面向适航符合性的智能航电系统认证研究进展

news2024/12/27 11:53:06

摘要

民用飞机航电系统引入人工智能/机器学习技术会带来可信性、不确定性和可解释性等问题,有必要通过有效的符合性方法向公众与利益攸关方证实智能航电系统的适航安全性。首先,分析了智能航电系统的等级分类和应用现状,阐述了现有指南和标准的适用性;然后,基于对当前研究成果的梳理,总结了智能航电系统认证框架实施流程及其技术细节;最后,给出智能航电系统在全生命周期各个阶段的符合性验证要求及实现方法建议,评估了符合性验证对现有适航体系的影响,为民用飞机智能航电系统的设计与认证提供了参考依据。

引言

随着大数据时代的到来和计算机性能的飞跃式发展,人工智能/机器学习(Artificial Intelli-gence/Machine Learning,简称AI/ML)技术在诸多领域的应用都进入了爆发式增长的新阶段,是新一轮科技革命和产业变革的重要驱动力量。近年来,国外权威航空安全机构、科研组织以及领军企业陆续开展了AI在民用航空领域的应用及认证研究,绘制了航空人工智能技术发展路线图,我国“十四五”规划纲要也明确提出了建设智慧民航的发展要求,围绕这一颠覆性技术主动权的争夺正在航空领域如火如荼地展开。

AI/ML技术快速发展的态势给民用航空领域带来重大机遇的同时也带来了前所未有的挑战。由于智能航电系统缺乏令人信服的可追溯性架构与指导性标准,导致其在民用飞机上的实际应用落地较为困难,无法利用传统方法表明智能航电系统满足适航要求。因此,如何从技术可靠性和可信性等方面向公众与利益攸关方证实AI/ML技术的适航安全性,是民用航空工业从自动化发展体系向智能化发展体系过渡需要解决的关键问题,也是采用智能航电系统的民用飞机进入市场的重要前提。

为此,本文在分析智能航电系统的等级分类和应用现状的基础上,阐述现有指南和标准的适用性,总结智能航电系统认证框架的实施流程、技术细节及其研究进展,给出智能航电系统在全生命周期各阶段的适航符合性验证要求及实现方法建议。

智能航电系统概述

一、智能航电系统定义

图1  人工智能、机器学习和深度学习的关系

航电系统是现代民用飞机的关键组成部分,主要功能是在飞机运行时完成信息采集、任务管理和导航引导等基本飞行过程,为飞行机组提供人机接口,确保飞行机组的态势感知和飞机系统管控能力,使得飞行机组能够及时、有效的管理和控制飞机安全、可靠地按照预定航迹飞行。

图2  智能航电系统的分层映射关系

智能航电系统的概念与综合模块化航电系统(Integrated Modular Avionics,简称IMA)的概念并不冲突,综合式架构组成资源层为智能航电系统提供了发挥的基础。

中国商用飞机有限责任公司于2020年“十四五”规划中提出了“有人监督模式下的大型客机自主飞行技术研究”技术指南,对短期、中期、长期3个阶段的研究方向予以指引。同时,参考美国国家航空航天局(National Aeronautics and Space Administration,简称NASA)《航空战略实施规划》、美国航空航天学会(Aerospace Industries Association of America,简称AIAA)《航空航天智能系统路线图》和欧洲航空安全局(European Organization for Civil Aviation Equipment,简称EASA)《人工智能路线图》对智能飞行发展趋势的判断,基本可以确定智能航电系统的发展路线应该从辅助功能(1级)开始,朝着更多的人机协作(2级)迈进,最后寻求机器的更多自主权(3级)。民用飞机智能航电系统的自主等级分类细节如表1所示。

二、智能航电系统应用现状

早在1993年,美国联邦航空管理局(Federal Aviation Administration,简称FAA)飞行安全研究处的L.H.Harrison等就已经对AI技术在航空电子领域的应用情况进行了概述,还基于RTCA DO-178B考虑了与认证相关的注意事项。2003年,NASA对智能飞控系统(Intelligent Flight Control System,简称IFCS)进行了测试,此系统将神经网络技术与先进的控制算法相结合,能够识别飞机气动特性的变化并做出响应,在遭遇意外故障时系统能够立即进行调整以保持最佳飞行性能(如图3(a)所示)。

