自動駕駛預期功能安全（SOTIF）接受準則的建立

李波 尚世亮 郭夢鴿 付越 童洪劍

（1.中國汽車技術研究中心有限公司，天津 300300；2.泛亞汽車技術中心有限公司，上海 201201；3.博世華域轉向系統有限公司，上海 201821）

主題詞：自動駕駛 預期功能安全 接受準則 安全度量 場景優先度子集 測試評價

1 前言

多起因自動駕駛汽車引發的致命交通事故表明，依靠傳統的以質量保障（關注失效的預防和消除）為中心的車輛安全體系已經不能滿足自動駕駛車輛的安全保障需求，汽車工業領域亟需建立全新的自動駕駛安全評判準則體系。為此，國際標準化組織下設的功能安全工作組（ISO/TC22/SC32/WG8）于2018 年正式啟動全球首個自動駕駛安全國際標準ISO/PAS 21448《道路車輛預期功能安全》（Road Vehicles-Safety of The Intended Functionality）的制定工作，旨在為全球自動駕駛車輛的安全開發和測試評價提供技術指導。不同于ISO 26262《道路車輛功能安全》（對應GB/T 34590）關注并解決的是電控系統故障導致的危害，ISO/PAS 21448《道路車輛預期功能安全》立足對自動駕駛安全影響更廣泛的非故障安全領域，重點關注自動駕駛系統的行為安全，解決因自身設計不足或性能局限在遇到一定觸發條件（如環境干擾或人員誤用）時導致的危害[1-2]。因此，功能安全（Functional Safety）和預期功能安全（Safety of the Intended Functionality，SOTIF）技術為確保自動駕駛車輛在故障、非故障情況下的安全運行提供了根本保障。

本文從我國國情出發，通過自動駕駛預期功能安全分析和試驗研究，提出了基于量化思想的自動駕駛安全接受準則，建立了自動駕駛量化安全接受準則體系以及基于SOTIF 場景用例庫優先度子集的測試評價方法。中國提出的自動駕駛預期功能安全接受準則的定義方法和測試評價方法已成功寫入ISO 21448并作為主線貫穿全文，為后續基于更廣泛的中國目標市場研究和測試，不斷完善接受準則中的相關量化指標，更好地指導以我國為目標市場主體的自動駕駛汽車功能安全和預期功能安全開發、測試和評價工作奠定基礎。

2 自動駕駛預期功能安全（SOTIF）接受準則

2.1 自動駕駛安全風險的新特點

與傳統車輛重點關注系統失效預防與減輕不同，自動駕駛車輛因替代了人類駕駛員的部分或全部駕駛操作行為，更需要關注運行過程中自身功能和性能的行為安全（即SOTIF），由于使用場景的復雜性和隨機性，自動駕駛系統安全相關的很多問題在設計階段無法預見。對自動駕駛運行場景進行分類，如圖1 所示，從安全性和已知性角度，將車輛運行場景分為已知安全場景、已知不安全場景、未知不安全場景和未知安全場景4個區域[3]。在開發之初，區域2和區域3的比例可能較高，SOTIF 技術通過對已知場景及用例的評估，發現系統設計不足，將區域2轉化為區域1，并證明殘留區域2的風險足夠低；針對區域3，SOTIF技術基于真實使用場景測試、用例測試、隨機輸入測試等，發現系統設計不足，將區域3轉化為區域2，同時基于統計數據和測試結果，間接證明區域3已經控制到合理可接受的水平。由此實現對已知和未知風險的合理控制，完成自動駕駛車輛系統的安全提升和發布。

然而，汽車工業歷經百年發展形成的“V模型”產品開發體系的出發點仍是基于需求的定義和迭代開發，而自動駕駛系統安全風險的一個主要來源是未知不安全場景區域，對其無法定義需求，這也成為全球自動駕駛安全開發領域的痛點。

圖1 自動駕駛運行場景分類[1]

