隨著智能駕駛系統(tǒng)安全問(wèn)題日益凸顯，解決汽車主動(dòng)安全隱患對(duì)于企業(yè)和廣大消費(fèi)者而言也愈發(fā)緊迫。

背景

預(yù)期功能安全（Safety of the Intended Functionality, 即SOTIF）這一概念最早由歐洲專家于2018年提出，目的是解決由場(chǎng)景導(dǎo)致的安全風(fēng)險(xiǎn)。預(yù)期功能安全所覆蓋的問(wèn)題有兩個(gè)特征，一是非故障原因，即整車、系統(tǒng)、軟硬件層面不存在通信、電源等故障，各系統(tǒng)運(yùn)轉(zhuǎn)正常；二是由外部場(chǎng)景觸發(fā)，即由于特殊場(chǎng)景發(fā)現(xiàn)了系統(tǒng)的設(shè)計(jì)缺陷，使車輛處于風(fēng)險(xiǎn)中。

歐美國(guó)家在這一領(lǐng)域的布局較早，在技術(shù)開發(fā)和標(biāo)準(zhǔn)研究方面均處于領(lǐng)先地位。國(guó)內(nèi)企業(yè)雖然起步較晚，不少企業(yè)對(duì)預(yù)期功能安全概念的理解也尚不充分，不過(guò)近期相關(guān)標(biāo)準(zhǔn)和管理政策的出臺(tái)引起各方對(duì)這一領(lǐng)域的廣泛關(guān)注。

標(biāo)準(zhǔn)與法規(guī)的進(jìn)展

目前，最有影響力的預(yù)期功能安全標(biāo)準(zhǔn)是由國(guó)際標(biāo)準(zhǔn)化組織編寫的ISO 21448。該標(biāo)準(zhǔn)于2018年由原負(fù)責(zé)功能安全標(biāo)準(zhǔn)ISO 26262的工作組TC22/SC32/WG8提出并立項(xiàng)，并在2019年發(fā)布PAS版。這一版本標(biāo)準(zhǔn)較為清晰地提出了“未知危害場(chǎng)景-已知危害場(chǎng)景-已知安全場(chǎng)景”的風(fēng)險(xiǎn)解決邏輯和預(yù)期功能安全總體分析驗(yàn)證流程，但其內(nèi)容仍不足以支撐企業(yè)開展預(yù)期功能安全相關(guān)工作。2021年11月，ISO發(fā)布/FDIS 21448:2021，在 DIS版本基礎(chǔ)上進(jìn)一步完善，例如：更新了接受準(zhǔn)則定義、將誤用分為了直接誤用和間接誤用、擴(kuò)充了 SOTIF驗(yàn)證和確認(rèn)方法等。作為預(yù)期功能安全領(lǐng)域的技術(shù)基礎(chǔ)，ISO 21448標(biāo)準(zhǔn)將于2022年正式發(fā)布，被各國(guó)廣泛應(yīng)用并形成共識(shí)，成為事實(shí)上的強(qiáng)標(biāo)，這也將帶動(dòng)預(yù)期功能安全領(lǐng)域的發(fā)展進(jìn)入新的階段。

此外，2021年8月，工信部《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》（后文簡(jiǎn)稱《準(zhǔn)入》）的發(fā)布進(jìn)一步引發(fā)行業(yè)熱議。在《準(zhǔn)入》文件中，明確提出智能駕駛應(yīng)滿足功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全等要求。從目前自動(dòng)駕駛測(cè)試效果與能力水平看，阻礙自動(dòng)駕駛的最大障礙是預(yù)期功能安全問(wèn)題，相應(yīng)地，文件中對(duì)于功能安全和預(yù)期功能安全也有了強(qiáng)制性的企業(yè)能力和產(chǎn)品過(guò)程保障要求，這使得功能安全和預(yù)期功能安全的設(shè)計(jì)、開發(fā)、測(cè)試成為了企業(yè)無(wú)法回避的技術(shù)問(wèn)題。隨著后續(xù)《準(zhǔn)入》正式文件和實(shí)施細(xì)則的出臺(tái)，功能安全和預(yù)期功能安全將成為強(qiáng)制性要求，我國(guó)也將逐漸同歐美等國(guó)家更加嚴(yán)格的標(biāo)準(zhǔn)和法規(guī)接軌。

源自：工信微報(bào)