图3(a)智能飞控系统飞行测试

2019年,美国国防高级研究计划局(Defense Advanced Research Projects Agency,简称DARPA)启动了“空战进化”(Air Combat Evolution,简称ACE)计划,旨在通过AI技术来处理视距内空中格斗问题,在其Alpha空战格斗比赛中,苍鹭系统公司的智能空战代理与经验丰富的顶尖人类飞行员进行交战,取得了惊人的成功(如图3(b)所示)。

图3(b)Alpha空战格斗比赛

2020年,空中客车公司在“自主滑行及起降”(Autonomous Taxi, Take-off & Landing,简称ATTOL)项目中实现了基于图像识别技术的全自动起飞技术,此技术可以在起飞过程中自动加速,保持对齐跑道中心线并在合适的时机抬起机头,全自动起飞技术已经在A350飞机上测试成功(如图3(c)所示)。

图3(c)基于图像识别的自主起飞

2021年,波音公司通过学习型组件(Learning Enabled Components,简称LEC)自动驾驶飞机,实现了忠诚僚机的首飞,这项成果将为空中力量编队系统(Airpower Teaming System,简称ATS)提供支持(如图3(d)所示)。

图3(d)波音公司忠诚僚机首飞

2022年,在驾驶舱自动化系统(Aircrew Labor In-Cockpit Automation System,简称ALIAS)项目的支持下,一架无人驾驶的UH-60A黑鹰直升机完成了30 min的自主飞行,此系统能够根据给定的任务目标和约束独立执行飞行计划(如图3(e)所示)。

图3(e)黑鹰直升机自主飞行

同年,航空工业第一飞机设计研究院研制的TP500无人运输机首飞成功,此机型将人工智能与航空制造、航空运输业相融合,操作智能化程度高,多数场景下飞机可根据环境参数变化自主决策、自主飞行(如图3(f)所示)。

图3(f)TP500运输机首飞

图3  典型智能航电系统应用

伴随着相关研究持续开展,越来越多的航电系统有望具备先验知识储备、学习、认知和自适应等能力。这使得采用人工智能算法从大量数据中获得知识,从而提升系统能力并逐步替代飞行员成为可能。遗憾的是,截至目前还没有通过适航认证的智能航电系统,民用飞机智能航电系统在各领域的认证可行性如表2所示,其具体考虑可查阅文献[27]。

(文献【27】:SCHWEIGERA, ANNIGHOEFERB, REICH M,et al. Classification for avionics capabilities enabled by artificial intelligence[C]∥ 2021 IEEE/AIAA 40th Digital Avionics Systems Conference (DASC). USA:IEEE, 2021:1-10. [百度学术] )

表2  民用飞机智能航电系统在各领域的认证可行性

三、现有指南和标准的适用性分析

以往,以ARP4754A、ARP4761及DO-178C等为代表的研制过程指南对提高机载产品的质量起到很好的引导作用。这些指南旨在通过对研制过程的控制尽早发现并剔除设计错误,为获取航电系统的安全性需求以及判断软、硬件的适航符合性提供了重要准则,并被公认为行业最优的实践方法。但是,由于AI/ML技术框架、算法和自适应学习的复杂性,可能会出现智能航电系统行为难预测、难解释以及非预期结果等问题,研究者普遍认为目前的研制保证过程难以为AI/ML技术提供充分的符合性保证。鉴于此,下文将会对现有指南和标准进行差距分析,阐述其对于智能航电系统的适用性。

SAE ARP4754A指导高度综合复杂飞机系统的研制,为局方和申请人提供审定方面的指南,以最大限度地降低系统研制过程中出现错误的风险。与SAE ARP4761相结合则提供了用于大型飞机及其高度集成系统研制的安全性评估指导。对于智能航电系统,虽然研制保证等级(Development Assurance Level,简称DAL)的概念仍然适用,但申请人需针对AI/ML模型的可解释性和不确定性证实智能航电系统的研制过程具有充足的验证手段,以确保所有潜在的研制错误已经被控制在可接受的范围内。智能航电系统的需求定义方法也要进行调整,与DAL相关的数据集需求和AI/ML模型的性能需求值得特别关注。此外,由于需求捕获原理的变化和ML算法的概率性质,需求验证和实现验证的方法也需要更新。

RTCA DO-178C是商用航空电子软件开发的首要标准,为机载系统和设备软件的开发提供指导,旨在使民用航空产品使用的软件能够满足适航性要求,并获得使用批准。机载软件安全性的关键在于对开发过程的保证,但由于AI/ML技术与传统软件之间存在着本质的区别,DO-178C的过程保证流程已经无法适应智能航电系统。

