车载软件架构 ——汽车预期功能安全标准

我是穿拖鞋的汉子，魔都中坚持长期主义的工程师。

老规矩，分享一段喜欢的文字，避免自己成为高知识低文化的工程师：

“

没有人关注你。也无需有人关注你。你必须承认自己的价值，你不能站在他人的角度来反对自己。人生在世，最怕的就是把别人的眼光当成自己生活的唯一标准。到最后，既没有活成别人喜欢的样子，也没有活成自己想要的样子。我们只有接纳真实的自己，不自卑、不自傲，才能拥有更强大的内心；只有找到自己的核心价值，才能活出自己的精彩人生。

”

本文主要讲述如下内容，介绍车载软件架构 ——汽车预期功能安全标准：

-> 一、 ISO21448 汽车预期功能安全标准

-> 二、 ISO/PAS 21448与ISO 26262的关系

一、 ISO21448 汽车预期功能安全标准

ISO21448作为ISO26262的补充，它填补了ISO26262中关于自动驾驶领域的功能安全分析的空缺。SOTIF（Safety Of The Intended Functionality ）的诞生也是 ADAS 与自动驾驶普及大背景下的必然结果，它是预防不合理风险的一道防线。

ISO21448 预期功能安全标准重点关注的是 “预期的功能” 的安全性，即满足预期设计要求的功能所具有的安全水平，将设计不足、性能局限导致的风险控制在合理可接受的范围内。由于自动驾驶车辆运行场景条件的复杂性和未知性，自动驾驶功能即使满足设计要求，仍可能存在大量的安全运行风险。如何避免预期的功能所引发的安全风险，即为预期功能安全。

从安全性和已知性角度，将车辆运行场景分为已知安全场景、已知不安全场景、未知不安全场景和未知安全场景 4个区域，如图所示。在开发之初，区域2和区域3的比例较高，SOTIF 技术通过对已知场景及用例的评估，发现系统设计不足，将区域 2 转化为区域 1，并证明区域 2 的残余风险足够低；针对区域 3，SOTIF 技术基于真实场景及用例测试、随机输入测试等，发现系统设计不足，将区域3转化为区域2，同时基于统计数据和测试结果，间接证明区域3的风险控制到合理可接受的水平。由此, 实现对已知和未知风险的合理控制，完成自动驾驶车辆系统的安全提升和发布。

自动驾驶系统安全风险的一个主要来源是未知不安全场景区域，对其无法定义需求，也难以量化评价，这成为全球自动驾驶安全开发领域的痛点，ISO21448 标准在此背景下诞生并于 2022 年6月发布，为此痛点提供方法支持。

ISO21448 标准给出了 SOTIF 开发流程，如图所示，其中圆圈的序号代表标准原文各章节号：

二、ISO/PAS 21448与ISO 26262的关系

ISO 26262能够覆盖系统失效的功能安全，但它没有覆盖到在系统失效未出现的情况下的安全隐患，这就是ISO/PAS 21448存在的必要性。

事实上，最初ISO/PAS 21448本来是要成为ISO 26262的第14章节。但是因为在没有系统失效的情况下保证安全这个概念非常复杂，SOTIF便成为了一个独立的标准。

2018年末，ISO/TC22/SC32/WG8功能安全工作组在意大利比萨召开会议，讨论了国际标准ISO21448的范围、对象、主要内容及框架等，中国代表团就“车辆运动控制系统功能安全可控性研究项目”进行了主旨发言，提出关于自动驾驶车辆的5项提案。

在无人驾驶的开发热潮中，功能安全ISO26262获得越来越多的关注和重视，与此同时，预期功能安全ISO/PAS 21448无疑将会成为汽车行业的另一大焦点。

ISO 26262仍然适用于现存的和已建立的系统，例如：动态稳定性控制（DSC）系统或者气囊系统。在这些系统中，可以通过降低系统的失效风险来保证安全。

ISO/PAS 21448适用于没有系统故障但是存在安全隐患的系统，例如：紧急干预系统和高级驾驶辅助系统。

重点：ISO/PAS 21448是ISO 26262的补充。

人工智能和机器学习是开发自动系统的关键，而这些自动化系统拥有庞大的数据量（这些数据被输入到复杂的算法中），验证这些自动系统是否安全是复杂并且困难的，所以应用SOTIF是保证人工智能做出规避安全隐患决策的关键。

安全性一直是汽车行业软件开发的关键。确保功能安全对无人驾驶至关重要。为了保证编写的软件是安全的，团队需要这样做：

-> 为了消除安全漏洞，良好的编程实践和周密的的测试工作至关重要，可以通过使用信息安全编码标准来实现

-> 开发安全模块的关键是对信息威胁建模和降低风险，可以通过进行危害和风险分析来实现

-> 控制构建/发布环境是防止黑客入侵的关键，也能确保构建的安全。这可以通过在CI/CD环境中进行访问控制来实现

-> 将设计、验证和确认变得自动化

搁笔分享完毕！

愿你我相信时间的力量

做一个长期主义者！