Kailmimics/ !panel en event ver e COMPENSAT IE bYP0THESE(N)1 verificatielsr DIAGNOSE mimics/ panel en K [ _mimics/I panelen toetsen a fbakeneni

Figuur 15 _{Model voor fault management voor de operator in de technische centrale van het}

M-fregat [Kruijt, 19881

yv" _waarnemen C concluderen

I = interpreteren

_{K = kiezen}

= redeneren

V

Vervolgens zal de chef van de wacht elan of meer mogelijke oorzaken (hypotheses) genereren,, bijvoorbeeld via patroonherkenning of itopografisch zoeken. Met beschikbare informatie van de

interface, uit boekwerken en uit de interne representatie worden de hypotheses getoetst en zo .nodig

verder afgebalcend, wat uiteindelijk moet leiden tot de juiste diagnose.

De diagnose leidt mogelijk tot bijstellen of verbeteren van de eerdere compensatie en tenslotte tot correctie. De correctie wordt meestal niet uitgevoerd door de operator en is daarom niet opgeno-men in de ftguur 3.5

In de figuur staat eery aantal letters dat weergeeft welket stap in de informatieverwerldngscyclus aap de orde is. Kruijt onderscheidt daarin:

Waarnemen : .het bewust ofionbewust opmerken van beschikbare informatie;

vervverken:

interpreteren (I): een betekenis aan een gegeven toekennen of een relatie tussen

gegevens leggen;

redeneren (R): een gedachtenpatroon ontwikkelen, bijvoorbeeld naar een bruikbare

hypothese (abductie) of van een bijzondere naar een meer algemene toestand (induce tie);

concluderea (C),c een gevolgtreklcing of een togische afleiding malcen (deductie)c

beslissen:

Idezen (K), bijvoorbeeld bij het selecteren van op te vragen informatie; besluiten (B) tot het uitvoeren van handelingep.

Hoofdstuk 4. Diagnoseondersteuning

In 4.1 tot en met 4.4 wordt beschreven wat dragnoseondersteuning is en welke methodes vtidr

diagnoseondersteuning gebruilct kunnen worden. Vervolgens wordt uiteengezet welke diagnoseon-dersteuning in het kader van dit 'onderzoek wordt uitgewerkt en setest (4.5 en 4.6).

4.1 Decision support systems

Van de in hoofdstuk 3 genoemde zes taken bij supervisory control vereiseri vooral fault

manage-ment en planning knowledge-based behavior. De meeste bestaande regelsystemen ondersteunen die

taken niet (zie figuur 3.1), maar voeren wet de overige taken, als regelen _{van variabelen en} verge-lijken van variabelen met vooraf ingestelde limietwaarden, betrouwbaar uit op skill- en deels op

rule-based behavior niveau [Johannsen, 1992],

De huidige generatie technische systemen is vaak zo complex, dat additionele londersteuning van de operator op rule- en knowledge-based behavior niveau nodig is om de kans op emstige ongeluldcen

te beperken. Johannsen [1992] classificeert deze ondersteuning als een decision _{support system} (DSS). Dat is "any interactive system that is specifically designed to improve _{the decision making}

of its user by extending the user's cognitive decision-making abilities" [Zachary, _1988],'

Pirverstoringen Figuur 41

000®

OW

00

0

Taken operator bij beschikldng over een DSS [Johannsen 19921 (aangepast)

MMI = mens-machine interface

plan 3. monitor 5. teach

teach 4. 'intervene _{6. fault management}

aak las operator Proces-p. computer 1.4 meten 2 .4® meten 1

Figuur 4.1 geeft aan hoe de operator zijn taken met e,en DSS uitvoert. De belangrijkste verschillen

met oudere systemen zonder DSS zijn dat nu de taken planning en fault management ondersteund

worden en dat geen rechtstre,eks contact met het proces meer mogelijk is (alle communicatie loopt via de mens-machine interface). Gewone regellcringen worden gesloten via normale meetopnemers (meten 1), die bijdragen aan het minimaliseren van afwijkingen tussen de gewenste en de

werkelij-ke waarde van een of meer variabelen. Een DSS vereist uitgebreidere informatie: in- en uitgangs-variabelen van het proces worden geinterpreteerd in meten 2; dat draagt bij aan ondersteuning van

beslissingen van de operator door het DSS.

