隨著智能駕駛系統(tǒng)安全問題日益凸顯，解決汽車主動安全隱患對于企業(yè)和廣大消費者而言也愈發(fā)緊迫。

背景

預(yù)期功能安全（Safety of the Intended Functionality, 即SOTIF）這一概念最早由歐洲專家于2018年提出，目的是解決由場景導(dǎo)致的安全風險。預(yù)期功能安全所覆蓋的問題有兩個特征，一是非故障原因，即整車、系統(tǒng)、軟硬件層面不存在通信、電源等故障，各系統(tǒng)運轉(zhuǎn)正常；二是由外部場景觸發(fā)，即由于特殊場景發(fā)現(xiàn)了系統(tǒng)的設(shè)計缺陷，使車輛處于風險中。

歐美國家在這一領(lǐng)域的布局較早，在技術(shù)開發(fā)和標準研究方面均處于領(lǐng)先地位。國內(nèi)企業(yè)雖然起步較晚，不少企業(yè)對預(yù)期功能安全概念的理解也尚不充分，不過近期相關(guān)標準和管理政策的出臺引起各方對這一領(lǐng)域的廣泛關(guān)注。

標準與法規(guī)的進展

目前，最有影響力的預(yù)期功能安全標準是由國際標準化組織編寫的ISO 21448。該標準于2018年由原負責功能安全標準ISO 26262的工作組TC22/SC32/WG8提出并立項，并在2019年發(fā)布PAS版。這一版本標準較為清晰地提出了“未知危害場景-已知危害場景-已知安全場景”的風險解決邏輯和預(yù)期功能安全總體分析驗證流程，但其內(nèi)容仍不足以支撐企業(yè)開展預(yù)期功能安全相關(guān)工作。2021年11月，ISO發(fā)布/FDIS 21448:2021，在 DIS版本基礎(chǔ)上進一步完善，例如：更新了接受準則定義、將誤用分為了直接誤用和間接誤用、擴充了 SOTIF驗證和確認方法等。作為預(yù)期功能安全領(lǐng)域的技術(shù)基礎(chǔ)，ISO 21448標準將于2022年正式發(fā)布，被各國廣泛應(yīng)用并形成共識，成為事實上的強標，這也將帶動預(yù)期功能安全領(lǐng)域的發(fā)展進入新的階段。

此外，2021年8月，工信部《關(guān)于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》（后文簡稱《準入》）的發(fā)布進一步引發(fā)行業(yè)熱議。在《準入》文件中，明確提出智能駕駛應(yīng)滿足功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全等要求。從目前自動駕駛測試效果與能力水平看，阻礙自動駕駛的最大障礙是預(yù)期功能安全問題，相應(yīng)地，文件中對于功能安全和預(yù)期功能安全也有了強制性的企業(yè)能力和產(chǎn)品過程保障要求，這使得功能安全和預(yù)期功能安全的設(shè)計、開發(fā)、測試成為了企業(yè)無法回避的技術(shù)問題。隨著后續(xù)《準入》正式文件和實施細則的出臺，功能安全和預(yù)期功能安全將成為強制性要求，我國也將逐漸同歐美等國家更加嚴格的標準和法規(guī)接軌。

源自：工信微報

與功能安全的聯(lián)系

與我國汽車行業(yè)現(xiàn)有的多數(shù)標準有所差異，預(yù)期功能安全和功能安全都屬于流程類保障要求。我國已有的大部分標準側(cè)重于對測試結(jié)果的要求，而預(yù)期功能安全和功能安全更注重在開發(fā)、驗證的過程中保障安全性?，F(xiàn)有階段安全領(lǐng)域主要包含三部分內(nèi)容，功能安全、預(yù)期功能安全和信息安全，分別對應(yīng)著汽車電子電氣失效、場景風險和網(wǎng)絡(luò)數(shù)據(jù)安全。由于不同領(lǐng)域的安全問題在車輛運行中存在不同的表現(xiàn)形式，因此需要形成不同的方法論和標準，以針對性解決不同類型安全隱患（如電子電氣失效，可以通過分析系統(tǒng)各個組件近乎窮盡相關(guān)風險，解決外部風險則需要不斷驗證來識別危害場景并對系統(tǒng)不斷迭代）。

