邵文博，李駿，張玉新，王紅

（1.清華大學(xué)車輛與運(yùn)載學(xué)院，北京100084；2.吉林大學(xué)，汽車仿真與控制國(guó)家重點(diǎn)實(shí)驗(yàn)室，長(zhǎng)春130025）

前言

根據(jù)美國(guó)國(guó)家交通安全管理局（NHTSA）數(shù)據(jù)統(tǒng)計(jì)，約94%的交通事故由人為因素導(dǎo)致，智能汽車以機(jī)器代替人類駕駛員，在提高行車安全性方面具有重要意義。但現(xiàn)有技術(shù)尚不能充分發(fā)揮其安全潛力，此外在引入新技術(shù)消除原有問題的同時(shí)，新的安全問題也隨之出現(xiàn)，如功能安全、信息安全和預(yù)期功能安全（safety of the intended functionality，SOTIF）問題。尤其隨著智能汽車系統(tǒng)復(fù)雜化和智能化程度日益提升以及其運(yùn)行環(huán)境的開放性和挑戰(zhàn)性不斷增加，由功能不足導(dǎo)致的SOTIF問題逐漸暴露，并成為制約智能汽車安全性保障的關(guān)鍵難題。此外，近年來出現(xiàn)的由于感知、決策等功能不足所導(dǎo)致的自動(dòng)駕駛/輔助駕駛事故也反映了SOTIF問題的嚴(yán)峻性。圖1為2018年發(fā)生的全世界第一起路測(cè)無人車撞死行人的事故原因剖析，其中感知和預(yù)測(cè)功能不足是該事故的主要致因因素。因此，推動(dòng)SOTIF保障技術(shù)的研究已成為當(dāng)務(wù)之急。

圖1 Uber路測(cè)無人車事故原因剖析

預(yù)期功能安全旨在避免由于預(yù)期功能或其實(shí)現(xiàn)的功能不足導(dǎo)致危害所產(chǎn)生的不合理風(fēng)險(xiǎn)，其基本概念由ISO 21448提出和定義，自2016年2月ISO啟動(dòng)該標(biāo)準(zhǔn)的制定工作以來，已形成PAS、CD、DIS和FDIS等版本的草案。ISO 21448作為ISO 26262的延伸，處理在不發(fā)生硬件隨機(jī)失效和系統(tǒng)故障情況下的功能不足問題。SOTIF研究涉及系統(tǒng)功能設(shè)計(jì)改進(jìn)、分析評(píng)估、驗(yàn)證確認(rèn)和認(rèn)證等多方面問題，且隨著技術(shù)發(fā)展和新技術(shù)的引入不斷提出新的需求，因此，ISO 21448難以具體涵蓋所有相關(guān)內(nèi)容。近年來，諸多其他國(guó)際標(biāo)準(zhǔn)相繼提出并將SOTIF作為重要的研究對(duì)象，如圖2所示。在自動(dòng)化產(chǎn)品的安全評(píng)估方面，UL 4600旨在補(bǔ)充功能安全和SOTIF標(biāo)準(zhǔn)，提出一種面向安全目標(biāo)的方法，專注于“如何評(píng)估”全自動(dòng)駕駛安全情況；針對(duì)高級(jí)別自動(dòng)駕駛系統(tǒng)的安全設(shè)計(jì)、驗(yàn)證和確認(rèn)，ISO/TR 4804確定了符合ISO/PAS 21448的SOTIF功能設(shè)計(jì)流程，并有待進(jìn)一步開發(fā)ISO/AWI TS 5083；針對(duì)基于場(chǎng)景的安全評(píng)估，ISO 34502提出了一套場(chǎng)景生成和評(píng)估流程，并在場(chǎng)景庫(kù)建立過程中針對(duì)性地考慮了SOTIF典型觸發(fā)條件；針對(duì)人工智能（artificial intelligence，AI）等新技術(shù)引入后的問題，待開發(fā)的ISO/AWI PAS 8800旨在提供解決AI相關(guān)系統(tǒng)開發(fā)和部署全生命周期問題的規(guī)范，以彌補(bǔ)ISO 21448中對(duì)AI問題考慮的不足。

圖2 SOTIF相關(guān)標(biāo)準(zhǔn)

伴隨SOTIF標(biāo)準(zhǔn)化進(jìn)程，近年來國(guó)內(nèi)外政府、企業(yè)和研究機(jī)構(gòu)在SOTIF實(shí)踐方案方面進(jìn)行了諸多探索：在產(chǎn)品開發(fā)方面，寶馬、百度等諸多公司嘗試將SOTIF引入其產(chǎn)品全生命周期安全開發(fā)流程；在產(chǎn)品安全分析評(píng)估方面，大陸、ANSYS等公司嘗試引入安全分析工具，歐盟ENSEMBLE項(xiàng)目和NHTSA等進(jìn)行了SOTIF分析評(píng)估實(shí)踐，并提供了成果報(bào)告；在安全驗(yàn)證確認(rèn)方面，歐盟PEGASUS及其延伸項(xiàng)目VVM、SetLevel、日本SAKURA項(xiàng)目以及中國(guó)智能網(wǎng)聯(lián)汽車聯(lián)盟預(yù)期功能安全工作組等在實(shí)踐中與SOTIF進(jìn)行了結(jié)合；在功能改進(jìn)方面，諸多公司均提出了各自的方案，歐盟DENSE等項(xiàng)目則針對(duì)傳感器等部件的具體功能不足問題進(jìn)行了研究。

上述標(biāo)準(zhǔn)和實(shí)踐活動(dòng)為智能汽車SOTIF保障提供了框架性指導(dǎo)（見圖3），而在實(shí)際研究和開發(fā)過程中，須采用特定的保障技術(shù)以有效地解決各階段面臨的具體問題。然而，該領(lǐng)域尚未形成完善的技術(shù)研究體系：一方面，當(dāng)前直接以SOTIF為主題的文獻(xiàn)雖呈增長(zhǎng)趨勢(shì)，但總量仍相對(duì)較少，內(nèi)容主要涉及概念和意義闡述、安全分析、測(cè)試驗(yàn)證和系統(tǒng)工程等方面，缺少對(duì)SOTIF保障關(guān)鍵技術(shù)系統(tǒng)性的研究和梳理；另一方面，雖然許多相關(guān)領(lǐng)域的高水平研究成果對(duì)于解決功能不足問題具有重要的啟發(fā)和借鑒意義，但尚未被明確納入SOTIF保障技術(shù)研究范疇。因此，本文中基于大量國(guó)內(nèi)外研究報(bào)告和文獻(xiàn)資料，系統(tǒng)地分析和梳理了SOTIF保障關(guān)鍵技術(shù)，并基于現(xiàn)有研究不足提出了展望。

