作者 | Aimee

出品 | 焉知

知圈 | 進(jìn)“電子電氣群”請加微13636581676,備注架構(gòu)

自動(dòng)駕駛汽車準(zhǔn)入制度旨在為自動(dòng)駕駛汽車市場化提供合法性支撐、預(yù)防和應(yīng)對技術(shù)的不確定性挑戰(zhàn)，并尋求道德倫理的正當(dāng)性。當(dāng)前，自動(dòng)駕駛功能的研發(fā)及量產(chǎn)已經(jīng)進(jìn)入白熱化階段，各家主機(jī)廠在該領(lǐng)域的投入也傾注了大量的精力和能力，對于上市也是勢在必得。但是對于法律和標(biāo)準(zhǔn)規(guī)定來說，自動(dòng)駕駛上市必須拿到工信部代表交通部頒發(fā)相關(guān)的準(zhǔn)入牌照才能受到相關(guān)社會(huì)的認(rèn)可。

然而，自動(dòng)駕駛準(zhǔn)入需要充分考慮汽車研發(fā)的各個(gè)方面，最重要的是保證駕駛過程中具備足夠的安全性，這就要求在設(shè)計(jì)之初就需要充分考慮到其中的關(guān)鍵一環(huán)：功能安全及預(yù)期功能安全。由功能安全涉及的失效和故障（一般指系統(tǒng)級功能和功能故障的E / E故障）將導(dǎo)致錯(cuò)誤的轉(zhuǎn)向或制動(dòng)，這被認(rèn)為是自動(dòng)駕駛與安全性相關(guān)的最高風(fēng)險(xiǎn)（一般能達(dá)到ASIL D）。通過根據(jù)ISO PAS 21448 SOTIF方法開發(fā)的功能來定義安全功能和系統(tǒng)，包括第一個(gè)初步的體系結(jié)構(gòu)，是朝著按照ISO 26262應(yīng)用功能安全性邁出的第一步-創(chuàng)建項(xiàng)目定義。該項(xiàng)目定義應(yīng)包括功能的定義，包括其對環(huán)境和其他項(xiàng)目/車輛的依賴性以及與環(huán)境和其他項(xiàng)目/車輛的相互作用。根據(jù)項(xiàng)目定義，可以進(jìn)行危害分析和風(fēng)險(xiǎn)評估，以找到該功能及其相關(guān)系統(tǒng)的根本要求或安全目標(biāo)。下一步是開發(fā)功能和技術(shù)安全概念。

自動(dòng)駕駛預(yù)期功能安全分析能力

自動(dòng)駕駛系統(tǒng)必須具有一組基本的系統(tǒng)屬性，此處將其指定為功能。下面將討論為了聲明整個(gè)系統(tǒng)是安全的應(yīng)具有的功能。這些功能分為故障安全功能（FS）和故障降級功能（FD）。故障安全功能可提供并實(shí)現(xiàn)客戶價(jià)值。故障安全功能可以被終止，因?yàn)槠洳豢捎眯缘陌踩嚓P(guān)性足夠低，或被故障降級功能所覆蓋。即使在發(fā)生故障的情況下，也應(yīng)該以一定的性能水平執(zhí)行故障降級的功能，以在特定時(shí)間范圍內(nèi)提供安全的系統(tǒng)，直到達(dá)到最終的最小風(fēng)險(xiǎn)條件（MRC）并允許停用為止。下表中的選擇矩陣展示了導(dǎo)出能力的完整性狀態(tài)，以證明對其設(shè)計(jì)原理的可追溯性。

我們知道在預(yù)期功能安全的設(shè)計(jì)過程中，需要解決的是其系統(tǒng)設(shè)計(jì)本身的功能局限性或缺陷。我們知道自動(dòng)駕駛系統(tǒng)設(shè)計(jì)過程中的基本原則是參照感知、決策、執(zhí)行三個(gè)方面進(jìn)行的。

如上圖，在感知能力方面需要解決的主要問題包括FS_1、FS_2、FS_3，其相關(guān)的功能項(xiàng)描述如下：

FS_1：確定位置系統(tǒng)應(yīng)該能夠確定其相對于ODD的位置。該位置是在特定于位置的ODD之內(nèi)還是之外。

FS_2：接近自動(dòng)車輛的感知相關(guān)靜態(tài)和動(dòng)態(tài)對象應(yīng)該感知。

可選地進(jìn)行預(yù)處理并正確提供自動(dòng)駕駛系統(tǒng)所需的所有目標(biāo)輸出。優(yōu)先級最高的對象是有碰撞風(fēng)險(xiǎn)的實(shí)體。樣本實(shí)體包括動(dòng)態(tài)對象（例如（易受傷害的）道路使用者和相應(yīng)運(yùn)動(dòng)的特征），靜態(tài)實(shí)例（例如道路邊界，交通指引和通信信號）和障礙物。

