嘉宾博客:采用统计方法制定无人驾驶汽车安全标准

随着自动驾驶技术的飞速发展，新的汽车安全标准应运而生。关于功能安全的BS EN ISO 26262系列定义了如何解决汽车电子或电气系统故障带来的安全风险，但随着自动化汽车技术的发展，新的风险来源也随之而来。

ISO 26262定义了指导方针，以证明自动驾驶车辆将在预期的现实环境中安全运行。但该标准仅涵盖由系统故障引起的安全隐患;它不包括由系统的性能限制或技术缺陷引起的安全隐患。需要新的标准来弥补这一差距。

制定新标准

2022年7月，BS ISO 21448被引入，以指导预期功能(SOTIF)的安全保证，并从HORIBA米拉。它要求工程师和设计师对系统开发采用安全保证方法，并提供设计、验证和验证(V&V)阶段的证据，以证明不存在由功能不足或合理可预见的误用引起的不合理危险风险。

随着新的E/E系统取代了传统上由驾驶员承担的部分职责，并使用新型传感技术和复杂的决策算法实现了这一功能，SOTIF必须设计到车辆系统中，以确保功能和安全性。BS ISO 21448定义了一个过程，通过该过程，可以根据观察到的证据和对过程的遵守合理地论证不合理风险的存在。

例如，环境条件可能会触发系统以一种危险的方式做出反应:自动制动系统可能会对车辆的反射做出反应，而不是对物理车辆做出反应。我们需要识别和分析这些意想不到的行为，以及什么可能触发它们，以改进系统——例如，通过添加一个新的传感器或修改决策算法——然后重复这一过程，以断言风险已经充分降低，并且没有产生其他风险。这是一个迭代的过程，可能会耗费大量的时间和人力。

确定可接受性

在功能安全方面，汽车安全完整性等级(ASILs)和符合ISO 26262中适当的要求被用来证明不存在不合理的风险。相比之下，SOTIF不使用asil:设置接受标准是流程本身定制的一部分。

汽车行业仍在努力应对这些标准所要求的V&V任务的规模。考虑到自动驾驶系统在公共道路上可能遇到的几乎无限多的场景，SOTIF的雄心壮志为工程团队提供了一个重大的新挑战。

统计方法

HORIBA MIRA的功能安全和ASSURED CAV团队进行了合作，获得了他们广泛的知识和经验、能力和设施，以创建一个系统的SOTIF保证路线。其结果是一个最先进的CAV SOTIF框架，它利用了统计概念，但也更清楚地区分了两种证据流:分析、验证和验证。

自动驾驶汽车的测试项目非常广泛，比传统车辆的测试范围更广。长期存在的CAV范例是，在测试期间，我们永远无法将任何系统完全暴露于所有可能的场景，这导致我们开发和应用统计技术。这以最少的时间和精力产生了相关测试用例的最大覆盖率。我们收集的证据必须汇总和分析，作为一个集体的证据，证明一个系统不仅是安全的，而且已经确定和断言对所述安全具有高度的信心。

在框架分析阶段，识别危害和危险行为，并评估其相关风险。评估功能不足和触发条件;然后，系统可以根据目前的性能和操作设计领域(ODD)的要求，根据建议进行修改。输出是系统级和车辆级的验收标准集，以及验证测试策略。

然后可以执行这个测试策略:确定并定义场景和测试参数。选择一个测试用例样本，并在使用最大化效率、最小化不确定性和优化测试的敏感性和特异性的统计方法的基础上迭代地改进。测试在(虚拟)模拟和(物理)试验场设置中进行。对结果的分析提供了符合上述SOTIF接受标准的证据。

在整个过程中，数据分析是实时进行的。这种混合的方法，即分析与测试并行进行，而不是按顺序进行，可以为那些将自动驾驶系统推向市场的企业节省大量时间和成本。

通过采用统计方法，我们瞄准了最有意义和最有启发性的测试;我们一直在平衡我们的测试程序，以确保其对任何SOTIF问题的敏感性，同时保持很强的特异性，这对于收集到的证据真正具有信息和重要的推断价值至关重要。BS ISO 21448中没有概述实时分析，但如果初步测试结果表明保证阈值永远不会满足，它可以通知早期，快速的响应，因此减少了迭代开发和V&V成本上花费的时间。我们始终牢记安全案例的论点:这就是我们首先进行V&V测试的原因。

HORIBA MIRA的框架现在支持原始设备制造商和自动化系统开发人员评估和评估其产品性能，以符合SOTIF，提供安全保证，使道路和所有道路用户更安全。

Michael Orgill, Horiba Mira的联网和自动驾驶汽车(CAV)项目工程师

HORIBA米拉是ISO 21448等标准工作组的积极成员。其对标准意图和未来方向的详细了解使其能够为寻求BS ISO 21448的组织提供指导和支持。点击这里了解更多关于SOTIF和功能安全的信息。