圖3 SOTIF保障的基本活動(dòng)流程［2］

1 SOTIF概述

明確的問題定義和風(fēng)險(xiǎn)源分析是保障SOTIF的前提。從系統(tǒng)自身角度分析，SOTIF問題主要源于兩方面：（1）在車輛層對(duì)預(yù)期功能的規(guī)范不足，場(chǎng)景開放性、系統(tǒng)復(fù)雜性和專家經(jīng)驗(yàn)的不完備性等限制均可能導(dǎo)致車輛行為的設(shè)計(jì)規(guī)范過程出現(xiàn)問題，進(jìn)而難以實(shí)現(xiàn)理想的安全目標(biāo)；（2）預(yù)期功能實(shí)現(xiàn)的不足，即使對(duì)車輛層預(yù)期功能的規(guī)范足夠完備，由于系統(tǒng)組件的性能局限和規(guī)范不足，感知、決策和控制等功能的實(shí)現(xiàn)可能不符合預(yù)期。如傳感器、執(zhí)行器存在感知、執(zhí)行能力上限或易受外界環(huán)境因素干擾等性能局限；感知、決策算法可能具有魯棒性、泛化性、可解釋性、邏輯完備性、規(guī)則覆蓋度等方面的問題。此外，SOTIF危害的產(chǎn)生和演化依賴于特定場(chǎng)景。首先，上述規(guī)范不足或性能局限由場(chǎng)景中特定條件觸發(fā)而導(dǎo)致危害行為；另外，上述危害行為最終演化為傷害是建立在當(dāng)前場(chǎng)景包含相關(guān)風(fēng)險(xiǎn)源以及場(chǎng)景可控性低的情況下。因此，在進(jìn)行SOTIF保障過程中，需要綜合系統(tǒng)自身局限和運(yùn)行場(chǎng)景風(fēng)險(xiǎn)以建立安全保障體系。

根據(jù)場(chǎng)景是否已知和是否會(huì)導(dǎo)致SOTIF危害，將其分為已知安全、已知不安全、未知不安全和未知安全4類場(chǎng)景，SOTIF保障目標(biāo)為通過一系列活動(dòng)和相關(guān)技術(shù)以最小化兩類不安全場(chǎng)景對(duì)應(yīng)區(qū)域，其核心是對(duì)未知不安全場(chǎng)景的發(fā)現(xiàn)和處理。如圖4所示，SOTIF保障目標(biāo)的實(shí)現(xiàn)可分解為將未知轉(zhuǎn)化為已知、將不安全轉(zhuǎn)化為安全兩方面。首先，SOTIF分析評(píng)估、驗(yàn)證確認(rèn)以及運(yùn)行階段的關(guān)鍵數(shù)據(jù)收集、記錄和反饋等活動(dòng)有助于充分挖掘未知場(chǎng)景；另外，開發(fā)階段直接針對(duì)功能不足的改進(jìn)、運(yùn)行階段的未知風(fēng)險(xiǎn)監(jiān)測(cè)、防護(hù)和基于收集數(shù)據(jù)的系統(tǒng)功能改進(jìn)是將不安全場(chǎng)景轉(zhuǎn)化為安全場(chǎng)景的必要活動(dòng)；此外，驗(yàn)證確認(rèn)與殘余風(fēng)險(xiǎn)評(píng)估以及安全論證等則是確保殘余風(fēng)險(xiǎn)足夠低的重要活動(dòng)，從而為SOTIF發(fā)布提供依據(jù)。下文將分別從開發(fā)階段（第2節(jié)）和運(yùn)行階段（第4節(jié)）梳理各項(xiàng)活動(dòng)對(duì)應(yīng)的SOTIF保障關(guān)鍵技術(shù)，并針對(duì)智能汽車系統(tǒng)的功能改進(jìn)技術(shù)（第3節(jié)）進(jìn)行具體討論。

圖4 SOTIF保障目標(biāo)與實(shí)現(xiàn)過程

2 開發(fā)階段SOTIF保障關(guān)鍵技術(shù)

系統(tǒng)開發(fā)階段的SOTIF保障活動(dòng)主要包括SOTIF分析評(píng)估、驗(yàn)證確認(rèn)、功能改進(jìn)和發(fā)布等，本節(jié)將分別重點(diǎn)介紹各環(huán)節(jié)關(guān)鍵技術(shù)。

2.1 SOTIF分析評(píng)估

采用有效的安全分析技術(shù)可提高對(duì)SOTIF危害、潛在功能不足與觸發(fā)條件等識(shí)別分析的效率、全面性和科學(xué)性。傳統(tǒng)安全分析技術(shù)如故障樹分析、失效模式與影響分析和危害與可操作性分析等，其在SOTIF分析評(píng)估方面得到了一些應(yīng)用；以智能汽車為代表的新技術(shù)帶來了事故本質(zhì)改變、新類型危害、單次事故容忍度降低、系統(tǒng)復(fù)雜性增加、人機(jī)交互復(fù)雜化等新的安全挑戰(zhàn)，因此需要更有效的安全分析技術(shù)，系統(tǒng)理論過程分析（systems-theoretic process analysis，STPA）（見圖5）具有分析復(fù)雜系統(tǒng)的潛力，包含定義分析目的、構(gòu)建控制結(jié)構(gòu)、識(shí)別不安全控制行為、識(shí)別致因場(chǎng)景4步，已被用于感知、決策和全自動(dòng)駕駛系統(tǒng)等的SOTIF分析。然而，單一技術(shù)的可用性有限，可結(jié)合其各自優(yōu)勢(shì)以開發(fā)更有效的SOTIF分析技術(shù)。

圖5 STPA技術(shù)實(shí)現(xiàn)過程

此外，在SOTIF分析中引入特定建模技術(shù)等有利于進(jìn)一步改善分析效果。傳統(tǒng)STPA技術(shù)構(gòu)建的控制結(jié)構(gòu)描述了系統(tǒng)內(nèi)部運(yùn)行邏輯，但未建模功能和運(yùn)行環(huán)境間的關(guān)系，有限狀態(tài)機(jī)等被采用以彌補(bǔ)上述不足，通過建模車輛狀態(tài)結(jié)合環(huán)境條件的轉(zhuǎn)換關(guān)系可更全面地識(shí)別危害。因果關(guān)系模型有利于指導(dǎo)分析危害行為對(duì)應(yīng)的觸發(fā)條件、性能局限或規(guī)范不足，如貝葉斯網(wǎng)絡(luò)已被用于構(gòu)建感知性能局限和場(chǎng)景觸發(fā)條件間的層次依賴關(guān)系，結(jié)合條件信念表、P值檢驗(yàn)和專家分析等技術(shù)可用于量化評(píng)估上述關(guān)系和發(fā)掘新的觸發(fā)條件。另外，對(duì)場(chǎng)景要素、觸發(fā)條件和性能局限等基本元素進(jìn)行前期梳理和過程中更新，并建立相關(guān)映射關(guān)系有利于提高SOTIF分析的效率和全面性。

針對(duì)識(shí)別所得SOTIF危害應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。STPA等技術(shù)自身不具備風(fēng)險(xiǎn)量化的功能，因此需進(jìn)行相應(yīng)拓展，功能安全領(lǐng)域的危害分析與風(fēng)險(xiǎn)評(píng)估（hazard analysis and risk assessment，HARA）和汽車安全完整性等級(jí)（automotive safety integration level，ASIL）被一些研究改進(jìn)并用于SOTIF風(fēng)險(xiǎn)評(píng)估。貝葉斯概率模型作為一種統(tǒng)計(jì)性方法，也已被用于量化SOTIF相關(guān)風(fēng)險(xiǎn)及其邊界。然而，由于場(chǎng)景復(fù)雜度增大和統(tǒng)計(jì)困難、觸發(fā)條件對(duì)場(chǎng)景的依賴性、AI算法不確定性等原因，現(xiàn)有研究尚未能明確和統(tǒng)一SOTIF風(fēng)險(xiǎn)定義及其量化方法，因此亟待探索和提出更有效的SOTIF定量分析指標(biāo)與技術(shù)。此外，為避免智能汽車HARA難以接受的復(fù)雜性，可結(jié)合任務(wù)分解、等價(jià)類和影響分析以及模型重構(gòu)等技術(shù)以管理其復(fù)雜度。

