交流群 |?進交流群請掃描文末二維碼，或添加智子實驗室小助手微信sophonlab001，請備注進群+ 真實姓名 + 公司 + 職位

注：本文為預(yù)期功能安全系列的第一篇，后面還有2篇，敬請期待。

“ 為了解決智能駕駛系統(tǒng)的能力邊界和駕駛員對系統(tǒng)過度信任的問題，誕生了預(yù)期功能安全?！?/p>

所謂預(yù)期功能安全，英?為Safety Of The Intended Functionality，取?字母縮寫——SOTIF，對應(yīng)大家平常所說的標準為ISO21448。

01?為什么要有預(yù)期功能安全？

說到預(yù)期功能安全，大家的第一個問題就是：為什么要有預(yù)期功能安全呢？或者它存在的價值是什么？

人機共駕的隱憂

幾年前有個觀點非常流行——L3級自動駕駛是偽命題。

所謂L3，即為有條件的自動駕駛，正常工況下自動駕駛系統(tǒng)可以正常行駛，但是發(fā)生突發(fā)情況時，系統(tǒng)會退出并需要駕駛員接管，也就是所謂的“人機共駕”。

而在人機共駕模式下，駕駛權(quán)的交接很容易出現(xiàn)問題，尤其是在危險情況下，系統(tǒng)發(fā)現(xiàn)搞不定，可能就直接“甩鍋”退出了，而此時駕駛員很可能來不及做出反應(yīng)，從而釀成悲劇——這種體驗是非常糟糕，也非常反人性。

這個說法是有道理的，不過并不僅是L3才存在這樣的問題。事實上，只要有人機共駕，就有這樣的風險。

雖然國內(nèi)L3還沒有“合法”（歐盟已合法），不過隨著更高級別的L2+智能駕駛功能（NOA）的發(fā)展，人機共駕也開始慢慢普及。

與獨立功能的L2不同，L2+其實是多個L2功能的集合，比如高速NOA，其實就是ACC/LKA/LCC/TJA/HWA等功能的集合。而且從L2+到L3，自動駕駛等級越高，駕駛員和系統(tǒng)之間職責重疊就越多。

為了用戶體驗，系統(tǒng)自然不能遇到搞不定的情況就“一退了之”，要給駕駛員留出足夠的反應(yīng)時間。要做到這一點，并不容易。

一方面，系統(tǒng)要能夠適應(yīng)不同場景，比如晴雨雪霧等各種天氣、坑洼泥濘等各種道路及擁堵、人車混行等復(fù)雜場景；

另一方面，系統(tǒng)還要能清晰得知道自己的“能力邊界”，即不僅要知道自己能夠處理什么場景，還要知道不能夠處理什么場景——這樣遇到“搞不定”的場景時，才能做出預(yù)判，給駕駛員留出足夠的接管時間。

比如之前發(fā)生過多起特斯拉因不能正確識別翻倒的白色卡車，徑直撞上去的悲劇，小鵬也發(fā)生過多起不能識別靜態(tài)障礙物而引起的交通事故，這其實就是不知道自己的能力邊界導(dǎo)致的。

駕駛員的“過度信任”

另外一個問題是駕駛員對系統(tǒng)“過度信任”的問題。

隨著自動駕駛系統(tǒng)功能越來越強大，駕駛員也會越來越覺得系統(tǒng)是“可以信任”的，從而主觀和潛意識里，都傾向于信任系統(tǒng)。

無論用戶手冊上再怎么“危言聳聽”都無濟于事，這是人性，所以需要對駕駛員狀態(tài)進行時刻監(jiān)管，以確保駕駛員在需要的時候能夠及時接管（fall back)。

這種事情也很常見，經(jīng)?？吹叫侣勚袌蟮礼{駛員一邊開著高速領(lǐng)航輔助（NOA），一邊玩手機，甚至跑到后排去睡覺，因此導(dǎo)致了很多悲劇。

現(xiàn)在NOA等L2+智駕功能，其實一定程度上已經(jīng)具備L3的能力，但是仍打著L2的“幌子”（出任何事故都是駕駛員的責任），像極了一個渣男，做了所有該做的事，但是又不想承擔任何責任。

為了報復(fù)渣男，哦不對，為了解決上面提到的系統(tǒng)能力邊界和駕駛員過度信任的問題，于是就誕生了預(yù)期功能安全（SOTIF）。

預(yù)期功能安全其實以就一直在圍繞這兩件事展開的。后面我們會細講。

02 預(yù)期功能安全的本質(zhì)是什么？

上面提到的預(yù)期功能安全的意義和價值，是從問題的角度來講的——SOTIF到底解決了什么問題。

那么，從另一個角度來思考，預(yù)期功能安全的本質(zhì)到底是什么呢？為什么會出現(xiàn)呢？

ISO21448中提到了一個三圈模型，能讓我們更好地理解SOTIF。三圈模型把期望行為、規(guī)定行為和實際行為的范圍畫3個圈來說明，每個圓圈代表某個行為的一個方面。

