高度自動駕駛（HAD）車輛是在開放環(huán)境下運行的復(fù)雜系統(tǒng)。當(dāng)發(fā)生功能不足時，環(huán)境的復(fù)雜性和開放性可能會導(dǎo)致不安全和不確定行為。對這些限制和不足進(jìn)行建模需要考慮所有可能的情況和影響HAD車輛性能的因素。

國際標(biāo)準(zhǔn)化組織（ISO）公布了可公開獲得的規(guī)范（PAS）， ISO/PAS 21448道路車輛安全預(yù)期功能安全指南（SOTIF）。SOTIF指南的目標(biāo)是確定可能導(dǎo)致潛在危險行為的功能不足引起的性能限制和觸發(fā)條件。

無人駕駛汽車的性能評估是一項復(fù)雜的任務(wù)，它取決于許多影響因素。隨著時代的發(fā)展，對所有影響因素的分析變得具有挑戰(zhàn)性，甚至是不可行的。因為影響因素的數(shù)量是無限的，它們的狀態(tài)和它們的組合是呈爆炸式增長。從SOTIF的角度來看，這種情況會引起完整性問題。

在本報告中，我們將討論在強(qiáng)調(diào)完整性的情況下，適用于解決基于模型的系統(tǒng)分析功能不足的方法。我們還簡要討論了不完備性的來源。

01  介紹

高度自動駕駛（HAD）車輛是在開放環(huán)境下運行的復(fù)雜系統(tǒng)。由于感知和理解操作環(huán)境的局限性和不足以及復(fù)雜性和開放性可能導(dǎo)致不安全和不確定的行為。對這些限制和不足進(jìn)行建模需要考慮所有可能的情況和影響HAD車輛性能的因素。

國際標(biāo)準(zhǔn)化組織（ISO）公布了可公開獲得的規(guī)范（PAS）， ISO/PAS 21448道路車輛安全預(yù)期功能安全指南（SOTIF）。SOTIF指南的目標(biāo)是，確定可能導(dǎo)致潛在危險行為的功能不足引起的性能限制和觸發(fā)條件。具體而言，SOTIF應(yīng)用于預(yù)期功能，其中適當(dāng)?shù)膽B(tài)勢感知對安全至關(guān)重要，態(tài)勢感知來自復(fù)雜的傳感器和處理算法。

在考慮性能不足、或固有的不確定性的情況下，從SOTIF的角度對HAD車輛的性能進(jìn)行評估并不是一項簡單的任務(wù)。因為基于一組基本的安全要求或關(guān)鍵性能指標(biāo)（KPIs）的特征是不可能的。許多影響因素影響著這類系統(tǒng)的性能。這些影響可能源于傳感器固有的性能限制或規(guī)范不足。這也可能取決于觸發(fā)條件的存在。例如，基于激光雷達(dá)的感知系統(tǒng)的功能性能可能取決于探測、反射、天氣和道路狀況的空間分布。

對系統(tǒng)的依賴關(guān)系和影響因素進(jìn)行建模，以評估性能限制，從而評估相關(guān)的不確定性，這對于SOTIF論證非常重要。這樣的模型可以在開發(fā)過程中對系統(tǒng)的功能性能提供有價值的見解。ISO/PAS 21448根據(jù)情景因素提供了這些依賴關(guān)系的列表，但沒有提供對這些情景因素進(jìn)行建模的具體步驟。然而，如前所述，這種評估（HAD車輛）需要對許多影響因素進(jìn)行表征。SOTIF提供了覆蓋影響因素搜索空間的方法，包括多重分析技術(shù)，但沒有對其窮盡性進(jìn)行任何論證。當(dāng)使用基于模型的系統(tǒng)分析技術(shù)評估功能不足時，這種爭論導(dǎo)致了完整性問題?；谀Ｐ偷墓δ懿蛔阍u估中的不完整性可能源于系統(tǒng)的復(fù)雜性、復(fù)雜的組件交互、分析中的抽象以及它們部署的開放環(huán)境。因此，完備性的合理論證是基于模型的系統(tǒng)功能不足分析的一個重要方面。