多年來，功能安全專家們在實踐中漸漸發(fā)現(xiàn)，盡管車輛的電子系統(tǒng)可以通過功能安全手段幾乎避免大部分系統(tǒng)失效和信號故障，但在一些特殊場景下，配備自動駕駛系統(tǒng)的車輛還是無法從容應(yīng)對。本應(yīng)在預(yù)期設(shè)計范圍內(nèi)的場景在開發(fā)和驗證中被意外忽略，這樣的問題頻繁在智能駕駛系統(tǒng)中出現(xiàn)，卻又無法通過傳統(tǒng)的手段有效解決，因此亟須新的方法論來識別、驗證風險場景，即“預(yù)期功能安全”。在很大程度上，預(yù)期功能安全是功能安全理念在智能駕駛系統(tǒng)上的延伸，都是希望通過流程要求保障企業(yè)或產(chǎn)品的安全能力。流程類標準的本質(zhì)在于將大量工程經(jīng)驗中歸納出的必要步驟，轉(zhuǎn)化為執(zhí)行性高、可量化的實操指導(dǎo)型標準，供新老工程師參考，從而最大程度上規(guī)避因人類能力或經(jīng)驗差異而最終體現(xiàn)在產(chǎn)品上的安全不一致性。從這一角度出發(fā)，將更容易理解功能安全和預(yù)期功能安全實施中每一個步驟的必要性，同時也引出了一個棘手的問題：預(yù)期功能安全與功能安全的風險來源完全不同，是否還可以參考功能安全中的系統(tǒng)性方法來解決預(yù)期功能安全中大量的非系統(tǒng)性問題？就現(xiàn)階段而言，答案是肯定的。

現(xiàn)有技術(shù)流程

目前，預(yù)期功能安全研究開展的思路主要有兩類，一是延續(xù)功能安全的思路，針對某一功能，基于工程經(jīng)驗，在較小的范圍內(nèi)通過識別特定系統(tǒng)的自身問題，有針對性地識別相應(yīng)風險場景并解決；二是從場景分析出發(fā)，不再局限于某個特定功能或系統(tǒng)，從場景的元素入手，更廣泛地找到通用性的場景問題。前者的優(yōu)勢在于通過系統(tǒng)性的分析方法，在有限的范圍內(nèi)更容易找到針對這一特定系統(tǒng)的危害場景，可以比較好地保證場景的有效性；后者的優(yōu)勢在于，雖未完全按照預(yù)期功能安全標準展開分析，但可以從更廣闊的角度保證危害場景識別的全面性?，F(xiàn)階段，雙方均未總結(jié)出大量的、結(jié)論性的解決方案，因此短期內(nèi)還將呈現(xiàn)兩種研究思路互補并存的狀態(tài)。

預(yù)期功能安全的實施中，需要貫徹“迭代”的概念，迭代的內(nèi)容包括場景、分析、驗證、以及系統(tǒng)自身等等。參考ISO 21448標準草案，預(yù)期功能安全的分析和驗證流程主要包括以下8個方面：

1.相關(guān)項定義：

關(guān)于相關(guān)項定義的部分可以很大程度上參考功能安全標準ISO 26262相關(guān)章節(jié)，基于功能規(guī)范和系統(tǒng)架構(gòu)形成所需內(nèi)容，在此不再贅述。

2.危害分析和風險評估：

類似地，危害分析和風險評估部分，同樣可以參考功能安全中HAZOP關(guān)鍵詞法分析，評價危害事件的暴露度（S）、可控度（E）、嚴重性（C），只是在S、E、C評分得出后不再綜合評定ASIL等級，只考慮危害事件的可接受與不可接受兩種情況；如果危害事件不可接受，那么其將作為這一階段的結(jié)果，進而推出下一步所需的觸發(fā)條件。

