APIS: Mtodo para Desenvolvimento de Interfaces HomemComputador em Sistemas de Segurana Visando a

Confiabilidade Humana
Lcia Vilela Leite Filgueiras
lfilguei@usp.br
Escola Politcnica da Universidade de So Paulo - Departamento. de Engenharia de Computao e
Sistemas Digitais; IEEE Reliability Society Human Reliability Committee
Av. Prof. Luciano Gulaberto, tv 3 no. 158 CEP 05508-900 So Paulo SP
Resumo
Este trabalho apresenta o mtodo APIS: Anlise e Projeto de Interfaces de Segurana, para desenvolvimento de
interfaces homem-computador para sistemas de risco, nos quais o erro humano pode levar a catstrofes. O mtodo
proposto tem por base a aplicao das tcnicas de Anlise da Confiabilidade Humana em um ciclo de
desenvolvimento, considerando os aspectos especficos da interao homem-computador.
Palavras Chave: confiabilidade humana, erro humano, interfaces homem-computador, metodologia

1. INTRODUO
Os erros humanos so responsveis por um nmero estarrecedor de incidentes na indstria e na aeronutica[1].
Algumas pesquisas indicam uma mdia de 60% de incidentes que podem ser atribudos ao humana. Em alguns
casos, este nmero pode chegar a 90%[2]. Por outro lado, so incontveis as situaes em que a interveno humana
evitou um acidente ou mesmo reduziu seu impacto, o que faz com que mesmo sistemas de alto risco sejam muito
dependentes da ao humana.
Sempre que a anlise de um acidente conclui por um erro humano, a tendncia reduzir a probabilidade desta
ocorrncia pela substituio do homem por equipamentos extremamente confiveis, aumentando-se o grau de
automao, at um limite no totalmente utpico da automao total das atividades humanas. O alto investimento com
a confiabilidade de hardware e software visa garantir que, nas mais diversas condies de operao, estes
equipamentos devero atuar corretamente. Mesmo assim, o homem ainda se insere no processo para compensar as
eventuais falhas de projeto agindo com sua criatividade e sua capacidade de soluo de problemas quando a
automao no tiver sido suficiente.
O resultado desta poltica, que ficou evidente nos mais recentes estudos da FAA sobre Fatores Humanos [3], de que
embora os sistemas automticos cumpram as funes programadas, os erros humanos continuam acontecendo, desta
vez associados ao desconhecimento das situao real do processo e incompatibilidade entre os comandos humanos e
o estado do sistema automtico.
A questo que se coloca como de vital importncia no projeto de sistemas crticos como integrar a ao humana e os
sistemas automticos, desenvolvendo uma interface homem-computador que aumente a confiabilidade humana. A
resposta, acredita-se, est em um mtodo de desenvolvimento de interfaces que considere as caractersticas do erro
humano e mantenha estas consideraes em foco durante o processo de desenvolvimento pela aplicao de tcnicas
de Anlise da Confiabilidade Humana.
Os motivos para o desenvolvimento de tal mtodo no se resume, atualmente, a sistemas de controle de processos: na
legislao americana, o projetista de um equipamento ou sistema pode ser responsabilizado civil e criminalmente se o
uso deste equipamento causar algum dano ao usurio. Assim, a busca pela reduo dos erros humanos atinge,
atualmente, a interface homem-computador de produtos comerciais tais como equipamentos biomdicos, veculos,
eletrodomsticos e outros.

Este trabalho apresenta o mtodo APIS: Anlise e Projeto de Interfaces de Segurana, uma proposta para o
desenvolvimento de interfaces homem-computador visando a confiabilidade humana. Para apresentar o mtodo
proposto, inicialmente, a seo 2 apresenta as tcnicas atualmente utilizadas para Avaliao da Confiabilidade
Humana, bem como as caractersticas especficas do erro humano na operao de interfaces homem-computador. Em
seguida, a seo 3 expe o mtodo para desenvolvimento de interfaces homem-computador visando a Confiabilidade
Humana.

