基于系統與場景雙重分析的SOTIF方法研究

陳蔯 趙帥 趙啟東 周博林

摘? 要：隨著自動駕駛技術的發展，電子電氣系統日益復雜，預期功能不足引發的危害逐漸提升。本文基于ISO 21448： 2022中SOTIF開發過程，從功能規范與設計出發，識別SOTIF相關的危害并進行風險分析，識別潛在功能不足與觸發條件，評估系統影響并提出改進措施，提出一種系統的、有邏輯性的將系統分析方法與場景研究相結合的自動駕駛系統預期功能安全分析方法，并通過該方法在HWA功能上的應用，驗證了該方法的可行性。

關鍵詞：預期功能安全；SOTIF；HWA；危害識別；風險分析；觸發條件

中圖分類號：U461.91? ? ?文獻標識碼：A? ? ? ?文章編號：1005-2550（2024）02-0039-08

The research on SOTIF method of automated driving based on system and scenario dual analysis

CHEN Chen1，2， ZHAO Shuai1，2， ZHAO Qi-dong1，2， ZHOU Bo-lin1，2

（1. China Automotive Technology and Research Center Co.， Ltd.， Tianjin 300300， China;

2. Automotive Data of China Co.， Ltd.， Tianjin 300393， China）

Abstract： With the development of autonomous driving technology， electronic and electrical systems are increasingly complex， and the hazard caused by insufficient intended functionality is expected to gradually increase. This paper based on the SOTIF development process in ISO 21448： 2022， from function specification and design， identifies the hazards related to SOTIF and conducts risk analysis， identifies potential functional insufficiencies and triggering conditions， evaluates the system impact and proposes modifications. A systematic and logical safety analysis method for automated driving system is proposed， which combines system analysis method with test scenario research. The feasibility of the proposed method is verified by applying it to HWA function.

Key Words： SOTIF; HWA; Hazard Identification; Risk Evaluation; Triggering Condition

自動駕駛汽車產業持續健康發展的首要任務是保障自動駕駛系統運行安全，隨著自動駕駛技術的發展，電控系統日益復雜，潛在的安全風險隨之不斷提高[1]，預期功能安全作為功能安全對自動駕駛系統安全問題的補充，直接影響整車安全性[2][3]。

預期功能安全SOTIF （Safety Of The Intended Functionality）旨在解決車輛在特定場景下，由于功能本身的缺陷或性能限制，或人為誤用引起的安全問題[4]。相關國際標準ISO 21448《道路車輛——預期功能安全》[5]于2022年6月正式發布[6]。隨著汽車安全多領域融合的趨勢[7]，預期功能安全也逐漸應用在低級別的自動駕駛功能的開發與測試流程的完善中[8-10]。其中，如何將場景與危害識別和風險分析相結合最為關鍵。從系統分析出發，姜建滿[11]等進行了基于貝葉斯網絡的自動駕駛感知系統預期功能安全的分析研究。陳君毅[12]等提出了一種基于系統理論分析過程（STPA）方法，通過從系統角度出發，將安全問題轉變為系統控制問題，并找到潛在危險的安全分析方法。從場景分析出發，趙啟東[13]等從場景元素與分類角度出發，結合功能不足的合理分析，提出了一套識別SOTIF場景的分析方法。李波[14]等從自動駕駛汽車的安全風險來源和運行場景出發，提出了包括危害行為事件接受準則和總體風險接受準則2個層面量化思想的自動駕駛預期功能安全接受準則。如何將系統分析方法與場景分析方法相結合，來進行自動駕駛功能的開發，仍是現階段研究的一個難題。

因此，本文基于ISO 21448：2022中安全理論，將系統分析方法與場景的識別與分析方法相結合，提出一種系統的、有邏輯性的危害識別與觸發條件分析方法，并在高速公路駕駛輔助功能HWA（Highway Assist，后文簡稱為HWA）的開發中進行了初步實踐。

1? ? 規范與設計

1.1? ?輸入與輸出

SOTIF流程體系中的規范與設計模塊，旨在對預期功能安全相關的系統進行匯總與梳理，用于發現潛在的預期功能安全風險。同時，在預期功能安全相關活動迭代時也需要對系統規范與設計進行對應更新。

