Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
系统理论过程分析(STPA)在人机交互评估中的推荐实践
安全关键系统中的人机交互(HMI)设计直接关系到整体系统安全。传统的分析方法往往将人视为外部因素,忽略了其在控制回路中的认知过程。SAE J3187-1-2023 提供了基于系统理论过程分析(STPA)的推荐实践,专门针对HMI评估,帮助工程团队系统性地识别不安全控制行动(UCA)及其背后的因果场景。本文将提炼该标准的核心方法,包括人机扩展表示(HER)、建模技巧以及常见误区,并提供可直接使用的设计洞察。
一、人机交互的STPA建模方法 🔍
在STPA中,控制结构是分析的基础。对于HMI,必须将人类操作员(如驾驶员)作为控制器嵌入控制回路,并显式建模其内部认知过程。标准推荐的人机扩展表示(HER)方法将人的行为分解为情境评估、行动选择与响应评估三个子过程,每个子过程又包含动态的心智模型(Mental Model)和反馈更新。
| HER子过程 | STPA映射 | 分析问题示例 |
|---|---|---|
| 情境评估 | 理解当前系统状态 | 驾驶员是否准确感知了车速与挡位? |
| 行动选择 | 决定控制动作 | 在何种条件下驾驶员会按下驻车按钮? |
| 响应评估 | 验证动作效果 | 仪表盘反馈是否被正确解读? |
🛠️ 建模要点:确保人机界面提供足够、及时且无歧义的反馈,以支撑心智模型更新。应使用HER逐步推导出可能导致不安全控制行动的信息缺失或误解。
二、不安全控制行动分析与反馈设计 ⚠️
HMI相关的UCA不仅包括有意或误操作,还涵盖意外交互(如误触)与操作错误(如模式混淆)。标准强调,必须分析控制系统与人类控制器之间的反馈回路是否完整。以下步骤可指导分析:
- 明确系统范围:包含所有可能影响人类决策的输入(如警报、HMI显示)及输出(如启用自动化功能)。
- 定义UCA:从“未提供”“提供了不该给的”“错误时间/顺序”“持续时间/幅度不当”四个角度审视每个控制动作。
- 构建因果场景:结合人因工程专家的知识,识别导致UCA的具体路径,如仪表布局不合理、触控反馈延迟等。
常见误区:仅关注“用户错误”而忽视系统诱因。实际项目中大量UCA源于糟糕的HMI设计,而非操作者本身。
三、常见错误与工程问答
基于多个项目经验,标准提炼了以下高频问题与解决建议:
FAQ 1:如何平衡模型复杂度与分析效率?
答:使用HER进行分层抽象。先建立高层次控制结构,再选择关键交互场景深入扩展,避免过早陷入细节。
FAQ 2:如何确保因果场景覆盖真实人类行为?
答:尽早邀请行为科学专家参与,利用驾驶模拟、人因实验数据辅助识别,而非仅依赖通用错误列表。
FAQ 3:反馈设计的首要原则是什么?
答:反馈必须支持人类心智模型的更新。例如,自动驻车功能激活后,应通过视觉、触觉或听觉信号明确告知驾驶员,消除“车到底停了吗?”的疑问。
通过遵循SAE J3187-1-2023的推荐实践,工程团队能够在系统早期阶段识别并缓解由HMI引发的安全隐患。将人机交互视为系统控制回路的核心组件,而非“外界因素”,是迈向更安全自动化系统的重要一步。