2. TCNICAS DE AVALIAO DA CONFIABILIDADE HUMANA

As razes das tcnicas de Avaliao da Confiabilidade Humana remontam Segunda Guerra, quando a complexidade
dos equipamentos trouxe pela primeira vez a preocupao com a capacidade humana de oper-los. Como disciplina
formal, a Confiabilidade Humana nasceu logo aps o surgimento da Teoria da Confiabilidade, sendo aplicada
principalmente a sistemas militares. O grande impulso desta rea veio como acidente nuclear de Three Mile-Island,
quando se reconheceu que a ao humana, condicionada por um ambiente desfavorvel, poderia levar sistemas de
risco a situaes indesejveis.
Podem ser definidos dois grandes objetivos para a Avaliao da Confiabilidade Humana:

Reduzir os erros humanos, a partir de sua identificao e da avaliao do impacto destes erros no sistema
como um todo;

Quantificar a probabilidade de ocorrncia destes erros e consequentemente, o sucesso das tarefas, permitindo
a avaliao numrica do impacto dos erros na confiabilidade do sistema;
No objetivo deste trabalho descrever com detalhes as tcnicas de avaliao da confiabilidade humana, porm,
destaca-se um processo bsico, necessrio a todas:

Definio do problema, em que so determinadas as situaes em que a avaliao do erro humano

importante; esta definio pode surgir tanto dos estudos usados para avaliar modos de falha e seus efeitos,
tradicionalmente empregados na avaliao de confiabilidade de sistemas, tais como HAZOP (Hazard and
Operability Study), e FMEA (Failure Mode and Effect Analysis) ou ainda, em plantas em operao, de erros
humanos observados na prtica;
Anlise de tarefas, em que as funes humanas so detalhadas, compreendendo-se no s as atividades
humanas mas tambm o contexto - ambiente fsico, psicolgico e organizacional no qual as atividades so
executadas;
Anlise do erro humano, em que so identificadas situaes de erro, suas conseqncias e possibilidade de
recuperao, com base nos mecanismos psico-fisiolgicos do ser humano e nas caractersticas das tarefas;
Quantificao, em que se estima a probabilidade de insucesso da tarefa, a partir de dados coletados
historicamente, relativos a tarefas semelhantes, sendo que as probabilidades so compostas para cobrir os
vrios tipos de erro identificados. Dentre os mtodos quantitativos, o mais conhecido o THERP (Technique
for Human Error Rate Prediction), acompanhado de tcnicas complementares como o SLIM (Success
Likelihood Index Method) e as curvas de correlao tempo-confiabilidade [4].
Reduo dos erros, em que so propostas medidas para evitar os erros quantificados como mais crticos.

Percebe-se que a aplicao destes mtodos complexa, pelo simples exame da seqncia de atividades. Mais ainda, a
aplicao de mtodos quantitativos nem sempre possvel, pela escassez de dados histricos. Dada a forte relao
entre o contexto da atividade humana e o erro humano, nem sempre os dados existentes na literatura podem ser
transportados para uma outra situao. Apesar disto, existem ferramentas para automatizar estes clculos. Em geral,
apenas a anlise qualitativa efetuada. A anlise quantitativa feita quando o nmero que expressa a confiabilidade
um requisito relevante para o projeto (como no caso de plantas nucleares), ou quando se deseja um parmetro de
comparao entre alternativas de projeto.
No caso de interfaces com computadores, o cenrio mais complexo. Os dados so efetivamente escassos, e por mais
que existissem, dificilmente poderiam ser aproveitados, dada a grande variao de uma interface para outra. As
tcnicas de anlise da confiabilidade humana usadas para avaliar interfaces homem-mquina podem ser usadas para
analisar a interao com computadores, desde que alguns cuidados sejam considerados:

enquanto a interface homem-mquina geralmente suporta apenas atividades motoras e de percepo, a

interface homem-computador pode ser usada como auxlio deciso, agindo, portanto, nos nveis mais
altos do processamento cognitivo.
a interface homem-computador manipula tambm conceitos abstratos, enquanto as interfaces homemmquina relacionam-se com objetos concretos;
enquanto o ser humano sempre o agente da interao com uma mquina, no caso de interfaces homemcomputador o computador um agente tambm - muitas vezes, o ser humano apenas supervisor das
aes automticas.