這三種行為分別代表的含義為：

期望行為：不考慮任何技術(shù)限制，用戶對自動駕駛系統(tǒng)的期望行為是理想的行為，代表了100%的場景適用性和安全性，反映了用戶和社會對系統(tǒng)行為的期望，比如對AEB的期望行為應(yīng)該是零誤觸發(fā)、零漏觸發(fā)。

規(guī)定行為：規(guī)定行為是考慮了現(xiàn)實世界的約束后的期望行為，也就是開發(fā)人員對系統(tǒng)的定義，具體約束可以是法律、技術(shù)、成本、用戶體驗等。

實際行為：即系統(tǒng)實際所表現(xiàn)出來的真實行為。

很明顯這三個圓圈是不重合的，也就是用戶對系統(tǒng)的期望、開發(fā)人員對系統(tǒng)的定義以及系統(tǒng)的實際表現(xiàn)是有差異的。可能大多數(shù)情況下，都不會觸發(fā)這3個圓圈中的差異部分，可一旦這些差異被某些場景中的特定條件觸發(fā)，就可能會發(fā)生安全事件。這里的觸發(fā)條件既包括系統(tǒng)功能的局限性，也包括合理可預(yù)見的誤用。而預(yù)期功能安全其實就是致力于將這三個圈的重疊率做的越來越高，從而降低發(fā)生預(yù)期不一致的幾率。從這個角度來說，正確理解系統(tǒng)功能及其行為的局限性（包括人機交互），對于確保安全至關(guān)重要。

03?預(yù)期功能安全和功能安全是什么關(guān)系？

在學習預(yù)期功能安全時，經(jīng)常會有個疑問：預(yù)期功能安全和功能安全到底是什么關(guān)系？這是個好問題。

功能安全針對的是電子電器的系統(tǒng)性失效和硬件隨機失效帶來的安全問題。簡單來講，功能安全更關(guān)注系統(tǒng)是否能夠“正常”地按照設(shè)計要求運行。這種分析對于傳統(tǒng)汽車電氣系統(tǒng)或許是“充分且必要”的，因為其性能要求和測試規(guī)范等都是非常明確和成熟的，行業(yè)里也有一定之規(guī)，不大有歧義和風險。所以，在功能安全的思維框架下，沒有人質(zhì)疑系統(tǒng)的設(shè)計是否“合理”。但是對于步入“無人區(qū)”的高階智能駕駛來說，考慮功能安全，仍然是“必要的”，但是就未必“充分”了。很多智能駕駛的功能定義、人機職責邊界和控制權(quán)的交接，行業(yè)內(nèi)并沒有統(tǒng)一的做法，用戶也沒有清晰的認知，基本上屬于“公說公有理，婆說婆有理”的“自說自話”階段。這時候，在做功能安全分析中的智能駕駛系統(tǒng)的設(shè)計要求定義時，其實開發(fā)人員也心虛，心里打鼓：

• “這樣的設(shè)計要求，真的合理嗎？”

• “是否功能安全的要求全部滿足，就能保證系統(tǒng)不會出問題呢？”

如果開發(fā)人員面對這樣的靈魂拷問，或許良心真的會痛（開個玩笑）。在預(yù)期功能安全的思考框架下，開發(fā)人員在定義系統(tǒng)時，就需要發(fā)動一下善于思考的腦袋，在接到需求時，先不要思考怎么做，而是要——先問對不對，再問怎么做。也就是說，需要工程師使用批判性思維思考，邊做邊思考：

• 這樣設(shè)計真的完善嘛？

• 有沒有考慮xx工況呢？

• 如果xxx發(fā)生怎么辦呢？

這也就是功能安全和預(yù)期功能安全最根本的差異所在。換個角度可能更好理解。在一個大公司里，功能安全的執(zhí)行就像是眾多“打工人”在做事。打工人要做的是按部就班的完成自己職責范圍內(nèi)的事，接到管理層的指令后不折不扣的去完成，這也是體現(xiàn)團隊“執(zhí)行力”的部分。執(zhí)行力當然很重要，如果身處于成熟的傳統(tǒng)行業(yè)，這樣做或許大概率是沒問題的，行業(yè)變化沒那么快，信息不對稱也不嚴重，這種情況下管理層做的決策偏差不會很大。

可是，當處于快速發(fā)展的行業(yè)時，市場瞬息萬變，管理層在做決策時很可能沒有掌握足夠的信息，或者決策時某個重要的依賴項今非昔比了，以前的決策邏輯就不再成立了。如果執(zhí)行者只帶著“打工人思維”，可能方向會跑偏，項目會因此失敗。這時就需要帶著“CEO思維”，站在全局的高度，去思考當前執(zhí)行的策略是否正確，是否有更好、效率更高的方式去完成目標，以便及時糾正和完善公司的戰(zhàn)略發(fā)展方向。“打工人思維”和“CEO思維”的區(qū)別，就像是功能安全和預(yù)期功能安全的區(qū)別。確保沒有故障的功能安全是最基礎(chǔ)的，是預(yù)期功能安全的前提，而預(yù)期功能安全則致力于思考如何讓系統(tǒng)更加完善，對功能安全是一種良好的補充（ISO21448語）。

