为满足安全标准而提供的ADAS Inspector Solution

 

ADAS和无人驾驶及SOTIF

为满足安全标准而提供的ADAS Inspector Solution

ISO/PAS 21448:2019 (Road vehicles - Safety of the intended functionality)

为加强汽车功能安全标准ISO 26262中关于无人驾驶功能验证和检查内容， "预期功能安全"（Safety of the Intended Functionality, SOTIF）标准ISO/PAS 21448应运而生。

 ISO 21448除补充完善了ISO 26262中缺失的关于自动驾驶车辆开发的细节规定外，也有ISO 26262中未提及到的部分。

随着汽车系统自动化的不断发展，新的安全问题也随之而来。假如在没有Systematic failures或Random failures的情况下，系统的预期功能可能导致危险情况发生的话，那应该怎么办呢？这样的问题在ISO 26262中并未提及。ISO 26262功能安全(Functional safety)的定义是功能安全达到的状态。 ISO 26262第2版也继续将重点放在了为对应安全相关风险（risk）而进行的系统级安全机制设计和硬件及软件的技术和制作上。

SOTIF(Safety Of The Intended Functionality: ISO/PAS 21448:2019)标准与功能安全不同，其探讨的并非是因运转不正常、故障、缺陷导致的安全问题，而是探讨预期设计不充分、不合理的情况以此来确认预期设计本身的安全性。 例如，我们可以假设一种情况，无人驾驶时由于传感器的性能问题而导致该停车时却还在行驶。如果您是一位开发level 3以上无人驾驶系统的工程师，那么您非常有必要关注ISO 26262第二版和ISO/PAS 21448:2019。

在2019年1月发行的长达54页的ISO/PAS 21448:2019文件中，针对达成SOTIF所需的适用设计、确认及验证方法提出了相应的参考指南。
"The absence of unreasonable risk due to hazards resulting from functional insufficiencies of the intended functionality or by reasonably foreseeable misuse by persons is referred to as the Safety Of The Intended Functionality (SOTIF).)"

制定SOTIF的动机是即使在车辆的硬件或软件没有故障的情况下，也要防止在ADAS或无人驾驶车辆（Autonomous Vehicles, AV）中出现不合理的危险（Unreasonable risk）。硬件遵守ISO 26262，软件上没有Bug，因此就判断整体是安全的，但实际上即便如此，ADAS和无人驾驶系统也会在某种情况下发生错误。当然，ISO 26262制定者也相信ISO 26262不足以完全地保障安全。我们已目睹了去年优步自动驾驶汽车事故等因自动驾驶技术引起不当操作而发生的事故。

现实中，即使车辆上的软件和硬件都遵守ISO 26262，但却因传感器或系统的性能限制、意想不到的道路环境变化、司机误操作而发生事故的例子有很多。另外，仅通过单纯的机械学习(Machine Learning, ML)算法也有可能无法准确掌握现实情况。
SOTIF标准在2016年的法国巴黎会议后，又经过了2017年韩国和以色列、2018年美国、意大利会议，重新修订为适用于指导SAE无人驾驶等级1、2的ISO/PAS 21448。

预期功能安全（SOTIF）会议于今年3月在上海再次召开。 会议主题是SAE自动驾驶等级3~5级所必需的SOTIF的技术内容，而ISO 21448将是此内容标准化的成果。为此，会议讨论了"Machine Learning"、"HD地图"、"Validation Target"、"Minimum Risk Condition"、"AI要求事项"、"Driving Policy"等多个主题，并计划将其放于ISO 21448草案（Draft）中。

SOTIF的最大难题便是对于无人驾驶的经验不足。更大的难点是标准化制定小组必须紧跟快速发展变化的技术。即使在硬件和软件无异常的情况下，ADAS或无人驾驶车辆也会有可能在实际行驶中做出危险操作。例如◆ 基于AI的系统无法准确理解场景并保证做出安全操作，即算法不具备理解当前场景的多样条件。◆ 很难确信现有的传感器组成中具备确保驾驶安全的性能，即现还不具备充分应对多样操作条件的传感器。◆ 让司机误用自动化功能的不良HMI（Human Machine Interfaces），即司机未注意警告或劝告的情况。

SOTIF是识别危险条件的框架，是直到其变为可接受的危险为止持续确认并验证操作的方法。但是，减少不为人知的不安全条件领域并非易事。考虑到现实因素，SOTIF要求进行模拟试验和充分的实车测试。