A natureza da interao homem-computador responsvel pela natureza dos erros humanos: nestas interfaces, os
erros mais crticos tendem a ser do tipo equvocos (mistakes), provocados pela complexidade cognitiva da interface,
ao invs de deslizes (slips) e lapsos no nvel sinttico da interface. Listam-se a seguir alguns tipos de erros
humanos provveis:
O conhecimento embutido no software que Hollnagel chama de cognio artificial [5] faz o papel de um agente
cujo comportamento pode ser desconhecido do usurio. Neste caso, os erros humanos vo estar associados com
previses erradas feitas a respeito do comportamento automtico. Um segundo tipo de erro decorre da navegao
atravs do espao virtual, para encontrar um informao necessria para se concluir uma tarefa. Dada a
disponibilidade crescente de informao, h um grande consumo da ateno do usurio em localizar o que se deseja, e
nem sempre o processo de separar o que interessa se d com sucesso. Um terceiro tipo de erro est associada
automao das tarefas humanas, que substituiu o trabalho manual e contnuo por trabalho intelectual e intermitente.
Este erro se manifesta das seguintes formas:
erro na percepo de eventos importantes, que deveriam disparar as aes humanas; em geral, a falta de
ateno devida ao tdio de longos perodos de superviso sem nenhuma ao fsica;
perda da habilidade de ao rpida, pela falta de prtica.
Na prxima seo, apresenta-se um mtodo para a considerao sistemtica dos erros humanos no ciclo de
desenvolvimento de interfaces homem-computador.

3. DESENVOLVIMENTO DE INTERFACES VISANDO CONFIABILIDADE

HUMANA
O mtodo APIS visa a reduo da incidncia dos erros humanos na operao de um sistema pela considerao
sistemtica destes erros e de suas conseqncias durante todo o projeto. A aplicao deste mtodo permite ainda
estabelecer cenrios de treinamento e a identificao das solues tecnolgicas especficas, quando estas se fizerem
necessrias. APIS apia-se no ciclo de Engenharia de Usabilidade [6] e em tcnicas de identificao de objetos.
Uma interface homem-computador visando a confiabilidade humana deve ter as seguintes caractersticas:
deve apresentar informaes adequadas, qualquer que seja a tarefa executada pelo usurio; deve ainda
garantir que o processo cognitivo do usurio seja disparado quando necessrio e que o modelo mental do
usurio seja adequadamente alimentado;
deve apresentar recursos de manipulao adequados, de forma que o usurio no seja induzido a erros na
ao sobre os objetos da interface;
deve ser capaz de rejeitar ou pelo menos indicar um erro humano, se ele acontecer.
O mtodo APIS tem por base duas premissas:
a confiabilidade da interface homem-mquina depende do transporte adequado dos objetivos da operao
para o processo de especificao das funes da interface; isto implica que deve haver uma fase de
identificao de erros humanos, suas causas e mecanismos de recuperao;
a medida da eficincia deste transporte deve ser feita de forma iterativa, ao longo do ciclo de
desenvolvimento da interface, sendo a confiabilidade humana o parmetro de controle da repetio dos
ciclos.

3.1. Fases do APIS

O mtodo APIS possui duas fases, que diferem no nvel de granularidade com que se representa a interao com o
operador. As fases esto representadas na Figura 1
O APIS-Fase de Anlise corresponde fase de anlise de requisitos do ciclo de desenvolvimento de software. O
principal objetivo do mtodo, nesta fase, o estabelecimento do modelo conceitual da operao, que tm nos RMOs Resumos de Metas Operacionais - a principal representao. Os RMOs so produzidos a partir da identificao dos
cenrios de operao. Tcnicas de balanceamento so usadas para garantir que os limites do desempenho humano no
sejam ultrapassados, e so propostas as metas de confiabilidade humana para a operao do sistema.