例如:①ML模型的拓扑结构和权重无法追溯到开发过程中的系统需求,不符合DO-178C中基于需求的验证过程;②由于ML模型高度复杂且具有非线性运算特性,传统软件结构覆盖的度量指标不再适用;③虽然参数数据项(Parameter Data Items,简称PDI)可以方便地用于存储和管理由学习过程产生的ML模型参数,但ML模型神经元的每次激活都会修改已批准的配置,因此也不适用。

RTCA DO-200B为航空数据处理提供了最低要求和指导,这些航空数据用于导航、飞行计划、地形/障碍感知、飞行显示界面、飞行模拟器和其他应用。此标准旨在保证随着时间的推移建立和维护一定水平的数据质量,数据质量需求(Data Quality Requirements,简称DQRs)包括准确性、分辨率、可追溯性、及时性和完整性等,数据质量的概念可以用于ML数据集的准备。

ISO/PAS 21448围绕汽车自动驾驶系统的性能限制‎‎或人员‎‎可预见的误用‎‎而造成的危害,提供了实现预期功能安全所需的适用设计和验证措施的指南。其中性能受限的例子包括传感器限制、AI/ML算法限制等。此标准是对ISO 26262[38]的补充,尽管尚未针对ML技术进行认证,但涵盖了功能安全无法追溯到的功能故障,可以作为智能航电系统安全性评估工作的输入。

基本框架与关键技术

2014年,时任FAA飞机计算机软件首席科学与技术顾问的Mike Dewalt提出了“技术独立保证方法”(Technology Independent Assurance Method,简称TIAM)[39],此方法作为一种新的认证框架并不十分规范,但为日后的“总体属性”倡议奠定了基础。该倡议作为精简过程保证方法的一部分,目标是为了克服现有指南与标准不能与技术发展保持同步的问题,定义了独立于技术和领域的少量总体属性,覆盖了ARP4754A、DO-178C和DO-254中的多个离散目标。若申请人能证明系统符合总体属性,则系统就可以被认证,目前已经确认的总体属性有三项,分别是:

①设计意图:就所需的系统行为而言,定义的预期功能是正确和完整的;

②正确性:在可预见的使用条件下,就其定义的预期功能而言,系统实现是正确的;

③无害性:超出系统预期行为之外的实现不会产生不可接受的安全影响。

可以看出,总体属性的思想适用于解决智能航电系统认证过程中面临的一系列问题,但目前的研究成果过于抽象,总体属性还无法作为完整且可操作的符合性验证方法。如果可以在实践中进一步细化,总体属性将会是智能航电系统可以考虑的认证框架。

与FAA的“总体属性”不同,2019年EASA提出了“抽象层”的概念,其目标是在现有软硬件标准之上,捕获系统认证所需且独立于所使用技术的属性。抽象层虽然是一种自下而上的方法,但与总体属性的缺点类似,暂时也不具备对智能航电系统进行认证的可操作性。

图4  智能航电系统认证框架

一、可信度分析

在AI的应用潜力得到广泛认可的同时,大量研究也指出“可信”是AI赋能行业应用的必要前提。AI/ML技术在安全关键系统中的错误预测已经产生了人们无法承受的后果,例如优步自动驾驶汽车未能及时识别路上行人而致其死亡,IBM Watson医疗中心对癌症患者给出的错误诊断等案例。在这样的背景下,针对AI/ML系统的可信度分析在学术界被广泛讨论,已成为备受关注的研究热点。

可信度分析从宏观方向上指导AI/ML系统向着可信的方向发展,主要关注两个原则:一是功能性原则,要求AI/ML系统在技术和功能上可信,即要求AI模型具有较高的准确率、泛化性等,这是AI/ML系统应用的共识前提;二是伦理性原则,即AI决策在保证系统性能准确的前提下,应符合人类社会的道德伦理准则和法律法规,才能得到人类的信任。尤其是在民用飞机的适航体系中,需要通过正向分析来证明技术的可靠性。智能航电系统可信度分析的重要性和全新特质值得特别关注。

注:  ①2017 生命未来研究所《阿西洛马人工智能准则》;②2017 美国电气电子工程师协会《AI设计伦理准则》;③2019 欧盟《可信人工智能的伦理准则》;④2019 二十国集团《G20 AI准则》;⑤2020 美国白宫《在联邦政府中推广可信人工智能的行政命令》;⑥2021 中国科技部《新一代人工智能伦理规范》。

