引言：當(dāng)前，世界汽車產(chǎn)業(yè)正在發(fā)生一場巨變，汽車“新四化”，即電動(dòng)化、智能化、網(wǎng)聯(lián)化和共享化正在成為汽車產(chǎn)業(yè)新的發(fā)展趨勢，給百年歷史的傳統(tǒng)汽車工業(yè)帶來了一場革命。預(yù)期功能安全便是在這樣的大背景下出現(xiàn)，也是智能汽車自動(dòng)駕駛從L2到L3跨越的必然需求。傳統(tǒng)汽車的安全遵循ISO26262功能安全標(biāo)準(zhǔn)，但是無人駕駛汽車的安全超越了功能安全，包括了其他的安全概念，比如預(yù)期功能安全(SOTIF)，行為安全等。目前，各界組織和政府都在積極定義無人駕駛汽車的安全標(biāo)準(zhǔn)。（以下內(nèi)容轉(zhuǎn)載自薄說安全）

1背  景

2018年3月，一輛Uber無人駕駛測試車在美國釀成致死事故，一度讓整個(gè)行業(yè)陷入停滯 ，事后結(jié)案報(bào)告分析了主要原因：首先，Uber對周圍環(huán)境感知的模型假定只會出現(xiàn)自行車、行人、車輛三類物體，且這三類物體只會沿著車道線行進(jìn)，但現(xiàn)實(shí)情況是行人推著自行車橫穿馬路，按照模型預(yù)設(shè)，Uber在任何情況下都不會對上述場景進(jìn)行分類識別。其次，車輛駕駛員對Uber并沒有及時(shí)接管，在整個(gè)系統(tǒng)設(shè)計(jì)中沒有考慮到人為因素。從這個(gè)事件可以看到，自動(dòng)駕駛安全設(shè)計(jì)，除了去滿足已有規(guī)格書Spec的要求，更需要去驗(yàn)證Spec的充分性。

Road vehicles - safety of the intended functionality SOTIF（道路車輛預(yù)期功能安全）標(biāo)準(zhǔn)在2019年1月作為公開技術(shù)規(guī)范發(fā)布（ISO/PAS 21448），正式版預(yù)計(jì)將于2022年發(fā)布，目前PAS版本共有29頁+23頁附件，重點(diǎn)關(guān)注SAE自動(dòng)化level 1和level 2駕駛輔助功能。這個(gè)規(guī)范用于降低由于系統(tǒng)的預(yù)期功能不足（設(shè)計(jì)不足或性能局限）或可預(yù)見的人員誤操作導(dǎo)致的不可接受風(fēng)險(xiǎn)，這也是預(yù)期功能安全概念的定義，適用的電子系統(tǒng)為安全功能受外部環(huán)境影響的功能，來自于傳感器和處理算法，典型的有AEB自動(dòng)緊急制動(dòng)系統(tǒng)、車道保持系統(tǒng)等高級駕駛輔助系統(tǒng)。

2預(yù)期功能安全概念

功能安全在于解決系統(tǒng)內(nèi)的隨機(jī)失效和系統(tǒng)性失效引起的危害，造成安全事故，包括硬件故障、軟件故障，而系統(tǒng)功能正常時(shí)出現(xiàn)的危害不在功能安全考慮的范圍內(nèi)，由于使用傳感器或算法的性能限制，駕駛?cè)藛T對系統(tǒng)的誤操作，SOTIF規(guī)范的推出旨在解決這一類問題。下圖來自中國汽車標(biāo)準(zhǔn)化技術(shù)委員會在2020年發(fā)布的《預(yù)期功能安全國際標(biāo)準(zhǔn)ISO21448及中國實(shí)踐白皮書》，用于說明功能安全與預(yù)期功能安全概念的區(qū)別。

3SOTIF關(guān)注領(lǐng)域

一、系統(tǒng)的運(yùn)行設(shè)計(jì)域ODD（或稱為運(yùn)行場景）超出了系統(tǒng)和部件性能限制，比如一個(gè)自動(dòng)巡航系統(tǒng)在其ODD范圍內(nèi)（高速公路、天氣良好）運(yùn)行，遇到了有低照明條件的情況，超出了前置攝像頭的性能限制；

二、人為因素對系統(tǒng)的影響，特別是與人機(jī)交互界面的接口。如駕駛員沒有將手放在方向盤上（在需要時(shí)）；駕駛員對系統(tǒng)能力和限制的理解，以及駕駛員的責(zé)任；以及駕駛員理解和應(yīng)對警告和警報(bào)的能力。

4SOTIF四象限概念

預(yù)期功能安全提出了四象限圖的概念，用于確定系統(tǒng)所在的各類場景，這個(gè)概念類似于IEC61508中安全失效率λs、危險(xiǎn)失效率λd的概念，不過SOTIF所關(guān)注的外部觸發(fā)事件造成的危害，不是系統(tǒng)內(nèi)失效引起的危害。

