1、預(yù)期功能安全來源與現(xiàn)狀

傳統(tǒng)電子電氣領(lǐng)域問題，可通過功能安全解決。但隨著自動(dòng)駕駛技術(shù)的發(fā)展，加入了包括算法、圖像識(shí)別等內(nèi)容，僅保證自身無故障已經(jīng)不足以滿足自動(dòng)駕駛對(duì)于安全的需求。

由于自動(dòng)駕駛系統(tǒng)本身的高度復(fù)雜性，導(dǎo)致了我們?cè)O(shè)計(jì)的功能本身就有局限性或缺陷，從而進(jìn)一步導(dǎo)致安全事故的發(fā)生，預(yù)期功能安全試圖解決的就是這些問題。預(yù)期功能安全就是在這樣的背景下提出了。

本文將重點(diǎn)講解如何通過SOTIF標(biāo)準(zhǔn)更好的解決智能駕駛開發(fā)中功能不足的問題和設(shè)計(jì)局限性導(dǎo)致的風(fēng)險(xiǎn)，如何驗(yàn)證和確認(rèn)當(dāng)前的危害是合理可接受的，如何正確采用標(biāo)準(zhǔn)要求的技術(shù)方法（FMEA/CTA/STPA）。同時(shí)本文將依托NOA功能實(shí)例，重點(diǎn)講解如何借助一定的工具鏈開展SOTIF標(biāo)準(zhǔn)的安全分析過程。

在以NOA為例進(jìn)行預(yù)期功能安全分析的過程中，需要考慮其主要原因是在設(shè)計(jì)和開發(fā)期間對(duì)系統(tǒng)功能的定義不能完全涵蓋目標(biāo)市場(chǎng)的使用需求。其中，對(duì)目標(biāo)場(chǎng)景的考慮的不全面，導(dǎo)致系統(tǒng)不能準(zhǔn)確識(shí)別環(huán)境要素；功能仲裁邏輯不合理，將導(dǎo)致系統(tǒng)決策錯(cuò)誤；執(zhí)行器響應(yīng)不充分，則會(huì)導(dǎo)致運(yùn)動(dòng)控制偏離預(yù)期。

2、預(yù)期功能安全分析理論基礎(chǔ)

自動(dòng)駕駛會(huì)受到很多因素的影響，比如路況、周圍事物和環(huán)境天氣。如何克服環(huán)境干擾，可靠地進(jìn)行環(huán)境識(shí)別、駕駛決策和運(yùn)動(dòng)控制是確保安全駕駛的關(guān)鍵。

對(duì)于NOA來講，預(yù)期功能安全要求在危害分析和風(fēng)險(xiǎn)評(píng)估的過程中對(duì)影響安全的功能需求進(jìn)行FEMA，F(xiàn)TA，HAZOP，SPTA，CTA等工具進(jìn)行分析和驗(yàn)證。

其中FEMA，F(xiàn)TA，HAZOP等是ISO26262功能安全分析常用的工具。

此外，Hazard的分析涉及傳統(tǒng)意義上的危害分析，包括功能、HAZOP、危害行為描述、失效影響（主要是指整車層級(jí)危害）這幾個(gè)方面。

對(duì)于自動(dòng)駕駛領(lǐng)域，自動(dòng)駕駛汽車功能的實(shí)現(xiàn)依賴于與外部環(huán)境的交互，傳統(tǒng)基于事件鏈模型的危害識(shí)別方法無法適用于這類開放系統(tǒng)。

而在預(yù)期功能安全的分析方法則更倡導(dǎo)基于控制理論的系統(tǒng)理論過程分析（SPTA）來進(jìn)行自動(dòng)駕駛汽車危害識(shí)別。

如下圖表示了NOA中典型的STPA 搭建駕駛員、車輛、環(huán)境交互模型。

系統(tǒng)理論過程分析（SPTA）方法主要流程是：事故→系統(tǒng)控制結(jié)構(gòu)→不安全控制行為→原因分析→安全約束。

進(jìn)行STPA分析時(shí)，其分析過程包括駕駛員職責(zé)劃分（R-x），對(duì)應(yīng)的控制行為、對(duì)應(yīng)的反饋等幾個(gè)部分。

