登陆

应用预期功能安全（SOTIF）进行 AI 系统的安全设计

来源：公众号“ 牛喀网”

2021-09-15

1841

自动驾驶汽车面临的挑战

自动驾驶汽车（AV）的出现将彻底改变未来的交通和运输方式，为人们提供更大的行动自由。AV 需要更加丰富的智能化能力，才能够正式上路行驶。而这些智能化的能力，除了依靠多个传感器的算法输入，还需要给车辆提供高精度态势感知和持续掌握车辆实时动态。基于场景的复杂算法，以及车辆内多个 ECU 之间的相互通信，这些使智能化得以实现。

那么，AV 面临的真正挑战是什么呢？是车辆的实时计算并作出相应的动作，以避免不合理的风险。

AV 一般通过使用多个摄像头、LiDAR 和雷达等对大多数外部环境进行360度感知，并且使用不同的深度学习或深度神经网络（DNN）算法进行感知。比如，我们都知道许多高级驾驶辅助系统（ADAS）都具备发出警报并提供帮助的功能，用以改善驾驶体验。而对于L4 +的自动驾驶汽车，DNN算法还具备车辆自适应巡航控制（ACC）功能，并在处境不佳的情况下，除了发出警报外，还将帮助车辆平稳行驶或将其引至安全区域。

如今，为了保证包含电子和电气（E/E）在内的安全性，为了能够让各个软件组件通过严格的验证/确认，我们按照 ISO 26262 标准规范来设计 ADAS 系统。

即便如此，仍有由于“未知，不安全”而导致系统出现故障的可能性。在现实环境中，即便是ADAS硬件和软件正确运行的情况下，自动驾驶汽车也有可能处于未知和不安全的情况。纵观全球，汽车行业曾发生了多起事故和其他混乱事件，让人们认为自动驾驶技术表现十分糟糕。

图1：自动驾驶系统–安全性透视图（概念图）

人工智能有时也会导致系统故障，这是由于AI算法无法解析实时场景造成的，但这样的案例并不多见，例如：

支持AI的系统不足以实现环境感知和安全驾驶的操作。
由于算法不足或训练数据集不足，可能导致无法处理不同的操作条件、道路场景和驾驶区域。
对ADAS系统或AI系统，人为的误用和疏忽。
驾驶员疏忽了系统所提供的警报和警告（视觉/声音）。
驾驶员错误使用配置设置（ADAS系统设置或是自动驾驶功能的设置）,导致了AI系统的错误。
道路场景环境的动态变化。
检测到的静态对象变成突然的动态对象
检测到异常物体或移动的全息图像等
外部传感器不稳定/校准失准/故障（间歇性故障也有可能导致AI系统故障）
图像传感器校准或刷新存在问题
图像传感器间歇性故障
传感器的性能限制

用 SOTIF 的思维方式来攻克工程缺陷

在最新的ECU系统中，由于高度密集的代码密度和层出不穷的智能算法，系统发生故障的原因不再只是电子电气（E/E）故障，软件故障导致系统发生故障的可能性增加，这是因为AI或DNN算法被广泛应用于最新的ECU系统中。此外，通过精密巧妙的人工智能辅助系统，可分析驾驶员生物信息，以进一步支持L3的多项功能。而在这类的功能系统中，“场景到系统的反馈时间”则显得至关重要了。

SOTIF（预期功能的安全性）ISO/PAS 21448有助于避免由于实际预期功能的功能缺陷或人为的误操作而导致的不合理风险和危害。SOTIF可以应用于ADAS系统，以及任何其他可能导致安全隐患的应急系统，其中大多数的不合理风险和危害，可能并不是由于系统故障造成的。

图2：自动驾驶系统–安全性透视图（概念图）

请看如下两个示例系统：
—示例1：该系统采用一个多传感器，输入信号处理，然后进行深度神经网络推理，并通过视觉和音频警报，在用户HMI面板或数字仪表面板中更新结果。

—示例2：该系统采用多个摄像机传感器（具有更高的帧速率和分辨率），进行复杂的图像处理，然后使用深度神经网络算法进行分类。此外，通过另一个算法（或）功能模块使用分类结果+车辆参数，进行多次估算迭代，并为其他ECU和HMI面板生成控制参数。

在类似上述的这种智能系统中，设计人员应确保算法（或）半导体器件（或）接口（片上/片外）（或）所部署的平台，不会因为性能限制而产生任何意外的系统行为。

由于驾驶员参数设置不当等的“人为误操作”，可能会导致潜在的失效，从而影响“预期功能”。针对这类的危险事件模型，我们可以应用SOTIF来分析。设计人员通过应用SOTIF来分析危险事件模型，能够确定可能存在的所有“未知和不安全”情况，并有助于计算出适宜的系统响应时间预算，从而有助于避免发生性能限制的问题。

通过应用SOTIF以及分析环境场景，可以识别和评估场景并触发事件，设计人员不需要额外的操作，就可以完成“智能场景感知”系统的设计。

在识别危险事件时，SOTIF验证和确认方法，要把“预期功能和合理可预见的误操作（即人为误操作）”考虑在内。此外，如果智能系统涉及到的算法/功能，具有非预测行为，那么，这将会增加验证和自动化的复杂性。

如今，具有人工智能的Intelligent-Sense的新成像技术正在突飞猛进。具备这类技术的传感器，一旦被部署在ADAS系统中，对于SOFIT而言，“传感器性能和准确性”就变得尤为重要了，这是因为SOTIF在集成验证测试中需要保证端到端系统性能和预期功能。

因此，通过“实时道路场景VS误操作VS系统缩进功能”的组合，生成可能会导致的危险事件，分析这些危险事件的模型，将有助于推倒出危险发生的可能性，以及测试智能驾驶辅助系统的行为，从根本上避免潜在的危险。

一般来说，我们可以在Area1和Area4场景（请参见图2）部署和验证一般预期功能。而在Area2（请参见图2）场景，可以在系统级别对独立系统行为（具有预期功能）以及其他随机触发事件和相关的道路场景、可能存在的人为误操作、驾驶员对系统警报的疏忽等进行仿真和验证。另外，根据智能系统的功能，可以验证所部署的算法，并计算出端到端的响应时间，如此一来，就可以找出性能限制，并改进功能。

当处于“未知和不安全”场景下的Area3（请参见图2）时，可以在道路环境上生成综合场景，或触发事件（例如，高速公路、城市道路、交通状况、学校区域、医院区域、行人、车道交叉口等），加上使用硬件在环（HIL）设置进行黑盒测试，如此一来，便可对系统行为进行定性和定量评估。此方案有助于残余场景测试。

总结

智能驾驶汽车必须实时了解道路环境，在设计智能驾驶系统时，“智能场景感知“时是我们当前面临的巨大挑战。而SOTIF ISO/PAS 21448将会对自动驾驶汽车带来重大的影响，它能够解决智能驾驶开发中的功能不足和设计的局限性导致的风险。未来，人工智能更广泛应用于汽车系统设计，而我们将会见证SOTIF在安全验证方面所产生的作用。