内容提要：此文为该连载系列的“上”部分，具体从动机和目的、当前方法的挑战、提议的方法论（混合因果逻辑）等方面进行分析。

 摘 要 

自动驾驶汽车很有可能是一项潜在的革命性技术，但开发并证明自动驾驶汽车的安全性仍然是一个问题。自动驾驶安全有一些独特的挑战，这些挑战超出了传统安全工程实践的范围。因为自动驾驶行业大多数安全标准和方法最开始并不是为自动驾驶汽车开发的，所以它们具有明显的局限性和缺陷。我们认为自动驾驶汽车需要一个新的安全框架，为此提出了一种新的基于混合因果逻辑（HCL: Hybrid Causal Logic）方法的自动驾驶汽车安全框架，该框架结合了事件序列图（ESD）、故障树分析（FTA）和贝叶斯网络（BNs）。

《自动驾驶功能安全和SOTIF混合分析框架》专题连载共分为“上、中、下”三个部分。此文为该连载系列的“上”部分，具体从动机和目的、当前方法的挑战、提议的方法论（混合因果逻辑）等方面进行分析。

1、动机和目的

自动驾驶汽车有望成为21世纪最具变革性的技术之一。自动驾驶汽车有潜力改变城市、改善环境、为残疾人带来新的出行方式，甚至挽救生命。

自动驾驶汽车技术还有望解决一个重大的公共安全问题。在全球范围内，交通事故目前每年造成130多万人死亡，是5-29岁儿童和年轻人死亡的主要原因。美国国家公路运输安全管理局(NHTSA)估计，94%的交通事故可归因于人为失误。自动驾驶汽车可以很好地消除人为失误，并显著提高汽车安全性。保守估计表明，安全的自动驾驶汽车的广泛部署，每年可在全世界挽救50多万人的生命。

然而，开发安全的自动驾驶汽车比预期的时间更长、难度更大，部分无人车辆的安全事故动摇了公众对自动驾驶未来的信心。可见，开发可信、可理解和可靠的安全系统已成为自动驾驶行业的主要焦点。

不过，自动驾驶汽车具有一些特别的安全技术挑战，超越了传统安全工程的范围。主要体现在以下几个方面：

△海量的运行场景和“开放世界”中模糊的需求，使得整车级测试不可行

△没有人类驾驶员进行异常处理和接管，增加了系统复杂性和完整性要求

△传感器数据复杂、数据量大，具有不确定性

△无人系统失效模式的复杂性和不确定性

△缺乏对机器学习、随机算法和其他形式的归纳推理的明确要求和功能理解，导致难以应用传统的系统安全工程方法

△硬件、软件、环境和人类行为的交互及高度耦合

△在存在不确定性的情况下，缺乏既定的定量指标和风险评估方法来支持无人系统做出决策

△传感器、计算能力和算法快速发展，设计不断发生变化，既有方法和技术无法预测未来技术

除了该技术带来的新挑战外，自动驾驶汽车行业还面临着通过标准和当前方法证明系统安全性的挑战。因为当前自动驾驶汽车行业可用的安全标准和方法都不是为无人系统专门开发的，所以当前的实践是标准和方法的拼凑，每个都有自己的范围、假设和局限。

为了支持软件安全，传统功能安全标准侧重于系统简化、严格分析和经过验证的流程，但是无人系统通常使用高性能多核处理器，在不断变化的运行环境中运行复杂、多线程、非确定性算法，这些算法必须每秒将千兆字节的各种原始传感器数据转换为环境的表示符号。显然，最初用于嵌入式微控制器和传统反馈控制算法的功能安全实践可能不适用无人系统，这也是现代无人系统对传统功能安全标准中使用的范式提出的挑战。

因此，迫切需要一个解决无人系统安全基本需求的综合方法，那么，要求是什么？

在本连载中，我们首先提出定义安全框架的要求，然后基于混合因果逻辑（HCL）方法定义新的分析框架，从而帮助统一和改进自动驾驶汽车的风险评估和安全分析。

首先，我们通过识别当前方法的局限性，并确定自动驾驶汽车安全分析的基本要求，来说明新框架的必要性。然后，再通过结合分析和示例，展示HCL框架如何满足这些要求。

2、当前方法的挑战

目前，自动驾驶汽车的安全工程是使用多种方法组合进行的。虽然ISO26262功能安全标准是最完善和使用最广泛的方法，但是该标准在自动驾驶汽车分析方面也存在重大缺陷。不过，由于其重要性，ISO26262仍得到了最大关注，ISO21448、系统理论事故模型和过程(STAMP)、安全档案和新的UL 4600标准也被提出来补充ISO26262。同时，多个国家和组织正在制定大量标准、规范和白皮书。需要注意的是，我们讨论的并不是当前使用或开发中的所有自动驾驶汽车安全方法。