2.2 SOTIF功能改進(jìn)

針對(duì)由功能不足導(dǎo)致的不合理風(fēng)險(xiǎn)，應(yīng)進(jìn)行功能改進(jìn)以縮小不安全區(qū)域?，F(xiàn)階段的功能改進(jìn)技術(shù)眾多，可主要分為3種技術(shù)路線：①性能提升，如提高特定傳感器或感知模型自身的性能上限；②風(fēng)險(xiǎn)監(jiān)測(cè)與防護(hù)，即通過對(duì)觸發(fā)條件（包含合理可預(yù)見的誤操作）、功能不足狀態(tài)等的識(shí)別以監(jiān)測(cè)SOTIF風(fēng)險(xiǎn)，從而采取針對(duì)性的防護(hù)技術(shù)，如風(fēng)險(xiǎn)源消除、功能限制或權(quán)限移交等，此外，也可通過直接對(duì)運(yùn)行設(shè)計(jì)域（operational design domain，ODD）的明確、監(jiān)測(cè)和限制為風(fēng)險(xiǎn)防護(hù)提供參考；③功能冗余，如通過設(shè)計(jì)冗余功能模塊以改善整體性能表現(xiàn)。第3節(jié)將針對(duì)智能汽車各模塊和整車層分別系統(tǒng)地梳理相應(yīng)功能改進(jìn)技術(shù)。

2.3 SOTIF驗(yàn)證確認(rèn)

驗(yàn)證確認(rèn)是進(jìn)一步發(fā)現(xiàn)不安全場(chǎng)景和證明SOTIF得到充分保障的重要活動(dòng)。SOTIF驗(yàn)證旨在提供客觀證據(jù)證明對(duì)規(guī)定要求的滿足，對(duì)象包括傳感器、感知算法、決策算法、執(zhí)行器和集成系統(tǒng)等，驗(yàn)證指標(biāo)如準(zhǔn)確性、可靠性和抗干擾性等。SOTIF確認(rèn)旨在采用合理的確認(rèn)目標(biāo)和方法，評(píng)估在已知和未知不安全場(chǎng)景下殘余風(fēng)險(xiǎn)是否可接受。SOTIF確認(rèn)目標(biāo)用于量化滿足接受準(zhǔn)則的條件，后者可在考慮事故統(tǒng)計(jì)數(shù)據(jù)、人類駕駛員表現(xiàn)等基礎(chǔ)上分析風(fēng)險(xiǎn)接受原則，如風(fēng)險(xiǎn)容忍、正向風(fēng)險(xiǎn)平衡、最低合理可行、最小內(nèi)源性死亡率等。

SOTIF驗(yàn)證確認(rèn)須綜合考慮所采用技術(shù)的有效性、可行性和成本，如基于分析對(duì)比的驗(yàn)證、仿真和軟硬件在環(huán)等技術(shù)成本相對(duì)較低，但提供證據(jù)的有效性、適用范圍有限；開放道路測(cè)試能夠反映車輛在環(huán)境中最真實(shí)的表現(xiàn)，有利于突破經(jīng)驗(yàn)知識(shí)和模型等限制，挖掘罕見的未知不安全場(chǎng)景，但單獨(dú)采用此類方法的成本難以接受。近年來，基于場(chǎng)景的測(cè)試（見圖6）得到了廣泛研究與實(shí)踐。一方面，該方法可結(jié)合仿真、軟硬件在環(huán)和試驗(yàn)場(chǎng)等不同平臺(tái)合理分配測(cè)試資源，并結(jié)合測(cè)試場(chǎng)景覆蓋度評(píng)估、重要性采樣、危害行為識(shí)別等技術(shù)進(jìn)一步減少測(cè)試成本；另一方面，該方法以場(chǎng)景為核心，既可用于在包含潛在觸發(fā)條件場(chǎng)景下的SOTIF驗(yàn)證，也可通過基于真實(shí)場(chǎng)景分布的采樣測(cè)試或?qū)ξ粗獔?chǎng)景的充分挖掘以輔助SOTIF確認(rèn)。

圖6 基于場(chǎng)景的測(cè)試方法與流程

特定場(chǎng)景或用例的生成是驗(yàn)證確認(rèn)的前提，根據(jù)信息來源的不同，主要分為知識(shí)驅(qū)動(dòng)和數(shù)據(jù)驅(qū)動(dòng)，前者可參考專家知識(shí)、標(biāo)準(zhǔn)和相關(guān)經(jīng)驗(yàn)等，典型方法如本體論，后者一般依賴自然駕駛或事故數(shù)據(jù)進(jìn)行提取。根據(jù)生成目標(biāo)不同，主要包含隨機(jī)場(chǎng)景生成和關(guān)鍵場(chǎng)景生成，其中關(guān)鍵場(chǎng)景可源于對(duì)已識(shí)別潛在觸發(fā)條件的映射和組合，也可通過定義場(chǎng)景危險(xiǎn)程度等指標(biāo)進(jìn)行自動(dòng)生成。對(duì)抗樣本生成是一種有效的關(guān)鍵場(chǎng)景生成方法，其結(jié)合梯度等信息可自動(dòng)生成更易觸發(fā)系統(tǒng)功能不足的安全關(guān)鍵場(chǎng)景，進(jìn)而提高測(cè)試效率；在場(chǎng)景生成過程中，與真實(shí)世界的相似性是保證測(cè)試有效性的重要前提，而可接受擾動(dòng)生成等則是實(shí)現(xiàn)上述目標(biāo)的重要技術(shù)。此外，適當(dāng)?shù)墓δ芊纸鈱?duì)于克服參數(shù)空間爆炸和減少測(cè)試量具有重要意義，進(jìn)而根據(jù)測(cè)試對(duì)象不同，在生成不同功能模塊的場(chǎng)景時(shí)應(yīng)進(jìn)行差異化考慮，如針對(duì)傳感器和感知模塊，可選擇包含雨雪霧等惡劣天氣或特定目標(biāo)檢測(cè)對(duì)象的場(chǎng)景；針對(duì)決策模塊，可側(cè)重于對(duì)交通干擾等場(chǎng)景的選擇；針對(duì)控制器和執(zhí)行器，包含極限工況、惡劣道路和環(huán)境條件等的場(chǎng)景需要被重點(diǎn)考慮。

從生成的場(chǎng)景或場(chǎng)景庫(kù)中選擇具體場(chǎng)景是決定測(cè)試代表性、覆蓋度和成本的關(guān)鍵步驟，參數(shù)空間具有復(fù)雜性和連續(xù)性，因此可采用采樣方法，根據(jù)場(chǎng)景參數(shù)先驗(yàn)信息的不同分為基于參數(shù)范圍的采樣和基于參數(shù)分布的采樣。前者的典型技術(shù)包括組合測(cè)試、交互式實(shí)驗(yàn)設(shè)計(jì)、隨機(jī)化技術(shù)等；后者典型技術(shù)如蒙特卡洛采樣等。加速測(cè)試是改善測(cè)試成本的重要途徑，典型技術(shù)如極值理論、重要性采樣和馬爾科夫鏈蒙特卡洛等。此外，一些研究關(guān)注基于證偽的場(chǎng)景選擇，如通過考慮事故數(shù)據(jù)或場(chǎng)景臨界性、復(fù)雜性等特征進(jìn)行關(guān)鍵場(chǎng)景篩選，或利用仿真進(jìn)行適應(yīng)性壓力測(cè)試、替代建模和隨機(jī)優(yōu)化以及自適應(yīng)搜索等。

