原创 为什么SOTIF(ISO/PAS 21448)是无人驾驶安全的关键？

在无人驾驶汽车的研发过程中，人工智能(AI)和机器学习起着重要作用。相应的，无人驾驶（和半无人驾驶）汽车的软件开发团队又要面临新的安全挑战：如何在故障未发生时保证预期功能安全？为了解决这一问题，新的ISO标准ISO/PAS 21448应运而生。

什么是SOTIF

SOTIF即道路车辆预期功能安全，它是ISO/PAS 21448: Road Vehicles — Safety of the Intended Functionality的简称。

ISO/PAS 21448适用于需要适当环境感知的功能，该标准关注的是在没有故障的情况下如何确保目标功能的安全性。

SOTIF与传统的功能安全形成了鲜明的对比，传统的功能安全关注的是如何降低由于系统故障而带来的安全风险，而SOTIF关注的是如何在没有系统故障的情况下确保安全。

SOTIF提供设计、验证和确认阶段的指导，通过这些指导，帮助您在没有错误的情况下达到预期安全的要求。

SOTIF示例如下：

设计阶段的测量示例：提供传感器性能的需求

验证阶段的测量示例：提供具有高覆盖度场景的测试用例

确认阶段的测量示例：提供模拟仿真

ISO/PAS 21448与ISO 26262的关系

ISO 26262能够覆盖系统失效的功能安全，但它没有覆盖到在系统失效未出现的情况下的安全隐患，这就是ISO/PAS 21448存在的必要性。

事实上，最初ISO/PAS 21448本来是要成为ISO 26262的第14章节。但是因为在没有系统失效的情况下保证安全这个概念非常复杂，SOTIF便成为了一个独立的标准。

2018年末，ISO/TC22/SC32/WG8功能安全工作组在意大利比萨召开会议，讨论了国际标准ISO21448的范围、对象、主要内容及框架等，中国代表团就“车辆运动控制系统功能安全可控性研究项目”进行了主旨发言，提出关于自动驾驶车辆的5项提案。

在无人驾驶的开发热潮中，功能安全ISO26262获得越来越多的关注和重视，与此同时，预期功能安全ISO/PAS 21448无疑将会成为汽车行业的另一大焦点。

ISO 26262与ISO/PAS 21448

ISO 26262仍然适用于现存的和已建立的系统，例如：动态稳定性控制（DSC）系统或者气囊系统。在这些系统中，可以通过降低系统的失效风险来保证安全。

ISO/PAS 21448适用于没有系统故障但是存在安全隐患的系统，例如：紧急干预系统和高级驾驶辅助系统。

ISO/PAS 21448是ISO 26262的补充。

为什么SOTIF很重要

因为对自动系统进行验证是非常困难的。

为了避免潜在的安全隐患，需要自动系统具备情景感知能力，这样自动系统才能根据环境做出决策。

前文说到，人工智能和机器学习是开发自动系统的关键，而这些自动化系统拥有庞大的数据量（这些数据被输入到复杂的算法中），验证这些自动系统是否安全是复杂并且困难的，所以应用SOTIF是保证人工智能做出规避安全隐患决策的关键。

应用SOTIF的实例

SOTIF适用于没有系统故障的情况下存在安全隐患的系统。

例如：

路面结冰，人工智能系统可能无法感知到结冰路况，从而不能做出正确地反应，这种情况下就会存在安全隐患。由于不能感知结冰路况，无人驾驶车辆的行驶速度可能会超过此时应有的安全车速。实施SOTIF就意味着需要考虑这样的情况，并且基于可能性来进行相应的决策。

SOTIF的目标是减少潜在和未知的不安全的状况。然而，这样定义是很宽泛的，因为很难证明你已经考虑到所有的潜在的边界情况。

如何确保无人驾驶的功能安全

安全性一直是汽车行业软件开发的关键。确保功能安全对无人驾驶至关重要。为了保证编写的软件是安全的，研发团队需要这样做：

使用信息安全的研发流程

人工智能和机器学习的最大挑战之一是其信息安全性，网络安全和人工智能本身都有大量需要考虑的地方。

关键的信息安全开发流程有如下三个示例：

>为了消除安全漏洞，良好的编程实践和周密的的测试工作至关重要，可以通过使用信息安全编码标准来实现

>开发安全模块的关键是对信息威胁建模和降低风险，可以通过进行危害和风险分析来实现

>控制构建/发布环境是防止黑客入侵的关键，也能确保构建的安全。这可以通过在CI/CD环境中进行访问控制来实现

将设计、验证和确认变得自动化

在人工智能，机器学习和无人驾驶汽车领域，为保证软件的安全性，软件开发人员有很多需要考虑的风险。将设计、验证和确认过程变得自动化，可以提高研发效率。

SOTIF示例：

设计阶段的测量示例

使用需求管理工具，帮助您满足传感器性能的需求，这有助于设计更安全的软件。

验证阶段的测量示例

使用测试用例管理工具，帮助您确保不同场景的高覆盖率，这有助于软件验证。

确认阶段的测量示例

有一半的信息安全缺陷是在源代码级引入的。所以代码一旦完成，立即发现和修复BUG就是至关重要的。

但是很多开发者缺乏信息安全方面的培训，在进行代码审查时就很难识别出信息安全方面的问题。即使是训练有素的开发者，也很可能会犯不易察觉的错误。所以，开发人员需要通过遵循信息安全编码规范来查找和避免这类缺陷的产生。

静态代码分析工具可以帮助开发工程师快速遵循编码规范。它们可以标识信息安全方面的漏洞，加速代码审查的过程。能识别的错误包括内存泄露、非法访问、算法错误、数组和字符串溢出等。

使用专业的静态测试工具，如Perforce公司的Helix QAC代码静态测试分析软件，可以帮助您模拟潜在的运行场景，这有助于软件确认。

符合功能安全标准

SOTIF虽然对无人驾驶的功能安全非常重要，但是，不要忘记ISO 26262，遵守已确立的功能性安全标准仍然重要。

对于无人驾驶汽车来说，最好是遵循基于ISO 26262 ASIL的建议。

Perforce公司的Helix QAC得到SGS-TÜV SAAR认证，可用于安全相关软件的开发，可达ISO 26262 ASIL D的要求。

赶快上车，了解更多满足汽车功能安全的要求吧！

参考文献

[1] Richard Bellairs .Why SOTIF(ISO/PAS 21448) is Key For Safety in Autonomous Driving

[2]《ISO/TC22/SC32/WG8功能安全工作组ISO21448预期功能安全（SOTIF）会议在意大利召开》-汽车标准化研究所