電腦控制系統中模式混淆之偵測

全文

(1)電腦控制系統中模式混淆之偵測 Mode-Confusion Detection for Computer Controlled Systems 江坤達. 曾婉惠. 范金鳳. Kun-Da Chiang Wan-Hui Tseng Chin-Feng Fan 元智大學資訊工程研究所 Computer Science and Engineering Department, Yuan-Ze University csfanc@saturn.yzu.edu.tw 摘要. mode confusion caused by a mismatch between the. 人機界面互動上的錯誤引發之意外. operator’ s mental mode and the system’ s working. 事件佔整個電腦相關致命意外的比率極. mode is a critical issue.. 大 [7]，因此如何避免操作員心理模式和. This research designed methods to detect. 系統工作模式的不對稱所產生的模式混. potential mode confusion. To reduce the probability. 淆 (mode confusion) 是電腦控制系統設計. of the mode confusion, statechart diagrams were used. 中的關鍵議題。. to construct the system mode in the design stage. Next,. 為降低發生模式混淆的機率，本研究. rule-based tables were established. The tables. 在系統設計階段利用狀態圖 (statechart). expressed the automatic system’ s action and the. 建構整體系統的模式，接著制訂條列式規. ope r a t or ’ s control by common sense. Though the. 則表 (rule based table)，分別表達自動化. comparison, the unfamiliar and error-prone operations. 系統應有的動作，以及操作員依據常識判. of the operator can be identified. Defects of the. 斷而對系統做出的反應動作。藉由兩者的. human-computer interface design can then be. 比對找出操作員對系統不熟悉、易出錯的. improved.. 地方，進而改善人機界面設計上的缺失。. Besides, at run-time we added a mode-. 除此之外，在執行階段我們加入模式混淆. confusion detection module to first record the. 偵測模組 (mode. operator’ s commands, and then infer the ope r a t or ’ s. confusion. detection. mod ule) 收集操作員的操作動作，用以推. current working model to compare it with the current. 論操作員認知的系統模式並比對目前系. system working mode. A real-time alert will be issued. 統的工作模式，以偵測可能的混淆狀況，. if there exists a mismatch.. 才可即時提供操作員重要的警訊，以避免. by mode confusion can be prevented.. Thus, accidents induced. 因模式混淆可能造成的重大意外。 Keyword: 關鍵詞：模式混淆偵測、狀態圖、電腦控. mode. confusion. detection,. statechart, co mp uter control syste m.. 制系統。. 1. 簡介. Abstract McKenzie [7], 92% of. 電腦已經成為現今人們生活中不可. computer-related accidental deaths were due to. 缺少的一部份。其中與大眾的生命安全與. human–computer interaction errors. How to prevent. 財產相關的電腦系統，例如交通、核能、. According. to. 1.