測(cè)試平臺(tái)包含虛擬仿真、軟硬件在環(huán)、整車在環(huán)和試驗(yàn)場(chǎng)等，其測(cè)試真實(shí)性依次增加，但測(cè)試成本、安全風(fēng)險(xiǎn)和可拓展性逐漸降低，為充分利用有限資源，應(yīng)在滿足測(cè)試要求的前提下優(yōu)先使用仿真和在環(huán)測(cè)試技術(shù)。此外，通過開發(fā)高保真度的傳感器模型（如采用現(xiàn)象學(xué)模型）可進(jìn)一步改善仿真和在環(huán)測(cè)試技術(shù)的適用性。

評(píng)價(jià)指標(biāo)是判斷系統(tǒng)或組件是否滿足指定要求或殘余風(fēng)險(xiǎn)足夠低的依據(jù)，傳統(tǒng)安全性指標(biāo)可包括主觀/客觀、微觀/宏觀、短期/長(zhǎng)期等類型，但主要用于評(píng)價(jià)整車行為，并不適用于具體功能組件；而現(xiàn)階段針對(duì)感知、預(yù)測(cè)等模型的評(píng)價(jià)也存在標(biāo)準(zhǔn)不一、主要集中于精度類評(píng)價(jià)而對(duì)安全性考慮不足等問題。因此，有待提出適用于智能汽車功能評(píng)價(jià)的SOTIF指標(biāo)。

此外，形式化驗(yàn)證技術(shù)采用數(shù)學(xué)建模方法來保證系統(tǒng)正確性，驗(yàn)證結(jié)果嚴(yán)謹(jǐn)，因此對(duì)智能汽車等安全關(guān)鍵系統(tǒng)具有重要意義。在車輛行為驗(yàn)證方面，定理證明、可達(dá)性分析等技術(shù)得到了許多關(guān)注；在系統(tǒng)集成方面，形式化驗(yàn)證可用于規(guī)范不同組件（如控制器）集成的正確性；另外，形式化方法在以機(jī)器學(xué)習(xí)為代表的AI領(lǐng)域得到了廣泛研究，可進(jìn)一步用于對(duì)感知、預(yù)測(cè)等相關(guān)功能模塊的驗(yàn)證。然而，該技術(shù)實(shí)現(xiàn)成本較高，對(duì)復(fù)雜系統(tǒng)、開放場(chǎng)景和黑盒模型等情況的可拓展性有限，因此仍有待進(jìn)一步探索和改進(jìn)。

綜上，現(xiàn)階段存在多種技術(shù)可用于SOTIF驗(yàn)證確認(rèn)，通過結(jié)合不同技術(shù)優(yōu)勢(shì)可進(jìn)一步改善效果。然而，由于場(chǎng)景復(fù)雜多變和長(zhǎng)尾效應(yīng)、智能汽車系統(tǒng)復(fù)雜多樣和更新迭代快以及缺少SOTIF評(píng)價(jià)規(guī)范等問題，SOTIF驗(yàn)證確認(rèn)仍面臨嚴(yán)峻挑戰(zhàn)。

2.4 SOTIF發(fā)布

在開發(fā)階段的最后，須論證系統(tǒng)是否符合SOTIF發(fā)布準(zhǔn)則。Schwalb等提出了一個(gè)概率框架以逐步量化SOTIF殘余風(fēng)險(xiǎn)。此外，經(jīng)過上述分析評(píng)估、設(shè)計(jì)改進(jìn)和驗(yàn)證確認(rèn)等活動(dòng)可形成完整的安全文檔，進(jìn)而可利用目標(biāo)結(jié)構(gòu)表示法、拓展證據(jù)網(wǎng)絡(luò)等技術(shù)進(jìn)行安全論證，如Misra提出了一個(gè)狀態(tài)機(jī)用于探索預(yù)期功能可能導(dǎo)致危害的條件，并斷言相應(yīng)安全聲明，在此基礎(chǔ)上結(jié)合目標(biāo)結(jié)構(gòu)表示法構(gòu)建了SOTIF論證架構(gòu)。

除上述各階段活動(dòng)的針對(duì)性保障技術(shù)，對(duì)系統(tǒng)開發(fā)流程的優(yōu)化也是SOTIF保障的重要方向，如采用敏捷系統(tǒng)工程可改善系統(tǒng)開發(fā)效率、經(jīng)濟(jì)性和可追溯性。此外，部分學(xué)者嘗試將形式化方法、規(guī)則手冊(cè)等集成到SOTIF系統(tǒng)開發(fā)過程，并初步獲得了加速開發(fā)、提高可追溯性和可評(píng)估性等優(yōu)化效果。然而，這些方法自身仍存在復(fù)雜性、可拓展性和適用性等方面的問題，另外其與SOTIF的結(jié)合仍處于探索階段，對(duì)實(shí)際開發(fā)過程的指導(dǎo)意義有限。

3 智能汽車功能改進(jìn)關(guān)鍵技術(shù)

智能汽車功能實(shí)現(xiàn)依賴于各子模塊，如圖7所示。在合理可預(yù)見的誤用等觸發(fā)條件的影響下，感知、定位、決策、控制等功能不足均可能導(dǎo)致SOTIF危害，而根據(jù)各模塊特點(diǎn)可進(jìn)行針對(duì)性改進(jìn)。本節(jié)將從感知定位、決策控制、合理可預(yù)見誤用處理和整車層功能改進(jìn)4方面分別進(jìn)行總結(jié)。

圖7 智能汽車各層級(jí)SOTIF問題

3.1 感知（含定位）功能改進(jìn)

感知功能實(shí)現(xiàn)主要依賴于傳感器和感知模型，因此其功能改進(jìn)主要面向傳感器性能局限和感知模型功能不足問題進(jìn)行。

3.1.1 傳感器和感知模型性能提升

通過傳感器優(yōu)化技術(shù)改進(jìn)其檢測(cè)范圍、精度和抗干擾能力等基本性能，如針對(duì)Lidar易受雨霧、塵埃干擾的問題，有多次回波技術(shù)和面激光技術(shù)等。另外，針對(duì)感知模型的性能提升技術(shù)與所采用感知算法密切相關(guān)，現(xiàn)階段智能汽車感知功能普遍采用機(jī)器學(xué)習(xí)算法，根據(jù)其工作原理，可將感知模型性能提升主要分為如下幾個(gè)方面。

（1）訓(xùn)練數(shù)據(jù)改進(jìn)。首先，可改善訓(xùn)練數(shù)據(jù)的豐富度，通過采用大規(guī)模低成本數(shù)據(jù)采集方案結(jié)合自動(dòng)/半自動(dòng)標(biāo)注方法以降低成本，進(jìn)而提高訓(xùn)練數(shù)據(jù)量。另外，可改進(jìn)數(shù)據(jù)采集技術(shù)以提高數(shù)據(jù)質(zhì)量，結(jié)合數(shù)據(jù)清洗、過濾和校正等技術(shù)減少由于采集或標(biāo)注錯(cuò)誤等導(dǎo)致的訓(xùn)練數(shù)據(jù)問題。此外，可通過訓(xùn)練數(shù)據(jù)分布的合理分配以改善訓(xùn)練效果。

