智慧汽車預期功能安全保障關鍵技術

由於性能限制、規範不足或可合理預見誤用導致的預期功能安全問題層出不窮，嚴重阻礙了智慧汽車的快速發展。本篇綜述聚焦於智慧汽車預期功能安全保障關鍵技術，分別從系統開發、功能改進和運行3個階段進行了系統的總結，最後從基礎理論、風險防護和更新機制3方面進行了展望。本文可為智慧汽車預期功能安全研究提供重要參考依據。

前言

根據美國國家交通安全管理局（NHTSA）數據統計，約94%的交通事故由人為因素導致，智能汽車以機器取代人類駕駛，在提高行車安全性上具有重要意義。但現有技術尚不能充分發揮其安全潛力，此外在引入新技術消除原有問題的同時，新的安全問題也隨之出現，如功能安全、資訊安全和預期功能安全（safety of the intended functionality， SOTIF）問題。尤其隨著智慧汽車系統複雜化和智慧化程度日益提升以及其運行環境的開放性和挑戰性不斷增加，由功能不足導致的SOTIF問題逐漸暴露，並成為限制智慧汽車安全性保障的關鍵難題。此外，近年來出現的由於感知、決策等功能不足所導致的自動駕駛/輔助駕駛事故也反映了SOTIF問題的嚴峻性。圖1為2018年發生的全世界第一起路測無人車撞死行人的事故原因剖析，其中感知和預測功能不足是該事故的主要致因因素。因此，推動SOTIF保障技術的研究已成為當務之急。

#圖1 Uber路測無人車事故原因剖析

預期功能安全性旨在避免由於預期功能或其實現的功能不足導致危害所產生的不合理風險，其基本概念由ISO 21448提出和定義，自2016年2月ISO啟動該標準的製定工作以來，已形成PAS、CD、DIS和FDIS等版本的草案。 ISO 21448作為ISO 26262的延伸，處理在不發生硬體隨機失效和系統故障情況下的功能不足問題。

SOTIF研究涉及系統功能設計改進、分析評估、驗證確認和認證等多面向問題，且隨著技術發展和新技術的引入不斷提出新的需求，因此， ISO 21448 難以具體涵蓋所有相關內容。近年來，許多其他國際標準相繼提出並將SOTIF視為重要的研究對象，如圖2所示。

#圖2 SOTIF相關標準

在自動化產品的安全評估方面，UL 4600旨在補充功能安全和SOTIF標準，提出一種面向安全目標的方法，專注於「如何評估」全自動駕駛安全情況；針對高等級自動駕駛系統的安全設計、驗證和確認，ISO/TR 4804確定了符合ISO/PAS 21448的SOTIF功能設計流程，並有待進一步開發ISO/AWI TS 5083；針對基於場景的安全評估， ISO 34502提出了一套場景生成和評估流程，並在場景庫建立過程中針對性地考慮了SOTIF 典型觸發條件；針對人工智慧（artificialintelligence，AI）等新技術引入後的問題，待開發的ISO/ AWI PAS 8800旨在提供解決AI相關係統開發和部署全生命週期問題的規範，以彌補ISO 21448中對AI問題考慮的不足。

伴隨SOTIF標準化進程，近年來國內外政府、企業和研究機構在SOTIF實踐方案方面進行了諸多探索：在產品開發方面，寶馬、百度等諸多公司嘗試將SOTIF引入其產品全生命週期安全開發流程；在產品安全分析評估方面，大陸、ANSYS等公司嘗試引入安全分析工具，歐盟ENSEMBLE專案和NHTSA等進行了SOTIF分析評估實踐，並提供了成果報告；在安全驗證確認方面，歐盟PEGASUS及其延伸項目VVM、SetLevel、日本SAKURA計畫以及中國智慧網聯汽車聯盟預期功能安全工作小組等在實踐中與SOTIF進行了結合；在功能改進方面，諸多公司均提出了各自的方案，歐盟DENSE等項目則針對感測器等部件的具體功能不足問題進行了研究。

上述標準和實踐活動為智慧汽車SOTIF保障提供了框架性指導（見圖3），而在實際研究和開發過程中，須採用特定的保障技術以有效地解決各階段所面臨的具體問題。然而，該領域尚未形成完善的技術研究體系：一方面，當前直接以SOTIF為主題的文獻雖呈增長趨勢，但總量仍相對較少，內容主要涉及概念和意義闡述、安全分析、測試驗證和系統工程等方面，缺乏對SOTIF保障關鍵技術系統性的研究與梳理；另一方面，雖然許多相關領域的高水準研究成果對於解決功能不足問題具有重要的啟發與借鏡意義，但尚未被明確納入SOTIF保障技術研究範疇。

