不只是一个新闻

2026年5月26日,比利时Buggenhout发生了一起惨剧:一辆校车试图穿越已放下栏杆的道口,被列车撞击,4人死亡(含两名儿童),5人重伤。

对大多数读者而言,这是一起令人心痛的社会新闻。但作为一个产品经理,我看到的是一个可预测的系统性失败——道口安全系统没有为“用户不按规则操作”这个场景准备好兜底方案。

开发者可以从这个案例中学到什么?我把它总结为一个产品设计问题:当系统假设用户会遵守规则,而用户没有时,你的系统应该怎么办?

train level crossing barrier ignored by driver

现有方案的设计分析:静态的信任模型

当前全球铁路道口的主流安全方案是:

  • 列车接近时,信号灯闪烁 + 警报响起
  • 若干秒后,栏杆下降
  • 列车通过后,栏杆升起

这个设计假设了一个线性流程:用户看到/听到信号 -> 停止等待 -> 列车通过。但实际场景存在多个漏洞:

1. 单点感知依赖

栏杆和信号灯由轨道电路触发,只能检测列车接近,无法感知道口内是否有滞留车辆或行人。Buggenhout事故中,栏杆已放下,但校车仍试图穿越——系统对这一行为没有任何感知能力,也无反制手段。

2. 失败后果不对称

系统一旦错过某个信号故障(比如栏杆电机卡死但传感器误报“已关闭”),后果几乎都是灾难性的。而故障诊断大多靠周期性人工巡检,实时监控覆盖率极低。

3. 用户教育代替系统容错

几乎所有道口安全设计都依赖“用户应当知道不能闯”这一前提。但在疲劳、赶时间、视线遮挡等真实场景下,这是个脆弱假设。

产品决策逻辑:从防呆到容错

安全系统设计有一个经典从低到高的层级:

  • 预防:阻止危险行为(栏杆)
  • 检测:发现危险状态(传感器)
  • 缓解:降低事故伤害(报警、减速)
  • 恢复:事故后处理

传统道口停留在“预防”层,且预防手段本身就是单点故障。现代产品决策应该加入冗余检测主动干预

我的观点:不是开发者的锅,是产品经理的锅。因为技术已经可以做到更低的成本,但决策者没有把“用户非理性行为”纳入需求。当你在设计一个涉及人身安全的系统时,必须假设用户一定会犯错,然后问自己:我的系统能在用户犯错时怎么救回来?

交互设计要点:多层次预警与反馈闭环

我梳理了道口安全系统的理想交互设计层次:

第一层:无死角感知

  • 轨道电路(列车检测)
  • 道口内雷达/激光雷达(车辆/行人检测)
  • 地磁感应线圈(车辆停留检测)
  • 云端联动(实时状态回传控制中心)

现状:多数道口只具备第一项。

第二层:三级预警响应

  • 黄灯预警(列车接近中,仍可安全通过):触发路面LED灯带闪烁、车道内震动带
  • 红灯+栏杆(强制停止):搭配语音提示“列车即将通过,请勿穿越”
  • 二次确认(栏杆完全落下后):传感器确认道口内无物体,才能让列车通行信号生效

如果栏杆已落下,但道口内传感器检测到车辆正在进入,系统应该做三件事:

  1. 立即触发更强警报(高分贝喇叭、对向红灯)
  2. 向列车发送紧急刹车信号(若距离够)
  3. 记录现场视频并上传控制中心

第三层:闭环反馈

  • 每次道口事件(栏杆动作、传感器报警)自动记录
  • 如果出现“栏杆落下后仍有车辆闯入”的情况,系统标记为高风险事件,触发人工复核
  • 定期生成道口行为报告,用于优化预警时间窗口

可执行的改进建议

对于正在构建安全相关产品的开发者,我给出三个具体建议:

1. 引入“反事实”逻辑

不要只监控“系统认为正常”的事件。设计一个独立监控模块,专门检测“系统认为不可能”的事件。例如:

  • 栏杆处于“已放下”状态,但道口内有移动物体(雷达反推)
  • 信号灯为红灯,但车辆在接近(视频分析)

这种反事实检测能暴露系统盲区。

2. 低成本传感器组合

如果预算有限,不必强求全覆盖雷达。一个可行方案:

  • 两个地磁传感器埋在道口入口和出口,检测车辆通过
  • 一个红外相机对着栏杆位置,用边缘AI判断栏杆状态(开/关/半开)
  • 当列车接近且至少一个传感器报告“有车正在通过”,立即触发紧急预警

总硬件成本可控制在500美元以内(不含部署)。对比一条人命,这投入值得。

3. 预期管理优先于自动处理

很多开发者倾向于设计“全自动避撞系统”。但在安全领域,让人类决策者保持感知 - 理解 - 决策的闭环,比完全交给AI更可靠。

例如:当系统检测到校车试图穿越已关闭道口,不是直接刹车,而是向驾驶员发出“警告:道口有列车接近,立即停车”的强指令。如果驾驶员无视,才自动触发紧急制动。这样既尊重了人的最终控制权,又保留了安全网。

技术并非万能的,但设计可以更好

回到比利时事故。当地警方披露,栏杆当时是关闭的,但校车仍选择穿越。这是一个经典的“已知风险,仍要执行”的行为。

我们无法消除所有非理性行为,但可以通过产品设计,让非理性行为的后果尽可能降低。对开发者而言,这是一个持续的提醒:当你的系统只假设用户完美时,它就是不完美的。

下一个你设计的功能,也许不是道口栏杆,而是一个RPA流程或AI对话界面。但当用户做出超出预期操作时,你有兜底吗?

(全文完)