在民用航空领域,EASA已经基于《可信人工智能的伦理准则》明确了智能航电系统全生命周期内的三个重要可信支柱,即合法性、遵守伦理原则和技术鲁棒性。此外,EASA还通过“可信AI评估列表”为申请人提供可信度分析的指导并确定了若干目标和预期符合性方法。

列表包括以下7个部分:①人类自主性与监管,②技术鲁棒性与安全,③隐私与数据管理,④透明性,⑤多样性、非歧视与公平,⑥社会与环境福祉,⑦可问责性。

对智能航电系统的可信度分析将产生功能性与非功能性系统需求以及应实现和验证的组织需求。智能航电系统的认证框架应从可信度分析出发,通过后续的安全性评估、安全风险缓解和认证/批准活动对可信AI伦理准则的关注要素给出具体实施方法。

二、安全性评估

民用飞机系统安全性评估是在整机及机载系统研制过程中确定定性和定量的安全性目标,并采用相应的分析与评估技术来证明已达到安全性目标的方法。随着航空技术的发展,航空器功能的增加给系统安全性评估工作带来了挑战,民用飞机安全性分析方法及标准是随着航空工业的发展而不断变化的。

根据D.Amodei等和J.M.Faria的研究成果,可以总结出一系列使用AI/ML技术引发的典型失效模式,例如对指定函数的访问受限、训练数据不足或管理不善、模型表达不充分等。2020年,C.Smith等引入了危险贡献模式(Hazard Contribution Modes,简称HCM)的概念,用于对LEC的危险系统状态进行分类,可以为智能航电系统的功能危险性评估和故障模式及影响分析提供参考。2021年,D.Cofer认为LEC可能会由于未知的输入而导致潜在的危险输出,其回顾了当前机载软件系统中检测非预期行为的原理和技术,并研究了LEC在安全关键领域应用的安全保证方法,包括形式化方法、新的测试方法、新的覆盖度指标以及运行时保证架构。

图5  AI/ML系统的安全性评估流程

ConOps是AI/ML系统的运行概念,详细说明了系统应该如何运行,重点放在运行设计域(Operational Design Domain,简称ODD)的构建以及特定运行限制和假设的捕获上。一个ODD是符合一个或一组场景描述的参数集合,明确了系统正常运行的条件及约束,AI/ML系统只允许在其ODD中运行。对ConOps的精确定义旨在最大限度地保持AI/ML系统运行的“安全区”,减少由于ML算法性能受限而导致的不安全运行场景,确保了足够且具有代表性的训练、验证和测试的数据集,能够给智能航电系统的安全性评估提供必要的输入。

三、安全风险缓解

随着航电系统复杂程度和智能化的不断提高,设计一个完全具备鲁棒性和可解释性的智能航电系统是不切实际的,现有方法不能保证AI/ML组件在系统的整个生命周期中不会发生失效或故障。为了保持系统尽可能运行在预期的范围内,可以采用安全风险缓解(Safety Risk Mitigation,简称SRM)将剩余安全风险降低到可接受的水平。

图6  典型运行时保证架构

2020年,J.D.Schierman等提出了基于无人机系统(Unmanned Aircraft System,简称UAS)的RTA架构,研究发现RTA能够通过系统交互检查安全性、完整性以及输入输出的有效性,但具有多级交互反馈的系统也会显著增加RTA框架的复杂程度;D.Cofer等提出了飞机智能滑行系统的RTA架构,通过架构分析与设计语言对其进行建模并进行形式化分析,验证了该架构在不同运行场景下的安全性;C.Lazarus等基于马尔可夫决策过程设计了高安全性的RTA架构,使用强化学习方法确定RTA系统的配置切换策略,确保系统始终在安全范围内运行;2021年,B.Wheatman等建立了分布式智能控制系统的RTA架构,利用黑盒监控模块检测AI/ML系统是否出现故障,利用白盒监控模块预测AI/ML系统决策的正确性,结果表明此方法有助于最大限度地提高系统整体性能。

四、认证/批准活动

智能航电系统的认证/批准活动是作为可能适用的符合性方法提出的,覆盖智能航电系统生命周期的一个或多个阶段。认证/批准活动的深度可以根据智能航电系统采用的系统架构、人工智能技术的复杂度和分配的研制保证等级灵活调整,各项活动的研究进展分述如下。

