張 鍇 張 笛▲ 范存龍 姚厚杰 張明陽(yáng)

(1.武漢理工大學(xué)智能交通系統(tǒng)研究中心 武漢 430063； 2.武漢理工大學(xué)國(guó)家水運(yùn)安全工程技術(shù)研究中心 武漢 430063

0 引 言

第28屆歐洲安全與可靠性會(huì)議(28thEuropean Safety and Reliability Conference， ESREL 2018)是由歐洲安全與可靠性協(xié)會(huì)(European Safety and Reliability Association，ESRA)主辦的國(guó)際會(huì)議。會(huì)議于2018年6月17—21日在挪威科技大學(xué)(NTNU)的主校區(qū)舉辦，會(huì)議的主題是“變革中的安全界”，旨在推進(jìn)對(duì)當(dāng)前世界的風(fēng)險(xiǎn)、安全和可靠性領(lǐng)域復(fù)雜性的理解、建模和管理。目標(biāo)是建立一個(gè)多學(xué)科的平臺(tái)，以處理這些領(lǐng)域的技術(shù)、社會(huì)和財(cái)政方面的問(wèn)題。致力于將風(fēng)險(xiǎn)、安全和可靠性的范圍從技術(shù)層面擴(kuò)展到自然層面、財(cái)務(wù)層面和社會(huì)層面，重點(diǎn)關(guān)注復(fù)雜系統(tǒng)中的相互依賴和故障級(jí)聯(lián)問(wèn)題。

自主系統(tǒng)應(yīng)用于公路、鐵路、航空和水路已經(jīng)開(kāi)始逐步實(shí)現(xiàn)，稱為自主運(yùn)輸系統(tǒng)(autonomous transport system)，這是未來(lái)可能顛覆交通系統(tǒng)的技術(shù)趨勢(shì)[1]。它可以使未來(lái)的交通方案更加經(jīng)濟(jì)、安全、環(huán)保和簡(jiǎn)單，但是也有可能會(huì)導(dǎo)致更多未知的風(fēng)險(xiǎn)和破壞。鑒于其顛覆性的潛力，越來(lái)越多的研究工作正在進(jìn)行以通過(guò)技術(shù)手段提升其安全性和可靠性。

本文從自主運(yùn)輸系統(tǒng)安全研究的角度，梳理了ESREL 2018會(huì)議的390篇論文，重點(diǎn)就其中關(guān)于自主系統(tǒng)的15篇文獻(xiàn)及當(dāng)前國(guó)內(nèi)外關(guān)于自主系統(tǒng)的文獻(xiàn)加以總結(jié)闡述，分析了當(dāng)前自主運(yùn)輸系統(tǒng)安全研究的熱點(diǎn)問(wèn)題，對(duì)未來(lái)自主運(yùn)輸系統(tǒng)安全研究的發(fā)展進(jìn)行了展望。

1 ESREL 2018會(huì)議概況

1.1 大會(huì)報(bào)告

本屆會(huì)議邀請(qǐng)了4位風(fēng)險(xiǎn)領(lǐng)域的專家作大會(huì)特別報(bào)告，具體情況如下。

挪威國(guó)家安全局的專家委員Roar Thon[2]教授在《網(wǎng)絡(luò)安全——人為因素》的報(bào)告中稱社會(huì)對(duì)新技術(shù)和數(shù)字服務(wù)能否充分發(fā)揮作用，最終取決于公民的信任，所以技術(shù)必須安全、可靠并且能夠在人們需要時(shí)起到作用。隨著技術(shù)的飛速發(fā)展，當(dāng)今社會(huì)的數(shù)字威脅也日益增長(zhǎng)，以致發(fā)生一些人利用先進(jìn)技術(shù)去攻擊他人，他認(rèn)為人和技術(shù)之間有一個(gè)階段稱為過(guò)程，過(guò)程中人起到關(guān)鍵的作用。據(jù)調(diào)查稱84%的首席技術(shù)官發(fā)現(xiàn)人為因素是所在公司最大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，主要是由于在網(wǎng)絡(luò)中不能像現(xiàn)實(shí)中身臨其境的感受到風(fēng)險(xiǎn)的威脅。他強(qiáng)調(diào)2018年全球風(fēng)險(xiǎn)報(bào)告將網(wǎng)絡(luò)安全同環(huán)境和經(jīng)濟(jì)列為三大風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全會(huì)導(dǎo)致我們信息的保密性，完整性和可用性破壞。必須在安全和隱私之間找到平衡，并能夠利用科技帶給我們的便利。

