摘要： 針對(duì)智能航電系統(tǒng)在非線性耦合運(yùn)行場(chǎng)景下產(chǎn)生的預(yù)期功能安全（safety of the intended functionality， SOTIF）問(wèn)題，提出一種將系統(tǒng)理論過(guò)程分析（systematic theory process analysis， STPA）與決策試驗(yàn)與評(píng)價(jià)實(shí)驗(yàn)法（decision-making trial and evaluation laboratory， DEMATEL）相結(jié)合的致因分析框架。首先，在定義系統(tǒng)級(jí)危險(xiǎn)的基礎(chǔ)上構(gòu)建安全控制結(jié)構(gòu)，識(shí)別其不安全控制行為并提取與智能化缺陷相關(guān)的STPA致因要素。接下來(lái)，引入畢達(dá)哥拉斯模糊加權(quán)平均算子和閔可夫斯基距離對(duì)傳統(tǒng)DEMATEL方法進(jìn)行優(yōu)化，專家根據(jù)控制反饋回路對(duì)致因要素進(jìn)行評(píng)價(jià)并計(jì)算其中心度與原因度。最后，分析STPA致因要素與SOTIF致因?qū)傩灾g的映射關(guān)系，給出關(guān)鍵致因要素的風(fēng)險(xiǎn)減緩措施。以單一飛行員駕駛（single-pilot operation， SPO）模式下的虛擬駕駛員助理系統(tǒng)為例說(shuō)明了所提方法的可行性與有效性。研究結(jié)果表明，改進(jìn)的STPA-DEMATEL方法可以有效識(shí)別關(guān)鍵致因要素，且能夠克服專家評(píng)價(jià)的模糊性與不確定性，為智能航電系統(tǒng)的安全性設(shè)計(jì)提供了參考依據(jù)。

關(guān)鍵詞： 智能航電系統(tǒng); 單一飛行員駕駛; 系統(tǒng)理論過(guò)程分析; 決策試驗(yàn)與評(píng)價(jià)實(shí)驗(yàn)法; 畢達(dá)哥拉斯模糊理論; 致因分析

中圖分類號(hào)： F 562.9

文獻(xiàn)標(biāo)志碼： A

DOI：10.12305/j.issn.1001-506X.2024.06.20

Causal factor analysis of AI-based avionics system based on improved STPA-DEMATEL

LIU Jiachen^1，2， DONG Lei^{1，3，*}， CHEN Xi^1，3， LIANG Boyao^1，2， WANG Peng^1，3

（1. Key Laboratory of Civil Aircraft Airworthiness Technology， Civil Aviation University of China， Tianjin 300300， China; 2. College of Safety Science and Engineering， Civil Aviation University of China， Tianjin 300300， China; 3. Department of Science and Technology， Civil Aviation University of China， Tianjin 300300， China）

Abstract： Aiming at the safety of the intended functionality （SOTIF） problem of artificial intelligence （AI）-based avionics system under non-linear coupled operation scenarios， a causal analysis framework combining systematic theory process analysis （STPA） and decision-making trial and evaluation laboratory （DEMATEL） is proposed. Firstly， the safety control structure is constructed based on the definition of system-level hazards， then the unsafe control actions are identified and the STPA causal factors associated with the intelligent defects are extracted. Secondly， the traditional DEMATEL method is optimized by introducing the Pythagorean fuzzy （PF） weighted averaging operator and Minkowski distance， the experts evaluate the causal factors based on the control feedback loop and calculate their centrality and causality. Finally， the mapping relationship between STPA causal factors and SOTIF causal attributes is analyzed， and the risk mitigation measures for key causal factors are given. The virtual pilot assistant system under the single-pilot operation （SPO） mode is taken as an example to illustrate the feasibility and effectiveness of the proposed method， the research results show that the improved STPA-DEMATEL method can effectively identify the key causal factors and overcome the ambiguity and uncertainty of expert evaluation， which provides a reference basis for the safety design of AI-based avionics system.

Keywords： artificial intelligence （AI）-based avionics system; single-pilot operation （SPO）; systematic theory process analysis （STPA）; decision-making trial and evaluation laboratory （DEMATEL）; Pythagorean fuzzy （PF） theory; causal analysis

0 引 言

近年來(lái)，人工智能（artificial intelligence， AI）作為一類戰(zhàn)略性的新興技術(shù)取得了舉世矚目的成功，國(guó)內(nèi)外權(quán)威航空安全機(jī)構(gòu)、科研組織以及領(lǐng)軍企業(yè)陸續(xù)開展了AI在航空領(lǐng)域內(nèi)的應(yīng)用及認(rèn)證研究，繪制了航空AI技術(shù)發(fā)展路線圖^［1-2］。但是，由于當(dāng)前AI技術(shù)的成熟度、適航安全性以及可信性等方面的實(shí)際問(wèn)題，AI技術(shù)暫時(shí)不具備在中國(guó)民用航空規(guī)章25部運(yùn)輸類飛機(jī)上的應(yīng)用條件。如何使AI技術(shù)應(yīng)用在民機(jī)航電系統(tǒng)還存在非常多的技術(shù)瓶頸問(wèn)題尚未解決，如傳統(tǒng)的研發(fā)認(rèn)證框架不再適用于以機(jī)器學(xué)習(xí)為代表的AI算法;現(xiàn)有技術(shù)難以確保訓(xùn)練模型的魯棒性和可解釋性;缺乏評(píng)估智能航電系統(tǒng)安全性的標(biāo)準(zhǔn)化手段等^［3-5］。