FS_3：預(yù)測相關(guān)目標(biāo)的未來行為。

應(yīng)該解釋相關(guān)對象的意圖，以便形成預(yù)測未來運(yùn)動(dòng)的基礎(chǔ)。換句話說，需要通過預(yù)測目標(biāo)的未來狀態(tài)來擴(kuò)展相關(guān)環(huán)境模型用于環(huán)境預(yù)測。

那么對于預(yù)期功能安全所要考慮的感知能力來說，需要充分考慮解決如下感知能力過程中的弱勢：

• 車輛原因：車間距離過近造成等物理原因產(chǎn)生的盲區(qū)；車輛造型非主流造成的識別障礙；

• 環(huán)境原因：污泥遮擋、工地圍欄、地下隧道等特殊環(huán)境；陽光炫目、黑夜暗光；

• 法規(guī)原因：限高桿、橋梁高度的感知；高架橋的限值類型；

• 目標(biāo)原因：車上掉落物品，零件等特殊形狀物體；山體落石，異常凸起。

其次，在決策規(guī)劃方面系統(tǒng)需要解決的問題主要為FS_4，其相關(guān)的功能描述如下：

FS_4：創(chuàng)建無沖突合法的駕駛計(jì)劃。

為了確保無碰撞和合法的駕駛政策，應(yīng)遵守以下規(guī)定：

• 與其他物體保持安全的橫向和縱向距離。
• 遵守ODD內(nèi)所有適用的交通規(guī)則。
• 考慮可能阻塞物體的潛在危險(xiǎn)區(qū)域。
• 在不清楚的情況下，不給予通行權(quán)。
• 如果可以避免撞車而又不危及第三方，則必要時(shí)可以優(yōu)先考慮交通規(guī)則。

那么對于預(yù)期功能安全所要考慮的感知能力來說，需要充分考慮解決如下規(guī)劃決策過程中的弱勢：

• 車輛原因：車輛轉(zhuǎn)彎、變道等對時(shí)間窗口規(guī)劃
• 道路原因：道路限行區(qū)、橋梁等限重
• 環(huán)境原因：雨雪、大霧等天氣車輛速度控制等
• 目標(biāo)原因：復(fù)雜場景需要考安全下的最優(yōu)避障方案

最后，在控制執(zhí)行方面系統(tǒng)需要解決的問題主要由FS_5，其功能能描述如下：

FS_5：正確執(zhí)行和制定駕駛計(jì)劃

應(yīng)根據(jù)駕駛計(jì)劃生成用于橫向和縱向控制的相應(yīng)驅(qū)動(dòng)信號。

對于預(yù)期功能安全所要考慮的感知能力來說，需要充分考慮如下控制執(zhí)行能力過程中的弱勢：

• 車輛原因：車輛轉(zhuǎn)彎、車輛速度的控制能力等；
• 道路原因：道路限速，轉(zhuǎn)彎半徑，上下坡對速度的控制能力；
• 環(huán)境原因：積水、道路結(jié)冰等環(huán)境轉(zhuǎn)彎時(shí)車輛控制能力；
• 目標(biāo)原因：對乘客乘坐舒適度、行車安全等影響能力；

如下表所示，在設(shè)計(jì)自動(dòng)駕駛準(zhǔn)入的安全評估過程中，其安全原則可追溯到需要實(shí)現(xiàn)的所有功能。由于自動(dòng)駕駛準(zhǔn)入過程中期望其功能產(chǎn)品開發(fā)負(fù)責(zé)提供必要等級的證據(jù)以進(jìn)行能力驗(yàn)證和確認(rèn)，然后由評估小組進(jìn)行審查。因此需要圍繞驗(yàn)證自動(dòng)駕駛系統(tǒng)的方法論開發(fā)出完整的邏輯和原理。

自動(dòng)駕駛準(zhǔn)入涉及的預(yù)期功能安全能力分析

對于最新推出的自動(dòng)駕駛準(zhǔn)入指南所要求的能力建設(shè)章節(jié)中，我們知道在自動(dòng)駕駛準(zhǔn)入過程中，涉及功能安全與預(yù)期功能安全部分的要求在很多OEM實(shí)現(xiàn)層面很難達(dá)成，比如：

這里我們可理解為自動(dòng)駕駛準(zhǔn)入的要求包括兩個(gè)方面要求：

其一是對企業(yè)的要求。也即對于企業(yè)能力的要求，如某企業(yè)的預(yù)期功能安全管理流程，企業(yè)的安全文化，以及在各個(gè)環(huán)節(jié)中的文檔設(shè)計(jì)工作，以及對整個(gè)產(chǎn)品全生命周期的監(jiān)控。