2.1 ISO26262和ISO21448标准

ISO26262功能安全标准是源自IEC61508的汽车行业标准，其与IEC61508类似，也使用简化的数量级风险评估模型来确定安全性能的目标等级，称为汽车安全完整性等级(ASIL)。硬件安全通过传统的可靠性工具（如失效模式影响、诊断分析“FMEDA”和故障树分析“FTA”）进行概率量化，而软件安全采用定性方法（如严格的设计过程和编码标准）。

另外，ISO21448标准扩展了ISO26262，采用基于场景的方法来分析系统的性能不足和触发事件，称为预期功能安全(SOTIF)。然而，其叙述性描述方法并没有为明确定义或量化场景提供清晰的框架。毕竟ISO26262是2011年针对传统汽车电子开发的，当时并未考虑自动驾驶汽车，因为在该标准最初制定时，自动驾驶汽车仍是一个未来愿景。因此，试图将标准扩展到新范式存在固有的困难。同样，ISO21448标准最初是为高级驾驶辅助系统和部分自动驾驶汽车开发的，这些标准密切相关，因此将它们一起分析是有意义的。

它们的缺点和局限性包括：

集成和综合能力

•未覆盖由人为错误、组件交互、环境错误和其他系统故障导致的失效。

新技术适应能力

•没有方法满足深度学习的安全要求。

•新技术和无人参与使安全性复杂化。

基于场景的分析能力

•当复杂的交互模糊了功能的明确定义时，一次分析一个功能失效的模型可能不合适。

•功能分析可能会遗漏规范错误和紧急问题，很难得出完整的运行场景列表。

•ISO21448没有为识别、记录和量化场景提供充分的分析框架。

可维护和高保真能力

•ISO26262没有充分解决车辆生命周期中的环境影响，例如定期测试、退化等。

定量评估和可论证模型

•难以为ISO26262暴露度和可控性评估提供统计上有效的失效率，这可能导致在选择这些参数时出现偏差。

•没有为无人系统开发定量分析方法和指标。

2.2 UL4600标准

用于评估无人产品的UL4600标准是最新的标准，也是第一个明确针对无人系统的标准。它采用基于安全档案的方法，包含了机器学习和无人系统验证指南。

我们仅作几点评论：

集成与综合能力

•UL4600是一个基于目标的标准，并未指定特定的风险评估或安全分析方法，例如UL4600推荐的一种风险评估方法是贝叶斯估计，但没有提供进一步的指导。

•标准中列出了大量可接受的方法，但对整合它们的指导有限。

定量评估能力

•UL4600需要大量其他标准未涵盖的量化安全指标，但未提出计算方法。

标准的兼容性

•UL4600旨在补充而非替代ISO26262和ISO21448，并提供交叉引用以证明兼容性。为了让补充方法被接受，重要的是证明与国际标准的兼容性。

需要注意的是，由于UL4600是围绕安全档案模型构建的，它也继承了该框架的一些局限，如下所述。

在某种程度上，以上讨论的所有标准基本上都是面向目标和非规定性的。因此，为了更清楚地了解当前问题，我们再审查一下标准中引用的一些基础方法的潜在弱点。

2.3 安全档案框架

安全档案是结构化的论证，通常是图形化的，由旨在证明系统足够安全的证据支持。安全档案的常见方法包括目标结构符号(GSN)和索赔论证证据(CAE)。

ISO26262和UL4600都需要安全档案框架。虽然UL4600标准完全围绕安全档案方法构建，但ISO26262仅对安全档案提供了最低限度的指导。而且，这两个标准都没有完全规定安全档案构造的细节。

安全档案有以下一般问题：

定量评估与可论证模型

•安全档案通常是定性的，在没有额外分析工具的情况下，无法提供一种估计失效概率或评估置信度的方法。

可论证模型和基于风险的评估以及集成和综合

•安全档案论证可能仅限于可能的或预期的结果，而不是最坏的情况。证据可能导致确认偏差，尤其是重要因素被忽略时。

可维护模型和可论证模型

•汽车安全档案可能缺乏论证，只是流程合规的大量文档。缺乏关于安全档案有效性和价值的公开证据和共识。

理论上，安全档案框架可用于进行任何类型的论证，但实践上还没有任何结构化的方法来进行基于场景的评估。例如，UL4600版本的安全档案提出了一个不参考运行场景的故障模型。

