边聊安全 | 预期功能安全接受准则

预期功能安全接受准则

为什么需要预期功能安全：

功能安全[1]关注的是解决由汽车电子电器系统失效所导致的危害。这包括解决汽车软件和硬件的系统性失效以及控制器硬件的随机失效。而系统在正常工作状态下，由于设计缺陷或未预见的操作环境所导致的潜在风险不在功能安全的关注范围内。SOTIF正是为了解决上述问题，确保系统在没有软件或硬件故障的情况下，能在预期功能下安全运行。

预期功能安全四象限：

对自动驾驶场景进行分类，从安全性和已知性的角度，将车辆场景分为已知安全场景、已知不安全场景、未知不安全场景和未知安全场景四个区域[2]。

◆ 基于预期功能的分析，对区域2进行风险接受评估；

◆通过功能修改，将区域2中已知危险场景导致危险行为的概率降低到可接受的水平；

◆通过适当的验证和确认策略，将区域3中导致潜在危险行为的未知场景的概率降低到可接受的标准。

如何证明风险已经降低到我们的可以接受的范围内呢？这就需要在验证与确认时制定好预期功能安全接受准则。

01.

为什么需要预期功能安全接受准则

02.

预期功能安全接受准则

对于预期功能安全接受准则，国外可以参考UL（Underwriter Laboratories Inc.）标准开发机构与自动驾驶研究机构 Edge Case Research Center 共同制定的 UL4600[3]。国内可以参考《预期功能安全国际标准 ISO 21448 及中国实践白皮书》[4]。本文主要参考国内标准。

《预期功能安全国际标准 ISO 21448 及中国实践白皮书》中的双层安全接受准则如下：

（1）第一层安全接受准则：自动驾驶危害行为事件接受准则；

（2）第二层安全接受准则：自动驾驶总体安全风险接受准则。

2.1 场景设计与试验流程

自动驾驶危害行为事件接受准则：侧重于单一事件的危害行为和事件的接受准则，第一层安全接受准则的量化指标主要包括可控度和信心度[6]。

可控度：

信心度：

2.2 自动驾驶总体安全风险接受准则

自动驾驶第一层安全接受准则侧重于对单一事件的危害行为进行量化评估，而第二层安全接受准则则是对多个危害事件进行整体安全评估。对于违背第一层安全准则的危害事件数量，若不超过第二层安全接受准则标准，仍可认为系统符合SOTIF标准。

第二层安全接受准则，即自动驾驶总体安全风险接受准则，针对自动驾驶汽车在真实道路累积行驶里程过程中的总体安全风险进行评价。同人类驾驶员一样，自动驾驶系统在面对各种场景时也无法完全杜绝危害行为事件的发生。如果引入自动驾驶功能后，安全风险没有超过人类驾驶安全表现，则认为自动驾驶汽车的安全表现是可以接受的。

常用的总体风险接受准则主要有下面几类：

文中主要介绍GAMAB原则，我们可以基于现有的交通数据来量化得到总体风险接受准则的值。以有经验的人类驾驶员为例，一般在20万公里[4]才会出现一次事故，那么基于GAMAB原则，我们的自动驾驶系统至少也要做到与人类驾驶员一样的水平。交通事故的发生我们可以认为是独立的，而泊松分布适合描述单位时间（或空间）内随机事件发生的次数，我们可以使用泊松分布来具体量化总体风险接受准则。