（2）訓(xùn)練模型改進(jìn)。模型架構(gòu)的設(shè)計(jì)直接影響感知性能，如由于卷積神經(jīng)網(wǎng)絡(luò)對(duì)于圖像信息處理的天然優(yōu)勢(shì)，添加該設(shè)計(jì)的網(wǎng)絡(luò)性能一般優(yōu)于單純的多層感知機(jī)網(wǎng)絡(luò)。優(yōu)化感知模型設(shè)計(jì)是當(dāng)前計(jì)算機(jī)視覺等領(lǐng)域的主要研究方向，因此感知性能也得以快速提升。此外，通過優(yōu)化模型設(shè)計(jì)也可改善其對(duì)未知對(duì)象的檢測(cè)效果，從而降低殘余風(fēng)險(xiǎn)。

（3）訓(xùn)練過程改進(jìn)。針對(duì)訓(xùn)練數(shù)據(jù)不足或潛在未知場(chǎng)景的問題，可通過數(shù)據(jù)增強(qiáng)、遷移學(xué)習(xí)、主動(dòng)學(xué)習(xí)等技術(shù)提高對(duì)有限數(shù)據(jù)或標(biāo)簽的利用效率，其中針對(duì)感知算法的數(shù)據(jù)增強(qiáng)，除圖像翻轉(zhuǎn)、裁剪等傳統(tǒng)方法外，對(duì)雨雪霧天氣條件的渲染也是提高在惡劣天氣下感知性能的一種方式。針對(duì)潛在功能不足問題，對(duì)抗訓(xùn)練等技術(shù)有助于在有限數(shù)據(jù)的基礎(chǔ)上減少模型缺陷，提高其魯棒性。此外，改進(jìn)損失或獎(jiǎng)勵(lì)函數(shù)以及合理使用歸一化、正則化等技術(shù)均有助于模型性能的進(jìn)一步提升。

3.1.2 感知SOTIF風(fēng)險(xiǎn)監(jiān)測(cè)與防護(hù)

圖庫(kù)分離模式下，建庫(kù)和出圖通常分開進(jìn)行，互不關(guān)聯(lián)。湖南省采用基于CAD平臺(tái)開發(fā)的GeoOne軟件進(jìn)行庫(kù)體數(shù)據(jù)采集，以DWG格式存儲(chǔ)，在CAD成果基礎(chǔ)上生產(chǎn)建庫(kù)數(shù)據(jù)（E00格式或mdb格式），然后制作制圖數(shù)據(jù)，輸出制圖tiff成果。在制圖過程中，如果發(fā)現(xiàn)庫(kù)體數(shù)據(jù)存在不正確或不合理之處，則需要返回DWG格式進(jìn)行數(shù)據(jù)修改，待修改完成后再次輸出制圖成果，如圖1所示。在這種生產(chǎn)模式下，建庫(kù)數(shù)據(jù)和制圖數(shù)據(jù)基本采用2套數(shù)據(jù)，且需要進(jìn)行多次格式轉(zhuǎn)換，會(huì)出現(xiàn)重復(fù)生產(chǎn)和信息丟失等多種問題［3］。

將感知SOTIF風(fēng)險(xiǎn)來源分為外界觸發(fā)條件與內(nèi)部功能不足，可作為風(fēng)險(xiǎn)監(jiān)測(cè)的參考。其中，雨、雪、霧、冰雹等不良天氣條件是感知SOTIF問題的重要觸發(fā)條件，一些研究通過試驗(yàn)分析建立了其影響關(guān)系，為外界觸發(fā)條件監(jiān)測(cè)提供依據(jù)。對(duì)不良天氣條件的監(jiān)測(cè)可采用特定環(huán)境模型或天氣傳感器，如車用雨量傳感器便包含電容式、光學(xué)式、壓電振子式、電阻式、CCD成像式等類型；另外，結(jié)合統(tǒng)計(jì)學(xué)或深度學(xué)習(xí)等方法，攝像頭等自身輸出數(shù)據(jù)也可直接用于對(duì)惡劣天氣條件或其導(dǎo)致干擾的監(jiān)測(cè)。此外，一些研究關(guān)注對(duì)感知功能不足表現(xiàn)的直接監(jiān)測(cè)，如通過修改模型、調(diào)整訓(xùn)練過程和引入其他信息以實(shí)現(xiàn)對(duì)感知性能的在線估計(jì)。

針對(duì)受環(huán)境條件影響的傳感器數(shù)據(jù)可進(jìn)行干擾消除。首先，傳感器參數(shù)內(nèi)部調(diào)優(yōu)可用于提高其在惡劣天氣下的數(shù)據(jù)質(zhì)量。另外，通過添加附加裝置可消除干擾，如通過液體或雨刷器清洗傳感器污垢，而針對(duì)雨雪結(jié)冰或霜等對(duì)攝像頭造成的不良影響，可添加自熱裝置。此外，數(shù)據(jù)降噪等預(yù)處理技術(shù)也可用于去除環(huán)境干擾，如用于圖像除霧的典型算法包含圖像增強(qiáng)、基于大氣退化模型的圖像復(fù)原和基于深度學(xué)習(xí)的方法等；另一些研究關(guān)注圖像除雨技術(shù)，主要分為兩類：雨滴（粘附在鏡頭上）去除和降雨（分布在空氣中）去除；對(duì)于Lidar，一些商業(yè)產(chǎn)品已具備自動(dòng)圖像校正功能，可通過面向像素的評(píng)估來過濾雨滴和雪花。

此外，也可跳過干擾消除步驟，直接改善感知模型對(duì)含干擾數(shù)據(jù)的處理能力。如Huang等引入一種新型雙子網(wǎng)網(wǎng)絡(luò)——DSNet來解決霧天圖像目標(biāo)檢測(cè)問題，在保持高速的同時(shí)檢測(cè)性能優(yōu)于許多先進(jìn)的目標(biāo)檢測(cè)器和“除霧+檢測(cè)”的組合模型。

3.1.3 感知功能冗余

針對(duì)單一傳感器及其感知模型的性能局限，多傳感器融合是一種重要的改進(jìn)技術(shù)。首先，同類傳感器融合可通過多個(gè)傳感器的合理布局來增加感知范圍，如在車輛四周布置多個(gè)攝像頭以獲取360°的感知視角；另外，多類傳感器融合將有助于克服單類傳感器的固有性能局限，增加環(huán)境信息獲取的多樣性和準(zhǔn)確性，如利用Lidar測(cè)距精確的優(yōu)勢(shì)彌補(bǔ)攝像頭功能不足，或結(jié)合冗余信息分析等確定傳感器異常。根據(jù)融合傳感器的特點(diǎn)可分為基于攝像頭、Lidar和Radar間不同組合方式的融合；根據(jù)融合信息所屬層級(jí)可分為數(shù)據(jù)級(jí)、特征級(jí)和目標(biāo)級(jí)融合；常用融合方法如自適應(yīng)加權(quán)平均法、聚類算法、貝葉斯推理等。現(xiàn)階段研究考慮惡劣天氣等觸發(fā)條件影響，針對(duì)最佳融合架構(gòu)、模型設(shè)計(jì)、訓(xùn)練策略、多模態(tài)數(shù)據(jù)集等方面進(jìn)行了諸多探索，并取得了一些較為顯著的效果。此外，在城市復(fù)雜交通場(chǎng)景，通過引入路側(cè)和城市感知信息，實(shí)現(xiàn)使能賦能一體化的協(xié)同感知方案也是解決單車感知功能不足的重要研究方向。

3.1.4 定位功能改進(jìn)