我們打算在這份報告中討論以下兩個方面：

· 針對功能不足的不同MBSA技術(shù)；

· 技術(shù)的完備性。

本報告的其余部分如下。第二章節(jié)介紹了使用的術(shù)語。第三章節(jié)簡要介紹了ISO PAS 21448活動。第四章節(jié)提供了用于解決功能不足建模的基于模型的系統(tǒng)分析技術(shù)。在第五章節(jié)中，討論了完整性問題。最后，在第六章節(jié)中我們討論了結(jié)論。

02  術(shù)語

在下文中，我們提供了本報告中使用的術(shù)語。下面列出的所有術(shù)語都取自ISO PAS 21448，而選擇性、認(rèn)識論和本體論的不確定性定義則取自Gansch等人的著作。

· 功能不足：規(guī)范的不足或性能限制；

· 規(guī)范不全：規(guī)范可能不完整，與一個或多個觸發(fā)條件一起導(dǎo)致危險行為；

· 性能限制：在一個或多個觸發(fā)條件下導(dǎo)致危險行為的技術(shù)能力的限制；

· 觸發(fā)條件：作為導(dǎo)致危險行為的后續(xù)系統(tǒng)反應(yīng)的發(fā)起者的場景的特定條件；

· SOTIF：不存在因預(yù)期功能或其實施的功能不足而導(dǎo)致的不合理風(fēng)險；

· 危害：由系統(tǒng)的危險行為引起的潛在危害源；

· 偶然的不確定性：偶然的不確定性可以看作是系統(tǒng)模型所表示的過程的隨機(jī)性；

· 認(rèn)知不確定性：認(rèn)知不確定性與缺乏關(guān)于系統(tǒng)模型的知識和物理系統(tǒng)對模型的不精確編碼有關(guān)；

· 本體論的不確定性：本體論的不確定性可以定義為在系統(tǒng)的一個相關(guān)方面的模型中完全無知的情況。

03  ISO PAS 21448

ISO PAS 21448將用例的相關(guān)場景分為四個區(qū)域（圖1）。這種分類的目的是提供一個概念抽象，可以定義SOTIF過程的總體目標(biāo)（減少未知和不安全的場景）。在SOTIF下開展的活動的目的是盡可能增加領(lǐng)域1。適用SOTIF的任何用例都可以由已知和未知的場景組成。通過場景發(fā)現(xiàn)和用例的識別，可以減少未知和不安全的場景。如果存在相對較大的區(qū)域2和3，則可以認(rèn)為存在不合理的風(fēng)險。SOTIF過程在區(qū)域1、區(qū)域2和區(qū)域3以及相關(guān)場景方面的目標(biāo)是:ISO PAS 21448用三個步驟定義了核心活動。

圖1:由ISO 21448活動產(chǎn)生的場景類別的演變

? 區(qū)域1：為了提高安全功能，最大化該區(qū)域。這指的是場景發(fā)現(xiàn)和識別；

? 區(qū)域2：為了功能安全，該區(qū)域應(yīng)最小化到可接受的最小級別。此外，通過改進(jìn)功能，可以將危險場景轉(zhuǎn)移到區(qū)域1；

? 區(qū)域3：為了最小化這個區(qū)域，需要付出相當(dāng)大的努力來發(fā)現(xiàn)未知的危險場景。SOTIF指的是用于此目的的驗證活動；

? 區(qū)域4:盡管區(qū)域4沒有危險，但在對區(qū)域2和3進(jìn)行最小化時，區(qū)域4的一些情況將被識別和發(fā)現(xiàn)。

SOTIF提供了一個活動的流程圖，這些活動反過來又可以提供SOTIF的改進(jìn)（部分顯示在圖2中）?；顒拥拇笾路诸惾缦拢?

