引言：當前，世界汽車產(chǎn)業(yè)正在發(fā)生一場巨變，汽車“新四化”，即電動化、智能化、網(wǎng)聯(lián)化和共享化正在成為汽車產(chǎn)業(yè)新的發(fā)展趨勢，給百年歷史的傳統(tǒng)汽車工業(yè)帶來了一場革命。預期功能安全便是在這樣的大背景下出現(xiàn)，也是智能汽車自動駕駛從L2到L3跨越的必然需求。傳統(tǒng)汽車的安全遵循ISO26262功能安全標準，但是無人駕駛汽車的安全超越了功能安全，包括了其他的安全概念，比如預期功能安全(SOTIF)，行為安全等。目前，各界組織和政府都在積極定義無人駕駛汽車的安全標準。（以下內(nèi)容轉載自薄說安全）

1背  景

2018年3月，一輛Uber無人駕駛測試車在美國釀成致死事故，一度讓整個行業(yè)陷入停滯 ，事后結案報告分析了主要原因：首先，Uber對周圍環(huán)境感知的模型假定只會出現(xiàn)自行車、行人、車輛三類物體，且這三類物體只會沿著車道線行進，但現(xiàn)實情況是行人推著自行車橫穿馬路，按照模型預設，Uber在任何情況下都不會對上述場景進行分類識別。其次，車輛駕駛員對Uber并沒有及時接管，在整個系統(tǒng)設計中沒有考慮到人為因素。從這個事件可以看到，自動駕駛安全設計，除了去滿足已有規(guī)格書Spec的要求，更需要去驗證Spec的充分性。

Road vehicles - safety of the intended functionality SOTIF（道路車輛預期功能安全）標準在2019年1月作為公開技術規(guī)范發(fā)布（ISO/PAS 21448），正式版預計將于2022年發(fā)布，目前PAS版本共有29頁+23頁附件，重點關注SAE自動化level 1和level 2駕駛輔助功能。這個規(guī)范用于降低由于系統(tǒng)的預期功能不足（設計不足或性能局限）或可預見的人員誤操作導致的不可接受風險，這也是預期功能安全概念的定義，適用的電子系統(tǒng)為安全功能受外部環(huán)境影響的功能，來自于傳感器和處理算法，典型的有AEB自動緊急制動系統(tǒng)、車道保持系統(tǒng)等高級駕駛輔助系統(tǒng)。

2預期功能安全概念

功能安全在于解決系統(tǒng)內(nèi)的隨機失效和系統(tǒng)性失效引起的危害，造成安全事故，包括硬件故障、軟件故障，而系統(tǒng)功能正常時出現(xiàn)的危害不在功能安全考慮的范圍內(nèi)，由于使用傳感器或算法的性能限制，駕駛人員對系統(tǒng)的誤操作，SOTIF規(guī)范的推出旨在解決這一類問題。下圖來自中國汽車標準化技術委員會在2020年發(fā)布的《預期功能安全國際標準ISO21448及中國實踐白皮書》，用于說明功能安全與預期功能安全概念的區(qū)別。

3SOTIF關注領域

一、系統(tǒng)的運行設計域ODD（或稱為運行場景）超出了系統(tǒng)和部件性能限制，比如一個自動巡航系統(tǒng)在其ODD范圍內(nèi)（高速公路、天氣良好）運行，遇到了有低照明條件的情況，超出了前置攝像頭的性能限制；

二、人為因素對系統(tǒng)的影響，特別是與人機交互界面的接口。如駕駛員沒有將手放在方向盤上（在需要時）；駕駛員對系統(tǒng)能力和限制的理解，以及駕駛員的責任；以及駕駛員理解和應對警告和警報的能力。

4SOTIF四象限概念

預期功能安全提出了四象限圖的概念，用于確定系統(tǒng)所在的各類場景，這個概念類似于IEC61508中安全失效率λs、危險失效率λd的概念，不過SOTIF所關注的外部觸發(fā)事件造成的危害，不是系統(tǒng)內(nèi)失效引起的危害。

