数字孪生的可信性表征

导读

3月22日，生命未来研究所（Future of Life）发布了一封《暂停大型人工智能研究》的公开信，呼吁所有AI实验室立即暂停比GPT-4更强大的人工智能系统的训练，暂停时间至少为6个月，尽管签名方式不太严谨（出现了冒名签名的），目前已有一万多名各界人士签名，但也出现了明确反对的声音。3月25日，OpenAI的CEO奥特曼在与MIT计算机、AI研究科学家Lex Fridman对谈时提到，“AI确实可能杀死人类”。3月31日，意大利成为第一个宣布暂时禁用ChatGPT的国家。无论这些动作和观点的效果和影响，它们确实反映了部分国家、公众和专业人士对新一代AI的担忧。

这种对AI可信性的担忧，在数字孪生领域，换成了存疑：数字孪生体在多大程度上模拟了目标实体的特性和行为？人们在多大程度上可以信赖、依赖数字孪生系统的预测和决策建议（特别是当这个数字孪生系统还用到了机器学习和人工智能技术时）？

笔者认为，无论是担忧、还是存疑，都不是因噎废食、抗拒排斥、止步不前的借口（在日新月异的当下，没有一家AI公司会暂停研发），而是“政产学研用”多方协同，加快技术研发和（特别是伦理和治理相关）标准法规制定的动力。

有点尴尬，和中文“安全”这个词在英文中对应safety和security两个词类似，“可信性”或“可信的”、“可以信赖/相信的”在英文中也是两个词，credibility和trustworthiness（还好，believability不是专业术语），credible和trustworthy。鉴于这两个词在中文中尚没有严格区分的官方的正式译法，本文认可两个词都采用可信性或可信度译法的现状，多数情况下直接使用英文以示区分；对可信性和可信度分别对应的定性和定量的说法，本文不做区分，视为同义词。在介绍建模仿真、人工智能和物联网等领域可信性相关标准现状和研制进展后，本文尝试给出区分这两个词的译法建议，并对数字孪生领域的可信度指标表征给出标准化建议。

一、语言学和社会学视角下的“可信”

先看一下这对儿英文词的形容词形式。trustworthy通常用来形容个人品格，正式的书面语，语气非常强烈，形容他人对一个人的信任是完完全全深信不疑的。而credible很少指人。credible有时是believable的同义词，即用来描述事物的以下性质：有可能发生的、或许存在的，因为它与日常经历和观察结果一致或不与事实截然相反。然而，与believable相比，credible还有这样一层意思：something that is credible merits belief and is supported by known facts（某事值得相信，且有已知的事实为证）。credible极少数情况下指人，也与这层意思相关，如credible witness可信的证人，指在提供准确的证据方面可靠的、值得信赖的证人。这第二层意思也使得credibility在工程技术领域得到广泛应用。

再看词典对trustworthiness和credibility的定义。

Trustworthiness: the trait of deserving trust and confidence. Trait: a distinguishing feature of your personal nature.

Credibility: the quality of being trusted and believed in. Quality: an essential and distinguishing attribute of something or someone.

所以，一种观点认为，一个人的trustworthiness与其可以依赖的程度相关，由其言行决定，是个客观事实，外人可以根据一个人所说的是否诚实准确，言行是否一致，来判断一个人的trustworthiness；而一个人的credibility，与其trustworthiness无关，而与他展现自己的方式和其他人的观感（的准确性）相关，是个主观评价。即一个本性很渣的人，仍然可以有人相信他。这样，trustworthiness和credibility两个不同维度的特性，可以构成人际交往的四个象限，本文不再赘述。当然，关于trustworthiness和credibility的主客观属性也可以反过来理解：trustworthiness基于性格和意图，是情绪化的；而credibility则基于证据或长期跟踪记录，是基于事实的。这两种理解都有道理。

在社会学等领域常用的质性研究中，credibility和trustworthiness是两个被同时使用的重要概念，相互关联，又有不同含义。

credibility是研究项目中收集分析的数据准确反映所研究现象的程度，或研究结果在特定情况下的可以被相信（believable）的程度，通常与研究人员的专业知识认知、研究人员或数据来源的权威性、以及数据收集和分析方法的有效性和一致性有关，通常通过成员检查、同行评审和汇集不同来源信息来检验有效性的三角测量等方法实现。

而trustworthiness与研究场景或场合无关，是指研究过程整体的可靠性reliability、可依赖性dependability、严谨性rigor和完整性integrity，包括credibility、可依赖性dependability、可转移性transferability和可确认性confirmability，通常与研究人员的透明度、反思性reflexivity和道德行为以及对研究结果的验证确认相关。trustworthiness通过使用既定的研究方法实现的，包括对数据收集和分析细节的关注、报告结果的透明度以及对潜在偏见和局限性的承认。