2.2 現有自動駕駛安全評測方法和準則

自動駕駛安全性受環境和場景中的未知因素影響極大，難以準確定義和模擬。為此，當前對自動駕駛產品的安全評測主要依賴于真實道路的里程累積測試，并將其結果作為安全發布的重要評判依據。但目前行業對自動駕駛需開展的道路驗證總里程缺少統一定義方法，測試道路和場景的選取也缺少理論支撐，隨機性較大。

2020 年，通用汽車公司自動駕駛系統“超級巡航”（Super Cruise）在中國上市，同時公布其實現了880×104km真實道路測試無事故[4]。同年，Waymo 公司宣布其自動駕駛真實道路測試里程突破2 000 萬英里（約合3 220×104km）[5]。近日，特斯拉公司公布其自動駕駛系統（Autopilot）累計行駛里程已超過30 億英里（約合48.3×108km）[6]。自動駕駛汽車開發廠商競相比較里程測試長度，不斷推動著資源投入和行業門檻的提高。

自動駕駛系統取代人類駕駛員并真正走向大規模量產應用的前提是確保安全，這已成為全球汽車行業和監管機構的共識，但除了不斷競相推高的累積里程，行業更為亟需建立科學、合理的安全接受準則。

2.3 基于量化思想的雙層安全接受準則的建立

在ISO 21448 制定過程中，針對自動駕駛預期功能安全的最終發布，中國提出了基于量化思想的預期功能安全雙層接受準則。自動駕駛系統運行過程由一系列駕駛行為組成，如果相關行為不當，將可能產生危害風險，最終導致事故發生。對于每個危害行為事件，可從其屬性出發，定義出定性或定量的安全度量準則，這是判斷自動駕駛系統行為是否可能引發危害事件的接受準則，即第一層安全接受準則。在全部累積行駛里程中，自動駕駛系統可能產生不止一次危害行為事件，特別是里程越高，危害行為事件的數量及影響可能越大，自動駕駛預期功能安全開發的目的是將總風險控制在合理可接受的水平，為此，需定義總的確認目標，即總體安全風險的接受準則，也就是第二層安全接受準則。

圖2 給出了自動駕駛預期功能安全雙層安全接受準則的示例，自動駕駛過程中存在多次主動制動行為，但可能存在因設計不足或性能局限導致的制動危害，如感知系統誤識別等原因造成的過大制動行為事件。以制動行為為例，導致違背第一層安全接受準則（如可控性和SOTIF信心度的安全度量指標）的過大制動危害行為事件將被記錄下來，在完成全部里程累積測試后（如20×104km），將違背第一層準則的危害行為事件數量與第二層安全接受準則進行比較，如果總數不超過一定數量（例如2次），則認為滿足總體的預期功能安全接受標準，以此作為自動駕駛預期功能安全的最終發布準則。

四是創新人才匱乏，人才結構性矛盾突出。目前，東營市擁有各類科技人員18.6萬人，但大多數分布在油田、石油大學以及教育、衛生系統，而企業自有一線研發人員不能充分滿足技術創新需要，具有特殊專業技能的高層次人才匱乏，科技創新后勁需進一步加強。

圖2 自動駕駛預期功能安全（SOTIF）的雙層安全接受準則

3 第一層安全接受準則的建立方法

第一層安全接受準則，也就是危害行為事件接受準則，即對自動駕駛過程中危害行為事件的評價，包含定量準則和定性準則。其中，可控性指標和SOTIF 信心度作為安全度量指標，是定量準則的重要組成部分。

3.1 可控性安全度量指標

按照國家標準GB/T 34590《道路車輛功能安全》中給出的可控性的定義，即為確定一個給定危害的可控性等級，需要預估具有代表性的駕駛員或其他涉及人員為避免傷害發生而能對場景施加影響的可能性。這種可能性預估包括：如果給定的危害將要發生，具有代表性的駕駛員能夠保持或者重新控制車輛的可能性，或者在危害發生范圍內的個體能夠通過他們的行動避免危害的可能性。這種考量基于的假設為：危害場景中的個體為保持或者重新控制當前情況采取必要的控制行為，以及所涉及的駕駛員采取有代表性的駕駛行為?？煽匦灶A估可能受到很多因素的影響，包括該目標市場的駕駛員概況，如個體年齡、手眼配合、駕駛經驗、文化背景等。因此，可控性表征駕駛員、乘客或其他涉險人員對車輛電控系統危害風險控制的難易程度，是衡量車輛行為是否構成危害的關鍵指標。

