*本文翻译自Juan R. Pimental所著Safety of the Intended Functionality (SOTIF) Book 3 - Automated Vehicle Safety Series，中文版权归轩辕实验室所有

汽车的世界准备好了迎接自动驾驶(AD)，而先进的驾驶员辅助系统(ADAS)增加了他们对车辆控制的信心。因此保证AD/ADAS应用程序的系统安全，包括符合ISO 26262的经典功能安全，以及预期功能安全(SOTIF)等尤为关键。然而，风险是始终存在的。项目中的所有安全活动都需要有一个危害分析和风险评估(HARA)，包括所有相关方面，如操作情况、功能描述和其他参数。

从AD/ADAS的描述来看，HARA将是一个复杂的任务。我们演示了一种ADAS系统中HARA的复杂性管理方法。得到了由故障和外部原因造成的潜在危险的可管理的概述，并定义了SOTIF验证目标。

1 简介

根据ISO 26262-3, HARA由态势分析和危害识别、危险事件分类和安全等级确定组成。安全级别在很大程度上决定了安全生命周期的进一步阶段，直到安全验证。

预期功能安全 (SOTIF)是安全生命周期的扩展。而功能安全则涵盖了故障行为所造成的危害(即与设计意图相关的项目的非预期行为)，DPAS 21448“意图功能的安全性”描述了一个特殊的安全生命周期，解决了预期行为的性能限制或用户合理预见的滥用。这个生命周期包括SOTIF HARA。根据ISO 26262，我们认为SOTIF HARA是HARA的延伸。

以下特征将与SOTIF相关的HARA与ISO 26262-3中描述的HARA区分开来

•危害分析:尽管严重性和可控性评估使用相同的量表，但它们对SOTIF危害的判断是特定的。

•安全级别没有特别规定。“可接受的风险”一词在文件中经常使用，指严重性和可控性的可接受性(分别为S0和C0评价)。

•SOTIF HARA包括验证目标的指定。显然，验证目标的指定也需要指定验证方法。

后一点可以用不同的方法解决。DPAS 21448建议在公共道路上进行真实世界的驾驶考试。一旦在验证中安装了该系统的车辆行驶了规定的公里数，考虑到给定的区域和危险事件的类型，它们的统计数据可以与现有的人类驾驶统计数据进行比较。这里可以应用GAMAB原则:如果自动化功能的性能至少与人类驱动程序一样安全，则可以认为它是安全的。

根据ISO 26262，危险识别是基于情况分析，而情况分析又包括操作情况和系统的操作模式。意思是，一个HARA有多个不同的情况，往往只是细微细节上的区别。将驾驶统计数据拟合到如此详细的状态描述中并不一定可能的，或者可能过于武断。除此之外，由于其复杂性，许多情况的管理都是有问题的。本文使用的参考原包含了一个AD系统需要考虑的20种运行状态，分析了28种情况。在560个可能的组合中，选择了166个作进一步考虑。这些条件与23种可能的环境条件相反。选择1080种结果情况进行最终分析。在对情况进行聚集并添加可能的故障之后，最终的分析电子表格包含1867行，每一行包含一对情况和一个危险事件。

在下一章中，我们将描述一种通过重新设计风险产生过程来降低HARA复杂度的方法。最后给出了该方法的一个应用实例。讨论了其可行性、优缺点。最后，对今后的工作进行了总结和展望。

2 SOTIF HARA和状态空间爆炸

状态空间爆炸问题是一个来自计算机科学的术语，特别是来自算法的形式模型检验领域。从本质上说，状态空间爆炸是一种情况，在这种情况下，随着要考虑的参数数量的增加，系统可能出现的状态数(模型检查器应该考虑的状态数)呈指数增长。通过类比，我们可以讨论HARA的状态空间，即所有需要分析的潜在危险情况。

HARA组成

HARA的目标是针对系统的不同用例分析系统中存在的危害。因此，HARA潜在的危险状况是建立在这两者的叠加之上的。下面，我们分析生成危害和用例的过程，即风险生成过程。

危害

根据ISO 26262, HARA是在一个项目上执行的，即在车辆水平上实现的功能被分析。危害表示为项目的功能失效模式。通过分析技术系统的组成和工作原理，可以对技术系统的失效模式进行评价。

对于SOTIF，有问题的功能通常是由AD/ADAS接管的驱动程序职责的一部分。这一功能的调整应该包括驾驶员的任务分解(因为人类驾驶员并没有有意识地区分纵向和横向动力学中的控制任务)和子任务，这些子任务过去由驾驶员解决，现在将被自动化。这里要考虑的故障模式是驱动程序的故障模式，即在完成与驱动相关的任务时可能出现的故障，因为驱动程序现在已经脱离了循环。HAZOP使用由引导词和信号名组成的矩阵来生成一组可能的危险。然后对生成的集合进行可信性分析。然后排除信号和引导词的不合理组合。然而，根据我们的经验，我们几乎不可能排除HAZOP预先指出的与驾驶员相关的危险，因为驾驶员在控制车辆时容易犯非常不同的错误。