1、学习保证

图7  EASA提出的W型学习保证流程

图8  WG-114/G-34工作组提出的ML系统开发生命周期

2、可解释性分析

2016年,美国国防高级研究计划局在其可解释人工智能研究计划中首次较为完整和明确地阐述了关于AI可解释性的概念,即一整套能够产生更多可解释模型,能够维持高水平学习性能,能够使用户理解、信任和有效管理AI的机器学习技术。然而,由于AI/ML模型具有高度的非线性运算特性,导致其可解释性较差,无法应用于一些对安全性要求较高的关键领域。

对智能航电系统的认证需要可解释性分析的支持,这不仅能增加系统研制人员对AI/ML模型决策的理解与信任,也能帮助诊断出影响模型性能的因素,加以改进,进一步提升模型性能。目前已有部分AI框架开始支持可解释性的需求,比如基于PyTorch框架出现了Captum等可解释库支持,基于TensorFlow出现了TF-explain等库支持,以及同时支持PyTorch和TensorFlow的AIX 360、Alibi等可解释库。国内则有MindSpore的MindSpore XAI,PaddlePaddle的InterpretDL。另外,已经有一些平台从可解释的角度出发对模型进行评测,例如启智社区的重明平台、瑞莱智慧平台等。

在学术领域,对AI/ML可解释性的研究也逐渐增多。2018年,Zhang Y F等认为对深度神经网络的解释无需打开整个底层网络的连接权重、隐含层和特征矩阵,而应当是一种由用户驱动生成的解释路径,具体方案包括伴随变动、基于一致性的方法、基于分歧的方法和基于调节的方法;2020年,P.Linardatos等对可解释人工智能(Explainable Artificial Intelligence,简称XAI)的研究进行了分类和综述,包括解释复杂黑盒模型的方法、创建白盒模型的方法、促进公平和限制歧视的方法以及分析模型预测敏感性的方法;2022年,雷霞等重点从解释深度学习模型的逻辑规则、决策归因和内部结构表示三个方面出发,介绍了几种可解释性研究的典型模型和算法,并指出了深度学习可解释性未来可能的发展方向;同年,刘潇等定义了强化学习可解释性(Explainable Reinforcement Learning,简称XRL)的3个独有问题,即环境解释、任务解释、策略解释;之后,对现有方法进行了系统的归类,并对XRL的最新进展进行综述。

3、形式化方法

形式化方法是一种建立在严格数学模型基础上的用于设计、规范和验证的方法,广泛地应用在软硬件、通信协议、嵌入式控制系统等方面。DO-178C及其增补的DO-333首次正式将形式化方法引入到航空机载软件开发领域并确定了其有效性。同时,信息技术安全评价通用准则(The Common Criteria for Information Technology Security Evaluation,简称CC)要求评估保障等级(Evaluation Assurance Level,简称EAL)5级以上的软件必须使用形式化方法进行认证;ISO 26262标准也推荐在高安全完整性等级的系统软件开发中运用形式化方法。

目前,AI/ML领域的形式化方法也引起了学术界和工业界的高度关注。2018年,N.Fulton等提出了一种可证明的安全学习方法,此方法具有强化学习的探索和优化能力以及形式化验证的安全保证能力,并通过一个汽车自适应巡航控制模型验证了该方法的可行性;2019年,T.Dreossi等开发了面向AI/ML系统的形式化设计与分析工具包VerifAI,并将时态逻辑证伪、基于模型的系统模糊测试、参数合成、反例分析和数据集扩充作为案例进行展示;2021年,C.Urban等回顾了形式化方法在航空机载软件领域的应用情况,对迄今为止面向ML开发的形式化方法进行了全面而详细的介绍,包括可满足模理论(Satisfiability Modulo Theories,简称SMT)、优化和抽象解释技术等,讨论了支持向量机和决策树的集成方法以及模型训练和数据准备的方法,并对AI/ML系统形式化验证的未来研究方向进行了展望。

4、测试

在民用航空领域,智能航电系统的错误行为可能会导致无法挽回的严重后果。因此,对智能航电系统进行充分的测试以尽可能地避免错误行为是必要的。虽然传统机载软件测试技术已经日趋成熟,但由于AI/ML技术与传统软件之间存在本质区别,传统软件测试技术无法直接应用于智能航电系统的测试中。对智能航电系统的测试需要把更多的注意力放到AI/ML模型神经元本身的状态以及神经元之间的互动关系上,目标是找出智能航电系统运行时的错误行为并及时改正。

