高度自動駕駛（HAD）車輛是在開放環境下運行的復雜系統。當發生功能不足時，環境的復雜性和開放性可能會導致不安全和不確定行為。對這些限制和不足進行建模需要考慮所有可能的情況和影響HAD車輛性能的因素。

國際標準化組織（ISO）公布了可公開獲得的規范（PAS）， ISO/PAS 21448道路車輛安全預期功能安全指南（SOTIF）。SOTIF指南的目標是確定可能導致潛在危險行為的功能不足引起的性能限制和觸發條件。

無人駕駛汽車的性能評估是一項復雜的任務，它取決于許多影響因素。隨著時代的發展，對所有影響因素的分析變得具有挑戰性，甚至是不可行的。因為影響因素的數量是無限的，它們的狀態和它們的組合是呈爆炸式增長。從SOTIF的角度來看，這種情況會引起完整性問題。

在本報告中，我們將討論在強調完整性的情況下，適用于解決基于模型的系統分析功能不足的方法。我們還簡要討論了不完備性的來源。

01  介紹

高度自動駕駛（HAD）車輛是在開放環境下運行的復雜系統。由于感知和理解操作環境的局限性和不足以及復雜性和開放性可能導致不安全和不確定的行為。對這些限制和不足進行建模需要考慮所有可能的情況和影響HAD車輛性能的因素。

國際標準化組織（ISO）公布了可公開獲得的規范（PAS）， ISO/PAS 21448道路車輛安全預期功能安全指南（SOTIF）。SOTIF指南的目標是，確定可能導致潛在危險行為的功能不足引起的性能限制和觸發條件。具體而言，SOTIF應用于預期功能，其中適當的態勢感知對安全至關重要，態勢感知來自復雜的傳感器和處理算法。

在考慮性能不足、或固有的不確定性的情況下，從SOTIF的角度對HAD車輛的性能進行評估并不是一項簡單的任務。因為基于一組基本的安全要求或關鍵性能指標（KPIs）的特征是不可能的。許多影響因素影響著這類系統的性能。這些影響可能源于傳感器固有的性能限制或規范不足。這也可能取決于觸發條件的存在。例如，基于激光雷達的感知系統的功能性能可能取決于探測、反射、天氣和道路狀況的空間分布。

對系統的依賴關系和影響因素進行建模，以評估性能限制，從而評估相關的不確定性，這對于SOTIF論證非常重要。這樣的模型可以在開發過程中對系統的功能性能提供有價值的見解。ISO/PAS 21448根據情景因素提供了這些依賴關系的列表，但沒有提供對這些情景因素進行建模的具體步驟。然而，如前所述，這種評估（HAD車輛）需要對許多影響因素進行表征。SOTIF提供了覆蓋影響因素搜索空間的方法，包括多重分析技術，但沒有對其窮盡性進行任何論證。當使用基于模型的系統分析技術評估功能不足時，這種爭論導致了完整性問題。基于模型的功能不足評估中的不完整性可能源于系統的復雜性、復雜的組件交互、分析中的抽象以及它們部署的開放環境。因此，完備性的合理論證是基于模型的系統功能不足分析的一個重要方面。

我們打算在這份報告中討論以下兩個方面：

1）針對功能不足的不同MBSA技術；

2）技術的完備性。

本報告的其余部分如下。第二章節介紹了使用的術語。第三章節簡要介紹了ISO PAS 21448活動。第四章節提供了用于解決功能不足建模的基于模型的系統分析技術。在第五章節中，討論了完整性問題。最后，在第六章節中我們討論了結論。