美國(guó)加州大學(xué)洛杉磯分校的Ali Mosleh[3]教授在《專家問(wèn)詢》報(bào)告中，介紹了專家和專家觀點(diǎn)，專家是在某些特定領(lǐng)域具有專門(mén)知識(shí)或技能的個(gè)人，采用專家意見(jiàn)主要是為了處理問(wèn)題中的知識(shí)差距、不確定性等問(wèn)題。提出了專家意見(jiàn)質(zhì)量衡量的措施主要從真實(shí)相關(guān)和規(guī)范性兩方面來(lái)進(jìn)行。就專家意見(jiàn)的使用、篩選、整合應(yīng)用的過(guò)程，以每個(gè)過(guò)程可能造成的影響給出了相應(yīng)的解釋。最后結(jié)合相關(guān)的數(shù)學(xué)模型，對(duì)專家意見(jiàn)及多專家意見(jiàn)的整合使用提出建議。

荷蘭代爾夫特理工大學(xué)的Patrick Hudson[4]教授在《可能空間：理解風(fēng)險(xiǎn)》的報(bào)告中強(qiáng)調(diào)了對(duì)風(fēng)險(xiǎn)理解的重要性，介紹了一個(gè)3層的風(fēng)險(xiǎn)模型，最下層為直接的原因，上面是組織或系統(tǒng)原因，最上層為企業(yè)治理——文化。其中直接原因是最簡(jiǎn)單線性的原因，組織和系統(tǒng)作為上層的原因，是復(fù)雜的非線性的，并結(jié)合蜂窩奶酪模型對(duì)此進(jìn)行了講解，他認(rèn)為僅僅如此是不夠的，他重點(diǎn)強(qiáng)調(diào)了最上層的文化因素，需要理解風(fēng)險(xiǎn)。提出事故的3種類型，結(jié)合數(shù)學(xué)模型從0維到n維闡述了如何理解風(fēng)險(xiǎn)，他認(rèn)為更先進(jìn)的安全文化是基于對(duì)風(fēng)險(xiǎn)更深入的理解，而基于理解的風(fēng)險(xiǎn)事件更容易預(yù)防。

美國(guó)德州農(nóng)工大學(xué)的Sam Mannan[5]教授在《海洋能源安全展望》報(bào)告中從2010年4月20日發(fā)生的馬孔多鉆井平臺(tái)的爆炸災(zāi)難引出發(fā)生事故的原因，指出應(yīng)當(dāng)從過(guò)去的事故中學(xué)習(xí)安全管理。介紹了離岸的主要事故和海洋能源安全學(xué)會(huì)(Ocean Energy Safety Institute)，以及其他機(jī)構(gòu)及他們做出的努力和倡議。最后指出未來(lái)海洋能源安全將面臨的5大挑戰(zhàn)，并對(duì)未來(lái)的研究方向進(jìn)行展望。

1.2 分會(huì)場(chǎng)報(bào)告

本次會(huì)議內(nèi)容涉及極地研究的多個(gè)領(lǐng)域，橫跨多個(gè)學(xué)科，體現(xiàn)了當(dāng)今世界上安全與可靠性研究的新觀點(diǎn)、新技術(shù)、新視野。本屆會(huì)議根據(jù)錄用論文的情況設(shè)置了分會(huì)場(chǎng)，會(huì)議論文數(shù)量和報(bào)告的概況見(jiàn)表1。

表1 分會(huì)場(chǎng)報(bào)告分組情況表

本次會(huì)議收錄的390篇文章分別來(lái)自40余個(gè)不同國(guó)家和地區(qū)，幾乎涵蓋了當(dāng)今世界上風(fēng)險(xiǎn)領(lǐng)域研究的最前沿的研究成果。其中有15篇論文是關(guān)于自主運(yùn)輸系統(tǒng)的，涵蓋了自主運(yùn)輸系統(tǒng)在道路，鐵路和水路方向的安全與可靠性的研究，分別來(lái)自于挪威、德國(guó)、瑞典、英國(guó)等國(guó)家?？梢园l(fā)現(xiàn)當(dāng)前自主運(yùn)輸系統(tǒng)的安全性已經(jīng)開(kāi)始成為學(xué)者們廣泛關(guān)注的研究方向。

2 自主運(yùn)輸系統(tǒng)安全研究熱點(diǎn)