2018年,Sun Y等受DO-178C中修正条件/判定覆盖(Modified Condition/Decision Coverage,简称MC/DC)测试方法的启发,设计了针对神经网络的测试方法,提出了符号—符号覆盖、距离—符号覆盖、符号—值覆盖以及距离—值覆盖四种覆盖准则;Pei K等提出首个系统性测试深度学习系统的白盒框架DeepXplore,该框架能生成输入来触发深度学习系统逻辑的不同部分,并可以在没有手动干涉的情况下识别深度学习系统的不正确行为;2019年,Sun Y等提出了第一个针对深度神经网络的concolic测试方法,实验表明该方法在获取高覆盖率和寻找对抗样本方面是有效的。2021年,PaddlePaddle推出了PaddleSleeve模型安全工具,完整提供了具有从AI模型鲁棒性评估测试,到模型攻击防御,再到模型鲁棒性提升能力的一整套工具;同年,MindSpore也推出了鲁棒性测试工具MindSpore Armour,基于黑白盒对抗样本、自然扰动等技术,提供高效的鲁棒性评测方案,帮助用户评估模型的鲁棒性并识别模型脆弱点。

5、许可

NASA于2015年发布的《自适应系统认证注意事项》[94]提到,对先进自适应技术的认证需要完全脱离当前模式。应参考飞行员和空管员等从事关键民航工作人员的培训流程,将其衍生到智能航电系统中也可以得到相应的许可流程。与人类不同,智能航电系统可能需要数十万小时的模拟飞行和数千小时的实际飞行,发现并纠正大量故障之后才能得到认证,这种许可流程可以带来以下关键优势:

①许可将更多的注意力集中在系统的实际性能上,而不是像DO-178C过多地关注于开发过程和提供符合性证据;

②一旦高保真仿真技术发展到足以培训和测试智能航电系统时,通过许可的方法能在很大程度上降低认证新系统或修订系统的成本;

③传统认证的无错误保证使得系统研制人员不会继续测试或验证已通过认证的航电系统,而经过许可认证的智能航电系统会有可靠的性能记录,通过适当的立法能够使系统研制者免除相应法律责任,使得研制人员在系统取得认证后仍然能及时纠正可能存在的缺陷。

2019年,J.Nuñez等在虚拟智能系统人机路线图(Human Aircraft Roadmap for Virtual Intelligent System,简称HARVIS)项目中对未来航空器运行场景、单一飞行员驾驶和自适应人机交互界面进行了研究,考虑了人工智能的“许可”认证概念并在欧洲航空航天高级培训联盟(The European Consortium for Advanced Training in Aerospace,简称ECATA)进一步发展;2022年,C.Regli等面向自适应飞行自动化系统开发了一种自上而下的测试方法,定义了电子飞行教员/检察员和飞行自动化系统之间的接口,形成类似于人类飞行员必须通过的技能测试和熟练程度检查大纲,这种拟人化的方法评估了自适应系统的整体输出,拓展完善了智能航电系统的许可认证框架。

适航符合性验证挑战

一、可能适用的符合性验证方法

局方适航管理的基本原则是以适航规章的形式提出适航技术和管理要求,但不限定表明适航符合性的方法。目前适航管理程序已经对常用的符合性方法进行了分类,随着机载产品从简单到复杂的变化,申请人需根据产品特点选取其中的一种或多种组合的方式来表明符合性,如有更为明确完整的符合性方法定义与说明,亦可作为符合性审定计划的一部分。基于AI/ML产品生命周期各个阶段,紧扣基本认证框架与关键技术,提出了适用于智能航电系统的符合性验证要求及需要考虑的注意事项,如表4所示。

表4  智能航电系统适航符合性验证中需要考虑的注意事项

现有的行业标准和指南也可以作为智能航电系统适航符合性的补充方法,以增强申请人及局方对智能机载产品的信心。

二、对现有适航体系造成的影响

在研制智能航电系统时,现行系统及软硬件的研制保证符合性方法不足以处理ML学习过程的特殊性,需要通过2.4节1)中的学习保证流程加以补充。同时,对于AI/ML的可解释性也有必要根据2.4节2)中的认证活动补充新的符合性方法,但1A级的智能航电系统只需要参考人为因素认证指南就可以获得足够的符合性方法,更高级别的AI应用将在后续阶段进一步展开研究。