現(xiàn)有民機(jī)系統(tǒng)安全性設(shè)計(jì)與評(píng)估方法一般從線性角度對(duì)系統(tǒng)部件進(jìn)行分析，如故障樹分析、失效模式與影響分析等方法都將安全問(wèn)題轉(zhuǎn)化為可靠性分析問(wèn)題，具有一定的實(shí)際應(yīng)用價(jià)值，但由于智能航電系統(tǒng)具有非平穩(wěn)性、耦合性、內(nèi)在不確定性等非線性特點(diǎn)，難以對(duì)其運(yùn)行場(chǎng)景進(jìn)行精確描述^［6］。系統(tǒng)理論過(guò)程分析（systematic theory process analysis， STPA）將系統(tǒng)安全性視為涌現(xiàn)特性，對(duì)系統(tǒng)組件的行為及組件間的交互施加約束，將安全問(wèn)題轉(zhuǎn)化為控制問(wèn)題，能夠識(shí)別傳統(tǒng)方法所不能識(shí)別的致因場(chǎng)景^［7］。因此，STPA也逐漸在各領(lǐng)域的智能系統(tǒng)安全性分析中得到應(yīng)用。例如，文獻(xiàn)［8］采用STPA識(shí)別神經(jīng)網(wǎng)絡(luò)控制系統(tǒng)（neural network control system， NNCS）在自主飛行編隊(duì)用例下的不安全控制行為與致因場(chǎng)景，并由此得出了智能系統(tǒng)運(yùn)行時(shí)保證（runtime assurance， RTA）邊界。文獻(xiàn)［9］采用STPA對(duì)自主水面艦艇的智能系統(tǒng)進(jìn)行致因分析，將結(jié)果轉(zhuǎn)換為貝葉斯信念網(wǎng)絡(luò)的節(jié)點(diǎn)和結(jié)構(gòu)，建立了在線的風(fēng)險(xiǎn)決策模型。文獻(xiàn)［10］面向智能鐵路行車輔助系統(tǒng)（intelligent railway driving assistance system， IRDAS）對(duì)STPA的控制結(jié)構(gòu)進(jìn)行了擴(kuò)展并進(jìn)行致因識(shí)別，提出了一種基于異構(gòu)復(fù)雜網(wǎng)絡(luò)的建模方法，來(lái)評(píng)價(jià)與預(yù)期功能安全相關(guān)的致因要素。文獻(xiàn)［11］基于STPA得到了智能汽車自動(dòng)緊急制動(dòng)系統(tǒng)的預(yù)期功能安全要求，提出了感知盲區(qū)場(chǎng)景下的安全車速規(guī)劃策略，并通過(guò)仿真驗(yàn)證了該安全策略的有效性。然而，STPA作為一種獨(dú)立于領(lǐng)域的方法，需要根據(jù)系統(tǒng)特性和安全控制結(jié)構(gòu)中組件間的復(fù)雜交互關(guān)系具體開展，面向智能航電系統(tǒng)的STPA方法有進(jìn)一步優(yōu)化的空間。此外，由于STPA本身并不具備風(fēng)險(xiǎn)量化功能，對(duì)致因要素的分析工作需要采用額外的方法進(jìn)行拓展。

決策試驗(yàn)與評(píng)價(jià)實(shí)驗(yàn)法（decision-making trial and evaluation laboratory， DEMATEL）具有對(duì)復(fù)雜因素予以非線性關(guān)聯(lián)分析、中心度分析等方面的明顯優(yōu)勢(shì)。近年來(lái)，關(guān)于DEMATEL評(píng)價(jià)標(biāo)度、不確定專家信息表達(dá)以及系統(tǒng)結(jié)構(gòu)分析等方面的研究均取得了部分創(chuàng)新性的理論成果，已成為復(fù)雜系統(tǒng)、管理科學(xué)、安全科學(xué)領(lǐng)域?qū)＜覍W(xué)者研究與應(yīng)用的熱點(diǎn)方法^［12］。但是，此方法還存在對(duì)系統(tǒng)因素之間蘊(yùn)含的涌現(xiàn)性特征辨識(shí)機(jī)理不清晰、系統(tǒng)層次結(jié)構(gòu)與分析方法的綜合集成困難等問(wèn)題亟待解決^［13］。

綜上，為克服智能航電系統(tǒng)致因要素分析中存在的限制性問(wèn)題，本文結(jié)合兩種方法的優(yōu)點(diǎn)并分別對(duì)其進(jìn)行改進(jìn)，提出一種面向智能航電系統(tǒng)的致因分析框架，以單一飛行員駕駛（single-pilot operation，SPO）模式下的智能航電系統(tǒng)為例進(jìn)行分析，驗(yàn)證了所提方法的可行性與有效性，并針對(duì)關(guān)鍵致因要素給出風(fēng)險(xiǎn)緩解措施。

1 STPA-DEMATEL致因分析框架

面向智能航電系統(tǒng)的STPA-DEMATEL致因分析框架共分為3個(gè)部分，技術(shù)路線如圖1所示。

第1部分：從智能航電系統(tǒng)的運(yùn)行原理與特性出發(fā)，定義系統(tǒng)級(jí)事故和危險(xiǎn);然后，構(gòu)建包含“感知-決策-執(zhí)行”功能鏈的智能航電系統(tǒng)安全控制結(jié)構(gòu);在此基礎(chǔ)上，根據(jù)系統(tǒng)的反饋控制回路識(shí)別4類不安全控制行為，提取與智能化缺陷相關(guān)的STPA通用致因要素。

第2部分：利用畢達(dá)哥拉斯模糊（Pythagorean fuzzy， PF）平均算子對(duì)傳統(tǒng)DEMATEL方法進(jìn)行改進(jìn)，并引入閔可夫斯基距離和風(fēng)險(xiǎn)偏好系數(shù)計(jì)算專家權(quán)重，構(gòu)建基于模糊理論的DEMATEL致因評(píng)價(jià)優(yōu)化模型;專家根據(jù)安全控制結(jié)構(gòu)對(duì)致因要素進(jìn)行評(píng)價(jià)，計(jì)算致因要素的中心度與原因度，并與其他方法進(jìn)行對(duì)比。

第3部分：依據(jù)致因評(píng)價(jià)的結(jié)果劃分智能航電系統(tǒng)的關(guān)鍵/次關(guān)鍵/間接/獨(dú)立致因要素，建立STPA致因要素與預(yù)期功能安全（safety of the intended functionality， SOTIF）致因?qū)傩裕üδ懿蛔?觸發(fā)條件）之間的映射關(guān)系，形成典型的SOTIF致因場(chǎng)景;最后，給出智能航電系統(tǒng)關(guān)鍵致因要素的風(fēng)險(xiǎn)減緩措施。

1.1 面向SOTIF的STPA擴(kuò)展方法

1.1.1 STPA工作機(jī)理

STPA是基于STAMP致因模型的一種系統(tǒng)安全性分析方法，可用于系統(tǒng)生命周期的任何階段。目前，STPA已被多份標(biāo)準(zhǔn)采納，例如航空無(wú)線電技術(shù)委員會(huì)DO-356A、美國(guó)汽車工程師協(xié)會(huì)（Society of Automotive Engineers， SAE） AIR6913和SAE J3187^［14］。STPA的工作機(jī)理可分為如下4個(gè)步驟。

步驟 1 定義系統(tǒng)級(jí)危險(xiǎn)。不同的系統(tǒng)會(huì)存在不同的“危險(xiǎn)”?！拔ｋU(xiǎn)”可以理解為：系統(tǒng)狀態(tài)或系統(tǒng)條件，連同一組特定的環(huán)境條件，將導(dǎo)致事故。

步驟 2 構(gòu)建安全控制結(jié)構(gòu)。至少包括5類組件：控制器、受控過(guò)程、控制動(dòng)作、反饋以及其他部件之間的輸入輸出。

步驟 3 識(shí)別不安全控制行為（unsafe control actions， UCAs）。包括4種類型：① 未提供控制行為;② 提供錯(cuò)誤的控制行為;③ 提供錯(cuò)誤時(shí)序的控制行為;④ 控制行為持續(xù)太久或過(guò)早停止。