De aandacht in dit hoofdstuk zal gericht worden op een vorm van DSS, dat de belangrijke fase van

diagnose tijdens fault management ondersteunt. Ben DSS moet [Lees, 1981; Rasmussen, 1981;

Norman, 1986; Hollnagel, 1989a]:

de mentale druk verminderen, bijvoorbeeld bij een lawine van alarmen, een complexe

storing of een ingewikIcelde berekening;

hulp bieden bij de het instandhouden van een goede interne representatie;

de operator niet vervangen, maar betrokken houden bij het proces; de operator houdt de

eindverantwoordelijkheid en moet stappen of adviezen van de computer lcunnen begrijpen, herroepen, negeren of aanvullen;

de informatie afstemmen op de cognitieve processen van de operator, anders gebruikt hij

het DSS niet;

aanvaard worden door de operator (beschikbaar indien benodigd en niet irritant);

de kans op cognitive tunnel vision beperken en daarmee de kans op herstel van een

aanvankelijk foute diagnose vergroten;

transparant zijn; de computer moet zijn stappen kunnen presenteren en uitleggen; zeer eenvoudig te bedienen zijn, daar hij (hopelijk) zelden gebruikt wordt.

In figuur 4.2 is schematisch aangegeven dat van de verschillende soorten DSS

diagnoseondersteu-ning bekeken wordt. Voor diagnoseondersteudiagnoseondersteu-ning zal de tweedeling van VoorIcamp [1991] worden gebruikt: informatiehulp (4.2) en automatische diagnose systemen (4.3).

informatiehulp

diagnoseondersteuning

Figuur 4.2 Overzicht van te beschrijven soorten DSS

automatische diagnose systemen

4.2 Informatiehulp

Een operator Iciest bij diagnose van storingen in principe niet een weloverwogen strategie, maar

voor de weg van de minste weerstand op grond van impulsieve beslissingen. Pas als er geen

vooruitgang meer geboekt wordt, wordt overgestapt naar meer ingewiklcelde strategieen [Rasmus-sen, 1981].

Via de interface verstrekte informatie 'can ertoe bijdragen dat de operator minder impulsief

redeneert. De informatiehulp is soms voornamelijk geschikt bij diagnose (4.2.1), soms bij normaal bedrijf en bij diagnose (4.2.2).

4.2.1 Informatiehulp bij diagnose

a Referentiewaarden presenteren [Kruijt, 1988]

Bij een storing vertoont een aantal variabelen een afwijkende waarde. Informatie, die aangeeft hoe

ver een variabele afwijkt van de bij de heersende belasting horende normale waarde, 'can de

diagnosestelling vergemaldcelijken. Die referentiewaarden kunnen ontleend worden aan tabellen of

aan een model van het systeem.

b Alarrnen ordenen [Lees, 1981; Kruijt, 1988]

Een ernstige storing heeft vaak een lawine van alarmen tot gevolg. In kerncentrales bijvoorbeeld

kunnen binnen enkele minuten honderden alarmen optreden.

Toekennen van prioriteiten aan alarmen of blokkeren van bepaalde alarmen, als een installatte met

werkt, Ian de operator helpen bij het plannen van de diagnosetaak _{en voorkomt afleiding. Bos en}

Van Gemund [1989] noemen dit alarm handling.

c Adviezen geven tijdens diagnose [Kruijt, 1988]

Tijdens de diagnosetaak kunnen adviezen aan de operator verstrekt worden:

adviseren welke procedure, welke compenserende actie, moet worden uitgevoerd om het

eerste gevaar te verminderen;

aanwijzingen geven voor een zoekrichting om te voorkomen dat bepaalde informatie _niet

oe, c734oCA.,

C

idn

d Operator ondervragen tijdens diagnose [Moray, 1981]

79/ "It

Door de operator tij dens de diagnose kritische vragen te stellen worth de operator geprikkeld op

structurele wijze een oorzaak te zoeken, zonder te veel op heuristieken of impulsieVe-bifiie sin-gen te vertrouwen.

