基于改進STPA-DEMATEL的智能航電系統致因要素分析

摘要： 針對智能航電系統在非線性耦合運行場景下產生的預期功能安全（safety of the intended functionality， SOTIF）問題，提出一種將系統理論過程分析（systematic theory process analysis， STPA）與決策試驗與評價實驗法（decision-making trial and evaluation laboratory， DEMATEL）相結合的致因分析框架。首先，在定義系統級危險的基礎上構建安全控制結構，識別其不安全控制行為并提取與智能化缺陷相關的STPA致因要素。接下來，引入畢達哥拉斯模糊加權平均算子和閔可夫斯基距離對傳統DEMATEL方法進行優化，專家根據控制反饋回路對致因要素進行評價并計算其中心度與原因度。最后，分析STPA致因要素與SOTIF致因屬性之間的映射關系，給出關鍵致因要素的風險減緩措施。以單一飛行員駕駛（single-pilot operation， SPO）模式下的虛擬駕駛員助理系統為例說明了所提方法的可行性與有效性。研究結果表明，改進的STPA-DEMATEL方法可以有效識別關鍵致因要素，且能夠克服專家評價的模糊性與不確定性，為智能航電系統的安全性設計提供了參考依據。

關鍵詞： 智能航電系統; 單一飛行員駕駛; 系統理論過程分析; 決策試驗與評價實驗法; 畢達哥拉斯模糊理論; 致因分析

中圖分類號： F 562.9

文獻標志碼： A

DOI：10.12305/j.issn.1001-506X.2024.06.20

Causal factor analysis of AI-based avionics system based on improved STPA-DEMATEL

LIU Jiachen^1，2， DONG Lei^1，3，*， CHEN Xi^1，3， LIANG Boyao^1，2， WANG Peng^1，3

（1. Key Laboratory of Civil Aircraft Airworthiness Technology， Civil Aviation University of China， Tianjin 300300， China; 2. College of Safety Science and Engineering， Civil Aviation University of China， Tianjin 300300， China; 3. Department of Science and Technology， Civil Aviation University of China， Tianjin 300300， China）

Abstract： Aiming at the safety of the intended functionality （SOTIF） problem of artificial intelligence （AI）-based avionics system under non-linear coupled operation scenarios， a causal analysis framework combining systematic theory process analysis （STPA） and decision-making trial and evaluation laboratory （DEMATEL） is proposed. Firstly， the safety control structure is constructed based on the definition of system-level hazards， then the unsafe control actions are identified and the STPA causal factors associated with the intelligent defects are extracted. Secondly， the traditional DEMATEL method is optimized by introducing the Pythagorean fuzzy （PF） weighted averaging operator and Minkowski distance， the experts evaluate the causal factors based on the control feedback loop and calculate their centrality and causality. Finally， the mapping relationship between STPA causal factors and SOTIF causal attributes is analyzed， and the risk mitigation measures for key causal factors are given. The virtual pilot assistant system under the single-pilot operation （SPO） mode is taken as an example to illustrate the feasibility and effectiveness of the proposed method， the research results show that the improved STPA-DEMATEL method can effectively identify the key causal factors and overcome the ambiguity and uncertainty of expert evaluation， which provides a reference basis for the safety design of AI-based avionics system.

Keywords： artificial intelligence （AI）-based avionics system; single-pilot operation （SPO）; systematic theory process analysis （STPA）; decision-making trial and evaluation laboratory （DEMATEL）; Pythagorean fuzzy （PF） theory; causal analysis

0 引 言

近年來，人工智能（artificial intelligence， AI）作為一類戰略性的新興技術取得了舉世矚目的成功，國內外權威航空安全機構、科研組織以及領軍企業陸續開展了AI在航空領域內的應用及認證研究，繪制了航空AI技術發展路線圖^［1-2］。但是，由于當前AI技術的成熟度、適航安全性以及可信性等方面的實際問題，AI技術暫時不具備在中國民用航空規章25部運輸類飛機上的應用條件。如何使AI技術應用在民機航電系統還存在非常多的技術瓶頸問題尚未解決，如傳統的研發認證框架不再適用于以機器學習為代表的AI算法;現有技術難以確保訓練模型的魯棒性和可解釋性;缺乏評估智能航電系統安全性的標準化手段等^［3-5］。

