内容提要：预期功能安全(SOTIF)是汽车行业的一个安全分析流程，解决的是系统在特定环境条件下性能不足，人为误操作，以及环境干扰造成的非预期行为。

预期功能安全(SOTIF)是汽车行业的一个安全分析流程，解决的是系统在特定环境条件下性能不足，人为误操作，以及环境干扰造成的非预期行为。

识别未知/潜在的不安全场景通常结合分析、仿真、台架测试和道路测试，本文通过开发用于推导 SOTIF 分析所需场景的结构化框架来支持该方法的分析部分，然后可以使用通过该框架得出的场景为仿真和测试提供信息。

1、SOTIF 概述

图1 展示了 PAS 21448 中描述的 SOTIF 过程中的关键步骤，本节将介绍 SOTIF 的概念。

图1 SOTIF 中的关键步骤

SOTIF 风险识别和评估步骤用于确定危险事件是否可能会导致确定的伤害。

PAS21448 将危险事件定义为潜在的系统危险和特定操作情况的组合。在 ISO 26262中，将车辆行驶情况定义为车辆使用期间可能发生的情况。

PAS 21448 描述了以下危险事件示例：

• 危险：      在    加速度时自动紧急制动意外激活；

• 行驶情况：在高速公路上行驶。

在识别出危险事件之后，SOTIF 将重点放在识别可能导致意外系统行为并最终导致一个或多个识别出的危险事件的触发事件上。PAS 21448 将触发事件（包括可预见的误用）定义为触发系统后续响应的、具有特定条件的驾驶场景。对触发事件的分析用于识别系统弱点以及可能导致已知危险事件的场景。

触发事件可以分为两类。

• 第一类包含超出系统和组件性能限制的事件。本文将此类触发事件定义为SOTIF类型 I事件。这一类别既包括传感器限制，也包括算法限制，例如机器学习和神经网络算法。举例来讲，高度自动化的驾驶系统可能在其预期的操作范围内行驶(例如，高速公路、天气情况良好)，但随后遇到的眩光路况，可能会超出前置摄像机的性能。

• 第二类包含人为因素限制，特别是在驾驶员 — 车辆交互接口方面。本文将此类触发事件定义为 SOTIF 类型 II事件。这一领域大致涵盖了几个人为因素问题，例如驾驶员未能将手放在方向盘上；驾驶员对系统能力和局限性的了解，以及驾驶员的责任；驾驶员理解和响应警告和警报的能力等。根据 SOTIF，人为因素限制不包含到故意滥用系统，例如故意忽略驾驶员接管请求或故意使用超越系统限制的产品。
  在 PAS 21448 中，触发事件发生的场景定义为从初始情景（环境快照）开始，通过一系列事件和动作（例如，触发事件和系统响应）演变的情景序列。情景有几个特征，包括动态元素、背景、 施动者和观察者的自我表现。
  根据 PAS 21448 和轻减策略是否充分降低 SOTIF 风险，情景可分为已知安全和已知不安全。

• 第三类，未知 —不安全，代表那些在系统设计时未知，通过长期车辆测试、模拟、随机输入测试和其他措施识别的场景。本文的方法试图通过使用更全面的分析来改进已知—不安全场景的识别。
  

2、方法

从技术角度讲，想要为SOTIF开发场景依然面临很多问题。本文描述的方法进一步扩充了现有的分类法，以产生可用于系统地派生SOTIF场景的变量分层框架。其目的是通过增加在系统设计开始时确定的已知不安全情景的数量，来实现对对策的更全面的分析和开发。框架没有涵盖系统功能或系统设计目标和参数等场景的某些元素。该框架旨在帮助确定车辆外部场景的各个方面。

业界为设计运行区域开发了顶层的分类法。分类法确定了6个顶层类别和22个直接子类别，如表1所示。

根据数十年来对致命车祸的历史原因的分析，FARS 数据库提供了基于几十年来分析历史上死亡事故原因的变量。虽然 FARS 没有区分人类驾驶员和自动驾驶系统，但 FARS 的参数仍然提供了对已知的具有挑战性的道路条件和自动驾驶系统可能需要驾驭的行为的一般描述。