De vragen kunnen in een handboek worden opgenomen of bij storingen via de interface aan de

operator gepresenteerd worden. De implementatie van een dergelijke ondersteuning is niet eenvou-dig, want:

de vragen moeten niet bij iedere kleine storing gesteld worden, dan wordt de ondersteuning irritant;

opvraagbaar maken van de hulp heeft het gevaar dat de operator te lang blijft vertrouwen

op heuristieken;

de procedure is statisch, maar moet ook flexibel zijn: nieuwe alarmen moeten de operator

niet dwingen om weer van voor af aan te beginnen.

4.2.2 Informatiehulp bij normaal bedrijf en diagnose

a Via interface informatie uit handboeken aanbieden [Kruijt, 1988]

Bij gecompliceerde storingen met grote kans op schade of een grote tijdsdruk, kan de mentale

belasting van de operator toenemen. Mogelijk neemt de operator dan niet de tijd om handboeken te raadplegen. Als ondersteuning kan het aanbieden van de informatie uit de handboeken via de

inter-face dienen. Gebruik van dit hulpmiddel tijdens normaal bedrijf kan bijdragen aan het op peil

houden van de interne representatie van de operator.

b Verloop van variabelen presenteren [Moray, 1986]

Moray [1986] bepleit de mogelijkheid voor versneld en vertraagd afspelen van variabelen.

Versneld afspelen (het laatste uur in een pan seconden) helpt het onvermogen van de mens om

langzame trends wan te nemen. Zo'n trend Ican aanleiding geven tot ingrijpen, mogelijk zelfs oor

een alarm optreedt. Met vertraagd afspelen van variabelen na het optreden van een storing, waarbij vele variabelen zeer snel veranderd zijn, kan de gemiste informatie herhaald worden.

c Snellere manipulatie van de mens-machine interface bevorderen

De informatie-uitwisseling tussen mens en computer verloopt vaak op ongelukkige of onduidelijke wijze. Verbetering kan de uitvoering van alle taken van de operator vergemakkelijken en kan langs meerdere wegen verlopen:

ldeuren, lettertypen en layout van de beeldschermpresentaties optimaliseren;

beeldschermpresentaties implementeren, die beter aansluiten bij de interne representatie.van de operator (Multi level Flow Modeling [Lind, 1981] is hiervoor een optie);

touch screens invoeren: de operator lcan handelingen uitvoeren door beeldschermen aan Ice

raken;

een pratende interface ontwikkelen, die nnondelinge"' adviezen geeft naar aanleiding van vragen van de operator [Sato et al., 1988].

d Het aantat 'displays en mimics optimaliseren

Het aantal displays en mimics, dat op die displays getoond kan worden, moet beperkt gehouden worden: zoelctijden 'blijven dan beperlct, er is minder kans op het niet opvragen van belangrijke mimics of het opvragen van verkeerde mimics [Moray, 1981; 1Cruij,t, 1988]. Uiteraard moet niet te veel informatie per mimic gepresenteerd worden; er is een ondergrens aan het aantal mimics.

Van belang voor een operator is ten actueel overzicht van de toestand van het systeem. In oudere installaties bood' het scannen van de vele indicatielampjes _{van de verschillende systemen dat} overzicht. In moderne systemen met een klein aantal displays is het verkrijgen van dat overzicht vaak moeilijk. Dit probleem Ian voorkomen worden door een regellcamer in een hybride vorm te

on twerpen :

een relatief groot scherm of paned waarop, voldoende statusinformatie van alle

deelsyste-men beschikbaar is om de toestand van het systeem te bepalen;

ten aantal kleinere displays, die bijvoorbeeld bij diagnose gebruikt kunnen worden om op

een, lager abstractieniveau naar subsystemen te ldjken.

4.3 Automatische diagnose systemen

Meer geav an c eerd dan de hulpmiddelen in 4.2 zijn op kennis gebaseerde ,systemen, die SW een diagnose kunnen stellen,. Hieronder vallen expert systemen (4.3.1) _{en modelgebaseerde systemen} (4.3.2). Expert systemen gebruiken shallow knowledge, kennis van een, expert van de verbanden tussen symptomen en storingen. Modelgebaseerde systemen bevatten deep knowledge, _een

(corn-pleet),dynamisch model.