信息和通信技術(shù)(ICT)、普適計(jì)算和人工智能(AI)等技術(shù)的發(fā)展正以多種方式影響著人類日常生活的所有領(lǐng)域。交通運(yùn)輸系統(tǒng)也正受到這些技術(shù)轉(zhuǎn)變的巨大影響。自主運(yùn)輸系統(tǒng)開(kāi)始出現(xiàn)在公路(自動(dòng)駕駛車輛)、航運(yùn)(無(wú)人船、無(wú)人艇)、軌道(無(wú)人地鐵)及航空(無(wú)人機(jī))等交通領(lǐng)域。自動(dòng)化的載具在未來(lái)將越來(lái)越多地被用作交通工具，不過(guò)，尚不清楚這會(huì)帶來(lái)什么后果。由于自主運(yùn)輸系統(tǒng)巨大的熱度和顛覆性的應(yīng)用潛力，其安全性越來(lái)越被全球的學(xué)者們所關(guān)注。挪威的SAREPTA項(xiàng)目(安全、自主、遠(yuǎn)程控制和工業(yè)運(yùn)輸系統(tǒng)運(yùn)行)于2017年啟動(dòng)，涵蓋了未來(lái)自主、遠(yuǎn)程控制、非載人智能交通系統(tǒng)的安全挑戰(zhàn)。該項(xiàng)目研究包括公路、海上、航空和鐵路[1]。當(dāng)前在交通運(yùn)輸中，缺乏對(duì)自主性的統(tǒng)一定義。然而，要對(duì)自主運(yùn)輸系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)，必須明確研究對(duì)象所處的自動(dòng)化水平。表2為常用的自主運(yùn)輸系統(tǒng)等級(jí)[6-9]。

表2 自主運(yùn)輸系統(tǒng)等級(jí)

作為新興技術(shù)，自主運(yùn)輸系統(tǒng)條件框架的不斷變化以及缺少實(shí)際數(shù)據(jù)，導(dǎo)致了其風(fēng)險(xiǎn)的不確定性[10]。就無(wú)人車而言，報(bào)道說(shuō)無(wú)人車的事故率是正常車輛的30%～50%，而且事故原因也較大差異。然而，并沒(méi)有準(zhǔn)確的評(píng)估可以可靠地指出無(wú)人車比傳統(tǒng)車安全很多。相對(duì)來(lái)說(shuō)無(wú)人車更需要外界干預(yù)，在人與自主系統(tǒng)的交互過(guò)程中和自主系統(tǒng)自主決策執(zhí)行與所期望決策產(chǎn)生差異時(shí)，這些傳統(tǒng)車輛不存在的問(wèn)題，都可能會(huì)導(dǎo)致無(wú)人車事故的發(fā)生[11]。

不僅僅是道路方面，自主運(yùn)輸系統(tǒng)應(yīng)用在交通的各個(gè)領(lǐng)域都是類似的，因此，必須對(duì)自主運(yùn)輸系統(tǒng)進(jìn)行安全研究，建立相應(yīng)的風(fēng)險(xiǎn)框架，明確風(fēng)險(xiǎn)各利益相關(guān)方的職責(zé)，通過(guò)一系列的行動(dòng)，如監(jiān)管、技術(shù)設(shè)計(jì)、培訓(xùn)和意識(shí)培養(yǎng)等來(lái)應(yīng)對(duì)可能出現(xiàn)的各種風(fēng)險(xiǎn)和威脅，以提高自主運(yùn)輸系統(tǒng)的安全性[10-11]。由于自主運(yùn)輸系統(tǒng)的各個(gè)領(lǐng)域發(fā)展?fàn)顩r不盡相同，因此，從以下3個(gè)方面進(jìn)行闡述。

2.1 道路自主系統(tǒng)

自動(dòng)駕駛車輛當(dāng)前已經(jīng)確定成為未來(lái)道路發(fā)展的重要方向之一，安全性是其最主要的優(yōu)點(diǎn)，但同時(shí)也是最被質(zhì)疑的點(diǎn)?？梢灶A(yù)見(jiàn)的是自動(dòng)駕駛車輛會(huì)給社會(huì)帶來(lái)相當(dāng)大的好處，可以有效的減少事故，增加安全性。然而考慮到任何新的系統(tǒng)、概念或技術(shù)只有在其應(yīng)用價(jià)值遠(yuǎn)大于安全風(fēng)險(xiǎn)的情況下才被投入運(yùn)營(yíng)，因此，確保無(wú)人駕駛車輛在未來(lái)的運(yùn)輸系統(tǒng)中安全運(yùn)行的，是一項(xiàng)無(wú)法回避的工作[12]。