2015 年，中華人民共和國工業和信息化部下達了“整車及關鍵電控系統功能安全ASIL 等級及測試評價規范”研究任務，同年，中國首個道路車輛功能安全研究項目——車輛側向運動可控性研究啟動。

該研究任務針對可控性的衡量對象，即車輛側向、縱向、垂向運動相關危害，開展安全分析，結合測試結果及行業經驗，對整車危害進行分類。通過分析車輛側向、縱向、垂向運動功能特點，定義危害發生的典型場景，并組織大量代表中國目標市場的普通駕駛員開展實車危害行為的評估測試，定義出表征中國典型駕駛員對車輛側向、縱向、垂向運動行為控制能力的客觀度量指標。通過調整測試條件及被測人員響應的及時性，兼顧傳統汽車、新能源汽車和自動駕駛汽車相關控制系統，從整車側向、縱向、垂向3 個維度建立相關危害的可控性度量指標，如圖3 所示，為判斷車輛行為是否構成危害提供了合理的量化準則，相關成果為自動駕駛系統的正向設計開發與測試評價，以及強制性國家標準和推薦性國家標準的落地實施提供了有效支撐，例如GB 17675《汽車轉向系基本要求》、GB 21670《乘用車制動系統技術要求及試驗方法》、GB/T《乘用車轉向系統功能安全要求及試驗方法》（制定中）等。

圖3 可控性安全度量指標體系

3.2 SOTIF信心度安全度量指標

可控性衡量的是車輛行為的安全邊界，如車輛制動減速度達到0.5g時，可能發生追尾事故。但自動駕駛汽車如果發生了一次0.3g減速度的制動，就可能造成乘員的緊張甚至恐慌。如果乘員對自動駕駛汽車預期行為感到安全擔憂，將導致功能開啟率低和誤干預等一系列問題，對自動駕駛的發展非常不利。為此，在現有安全和舒適評價維度基礎上，需建立針對自動駕駛預期功能行為的“SOTIF信心度”評價指標體系，如圖4所示，在已有可控性安全邊界基礎上，引入乘員對車輛行為的安全感受評價，以更加全面地評判自動駕駛安全性[7]。

圖4 自動駕駛安全、舒適和“SOTIF信心度”指標體系

SOTIF信心度受人、車、環境等多因素影響，通過分析其影響因素，挑選典型場景，開展實車主、客觀對標測試，針對不同車輛行為的安全主觀評價結果開展數據學習，找出可代表乘員信心度的客觀指標，如圖5所示。

圖5 SOTIF信心度指標建立方法

4 第二層安全接受準則的建立方法

第二層安全接受準則，也就是總體安全風險接受準則，針對自動駕駛汽車在真實道路累積全部行駛里程過程中的總體安全風險評價。同人類駕駛員一樣，面對各種場景，自動駕駛系統也無法做到杜絕危害行為事件的發生。如果對比沒有自動駕駛功能的人類駕駛安全表現，引入自動駕駛功能后，安全風險沒有提高，則認為自動駕駛汽車的安全表現是可以接受的?；谶@種理念，建立第二層接受準則。

4.1 自動駕駛危害行為事件的泊松分布規律

泊松分布適合描述單位時間（或空間）內隨機事件發生的次數。根據ISO 21448，真實場景中自動駕駛功能導致的危害行為事件數量也可以用泊松分布規律來描述。泊松分布的概率函數為：

式中，λ為單位里程（或單位時間）內危害行為事件的平均發生次數；k為危害行為事件發生次數。

通過轉化，可得危害行為事件發生的平均里程或時間間隔（即無事故里程或時長）為：

式中，α為置信度水平。

例如，當無危害行為事件里程數達到100×104km時，具有99%置信度水平認為該系統在同等駕駛場景中危害事故率能達到4.6×10-6次/km。

4.2 自動駕駛總體安全風險接受準則

對自動駕駛系統總體安全水平的評估，應考慮其是否帶來了不合理的安全風險，即與同等駕駛場景下人類駕駛員的安全駕駛能力指標（如平均無事故里程）相比，引入自動駕駛系統后，相關指標不應變差。因此，可以認為如果自動駕駛系統沒有帶來明顯的不合理風險，則其總體安全風險是可以接受的。