步驟 4 提取致因要素。致因要素是導(dǎo)致UCAs和危險(xiǎn)的誘發(fā)因素，存在于整個(gè)控制環(huán)路中，可以分為4種類別（控制器、執(zhí)行器、傳感器和受控過(guò)程），進(jìn)一步細(xì)化為10條通用致因要素，如圖2所示。由于智能化技術(shù)往往被應(yīng)用于感知和決策模塊中，本文將圍繞傳感器和控制器提取STPA致因要素。

1.1.2 預(yù)期功能安全

隨著AI技術(shù)的進(jìn)步和自動(dòng)駕駛系統(tǒng)的普及，國(guó)際標(biāo)準(zhǔn)化組織下設(shè)的功能安全工作組于2018年正式啟動(dòng)全球首個(gè)自動(dòng)駕駛安全國(guó)際標(biāo)準(zhǔn)ISO/PAS 21448的制定工作。如圖3所示，該標(biāo)準(zhǔn)認(rèn)為并不是所有的安全問(wèn)題都來(lái)自電子/電氣系統(tǒng)的故障和失效，而是立足于對(duì)智能系統(tǒng)影響更廣泛的非故障安全領(lǐng)域，解決由系統(tǒng)功能不足在一定觸發(fā)條件（如環(huán)境干擾或人員誤用）下所產(chǎn)生的不合理風(fēng)險(xiǎn)，即SOTIF問(wèn)題^［15］。

伴隨著SOTIF的標(biāo)準(zhǔn)化進(jìn)程，其在航空領(lǐng)域也得到了諸多權(quán)威航空安全機(jī)構(gòu)的關(guān)注，例如歐洲航空安全局（European Union Aviation Safety Agency， EASA）發(fā)布的《神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)認(rèn)證概念》^［16］和SAE發(fā)布的SAE AIR6988：《航空安全系統(tǒng)中的人工智能關(guān)注聲明》^［17］，都將ISO/PAS 21448列入了航空智能系統(tǒng)進(jìn)行適航認(rèn)證所必須參考的標(biāo)準(zhǔn)之一，這也是本文在智能航電系統(tǒng)中引入SOTIF進(jìn)行分析的依據(jù)。

將STPA各步驟與SOTIF危險(xiǎn)的產(chǎn)生過(guò)程相對(duì)比，可以發(fā)現(xiàn)STPA致因要素既包含了觸發(fā)條件，也包含了性能局限導(dǎo)致的功能不足，因此需要對(duì)STPA識(shí)別出的涌現(xiàn)性致因特征進(jìn)行進(jìn)一步評(píng)價(jià)和區(qū)分。STPA致因要素具體評(píng)價(jià)方法的主要思路是通過(guò)梳理致因要素之間的影響關(guān)系，將其映射為SOTIF致因?qū)傩裕⒁源颂骄恐悄芎诫娤到y(tǒng)SOTIF致因的產(chǎn)生、傳播與演化機(jī)理，進(jìn)而制定相應(yīng)的風(fēng)險(xiǎn)減緩措施。

1.2 基于PF理論的DEMATEL致因評(píng)價(jià)優(yōu)化模型

直覺模糊集考慮了模糊數(shù)隸屬度、非隸屬度以及猶豫度^［18］。而Yager等^［19］在直覺模糊集的基礎(chǔ)上將隸屬度與非隸屬度范圍由三角形區(qū)域（0≤u+v≤1）拓展至1/4圓區(qū)域（0≤u²+v²≤1），提出PF集，放松了隸屬度與非隸屬度的限制，從而在處理模糊性和不確定性信息方面具有更強(qiáng)的表現(xiàn)能力。

定義 1 設(shè)X為論域，則該論域上的直覺模糊集A可表示為

A={〈x，u_A（x），ν_A（x）〉：x∈X}（1）

式中：u_A：X→［0，1］與ν_A：X→［0，1］分別為隸屬度與非隸屬度，滿足

u_A（x）+ν_A（x）∈［0，1］，?x∈X（2）

x對(duì)A的猶豫度或不確定程度可表示為

π_A（x）=1－u_A（x）－ν_A（x）（3）

定義 2 設(shè)X為論域，則該論域上的PF集P可表示為

P={〈x，u_P（x），ν_P（x）〉：x∈X}（4）

式中：u_P：X→［0，1］與ν_P：X→［0，1］分別為隸屬度與非隸屬度，滿足

（u_P（x））²+（ν_P（x））²∈［0，1］，?x∈X（5）

x對(duì)P的猶豫度或不確定程度可表示為

π_P（x）=1－（u_P（x））²－（v_P（x））²（6）

定義 3 設(shè)p_i=（u_i，ν_i）（i=1，2，…，m）是一組PF數(shù)，w=（w₁，w₂，…，w_m）^T是相應(yīng)的權(quán)重向量，則PF加權(quán)平均算子如下所示：

PFWA_w（p₁，p₂，…，p_m）=w₁p₁⊕w₂p₂⊕…⊕w_mp_m=

1－∏mi=1（1－（u_i）²）^w_i，∏mi=1（v_i）^w_i（7）

式中：0≤w_k≤1，k=1，2，…，m，且∑^m_k=1w_k=1。

特別地，當(dāng)w=（1/m，1/m，…，1/m）^T時(shí)，PF加權(quán)平均算子退化為PF平均算子：

PFM（p₁，p₂，…，p_m）=

1－∏mi=1（1－（u_i）²）^1/m，∏mi=1（v_i）^1/m（8）

定義 4 設(shè)P₁=（p₁）_m×n和P₂=（p₂）_m×n是兩個(gè)PF矩陣，其元素為PF數(shù)p_ij=（u_ij，ν_ij）（i=1，2，…，m;j=1，2，…，n）。則P₁與P₂的閔可夫斯基距離定義如下所示：

d_t（P₁，P₂）=14mn∑mi=1∑nj=1（|（u_p1）²－（u_p2）²|^t+

|（v_p1）²－（v_p2）²|^t+|（π_p1）²－（π_p2）²|^t）^1/t（9）

特別地，當(dāng)t=1和t→+∞時(shí)，漢明距離和切比雪夫距離分別如下所示：

d₁（P₁，P₂）=14mn∑mi=1∑nj=1（|（u_p1）²－（u_p2）²|+

|（v_p1）²－（v_p2）²|^t+|（π_p1）²－（π_p2）²|^t）

d_+∞（P₁，P₂）=max1≤i≤m

1≤j≤n14mn（|（u_p1）²－（u_p2）²|+

|（v_p1）²－（v_p2）²|+|（π_p1）²－（π_p2）²|）（10）

本文利用PF加權(quán)平均算子對(duì)傳統(tǒng)DEMATEL方法進(jìn)行改進(jìn)，引入考慮風(fēng)險(xiǎn)偏好系數(shù)的閔可夫斯基距離，針對(duì)智能航電系統(tǒng)由多學(xué)科交叉、專家來(lái)自不同領(lǐng)域所導(dǎo)致的評(píng)價(jià)模糊性與不確定性問(wèn)題，構(gòu)建基于模糊理論的DEMATEL致因評(píng)價(jià)優(yōu)化模型，具體步驟如下。