在航空运营方面,当前的监管框架允许引入AI/ML解决方案,欧盟委员会条例(EU No.965/2012)规定了与航空运营有关的技术要求和行政程序,并在ORO.GEN.200条款中给出了需要建立、实施和维护的安全管理体系,允许运营商识别航空安全风险并采取缓解措施。

结束语

从权威航空安全机构、科研组织以及领军企业对智能航电系统认证研究的广泛关注和初步应用来看,此领域将会是航空工业在新一轮科技革命和产业变革中需重点攻克的难点问题之一。FAA和EASA已经为航电系统引入AI/ML提供了开放性的解决方案,但仍需要在现有适航体系的基础上,进一步更新和补充标准化认证框架。

后续的工作需要牢牢把握未来航电系统的智能化趋势,探索现有技术应用落地的方式、形态和能力边界等。应积极借鉴和结合汽车及轨道领域的最新研究成果,采取多专业参与、多方法并举的手段支持智能航电系统全生命周期的符合性验证工作,从而提高智能航电系统的可信性和安全性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/686268.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

three.js通过CubeTexture加载环境贴图,和RGBELoader加载器加载hdr环境贴图

一、使用CubeTexture进行环境贴图 1.CubeTexture使用介绍 Three.js中可以通过使用CubeTexture进行环境贴图,CubeTexture需要将6张图片(正面、反面、上下左右)包装成一个立方体纹理。下面是一个简单的例子: 首先需要加载六张贴图…

关于随机梯度下降算法及其改进方向

回归与分类等监督学习是机器学习中最常见的一类学习问题, 它提供了包含输入数据和目标数据的训练数据集。为了探讨输入与目标之间的关系,需要先建立含参数的表示模型,再通过最小化所有样本的平均损失函数来获得最优的参数, 此处的优化模型通常为经验风险…

【SpringMVC】统一异常处理 前后台协议联调 拦截器

1,统一异常处理 1. 问题描述 在讲解这一部分知识点之前,我们先来演示个效果,修改BookController类的getById方法 GetMapping("/{id}") public Result getById(PathVariable Integer id) {//手动添加一个错误信息if(id1){int i …

那些曾经考过的turtle绘图题(16~20)

【编程实现绘图 -16】 使用turtle绘制如右图1中所示的图形。 上边是一个红色轮廓、黄色填充的边长为300的等边三角形,下边是一个绿色填充、半径为150的半圆。 要求: 1)画布背景为白色,等边三角形为红色轮廓、黄色填充; 2)半圆为绿色填充、且与等边三角形在底边的中点处相…

OpenCV——总结《车牌识别》之《常用的函数介绍》

1. cv2.getStructuringElement(cv2.MORPH_RECT, (10, 10))element cv2.getStructuringElement(shape, ksize[, anchor])用于创建形态学操作的结构元素(structuring element)。 参数解释: shape:结构元素的形状,可以…

k近邻算法

文章目录 一、K近邻算法(K Nearest Neighbor algorithm, KNN)1.概念2.流程3.问题——不能用来图像分类1)图像分类2)为什么不能用来图像分类3)数据库样例:CIFAR-10 二、HEU的K近邻算法1.概念2.伪代码3.k近邻算法是非线性分类算法4.…

java项目之教学视频点播系统ssm

风定落花生,歌声逐流水,大家好我是风歌,混迹在java圈的辛苦码农。今天要和大家聊的是一款基于ssm的教学视频点播系统。项目源码以及部署相关请联系风歌,文末附上联系信息 。 💕💕作者:风歌&…

SVM支持向量机理解_KKT条件_拉格朗日对偶_SMO算法代码

目录 一、支持向量机基本型(线性可分) 1.1 问题描述 1.2 参考资料 二、KKT条件 2.1 KKT条件的几个部分 2.1.1 原始条件 2.1.2 梯度条件 2.1.3 松弛互补条件 2.1.4 KKT条件小结 2.2 参考资料 三、对偶形式 3.1 由原始问题到对偶问题 3.2 对偶…

ubuntu双系统安装

1. 下载系统 国内镜像 http://mirrors.ustc.edu.cn/ubuntu-releases/2. U盘启动盘 Rufus 软件 制作U盘启动盘 Rufus 链接 https://rufus.en.softonic.com/3. 磁盘中准备一定未分配磁盘 我准备了100G 4. BIOS启动项选择为usb启动(每个品牌进BIOS不同&#xff0…

win下 Nginx.conf 路径配置注意事项(win)

win下 Nginx.conf 路径配置注意事项 文章目录 可使用win绝对路径路径不能包含中文路径不能包含空格路径中的"\n"会被识别成换行贴一段正确配置的Nginx.conf代码 可使用win绝对路径 网上有种说法是win下Nginx不能设置绝对路径,但我在Nginx-1.24.0下是设置…