3.潛在功能不足與觸發(fā)條件識別：

如果危害事件不可接受，那么我們將分析由于何種原因會導(dǎo)致該事件的發(fā)生，即識別觸發(fā)條件?；谖：Ψ治龊惋L險評估中的風險可接受準則，定義危險。此時，可以較為方便地應(yīng)用STPA分析方法，建立控制流程，確定系統(tǒng)間的交互方式和內(nèi)容。根據(jù)控制行為識別相對應(yīng)的各類UCA（Unsafe Control Action）?；谝延蠻CA，識別哪些類別的原因或條件會導(dǎo)致不安全控制行為的發(fā)生；從而構(gòu)成UCA來源。繼而基于中汽數(shù)據(jù)經(jīng)驗，詳盡識別觸發(fā)條件，結(jié)合開發(fā)人員描述和系統(tǒng)規(guī)范，評估系統(tǒng)對觸發(fā)條件的響應(yīng)，并給出相應(yīng)的安全機制。例如，觸發(fā)條件可以是車道線被雪覆蓋等等。觸發(fā)條件構(gòu)成了場景眾多元素中最關(guān)鍵的一個，即直接誘發(fā)場景風險的元素，因此這一步是預(yù)期功能安全最核心的環(huán)節(jié)?；诙嗄甑膱鼍把芯拷?jīng)驗，中汽數(shù)據(jù)等企業(yè)已在這一環(huán)節(jié)積累大量預(yù)期功能安全場景形成場景庫，更易于幫助客戶有效地、全面地識別系統(tǒng)場景風險。

4.對系統(tǒng)的優(yōu)化與改進：

在危害場景識別后，需要確認在開發(fā)前期該風險是否已經(jīng)可以被合理應(yīng)對，如開發(fā)中未考慮相關(guān)場景的出現(xiàn)，那么需要對系統(tǒng)進行改進或優(yōu)化，手段包括但不限于優(yōu)化算力、增加感知冗余、限制系統(tǒng)使用ODD。在這里要說明的是，限制系統(tǒng)ODD是一柄雙刃劍，雖可以保證智能駕駛系統(tǒng)運行的安全性，但很可能會破壞用戶的使用體驗，出現(xiàn)遇到問題就退出的情況。

5.測試驗證策略的確定：

本部分主要結(jié)合前文的驗證策略，將發(fā)現(xiàn)的問題進行測試驗證，不同的危害場景需要通過何種驗證手段實現(xiàn)，測試的時長、方式、計劃等等，并評估其結(jié)果是否達到預(yù)期目標。

6.已知危害場景驗證：

這里涉及的測試手段主要包含仿真和實車兩大部分。仿真測試方面，可通過視頻注入、視頻暗箱的方式對于攝像頭進行傳感器的單獨測試；毫米波雷達可通過回波模擬器的方式模擬障礙物目標進行仿真。不過，由于少有測試企業(yè)能對仿真和物理測試的有效性進行量化評估，部分廠商對于仿真驗證的信賴度仍有疑慮。實車方面，可包括在道路上尋找特殊場景進行測試；或者對所需場景在場地中進行物理復(fù)現(xiàn)來進行測試。

7.未知危害場景驗證：

這一部分主要依賴于更廣闊的長期測試來完成，通過近乎無限的里程數(shù)驗證，發(fā)掘極小概率發(fā)生的極端場景。

8.發(fā)布后的運營與維護。

發(fā)展與問題

預(yù)期功能安全無疑將成為未來備受關(guān)注的話題，但其實施中的諸多問題也需要行業(yè)各界共同探討解決。

首先，無限的場景驗證很難依賴于完全真實的實車驗證，仿真驗證的重要性將逐漸提升，而如何量化評價仿真測試有效性，尤其是感知部分，將成為行業(yè)的痛點之一。其次，預(yù)期功能安全分析與驗證的驗收邊界尚不明確，迭代次數(shù)、場景數(shù)量達到何種程度才可以釋放？現(xiàn)有的可接受準則多停留在理論層面的計算，尚未經(jīng)過廣泛實踐驗證可行性。最后，對于現(xiàn)有的大量非系統(tǒng)性預(yù)期功能安全場景問題，我們是否還能按照系統(tǒng)性的方法論來處理？這3個重點問題的解決，將極大推動預(yù)期功能安全的落地和實施，使智能駕駛的安全性實現(xiàn)真正跨越。

中汽數(shù)據(jù)有限公司基于多年來的駕駛場景大數(shù)據(jù)和仿真工程經(jīng)驗，在預(yù)期功能安全領(lǐng)域已有較為深厚積累。目前，中汽數(shù)據(jù)已與國內(nèi)外多家企業(yè)展開預(yù)期功能安全相關(guān)合作與研究，包括流程管理、安全開發(fā)、工程咨詢、驗證確認等，助力客戶率先在預(yù)期功能安全環(huán)節(jié)滿足合規(guī)要求，實現(xiàn)技術(shù)落地。