适当的自动化:控制系统的人类系统动力学

将一个基本的控制问题提炼成它的逻辑本质，可以揭示什么是不能自动化的。简言之，答案就是归纳法。虽然可以通过适当的自动化来促进归纳，但它(目前)还不能自动化。

自动化与过程控制有什么关系

过程控制通常被解释为包括用于将特定工业过程的输出维持在所需范围内的体系结构和算法。在这种情况下，自动化涉及机器内部控制过程的实现。检查大型复杂过程的控制理论可以确定在过程控制应用中哪些不能自动化。规范模型可以应用于过程控制系统的任何有用的抽象级别。“正确性”的问题可以说明为什么这种方法是必要的。

美国空军著名实验心理学家保罗·菲茨(Paul Fitts)在1953年说，人类比机器更擅长归纳，机器更擅长演绎。事实上，机器可以推断出人类周围的圆圈。另一方面，人类可以在机器周围诱导圆圈，而机器根本不能诱导(至少现在还不能)。著名战斗机飞行员约翰·博伊德(John Boyd)在1975年提出OODA循环时也表达了同样的观点。OODA代表观察、定位、决定和行动[它非常接近控制回路:感知、决定、驱动]。物理学家大卫·多伊奇在他最近的一篇文章中重新引发了讨论永旺杂志．因此，也许在控制系统工程过程中需要解决的最基本的问题是:

• 在控制问题中演绎和归纳法在哪里?
• 如何利用机器的推理能力来促进人类的归纳?

混合智能的概念可以为复杂的人机系统提供一个视角，旨在明确地解决这些问题，尽管这里的含义与计算机科学中使用的术语不同。

人类系统集成

在大型复杂系统中，例如国家基础设施和国防系统，人为因素占系统生命周期成本的一半以上(GAO报告，2003年)，并且这些成本正在增加。然而，尽管人-系统集成(HSI)是系统工程中越来越重要的组成部分，但很少有系统工程师在学术培训中接触到人-系统集成问题。

国际系统工程委员会(INCOSE)将系统工程定义为“能够实现成功系统的跨学科方法和手段”。成功的系统必须满足其[sic]客户、用户和其他利益相关者的需求……系统工程师经常服务于引出并将客户需求转化为系统开发团队可以实现的规范……并支持从概念设计早期开始的一组生命周期过程，并在系统的整个生命周期中通过其制造、部署、使用和处置继续进行”(Haskins, 2011)。

如果有人在《心理学101》上睡着了，这里有一个缺失的部分:不存在完全自动化的系统。所有的系统都是为人类服务的，它们都有一个人机界面。在过程控制的每个定义中，您都会发现术语“限制”或其同义词。极限从何而来?它源于过程控制系统的预期目的。

这种目的和人与系统的接口通常是隐式的和未指定的，但它们对任何过程控制系统的成功都是至关重要的，即使是那些很少与实际人员接触的过程控制系统。

基础认知研究对控制工程的未来具有有趣的(甚至是令人不安的)影响，这些影响直到最近才开始被认识到(参见Helbing, 2013)。

考虑一个典型的过程控制问题:国家电网基础设施。智能电网是美国政府的一项计划，旨在激励电网控制基础设施从主要的机电设备转换为所谓的智能系统，智能系统是软件控制的组件，旨在保护国家网络的组件。这些新组件能够相互通信，并与主要控制中心的监控和数据采集(SCADA)系统及其操作人员进行通信。

事实上，新兴的智能电网系统可能比它将要取代的过时的机电系统更容易受到灾难性故障的影响。这项研究的两个结论有助于说明这一点:

1.智能电网不会按照物理定律运行。旧栅格的行为在很大程度上符合基尔霍夫和欧姆(既定的物理)定律。相比之下，智能电网不会按照既定的物理定律运行。相反，它将表现出很大程度上未知的动力学特性。它的失效模式将遵循(迄今未知的)逻辑结构，而不受物理结构的约束。

2.当它失败时，智能电网将以光速内爆。由于机电设备检测环境和对环境作出反应所需的时间有限，旧电网的故障估计以每秒300英里的速度传播。这通常为SCADA操作员提供了足够的时间来识别、诊断和反应，以控制停电并最大限度地减少对电网的损害。智能电网的故障将以接近光速的速度在一个很大程度上随机的逻辑网络中传播，成为其他系统逻辑连接而不是物理连接的操作环境的一部分。

复杂的系统、设计

2013年2月4日，在新奥尔良超级圆顶体育场发生的臭名昭著的熄灯事件中，我们可以窥见智能电网灾难性故障的前景(Palmer, 2013)。故障发生在Superdome新翻新和升级的配电系统中，其中“设计缺陷”被确定为近端原因，该设备自“20世纪90年代初”以来一直在生产和使用。控制组件显然被配置为文档中指定的功能，并且似乎没有常规的人为操作错误。这个“设计缺陷”没有记录，并且在所有安装在那里的类似设备中都观察到了。