? 通過分析評估；

? 評估已知的危險情景；

? 評估未知危險情景。

圖2：ISO 21448活動的部分流程圖 只顯示了識別階段

由于本報告旨在討論功能不足的完整性問題，因此只詳細(xì)討論了第一部分。該過程從功能定義、規(guī)范和設(shè)計開始。

然后對性能限制可能存在的危害行為進(jìn)行識別，并對其風(fēng)險進(jìn)行評估。如果風(fēng)險可能造成不可接受的傷害，則進(jìn)行功能不足和觸發(fā)條件的識別（例如，導(dǎo)致障礙物漏檢的環(huán)境條件或駕駛員誤操作）。第一步識別不考慮危險行為的原因，而功能不足和觸發(fā)條件的識別詳細(xì)討論了危險行為的原因。

功能不足、性能限制和觸發(fā)條件的識別可以定量地或定性地進(jìn)行。在這方面，該標(biāo)準(zhǔn)指的是演繹和歸納方法，包括故障樹分析（FTAs）、系統(tǒng)理論過程分析（STPA）和故障模式和影響分析。此外，ISO PAS 21448還提供了一個表（表1）作為識別和評估功能不足、性能限制和觸發(fā)條件的方法。

表1：潛在功能不足及觸發(fā)條件分析

此外，ISO PAS 21448將潛在功能不足的識別分為以下幾個部分：

算法相關(guān)：分析可以考慮以下類別：

- 環(huán)境及位置；

- 道路基礎(chǔ)設(shè)施；

- 城鄉(xiāng)基礎(chǔ)設(shè)施；

- 公路基礎(chǔ)設(shè)施；

- 駕駛員或用戶行為（包括合理可預(yù)見的濫用）；

- 其他司機(jī)或道路使用者的預(yù)期行為；

- 駕駛場景（例如建筑工地、意外、設(shè)有緊急通道的交通擠塞、車輛逆行）；

- 算法限制（例如無法處理可能的情況，或不確定的行為）。

傳感器與執(zhí)行器相關(guān)：分析可考慮以下幾類：

- 天氣情況；

- 機(jī)械干擾（例如，由于傳感器在車輛上的位置而產(chǎn)生的振動導(dǎo)致傳感器輸出噪聲）；

- 傳感器上的污垢；

- 電磁干擾；

- 來自其他車輛或其他來源（例如雷達(dá)或激光雷達(dá)）的干擾；

- 聲音干擾；

- 眩光；

- 反射質(zhì)量差；

- 準(zhǔn)確性；

- 范圍；

- 反應(yīng)時間；

- 耐用性；

- 授權(quán)能力（適用于執(zhí)行機(jī)構(gòu)）。

安全性分析方法（表1）用于識別和評估功能不足、觸發(fā)條件及其依賴關(guān)系。這些方法還可以評估和分析ODD、情景和環(huán)境影響。然而，正如本節(jié)前面所討論的，這些活動的目標(biāo)是最大化區(qū)域1（圖1）。這需要發(fā)現(xiàn)和識別所有可能導(dǎo)致危險行為的依賴關(guān)系、觸發(fā)條件、功能不足和性能限制。由于系統(tǒng)模型是真實世界的近似值，因此提供一個完整的分析，其中每個危險行為及其導(dǎo)致的識別和它們的依賴關(guān)系建模是不可行的。在接下來的章節(jié)中，將討論針對功能不足的不同基于模型的系統(tǒng)分析方法。這方面的完整性問題緊隨其后。

04  基于模型的系統(tǒng)功能不足分析

故障樹分析

故障樹分析（FTA）是一種由上往下的分析方法。它基于由事件表示和邏輯操作（或門和與門）組成的標(biāo)準(zhǔn)化符號。FTA從一個通常表示失效的不期望發(fā)生的頂事件開始。該事件隨后被推斷，直到無法做進(jìn)一步推斷為止。這些無法被進(jìn)一步推斷的事件被稱為基本事件。通過實例化基本事件（圖3），可以得到不期望發(fā)生的事件的圖形化表示。FTA被認(rèn)為是一種組件技術(shù)（可以擴(kuò)展到系統(tǒng)）。由于上一節(jié)中討論的依賴關(guān)系和功能不足更為復(fù)雜，因此使用或門和與門對它們進(jìn)行定義可能無法提供完整的交互畫面。定性分析包括尋找最小路徑集、最小割集和共因失效。通常用確定性方法和蒙特卡羅方法求最小割集。在已知基本事件的結(jié)構(gòu)表示和發(fā)生率或故障持續(xù)時間的情況下，可以進(jìn)行定量分析。定量分析的結(jié)果就是頂事件發(fā)生的概率。

