摘要
预期功能安全性(SOTIF)是汽车行业中的一种安全流程,主要应对电子设备无故障情况下系统出现的非预期行为。电子系统故障则通过行业内的功能安全流程(即 ISO 26262 标准)来处理。与之不同的是,当驾驶条件超出一个或多个系统组件的技术限制,或因某些人为因素(如可预见的系统误用、模式混淆)可能引发危害时,SOTIF 有助于缓解这些危害隐患。
目前的方法结合了分析、仿真、测试跑道测试和道路测试,以识别未知且具有潜在安全风险的场景。本研究通过构建一个结构化框架来推导 SOTIF 分析所需的场景,为该方法中的分析部分提供支持。通过该框架推导得出的场景,可用于指导仿真和测试工作。
本文简要概述了 SOTIF 流程,阐述了场景推导框架的构建过程,并展示了将该框架应用于高度自动化代驾系统所获得的初步结果。随着更多与 SOTIF 相关的参数被识别,本文所描述的框架可能会随时间推移不断完善。
1、引言
驾驶自动化系统及其他先进的电子电气(E/E)系统有望改变交通运输格局。对于投入车辆队伍的电子电气系统,其安全保障是行业和监管机构首要考虑的问题。考虑到电子电气系统带来的独特安全挑战(如对软件的高度依赖以及复杂的系统交互),国际标准化组织(ISO)发布了 ISO 26262 标准(《道路车辆功能安全》)。该标准是当前汽车行业在电子电气系统功能安全方面所遵循的主流方法。
功能安全主要针对电子电气系统中的电子故障,是系统安全整体评估的一个组成部分。2019 年,国际标准化组织发布了《道路车辆预期功能安全性》(PAS 21448)这一公开可用规范。SOTIF 是对功能安全的补充流程,主要用于识别和缓解在电子设备无故障情况下可能发生的危害事件。SOTIF 方法的一个重点是识别那些可能超出系统技术和性能限制,或增加操作人员误用系统可能性的场景。本文将介绍一种可用于 SOTIF 分析的场景推导框架与方法。
2、SOTIF概述
图 1 展示了 PAS 21448 中所描述的 SOTIF 流程关键步骤。本节将介绍相关的 SOTIF 概念,若需了解 SOTIF 整体流程的详细说明,读者可参考 PAS 21448。
图 1、SOTIF 流程关键步骤
SOTIF 风险识别与评估步骤需判断危害事件是否可能导致可信的伤害。PAS 21448 将危害事件定义为潜在的系统危害与特定运行场景的组合。ISO 26262 则将运行场景定义为车辆使用寿命期间可能发生的情景。PAS 21448 给出了如下危害事件示例:
· 危害:以 x 米 / 秒 ² 的加速度意外触发自动紧急制动,持续 y 秒;
· 运行场景:在高速公路上行驶。
识别出危害事件后,SOTIF 流程接下来会重点识别可能导致系统出现非预期行为,并最终引发一个或多个已识别危害事件的触发事件。PAS 21448 将触发事件(包括可预见的误用场景)定义为具有特定条件的驾驶场景,这些条件会引发后续的系统反应。对触发事件的分析旨在识别系统弱点,以及可能导致已识别危害事件发生的相关场景。
触发事件可分为两类。
第一类触发事件是超出系统和组件性能限制的事件,本文将此类触发事件定义为 SOTIF I 类事件。该类别既包括传感器的限制,也包括算法(如机器学习算法、神经网络算法)的限制。例如,某高度自动化代驾系统可能在其预定运行域(如高速公路、良好天气条件)内运行,但随后遇到存在眩光的道路环境。这种光照条件可能会超出前向摄像头的性能限制。
第二类触发事件与人为因素限制相关,尤其涉及人车交互界面。本文将此类触发事件定义为 SOTIF II 类事件。这一类别广泛涵盖了多种人为因素问题,例如驾驶员未将双手放在方向盘上、驾驶员对系统能力与限制及自身职责的理解程度,以及驾驶员理解并响应警告与提示的能力。在 SOTIF 框架下,人为因素限制不包括对系统的故意滥用,如故意无视驾驶员接管请求或蓄意使用旨在突破系统限制的产品。