Documentao do processo

Projetistas do processo
FASE DE ANLISE

Identificao das
metas do sistema

lista de cenrios de operao

Planejamento de
tarefas

Operadores

Balanceamento

RMO: resumo de metas operacionais

Avaliao da
confiabilidade
humana

Anlises de risco

Detalhamento
das seqncias
operacionais

DPO: descritor de
procedimento
operacional

anlise da
Anlise
da
confiabilidade
confiabilidade
operao
de operao

heursticas
para
confiabilidade
humana

Prototipao

IHC
procedim entos
operacionais

FASE DE PRO JETO

cenrios para
treinam ento

Figura 1 - Fases do APIS

Extrao do
modelo de
objetos

Estando definidas as seqncias operacionais sobre o processo, o objetivo passa a ser o de mapear na IHC o modelo
conceitual da operao, enquanto se garantem os requisitos de desempenho e confiabilidade da fase anterior. Desta
forma, o APIS-Fase de Projeto corresponde ao projeto da IHC. Esta fase apia-se em um ciclo de prototipao. O
detalhamento das seqncias operacionais d origem ao modelo de objetos da IHC, que implementado em vrios
nveis de prototipao e avaliado do ponto de vista da confiabilidade humana. Alm da interface homem-computador,
resultam da aplicao do APIS o conjunto de procedimentos operacionais e os cenrios para o treinamento dos
operadores.
Em ambas as fases do APIS, a anlise da confiabilidade humana exerce um papel fundamental. Na fase de anlise,
acontece a alocao da confiabilidade humana, atravs do projeto das variveis de contexto. Na fase de projeto, as
avaliaes da confiabilidade humana so feitas sobre um prottipo cada vez mais detalhado. importante salientar,
porm, que o APIS no um mtodo de anlise da confiabilidade humana, mas um mtodo para garantir, por
construo, a confiabilidade da interface homem-computador.

3.2. APIS - Fase de Anlise

O desenvolvimento de uma interface confivel requer um planejamento das tarefas operacionais, para permitir ao
operador, em qualquer circunstncia, manter uma representao mental adequada e o controle sobre o processo. No
APIS - Fase de Anlise, a atividade de planejamento de tarefas a formalizao do processo de transferncia de
informaes, dos projetistas e operadores do processo para a IHC, identificando as metas de operao.
Para isto, no APIS - Fase de Anlise executa-se uma srie de atividades, enumeradas a seguir:
identificao das metas do sistema, produzindo uma lista de cenrios de operao;
planejamento de tarefas, em que as operaes sobre a IHC so identificadas e documentadas na forma de
Resumos de Metas Operacionais;
balanceamento da interface homem-computador, para garantir que os limites do desempenho humano no
sejam ultrapassados;
avaliao de confiabilidade, quando se identificam os erros humanos e as formas de evit-los.

3.2.1. Identificao das metas do sistema

O objetivo desta atividade produzir uma lista de cenrios de operao em que fiquem claras as metas a serem
atingidas pelo operador. Identificando-se os propsitos do sistema, pode-se dizer que eles sero tambm as metas de
cada usurio. Para compreender a forma de atingi-las, deve-se decompor estes propsitos nas sub-metas essenciais do
sistema, isto , naquelas metas que, se no atingidas por qualquer motivo, acarretam perda do propsito principal.
3.2.2. Planejamento de tarefas
A atividade de planejamento de tarefas consiste no detalhamento das metas operacionais identificadas na atividade
anterior. Este detalhamento documentado no RMO - Resumo de Metas Operacionais, apresentado na Figura 2. Os
dados do RMO so coletados atravs de entrevistas com especialistas, sejam usurios ou projetistas do processo e da
instrumentao. A etapa de coleta de dados crtica no mtodo APIS e, sem dvida, particularmente difcil de ser
executada na prtica. Os projetistas da IHC no devem perder o objetivo do trabalho da coleta de dados, que a
definio das metas de operao, e por isto no devem se restringir s operaes realizadas sobre o sistema de
controle. A observao de operadores em salas de controle permite concluir que eles utilizam o sistema de controle
como ferramenta para cumprir suas metas que, na maioria dos casos, no esto diretamente implementadas como
funes no sistema de controle.
Quando a coleta feita sobre um sistema em operao, comum que os usurios no conheam as metas, mas apenas
as funes do sistema. Assim, pode-se dizer que a etapa de planejamento de tarefas top-down no c aso de um
projeto totalmente novo, pois se parte das metas para obter as operaes, mas bottom-up no caso de revises de
projetos, j que se parte das operaes para obter as metas e da, um novo projeto das operaes.