圖3：故障樹分析示例

失效模式及影響分析

失效模式與影響分析（Failure Mode and Effect Analysis, FMEA）是一種自下而上的可靠性工具。在開發(fā)過程中，F(xiàn)MEA定義和識別系統(tǒng)已知的和潛在的失效模式，并幫助減少它們。該工具還確定已識別的失效模式的發(fā)生率和嚴(yán)重程度。然后根據(jù)失效模式的發(fā)生、可控性和嚴(yán)重程度計算風(fēng)險優(yōu)先級數(shù)（RPN），從而對失效模式進(jìn)行優(yōu)先排序（表2）。SOTIF提供了一種改進(jìn)的FMEA形式，它考慮的是危害行為而不是失效模式。

表2：用于SOTIF分析的FMEA裁剪矩陣

貝葉斯網(wǎng)絡(luò)

概率圖模型（PGMs）和貝葉斯網(wǎng)絡(luò)（BNs）是可靠性研究中常用的工具。BN是一個由節(jié)點和邊組成的有向無環(huán)圖（DAG）。一個節(jié)點表示一個隨機(jī)變量(X1 , . . . , Xn )，而邊則從父節(jié)點(pa)向子節(jié)點(ch)運行。這種節(jié)點和邊的組合代表了BN的結(jié)構(gòu)。兩個節(jié)點之間的依賴關(guān)系使用條件概率分布Pr(ch | pa)建模。數(shù)學(xué)上，BN可以寫成如下：

BN對于系統(tǒng)的不確定性建模和概率推理是有效的。更具體地說，它對系統(tǒng)模型的選擇性不確定性進(jìn)行建模。圖3所示FTA的等效BN如圖4所示。

圖4：故障樹的貝葉斯網(wǎng)絡(luò)示例

BN利用模型中局部條件的依賴關(guān)系，進(jìn)行不確定性分析，對影響因素進(jìn)行預(yù)測、分類和因果推理。它還假設(shè)了兩個完備性條件：

? 所有概率或概率分布都都以可理解的工程精度為已知；

? 描述系統(tǒng)組件可靠性的每個隨機(jī)變量都是獨立的，或者它們的相關(guān)性是精確已知的。

有人認(rèn)為，這兩個條件都很少得到滿足。以下小節(jié)將討論基于證據(jù)理論的兩個網(wǎng)絡(luò)。

證據(jù)網(wǎng)絡(luò)

證據(jù)網(wǎng)絡(luò)也是有向無環(huán)圖（DAGs），它將不確定性表示為隨機(jī)性（aleatory）和知識缺乏（epistemic）。它們采用證據(jù)理論而不是概率論。它們用節(jié)點來表示隨機(jī)變量，用弧來定義節(jié)點之間的直接依賴關(guān)系，用條件置信度來量化依賴性。當(dāng)一個節(jié)點是根時，定義一個先驗的置信度表。Simon等人使用BN推理算法進(jìn)行EN推理。通過提供置信度和合理性度量，僅對葉節(jié)點進(jìn)行了區(qū)分（圖5）。虛線箭頭表示這些連接不存在任何影響。

圖5：證據(jù)網(wǎng)絡(luò)示例

擴(kuò)展性證據(jù)網(wǎng)絡(luò)

擴(kuò)展證據(jù)網(wǎng)絡(luò)（EENs）是有向無環(huán)圖（DAGs）。它們將不確定性表示為隨機(jī)性（偶然性）、缺乏知識（認(rèn)識性）和完全無知狀態(tài)（本體論）。它們用節(jié)點來表示隨機(jī)變量，用弧來定義節(jié)點之間的直接依賴關(guān)系，用條件置信度來量化依賴關(guān)系。當(dāng)一個節(jié)點是根時，定義一個先驗的置信度表。葉節(jié)點表示網(wǎng)絡(luò)的查詢。Adee等人使用BN推理算法進(jìn)行EN推理。此外，葉節(jié)點是不同的，因為提供了置信度和多種合理性度量（圖6）。

圖6：擴(kuò)展證據(jù)網(wǎng)絡(luò)示例

05  完備性問題

在基于模型的系統(tǒng)分析中，功能不足的最重要的完整性問題之一與因果因素有關(guān)；所有能夠影響用例的因素都被考慮在內(nèi)了。這種擔(dān)憂可以與以下兩個假設(shè)相關(guān)：