現有民機系統安全性設計與評估方法一般從線性角度對系統部件進行分析，如故障樹分析、失效模式與影響分析等方法都將安全問題轉化為可靠性分析問題，具有一定的實際應用價值，但由于智能航電系統具有非平穩性、耦合性、內在不確定性等非線性特點，難以對其運行場景進行精確描述^［6］。系統理論過程分析（systematic theory process analysis， STPA）將系統安全性視為涌現特性，對系統組件的行為及組件間的交互施加約束，將安全問題轉化為控制問題，能夠識別傳統方法所不能識別的致因場景^［7］。因此，STPA也逐漸在各領域的智能系統安全性分析中得到應用。例如，文獻［8］采用STPA識別神經網絡控制系統（neural network control system， NNCS）在自主飛行編隊用例下的不安全控制行為與致因場景，并由此得出了智能系統運行時保證（runtime assurance， RTA）邊界。文獻［9］采用STPA對自主水面艦艇的智能系統進行致因分析，將結果轉換為貝葉斯信念網絡的節點和結構，建立了在線的風險決策模型。文獻［10］面向智能鐵路行車輔助系統（intelligent railway driving assistance system， IRDAS）對STPA的控制結構進行了擴展并進行致因識別，提出了一種基于異構復雜網絡的建模方法，來評價與預期功能安全相關的致因要素。文獻［11］基于STPA得到了智能汽車自動緊急制動系統的預期功能安全要求，提出了感知盲區場景下的安全車速規劃策略，并通過仿真驗證了該安全策略的有效性。然而，STPA作為一種獨立于領域的方法，需要根據系統特性和安全控制結構中組件間的復雜交互關系具體開展，面向智能航電系統的STPA方法有進一步優化的空間。此外，由于STPA本身并不具備風險量化功能，對致因要素的分析工作需要采用額外的方法進行拓展。

決策試驗與評價實驗法（decision-making trial and evaluation laboratory， DEMATEL）具有對復雜因素予以非線性關聯分析、中心度分析等方面的明顯優勢。近年來，關于DEMATEL評價標度、不確定專家信息表達以及系統結構分析等方面的研究均取得了部分創新性的理論成果，已成為復雜系統、管理科學、安全科學領域專家學者研究與應用的熱點方法^［12］。但是，此方法還存在對系統因素之間蘊含的涌現性特征辨識機理不清晰、系統層次結構與分析方法的綜合集成困難等問題亟待解決^［13］。

綜上，為克服智能航電系統致因要素分析中存在的限制性問題，本文結合兩種方法的優點并分別對其進行改進，提出一種面向智能航電系統的致因分析框架，以單一飛行員駕駛（single-pilot operation，SPO）模式下的智能航電系統為例進行分析，驗證了所提方法的可行性與有效性，并針對關鍵致因要素給出風險緩解措施。

1 STPA-DEMATEL致因分析框架

面向智能航電系統的STPA-DEMATEL致因分析框架共分為3個部分，技術路線如圖1所示。

第1部分：從智能航電系統的運行原理與特性出發，定義系統級事故和危險;然后，構建包含“感知-決策-執行”功能鏈的智能航電系統安全控制結構;在此基礎上，根據系統的反饋控制回路識別4類不安全控制行為，提取與智能化缺陷相關的STPA通用致因要素。

第2部分：利用畢達哥拉斯模糊（Pythagorean fuzzy， PF）平均算子對傳統DEMATEL方法進行改進，并引入閔可夫斯基距離和風險偏好系數計算專家權重，構建基于模糊理論的DEMATEL致因評價優化模型;專家根據安全控制結構對致因要素進行評價，計算致因要素的中心度與原因度，并與其他方法進行對比。

第3部分：依據致因評價的結果劃分智能航電系統的關鍵/次關鍵/間接/獨立致因要素，建立STPA致因要素與預期功能安全（safety of the intended functionality， SOTIF）致因屬性（功能不足/觸發條件）之間的映射關系，形成典型的SOTIF致因場景;最后，給出智能航電系統關鍵致因要素的風險減緩措施。

1.1 面向SOTIF的STPA擴展方法

1.1.1 STPA工作機理

STPA是基于STAMP致因模型的一種系統安全性分析方法，可用于系統生命周期的任何階段。目前，STPA已被多份標準采納，例如航空無線電技術委員會DO-356A、美國汽車工程師協會（Society of Automotive Engineers， SAE） AIR6913和SAE J3187^［14］。STPA的工作機理可分為如下4個步驟。

步驟 1 定義系統級危險。不同的系統會存在不同的“危險”。“危險”可以理解為：系統狀態或系統條件，連同一組特定的環境條件，將導致事故。

步驟 2 構建安全控制結構。至少包括5類組件：控制器、受控過程、控制動作、反饋以及其他部件之間的輸入輸出。

步驟 3 識別不安全控制行為（unsafe control actions， UCAs）。包括4種類型：① 未提供控制行為;② 提供錯誤的控制行為;③ 提供錯誤時序的控制行為;④ 控制行為持續太久或過早停止。

步驟 4 提取致因要素。致因要素是導致UCAs和危險的誘發因素，存在于整個控制環路中，可以分為4種類別（控制器、執行器、傳感器和受控過程），進一步細化為10條通用致因要素，如圖2所示。由于智能化技術往往被應用于感知和決策模塊中，本文將圍繞傳感器和控制器提取STPA致因要素。

1.1.2 預期功能安全

隨著AI技術的進步和自動駕駛系統的普及，國際標準化組織下設的功能安全工作組于2018年正式啟動全球首個自動駕駛安全國際標準ISO/PAS 21448的制定工作。如圖3所示，該標準認為并不是所有的安全問題都來自電子/電氣系統的故障和失效，而是立足于對智能系統影響更廣泛的非故障安全領域，解決由系統功能不足在一定觸發條件（如環境干擾或人員誤用）下所產生的不合理風險，即SOTIF問題^［15］。

