研究數(shù)據(jù)表明，近94%的致命車(chē)禍與駕駛員直接相關(guān)，例如疲勞、超速或其他違法行為，智能駕駛被視為可以顯著降低事故率。

        隨著系統(tǒng)復(fù)雜性的不斷提升，新技術(shù)將會(huì)引入新的安全風(fēng)險(xiǎn)，Uber自動(dòng)駕駛汽車(chē)2018年3月在美國(guó)意外撞擊致死一名行人，2016-2020四年間特斯拉三次因攝像頭識(shí)別局限性撞向白色卡車(chē)，2020年3月沃爾沃向全球市場(chǎng)發(fā)出大規(guī)模召回通告，數(shù)量達(dá)70萬(wàn)輛，涉及9款在售車(chē)型，召回的原因是此前沃爾沃在丹麥進(jìn)行的一項(xiàng)關(guān)于XC60的安全測(cè)試中，發(fā)現(xiàn)自動(dòng)緊急制動(dòng)系統(tǒng)（Autonomous Emergency Braking, AEB）沒(méi)有按預(yù)期在發(fā)生碰撞時(shí)及時(shí)剎停車(chē)輛。無(wú)論是關(guān)于消費(fèi)者購(gòu)買(mǎi)自動(dòng)駕駛車(chē)輛的決定因素調(diào)查，還是各國(guó)發(fā)布的自動(dòng)駕駛車(chē)輛標(biāo)準(zhǔn)，“安全”始終是受關(guān)注的焦點(diǎn)。

        智能駕駛帶來(lái)的安全問(wèn)題越來(lái)越多，不管是交通事故還是召回事件，究其原因也不全是由于E/E系統(tǒng)故障失效而導(dǎo)致的；在自動(dòng)駕駛系統(tǒng)中即使系統(tǒng)不發(fā)生故障，也可能因?yàn)閺?fù)雜智能算法的不確定性導(dǎo)致功能的偏離、傳感器或系統(tǒng)性能限制、駕駛員對(duì)車(chē)輛功能的誤用，造成交通傷害。智能駕駛事故頻發(fā)，公眾的信心下降，對(duì)于智能駕駛的未來(lái)我們不禁會(huì)有這樣的疑問(wèn)：我還有機(jī)會(huì)嗎？

        我們知道ISO26262 功能安全旨在避免由E/E系統(tǒng)功能失效導(dǎo)致的不可接受的風(fēng)險(xiǎn)，主要是針對(duì)系統(tǒng)性失效/隨機(jī)硬件失效導(dǎo)致的風(fēng)險(xiǎn)的進(jìn)行分析和控制，然而傳感器和感知算法(e.g. machine learning, neural networks)，在沒(méi)有出現(xiàn)電子電器系統(tǒng)失效時(shí)，由于設(shè)計(jì)的局限性也會(huì)導(dǎo)致風(fēng)險(xiǎn)，但此部分并不屬于ISO 26262的范疇。為了彌補(bǔ)ISO 26262的局限，預(yù)期功能安全（Safety of the intended functionality，SOTIF）應(yīng)運(yùn)而生。

        2019年1月，ISO/PAS 21448:2019 Road vehicles — Safety of the intended functionality發(fā)布，同年5月ISO 21448工作組草案（WD）中已將該國(guó)際標(biāo)準(zhǔn)的范圍拓展至L1-L5自動(dòng)駕駛車(chē)輛系統(tǒng)。

        SOTIF定義為不存在不可接受的由功能設(shè)計(jì)不足或者可預(yù)見(jiàn)的駕駛員誤操作風(fēng)險(xiǎn)，主要為了消除以下兩類(lèi)風(fēng)險(xiǎn)：

? Performance limitation 例如：惡劣環(huán)境條件下，傳感器無(wú)法探測(cè)到物體

? Misuse 例如：人機(jī)界面設(shè)計(jì)差，導(dǎo)致駕駛員誤用自動(dòng)駕駛功能

        智能網(wǎng)聯(lián)車(chē)輛對(duì)于不同的危害事件原因，會(huì)有相應(yīng)標(biāo)準(zhǔn)覆蓋。

        SOTIF從已知性和安全性兩個(gè)維度將場(chǎng)景分為4類(lèi)：

        SOTIF的目的就是評(píng)估Area 2和Area 3，通過(guò)一系列技術(shù)措施將兩區(qū)域減小，并同時(shí)提供證據(jù)證明這兩個(gè)域已經(jīng)足夠小，剩余的殘余危害是可接受的。在此過(guò)程中Area 1通常是增加的。

