引言:当前,世界汽车产业正在发生一场巨变,汽车“新四化”,即电动化、智能化、网联化和共享化正在成为汽车产业新的发展趋势,给百年历史的传统汽车工业带来了一场革命。预期功能安全便是在这样的大背景下出现,也是智能汽车自动驾驶从L2到L3跨越的必然需求。传统汽车的安全遵循ISO26262功能安全标准,但是无人驾驶汽车的安全超越了功能安全,包括了其他的安全概念,比如预期功能安全(SOTIF),行为安全等。目前,各界组织和政府都在积*定义无人驾驶汽车的安全标准。(以下内容转载自薄说安全)
1背 景
2018年3月,一辆Uber无人驾驶测试车在美国酿成致死事故,一度让整个行业陷入停滞 ,事后结案报告分析了主要原因:**,Uber对周围环境感知的模型假定只会出现自行车、行人、车辆三类物体,且这三类物体只会沿着车道线行进,但现实情况是行人推着自行车横穿马路,按照模型预设,Uber在任何情况下都不会对上述场景进行分类识别。其次,车辆驾驶员对Uber并没有及时接管,在整个系统设计中没有考虑到人为因素。从这个事件可以看到,自动驾驶安全设计,除了去满足已有规格书Spec的要求,更需要去验证Spec的充分性。
Road vehicles - safety of the intended functionality SOTIF(道路车辆预期功能安全)标准在2019年1月作为公开技术规范发布(ISO/PAS 21448),正式版预计将于2022年发布,目前PAS版本共有29页+23页附件,重点关注SAE自动化level 1和level 2驾驶辅助功能。这个规范用于降低由于系统的预期功能不足(设计不足或性能局限)或可预见的人员误操作导致的不可接受风险,这也是预期功能安全概念的定义,适用的电子系统为安全功能受外部环境影响的功能,来自于传感器和处理算法,典型的有AEB自动紧急制动系统、车道保持系统等**驾驶辅助系统。
2预期功能安全概念
功能安全在于解决系统内的随机失效和系统性失效引起的危害,造成安全事故,包括硬件故障、软件故障,而系统功能正常时出现的危害不在功能安全考虑的范围内,由于使用传感器或算法的性能限制,驾驶人员对系统的误操作,SOTIF规范的推出旨在解决这一类问题。下图来自中国汽车标准化技术委员会在2020年发布的《预期功能安全国际标准ISO21448及中国实践白皮书》,用于说明功能安全与预期功能安全概念的区别。
3SOTIF关注领域
一、系统的运行设计域ODD(或称为运行场景)超出了系统和部件性能限制,比如一个自动巡航系统在其ODD范围内(高速公路、天气良好)运行,遇到了有低照明条件的情况,超出了前置摄像头的性能限制;
二、人为因素对系统的影响,特别是与人机交互界面的接口。如驾驶员没有将手放在方向盘上(在需要时);驾驶员对系统能力和限制的理解,以及驾驶员的责任;以及驾驶员理解和应对警告和警报的能力。
4SOTIF四象限概念
预期功能安全提出了四象限图的概念,用于确定系统所在的各类场景,这个概念类似于IEC61508中安全失效率λs、危险失效率λd的概念,不过SOTIF所关注的外部触发事件造成的危害,不是系统内失效引起的危害。
区域1是已知、安全的场景(Known-Safe),区域4是未知、安全的场景(Unkown-Safe),自动驾驶汽车可以运行在这两个场景中。针对于区域2,已知、不安全的场景(Known-Unsafe),需要在系统设计时,提前考虑。而针对于区域3,是未知、不安全(Unknown-Unsafe),可以理解为长尾的场景。有两种思路来应对区域2和区域3的安全问题,一是保守的方法,即通过限定自动驾驶运行设计域ODD,让自动驾驶系统只能在已知和安全的场景才能运行,但这样治标不治本,更不利于自动驾驶的规模商业化落地。另外一种思路是努力将区域3的范围缩小,但是,由于未知的场景是无穷无尽的,无论如何缩小,永远都存在。进一步来说,区域3理论上可以看作“熵增”运动,要努力减熵,需要保持开放,同时要有外力做功,减少混乱程度,脱离平衡。映射到自动驾驶,一是让系统本身通过数据闭环,持续地学习和升级;二是通过V2X,增加视距,增强对未知场景的认知程度。
5HARA VS SOTIF风险评估
实际项目实施中,没有必要分别去做HARA和SOTIF风险分析,整车级危害所引出的安全目标可以基于同一个过程来做,但在SOTIF会识别出可预见的人员误操作造成的顶层危害,以车道保持系统(实现车辆的居中和变道行驶)为例,在功能安全中,整车级危害有:
1、车道保持系统启动过程中发生车道偏离;
2、在目标车道上由于障碍物或车道被占变道;
3、车辆未完成变道或跨越到两车道;
4、系统对更高优先级的安全系统造成干扰(争夺控制权)