2.4 STAMP/STPA框架

系统理论事故模型和过程(STAMP)是基于系统理论的事故模型，系统理论过程分析(STPA)是源自STAMP的危险分析过程。在ISO21448和UL4600中都引用了STAMP和STPA，但这不是必需的。

STPA基于分层控制模型的系统理论概念，在模型的每一层之间具有反馈控制回路。该模型可能包括任何类型的反馈循环，包括软件、人员、组织和社会交互。该分析使用基于关键字的方法来识别不安全的控制行为(UCA)及其系统原因。

由于STPA在处理复杂性方面的优势，无人系统从业者对它的兴趣日益浓厚。然而，应该注意的是，STPA主要是一种危害分析技术，而不是一种风险评估技术。

强调几个关键问题：

基于风险的评估、定量分析和标准兼容性

•STPA不使用基于风险的方法（即明确排除可能性），这限制了其在决策中的效用，并使其与基于风险的标准不完全兼容。

纳入不确定性

•STPA不是定量的，不考虑因果模型中的认知不确定性。

基于场景的分析

•STPA没有为基于运行场景的分析定义任何框架，尽管可以对其进行调整以用于此类分析。

2.5 传统的PRA框架

我们提出的HCL框架是传统概率风险分析(PRA)的扩展。为了完整性，我们简要分析下传统PRA的优势和劣势，以便评估其他框架如何弥补这些劣势。

当前的自动驾驶汽车标准均不推荐核能和航空航天领域普遍采用的结构化形式的PRA。但是，ISO26262和UL4600确实引用了PRA从业者熟悉的许多工具，包括FMEA、FTA和事件树分析(ETA)。

下面列出的挑战是指传统的PRA，但它们应该同样适用于非集成的分析工具或过度简化的使用。

高保真

•识别复杂风险场景、二元逻辑的局限性和确定性因果关系。

•对直接线性因果关系和事件独立性的假设不足，未能考虑随着时间的推移而发生的变化。

集成和综合、适应性

•对社会技术因素（例如，组织因素、安全文化）、组件交互、设计错误、人类行为和复杂依赖关系的考虑不足。

可论证的模型、高保真度和纳入不确定性

•分析依赖于假设，设计模型不准确地预测系统行为，对不确定性的处理不充分，分析的科学依据不足。

关于其他基本要求，PRA本质上是基于场景、风险和定量的。贝叶斯更新可以实现可维护性，但它缺乏HCL模型根据时间调整模型的一些灵活性。

在接下来的章节中，我们将更详细地讨论HCL如何解决上述局限性。简而言之，随着贝叶斯网络(BN)层的加入，HCL模型不再是“线性因果”模型，传统PRA的局限也得到了解决。

2.6 新框架的基本要求

从上面的讨论可以看出，现有标准中没有一个真正为风险评估和安全分析提出过一个连贯、综合和全面的框架。新的UL4600标准可能是最接近的，但其以目标为导向的方法是一种备选方案，而不是一种完整的方法。显然，这需要一种结构化方法有逻辑地集成系统安全工具。

从而，我们为理想的自动驾驶风险评估和安全分析框架创建了一份简明的高级要求列表。表1中的每个要求都直接源自上述主题之一，并试图以正面要求的形式简明扼要地总结文中提出的问题。

表1：新框架的基本要求

为了说明一些需求之间的相互关系，我们还将它们组织成集群。鲁棒性集群中的要求与模型的能力有关，即其完整性、准确性和灵活性。决策集群中的要求会影响模型对风险知情决策的有用性。验收集群与模型在整个生命周期中的有用性相关，例如它是否会被利益相关者接受并长期维护。

3、提议的方法论‍：混合因果逻辑

混合因果逻辑(HCL)是传统PRA的扩展，它使用由事件序列图(ESD)、故障树分析(FTA)和贝叶斯网络(BN)组成的三层互联模型。顶部ESD层代表要分析的危险场景，场景在高级别（功能或行为）上进行评估，并分解为离散关键事件的时间序列，这些事件决定了场景最终状态的路径，这可能是安全或不安全的结果。ESD类似于传统的事件树，但它们提供了一些额外的建模灵活性。虽然ESD以前用于评估故障引发的场景，但我们调整该方法来纳入特定运行场景引发的ESD。

中间故障树分析层通常代表系统中硬件、软件和人员的故障逻辑。ESD中的每个关键事件通常都与故障树中的顶部事件或BN中的一个节点相关联，从而进一步扩展了相关的因果逻辑。

