作者 | Aimee

出品 | 焉知

知圈 | 進“電子電氣群”請加微13636581676,備注架構

傳統電子電氣領域問題，可通過功能安全解決。但隨著自動駕駛技術的發展，加入了包括算法、圖像識別等內容，僅保證自身無故障已經不足以滿足自動駕駛對于安全的需求。由于自動駕駛系統本身的高度復雜性，導致了我們設計的功能本身就有局限性或缺陷，從而進一步導致安全事故的發生，預期功能安全試圖解決的就是這些問題。

行業內預期功能安全的標準為ISO21448，這份標準主要為了應對駕駛輔助/自動駕駛領域越來越復雜的系統和工況。與功能安全不同，在判斷功能失效的情況及原因時，如果功能錯誤/失效是由于相關EE架構失效或硬件失效等引起的，就是功能安全的范疇(ISO 26262)，如果是由于一些系統的設計局限，比如傳感器的誤識別或是駕駛員的誤操作等原因導致對一些場景的錯誤解讀而引起的話，就是SOTIF的范疇(ISO/PAS 21448)。

本系列文章將分別介紹預期功能（SOTIF），功能安全和網絡安全這三個可靠性域如何協同工作，以及如何將它們組合在一起以創建一個可靠的系統。

本文首先介紹每個領域，并從安全性前提下衍生出可靠的自動駕駛功能。然后，提供可以實現這些預期功能安全設計的元素。最后，通過引入通用的邏輯體系結構來組合所有元素確保預期功能安全設計的完備性。

自動駕駛汽車的法律框架

中華人民共和國工業和信息化部于2018年發布了《國家汽車工業互聯網標準體系（智能互聯汽車）建設指南》，以全面加強頂層設計，加強自動駕駛汽車的智能化及網聯化過程研發。功能安全通用標準ISO 26262的第二版已經成熟，其中的變化包括設計更嚴格的整車結構和功能架構，以支持更復雜的汽車電子系統。最新發布的ISO / PAS 21448標準指定了用于分析，驗證和確認非故障場景和系統用例的開發過程，我們通常稱之為預期功能安全開發設計過程。但是，ISO / PAS 21448幾乎都偏重于關注L1和L2輔助駕駛系統。實際應用過程中需要將該標準外推至L3甚至L4的應用。

實施安全標準ISO / PAS 21448，ISO 26262和ISO / SAE 21434允許將其程序和方法結合在一起。ISO / PAS 21448的開發旨在解決由預期功能（包括可預見的濫用）引起的風險和危害等級。系統的E / E故障引起的危險通過使用全球建立的ISO 26262標準的功能安全性來解決，而故意操縱導致的危險則從ISO / SAE 21434安全性角度進行評估。以上標準互為補充，可主要用于定義自動駕駛系統的設計風險，使工程團隊具備設計安全機制的能力，并增強自動駕駛系統的預期功能以減輕已識別的風險。根據開發組織的需求，有可能獨立制定必要的標準內容，并在此過程中考慮該類標準之間的依賴性。

現有標準并未提供針對自動駕駛系統中一些最有問題的主題的解決方案，例如人工智能的安全保證（最相關的算法源自機器學習和神經網絡領域），人為因素和心理，以及用作自動駕駛系統輸入的傳感設備的技術能力。但是，應用分析與安全相關的用例，可以確保必要的安全級別。這些分析可以系統地評估功能說明中因預期用途和可預見的濫用引起的潛在危害。除了安全的設計和開發過程外，還確保測試到驗證以迭代的方式進行。過程中需要涵蓋專家評估，安全性分析和階段性測試。根據它們的范圍，采用不同的標準支持此過程。

自動駕駛的預期功能安全設計原則

開啟自動駕駛車輛功能時，應評估基于功能和系統邊界的風險。性能限制（例如基于傳感器的限制）可能會導致故障行為，從而可能導致危險情況的發生。開發標準將幫助開發人員管理系統的復雜性，估計可能的風險并采取適當的措施。最后，利用可用的標準來實現系統的安全性和可用性之間的充分關聯。

對于大多數應用程序，將ISO 26262用于可用性方面都有其局限性。設計一個安全的系統是在風險和應用程序可用性之間取得平衡的過程行為，當風險太大會導致系統設計得過于保守，其系統可用性就會變得極低（達到足夠完整性的安全機制可能會危害可用性目標），這樣將無法提供更安全，更舒適的客戶體驗。相反，如果系統安全性設計指標過于寬松，則會導致系統的安全性不夠，但可以確保系統持續具備可用性。如下圖所示：