在技術(shù)設(shè)計(jì)層面上，自動(dòng)駕駛首先要與安全原則或者行業(yè)標(biāo)準(zhǔn)相契合，應(yīng)用安全原則(如故障安全或安全壽命)來(lái)設(shè)計(jì)和實(shí)現(xiàn)最終滿足功能和標(biāo)準(zhǔn)要求的安全系統(tǒng)[13],安全原則已經(jīng)被應(yīng)用于交通系統(tǒng)。自動(dòng)駕駛車輛在不同的自動(dòng)化水平時(shí)，駕駛員和技術(shù)駕駛系統(tǒng)對(duì)應(yīng)的責(zé)任要求和安全原則也不盡相同。H. Sch?be[10]考慮了必須采用的安全原則，并根據(jù)項(xiàng)目的經(jīng)驗(yàn)分析了相關(guān)的SAE水平。對(duì)于0～2級(jí)，駕駛員完全負(fù)責(zé)駕駛，而從3級(jí)開(kāi)始，自動(dòng)駕駛設(shè)備監(jiān)控車輛。對(duì)于SAE定義的5個(gè)自動(dòng)駕駛級(jí)別，導(dǎo)出了安全原則。M. Nyberg[14]利用半馬爾可夫過(guò)程分析自動(dòng)駕駛安全性的方法，指出了當(dāng)前標(biāo)準(zhǔn)ISO26262對(duì)于自動(dòng)駕駛的不足之處：該系統(tǒng)本身會(huì)影響操作環(huán)境，對(duì)ISO26262標(biāo)準(zhǔn)進(jìn)行了補(bǔ)充，以來(lái)達(dá)到最高級(jí)的安全需求。

在完善了相應(yīng)的標(biāo)準(zhǔn)和法律后，最需要得到保障的就是自主決策系統(tǒng)軟件的可靠性。比如，當(dāng)路上突然出現(xiàn)動(dòng)物或者小石塊時(shí)[9]，系統(tǒng)是否可以做出停車或前行的正確決策。由于自主駕駛的數(shù)據(jù)難以采集，存在很多不可預(yù)測(cè)的“黑天鵝”，在模型方法方面，定量分析十分困難。M. Nyberg[14]提出了1種用于自主駕駛車輛的開(kāi)發(fā)和評(píng)估的半馬爾科夫過(guò)程，并通過(guò)實(shí)例研究表明，半馬爾可夫過(guò)程模型能夠捕獲與自主駕駛安全相關(guān)的相關(guān)性質(zhì)。L. F. Vismari[15]提出了安全分析框架，將其應(yīng)用于未來(lái)的智能道路運(yùn)輸系統(tǒng)(RTS)。提供了1個(gè)概念驗(yàn)證，在此基礎(chǔ)上建模、模擬和分析了使用OpenDS，Matlab和Sumo+Veins+OMNet++的RTS場(chǎng)景。分析了自主車輛行為和嵌入式自主控制算法對(duì)RTS安全性和效率的影響 。

盡管自主運(yùn)輸系統(tǒng)的技術(shù)水平很高，但是人在系統(tǒng)中扮演的角色仍然不可忽視，由于自主駕駛車輛自身的技術(shù)水平等限制，可能會(huì)碰到一些難以處理的情況，就需要人的介入來(lái)進(jìn)行處理，因此，必須給予司機(jī)專業(yè)的訓(xùn)練，保證司機(jī)可以正確接管車輛，并且應(yīng)當(dāng)給予司機(jī)干預(yù)的可能性[1,16]，比如，給予充足的反應(yīng)時(shí)間。必須明確當(dāng)系統(tǒng)發(fā)出警報(bào)時(shí)，司機(jī)有責(zé)任接管，或者司機(jī)不接管時(shí)，系統(tǒng)能夠處于故障安全模式。

自主系統(tǒng)在道路上應(yīng)用在技術(shù)上已經(jīng)趨于成熟，然而由于是全新的領(lǐng)域，必須首先完善相應(yīng)的行業(yè)標(biāo)準(zhǔn)和法律法規(guī)，在此基礎(chǔ)上逐步提升技術(shù)水平，同時(shí)重視人為因素在道路自主系統(tǒng)中所起的作用，進(jìn)而提高道路自主系統(tǒng)的安全性。

2.2 軌道自主系統(tǒng)

相較于公路，由于鐵路是在固定的軌道上運(yùn)行，幾乎沒(méi)有任何其他干擾，其自主化的實(shí)施相較于公路更為容易，在軌道交通的自主運(yùn)輸系統(tǒng)中，主要分為鐵路和地鐵2種軌道交通方式。地鐵的軌道通常比較封閉，即在地下運(yùn)行。在這種情況下，沒(méi)有人會(huì)掉到鐵軌上，也沒(méi)有火車與其他列車交叉的地方，因此，目前軌道交通列車自動(dòng)化主要應(yīng)用于地鐵[17]。

