[Paper] 在伦理感知自主系统的需求工程过程中的人类价值观操作化

Source: arXiv - 2602.09921v1

概述

本文提出了一套具体的需求工程（RE）框架，使开发者能够将人类价值观——如公平、隐私和文化规范——直接嵌入自主系统的设计中。通过将模糊的“价值观”转化为机器可读的目标和检查，作者旨在使具备伦理意识的 AI 开发像编写功能规格一样系统化，并通过一个医疗体感传感网络原型验证了该方法。

关键贡献

• 规范目标模型 – 引入“规范目标”，捕捉人类价值并将其与传统的功能目标和适应目标关联。
• SLEEC 需求分类法 – 定义了五个具体的需求类别（社会、法律、伦理、共情、文化），对每个规范目标进行具体化。
• 自动化良构性与冲突检查 – 提供一套形式化规则和原型工具，能够在需求工程周期的早期自动检测不良构造或矛盾的需求。
• 设计时协商协议 – 提供一种轻量级的协商机制，使利益相关者在实现之前解决价值冲突。
• 案例研究验证 – 在医疗体感网络（BSN）上展示完整工作流，说明如何捕获并验证隐私、安全和文化接受度等需求。

方法论

1. 需求获取 – 利益相关者（患者、临床医生、监管机构）列出期望的系统功能以及他们关注的人文价值。
2. 目标映射 – 将每个价值表达为规范性目标（例如，“尊重患者隐私”），并关联到已有的功能/适配目标（例如，“传输生命体征”）。
3. 操作化 – 将规范性目标细化为具体的 SLEEC 需求。例如，隐私目标可以拆解为：
   • 法律: “按照 HIPAA 标准加密数据。”
   • 伦理: “仅在临床决策所需的时间内存储数据。”
   • 文化: “允许患者选择退出位置跟踪。”
4. 形式化 – 将需求编码为一种支持逻辑运算符、时间约束和量化阈值的简易 DSL。
5. 自动分析 – 工具检查每条需求的语法完整性，验证其不与其他需求冲突，并标记潜在的价值冲突（例如，“持续监测” vs. “最小侵入性”）。
6. 协商循环 – 当出现冲突时，系统提供权衡选项（例如，降低采样频率），并记录利益相关者的决策以实现可追溯性。

该过程刻意保持轻量，以便需求工程团队能够将其无缝集成到现有的敏捷或模型驱动工作流中，而无需陡峭的学习曲线。

结果与发现

• 冲突检测 – 在 BSN 案例研究中，工具识别出三个隐藏冲突（例如 “实时警报” 与 “患者自主权” 之间的冲突），这些冲突在人工审查时被遗漏。
• 需求覆盖率 – SLEEC 分类法捕获了 92 % 的利益相关者表达的价值观，而传统仅功能的需求工程方法仅捕获 58 %。
• 运行时影响 – 在原型中加入生成的 SLEEC 约束使系统延迟增加 < 5 %，表明额外检查对实时医疗设备是可行的。
• 利益相关者满意度 – 部署后调查显示，临床医生和患者对系统的可信度感知提升了 30 %，归因于对伦理关注的透明处理。

实际影响

• 标准化伦理集成 – 构建自主无人机、金融科技机器人或物联网健康设备的团队可以采用 SLEEC 架构，将合规性和伦理检查直接嵌入其待办事项中。
• 监管对齐 – 通过将法律要求映射到相同的形式化模型，该方法简化了审计证据的生成（例如 GDPR、FDA、ISO 26262）。
• 持续保证 – 由于需求是机器可读的，CI 流水线可以在每次引入新功能或政策变更时自动重新运行冲突检测。
• 跨学科协作 – 协商协议提供了一个具体的产出（已解决的需求集合），弥合工程师、伦理学家和领域专家之间的鸿沟，降低误沟通。
• 工具生态系统 – 该原型 DSL 可作为插件扩展到流行的需求工程工具（如 JIRA、Azure DevOps），为现有开发团队提供低阻力的采纳路径。

限制与未来工作

• 可扩展性 – 当前原型在单一、相对较小的医疗系统上进行评估；在大型、分布式自主舰队上的性能仍需测量。
• 价值获取开销 – 捕捉细微的文化或同理心价值仍然需要熟练的主持人；作者指出需要更好的获取模板。
• 动态情境 – 虽然该方法在设计时冲突处理良好，但对不断演变的社会规范（例如新隐私法）的运行时适配尚未完全自动化。
• 未来方向 – 作者计划 (1) 融入基于机器学习的情感分析，以从利益相关者沟通中挖掘潜在价值，(2) 扩展 DSL 以支持关于权衡的概率推理，(3) 在自主交通和智慧城市等领域开展纵向研究。

作者

• Everaldo Silva Júnior
• Lina Marsso
• Ricardo Caldas
• Marsha Chechik
• Genaína Nunes Rodrigues

论文信息

• arXiv ID: 2602.09921v1
• 分类: cs.SE
• 发布: 2026年2月10日
• PDF: 下载 PDF