#圖3 SOTIF所保障的基本活動流程

因此，本文中基於大量國內外研究報告和文獻資料，系統地分析和梳理了SOTIF保障關鍵技術，並基於現有研究不足提出了展望。

SOTIF概述

明確的問題定義和風險來源分析是保障SOTIF的前提。從系統本身角度分析，SOTIF問題主要源自於兩方面：（1）在車輛層對預期功能的規範不足，場景開放性、系統複雜性和專家經驗的不完整性等限制均可能導致車輛行為的設計規範過程出現問題，進而難以實現理想的安全目標；（2）預期功能實現的不足，即使對車輛層預期功能的規範足夠完備，由於系統組件的性能局限和規範不足，感知、決策和控制等功能的實現可能不符合預期。如感測器、執行器存在感知、執行能力上限或易受外界環境因素幹擾等效能限制；感知、決策演算法可能具有穩健性、泛化性、可解釋性、邏輯完備性、規則覆蓋度等方面的問題。此外，SOTIF 危害的產生和演變依賴於特定場景。首先，上述規範不足或性能局限由場景中特定條件觸發而導致危害行為；另外，上述危害行為最終演化為傷害是建立在當前場景包含相關風險源以及場景可控性低的情況下。因此，在進行SOTIF保障過程中，需要綜合系統本身限制和運作場景風險以建立安全保障體系。

根據場景是否已知和是否會導致SOTIF危害，將其分為已知安全、已知不安全、未知不安全和未知安全4類場景，SOTIF保障目標為透過一系列活動和相關技術以最小化兩類不安全場景對應區域，其核心是對未知不安全場景的發現和處理。如圖4 所示，SOTIF保障目標的實現可分解為將未知轉化為已知、將不安全轉化為安全兩方面。首先，SOTIF分析評估、驗證確認以及運行階段的關鍵數據收集、記錄和反饋等活動有助於充分挖掘未知場景；另外，開發階段直接針對功能不足的改進、運行階段的未知風險監測、防護和基於收集資料的系統功能改進是將不安全場景轉化為安全場景的必要活動；此外，驗證確認與殘餘風險評估以及安全論證等則是確保殘餘風險足夠低的重要活動，從而為SOTIF發布提供依據。下文將分別從開發階段和運行階段梳理各項活動對應的SOTIF 保障關鍵技術，並針對智慧汽車系統的功能改進技術進行具體討論。

#圖4 SOTIF保障目標與實作過程

開發階段SOTIF保障關鍵技術

系統開發階段的SOTIF 保障活動主要包括SOTIF分析評估、驗證確認、功能改進和發布等，本節將分別重點介紹各環節關鍵技術。

1、SOTIF 分析評估

採用有效的安全分析技術可提高對SOTIF 危害、潛在功能不足與觸發條件等識別分析的效率、全面性和科學性。傳統安全分析技術如故障樹分析、失效模式與影響分析和危害與可操作性分析等，其在SOTIF 分析評估方面得到了一些應用；以智慧汽車為代表的新技術帶來了事故本質改變、新類型危害、單次事故容忍度降低、系統複雜性增加、人機互動複雜化等新的安全挑戰，因此需要更有效的安全分析技術，系統理論過程分析（systems-theoretic process analysis，STPA）（見圖5）具有分析複雜系統的潛力，包含定義分析目的、建構控制結構、識別不安全控制行為、識別致因場景4步，已被用於感知、決策和全自動駕駛系統等的SOTIF分析。然而，單一技術的可用性有限，可結合其各自優勢以開發更有效的SOTIF分析技術。

#圖5 STPA技術實作流程

此外，在SOTIF分析中引入特定建模技術等有利於進一步改善分析效果。傳統STPA技術建構的控制結構描述了系統內部運行邏輯，但未建模功能和運行環境間的關係，有限狀態機等被採用以彌補上述不足，透過建模車輛狀態結合環境條件的轉換關係可更全面地識別危害。因果關係模型有利於指導分析危害行為對應的觸發條件、性能局限或規範不足，如貝葉斯網絡已被用於構建感知性能局限和場景觸發條件間的層次依賴關係，結合條件信念表、P值檢驗和專家分析等技術可用於量化評估上述關係和發掘新的觸發條件。另外，對場景要素、觸發條件和效能限制等基本元素進行前期梳理和流程更新，並建立相關映射關係有利於提高SOTIF分析的效率和全面性。

