預(yù)期功能安全接受準(zhǔn)則

為什么需要預(yù)期功能安全：

功能安全[1]關(guān)注的是解決由汽車電子電器系統(tǒng)失效所導(dǎo)致的危害。這包括解決汽車軟件和硬件的系統(tǒng)性失效以及控制器硬件的隨機(jī)失效。而系統(tǒng)在正常工作狀態(tài)下，由于設(shè)計(jì)缺陷或未預(yù)見的操作環(huán)境所導(dǎo)致的潛在風(fēng)險(xiǎn)不在功能安全的關(guān)注范圍內(nèi)。SOTIF正是為了解決上述問題，確保系統(tǒng)在沒有軟件或硬件故障的情況下，能在預(yù)期功能下安全運(yùn)行。

預(yù)期功能安全四象限：

對自動(dòng)駕駛場景進(jìn)行分類，從安全性和已知性的角度，將車輛場景分為已知安全場景、已知不安全場景、未知不安全場景和未知安全場景四個(gè)區(qū)域[2]。

◆ 基于預(yù)期功能的分析，對區(qū)域2進(jìn)行風(fēng)險(xiǎn)接受評估；

◆通過功能修改，將區(qū)域2中已知危險(xiǎn)場景導(dǎo)致危險(xiǎn)行為的概率降低到可接受的水平；

◆通過適當(dāng)?shù)尿?yàn)證和確認(rèn)策略，將區(qū)域3中導(dǎo)致潛在危險(xiǎn)行為的未知場景的概率降低到可接受的標(biāo)準(zhǔn)。

如何證明風(fēng)險(xiǎn)已經(jīng)降低到我們的可以接受的范圍內(nèi)呢？這就需要在驗(yàn)證與確認(rèn)時(shí)制定好預(yù)期功能安全接受準(zhǔn)則。

01.

為什么需要預(yù)期功能安全接受準(zhǔn)則

02.

預(yù)期功能安全接受準(zhǔn)則

對于預(yù)期功能安全接受準(zhǔn)則，國外可以參考UL（Underwriter Laboratories Inc.）標(biāo)準(zhǔn)開發(fā)機(jī)構(gòu)與自動(dòng)駕駛研究機(jī)構(gòu) Edge Case Research Center 共同制定的 UL4600[3]。國內(nèi)可以參考《預(yù)期功能安全國際標(biāo)準(zhǔn) ISO 21448 及中國實(shí)踐白皮書》[4]。本文主要參考國內(nèi)標(biāo)準(zhǔn)。

《預(yù)期功能安全國際標(biāo)準(zhǔn) ISO 21448 及中國實(shí)踐白皮書》中的雙層安全接受準(zhǔn)則如下：

（1）第一層安全接受準(zhǔn)則：自動(dòng)駕駛危害行為事件接受準(zhǔn)則；

（2）第二層安全接受準(zhǔn)則：自動(dòng)駕駛總體安全風(fēng)險(xiǎn)接受準(zhǔn)則。

2.1 場景設(shè)計(jì)與試驗(yàn)流程

自動(dòng)駕駛危害行為事件接受準(zhǔn)則：側(cè)重于單一事件的危害行為和事件的接受準(zhǔn)則，第一層安全接受準(zhǔn)則的量化指標(biāo)主要包括可控度和信心度[6]。

可控度：

信心度：

2.2 自動(dòng)駕駛總體安全風(fēng)險(xiǎn)接受準(zhǔn)則

自動(dòng)駕駛第一層安全接受準(zhǔn)則側(cè)重于對單一事件的危害行為進(jìn)行量化評估，而第二層安全接受準(zhǔn)則則是對多個(gè)危害事件進(jìn)行整體安全評估。對于違背第一層安全準(zhǔn)則的危害事件數(shù)量，若不超過第二層安全接受準(zhǔn)則標(biāo)準(zhǔn)，仍可認(rèn)為系統(tǒng)符合SOTIF標(biāo)準(zhǔn)。