(2) 太空與醫療等系統，通稱為安全關鍵性計. 組資料庫，來預測操作員內心認為的系統. 算. co mputing. 模式，並比較是否與系統目前的模式相. systems)。安全關鍵性軟體與一般商用軟. 左，可即時給予操作員相關的警訊，進而. 體最大的不同在於安全關鍵性軟體與大. 避免因模式混淆所造成的重大意外事件。. 系. 統. (safety. critical. 眾的生命安全、財產有密切的關係，當軟. 第二章為相關的背景研究，第三章. 體發生意外時，將造成的嚴重後果。通常. 說明我們的方法論，在第四章我們以鍋爐. 此類型的系統多數為複合式系統 (hybrid. 系統作為個案的研究與分析，最後提出簡. syste m) 包含硬體、自動化電腦控制系統. 單的結論。. 與操作人員三部份。. 2. 研究背景. 現行的自動化系統控制改變了傳統人為控制的角色。人機界面的不良設計可. 2.1 模式混淆( mo d e c o n f u s i o n ). 能引發操作員對硬體系統及自動化系統. 當操作員對系統現行的模式不清楚. 執行狀態的誤解，此種誤解稱作模式混淆. 時，稱為模式混淆( m o d e c o n f u s i o n ) 。操作. ( mode confusion)[4][5][6][9] 。模式混淆. 員常因知識不足或對現狀錯誤的認知引. 是造成航空事故的主因之一。例如飛機處. 發系統的意外。 Leveson[3][4][5][8] 將安. 於自動航行模式時，機長卻認為飛機處於. 全關鍵系統中設計缺失所造成的潛在模. 手動模式，如此的模式混淆極有可能造成. 式混淆，分為六類，分述如下：. 飛機失控而導致意外。因此若能偵測及消. . 界面解讀錯誤 (Interface Interpretation. 除潛在的模式混淆，將可大幅減少不必要. Errors)：系統對使用者輸入的值產生. 的人為損害，提高安全關鍵性軟體的可靠. 誤解並給予錯誤的輸出值，因而造成. 度及保障大眾的生命安全。故本研究發展. 錯誤。. 了一套複合式系統人機介面模式混淆偵. . 不一致行為 (Inconsistent Behavior) ：. 測的方法。我們的方法不僅能夠在早期系. 當系統中存在不一致的行為，使得相. 統開發階段，偵測出可能造成模式混淆的. 同的輸入卻造成不同的行為結果。. 設計，亦能夠在執行階段 (run time ) 即時. . 偵測到模式混淆的發生。. 間接模式改變 (Indirect. Mode. Changes) ：系統沒有收到操作員明確. 在設計階段，我們以狀態圖和條列. 的指令卻自動轉換模式時，則稱為間. 式規則表的方式，分別表達自動化系統應. 接模式改變，通常這樣的模式轉換會. 有的動作以及操作員依據常識判斷而對. 造成意外事故的發生。. 系統做出的反應動作，藉由兩者的比對找. . 非預期的副作用 (Unintended. Side. 出操作員對系統不熟悉、易出錯的操作方. E f f e c t s )：某些操作行為可能引發操作. 式或是系統訊息可能表達不清楚的地. 員未知的額外效應（副作用），意外因. 方，我們可根據得到的結果進一步加強、. 而產生。. 改善系統人機界面的設計，以達到降低模. . 式混淆發生的機率。. Feedback)：系統回饋的資訊不完整而. 在執行階段，我們在系統中加入模式混淆偵測模組 (mode. 缺少合適回饋 (Lack of Appropriate. 造成操作員對操作模式混淆，進而引發錯誤。. confusion. detection module)，藉由擷取操作員的反. . 應動作與模組內儲存的模式混淆偵測模. 操作員權限限制 (Operator Authority L i m i t s )：內鎖 ( i n t e r l o c k ) 等系統保護動. 2.

(3) 作，讓操作員在緊急狀況下，無法得. 一種感應組合值只對應到一種系統模. 到適當權限。. 式，而系統模式則允許有多種的感應組合. 現行模式偵測 (mode detection) 的方. 值，例如「高水位、高壓力、高溫度」就. 法不多，更是未見能自動化的偵測方法。. 是一組感應組合值，將各種組合歸類到系. 本研究發展一套有系統的事前和執行階. 統模式中。其中不同的感應值組合狀態會. 段的模式混淆偵測方法，以改善人機介面. 有其對應的反應動作。. 設計的安全性。. 當建構好系統模式架構圖後，我們以條列式規則表 (rule-based table)依據不. 3. 研究方法. 同的狀態和感應組合值來表示系統的反. 我們的方法包含事前設計階段的分. 應動作以及操作員的反應動作。在規則表. 析及執行時的即時偵測兩大部分，詳述如. 的定義中，表頭的資料表示系統的主要模. 下。. 式（狀態）和感應值組合，接著列出系統反應、硬體設備設定狀態及所對應的操作. 3.1 設計階段的模式混淆偵測方法. 員或自動化系統的反應動作，如表 1 所. 首先我們發展潛在模式混淆偵測的. 示。. 分析方法。第一步驟我們將系統以視覺化. 表 1 條列式規則表. 的方式來建構，在此我們利用狀態圖 (statechart)建構整體系統的模式。接著根據狀態圖中的各種模式，我們依據模式內不同的感應組合值制訂條列式規則表 (rule-based table)，分別表達自動化系統. 當自動化系統反應動作和操作員反. 應有的動作以及操作員依據常識判斷而. 應動作以表格的方式呈現後，第一，可採. 對系統做出的反應動作。藉由兩者的比對. 用人工的方式來比對相同的狀態條件下. 找出人機界面上設計的缺失，以便加強人. 是否擁有相同的操作動作，以找出潛在的. 機界面的互動性。. 模式混淆，第二，若是狀態條件很多，則. 由於狀態圖具有階層式 (hierarchical). 可以將系統模式、量測組合和其他狀況以. 的表達特性，所以我們利用其特性將系統. 代碼表示，並儲存於資料庫中，以便將來. 分成兩層不同角度的狀態圖，第一層為主要模式狀態圖 (Primary. mode. 用於電腦搜尋、排列和比對。其中自動. state. 化系統反應動作可從軟體規格和需求得. diagra m) ，第二層為感應值組合狀態圖. 到。而操作員反應動作主要可根據操作員. (Co mbination of se nsor state diagra ms)。. 對於系統的常識 (commo n se nse) 作為判. 第一層的主要模式狀態圖包含各種. 斷依據。. 正常和異常的狀態模式，表達整體系統的模式。第二層的感應值組合狀態圖表達系. 3.2 執行階段的模式混淆偵測方法. 統的細部狀態。我們將系統每一種感應器. 在人機介面模式混淆的議題中，除了. 的 (sensor)量測數值劃分成數個區段，例. 事前找出可能發生的問題以外，如何在執. 如將量測水位區分成高中低三種水位，並. 行階段也能夠預測或是偵測可能的問題. 依照不同感應器的量測區段來進行組. 也是一項相當重要的課題。所以我們在系. 合，這樣的組合表示系統目前的狀況。每 3.

