1、預(yù)期功能安全來源與現(xiàn)狀

傳統(tǒng)電子電氣領(lǐng)域問題，可通過功能安全解決。但隨著自動駕駛技術(shù)的發(fā)展，加入了包括算法、圖像識別等內(nèi)容，僅保證自身無故障已經(jīng)不足以滿足自動駕駛對于安全的需求。

由于自動駕駛系統(tǒng)本身的高度復(fù)雜性，導(dǎo)致了我們設(shè)計的功能本身就有局限性或缺陷，從而進一步導(dǎo)致安全事故的發(fā)生，預(yù)期功能安全試圖解決的就是這些問題。預(yù)期功能安全就是在這樣的背景下提出了。

本文將重點講解如何通過SOTIF標(biāo)準(zhǔn)更好的解決智能駕駛開發(fā)中功能不足的問題和設(shè)計局限性導(dǎo)致的風(fēng)險，如何驗證和確認(rèn)當(dāng)前的危害是合理可接受的，如何正確采用標(biāo)準(zhǔn)要求的技術(shù)方法（FMEA/CTA/STPA）。同時本文將依托NOA功能實例，重點講解如何借助一定的工具鏈開展SOTIF標(biāo)準(zhǔn)的安全分析過程。

在以NOA為例進行預(yù)期功能安全分析的過程中，需要考慮其主要原因是在設(shè)計和開發(fā)期間對系統(tǒng)功能的定義不能完全涵蓋目標(biāo)市場的使用需求。其中，對目標(biāo)場景的考慮的不全面，導(dǎo)致系統(tǒng)不能準(zhǔn)確識別環(huán)境要素；功能仲裁邏輯不合理，將導(dǎo)致系統(tǒng)決策錯誤；執(zhí)行器響應(yīng)不充分，則會導(dǎo)致運動控制偏離預(yù)期。

2、預(yù)期功能安全分析理論基礎(chǔ)

自動駕駛會受到很多因素的影響，比如路況、周圍事物和環(huán)境天氣。如何克服環(huán)境干擾，可靠地進行環(huán)境識別、駕駛決策和運動控制是確保安全駕駛的關(guān)鍵。對于NOA來講，預(yù)期功能安全要求在危害分析和風(fēng)險評估的過程中對影響安全的功能需求進行FEMA，F(xiàn)TA，HAZOP，SPTA，CTA等工具進行分析和驗證。

其中FEMA，F(xiàn)TA，HAZOP等是ISO26262功能安全分析常用的工具。此外，Hazard的分析涉及傳統(tǒng)意義上的危害分析，包括功能、HAZOP、危害行為描述、失效影響（主要是指整車層級危害）這幾個方面。

對于自動駕駛領(lǐng)域，自動駕駛汽車功能的實現(xiàn)依賴于與外部環(huán)境的交互，傳統(tǒng)基于事件鏈模型的危害識別方法無法適用于這類開放系統(tǒng)。而在預(yù)期功能安全的分析方法則更倡導(dǎo)基于控制理論的系統(tǒng)理論過程分析（SPTA）來進行自動駕駛汽車危害識別。

如下圖表示了NOA中典型的STPA 搭建駕駛員、車輛、環(huán)境交互模型。

系統(tǒng)理論過程分析（SPTA）方法主要流程是：事故→系統(tǒng)控制結(jié)構(gòu)→不安全控制行為→原因分析→安全約束。

進行STPA分析時，其分析過程包括駕駛員職責(zé)劃分（R-x），對應(yīng)的控制行為、對應(yīng)的反饋等幾個部分。其中駕駛職責(zé)主要是指決策何時剎車，何時啟動：是手動還是自動？其中涉及駐車、啟動指令，汽車物理結(jié)構(gòu)反饋（速度、剎車踏板狀態(tài)、油門踏板狀態(tài)）、外部環(huán)境反饋（位移）、視覺位移、AutoHold開關(guān)狀態(tài)。監(jiān)督自動剎車/啟動過程，出現(xiàn)故障時手動剎車，給自動駕駛系統(tǒng)發(fā)送觸發(fā)信號等幾個部分。

STPA的方法仍舊是不夠完美的，在將其直接應(yīng)用于高等級自動駕駛上時，還需要解決自動駕駛汽車事故數(shù)據(jù)記錄問題，體現(xiàn)不同功能下的車輛狀態(tài)控制結(jié)構(gòu)差異；以系統(tǒng)的方法來分析具體失效原因。

