一、为什么需要预期功能安全？

预期功能安全（SOTIF）是在自动驾驶技术发展的大背景下出现的，也是自动驾驶从L2到L3跨越的必然需求。根据SAE 2018年对自动驾驶等级更加清晰的归类（见下图），L3之后“当使用自动驾驶功能，您无需驾驶汽车”，这就给车辆安全责任划分了明确的界限，即“自动驾驶功能激活时，出现的交通事故，责任归车辆”。（虽然不排除驾驶辅助系统缺陷也会导致事故发生，但根据一般驾驶辅助（L0~L2）极度保守的功能定义，要求驾驶员必须完全处于正常驾驶状态，这就隐晦的给驾驶辅助功能排除了能够承担责任的安全目标）

因此，虽然驾驶辅助就需要使用SOTIF流程开发，但个人认为，高级自动驾驶功能的开发中，SOTIF才会发挥其更大的能量。

自动驾驶（L3~L5）的量产就会给开发人员带来怎样的挑战？

让我们从头说起！！

传统的交通事件中包含“场景（scenario）”“驾驶员（driver）”“自车（ego vehicle）”三个角色，驾驶行为分为“感知（sense）”“决策（plan）”“执行（act）”。

驾驶员拥有强大的感知（感官）和运算系统（大脑），以及明确的法律界限（驾照和交通规则），对于传统汽车开发人员只需要保证，汽车在人员特定的操作下按设计的预期执行。

汽车电气系统的复杂和运用环境的多样致使不可能完全避免软硬件故障的发生。为了解决这个问题，“功能安全”应运而生。（ISO 26262中原话如下）

功能安全通过5个步骤实现系统性保障，尽可能降低电子电气功能失效可能造成的风险：

但对于自动驾驶系统来说，仅降低因故障造成的风险远远不够。

当感知、决策和执行的任务都交给汽车时，每个方面都面临挑战。面对复杂的场景的处理需求，系统功能的实现好像总是受到不同程度的限制（例如，感知能力缺陷会导致不正确的分类、不正确的测量、不正确的跟踪、错误的检测、不正确的目标选择，不正确的运动估计等）。

但工程师们从不放弃，毫米波雷达、激光雷达、智能摄像头齐头并进，车联网、高精度地图强势加入，都在为提升感知的全面和精准而努力；性能不断提升的机器学习算法和处理芯片、越来越集中化的中央计算电子电气架构、更高传输速率的车载网络都在力求为车辆提供更正确的决策。

但目前的让驾驶员抱起双手仍然不太轻松。

预期功能安全（SOTIF）在这样的背景下，作为功能安全的补充，他自认为功能安全可以处理好软硬件系统故障的问题，汽车的安全风险来自预期功能不足或人员误操作。前面提到，单个部件的技术发展，都存在自己的性能瓶颈。

所以他通过规范化的流程，期望从系统层面做到功能设计完备。

举个例子：高速公路车道线检测算法用于车道保持等功能，可能会由于车道上的碎片而错误地确定车道。车道偏离造成碰撞的伤害可以被其它自动驾驶功能减轻，如：使用高清地图和定位确认车道线；通过前面车辆的轨迹合理化车辆轨迹；通过避碰算法与其他车辆保持分离，即使这意味着离开感知的车道。

二、如何实现预期功能安全？

自动驾驶有个很重要的概念：场景（scenario）。

汽车需要替代人处理道路中的所有交通状况，例如，前车的紧急制动、遇到交通信号灯、行人横穿马路等等，同时也要适应不同的天气路况等环境。我们通常将环境和交通的情况，包括自车应对这些情况所做的反应统称为场景。ISO PAS 21448-2019中强调场景是一段时间序列内事件的发展。

预期功能安全处理的对象就是场景，ISO PAS 21448-2019中将场景分为四类（如下图所示），SOTIF的目标就是：

1.区域2，通过SOTIF的改进流程进行管理，使得遇到这种情况的概率足够低。

2.区域3，通过行业最佳实践或其他方法（如设计措施、系统分析或专业实验）进行评估，发生的可能性足够小。

SOTIF不能百分之百消灭所有的危险场景，只是通过一定的管理流程或技术手段对系统功能进行修复，并通过一定的验证和确认（verification and validation）的策略提供足够的证据，证明残余风险降低到了可接受水平以下。

下图是标准中规定的预期功能安全工作执行的流程。

5：功能和系统规范的定义。

6：对预期功能可能存在的危险行为进行危害识别和风险评估。这里不考虑原因，只评估可能由危险预期行为导致的危险事件，并定义要满足的验证和确认目标。

7：识别和评估触发事件。重点考虑原因。

8：功能完善或用例限制，避免或降低SOTIF风险。在9、10、11章节都会应用到。

9：提出了一种验证和确认策略，以证明剩余风险低于可接受的水平。测试用例在这个阶段设计出。

10：在已知危险场景中验证SOTIF。已知危险场景是否被覆盖？系统和部件是否按预期工作？

11：在未知危险场景中验证SOTIF。系统和部件在真实场景中是否会引起不合理风险？

12： 剩余风险评估，通过验证和确认工作评估风险是被接受还是功能完善或用例限制。

总结一下，SOTIF对于高级自动驾驶的开发是非常必要的条件，但要实现高级自动驾驶的安全目标，还需要做更多的工作，例如功能安全、信息安全等。