A Survey on an Emerging Safety Challenge for Autonomous Vehicles:Safety of the Intended Functionality

As the complexity of autonomous vehicles(AVs)continues to increase and artificial intelligence algorithms are becoming increasingly ubiquitous,a novel safety concern known as the safety of the intended functionality(SOTIF)has emerged,presenting significant challenges to the widespread deployment of AVs.SOTIF focuses on issues arising from the functional insufficiencies of the AVs’intended functionality or its implementation,apart from conventional safety considerations.From the systems engineering standpoint,this study offers a comprehensive exploration of the SOTIF landscape by reviewing academic research,practical activities,challenges,and perspectives across the development,verification,validation,and operation phases.Academic research encompasses system-level SOTIF studies and algorithm-related SOTIF issues and solutions.Moreover,it encapsulates practical SOTIF activities undertaken by corporations,government entities,and academic institutions spanning international and Chinese contexts,focusing on the overarching methodologies and practices in different phases.Finally,the paper presents future challenges and outlook pertaining to the development,verification,validation,and operation phases,motivating stakeholders to address the remaining obstacles and challenges.

面向预期功能安全的eVTOL智能避障系统运行时保证方法

为保障电动垂直起降飞行器(eVTOL)在城市空中交通(UAM)场景下的预期功能安全(SOTIF),降低人工智能算法的验证难度,建立基于运行时保证(RTA)方法的避障模型。首先,使用人工势场法改进的柔性动作评价(SAC)算法作为eVTOL智能避障系统的复杂功能;然后,使用动态反应规划(DRP)作为智能航电系统的备用功能,以减缓SOTIF危险,同时,使用监视和决策模块采集环境状态,搭建RTA架构;最后,分别仿真仅使用复杂功能和具有RTA架构的避障系统,对比避障效果。结果表明:2种方法均可实现避障,但仅使用复杂功能的传统避障系统会带来SOTIF危险;经过RTA架构设计,可使eVTOL的安全飞行时长占比由78.4%提高到98.15%,总航路长度仅增加0.95%,在保障效率的同时,降低了在运行场景中的风险。

感知系统触发条件穿透率评估方法研究

预期功能安全问题制约着自动驾驶汽车的落地。自动驾驶感知系统面临的各种极端行驶环境等极易引起预期功能安全问题。因此,须按照现有预期功能安全标准,在安全分析阶段识别并评估种类多且数量大的触发条件,筛选高价值触发条件为后续测试验证提供测试场景输入。本文中首先基于对触发条件在自动驾驶系统中的风险演化过程的分析,提出一套包括暴露率、穿透率和危害率的三维感知系统触发条件评估体系。随后,基于层次分析法构建了触发条件穿透率量化评估方法。最后,针对某量产车型的融合感知系统分析并选取15个触发条件,构建测试用例并开展封闭场地测试,评估上述触发条件的穿透率。最终经计算筛选得到3个高风险触发条件,验证了触发条件穿透率量化评估方法的可行性。

自动驾驶预期功能安全(SOTIF)接受准则的建立

为了评估自动驾驶汽车是否达到合理可接受的安全水平,全球汽车行业亟需建立统一的安全接受准则。从自动驾驶汽车的安全风险来源和运行场景出发,通过安全分析和试验研究,提出了量化思想的自动驾驶预期功能安全(SOTIF)接受准则,包括危害行为事件接受准则和总体风险接受准则2个层面。针对自动驾驶需要依靠大量的复杂道路场景测试而导致效率低、开发周期长、针对性不强的问题,提出了SOTIF场景用例库优先度子集的测试评价方法。相关预期功能安全接受准则、安全度量指标及SOTIF场景优先度子集的测试评价方法已作为系列量化思想的中国提案,成功写入全球首个自动驾驶安全国际标准ISO 21448中。