        盡管ISO 26262和ISO 21448處理的是安全的不同方面，但這兩個(gè)過(guò)程都需要用于實(shí)現(xiàn)預(yù)期功能的可靠安全性論證。兩個(gè)標(biāo)準(zhǔn)之間活動(dòng)的一致性有助于在系統(tǒng)設(shè)計(jì)的早期發(fā)現(xiàn)問(wèn)題并進(jìn)行修改，同時(shí)各活動(dòng)之間是交互進(jìn)行的，產(chǎn)品開(kāi)發(fā)階段通常需要多次迭代，以生成功能和系統(tǒng)規(guī)范。

? Part5 系統(tǒng)規(guī)范和設(shè)計(jì)與 Item Definition 并行

? Part6 危害識(shí)別和風(fēng)險(xiǎn)評(píng)估與 HARA 并行

? Part7 觸發(fā)條件識(shí)別和評(píng)估與 FSC/TSC 并行

? 驗(yàn)證和確認(rèn)與 ISO 26262的 V模型右半邊并行

? SOTIF的發(fā)布與功能安全評(píng)估并行

        ISO 21448中定義了SOTIF的工作流，下面融合ISO 26262開(kāi)發(fā)過(guò)程，針對(duì)Part5-Part8詳細(xì)描述個(gè)階段工作內(nèi)容。

? Part 5 功能規(guī)范與系統(tǒng)設(shè)計(jì)方案

    ?  功能規(guī)范  Functional description 

        整車(chē)層面的描述，包括預(yù)期功能和子功能目的、需要達(dá)到的性能指標(biāo)、預(yù)期功能的啟動(dòng)，退出條件（運(yùn)行設(shè)計(jì)域operational design domain, ODD描述）、車(chē)輛自動(dòng)化的Level等級(jí)等。

    ?  方案設(shè)計(jì)  system design and architecture

        方案設(shè)計(jì)中搭建系統(tǒng)架構(gòu)，明確各子系統(tǒng)間的依賴交互關(guān)系，定義系統(tǒng)功能和相關(guān)故障。

? Part 6 識(shí)別與評(píng)估危害事件

        與ISO26262不同，SOTIF的危險(xiǎn)不是由故障引起的，而是由于來(lái)自外部的觸發(fā)條件會(huì)觸發(fā)系統(tǒng)的局限性或弱點(diǎn)（都不是故障）。SOTIF HARA可以與ISO 26262中的相同，但是會(huì)不斷演變，會(huì)包含更多的故障，新的系統(tǒng)性危害以及更多情況（包括觸發(fā)條件）。Part 6 識(shí)別與評(píng)估危害事件

? Part 7 觸發(fā)條件的識(shí)別和評(píng)估

        通過(guò)參考相同的項(xiàng)目或者相同領(lǐng)域的經(jīng)驗(yàn)，系統(tǒng)性的分析觸發(fā)條件。識(shí)別系統(tǒng)的缺陷或者場(chǎng)景主要分析內(nèi)容：

    ?  已知的系統(tǒng)組件約束

    ?  環(huán)境條件和可預(yù)見(jiàn)的誤操作

        通過(guò)這些分析可以提高對(duì)系統(tǒng)局限性的理解，同時(shí)將會(huì)改善未知觸發(fā)條件的識(shí)別。基于整車(chē)級(jí)別危害可通過(guò)故障樹(shù)同時(shí)分析功能安全原因和預(yù)期功能安全原因，預(yù)期功能的故障行為下包含觸發(fā)條件和相應(yīng)的弱點(diǎn)和限制。

        針對(duì)不同模塊（例如傳感器）創(chuàng)建局限性庫(kù)進(jìn)行限制和弱點(diǎn)分析，將傳感器/功能特征與潛在場(chǎng)景的特征/特性聯(lián)系起來(lái)，確定的觸發(fā)條件可以保存為情景庫(kù)，以供在新項(xiàng)目中進(jìn)一步使用。另外附加一個(gè)SysML模型，用于描述它們隨時(shí)間的變化（活動(dòng)圖）

? Part 8 功能改進(jìn)(Architecture)

        從安全目標(biāo)得出功能要求,然后從已識(shí)別的故障得出較低級(jí)別的功能要求。隨后在單獨(dú)的安全概念(TSC /SOTIF概念)中細(xì)化為技術(shù)要求(TSR)和性能要求(SOTIF)。添加額外SOTIF安全機(jī)制對(duì)架構(gòu)進(jìn)行改進(jìn)，例如：提高傳感器性能/精度、傳感器算法改進(jìn)、選用合適的傳感器技術(shù)、改變傳感器位置、傳感器干擾檢測(cè)，并觸發(fā)報(bào)警和降級(jí)策略、運(yùn)行設(shè)計(jì)域（ODD）退出的檢測(cè)等。