02  術語

在下文中，我們提供了本報告中使用的術語。下面列出的所有術語都取自ISO PAS 21448，而選擇性、認識論和本體論的不確定性定義則取自Gansch等人的著作。

功能不足：規范的不足或性能限制；

· 規范不全：規范可能不完整，與一個或多個觸發條件一起導致危險行為；

· 性能限制：在一個或多個觸發條件下導致危險行為的技術能力的限制；

· 觸發條件：作為導致危險行為的后續系統反應的發起者的場景的特定條件；

· SOTIF：不存在因預期功能或其實施的功能不足而導致的不合理風險；

· 危害：由系統的危險行為引起的潛在危害源；

· 偶然的不確定性：偶然的不確定性可以看作是系統模型所表示的過程的隨機性；

· 認知不確定性：認知不確定性與缺乏關于系統模型的知識和物理系統對模型的不精確編碼有關；

· 本體論的不確定性：本體論的不確定性可以定義為在系統的一個相關方面的模型中完全無知的情況。  

03  ISO PAS 21448

ISO PAS 21448將用例的相關場景分為四個區域（圖1）。這種分類的目的是提供一個概念抽象，可以定義SOTIF過程的總體目標（減少未知和不安全的場景）。在SOTIF下開展的活動的目的是盡可能增加領域1。適用SOTIF的任何用例都可以由已知和未知的場景組成。通過場景發現和用例的識別，可以減少未知和不安全的場景。如果存在相對較大的區域2和3，則可以認為存在不合理的風險。SOTIF過程在區域1、區域2和區域3以及相關場景方面的目標是:ISO PAS 21448用三個步驟定義了核心活動。

圖1:由ISO 21448活動產生的場景類別的演變

? 區域1：為了提高安全功能，最大化該區域。這指的是場景發現和識別；

? 區域2：為了功能安全，該區域應最小化到可接受的最小級別。此外，通過改進功能，可以將危險場景轉移到區域1；

? 區域3：為了最小化這個區域，需要付出相當大的努力來發現未知的危險場景。SOTIF指的是用于此目的的驗證活動；

? 區域4:盡管區域4沒有危險，但在對區域2和3進行最小化時，區域4的一些情況將被識別和發現。

SOTIF提供了一個活動的流程圖，這些活動反過來又可以提供SOTIF的改進（部分顯示在圖2中）。活動的大致分類如下：

? 通過分析評估；

? 評估已知的危險情景；

? 評估未知危險情景。  

圖2：ISO 21448活動的部分流程圖 只顯示了識別階段

由于本報告旨在討論功能不足的完整性問題，因此只詳細討論了第一部分。該過程從功能定義、規范和設計開始。

然后對性能限制可能存在的危害行為進行識別，并對其風險進行評估。如果風險可能造成不可接受的傷害，則進行功能不足和觸發條件的識別（例如，導致障礙物漏檢的環境條件或駕駛員誤操作）。第一步識別不考慮危險行為的原因，而功能不足和觸發條件的識別詳細討論了危險行為的原因。

功能不足、性能限制和觸發條件的識別可以定量地或定性地進行。在這方面，該標準指的是演繹和歸納方法，包括故障樹分析（FTAs）、系統理論過程分析（STPA）和故障模式和影響分析。此外，ISO PAS 21448還提供了一個表（表1）作為識別和評估功能不足、性能限制和觸發條件的方法。