简而言之，新系统完全按照人们的期望运行，灯熄灭了。这是人为因素专家所说的潜在人为错误的一个例子:在所有其他错误来源被消除后，系统中的错误仍然存在。事实证明，错误是被设计进系统的。在操作人员不能充分理解系统的动态特性的情况下，潜在的人为错误就会出现，通常是因为系统的设计者甚至不能理解这些动态特性。

复杂系统中的涌现并不是一个新现象。它以多种方式暴露出来，但最具挑战性的一种是潜在的人为错误。例如，HSI专家讨论了由设计引起的人为错误——由于系统的某些属性直到人类在自然(或模拟)的现实环境中与系统交互后才变得明显而发生的错误。

潜在的人为错误是紧急属性的例子，即组件及其环境之间的意外交互(行为)。认知是一种涌现的属性。

基于模型的系统工程

实际上，智能电网和目前正在开发的其他复杂电网代表了一种新的认知系统，这种系统的设计原则很少。基于模型的系统工程(MBSE)是INCOSE的一项倡议，它确实是我们识别和预测正在构建的大规模基础设施系统行为的最大希望。

MBSE是唯一适合当前问题的方法。目前还没有数学模型和统计数据来预测这些新的认知系统的行为。由相互作用产生的系统的涌现特性只能通过某种动态生成来观察和分析。

MBSE并不新鲜。有许多研究和测试系统，其中一些如图1所示，被用于研究这些问题的研究项目(Smullen和Harris, 1988;Jones, Plott, Jones, Olthoff, and Harris, 2011)。但是这种方法还没有广泛应用于下一代智能电网基础设施组件的设计和开发中。

MBSE:预测性限制

最近的研究(Aleo, Martinez, and Valverde, 2013, Doyle and Csete, 2011)提出了一个可怕的问题，即即使是最大最好的计算机模型也存在限制预测行为能力的根本缺陷。几个实验室的研究(参见Mortveit和Reidys, 2008)表明，即使是非常简单的网络也可以表现出不相交的相空间。分析和预测简单系统行为的数学还不存在，更不用说大型复杂系统了。

换句话说，做到这一点的唯一方法是生成动态并观察会发生什么。更优雅的是，模拟和测试人类认知系统。

回到基础:IO

图2a描述了一个简单的控制系统架构。它有输入(S)和输出(R)，仅此而已。早期实验心理学家(非常早，19世纪早期)发明了图2a中的概念，作为思考人类和动物行为的一种方式。他们开始对输入(刺激)和输出(反应)之间的关系模式进行分类，这后来被称为S-R心理学学派，也被称为行为主义。

图2a中的系统响应来自其环境的信息并对该环境进行操作。它是一个简单的闭环控制过程的组成部分。然而，对这一过程的进一步研究表明，它比看起来要复杂得多。在20世纪30年代，研究人员开始争论在S和r之间一定存在某种转换过程。这个新的心理学学派把中间的过程称为“有机”过程(因此是“O”)，如图2b所示。多年来，关于S-R或S-O-R到底是正确的模式，一直存在着激烈的争论，但随着数字计算机的出现以及它作为研究行为的隐喻的兴起，这种争论基本上消失了。认知功能的计算机模型中体现的S- o -R研究视角最终推动了认知科学的出现，认知科学断言，在一个复杂系统中，S和R之间一定发生了一些有趣的事情。这个有趣的过程就是归纳法。

“解决”归纳问题有两个标准，它们都假定解可以生成并被识别:

1. 找到的解可以通过演绎检验来证实吗?
2. 找到的解决方案对解决问题的人有用吗?

第一个准则对数学归纳法至关重要。生成一个解决方案(通常通过猜测)，然后通过演绎来测试解决方案。第二个标准是现实世界归纳法的本质。生成解决方案(通过猜测、运气、天才等)，并通过现实世界中的交互进行测试。正是这两个标准之间的混淆导致许多人尝试不适当的自动化;也就是说，用电脑做一些它们做不到的事情。所谓的专家系统的历史充斥着研究的成功，实际上是现实世界的失败(参见Harris and Helander, 1984;哈里斯和欧文斯，1986)。

固有归纳问题的例子有:任何形式的诊断(医疗、机械、财务、法医或软件故障);传感器融合与目标识别;任何行动选择(因为它必须以目标为指导);几乎任何需要创造力、发明或综合新方法的事情，或者与实现目标有关的事情。