無(wú)人地鐵已經(jīng)在很多地方得以實(shí)施，軌道交通的安全問(wèn)題主要研究的是自主等級(jí)的概念以及人為因素的作用，包括地鐵和鐵路。T. M. Stene[7]提出了幾個(gè)待解決的相關(guān)問(wèn)題：哪些事故可以通過(guò)自動(dòng)化來(lái)預(yù)防?自動(dòng)化和遠(yuǎn)程控制在什么程度上意味著消除人為因素?從安全的角度來(lái)看，未來(lái)自動(dòng)化的安全潛力是什么？人類如何在未來(lái)的智能交通系統(tǒng)中為安全做出貢獻(xiàn)？

就自主軌道交通的人為因素而言，主要研究的是駕駛員遠(yuǎn)程操作下的人為因素對(duì)風(fēng)險(xiǎn)的貢獻(xiàn)。在地鐵上，列車數(shù)據(jù)記錄儀(OTDR)是收集有關(guān)列車運(yùn)行和各種列車系統(tǒng)的狀態(tài)數(shù)據(jù)重要途徑。這些數(shù)據(jù)包括功率和制動(dòng)控制器的位置以及信號(hào)系統(tǒng)警告的驅(qū)動(dòng)確認(rèn)[17]。Rashidy[18]提出了一種基于文檔分析和非正式訪談的列車駕駛員勝任力框架來(lái)定義與列車駕駛員職能相關(guān)的各個(gè)方面，(見(jiàn)圖1)。并探討了列車數(shù)據(jù)記錄儀在量化列車駕駛員勝任力框架中的應(yīng)用 。這個(gè)框架和指標(biāo)說(shuō)明列車數(shù)據(jù)記錄儀數(shù)據(jù)在常規(guī)系統(tǒng)檢查和事故前調(diào)查中是有用的，這些數(shù)據(jù)可能有助于改進(jìn)對(duì)駕駛員性能的理解，進(jìn)而可以開(kāi)發(fā)更有效的安全管理策略 。

圖1 自主列車駕駛員勝任框架圖Fig.1 framework to assessment drivers of automatic train

軌道自主系統(tǒng)已經(jīng)在很多地方得以實(shí)現(xiàn)，而且相較于公路，所處環(huán)境要簡(jiǎn)單得多，主要考慮的風(fēng)險(xiǎn)是軟件方面和人為因素的風(fēng)險(xiǎn)。而通過(guò)實(shí)車收集的數(shù)據(jù)和對(duì)駕駛員訪談可以有效地對(duì)此類風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)。

2.3 航運(yùn)自主系統(tǒng)

在航運(yùn)業(yè)，自主運(yùn)輸系統(tǒng)的應(yīng)用已經(jīng)落后于道路和鐵路的發(fā)展，然而，通過(guò)自主的船舶達(dá)到更安全、更環(huán)保、更高效的船舶運(yùn)輸，其巨大的發(fā)展?jié)摿ξ阌怪靡伞Ｗ灾飨到y(tǒng)應(yīng)用于水上且已經(jīng)投入使用的主要包含水上無(wú)人艇，水下無(wú)人機(jī)器人等[19-22]。無(wú)人船的經(jīng)濟(jì)與否尚未完全確認(rèn)[23]，商業(yè)的無(wú)人貨船也還不存在，但隨著技術(shù)發(fā)展成本下降以及服務(wù)水平上升，無(wú)人貨船必將會(huì)投入使用，考慮到自主船舶巨大的發(fā)展應(yīng)用潛力，其風(fēng)險(xiǎn)是非常值得考慮的，當(dāng)前主流的研究都是通過(guò)技術(shù)可靠性、軟件性能、人機(jī)界面和操作、通信等幾個(gè)方面進(jìn)行分析[24]。

世界上已經(jīng)有幾個(gè)研究項(xiàng)目開(kāi)始進(jìn)行了一些自主貨船的相關(guān)研究，挪威的智能網(wǎng)絡(luò)無(wú)人航運(yùn)(maritime unmanned navigation through intelligence in networks, MUNIN)[25]，先進(jìn)自主水上應(yīng)用(advanced autonomous waterborne applications, AAWA)[26]，并且挪威海事局公布第1個(gè)針對(duì)自主船舶的測(cè)試場(chǎng)。珠海云洲智能科技公司的“筋斗云”號(hào)將于2019年下水，主要應(yīng)用于內(nèi)河航運(yùn)，挪威的康斯博格海事公司(Kongsberg Maritime)將于2018年下水第1艘自主貨船。按照以上項(xiàng)目所描述，當(dāng)前的自主運(yùn)輸船舶航行主要分為以下幾個(gè)階段：設(shè)計(jì)制造階段、航次規(guī)劃階段、開(kāi)闊水域自主航行階段、靠離泊階段，見(jiàn)圖2。每個(gè)階段都伴有可能發(fā)生的未知風(fēng)險(xiǎn)。