經過對相關的系統規范與設計進行匯總與梳理后，根據自動駕駛功能得出規范與設計文檔，文檔對應的輸入與輸出如表1所示：

1.2? ? 系統總體描述

在明確好系統規范與設計的輸入輸出后，還應對系統進行總體描述，梳理出系統的總體描述架構圖，圖1所示為一般的自動駕駛系統總體描述架構圖，其中涉及的一級分類如下：

1）環境感知與場景認知

2）融合定位

3）橫向、縱向規劃決策

4）橫向、縱向控制

5）人機交互、功能降級與動態駕駛任務后援

以HWA為例，將一級分類中的橫向規劃決策功能展開，可得到圖2所示橫向規劃架構圖。

1.3? ?功能及子功能描述

根據系統架構可以進一步展開對功能與子功能進行描述。以高速公路輔助駕駛系統HWA為例，一個典型的HWA功能描述如下：

2級自動駕駛功能，提供高速公路場景下的輔助駕駛，車輛在0-130km/h的速度范圍內實現自適應巡航、車道對中、車道保持，實現在高速公路場景下自動跟車。

HWA可拆解出多個子功能，例如：

1）單車道巡航：在正常道路跟車行駛時，根據本車行駛軌跡前方目標車輛/行人/騎行者等的速度、距離等，動態調整本車車速以保持安全距離行駛；當前方無目標時，按照設定巡航速度行駛；同時，覆蓋針對特殊區域、特殊目標的響應。

2）循線行駛：在雙側車道線、單側車道線、道路邊界存在時，可在車流或跟車軌跡內，保持在車道內居中穩定行駛。

3）智慧偏移：在車道對中基礎上，進行適當偏移行駛。

2? ? 危害識別與風險分析

2.1? ?流程

危害識別與風險分主要針對功能的失效進行識別，通過結合場景形成危害事件，并對其風險進行評估；如該風險不可接受且無法完全規避，則需確定相應的接受準則?？傮w流程如圖3所示：

2.2? ?危害行為

通過對功能和子功能的分級和識別，并基于HAZOP（Hazard and Operability）的關鍵詞法可以形成相應的偏離，這些偏離就是危害行為。

1）功能與子功能識別

分解時，參考該智能駕駛功能的功能規范及其功能實現邏輯，一般可分解為5-10個子功能。以HWA功能為例做子功能分解，可識別出表2中的10個子功能。

2）基于HAZOP關鍵詞法形成相應偏離

考慮到預期功能安全范疇內功能的不同特點，關鍵詞包含“應該出現/執行但未能出現/執行（No/Loss）”，“不應該出現/執行但出現/執行（Unintended）”和“錯誤出現/執行（Incorrect）”。每個功能不一定能與3個關鍵詞進行一一對應，可根據實際情況將每個功能與HAZOP的關鍵詞進行組合。

組合出對應偏離之后，需對該功能偏離形式進行判斷，遵照以下原則：

·是否安全相關？還是僅功能使用、用戶體驗相關？如安全無關，則不做考慮；

·是否預期功能安全相關？即當無故障時僅由外部場景/環境輸入即可誘發功能不足，導致該功能偏離？如預期功能安全無關，則不做考慮。

以HWA功能的子功能“橫向車輛控制”為例，子功能分解與偏離如表3所示。

2.3? ?危害事件

同樣的功能偏離，在不同的車輛運行情況和外部場景中，會引發不同程度的傷害?？紤]到具體至場景元素組合的風險評估，并不影響顆粒度較粗的危害識別與風險評估結果；同時更具體的場景分析會在觸發條件分析中展開，因此需基于功能特點和場景元素特性對細分的場景進行概括，并組合得到危害事件。因此，功能偏離（即危害行為）結合具體危害場景可以得到危害事件，具體流程如圖4所示。

場景狀態由自身運行狀態與外部場景狀態組成。其中，自身運行狀態分為車輛行駛狀態和駕駛員與乘客狀態；外部場景狀態由道路類型、路面狀況、道路設施、天氣以及交通參與者構成。通過不同的場景元素組合得到不同的場景狀態，與功能偏離相結合形成危害事件。以HWA的“橫向車輛控制”子功能為例，通過功能偏離描述與場景狀態相結合，形成一個危害事件：“車輛意外沒有進行橫向控制，高速環境下，與相鄰車道車輛發生碰撞”，具體描述如表4下：

2.4? ?風險評估

風險評估的對象為結合場景后的危害事件。該部分主要涉及三個指標：嚴重性S（Severity）、可控度C（Controllability）、暴露率E（Exposure）。通過綜合場景要素及功能偏離時對車輛和人員的影響，綜合進行評分。

嚴重性S：根據危害事件的嚴重性確定嚴重度等級，主要考慮人員受到的傷害情況。嚴重性分為S0-S3四個等級。一般情況下，相同速度下兩車相撞的側向碰撞嚴重度要高于縱向碰撞。其他類型碰撞，一般認為車與行人、二輪車碰撞在高速場景下發生均為S3，城市道路為S1-S2，停車場一般為S1。