而从SOTIF角度,考虑到可预见的司机误操作,还存在的危害有司机与系统之间控制权的转换不当,造成的事故后果可能是撞行人、与迎面车辆相撞、撞击障碍物、追尾车辆、侧面相撞,判断风险等级都是从可控性、严重性、暴露性三个方面去评价,以确定整车级的安全目标。
6预期功能安全的启发
春节前上海发生的地铁夹人导致伤亡的事件,事故造成的影响很大,引发了社会公众对于无人驾驶系统的关注,现在还未发布*终的事故报告,根据现场的视频和各方的分析,与现场站务人员在处理站台门夹人故障情况下操作有关,从SOTIF角度,这也是一个系统故障(屏蔽门夹人)叠加人员误操作造成了更严重的事故。
从系统安全角度我们会做操作与维护造成危害的安全分析,但从功能安全的角度,多数会把人员的失效排除在系统设计范围外,从而通过对人员的管理规定进行落实。而从各行业的历次事故报告来看,在紧急状况下,人往往是靠不住的,比如737 MAX事故中自动驾驶系统与驾驶员控制权的争夺,723事故中高铁信号系统故障后调度员未对司机进行及时提醒。从预期功能安全的角度,对人员误操作开展风险分析,并制定相应的验证确认策略,就有很大的必要性。按照预期功能安全对人员误操作进行安全分析,需要考虑的情况有:
1、操作人员对系统信息的识别,对系统给出信息不理解和理解错误(信息发生混淆)的情况;
2、操作人员错误的判断,无意对系统的停用、错误的启动和解除系统;
3、操作人员错误的动作,对其它系统错误操作导致本系统无意地停用;
4、人机界面接口的控制和响应操作错误。
预期功能安全的触发事件triggering event,它指的是车辆驾驶场景的某个特定条件,启动了系统的特定反应,导致危害事件发生。在ISO21448中举了一个例子:车辆在高速公路上行驶过程中,车辆的自动紧急制动系统AEB误认为路标是前方的一辆车,从而以X g的减速度减速Y秒。这个示例中,触发事件是AEB的感知子系统对前方物体的识别发生了误判,危害事件是非预期的减速,可能导致车辆的追尾事故。
ISO21448定义的**类触发事件是超过系统和部件性能限制的事件,需要针对系统设计所使用的技术,以车道保持系统使用的camara和radar为例,列举几个典型的SOTIF触发事件。
例1:环境中的干扰因素如道路的光线反射,会影响相机检测车道标线的能力,下图中对光线反射亮斑的识别
例2:相机对路面环境条件的检测可能造成的误判,下图中车轮行驶印迹与车道线的混淆
以上这些示例都属于感知组件中在物理环境中的局限性导致的性能下降,在系统的功能安全分析过程中,不会覆盖此类性能局限下的影响分析,这类外部环境对系统传感器、控制器、执行器的影响是SOTIF的范围。
第二类触发事件是指潜在可能的非预期的人为误操作,**类触发事件中,有人机界面的限制,人机界面属于系统内的一部分,也存在潜在的性能不足,还有的触发事件是人为潜在的可预见的误用。
列举几个典型的SOTIF第二类触发事件:
例1:驾驶员难以接触系统控制界面(如果系统控制位于子菜单中或控制界面的按钮位置设计较远)。
例2:车道保持系统在控制过渡期结束时将控制权还给驾驶员,未考虑司机的注意力状态。
例3:驾驶员将其他车辆系统反馈的信息,如其它系统发出的警告,误认为是自动车道保持系统的警告。驾驶员可能会操作车道保持系统的控制功能,而不是操作其他系统的控制功能。
例4:驾驶员在系统的ODD范围外启动自动车道保持系统,不满足进入系统功能的条件。
而在ISO21448附件E的描述中,将人为操作分为三个阶段:1、对信息的获取;2、对信息的判断;3、对系统的操作,于是我们可以把人类比作一个系统,按照I-P-O的方式去分析三个环节中存在的各种误操作因素。
*后,什么是预期功能安全*终的衡量标准,可以考虑的方法有:1、与现有的交通数据(如碰撞事故统计、数据分析)比较;2、现行行业中类似功能预先存在的目标;3、与人类驾驶员行为的对比;4、其它的风险接受准则(GAMAB、ALARP等)。
以上四种风险接受方法可以结合使用,先将系统性能与交通数据或人类驾驶行为进行比较,取决于数据是否可用,如果系统允许司机接管,则评估司机安全接管的概率,不断验证和迭代系统开发,直到系统满足选定的指标。
关于汽车领域的相关的专业知识就为大家介绍到这里了,更多相关的行业知识可以关注我们。百检网是一个大型的综合性知识分享型平台,持续为您分享各类行业知识。做检测 上百检!百检网只做真实检测。
1stISO/IEC TS 30104-2015 ISO/IEC TS 30104-2015 信息技术. 安全技术. 物理安全攻击, 缓解技术和安全要求 
400-101-7153
15201733840
