SOTIF ISO21448是汽车行业的一个新兴概念,由2015年启动ISO标准的制定,全称为Safety of the intended function,预计在2018年,ISO PAS21448以行业规范的形式发布,在2021年启用正式的ISO标准。
随着汽车电气化时代的到来,人们发现并不是所有的车辆安全问题都源于系统错误和失效。很多时候,在复杂系统中,系统安全的问题来源于环境影响带来非预期的安全问题。
对于自动驾驶系统来说,车辆由系统控制,控制效果的优劣是必须要考虑的因素。在传统汽车领域中,失败的表现往往源于系统的失效。在自动驾驶系统中则不然,即使系统不发生故障,也可能因为神经网络黑盒输出等因素的不确定性导致功能的偏离,造成交通伤害。这类非故障情况下因系统功能不满足预期而导致的安全风险就是预期功能安全要解决的问题。
预期功能安全与道路功能安全
当前版本的SOTIF中列举了安全相关的ISO标准:
● 道路车辆功能安全解决【电子电器失效】对人造成的危害
● 预期功能安全解决【系统非故障原因】对人造成的危害
ISO26262-1中提到ISO26262对E/E系统的标称性能没有要求,对这些系统的功能性性能标准也没有什么要求(例如:主被动安全系统,刹车系统,自适应巡航等),预期功能安全的存在弥补了这部分的遗憾。
预期功能安全在实际项目中的应用
自动驾驶系统局限可分为几个部分:
感知 - 目标场景考虑不周到,系统无法对环境做出正确响应
决策 - 功能逻辑仲裁机制、算法不合理,导致决策出现问题
执行 - 执行机构的输出与理想输出发生偏差,难以完美控制
尽管可能在感知决策执行层面没有任何错误和失效的发生,其他复杂的交通状况和车辆的意外行为依然可能会成为自动驾驶系统的不稳定因素。
自动驾驶行业中高频词“AI”存在的意义在于其加强了感知和决策的能力,理想的状态下对其输入确定数值,我们期望相同的结果,但AI问题本质上是一种概率问题。考虑到车辆的运行场景往往是多变的,静态和动态因素同时存在于驾驶场景之中。这种连续或离散变化的状态对于感知来说的输入变量是不可量化和计算的,这时实际项目开发过程中就很难保证系统输出的稳定性和鲁棒性,直接导致系统的设计不能保证目标市场的实际需求。
为了解决这样的问题,在产品设计的初期就要大量收集并记录目标市场的使用场景作为产品设计的输入,当训练数据全部在印度完成,那么产品将很难在中国投放。在系统需求定义时应注重可追溯性的实施,与传统ECU定义不同点是应充分抽象目标市场的特征,用高度抽象并且明确的表达量化定义系统需求,届时需求中将大量出现Rain、Snow、Foggy等字眼。同时明确定义的功能逻辑、诊断策略、冗余策略、人机交互策略和维护策略也是细化和量化车辆表现的必要方式。
预期功能安全要求在危险分析和风险评估的过程中对影响安全的功能需求进行FMEDA、FMEA、FTA分析和验证。在文章How to Reach Complete Safety Requirement Refinement for Autonomous Vehicles中,作者Carl Bergenhem等对安全目标、功能安全要求、技术安全要求在新环境下的适应性改变做了细致的说明,它建议建立多层级需求结构和细化验证的方法,正对应了上面我提到的思想。在文章Testing of advanced driver assistance towards automated drivings: A survey and taxonomy on exsiting approached and open questions中作者Jan Erik Stellet等则建议系统需求应考虑舒适性、可靠性 、鲁棒性和安全性等要点,这些复杂的需求带来了产品设计阶段的新挑战。
与此同时,执行预期功能安全也需要进行大量的测试验证工作,福特的安全报告中提到在产品开发的早期就开始做软件在环、硬件在环和大批量的车辆测试,通过虚拟测试和路试的方法积累尽可能多的Scenario数据库,以测试驱动开发的敏捷开发形式快速进行算法迭代,保证目标市场的投放稳定可靠。
丨在预期功能安全的定义中驾驶的场景可以分为四个部分:
● Known Safe
● Known Unsafe
● Unknown Safe
● Unknown Unsafe
这部分内容非常重要,它不涉及具体的项目实施,但个人认为是一种非常先进的指导性思想。
对于Known Safe,Unknown Safe,Know Unsafe的部分V模型中的Verification工作可以很好的覆盖这三种工况,要解决的问题来源于Unknown Unsafe,它的存在超越了想象的认知。对于Unknown Unsafe最好的解决办法是精细化Known部分的框架从而增加已知部分的安全性,不断探索其中的设计缺陷,以预测客观未知部分的不足。贸然对Unknown Unsafe下定义极有可能捡了芝麻丢了西瓜。Unknown Unsafe看似无迹可寻,实则将大幅度影响最终产品交付质量。主机厂由于拥有车队和大量的数据,在这一问题的解决上将极具优势。
对Scenario和Scenario based test的
解释
Scenario:
'description of the temporal development between several scenes in a sequence of scenes' - SOTIF
Scenario based test:
这是在预期功能安全所提供的框架下建立的一种新的测试方法,Level 3的自动驾驶功能通常为许多Level 2的功能组成,但由于从Level2到Level3的升级过程中,驾驶者由人转到了机器,对Level3的功能就有了更高的安全要求,新的测试方法因此随之而来。
预期功能安全中提出了Fail operational、Misuse的概念,通俗的解释就是错了还能用。其错误存在的原因本质上在于系统设计难以覆盖使用工况,这将是各厂家都要面临的巨大挑战。
举个例子,若单独使用摄像头方案对交通标志检测的过程中出现遗漏或者错判的情况,无疑会造成严重的后果。为了解决这类的问题,高精度地图将输出冗余信息用于仲裁和决策,当Operational的结果不理想或出现失效,则执行ISO 26262 3-8中故障检测和失效缓解措施执行Fail Safe,功能降级完成安全状态的转换。
丨作者有话说:
由于产品投放市场的异质性,预期功能安全很难成为与功能安全相同的State of Art,但它会成为一种思想和经验的积累,不断地指导完善产品。
汽车科技新媒体矩阵
焉知汽车见闻 · 焉知新能源汽车
焉知汽车HR · 焉知自动驾驶
焉知未来出行 · 焉知汽车轻量化
联系客服