伴隨著SOTIF的標準化進程，其在航空領域也得到了諸多權威航空安全機構的關注，例如歐洲航空安全局（European Union Aviation Safety Agency， EASA）發布的《神經網絡設計認證概念》^［16］和SAE發布的SAE AIR6988：《航空安全系統中的人工智能關注聲明》^［17］，都將ISO/PAS 21448列入了航空智能系統進行適航認證所必須參考的標準之一，這也是本文在智能航電系統中引入SOTIF進行分析的依據。

將STPA各步驟與SOTIF危險的產生過程相對比，可以發現STPA致因要素既包含了觸發條件，也包含了性能局限導致的功能不足，因此需要對STPA識別出的涌現性致因特征進行進一步評價和區分。STPA致因要素具體評價方法的主要思路是通過梳理致因要素之間的影響關系，將其映射為SOTIF致因屬性，并以此探究智能航電系統SOTIF致因的產生、傳播與演化機理，進而制定相應的風險減緩措施。

1.2 基于PF理論的DEMATEL致因評價優化模型

直覺模糊集考慮了模糊數隸屬度、非隸屬度以及猶豫度^［18］。而Yager等^［19］在直覺模糊集的基礎上將隸屬度與非隸屬度范圍由三角形區域（0≤u+v≤1）拓展至1/4圓區域（0≤u²+v²≤1），提出PF集，放松了隸屬度與非隸屬度的限制，從而在處理模糊性和不確定性信息方面具有更強的表現能力。

定義 1 設X為論域，則該論域上的直覺模糊集A可表示為

A={〈x，u_A（x），ν_A（x）〉：x∈X}（1）

式中：u_A：X→［0，1］與ν_A：X→［0，1］分別為隸屬度與非隸屬度，滿足

u_A（x）+ν_A（x）∈［0，1］，?x∈X（2）

x對A的猶豫度或不確定程度可表示為

π_A（x）=1－u_A（x）－ν_A（x）（3）

定義 2 設X為論域，則該論域上的PF集P可表示為

P={〈x，u_P（x），ν_P（x）〉：x∈X}（4）

式中：u_P：X→［0，1］與ν_P：X→［0，1］分別為隸屬度與非隸屬度，滿足

（u_P（x））²+（ν_P（x））²∈［0，1］，?x∈X（5）

x對P的猶豫度或不確定程度可表示為

π_P（x）=1－（u_P（x））²－（v_P（x））²（6）

定義 3 設p_i=（u_i，ν_i）（i=1，2，…，m）是一組PF數，w=（w₁，w₂，…，w_m）^T是相應的權重向量，則PF加權平均算子如下所示：

PFWA_w（p₁，p₂，…，p_m）=w₁p₁⊕w₂p₂⊕…⊕w_mp_m=

1－∏mi=1（1－（u_i）²）^w_i，∏mi=1（v_i）^w_i（7）

式中：0≤w_k≤1，k=1，2，…，m，且∑^m_k=1w_k=1。

特別地，當w=（1/m，1/m，…，1/m）^T時，PF加權平均算子退化為PF平均算子：

PFM（p₁，p₂，…，p_m）=

1－∏mi=1（1－（u_i）²）^1/m，∏mi=1（v_i）^1/m（8）

定義 4 設P₁=（p₁）_m×n和P₂=（p₂）_m×n是兩個PF矩陣，其元素為PF數p_ij=（u_ij，ν_ij）（i=1，2，…，m;j=1，2，…，n）。則P₁與P₂的閔可夫斯基距離定義如下所示：

d_t（P₁，P₂）=14mn∑mi=1∑nj=1（|（u_p1）²－（u_p2）²|^t+

|（v_p1）²－（v_p2）²|^t+|（π_p1）²－（π_p2）²|^t）^1/t（9）

特別地，當t=1和t→+∞時，漢明距離和切比雪夫距離分別如下所示：

d₁（P₁，P₂）=14mn∑mi=1∑nj=1（|（u_p1）²－（u_p2）²|+

|（v_p1）²－（v_p2）²|^t+|（π_p1）²－（π_p2）²|^t）

d_+∞（P₁，P₂）=max1≤i≤m

1≤j≤n14mn（|（u_p1）²－（u_p2）²|+

|（v_p1）²－（v_p2）²|+|（π_p1）²－（π_p2）²|）（10）

本文利用PF加權平均算子對傳統DEMATEL方法進行改進，引入考慮風險偏好系數的閔可夫斯基距離，針對智能航電系統由多學科交叉、專家來自不同領域所導致的評價模糊性與不確定性問題，構建基于模糊理論的DEMATEL致因評價優化模型，具體步驟如下。

