自动驾驶预期功能安全要素及准入难点解读

作者： Aimee

自动驾驶汽车准入制度旨在为自动驾驶汽车市场化提供合法性支撑、预防和应对技术的不确定性挑战，并寻求道德伦理的正当性。当前，自动驾驶功能的研发及量产已经进入白热化阶段，各家主机厂在该领域的投入也倾注了大量的精力和能力，对于上市也是势在必得。但是对于法律和标准规定来说，自动驾驶上市必须拿到工信部代表交通部颁发相关的准入牌照才能受到相关社会的认可。

然而，自动驾驶准入需要充分考虑汽车研发的各个方面，最重要的是保证驾驶过程中具备足够的安全性，这就要求在设计之初就需要充分考虑到其中的关键一环：功能安全及预期功能安全。由功能安全涉及的失效和故障（一般指系统级功能和功能故障的 E / E 故障）将导致错误的转向或制动，这被认为是自动驾驶与安全性相关的最高风险（一般能达到 ASIL D）。通过根据 ISO PAS 21448 SOTIF 方法开发的功能来定义安全功能和系统，包括第一个初步的体系结构，是朝着按照 ISO 26262 应用功能安全性迈出的第一步 - 创建项目定义。该项目定义应包括功能的定义，包括其对环境和其他项目 / 车辆的依赖性以及与环境和其他项目 / 车辆的相互作用。根据项目定义，可以进行危害分析和风险评估，以找到该功能及其相关系统的根本要求或安全目标。下一步是开发功能和技术安全概念。

自动驾驶预期功能安全分析能力

自动驾驶系统必须具有一组基本的系统属性，此处将其指定为功能。下面将讨论为了声明整个系统是安全的应具有的功能。这些功能分为故障安全功能（FS）和故障降级功能（FD）。故障安全功能可提供并实现客户价值。故障安全功能可以被终止，因为其不可用性的安全相关性足够低，或被故障降级功能所覆盖。即使在发生故障的情况下，也应该以一定的性能水平执行故障降级的功能，以在特定时间范围内提供安全的系统，直到达到最终的最小风险条件（MRC）并允许停用为止。下表中的选择矩阵展示了导出能力的完整性状态，以证明对其设计原理的可追溯性。

我们知道在预期功能安全的设计过程中，需要解决的是其系统设计本身的功能局限性或缺陷。我们知道自动驾驶系统设计过程中的基本原则是参照感知、决策、执行三个方面进行的。

如上图，在感知能力方面需要解决的主要问题包括 FS_1、FS_2、FS_3，其相关的功能项描述如下：

FS_1：确定位置系统应该能够确定其相对于 ODD 的位置。该位置是在特定于位置的 ODD 之内还是之外。

FS_2：接近自动车辆的感知相关静态和动态对象应该感知。

可选地进行预处理并正确提供自动驾驶系统所需的所有目标输出。优先级最高的对象是有碰撞风险的实体。样本实体包括动态对象（例如（易受伤害的）道路使用者和相应运动的特征），静态实例（例如道路边界，交通指引和通信信号）和障碍物。

FS_3：预测相关目标的未来行为。

应该解释相关对象的意图，以便形成预测未来运动的基础。换句话说，需要通过预测目标的未来状态来扩展相关环境模型用于环境预测。

那么对于预期功能安全所要考虑的感知能力来说，需要充分考虑解决如下感知能力过程中的弱势：

• 车辆原因：车间距离过近造成等物理原因产生的盲区；车辆造型非主流造成的识别障碍；

• 环境原因：污泥遮挡、工地围栏、地下隧道等特殊环境；阳光炫目、黑夜暗光；

• 法规原因：限高杆、桥梁高度的感知；高架桥的限值类型；

• 目标原因：车上掉落物品，零件等特殊形状物体；山体落石，异常凸起。

其次，在决策规划方面系统需要解决的问题主要为 FS_4，其相关的功能描述如下：

FS_4：创建无冲突合法的驾驶计划。

为了确保无碰撞和合法的驾驶政策，应遵守以下规定：

• 与其他物体保持安全的横向和纵向距离。
• 遵守 ODD 内所有适用的交通规则。
• 考虑可能阻塞物体的潜在危险区域。
• 在不清楚的情况下，不给予通行权。
• 如果可以避免撞车而又不危及第三方，则必要时可以优先考虑交通规则。