與功能安全的聯(lián)系

與我國(guó)汽車行業(yè)現(xiàn)有的多數(shù)標(biāo)準(zhǔn)有所差異，預(yù)期功能安全和功能安全都屬于流程類保障要求。我國(guó)已有的大部分標(biāo)準(zhǔn)側(cè)重于對(duì)測(cè)試結(jié)果的要求，而預(yù)期功能安全和功能安全更注重在開發(fā)、驗(yàn)證的過(guò)程中保障安全性?，F(xiàn)有階段安全領(lǐng)域主要包含三部分內(nèi)容，功能安全、預(yù)期功能安全和信息安全，分別對(duì)應(yīng)著汽車電子電氣失效、場(chǎng)景風(fēng)險(xiǎn)和網(wǎng)絡(luò)數(shù)據(jù)安全。由于不同領(lǐng)域的安全問(wèn)題在車輛運(yùn)行中存在不同的表現(xiàn)形式，因此需要形成不同的方法論和標(biāo)準(zhǔn)，以針對(duì)性解決不同類型安全隱患（如電子電氣失效，可以通過(guò)分析系統(tǒng)各個(gè)組件近乎窮盡相關(guān)風(fēng)險(xiǎn)，解決外部風(fēng)險(xiǎn)則需要不斷驗(yàn)證來(lái)識(shí)別危害場(chǎng)景并對(duì)系統(tǒng)不斷迭代）。

多年來(lái)，功能安全專家們?cè)趯?shí)踐中漸漸發(fā)現(xiàn)，盡管車輛的電子系統(tǒng)可以通過(guò)功能安全手段幾乎避免大部分系統(tǒng)失效和信號(hào)故障，但在一些特殊場(chǎng)景下，配備自動(dòng)駕駛系統(tǒng)的車輛還是無(wú)法從容應(yīng)對(duì)。本應(yīng)在預(yù)期設(shè)計(jì)范圍內(nèi)的場(chǎng)景在開發(fā)和驗(yàn)證中被意外忽略，這樣的問(wèn)題頻繁在智能駕駛系統(tǒng)中出現(xiàn)，卻又無(wú)法通過(guò)傳統(tǒng)的手段有效解決，因此亟須新的方法論來(lái)識(shí)別、驗(yàn)證風(fēng)險(xiǎn)場(chǎng)景，即“預(yù)期功能安全”。在很大程度上，預(yù)期功能安全是功能安全理念在智能駕駛系統(tǒng)上的延伸，都是希望通過(guò)流程要求保障企業(yè)或產(chǎn)品的安全能力。流程類標(biāo)準(zhǔn)的本質(zhì)在于將大量工程經(jīng)驗(yàn)中歸納出的必要步驟，轉(zhuǎn)化為執(zhí)行性高、可量化的實(shí)操指導(dǎo)型標(biāo)準(zhǔn)，供新老工程師參考，從而最大程度上規(guī)避因人類能力或經(jīng)驗(yàn)差異而最終體現(xiàn)在產(chǎn)品上的安全不一致性。從這一角度出發(fā)，將更容易理解功能安全和預(yù)期功能安全實(shí)施中每一個(gè)步驟的必要性，同時(shí)也引出了一個(gè)棘手的問(wèn)題：預(yù)期功能安全與功能安全的風(fēng)險(xiǎn)來(lái)源完全不同，是否還可以參考功能安全中的系統(tǒng)性方法來(lái)解決預(yù)期功能安全中大量的非系統(tǒng)性問(wèn)題？就現(xiàn)階段而言，答案是肯定的。

現(xiàn)有技術(shù)流程

目前，預(yù)期功能安全研究開展的思路主要有兩類，一是延續(xù)功能安全的思路，針對(duì)某一功能，基于工程經(jīng)驗(yàn)，在較小的范圍內(nèi)通過(guò)識(shí)別特定系統(tǒng)的自身問(wèn)題，有針對(duì)性地識(shí)別相應(yīng)風(fēng)險(xiǎn)場(chǎng)景并解決；二是從場(chǎng)景分析出發(fā)，不再局限于某個(gè)特定功能或系統(tǒng)，從場(chǎng)景的元素入手，更廣泛地找到通用性的場(chǎng)景問(wèn)題。前者的優(yōu)勢(shì)在于通過(guò)系統(tǒng)性的分析方法，在有限的范圍內(nèi)更容易找到針對(duì)這一特定系統(tǒng)的危害場(chǎng)景，可以比較好地保證場(chǎng)景的有效性；后者的優(yōu)勢(shì)在于，雖未完全按照預(yù)期功能安全標(biāo)準(zhǔn)展開分析，但可以從更廣闊的角度保證危害場(chǎng)景識(shí)別的全面性?，F(xiàn)階段，雙方均未總結(jié)出大量的、結(jié)論性的解決方案，因此短期內(nèi)還將呈現(xiàn)兩種研究思路互補(bǔ)并存的狀態(tài)。