另一方面，演绎是从一般到特殊的推理过程。推理可以自动完成。事实上，在自动化领域，计算是演绎的真正体现。

无感应自动化

虽然每个演绎问题都有一个封闭的解，但归纳问题没有封闭的解。对于一个非平凡的归纳问题，没有所谓的“正确”答案，因为所有的观察者都会从相同的证据中计算出相同的答案。结果的好坏取决于归纳的目的和结果的效用。如果归纳过程能有效地实现其目的，那么归纳过程的结果就是好的。它取决于嵌入感应过程的控制系统的意向性。意向性，就其本质而言，是不能被观察到的;它只能推断出来;也就是说，诱导。这就是归纳本身不能自动化的原因。

意向性在过程控制的上下文中引入了一个混乱的术语“正确性”。Denman(2013)和相关工作(cf Goodloe and Muñoz, 2013)寻求利用自动定理证明技术来建立非多项式动力系统模型的正确性。在与他们的工作相关的术语中，意向性是系统模型中的一个额外术语，它对系统行为具有不确定的影响，并且，正如我们上面讨论的那样，它不能被观察到。因此，系统方程不能以去除意向性项的方式进行化简。复杂的动力系统可以并且将会进入不相交的相空间(Mortveit et al.， 2008)。

在现实世界的过程控制应用中，人的意向性作为一个量子参数，可以改变系统的相空间。这意味着:任何有人类的系统既不能被证明是正确的，也不能被确定地计算出来。因为人们无法知道现实世界的过程控制系统模型是否“正确”，所以唯一的办法就是构建它(或替代它)，并迭代设计，直到它看起来像您想要的那样。因此，需要MBSE。

工程过程控制系统

不存在完全自动化的系统。人机界面是过程控制的基础。大多数系统开发工作集中在接口的两个方面:

1. 试图自动化大部分/所有复杂的功能，和/或
2. 关注界面的“模式”(视觉显示格式、语音控制、脑电波等)。

关键是确定不能自动化的部分(即感应部分)，“编程”人类来完成该部分，并编程您的机器来支持它们。通常的方法是另一种方式:尽可能地自动化，然后编程人类来填补空白。这是过时和错误的“手动重写”的想法。INCOSE认识到这个难题，以及恒生指数失败的巨大代价。非营利组织已经建立了一个HSI工作组，在系统工程手册中包含了一个关于HSI的部分，并且正在计划一个“核心会议”，讨论转换系统工程来解决这个问题的必要性。

适当自动化的混合

需要一种方法来指导过程控制工程，以寻求适当的自动化。有时候，洞察力可能来自意想不到的地方。心理学的早期研究可能在这方面有所帮助。

图3描述了一个闭环控制系统的模型，它体现了所讨论的第一原则。图3中的想法不是全新的，也不是纯理论的。虽然它包含了Newell和Simon(1975)提出的搜索等思想，作为智力的必要条件，但该图的早期版本已被用作军事和商业传感器管理系统的参考设计，并且在人为因素和HSI研究文献中有大量类似的模型。(参见Harris, Ballard, Girard and Gluckman, 1993;Wickens and Carswell, 2004)。

请注意，“人”、“软件”和“硬件”这些词没有出现在图中。该架构可以应用于任何智能控制系统，无论是纯硅基，混合硅-有机基，甚至纯有机。如图3所示组织的系统，包括人和机器组件，作为一个系统显示的功能和限制并不明显，甚至可能不单独存在于任何一个组件中，因为它们是紧急的。因此，这样的系统是混合智能系统。这样的系统通常可以“解决”感应问题。

这个处理器是典型的，因为它包含了能够智能行为的实时闭环控制系统的基本组件;然而，它没有指定流程是如何实现的。作为一个简单的经验法则，至少在可预见的未来，归纳权威应该是人类，而演绎引擎应该是机器，但这些功能的分配可能会改变。

例如，IBM的沃森系统可能具有归纳能力(Fan, Ferrucci, Gondek and Kalyanpur, 2010)。沃森是新兴一代机器智能系统中的第一个，旨在在现实环境中运行以解决现实问题。然而，这种智能机器不能以完全自动化的方式运行。他们对解决感应问题的建议只是人类控制当局的又一个信息来源。沃森被设计成团队成员，而不是最终决策者。这些机器必须以连贯的方式与人类认知相结合，以增强和提高人类的认知表现。因此，随着沃森的出现，需要将人类和机器智能整合成一个有凝聚力的整体的新原则。我们相信，对归纳法和人类认知基础的理解的提高将对下一代控制工程做出重大贡献。

什么是不能自动化的?从控制工程第一性原理的角度来看，至少有一个答案是:感应不能自动化，至少现在还不能。不理解这个答案的含义可能是灾难性的。新技术——ibm的沃森是其先驱——可能会迫使我们在不久的将来重新审视这一原则。

- Steven D. Harris是Rational有限责任公司的总裁。Jennifer McGovern Narkevicius博士是Jenius有限责任公司的常务董事和INCOSE人类系统集成工作组的联合主席。编辑:马克T.霍斯克，内容经理，CFE媒体，控制工程，mhoske@cfemedia.com．

关键概念

• 在这种情况下，自动化涉及机器内部控制过程的实现。
• 即使是闭环控制，人类也参与其中。
• 在过程控制中还没有电感逻辑器件。

考虑一下这个

当计算能力和编程能力允许基于机器的归纳推理与闭环控制时，将会有什么样的效率?