此外，ISO PAS 21448將潛在功能不足的識別分為以下幾個部分：

算法相關：分析可以考慮以下類別：

- 環境及位置；

- 道路基礎設施；

- 城鄉基礎設施；

- 公路基礎設施；

- 駕駛員或用戶行為（包括合理可預見的濫用）；

- 其他司機或道路使用者的預期行為；

- 駕駛場景（例如建筑工地、意外、設有緊急通道的交通擠塞、車輛逆行）；

- 算法限制（例如無法處理可能的情況，或不確定的行為）。

傳感器與執行器相關：分析可考慮以下幾類：

- 天氣情況；

- 機械干擾（例如，由于傳感器在車輛上的位置而產生的振動導致傳感器輸出噪聲）；

- 傳感器上的污垢；

- 電磁干擾；

- 來自其他車輛或其他來源（例如雷達或激光雷達）的干擾；

- 聲音干擾；

- 眩光；

- 反射質量差；

- 準確性；

- 范圍；

- 反應時間；

- 耐用性；

- 授權能力（適用于執行機構）。

安全性分析方法（表1）用于識別和評估功能不足、觸發條件及其依賴關系。這些方法還可以評估和分析ODD、情景和環境影響。然而，正如本節前面所討論的，這些活動的目標是最大化區域1（圖1）。這需要發現和識別所有可能導致危險行為的依賴關系、觸發條件、功能不足和性能限制。由于系統模型是真實世界的近似值，因此提供一個完整的分析，其中每個危險行為及其導致的識別和它們的依賴關系建模是不可行的。在接下來的章節中，將討論針對功能不足的不同基于模型的系統分析方法。這方面的完整性問題緊隨其后。

04  基于模型的系統功能不足分析

故障樹分析

故障樹分析（FTA）是一種由上往下的分析方法。它基于由事件表示和邏輯操作（或門和與門）組成的標準化符號。FTA從一個通常表示失效的不期望發生的頂事件開始。該事件隨后被推斷，直到無法做進一步推斷為止。這些無法被進一步推斷的事件被稱為基本事件。通過實例化基本事件（圖3），可以得到不期望發生的事件的圖形化表示。FTA被認為是一種組件技術（可以擴展到系統）。由于上一節中討論的依賴關系和功能不足更為復雜，因此使用或門和與門對它們進行定義可能無法提供完整的交互畫面。定性分析包括尋找最小路徑集、最小割集和共因失效。通常用確定性方法和蒙特卡羅方法求最小割集。在已知基本事件的結構表示和發生率或故障持續時間的情況下，可以進行定量分析。定量分析的結果就是頂事件發生的概率。

圖3：故障樹分析示例

失效模式及影響分析

失效模式與影響分析（Failure Mode and Effect Analysis, FMEA）是一種自下而上的可靠性工具。在開發過程中，FMEA定義和識別系統已知的和潛在的失效模式，并幫助減少它們。該工具還確定已識別的失效模式的發生率和嚴重程度。然后根據失效模式的發生、可控性和嚴重程度計算風險優先級數（RPN），從而對失效模式進行優先排序（表2）。SOTIF提供了一種改進的FMEA形式，它考慮的是危害行為而不是失效模式。

表2：用于SOTIF分析的FMEA裁剪矩陣

貝葉斯網絡

概率圖模型（PGMs）和貝葉斯網絡（BNs）是可靠性研究中常用的工具。BN是一個由節點和邊組成的有向無環圖（DAG）。一個節點表示一個隨機變量(X1 , . . . , Xn )，而邊則從父節點(pa)向子節點(ch)運行。這種節點和邊的組合代表了BN的結構。兩個節點之間的依賴關系使用條件概率分布Pr(ch | pa)建模。數學上，BN可以寫成如下：

BN對于系統的不確定性建模和概率推理是有效的。更具體地說，它對系統模型的選擇性不確定性進行建模。圖3所示FTA的等效BN如圖4所示。

圖4：故障樹的貝葉斯網絡示例

BN利用模型中局部條件的依賴關系，進行不確定性分析，對影響因素進行預測、分類和因果推理。它還假設了兩個完備性條件：

? 所有概率或概率分布都都以可理解的工程精度為已知；

? 描述系統組件可靠性的每個隨機變量都是獨立的，或者它們的相關性是精確已知的。  

有人認為，這兩個條件都很少得到滿足。以下小節將討論基于證據理論的兩個網絡。

證據網絡

證據網絡也是有向無環圖（DAGs），它將不確定性表示為隨機性（aleatory）和知識缺乏（epistemic）。它們采用證據理論而不是概率論。它們用節點來表示隨機變量，用弧來定義節點之間的直接依賴關系，用條件置信度來量化依賴性。當一個節點是根時，定義一個先驗的置信度表。Simon等人使用BN推理算法進行EN推理。通過提供置信度和合理性度量，僅對葉節點進行了區分（圖5）。虛線箭頭表示這些連接不存在任何影響。