本文进一步深化了上述的分类法，该分类法给出了200个变量清单，分为41个详细的子类别，这是 SOTIF 框架的一个特点。对于某些变量和情况，分析人员在应用该框架时可能需要考虑适当的“负面情况”。例如，有一个变量是“行人、骑自行车的人、其他非机动车驾驶者允许在道路上通行”。相应的“负面情况”是禁止非机动车驾驶者使用道路。负面情况没有明确地包括在框架中。

表2 为使用 FARS 道路类型变量的扩展框架示例。 

为了进一步弄清楚 FARS 和 PAS 21448 中的变量，并使其成为一个适合情景构建的结构，本文将每个变量分为永久性-区域性、永久性-地方性、复合事件或条件，或潜在威胁。

• 永久性-区域性  这些变量是ODD的特征，是构成情景的背景。永久 -区域变量不随时间或大的行程空间而变化。永久-区域变量的例子有道路功能等级、车道类型和允许的非车辆使用类型。永久 -区域变量由于其持久性和普遍性，可能最适合于地理编码。本文在永久 -区域类别中确定了31个情景变量。

• 永久性-地方性  这些变量不随时间的流失而变化，但在空间上是本地化的。从一个移动的参考框架（如车辆）来看，永久 - 本地变量可能只在旅行的短暂时间内遇到。一辆汽车在一次旅行过程中可能会遇到多个永久 -本地变量。每个永久性本地变量的组合可以代表由永久性区域变量定义的背景的不同变化。永久地区变量有曲线、山丘、桥梁和交叉口等。由于永久 - 本地变量在时间上是持久的，因此可以通过地理编码固定。例如，告知车辆即将到达的交叉口、隧道或其他类似特征。本文确定了44个永久本地类别的情景变量。

• 复合事件或条件 这些变量是在永久区域变量和永久局部变量所定义的场景中可能发生的临时事件和条件。对于空间中的一个固定点，复合事件或条件是初始场景中可能发生变化的那些方面。虽然一个复合事件或条件可能在整个旅程中持续存在（例如，下雨），但同样的复合事件或条件也有可能只在旅程的一部分时间持续存在（例如，短暂的阵雨）或在旅程之间发生变化（例如，天气可能在某一天是晴朗的，在第二天是下雨）。本文进一步将复合事件或条件定义为正常驾驶的影响变量。本文确定了75个复合事件或条件的变量。

• 潜在威胁  这些变量是那些与系统可能需要应对的特定道路威胁有关的临时事件或条件。与复合事件/条件不同，威胁代表意外的行为或偏离正常的驾驶情况-例如，其他车辆不服从标志或交通管制，或行人冲出路面。威胁可能是静态的（例如，停在原地不动或废弃车辆）或动态的（例如，有攻击性的驾驶员）。本文确定了50个威胁变量。

持续的区域性、持续的地方性、复杂的事件或条件以及威胁等因素，确定了初始场景的主要因素。图2显示了分配给 FARS 和 PAS 21448 变量的类别与纳入分类法的关系。

图2 变量的分类模型

PAS 21448 没有区分场景中的临时和永久因素。例如，PAS21448将“环境条件”作为背景元素的一部分。然而，本文提出的框架将环境条件（如天气、照明）归入复合事件或条件，类似于交通、物体和行人等其他动态元素。将永久变量分离出来，可以使系统有更大的信心预测场景中的元素。对于那些需要将车辆控制交给驾驶员的场景而言，这点特别重要。这些变量可能更适合于地理编码或绘图，以使驾驶员有足够的时间来重新理解场景，并接管车辆。

我们通过分析传感器的物理限制和算法的概率性质（第一类SOTIF事件）得出触发事件。用系统理论过程分析(STPA)等分析技术用来推导出潜在的驾驶员误操作场景（第二类SOTIF事件）。对于每个触发事件，构建初始情景，将触发事件与潜在的危险事件联系起来，以创建SOTIF场景。

3、场景推导实例

本文使用危险事件和触发事件框定了场景。请注意，存在其他开发场景的方法，本文只介绍了一种可能的方法，通过这种方法可以得出场景。为了说明本文使用的这个过程，介绍一个与车道居中有关的例子。这个功能的目的是让车辆在行车道上保持在中心线上。先前的一项研究确定了车道居中系统的危险性，一个相关危险因素即“在系统启动时脱离车道/道路”。

我们通过识别危险事件开始制定方案。对应于图1所示的 SOTIF 过程的第二步。我们应用永久-区域变量来制定危险事件的行驶状况。通过这个过程得出的一个危险事件的例子有：