針對識別所得SOTIF 危害應進行風險評估。 STPA等技術本身不具備風險量化的功能，因此需進行相應拓展，功能安全領域的危害分析與風險評估（hazard analysis and risk assessment，HARA）和汽車安全完整性等級（automotive safety integration level，ASIL）被一些研究改進並用於SOTIF 風險評估。貝葉斯機率模型作為一種統計性方法，也已被用於量化SOTIF相關風險及其邊界。然而，由於場景複雜度增大和統計困難、觸發條件對場景的依賴性、AI演算法不確定性等原因，現有研究尚未能明確和統一SOTIF風險定義及其量化方法，因此亟待探索和提出更有效的SOTIF定量分析指標與技術。此外，為避免智慧型汽車HARA難以接受的複雜性，可結合任務分解、等價類和影響分析以及模型重構等技術以管理其複雜度。

2、SOTIF 功能改進

針對功能不足導致的不合理風險，應進行功能改進以縮小不安全區域。現階段的功能改善技術眾多，可主要分為3種技術路線：①性能提升，如提高特定感測器或感知模型本身的性能上限；②風險監測與防護，即透過對觸發條件（包含合理可預見的誤操作）、功能不足狀態等的識別以監測SOTIF 風險，從而採取針對性的防護技術，如風險源消除、功能限製或權限移交等，此外，也可透過直接對運行設計域（operational design domain， ODD）的明確、監測和限制為風險防護提供參考；③功能冗餘，如透過設計冗餘功能模組以改善整體效能表現。第3節將針對智慧汽車各模組及整車層分別有系統地梳理對應功能改善技術。

3、SOTIF 驗證確認

驗證確認是進一步發現不安全場景和證明SOTIF得到充分保障的重要活動。 SOTIF驗證旨在提供客觀證據證明對規定要求的滿足，對象包括感測器、感知演算法、決策演算法、執行器和整合系統等，驗證指標如準確性、可靠性和抗干擾性等。 SOTIF確認旨在採用合理的確認目標和方法，評估在已知和未知不安全情境下殘餘風險是否可接受。 SOTIF確認目標用於量化滿足接受準則的條件，後者可在考慮事故統計數據、人類駕駛員表現等基礎上分析風險接受原則，如風險容忍、正向風險平衡、最低合理可行、最小內源性死亡率等。

SOTIF驗證確認須綜合考慮所採用技術的有效性、可行性和成本，如基於分析對比的驗證、模擬和軟硬體在環等技術成本相對較低，但提供證據的有效性、適用範圍有限；開放道路測試能夠反映車輛在環境中最真實的表現，有利於突破經驗知識和模型等限制，挖掘罕見的未知不安全場景，但單獨採用此類方法的成本難以接受。近年來，基於場景的測試（見圖6）得到了廣泛研究與實踐。一方面，此方法可結合模擬、軟硬體在環和試驗場等不同平台合理分配測試資源，並結合測試場景覆蓋度評估、重要性取樣、危害行為辨識等技術進一步減少測試成本；另一方面，此方法以場景為核心，既可用於在包含潛在觸發條件場景下的SOTIF驗證，也可透過基於真實場景分佈的採樣測試或對未知場景的充分挖掘以輔助SOTIF確認。

#圖6 以場景為基礎的測試方法與流程

特定場景或用例的產生是驗證確認的前提，根據資訊來源的不同，主要分為知識驅動和資料驅動，前者可參考專家知識、標準和相關經驗等，典型方法如本體論，後者一般依賴自然駕駛或事故資料來擷取。根據生成目標不同，主要包含隨機場景生成和關鍵場景生成，其中關鍵場景可源於對已識別潛在觸發條件的映射和組合，也可透過定義場景危險程度等指標進行自動生成。對抗樣本生成是一種有效的關鍵場景生成方法，其結合梯度等資訊可自動產生更易觸發系統功能不足的安全關鍵場景，進而提高測試效率；在場景生成過程中，與真實世界的相似性是保證測試有效性的重要前提，而可接受擾動生成等則是實現上述目標的重要技術。此外，適當的功能分解對於克服參數空間爆炸和減少測試量具有重要意義，進而根據測試對像不同，在生成不同功能模組的場景時應進行差異化考慮，如針對感測器和感知模組，可選擇包含雨雪霧等惡劣天氣或特定目標偵測物件的場景；針對決策模組，可著重​​於對交通幹擾等情境的選擇；針對控制器和執行器，包含極限工況、惡劣道路和環境條件等的場景需要被重點考慮。

