智能網聯汽車安全：上路還需標準“護航”

智能網聯汽車安全：上路還需標準“護航”

為推動我國智能網聯汽車預期功能安全（SOTIF）的研究，助力智能網聯汽車技術安全落地與應用，由清華大學牽頭，中國智能網聯汽車產業創新聯盟預期功能安全工作組成員單位協同編制的《智能網聯汽車預期功能安全前沿技術研究報告》（以下簡稱“研究報告”）于近期正式發布。研究報告聚焦了行業最新動態與前沿技術，分別對智能網聯汽車預期功能安全相關法規標準、技術、專利和場景庫研究現狀以及自動駕駛功能測試評價體系、典型ADAS系統的SOTIF研究現狀等方面進行了詳盡的調研、分析與總結。本報摘部分內容刊登，以饗讀者。

◎? 清華大學? 國汽智聯

加快研究預期功能安全前沿技術

2020年2月底，國家發展和改革委員會等十一部門聯合印發《智能汽車創新發展戰略》，明確提出了建設中國標準智能汽車和實現智能汽車強國的戰略目標。隨著自動駕駛技術的發展與普及，其安全性越來越受到大眾的關注。2019年7月，德國寶馬聯合11家企業（寶馬、奧迪、戴姆勒、大眾、菲亞特—克斯萊勒、英特爾、英飛凌、安波福、大陸、HERE、百度），共同編寫《自動駕駛安全第一白皮書》，旨在促進自動駕駛汽車安全性研發。隨著自動駕駛系統功能架構趨于完善，國際標準ISO26262覆蓋的故障性風險造成的功能安全問題分析已無法滿足高度復雜系統的安全性分析要求。在系統不發生故障的情況下引起的安全風險愈發受到重視，ISO/PAS21448將此類問題歸結為預期功能安全（Safety Of The Intended? Functionality，SOTIF），并給出了詳細定義。標準草案指出，進行預期功能安全活動的目標是確保不存在由于影響系統特定行為的性能局限或可合理預見的人為誤用所導致的不合理風險。

由于預期功能安全問題是目前自動駕駛汽車商業化發展的最大難題之一，工作組全體成員單位對預期功能安全前沿技術進行了廣泛調研分析，并協作撰寫了此報告，以期為我國進一步開展預期功能安全研究工作提供參考。

國內外智能網聯汽車預期功能安全相關標準異同

自動駕駛汽車既是車輛又是駕駛人，最終實現完全替代駕駛人的機器自主駕駛，因此，必須同時擔負車輛和駕駛人的各種安全責任。

自動駕駛汽車預期功能安全主要體現在汽車行駛過程中，可避免自動駕駛系統及部件因功能不足或誤操作引起的交通安全問題，包括自動駕駛能力以及適用性和可靠性。

針對自動駕駛汽車預期功能安全，國內外已有一些深入研究，并提出了具體要求。在此背景下，報告對國內外智能網聯汽車預期功能安全相關標準進行了概述和分析，并梳理出預期功能安全相關標準的發展現狀及發展趨勢。

1. 國外智能網聯汽車預期功能安全相關標準

表1總結了當前國外智能網聯汽車預期功能安全相關標準情況。

國內現有智能網聯汽車預期功能安全相關標準如表2所示。國內目前針對預期功能安全的相關標準體系還不完善，以下將針對《智能網聯汽車道路測試管理規范（試行）》以及由我國提出的預期功能安全雙層接受準則提案（即將寫入道路車輛預期功能安全標準）進行闡述：

2018年4月，工業和信息化部、公安部、交通運輸部聯合發布《智能網聯汽車道路測試管理規范（試行）》。《管理規范》主要針對在中國境內公共道路上進行的高等級自動駕駛汽車上公共道路測試，從測試主體、駕駛人及測試車輛、測試申請及審核、測試管理、交通違法和事故處理等多個方面進行規范。《管理規范》強調，自動駕駛汽車必須通過14項自動駕駛能力檢測項方可上公共道路測試。