第二層安全接受準(zhǔn)則，即自動(dòng)駕駛總體安全風(fēng)險(xiǎn)接受準(zhǔn)則，針對自動(dòng)駕駛汽車在真實(shí)道路累積行駛里程過程中的總體安全風(fēng)險(xiǎn)進(jìn)行評價(jià)。同人類駕駛員一樣，自動(dòng)駕駛系統(tǒng)在面對各種場景時(shí)也無法完全杜絕危害行為事件的發(fā)生。如果引入自動(dòng)駕駛功能后，安全風(fēng)險(xiǎn)沒有超過人類駕駛安全表現(xiàn)，則認(rèn)為自動(dòng)駕駛汽車的安全表現(xiàn)是可以接受的。

常用的總體風(fēng)險(xiǎn)接受準(zhǔn)則主要有下面幾類：

文中主要介紹GAMAB原則，我們可以基于現(xiàn)有的交通數(shù)據(jù)來量化得到總體風(fēng)險(xiǎn)接受準(zhǔn)則的值。以有經(jīng)驗(yàn)的人類駕駛員為例，一般在20萬公里[4]才會(huì)出現(xiàn)一次事故，那么基于GAMAB原則，我們的自動(dòng)駕駛系統(tǒng)至少也要做到與人類駕駛員一樣的水平。交通事故的發(fā)生我們可以認(rèn)為是獨(dú)立的，而泊松分布適合描述單位時(shí)間（或空間）內(nèi)隨機(jī)事件發(fā)生的次數(shù)，我們可以使用泊松分布來具體量化總體風(fēng)險(xiǎn)接受準(zhǔn)則。

泊松分布規(guī)律

真實(shí)場景中自動(dòng)駕駛功能導(dǎo)致的危害行為事件可以認(rèn)為是相互獨(dú)立的，所以可以用泊松分布規(guī)律來描述。泊松分布的概率函數(shù)為：

式中，為單位里程（或單位時(shí)間）內(nèi)危害行為事件的平均發(fā)生次數(shù)；為危害行為事件發(fā)生次數(shù)。

泊松分布描述在固定時(shí)間內(nèi)（或固定空間內(nèi)）某個(gè)事件發(fā)生的次數(shù)。如果單位時(shí)間內(nèi)事件的平均發(fā)生次數(shù)是，那么在時(shí)間/距離間隔內(nèi)，事件發(fā)生的次數(shù)服從參數(shù)為 的泊松分布。

我們關(guān)注的是在時(shí)間/距離間隔內(nèi)事件發(fā)生0次的概率，即 =0 的情況。將 =0 代入上式得：

假設(shè)我們希望在給定置信水平下，找到事件發(fā)生的平均時(shí)間間隔。置信水平表示事件在這段時(shí)間間隔內(nèi)不會(huì)發(fā)生的概率。換句話說，事件在時(shí)間間隔 內(nèi)沒有發(fā)生的概率是1?。

所以我們有：

結(jié)合上述公式可得：

對于式中推薦的置信度水平建議選擇95%-99%之間，在計(jì)算時(shí)我們通常會(huì)更加保守的計(jì)算，即增加安全裕度：SM

式中B為人類駕駛員兩次碰撞之間的碰撞距離/時(shí)間間隔，SM是安全裕度，安全裕度可以理解為相較于上一代的功能或新一代車型安全性提高了多少。

自動(dòng)駕駛總體安全風(fēng)險(xiǎn)接受準(zhǔn)則定義示例

基于上述公式，可以舉一個(gè)簡單的示例：

總體安全風(fēng)險(xiǎn)接受準(zhǔn)則的定義和確認(rèn)需要基于目標(biāo)市場情況，假設(shè)駕駛員安全水平較高的乘用車駕駛員平均每年行駛2萬公里，每10年發(fā)生1次交通事故。以此作為目標(biāo)，選擇95%置信度，安全裕度選擇1，帶入上述公式可以得到：

則≈60×104km。即為了證明在 95%置信度下認(rèn)為自動(dòng)駕駛車輛事故率能達(dá)到上述駕駛員的駕駛安全水平，需要累積測試60萬公里無危害事故。

上述只是一個(gè)簡單的示例，在例子中只考慮了置信度與安全裕度的值，但在實(shí)際開發(fā)中，我們需要綜合考慮各種因素[5]?？梢詤⒁娤卤恚?/p>

03.

