一、预期功能安全是什么?
预期功能安全(Safety of The Intended Functionality, SOTIF)是指不存在因设计不足或性能局限引起的危害而导致不合理的风险,也就是将设计不足、性能局限导致的风险控制在合理可接受的范围内。
SOTIF主要针对以下两种场景:
(1)系统或组件的性能受限,导致预期功能不可达;
(2)系统的可预见人为误用(misuse)/合理地可预见误用。
为提高智能网联汽车的安全性,解决预期功能安全问题,国际标准化组织工作组(ISO/TC22/SC32/WG8)在2016年2月启动ISO 21448《Road vehicles ——Safety of the intended functionality》(《道路车辆 预期功能安全》)标准的研究工作,2018年6月正式立项并启动制定,计划于2022年3月正式发布。
标准中解决预期功能安全问题的主要方法和思路首先是将智能网联汽车的行使场景划分为4类,包括已知安全场景(区域1),已知非安全场景(区域2),未知非安全场景(区域3)和未知安全场景(区域4),最终目标是通过相关的预期功能安全分析和优化方法,不断扩大区域1,减小区域2和区域3的覆盖范围,直到剩余风险可接受。
对于已知非安全场景(区域2),应最大限度的保证这类场景的覆盖度足够低。基本分析方法是基于现有场景库等资源,结合具体产品的设计和方案正向设计场景用例。针对这些场景用例,通过危害分析识别出风险场景,对已知风险场景搭建模型,通过模拟仿真或实车环境进行测试验证,根据试验结果开发对应策略,通过改进功能或限制功能使用等方式优化系统设计,从而将相应的风险场景转移至区域1。
对于未知非安全场景(区域3),应最大限度降低至可接受水平,通过海量仿真试验及道路测试,结合行业最佳实践,将每个能检测到的危险场景转移到区域2,通过试验、系统分析、有效性分析等手段进行评估,以证明区域3足够小。
二、如何解决预期功能安全问题?
国内外相关的主管部门、研究机构、整车企业以及供应商都在加强对预期功能安全的研究及应用。根据我国工信部已经发布的《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)和《关于加强智能网联汽车生产企业及产品准入管理的意见》的要求,企业应该具备如下能力,才能够满足对预期功能安全合规的基本要求。
1、智能网联汽车生产企业安全保障能力要求
企业应满足预期功能安全开发接口管理要求,符合预期功能安全管理职责和角色定义、供应商计划管理等规定。
企业应满足预期功能安全开发流程要求,符合设计定义、危害识别、功能不足识别、功能改进、验证及确认、安全发布、运行维护等规定,保障车辆不存在因预期功能的不足所导致的不合理风险。
2、智能网联汽车产品准入过程保障要求
应满足预期功能安全规范和设计的要求,识别和评估预期功能可能造成的危害,制定合理的风险可接受准则。
应识别和评估潜在功能不足和触发条件(含可合理预见的人员误用),并应用功能改进等措施减少预期功能安全相关的风险。
应定义验证及确认策略,并进行预期功能安全的验证和确认,评估已知危害场景和未知危害场景下是否符合产品预期功能安全发布要求,并对发布后产品的预期功能安全风险进行合理管控。
应定义驾驶自动化系统预期功能安全相关零部件的接口要求,确保零部件符合对应的预期功能安全设计开发、验证、确认等规定。
3、智能网联汽车产品准入测试要求
在驾驶自动化系统模拟仿真测试中,要求企业和产品定义设计运行条件内不同场景要素的参数组合,针对驾驶自动化功能建立可合理预见的测试场景库;通过连续自动化仿真测试,验证驾驶自动化系统是否符合功能安全和预期功能安全要求。
由于标准仍在制定过程中,目前行业内对预期功能安全的研究仍处于起步阶段,有一些问题亟待行业解决,但当前还无法给出明确要求和最佳实践,例如如何合理地确认可接受准则;对于需要进行测试验证的场景,如何基于三支柱法,即仿真测试、场地测试和道路测试,进行合理的分配,保证效率最优的同时,发挥各自的优势;缺乏能够实现从系统设计、预期功能安全分析、测试验证、结果评价、可靠性和有效性分析等完成闭环的工具链等。
三、赛目科技具备的能力
北京赛目科技有限公司(以下简称“赛目科技”)聚焦汽车自动化驾驶系统的测试、验证与评价领域,率先将“仿真测试-场地验证-道路评价”这一国际共识闭环落地。2018年,赛目科技在杭州实践“通过仿真计算测试找到自动化决策系统不足,同步场地复现测试验证仿真结果,公开道路系统开环测试”的方法,通过服务企业为起点,完善能力,建设队伍。经过三年努力,公司自主研发的产品得到功能安全ASIL D最高等级的产品认证,是全球首个通过认证的仿真测试、验证和评价工具链,工具链的确定性、置信度、可靠性得到国际认可。同时,企业的能力不断进化,对于包括操作系统在内的驾驶自动化系统组件提出了更高更细的要求。赛目科技积极响应,迅速部署,在数学计算、模型归一、实车标定、数据迭代、打通各类在环等方面取得多项成果。基于功能安全和预期功能安全相关标准,符合主机厂和供应链的产品过程保障要求,提供驾驶自动化系统的安全测试验证整体解决方案。
1、预期功能安全分析工具Safety Pro
支撑企业完成预期功能安全的危害识别和风险评估工作,制定合理的风险可接受准则,识别和评估潜在功能不足和触发条件引起的危害以制定措施,定义验证及确认策略等;通过仿真测试,基于安全模型分析,参数泛化形成海量场景,完成预期功能安全的交叉验证,评估已知危害场景和未知危害场景,降低预期功能安全风险。基于前期研究和丰富的项目经验,在危害库、缺陷库以及场景库等方面进行了充分的积累,形成一定的行业最佳实践。
2、自动驾驶功能云平台
赛目科技与华为基于云计算、仿真测试、场景数据、预期功能安全等领域的技术积累,以及对自动驾驶技术开发与验证的深刻理解,联合打造了自动驾驶功能云平台,是国内首个自主可控的自动驾驶功能云平台,面向行业提供高质量和高效率的预期功能安全分析、仿真试验、验证评价的服务能力。平台支持符合标准要求的功能安全与预期功能安全分析过程,打通工具模块与场景数据之间的壁垒,实现通过预期功能安全分析、自动生成预期功能安全测试场景库、进行自动化仿真测试并生成残余风险评估报告的测试验证闭环。通过云仿真,可以满足自动驾驶算法验证对海量场景的要求,并能高效构建特殊场景和危险场景,加速解决长尾问题,提升自动驾驶算法的鲁棒性。