預(yù)期功能安全的實(shí)施中，需要貫徹“迭代”的概念，迭代的內(nèi)容包括場(chǎng)景、分析、驗(yàn)證、以及系統(tǒng)自身等等。參考ISO 21448標(biāo)準(zhǔn)草案，預(yù)期功能安全的分析和驗(yàn)證流程主要包括以下8個(gè)方面：

1.相關(guān)項(xiàng)定義：

關(guān)于相關(guān)項(xiàng)定義的部分可以很大程度上參考功能安全標(biāo)準(zhǔn)ISO 26262相關(guān)章節(jié)，基于功能規(guī)范和系統(tǒng)架構(gòu)形成所需內(nèi)容，在此不再贅述。

2.危害分析和風(fēng)險(xiǎn)評(píng)估：

類似地，危害分析和風(fēng)險(xiǎn)評(píng)估部分，同樣可以參考功能安全中HAZOP關(guān)鍵詞法分析，評(píng)價(jià)危害事件的暴露度（S）、可控度（E）、嚴(yán)重性（C），只是在S、E、C評(píng)分得出后不再綜合評(píng)定ASIL等級(jí)，只考慮危害事件的可接受與不可接受兩種情況；如果危害事件不可接受，那么其將作為這一階段的結(jié)果，進(jìn)而推出下一步所需的觸發(fā)條件。

3.潛在功能不足與觸發(fā)條件識(shí)別：

如果危害事件不可接受，那么我們將分析由于何種原因會(huì)導(dǎo)致該事件的發(fā)生，即識(shí)別觸發(fā)條件?；谖：Ψ治龊惋L(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)可接受準(zhǔn)則，定義危險(xiǎn)。此時(shí)，可以較為方便地應(yīng)用STPA分析方法，建立控制流程，確定系統(tǒng)間的交互方式和內(nèi)容。根據(jù)控制行為識(shí)別相對(duì)應(yīng)的各類UCA（Unsafe Control Action）?；谝延蠻CA，識(shí)別哪些類別的原因或條件會(huì)導(dǎo)致不安全控制行為的發(fā)生；從而構(gòu)成UCA來(lái)源。繼而基于中汽數(shù)據(jù)經(jīng)驗(yàn)，詳盡識(shí)別觸發(fā)條件，結(jié)合開發(fā)人員描述和系統(tǒng)規(guī)范，評(píng)估系統(tǒng)對(duì)觸發(fā)條件的響應(yīng)，并給出相應(yīng)的安全機(jī)制。例如，觸發(fā)條件可以是車道線被雪覆蓋等等。觸發(fā)條件構(gòu)成了場(chǎng)景眾多元素中最關(guān)鍵的一個(gè)，即直接誘發(fā)場(chǎng)景風(fēng)險(xiǎn)的元素，因此這一步是預(yù)期功能安全最核心的環(huán)節(jié)。基于多年的場(chǎng)景研究經(jīng)驗(yàn)，中汽數(shù)據(jù)等企業(yè)已在這一環(huán)節(jié)積累大量預(yù)期功能安全場(chǎng)景形成場(chǎng)景庫(kù)，更易于幫助客戶有效地、全面地識(shí)別系統(tǒng)場(chǎng)景風(fēng)險(xiǎn)。

4.對(duì)系統(tǒng)的優(yōu)化與改進(jìn)：

在危害場(chǎng)景識(shí)別后，需要確認(rèn)在開發(fā)前期該風(fēng)險(xiǎn)是否已經(jīng)可以被合理應(yīng)對(duì)，如開發(fā)中未考慮相關(guān)場(chǎng)景的出現(xiàn)，那么需要對(duì)系統(tǒng)進(jìn)行改進(jìn)或優(yōu)化，手段包括但不限于優(yōu)化算力、增加感知冗余、限制系統(tǒng)使用ODD。在這里要說(shuō)明的是，限制系統(tǒng)ODD是一柄雙刃劍，雖可以保證智能駕駛系統(tǒng)運(yùn)行的安全性，但很可能會(huì)破壞用戶的使用體驗(yàn)，出現(xiàn)遇到問(wèn)題就退出的情況。