.H011nagel [1989b] geeft de volgende omschrijving _{van op kennis gebaseerde systemen: 'Intelligent}

computer programs which are able to facilitate the mental work of the human being by providing

decision support and consultation based on the conclusions drawn from stored knowledge

_...

ze geen betere diagnoses kunnen stellen dan de mensen die de kennis voor de systemen hebben geleverd. De systemen vertonen zelf geen .knowledge-based behavior en kunnen niet voorziene

De belangrijkste taken voor automatische diagnose systemen zijn [Gallanti en Guida, 1986]; identificeren van mogelijke abnormale situaties;

diagnostiseren van storingen;

adviezen geven voor compensatie en correctie; trainen van (onervaren) operators.

Enerzijds redeneren automatische diagnose systemen betrouwbaarder dan mensen (geen cognitive tunnel vision, geen onsamenhangende sprongen in het redeneerproces) en hebben ze geen last van verzwakte aandacht of stress. Anderzijds moet een aantal kritische vragen voor implementatie van

een automatisch diagnose systeem nadrukkelijk overwogen worden [Hollnagel, 19894

Hoe weet de operator of het gegeven advies correct (goede advies) en accuraat (juiste mate

van actie) is?

Hoe weet de operator of de ingebrachte deep of shallow knowledge compleet is? Heeft de operator voldoende vertrouwen in het systeem?

(Onder)kent de operator de beperlcingen, de boven- en de ondergrens van de expertise, van het systeem?

Is

het systeem robuust? Geeft het nog goed advies bij

ruisvormige, onzinnige, onnauwkeurige of onvolledige data? Komt het advies op tijd?

Zijn adviezen onder verschillende bedrijfstoestanden even waardevol? Mag het systeem ingrijpen of alleen adviseren?

4.3.1 Expert systemen

Expert systemen geven adviezen gebaseerd op de regels die experts en/of ervaren operators

gebruiken bij het oplossen van een probleem. Een expert systeem bevat in ieder geval een

data-base, die de initieel bekende feiten bevat, een ruledata-base, waarin regels zijn opgeslagen en een

inferentie mechanisme, dat de wijze van gebruik van de data- en rulebase bepaalt.

De regels in de rulebase bevatten de bij de expert bekende verbanden tussen symptomen en

storingen. Expert systemen passen regels toe op feiten, vaak in de volgende vorm: IF <situatie>

of <symptoom> THEN <conclusie> of <actie>.

Expert systemen worden inmiddels ze,er ruim toegepast. Enkele voorbeelden van toepassingen zijn [Gallanti, Guida, 1986]:

aangeven hoe bij verschillende storingen in een kerncentrale nog koeling kan plaatsvinden;

aangeven op welke wijze kritieke functies (bijvoorbeeld veiligheid) op voldoende nh eau

gehandhaafd kunnen worden;

Er is een verschuiving zichtbaar naar meer geavanceerde expert systemen, bijvoorbeeld black-board-systemen, die behalve van shallow ook van deep knowledge gebruik (beginnen te) maken.

Het onderscheid tussen expert systemen en modelgebaseerde systemen wordt daarmee vager.

Toe-passingen van geavanceerde expert systemen bij supervisie van gecompliceerde regelingen en bij

ondersteuning van de mens bij foutdiagnose, waarbij real-time geraleneerd wordt en waarbij

dynamische verschijnselen invloed hebben op de redenatie, zijn te verwachten [Verbruggen, 1992].

4.3.2 Modelgebaseerde systemen

Bij modelgebaseerde systemen is deep knowledge van het te bewalcen of te bedienen systeem

aanwezig. Op grond van dat dynamische model geeft de computer adviezen aan de operator. Het aantal methoden om het diagnoseproces van de operator met een model te ondersteunen is zeer

groot. Hieronder wordt een beperkt aantal modelgebaseerde ondersteuningen beschreven.

a Alannen analyseren

Door het analyseren van alarmen kan aan de operator getoond worden welke alarmen het belang-rijkst zijn, welke afhankelijkheid tussen alarmen bestaat en wat de vermoedelijke oorzaak _van

alarmen is. Bos en Van Gemund [1989] noemen behalve de relatief eenvoudige alarm handling (zie 4.2.1) twee meer geavanceerde methoden, waarvoor een model van het systeem nodig is.

Alarm analysis: _{met behulp van de beschikbare alarm informatie wordt een initiele} verstoring, die de lawine van storingen oproept, geidentificeerd. De operator weet dan

welke alarmen een gevolg zijn van een eerder opgetreden alarm.