泊松分布规律

真实场景中自动驾驶功能导致的危害行为事件可以认为是相互独立的，所以可以用泊松分布规律来描述。泊松分布的概率函数为：

式中，为单位里程（或单位时间）内危害行为事件的平均发生次数；为危害行为事件发生次数。

泊松分布描述在固定时间内（或固定空间内）某个事件发生的次数。如果单位时间内事件的平均发生次数是，那么在时间/距离间隔内，事件发生的次数服从参数为 的泊松分布。

我们关注的是在时间/距离间隔内事件发生0次的概率，即 =0 的情况。将 =0 代入上式得：

假设我们希望在给定置信水平下，找到事件发生的平均时间间隔。置信水平表示事件在这段时间间隔内不会发生的概率。换句话说，事件在时间间隔 内没有发生的概率是1?。

所以我们有：

结合上述公式可得：

对于式中推荐的置信度水平建议选择95%-99%之间，在计算时我们通常会更加保守的计算，即增加安全裕度：SM

式中B为人类驾驶员两次碰撞之间的碰撞距离/时间间隔，SM是安全裕度，安全裕度可以理解为相较于上一代的功能或新一代车型安全性提高了多少。

自动驾驶总体安全风险接受准则定义示例

基于上述公式，可以举一个简单的示例：

总体安全风险接受准则的定义和确认需要基于目标市场情况，假设驾驶员安全水平较高的乘用车驾驶员平均每年行驶2万公里，每10年发生1次交通事故。以此作为目标，选择95%置信度，安全裕度选择1，带入上述公式可以得到：

则≈60×104km。即为了证明在 95%置信度下认为自动驾驶车辆事故率能达到上述驾驶员的驾驶安全水平，需要累积测试60万公里无危害事故。

上述只是一个简单的示例，在例子中只考虑了置信度与安全裕度的值，但在实际开发中，我们需要综合考虑各种因素[5]。可以参见下表：

03.

自动驾驶预期功能安全测试评价方法

根据上述推导出来的总体风险接受准则，即：假设驾驶员安全水平较高的乘用车驾驶员平均每年行驶2万公里，每10年发生1次交通事故，则我们需要进行万公里的实车测试，这会极大的增大开发过程中的时间成本，并且实车测试还无法完全覆盖到Corner Case场景，磐时基于真实的数据集自研了ASC仿真测试工具，可以辅助验证验证目标a，极大的减少实际项目开发过程中的时间成本，并把此工具运用到具体的落地项目中。

注：仿真工具并不能完全替代实车测试，一般以9：1的比例划分验证目标。

ASC工具的具体流程如下:

基于真实数据集提取得到的数据，ASC可以对提取到的参数进行泛化，生成多条测试用例，测试用例中的以自车为基准，自车的速度×时间可以得到每个场景的公里数，从而完成对总体的验收准则公里数的映射，以满足自动驾驶的总体安全接受准则。

并且ASC工具还内置了4类驾驶员模型，针对泛化可能会生成的一些极端场景，我们可以用驾驶员模型与我们的算法去核对，辅以验证算法最终是满足自动驾驶预期功能安全接受准则的。

下面是ASC工具的演示视频：

04.

总结与展望

文中从为什么需要预期功能安全入手，对比了预期功能安全与功能安全的区别，然后介绍了预期功能安全的四象限，引出预期功能安全的双层接受准则，并详细介绍了预期功能安全接受准则的中国方案，并对为了满足预期功能安全接受准则实车测试中存在的时间成本高与验证针对性不强的问题，给出了磐时的解决方案，即：可以使用磐时基于真实数据集开发的ASC工具辅助完成对预期功能安全接受准则的验收。

参考文献：

[1] ISO 26262: Road vehicles—functional safety. International standard. Switzerland: International Organization for Standardization; 2018.

[2] ISO.Road Vehicles Safety of the Intended Functionality: ISO/PAS 21448:2019[S].Switzerland:ISO,2018.

[3] Underwriters Laboratories Inc. ANSI/UL 4600-2022, Standard for safety for the evaluation of autonomous products[S]. Chicago：American National Standard , 2022.

[4] 李波, 尚世亮, 郭梦鸽, 等. 自动驾驶预期功能安全(SOTIF)接受准则的建立[J]. 汽车技术，2020(12)：1-5.LI Bo, SHANG Shiliang, GUO Mengge, et al Establishment of sotif acceptance criteria for autonomous driving[J]. Automobile Technology, 2020 (12)：1-5.

[5] Madala K, Krishnamoorthy J, Gonzalez CA, Shivkumar A, Solmaz, M. Contributing factors to consider while defining acceptance criteria and validation targets for assuring SOTIF in autonomous vehicles, SAE Technical Paper 2022.

[6] 尚世亮,童菲,郭梦鸽,等.基于驾驶员信心度的SOTIF评价模型建立与试验[J].机械设计与研究,2020,36(2):1 19-123.

作者

边俊

磐时创始人/首席安全专家

汽车安全社区SASETECH发起人；智能网联预期功能安全工作组核心成员；国内最早从事汽车功能安全、预期功能安全的专家之一