SOTIF预期功能安全分析方法

---

1. 预期功能安全简介

在汽车四化（电动化、网联化、智能化、共享化）领域，尤其是自动驾驶领域，引入了复杂的感知系统和决策算法，我们发现不是所有的安全问题都来源于E&E系统故障（ISO26262功能安全定义范畴），还需要考虑外界环境（如超出ODD可运行区域范围，恶劣天气等的影响），系统性能局限，驾驶员误用等因素的影响，比如转弯、侧翻的白色卡车。

这类非故障条件下系统功能不及预期，驾驶员误用，外部环境干扰等导致危害事件发生的不合理风险就是SOTIF（ISO/PAS 21448 Safety of the intended function）预期功能安全要解决的问题。

ISO/PAS 21448中SOTIF预期功能安全的描述：“Safety Of The Intended Functionality (SOTIF): absence of unreasonable risk due to hazards resulting from functional insufficiencies of the intended functionality or from reasonably foreseeable misuse by persons.”

以下是SOTIF预期功能安全标准（ISO/PAS 21448-2019）对安全相关标准应用范畴的区分。

如上图所示，ISO26262功能安全解决的是电子电气系统内部的故障、失效问题，一般是部件/模块的参数发生了永久性改变；而SOTIF预期功能安全解决的是系统在特定环境条件下功能不足时的非预期行为，人为误操作，以及环境干扰造成的非预期行为。

ISOS26262功能安全&SOTIF预期功能安全从两个不同的维度，为自动驾驶的安全性提供了标准支撑。ISO26262没有对自动驾驶领域的感知、决策、控制系统，在超出ODD时预期功能失效，或性能限制等进行要求，而SOTIF预期功能安全弥补了这块缺失。

预期功能安全与功能安全的主要差异如下：

类型	涉及范围	来源	根本原因	特征	关注重点
故障	部件、模块	人为损坏、涉及缺陷、恶劣环境、极限工况、部件老化	部件的物理、机械、软件逻辑特性限制	随机不确定； 短期不可逆； 易识别诊断	后果严重性； 故障类型与模式；故障率；故障识别与诊断
功能不足	子系统、系统	与之交互的环境中各类条件的影响	系统的功能逻辑，工作原理造成的无法避免的“功能盲区”	不可知；隐秘性； 环境条件强相关； 突然性	后果严重性； 触发条件； 功能不足类型/模型； 暴露率；功能局限的预测

自动驾驶领域，由于传感系统和复杂算法的引入，自动驾驶车辆可能出现无软硬件故障情况下无法实现预期功能的情况，即预期功能安全问题 ，其主要来源为“ 系统性能局限及人为误操作 ” 。

自动驾驶系统自身的局限可分为几个部分：
感知
传感器输入变化，或目标场景考虑不周到（超出ODD范围，恶劣天气等），系统无法对复杂环境做出正确响应；

决策
周围环境评估，定位，目标物行为预测，功能逻辑、决策算法不合理等，导致决系统无法正确响应；

控制执行
执行机构响应延迟等导致系统执行不及预期；

人为误操作
用户对功能本身、功能行为、功能限制（包括HMI）等的理解存在偏差，导致误操作。

这些都是预期功能安全需要考虑的范畴。

2. SOTIF中的场景分类

在预期功能安全的定义中驾驶的场景可以分为四个部分：
● Known Safe 已知安全场景
● Known Unsafe 已知危险场景
● Unknown Safe
● Unknown Unsafe

Area1~4的主要区别如下：

对于可预见场景（区域1&2），主要来源如下：

• 基于数据分析：针对车辆各类行驶场景的已有和新开展的研究，包括NDS自然驾驶数据，CIDAS/GIDAS事故数据，道路测试数据；
• 基于理论分析：针对自动驾驶汽车工作原理和技术路线的理论分析，包括感知传感器功能不足与局限，决策规划系统设计缺陷，其他功能不足与缺失等；

而预期功能安全目标，是通过安全分析，为系统安全设计及测试验证提供输入，以减少已知危险场景（Area2）和未知危险场景（Area3）的数量，提高系统的安全性。

而对于不可预见场景与残余风险，由于其不可预见性，自动驾驶车辆在上路前无法完成全部验证，需要政策及法律的支持，包括完善相关的法规，明确事故的责任边界，保险体系的完善。

3. SOTIF预期功能安全分析方法

一般的系统安全分析方法主要流程是：系统设计→系统分析→危险识别→原因分析→系统优化和改进→系统验证；

现有ISO/PAS 21448标准为车辆预期功能安全分析及改进提供了流程指导，其核心在于危害分析和风险评估⑥，包括危险识别（得到整车级别危害事件）、风险评估（评估危害事件风险程度）和触发事件识别⑦（识别危害事件触发条件）三部分。

应用安全分析方法，识别并评估潜在危害，在预期功能安全范畴下，包括危害事件识别，触发条件识别和风险评估三步。

3.1 预期功能安全危害分析与风险评估-危害事件识别

预期功能安全要求在危害分析和风险评估的过程中对影响安全的功能需求进行FEMA，FTA，HAZOP，SPTA等工具进行分析和验证。其中FEMA，FTA，HAZOP等是ISO26262功能安全分析常用的工具。
对于自动驾驶领域，自动驾驶汽车功能的实现依赖于与外部环境的交互，传统基于事件链模型的危害识别方法无法适用于这类开放系统。基于控制理论的系统理论过程分析（SPTA）方法逐渐应用于自动驾驶汽车危害识别。

系统理论过程分析（SPTA）方法主要流程是：事故→系统控制结构→不安全控制行为→原因分析→安全约束。该方法的主要局限在于，其直接应用于高等级自动驾驶上，缺乏自动驾驶汽车事故数据，控制结构无法提现不同功能下的车辆状态差异；原因分析缺乏系统的方法。

由于STPA方法的局限，需要引入结合状态机的拓展STPA方法，通过引入状态机模型对SPTA进行扩展，以识别整车级预期功能安全危害事件。

3.2 预期功能安全危害分析与风险评估-触发条件识别
对于触发条件识别，主要通过基于知识的定性分析方法。

3.2 预期功能安全危害分析与风险评估-风险评估
在ISO26262功能安全中，我们使用E（Exposure，暴露度）、S（Severity，严重度）、C（Controllability，可控性）进行ASIL等级定义，风险评价。
对于预期功能安全，还需要考虑触发条件，DDT fallback动态驾驶任务接管，人机共驾产生的责任问题等因素。


由此可知，相对ISO26262功能安全中的HARA危害分析和风险评估，SOTIF预期功能安全采用类似的安全分析方法，但需要考虑更多的内外部因素。

参考：

1. ISO/PAS 21448 2019 Road vehicles — Safety of the intended functionality;
2. 自动驾驶系统预期功能安全分析方法，陈君毅，同济大学智能汽车研究所；