(4) 統中加入模式混淆偵測模組 (mode. 模式，所以我們必須進一步分析系統的狀. confusion detection module) 來幫助系統. 況條件，來判斷出系統的改變是在哪一狀. 和操作員之間的運作，圖 1 為我們所提出. 態模式中。故我們希望模式混淆偵測模組. 的系統架構圖。. 能夠由操作員動作來推論操作員的內心模式。我們的步驟如下： 1.. 比對已建立的模式混淆偵測模組資料庫，一旦發現模式混淆，則以訊息回應操作員，否則繼續步驟 2~4。. 2.. 把所有的硬體動作組合全部列出，假設系統中有四個硬體設備，每種硬體設備有三種不同的操作，則系統共會有 81 種的動作組合。. 3.. 每種動作組合必定對應一種目的。例如打開給水閥是為了使鍋爐水位上升，而這樣的目的必定對應一個以上. 圖 1. 系統架構圖. 的系統狀態模式。舉例而言，在正常模式可以加水，在低水位模式也可以. 圖 1 中系統的硬體可以藉由電腦自. 加水，所以，不同的動作組合將可對. 動化或操作員來控制，由於系統動作的執. 應到系統不同的模式，因此我們可以. 行會使得系統狀態改變並回饋給電腦，電. 條列出動作組合與對應的系統模式。. 腦再將訊息顯示給操作員，根據不同的訊 4.. 息，操作員便可以判斷下一操作步驟。在. 最後分析感應器得到的訊息值，便可以推論出操作員所認為的模式，若是. 圖中因此我們將模式混淆偵測模組加入. 推論出來的模式與系統的現行模式. 在電腦和操作員之間，一方面收集系統目. 有所差異，則產生警示。. 前的狀況，另一方面擷取操作員控制系統的指令，其中在模組內部的比對方式是藉. 4. 實作案例. 由擷取操作員的指令動作，來推論操作員. 本章中我們將以鍋爐 (steam boiler). 認為系統目前的模式，並加以比對系統目. 的案例來說明我們的方法。. 前的狀況和模式，若是推論的模式和系統目前的模式並不一致，則可能是產生了模. 4.1 案例 :蒸氣鍋爐系統. 式混淆，此時必須即時給予操作員適當警. 4.1.1 系統描述. 訊，避免模式混淆的情況發生。. 針對鍋爐系統硬體和環境 (Physical enviro nme nt)描述 [1][2]：. 由操作員動作推論操作員的認知，可. A . 鍋爐 ( s t e a m - b o i l e r )：鍋爐內定義四個水. 能產生多種推論結果。舉例來說，操作員. 位，包含最高水位 (M2) 、最低水位. 可以在正常水位時，希望水位上升，也可. ( M 1 )、最大正常水位 ( N 2 ) 與最小正常水. 以在低水位時，希望水位上升，因此水位. 位 ( N 1 ) 限制，當鍋爐正常運作時，水位. 上升是我們希望系統完成的動作，而正常. 應處於最大正常與最小正常水位之. 水位和低水位卻是系統兩種不同的狀態. 間，若是水位高於最高水位或是低於 4.