其中駕駛職責(zé)主要是指決策何時(shí)剎車，何時(shí)啟動(dòng)：是手動(dòng)還是自動(dòng)？其中涉及駐車、啟動(dòng)指令，汽車物理結(jié)構(gòu)反饋（速度、剎車踏板狀態(tài)、油門踏板狀態(tài)）、外部環(huán)境反饋（位移）、視覺位移、AutoHold開關(guān)狀態(tài)。

監(jiān)督自動(dòng)剎車/啟動(dòng)過程，出現(xiàn)故障時(shí)手動(dòng)剎車，給自動(dòng)駕駛系統(tǒng)發(fā)送觸發(fā)信號(hào)等幾個(gè)部分。

STPA的方法仍舊是不夠完美的，在將其直接應(yīng)用于高等級(jí)自動(dòng)駕駛上時(shí)，還需要解決自動(dòng)駕駛汽車事故數(shù)據(jù)記錄問題，體現(xiàn)不同功能下的車輛狀態(tài)控制結(jié)構(gòu)差異；以系統(tǒng)的方法來分析具體失效原因。

3、NOA下的SOTIF分析實(shí)例

我們知道對(duì)于以自動(dòng)駕駛為基礎(chǔ)的安全能力分析主要包括從整體場(chǎng)景抽象，從感知端、規(guī)劃控制到?jīng)Q策執(zhí)行端的整個(gè)分析過程。對(duì)于很多設(shè)計(jì)功能來講，都需要基于已有的分析和經(jīng)驗(yàn)積累，形成預(yù)期功能安全場(chǎng)景庫，便于識(shí)別所有觸發(fā)條件。

首先在系統(tǒng)輸入層面，需要定義設(shè)計(jì)運(yùn)行范圍ODD（定義中包含特殊天氣場(chǎng)景、特殊交通流場(chǎng)景），場(chǎng)景抽象完成后再進(jìn)行策略設(shè)計(jì)，策略設(shè)計(jì)主要是為了滿足動(dòng)態(tài)駕駛?cè)蝿?wù)的設(shè)計(jì)過程，涉及利用NOP對(duì)應(yīng)的系統(tǒng)硬件架構(gòu)對(duì)周邊環(huán)境進(jìn)行的感知、提取交通流下的關(guān)鍵場(chǎng)景、利用關(guān)鍵場(chǎng)景進(jìn)行車身控制。

設(shè)計(jì)中包含整車層面、系統(tǒng)層面、零部件層面幾個(gè)大方面。從下至上，則包括合理可預(yù)見誤用作為觸發(fā)條件，功能不足及性能受限的說明，風(fēng)險(xiǎn)分析。

進(jìn)一步細(xì)化危害行為這一模塊分析又涉及具體的危害事件描述、危害場(chǎng)景重建、相關(guān)人員反映、可控度、傷害（人員）、嚴(yán)重度、是否可接受等?；谌缟闲畔⒂謺?huì)拆解到對(duì)于該危害場(chǎng)景的具體觸發(fā)條件，包括場(chǎng)景特征（如道路特征、交通設(shè)施特征、氣候環(huán)境特征、其他特征）、主車駕駛場(chǎng)景（行動(dòng)、事件、目標(biāo)）、其他交通參與者行為、發(fā)生概率。