步驟 1 構(gòu)建由專家個(gè)體判斷組成的模糊判斷矩陣。設(shè)F={f₁，f₂，…f_i，…，f_m}為有限的致因要素集，f_i表示第i個(gè)致因要素，i=1，2，…，n。設(shè)E={e₁，e₂，…e_k，…，e_n}為有限的專家集，e_k表示第k位專家，k=1，2，…，m。令專家應(yīng)用表1的語(yǔ)言變量對(duì)任意兩個(gè)致因要素（f_i，f_j）的影響關(guān)系進(jìn)行判斷，其中z^k_ij表示專家k認(rèn)為致因要素f_i對(duì)致因要素f_j的影響程度。

由此得出的模糊判斷矩陣為

步驟 2 專家權(quán)重的確定是多準(zhǔn)則群決策中的關(guān)鍵問(wèn)題。通過(guò)控制風(fēng)險(xiǎn)偏好系數(shù)ρ∈［0，1］并結(jié)合漢明距離和切比雪夫距離來(lái)確定專家權(quán)重，參考文獻(xiàn)［20］的研究，將綜合距離記為

d（R^k，R-）=（1－ρ）d₁（R^k，R-）+ρd_+∞（R^k，R-）（12）

式中：R-=（r-_ij）_n×n是決策群體的評(píng)價(jià)信息，可使用式（8）的PF平均算子來(lái)度量。當(dāng)ρ=1時(shí)，式（12）退化為d_+∞（R^k，R-），這說(shuō)明最大偏差對(duì)權(quán)重有較大影響，專家是偏好風(fēng)險(xiǎn)的，認(rèn)為大多數(shù)猶豫者會(huì)偏向支持，且ρ值越大，偏好風(fēng)險(xiǎn)的力度就越大，反之則為規(guī)避風(fēng)險(xiǎn)，即專家認(rèn)為大多數(shù)猶豫者會(huì)偏向反對(duì)，此時(shí)ρ=0，式（12）退化為d₁（R^k，R-）。

這種決策方法計(jì)算出的綜合距離d（R^k，R-）越小，則應(yīng)賦予專家e_k的權(quán)重越大，專家的權(quán)重計(jì)算如下：

w_k=1－d（R^k，R-）∑mk=1（1－d（R^k，R-））（13）

利用式（7）的PF加權(quán)平均算子綜合n位專家的模糊判斷矩陣，可得出模糊影響矩陣如下：

=PFWA_w（z¹_ij，z²_ij，…，z^m_ij）=

1－∏mk=1（1－（u^k_ij）²）^w_k，∏mk=1（v^k_ij）^w_k（14）

接下來(lái)，可通過(guò)式（15）將模糊影響矩陣轉(zhuǎn)化為由點(diǎn)組成的實(shí)數(shù)矩陣：

S=［s_ij］_n×n，s_ij=（3－u_ij+v_ij+（2ρ－1）π_ij）/6（15）

步驟 3 采用行和最大值法對(duì)實(shí)數(shù)矩陣進(jìn)行規(guī)范化處理，得出的規(guī)范化影響矩陣為

規(guī)范化影響矩陣G表示系統(tǒng)中各致因要素之間的直接影響。如圖4所示，G²表示在一個(gè)致因要素的間接作用下f_i對(duì)f_j的因果效應(yīng)，G³表示在兩個(gè)致因要素的間接作用下f_i對(duì)f_j的因果效應(yīng)。以此類推，對(duì)所有直接-間接影響矩陣求和可得到綜合影響矩陣如下：

L=limn→∞（G+G²+…+Gⁿ）=G（I－G）^－1（17）

根據(jù)綜合影響矩陣計(jì)算各致因要素的影響度、被影響度、中心度與原因度，具體計(jì)算公式如下所示：

式中：影響度a_i表示矩陣T各行致因?qū)ζ渌乱虻木C合影響值;被影響度b_i表示矩陣T各列致因受到所有其他致因的綜合影響值;將致因要素f_i的影響度和被影響度相加可得該要素的中心度α_i，α_i表示該要素在致因體系中的位置及其所起作用的大小;將致因要素f_i的影響度和被影響度相減可得到該要素的原因度β_i，對(duì)致因要素類別的具體評(píng)價(jià)方式如圖5所示。

2 實(shí)例分析

2.1 SPO模式下的智能航電系統(tǒng)

在民用飛機(jī)智能化、低成本化的發(fā)展趨勢(shì)下，SPO近年來(lái)成為了美國(guó)國(guó)家航空航天局、美國(guó)聯(lián)邦航空局和EASA適航關(guān)注的重要領(lǐng)域，國(guó)際民用航空組織已將SPO規(guī)劃為2030年下一代民用飛機(jī)駕駛模式的核心發(fā)展方向^［21］。此技術(shù)借助先進(jìn)的智能航電系統(tǒng)和/或地面操作員提供的遠(yuǎn)程支持，在滿足當(dāng)前民機(jī)雙乘員駕駛模式操縱效率和品質(zhì)的條件下減少了飛行員數(shù)量。然而，SPO模式也重新定義了人與機(jī)（智能航電系統(tǒng)）、空（駕駛艙）與地（地面站）之間的任務(wù)分配和決策方式，飛行場(chǎng)景的復(fù)雜性和不可預(yù)見性大大增加^［22］。根據(jù)機(jī)組控制能力和飛行駕駛條件兩個(gè)維度可將SPO的空地協(xié)同交互方案分成如表2所示的4個(gè)類別。其中，機(jī)組控制能力描述了SPO飛行員在飛行過(guò)程中的身體條件是否可以達(dá)到操控飛機(jī)的能力，由健康和失能區(qū)分;飛行駕駛條件描述了SPO飛行員在飛行過(guò)程中的非邏輯和故障操作狀態(tài)，由標(biāo)稱駕駛和非標(biāo)稱駕駛區(qū)分^［23］。