模型的底层BN层，最初是为了获得非确定性的因果要素，如人、环境、软件和组织因素。连载的后续将展示BN层如何对复杂的自动驾驶算法和行为进行更准确的建模。下面的图1概述了HCL模型的结构。

图 1：HCL模型的一般结构

3.1 HCL在各行业的应用

HCL方法为传统的PRA框架增加了新的功能和灵活性，解决了传统FTA和ETA方法的已知缺点。HCL是一种相对较新的方法，但它已经成功应用于许多复杂、高风险的行业。

本连载讨论的自动驾驶HCL框架是与商业自动驾驶技术的领先开发商合作开发的。这为框架的早期应用提供了宝贵的反馈，从而改进方法，并增强了对其有效性和实用性的信心。然而，由于该框架的全面应用仍在进行中，我们可以寻找其他行业的应用来评估HCL方法的最终潜力。

迄今为止，HCL最大的应用之一是为荷兰的空中交通安全开发了一个基于HCL的综合因果模型。该模型涉及1400多个事件和5000个概率关系，与美国和荷兰的历史事故数据进行了对比验证。而荷兰模型扩展了美国FAA SASO项目的研究，该项目是为了开发一种混合因果模型，作为美国商用航空安全整体系统方法的一部分。

NASA有一个无人太空安全项目，已经完成了第一阶段，该项目旨在开发一种基于HCL的方法，以确保无人太空任务的弹性。在他们的报告中，NASA强调了基于HCL的方法对自动驾驶汽车和无人机的适用性。在HCL出现之前，ESD层已经是NASA分析复杂事故场景的标准方法。例如，国际空间站风险评估使用ESD分析了400多个不同的事故序列。

在交通运输行业，HCL方法已应用于案例研究，以开发基于中国28种事故场景的船舶沉没风险模型。另一项研究分析了50份船舶碰撞事故报告，以开发船舶碰撞风险的HCL模型，该模型用新加坡海峡的年度碰撞频率数据进行了实证验证。

在铁路应用中，HCL用于分析高速铁路上的自动列车保护系统，包括不确定的社会技术因果关系。

在核工业中，Diaconeasa开发了一个基于HCL的仿真框架，用于分析核电厂领域中高度动态和复杂的事故场景。另一项研究使用基于HCL的方法将人的可靠性分析整合到传统的核电厂PRA中。

在石油行业，HCL被当作传统的基于障碍的风险分析的扩展，他们发现它在必要时提供了额外的建模灵活性。另一项研究应用HCL将不确定的社会技术因素纳入海上火灾风险的评估中。

在炼油行业，有人开发了一个HCL模型来评估加工厂的安全文化并将其纳入风险评估。在最近的一项研究中，开发了一种基于HCL的方法，将人类可靠性分析纳入炼油厂风险评估，该评估基于各种来自现实世界的操作输入。

除了严格的HCL模型之外，还有大量关于将纯BN方法应用于风险评估的例子。纯BN方法的成功应用，也支持所提出的基于HCL的方法，因为它们展示了独立BN层的能力。HCL的优点之一是它允许灵活地合并多少BN层。然而，BN的力量和灵活性是以增加复杂性和资源投入为代价的。HCL方法允许分析人员为其应用选择正确的平衡。

HCL方法已在多种应用中得到证明，但尚未有人尝试将HCL应用于自动驾驶车辆。下面，我们看下HCL建模如何满足上述针对自动驾驶汽车的安全分析框架所确定的基本要求。

3.2 HCL满足基本要求

本节的目的是评估HCL在自动驾驶中的应用。我们可以从评估它如何满足上面表1中列出的自动驾驶安全分析的基本要求开始。

集成和综合能力

HCL具有明显的集成性和综合性，因为它能够考虑所有感兴趣的自动驾驶安全分析因素。HCL及其组成的BN之前已用于自动分析的许多感兴趣的领域，包括软件安全、组织因素、人员绩效、复杂交互和安全性。

HCL为集成ESD、FTA和BN以及间接结合其他分析工具（如FMEA或马尔可夫链）提供了逻辑上下文。还可以将HCL集成到现代基于模型的系统工程框架中。

高保真度

HCL的底部BN提供了强大的建模能力和灵活性。由于其不仅可以涵盖所有要素，而且可以模拟要素之间非常复杂和不确定的关系，因此实现了高保真度。

在将故障树映射到贝叶斯网络的一些文章中表明，BN本质上比故障树更强大，因为它们是一种更通用的逻辑形式。新增的关键功能是多状态变量，以及对变量之间的直接和间接依赖关系进行建模的能力。BN本质上比FTA更适合表示组件之间的复杂依赖关系，并在建模中包含因果要素和不确定性。