圖2 自主船舶的4個(gè)航行階段
Fig.2 four phase of autonomous ship

航運(yùn)業(yè)不同于道路和軌道交通的是當(dāng)船舶在自主航行階段發(fā)生緊急情況時(shí)，船上可能并沒(méi)有工作人員或監(jiān)管人員，所有的人為介入都是需要通過(guò)遠(yuǎn)程操作的，因此，網(wǎng)絡(luò)和通信安全是首要的。J. E. Vinnem[27]等指出由于自主船舶需要連接到岸上的操作、監(jiān)控和管理系統(tǒng)，所以當(dāng)面臨網(wǎng)絡(luò)攻擊的威脅時(shí)，最大的危險(xiǎn)可能與船舶本身或其貨物的損失無(wú)關(guān)，如果受外人指揮的船被用作攻擊武器，可能造成重大的結(jié)構(gòu)破壞，則會(huì)對(duì)沿岸和近海的基礎(chǔ)設(shè)施造成威脅。這種情況下，即使是相對(duì)較小的無(wú)人船也可能構(gòu)成很嚴(yán)重的威脅，因此，自動(dòng)駕駛系統(tǒng)對(duì)安全至關(guān)重要。

其次，除了從航行階段分析風(fēng)險(xiǎn)，還可以從自主船舶的硬件軟件等方面進(jìn)行分析。航運(yùn)業(yè)自主系統(tǒng)尤其依賴軟件。圖3為船舶的自主決策系統(tǒng)，軟件安全漏洞將給對(duì)手提供攻擊和危害安全和安全的可能性。因此，應(yīng)該對(duì)軟件系統(tǒng)安全性進(jìn)行分析。A. Brandsaeter[28]等提出了一種航運(yùn)業(yè)中自主導(dǎo)航系統(tǒng)的潛在保證框架，重點(diǎn)是測(cè)試和驗(yàn)證系統(tǒng)的感知性能。揭示了與海洋環(huán)境有關(guān)的人工環(huán)境感知和機(jī)器感知的區(qū)別，技術(shù)面臨著巨大的挑戰(zhàn)?？蚣芎头椒ǖ拿鞔_和透明與否，以及使用這些解決方案是否安全，是實(shí)現(xiàn)自主導(dǎo)航解決方案的關(guān)鍵障礙。因?yàn)闄C(jī)器感知和態(tài)勢(shì)分析部分或全部基于機(jī)器學(xué)習(xí)算法, 其功能推理是具有不確定性的，這種系統(tǒng)的驗(yàn)證過(guò)程完全不同于從傳統(tǒng)的基于物理的理解和理論驗(yàn)證過(guò)程。

圖3 船舶自主系統(tǒng)工作原理Fig.3 automatic ship system

這2類風(fēng)險(xiǎn)的發(fā)生屬于小概率事件，但在未來(lái)是不能排除的，所以自主船舶的設(shè)計(jì)必須通過(guò)技術(shù)水平降低這2種可能的風(fēng)險(xiǎn)[29-30]。

在具體的評(píng)價(jià)模型方法方面，由于缺乏客觀的數(shù)據(jù)，很少有采用定量分析的。作者提出將船舶的自動(dòng)化和人員配備的分類，檢查安全承諾，增加安全系數(shù)，從研究中得知，傳統(tǒng)事故中涉及人為錯(cuò)誤的數(shù)量在70%～90%之間[31]。如果用自動(dòng)化代替人，能否減少事故的數(shù)量?有沒(méi)有可能出現(xiàn)新型的事故?風(fēng)險(xiǎn)評(píng)估將是很有價(jià)值的工具，但也會(huì)觸及已知的未知。作為“黑天鵝”，自主船舶的某些風(fēng)險(xiǎn)可能是非常罕見(jiàn)的，災(zāi)難性的，不可預(yù)測(cè)的，從來(lái)沒(méi)有遇到過(guò)的事件。然而，即使沒(méi)有預(yù)測(cè)到一場(chǎng)災(zāi)難，也并不意味著這場(chǎng)災(zāi)難是無(wú)法避免的。學(xué)術(shù)界和工業(yè)界提出了許多安全性的分析方法。J. E. Vinnem等[27]以1艘自主船舶為例，評(píng)估了3種方法。研究結(jié)果顯示了每種方法的優(yōu)缺點(diǎn)。這是少有的實(shí)證研究對(duì)這些方法進(jìn)行比較和評(píng)價(jià)。