區(qū)域1是已知、安全的場景（Known-Safe），區(qū)域4是未知、安全的場景（Unkown-Safe），自動(dòng)駕駛汽車可以運(yùn)行在這兩個(gè)場景中。針對于區(qū)域2，已知、不安全的場景（Known-Unsafe），需要在系統(tǒng)設(shè)計(jì)時(shí)，提前考慮。而針對于區(qū)域3，是未知、不安全（Unknown-Unsafe），可以理解為長尾的場景。有兩種思路來應(yīng)對區(qū)域2和區(qū)域3的安全問題，一是保守的方法，即通過限定自動(dòng)駕駛運(yùn)行設(shè)計(jì)域ODD，讓自動(dòng)駕駛系統(tǒng)只能在已知和安全的場景才能運(yùn)行，但這樣治標(biāo)不治本，更不利于自動(dòng)駕駛的規(guī)模商業(yè)化落地。另外一種思路是努力將區(qū)域3的范圍縮小，但是，由于未知的場景是無窮無盡的，無論如何縮小，永遠(yuǎn)都存在。進(jìn)一步來說，區(qū)域3理論上可以看作“熵增”運(yùn)動(dòng)，要努力減熵，需要保持開放，同時(shí)要有外力做功，減少混亂程度，脫離平衡。映射到自動(dòng)駕駛，一是讓系統(tǒng)本身通過數(shù)據(jù)閉環(huán)，持續(xù)地學(xué)習(xí)和升級；二是通過V2X，增加視距，增強(qiáng)對未知場景的認(rèn)知程度。

5HARA VS SOTIF風(fēng)險(xiǎn)評估

實(shí)際項(xiàng)目實(shí)施中，沒有必要分別去做HARA和SOTIF風(fēng)險(xiǎn)分析，整車級危害所引出的安全目標(biāo)可以基于同一個(gè)過程來做，但在SOTIF會識別出可預(yù)見的人員誤操作造成的頂層危害，以車道保持系統(tǒng)（實(shí)現(xiàn)車輛的居中和變道行駛）為例，在功能安全中，整車級危害有：

1、車道保持系統(tǒng)啟動(dòng)過程中發(fā)生車道偏離；

2、在目標(biāo)車道上由于障礙物或車道被占變道；

3、車輛未完成變道或跨越到兩車道；

4、系統(tǒng)對更高優(yōu)先級的安全系統(tǒng)造成干擾（爭奪控制權(quán)）

而從SOTIF角度，考慮到可預(yù)見的司機(jī)誤操作，還存在的危害有司機(jī)與系統(tǒng)之間控制權(quán)的轉(zhuǎn)換不當(dāng)，造成的事故后果可能是撞行人、與迎面車輛相撞、撞擊障礙物、追尾車輛、側(cè)面相撞，判斷風(fēng)險(xiǎn)等級都是從可控性、嚴(yán)重性、暴露性三個(gè)方面去評價(jià)，以確定整車級的安全目標(biāo)。 

6預(yù)期功能安全的啟發(fā)

春節(jié)前上海發(fā)生的地鐵夾人導(dǎo)致傷亡的事件，事故造成的影響很大，引發(fā)了社會公眾對于無人駕駛系統(tǒng)的關(guān)注，現(xiàn)在還未發(fā)布最終的事故報(bào)告，根據(jù)現(xiàn)場的視頻和各方的分析，與現(xiàn)場站務(wù)人員在處理站臺門夾人故障情況下操作有關(guān)，從SOTIF角度，這也是一個(gè)系統(tǒng)故障（屏蔽門夾人）疊加人員誤操作造成了更嚴(yán)重的事故。

從系統(tǒng)安全角度我們會做操作與維護(hù)造成危害的安全分析，但從功能安全的角度，多數(shù)會把人員的失效排除在系統(tǒng)設(shè)計(jì)范圍外，從而通過對人員的管理規(guī)定進(jìn)行落實(shí)。而從各行業(yè)的歷次事故報(bào)告來看，在緊急狀況下，人往往是靠不住的，比如737 MAX事故中自動(dòng)駕駛系統(tǒng)與駕駛員控制權(quán)的爭奪，723事故中高鐵信號系統(tǒng)故障后調(diào)度員未對司機(jī)進(jìn)行及時(shí)提醒。從預(yù)期功能安全的角度，對人員誤操作開展風(fēng)險(xiǎn)分析，并制定相應(yīng)的驗(yàn)證確認(rèn)策略，就有很大的必要性。按照預(yù)期功能安全對人員誤操作進(jìn)行安全分析，需要考慮的情況有：