用例

HARA的用例包括操作状态、驾驶情况和环境条件。并非所有的环境条件都适用于所有的州，例如，对于被动安全系统(即在车辆碰撞后将对车内人员的伤害减至最低的系统)，路面是否在碰撞前很滑并不重要。但是，对于AD/ADAS函数，分析的对象是驱动程序的行为。很难预测哪些参数对驱动起作用，哪些不起作用，因此需要考虑大部分参数。除此之外，一个AD/ADAS功能应该在所有的驾驶情况下进行分析，无论是在它打算使用的情况下，还是在它不打算使用的情况下。

3 HARA和隐马尔可夫链

驱动(实际上是任何过程)可以以转换图的形式表示(参见图1)。该过程将描述危险事件(如事故)的发展，即正是HARA研究的那些事件。

在“危害”(更准确地说，“危害”考虑的是驱动程序或ADAS/AD系统做出错误决策时的情况)下考虑与驱动程序相关的过渡部分，而在“用例”下考虑与驱动程序无关的过渡部分。用例的概率构成ISO 26262兼容的HARA的“暴露”(E)参数，而危害和“无事故”状态之间的转换概率防御了“可控性”(C)。它不能直接从图1所示的半马尔可夫链推导出来。

本节标题中的“隐藏”一词指的是这样一个事实，即不可能直接测量许多概率和链式反应的速率。交通统计数据的主要来源是事故统计数据，也就是说，我们在这里处理的是一个统计数据被扭曲的样本，因为我们永远不会知道有多少人经历了危险并设法避免了事故。

如果过渡的概率分布形式及其参数已知，则可以计算系统处于半马尔可夫链各状态的概率分布。对于图1所示的转换图，转换次数是以下集合的幂:

每个转移都由一个特定的概率分布控制，它不仅在参数上不同于其他分布，而且在形式上也不同。

本文的方法曾经是通过改变原模型下的半马尔可夫过程的转移图，使概率分布的集合更小同时仍然能够提取HARA-relevant信息以及验证结果与交通事故统计，并生成一个关于SOTIF验证的建议。

图1 半马尔可夫链表示通过HARA研究的过程

图2 道路交通风险模型

4 风险产生过程的重组

道路交通是人类活动中非常规范的领域。它不能被认为是布朗运动。训练有素的驾驶员的道路行为特征是在实际驾驶情况的影响下，而训练有素的驾驶员的道路行为特征又是由天气条件、道路类型、其他交通参与者的行为和其他参数决定的。

为了最小化用例的数量，将它们绑定到一些容易识别和度量的东西是有意义的。对于AD/ADAS系统来说，采用人类驾驶员的教学过程证明的方法是有益的，即在不同的交通情况下对系统性能进行基准测试。选择交通情况作为风险发展的一个里程碑，是由使用不同类型道路的统计数据的相对可达性来证实的。此外，事故统计通常会提供事故发生前的驾驶情况，以便更容易地考虑事故发生的原因。只要装有自动驾驶系统的车辆只占道路上车辆的一小部分，那么从人类驾驶员那里获得的驾驶统计数据的使用是有效的。只要没有配备自动驾驶系统的车辆数量激增，实际的驾驶统计数据就会为驾驶安全重新设定基准。

图2显示了一个将驾驶情况作为风险的重要预测因素来实现的模型。根据模型，我们假设在初始阶段(如停车时)，存在低风险或背景风险的情况。从这里开始，风险随着驾驶情况的不同而增加。为了说明这一点，我们定性地比较了在没有交通工具的多车道公路上驾驶与在有交通工具的单车道公路上驾驶的风险，并得出结论，后者的风险高于前者。然而，我们的目标是通过事故发生的概率来定量地估计风险，并对可容忍的风险进行震慑，然后将其作为AD/ADAS验证的目标。因此，我们需要如上所述的半马尔可夫过程，我们通过对图1所示的链进行修改，并考虑到风险模型，从而得到半马尔可夫过程。

图3描述了可用于HARA的半马尔可夫链的过渡图。对于图3所示的转换关系图，转换的次数是以下集合的幂：

通过比较(1)式和(2)式，可以有把握地假设，图2产生的半马尔可夫过程比图1的转换少得多。

图3 HARA的半马尔科夫链

5 自动禁止制动（AEB）的例子

马尔可夫链解决方案

为了说明所提出的方法，我们将研究一个用于AEB功能的HARA。

自动紧急制动(AEB)检测即将发生的向前碰撞，以避免或减轻碰撞。这些系统首先提醒驾驶员采取纠正措施以避免撞车。如果驾驶员的反应不足以避免碰撞，AEB系统可能会自动刹车，以帮助防止或降低碰撞的严重程度。它现在也被引入乘用车。