? Part9-Part10為SOTIF驗(yàn)證階段，需要定義驗(yàn)證和確認(rèn)策略，以提供實(shí)現(xiàn)目標(biāo)的證據(jù)，并說(shuō)明如何實(shí)現(xiàn)目標(biāo)。隨著功能的改進(jìn)，對(duì)系統(tǒng)進(jìn)行分析，以確定在驗(yàn)證和確認(rèn)期間是否重新測(cè)試了其他功能。這些相關(guān)功能通過(guò)回歸測(cè)試得到驗(yàn)證。這確保了已知的或新的觸發(fā)事件不會(huì)在未更改的功能中導(dǎo)致潛在的危險(xiǎn)行為。在驗(yàn)證和確認(rèn)活動(dòng)中發(fā)現(xiàn)的觸發(fā)事件(其中存在潛在的危險(xiǎn)行為)在每次發(fā)布時(shí)都要重新測(cè)試。對(duì)于Area 2可以通過(guò)很明確的方法進(jìn)行驗(yàn)證，可參考ISO21448 Clause 10中給出了的系統(tǒng)和組件（傳感器、算法和執(zhí)行器）和集成的推薦驗(yàn)證方法。對(duì)于Area 3這類(lèi)情景只能靠企業(yè)的實(shí)踐或其他方法（如設(shè)計(jì)度量、系統(tǒng)分析或?qū)Ｓ脤?shí)驗(yàn)）進(jìn)行評(píng)估。

        結(jié)合自身汽車(chē)電子產(chǎn)品研發(fā)實(shí)踐，經(jīng)緯恒潤(rùn)的功能安全團(tuán)隊(duì)在智駕域提供覆蓋安全流程、產(chǎn)品開(kāi)發(fā)認(rèn)證及工具平臺(tái)的綜合解決方案。

    ?  智駕功能安全流程搭建

    ?  智駕功能安全產(chǎn)品開(kāi)發(fā)及認(rèn)證

        通過(guò)功能安全模板、開(kāi)發(fā)實(shí)例及定制的Workshop給客戶提供專(zhuān)業(yè)的咨詢服務(wù)。

    ?  智駕功能安全平臺(tái)

        結(jié)合客戶工程需求，經(jīng)緯恒潤(rùn)會(huì)協(xié)助構(gòu)建適配智能駕駛的高可靠、高自動(dòng)化功能安全平臺(tái)，以基于模型的安全分析為重要手段驅(qū)動(dòng)智能駕駛產(chǎn)品架構(gòu)及設(shè)計(jì)不斷持續(xù)改進(jìn)。

        Medini為經(jīng)緯恒潤(rùn)長(zhǎng)期合作的專(zhuān)業(yè)功能安全平臺(tái)，可以完整覆蓋ISO-26262、ISO-21448（SOTIF）行業(yè)核心過(guò)程，針對(duì)自動(dòng)駕駛SOTIF領(lǐng)域的解決方案，可以覆蓋SOTIF安全分析過(guò)程（Part5-Part8），同時(shí)參與ISO 21448標(biāo)準(zhǔn)制定，隨時(shí)更新保持與標(biāo)準(zhǔn)同步。

        依托Medini平臺(tái)及豐富的API接口可以構(gòu)建完整的基于模型開(kāi)發(fā)的功能安全平臺(tái)，所有的系統(tǒng)功能和系統(tǒng)架構(gòu)基于SysML模型描述，基于這些系統(tǒng)設(shè)計(jì)，可以直接一鍵生成FMEA表格，以及快速的構(gòu)建故障樹(shù)，進(jìn)行FTA。

        在集成化的平臺(tái)里，可以管理安全目標(biāo)、安全需求，并把安全需求分配給對(duì)應(yīng)的系統(tǒng)和組件。進(jìn)而，安全需求、系統(tǒng)設(shè)計(jì)、安全分析三者可以統(tǒng)一平臺(tái)中進(jìn)行連接、交互和管理。

        經(jīng)緯恒潤(rùn)從2008年開(kāi)始研究及實(shí)施功能安全，并于同年組建了功能安全團(tuán)隊(duì)，從消化ISO-26262標(biāo)準(zhǔn)到參與2017年GB/T 34590功能安全標(biāo)準(zhǔn)的制定；結(jié)合自身汽車(chē)電子產(chǎn)品研發(fā)實(shí)踐，經(jīng)緯恒潤(rùn)的功能安全團(tuán)隊(duì)在智駕域、底盤(pán)域、動(dòng)力域、車(chē)身域?qū)嵤﹪?guó)內(nèi)外100+成功案例，積累了豐富的經(jīng)驗(yàn)。迎合市場(chǎng)所需，結(jié)合量產(chǎn)產(chǎn)品功能安全落地實(shí)施的技術(shù)難點(diǎn)，經(jīng)緯恒潤(rùn)功能安全團(tuán)隊(duì)以智能駕駛功能安全為主題，陸續(xù)發(fā)布解決方案系列文章。

經(jīng)緯恒潤(rùn)

北京市海淀區(qū)知春路7號(hào)致真大廈D座6層

郵箱：market_dept@hirain.com

網(wǎng)址：www.hirain.com