总之，在质性研究中，credibility和trustworthiness密切相关，因为它们都旨在建立对研究结果的信心confidence和信任trust。然而，credibility特指研究结果的trustworthiness，更具体、更主观；而trustworthiness是一个更广泛的概念，包括credibility以及研究质量的其他方面，更宏观、更客观。质性研究这一同时使用credibility和trustworthiness这对儿概念的领域，其做法为我们处理数字孪生领域的可信问题提供了有益的思路。

二、国外行业标准规范和国际标准中credibility的定义

在技术和工程领域，credibility和trustworthiness两词的含义、区别和联系与人们在日常生活中对它们的理解既有不同之处，也有相同之处。

首先，credibility是个建模仿真领域的术语，尚未出现在ISO相关标准的正式定义中，但在多个建模仿真领域的行业标准和规范中都有定义。

美国国防部验证确认建议规范（DoD VV&A RPG Reference Document - A Practitioner’s Perspective on Simulation Validation）对credibility的描述如下：A model or simulation, its data, and its results have credibility if the decision-maker and other key project personnel accept them as “correct.” Note that a credible simulation is not necessarily valid, and vice versa（如果决策者和其他关键项目人员认为一个模型或仿真、及其数据和结果是“正确的”，那么它们就有可信度。备注：一个可信的仿真不一定是有效的，反之亦然）。

NASA模型和仿真标准（NASA-STD-7009A）对credibility的定义是：The quality to elicit belief or trust in M&S results（引起对建模和仿真结果的信念或信任的质量特性）。

ASME V&V 40-2018《通过验证确认来评估计算模型的可信度：在医疗设备中的应用》标准中对Model Credibility的描述性定义为：the trust in the predictive capability of a computational model for the context of use（对在应用场景中的计算模型的预测能力的信任）。该标准还给出了与各种可信度因素相关的验证确认和适用性活动（图1）和可信度评估过程框架（图2）。

图1 ASME V&V 40-2018中模型可信性的描述性定义

图2 ASME V&V 40-2018建议的可信度评估框架

FDA参考ASME的定义，在2021年12月发布的给工业和食品药品监督管理人员的《评估医疗设备提交中计算建模和仿真的可信度》指南草案中给出了credibility正式定义：the trust, established through the collection of evidence, in the predictive capability of a computational model for a context of use（通过收集证据建立的对在应用场景中的计算模型的预测能力的信任）。进而该指南给出了两个credibility相关术语定义：可信度证据和可信度因素。

Credibility evidence: any evidence that could support the credibility of a computational model. Credibility factors: fundamental aspects of the credibility assessment process that break down the analysis of verification, validation, or other sources of credibility evidence.

在系统工程和软件工程领域，ISO/IEC 25012:2008 Software engineering — Software product Quality Requirements and Evaluation (SQuaRE) — Data quality model（GB/T 25000.12-2017《系统与软件工程 系统与软件质量要求和评价 第12部分：数据质量模型》）给出了数据质量特性之一——确实性（即credibility）的非正式定义：The degree to which data has attributes that are regarded as true and believable by users in a specific context of use（在特定的使用周境中，数据具有表征其被使用者认为真实和可信的属性的程度），并备注：确实性包含起源、归因、承诺的真实性。

由上述标准规范中的定义可以看出，在技术和工程领域credibility关注的是模型或数据的真实可信。

三、国际标准中trustworthiness的定义

在与credibility相比，trustworthiness有更广泛的应用领域。在人工智能、物联网、文档管理、信息与文档化、智慧城市、共享经济、系统和软件工程、通信等领域的十多个ISO和ITU-T标准中，trustworthiness出现在标准名称或章节标题中，或有正式的定义。近年来，对trustworthiness采用基本一致定义的国际标准包括：

ISO/IEC TR 24028:2020 Information technology — Artificial intelligence — Overview of trustworthiness in artificial intelligence

ISO/IEC 30145-2:2020 Information technology — Smart City ICT reference framework — Part 2: Smart city knowledge management framework

ISO/IEC 20924:2021 Information technology — Internet of Things (IoT) — Vocabulary

ISO/IEC 30147:2021 Internet of things (IoT) – Integration of IoT trustworthiness activities in ISO/IEC/IEEE 15288 system engineering processes

ISO/IEC 22989:2022 Information technology — Artificial intelligence — Artificial intelligence concepts and terminology