对于AEB的HARA功能的实现有两个目标:首先，ASIL应根据ISO 26262来确定，其次，SOTIF验证的行驶距离应进行计算。HARA是在城市驾驶场景HARA的基础上进行的。通过蒙特卡罗仿真进一步验证了驾驶员的可控性参数。

SOTIF验证里程是通过概率方法计算的。

概率方法包括一个通过状态转换系统建模的多状态随机过程，如图3所示。为简单起见，所有的转移率都被认为是平稳的;这里我们可以用马尔可夫过程来代替前面所说的半马尔可夫过程。

用查普曼-柯尔莫戈罗夫方程描述马尔可夫过程中的逗留概率:

P是一个向量代表逗留概率和Λ是一个过渡矩阵元素λij表示状态之间的转换速度i和j。

在式(3)中，我们考虑的是相对于行驶公里数P(l)的概率，通过式子：

式(3)有分析解:

其中，pl为旅行l公里后逗留的概率向量，p0为旅行l公里后逗留的概率向量。P 0 =[1 0 0 0…0]­­­T，因为所有车辆总是从“正常、低风险”的状态出发。驾驶统计包括l(一辆车的平均年行驶里程)和Pl(一年内发生不同事故的概率向量)。Λ将产生所有状态之间的转移概率如图3所示;到事故发生的距离可以用相关转化率的倒数来计算:

式(5)显示,如果Λ是已知的,很容易靠近曾经预期的时间在每个驾驶事故的情况。验证可以通过在驾驶情况I下驾驶MDTA IJ公里，并证明没有发生违反安全的情况来针对驾驶情况进行。如PAS 21448附件D所示，可使用安全系数。

式(4)的解析解Λ涉及矩阵对数。矩阵对数涉及到计算一行的和，它只在一定条件下收敛(相反，表示矩阵指数的行总是收敛的)。因此,数值解选择涉及随机梯度下降法找到Λ。

转移矩阵的分区

转移矩阵Λ可以分成区域下面的式(6)：

其中D表示从初始的“低风险”状态转移到驾驶状态的概率，A表示驾驶状态与事故(包括非事故的“安全驾驶”)之间的过渡，O为适当大小的零矩阵。D部分取自流量数据[7]。我们的目标是确定一个满足式(4)的支点。

矩阵A本身也是稀疏的，因为驾驶情况和事故之间的转换不是任意的。表1显示了矩阵A中现有的转换(非零的转换速率)。

事故类型根据[7]进行选择:

1. 与启动、停止或静止的其他车辆相撞

2. 与前方行驶或等待的车辆相撞

3.与另一辆向同一方向横向行驶的车辆相撞

4. 与另一辆迎面而来的车辆相撞

5. 与另一车辆相撞而转入或横过马路

6. 车辆与行人碰撞

7. 在行车道上与障碍物相撞

8. 向左或向右驶离车道

根据HARA的驾驶情况:

S1。在重型运输中，以恒定速度行驶的车辆

S2。车辆加速，在重型运输中

S3。在交通繁忙的多车道公路上换车道的车辆

S4。车辆转向，在一个极端的曲线或在一个标记或未标记的十字路口，重型驾驶

在表1中，“X”和“P”都表示矩阵a的一个非零元素。“P”(意为“潜在地”)标志着只有在违反交通规则的情况下才可能发生的转移。考虑第1行S1列中的“P”。该组合是指车辆在交通繁忙时以恒定速度行驶，与行驶在其停车位上的车辆发生碰撞。根据交通法规，车辆在驶离现场前应让车辆通过。对于本例，我们假设与违反交通规则相关的转换比“正常”转换至少发生一个数量级(这个假设稍后可能被修改或完全忽略，因为它对方法不重要)。

表1 转移矩阵Λ的A部分中的非零转移

表2 到事故的中间距离(MDTA)，数千公里

表2显示了根据驾驶情况到事故的中间距离。这些数据是根据图3所示的马尔可夫链的转移率，利用式(5)得到的。

表2中所示的总里程与采用其他方法计算的总里程相当(其中15.3万公里是根据美国驾驶统计数据计算出的所有驾驶状态的MDTA)。

6 总结

在这项工作中，我们设定了降低SOTIF HARA复杂性的目标，同时仍然能够防御验证目标。我们从一个包含1867行(其中大约180行与AEB功能相关)的HARA开始。我们最终得到了一个SOTIF验证范围的计算模型，有32种相关状态(4种驾驶情况和8种可能的碰撞模型)，结果显示减少了几乎6倍。其余所有需要的信息都是通过驾驶统计和其他参考文件获得的。

除了SOTIF验证目标的计算外，上述基于马尔科夫的随机方法可用于估计任何其他与安全相关的参数，包括暴露和可控性参数。