可控度C：危害的可控性主要考慮功能偏離發生后，在當前場景下，駕駛員對車輛的控制能力?？煽囟确譃镃0-C3四個等級。一般認為，低速（30km/h以下）且駕駛員注意力集中，其他條件均為正常時，完全可控；駕駛員注意力不集中至少為C2；一般路面濕滑、天氣不佳會引起可控性下降一個等級。

暴露率E：暴露率主要用于評價當前場景出現在該類別駕駛環境下出現的頻率和時長，頻率指出現的次數，時長指在該場景下暴露的時間。暴露率分為E0-E4五個等級。天氣不佳的情況，暴露率不超過E2；路面濕滑的情況，暴露率不超過E2；臨時現場設施出現的情況下，暴露率不會超過E2；匝道在高速形式中占比不應超過E3；高速上非機動車與行人出現的情況下，暴露率不應超過E2。

最終的危害事件考慮S或C不等于0的情況，用以做下一步潛在功能不足與觸發條件識別分析的輸入；E的評分不在危害識別與風險分析中體現實質性意義，主要與后期驗證指標相關，會根據場景出現頻率確定驗證里程。

以HWA功能的子功能“車輛橫向控制”為例，“車輛意外沒有進行橫向控制，高速環境下，與相鄰車道車輛發生碰撞”危害事件的風險評估如表5所示。

對于危害事件001，屬于典型高速路況，幾乎每次駕駛都發生 ，因此暴露率E4；高速場景下發生側向碰撞，會導致嚴重的受傷，嚴重度S2。危害事件002，天氣不佳，路面濕滑，屬于很少發生，暴露率E1；高速場景下發生側向碰撞，會導致嚴重的受傷，嚴重度S2。危害事件003，隧道內出現行人或非機動車，很少發生，暴露率E0；一般認為車與二輪車或行人在高速場景下碰撞，導致危及生命的受傷（不確定能夠幸存）或致命傷，嚴重度S3。以上三個事件中，對于高速場景下，車輛橫向出現偏差，屬于正?？煽?，因此可控性均為C2。

2.5? ?可接受準則

對應不同的功能偏離，可形成較多不同評估分值的危害事件；每一個危害事件會形成對應的風險可接受準則。一個功能偏離下，不同場景中形成的大量危害事件，可進行梳理、歸類，最終一個功能偏離下會形成幾到幾十個危害事件，因此對應著形成幾到幾十個風險可接受準則。

當前，業內尚沒有統一的系統性制定風險可接受準則的方法。本文參考了行業中的先進水平和人類駕駛員事故統計，提供了三種風險可接受準則的評估思路：

1）基于事故數據的判定：例如匝道行駛的事故率為0.75%，即駛過100次匝道，出現事故的概率為0.75次；

2）基于故障失效率的判定：根據功能安全中已有ASIL等級，確定故障失效率指標；

3）基于行業先進水平的判定：例如定位精度小于20cm；

在制定并記錄風險可接受準則的過程中，還應對風險可接受準則的評估方法做出描述，主要包含：

1）解釋為什么可以通過該接受準則，確定該類風險在可控范圍；

2）挑選什么參考來確定風險可接受準則的具體量化指標。

以HWA功能的子功能“車輛橫向控制”為例，可接受準則的描述如表6所示。

3? ? 潛在功能不足與觸發條件識別

3.1? ?流程

潛在功能不足與觸發條件識別的主要目標在于識別系統局限性及相應的觸發條件以及系統對觸發條件的響應。其對應的輸入輸出如表7所示。

該部分流程主要分為定義危險、建立控制流程、識別不安全控制動作UCA（Unsafe Control Action）和識別觸發條件并評估系統影響，如圖5所示。

3.2? ?定義危險

基于2.5中所論述的風險可接受準則，形成相應的危險，并可適當延伸，找出可接受準則未能達到的后果，例如“功能非預期啟用率低于1%”，則對應危險為“功能的非預期啟用”。

以HWA的子功能“車輛橫向控制”為例，定義危險描述如表8所示：

3.3? ?建立控制流程

在明確了危險定義之后，還需對系統的控制流程進行梳理并建立控制流程圖，一般將從以下三個方面來展開分析：

1）確定流程中涉及哪些組件（或系統）；

2）確定系統間的交互方式（和方向）；控制動作（Control Action）為實線，信息交互為虛線；

3）確定系統間的交互/控制內容。

以HWA功能為例，圖6為它的控制流程圖。

3.4? ?識別UCA

根據控制對象與動作來源，可以列舉全部的控制動作，并識別與3.2中定義的危險相對應的各類UCA。以HWA功能為例，圖6中實線對應的控制動作即為該功能的全部CA。以“橫向控制”為例，表9為UCA描述列表，其中“UCA001-意外未提供橫向控制”，可對應表8中的危險“HWA-HZ-002 車輛因橫向控制不正確而產生的危險”。