不難看出，實(shí)現(xiàn)SPO的必要條件是更新現(xiàn)有機(jī)載設(shè)備系統(tǒng)，許多研究者希望在SPO駕駛艙中引進(jìn)一個(gè)“智能副駕駛”來(lái)支持系統(tǒng)功能與當(dāng)前機(jī)組駕駛狀態(tài)的智能匹配，以此降低單一飛行員的工作負(fù)荷^［24］。例如Lim等^［25］提出的虛擬駕駛員助理系統(tǒng)（virtual pilot assistant system， VPAS），包括通信、監(jiān)視、飛行管理/控制和認(rèn)知人機(jī)接口（cognitive human-machine interface， CHMI）4個(gè)主要子系統(tǒng)。通信系統(tǒng)依靠關(guān)鍵安全性命令單元、非關(guān)鍵安全性命令單元、實(shí)時(shí)指揮與控制鏈路單元、空地語(yǔ)音/數(shù)據(jù)通信單元，實(shí)現(xiàn)了SPO飛行員、地面操作員、航空運(yùn)營(yíng)中心操作員和空中交通管制員之間的數(shù)據(jù)共享；機(jī)載監(jiān)視系統(tǒng)提供監(jiān)視功能和人機(jī)協(xié)作告警以提高飛行安全性，通過(guò)自主分離保證和避免碰撞減少機(jī)組的工作負(fù)荷，監(jiān)視信息可以從信息服務(wù)（地面操作員、航空運(yùn)營(yíng)中心操作員、空中交通管制員等）、協(xié)同傳感器（廣播式自動(dòng)相關(guān)監(jiān)視系統(tǒng)、機(jī)載防撞系統(tǒng)等）和非協(xié)同傳感器（地面迫近警告系統(tǒng)、氣象雷達(dá)等）獲得；飛行管理系統(tǒng)與飛行控制單元、自動(dòng)駕駛儀和飛行控制系統(tǒng)互連，提供面向未來(lái)空域的四維航跡規(guī)劃/優(yōu)化、飛行性能計(jì)算以及導(dǎo)航和控制功能;CHMI是基于咨詢通告（advisory circular， AC）25.1301-1中關(guān)于安全有效運(yùn)行的人為因素工程和系統(tǒng)冗余指導(dǎo)原則設(shè)計(jì)的，利用駕駛艙心理-生理監(jiān)測(cè)設(shè)備來(lái)實(shí)時(shí)監(jiān)控SPO飛行員的認(rèn)知狀態(tài)，如疲勞、注意力和心理負(fù)荷等，可采用可穿戴設(shè)備^［26］（心率、血壓、呼吸、腦電）和光學(xué)跟蹤攝像頭^［27］（眨眼、瞳孔、凝視、掃視）進(jìn)行指標(biāo)測(cè)量，并對(duì)外部環(huán)境條件、飛行動(dòng)力學(xué)性能、航電系統(tǒng)健康水平和飛行員認(rèn)知狀態(tài)組成的傳感器數(shù)據(jù)進(jìn)行高層信息融合，通過(guò)集成AI算法的推理模塊開展人與機(jī)、空與地之間的動(dòng)態(tài)任務(wù)分配決策及自適應(yīng)告警，形成自主化程度不同的SPO空地協(xié)同交互方案。如圖6所示，VPAS通過(guò)智能化技術(shù)提高了航電功能相互滲透、融合與重新規(guī)劃的能力^［24］，本文將其作為研究對(duì)象，旨在探究智能航電系統(tǒng)在SPO復(fù)雜運(yùn)行場(chǎng)景下致因的產(chǎn)生、傳播與演化機(jī)理，梳理功能不足、觸發(fā)條件以及兩者之間的影響關(guān)系，進(jìn)而制定相應(yīng)的風(fēng)險(xiǎn)減緩措施。

2.2 系統(tǒng)致因要素識(shí)別

2.2.1 定義系統(tǒng)級(jí)危險(xiǎn)

系統(tǒng)致因要素識(shí)別的第一步是定義分析目的，由于SPO將重新定義飛行機(jī)組的功能分配、協(xié)同操控和決策方式，并且在飛行員失能的情況下，SPO相比雙人制機(jī)組對(duì)飛行安全的影響更加突出，可能會(huì)對(duì)與飛行安全相關(guān)的功能應(yīng)用產(chǎn)生影響并造成嚴(yán)重后果。因此，SPO模式下由于智能航電系統(tǒng)不安全控制行為導(dǎo)致的事故（損失）包括：飛機(jī)性能受損（A-1）、飛行任務(wù)失?。ˋ-2）和人員受傷（A-3）。

在此基礎(chǔ)上，從機(jī)組控制能力和飛行駕駛條件兩方面給出系統(tǒng)級(jí)危險(xiǎn)清單：輕微降低/顯著降低/極大降低/喪失飛機(jī)的安全運(yùn)行能力（H1-1/2/3/4），輕微增加/顯著增加/極大增加了單一飛行員的工作負(fù)荷（H2-1/2/3）、單一飛行員喪失控制飛機(jī)的能力（H2-4），地面操作員喪失控制飛機(jī)的能力（H2-5），這些危險(xiǎn)是一種不希望系統(tǒng)陷入的非正常狀態(tài)^［28］。

2.2.2 建立安全控制結(jié)構(gòu)

基于第2.1節(jié)對(duì)SPO模式下VPAS運(yùn)行原理與架構(gòu)特性的分析，梳理各個(gè)組件的輸入、輸出和相互關(guān)系，可以構(gòu)建包含“感知-決策-執(zhí)行”功能鏈的安全控制結(jié)構(gòu)，如圖7所示。其中，紅色箭頭代表控制行為，綠色箭頭代表調(diào)整和反饋，藍(lán)色箭頭代表模塊內(nèi)部的信息傳遞?？梢钥闯?，智能控制器會(huì)根據(jù)各類傳感數(shù)據(jù)動(dòng)態(tài)調(diào)整SPO空地協(xié)同交互方案，除非通信網(wǎng)絡(luò)中斷，控制人員始終擁有對(duì)飛機(jī)的最終控制權(quán)，基于智能化技術(shù)的CHMI只是針對(duì)性地發(fā)揮和增強(qiáng)了SPO飛行員的潛能以及技能，最大限度地降低了飛行員的工作負(fù)荷。

2.2.3 識(shí)別不安全控制行為

在STPA中，危險(xiǎn)狀態(tài)被認(rèn)為是由UCAs造成的，由于圖7中各組件之間的控制關(guān)系和反饋回路不存在持續(xù)時(shí)間問(wèn)題，所以UCAs由前3種類型演化而來(lái)。由于篇幅限制，后續(xù)只關(guān)注控制人員（單一飛行員/地面操作員）與智能控制器（CHMI）之間的控制交互過(guò)程，識(shí)別得到的不安全控制行為如表3所示。

2.2.4 提取致因要素

根據(jù)表3的分析，發(fā)現(xiàn)UCAs-2“當(dāng)控制人員的心智模型發(fā)生變化時(shí)，智能航電系統(tǒng)進(jìn)行了錯(cuò)誤的動(dòng)態(tài)調(diào)整”可能會(huì)導(dǎo)致較為嚴(yán)重的危險(xiǎn)和事故，因此針對(duì)此UCAs進(jìn)行詳細(xì)分析。在參考相關(guān)技術(shù)在失效、危險(xiǎn)和風(fēng)險(xiǎn)等領(lǐng)域的研究成果的基礎(chǔ)上，給出致因要素的具體描述如表4所示。

2.3 系統(tǒng)致因要素評(píng)價(jià)