其二是對產(chǎn)品的要求。即參考國際、國內(nèi)標(biāo)準(zhǔn)的開發(fā)流程，在產(chǎn)品開發(fā)環(huán)節(jié)做必要的SOTIF分析，并通過仿真、實(shí)車測試手段對產(chǎn)品的SOTIF能力進(jìn)行驗(yàn)證，最終在產(chǎn)品使用中仍繼續(xù)對SOTIF能力進(jìn)行迭代。

基于《準(zhǔn)入》對預(yù)期功能安全在整個(gè)自動(dòng)駕駛設(shè)計(jì)中的要求，提升企業(yè)的SOTIF能力勢在必行。如下表示了企業(yè)的SOTIF開發(fā)、驗(yàn)證和運(yùn)維流程示意圖。

如下我們將分別就上面的預(yù)期功能安全準(zhǔn)入需求進(jìn)行解讀和對策分析：

一（五）企業(yè)應(yīng)滿足預(yù)期功能安全開發(fā)接口管理要求，符合預(yù)期功能安全管理職責(zé)和角色定義、供應(yīng)商計(jì)劃管理等規(guī)定。

二（四）應(yīng)定義駕駛自動(dòng)化系統(tǒng)預(yù)期功能安全相關(guān)零部件的接口要求，確保零部件符合對應(yīng)的預(yù)期功能安全設(shè)計(jì)開發(fā)、驗(yàn)證、確認(rèn)等規(guī)定。

為了確保企業(yè)滿足預(yù)期功能安全開發(fā)接口管理要求，可通過如下的管理和定義實(shí)現(xiàn)相關(guān)功能。

1. 企業(yè)可以建立并維持良好的安全文化，鼓勵(lì)企業(yè)內(nèi)部各部門就預(yù)期功能安全問題展開溝通和研究，特別是系統(tǒng)設(shè)計(jì)、軟件開發(fā)及功能安全分析三大部分是其預(yù)期功能安全分析的核心部門；

2. 企業(yè)針對自身特點(diǎn)，建立合理的安全異常解決機(jī)制；

3. 企業(yè)制定安全管理流程，并完善管理機(jī)制，主要涉及：

• 提供質(zhì)量管理體系的證明材料；
• 對安全管理人員提出合理的的能力考核辦法，以確保勝任相關(guān)工作；
• 對安全計(jì)劃、安全測試案例和安全確認(rèn)機(jī)制等文件中所涉及的內(nèi)容詳細(xì)記錄在案；

4. 企業(yè)對于產(chǎn)品的后開發(fā)流程：

• 關(guān)于產(chǎn)品的生產(chǎn)、運(yùn)營、維護(hù)、使用等制定安全管理計(jì)劃；
• 提供生產(chǎn)現(xiàn)場的審查報(bào)告等。

5. 企業(yè)與供應(yīng)商一同制定開發(fā)接口協(xié)議，明確開發(fā)要求；

6. 企業(yè)要求供應(yīng)商提供安全計(jì)劃，以及感知、決策、執(zhí)行系統(tǒng)的元件級的設(shè)計(jì)規(guī)范和評估報(bào)告。

一（六）企業(yè)應(yīng)滿足預(yù)期功能安全開發(fā)流程要求，符合設(shè)計(jì)定義、危害識別、功能不足識別、功能改進(jìn)、驗(yàn)證及確認(rèn)、安全發(fā)布、運(yùn)行維護(hù)等規(guī)定，保障車輛不存在因預(yù)期功能的不足所導(dǎo)致的不合理風(fēng)險(xiǎn)。

基于《準(zhǔn)入》要求，提升產(chǎn)品的SOTIF性能，我們可以參照如下預(yù)期功能安全分析框圖表示的分析設(shè)計(jì)過程進(jìn)行預(yù)期功能安全分析。整體表示在系統(tǒng)設(shè)計(jì)階段設(shè)置合理的功能要素進(jìn)行輸入，通過危害局部危害結(jié)果分析判斷其是否處于可接受的范圍，當(dāng)識別到功能不足時(shí)首先判斷場景是否合理，如果合理則認(rèn)為是系統(tǒng)自身設(shè)計(jì)缺陷導(dǎo)致，立即對功能進(jìn)行提升和整改，如果發(fā)現(xiàn)是測試場景設(shè)置的不合理，則重新確認(rèn)測試和驗(yàn)證方法，并根據(jù)已知和未知的場景進(jìn)行驗(yàn)證和探索，對如上兩類場景均進(jìn)行參與風(fēng)險(xiǎn)判定，如果風(fēng)險(xiǎn)足夠低，則進(jìn)入安全分析的運(yùn)維階段，認(rèn)為產(chǎn)品SOTIF滿足預(yù)期功能安全需求。