從產生的場景或場景庫中選擇具體場景是決定測試代表性、覆蓋度和成本的關鍵步驟，參數空間具有複雜性和連續性，因此可採用採樣方法，根據場景參數先驗資訊的差異分為基於參數範圍的採樣和基於參數分佈的採樣。前者的典型技術包括組合測試、互動式實驗設計、隨機化技術等；後者典型技術如蒙特卡羅採樣等。加速測試是改善測試成本的重要途徑，典型技術如極值理論、重要性取樣和馬爾科夫鏈蒙特卡羅等。此外，一些研究專注於基於證偽的場景選擇，例如透過考慮事故資料或場景臨界性、複雜性等特徵進行關鍵場景篩選，或利用模擬進行適應性壓力測試、替代建模和隨機最佳化以及自適應搜索等。

測試平台包含虛擬模擬、軟硬體在環、整車在環和試驗場等，其測試真實性依序增加，但測試成本、安全風險和可拓展性逐漸降低，為充分利用有限資源，應在滿足測試要求的前提下優先使用模擬和在環測試技術。此外，透過開發高保真度的感測器模型（如採用現象學模型）可進一步改善模擬和在環測試技術的適用性。

評估指標是判斷系統或元件是否符合指定要求或殘餘風險足夠低的依據，傳統安全性指標可包括主觀/客觀、微觀/宏觀、短期/長期等類型，但主要用於評估整車行為，並不適用於具體功能組件；而現階段針對感知、預測等模型的評價也存在標準不一、主要集中於精度類評價而對安全性考慮不足等問題。因此，有待提出適用於智慧汽車功能評估的SOTIF指標。

此外，形式化驗證技術採用數學建模方法來保證系統正確性，驗證結果嚴謹，因此對智慧汽車等安全關鍵系統具有重要意義。在車輛行為驗證方面，定理證明、可及性分析等技術得到了許多關注；在系統整合方面，形式化驗證可用於規範不同組件（如控制器）整合的正確性；另外，形式化方法在以機器學習為代表的AI領域已得到了廣泛研究，可進一步用於感知、預測等相關功能模組的驗證。然而，該技術實現成本較高，對複雜系統、開放場景和黑盒模型等情況的可拓展性有限，因此仍有待進一步探索和改進。

綜上，現階段存在多種技術可用於SOTIF驗證確認，透過結合不同技術優勢可進一步改善效果。然而，由於場景複雜多變和長尾效應、智慧汽車系統複雜多樣和更新迭代快以及缺少SOTIF評估規範等問題，SOTIF驗證確認仍面臨嚴峻挑戰。

4、SOTIF 發布

在開發階段的最後，須論證系統是否符合SOTIF 發布準則。 Schwalb 等提出了一個機率框架以逐步量化SOTIF殘餘風險。此外，經過上述分析評估、設計改進和驗證確認等活動可形成完整的安全文檔，進而可利用目標結構表示法、拓展證據網絡等技術進行安全論證，如Misra提出了一個狀態機用於探索預期功能可能導致危害的條件，並斷言相應安全聲明，在此基礎上結合目標結構表示法建構了SOTIF論證架構。

除上述各階段活動的針對性保障技術，對系統開發流程的最佳化也是SOTIF保障的重要方向，如採用敏捷系統工程可改善系統開發效率、經濟性和可追溯性。此外，部分學者嘗試將形式化方法、規則手冊等整合到SOTIF系統開發流程，並初步獲得了加速開發、提高可追溯性和可評估性等最佳化效果。然而，這些方法本身仍存在複雜性、可拓展性和適用性等方面的問題，另外其與SOTIF的結合仍處於探索階段，對實際開發過程的指導意義有限。

智慧汽車功能改進關鍵技術

智慧汽車功能實作依賴於各子模組，如圖7所示。在合理可預見的誤用等觸發條件的影響下，感知、定位、決策、控制等功能不足均可能導致SOTIF危害，而根據各模組特性可進行針對性改進。本節將從感知定位、決策控制、合理可預見誤用處理及整車層功能改善4面向分別進行總結。