基于提取出的致因要素，首先邀請(qǐng)專家群體{e₁，e₂，e₃}根據(jù)控制反饋回路對(duì)致因要素間的影響關(guān)系進(jìn)行模糊語(yǔ)言評(píng)價(jià)，得到專家群體各自的模糊判斷矩陣。接下來(lái)，根據(jù)式（13）求得專家的權(quán)重分別為0.321、0.331、0.348，再根據(jù)式（14）對(duì)每位專家的模糊判斷矩陣進(jìn)行集結(jié)，生成的模糊影響矩陣如表5所示，此案例將風(fēng)險(xiǎn)偏好系數(shù)設(shè)定為0.8，使其更符合復(fù)雜問(wèn)題的實(shí)際決策情境。隨后，對(duì)模糊影響矩陣進(jìn)行解模糊處理，將其轉(zhuǎn)化為由點(diǎn)組成的實(shí)數(shù)矩陣。最后，對(duì)實(shí)數(shù)矩陣進(jìn)行規(guī)范化處理，并依據(jù)式（17）計(jì)算得到綜合影響矩陣，如表6所示，再依據(jù)式（18）分別求得各致因要素的影響度、被影響度、中心度與原因度，如表7所示。

根據(jù)表6計(jì)算出的中心度與原因度，可對(duì)致因要素的類別進(jìn)行劃分，如圖8所示，經(jīng)觀察可知致因要素劃分結(jié)果符合實(shí)際情況。其中，f₁（功能不足）和f₆（觸發(fā)條件）為關(guān)鍵致因要素，兩者通過(guò)組合作用共同導(dǎo)致預(yù)期功能安全危險(xiǎn)，致因場(chǎng)景可以描述為：“當(dāng)傳感器性能退化致使數(shù)據(jù)收集受到干擾時(shí)，由于智能算法的數(shù)據(jù)集不均衡、規(guī)模較小或標(biāo)注質(zhì)量較差，智能航電系統(tǒng)決策發(fā)生錯(cuò)誤并執(zhí)行了表3中的UCAs-2?！边@種場(chǎng)景下的致因要素具有高度誘發(fā)屬性，并且在危險(xiǎn)形成的過(guò)程中起主要影響作用，需要給出相應(yīng)的風(fēng)險(xiǎn)緩解措施;f₂、f₄和f₅為間接致因要素，這類致因要素的原因度為負(fù)值，雖然不會(huì)主動(dòng)觸發(fā)，但由關(guān)鍵致因要素誘發(fā)的組合作用會(huì)更容易產(chǎn)生危險(xiǎn)。圖8用紅色虛線標(biāo)出了兩種致因要素共同作用導(dǎo)致預(yù)期功能安全危險(xiǎn)的致因場(chǎng)景，也需要對(duì)其予以高度重視。

此外，通過(guò)觀察表5中致因要素間的影響系數(shù)，發(fā)現(xiàn)次關(guān)鍵致因要素f₇和f₈雖然中心度較低，不會(huì)對(duì)危險(xiǎn)的產(chǎn)生起到重要影響作用，但卻是間接致因要素f₂和f₄的主要觸發(fā)條件，其中存在一定的級(jí)聯(lián)關(guān)系。而針對(duì)獨(dú)立致因要素f₉，本文將其作為致因要素的原因是預(yù)期功能安全需要考慮合理可見的人員誤用所造成的影響。

2.4 對(duì)比分析

為驗(yàn)證致因評(píng)價(jià)優(yōu)化模型的可行性與有效性，將基于梯形模糊（trapezoidal fuzzy， TF）和PF理論的DEMATEL方法與本文的優(yōu)化模型進(jìn)行對(duì)比分析，使用相同的專家打分?jǐn)?shù)據(jù)進(jìn)行計(jì)算，得到不同方法的中心度與原因度。其中，中心度的大小表示該因素的致因作用的強(qiáng)弱，致因要素中心度值越大，因素的地位越高，可以利用中心度對(duì)所有致因要素予以重要性排序。從圖9所示的中心度排序?qū)Ρ葓D可知，各方法對(duì)致因要素中心度的排序結(jié)論相同，通過(guò)將3種方法兩兩分組，進(jìn)一步分析其Person相關(guān)系數(shù)，可以準(zhǔn)確反映各方法中心度計(jì)算結(jié)果的相關(guān)性。由表8可知，本文方法綜合了其他兩種方法的優(yōu)點(diǎn)，具有更為穩(wěn)定的數(shù)學(xué)結(jié)構(gòu)。

在此基礎(chǔ)上分析圖10可知，本文所提方法對(duì)致因要素的原因?qū)傩院徒Y(jié)果屬性區(qū)分效果較好。與其他兩種方法相比，致因評(píng)價(jià)優(yōu)化模型通過(guò)引入風(fēng)險(xiǎn)偏好系數(shù)來(lái)計(jì)算閔可夫斯基距離，并以此賦予專家權(quán)重，較為全面地涵蓋了專家群組對(duì)決策問(wèn)題的知識(shí)信息，使決策結(jié)果更具科學(xué)性與客觀性。

2.5 風(fēng)險(xiǎn)減緩措施建議

針對(duì)關(guān)鍵致因要素f₁“數(shù)據(jù)集不均衡、規(guī)模較小或標(biāo)注質(zhì)量較差”問(wèn)題，給出以下風(fēng)險(xiǎn)減緩措施建議。

（1） 在系統(tǒng)研制初期，需要將重點(diǎn)放在運(yùn)行設(shè)計(jì)域的構(gòu)建以及特定運(yùn)行限制的捕獲上，一個(gè)運(yùn)行設(shè)計(jì)域是符合一個(gè)或一組場(chǎng)景描述的參數(shù)集合，明確了系統(tǒng)正常運(yùn)行的條件及約束，旨在最大限度地保持智能航電系統(tǒng)運(yùn)行的“安全區(qū)”。

（2） 需要系統(tǒng)性地定義數(shù)據(jù)集的配置管理過(guò)程與活動(dòng)，至少涵蓋數(shù)據(jù)收集、數(shù)據(jù)準(zhǔn)備、數(shù)據(jù)分配和數(shù)據(jù)驗(yàn)證4個(gè)步驟，具體內(nèi)容可參考文獻(xiàn)［35-36］。

（3） 需要圍繞機(jī)器學(xué)習(xí)在航空領(lǐng)域內(nèi)應(yīng)用的數(shù)據(jù)質(zhì)量需求（data quality requirements， DQRs），從數(shù)據(jù)正確性、完整性、代表性、公平性、獨(dú)立性、可追溯性和及時(shí)性等方面對(duì)其進(jìn)行評(píng)估。