5.測(cè)試驗(yàn)證策略的確定：

本部分主要結(jié)合前文的驗(yàn)證策略，將發(fā)現(xiàn)的問(wèn)題進(jìn)行測(cè)試驗(yàn)證，不同的危害場(chǎng)景需要通過(guò)何種驗(yàn)證手段實(shí)現(xiàn)，測(cè)試的時(shí)長(zhǎng)、方式、計(jì)劃等等，并評(píng)估其結(jié)果是否達(dá)到預(yù)期目標(biāo)。

6.已知危害場(chǎng)景驗(yàn)證：

這里涉及的測(cè)試手段主要包含仿真和實(shí)車兩大部分。仿真測(cè)試方面，可通過(guò)視頻注入、視頻暗箱的方式對(duì)于攝像頭進(jìn)行傳感器的單獨(dú)測(cè)試；毫米波雷達(dá)可通過(guò)回波模擬器的方式模擬障礙物目標(biāo)進(jìn)行仿真。不過(guò)，由于少有測(cè)試企業(yè)能對(duì)仿真和物理測(cè)試的有效性進(jìn)行量化評(píng)估，部分廠商對(duì)于仿真驗(yàn)證的信賴度仍有疑慮。實(shí)車方面，可包括在道路上尋找特殊場(chǎng)景進(jìn)行測(cè)試；或者對(duì)所需場(chǎng)景在場(chǎng)地中進(jìn)行物理復(fù)現(xiàn)來(lái)進(jìn)行測(cè)試。

7.未知危害場(chǎng)景驗(yàn)證：

這一部分主要依賴于更廣闊的長(zhǎng)期測(cè)試來(lái)完成，通過(guò)近乎無(wú)限的里程數(shù)驗(yàn)證，發(fā)掘極小概率發(fā)生的極端場(chǎng)景。

8.發(fā)布后的運(yùn)營(yíng)與維護(hù)。

發(fā)展與問(wèn)題

預(yù)期功能安全無(wú)疑將成為未來(lái)備受關(guān)注的話題，但其實(shí)施中的諸多問(wèn)題也需要行業(yè)各界共同探討解決。

首先，無(wú)限的場(chǎng)景驗(yàn)證很難依賴于完全真實(shí)的實(shí)車驗(yàn)證，仿真驗(yàn)證的重要性將逐漸提升，而如何量化評(píng)價(jià)仿真測(cè)試有效性，尤其是感知部分，將成為行業(yè)的痛點(diǎn)之一。其次，預(yù)期功能安全分析與驗(yàn)證的驗(yàn)收邊界尚不明確，迭代次數(shù)、場(chǎng)景數(shù)量達(dá)到何種程度才可以釋放？現(xiàn)有的可接受準(zhǔn)則多停留在理論層面的計(jì)算，尚未經(jīng)過(guò)廣泛實(shí)踐驗(yàn)證可行性。最后，對(duì)于現(xiàn)有的大量非系統(tǒng)性預(yù)期功能安全場(chǎng)景問(wèn)題，我們是否還能按照系統(tǒng)性的方法論來(lái)處理？這3個(gè)重點(diǎn)問(wèn)題的解決，將極大推動(dòng)預(yù)期功能安全的落地和實(shí)施，使智能駕駛的安全性實(shí)現(xiàn)真正跨越。

中汽數(shù)據(jù)有限公司基于多年來(lái)的駕駛場(chǎng)景大數(shù)據(jù)和仿真工程經(jīng)驗(yàn)，在預(yù)期功能安全領(lǐng)域已有較為深厚積累。目前，中汽數(shù)據(jù)已與國(guó)內(nèi)外多家企業(yè)展開預(yù)期功能安全相關(guān)合作與研究，包括流程管理、安全開發(fā)、工程咨詢、驗(yàn)證確認(rèn)等，助力客戶率先在預(yù)期功能安全環(huán)節(jié)滿足合規(guī)要求，實(shí)現(xiàn)技術(shù)落地。