步驟 1 構建由專家個體判斷組成的模糊判斷矩陣。設F={f₁，f₂，…f_i，…，f_m}為有限的致因要素集，f_i表示第i個致因要素，i=1，2，…，n。設E={e₁，e₂，…e_k，…，e_n}為有限的專家集，e_k表示第k位專家，k=1，2，…，m。令專家應用表1的語言變量對任意兩個致因要素（f_i，f_j）的影響關系進行判斷，其中z^k_ij表示專家k認為致因要素f_i對致因要素f_j的影響程度。

由此得出的模糊判斷矩陣為

步驟 2 專家權重的確定是多準則群決策中的關鍵問題。通過控制風險偏好系數ρ∈［0，1］并結合漢明距離和切比雪夫距離來確定專家權重，參考文獻［20］的研究，將綜合距離記為

d（R^k，R-）=（1－ρ）d₁（R^k，R-）+ρd_+∞（R^k，R-）（12）

式中：R-=（r-_ij）_n×n是決策群體的評價信息，可使用式（8）的PF平均算子來度量。當ρ=1時，式（12）退化為d_+∞（R^k，R-），這說明最大偏差對權重有較大影響，專家是偏好風險的，認為大多數猶豫者會偏向支持，且ρ值越大，偏好風險的力度就越大，反之則為規避風險，即專家認為大多數猶豫者會偏向反對，此時ρ=0，式（12）退化為d₁（R^k，R-）。

這種決策方法計算出的綜合距離d（R^k，R-）越小，則應賦予專家e_k的權重越大，專家的權重計算如下：

w_k=1－d（R^k，R-）∑mk=1（1－d（R^k，R-））（13）

利用式（7）的PF加權平均算子綜合n位專家的模糊判斷矩陣，可得出模糊影響矩陣如下：

=PFWA_w（z¹_ij，z²_ij，…，z^m_ij）=

1－∏mk=1（1－（u^k_ij）²）^w_k，∏mk=1（v^k_ij）^w_k（14）

接下來，可通過式（15）將模糊影響矩陣轉化為由點組成的實數矩陣：

S=［s_ij］_n×n，s_ij=（3－u_ij+v_ij+（2ρ－1）π_ij）/6（15）

步驟 3 采用行和最大值法對實數矩陣進行規范化處理，得出的規范化影響矩陣為

規范化影響矩陣G表示系統中各致因要素之間的直接影響。如圖4所示，G²表示在一個致因要素的間接作用下f_i對f_j的因果效應，G³表示在兩個致因要素的間接作用下f_i對f_j的因果效應。以此類推，對所有直接-間接影響矩陣求和可得到綜合影響矩陣如下：

L=limn→∞（G+G²+…+Gⁿ）=G（I－G）^－1（17）

根據綜合影響矩陣計算各致因要素的影響度、被影響度、中心度與原因度，具體計算公式如下所示：

式中：影響度a_i表示矩陣T各行致因對其他致因的綜合影響值;被影響度b_i表示矩陣T各列致因受到所有其他致因的綜合影響值;將致因要素f_i的影響度和被影響度相加可得該要素的中心度α_i，α_i表示該要素在致因體系中的位置及其所起作用的大小;將致因要素f_i的影響度和被影響度相減可得到該要素的原因度β_i，對致因要素類別的具體評價方式如圖5所示。

2 實例分析

2.1 SPO模式下的智能航電系統

在民用飛機智能化、低成本化的發展趨勢下，SPO近年來成為了美國國家航空航天局、美國聯邦航空局和EASA適航關注的重要領域，國際民用航空組織已將SPO規劃為2030年下一代民用飛機駕駛模式的核心發展方向^［21］。此技術借助先進的智能航電系統和/或地面操作員提供的遠程支持，在滿足當前民機雙乘員駕駛模式操縱效率和品質的條件下減少了飛行員數量。然而，SPO模式也重新定義了人與機（智能航電系統）、空（駕駛艙）與地（地面站）之間的任務分配和決策方式，飛行場景的復雜性和不可預見性大大增加^［22］。根據機組控制能力和飛行駕駛條件兩個維度可將SPO的空地協同交互方案分成如表2所示的4個類別。其中，機組控制能力描述了SPO飛行員在飛行過程中的身體條件是否可以達到操控飛機的能力，由健康和失能區分;飛行駕駛條件描述了SPO飛行員在飛行過程中的非邏輯和故障操作狀態，由標稱駕駛和非標稱駕駛區分^［23］。

