預期功能安全接受準則

為什么需要預期功能安全：

功能安全[1]關注的是解決由汽車電子電器系統(tǒng)失效所導致的危害。這包括解決汽車軟件和硬件的系統(tǒng)性失效以及控制器硬件的隨機失效。而系統(tǒng)在正常工作狀態(tài)下，由于設計缺陷或未預見的操作環(huán)境所導致的潛在風險不在功能安全的關注范圍內。SOTIF正是為了解決上述問題，確保系統(tǒng)在沒有軟件或硬件故障的情況下，能在預期功能下安全運行。

預期功能安全四象限：

對自動駕駛場景進行分類，從安全性和已知性的角度，將車輛場景分為已知安全場景、已知不安全場景、未知不安全場景和未知安全場景四個區(qū)域[2]。

◆ 基于預期功能的分析，對區(qū)域2進行風險接受評估；

◆通過功能修改，將區(qū)域2中已知危險場景導致危險行為的概率降低到可接受的水平；

◆通過適當?shù)尿炞C和確認策略，將區(qū)域3中導致潛在危險行為的未知場景的概率降低到可接受的標準。

如何證明風險已經降低到我們的可以接受的范圍內呢？這就需要在驗證與確認時制定好預期功能安全接受準則。

01.

為什么需要預期功能安全接受準則

02.

預期功能安全接受準則

對于預期功能安全接受準則，國外可以參考UL（Underwriter Laboratories Inc.）標準開發(fā)機構與自動駕駛研究機構 Edge Case Research Center 共同制定的 UL4600[3]。國內可以參考《預期功能安全國際標準 ISO 21448 及中國實踐白皮書》[4]。本文主要參考國內標準。

《預期功能安全國際標準 ISO 21448 及中國實踐白皮書》中的雙層安全接受準則如下：

（1）第一層安全接受準則：自動駕駛危害行為事件接受準則；

（2）第二層安全接受準則：自動駕駛總體安全風險接受準則。

2.1 場景設計與試驗流程

自動駕駛危害行為事件接受準則：側重于單一事件的危害行為和事件的接受準則，第一層安全接受準則的量化指標主要包括可控度和信心度[6]。

可控度：

信心度：

2.2 自動駕駛總體安全風險接受準則

自動駕駛第一層安全接受準則側重于對單一事件的危害行為進行量化評估，而第二層安全接受準則則是對多個危害事件進行整體安全評估。對于違背第一層安全準則的危害事件數(shù)量，若不超過第二層安全接受準則標準，仍可認為系統(tǒng)符合SOTIF標準。

第二層安全接受準則，即自動駕駛總體安全風險接受準則，針對自動駕駛汽車在真實道路累積行駛里程過程中的總體安全風險進行評價。同人類駕駛員一樣，自動駕駛系統(tǒng)在面對各種場景時也無法完全杜絕危害行為事件的發(fā)生。如果引入自動駕駛功能后，安全風險沒有超過人類駕駛安全表現(xiàn)，則認為自動駕駛汽車的安全表現(xiàn)是可以接受的。

常用的總體風險接受準則主要有下面幾類：

文中主要介紹GAMAB原則，我們可以基于現(xiàn)有的交通數(shù)據(jù)來量化得到總體風險接受準則的值。以有經驗的人類駕駛員為例，一般在20萬公里[4]才會出現(xiàn)一次事故，那么基于GAMAB原則，我們的自動駕駛系統(tǒng)至少也要做到與人類駕駛員一樣的水平。交通事故的發(fā)生我們可以認為是獨立的，而泊松分布適合描述單位時間（或空間）內隨機事件發(fā)生的次數(shù)，我們可以使用泊松分布來具體量化總體風險接受準則。

泊松分布規(guī)律

真實場景中自動駕駛功能導致的危害行為事件可以認為是相互獨立的，所以可以用泊松分布規(guī)律來描述。泊松分布的概率函數(shù)為：

式中，為單位里程（或單位時間）內危害行為事件的平均發(fā)生次數(shù)；為危害行為事件發(fā)生次數(shù)。

泊松分布描述在固定時間內（或固定空間內）某個事件發(fā)生的次數(shù)。如果單位時間內事件的平均發(fā)生次數(shù)是，那么在時間/距離間隔內，事件發(fā)生的次數(shù)服從參數(shù)為 的泊松分布。

我們關注的是在時間/距離間隔內事件發(fā)生0次的概率，即 =0 的情況。將 =0 代入上式得：

假設我們希望在給定置信水平下，找到事件發(fā)生的平均時間間隔。置信水平表示事件在這段時間間隔內不會發(fā)生的概率。換句話說，事件在時間間隔 內沒有發(fā)生的概率是1?。