自動(dòng)駕駛預(yù)期功能安全測試評價(jià)方法

根據(jù)上述推導(dǎo)出來的總體風(fēng)險(xiǎn)接受準(zhǔn)則，即：假設(shè)駕駛員安全水平較高的乘用車駕駛員平均每年行駛2萬公里，每10年發(fā)生1次交通事故，則我們需要進(jìn)行萬公里的實(shí)車測試，這會(huì)極大的增大開發(fā)過程中的時(shí)間成本，并且實(shí)車測試還無法完全覆蓋到Corner Case場景，磐時(shí)基于真實(shí)的數(shù)據(jù)集自研了ASC仿真測試工具，可以輔助驗(yàn)證驗(yàn)證目標(biāo)a，極大的減少實(shí)際項(xiàng)目開發(fā)過程中的時(shí)間成本，并把此工具運(yùn)用到具體的落地項(xiàng)目中。

注：仿真工具并不能完全替代實(shí)車測試，一般以9：1的比例劃分驗(yàn)證目標(biāo)。

ASC工具的具體流程如下:

基于真實(shí)數(shù)據(jù)集提取得到的數(shù)據(jù)，ASC可以對提取到的參數(shù)進(jìn)行泛化，生成多條測試用例，測試用例中的以自車為基準(zhǔn)，自車的速度×?xí)r間可以得到每個(gè)場景的公里數(shù)，從而完成對總體的驗(yàn)收準(zhǔn)則公里數(shù)的映射，以滿足自動(dòng)駕駛的總體安全接受準(zhǔn)則。

并且ASC工具還內(nèi)置了4類駕駛員模型，針對泛化可能會(huì)生成的一些極端場景，我們可以用駕駛員模型與我們的算法去核對，輔以驗(yàn)證算法最終是滿足自動(dòng)駕駛預(yù)期功能安全接受準(zhǔn)則的。

下面是ASC工具的演示視頻：

04.

總結(jié)與展望

文中從為什么需要預(yù)期功能安全入手，對比了預(yù)期功能安全與功能安全的區(qū)別，然后介紹了預(yù)期功能安全的四象限，引出預(yù)期功能安全的雙層接受準(zhǔn)則，并詳細(xì)介紹了預(yù)期功能安全接受準(zhǔn)則的中國方案，并對為了滿足預(yù)期功能安全接受準(zhǔn)則實(shí)車測試中存在的時(shí)間成本高與驗(yàn)證針對性不強(qiáng)的問題，給出了磐時(shí)的解決方案，即：可以使用磐時(shí)基于真實(shí)數(shù)據(jù)集開發(fā)的ASC工具輔助完成對預(yù)期功能安全接受準(zhǔn)則的驗(yàn)收。

參考文獻(xiàn)：

[1] ISO 26262: Road vehicles—functional safety. International standard. Switzerland: International Organization for Standardization; 2018.

[2] ISO.Road Vehicles Safety of the Intended Functionality: ISO/PAS 21448:2019[S].Switzerland:ISO,2018.

[3] Underwriters Laboratories Inc. ANSI/UL 4600-2022, Standard for safety for the evaluation of autonomous products[S]. Chicago：American National Standard , 2022.

[4] 李波, 尚世亮, 郭夢鴿, 等. 自動(dòng)駕駛預(yù)期功能安全(SOTIF)接受準(zhǔn)則的建立[J]. 汽車技術(shù)，2020(12)：1-5.LI Bo, SHANG Shiliang, GUO Mengge, et al Establishment of sotif acceptance criteria for autonomous driving[J]. Automobile Technology, 2020 (12)：1-5.

[5] Madala K, Krishnamoorthy J, Gonzalez CA, Shivkumar A, Solmaz, M. Contributing factors to consider while defining acceptance criteria and validation targets for assuring SOTIF in autonomous vehicles, SAE Technical Paper 2022.

[6] 尚世亮,童菲,郭夢鴿,等.基于駕駛員信心度的SOTIF評價(jià)模型建立與試驗(yàn)[J].機(jī)械設(shè)計(jì)與研究,2020,36(2):1 19-123.

作者

邊俊

磐時(shí)創(chuàng)始人/首席安全專家

汽車安全社區(qū)SASETECH發(fā)起人；智能網(wǎng)聯(lián)預(yù)期功能安全工作組核心成員；國內(nèi)最早從事汽車功能安全、預(yù)期功能安全的專家之一