定位功能實(shí)現(xiàn)主要包括基于全球?qū)Ш叫l(wèi)星系統(tǒng)等的絕對(duì)定位和基于同步定位與地圖構(gòu)建（simultaneous localization and mapping，SLAM）等的相對(duì)定位。前者的典型SOTIF問題如建筑物反射造成的多徑現(xiàn)象、交通設(shè)施或山區(qū)峽谷等遮擋造成的定位錯(cuò)亂或定位信號(hào)丟失，可采用GPS海拔或氣壓絕對(duì)值比對(duì)等方法應(yīng)對(duì)高架路段的定位信號(hào)錯(cuò)亂問題；后者主要包含基于攝像頭或Lidar的SLAM定位等，因此其面臨的SOTIF問題與感知類似，如惡劣天氣導(dǎo)致定位準(zhǔn)確性降低等，可通過多傳感器融合、算法優(yōu)化等技術(shù)改進(jìn)。

3.2 決策控制功能改進(jìn)

3.2.1 決策方法分類與性能提升

當(dāng)前主流的決策方法包含兩類：基于規(guī)則的決策和基于學(xué)習(xí)的決策。前者優(yōu)點(diǎn)是可解釋性強(qiáng)、便于引入專家經(jīng)驗(yàn)、可靠性強(qiáng)等，但易出現(xiàn)規(guī)范不足、動(dòng)態(tài)復(fù)雜場(chǎng)景下的認(rèn)知推理能力不足、泛化性和算法可拓展性不足等局限性。針對(duì)上述問題，首先，可通過經(jīng)驗(yàn)積累、頭腦風(fēng)暴等方法不斷優(yōu)化決策邏輯，而STPA等系統(tǒng)分析技術(shù)對(duì)于提高決策規(guī)則設(shè)計(jì)的完備性也具有一定指導(dǎo)意義。另外，引入新建模理論和信息以及場(chǎng)景模板等技術(shù)可改善決策方法對(duì)復(fù)雜和未知場(chǎng)景的通用性。此外，引入單獨(dú)的預(yù)測(cè)模塊可提高決策對(duì)場(chǎng)景的認(rèn)知能力，進(jìn)而彌補(bǔ)原有模型的不足。

近年來，越來越多的研究關(guān)注基于學(xué)習(xí)的決策方法，如模仿學(xué)習(xí)和強(qiáng)化學(xué)習(xí)。針對(duì)此類方法的改進(jìn)思路與上述感知模型性能提升類似，即可通過對(duì)訓(xùn)練數(shù)據(jù)、模型和訓(xùn)練過程的改進(jìn)提高決策性能。

3.2.2 決策SOTIF風(fēng)險(xiǎn)監(jiān)測(cè)與防護(hù)

決策功能模塊基于獲取的環(huán)境信息制定相應(yīng)策略，假設(shè)感知定位模塊獲取的信息足夠準(zhǔn)確，決策SOTIF風(fēng)險(xiǎn)主要來源于運(yùn)行環(huán)境中的觸發(fā)條件（如交通擾動(dòng)對(duì)決策算法帶來的挑戰(zhàn)）和決策模塊自身功能不足導(dǎo)致的安全問題，對(duì)應(yīng)其風(fēng)險(xiǎn)監(jiān)測(cè)與防護(hù)主要考慮的兩類因素。

針對(duì)環(huán)境中的觸發(fā)條件，如特定道路類型，可通過OOD等進(jìn)行約束，結(jié)合分析評(píng)估與驗(yàn)證確認(rèn)結(jié)果，以逐漸明確決策模型適用的ODD，從而將其作為環(huán)境條件監(jiān)測(cè)的參考依據(jù)，利用地圖、定位和特定場(chǎng)景識(shí)別等技術(shù)實(shí)時(shí)判斷當(dāng)前風(fēng)險(xiǎn)。針對(duì)環(huán)境中交通參與者的不確定性運(yùn)動(dòng)，通過設(shè)計(jì)相應(yīng)的風(fēng)險(xiǎn)量化模型和風(fēng)險(xiǎn)敏感的安全決策方法可獲取更安全的決策結(jié)果；此外，異常行為檢測(cè)技術(shù)可用于對(duì)環(huán)境中交通參與者非預(yù)期行為的識(shí)別。

針對(duì)決策模塊自身的潛在功能不足，形式化驗(yàn)證技術(shù)在決策安全驗(yàn)證領(lǐng)域得到了廣泛研究，其基本思路為驗(yàn)證當(dāng)前決策結(jié)果在特定假設(shè)下是否會(huì)導(dǎo)致事故，而該假設(shè)的合理性也是影響安全驗(yàn)證效果的重要因素。此外，將決策模塊分為預(yù)測(cè)和行為選擇兩個(gè)關(guān)鍵子模塊，對(duì)預(yù)測(cè)功能不足的量化可用于風(fēng)險(xiǎn)監(jiān)測(cè)和防護(hù)，如圖8所示。通過量化和傳播預(yù)測(cè)模型的不確定性可實(shí)現(xiàn)安全決策。

圖8 考慮預(yù)測(cè)不確定性的安全決策

此外，針對(duì)低級(jí)別自動(dòng)駕駛決策難以應(yīng)對(duì)的場(chǎng)景，可通過功能限制或請(qǐng)求駕駛員接管以緩解風(fēng)險(xiǎn)。

3.2.3 決策功能冗余

針對(duì)單類決策模型的局限性，混合決策（見圖9）可利用優(yōu)勢(shì)互補(bǔ)進(jìn)一步改善功能。如基于規(guī)則的決策難以建模高維不確定性環(huán)境，但其可解釋性和可靠性能彌補(bǔ)基于學(xué)習(xí)的決策。以融合規(guī)則的自學(xué)習(xí)混合決策為例，其包含通過知識(shí)或規(guī)則調(diào)整獎(jiǎng)勵(lì)函數(shù)、調(diào)整探索過程、調(diào)整輸出動(dòng)作或調(diào)整策略訓(xùn)練迭代過程等類型，可提高決策結(jié)果的可靠性。此外，車路云協(xié)同和云控系統(tǒng)等技術(shù)發(fā)展為安全決策提供了有力支撐，通過引入云端和路側(cè)提供的交通狀態(tài)監(jiān)控信息、宏觀決策控制指導(dǎo)、計(jì)算能力支持等輔助可緩解車載決策系統(tǒng)的功能不足問題。

圖9 混合決策一般框架

3.2.4 控制功能改進(jìn)

控制功能的SOTIF問題主要包含兩方面：（1）控制層的動(dòng)力學(xué)建模局限性導(dǎo)致對(duì)車輛動(dòng)力學(xué)特性的表征不足，而控制器本身也存在實(shí)時(shí)性等性能局限；（2）執(zhí)行器存在執(zhí)行精度、最大轉(zhuǎn)向或制動(dòng)能力邊界、實(shí)時(shí)響應(yīng)能力等局限，且可能受道路條件、機(jī)械、強(qiáng)風(fēng)等外界干擾。因此對(duì)其功能改進(jìn)可主要圍繞以上兩方面開展，如針對(duì)執(zhí)行器精度、響應(yīng)時(shí)間等的性能提升，監(jiān)測(cè)高風(fēng)險(xiǎn)工況進(jìn)行防護(hù)，增加新的控制器或執(zhí)行器以實(shí)現(xiàn)冗余等；在算法層面，魯棒容錯(cuò)控制等是改善控制模型的典型技術(shù)。