不難看出，實現SPO的必要條件是更新現有機載設備系統，許多研究者希望在SPO駕駛艙中引進一個“智能副駕駛”來支持系統功能與當前機組駕駛狀態的智能匹配，以此降低單一飛行員的工作負荷^［24］。例如Lim等^［25］提出的虛擬駕駛員助理系統（virtual pilot assistant system， VPAS），包括通信、監視、飛行管理/控制和認知人機接口（cognitive human-machine interface， CHMI）4個主要子系統。通信系統依靠關鍵安全性命令單元、非關鍵安全性命令單元、實時指揮與控制鏈路單元、空地語音/數據通信單元，實現了SPO飛行員、地面操作員、航空運營中心操作員和空中交通管制員之間的數據共享；機載監視系統提供監視功能和人機協作告警以提高飛行安全性，通過自主分離保證和避免碰撞減少機組的工作負荷，監視信息可以從信息服務（地面操作員、航空運營中心操作員、空中交通管制員等）、協同傳感器（廣播式自動相關監視系統、機載防撞系統等）和非協同傳感器（地面迫近警告系統、氣象雷達等）獲得；飛行管理系統與飛行控制單元、自動駕駛儀和飛行控制系統互連，提供面向未來空域的四維航跡規劃/優化、飛行性能計算以及導航和控制功能;CHMI是基于咨詢通告（advisory circular， AC）25.1301-1中關于安全有效運行的人為因素工程和系統冗余指導原則設計的，利用駕駛艙心理-生理監測設備來實時監控SPO飛行員的認知狀態，如疲勞、注意力和心理負荷等，可采用可穿戴設備^［26］（心率、血壓、呼吸、腦電）和光學跟蹤攝像頭^［27］（眨眼、瞳孔、凝視、掃視）進行指標測量，并對外部環境條件、飛行動力學性能、航電系統健康水平和飛行員認知狀態組成的傳感器數據進行高層信息融合，通過集成AI算法的推理模塊開展人與機、空與地之間的動態任務分配決策及自適應告警，形成自主化程度不同的SPO空地協同交互方案。如圖6所示，VPAS通過智能化技術提高了航電功能相互滲透、融合與重新規劃的能力^［24］，本文將其作為研究對象，旨在探究智能航電系統在SPO復雜運行場景下致因的產生、傳播與演化機理，梳理功能不足、觸發條件以及兩者之間的影響關系，進而制定相應的風險減緩措施。

2.2 系統致因要素識別

2.2.1 定義系統級危險

系統致因要素識別的第一步是定義分析目的，由于SPO將重新定義飛行機組的功能分配、協同操控和決策方式，并且在飛行員失能的情況下，SPO相比雙人制機組對飛行安全的影響更加突出，可能會對與飛行安全相關的功能應用產生影響并造成嚴重后果。因此，SPO模式下由于智能航電系統不安全控制行為導致的事故（損失）包括：飛機性能受損（A-1）、飛行任務失敗（A-2）和人員受傷（A-3）。

在此基礎上，從機組控制能力和飛行駕駛條件兩方面給出系統級危險清單：輕微降低/顯著降低/極大降低/喪失飛機的安全運行能力（H1-1/2/3/4），輕微增加/顯著增加/極大增加了單一飛行員的工作負荷（H2-1/2/3）、單一飛行員喪失控制飛機的能力（H2-4），地面操作員喪失控制飛機的能力（H2-5），這些危險是一種不希望系統陷入的非正常狀態^［28］。

2.2.2 建立安全控制結構

基于第2.1節對SPO模式下VPAS運行原理與架構特性的分析，梳理各個組件的輸入、輸出和相互關系，可以構建包含“感知-決策-執行”功能鏈的安全控制結構，如圖7所示。其中，紅色箭頭代表控制行為，綠色箭頭代表調整和反饋，藍色箭頭代表模塊內部的信息傳遞。可以看出，智能控制器會根據各類傳感數據動態調整SPO空地協同交互方案，除非通信網絡中斷，控制人員始終擁有對飛機的最終控制權，基于智能化技術的CHMI只是針對性地發揮和增強了SPO飛行員的潛能以及技能，最大限度地降低了飛行員的工作負荷。

2.2.3 識別不安全控制行為

在STPA中，危險狀態被認為是由UCAs造成的，由于圖7中各組件之間的控制關系和反饋回路不存在持續時間問題，所以UCAs由前3種類型演化而來。由于篇幅限制，后續只關注控制人員（單一飛行員/地面操作員）與智能控制器（CHMI）之間的控制交互過程，識別得到的不安全控制行為如表3所示。

2.2.4 提取致因要素

根據表3的分析，發現UCAs-2“當控制人員的心智模型發生變化時，智能航電系統進行了錯誤的動態調整”可能會導致較為嚴重的危險和事故，因此針對此UCAs進行詳細分析。在參考相關技術在失效、危險和風險等領域的研究成果的基礎上，給出致因要素的具體描述如表4所示。

2.3 系統致因要素評價

基于提取出的致因要素，首先邀請專家群體{e₁，e₂，e₃}根據控制反饋回路對致因要素間的影響關系進行模糊語言評價，得到專家群體各自的模糊判斷矩陣。接下來，根據式（13）求得專家的權重分別為0.321、0.331、0.348，再根據式（14）對每位專家的模糊判斷矩陣進行集結，生成的模糊影響矩陣如表5所示，此案例將風險偏好系數設定為0.8，使其更符合復雜問題的實際決策情境。隨后，對模糊影響矩陣進行解模糊處理，將其轉化為由點組成的實數矩陣。最后，對實數矩陣進行規范化處理，并依據式（17）計算得到綜合影響矩陣，如表6所示，再依據式（18）分別求得各致因要素的影響度、被影響度、中心度與原因度，如表7所示。