所以我們有：

結合上述公式可得：

對于式中推薦的置信度水平建議選擇95%-99%之間，在計算時我們通常會更加保守的計算，即增加安全裕度：SM

式中B為人類駕駛員兩次碰撞之間的碰撞距離/時間間隔，SM是安全裕度，安全裕度可以理解為相較于上一代的功能或新一代車型安全性提高了多少。

自動駕駛總體安全風險接受準則定義示例

基于上述公式，可以舉一個簡單的示例：

總體安全風險接受準則的定義和確認需要基于目標市場情況，假設駕駛員安全水平較高的乘用車駕駛員平均每年行駛2萬公里，每10年發(fā)生1次交通事故。以此作為目標，選擇95%置信度，安全裕度選擇1，帶入上述公式可以得到：

則≈60×104km。即為了證明在 95%置信度下認為自動駕駛車輛事故率能達到上述駕駛員的駕駛安全水平，需要累積測試60萬公里無危害事故。

上述只是一個簡單的示例，在例子中只考慮了置信度與安全裕度的值，但在實際開發(fā)中，我們需要綜合考慮各種因素[5]。可以參見下表：

03.

自動駕駛預期功能安全測試評價方法

根據(jù)上述推導出來的總體風險接受準則，即：假設駕駛員安全水平較高的乘用車駕駛員平均每年行駛2萬公里，每10年發(fā)生1次交通事故，則我們需要進行萬公里的實車測試，這會極大的增大開發(fā)過程中的時間成本，并且實車測試還無法完全覆蓋到Corner Case場景，磐時基于真實的數(shù)據(jù)集自研了ASC仿真測試工具，可以輔助驗證驗證目標a，極大的減少實際項目開發(fā)過程中的時間成本，并把此工具運用到具體的落地項目中。

注：仿真工具并不能完全替代實車測試，一般以9：1的比例劃分驗證目標。

ASC工具的具體流程如下:

基于真實數(shù)據(jù)集提取得到的數(shù)據(jù)，ASC可以對提取到的參數(shù)進行泛化，生成多條測試用例，測試用例中的以自車為基準，自車的速度×時間可以得到每個場景的公里數(shù)，從而完成對總體的驗收準則公里數(shù)的映射，以滿足自動駕駛的總體安全接受準則。

并且ASC工具還內置了4類駕駛員模型，針對泛化可能會生成的一些極端場景，我們可以用駕駛員模型與我們的算法去核對，輔以驗證算法最終是滿足自動駕駛預期功能安全接受準則的。

下面是ASC工具的演示視頻：

04.

總結與展望

文中從為什么需要預期功能安全入手，對比了預期功能安全與功能安全的區(qū)別，然后介紹了預期功能安全的四象限，引出預期功能安全的雙層接受準則，并詳細介紹了預期功能安全接受準則的中國方案，并對為了滿足預期功能安全接受準則實車測試中存在的時間成本高與驗證針對性不強的問題，給出了磐時的解決方案，即：可以使用磐時基于真實數(shù)據(jù)集開發(fā)的ASC工具輔助完成對預期功能安全接受準則的驗收。

參考文獻：

[1] ISO 26262: Road vehicles—functional safety. International standard. Switzerland: International Organization for Standardization; 2018.

[2] ISO.Road Vehicles Safety of the Intended Functionality: ISO/PAS 21448:2019[S].Switzerland:ISO,2018.

[3] Underwriters Laboratories Inc. ANSI/UL 4600-2022, Standard for safety for the evaluation of autonomous products[S]. Chicago：American National Standard , 2022.

[4] 李波, 尚世亮, 郭夢鴿, 等. 自動駕駛預期功能安全(SOTIF)接受準則的建立[J]. 汽車技術，2020(12)：1-5.LI Bo, SHANG Shiliang, GUO Mengge, et al Establishment of sotif acceptance criteria for autonomous driving[J]. Automobile Technology, 2020 (12)：1-5.

[5] Madala K, Krishnamoorthy J, Gonzalez CA, Shivkumar A, Solmaz, M. Contributing factors to consider while defining acceptance criteria and validation targets for assuring SOTIF in autonomous vehicles, SAE Technical Paper 2022.

[6] 尚世亮,童菲,郭夢鴿,等.基于駕駛員信心度的SOTIF評價模型建立與試驗[J].機械設計與研究,2020,36(2):1 19-123.

作者

邊俊

磐時創(chuàng)始人/首席安全專家

汽車安全社區(qū)SASETECH發(fā)起人；智能網(wǎng)聯(lián)預期功能安全工作組核心成員；國內最早從事汽車功能安全、預期功能安全的專家之一