ISO/IEC TS 5723:2022 Trustworthiness — Vocabulary

ISO/IEC DIS 25019 Systems and software engineering — Systems and software Quality Requirements and Evaluation (SQuaRE) — Quality-in-use model

在上述多数标准中，trustworthiness的定义如下：ability to meet stakeholders' expectations in a verifiable way（以可验证的方式满足利益相关者期望的能力）。ISO/IEC TS 5723:2022在这一定义接下来的备注中补充说明：trustworthiness可以应用于组织、服务、产品、技术、数据、信息或过程；可以包括可问责性、准确性、真实性、可用性、可控性、完整性（包括系统完整性和数据完整性）、隐私、质量（包括系统质量和数据质量）、可靠性（包括系统可靠性和网络安全可靠性）、弹复性（包括系统弹复性和治理弹复性）、鲁棒性、（信息）安全性（或称安保性）、（功能）安全性、透明度（包括系统透明度和信息透明度）和可用性等特征；根据具体应用对象来确定适用的具体特征；可验证性包括可测量性和通过客观证据的可证明性。

ISO/IEC TS 5723:2022在trustworthiness的展开和分解特征中，分别从系统和数据信息两个层面考虑完整性、质量、可靠性、弹复性、透明度等特征的一词多义现象，为我们处理数字孪生领域的可信问题提供了有益的思路。

ISO/IEC关于人工智能可信性技术报告和人工智能概念和术语国际标准两份文件中对AI可信性的理解如图3和图4所示。

图3 ISO/IEC TR 24028:2020对AI可信性的理解

图4 ISO/IEC 22989:2022对AI可信性的理解

对比credibility，可以看出，trustworthiness绝对是个系统层面的指标特性：既可以应用于普通的人工系统（如机器人），也可应用于复杂的体系（system of systems）级的系统（如智慧城市）；trustworthiness本身可以分解为一套可信性指标体系（system），用来指导相关领域或所关注系统的参考架构中的可信性视图研发；进而trustworthiness可以成为像可靠性和安全性（safety）那样的指标，贯穿所关注系统的全生命周期过程，可信性设计也就可以成为一个新学科。

图5 可以用三维分类框架认识trustworthiness的系统性

Trustworthiness这一指标的系统性可以用图5的分类框架来解释和展开。另外，上面提到的ISO/IEC 30147:2021以ISO/IEC/IEEE 15288（系统生存周期过程）为框架，将物联网可信性的设计、实现和维护等活动与物联网系统或服务的生命周期过程集成起来，为trustworthiness在具体领域的应用实施提供了参考和指南。而可信性设计这一新学科所涉及的trustworthiness相关活动可以通过图6的行动框架进行展开和管理。

图6 可以用三维行动框架管理trustworthiness相关活动

BTW，图5按时间、空间和目的-手段三大基本关系构建的认识世界的三维分类框架连同图6按问题求解、系统演化和认知升级三大基本过程构建的改造世界的三维行动框架（精益研发三维系统工程模型）一起构成的基于模型的系统和软件工程参考框架被纳入即将正式发布的ISO/IEC/IEEE 24641。

四、数字孪生语境下的可信性

首先，数字孪生为什么需要考虑可信问题？一方面，人工智能的模型、技术和系统有可能成为数字孪生体的使能技术、成为数字孪生系统的组件，以及大部分数字孪生系统中与目标实体（即数字孪生化对象）的交互离不开物联网。这样，人工智能和物联网的trustworthiness问题就被自然带到数字孪生领域。另一方面，上文提到的trustworthiness的系统性和普适性，使其成为智能时代所有人工系统全生命期必须考虑的质量特性，特别是关键领域的关键系统，自然也就包括和适用于数字孪生系统。同时，数字孪生技术脱胎于建模和仿真，所有数字孪生系统中的所有数字孪生体都少不了建模仿真技术的表征和执行，于是建模仿真领域的credibility问题也就被自然带到数字孪生领域。

如何在数字孪生的语境下同时处理credibility和trustworthiness两个概念？通过上文的分析，答案已经呼之欲出了。

为解决“digital twin”和“数字孪生”这一对儿中英文术语指代不清的问题，笔者团队于去年8月在北航主办的数字孪生国际期刊上发布了《The development of a digital twin concept system》第一版，提出参考物联网和人工智能术语标准化的做法，在ISO 23247采纳使用“digital twin entity”（数字孪生体）这一术语的基础上，进一步引入数字孪生系统digital twin system的概念，将数字孪生体和数字孪生系统并列使用，用来消除“数字孪生”在空间维度下的模糊和歧义。