面向自动驾驶感知的快速不确定性估计方法

在自动驾驶的视觉感知任务中,准确且快速提取认知不确定性和偶然不确定性对有效解决自动驾驶的预期功能安全问题至关重要。传统方法中,如Monte-Carlo Dropout和Deep Ensembles,通过采样不同子模型的预测结果来估计不确定性,这使在模型推理阶段不确定性估计速度很慢且容易占用处理器大量内存。针对Monte-Carlo Dropout不确定性估计速度较慢及其后续检测结果选取的问题,提出了一种快速Monte-Carlo Dropout方法及后续检测结果校正的方法。此方法使用多头机制替换了Monte-Carlo Dropout传统的多次采样机制,节省了采样时间,进而节省了整个不确定性估计阶段的推理时间。

融合STPA及有限状态机的ADAS触发条件生成机制

现有高级辅助驾驶系统(Advanced Driver Assistance Systems,ADAS)功能不断增多且系统复杂性不断提高,不可避免带来了预期功能安全(Safety of the Intended Functionality,SOTIF)问题。触发条件的识别与生成是预期功能安全活动中重要的一环,然而现有对触发条件识别仅借助系统过程理论分析方法(System Theoretic Process Analysis,STPA)进行分析,未充分考虑系统功能状态转换中存在的问题。本文以知识驱动的方式构建触发条件识别机制,将STPA及有限状态机(Finite State Machine,FSM)理论融合构建拓展型系统控制结构,针对拓展型控制架构及功能状态转换进行安全分析,根据系统存在的功能局限及人为误用,完成触发条件的识别、生成、规范化描述、分类及标签化。最后将本文提出的触发条件生成机制应用于集成式巡航辅助系统(Integrated Cruise Assistance,ICA),得到了该系统的触发条件及其分类,并将本文所提出的生成机制与现有相关触发条件生成方法进行对比分析,证明了本机制的实用性、可行性及有效性。

基于有限状态机的预期功能安全危害识别方法

针对自动驾驶系统危害与场景不可分割的特点,提出了一种基于有限状态机模型(FSM)的整车级预期功能安全危害识别方法。首先,明确危害事件组成要素;其次,将自动驾驶系统抽象为有限状态机模型以明确车辆状态和运行环境;最后,通过识别车辆状态与运行环境的冲突情况,系统性识别自动驾驶系统预期功能安全危害事件,减少对专家知识的依赖。为验证所提出方法的有效性,在某SAE L3级自动驾驶汽车上应用了该方法进行危害识别。结果表明,相较于系统理论过程分析(STPA)方法,有限状态机模型包含更加详细且系统化的环境信息,且由有限状态机模型直接输出危害事件要素,提高了危害识别的系统性。

降雨条件下车载激光雷达感知局限性

针对激光雷达在降雨条件下的性能局限性问题,基于封闭场地中的降雨模拟设施,分别选取一款机械旋转雷达和混合固态激光雷达采集不同降雨条件下的点云数据,通过构建包括5项客观指标的指标集,对两类激光雷达受降雨条件影响的程度进行了对比分析。试验结果表明,降雨会在一定程度上减少点云的数量,降低点云的反射率,增加反射率信息熵,降低反射率信噪比;降雨的雾化现象会大幅恶化激光雷达的表现,在20m~40m内,对机械旋转雷达造成91.49%的平均点云数量削减和82.98%的平均反射率削减;而波长较长、非重复扫描的混合固态雷达在降雨下具有更好的穿透性,点云数量较为稳定;但混合固态雷达在降雨环境下的点云会包含更多反射率较低的雨滴回波,因此需要采用更有效地噪声滤除算法。

基于关键场景的预期功能安全双闭环测试验证方法

预期功能安全作为道路运行安全的重要组成,是智能网联汽车的核心挑战。全面高效的预期功能安全测试验证方法能够有效支撑系统安全开发流程。本文提出一种以关键场景为载体、由封闭验证和开放论证双闭环构建的测试验证框架,并综合论述关键场景构建技术,进一步建立接受准则的量化方法。最后,本文展望在预期功能安全测试验证领域亟待推进的关键研究。本文旨在为智能网联汽车预期功能安全测试验证的工程实践提供兼具可操作性和理论充分性的参考依据。