3.3 合理可預(yù)見誤用的處理

在分析評(píng)估階段對(duì)合理可預(yù)見誤用的充分識(shí)別是應(yīng)對(duì)此類風(fēng)險(xiǎn)的重要前提，可采用STPA等技術(shù)輔助分析。針對(duì)潛在誤用，存在多種處理思路：首先，優(yōu)化用戶手冊(cè)和培訓(xùn)可減少駕乘人員因規(guī)則不明確或知識(shí)不足導(dǎo)致的誤用。在行駛過程中，可通過對(duì)駕乘人員狀態(tài)監(jiān)測(cè)以提前預(yù)警，如位姿狀態(tài)、極端異常狀態(tài)、安全帶狀態(tài)等，典型監(jiān)測(cè)信息獲取途徑包括駕駛員監(jiān)控?cái)z像頭、座椅位置、轉(zhuǎn)向盤傳感器等，Abbood等提出了一種疲勞檢測(cè)和預(yù)測(cè)模型，其采用瞳孔反應(yīng)、腦電信號(hào)等傳感器感知信息和駕駛員資料等定制信息進(jìn)行行為預(yù)測(cè)和干預(yù)。在監(jiān)測(cè)到潛在風(fēng)險(xiǎn)進(jìn)行干預(yù)時(shí)，可通過視覺、聽覺、觸覺等交互形式進(jìn)行警示或行為建議；同時(shí)應(yīng)合理設(shè)計(jì)交互內(nèi)容，Koo等研究了半自動(dòng)駕駛傳遞的信息內(nèi)容如何影響駕駛員態(tài)度和安全性，提出須合理調(diào)控提供信息的數(shù)量和種類。此外，針對(duì)難以避免的潛在誤用行為，可通過設(shè)計(jì)不易實(shí)現(xiàn)的功能操作方式（如座椅、按鈕位置或激活動(dòng)作）、特定場(chǎng)景下駕乘人員權(quán)力限制等提高安全性，如在高速場(chǎng)景中禁止城市自動(dòng)停車功能的激活。

3.4 整車層功能改進(jìn)

智能汽車集成了多模塊復(fù)雜交互，單一功能模塊的改進(jìn)不足以充分保障SOTIF：一方面，各模塊對(duì)應(yīng)SOTIF問題難以徹底消除，須通過優(yōu)化整車系統(tǒng)設(shè)計(jì)以最小化殘余風(fēng)險(xiǎn)；另一方面，即使各功能模塊能實(shí)現(xiàn)預(yù)期功能，整車設(shè)計(jì)的規(guī)范不足仍可能導(dǎo)致危害行為。因此，應(yīng)從整車層面綜合考慮各模塊功能不足問題及其面臨的觸發(fā)條件，從而制定系統(tǒng)解決方案。

在整車系統(tǒng)設(shè)計(jì)中，應(yīng)充分考慮不同功能模塊間的SOTIF風(fēng)險(xiǎn)傳播。近年來越來越多研究關(guān)注智能汽車上下游功能之間的系統(tǒng)性和互補(bǔ)性，上述決策SOTIF風(fēng)險(xiǎn)中關(guān)于上游感知定位模塊表現(xiàn)完美的假設(shè)實(shí)際難以成立，針對(duì)感知定位功能不足所導(dǎo)致的問題，可通過決策設(shè)計(jì)進(jìn)行彌補(bǔ)。如通過在決策模塊中考慮傳感器輸入噪聲和遮擋等導(dǎo)致的感知不足以及感知結(jié)果中的類別不確定性和位置不確定性等信息，緩解感知功能不足對(duì)整車安全的影響。此外，由于感知或決策功能不足導(dǎo)致的風(fēng)險(xiǎn)也可通過控制模塊進(jìn)行緩解。

此外，現(xiàn)階段一些研究關(guān)注對(duì)系統(tǒng)自我意識(shí)（self-awareness）的開發(fā)，從而提高其對(duì)外部運(yùn)行環(huán)境和內(nèi)部功能狀態(tài)的綜合認(rèn)知和風(fēng)險(xiǎn)防護(hù)能力。自我意識(shí)的實(shí)現(xiàn)需要從整車層面對(duì)系統(tǒng)架構(gòu)及其各模塊進(jìn)行充分認(rèn)知，如構(gòu)建智能汽車的技能圖、能力圖以及整車架構(gòu)的多層視圖，并將其集成到開發(fā)過程；在賦予整車自我意識(shí)能力的基礎(chǔ)上，可進(jìn)行系統(tǒng)安全監(jiān)控，如利用環(huán)境傳感器和車輛本征傳感器等實(shí)現(xiàn)對(duì)內(nèi)外部狀態(tài)的感知和表征，并結(jié)合安全決策或系統(tǒng)自調(diào)節(jié)技術(shù)實(shí)現(xiàn)風(fēng)險(xiǎn)防護(hù)。

隨著系統(tǒng)復(fù)雜性和各模塊耦合度增加，對(duì)于整車層SOTIF改進(jìn)的綜合技術(shù)方案需求也日益增加，但受限于風(fēng)險(xiǎn)機(jī)理和量化指標(biāo)不明確、監(jiān)測(cè)技術(shù)不完善、系統(tǒng)架構(gòu)和功能模塊實(shí)現(xiàn)多樣性以及復(fù)雜系統(tǒng)分析困難等問題，當(dāng)前技術(shù)尚難以有效應(yīng)對(duì)。有待進(jìn)一步開發(fā)整車層SOTIF風(fēng)險(xiǎn)防護(hù)體系（見圖10），通過對(duì)SOTIF風(fēng)險(xiǎn)縱向傳播和整體監(jiān)控的綜合考慮，以實(shí)現(xiàn)SOTIF的系統(tǒng)保障。

圖10 整車層SOTIF風(fēng)險(xiǎn)防護(hù)體系

4 運(yùn)行階段SOTIF保障關(guān)鍵技術(shù)

滿足SOTIF發(fā)布準(zhǔn)則并不代表風(fēng)險(xiǎn)的完全消除。一方面，由于場(chǎng)景長(zhǎng)尾效應(yīng)，運(yùn)行階段難免遇到開發(fā)階段未考慮到的功能不足或觸發(fā)條件；另一方面，環(huán)境、基礎(chǔ)設(shè)施、政策法規(guī)、行為習(xí)慣等因素相對(duì)于開發(fā)階段的情況可能發(fā)生變化，從而產(chǎn)生新的未知不安全場(chǎng)景，如圖11所示。為有效應(yīng)對(duì)以上未知風(fēng)險(xiǎn)，一些技術(shù)可用于運(yùn)行階段的SOTIF保障，主要包含兩類：短期風(fēng)險(xiǎn)防護(hù)和長(zhǎng)期功能改進(jìn)。

