基于系统与场景双重分析的SOTIF方法研究

陈蔯 赵帅 赵启东 周博林

摘  要：随着自动驾驶技术的发展，电子电气系统日益复杂，预期功能不足引发的危害逐渐提升。本文基于ISO 21448： 2022中SOTIF开发过程，从功能规范与设计出发，识别SOTIF相关的危害并进行风险分析，识别潜在功能不足与触发条件，评估系统影响并提出改进措施，提出一种系统的、有逻辑性的将系统分析方法与场景研究相结合的自动驾驶系统预期功能安全分析方法，并通过该方法在HWA功能上的应用，验证了该方法的可行性。

关键词：预期功能安全；SOTIF；HWA；危害识别；风险分析；触发条件

中图分类号：U461.91     文献标识码：A       文章编号：1005-2550（2024）02-0039-08

The research on SOTIF method of automated driving based on system and scenario dual analysis

CHEN Chen1，2， ZHAO Shuai1，2， ZHAO Qi-dong1，2， ZHOU Bo-lin1，2

（1. China Automotive Technology and Research Center Co.， Ltd.， Tianjin 300300， China;

2. Automotive Data of China Co.， Ltd.， Tianjin 300393， China）

Abstract： With the development of autonomous driving technology， electronic and electrical systems are increasingly complex， and the hazard caused by insufficient intended functionality is expected to gradually increase. This paper based on the SOTIF development process in ISO 21448： 2022， from function specification and design， identifies the hazards related to SOTIF and conducts risk analysis， identifies potential functional insufficiencies and triggering conditions， evaluates the system impact and proposes modifications. A systematic and logical safety analysis method for automated driving system is proposed， which combines system analysis method with test scenario research. The feasibility of the proposed method is verified by applying it to HWA function.

Key Words： SOTIF; HWA; Hazard Identification; Risk Evaluation; Triggering Condition

自動驾驶汽车产业持续健康发展的首要任务是保障自动驾驶系统运行安全，随着自动驾驶技术的发展，电控系统日益复杂，潜在的安全风险随之不断提高[1]，预期功能安全作为功能安全对自动驾驶系统安全问题的补充，直接影响整车安全性[2][3]。

预期功能安全SOTIF （Safety Of The Intended Functionality）旨在解决车辆在特定场景下，由于功能本身的缺陷或性能限制，或人为误用引起的安全问题[4]。相关国际标准ISO 21448《道路车辆——预期功能安全》[5]于2022年6月正式发布[6]。随着汽车安全多领域融合的趋势[7]，预期功能安全也逐渐应用在低级别的自动驾驶功能的开发与测试流程的完善中[8-10]。其中，如何将场景与危害识别和风险分析相结合最为关键。从系统分析出发，姜建满[11]等进行了基于贝叶斯网络的自动驾驶感知系统预期功能安全的分析研究。陈君毅[12]等提出了一种基于系统理论分析过程（STPA）方法，通过从系统角度出发，将安全问题转变为系统控制问题，并找到潜在危险的安全分析方法。从场景分析出发，赵启东[13]等从场景元素与分类角度出发，结合功能不足的合理分析，提出了一套识别SOTIF场景的分析方法。李波[14]等从自动驾驶汽车的安全风险来源和运行场景出发，提出了包括危害行为事件接受准则和总体风险接受准则2个层面量化思想的自动驾驶预期功能安全接受准则。如何将系统分析方法与场景分析方法相结合，来进行自动驾驶功能的开发，仍是现阶段研究的一个难题。

因此，本文基于ISO 21448：2022中安全理论，将系统分析方法与场景的识别与分析方法相结合，提出一种系统的、有逻辑性的危害识别与触发条件分析方法，并在高速公路驾驶辅助功能HWA（Highway Assist，后文简称为HWA）的开发中进行了初步实践。

1    规范与设计

1.1   输入与输出

SOTIF流程体系中的规范与设计模块，旨在对预期功能安全相关的系统进行汇总与梳理，用于发现潜在的预期功能安全风险。同时，在预期功能安全相关活动迭代时也需要对系统规范与设计进行对应更新。