1、操作人員對系統(tǒng)信息的識別，對系統(tǒng)給出信息不理解和理解錯(cuò)誤（信息發(fā)生混淆）的情況；

2、操作人員錯(cuò)誤的判斷，無意對系統(tǒng)的停用、錯(cuò)誤的啟動(dòng)和解除系統(tǒng)；

3、操作人員錯(cuò)誤的動(dòng)作，對其它系統(tǒng)錯(cuò)誤操作導(dǎo)致本系統(tǒng)無意地停用；

4、人機(jī)界面接口的控制和響應(yīng)操作錯(cuò)誤。

預(yù)期功能安全的觸發(fā)事件triggering event，它指的是車輛駕駛場景的某個(gè)特定條件，啟動(dòng)了系統(tǒng)的特定反應(yīng)，導(dǎo)致危害事件發(fā)生。在ISO21448中舉了一個(gè)例子：車輛在高速公路上行駛過程中，車輛的自動(dòng)緊急制動(dòng)系統(tǒng)AEB誤認(rèn)為路標(biāo)是前方的一輛車，從而以X g的減速度減速Y秒。這個(gè)示例中，觸發(fā)事件是AEB的感知子系統(tǒng)對前方物體的識別發(fā)生了誤判，危害事件是非預(yù)期的減速，可能導(dǎo)致車輛的追尾事故。

ISO21448定義的第一類觸發(fā)事件是超過系統(tǒng)和部件性能限制的事件，需要針對系統(tǒng)設(shè)計(jì)所使用的技術(shù)，以車道保持系統(tǒng)使用的camara和radar為例，列舉幾個(gè)典型的SOTIF觸發(fā)事件。

例1：環(huán)境中的干擾因素如道路的光線反射，會影響相機(jī)檢測車道標(biāo)線的能力，下圖中對光線反射亮斑的識別

例2：相機(jī)對路面環(huán)境條件的檢測可能造成的誤判，下圖中車輪行駛印跡與車道線的混淆

以上這些示例都屬于感知組件中在物理環(huán)境中的局限性導(dǎo)致的性能下降，在系統(tǒng)的功能安全分析過程中，不會覆蓋此類性能局限下的影響分析，這類外部環(huán)境對系統(tǒng)傳感器、控制器、執(zhí)行器的影響是SOTIF的范圍。

第二類觸發(fā)事件是指潛在可能的非預(yù)期的人為誤操作，第一類觸發(fā)事件中，有人機(jī)界面的限制，人機(jī)界面屬于系統(tǒng)內(nèi)的一部分，也存在潛在的性能不足，還有的觸發(fā)事件是人為潛在的可預(yù)見的誤用。

列舉幾個(gè)典型的SOTIF第二類觸發(fā)事件：

例1：駕駛員難以接觸系統(tǒng)控制界面（如果系統(tǒng)控制位于子菜單中或控制界面的按鈕位置設(shè)計(jì)較遠(yuǎn)）。

例2：車道保持系統(tǒng)在控制過渡期結(jié)束時(shí)將控制權(quán)還給駕駛員，未考慮司機(jī)的注意力狀態(tài)。

例3：駕駛員將其他車輛系統(tǒng)反饋的信息，如其它系統(tǒng)發(fā)出的警告，誤認(rèn)為是自動(dòng)車道保持系統(tǒng)的警告。駕駛員可能會操作車道保持系統(tǒng)的控制功能，而不是操作其他系統(tǒng)的控制功能。

例4：駕駛員在系統(tǒng)的ODD范圍外啟動(dòng)自動(dòng)車道保持系統(tǒng)，不滿足進(jìn)入系統(tǒng)功能的條件。

而在ISO21448附件E的描述中，將人為操作分為三個(gè)階段：1、對信息的獲??；2、對信息的判斷；3、對系統(tǒng)的操作，于是我們可以把人類比作一個(gè)系統(tǒng)，按照I-P-O的方式去分析三個(gè)環(huán)節(jié)中存在的各種誤操作因素。

最后，什么是預(yù)期功能安全最終的衡量標(biāo)準(zhǔn)，可以考慮的方法有：1、與現(xiàn)有的交通數(shù)據(jù)（如碰撞事故統(tǒng)計(jì)、數(shù)據(jù)分析）比較；2、現(xiàn)行行業(yè)中類似功能預(yù)先存在的目標(biāo)；3、與人類駕駛員行為的對比；4、其它的風(fēng)險(xiǎn)接受準(zhǔn)則（GAMAB、ALARP等）。

以上四種風(fēng)險(xiǎn)接受方法可以結(jié)合使用，先將系統(tǒng)性能與交通數(shù)據(jù)或人類駕駛行為進(jìn)行比較，取決于數(shù)據(jù)是否可用，如果系統(tǒng)允許司機(jī)接管，則評估司機(jī)安全接管的概率，不斷驗(yàn)證和迭代系統(tǒng)開發(fā)，直到系統(tǒng)滿足選定的指標(biāo)。