PAS 21448 将触发事件发生时的场景定义为一系列场景片段(即环境快照),这些片段以初始场景为起点,随着一系列事件和动作(如触发事件、系统响应)的发生而不断演变。每个场景片段都具有多个特征,包括动态元素、场景环境以及参与者与观察者的自我呈现。
根据 PAS 21448 的规定,依据缓解策略是否能充分降低 SOTIF 风险,场景可分为已知安全场景和已知不安全场景。第三类场景是未知不安全场景,指在系统设计阶段未被发现,而是通过长期车辆测试、仿真、随机输入测试及其他措施识别出来的场景。本研究采用的方法试图通过更全面的分析,提高在系统设计初期识别已知不安全场景的效率。
3、方法
如何为 SOTIF 构建场景仍是一项具有挑战性的任务。PAS 21448 的附录 F 提供了部分指导。本文所描述的方法在现有分类体系的基础上进一步拓展,构建了一个分层变量框架,可用于系统性地推导 SOTIF 场景。该方法的目的是通过在系统设计初期增加已知不安全场景的识别数量,实现更全面的分析并制定更有效的缓解对策。需要注意的是,该框架并未涵盖场景的所有要素,例如系统能力或预设的系统目标与价值。该框架旨在帮助识别场景中与车辆外部相关的方面。
索恩等人针对运行设计域(ODD)构建了一个顶层分类体系。该分类体系包含 6 个顶层类别和 22 个直接子类别,具体如表 1 所示。
表 1、 ODD 分类体系类别
本研究采用索恩等人提出的分类体系,对 PAS 21448 附录 F 中列出的场景因素以及来自死亡事故分析报告系统(FARS)的相关参数进行分类。FARS 数据库基于数十年对致命性碰撞事故历史原因的分析,提供了编码变量。尽管 FARS 并未区分人类驾驶员与驾驶自动化系统,但其中的变量仍能为驾驶自动化系统可能需要应对的已知复杂道路条件和行为提供一般性参考。
本研究进一步扩展了索恩等人提出的分类体系,将其细化为包含 200 个变量的列表,这些变量又被归类到 41 个详细子类别中,这也是 SOTIF 框架的一个特征。在应用该框架时,分析师可能需要针对某些变量和场景考虑相应的 “负面情况”。例如,某一变量为 “允许行人、骑行者及其他非机动车辆进入道路”,其对应的 “负面情况” 则是禁止非机动车辆进入道路。该框架未明确纳入这些负面情况。
表 2 以 FARS 中的道路类型变量为例,展示了扩展后的框架。场景变量还包含了索恩等人研究中提到,但未被 FARS 数据库和 PAS 21448 附录 F收录的部分变量。
表 2、基于 FARS 和 PAS 21448 参数的扩展分类体系示例
为了进一步整合来自 FARS 和 PAS 21448 的变量,并将其构建成便于场景构建的结构,本研究将每个变量划分为以下四类:永久区域性变量、永久局部性变量、复合事件或条件变量、潜在威胁变量。
3.1 永久区域性变量
这类变量是运行设计域(ODD)的特征,构成了场景的背景。永久区域性变量在时间维度上或在行程中较大的空间范围内不会发生变化。例如,道路功能分类、车道类型以及允许的非车辆使用类型等都属于永久区域性变量。由于永久区域性变量具有持久性和普遍性,它们最适合进行地理编码。本研究在永久区域性类别中识别出 31 个场景变量。
3.2 永久局部性变量
这类变量在时间上具有持久性,但在空间上具有局部性。从移动参考系(如车辆)的角度来看,车辆在行程中可能只会在较短的路段遇到永久局部性变量。在一次行程中,车辆可能会遇到多个永久局部性变量。不同永久局部性变量的组合,可能代表着由永久区域性变量所定义的背景场景的不同变化形式。例如,弯道、坡道、桥梁和交叉路口等都属于永久局部性变量。由于永久局部性变量在时间上具有持久性,因此也可以对其进行地理编码,例如,通过编码告知车辆前方即将出现交叉路口、隧道或其他类似设施。本研究在永久局部性类别中识别出 44 个场景变量。