经过对相关的系统规范与设计进行汇总与梳理后，根据自动驾驶功能得出规范与设计文档，文档对应的输入与输出如表1所示：

1.2    系统总体描述

在明确好系统规范与设计的输入输出后，还应对系统进行总体描述，梳理出系统的总体描述架构图，图1所示为一般的自动驾驶系统总体描述架构图，其中涉及的一级分类如下：

1）环境感知与场景认知

2）融合定位

3）横向、纵向规划决策

4）横向、纵向控制

5）人机交互、功能降级与动态驾驶任务后援

以HWA为例，将一级分类中的横向规划决策功能展开，可得到图2所示横向规划架构图。

1.3   功能及子功能描述

根据系统架构可以进一步展开对功能与子功能进行描述。以高速公路辅助驾驶系统HWA为例，一个典型的HWA功能描述如下：

2级自动驾驶功能，提供高速公路场景下的辅助驾驶，车辆在0-130km/h的速度范围内实现自适应巡航、车道对中、车道保持，实现在高速公路场景下自动跟车。

HWA可拆解出多个子功能，例如：

1）单车道巡航：在正常道路跟车行驶时，根据本车行驶轨迹前方目标车辆/行人/骑行者等的速度、距离等，动态调整本车车速以保持安全距离行驶；当前方无目标时，按照设定巡航速度行驶；同时，覆盖针对特殊区域、特殊目标的响应。

2）循线行驶：在双侧车道线、单侧车道线、道路边界存在时，可在车流或跟车轨迹内，保持在车道内居中稳定行驶。

3）智慧偏移：在车道对中基础上，进行适当偏移行驶。

2    危害识别与风险分析

2.1   流程

危害识别与风险分主要针对功能的失效进行识别，通过结合场景形成危害事件，并对其风险进行评估；如该风险不可接受且无法完全规避，则需确定相应的接受准则。总体流程如图3所示：

2.2   危害行为

通过对功能和子功能的分级和识别，并基于HAZOP（Hazard and Operability）的关键词法可以形成相应的偏离，这些偏离就是危害行为。

1）功能与子功能识别

分解时，参考该智能驾驶功能的功能规范及其功能实现逻辑，一般可分解为5-10个子功能。以HWA功能为例做子功能分解，可识别出表2中的10个子功能。

2）基于HAZOP关键词法形成相应偏离

考虑到预期功能安全范畴内功能的不同特点，关键词包含“应该出现/执行但未能出现/执行（No/Loss）”，“不应该出现/执行但出现/执行（Unintended）”和“错误出现/执行（Incorrect）”。每个功能不一定能与3个关键词进行一一对应，可根据实际情况将每个功能与HAZOP的关键词进行组合。

组合出对应偏离之后，需对该功能偏离形式进行判断，遵照以下原则：

·是否安全相关？还是仅功能使用、用户体验相关？如安全无关，则不做考虑；

·是否预期功能安全相关？即当无故障时仅由外部场景/环境输入即可诱发功能不足，导致该功能偏离？如预期功能安全无关，则不做考虑。

以HWA功能的子功能“横向车辆控制”为例，子功能分解与偏离如表3所示。

2.3   危害事件

同样的功能偏离，在不同的车辆运行情况和外部场景中，会引发不同程度的伤害。考虑到具体至场景元素组合的风险评估，并不影响颗粒度较粗的危害识别与风险评估结果；同时更具体的场景分析会在触发条件分析中展开，因此需基于功能特点和场景元素特性对细分的场景进行概括，并组合得到危害事件。因此，功能偏离（即危害行为）结合具体危害场景可以得到危害事件，具体流程如图4所示。

场景状态由自身运行状态与外部场景状态组成。其中，自身运行状态分为车辆行驶状态和驾驶员与乘客状态；外部场景状态由道路类型、路面状况、道路设施、天气以及交通参与者构成。通过不同的场景元素组合得到不同的场景状态，与功能偏离相结合形成危害事件。以HWA的“横向车辆控制”子功能为例，通过功能偏离描述与场景状态相结合，形成一个危害事件：“车辆意外没有进行横向控制，高速环境下，与相邻车道车辆发生碰撞”，具体描述如表4下：

2.4   风险评估

风险评估的对象为结合场景后的危害事件。该部分主要涉及三个指标：严重性S（Severity）、可控度C（Controllability）、暴露率E（Exposure）。通过综合场景要素及功能偏离时对车辆和人员的影响，综合进行评分。

严重性S：根据危害事件的严重性确定严重度等级，主要考虑人员受到的伤害情况。严重性分为S0-S3四个等级。一般情况下，相同速度下两车相撞的侧向碰撞严重度要高于纵向碰撞。其他类型碰撞，一般认为车与行人、二轮车碰撞在高速场景下发生均为S3，城市道路为S1-S2，停车场一般为S1。