針對(duì)關(guān)鍵致因要素f₆“傳感器性能退化導(dǎo)致數(shù)據(jù)收集受到干擾”，最直接的風(fēng)險(xiǎn)減緩措施是采用多傳感器融合技術(shù)來(lái)突破單類傳感器的固有性能局限。但現(xiàn)階段研究在融合架構(gòu)、模型設(shè)計(jì)、多模態(tài)數(shù)據(jù)集等方面仍有進(jìn)一步發(fā)展的空間，難以完全排除致因要素f₆導(dǎo)致智能航電系統(tǒng)錯(cuò)誤決策的風(fēng)險(xiǎn)。與此同時(shí)，美國(guó)材料實(shí)驗(yàn)協(xié)會(huì)（American Society for Testing and Materials， ASTM）于2017年發(fā)布了ASTM F3269-17^［37］標(biāo)準(zhǔn)，提出了智能系統(tǒng)的RTA設(shè)計(jì)與實(shí)踐原則，此技術(shù)使用安全性監(jiān)控模塊對(duì)復(fù)雜傳感器的輸入輸出與系統(tǒng)狀態(tài)變量進(jìn)行檢測(cè)，判斷智能系統(tǒng)是否在其運(yùn)行設(shè)計(jì)域內(nèi)運(yùn)行。若系統(tǒng)在運(yùn)行時(shí)檢測(cè)到復(fù)雜傳感器異常，RTA切換器將會(huì)進(jìn)行模塊切換，用備用功能代替復(fù)雜功能，以保證影響飛行安全的功能正常運(yùn)行，典型的RTA架構(gòu)如圖11所示。

3 結(jié) 論

本文針對(duì)智能航電系統(tǒng)的特點(diǎn)，提出了一種改進(jìn)的STPA-DEMATEL致因分析框架，并以SPO模式下的智能航電系統(tǒng)為例開展了致因分析框架的可行性與有效性分析，主要結(jié)論如下：

（1） 通過(guò)STPA建立的安全控制結(jié)構(gòu)有助于深入理解智能航電系統(tǒng)的“感知-決策-執(zhí)行”控制反饋回路，并為后續(xù)的DEMATEL評(píng)價(jià)過(guò)程辨識(shí)出了系統(tǒng)中的涌現(xiàn)性致因特征。

（2） 基于模糊理論的DEMATEL致因評(píng)價(jià)優(yōu)化模型能夠有效劃分智能航電系統(tǒng)的關(guān)鍵/次關(guān)鍵/間接/獨(dú)立致因要素，與其他兩種方法相比，本文所提方法效果更好，實(shí)現(xiàn)了模糊性與確定性的統(tǒng)一。

（3） 從考慮預(yù)期功能安全的角度出發(fā)，可將STPA致因要素組成典型的SOTIF致因場(chǎng)景，在此基礎(chǔ)上為智能航電系統(tǒng)制定了區(qū)別于傳統(tǒng)復(fù)雜航電系統(tǒng)的風(fēng)險(xiǎn)減緩措施。

參考文獻(xiàn)

［1］董磊， 劉嘉琛， 陳曦， 等. 面向適航符合性的智能航電系統(tǒng)認(rèn)證研究進(jìn)展［J］. 航空工程進(jìn)展， 2023， 14（3）： 26-40.

DONG L， LIU J C， CHEN X， et al. Research progress of AI-based avionics system certification for airworthiness compliance［J］. Advances in Aeronautical Science and Engineering， 2023， 14（3）： 26-40.

［2］盧新來(lái)， 杜子亮， 許赟. 航空人工智能概念與應(yīng)用發(fā)展綜述［J］. 航空學(xué)報(bào)， 2021， 42（4）： 251-64.

LU X L， DU Z L， XU Y. Review on basic concept and applications for artificial intelligence in aviation［J］. Acta Aeronautica et Astronautica Sinica， 2021， 42（4）： 251-264.

［3］GABREAU C， PESQUET-POPESCU B， KAAKAI F， et al. AI for future skies： on-going standardization activities to build the next certification/approval framework for airborne and ground aeronautical products［C］∥Proc.of the International Joint Conference on Artificial Intelligence， 2021.

［4］SCHWEIGER A， ANNIGHOEFER B， REICH M， et al. Classification for avionics capabilities enabled by artificial intelligence［C］∥Proc.of the IEEE/AIAA 40th Digital Avionics Systems Conference， 2021.

［5］COFER D. Unintended behavior in learning-enabled systems： detecting the unknown unknowns［C］∥Proc.of the IEEE/AIAA 40th Digital Avionics Systems Conference， 2021.

［6］李超. 復(fù)雜裝備事故非線性耦合特征WPD-MF分析［J］. 中國(guó)安全科學(xué)學(xué)報(bào)， 2019， 29（12）： 97-102.

LI C. Research on non-linear coupling characteristics of complex materiel accident based on WPD-MF human-computer interaction safety analysis of airborne system from perspective of emergence［J］. China Safety Science Journal， 2019， 29（12）： 97-102.

［7］趙長(zhǎng)嘯， 李浩， 張偉， 等. 涌現(xiàn)性視角下機(jī)載系統(tǒng)人機(jī)交互安全性分析［J］. 中國(guó)安全科學(xué)學(xué)報(bào)， 2022， 32（11）： 113-120.

ZHAO C X， LI H， ZHANG W， et al. Human-computer interaction safety analysis of airborne system from perspective of emergence［J］. China Safety Science Journal， 2022， 32（11）： 113-120.

［8］HOBBS K L， HEINER B K， BUSSE L， et al. Systems theoretic process analysis of a run time assured neural network control system［C］∥Proc.of the AIAA SciTech Forum， 2023： 2664.

［9］UTNE I B， ROKSETH B， VINNEM J E， et al. Towards supervisory risk control of autonomous ships［J］. Reliability Engineering amp; System Safety， 2020， 196： 106757.

［10］ZHANG S J， TANG T， LIU J T. A hazard analysis approach for the SOTIF in intelligent railway driving assistance systems using STPA and complex network［J］. Applied Sciences， 2021， 11（16）： 7714.

［11］談東奎， 胡港君， 朱波， 等. 考慮預(yù)期功能安全的智能汽車自動(dòng)緊急制動(dòng)系統(tǒng)［J］. 汽車工程， 2022， 44（6）： 799-808.

TAN D K， HU G J， ZHU B， et al. Intelligent vehicle autonomous emergency braking system considering safety of the intended functionality［J］. Automotive Engineering， 2022， 44（6）： 799-808.

［12］SI S L， YOU X Y， LIU H C， et al. DEMATEL technique： a systematic review of the state-of-the-art literature on methodologies and applications［J］. Mathematical Problems in Engineering， 2018， 2018： 3696457.

［13］孫永河， 黃子航， 李陽(yáng). DEMATEL復(fù)雜因素分析算法最新進(jìn)展綜述［J］. 計(jì)算機(jī)科學(xué)與探索， 2022， 16（3）： 541-551.

SUN Y H， HUANG Z H， LI Y. Review of state of the art on DEMATEL algorithms for complex factor analysis［J］. Journal of Frontiers of Computer Science and Technology， 2022， 16（3）： 541-551.

