01 红黄绿三色 · 权限分级协议
城市文旅调度涉及很多 不可逆动作:警力调度、限流疏散、门禁与广播。AI 不能像 ToC 推荐一样"先做再说"。所以平台按权限分区把 AI 可做的事拆成三色,从源头限定 AI 可介入的动作集合。
AI 可直接行动 + 写入日志。覆盖路线推荐 / 软化引导 / 权益激励 / 提示提醒。所有动作仍要写入不可变日志、附 ReasonCode。
AI 建议 → 必经人工确认 → 才能执行。覆盖限流建议 / 安保分流 / 信息标记 / 紧急播报——AI 不拥有最终决策权。
AI 不可触达,仅人工处置。覆盖调用警力 / 封锁 / 强制疏散 / 处罚执法。这些动作物理不可逆,必须由有权限的人类直接执行。
- AI(建议权):提供判断、做预测、翻译看不见的风险信号。
- 规则引擎(审查权):对每条建议做拦截、校验、升级降级。
- HITL(执行权):关键动作由人最终拍板,承担兜底责任。
- 审计日志:所有路径不可变写入,事后可追溯、可申诉。
AI 提供判断力,但不拥有支配权;AI 影响选择,但不替代责任。
02 异常场景 · 兜底决策机制
三色协议是原则,异常场景下的兜底机制是它在工程上的落地。AI 预测、规则引擎判定、人工兜底,三层异常校验串成漏斗,无论哪一层出错都不会越过红区边界。所有走过的路径都进入不可变决策日志中心,附 ReasonCode,事后可追溯、可复盘、可申诉。
不是算得更准,而是确保系统在任何情况下都不会做出危险决策。
03 Shadow → Advisory → Copilot · 渐进试点路径
三色协议直接上线风险高,所以设计了一条渐进式试点路径。AI 不是一开始就拿到「绿区自治」的能力,而是先做 Shadow(只看不说)跑数据,再做 Advisory(输出建议人工确认)验证收益,最后才做 Copilot(有限自治)扩大覆盖。每一阶段都有明确的 KPI 阈值作为放行条件。
Shadow Mode · 只看不说
AI 后台运行,记录预测与实际结果,不影响现场。验证模型精度、稳定性、覆盖度。退场条件:MAPE ≤ 15%。
Advisory Mode · 人机共管
AI 输出建议,必经人工确认才执行。验证收益、人审采纳率、责任归属。退场条件:拒答率上升 ≤ 20% 且采纳率 ≥ 阈值。
Copilot Mode · 有限自治
低风险绿区动作 AI 自治,高风险仍走人审。扩大覆盖、监控 L1 级安全事件。目标:不失控 · 有收益 · 有边界。