#圖7 智慧汽車各層級SOTIF問題

############## ######1、感知（含定位）功能改進#########感知功能實現主要依賴感測器和感知模型，因此其功能改進主要面向感測器性能限制和感知模型功能不足問題進行。 ###############a、感測器和感知模型性能提升################透過感測器優化技術改進其檢測範圍、精度和抗幹擾能力等基本性能，如針對Lidar易受雨霧、塵埃幹擾的問題，有多次回波技術和臉部雷射技術等。另外，針對感知模型的性能提陞技術與所採用感知演算法密切相關，現階段智慧汽車感知功能普遍採用機器學習演算法，根據其運作原理，可將感知模型效能提升主要分為以下幾個面向。 ############（1）訓練資料改進。首先，可改善訓練資料的豐富度，透過採用大規模低成本資料擷取方案結合自動/半自動標註方法以降低成本，進而提高訓練資料量。另外，可改善資料擷取技術以提高資料質量，結合資料清洗、過濾和校正等技術減少因採集或標註錯誤等導致的訓練資料問題。此外，可透過訓練資料分佈的合理分配以改善訓練效果。 ############（2）訓練模型改進。模型架構的設計直接影響感知效能，例如由於卷積神經網路對於影像資訊處理的天然優勢，添加此設計的網路效能一般優於單純的多層感知機網路。優化感知模型設計是當前電腦視覺等領域的主要研究方向，因此感知效能也得以快速提升。此外，透過最佳化模型設計也可改善其對未知物件的偵測效果，進而降低殘餘風險。 ############（3）訓練過程改進。針對訓練資料不足或潛在未知場景的問題，可透過資料增強、遷移學習、主動學習等技術提高對有限資料或標籤的利用效率，其中針對感知演算法的資料增強，除影像翻轉、裁剪等傳統方法外，對雨雪霧天氣條件的渲染也是提高在惡劣天氣下感知性能的一種方式。針對潛在功能不足問題，對抗訓練等技術有助於在有限資料的基礎上減少模型缺陷，提高其穩健性。此外，改進損失或獎勵函數以及合理使用歸一化、正則化等技術均有助於模型性能的進一步提升。 ###############b、感知SOTIF風險監控與防護###############將感知SOTIF風險來源分為外界觸發條件與內部功能不足，可作為風險監測的參考。其中，雨、雪、霧、冰雹等不良天氣條件是感知SOTIF問題的重要觸發條件，一些研究透過試驗分析建立了其影響關係，為外部觸發條件監測提供依據。不良天氣條件的監控可採用特定環境模型或天氣感測器，如車用雨量感測器便包含電容式、光學式、壓電振子式、電阻式、CCD成像式等類型；另外，結合統計或深度學習等方法，攝影機等自身輸出資料也可直接用於對惡劣天氣條件或其導致幹擾的監控。此外，一些研究關注對感知功能不足表現的直接監測，例如透過修改模型、調整訓練過程和引入其他資訊以實現對感知表現的線上估計。 ######

針對受環境條件影響的感測器資料可進行幹擾消除。首先，感測器參數內部調優可用於提高其在惡劣天氣下的資料品質。另外，透過添加附加裝置可消除乾擾，如透過液體或雨刷清洗感知器污垢，而針對雨雪結冰或霜等對攝影機造成的不良影響，可添加自熱裝置。此外，資料降噪等預處理技術也可用於去除環境幹擾，如用於影像除霧的典型演算法包含影像增強、基於大氣退化模型的影像復原和基於深度學習的方法等；另一些研究關注影像除雨技術，主要分為兩類：雨滴（黏附在鏡頭上）去除和降雨（分佈在空氣中）去除；對於Lidar，一些商業產品已具備自動影像校正功能，可透過面向像素的評估來過濾雨滴和雪花。

此外，也可跳過幹擾消除步驟，直接改善感知模型對含幹擾資料的處理能力。如Huang等引入一種新型雙子網網路－DSNet來解決霧天影像目標偵測問題，在保持高速的同時偵測效能優於許多先進的目標偵測器和「除霧 偵測」的組合模型。

c、感知功能冗餘

#針對單一感測器及其感知模型的效能限制，多感測器融合是一種重要的改進技術。首先，同類感測器融合可透過多個感測器的合理佈局來增加感知範圍，如在車輛四周佈置多個攝影機以獲取360°的感知視角；另外，多類感測器融合將有助於克服單類感測器的固有性能局限，增加環境資訊獲取的多樣性和準確性，如利用Lidar測距精確的優勢彌補攝影機功能不足，或結合冗餘資訊分析等確定感測器異常。根據融合感測器的特點可分為基於相機、Lidar和Radar間不同組合方式的融合；根據融合資訊所屬層級可分為資料級、特徵級和目標級融合；常用融合方法如自適應加權平均法、聚類別演算法、貝葉斯推理等。現階段研究考慮惡劣天氣等觸發條件影響，針對最佳融合架構、模型設計、訓練策略、多模態資料集等方面進行了許多探索，並且取得了一些較為顯著的效果。此外，在城市複雜交通場景，透過引入路側和城市感知訊息，實現使能賦能一體化的協同感知方案也是解決單車感知功能不足的重要研究方向。