［14］鐘德明， 宮浩原， 孫睿. 一種準(zhǔn)確識(shí)別損失場(chǎng)景的STPA［J］. 北京航空航天大學(xué)學(xué)報(bào)， 2023， 49（2）： 311-323.

ZHONG D M， GONG H Y， SUN R. An STPA for accurately identifying loss scenarios［J］. Journal of Beijing University of Aeronautics and Astronautics， 2023， 49（2）： 311-323.

［15］ABDULAZIM A， ELBAHAEY M， MOHAMED A. Putting safety of intended functionality SOTIF into practice［R］. Pittsburgh： Society of Automotive Engineers， 2021： 3-6.

［16］European Union Aviation Safety Agency. Concepts of design assurance for neural networks（CoDANN）［R］. Cologne： European Union Avition Safety Agency， 2020： 28-62.

［17］Society of Automotive Engineers. Artificial intelligence in aeronautical systems： statement of concerns： AIR6988［R］. Pittsburgh： Society of Automotive Engineers， 2021： 29-43.

［18］BUSTINCE H， BURILLO P. Vague sets are intuitionistic fuzzy sets［J］. Fuzzy Sets and Systems， 1996， 79（3）： 403-405.

［19］YAGER R R， ABBASOV A M. Pythagorean membership grades， complex numbers， and decision making［J］. International Journal of Intelligent Systems， 2013， 28（5）： 436-452.

［20］金珍. 基于畢達(dá)哥拉斯模糊集的多準(zhǔn)則群決策理論與方法研究［D］. 南昌： 江西財(cái)經(jīng)大學(xué)， 2019.

JIN Z. Research on multi-criteria group decision making theories and methods with pythagorean fuzzy sets［D］. Nanchang： Jiangxi University of Finance and Economics， 2019.

［21］HUANG K， WANG M， LUO Y， et al. A safety analysis method based on hazard pattern mining for single pilot operations air-ground task collaboration in commercial aircraft［J］. Aerospace Systems， 2022， 6（1）： 25-36.

［22］許為， 陳勇， 董文俊， 等. 大型商用飛機(jī)單一飛行員駕駛的人因工程研究進(jìn)展與展望［J］. 航空工程進(jìn)展， 2022， 13（1）： 1-18.

XU W， CHEN Y， DONG W J， et al. Human factors engineering research on single pilot operations for large commercial aircraft： progress and prospect［J］. Advances in Aeronautical Science and Engineering， 2022， 13（1）： 1-18.

［23］王淼， 肖剛， 王國(guó)慶. 單一飛行員駕駛模式技術(shù)［J］. 航空學(xué)報(bào)， 2020， 41（4）： 197-215.

WANG M， XIAO G， WANG G Q. Single pilot operation mode technology［J］. Acta Aeronautica et Astronautica Sinica， 2020， 41（4）： 197-215.

［24］DORMOY C， ANDRé J M， PAGANI A. A human factors’approach for multimodal collaboration with cognitive computing to create a human intelligent machine team： a review［J］. IOP Conference Series Materials Science and Engineering， 2021， 1024（1）： 012105.

［25］LIM Y， BASSIEN-CAPSA V， RAMASAMY S， et al. Commercial airline single-pilot operations： system design and pathways to certification［J］. IEEE Aerospace and Electronic Systems Magazine， 2017， 32（7）： 4-21.

［26］PONGSAKORNSATHIEN N， GARDI A， LIM Y， et al. Performance characterisation of wearable cardiac monitoring devices for aerospace applications［C］∥Proc.of the IEEE 6th International Workshop on Metrology for AeroSpace （MetroAeroSpace）， 2019.

［27］LIM Y， GARDI A， EZER N， et al. Eye-tracking sensors for adaptive aerospace human-machine interfaces and interactions［C］∥Proc.of the IEEE 5th International Workshop on Metrology for AeroSpace （MetroAeroSpace）， 2018.

［28］肖國(guó)松， 劉嘉琛， 董磊， 等. 面向IMA通用系統(tǒng)管理的STPA安全性分析［J］. 中國(guó)安全科學(xué)學(xué)報(bào)， 2021， 31（9）： 8-14.

XIAO G S， LIU J C， DONG L， et al. STPA safety analysis on IMA generic system management［J］. China Safety Science Journal， 2021， 31（9）： 8-14.

［29］SMITH C， DENNEY E， PAI G. Hazard contribution modes of machine learning components［C］∥Proc.of the AAAI’s Workshop on Artificial Intelligence Safety， 2020.

［30］FORSBERG H， LINDéN J， HJORTH J， et al. Challenges in using neural networks in safety-critical applications［C］∥Proc.of the IEEE/AIAA 39th Digital Avionics Systems Conference， 2020.

［31］STEIMERS A， SCHNEIDER M. Sources of risk of AI systems［J］. International Journal of Environmental Research and Public Health， 2022， 19（6）： 3641.

［32］BANERJEE D N， CHANDA S S. AI failures： a review of underlying issues［EB/OL］. ［2022-12-20］. arxiv.org/abs/2008.04073.

［33］SCOTT P J， YAMPOLSKIY R V. Classification schemas for artificial intelligence failures［J］. Delphi-Interdisciplinary Review of Emerging Technologies， 2020， 2（4）： 186-199.

［34］PONGSAKORNSATHIEN N， LIM Y， GARDI A， et al. Sensor networks for aerospace human-machine systems［J］. Sensors， 2019， 19（16）： 3465.

［35］EASA. First usable guidance for Level 1 machine learning applications［R］. Cologne： European Union Aviation Safety Agency， 2021： 10-48.

［36］DEEL. White paper machine learning in certified systems［R］. Toulouse： Dependable amp; Explainable Learning， 2021： 31-84.

［37］F3269-17. Standard practice for methods to safely bound flight behavior of unmanned aircraft systems containing complex functions［S］. West Conshohocken： American Society of Testing Materials， 2017.

作者簡(jiǎn)介

劉嘉?。?996—），男，博士研究生，主要研究方向?yàn)橹悄芎诫娤到y(tǒng)、民機(jī)系統(tǒng)安全性設(shè)計(jì)與評(píng)估。

董 磊（1983—），男，副研究員，博士，主要研究方向?yàn)槊駲C(jī)航電系統(tǒng)適航審定技術(shù)。

陳 曦（1987—），男，助理研究員，博士，主要研究方向?yàn)槟Ｊ阶R(shí)別、圖像處理。

梁博堯（1998—），男，碩士研究生，主要研究方向?yàn)槿斯ぶ悄荇敯粜?、系統(tǒng)運(yùn)行時(shí)保證。

王 鵬（1982—），男，研究員，博士，主要研究方向?yàn)槊駲C(jī)系統(tǒng)安全性設(shè)計(jì)與評(píng)估、機(jī)載電子硬件適航技術(shù)。