圖11 運(yùn)行階段未知風(fēng)險(xiǎn)源分析

短期風(fēng)險(xiǎn)防護(hù)旨在對(duì)運(yùn)行階段未知風(fēng)險(xiǎn)的實(shí)時(shí)防護(hù)，其關(guān)鍵在于風(fēng)險(xiǎn)監(jiān)測(cè)。異常檢測(cè)技術(shù)可用于識(shí)別偏離正常數(shù)據(jù)實(shí)例區(qū)域的輸入，并賦予其異常分?jǐn)?shù)或標(biāo)簽，對(duì)于由分布偏移或分布外輸入等問題導(dǎo)致的未知風(fēng)險(xiǎn)具有一定監(jiān)測(cè)能力，常見方法包括監(jiān)督、半監(jiān)督和無監(jiān)督等方式，其在語(yǔ)義分割、基于視覺的安全導(dǎo)航等任務(wù)中得到了初步應(yīng)用。此外，一些研究聚焦于不同異常檢測(cè)方法的對(duì)比，Henriksson等提出了一個(gè)結(jié)構(gòu)化的深度學(xué)習(xí)監(jiān)視器評(píng)估框架，采用7個(gè)評(píng)價(jià)指標(biāo)對(duì)比了兩類監(jiān)視器（卷積神經(jīng)網(wǎng)絡(luò)分類器和變分自編碼器）在不同測(cè)試用例上的性能，其中自動(dòng)駕駛監(jiān)視器可通過異常檢測(cè)識(shí)別新的交通場(chǎng)景；他們?cè)谥蟮难芯恐型卣沽松鲜龉ぷ鳎x用4類深度神經(jīng)網(wǎng)絡(luò)與3個(gè)不同監(jiān)視器，對(duì)比了在網(wǎng)絡(luò)不同訓(xùn)練階段中監(jiān)視器的性能表現(xiàn)，可檢測(cè)監(jiān)視器表現(xiàn)開始惡化的時(shí)間點(diǎn)。此外，認(rèn)知不確定性可反映模型在處理實(shí)際運(yùn)行輸入時(shí)所表現(xiàn)出的信心程度，研究表明其對(duì)于分布偏移、未知數(shù)據(jù)輸入等具有一定檢測(cè)能力，提取認(rèn)知不確定性的典型方法有貝葉斯近似推斷、蒙特卡羅dropout、深度集成和深度證據(jù)回歸等，如圖12所示。針對(duì)監(jiān)測(cè)到的風(fēng)險(xiǎn)，可通過對(duì)不確定性敏感的決策模型設(shè)計(jì)、策略切換等進(jìn)行安全保障。

圖12 提取認(rèn)知不確定性的典型方法

長(zhǎng)期功能改進(jìn)旨在針對(duì)運(yùn)行階段所發(fā)現(xiàn)的新的SOTIF危害進(jìn)行功能改進(jìn)和系統(tǒng)升級(jí)，從而更有效地消除相關(guān)風(fēng)險(xiǎn)，其中典型技術(shù)如關(guān)鍵數(shù)據(jù)發(fā)現(xiàn)與記錄、增量式的學(xué)習(xí)成長(zhǎng)平臺(tái)和OTA升級(jí)等。首先，運(yùn)行階段導(dǎo)致智能汽車預(yù)期功能或其實(shí)現(xiàn)不足的關(guān)鍵因素應(yīng)被發(fā)掘和記錄，具體可結(jié)合運(yùn)行時(shí)未知風(fēng)險(xiǎn)監(jiān)測(cè)、高風(fēng)險(xiǎn)或事故數(shù)據(jù)挖掘以及對(duì)環(huán)境、法規(guī)等外界影響因素變化的跟蹤記錄等方法實(shí)現(xiàn)。另外，基于關(guān)鍵數(shù)據(jù)反饋的系統(tǒng)更新迭代機(jī)制的建立和完善是充分解決所發(fā)現(xiàn)新問題的重要保障，如Tesla等公司在自動(dòng)駕駛學(xué)習(xí)成長(zhǎng)平臺(tái)方面進(jìn)行了一定探索，而持續(xù)學(xué)習(xí)等技術(shù)在機(jī)器學(xué)習(xí)等領(lǐng)域也表現(xiàn)出應(yīng)對(duì)長(zhǎng)尾場(chǎng)景的潛力。此外，OTA等遠(yuǎn)程升級(jí)技術(shù)可有效改善自動(dòng)駕駛軟件等的更新成本和效率。

5 研究展望與總結(jié)

在梳理現(xiàn)有SOTIF保障關(guān)鍵技術(shù)的基礎(chǔ)上，綜合研究不足與發(fā)展趨勢(shì)，提出如下研究展望。

（1）加強(qiáng)SOTIF保障基礎(chǔ)理論研究。從SOTIF問題本質(zhì)出發(fā)，研究SOTIF風(fēng)險(xiǎn)的產(chǎn)生、傳播與演化機(jī)理。通過理論分析與實(shí)驗(yàn)驗(yàn)證，梳理智能汽車潛在功能不足、觸發(fā)條件以及兩者間的影響關(guān)系；結(jié)合智能汽車典型功能架構(gòu)，探究不同模塊間SOTIF問題的影響和傳播機(jī)制，研究基于場(chǎng)景演變的風(fēng)險(xiǎn)動(dòng)態(tài)演化理論；同時(shí)，針對(duì)AI等新技術(shù)存在的不確定性和黑盒問題，深入研究其導(dǎo)致系統(tǒng)功能不足的本質(zhì)原因。此外，結(jié)合統(tǒng)計(jì)學(xué)、信息論等學(xué)科研究，構(gòu)建SOTIF風(fēng)險(xiǎn)量化模型，為離線評(píng)估認(rèn)證與在線風(fēng)險(xiǎn)防控技術(shù)的實(shí)施奠定理論基礎(chǔ)。

（2）構(gòu)建SOTIF風(fēng)險(xiǎn)防護(hù)技術(shù)體系。在理論研究基礎(chǔ)上探索系統(tǒng)改進(jìn)思路以降低整車SOTIF風(fēng)險(xiǎn)。結(jié)合SOTIF危害產(chǎn)生機(jī)理與風(fēng)險(xiǎn)模型，探究和優(yōu)化智能汽車各模塊功能改進(jìn)技術(shù)，并進(jìn)一步構(gòu)建具有自我感知和自我調(diào)控能力的整車層SOTIF風(fēng)險(xiǎn)防護(hù)系統(tǒng)。如圖13所示，綜合系統(tǒng)內(nèi)部狀態(tài)（如AI模型）、外部運(yùn)行環(huán)境（如ODD）以及其他約束（如交通法規(guī)）等信息進(jìn)行監(jiān)測(cè)，進(jìn)而設(shè)計(jì)自適應(yīng)安全決策模型以實(shí)現(xiàn)對(duì)SOTIF風(fēng)險(xiǎn)的防護(hù)。

圖13 SOTIF風(fēng)險(xiǎn)防護(hù)系統(tǒng)

（3）促進(jìn)SOTIF保障技術(shù)的良性更新機(jī)制形成。當(dāng)前智能汽車領(lǐng)域本身仍處于探索階段，具有多種路線共存、技術(shù)更新迭代快等特點(diǎn)；與此同時(shí)，伴隨技術(shù)發(fā)展、環(huán)境變化以及場(chǎng)景長(zhǎng)尾問題的長(zhǎng)期存在，新的未知不安全可能會(huì)不斷出現(xiàn)。因此應(yīng)建立SOTIF保障技術(shù)研究的良性更新機(jī)制，完善問題監(jiān)控、反饋和更新的自動(dòng)化流程，探究靈活快速可持續(xù)的自動(dòng)分析、自學(xué)習(xí)成長(zhǎng)與重認(rèn)證體系，以實(shí)現(xiàn)SOTIF保障技術(shù)與智能汽車技術(shù)的同步發(fā)展。

總之，SOTIF研究對(duì)于智能汽車最終能否被社會(huì)接受具有重要意義。然而，當(dāng)前該領(lǐng)域標(biāo)準(zhǔn)尚未健全，行業(yè)實(shí)踐仍處于探索階段且缺乏技術(shù)研究體系支撐。本文從SOTIF問題本質(zhì)出發(fā)，通過對(duì)智能汽車系統(tǒng)開發(fā)和運(yùn)行階段的SOTIF保障關(guān)鍵技術(shù)以及針對(duì)系統(tǒng)各模塊、合理可預(yù)見誤用和整車層功能改進(jìn)技術(shù)的綜述，梳理了SOTIF保障技術(shù)體系并提出了研究展望，從而助力智能汽車SOTIF的技術(shù)研究和產(chǎn)業(yè)落地。