应对未来无人驾驶的具体指南

ISO 26262会议中，以微弱的差距决定制定SOTIF，但怀疑论者对其必要性提出了疑问。SOTIF提供"思考安全的方法", 提供找出危害自动驾驶原因的方法。

SOTIF制定小组在初期做出了以下几项决定。

第一，SOTIF不包含于ISO 26262之中，而是另外制定例如ISO 21448此类的标准 。

第二，虽然在制定小组内部存在SOTIF只针对等级2级的汽车(现有OEM优先选择)还是针对等级3~等级5的汽车(技术企业的积极游说)的两种意见，但最终决定包含等级3~等级5的汽车。

第三，关于SOTIF应用的争论仅限于处于最终生产阶段的无人驾驶系统。一部分支持论者主张已经上路的无人驾驶测试车辆可以不用严格遵守SOTIF。 该制定小组已制定了针对测试车辆只适用于ISO 21448部分要求事项的妥协方案，目前正在讨论针对测试车辆的要求事项。机械学习目前在SOTIF的附属资料中有所涉及。自动驾驶技术为了物体的识别和分类，通常要求几种类型的机械学习。机械学习训练可能会引起系统性缺陷。该过程对车辆的安全运行非常重要，因此有必要按照安全标准开发数据收集及学习系统，并注意减少对收集到的数据的无意偏差或歪曲等可能性。

可以说，除了算法之外，人工智能的成败还要由数据库来决定。 人工智能在识别和处理道路上发生的无限场景的工作上尤为必要。机械学习是关于无人驾驶车辆安全的讨论中重要的争论焦点， 一些SOTIF成员希望日后讨论机械学习，也有一部分成员希望能够同步讨论机械学习和安全问题，但是也有部分成员认为，机械学习标准化还为时过早，并且指出了严格的标准最终会阻碍创新。 与之相反，也有些人希望及时出台相应指南标准以确认和验证基于AI的车辆。虽然两个阵营存在意见差异，但一致认为作为监视AI安全状况的卫士，我们有必要监视掌控一切异常情况。

IEEE电气与电子工程师协会针对无人驾驶正在制定有关AI的几项新的标准。即使确认和验证了高度自动化(Highly Automated)的汽车只需花费数小时来测试，但也不可能无限期地重复测试。无人驾驶领域新标准要求车辆需遵守的一系列规则的"测试"和"公式接近法"的组合。通常来说这种公式接近法中包括Mobileye提议的‘责任敏感安全’(responsibility-Sensitive Safety, RSS)模型。RSS模型是根据事先决定的一系列"缺陷明确规则"，明确事故责任，保护自动驾驶汽车的数学模型。

 SOTIF的结论是应该知道汽车在理解现实场景方面ADAS及无人驾驶系统的局限性。例如，传感器组合在软件和硬件上没有问题的情况下也会导致自动驾驶的误启动。
 

目前，在SOTIF中尚未解决的问题有: 改善处理SOTIF危险的功能；SOTIF "Metrick"的定义/接受标准； SOTIF的确认及验证(V&V)；及基于场景的测试指南&为了机械学习扩大SOTIF内容和线下HD地图的影响、模拟环境的适当性确认等。

 

结论

汽车领域为了开发出符合ISO 26262标准的安全系统，正在引进安全流程。 该流程将重点放在了应对因E/E系统故障导致的不合理风险上。 但是，这种系统的安全不仅与E/E故障引起的故障行为(malfunction behaviours)有关，也与驾驶者可预见的功能误用、传感器或系统性能局限或意想不到的道路环境变化有关。

SOTIF以车辆E/E系统在没有故障的情况下发生的其他不合理的风险为重要主题。安全标准ISO/PAS 21448提供了应对这些问题的指南。

汽车OEM必须确保直到L3自动驾驶汽车充分进行了车向识别、行驶目的地地图识别和实际距离的环境条件识别、信号识别和多样的城市中心和郊区的车辆行驶环境条件识别相关的实车验证后才能驶入无管制的街道。

Suresoft验证Tool Chain以对车辆现有核心控制器按照功能安全要求进行各种测试， 设计验证各种控制器及验证Source Code的错误为目的，以SOTIF要求的实车基础道路行驶实测数据为基础，致力于更安全、更细致的错误检查。虽然当前国际认证机构及国家层面详细的安全标准对发展快速的技术的应对不尽如人意，但汽车开发公司批量生产开发前一阶段的准确、细致的检验和测试应仍应成为必要条件。

为此，必须构建强大的法律体系，强制相关行业按照ISO 26262功能安全标准开发控制器，容纳严格的SOTIF标准，要求进行多种行驶环境试验。