3、NOA下的SOTIF分析實例

我們知道對于以自動駕駛為基礎(chǔ)的安全能力分析主要包括從整體場景抽象，從感知端、規(guī)劃控制到?jīng)Q策執(zhí)行端的整個分析過程。對于很多設(shè)計功能來講，都需要基于已有的分析和經(jīng)驗積累，形成預(yù)期功能安全場景庫，便于識別所有觸發(fā)條件。

首先在系統(tǒng)輸入層面，需要定義設(shè)計運行范圍ODD（定義中包含特殊天氣場景、特殊交通流場景），場景抽象完成后再進行策略設(shè)計，策略設(shè)計主要是為了滿足動態(tài)駕駛?cè)蝿?wù)的設(shè)計過程，涉及利用NOP對應(yīng)的系統(tǒng)硬件架構(gòu)對周邊環(huán)境進行的感知、提取交通流下的關(guān)鍵場景、利用關(guān)鍵場景進行車身控制。

設(shè)計中包含整車層面、系統(tǒng)層面、零部件層面幾個大方面。從下至上，則包括合理可預(yù)見誤用作為觸發(fā)條件，功能不足及性能受限的說明，風(fēng)險分析。

進一步細(xì)化危害行為這一模塊分析又涉及具體的危害事件描述、危害場景重建、相關(guān)人員反映、可控度、傷害（人員）、嚴(yán)重度、是否可接受等。基于如上信息又會拆解到對于該危害場景的具體觸發(fā)條件，包括場景特征（如道路特征、交通設(shè)施特征、氣候環(huán)境特征、其他特征）、主車駕駛場景（行動、事件、目標(biāo)）、其他交通參與者行為、發(fā)生概率。

如下列舉幾個典型的預(yù)期功能安全場景識別與應(yīng)對，作為案例分析。

實例1：誤作用識別

實例2：誤觸發(fā)條件的識別

實例3：因果關(guān)系識別

4、《自動駕駛準(zhǔn)入指南》對于預(yù)期功能安全的要求

這里為什么要提自動駕駛準(zhǔn)入呢？因為對于車企來講，肯定希望自身所開發(fā)設(shè)計的功能能夠在量產(chǎn)上市前得到工信部、公安部、交通部等部門的認(rèn)可，拿到正常的牌照上市，這也算是可以正身（也就我們所說的量產(chǎn)上市準(zhǔn)入）。這樣的需求就需要在整個設(shè)計、研發(fā)及驗證期間做到設(shè)計強有力的預(yù)期功能安全管理流程，將安全文化滲透到企業(yè)的方方面面，在各個環(huán)節(jié)中進行Documentation Work，對產(chǎn)品的生命周期進行監(jiān)控。而具體涉及到其開發(fā)的車型產(chǎn)品方面，就要求參考國際、國內(nèi)標(biāo)準(zhǔn)的開發(fā)流程，在產(chǎn)品開發(fā)環(huán)節(jié)做必要的SOTIF分析。通過仿真、實車測試手段對產(chǎn)品的SOTIF能力進行驗證，在產(chǎn)品使用中仍繼續(xù)對SOTIF能力進行迭代。

預(yù)期功能安全的開發(fā)流程要求可以確保企業(yè)在設(shè)計定義、危害識別、功能不足識別、功能改進、驗證及確認(rèn)、安全發(fā)布、運行維護等方面得到最好的規(guī)范，保障車輛不存在因為前期功能設(shè)計不足可能導(dǎo)致的較大風(fēng)險。

首先預(yù)期功能安全規(guī)范和設(shè)計的要求通過相關(guān)項定義識別和評估預(yù)期功能可能造成的危害，這類危害主要涉及失效后的整車級危害以及結(jié)合場景形成的危害事件。

如上這類失效危害需要評估危害造成的風(fēng)險，制定合理的風(fēng)險可接受準(zhǔn)則。通常對于已知危害場景中的問題，即S>0且C>0的危害事件，在進行了功能修改后，若仍不能使S=0或C=0，則需適當(dāng)調(diào)整風(fēng)險可接受準(zhǔn)則（作為驗證目標(biāo)的依據(jù)），作為該危害場景下的驗收標(biāo)準(zhǔn)。接收標(biāo)準(zhǔn)涉及幾個重要的參量：