在Windows11中安装WSL2(Ubuntu20.04)并配置Anaconda环境

在Windows11中安装WSL2(Ubuntu20.04)并配置Anaconda环境 文章目录 在Windows11中安装WSL2(Ubuntu20.04)并配置Anaconda环境说在前面1. 检查开启CPU虚拟化和虚拟机平台2. 安装Ubuntu20.043. Vscode连接WSL2(Ubuntu20.04)4. Anaconda开发环境的搭建5. Vscode 访问 notebook结尾 说…

高效视觉识别的动态感知器

文章目录 Dynamic Perceiver for Efficient Visual Recognition摘要本文方法实验结果 Dynamic Perceiver for Efficient Visual Recognition 摘要 Early exiting已成为提高深度网络推理效率的一种很有前途的方法。通过构建具有多个分类器(出口)的模型,可以在较早的…

佩戴舒适的蓝牙耳机有哪些?公认佩戴舒适性不错的蓝牙耳机推荐

​都2023年了,不会还有人没有一款蓝牙耳机吧?随着蓝牙耳机的增长,越来越多人不知道如何挑选蓝牙耳机了,蓝牙耳机除了音质表现要好之外,还有就是佩戴舒适性不能差,防水性能要有,接下来&#xff0…

WPF 的几种模板概念

WPF中有三大模板ControlTemplate,ItemsPanelTemplate,DataTemplate.其中ControlTemplate和ItemsPanelTemplate是控件模板,DataTemplate是数据模板,他们都派生自FrameworkTemplate抽象类。 看看如下继承图: ControlTemplate <Style TargetType="Button">&…

MiniGPT-4 模型学习与实战

1 前言 MiniGPT-4 是一个冻结的视觉编码器(Q-Former&ViT)与一个冻结的 文本生成大模型&#xff08;Vicuna&#xff0c;江湖人称&#xff1a;小羊驼&#xff09; 进行对齐造出来的。 MiniGPT-4 具有许多类似于 GPT-4 的能力, 图像描述生成、从手写草稿创建网站等MiniGPT-4…

bitbucket 配置 SSH keys

目录 问题 配置方法 生成SSH key 添加SSH key至SSH Agent 添加公钥至Bitbucket 执行Git clone 问题 拉取bitbucket上的代码需要配置SSH key Configure SSH and two-step verification | Bitbucket Cloud | Atlassian Support 以Linux为例&#xff1a; Set up persona…

WebSocket 的介绍及基本使用

websocket 什么是 websocket ? https://websocket.org/ 是一种网络通信协议&#xff0c;和 HTTP 协议 一样。 为什么需要websocket ? 因为 HTTP 协议有一个缺陷&#xff1a;通信只能由客户端发起。 了解 websocket api含义 基于原生的 websocket 完成服务端和客户端的通…

使用指针突破类的private限制

使用指针突破类的private限制 继承的内存模型使用指针再子类中访问父类的私有变量 继承的内存模型 创建派生类对象时只会申请一次内存&#xff0c;派生类对象包含了基类对象的内存空间&#xff0c;this指针相同的。创建派生类对象时&#xff0c;先初始化基类对象&#xff0c;再…

Oracle数据库安全评估工具(DBSAT)

目录&#xff1a; 工具概述&#xff1a;先决条件&#xff1a;一、支持的操作系统及DB版本&#xff1a;1.支持的操作系统2.支持的数据库版本 二、评估工具的前提条件&#xff1a;1.所需安装包及工具2.Collector的先决条件3.Reporter的先决条件4.Discoverer的先决条件 工具下载&a…

23vue3铺垫知识——ES6模块化与异步编程高级用法

文章目录 一、ES6模块化1、回顾:nodejs中如何实现模块化2、前端模块化规范的分类3、什么是ES6模块化规范4、在nodeis中体验ES6模块化5、ES6模块化的基本语法5.1 默认导出与默认导入5.2 按需导出与按需导入5.3直接导入并执行模块中的代码 二、Promise1、回调地狱1.1 如何解决回调…