因此，從分析的角度解決問題，通過設計基于場景的系統行為來解決系統的安全問題以及通過分析用例和場景，來設計強大而安全的系統，從而提升技術能力將變得越來越重要。

可用性主要受到ODD限制的影響，還會導致過度保守，過于復雜或有缺陷的安全設計機制及有缺陷的系統設計。關于模式和冗余的傳感器，其多樣性可能不足。而由于環境因素，人機界面設計不良而引起的人為模式混亂或自動化成都影響（車輛之間的相互依賴性）也可能會損害安全性。最終，這演變成一個安全概念，定義了支持安全目標的安全機制。

從安全分析域推導自動駕駛能力

從可靠性域衍生功能首先要概述自動駕駛汽車的不同國際法律框架，以識別除十二項原則外功能還應涵蓋的要求。這些功能涵蓋了處理人為因素的SOTIF和功能安全性。安全工作在邏輯和技術架構上，并為這兩者提供輸入要求。由于當前尚無有關汽車網絡安全的已批準法律或國際標準化，因此本節提供有關安全方法和措施的建議。

預期功能安全設計要素

預期功能（SOTIF）方法安全性的基本概念是引入一個迭代功能開發和設計過程，該過程包括測試和驗證，其結果是可以聲明為安全的預期功能。可以基于一種方法論證得出一些活動，相關的論據證明這些活動足以開發安全的自動駕駛功能。

該方法假定存在一個已知場景的區域，該區域具有安全的系統行為，而一個未知場景的區域則具有潛在的危害。實際上，這些區域劃分中都是重疊的，如下圖所示。圖中描述的區域定義如下：

根據定義，其余白色區域是安全的并且是未知區域。

預期功能開發目標

汽車開發的目標是將已知的潛在意外行為和未知的潛在行為降低到可接受的殘留風險水平。使用上述模型，可以得出以下開發目標：

白色區域是假設的安全區域，其表示與本文討論的論點無關。無論如何，也可以通過減少區域3或擴大區域1的措施來減少白色區域。圖5通過描述開發目標來可視化結果：

以下措施有助于使用此概念實現開發目標。且這些措施將促進持續的迭代更新和過程改進。由于可以通過實驗測試和驗證活動來提供主要證據，足以證明該系統對客戶是足夠安全的。

1、區域1（策略）：

• 通過分析確定潛在風險

• 通過發現系統缺陷并進行重新定義

首先，需要明確定義要開發的功能，將使用與ISO 26262相似（但不完全相同）的風險分析方法來分析功能和技術規范。如果發現弱點，則會改進功能或系統。

2、區域2（策略）：

測試功能系統，包括其系統組件實現如下：

• 模擬功能，包括其場景
• 測試系統組件和整個系統
• 確定在存在弱點的情況下可以對功能或系統進行改進的地方
• 確定接受剩余風險的依據

3、區域3（策略）：

驗證功能系統：

將區域3減少到可接受的水平，例如通過耐力測試，駕駛測試，仿真測試；

預期功能測試驗證

全面的系統安全驗證不僅需要測試，還需要諸如開發過程的質量審核或通過分析技術實施可靠的系統設計之類的工作，這些共同構成了自動駕駛系統的安全論據。預期功能安全在車對車方面的假設分析與L0–L2系統大致相同（參見ISO 26262），但是復雜性卻增加了。

首先驗證通過設計策略通過安全性得出的所有要求都得到滿足。此步驟可確保覆蓋已知方案，并確保系統按預期有效的運行。因此，驗證的重點是易于測試的需求，并且可以通過設計流程對已經集成到生產車輛中數十年的系統進行完善的安全性檢查。例如，線控油門系統通過一套可驗證的措施（例如冗余油門踏板位置傳感器和運行冗余軟件的冗余微處理器）來防止車輪處產生不必要的正扭矩。為了符合設計原則和可驗證要求的安全性，現代自動駕駛系統需要進行有效的設計和測試措施，以確保系統能安全輸出。

如上圖所示，階段性測試可能會促使對功能設計的改進，從而產生新的驗證需求。通過解決已知的不安全情況，此迭代過程可提高對安全性的信心，從而縮小其面積。

總結

本文主要講了與自動駕駛功能相關的惡預期功能安全策略，從基本的概念、目標、架構、標準及測試范圍著手進行了全面的分析，旨在為下一節自動駕駛準入過程中的難點分析鋪墊。使讀者能夠在深入淺出的了解到預期功能安全的重難點，從而后續為自動駕駛的設計過程提供的必要的支撐，支撐產品順利通過準入。