Identificador:

Meta a atingir:
Cenrio:
Prioridade:

crtica

importante

regular

Interrupo:

possvel

indevida

impossvel

Atividade:

superviso

manuteno

recuperao

baixa

calibrao

testes

Tempo mximo permitido:

para incio:

para concluso:

Condies iniciais:

Gatilho:

Seqncia de Execuo
Identificador

Meta

Condies de finalizao:

Alternativas:

Figura 2 - Resumo de Metas de Operao (RMO)

3.2.3. Balanceamento entre operao humana e controle automtico

O balanceamento entre a operao humana e a automao define-se como a atividade de atribuio criteriosa de
funes de operao do processo entre a equipe de operao e o controle automtico, de forma a garantir, em qualquer
circunstncia, a operao segura e eficiente do processo de risco. O balanceamento deve ser feito para explorar ao
mximo as diferenas de comportamento entre homem e mquina, atribuindo a cada um as tarefas que lhes forem
mais adequadas. Mtodos quantitativos podem ser usados, tais como anlises de linha de tempo e carga cognitiva,
dependendo do grau de conhecimento sobre as tarefas nesta fase.

3.2.4. Avaliao da confiabilidade humana

A atividade de avaliao da confiabilidade humana dever analisar os RMOs em funo dos modos de erro humano,
para determinar, em cada caso:
quais as formas de erro humano que podem levar o cenrio a no se cumprir;
a influncia do contexto na probabilidade destes erros acontecerem.

 importante ressaltar que, nesta fase, no existem dados suficientemente precisos para realizar um clculo da
confiabilidade humana como um nmero absoluto. As tcnicas de anlise da confiabilidade humana so aplicadas
sobre sistemas em fase operacional ou sobre simuladores. Por isto, qualquer anlise da confiabilidade humana
realizada apenas sobre o prottipo da IHC dever levar a resultados parciais. Por ser apenas uma indicao relativa, o
nmero associado confiabilidade humana estar fortemente associado operao do sistema particular, e no dever
ser transportado diretamente para outros sistemas semelhantes. Sugere-se o uso de ferramentas automatizadas para
suportar este clculo, que nesta fase do APIS, feita atravs da seguinte estratgia, comum aos mtodos de avaliao
da confiabilidade humana:
pesquisa do erro humano, que consiste na anlise qualitativa dos RMO em funo dos vrios modos de erro
humano, identificando quais erros que podem levar a meta a no ser atingida;
anlise de sensibilidade do erro humano s condies de contexto, para refletir condies desfavorveis e
reavaliar a probabilidade de erro.

3.3. APIS - Fase de Projeto

As metas em cada cenrio, descritas pelos RMOs, trazem requisitos de informao, a qual deve se tornar disponvel
oportunamente, atravs da IHC, para alimentar o modelo mental do operador sobre o processo. Da mesma forma, os
RMOs descrevem as aes do operador sobre o sistema, em cada cenrio, as quais cumprem o papel de levar o
processo at o estado desejado.
O objetivo do APIS - Fase de Projeto realizar o detalhamento das seqncias operacionais, atravs:
da extrao sistemtica dos requisitos de informao e atuao dos RMOs;
do transporte destes requisitos para um prottipo da IHC.
Sobre este prottipo, devero ser ensaiados os diversos cenrios e verificados os requisitos de desempenho do
operador, definidos nos RMOs pelo tempo mximo para realizao de cada operao. O ciclo de prototipao feito
sobre cada um dos cenrios identificados na Fase de Anlise, devidamente priorizados em funo de sua relevncia.
Os erros humanos identificados na Fase de Anlise, bem como as formas de evit-los, devero tambm fazer parte
destes ensaios. Para isto, no APIS - Fase de Projeto executa-se uma srie de atividades, enumeradas a seguir:
detalhamento das seqncias operacionais;
extrao do modelo de objetos;
prototipao;
avaliao do prottipo;
avaliao de confiabilidade humana.
3.3.1. Detalhamento das seqncias operacionais
O detalhamento das seqncias operacionais a continuao do refinamento dos RMOs, planejando cada seqncia
operacional e documentando estas seqncias em Descritores de Procedimento Operacional (DPO). As operaes
consideradas mais freqentes ou mais relevantes em termos de risco devero receber prioridade nesta atividade.
O DPO uma descrio do comportamento esperado do operador. Para isto, o DPO representa a seqncia
operacional por uma regra de execuo de tarefas elementares, isto , em unidades de comportamento humano que
alteram ou verificam o estado do sistema. O formato do DPO apresentado atravs de um exemplo na figura 3. O
DPO tem por origem os formulrios de anlise de tarefas propostos por Burgy [7], Swain e Guttman [8] e Embrey [9],
devidamente modificados pelo fato do procedimento destinar-se ao projeto da IHC.
3.3.2. Extrao do modelo de objetos
Vrias tentativas de se realizar uma IHC adequada operao humana fracassaram principalmente porque a deciso
dos objetos a representar na IHC foi arbitrria. O mtodo APIS procura evitar esta inadequao ao extrair, da
documentao da operao, representada pelos RMOs e DPOs, o conjunto de objetos que efetivamente represente o
modelo conceitual do operador. Os objetos necessrios a cada seqncia operacional so extrados do campo objeto
do DPO. Para cada objeto, os campos atributo e valor informam, respectivamente, sobre os atributos e seus domnios
de validade. A extrao dos mtodos se faz a partir da anlise do uso do objeto em cada operao. Esta anlise implica