區(qū)域1是已知、安全的場景（Known-Safe），區(qū)域4是未知、安全的場景（Unkown-Safe），自動駕駛汽車可以運行在這兩個場景中。針對于區(qū)域2，已知、不安全的場景（Known-Unsafe），需要在系統(tǒng)設計時，提前考慮。而針對于區(qū)域3，是未知、不安全（Unknown-Unsafe），可以理解為長尾的場景。有兩種思路來應對區(qū)域2和區(qū)域3的安全問題，一是保守的方法，即通過限定自動駕駛運行設計域ODD，讓自動駕駛系統(tǒng)只能在已知和安全的場景才能運行，但這樣治標不治本，更不利于自動駕駛的規(guī)模商業(yè)化落地。另外一種思路是努力將區(qū)域3的范圍縮小，但是，由于未知的場景是無窮無盡的，無論如何縮小，永遠都存在。進一步來說，區(qū)域3理論上可以看作“熵增”運動，要努力減熵，需要保持開放，同時要有外力做功，減少混亂程度，脫離平衡。映射到自動駕駛，一是讓系統(tǒng)本身通過數(shù)據(jù)閉環(huán)，持續(xù)地學習和升級；二是通過V2X，增加視距，增強對未知場景的認知程度。

5HARA VS SOTIF風險評估

實際項目實施中，沒有必要分別去做HARA和SOTIF風險分析，整車級危害所引出的安全目標可以基于同一個過程來做，但在SOTIF會識別出可預見的人員誤操作造成的頂層危害，以車道保持系統(tǒng)（實現(xiàn)車輛的居中和變道行駛）為例，在功能安全中，整車級危害有：

1、車道保持系統(tǒng)啟動過程中發(fā)生車道偏離；

2、在目標車道上由于障礙物或車道被占變道；

3、車輛未完成變道或跨越到兩車道；

4、系統(tǒng)對更高優(yōu)先級的安全系統(tǒng)造成干擾（爭奪控制權）

而從SOTIF角度，考慮到可預見的司機誤操作，還存在的危害有司機與系統(tǒng)之間控制權的轉換不當，造成的事故后果可能是撞行人、與迎面車輛相撞、撞擊障礙物、追尾車輛、側面相撞，判斷風險等級都是從可控性、嚴重性、暴露性三個方面去評價，以確定整車級的安全目標。 

6預期功能安全的啟發(fā)

春節(jié)前上海發(fā)生的地鐵夾人導致傷亡的事件，事故造成的影響很大，引發(fā)了社會公眾對于無人駕駛系統(tǒng)的關注，現(xiàn)在還未發(fā)布最終的事故報告，根據(jù)現(xiàn)場的視頻和各方的分析，與現(xiàn)場站務人員在處理站臺門夾人故障情況下操作有關，從SOTIF角度，這也是一個系統(tǒng)故障（屏蔽門夾人）疊加人員誤操作造成了更嚴重的事故。

從系統(tǒng)安全角度我們會做操作與維護造成危害的安全分析，但從功能安全的角度，多數(shù)會把人員的失效排除在系統(tǒng)設計范圍外，從而通過對人員的管理規(guī)定進行落實。而從各行業(yè)的歷次事故報告來看，在緊急狀況下，人往往是靠不住的，比如737 MAX事故中自動駕駛系統(tǒng)與駕駛員控制權的爭奪，723事故中高鐵信號系統(tǒng)故障后調(diào)度員未對司機進行及時提醒。從預期功能安全的角度，對人員誤操作開展風險分析，并制定相應的驗證確認策略，就有很大的必要性。按照預期功能安全對人員誤操作進行安全分析，需要考慮的情況有：