3.5? ?識別觸發條件并評估系統影響

基于3.4中識別出的UCA，可進一步識別哪些類別的原因或條件會導致UCA的發生，從而形成UCA來源。識別的對象，主要覆蓋發出控制行為的系統相關的信息傳遞過程和控制行為本身。例如，意外提供車輛橫向控制，可能是由環境感知有誤、目標感知有誤、定位有誤等原因引起的。

基于確定的UCA來源可得到觸發條件，本文主要從三個方面來識別觸發條件：

1）該UCA來源所涉及的輸入、輸出重要參數或信號，識別相關接口信息；

2）該功能實現（含算法）的原理、邏輯和基本流程；

3）以上兩點內容與場景元素之間的關聯，即功能不足-觸發條件的對應。

分析得到觸發條件之后，將基于功能描述或開發人員描述，評估當前狀況系統對觸發條件的響應，并最后給出建議的安全機制。以HWA的子功能“車輛橫向控制”為例，觸發條件與安全機制如表10所示。

4? ? 結論

本文基于預期功能安全理論，將系統分析方法與場景的識別與分析方法相結合，分別從規范與設計、危害識別與風險分析、潛在功能不足與觸發條件識別三個方面進行研究，梳理形成了基于系統與場景雙重分析的自動駕駛預期功能安全分析方法，并結合HWA功能的開發進行實踐，分析得出HWA功能的建議安全措施，初步驗證了該方法的可行性。隨著自動駕駛的技術迭代，高級別自動駕駛功能也將逐步落地量產，預期功能安全作為安全體系中不可忽視的一環，其分析方法也應不斷適應功能需求與發展，以降低整車安全風險，從而提高行車安全。

參考文獻：

[1]郭菲菲，趙永飛，付金勇，姬廣斌. 全自動泊車輔助系統的預期功能安全開發研究[C]//.2020中國汽車工程學會年會論文集（4）.，2020：545-551.DOI：10.26914/c.cnkihy.2020.023959.

[2]尚世亮，李波.車輛電控系統預期功能安全技術研究[J].中國標準化，2016（10）：58-62.

[3]李駿.中國預期功能安全的挑戰與解決方案[J].智能網聯汽車，2021（05）：12-13.

[4]劉法旺，李艷文.自動駕駛系統功能安全與預期功能安全研究[J].工業技術創新，2021，08（03）：62-68.DOI：10.14103/j.issn.2095-8412.2021.06.011.

[5]ISO. Road vehicles — Safety of the intended functionality： ISO 21448：2022 [S]. ISO， 2022.

[6]李波，付越，王兆，馮屹.中國功能安全（Functional Safety）和預期功能安全（SOTIF）技術和標準體系研究及進展[J].中國汽車，2020（07）：34-39.

[7]楊帥，張金換，錢占偉等.汽車安全多領域融合的研究與展望[J].汽車安全與節能學報，2022，13（01）：29-47.

[8]段順昌，白先旭，石琴，李維漢，何冠男.汽車自動緊急制動系統控制策略的預期功能安全設計[J].汽車工程，2022，44（09）：1305-1317+1338.DOI：10.19562/j.chinasae.qcgc.2022.09.002..

[9]趙超，卜德旭，曹禮鵬，李克強，羅禹貢.強降雨場景下自適應巡航控制系統的安全控制策略[J].汽車工程，2022，44（08）：1117-1125+1236.DOI：10.19562/j.chinasae.qcgc.2022.08.001.

[10]郭魁元，吳飛燕，張通，王宇，張宏偉，秦孔建.基于FuSa和SOTIF的L2級駕駛輔助系統整車測試方法研究[J].中國汽車，2020（12）：21-24+60.

[11]姜建滿，范賢根，崔玉順. 基于貝葉斯網絡的自動駕駛感知系統預期功能安全的分析研究[J].時代汽車，2022（17）：190-192.

[12]陳君毅，周堂瑞，邢星宇等.基于系統理論過程分析的自動駕駛汽車安全分析方法研究[J].汽車技術，2019，No.531（12）：1-5.DOI：10.19620/j.cnki.1000-3703.20190543.

[13]Z. Qidong et al.， “The Research on the Identification of ACC SOTIF Triggering Conditions Based on Scenario Analysis，” 2022 IEEE International Conference on Real-time Computing and Robotics （RCAR）， 2022， pp. 263-266， doi： 10.1109/RCAR54675. 2022. 9872207.

[14]李波，尚世亮，郭夢鴿，付越，童洪劍.自動駕駛預期功能安全（SOTIF）接受準則的建立[J].汽車技術，2020（12）：1-5.DOI：10.19620/j.cnki.1000-3703.20201017.