圖5：證據網絡示例

擴展性證據網絡

擴展證據網絡（EENs）是有向無環圖（DAGs）。它們將不確定性表示為隨機性（偶然性）、缺乏知識（認識性）和完全無知狀態（本體論）。它們用節點來表示隨機變量，用弧來定義節點之間的直接依賴關系，用條件置信度來量化依賴關系。當一個節點是根時，定義一個先驗的置信度表。葉節點表示網絡的查詢。Adee等人使用BN推理算法進行EN推理。此外，葉節點是不同的，因為提供了置信度和多種合理性度量（圖6）。

圖6：擴展證據網絡示例

05  完備性問題

在基于模型的系統分析中，功能不足的最重要的完整性問題之一與因果因素有關；所有能夠影響用例的因素都被考慮在內了。這種擔憂可以與以下兩個假設相關：

? 模型是開放上下文的一個很好的近似；

? 模型覆蓋了罕見事件。

可能發生的情況是，并不是所有的影響因素、觸發條件和功能不足都編碼在模型中。此外，在定量分析的情況下，分配的概率并不能代表現象的真實相對頻率。

罕見事件發生現象是安全工程中一個眾所周知的問題，它代表了以非常低的頻率發生的重要現象的問題，例如，在沙漠降雨中可以被認為是罕見事件，并且對不同感知系統的影響可能無法完全量化（至少在特定的用例中不是這樣）。從SOTIF的角度來看，這些狀態也可能對安全至關重要。雖然，模擬可以提供幫助，但它們通常會挑戰現實世界的真實表現。

從表示的角度來看，EN和EEN通過使用概率區間以及部分和完全無知的狀態來編碼這些假設。然而，發現新的因素，特別是罕見的事件是一個開放的研究課題。安全工程完全依賴于專家知識來識別新因素，然而，對于部署在開放環境中的自動駕駛和其他復雜系統來說，這種策略被認為是不可行的。我們相信，隨著收集的數據量的增加，混合（數據和專家）方法是一個有前途的方向。

不同組件的相互作用可能導致緊急行為。同樣，部署這些系統的環境的開放式上下文性質放大了這個問題。例如，需要詳細了解大雨如何影響不同的感知傳感器。當考慮多種因素（例如大雨和遮擋）時，問題會變得更糟。BN及其后續擴展（EN和EEN）對該問題進行了建模，但需要詳細的知識和廣泛的數據庫才能提供可靠的結果。

模型是根據現實世界的某種抽象來定義的。通過不同的抽象，我們可能會得到不同的結果，例如，一個更低、更具體的雨的抽象將是離散的水滴大小和每小時降雨量的毫米數的值，進一步更低的抽象可能會呈現連續分布。抽象極大地改變了定量分析中的概率值。解決這一問題的一個有希望的方向是使用完善的ODD分類法對抽象進行基準分析。在這方面，也可以使用動態離散化方法。

在定量分析技術中，訓練數據集和測試數據集被不恰當地分離。一般來說，訓練數據集和測試數據集之間存在高度相關性，并且通常是同時記錄的。這會導致定量分析中的過度擬合，可能無法代表真實的情況。

04  結論

在本報告中，我們討論了基于模型的系統分析技術，同時考慮了方法的完整性。我們提供了ISO PAS 21448活動的摘要，以提供對功能不足的深入理解。然后，我們簡要概述了用于功能不足模型的基于模型的系統分析技術，并討論了不完備性的來源。

功能不足的識別和發現是預期功能安全的核心構建模塊。隨著HAD車輛實現更高水平的自動化，分析變得更加重要。然而，對這種分析的完整性提供論證是一項具有挑戰性的任務。我們發現包括混合機制（即半自動分析技術），在內的廣泛研究很有前途。特別是，自動識別相關狀態空間以進一步發現功能不足可能會對安全專家有所幫助。然而，必須特別注意確保此類方法的可追溯性。我們還認為，這個過程是迭代的，應該在系統運行期間使用。