單位里程（或單位時間）內(nèi)危害行為事件的平均發(fā)生次數(shù)，該參量實際關(guān)系發(fā)生頻次，這里以α表示；危害行為事件發(fā)生的平均里程或時間間隔（即無事故里程或時長）β；發(fā)生失效的置信度水平，該參量實際關(guān)系對于失效場景的判斷是否準(zhǔn)確τ。最終我們可以定義對于當(dāng)無危害行為事件里程數(shù)達到一定值β時，具有一定置信度水平η的情況下，可認(rèn)為該系統(tǒng)在同等駕駛從場景危害事故率能達到要求的觸發(fā)頻次數(shù)α。

那么這里我們的風(fēng)險接受準(zhǔn)則條件可以以如下公式可以表示三者之間的關(guān)系：

其次，預(yù)期功能安全要求識別和評估潛在功能不足和觸發(fā)條件（含可合理預(yù)見的人員誤用），并應(yīng)用功能改進等措施減少預(yù)期功能安全相關(guān)的風(fēng)險。

這類風(fēng)險減緩措施實際是通過ODD分析、事故場景數(shù)據(jù)分析、安全分析方法來識別功能不足和導(dǎo)致危害事件的觸發(fā)條件，具體到相應(yīng)的危害場景。

此外，預(yù)期功能安全還要求定義驗證及確認(rèn)策略，并進行預(yù)期功能安全的驗證和確認(rèn)，評估已知危害場景和未知危害場景下是否符合產(chǎn)品預(yù)期功能安全發(fā)布要求，并對發(fā)布后產(chǎn)品的預(yù)期功能安全風(fēng)險進行合理管控。

最后，需要重點定義駕駛自動化系統(tǒng)預(yù)期功能安全相關(guān)零部件的接口要求，確保零部件符合對應(yīng)的預(yù)期功能安全設(shè)計開發(fā)、驗證、確認(rèn)等規(guī)定。

針對這一開發(fā)過程企業(yè)需要從哪些方面努力還能真正在預(yù)期功能安全上做到很好的開發(fā)能力呢？

鑒于目前相當(dāng)一部分車企在預(yù)期功能安全上的研發(fā)精力投入還遠(yuǎn)遠(yuǎn)不夠，因此，企業(yè)應(yīng)該首先建立并維持良好的Safty Culture，鼓勵企業(yè)內(nèi)部各部門就預(yù)期功能安全問題展開溝通和研究（包括感知、決策、執(zhí)行系統(tǒng)的元件升級設(shè)計規(guī)范和評估報告等），并根據(jù)企業(yè)自身特點，建立合理的安全異常解決機制。鼓勵OEM與供應(yīng)商在預(yù)期功能安全開發(fā)中一同制定開發(fā)接口協(xié)議DIA，明確開發(fā)要求，并在開發(fā)過程中對DIA進行多次分階段討論、打和。

同時，安全管理流程上帝的有效完善也是必不可少的。這其中就包括提供質(zhì)量管理體系的證明材料，對安全管理人員提出合理的的Competence考核辦法，以確保勝任相關(guān)工作，對Safety Plan、Safety Case和Safety Confirmation等文件中所涉及的內(nèi)容詳細(xì)記錄在案。

此外，在生產(chǎn)開發(fā)流程上，需要建立產(chǎn)品的后開發(fā)流程，包括關(guān)于產(chǎn)品的生產(chǎn)、運營、維護、使用等安全管理計劃，提供生產(chǎn)現(xiàn)場的審查報告等。

寫在最后

預(yù)期功能安全分析中的關(guān)鍵技術(shù)主要是指HARA、FTA、FMEA、HAZOP、STPA等幾個方面，這幾個方面也是與功能安全分析相重疊的部分。本文以NOA為例，在我們對設(shè)計過程中，需要參照以下步驟進行詳細(xì)分析分解。

總體來說，對于SOTIF的風(fēng)險規(guī)避或減緩手段主要包括提升系統(tǒng)能力，比如算力；增加多樣性冗余技術(shù)，例如增強感知融合能力；提升功能限制能力，例如明確設(shè)計運行范圍ODD；提升對駕駛員接管能力的探測，減少誤用情況，最終滿足SOTIF的安全要求。

審核編輯：劉清