na classificao dos atributos em relao sua funo na seqncia operacional. Para isto, algumas definies,
especficas do mtodo APIS, se fazem necessrias.
Identificador:
Injeo de polmero

Seqncia Operacional:
Dificuldade:

muito fcil

Tempo estimado:

fcil

X regular

difcil

muito difcil

12,5min

sujeito
OP1

tarefa
identifica

OP1

decide

objeto
bomba de injeo
215PIPA e
215PIPB
bomba de injeo

com base em

bomba de injeo

bomba de injeo

OP1

posiciona

bomba de injeo

OP1

verifica

receita

OP1

calcula

bomba de injeo

OP1

com base em
ajusta

receita
temporizador

se bomba de injeo ativa for 215PIPA

ento
OP1
posiciona
HV1401

seno

SI-0034

atributo
estado de
manuteno

valor
em
servio

estado de
manuteno
tempo mximo
recomendado de
operao
tempo total em
servio
estado de
manuteno
volume de injeo

fora de
servio

exceo
nenhuma
bomba
disponvel

rotina de exceo
procedimento de
manuteno de
bombas

inventrio de
polmero
insuficiente
clculo errado

procedimento de
receita bsica

valor errado

ajusta novo valor

vlvula no
abre
vlvula no
abre
bomba no
liga
vlvula no
abre
vlvula no
abre
bomba no
liga

usar reserva

temporizador
no responde
nvel alto

interromper
seqncia
interromper
seqncia
procedimento
calcular excesso de
polmero

fora de
servio

tempo no estado
ligado
volume de injeo
tempo no estado
ligado
estado de operao

aberto

OP1

posiciona

HV1411

estado de operao

aberto

OP1

posiciona

215PIPA

estado de operao

ligado

OP1

posiciona

HV1402

estado de operao

aberto

OP1

posiciona

HV1412

estado de operao

aberto

OP1

posiciona

215PIPB

estado de operao

ligado

OP1
OP1

ajusta
monitora

temporizador
temporizador

tempo_restante
tempo restante

incio
>0

OP1

monitora

tanque

nvel

OP1

detecta

temporizador

tempo restante

repetir passo

usar reserva
usar reserva
usar reserva
usar reserva
usar reserva

fim

se bomba de injeo ativa for 215PIPA

then
OP1
posiciona
HV1401

else

=0

erro de
deteo de
final
vlvula no
fecha
vlvula no
fecha
bomba no
desliga

estado de operao

fechado

OP1

posiciona

HV1411

estado de operao

fechado

OP1

posiciona

215PIPA

estado de operao

desligado

OP1

posiciona

HV1402

estado de operao

fechado

OP1

posiciona

HV1412

estado de operao

fechado

OP1

posiciona

215PIPB

estado de operao

desligado

OP1

informa

Supervisor

concluso da tarefa

vlvula no
fecha
vlvula no
fecha
bomba no
desliga

fechar vlvula
auxiliar
fechar vlvula
auxiliar
procedimento de
recuperao da
injeo
fechar vlvula
auxiliar
fechar vlvula
auxiliar
procedimento de
recuperao
injeo