可控度C：危害的可控性主要考虑功能偏离发生后，在当前场景下，驾驶员对车辆的控制能力。可控度分为C0-C3四个等级。一般认为，低速（30km/h以下）且驾驶员注意力集中，其他条件均为正常时，完全可控；驾驶员注意力不集中至少为C2；一般路面湿滑、天气不佳会引起可控性下降一个等级。

暴露率E：暴露率主要用于评价当前场景出现在该类别驾驶环境下出现的频率和时长，频率指出现的次数，时长指在该场景下暴露的时间。暴露率分为E0-E4五個等级。天气不佳的情况，暴露率不超过E2；路面湿滑的情况，暴露率不超过E2；临时现场设施出现的情况下，暴露率不会超过E2；匝道在高速形式中占比不应超过E3；高速上非机动车与行人出现的情况下，暴露率不应超过E2。

最终的危害事件考虑S或C不等于0的情况，用以做下一步潜在功能不足与触发条件识别分析的输入；E的评分不在危害识别与风险分析中体现实质性意义，主要与后期验证指标相关，会根据场景出现频率确定验证里程。

以HWA功能的子功能“车辆横向控制”为例，“车辆意外没有进行横向控制，高速环境下，与相邻车道车辆发生碰撞”危害事件的风险评估如表5所示。

对于危害事件001，属于典型高速路况，几乎每次驾驶都发生 ，因此暴露率E4；高速场景下发生侧向碰撞，会导致严重的受伤，严重度S2。危害事件002，天气不佳，路面湿滑，属于很少发生，暴露率E1；高速场景下发生侧向碰撞，会导致严重的受伤，严重度S2。危害事件003，隧道内出现行人或非机动车，很少发生，暴露率E0；一般认为车与二轮车或行人在高速场景下碰撞，导致危及生命的受伤（不确定能够幸存）或致命伤，严重度S3。以上三个事件中，对于高速场景下，车辆横向出现偏差，属于正常可控，因此可控性均为C2。

2.5   可接受准则

对应不同的功能偏离，可形成较多不同评估分值的危害事件；每一个危害事件会形成对应的风险可接受准则。一个功能偏离下，不同场景中形成的大量危害事件，可进行梳理、归类，最终一个功能偏离下会形成几到几十个危害事件，因此对应着形成几到几十个风险可接受准则。

当前，业内尚没有统一的系统性制定风险可接受准则的方法。本文参考了行业中的先进水平和人类驾驶员事故统计，提供了三种风险可接受准则的评估思路：

1）基于事故数据的判定：例如匝道行驶的事故率为0.75%，即驶过100次匝道，出现事故的概率为0.75次；

2）基于故障失效率的判定：根据功能安全中已有ASIL等级，确定故障失效率指标；

3）基于行业先进水平的判定：例如定位精度小于20cm；

在制定并记录风险可接受准则的过程中，还应对风险可接受准则的评估方法做出描述，主要包含：

1）解释为什么可以通过该接受准则，确定该类风险在可控范围；

2）挑选什么参考来确定风险可接受准则的具体量化指标。

以HWA功能的子功能“车辆横向控制”为例，可接受准则的描述如表6所示。

3    潜在功能不足与触发条件识别

3.1   流程

潜在功能不足与触发条件识别的主要目标在于识别系统局限性及相应的触发条件以及系统对触发条件的响应。其对应的输入输出如表7所示。

该部分流程主要分为定义危险、建立控制流程、识别不安全控制动作UCA（Unsafe Control Action）和识别触发条件并评估系统影响，如图5所示。

3.2   定义危险

基于2.5中所论述的风险可接受准则，形成相应的危险，并可适当延伸，找出可接受准则未能达到的后果，例如“功能非预期启用率低于1%”，则对应危险为“功能的非预期启用”。

以HWA的子功能“车辆横向控制”为例，定义危险描述如表8所示：

3.3   建立控制流程

在明确了危险定义之后，还需对系统的控制流程进行梳理并建立控制流程图，一般将从以下三个方面来展开分析：

1）确定流程中涉及哪些组件（或系统）；

2）确定系统间的交互方式（和方向）；控制动作（Control Action）为实线，信息交互为虚线；

3）确定系统间的交互/控制内容。

以HWA功能为例，图6为它的控制流程图。

3.4   识别UCA

根据控制对象与动作来源，可以列举全部的控制动作，并识别与3.2中定义的危险相对应的各类UCA。以HWA功能为例，图6中实线对应的控制动作即为该功能的全部CA。以“横向控制”为例，表9为UCA描述列表，其中“UCA001-意外未提供横向控制”，可对应表8中的危险“HWA-HZ-002 车辆因横向控制不正确而产生的危险”。