• 危险：在自动驾驶系统启动时脱离车道/道路
  

• 运行情况：在双向的州际公路或高速公路/快速路的路肩车道上行驶。
  

• 潜在的碰撞类型：侧面擦撞（同向行驶）。

永久性 - 区域性变量与 PAS 21448 中提供的运行场景的例子基本一致。永久性 - 区域性变量确定了一个行程的总体背景，该背景可能是在系统参与的整个行程段中唯一持续存在的变量。在这个层次上评估危险事件时，可以对其他条件做出最坏的假设。

在行驶过程中，一些变量类别可能与特定情况无关。例如，在上面的例子中，路肩类型〈铺面/砾石与泥土）并不重要。省略一个变量意味着所有相关情况都作为所述行驶情况的子集。

触发事件的开发独立于危险事件，是基于系统限制和潜在的驾驶员误操作而来。请注意，本文只考虑SOTIF的第一类触发事件。触发事件的例子有：车道模型算法错误地确定了车道线。

• 在没有明确的车道标记的情况下，道路模型算法错误地建立了道路模型。

• 由于地标和环境之间的对比度不足，相机无法检测到地标。

在 SOTIF 流程中的这一环节，系统设计者可以考虑对功能进行改进，以降低触发事件(图1中的步骤4）的发生，并建立测试和验收标准（图1中的步骤5）。SOTIF流程中与场景开发相关的第二个步骤是确定已知的不安全情景（图1中的第6步）。

这一危险事件的运行情况框定了构建场景时要考虑的变量类型。例如，由于运行情况是针对州际或高速公路/快速路（即限制进入）的道路，在开发初始场景时只需要考虑某些交叉口类型-收费站/收费门和入口/出口匝道。

触发事件还可能框定构建场景时要考虑的变量类型。例如，为了开发与上述第一个触发事件有关的情景，只考虑可能影响车道标线检测的变量和变量组合。同样，为了开发第三个触发事件的情景，还考虑了影响车道标线和路面比对的变量。

使用框架中提出的变量，这里仅提供了三个危险事件和触发事件约束下的情景实例。如果您需要更加深入的SOTIF场景分析辅导，可以参加牛喀学城的技术培训或咨询服务，也可以购买我们的功能安全分析软件REANA，支持SOTIF分析、设计和验收指标评测。

4、SOTIF 标准以外的应用

本文中提出的框架可以扩展到 SOTIF 以外的领域，从而为自动驾驶系统提供一个复杂场景的分类方法。特别是，通过根据参考框架分离永久 - 区域和永久 - 本地变量，可以帮助描述车辆到基础设施（V2I）和改进的GPS地图（例如，用于地理围栏）场景。

在开发自动驾驶系统以及基础设施时，利用自动化系统和基建都适用的框架来确定场景，可以保持分析的一致性（比如，针对车辆系统更依赖V2I的情况)。使用该框架开发的SOTIF场景可以转化为V2I能改善车辆运行的场景。

5、结论

本文建立了一个框架，以帮助开发SOTF情景，文中提出了框架中变量的分类模式，以促进SOTIF场景的开发。某些变量被划分为永久性的，其是否为永久性取决于参考框架（即区域或地方特征）。非永久性变量被归类为复合事件/条件或威胁，其依据是正常驾驶时是否可以预判到该变量。

一般情况下，永久 - 区域和永久 - 本地变量在较长时间内，不会有什么变化，开发人员可以对其进行带有一定置信度的地理编码。如果为避免某些与永久区域或永久本地变量有关的危险事件（例如，分叉或合并车道)，SOTIF 的轻减策略包括了限制 ODD，则可以通过使用详细的地图和GPS，提前足够的时间来提醒驾驶员。通过这种方法，可以增加驾驶员完全控制车辆的概率。复合事件或条件和威胁的可预测性较低，因此不太适合于地理编码。例如，复合事件或条件或威胁可能突然出现，那么，就需要能快速将车辆的控制权转交给驾驶员。

我们可以组合框架中提出的变量，以开发出支持SOTIF分析的场景。本文中介绍了三个这方面的例子。在SOTIF过程开始时的分析过程中，考虑尽可能多的变量和场景，可减少用于识别未知的不安全场景所需的道路测试和仿真的工作量。

作者：SCCM特邀专家
牛喀网文章，未经授权不得转载！