注:从固定参考系(如车对基础设施传感器)的角度来看,永久局部性变量与永久区域性变量可能并无明显区别。
3.3 复合事件或条件变量
这类变量是在永久区域性变量和永久局部性变量所定义的场景中可能发生的临时性事件和条件。对于空间中的某个固定点而言,复合事件或条件是初始场景中可能发生变化的方面。尽管某一复合事件或条件可能会持续整个行程(如降雨),但也有可能仅在行程的某一段出现(如短时阵雨),或者在不同行程中发生变化(如某天天气晴朗,另一天则下雨)。本研究进一步将复合事件或条件定义为正常驾驶过程中可能出现的变量。本研究在复合事件或条件类别中识别出 75 个场景变量。
3.4 威胁变量
这类变量是与特定道路威胁相关的临时性事件或条件,系统可能需要对这些威胁做出响应。与复合事件或条件不同,威胁代表着意外行为或偏离正常驾驶场景的情况,例如,其他车辆不遵守交通标志或交通控制规则,或者行人突然冲入道路。威胁既可以是静态的(如抛锚或故障车辆),也可以是动态的(如野蛮驾驶的驾驶员)。本研究在威胁类别中识别出 50 个场景变量。
永久区域性变量、永久局部性变量、复合事件或条件变量以及威胁变量共同定义了初始场景的关键方面。图 2 展示了纳入该分类体系的 FARS 和 PAS 21448 变量所属类别的相互关系。
图 2、分类体系中变量的分类示意图
PAS 21448 并未对场景中的临时性要素和永久性要素进行区分。例如,PAS 21448 将 “环境条件” 归为场景环境要素的一部分。然而,本研究提出的框架将环境条件(如天气、光照)归类为复合事件或条件,这类变量与交通、物体、行人等其他动态要素更为相似。将永久性变量分离出来,有助于识别系统能够更有把握预测的场景要素。这对于依赖将控制权交还给驾驶员的系统而言可能尤为重要。这些变量更适合进行地理编码或地图标注,从而能有足够的时间将控制权交还给驾驶员,让驾驶员重新建立对环境的感知。
本研究通过分析传感器的物理限制和算法的概率特性,推导出触发事件(即 SOTIF I 类事件)。同时,采用系统理论过程分析(STPA)等分析技术,推导出可能的驾驶员误用场景(即 SOTIF II 类事件)。针对每个触发事件,构建初始场景,将触发事件与潜在危害事件关联起来,形成 SOTIF 场景。
4、场景推导示例
本研究通过危害事件和触发事件来约束场景的构建过程。需要说明的是,构建场景的方法不止一种,本文仅介绍其中一种可行的场景推导方式。为了说明本研究中所采用的流程,本文以高度自动化代驾系统的车道居中操作为例进行展示。该操作旨在使车辆保持在行驶车道中央。布鲁尔等人此前的一项研究针对通用车道居中系统识别出了相关危害。
该前期研究中识别出的一个相关危害是 “系统激活状态下车辆偏离车道 / 道路”。
本研究首先通过识别危害事件来构建场景,这与图 1 所示 SOTIF 流程的第二步相对应。研究采用永久区域性变量为危害事件设定运行场景。通过该过程推导得出的一个危害事件示例如下:
· 危害:高度自动化代驾系统激活状态下车辆偏离车道 / 道路;
· 运行场景:在双向分隔的州际公路或高速公路 / 快速路(即限制出入口)的路肩车道上行驶;
· 潜在碰撞类型:同向刮擦碰撞。
永久区域性变量与 PAS 21448 中提供的运行场景示例最为吻合。永久区域性变量定义了行程的总体背景,并且可能是系统激活状态下整个行程段中唯一持续存在的变量。在该层面评估危害事件时,可以对其他条件做出最坏情况假设。
在构建运行场景时,某些变量类别可能与特定场景无关。例如,在上述示例中,路肩类型(铺砌 / 碎石路肩与土路肩)并不重要。某个变量未被纳入,意味着该运行场景的子集已包含所有相关情况的考虑。