根據表6計算出的中心度與原因度，可對致因要素的類別進行劃分，如圖8所示，經觀察可知致因要素劃分結果符合實際情況。其中，f₁（功能不足）和f₆（觸發條件）為關鍵致因要素，兩者通過組合作用共同導致預期功能安全危險，致因場景可以描述為：“當傳感器性能退化致使數據收集受到干擾時，由于智能算法的數據集不均衡、規模較小或標注質量較差，智能航電系統決策發生錯誤并執行了表3中的UCAs-2。”這種場景下的致因要素具有高度誘發屬性，并且在危險形成的過程中起主要影響作用，需要給出相應的風險緩解措施;f₂、f₄和f₅為間接致因要素，這類致因要素的原因度為負值，雖然不會主動觸發，但由關鍵致因要素誘發的組合作用會更容易產生危險。圖8用紅色虛線標出了兩種致因要素共同作用導致預期功能安全危險的致因場景，也需要對其予以高度重視。

此外，通過觀察表5中致因要素間的影響系數，發現次關鍵致因要素f₇和f₈雖然中心度較低，不會對危險的產生起到重要影響作用，但卻是間接致因要素f₂和f₄的主要觸發條件，其中存在一定的級聯關系。而針對獨立致因要素f₉，本文將其作為致因要素的原因是預期功能安全需要考慮合理可見的人員誤用所造成的影響。

2.4 對比分析

為驗證致因評價優化模型的可行性與有效性，將基于梯形模糊（trapezoidal fuzzy， TF）和PF理論的DEMATEL方法與本文的優化模型進行對比分析，使用相同的專家打分數據進行計算，得到不同方法的中心度與原因度。其中，中心度的大小表示該因素的致因作用的強弱，致因要素中心度值越大，因素的地位越高，可以利用中心度對所有致因要素予以重要性排序。從圖9所示的中心度排序對比圖可知，各方法對致因要素中心度的排序結論相同，通過將3種方法兩兩分組，進一步分析其Person相關系數，可以準確反映各方法中心度計算結果的相關性。由表8可知，本文方法綜合了其他兩種方法的優點，具有更為穩定的數學結構。

在此基礎上分析圖10可知，本文所提方法對致因要素的原因屬性和結果屬性區分效果較好。與其他兩種方法相比，致因評價優化模型通過引入風險偏好系數來計算閔可夫斯基距離，并以此賦予專家權重，較為全面地涵蓋了專家群組對決策問題的知識信息，使決策結果更具科學性與客觀性。

2.5 風險減緩措施建議

針對關鍵致因要素f₁“數據集不均衡、規模較小或標注質量較差”問題，給出以下風險減緩措施建議。

（1） 在系統研制初期，需要將重點放在運行設計域的構建以及特定運行限制的捕獲上，一個運行設計域是符合一個或一組場景描述的參數集合，明確了系統正常運行的條件及約束，旨在最大限度地保持智能航電系統運行的“安全區”。

（2） 需要系統性地定義數據集的配置管理過程與活動，至少涵蓋數據收集、數據準備、數據分配和數據驗證4個步驟，具體內容可參考文獻［35-36］。

（3） 需要圍繞機器學習在航空領域內應用的數據質量需求（data quality requirements， DQRs），從數據正確性、完整性、代表性、公平性、獨立性、可追溯性和及時性等方面對其進行評估。

針對關鍵致因要素f₆“傳感器性能退化導致數據收集受到干擾”，最直接的風險減緩措施是采用多傳感器融合技術來突破單類傳感器的固有性能局限。但現階段研究在融合架構、模型設計、多模態數據集等方面仍有進一步發展的空間，難以完全排除致因要素f₆導致智能航電系統錯誤決策的風險。與此同時，美國材料實驗協會（American Society for Testing and Materials， ASTM）于2017年發布了ASTM F3269-17^［37］標準，提出了智能系統的RTA設計與實踐原則，此技術使用安全性監控模塊對復雜傳感器的輸入輸出與系統狀態變量進行檢測，判斷智能系統是否在其運行設計域內運行。若系統在運行時檢測到復雜傳感器異常，RTA切換器將會進行模塊切換，用備用功能代替復雜功能，以保證影響飛行安全的功能正常運行，典型的RTA架構如圖11所示。

3 結 論

本文針對智能航電系統的特點，提出了一種改進的STPA-DEMATEL致因分析框架，并以SPO模式下的智能航電系統為例開展了致因分析框架的可行性與有效性分析，主要結論如下：

（1） 通過STPA建立的安全控制結構有助于深入理解智能航電系統的“感知-決策-執行”控制反饋回路，并為后續的DEMATEL評價過程辨識出了系統中的涌現性致因特征。

（2） 基于模糊理論的DEMATEL致因評價優化模型能夠有效劃分智能航電系統的關鍵/次關鍵/間接/獨立致因要素，與其他兩種方法相比，本文所提方法效果更好，實現了模糊性與確定性的統一。

（3） 從考慮預期功能安全的角度出發，可將STPA致因要素組成典型的SOTIF致因場景，在此基礎上為智能航電系統制定了區別于傳統復雜航電系統的風險減緩措施。

參考文獻

［1］董磊， 劉嘉琛， 陳曦， 等. 面向適航符合性的智能航電系統認證研究進展［J］. 航空工程進展， 2023， 14（3）： 26-40.