end

Figura 3 - Descritor de Procedimento Operacional

Os atributos observveis so definidos como aqueles atributos que carregam alguma informao que deve ser
compreendida pelo operador para a realizao de alguma tarefa. Os atributos controlveis so caractersticas de
objetos que devem ser modificadas pelo operador em alguma tarefa. Dada a importncia da realimentao na IHC,
todos os atributos controlveis so tambm observveis, por definio. Observe-se ainda que os atributos observveis
podem ser dinmicos, isto , sujeitos a mudanas, como por exemplo o estado de uma bomba, ou podem ser
estticos, se mantm sempre o mesmo valor, por exemplo, caractersticas de fabricao desta mesma bomba.
Logicamente, atributos controlveis so sempre dinmicos.
A classificao em atributos observveis e controlveis feita, para cada atributo, a partir da anlise dos
comportamentos. Como os atributos observveis so percebidos pelo operador, eles esto associados aos

comportamentos de percepo e cognitivos, bem como a comportamentos de comunicao. Os atributos controlveis

exigem ao do operador e esto associados aos comportamentos motores. Esta classificao define o conjunto de
mtodos para cada objeto: os atributos observveis estticos do origem a mtodos de exibio do atributo; os
atributos observveis dinmicos do origem a mtodos de exibio do atributo, distintos dos anteriores porque exigem
consulta aos dados dinmicos do processo; atributos controlveis resultam em mtodos de alterao do atributo, que
se traduzem em comandos do operador.
Os RMOs tambm devem ser inspecionados com o intuito de se extrarem objetos. Neste caso, a extrao no to
simples como no caso dos DPOs, porque a documentao est em um nvel mais alto de abstrao. Os objetos em um
RMO esto principalmente nos campos de condio inicial, gatilho e condies finais. Os objetos extrados dos
RMOs devero ser usados para compor as telas de nvel mais alto, sobre as quais os operadores devero fazer as
operaes de diagnstico e a seleo das operaes a executar.
Ressalte-se que os objetos utilizados na documentao da operao nos DPOs refletem balanos de massa e energia,
leis fsico-qumicas especficas, tabelas de valores e parmetros de estratgias de opera, o que permite, muitas
vezes, a identificao de recursos no-convencionais da IHC que contribuem para aliviar as funes do operador e
conseqentemente otimizar o desempenho.
3.3.3. Prototipao
Uma vez definido o modelo de objetos da IHC, a etapa seguinte corresponde prototipao da IHC. A prototipao
corresponde implementao:
de cada objeto, com todos seus atributos e controles;
de telas de suporte a cada operao, com a representao dos atributos visveis de cada objeto;
de telas de suporte deciso;
da apresentao dos alarmes do sistema.
A IHC produzida pelo mtodo APIS estrutura-se de forma hierrquica. Rasmussen [10] considera que o operador
tende a solucionar problemas a partir da viso mais abstrata dos conceitos do processo, tais como balano de massa e
energia, e prosseguir para a soluo nos nveis mais prximos dos elementos fsicos disponveis do processo, tais
como vlvulas e bombas. Para se adequar estrutura decisria do operador, a IHC deve poder atender todos os nveis
de abstrao:
a monitorao do estado do processo feita sobre o conjunto de informaes que representa o estado global
do processo: pela observao de um painel mmico ou, na falta deste, pela seleo da tela de maior viso
geral sobre o processo que contenha o conjunto desejado de informaes;
na ocorrncia de alguma anormalidade, o operador realiza o diagnstico atravs da combinao de listas de
alarmes e pela monitorao das informaes que ele julga pertinentes aos alarmes em questo;
a ao sobre o processo feita atravs da seleo das telas onde so representados os elementos fsicos do
processo que implementam a ao desejada.
Desta forma, uma IHC adequada ao processamento mental do operador dever reunir, em uma tela principal, o
conjunto de informaes que permite a seleo da meta apropriada para a situao. Cada meta operacional dever, por
sua vez, estar associada a uma tela que rena as informaes importantes para as decises que devam ser tomadas
neste contexto. Todas as possveis aes sobre o processo, decorrentes das decises tomadas pelo operador devero
estar disponveis a ele no contexto da meta operacional selecionada. Acrescente-se a estes requisitos o fato de que o
operador pode estar, em um mesmo instante de tempo, em estgios diferentes do mecanismo de diagnstico e ao
para vrias metas simultneas.
3.3.4. Avaliao do prottipo
A avaliao do prottipo feita atravs de ensaios sobre o prottipo, com os seguintes objetivos:
avaliar as condies gerais de usabilidade;
verificar se os recursos oferecidos pela IHC so realmente suficientes para o cumprimento de cada tarefa;
verificar se cada operao pode ser cumprida no tempo especificado nos RMOs;
realizar avaliao sobre os erros cometidos sobre a interface;
simular as vrias condies de erro humano previstas durante a pesquisa de erros humanos.