3.5   识别触发条件并评估系统影响

基于3.4中识别出的UCA，可进一步识别哪些类别的原因或条件会导致UCA的发生，从而形成UCA来源。识别的对象，主要覆盖发出控制行为的系统相关的信息傳递过程和控制行为本身。例如，意外提供车辆横向控制，可能是由环境感知有误、目标感知有误、定位有误等原因引起的。

基于确定的UCA来源可得到触发条件，本文主要从三个方面来识别触发条件：

1）该UCA来源所涉及的输入、输出重要参数或信号，识别相关接口信息；

2）该功能实现（含算法）的原理、逻辑和基本流程；

3）以上两点内容与场景元素之间的关联，即功能不足-触发条件的对应。

分析得到触发条件之后，将基于功能描述或开发人员描述，评估当前状况系统对触发条件的响应，并最后给出建议的安全机制。以HWA的子功能“车辆横向控制”为例，触发条件与安全机制如表10所示。

4    结论

本文基于预期功能安全理论，将系统分析方法与场景的识别与分析方法相结合，分别从规范与设计、危害识别与风险分析、潜在功能不足与触发条件识别三个方面进行研究，梳理形成了基于系统与场景双重分析的自动驾驶预期功能安全分析方法，并结合HWA功能的开发进行实践，分析得出HWA功能的建议安全措施，初步验证了该方法的可行性。随着自动驾驶的技术迭代，高级别自动驾驶功能也将逐步落地量产，预期功能安全作为安全体系中不可忽视的一环，其分析方法也应不断适应功能需求与发展，以降低整车安全风险，从而提高行车安全。

参考文献：

[1]郭菲菲，赵永飞，付金勇，姬广斌. 全自动泊车辅助系统的预期功能安全开发研究[C]//.2020中国汽车工程学会年会论文集（4）.，2020：545-551.DOI：10.26914/c.cnkihy.2020.023959.

[2]尚世亮，李波.车辆电控系统预期功能安全技术研究[J].中国标准化，2016（10）：58-62.

[3]李骏.中国预期功能安全的挑战与解决方案[J].智能网联汽车，2021（05）：12-13.

[4]刘法旺，李艳文.自动驾驶系统功能安全与预期功能安全研究[J].工业技术创新，2021，08（03）：62-68.DOI：10.14103/j.issn.2095-8412.2021.06.011.

[5]ISO. Road vehicles — Safety of the intended functionality： ISO 21448：2022 [S]. ISO， 2022.

[6]李波，付越，王兆，冯屹.中国功能安全（Functional Safety）和预期功能安全（SOTIF）技术和标准体系研究及进展[J].中国汽车，2020（07）：34-39.

[7]杨帅，张金换，钱占伟等.汽车安全多领域融合的研究与展望[J].汽车安全与节能学报，2022，13（01）：29-47.

[8]段顺昌，白先旭，石琴，李维汉，何冠男.汽车自动紧急制动系统控制策略的预期功能安全设计[J].汽车工程，2022，44（09）：1305-1317+1338.DOI：10.19562/j.chinasae.qcgc.2022.09.002..

[9]赵超，卜德旭，曹礼鹏，李克强，罗禹贡.强降雨场景下自适应巡航控制系统的安全控制策略[J].汽车工程，2022，44（08）：1117-1125+1236.DOI：10.19562/j.chinasae.qcgc.2022.08.001.

[10]郭魁元，吳飞燕，张通，王宇，张宏伟，秦孔建.基于FuSa和SOTIF的L2级驾驶辅助系统整车测试方法研究[J].中国汽车，2020（12）：21-24+60.

[11]姜建满，范贤根，崔玉顺. 基于贝叶斯网络的自动驾驶感知系统预期功能安全的分析研究[J].时代汽车，2022（17）：190-192.

[12]陈君毅，周堂瑞，邢星宇等.基于系统理论过程分析的自动驾驶汽车安全分析方法研究[J].汽车技术，2019，No.531（12）：1-5.DOI：10.19620/j.cnki.1000-3703.20190543.

[13]Z. Qidong et al.， “The Research on the Identification of ACC SOTIF Triggering Conditions Based on Scenario Analysis，” 2022 IEEE International Conference on Real-time Computing and Robotics （RCAR）， 2022， pp. 263-266， doi： 10.1109/RCAR54675. 2022. 9872207.

[14]李波，尚世亮，郭梦鸽，付越，童洪剑.自动驾驶预期功能安全（SOTIF）接受准则的建立[J].汽车技术，2020（12）：1-5.DOI：10.19620/j.cnki.1000-3703.20201017.