如下列舉幾個(gè)典型的預(yù)期功能安全場(chǎng)景識(shí)別與應(yīng)對(duì)，作為案例分析。

實(shí)例1：誤作用識(shí)別

實(shí)例2：誤觸發(fā)條件的識(shí)別

實(shí)例3：因果關(guān)系識(shí)別

4、《自動(dòng)駕駛準(zhǔn)入指南》對(duì)于預(yù)期功能安全的要求

這里為什么要提自動(dòng)駕駛準(zhǔn)入呢？因?yàn)閷?duì)于車企來講，肯定希望自身所開發(fā)設(shè)計(jì)的功能能夠在量產(chǎn)上市前得到工信部、公安部、交通部等部門的認(rèn)可，拿到正常的牌照上市，這也算是可以正身（也就我們所說的量產(chǎn)上市準(zhǔn)入）。這樣的需求就需要在整個(gè)設(shè)計(jì)、研發(fā)及驗(yàn)證期間做到設(shè)計(jì)強(qiáng)有力的預(yù)期功能安全管理流程，將安全文化滲透到企業(yè)的方方面面，在各個(gè)環(huán)節(jié)中進(jìn)行Documentation Work，對(duì)產(chǎn)品的生命周期進(jìn)行監(jiān)控。

而具體涉及到其開發(fā)的車型產(chǎn)品方面，就要求參考國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)的開發(fā)流程，在產(chǎn)品開發(fā)環(huán)節(jié)做必要的SOTIF分析。通過仿真、實(shí)車測(cè)試手段對(duì)產(chǎn)品的SOTIF能力進(jìn)行驗(yàn)證，在產(chǎn)品使用中仍繼續(xù)對(duì)SOTIF能力進(jìn)行迭代。

預(yù)期功能安全的開發(fā)流程要求可以確保企業(yè)在設(shè)計(jì)定義、危害識(shí)別、功能不足識(shí)別、功能改進(jìn)、驗(yàn)證及確認(rèn)、安全發(fā)布、運(yùn)行維護(hù)等方面得到最好的規(guī)范，保障車輛不存在因?yàn)榍捌诠δ茉O(shè)計(jì)不足可能導(dǎo)致的較大風(fēng)險(xiǎn)。

首先預(yù)期功能安全規(guī)范和設(shè)計(jì)的要求通過相關(guān)項(xiàng)定義識(shí)別和評(píng)估預(yù)期功能可能造成的危害，這類危害主要涉及失效后的整車級(jí)危害以及結(jié)合場(chǎng)景形成的危害事件。

如上這類失效危害需要評(píng)估危害造成的風(fēng)險(xiǎn)，制定合理的風(fēng)險(xiǎn)可接受準(zhǔn)則。通常對(duì)于已知危害場(chǎng)景中的問題，即S>0且C>0的危害事件，在進(jìn)行了功能修改后，若仍不能使S=0或C=0，則需適當(dāng)調(diào)整風(fēng)險(xiǎn)可接受準(zhǔn)則（作為驗(yàn)證目標(biāo)的依據(jù)），作為該危害場(chǎng)景下的驗(yàn)收標(biāo)準(zhǔn)。接收標(biāo)準(zhǔn)涉及幾個(gè)重要的參量：

單位里程（或單位時(shí)間）內(nèi)危害行為事件的平均發(fā)生次數(shù)，該參量實(shí)際關(guān)系發(fā)生頻次，這里以α表示；危害行為事件發(fā)生的平均里程或時(shí)間間隔（即無事故里程或時(shí)長(zhǎng)）β；發(fā)生失效的置信度水平，該參量實(shí)際關(guān)系對(duì)于失效場(chǎng)景的判斷是否準(zhǔn)確τ。最終我們可以定義對(duì)于當(dāng)無危害行為事件里程數(shù)達(dá)到一定值β時(shí)，具有一定置信度水平η的情況下，可認(rèn)為該系統(tǒng)在同等駕駛從場(chǎng)景危害事故率能達(dá)到要求的觸發(fā)頻次數(shù)α。

那么這里我們的風(fēng)險(xiǎn)接受準(zhǔn)則條件可以以如下公式可以表示三者之間的關(guān)系：

其次，預(yù)期功能安全要求識(shí)別和評(píng)估潛在功能不足和觸發(fā)條件（含可合理預(yù)見的人員誤用），并應(yīng)用功能改進(jìn)等措施減少預(yù)期功能安全相關(guān)的風(fēng)險(xiǎn)。