要想?yún)^(qū)分功能安全、預(yù)期功能安全和網(wǎng)絡(luò)安全各解決了什么問題，可以參考下圖所示。

04?預(yù)期功能安全都分析了些啥？

預(yù)期功能安全的分析主要涉及兩個方面：一方面是功能不足（Functional insufficiencies）。就好比你甩給你的員工5塊錢：“去，幫我買包華子，零錢不用找了”，這就有點過于高估員工能力了，員工內(nèi)心OS：“臣妾做不到啊”。功能不足可以體現(xiàn)在自動駕駛系統(tǒng)的各個部分，主要體現(xiàn)在：

• 感知端：如傳感器本身的性能局限（如攝像頭在雨霧天氣下性能不良）導(dǎo)致部分場景不能覆蓋或者功能受限。

• 規(guī)劃端：如智能駕駛系統(tǒng)還不能應(yīng)對復(fù)雜的交通場景，如十字路口無保護左轉(zhuǎn)、窄路人車混行等。

另一方面是人為誤用（Misuse，ISO21448稱之為合理可預(yù)見的人員誤操作）。主要包括以下兩方面：

1. 人機信息傳達方式不完善：

• 人為因素對系統(tǒng)的影響，特別是與人機交互界面的接口；

• 駕駛員對系統(tǒng)能力和限制的理解，以及駕駛員的責任；

• 駕駛員理解和應(yīng)對警告和警報的能力。（屬于信息傳達失誤，你說往東，他以為往西，你說城門樓子，他以為是胯骨軸子。）

2. 沒有正確的監(jiān)控駕駛員狀態(tài)：

• 在需要駕駛員參與的環(huán)節(jié)中，駕駛員狀態(tài)不好，不具備接管條件，因為駕駛員有過度信任系統(tǒng)的傾向。

• 對駕駛員的檢測，包括檢測駕駛員沒有將手放在方向盤上（脫手檢測），視線有沒有偏離前方行駛區(qū)域（脫眼檢測），就像老板時刻盯著員工有沒有劃水一樣。

05?預(yù)期功能安全的法規(guī)和標準盤點

• ISO21448

提到預(yù)期功能安全，最具影響力的、最權(quán)威的自然是ISO 21448，其地位和功能安全領(lǐng)域的ISO 26262差不多。ISO 21448標準于2016年啟動，自2019年以來作為規(guī)范公開發(fā)布，并于2022年6月最終發(fā)布。ISO 21448詳細介紹了SOTIF的背景、流程和操作方法論和實踐案例，是學習SOTIF的必看資料。后面在介紹SOTIF時主要以ISO21448為主。

• UN-R157 ALKS：

L3對SOTIF的要求肯定要比L2要高得多，而歐洲在法規(guī)制定方面一直走在前列。在2021年正式推出了第一部L3法規(guī)：UN-R157 ALKS- Automatic Lane Keeping Assistance System。當然，R157做為世界首部L3的正式法規(guī)，具有非常高的參考價值，但它也有局限性。首先，它只適用于一個L3功能ALKS，而對其他功能不涉及；其次，ALKS適用的是低速高速場景（封閉公路），法規(guī)第二版將把速度上限進一步提升到更符合一般高速場景的130 kph，并對變道（LCP）放松了限制，也更加符合實際工況。后面章節(jié)會重點講解一下這個法規(guī)。

• 國內(nèi)：國標的起草

和功能安全GB/T 34590是ISO26262的中國落地版類似，中汽研也在牽頭起草《道路車輛：預(yù)期功能安全》，也是推薦標準（GB/T），2022年4月份發(fā)布了征求意見稿。本文中也會引用征求意見稿部分的內(nèi)容。

06 預(yù)期功能安全的應(yīng)用

當前預(yù)期功能安全更多停留在理念和方法論層次，實際落地應(yīng)用的具體實操業(yè)內(nèi)尚沒有達成一致，不過認證機構(gòu)倒是很積極做起了布道者，也如火如荼地做起了發(fā)證業(yè)務(wù)（畢竟賺錢是第一位的），一些企業(yè)（如地平線、長城等）也紛紛拿到了ISO21448的流程認證（并高調(diào)做了宣傳）。

整體來說，由于SOTIF提出比較晚，還不是很成熟，距離應(yīng)用落地還有一段距離。不過很多人認為，預(yù)期功能安全是L3的必要不充分條件，只有預(yù)期功能安全成熟了，L3才可能真的普及。L3不等人啊，所以需要各位在ISO21448的基礎(chǔ)上繼續(xù)創(chuàng)新。

革命尚未成功，同志們繼續(xù)努力啊。

交流群 |?進群請掃描上方二維碼，添加智子實驗室小助手sophonlab001，請備注進群?+ 真實姓名 + 公司 + 職位