3.3.5. Avaliao da confiabilidade humana

Na fase de projeto, o detalhamento da seqncia operacional permitir obter a probabilidade intrnseca de falhas,
dependente da ao em si e de fatores como a qualidade da interface naquela funo especfica. A quantificao da
probabilidade de erro humano dever ser feita pela aplicao das tcnicas de anlise da confiabilidade humana
descritas na Seo 2. Desta forma, considera-se que confiabilidade humana, relacionada com um determinado cenrio,
tem duas componentes:
a confiabilidade da cognio humana, relacionada probabilidade de o operador identificar com sucesso a
meta de operao; esta probabilidade est relacionada com os processos cognitivos de percepo,
diagnstico e tomada de deciso;
a confiabilidade da ao humana, relacionada implementao de uma soluo sobre a IHC.
A confiabilidade da cognio humana dever ser calculada, para cada cenrio, como a probabilidade de o operador
diagnosticar corretamente o cenrio e faz-lo no tempo correto. Para o clculo da probabilidade de o operador
diagnosticar corretamente a situao, dever ser usado sistematicamente o julgamento de especialistas, ancorado em
alguns (poucos) dados existentes na literatura. Para o clculo da probabilidade de o diagnstico se dar no tempo
determinado, utilizam-se as curvas de correlao tempo-confiabilidade A confiabilidade da ao humana, aps a
seleo da meta, dever ser calculada como a probabilidade de finalizar com sucesso a seqncia operacional. Para
este clculo, dever ser usado o THERP..

4. CONCLUSO
O mtodo APIS destina-se ao desenvolvimento da IHC de sistemas crticos do ponto de vista de segurana, isto ,
sistemas em que falhas causam perdas de vidas, danos materiais e danos ao meio ambiente. Nestes sistemas, muitas
vezes, as aes humanas so essenciais para a segurana do processo. A utilizao do APIS no desenvolvimento da
IHC permite a aplicao de tcnicas de avaliao da confiabilidade humana, importantes para as anlises de risco
destes processos.
Este trabalho foi desenvolvido com pesquisa de doutoramento no Departamento de Engenharia de Computao e
Sistemas Digitais da Escola Politcnica e foi aplicado, parcialmente, em projetos de consultoria junto ao Centro
Tecnolgico da Marinha, em So Paulo.

REFERNCIAS
[1] LaSala, K.P; Filgueiras, L.V.L; Gigley, H.; Ullman, R. Designing Systems for Reliable Human Performance,
IEEE Tutorial Video, 1997.
[2] Lee, K.W.; Tillman, F.A.; Higgins, J.J.; A Literature Survey of the Human Reliability Component in a ManMachine System; IEEE Transactions on Reliability, vol. R-37, no. 1, april 1988, p.24-34
[3] Evans, B. Cockpit automation: The Good, the Bad, and the Ugly; Avionics Magazine, May 1998, pg 34-38.
[4] Dougherty, E. M.; Fragola, J. R. Human reliability analysis - a system engineering approach with nuclear power
plant applications. John Wiley& Sons, 1988.
[5] Hollnagel, E. Human Reliability Analysis - Context and Control; Academic Press, 1993, 336 p.
[6] Nielsen, J. Usability Engineering, Academic Press, 1993
[7] Burgy, D. et al. Task analysis of nuclear power plant control room crews. United States Nuclear Regulatory
Commission. 1983. (NUREG/CR-3371)
[8] Swain, A.D.; Guttmann, H.E. Handbook of human reliability analysis with emphasis on nuclear power plant
applications. United States Nuclear Regulatory Commission. 1983. (NUREG/CR-1278)
[9] Embrey, D.E.. Human reliability. In: Serra, A.; Barlow, R.E. Teoria dell'Affidabilit. 1986. p.465-490.
[10] Rasmussen, J.; The role of hierarchical representation in decision making and system management. IEEE
Transactions on Systems, Man and Cybernetics. v. SMC(15), p. 234-243, 1985

10