(5) 最低水位時，將會造成意外事故發生。. 急模式。. B. 給水閥 (pump)：提供鍋爐進水控制。 C. 洩水閥 (valve)：提供鍋爐出水控制。 D. 加熱器 (heater)：提供鍋爐爐水加熱。 E. 空氣閥：調節鍋爐內壓力。 F. 蒸氣閥：蒸氣出口。 G. 感應器 (sensor)： . 水位感應器 ( wa t e r - l e v e l s e n s o r, W)：量測鍋爐內水位。. . 溫度感應器 (temperature. s e n s o r,. T)：量測鍋爐水溫度。 . 壓力感應器 ( p r e s s u r e s e n s o r, P ) ：量測鍋爐內壓力，鍋爐內可承受的最大壓力為 P1，最大正常承受壓力為. 圖 2：主要模式狀態圖. P2。. 根據系統中的感應器建立第二層的感應值組合狀態圖 (Combination. 4 . 1 . 2 設計階段的模式混淆偵測. sensor state diagrams)，依照系統三種不. 第一步驟先建構系統主要模式狀態圖. 同感應器所量測出來的不同條件狀態來. (Primar y mode sta te diagra m)，其中鍋爐. 組合鍋爐的狀況，在此我們以系統模式為. 系統包含七個主要模式 ( m o d e )，如圖 2 所. 正常模式下的 “ 壓力正常、溫度 >100 度. 示，分別為： . 與正常水位”為探討的案例。. 測試模式 ( t e s t m o d e )：測試鍋爐內的硬. 我們對系統模式為正常模式，而感應. 體是否正常。 . 組合為 “壓力正常、溫度 > 1 0 0 度與正常水. 啟動鍋爐模式 (start boiler mode)：將. 位 ”的狀態下，由系統的需求規格分析出. 鍋爐注水到一定量，並加熱直到產生. 對應的條列式規則表 (rule-based table)來. 蒸氣。 . 表達自動化系統的操作方式，如表 2 所. 正常模式 (normal mode )：水位和壓力. 示。例如當系統的反應是 “壓力逐漸上. 皆處於正常範圍的標準操作模式。 . 升、溫度快速下降、水位快速上升 ”且硬. 減水模式 (reduce mode) ：當水位低於. 體的狀態為 “給水閥：功率大、加熱器：. 最小正常水位 (N1)時，則必須加水。 . 功率小、蒸氣閥： on 、洩水閥： off 、空. 提升模式 ( e n h a n c e m o d e )：當水位高於. 氣閥： o f f ”時，此時自動化系統的反應動. 最大正常水位 (N2)時，則必須釋放鍋. 作則為 “給水閥功率降一級 ” 。接下來，我. 爐內的水。 . 們利用操作員的常識來分析操作員的模. 超壓模式 (over-pressur e mode) ：當壓. 式，如表 3 為操作員對應的條列式規則. 力超過設定的最大正常承受壓力 (P1). 表。. 時，則必須釋放壓力。 . 危急模式 (emerge nc y mode)：. of. 當水. 位超過最高水位、低於最低水位或是壓力高於最大承受壓力時，則進入危 5.

(6) 表2 自動化系統條列式規則表. 比較自動化系統的條列式規則表 ( 表 2) 與操作員的條列式規則表(表 3)，我們可以得知自動化系統反應與操作員反應有所出入，其中第一個混淆地帶為操作員在每一種操作動作後，必須要有 3 秒鐘的等待回應時間，但是表 3 的操作員反應動作中完全疏忽了。第二個是系統在正常模式中，溫度和水位同時有問題時，則必須以溫度為優先來考慮，在表 3 編號 5 中，卻只考慮到水位。另外第三個是為了防止快速熱漲冷縮對鍋爐產生的不良影響，所以當溫度快速上升時，操作員必須有相對應的動作，但是表 3 中的編號 6，操作員並沒有任何的反應動作；因此藉由條列式規則表 (rule-based table)的方式，在設計階段便可發現模式混淆的地方，如此一來便可進一步地改善設計上的缺失，加強人機界面設計的明確性。. 4.1.4 執行階段的模式混淆偵測表 3 操作員條列式規則表. 在執行階段的偵測，首先我們在系統中加入模式混淆偵測模組 (mode. confusion. detection module)。藉由擷取操作員的指令動作，來推論操作員認為系統目前的模式，在模組中我們以硬體動作對應系統模式資料庫為主要的推論依據，如表 4 所示。表 4 模式混淆偵測模組資料庫. 6.

