基于规则手册的自动驾驶预期功能安全性开发（上）：SOTIF规则手册

摘要：自动驾驶汽车是一种复杂的系统，可在不确定的环境中行驶，并可能在不可预见的情况下导航。这些系统的安全性不仅需要没有故障，还需要在许多不同场景下的高性能。ISO/PAS 21448指南推荐了一种流程来确保道路车辆的预期功能安全(SOTIF)。此过程从完整描述预期功能的功能规范开始，最后验证和确认自动驾驶汽车是否符合此规范。对于路径规划，在所有潜在驾驶场景下为每辆车定义正确的控制动作顺序是棘手的。本专题连载提出了规则手册框架和SOTIF流程之间的链接。我们确定了提供自动驾驶汽车路径规划任务的功能描述，并讨论了该方法在确认和验证上的应用。

《基于规则手册的自动驾驶预期功能安全性开发》专题连载共分为“上、下”两个部分。此文为该连载系列的“上”部分，从规则手册原则、规则手册和SOTIF之间的链接等方面进行具体方法的阐述。

1.引言

尽管完全无人驾驶汽车的设计、评估和验证研究正在增加，但自动驾驶汽车行业认识到现有的方法不足以证明自动驾驶汽车的性能和安全性。具体而言，汽车功能安全的现行标准仅关注与电气和电子失效相关的危害，但不考虑功能不足造成的危害。与传统汽车不同，自动驾驶汽车负责整个动态驾驶任务，包括感知和决策。这种责任增加了安全性和功能性能的相关性。

为解决潜在功能不足而进行的方法标准化工作推动了ISO/PAS 21448指南的出版，该指南定义了预期功能的安全性(SOTIF)的概念。SOTIF被定义为“不存在由于潜在的与系统的预期功能或性能限制相关的危险行为，不存在ISO 26262中解决的故障”。推荐的SOTIF流程从功能和系统规范开始。然而，定义自动驾驶汽车系统的功能，对于城市驾驶和许多其他应用程序来说，仍然是一个悬而未决的问题，其复杂性超过了处理一些明确定义的任务（例如，机器人在工厂中按照预先定义的路径移动箱子，而不会遇到动态障碍）。事实上，汽车行业在很大程度上应用系统工程流程来定义单个组件或功能的功能。自动驾驶汽车带来了另一个层次的复杂性，这可能会影响安全性。使用一系列条件和动作，例如“如果发生中度至重度碰撞，则安全气囊应展开”，与从业者想要赋予自动驾驶汽车的人工智能不兼容。反之，验证完全机器学习的自动驾驶汽车系统具有挑战性，因为这样的系统不包含任何明确的规范。事实上，如果发生碰撞，车辆的行为将无法追溯到特定的规范，这可能是社会无法接受的。

此外，即使在高度受限的运行中，完全覆盖自动驾驶汽车城市驾驶任务的运行设计域（ODD，即车辆设计运行的域）所需的驾驶场景数量也是数不胜数。如果将场景定义为动作和场景的时间序列，那么可能场景的组合数量实际上不可能在每个场景中定义期望的行为。除了在大量场景中指定行为所需的工作之外，此方法可能会漏掉自动驾驶汽车无法满足预期行为，或预期行为仍未定义的场景或特定规范组合。除了每英里的人工干预数量之外，缺乏通用性能指标阻碍了对系统可衡量要求的定义，并导致开发过程中学习反馈循环缓慢。

定义和验证自动驾驶汽车功能规范的另一个障碍是，缺乏对不同场景下正确驾驶行为的统一定义。现有的交通法规以人类驾驶员为目标，并依赖于人类的解释。在许多国家，道路的官方规则仅针对少数特定情况（例如制动距离）定义了数量限制。大多数交通法规并不精确，并且有些相互冲