适应新技术

上述建模能力也支持对新技术的适应性。ESD和FTA层为基于场景的分析提供了一个强大且经过验证的框架。最重要的是，新颖的三层HCL架构允许仅在需要时使用强大但更复杂的BN层，从而帮助模型适应不断变化的技术（和建模需求）。

HCL的灵活性和适应性，使得其在其他新兴无人领域得到应用，目前正在研究开发用于无人船舶和无人航天器的HCL模型。连载后续，我们的示例将通过演示如何轻松调整事件序列分析以适应多种自动驾驶汽车运行场景，从而展示HCL的适应性。

基于场景的分析

自动驾驶汽车安全分析的新挑战之一，是需要识别各种“开放世界”运行场景中的危险。而传统的PRA和HCL是基于场景的，是从相对较少的运行场景或模式衍生出的大量事故场景。在我们建议的自动驾驶汽车框架中，我们将修改传统的PRA方法，以更好地处理大量的自动驾驶汽车运行场景。

在传统的PRA和HCL应用中，ESD层中的触发事件(IE)是系统故障。对于自动驾驶版本的HCL，我们将调整ESD，以便每个ESD的IE是发生在特定运行场景的。在特定运行场景的背景下，系统故障将被做为ESD中的关键事件。这种基于运行场景的方法将有助于确保危害分析和风险评估(HARA)的完整性和功能安全概念(FSC)的充分性。这个概念将在后续的自动驾驶示例中进行演示。

基于风险的、量化分析和纳入不确定性

基于风险的、量化分析和纳入不确定性的要求是HCL固有的关键特征，并且在很大程度上继承了传统的PRA。HCL通过将模型不确定性（例如，噪声门）与传统数据不确定性相结合，增强了对不确定性的包容性。

目前汽车行业基于风险的定量分析方法，如ISO26262，在范围和能力方面都受到了限制。另一方面，针对复杂系统（如STAMP）的面向系统的方法，既不是基于风险的，也不是定量的。显然，新HCL可以通过有意义的概率数据和明确公认的不确定性来弥补这一差距。

可论证模型

当使用典型的图形工具（如目标结构符号GSN）时，可论证且可解释的风险论点是安全档案方法的一些优势。HCL的树和图结构应该能够提供类似的好处，允许应用程序领域专家帮助构建和理解模型。

假设和论证可以在HCL模型中明确表达，类似于它们在GSN图中的显示方式。事实上，值得注意的是，包括GSN的发明者在内的几位研究人员已经展示了如何将GSN安全档案转换为BN，以提供定量支持的模型论证。

可维护性

对安全档案和PRA以及任何不良安全文化的产出物的批评，可能会使它们变成纸上谈兵。新的自动驾驶汽车安全方法需要在产品的整个生命周期中具有可维护性和可预测性。

贝叶斯概率方法，本质上具有根据不同类型的新证据更新分析的能力。对于HCL，此更新可应用于BN级别或FTA、ESD中的单个组件。贝叶斯更新方法在最近的自动驾驶汽车安全研究中显示出了前景，我们相信这种更新能力将为在整个产品生命周期中维护决策模型提供关键动力。

尽管诊断和预后不是当前研究的重点，但HCL和BN在这些领域也显示出巨大的效用。其执行实时风险评估和生成可操作的参考的能力，可以为整个生命周期内维护HCL模型提供强大的动力。

标准兼容性

最后，HCL方法只是更大的安全生命周期过程的一部分。显然，将HCL融入ISO26262标准等既定框架非常重要，否则不符合行业标准，可能会导致公众、评估人员和监管机构无法接受。后续，我们将展示HCL如何与功能安全工作流程及可交付成果联系起来的。

3.3 评估框架与需求

基于上述分析，下表2显示，HCL方法满足自动驾驶汽车安全框架的所有基本要求，而其他每种方法都存在一些差距。

表 2：评估框架与需求

根据对比上述挑战，ISO标准在鲁棒性方面存在局限性，明显缺乏全面性。而UL4600和安全档案方法允许建立更稳健的模型，但它们没有为决策提供明确的定量方法。至于STAMP/STPA方法也很稳健，但其对可能性的明确拒绝，使决策成为一项挑战。传统的PRA满足了部分要求，但是需要在HCL框架中添加BN层才能完全覆盖要求。

更多内容，请关注：自动驾驶功能安全和SOTIF混合分析框架（中）：HCL开发阶段和方法”，关注牛喀网，学习更多汽车科技。

作者：SCCM特邀专家
牛喀网文章，未经授权不得转载！