触发事件的构建独立于危害事件,主要基于系统限制和可能的驾驶员误用情况,这与图 1 所示 SOTIF 流程的第三步相对应。需要注意的是,本文仅考虑 SOTIF I 类触发事件。为高度自动化代驾系统构建的触发事件示例如下:
· 车道模型算法错误识别车道线;
· 在车道标线不清晰的情况下,道路模型算法错误构建道路模型;摄像头由于地标与环境之间对比度不足,无法识别地标。
在 SOTIF 流程的这一阶段,系统设计人员可考虑通过功能改进来缓解触发事件的影响(图 1 中的第四步),并制定测试与验收标准(图 1 中的第五步)。SOTIF 流程中与场景构建相关的下一步是识别已知不安全场景(图 1 中的第六步)。
用于描述该危害事件的运行场景,对构建场景时需考虑的变量类型施加了限制。例如,由于该运行场景特指州际公路或高速公路 / 快速路(即限制出入口),因此在构建初始场景时,只需考虑特定类型的交叉路口 —— 收费站 / 收费口以及出入口匝道。
触发事件也会对构建场景时需考虑的变量类型施加限制。例如,为了构建与上述第一个触发事件相关的场景,本研究仅考虑可能影响车道标线识别的变量及其组合。同样,为了构建与第三个触发事件相关的场景,本研究考虑了影响车道标线与路面对比度的变量。
本文基于上述危害事件和触发事件的约束条件,利用框架中列出的变量,提供了三个场景构建示例。
表3、第一个SOTIF场景示例
表4、第二个SOTIF场景示例
表5、第三个SOTIF场景示例
5、SOTIF之外的应用
本研究提出的框架不仅可应用于 SOTIF,还能对驾驶自动化系统面临的复杂场景进行一般性分类。特别是,通过根据参考系区分永久区域性变量和永久局部性变量,该框架有助于描述车对基础设施(V2I)场景,并改进 GPS 地图绘制(如用于地理围栏)。
在驾驶自动化系统开发和配套基础设施建设中采用统一的场景定义框架,有助于确保不同分析之间的一致性(例如,车载系统可能更依赖 V2I 的场景类型)。例如,利用该框架构建的 SOTIF 场景,可转化为 V2I 能够改善车辆运行的场景。
6、结论
本研究构建了一个用于辅助 SOTIF 场景开发的框架。该框架将来自三个来源(索恩等人的研究、PAS 21448、FARS)的变量整合到索恩等人提出的通用分类体系中。本文还为框架中的变量设计了分类方案,以方便 SOTIF 场景的开发。部分变量被归类为永久性变量,其永久性取决于参考系(即区域性特征或局部性特征);非永久性变量则根据是否属于正常驾驶中可预见的情况,被归类为复合事件 / 条件变量或威胁变量。
永久区域性变量和永久局部性变量在较长时间内通常不会发生变化,因此可以较为可靠地进行地理编码。如果 SOTIF 缓解策略包括对运行设计域(ODD)进行限制,以避免发生与永久区域性或永久局部性变量相关的特定危害事件(如车道分岔或合流),那么通过使用详细地图和 GPS,有可能提前足够长的时间向驾驶员发出警报。这有助于提高驾驶员安全接管车辆控制权的概率。复合事件或条件变量以及威胁变量的可预测性较低,因此不太适合进行地理编码。例如,复合事件或条件、威胁可能会突然发生,这就需要将车辆控制权迅速交还给驾驶员。
扩展框架中列出的变量可组合使用,以构建支持 SOTIF 分析的场景。本文提供了三个这样的场景示例。在 SOTIF 流程初期的分析中,考虑更广泛的变量和场景,有助于减少识别未知不安全场景所需的道路测试和仿真工作量。
需要注意的是,框架并非包含所有相关变量的完整集合,而是对索恩等人分类体系的扩展,旨在推动 SOTIF 场景开发领域的技术发展。随着更多因素(如在驾驶自动化系统实际道路测试中观察到的因素)的加入,本文提出的框架可进一步完善。更完整的框架将提升 SOTIF 分析的整体全面性。
扫一扫
1384
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