d、定位功能改進

#定位功能實現主要包括基於全球導航衛星系統等的絕對定位和基於同步定位與地圖建構（simultaneous localization and mapping，SLAM）等的相對定位。前者的典型SOTIF問題如建築物反射造成的多路徑現象、交通設施或山區峽谷等遮擋造成的定位錯亂或定位信號丟失，可採用GPS海拔或氣壓絕對值比對等方法應對高架路段的定位信號錯亂問題；後者主要包含基於相機或Lidar的SLAM定位等，因此其面臨的SOTIF問題與感知類似，如惡劣天氣導致定位準確性降低等，可透過多感測器融合、演算法優化等技術改進。

2 決策控制功能改進

a、決策方法分類與效能提升

目前主流的決策方法包含兩類：基於規則的決策和基於學習的決策。前者優點是可解釋性強、便於引入專家經驗、可靠性強等，但易出現規範不足、動態複雜場景下的認知推理能力不足、泛化性和演算法可拓展性不足等限制。針對上述問題，首先，可透過經驗累積、腦力激盪等方法不斷優化決策邏輯，而STPA等系統分析技術對於提高決策規則設計的完備性也具有一定指導意義。另外，引入新建模理論和資訊以及場景模板等技術可改善決策方法對複雜和未知場景的通用性。此外，引入單獨的預測模組可提高決策對場景的認知能力，進而彌補原有模型的不足。

近年來，越來越多的研究關注基於學習的決策方法，如模仿學習和強化學習。針對此類方法的改進想法與上述感知模型效能提升類似，即可透過訓練資料、模型和訓練過程的改進來提高決策效能。

b、決策SOTIF風險監控與防護

決策功能模組基於獲取的環境資訊制定相應策略，假設感知定位模組獲取的資訊足夠準確，決策SOTIF風險主要來自運行環境中的觸發條件（如交通擾動對決策演算法帶來的挑戰）與決策模組本身功能不足所導致的安全問題，對應其風險監控與防護主要考慮的兩類因素。

針對環境中的觸發條件，如特定道路類型，可透過OOD等進行約束，結合分析評估與驗證確認結果，以逐漸明確決策模型適用的ODD，從而將其作為環境條件監測的參考依據，利用地圖、定位和特定場景辨識等技術即時判斷當前風險。針對環境中交通參與者的不確定性運動，透過設計相應的風險量化模型和風險敏感的安全決策方法可獲得更安全的決策結果；此外，異常行為檢測技術可用於對環境中交通參與者非預期行為的識別。

針對決策模組本身的潛在功能不足，形式化驗證技術在決策安全驗證領域得到了廣泛研究，其基本思路為驗證當前決策結果在特定假設下是否會導致事故，而該假設的合理性也是影響安全驗證效果的重要因素。此外，將決策模組分為預測和行為選擇兩個關鍵子模組，對預測功能不足的量化可用於風險監控和防護，如圖8所示。透過量化和傳播預測模型的不確定性可實現安全決策。

#圖8 考慮預測不確定性的安全決策

此外，針對低階自動駕駛決策難以應對的場景，可透過功能限製或請求駕駛員接管以緩解風險。

c、決策功能冗餘

#針對單一類別決策模型的局限性，混合決策（見圖9）可利用優勢互補進一步改善功能。如基於規則的決策難以建模高維度不確定性環境，但其可解釋性和可靠性能彌補基於學習的決策。以融合規則的自學習混合決策為例，包含透過知識或規則調整獎勵函數、調整探索過程、調整輸出動作或調整策略訓練迭代過程等類型，可提高決策結果的可靠性。此外，車路雲協同和雲控系統等技術發展為安全決策提供了有力支撐，透過引入雲端和路側提供的交通狀態監控資訊、宏觀決策控制指導、運算能力支援等輔助可緩解車載決策系統的功能不足問題。

#圖9 混合決策一般架構

d、控制功能改進

#控制功能的SOTIF問題主要包含兩方面：（1）控制層的動力學建模限制導致對車輛動力學特性的表徵不足，而控制器本身也存在實時性等性能局限；（2）執行器存在執行精度、最大轉向或製動能力邊界、即時響應能力等局限，且可能受道路條件、機械、強風等外界幹擾。因此對其功能改進可主要圍繞以上兩方面開展，如針對執行器精度、響應時間等的性能提升，監控高風險工況進行防護，增加新的控制器或執行器以實現冗餘等；在算法層面，穩健容錯控制等是改善控制模型的典型技術。

