为什么需要预期功能安全(SOTIF)?
预期功能安全(SOTIF)是在自动驾驶技术发展的大背景下出现的,也是自动驾驶从L2到L3跨越的必然需求。根据SAE 2018年对自动驾驶等级更加清晰的归类(见下图),L3之后“当使用自动驾驶功能,您无需驾驶汽车”,这就给车辆安全责任划分了明确的界限,即“自动驾驶功能激活时,出现的交通事故,责任归车辆”。(虽然不排除驾驶辅助系统缺陷也会导致事故发生,但根据一般驾驶辅助(L0~L2)极度保守的功能定义,要求驾驶员必须完全处于正常驾驶状态,这就隐晦的给驾驶辅助功能排除了能够承担责任的安全目标)
自动驾驶(L3~L5)的量产就会给开发人员带来怎样的挑战?
传统的交通事件中包含“场景(scenario)”“驾驶员(driver)”“自车(ego vehicle)”三个角色,驾驶行为分为“感知(sense)”“决策(plan)”“执行(act)”。
汽车电气系统的复杂和运用环境的多样致使不可能完全避免软硬件故障的发生。为了解决这个问题,“功能安全”应运而生。(ISO 26262中原话如下)
但对于自动驾驶系统来说,仅降低因故障造成的风险远远不够。
但工程师们从不放弃,毫米波雷达、激光雷达、智能摄像头齐头并进,车联网、高精度地图强势加入,都在为提升感知的全面和精准而努力;性能不断提升的机器学习算法和处理芯片、越来越集中化的中央计算电子电气架构、更高传输速率的车载网络都在力求为车辆提供更正确的决策。
预期功能安全(SOTIF)在这样的背景下,作为功能安全的补充,他自认为功能安全可以处理好软硬件系统故障的问题,汽车的安全风险来自预期功能不足或人员误操作。前面提到,单个部件的技术发展,都存在自己的性能瓶颈。
举个例子:高速公路车道线检测算法用于车道保持等功能,可能会由于车道上的碎片而错误地确定车道。车道偏离造成碰撞的伤害可以被其它自动驾驶功能减轻,如:使用高清地图和定位确认车道线;通过前面车辆的轨迹合理化车辆轨迹;通过避碰算法与其他车辆保持分离,即使这意味着离开感知的车道。
自动驾驶有个很重要的概念:场景(scenario)。
预期功能安全处理的对象就是场景,ISO PAS 21448-2019中将场景分为四类(如下图所示),SOTIF的目标就是:
2.区域3,通过行业最佳实践或其他方法(如设计措施、系统分析或专业实验)进行评估,发生的可能性足够小。
下图是标准中规定的预期功能安全工作执行的流程。
6:对预期功能可能存在的危险行为进行危害识别和风险评估。这里不考虑原因,只评估可能由危险预期行为导致的危险事件,并定义要满足的验证和确认目标。
8:功能完善或用例限制,避免或降低SOTIF风险。在9、10、11章节都会应用到。
10:在已知危险场景中验证SOTIF。已知危险场景是否被覆盖?系统和部件是否按预期工作?
12: 剩余风险评估,通过验证和确认工作评估风险是被接受还是功能完善或用例限制。
总结一下,SOTIF对于高级自动驾驶的开发是非常必要的条件,但要实现高级自动驾驶的安全目标,还需要做更多的工作,例如功能安全、信息安全等。
- 用户评论
