智能汽车预期功能安全保障关键技术

本文作者邵文博、李骏、张玉新

由于性能局限、规范不足或可合理预见误用导致的预期功能安全问题层出不穷，严重阻碍了智能汽车的快速发展。本综述聚焦智能汽车预期功能安全保障关键技术，分别从系统开发、功能改进和运行3个阶段进行了系统的总结，最后从基础理论、风险防护和更新机制3方面进行了展望。本文可为智能汽车预期功能安全研究提供重要参考依据。

前言

根据美国国家交通安全管理局（NHTSA）数据统计，约94%的交通事故由人为因素导致，智能汽车以机器代替人类驾驶员，在提高行车安全性方面具有重要意义。但现有技术尚不能充分发挥其安全潜力，此外在引入新技术消除原有问题的同时，新的安全问题也随之出现，如功能安全、信息安全和预期功能安全（safety of the intended functionality，SOTIF）问题。尤其随着智能汽车系统复杂化和智能化程度日益提升以及其运行环境的开放性和挑战性不断增加，由功能不足导致的SOTIF问题逐渐暴露，并成为制约智能汽车安全性保障的关键难题。此外，近年来出现的由于感知、决策等功能不足所导致的自动驾驶/辅助驾驶事故也反映了SOTIF问题的严峻性。图1为2018年发生的全世界第一起路测无人车撞死行人的事故原因剖析，其中感知和预测功能不足是该事故的主要致因因素。因此，推动SOTIF保障技术的研究已成为当务之急。

图1 Uber路测无人车事故原因剖析

预期功能安全旨在避免由于预期功能或其实现的功能不足导致危害所产生的不合理风险，其基本概念由ISO 21448提出和定义，自2016年2月ISO启动该标准的制定工作以来，已形成PAS、CD、DIS和FDIS等版本的草案。ISO 21448作为ISO 26262的延伸，处理在不发生硬件随机失效和系统故障情况下的功能不足问题。SOTIF研究涉及系统功能设计改进、分析评估、验证确认和认证等多方面问题，且随着技术发展和新技术的引入不断提出新的需求，因此，ISO 21448 难以具体涵盖所有相关内容。近年来，诸多其他国际标准相继提出并将SOTIF作为重要的研究对象，如图2所示。

图2 SOTIF相关标准

在自动化产品的安全评估方面，UL 4600旨在补充功能安全和SOTIF标准，提出一种面向安全目标的方法，专注于“如何评估”全自动驾驶安全情况；针对高级别自动驾驶系统的安全设计、验证和确认，ISO/TR 4804确定了符合ISO/PAS 21448的SOTIF功能设计流程，并有待进一步开发ISO/AWI TS 5083；针对基于场景的安全评估，ISO 34502提出了一套场景生成和评估流程，并在场景库建立过程中针对性地考虑了SOTIF 典型触发条件；针对人工智能（artificialintelligence，AI）等新技术引入后的问题，待开发的ISO/AWI PAS 8800旨在提供解决AI相关系统开发和部署全生命周期问题的规范，以弥补ISO 21448中对AI问题考虑的不足。

伴随SOTIF标准化进程，近年来国内外政府、企业和研究机构在SOTIF实践方案方面进行了诸多探索：在产品开发方面，宝马、百度等诸多公司尝试将SOTIF引入其产品全生命周期安全开发流程；在产品安全分析评估方面，大陆、ANSYS等公司尝试引入安全分析工具，欧盟ENSEMBLE项目和NHTSA等进行了SOTIF分析评估实践，并提供了成果报告；在安全验证确认方面，欧盟PEGASUS及其延伸项目VVM、SetLevel、日本SAKURA项目以及中国智能网联汽车联盟预期功能安全工作组等在实践中与SOTIF进行了结合；在功能改进方面，诸多公司均提出了各自的方案，欧盟DENSE等项目则针对传感器等部件的具体功能不足问题进行了研究。

上述标准和实践活动为智能汽车SOTIF保障提供了框架性指导（见图3），而在实际研究和开发过程中，须采用特定的保障技术以有效地解决各阶段面临的具体问题。然而，该领域尚未形成完善的技术研究体系：一方面，当前直接以SOTIF为主题的文献虽呈增长趋势，但总量仍相对较少，内容主要涉及概念和意义阐述、安全分析、测试验证和系统工程等方面，缺少对SOTIF保障关键技术系统性的研究和梳理；另一方面，虽然许多相关领域的高水平研究成果对于解决功能不足问题具有重要的启发和借鉴意义，但尚未被明确纳入SOTIF 保障技术研究范畴。

图3 SOTIF保障的基本活动流程

因此，本文中基于大量国内外研究报告和文献资料，系统地分析和梳理了SOTIF保障关键技术，并基于现有研究不足提出了展望。

SOTIF概述

明确的问题定义和风险源分析是保障SOTIF的前提。从系统自身角度分析，SOTIF问题主要源于两方面：（1）在车辆层对预期功能的规范不足，场景开放性、系统复杂性和专家经验的不完备性等限制均可能导致车辆行为的设计规范过程出现问题，进而难以实现理想的安全目标；（2）预期功能实现的不足，即使对车辆层预期功能的规范足够完备，由于系统组件的性能局限和规范不足，感知、决策和控制等功能的实现可能不符合预期。如传感器、执行器存在感知、执行能力上限或易受外界环境因素干扰等性能局限；感知、决策算法可能具有鲁棒性、泛化性、可解释性、逻辑完备性、规则覆盖度等方面的问题。此外，SOTIF 危害的产生和演化依赖于特定场景。首先，上述规范不足或性能局限由场景中特定条件触发而导致危害行为；另外，上述危害行为最终演化为伤害是建立在当前场景包含相关风险源以及场景可控性低的情况下。因此，在进行SOTIF保障过程中，需要综合系统自身局限和运行场景风险以建立安全保障体系。

根据场景是否已知和是否会导致SOTIF危害，将其分为已知安全、已知不安全、未知不安全和未知安全4类场景，SOTIF保障目标为通过一系列活动和相关技术以最小化两类不安全场景对应区域，其核心是对未知不安全场景的发现和处理。如图4 所示，SOTIF保障目标的实现可分解为将未知转化为已知、将不安全转化为安全两方面。首先，SOTIF分析评估、验证确认以及运行阶段的关键数据收集、记录和反馈等活动有助于充分挖掘未知场景；另外，开发阶段直接针对功能不足的改进、运行阶段的未知风险监测、防护和基于收集数据的系统功能改进是将不安全场景转化为安全场景的必要活动；此外，验证确认与残余风险评估以及安全论证等则是确保残余风险足够低的重要活动，从而为SOTIF发布提供依据。下文将分别从开发阶段和运行阶段梳理各项活动对应的SOTIF 保障关键技术，并针对智能汽车系统的功能改进技术进行具体讨论。