這類風(fēng)險(xiǎn)減緩措施實(shí)際是通過ODD分析、事故場(chǎng)景數(shù)據(jù)分析、安全分析方法來識(shí)別功能不足和導(dǎo)致危害事件的觸發(fā)條件，具體到相應(yīng)的危害場(chǎng)景。

此外，預(yù)期功能安全還要求定義驗(yàn)證及確認(rèn)策略，并進(jìn)行預(yù)期功能安全的驗(yàn)證和確認(rèn)，評(píng)估已知危害場(chǎng)景和未知危害場(chǎng)景下是否符合產(chǎn)品預(yù)期功能安全發(fā)布要求，并對(duì)發(fā)布后產(chǎn)品的預(yù)期功能安全風(fēng)險(xiǎn)進(jìn)行合理管控。

最后，需要重點(diǎn)定義駕駛自動(dòng)化系統(tǒng)預(yù)期功能安全相關(guān)零部件的接口要求，確保零部件符合對(duì)應(yīng)的預(yù)期功能安全設(shè)計(jì)開發(fā)、驗(yàn)證、確認(rèn)等規(guī)定。

針對(duì)這一開發(fā)過程企業(yè)需要從哪些方面努力還能真正在預(yù)期功能安全上做到很好的開發(fā)能力呢？

鑒于目前相當(dāng)一部分車企在預(yù)期功能安全上的研發(fā)精力投入還遠(yuǎn)遠(yuǎn)不夠，因此，企業(yè)應(yīng)該首先建立并維持良好的Safty Culture，鼓勵(lì)企業(yè)內(nèi)部各部門就預(yù)期功能安全問題展開溝通和研究（包括感知、決策、執(zhí)行系統(tǒng)的元件升級(jí)設(shè)計(jì)規(guī)范和評(píng)估報(bào)告等），并根據(jù)企業(yè)自身特點(diǎn)，建立合理的安全異常解決機(jī)制。鼓勵(lì)OEM與供應(yīng)商在預(yù)期功能安全開發(fā)中一同制定開發(fā)接口協(xié)議DIA，明確開發(fā)要求，并在開發(fā)過程中對(duì)DIA進(jìn)行多次分階段討論、打和。

同時(shí)，安全管理流程上帝的有效完善也是必不可少的。這其中就包括提供質(zhì)量管理體系的證明材料，對(duì)安全管理人員提出合理的的Competence考核辦法，以確保勝任相關(guān)工作，對(duì)Safety Plan、Safety Case和Safety Confirmation等文件中所涉及的內(nèi)容詳細(xì)記錄在案。

此外，在生產(chǎn)開發(fā)流程上，需要建立產(chǎn)品的后開發(fā)流程，包括關(guān)于產(chǎn)品的生產(chǎn)、運(yùn)營(yíng)、維護(hù)、使用等安全管理計(jì)劃，提供生產(chǎn)現(xiàn)場(chǎng)的審查報(bào)告等。

寫在最后 ?

預(yù)期功能安全分析中的關(guān)鍵技術(shù)主要是指HARA、FTA、FMEA、HAZOP、STPA等幾個(gè)方面，這幾個(gè)方面也是與功能安全分析相重疊的部分。本文以NOA為例，在我們對(duì)設(shè)計(jì)過程中，需要參照以下步驟進(jìn)行詳細(xì)分析分解。

總體來說，對(duì)于SOTIF的風(fēng)險(xiǎn)規(guī)避或減緩手段主要包括提升系統(tǒng)能力，比如算力；增加多樣性冗余技術(shù)，例如增強(qiáng)感知融合能力；提升功能限制能力，例如明確設(shè)計(jì)運(yùn)行范圍ODD；提升對(duì)駕駛員接管能力的探測(cè)，減少誤用情況，最終滿足SOTIF的安全要求。 ? ?

審核編輯：劉清