在今年2月发布的该文第二版，为了更清楚地区分数字孪生系统和数字孪生体，笔者进一步提出，将trustworthiness和credibility这两个重要且相关的质量特性分别分配给数字孪生系统和数字孪生体，以反映trustworthiness的系统性和credibility与建模仿真的渊源。接下来就是给这两种可信性概念起个好的中文名称。鉴于中文中所有与“信”相关的两字词对trustworthiness和credibility都不具有区别性和辨识度，笔者建议采用“前缀”性质的修饰词进行意译，将credibility译为模型/数据可信性或模型/数据可信度，将trustworthiness译为系统可信性或系统可信度。建议采纳的定义如下：

credibility: degree to which model or data has attributes that are regarded as true and believable by users in a specific context of use （在特定的使用环境中，模型或数据的属性被用户认为是真实可信的程度）

Note 1 to entry: Credibility of a digital twin entity includes the concept of authenticity (the truthfulness of origins, attributions, commitments) and trust in the predictive capability. （数字孪生体的模型/数据可信度包括真实性概念（来源、归因、承诺的真实性）和对该数字孪生体预测能力的信任）

[SOURCE: ISO/IEC 25012:2008, 5.3.1.4, modified; ASME V&V 40-2018, 5, definition of model credibility has been modified and added to note 1 to entry] trustworthiness完全采纳ISO/IEC TS 5723:2022中的定义和注释（中文翻译见上文）。

数字孪生体及其相关概念构成的概念模型如图7所示，其中credibility是数字孪生体的可信性。数字孪生系统及其相关概念构成的概念模型如图8所示，其中trustworthiness是数字孪生系统的可信性。

图7 数字孪生体及其模型/数据可信性credibility

图8 数字孪生系统及其系统可信性trustworthiness

这样，数字孪生可信性相关的技术研发、行业实践和标准化工作，可以充分沿用建模仿真领域credibility相关成熟技术和先进技术，充分借鉴人工智能和物联网领域trustworthiness现有标准化框架和研究成果，从而在credibility模型/数据可信性和trustworthiness系统可信性两个层面开展。

五、结语

导读里提到的有关数字孪生可信性的两个存疑：数字孪生体在多大程度上模拟了目标实体的特性和行为？人们在多大程度上可以信赖、依赖数字孪生系统的预测和决策建议？对这两个存疑的解答正好对应数字孪生体的credibility模型/数据可信性和数字孪生系统的trustworthiness系统可信性。

从数字孪生的角度看此次新一代人工智能的爆发，以大语言模型为特征的深度神经网络何尝不是人脑的一种数字孪生。虽然离实现人类全部人脑和大语言模型间的高频率同步还需要一段时间，离每个人的大脑及其对应的个性化的数字孪生大脑还有漫漫长路，但从2016年3月阿尔法狗一战封神，到2023年3月GPT-4征服全球，深度学习经历了三十年的蛰伏，终于一飞冲天，让我们真切看到了新一轮技术革命和产业革命的曙光。毫无疑问，大语言模型带来的涌现效应正在重新定义什么是“理解”，正在重塑我们对“可信”的理解，在不远的将来，它很可能会重新定义什么是智能。

但对于数字孪生和数字孪生的可信性而言，除了以大语言模型这一新贵为代表的深度学习和机器学习，我们还需关注以因果推理和知识驱动为本质特征的机理模型的进展。这另外一派的代表就是图灵奖得主Judea Pearl。他认为，没有因果推理就没有理解，没有深刻的理解就不可能有通用人工智能。图7中实现数字孪生体同步机制的两类算法引擎，数据驱动的引擎和知识驱动的引擎将互相促进、互相竞争、此“消”彼长，在新一轮技术革命和产业革命中呈现不均衡的协同进化趋势，共同推动可信的数字孪生技术的成熟和落地。

后记

笔者在《数字孪生的问题空间》和《数字孪生体标准化进展年度回顾》两篇文章中尝试从技术系统分析和演化的视角阐述了数字孪生系统和信息物理系统（或称赛博物理系统）之间的区别和联系。本文图8和数字孪生国际期刊上发布的《数字孪生概念体系开发》一文中提出了广义CPS和狭义CPS的区分。为什么会有这样的区分，笔者稍后会这几篇文章基础上，写一篇介绍CPS近年来标准化进展并系统阐述数字孪生系统和信息物理系统之间的关系。

作者介绍

段海波 安世亚太标准化总工程师，数字化工业软件联盟技术规范与标准组副组长