1、操作人員對系統(tǒng)信息的識別，對系統(tǒng)給出信息不理解和理解錯誤（信息發(fā)生混淆）的情況；

2、操作人員錯誤的判斷，無意對系統(tǒng)的停用、錯誤的啟動和解除系統(tǒng)；

3、操作人員錯誤的動作，對其它系統(tǒng)錯誤操作導致本系統(tǒng)無意地停用；

4、人機界面接口的控制和響應操作錯誤。

預期功能安全的觸發(fā)事件triggering event，它指的是車輛駕駛場景的某個特定條件，啟動了系統(tǒng)的特定反應，導致危害事件發(fā)生。在ISO21448中舉了一個例子：車輛在高速公路上行駛過程中，車輛的自動緊急制動系統(tǒng)AEB誤認為路標是前方的一輛車，從而以X g的減速度減速Y秒。這個示例中，觸發(fā)事件是AEB的感知子系統(tǒng)對前方物體的識別發(fā)生了誤判，危害事件是非預期的減速，可能導致車輛的追尾事故。

ISO21448定義的第一類觸發(fā)事件是超過系統(tǒng)和部件性能限制的事件，需要針對系統(tǒng)設計所使用的技術，以車道保持系統(tǒng)使用的camara和radar為例，列舉幾個典型的SOTIF觸發(fā)事件。

例1：環(huán)境中的干擾因素如道路的光線反射，會影響相機檢測車道標線的能力，下圖中對光線反射亮斑的識別

例2：相機對路面環(huán)境條件的檢測可能造成的誤判，下圖中車輪行駛印跡與車道線的混淆

以上這些示例都屬于感知組件中在物理環(huán)境中的局限性導致的性能下降，在系統(tǒng)的功能安全分析過程中，不會覆蓋此類性能局限下的影響分析，這類外部環(huán)境對系統(tǒng)傳感器、控制器、執(zhí)行器的影響是SOTIF的范圍。

第二類觸發(fā)事件是指潛在可能的非預期的人為誤操作，第一類觸發(fā)事件中，有人機界面的限制，人機界面屬于系統(tǒng)內(nèi)的一部分，也存在潛在的性能不足，還有的觸發(fā)事件是人為潛在的可預見的誤用。

列舉幾個典型的SOTIF第二類觸發(fā)事件：

例1：駕駛員難以接觸系統(tǒng)控制界面（如果系統(tǒng)控制位于子菜單中或控制界面的按鈕位置設計較遠）。

例2：車道保持系統(tǒng)在控制過渡期結束時將控制權還給駕駛員，未考慮司機的注意力狀態(tài)。

例3：駕駛員將其他車輛系統(tǒng)反饋的信息，如其它系統(tǒng)發(fā)出的警告，誤認為是自動車道保持系統(tǒng)的警告。駕駛員可能會操作車道保持系統(tǒng)的控制功能，而不是操作其他系統(tǒng)的控制功能。

例4：駕駛員在系統(tǒng)的ODD范圍外啟動自動車道保持系統(tǒng)，不滿足進入系統(tǒng)功能的條件。

而在ISO21448附件E的描述中，將人為操作分為三個階段：1、對信息的獲取；2、對信息的判斷；3、對系統(tǒng)的操作，于是我們可以把人類比作一個系統(tǒng)，按照I-P-O的方式去分析三個環(huán)節(jié)中存在的各種誤操作因素。

最后，什么是預期功能安全最終的衡量標準，可以考慮的方法有：1、與現(xiàn)有的交通數(shù)據(jù)（如碰撞事故統(tǒng)計、數(shù)據(jù)分析）比較；2、現(xiàn)行行業(yè)中類似功能預先存在的目標；3、與人類駕駛員行為的對比；4、其它的風險接受準則（GAMAB、ALARP等）。

以上四種風險接受方法可以結合使用，先將系統(tǒng)性能與交通數(shù)據(jù)或人類駕駛行為進行比較，取決于數(shù)據(jù)是否可用，如果系統(tǒng)允許司機接管，則評估司機安全接管的概率，不斷驗證和迭代系統(tǒng)開發(fā)，直到系統(tǒng)滿足選定的指標。