3、合理可預見誤用的處理

在分析評估階段對合理可預見誤用的充分識別是應對此類風險的重要前提，可採用STPA等技術輔助分析。針對潛在誤用，有許多處理想法：首先，優化使用者手冊和訓練可減少駕乘人員因規則不明確或知識不足導致的誤用。在行駛過程中，可透過對駕乘人員狀態監測以提前預警，如位姿狀態、極端異常狀態、安全帶狀態等，典型監測資訊取得路徑包括駕駛監控攝影機、座椅位置、轉向盤感應器等，Abbood等提出了一種疲勞檢測和預測模型，其採用瞳孔反應、腦電訊號等感測器感知資訊和駕駛員資料等客製化資訊進行行為預測和介入。在監測到潛在風險進行幹預時，可透過視覺、聽覺、觸覺等互動形式進行警示或行為建議；同時應合理設計互動內容，Koo等研究了半自動駕駛傳遞的訊息內容如何影響駕駛態度與安全性，提出須合理調控提供資訊的數量和種類。此外，針對難以避免的潛在誤用行為，可透過設計不易實現的功能操作方式（如座椅、按鈕位置或啟動動作）、特定場景下駕乘人員權力限制等提高安全性，如在高速場景中禁止城市自動停車功能的啟動。

4、整車層功能改進

智慧汽車整合了多模組複雜交互，單一功能模組的改進不足以充分保障SOTIF：一方面，各模組對應SOTIF問題難以徹底消除，須透過優化整車系統設計以最小化殘餘風險；另一方面，即使各功能模組能實現預期功能，整車設計的規範不足仍可能導致危害行為。因此，應從整車層面綜合考慮各模組功能不足問題及其面臨的觸發條件，從而製定係統解決方案。

在整車系統設計中，應充分考慮不同功能模組間的SOTIF風險傳播。近年來越來越多研究關注智慧汽車上下游功能之間的系統性和互補性，上述決策SOTIF風險中關於上游感知定位模組表現完美的假設實際上難以成立，針對感知定位功能不足所導致的問題，可透過決策設計進行彌補。如透過在決策模組中考慮感測器輸入雜訊和遮擋等導致的感知不足以及感知結果中的類別不確定性和位置不確定性等信息，緩解感知功能不足對整車安全的影響。此外，由於感知或決策功能不足導致的風險也可透過控制模組進行緩解。

此外，一些現階段研究著重於對系統自我意識（self-awareness）的開發，從而提高其對外部運作環境和內部功能狀態的綜合認知和風險防護能力。自我意識的實現需要從整車層面對系統架構及其各模組進行充分認知，如構建智慧汽車的技能圖、能力圖以及整車架構的多層視圖，並將其整合到開發過程中；在賦予整車自我意識能力的基礎上，可進行系統安全監控，如利用環境感測器和車輛本徵感測器等實現對內部和外部狀態的感知和表徵，並結合安全決策或系統自調節技術實現風險防護。

隨著系統複雜性和各模組耦合度增加，對於整車層SOTIF改進的綜合技術方案需求也日益增加，但受限於風險機理和量化指標不明確、監測技術不完善、系統架構和功能模組實現多樣性以及複雜系統分析困難等問題，當前技術尚難以有效應對。有待進一步開發整車層SOTIF 風險防護體系（見圖10），透過對SOTIF風險縱向傳播和整體監控的全面考慮，以實現SOTIF的系統保障。

#圖10 整車層SOTIF風險防護系統

#

運行階段SOTIF保障關鍵技術

滿足SOTIF 發布準則並不代表風險的完全消除。一方面，由於場景長尾效應，運行階段難免遇到開發階段未考慮到的功能不足或觸發條件；另一方面，環境、基礎設施、政策法規、行為習慣等因素相對於開發階段的情況可能發生變化，從而產生新的未知不安全場景，如圖11所示。為有效應對以上未知風險，一些技術可用於運作階段的SOTIF保障，主要包含兩類：短期風險防護和長期功能改善。

#圖11 運行階段未知風險來源分析

短期風險防護旨在對運行階段未知風險的即時防護，其關鍵在於風險監控。異常檢測技術可用於識別偏離正常資料實例區域的輸入，並賦予其異常分數或標籤，對於由分佈偏移或分佈外輸入等問題導致的未知風險具有一定監測能力，常見方法包括監督、半監督和無監督等方式，在語意分割、基於視覺的安全導航等任務中得到了初步應用。