Disturbance analysis: alle beschikbare informatie, dus niet alleen de alarm informatie,

wordt gebruikt om een uitspraak te doen over de oornak van de alarmen.

b Kwalitatief model gebruiken [Yoon, Hammer, 1988]

Yoon en Hammer evalueren een ondersteuning, waarbij gebruik wordt gemaakt 'van ten relatief eenvoudig lcwalitatief model. De computer voert ten behoeve van diagnose berekeningen uit en

verlicht daarmee de mentale belasting voor de operator. De ondersteuning biedt cre _volgende

mogelijkheden:

voorspellen van normaal systeemgedrag, uitgaand van het normaal functioneren van alle

componenten;

bepalen van werkelijk systeemgedrag door gebruikmaking van sensorinformatie;

vergelijken van normaal en werkelijk systeemgedrag, waarbij de verschillen worden

vermeld, inclusief de bijbehorende sensorinformatie;

vergelijken van normaal en gehypothetiseerd systeemgedrag, waarbij de verschillen worden

vermeld, inclusief de bijbehorende sensorinformatie (de hypothese moet door de operator

gegenereerd zijn).

De .eerste mogelijkheid verslechtert de prestaties van operators bij diagnose van niet voorziene stonngen (mogelijk leidt het de operator te veel af), de tweede en de derde mogelijkheid verbete-ren de prestaties duidelijk (de gepresenteerde informatie beperkt de grootte van de verzameling

mogelijke hypotheses) en de vierde mogelijkheid beinvloedt de prestaties nauwelijks (waarschijnlijk

voegt dit hulpmiddel weinig toe aan de capaciteiten van de operator). De operator moet een goede

interne representatie bezitten, want hij moet zelf de hypotheses genereren.

c Real-time model implementeren [Sheridan, 1981]

Een model van het systeem loopt real-time mee met het proces. Afwijkingen tussen model en

werkelijkheid (boven een bepaalde drempelwaarde) worden aan de operator gepresenteerd. Tevens

kunnen verschijnselen, zoals van normaal afwijkende covarianties van twee variabelen, getoond

worden. Hiermee kan de operator zijn interne representatie verbeteren.

d Fast-time model implementeren

Vaker toegepast dan een real-time model wordt een fast-time model [Sheridan, 1981]. Meestal is

een vereenvoudigd model nodig om het proces fast-time te kunnen doorrekenen. Het model

berekent de gevolgen van handelingen van de operator (me,estal bij normaal bedrijf) of rekent een door de operator gegenereerde hypothese door bij een storing [Rasmussen, 1981]. Vaak zal een operator een hypothese zelf doorrekenen of toetsen door "proberen", maar in een kerncentrale bijvoorbeeld kan het toetsen van een hypothese te gevaarlijk, te tijdrovend of mentaal te

inspan-nend zijn.

Op een predictive display [Stassen, 1992] kunnen de resultaten van de berekening aan de operator getoond worden. Hij kan de getoonde informatie gebruiken om zijn handelingen of prognoses aan te passen of juist niet aan te passen en zijn interne representatie te optimaliseren. Vooral bij niet-lineaire systemen met grote tijdconstantes heeft de operator moeite met het voorspellen van de

gevolgen van zijn handelingen en kan een predictive display een good hulpmiddel zijn, zowel voor stabielere regeling tijdens normaal bedrijf [Bos et al., 1992] als voor acties bij diagnose. Predictive

displays kunnen onder bepaalde omstandigheden de belasting voor de operator verminderen

[Moray, 1981], hoewel dat niet gepaard hoeft te gaan met een betere prestatie [Stassen, 1992].

e Adviezen baseren op toestand- en/of parameterschatten

In veel systemen worden uitgangssignalen gepresenteerd. Afwijldngen in een uitgangsvariahele

worden veelal gecompenseerd door een regeling.

Door schatten van toestandsvariabelen en/of parameters, die kunnen veranderen lang voordat de eerste uitgangsvariabele in alarm komt, kan detectie sneller gebeuren [Isermann, 1989]. Tevens kunnen vrij nauwkeurige adviezen worden gegeven over mogelijke oorzaken op grond van de