那么对于预期功能安全所要考虑的感知能力来说，需要充分考虑解决如下规划决策过程中的弱势：

• 车辆原因：车辆转弯、变道等对时间窗口规划
• 道路原因：道路限行区、桥梁等限重
• 环境原因：雨雪、大雾等天气车辆速度控制等
• 目标原因：复杂场景需要考安全下的最优避障方案

最后，在控制执行方面系统需要解决的问题主要由 FS_5，其功能能描述如下：

FS_5：正确执行和制定驾驶计划

应根据驾驶计划生成用于横向和纵向控制的相应驱动信号。

对于预期功能安全所要考虑的感知能力来说，需要充分考虑如下控制执行能力过程中的弱势：

• 车辆原因：车辆转弯、车辆速度的控制能力等；
• 道路原因：道路限速，转弯半径，上下坡对速度的控制能力；
• 环境原因：积水、道路结冰等环境转弯时车辆控制能力；
• 目标原因：对乘客乘坐舒适度、行车安全等影响能力；

如下表所示，在设计自动驾驶准入的安全评估过程中，其安全原则可追溯到需要实现的所有功能。由于自动驾驶准入过程中期望其功能产品开发负责提供必要等级的证据以进行能力验证和确认，然后由评估小组进行审查。因此需要围绕验证自动驾驶系统的方法论开发出完整的逻辑和原理。

自动驾驶准入涉及的预期功能安全能力分析

对于最新推出的自动驾驶准入指南所要求的能力建设章节中，我们知道在自动驾驶准入过程中，涉及功能安全与预期功能安全部分的要求在很多 OEM 实现层面很难达成，比如：

这里我们可理解为自动驾驶准入的要求包括两个方面要求：

其一是对企业的要求。也即对于企业能力的要求，如某企业的预期功能安全管理流程，企业的安全文化，以及在各个环节中的文档设计工作，以及对整个产品全生命周期的监控。

其二是对产品的要求。即参考国际、国内标准的开发流程，在产品开发环节做必要的 SOTIF 分析，并通过仿真、实车测试手段对产品的 SOTIF 能力进行验证，最终在产品使用中仍继续对 SOTIF 能力进行迭代。

基于《准入》对预期功能安全在整个自动驾驶设计中的要求，提升企业的 SOTIF 能力势在必行。如下表示了企业的 SOTIF 开发、验证和运维流程示意图。

如下我们将分别就上面的预期功能安全准入需求进行解读和对策分析：

一（五）企业应满足预期功能安全开发接口管理要求，符合预期功能安全管理职责和角色定义、供应商计划管理等规定。

二（四）应定义驾驶自动化系统预期功能安全相关零部件的接口要求，确保零部件符合对应的预期功能安全设计开发、验证、确认等规定。

为了确保企业满足预期功能安全开发接口管理要求，可通过如下的管理和定义实现相关功能。

1. 企业可以建立并维持良好的安全文化，鼓励企业内部各部门就预期功能安全问题展开沟通和研究，特别是系统设计、软件开发及功能安全分析三大部分是其预期功能安全分析的核心部门；

2. 企业针对自身特点，建立合理的安全异常解决机制；

3. 企业制定安全管理流程，并完善管理机制，主要涉及：

   • 提供质量管理体系的证明材料；
   • 对安全管理人员提出合理的的能力考核办法，以确保胜任相关工作；
   • 对安全计划、安全测试案例和安全确认机制等文件中所涉及的内容详细记录在案；