基于错误注入的决策规划系统抗扰性测试与分析

自动驾驶系统的运行环境复杂多样。考虑到传感器本身的性能局限及感知算法在特定触发条件下的功能不足,自动驾驶系统上游感知结果不可避免地会出现错误。因此针对自动驾驶决策规划系统在上游数据错误情况下的抗扰性测试对保证自动驾驶安全性至关重要。为此,本文首先提出基于6层场景本体模型的数据模型和包含4类不确定性错误模式的错误模型,并进一步构建了一个通用的错误注入框架SOFIF以实现对上游数据的修改。最后,本文基于硬件在环仿真测试并提出危害率作为量化评价指标,对比分析了两个被测决策规划系统在存在不确定性错误模式下的抗扰性表现。实验得到两个被测系统的危害率分别为0.89和0.64,表明两被测系统的抗扰性存在较大差距,并进一步证明了SOFIF的有效性。

面向预期功能安全的NOP巡航车速控制性能优化方法

为解决配备领航辅助系统(NOP)的车辆在视野盲区下因传感器性能局限导致NOP巡航车速控制能力下降的问题,引入预期功能安全设计方法及融合通信时延,提出NOP巡航车速控制性能优化方法。首先,基于STPA方法对NOP巡航车速控制功能进行风险评估,得到安全风险的触发条件并提出安全目标;其次,基于车-车通信获取不同驾驶工况的通信时延规律,解决通信时延对系统决策造成的影响;然后,制定交叉口路段车-车交互极限场景NOP巡航车速安全控制策略;最后,对提出的安全控制策略进行仿真和实车验证。结果表明:V2X-NOP巡航车速控制功能紧急减速制动时机对比单车感知提前启动,速度响应提前高达1.56 s,加速度响应提前高达2.26 s,NOP巡航车速控制能力的可靠性得到了加强。

基于STPA方法的高速公路巡航功能预期功能安全研究

随着汽车智能网联和自动驾驶技术的快速发展,搭载自动驾驶功能的智能网联汽车的预期功能安全问题成为行业关注的热点。本文基于《道路车辆预期功能安全》(ISO21448:2022)的理论框架,以某车型的高速公路巡航功能为研究对象,应用系统理论过程分析方法进行预期功能安全分析和总结,搭建系统级别的高速公路巡航控制模型,识别不安全的控制行为,分析相关原因场景和因果因素,希望本研究能为该类预期功能安全相关功能改进提供参考。

车辆电控系统预期功能安全技术研究

随着自动驾驶技术的快速发展,潜在的安全风险不断增加并日益突出。通过分析自动驾驶车辆可能出现的安全问题,提出了预期功能安全(SOTIF)的概念,并对比其与功能安全及信息安全技术的差异,定义了实现预期功能安全的技术路线。由功能定义出发,通过危害分析和风险评估、验证已知案例和未知案例,找出自动驾驶车辆可能存在的安全功能不足并进行功能改进,最终,通过整车集成、测试、验证和确认,从而确保自动驾驶车辆达到合理的功能安全技术水平。所形成的研究成果作为中国提案,为正在制定的国际标准(道路车辆预期功能安全)提供了参考借鉴。

基于系统理论过程分析的自动驾驶汽车安全分析方法研究

基于系统理论过程分析(STPA)方法,在现有道路车辆功能安全标准框架下,提出一种面向自动驾驶汽车的安全分析方法,该方法同时适用于分析功能安全和预期功能安全的问题,从系统角度出发,将安全问题视为控制问题,找到系统控制过程中存在的潜在危险,并结合原因分析,最终提出功能安全要求。利用该方法对某开发阶段自动驾驶清扫车进行安全分析,提出了相应的功能安全要求,并验证了所提方法的可行性和有效性。

