摘要：随着自动驾驶技术的快速发展，潜在的安全风险不断增加并日益突出。通过分析自动驾驶车辆可能出现的安全问题，提出了预期功能安全（SOTIF）的概念，并对比其与功能安全及信息安全技术的差异，定义了实现预期功能安全的技术路线。由功能定义出发，通过危害分析和风险评估、验证已知案例和未知案例，找出自动驾驶车辆可能存在的安全功能不足并进行功能改进，最终，通过整车集成、测试、验证和确认，从而确保自动驾驶车辆达到合理的功能安全技术水平。所形成的研究成果作为中国提案，为正在制定的国际标准（道路车辆预期功能安全）提供了参考借鉴。ADAS系统功能安全培训课程

1 引 言

随着汽车电动化和智能化的发展，自动驾驶技术逐渐走入人们的视野。2016 年 1 月，美国国家公路交通安全管理局（NHTSA）公开表示，将自动驾驶汽车系统认定为「驾驶员」，这为自动驾驶汽车上路行驶扫清了一大法律障碍。各大汽车厂商倍受鼓 舞，纷纷加快了各自自动驾驶技术的应用计划，预计 2017 年将开始有支持高速公路自动驾驶的车辆上市[1, 2]。

自动驾驶车辆离不开几项关键技术，其中，安全技术是自动驾驶车辆能否真正行驶在公共道路上的前提条件。2011 年发布的 ISO26262《Road Vehicles Functional Safety》道路车辆功能安全国际标准，为应对电控系统失效导致的安全风险提供了系统化的解决方法[3, 4]。但对于自动驾驶车辆，除了需要避免因电控系统故障而引起的安全风险，还需考虑电控系统在不发生故障的情况下的安全风险，例如：那些基于传感器输入环境信号进行决策和控制的系统， 如果传感器不能正确识别道路场景，处理算法针对所输入的信号采取一种危险的决策，从而引起安全风险。

2 自动驾驶技术等级分类

按照 SAE J3016《Taxonomy and Definitions for Terms Related to On-Road Motor Vehicle Automated Driving Systems》，即道路车辆自动驾驶系统分类和定义，将自动驾驶技术等级分为 6 类[5]（见表1）。

3 预期功能安全技术的概念

3.1 预期功能安全的定义

预期功能安全技术是指通过一系列确认和验证手段，探测和发现系统感知、逻辑决策、功能执行中的非失效不足，通过功能改进，使自动驾驶车辆在预期使用工况下达到合理安全水平的技术。

根据 ISO/TC22 国际组织的规划，预期功能安全标准首先针对 2 级及以下自动驾驶车辆，部分方法适用于 2 级以上自动驾驶车辆，以确保该标准是基于现有技术经验形成的成熟标准，同时不限制未来自动驾驶安全技术的发展。该标准是首个针对自动驾驶车辆的安全技术标准，对于规范和引导自动驾驶技术的发展具有重要意义。

3.2 预期功能安全与其他安全技术

由于自动驾驶车辆可独立于驾驶员，对车辆部分或全部行为进行控制，任何影响其感知、决策及执行的因素，都可能带来车辆危害风险。依据风险的不同来源及所需的安全技术，对比分析（见表 2）。

功能安全，主要针对由安全相关电子电气系统的故障行为而可能引起的危害，包括这些系统相互作用而可能引起的危害。

预期功能安全，主要针对因系统功能不足导致的危害，而非故障。预期功能安全是 对现有 ISO26262 功能安全技术的补充。功能安全技术中的危害分析和风险评估、危害评级（ASIL）等也适用于预期功能安全。

信息安全，主要针对恶意网络攻击对财产、隐私、车辆操作及安全的威胁。因此，功能安全相关系统可以是信息安全相关系统，而信息安全相关系统却不都是功能安全相关。信息安全虽然与功能安全属于两个不同的技术领域，但功能安全的技术开发流程却可以应用于信息安全，如危害分析和风险评估流程等。

3.3 预期功能安全的技术路线

为提升自动驾驶汽车的预期功能安全性，关键是改进车辆电控系统在各种使用场景中的功能不足。这需要基于已有功能定义，进行危害分析和风险评估，找出可能导致危害的使用案例，对于不可接受的功能不足予以改进。当识别出的全部风险都被有效控制后，再进行车辆常规验证和确认，即完成了自动驾驶车辆电控系统的开发。预期功能安全的技术路线如图 1 所示。