DONG L， LIU J C， CHEN X， et al. Research progress of AI-based avionics system certification for airworthiness compliance［J］. Advances in Aeronautical Science and Engineering， 2023， 14（3）： 26-40.

［2］盧新來， 杜子亮， 許赟. 航空人工智能概念與應用發展綜述［J］. 航空學報， 2021， 42（4）： 251-64.

LU X L， DU Z L， XU Y. Review on basic concept and applications for artificial intelligence in aviation［J］. Acta Aeronautica et Astronautica Sinica， 2021， 42（4）： 251-264.

［3］GABREAU C， PESQUET-POPESCU B， KAAKAI F， et al. AI for future skies： on-going standardization activities to build the next certification/approval framework for airborne and ground aeronautical products［C］∥Proc.of the International Joint Conference on Artificial Intelligence， 2021.

［4］SCHWEIGER A， ANNIGHOEFER B， REICH M， et al. Classification for avionics capabilities enabled by artificial intelligence［C］∥Proc.of the IEEE/AIAA 40th Digital Avionics Systems Conference， 2021.

［5］COFER D. Unintended behavior in learning-enabled systems： detecting the unknown unknowns［C］∥Proc.of the IEEE/AIAA 40th Digital Avionics Systems Conference， 2021.

［6］李超. 復雜裝備事故非線性耦合特征WPD-MF分析［J］. 中國安全科學學報， 2019， 29（12）： 97-102.

LI C. Research on non-linear coupling characteristics of complex materiel accident based on WPD-MF human-computer interaction safety analysis of airborne system from perspective of emergence［J］. China Safety Science Journal， 2019， 29（12）： 97-102.

［7］趙長嘯， 李浩， 張偉， 等. 涌現性視角下機載系統人機交互安全性分析［J］. 中國安全科學學報， 2022， 32（11）： 113-120.

ZHAO C X， LI H， ZHANG W， et al. Human-computer interaction safety analysis of airborne system from perspective of emergence［J］. China Safety Science Journal， 2022， 32（11）： 113-120.

［8］HOBBS K L， HEINER B K， BUSSE L， et al. Systems theoretic process analysis of a run time assured neural network control system［C］∥Proc.of the AIAA SciTech Forum， 2023： 2664.

［9］UTNE I B， ROKSETH B， VINNEM J E， et al. Towards supervisory risk control of autonomous ships［J］. Reliability Engineering amp; System Safety， 2020， 196： 106757.

［10］ZHANG S J， TANG T， LIU J T. A hazard analysis approach for the SOTIF in intelligent railway driving assistance systems using STPA and complex network［J］. Applied Sciences， 2021， 11（16）： 7714.

［11］談東奎， 胡港君， 朱波， 等. 考慮預期功能安全的智能汽車自動緊急制動系統［J］. 汽車工程， 2022， 44（6）： 799-808.

TAN D K， HU G J， ZHU B， et al. Intelligent vehicle autonomous emergency braking system considering safety of the intended functionality［J］. Automotive Engineering， 2022， 44（6）： 799-808.

［12］SI S L， YOU X Y， LIU H C， et al. DEMATEL technique： a systematic review of the state-of-the-art literature on methodologies and applications［J］. Mathematical Problems in Engineering， 2018， 2018： 3696457.

［13］孫永河， 黃子航， 李陽. DEMATEL復雜因素分析算法最新進展綜述［J］. 計算機科學與探索， 2022， 16（3）： 541-551.

SUN Y H， HUANG Z H， LI Y. Review of state of the art on DEMATEL algorithms for complex factor analysis［J］. Journal of Frontiers of Computer Science and Technology， 2022， 16（3）： 541-551.

［14］鐘德明， 宮浩原， 孫睿. 一種準確識別損失場景的STPA［J］. 北京航空航天大學學報， 2023， 49（2）： 311-323.

ZHONG D M， GONG H Y， SUN R. An STPA for accurately identifying loss scenarios［J］. Journal of Beijing University of Aeronautics and Astronautics， 2023， 49（2）： 311-323.

［15］ABDULAZIM A， ELBAHAEY M， MOHAMED A. Putting safety of intended functionality SOTIF into practice［R］. Pittsburgh： Society of Automotive Engineers， 2021： 3-6.

［16］European Union Aviation Safety Agency. Concepts of design assurance for neural networks（CoDANN）［R］. Cologne： European Union Avition Safety Agency， 2020： 28-62.

［17］Society of Automotive Engineers. Artificial intelligence in aeronautical systems： statement of concerns： AIR6988［R］. Pittsburgh： Society of Automotive Engineers， 2021： 29-43.

［18］BUSTINCE H， BURILLO P. Vague sets are intuitionistic fuzzy sets［J］. Fuzzy Sets and Systems， 1996， 79（3）： 403-405.