總體安全風險接受準則的定義和確認需要基于目標市場情況，假設駕駛員安全水平較高的乘用車駕駛員平均每年行駛2×104km，每10年發生1次交通事故。以此作為目標，選擇95%置信度，則τ≈60×104km。即為了證明在95%置信度下認為自動駕駛車輛事故率能達到上述駕駛員的駕駛安全水平，需要累積測試60×104km無危害事故。通過基于目標市場的統計研究，可以得到危害行為事件的平均行駛里程，再考慮合理的設計余量，作為自動駕駛總體安全風險的接受準則。

4.3 自動駕駛里程累積測試終止原則

在自動駕駛里程累積測試過程中，通常會伴隨危害行為事件的出現，特別是隨著新功能、新設計的實施，發生危害行為事件的平均里程會出現先下降后逐步上升的情況，如圖6 所示，從統計規律定性描述了引入新功能后，由于該新功能應對各種場景的能力較低，因此安全行駛里程相對較短，但通過預期功能安全的迭代開發、功能改進，危害事件發生率下降，從而無危害事件發生的安全平均行駛里程增加，也就是通過預期功能安全的迭代開發，車輛發生危害事件的次數降低，安全行駛里程增加，安全能力得到提升。

圖6 自動駕駛危害行為事件出現的平均里程

如果在達到累積測試里程目標前出現了危害行為事件，修復后為了繼續確認自動駕駛系統是否可以滿足初始設定的安全目標（相同危害行為事件發生率和置信度水平），后續測試里程會比無危害行為事件發生時更長[8]。假設在里程達到τ1時發生危害行為事件，當迭代改進后，驗證達到同等置信度水平的危害行為事件發生率目標λ所需要的里程s可由式（3）確定：

式中，λ0為危害事件發生率的目標值；p為概率函數。

例如，定義危害行為事件發生率為λ=0.001 次/km，置信度水平α=99%，則發生j次危害行為事件后，需要補充測試的無危害行為事件里程如表1所示。

表1 自動駕駛危害行為事件發生后的補充測試里程

5 基于場景優先度子集的自動駕駛預期功能安全測試評價方法

自動駕駛的安全評價需要基于目標市場場景，對于無事故里程，如果場景差異較大，其展現的安全水平也不相同。目前，自動駕駛實際道路測試耗時久、成本高、針對性不強，為了提升自動駕駛測試的時效性，更好地為量產開發服務，對已知場景進行分析和管理：如圖7所示，建立關鍵場景因素子集，將場景構成因素按照敏感性、嚴重度、暴露頻次進行評級，并據此生成優先度順序，在同等投入下，提升自動駕駛里程測試的時效性；同時，針對場景優先度子集建立仿真測試，也可大幅提升自動駕駛測試的效率，實現用更少的里程達到更好的驗證效果；基于優先度子集衍生出的未知用例，也可更快發現相關未知風險場景。該方法已作為中國提案，寫入國際標準ISO 21448草案中。

圖7 SOTIF場景優先度子集的建立和應用

6 結束語

科學、合理的自動駕駛預期功能安全接受準則和測試評價方法對于從源頭提升自動駕駛汽車安全水平，避免競相推高無止境的累積測試里程、降低開發成本、提高開發效率具有重要的指導意義。本文從我國國情出發，通過自動駕駛預期功能安全分析和試驗研究，提出了基于量化思想的自動駕駛預期功能安全（SOTIF）接受準則，建立了自動駕駛量化安全接受準則體系以及基于SOTIF 場景用例庫優先度子集的測試評價方法。后續，將基于更廣泛的中國目標市場研究和測試，不斷完善安全接受準則中的相關量化指標，更好地指導以我國為目標市場主體的自動駕駛汽車功能安全和預期功能安全開發、測試和評價工作。