ADAS系统功能安全设计/SOTIF需求和测试实例/软件安全架构/硬件安全设计/安全测试技术高级培训mp.weixin.qq.com

预期功能安全的关键是如何识别出功能不足， 可通过 3 个步骤实现：（1）分析评估；（2）已知案例评估；（3）未知案例评估。下面将详细阐述。

4 功能不足的识别

4.1 分析评估

对于功能不足的识别，首先采用分析评估方法。考虑外部干扰对系统感知、决策或执行的影响，当这些影响结合了特定的使用场景时，将可能造成因系统功能不足而导致的危害。

干扰的来源包括：不利的天气条件、机械干扰、电磁干扰、噪声干扰及不良反射等。对于每类干扰， 分析时需具体列出可能存在的全部情况。例如：不利的天气条件包含了雨、雪、雾等。

分析完不利因素对系统的干扰后，需进一步识别出当系统功能表现不恰当时可导致危害事件的系统案例。采用 ISO26262 中的危害分析和风险评估方法，但需注意，预期功能安全中的严重度 S、暴露概率 E 和可控性 C 具有特殊性。例如：相比传统车辆，自动驾驶车辆发生异常时，车上人员需要更长的响应时间来采取干预措施。这将导致可控性评级升高， 而可能使之前被评为安全无关（具有 QM 等级）的事件，变为安全相关（具有 ASIL 等级）。

由于干扰和案例是客观存在的，为此，当完成分析评估后，对于发现的系统功能不足，需启动功能改进过程。

4.2 已知案例评估

已知案例评估是基于分析评估中识别出的车辆已知案例，对系统及其组件（传感器、决策逻辑和执行器）进一步开展验证和确认，确保其在已知案例中与预期的表现相一致，已知案例评估是证明系统达到预期功能安全水平的关键内容。

（1） 传感器的验证和确认。为验证和确认传感器具有正确的功能表现和抗干扰能力，可采用表 3 中的方法。

对于故障注入测试，某些情况下可通过仿真的方式进行，例如：对图像传感器，通过随机翻转图像序列的多个像素来模拟场噪声。

（2） 决策逻辑的验证和确认。为了对决策逻辑进行验证和确认，可采用表 4 中的方法。

对于噪音注入测试，可通过模拟错误的输入， 对决策逻辑结果进行检验。

（3） 执行器的验证和确认。执行器的验证和确认可采用表 5 中的方法。

（4） 集成验证和确认。当完成组件评估后，还需要对系统及整车集成后的结果进行验证，可采用表 6 中的方法。

针对已知案例，完成以上验证和确认后，对发现的系统功能不足，需启动功能改进，若无不可接受的风险，则进入未知案例的评估。

4.3 未知案例评估

由于自动驾驶车辆使用场景的高度复杂性，无法定义全部的案例，因而自动驾驶车辆的预期功能安全评估，最后是未知案例的评估，这主要依靠真实使用场景验证，包括表 7 中的方法。

当选用表中的方法进行真实使用测试时，应考虑测试场景的多样性和测试的时间长度，相关内容的计划可基于目标市场的分析和数据统计结果，并应给出计划制定的理由。测试结束后，若无不可接受的风险，则完成了系统的全部预期功能安全验证，证明系统达到了合理的预期功能安全水平；若存在不可接受的风险，则需进行下面的功能改进过程， 以提升预期功能安全水平。

5 功能改进

对于以上评估过程中识别出的问题，需要进行系统功能改进，以避免不可接受的风险。常用的方法见表 8。

对于方法 1、2、4，通常会带来成本的上升，当 不能采取这些方法提高安全水平时，可以考虑方法 5，对功能降级策略进行优化，以降低系统功能不足 的风险。例如：对于因系统功能局限（如：性能不足） 导致的风险，可采用主动靠边停车的方式。自动驾驶 车辆的外部干扰，还包括车上乘员可能的误操，相关的应对措施是，增加人员操作监控，当出现误操作时，对人员发出警示。

在完成功能改进后，依照预期功能安全流程， 重新对系统进行评估，直到全部风险得到有效控制。由此，完成了对自动驾驶车辆预期功能安全的开发和验证。

6 结 语

安全是汽车工业发展的永恒主题。通过分析自动驾驶车辆可能出现的安全问题，引出了预期功能安全的概念，并对比其与功能安全及信息安全技术的差异，给出了预期功能安全的技术路线。由功能定义出发，通过分析、已知案例验证、未知案例验证等手段，找出自动驾驶车辆系统可能存在的安全功能不足并进行改进，以最终达到合理的安全水平。

所提出的自动驾驶预期功能安全技术路线和方法为国际上正在开展的预期功能安全技术标准的制定工作提供了有益参考，而该国际技术标准是首个针对自动驾驶车辆的安全技术标准，对自动驾驶车辆系统预期功能安全技术开发和验证具有重要的指导意义。目前，中国已组建专家组正在积极参与预期功能安全技术的研究和国际标准的制定工作，通过借鉴和吸收国际上成熟的技术经验，结合国内技术发展水平，为将来国内开展相关标准的制定提供参考，这必将大大提升国内自动驾驶车辆的技术研发和安全水平。