在人為因素方面，航運(yùn)業(yè)表現(xiàn)的尤為明顯，尤其適用于涉及人為失誤的事故，因?yàn)樽詣?dòng)駕駛船舶會(huì)將操作員的角色從所有或大部分操作中移除?，F(xiàn)實(shí)情況是，盡管人類的角色減少了，但自主船舶仍將依賴運(yùn)營(yíng)者進(jìn)行監(jiān)督、遠(yuǎn)程控制，以及在出現(xiàn)故障或意外情況時(shí)及時(shí)介入。因此，自主船舶不能完全消除人為失誤的可能性。M. A. Ramos等[8]評(píng)估了自主船舶操作中人為誤差的可能性。分析了1艘無(wú)人駕駛的自主船舶的操作，通過(guò)對(duì)在海岸控制中心(SCC)工作的操作人員與系統(tǒng)之間的相互作用的分析，確定了可能的人為故障事件(HFE)。K Wróbel等[32]對(duì)無(wú)人駕駛船舶對(duì)海上運(yùn)輸安全潛在影響的評(píng)估，區(qū)別了有人和無(wú)人的差距?？梢宰⒁獾氖俏磥?lái)的自主航運(yùn)系統(tǒng)的人為因素依然不可忽視，對(duì)于SCC中的工作人員，應(yīng)該制定專業(yè)的操作規(guī)范，并進(jìn)行專業(yè)的訓(xùn)練，提升專業(yè)技能和安全意識(shí)。

航運(yùn)自主系統(tǒng)相較于前2種自主系統(tǒng)的應(yīng)用主要是對(duì)于網(wǎng)絡(luò)通信的依賴性較強(qiáng)，提升軟件和硬件的可靠性相對(duì)來(lái)說(shuō)是可以減少對(duì)岸基控制中心的協(xié)助需求，進(jìn)而降低對(duì)通訊的依賴性，此外岸基控制中心的工作人員也是風(fēng)險(xiǎn)中不可忽視的一部分。由于無(wú)人船尚未投入使用，因此缺乏相應(yīng)的事故和數(shù)據(jù)，在風(fēng)險(xiǎn)評(píng)價(jià)中也需要對(duì)評(píng)估方法及手段加以創(chuàng)新以降低其不確定性。

3 未來(lái)自主運(yùn)輸系統(tǒng)安全研究熱點(diǎn)展望

根據(jù)本次會(huì)議的內(nèi)容，通過(guò)對(duì)當(dāng)前熱點(diǎn)的分析，認(rèn)為未來(lái)在以下幾個(gè)方面的研究還需要拓展的更深。

1) 人為因素研究。自動(dòng)化系統(tǒng)的設(shè)計(jì)通常是為了減輕人們重復(fù)的任務(wù)。然而，系統(tǒng)越可靠，負(fù)責(zé)的人就越有可能喪失注意力，這意味著更有可能出現(xiàn)意外因素和潛在的災(zāi)難。技術(shù)可以為代替或協(xié)助駕駛?cè)藛T做支持。但當(dāng)非正常的事情發(fā)生在一起時(shí)，就可能會(huì)發(fā)生意外。值得一提的是無(wú)論自動(dòng)化系統(tǒng)的設(shè)計(jì)者多么聰明，他們都無(wú)法考慮到所有可能的情況，這就是為什么用技術(shù)代替人是危險(xiǎn)的原因[33]。而且，在最近的這些年，要實(shí)現(xiàn)完全自主并不是很可行，所以，進(jìn)來(lái)所謂的無(wú)人交通系統(tǒng)，可能也是在某種情況下才能實(shí)現(xiàn)的部分無(wú)人化，比如無(wú)人船在可能需要岸基控制中心(SCC)的工作人員或者編隊(duì)中有人船在需要的時(shí)候進(jìn)行接管保證的前提下，在開(kāi)闊海域施行自主航行。1種新技術(shù)的誕生，往往伴隨著未知的風(fēng)險(xiǎn)，因此需要有專人待命，解決一些技術(shù)無(wú)法解決的問(wèn)題。技術(shù)水平的提高并不能完全避免人為因素在系統(tǒng)中起到的作用。相反，人的因素可能更加重要。此外，由于整個(gè)過(guò)程中客觀數(shù)據(jù)的缺乏，人為因素的影響研究反而是自主運(yùn)輸系統(tǒng)最容易切入的點(diǎn)。