4. 企业对于产品的后开发流程：

   • 关于产品的生产、运营、维护、使用等制定安全管理计划；
   • 提供生产现场的审查报告等。

5. 企业与供应商一同制定开发接口协议，明确开发要求；

6. 企业要求供应商提供安全计划，以及感知、决策、执行系统的元件级的设计规范和评估报告。

一（六）企业应满足预期功能安全开发流程要求，符合设计定义、危害识别、功能不足识别、功能改进、验证及确认、安全发布、运行维护等规定，保障车辆不存在因预期功能的不足所导致的不合理风险。

基于《准入》要求，提升产品的 SOTIF 性能，我们可以参照如下预期功能安全分析框图表示的分析设计过程进行预期功能安全分析。整体表示在系统设计阶段设置合理的功能要素进行输入，通过危害局部危害结果分析判断其是否处于可接受的范围，当识别到功能不足时首先判断场景是否合理，如果合理则认为是系统自身设计缺陷导致，立即对功能进行提升和整改，如果发现是测试场景设置的不合理，则重新确认测试和验证方法，并根据已知和未知的场景进行验证和探索，对如上两类场景均进行参与风险判定，如果风险足够低，则进入安全分析的运维阶段，认为产品 SOTIF 满足预期功能安全需求。

二（一）应满足预期功能安全规范和设计的要求，识别和评估预期功能可能造成的危害，制定合理的风险可接受准则。

这里主要指危害分析和风险评估。主要过程包括相关项定义，根据定义分析失效状态下的整车级危害条目定义，并结合场景形成危害事件响应 Hazard，评估危害造成的风险 Hazardous Event，最后设置风险接受条件 Acceptance Criteria。

制定风险可接受准则。对于已知危害场景中的问题，即 S>0 且 C>0 的危害事件，在进行了功能修改后，若仍不能使 S=0 或 C=0，则需定义风险可接受准则（作为验证目标的依据），作为该危害场景下的验收标准。

式中 ——λ 为单位里程（或单位时间）内危害行为事件的平均发生次数；——α 为置信度水平；——τ 为危害行为事件发生的平均里程或时间间隔（即无事故里程或时长）。例如，当无危害行为事件里程数达到 100×104 km 时，具有 99% 置信度水平认为该系统在同等驾驶场景中危害事故率能达到 4.6×10-6 次 /km。

二（二）应识别和评估潜在功能不足和触发条件（含可合理预见的人员误用），并应用功能改进等措施减少预期功能安全相关的风险。

如上需求主要通过 ODD 分析、事故场景数据分析、安全分析方法分析识别功能不足和导致危害事件的触发条件（具体危险场景）。根据 SOTIF 安全分析标准所阐述的过程主要包括将需要的输入要素（系统设计规范、整车级危害分析、风险评估、风险可接受条件）参照 ISO PAS 21448 SOTIF 安全分析方法策略分析得到相应的 SOTIF 分析结果（功能不足、误用、触发条件）。

如上提到的安全分析方法可以归纳为包括 STPA、FMEA、FTA。同时，基于已有的分析和经验积累，形成预期功能安全场景库，提前建立仿真测试（通常包括 SIL、HIL 测试），便于识别所有触发条件，事后进行实车（包括场地测试和道路测试）降低 SOTIF 风险。

这里需要说明的是对于功能不足、误用、触发条件原因导致的错误结果，可通过如下几个方面进行改进：

1、提升系统能力，例如算力、算法效率；

2、增加多样性冗余技术，例如感知融合、执行端多冗余、电源冗余；

3、明确说明功能条件限制，例如明确 ODD 范围；

4、驾驶员接管预测、控制策略及提示策略；

5、通过用户手册对驾驶员进行警示，以减少对系统的误用情况。

总结

自动驾驶准入对于企业在预期功能安全的开发和设计中提出了较高的要求，这就要求企业在设计之初需要不断完善其安全分析能力和设计能力，确保在自动驾驶设计开发后期的测试验证过程中能够满足法规和上市销售需求。这种安全分析设计能力除开可以参照 SOTIF 标准外，还可以由企业结合自身能力从更加深层次的角度进行分析和设计，如完善场景库搭建，加入安全分析流程，结合测试工具，收集市场反馈，以不断完善自动驾驶 SOTIF 分析能力。