(7) 每一種硬體設備的動作都會對應到. 系統人機介面模式混淆偵測的方法，利用. 一種到兩種模式。對應兩種模式的動作例. 狀態圖與條列式規則表的方式，不僅能夠. 子如操作員的動作為 “洩水閥為關、給水. 在早期系統開發階段，偵測系統中潛在的. 閥轉至大且加熱器功率為小 ”時，則在模. 模式混淆設計，加強並改善系統人機界面. 組中可能對應的是提升模式 (Enhance. 設計上的缺失；亦能夠在執行階段即時偵. mode)和超壓模式 (Over-pressure mode)，. 測模式混淆的發生，盡早通知操作人員相. 接下來此模組便根據判斷感應器所測量. 關的警訊，以降低模式混淆發生的機率，. 的數值來推論，若是壓力處於正常狀況. 避免因模式混淆所造成的重大危害事件。. 下，則推論為提升模式，反之則推論為超. 6. 參考文獻. 壓模式。鍋爐系統的模擬，如圖 3 所示。我們. [1] 江坤達, “ 電腦控制系統中模式混淆偵測之發展. 利用此模擬系統 [1]，模擬模式混淆的偵. 與應用” ,元智大學資訊工程研究所,碩士論文,. 測。模式混淆可能因操作員的疏忽，也可. 2004, 六月。. 能是硬體的問題，更可能是操作員的訓練. [2] Jean- Raymond Abrial, “ Steam-boiler control. 不足。因此此模擬系統不僅能夠即時偵測. specification problem,”August 10, 1994. [3] E. Bachelder et al. “ Describing and Probing. 模式的混淆，也能夠訓練操作員正確的操作反應，提高操作員對於系統內部運作的. Complex. 認知。. Approach,”In the proceedings of the Aviation. System. Behavior:. A. Graphical. Safety Conference, Seattle, Sept. 2001. [4] R.W. B ut ler, S.P. M il l er, J . N. P o tt s, V. A. Car r eno,“A For malMet hodsAppr oach t ot he Anal ys i s of Mode Conf us i on, ” P r o c. o f 1 7 t h Di g it al Avio n ic s S ys t e ms co n f er e nc e,. Vo l. 1 , p p .C4 1 /1 - C4 1 /8 ,. 1998. [5]. N.. Leves on et al . “Anal yzi ng. G.. So ft war e. Sp eci f ic at io n s. fo r. Mo d e. Conf us i on Pot ent i al , ” Pr oceedi ngs of th e Wo r k s ho p o n H u ma n Er r o r a nd S ys te m De v elo p me n t, Gla sco w, M ar c h 1997. [ 6 ] N. G. Leveson and E. Palmer. “ Designing Automation to Reduce Operator Errors,”I nt h e. 圖 3 鍋爐系統模擬. Proceedings of Systems, Man, and Cybernetics. 5. 結論. Conference, Oct. 1997. 複合式系統的人機介面可能隱藏潛. [7]. D.. Ma c ke nz ie. “Co mp ut er-r ela ted. 在模式混淆的地方，除了操作員誤解資訊. accid e nt al. 的涵意外，缺乏即時的回應訊息一樣會導. exp lo r a tio n, ”S c ien c e a n d Pu b li c Po l ic y ,. 致人為操作錯誤。本研究提出一套複合式. vo l 2 1 No ( 4 ) , p p .2 3 3 -2 4 8 , 1 9 9 4 . 7. d e at h :. an. e mp ir ica l.

(8) [ 8 ] J . R us hb y, J . Cr o w, E. Pal mer , “An Au to ma ted Me t ho d to Det ect P o te n tia l Mode Conf us i ons , ” P r o c.. of. 17th. Di g ita l Av io nic s S ys te ms co n f er e nc e, vo l 1 /1 7 , p p . 4 .B .2 -1 -4 . B .2 -6 , 1 9 9 9 . [ 9 ] Mario Rodriguez et al. “ Identifying Mode Confusion Potential in Software Design,”Digital Aviation Systems Conference, October 2000.. 8.

(9)