城市自动驾驶决策系统安全分析与策略设计

基于系统理论过程分析(system theory process analysis,STPA),提出了一种面向高等级自动驾驶决策系统的安全性开发方法。该方法应用在一个城市自动驾驶决策系统的原型开发阶段,通过安全分析得到系统的70个不安全控制行为。针对其中3个功能状态,分析得到10个不安全控制行为原因,提出9个安全策略。应用其中一个典型安全策略进行系统改进,通过仿真试验对其进行了验证。试验结果表明,基于所提出方法设计的安全策略有效可行,提出的方法能够提高自动驾驶决策系统的安全性。

强降雨场景下自适应巡航控制系统的安全控制策略

本文针对强降雨场景下毫米波雷达的目标运动非预期测量误差较大引发ACC系统的预期功能安全问题,提出了强降雨场景下自适应巡航控制系统的安全控制策略。首先使用双状态卡方对毫米波雷达输出的目标信息进行检验,以确定其是否存在安全风险;接着通过卡尔曼滤波对存在安全风险的目标信息进行修正;然后将修正的目标信息输入ACC控制器控制车辆运动状态,实现安全控制;最后通过搭建的Prescan/Simulink联合仿真平台对提出的安全控制策略进行了仿真验证。结果表明:双状态卡方检验可及时检测风险信息(检测时间偏差在1.31 s以内),卡尔曼滤波修正误差在3.66 m以内,有效保证了ACC系统在强降雨场景下安全稳定运行。

中国功能安全(Functional Safety)和预期功能安全(SOTIF)技术和标准体系研究及进展

功能安全(Functional Safety)和预期功能安全(SOTIF)技术作为国际公认的确保车辆安全运行的根本保障,但仍存在如何从量化角度评价车辆运行安全性的国际痛点。量化思想的中国提案被国际标准ISO21448(SOTIF)采纳并贯穿标准全文,即基于目标市场,定义出合理可接受的量化准则作为车辆电控系统正向开发和测试评价的基准输入。基于该量化思想,形成了我国功能安全(Functional Safety)和预期功能安全(SOTIF)技术和标准体系,进而通过试验研究得出量化准则,以确保系统在故障、功能不足(含设计不足和性能局限)的情况下,从设计开发源头避免或降低车辆对驾乘及周边人员造成伤害,保障车辆运行安全。

汽车安全多领域融合的研究与展望

该文提出了一种多域融合安全的概念及基本框架,论述了多个安全领域的发展状况及其之间的关联关系。以人的安全为核心,研究了被动安全技术、新能源安全技术、主动安全技术及其相关的功能安全、预期功能安全等安全技术的发展现状,进一步分析了不同安全技术领域之间的融合关系,特别是主动安全和被动安全的两条融合路径发展现状及其未来趋势。将汽车不同安全技术视为一个整体,研究各种技术之间的关系和融合方式,对于汽车安全技术的发展提供了思考的方向和建议。

智能汽车预期功能安全保障关键技术

由于性能局限、规范不足或可合理预见误用导致的预期功能安全问题层出不穷,严重阻碍了智能汽车的快速发展。本综述聚焦智能汽车预期功能安全保障关键技术,分别从系统开发、功能改进和运行3个阶段进行了系统的总结,最后从基础理论、风险防护和更新机制3方面进行了展望。本文可为智能汽车预期功能安全研究提供重要参考依据。

自动驾驶功能安全标准化研究

自动驾驶安全性问题是决定其发展的关键因素。当前,自动驾驶的发展面临着巨大的安全性挑战,包括信息安全、测试安全、功能安全等方面。产业发展,标准先行。本文将从道路车辆“功能安全”以及“预期功能安全”两个方面就自动驾驶功能安全相关标准研究工作展开讨论。