［19］YAGER R R， ABBASOV A M. Pythagorean membership grades， complex numbers， and decision making［J］. International Journal of Intelligent Systems， 2013， 28（5）： 436-452.

［20］金珍. 基于畢達哥拉斯模糊集的多準則群決策理論與方法研究［D］. 南昌： 江西財經大學， 2019.

JIN Z. Research on multi-criteria group decision making theories and methods with pythagorean fuzzy sets［D］. Nanchang： Jiangxi University of Finance and Economics， 2019.

［21］HUANG K， WANG M， LUO Y， et al. A safety analysis method based on hazard pattern mining for single pilot operations air-ground task collaboration in commercial aircraft［J］. Aerospace Systems， 2022， 6（1）： 25-36.

［22］許為， 陳勇， 董文俊， 等. 大型商用飛機單一飛行員駕駛的人因工程研究進展與展望［J］. 航空工程進展， 2022， 13（1）： 1-18.

XU W， CHEN Y， DONG W J， et al. Human factors engineering research on single pilot operations for large commercial aircraft： progress and prospect［J］. Advances in Aeronautical Science and Engineering， 2022， 13（1）： 1-18.

［23］王淼， 肖剛， 王國慶. 單一飛行員駕駛模式技術［J］. 航空學報， 2020， 41（4）： 197-215.

WANG M， XIAO G， WANG G Q. Single pilot operation mode technology［J］. Acta Aeronautica et Astronautica Sinica， 2020， 41（4）： 197-215.

［24］DORMOY C， ANDRé J M， PAGANI A. A human factors’approach for multimodal collaboration with cognitive computing to create a human intelligent machine team： a review［J］. IOP Conference Series Materials Science and Engineering， 2021， 1024（1）： 012105.

［25］LIM Y， BASSIEN-CAPSA V， RAMASAMY S， et al. Commercial airline single-pilot operations： system design and pathways to certification［J］. IEEE Aerospace and Electronic Systems Magazine， 2017， 32（7）： 4-21.

［26］PONGSAKORNSATHIEN N， GARDI A， LIM Y， et al. Performance characterisation of wearable cardiac monitoring devices for aerospace applications［C］∥Proc.of the IEEE 6th International Workshop on Metrology for AeroSpace （MetroAeroSpace）， 2019.

［27］LIM Y， GARDI A， EZER N， et al. Eye-tracking sensors for adaptive aerospace human-machine interfaces and interactions［C］∥Proc.of the IEEE 5th International Workshop on Metrology for AeroSpace （MetroAeroSpace）， 2018.

［28］肖國松， 劉嘉琛， 董磊， 等. 面向IMA通用系統管理的STPA安全性分析［J］. 中國安全科學學報， 2021， 31（9）： 8-14.

XIAO G S， LIU J C， DONG L， et al. STPA safety analysis on IMA generic system management［J］. China Safety Science Journal， 2021， 31（9）： 8-14.

［29］SMITH C， DENNEY E， PAI G. Hazard contribution modes of machine learning components［C］∥Proc.of the AAAI’s Workshop on Artificial Intelligence Safety， 2020.

［30］FORSBERG H， LINDéN J， HJORTH J， et al. Challenges in using neural networks in safety-critical applications［C］∥Proc.of the IEEE/AIAA 39th Digital Avionics Systems Conference， 2020.

［31］STEIMERS A， SCHNEIDER M. Sources of risk of AI systems［J］. International Journal of Environmental Research and Public Health， 2022， 19（6）： 3641.

［32］BANERJEE D N， CHANDA S S. AI failures： a review of underlying issues［EB/OL］. ［2022-12-20］. arxiv.org/abs/2008.04073.

［33］SCOTT P J， YAMPOLSKIY R V. Classification schemas for artificial intelligence failures［J］. Delphi-Interdisciplinary Review of Emerging Technologies， 2020， 2（4）： 186-199.

［34］PONGSAKORNSATHIEN N， LIM Y， GARDI A， et al. Sensor networks for aerospace human-machine systems［J］. Sensors， 2019， 19（16）： 3465.

［35］EASA. First usable guidance for Level 1 machine learning applications［R］. Cologne： European Union Aviation Safety Agency， 2021： 10-48.

［36］DEEL. White paper machine learning in certified systems［R］. Toulouse： Dependable amp; Explainable Learning， 2021： 31-84.

［37］F3269-17. Standard practice for methods to safely bound flight behavior of unmanned aircraft systems containing complex functions［S］. West Conshohocken： American Society of Testing Materials， 2017.

作者簡介

劉嘉琛（1996—），男，博士研究生，主要研究方向為智能航電系統、民機系統安全性設計與評估。

董 磊（1983—），男，副研究員，博士，主要研究方向為民機航電系統適航審定技術。

陳 曦（1987—），男，助理研究員，博士，主要研究方向為模式識別、圖像處理。

梁博堯（1998—），男，碩士研究生，主要研究方向為人工智能魯棒性、系統運行時保證。

王 鵬（1982—），男，研究員，博士，主要研究方向為民機系統安全性設計與評估、機載電子硬件適航技術。