此外，一些研究聚焦在不同異常檢測方法的對比，Henriksson等提出了一個結構化的深度學習監視器評估框架，採用7個評估指標對比了兩類監視器（卷積神經網路分類器和變分自編碼器）在不同測試案例上的性能，其中自動駕駛監視器可透過異常檢測識別新的交通場景；他們在之後的研究中拓展了上述工作，選用4類深度神經網路與3個不同監視器，比較了在網路不同訓練階段中監視器的效能表現，可偵測監視器表現開始惡化的時間點。此外，認知不確定性可反映模型在處理實際運行輸入時所表現出的信心程度，研究顯示其對於分佈偏移、未知資料輸入等具有一定檢測能力，而提取認知不確定性的典型方法有貝葉斯近似推斷、蒙特卡羅dropout、深度整合和深度證據回歸等，如圖12所示。針對監測到的風險，可透過對不確定性敏感的決策模式設計、策略切換等進行安全保障。

#圖12 擷取認知不確定性的典型方法

長期功能改進旨在針對運行階段所發現的新的SOTIF危害進行功能改進和系統升級，從而更有效地消除相關風險，其中典型技術如關鍵數據發現與記錄、增量式的學習成長平台和OTA 升級等。首先，運行階段導致智慧汽車預期功能或其實現不足的關鍵因素應被發​​掘和記錄，具體可結合運行時未知風險監測、高風險或事故資料探勘以及對環境、法規等外界影響因素變化的追蹤記錄等方法實現。另外，基於關鍵數據回饋的系統更新迭代機制的建立與完善是充分解決所發現新問題的重要保障，如Tesla等公司在自動駕駛學習成長平台方面進行了一定探索，而持續學習等技術在機器學習等領域也展現出應對長尾場景的潛力。此外，OTA等遠端升級技術可有效改善自動駕駛軟體等的更新成本和效率。

研究展望與總結

在梳理現有SOTIF保障關鍵技術的基礎上，綜合研究不足與發展趨勢，提出如下研究展望。

（1）加強SOTIF 保障基礎理論研究。 從SOTIF問題本質出發，研究SOTIF風險的產生、傳播與演化機制。透過理論分析與實驗驗證，梳理智慧汽車潛在功能不足、觸發條件以及兩者間的影響關係；結合智慧汽車典型功能架構，探討不同模組間SOTIF問題的影響與傳播機制，研究基於場景演進的風險動態演化理論；同時，針對AI等新技術存在的不確定性和黑盒子問題，深入研究其導致系統功能不足的本質原因。此外，結合統計學、資訊理論等學科研究，建構SOTIF風險量化模型，為離線評估認證與線上風險防治技術的實施奠定理論基礎。

（2）建構SOTIF風險防護技術體系。 在理論研究基礎上探討系統改進思路以降低整車SOTIF風險。結合SOTIF危害產生機制與風險模型，探究與優化智慧汽車各模組功能改善技術，並進一步建構具有自我感知與自我調控能力的整車層SOTIF風險防護系統。如圖13所示，綜合系統內部狀態（如AI模型）、外部運作環境（如ODD）以及其他限制（如交通法規）等資訊進行監測，進而設計自適應安全決策模型以實現對SOTIF風險的防護。

#圖13 SOTIF風險防護系統

（3）促進SOTIF保障技術的良性更新機制形成。 當前智慧汽車領域本身仍處於探索階段，具有多種路線共存、技術更新迭代快等特點；同時，伴隨技術發展、環境變化以及場景長尾問題的長期存在，新的未知不安全可能會不斷出現。因此應建立SOTIF保障技術研究的良性更新機制，改善問題監控、回饋與更新的自動化流程，探究靈活快速永續的自動分析、自學習成長與重認證體系，以實現SOTIF保障技術與智慧汽車技術的同步發展。

總之，SOTIF研究對於智慧汽車最終能否被社會接受具有重要意義。然而，目前該領域標準尚未健全，產業實務仍處於探索階段且缺乏技術研究體系支撐。本文從SOTIF問題本質出發，透過對智慧汽車系統開發和運行階段的SOTIF保障關鍵技術以及針對系統各模組、合理可預見誤用和整車層功能改進技術的綜述，梳理了SOTIF保障技術體系並提出了研究展望，進而助力智慧汽車SOTIF的技術研究與產業落地。

以上是智慧汽車預期功能安全保障關鍵技術的詳細內容。更多資訊請關注PHP中文網其他相關文章！