? 模型是開放上下文的一個很好的近似；

? 模型覆蓋了罕見事件。

可能發(fā)生的情況是，并不是所有的影響因素、觸發(fā)條件和功能不足都編碼在模型中。此外，在定量分析的情況下，分配的概率并不能代表現(xiàn)象的真實相對頻率。

罕見事件發(fā)生現(xiàn)象是安全工程中一個眾所周知的問題，它代表了以非常低的頻率發(fā)生的重要現(xiàn)象的問題，例如，在沙漠降雨中可以被認(rèn)為是罕見事件，并且對不同感知系統(tǒng)的影響可能無法完全量化（至少在特定的用例中不是這樣）。從SOTIF的角度來看，這些狀態(tài)也可能對安全至關(guān)重要。雖然，模擬可以提供幫助，但它們通常會挑戰(zhàn)現(xiàn)實世界的真實表現(xiàn)。

從表示的角度來看，EN和EEN通過使用概率區(qū)間以及部分和完全無知的狀態(tài)來編碼這些假設(shè)。然而，發(fā)現(xiàn)新的因素，特別是罕見的事件是一個開放的研究課題。安全工程完全依賴于專家知識來識別新因素，然而，對于部署在開放環(huán)境中的自動駕駛和其他復(fù)雜系統(tǒng)來說，這種策略被認(rèn)為是不可行的。我們相信，隨著收集的數(shù)據(jù)量的增加，混合（數(shù)據(jù)和專家）方法是一個有前途的方向。

不同組件的相互作用可能導(dǎo)致緊急行為。同樣，部署這些系統(tǒng)的環(huán)境的開放式上下文性質(zhì)放大了這個問題。例如，需要詳細(xì)了解大雨如何影響不同的感知傳感器。當(dāng)考慮多種因素（例如大雨和遮擋）時，問題會變得更糟。BN及其后續(xù)擴(kuò)展（EN和EEN）對該問題進(jìn)行了建模，但需要詳細(xì)的知識和廣泛的數(shù)據(jù)庫才能提供可靠的結(jié)果。

模型是根據(jù)現(xiàn)實世界的某種抽象來定義的。通過不同的抽象，我們可能會得到不同的結(jié)果，例如，一個更低、更具體的雨的抽象將是離散的水滴大小和每小時降雨量的毫米數(shù)的值，進(jìn)一步更低的抽象可能會呈現(xiàn)連續(xù)分布。抽象極大地改變了定量分析中的概率值。解決這一問題的一個有希望的方向是使用完善的ODD分類法對抽象進(jìn)行基準(zhǔn)分析。在這方面，也可以使用動態(tài)離散化方法。

在定量分析技術(shù)中，訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集被不恰當(dāng)?shù)胤蛛x。一般來說，訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集之間存在高度相關(guān)性，并且通常是同時記錄的。這會導(dǎo)致定量分析中的過度擬合，可能無法代表真實的情況。

04  結(jié)論

在本報告中，我們討論了基于模型的系統(tǒng)分析技術(shù)，同時考慮了方法的完整性。我們提供了ISO PAS 21448活動的摘要，以提供對功能不足的深入理解。然后，我們簡要概述了用于功能不足模型的基于模型的系統(tǒng)分析技術(shù)，并討論了不完備性的來源。

功能不足的識別和發(fā)現(xiàn)是預(yù)期功能安全的核心構(gòu)建模塊。隨著HAD車輛實現(xiàn)更高水平的自動化，分析變得更加重要。然而，對這種分析的完整性提供論證是一項具有挑戰(zhàn)性的任務(wù)。我們發(fā)現(xiàn)包括混合機(jī)制（即半自動分析技術(shù)），在內(nèi)的廣泛研究很有前途。特別是，自動識別相關(guān)狀態(tài)空間以進(jìn)一步發(fā)現(xiàn)功能不足可能會對安全專家有所幫助。然而，必須特別注意確保此類方法的可追溯性。我們還認(rèn)為，這個過程是迭代的，應(yīng)該在系統(tǒng)運行期間使用。