二（一）應(yīng)滿足預(yù)期功能安全規(guī)范和設(shè)計(jì)的要求，識別和評估預(yù)期功能可能造成的危害，制定合理的風(fēng)險(xiǎn)可接受準(zhǔn)則。

這里主要指危害分析和風(fēng)險(xiǎn)評估。主要過程包括相關(guān)項(xiàng)定義，根據(jù)定義分析失效狀態(tài)下的整車級危害條目定義，并結(jié)合場景形成危害事件響應(yīng)Hazard，評估危害造成的風(fēng)險(xiǎn)Hazardous Event，最后設(shè)置風(fēng)險(xiǎn)接受條件Acceptance Criteria。

制定風(fēng)險(xiǎn)可接受準(zhǔn)則。對于已知危害場景中的問題，即S>0且C>0的危害事件，在進(jìn)行了功能修改后，若仍不能使S=0或C=0，則需定義風(fēng)險(xiǎn)可接受準(zhǔn)則（作為驗(yàn)證目標(biāo)的依據(jù)），作為該危害場景下的驗(yàn)收標(biāo)準(zhǔn)。

 

式中——λ 為單位里程（或單位時(shí)間）內(nèi)危害行為事件的平均發(fā)生次數(shù)；——α 為置信度水平；——τ為危害行為事件發(fā)生的平均里程或時(shí)間間隔（即無事故里程或時(shí)長）。例如，當(dāng)無危害行為事件里程數(shù)達(dá)到100×104 km時(shí)，具有99% 置信度水平認(rèn)為該系統(tǒng)在同等駕駛場景中危害事故率能達(dá)到4.6×10-6次/km。

二（二）應(yīng)識別和評估潛在功能不足和觸發(fā)條件（含可合理預(yù)見的人員誤用），并應(yīng)用功能改進(jìn)等措施減少預(yù)期功能安全相關(guān)的風(fēng)險(xiǎn)。

如上需求主要通過ODD分析、事故場景數(shù)據(jù)分析、安全分析方法分析識別功能不足和導(dǎo)致危害事件的觸發(fā)條件（具體危險(xiǎn)場景）。根據(jù)SOTIF安全分析標(biāo)準(zhǔn)所闡述的過程主要包括將需要的輸入要素（系統(tǒng)設(shè)計(jì)規(guī)范、整車級危害分析、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)可接受條件）參照ISO PAS 21448 SOTIF安全分析方法策略分析得到相應(yīng)的SOTIF分析結(jié)果（功能不足、誤用、觸發(fā)條件）。

如上提到的安全分析方法可以歸納為包括STPA、FMEA、FTA。同時(shí)，基于已有的分析和經(jīng)驗(yàn)積累，形成預(yù)期功能安全場景庫，提前建立仿真測試（通常包括SIL、HIL測試），便于識別所有觸發(fā)條件，事后進(jìn)行實(shí)車（包括場地測試和道路測試）降低SOTIF風(fēng)險(xiǎn)。

這里需要說明的是對于功能不足、誤用、觸發(fā)條件原因?qū)е碌腻e(cuò)誤結(jié)果，可通過如下幾個(gè)方面進(jìn)行改進(jìn)：

1、提升系統(tǒng)能力，例如算力、算法效率；

2、增加多樣性冗余技術(shù)，例如感知融合、執(zhí)行端多冗余、電源冗余；

3、明確說明功能條件限制，例如明確ODD范圍；

4、駕駛員接管預(yù)測、控制策略及提示策略；

5、通過用戶手冊對駕駛員進(jìn)行警示，以減少對系統(tǒng)的誤用情況。

總結(jié)

自動(dòng)駕駛準(zhǔn)入對于企業(yè)在預(yù)期功能安全的開發(fā)和設(shè)計(jì)中提出了較高的要求，這就要求企業(yè)在設(shè)計(jì)之初需要不斷完善其安全分析能力和設(shè)計(jì)能力，確保在自動(dòng)駕駛設(shè)計(jì)開發(fā)后期的測試驗(yàn)證過程中能夠滿足法規(guī)和上市銷售需求。這種安全分析設(shè)計(jì)能力除開可以參照SOTIF標(biāo)準(zhǔn)外，還可以由企業(yè)結(jié)合自身能力從更加深層次的角度進(jìn)行分析和設(shè)計(jì)，如完善場景庫搭建，加入安全分析流程，結(jié)合測試工具，收集市場反饋，以不斷完善自動(dòng)駕駛SOTIF分析能力。