2.預期功能安全雙層接受準則提案

中國代表團提出量化思想的預期功能安全雙層接受準則提案，寫入ISO/PAS21448標準草案，包括：

（1）第一層準則：判斷自動駕駛行為是否可能引發危害行為事件的度量，即危害行為事件接受準則。

（2）第二層準則：在全部行駛里程中，定義總的危害行為事件確認目標，即總體安全風險接受準則。

在工信部專項任務支持下（工裝函[2016]190號），集行業力量啟動可控性國家級研究項目，基于大規模測試建立可控性量化指標庫，準確性領先國際現有方法（經驗和主觀評測），并不斷完善，GB17675、GB21670等標準首次寫入可控性量化要求。

在第一層接受準則的建設中首次提出了“SOTIF信心度”的度量，建立信心度指標體系，全面衡量自動駕駛安全行為。行業率先將大數據用于可控性研究，采集分析真實測試者“典型”和“極端”工況指標，大數據持續采集，不斷提升可控性指標的準確性和國情代表性。

第二層接受準則的建立。假定同等駕駛條件下，與人類駕駛人的安全駕駛能力指標相比，引入自動駕駛后相關指標不變低，則認為自動駕駛系統沒有帶來明顯的不合理風險水平，并基于以上兩個接受準則，提出了相應的測試方法實踐。

3. 智能網聯汽車預期功能安全標準的發展現狀及趨勢

ISO26262的第二次修訂已經結束，以更嚴謹和結構化的方式支持更復雜汽車電子系統。最近發布的ISO/PAS21448標準規定了用于分析、驗證和確認非故障情景的開發流程和系統用例。

《自動駕駛安全第一白皮書》將標準拓展至L3和L4應用。

上述標準相互補充，可主要用于定義自動駕駛系統的設計風險，使工程團隊設計出各種安全機制并增強自動駕駛系統的預期功能，以降低所識別的風險。

當前，ISO正組織國際主流車企及供應商開展國際標準道路車輛預期功能安全的研究和制定工作。中華人民共和國工業和信息化部于2018年發布了《國家車聯網產業標準體系建設指南（智能網聯汽車）》，以整體性強化頂層系統設計并促進智能網聯汽車行業的研究和發展。

另外，中國正在密集地制定新的法律規范（2020年前30項新標準，2025年前100項新標準）以適應中國的國情和國際實踐。我國在積極參與該國際標準制定的同時，將基于我國實際情況制定適合中國的道路車輛預期功能安全國家標準，進一步增強我國在國際標準制定中的話語權，同時提升我國自動駕駛汽車產業技術安全水平。

智能網聯汽車預期功能安全三大關鍵

預期功能安全是智能網聯汽車安全的重要組成部分，主要應對由于自動駕駛功能不足和可合理預見的人為誤用造成的危害問題。現有關于智能網聯汽車預期功能安全的國際標準草案ISO/PAS21448規范和描述了一個基于迭代的系統分析流程，用于系統識別、分析、減少功能不足造成的危害。與此同時，國內外科研機構和汽車廠商對涉及智能網聯汽車關鍵系統的預期功能安全問題開展了研究。

1. 感知面臨的預期功能安全挑戰與發展方向

自動駕駛的關鍵技術主要包括感知（Perception）、決策（Planning）和控制（Control）三個方面，其中感知系統以多種傳感器捕獲的數據以及高清地圖的信息作為輸入，經過一系列的計算和處理，來預估車輛的狀態和實現對車輛周圍環境的精確感知，可以為后續決策和控制系統提供必要的信息。然而，依賴復雜傳感器和算法工作的感知系統也是預期功能安全問題的重要來源。

2. 預測相關的預期功能安全技術

目前的環境預測技術仍然不能滿足自動駕駛對高精度、快速響應等的要求，因此，研究環境預測模型的不確定性估計方法對于解決預測技術的預期功能安全問題至關重要。目前，研究人員針對經典的時間序列預測模型的不確定性估計已經進行了廣泛的研究。

3. 決策相關的預期功能安全技術

基于豐富的車輛狀態、環境感知與預測信息，設計安全、高效的決策規劃算法是自動駕駛系統開發和安全行駛的關鍵，國內外學者對自動駕駛決策算法展開了大量的研究。目前，自動駕駛決策主要分為兩類——基于規則的決策方法與基于人工智能的決策方法。

基于規則的決策方法主要包含基于碰撞檢測的離散輸入空間規劃和約束優化與后視距控制等。現階段基于規則的決策技術面臨因交通場景狀態緯度高、不確定性強等特點導致決策失效的挑戰。