在线

www.incose.org

这是预定在2014年3月同一标题下发表的一篇文章的全文控制工程印刷版和数字版。请参阅下面标记的相关文章。

参考文献

Aledo, j.a.， Martinez, S.和Valverde, J.C.(2013)。独立局部函数上的并行离散动力系统。计算与应用数学学报，237,pp. 335-339。Boy, G.A.(2013)。协调以人为本的设计。伦敦:斯普林格出版社。

Boyd, J.R.(1975)。毁灭和创造。未发表的讲义，1976年。

Becker, B. Greenberg, r.j.， Haimovich, a.m.， Parisi, M.和Harris, S. (1991) F-14传感器融合和集成模式需求，1991年联合服务数据融合研讨会技术会议，629-647页，Laurel, MD:约翰霍普金斯大学APL实验室。

邓曼，W.(2013)。MetiTarski与动力系统的验证。7月8日在国家航空航天研究所/兰利研究中心的演讲。

Doyle, j.c.和Csete, M.架构，约束和行为。PNAS, vol. 108, 13 Sep 2011, pp. 15624-15630。

Fan, J.， Ferrucci, D.， Gondek, D.和Kalyanpur, a .棱镜:从大规模词汇化关系资源中诱导知识。NAACL HLT 1020第一届阅读学习的形式主义和方法论国际研讨会论文集。洛杉矶:计算语言学协会，2010,pp. 122-127。

费茨,点一个有效的空中导航和交通管制系统的人类工程学。华盛顿特区。国家研究委员会，1951年。

Goodloe, A.和Muñoz, C.(2013)。远程操作飞机通信协议的组成验证，计算机编程科学，卷78，第7期，第813-827页。

政府会计署(2003)。军事人员:优化船员规模和降低总拥有成本所需的海军行动，GAO-03-520。华盛顿特区。

Harris, s.d.和Helander, M.G.《真实系统中的机器智能:一些人体工程学问题》。在G. Salvendy(编)，第一届人机交互国际会议论文集，阿姆斯特丹:爱思唯尔，1984。

Harris, s.d.和Owens, J.M.:限制机器智能在军事系统应用中的有效性的一些关键因素。计算机教学学报，1986，第13-2页，30-33页。

Harris, s.d.， Ballard, L.， Girard, R.和Gluckman, J.(1993)。传感器融合和态势评估:未来的F/A-18。在李维斯A.和李维斯，i.s.(编辑)，指挥与控制科学:第三部分应对变化。费尔法克斯，弗吉尼亚州:AFCEA国际出版社。

哈斯金斯(2011)。INCOSE系统工程手册v. 3.2。圣地亚哥，加州:国际系统工程委员会。

《全球网络化风险及其应对方法》。自然，497,pp. 51-59, 2013年5月2日。

Jones, M.， Plott, C.， Jones, M.， Olthoff, T.和Harris, S.驾驶室技术集成实验室:用于人为因素研究的机车模拟器。人因与工效学学会第54届年会论文集。人因与工效学学会，2010年10月27日。

Mortveit, H.和Reidys, C.(2008)。序贯动力系统导论。纽约:斯普林格出版社，2008。

Newell, A, Simon, H.A.计算机科学作为实证探究:符号与搜索。美国计算机学会通讯，19(3)，第113-126页，1976。

帕默，j。a。超级穹顶部分停电。为Entergy New Orleans, Inc.， SMG, Louisiana Stadium and Exposition District准备的报告。Louisville, KY: Palmer Engineering and Forensics, 2013年3月21日。

Reason, J.(1990)。《人为错误》，剑桥:剑桥大学出版社。

Smullen, r.r.和Harris, s.d.，“空战环境测试和评估设施(ACETEF)”。北大西洋公约组织航空航天研究与发展咨询小组(AGARD)会议论文集(第452号，“飞行试验技术”)。1988年10月17-20日，加利福尼亚州爱德华兹空军基地，飞行力学小组研讨会上发表的论文。

托尔曼和布伦斯维克(1935)。有机体与环境的因果结构。《心理学评论》，42页，第43-77页。

威肯斯，c.d.和卡斯韦尔，c.m.(2007)。人类信息处理。参见萨文迪主编，《人的因素手册》。纽约:约翰·威利父子公司。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。