2) 風(fēng)險(xiǎn)分析方法研究。未來(lái)的研究是擴(kuò)展和加強(qiáng)現(xiàn)有的方法來(lái)分析自主系統(tǒng)的智能和復(fù)雜控制行為的安全性和安全性問(wèn)題。并且需要根據(jù)觀察系統(tǒng)的性能和事件來(lái)驗(yàn)證該方法的有效性。對(duì)于傳統(tǒng)交通系統(tǒng)安全的評(píng)價(jià)，國(guó)際海事組織(IMO)和中國(guó)船級(jí)社都給出了相應(yīng)的安全評(píng)估指南[34-35]，章焱、江福才等[36-37]分別就溢油、沖突等實(shí)際通航中的風(fēng)險(xiǎn)做出了科學(xué)的評(píng)價(jià)。Kretschmann等[38]總結(jié)了MUNIN項(xiàng)目的定性和定量分析，包括對(duì)風(fēng)險(xiǎn)的考慮，MUNIN項(xiàng)目的詳細(xì)風(fēng)險(xiǎn)分析由Jensen提出?！断冗M(jìn)自主水上應(yīng)用(2016)》白皮書(shū)第4節(jié)總結(jié)了質(zhì)量發(fā)展的安全考慮和相關(guān)挑戰(zhàn)[39]。K. Wróbel等[32,40]基于不同風(fēng)險(xiǎn)因素的相互影響，提出了1種基于貝葉斯網(wǎng)絡(luò)(BBN)的無(wú)人駕駛船舶事故評(píng)估方法。這些文章都討論了操作和風(fēng)險(xiǎn)之間的不確定性，這使得很難建立1個(gè)通用的、全面的定量風(fēng)險(xiǎn)模型。而且當(dāng)前的風(fēng)險(xiǎn)評(píng)價(jià)模型應(yīng)用于自主運(yùn)輸系統(tǒng)并不能完美包含所有的因素，但是可以作為1個(gè)完成模型的基礎(chǔ)工作[41]。因此，針對(duì)自主運(yùn)輸系統(tǒng)建立1個(gè)較為通用的風(fēng)險(xiǎn)評(píng)估模型，可能是未來(lái)的研究熱點(diǎn)之一。

3) 網(wǎng)絡(luò)通信安全及軟件可靠性研究。自主運(yùn)輸系統(tǒng)很大程度依托于當(dāng)前的技術(shù)水平，而網(wǎng)絡(luò)通信安全和軟件可靠性研究是自主運(yùn)輸系統(tǒng)中的關(guān)鍵技術(shù)。J. E. Vinnem[27]等討論了網(wǎng)絡(luò)攻擊及其對(duì)自主船舶的潛在威脅。一艘被控制的自主船舶可能被用作武器來(lái)攻擊海上石油和天然氣系統(tǒng)、海岸的基礎(chǔ)設(shè)施系統(tǒng)或碰撞游輪或油輪。自主運(yùn)輸系統(tǒng)要實(shí)施，這個(gè)問(wèn)題無(wú)法回避。因此，提高通信安全的技術(shù)水平和提高軟件的可靠性，或者制定其余的措施來(lái)防止這種威脅都是實(shí)施自主船舶所必須面臨的研究熱點(diǎn)。

4 結(jié) 語(yǔ)

近年來(lái)，隨著技術(shù)的發(fā)展，自主運(yùn)輸系統(tǒng)在世界各地開(kāi)始得以實(shí)現(xiàn)，有關(guān)自主運(yùn)輸系統(tǒng)的研究也逐漸成為全球的熱點(diǎn)，其安全性的也越來(lái)越被學(xué)者們和大眾所關(guān)注。從本次ESREL會(huì)議上來(lái)看，學(xué)者們對(duì)于自主運(yùn)輸系統(tǒng)的穩(wěn)定性和安全性方面的研究取得了一定的進(jìn)展。然而，自主運(yùn)輸系統(tǒng)作為全新的技術(shù)，還存在著很多未知的風(fēng)險(xiǎn)。因此，在風(fēng)險(xiǎn)規(guī)避方面，必須做好充分的準(zhǔn)備，既要應(yīng)對(duì)可以預(yù)料到的風(fēng)險(xiǎn)，也要考慮面臨意料不到的風(fēng)險(xiǎn)。