背景：

在许多嵌入式系统领域中，有一种更高水平的自动化的趋势，直至自治。例如，许多示范车辆表明，先进的自动驾驶功能在技术上是可行的，达到了完全自主驾驶的程度。然而，在这些特性成为实际产品之前，必须确保它们不会带来不可接受的风险水平。这是安全工程领域，由于现有方法和标准的不足，目前面临着重大挑战，现有方法和标准大多是针对功能安全方面而设计的，而忽略了现在逐渐成为人们关注焦点的其他方面。仅仅考虑功能安全是不够的，因为系统不再完全由人类操作员控制。根据SAE分类，从自动化水平2到自动化水平3是一个显著变化，因为从3级开始系统实际上负责呈现安全名义行为。在低水平自动化中，仍是驾驶员负责保证安全系统行为，因此安全范围仅限于功能安全。此时，任何影响驾驶员可控性的电气或（可编程）电子系统（E / E系统）都被认为是安全性至关重要的。对此类E/E系统的安全保证研究，现有的ISO 26262标准和即将出台的SOTIF标准提供了相应指导。ISO 26262关注功能安全，但并没有涵盖因功能不足而出现的安全问题。即将出台的SOTIF标准通过支持系统地选择合适的传感器概念来解决这一问题。然而，构思适当的传感器概念和相关性能限制的基础是知道哪些情况需要用哪个置信水平来检测。此外，如果目前的情况根本无法确定/分类，或没有足够的信心，则有必要确定适当的对策。在1级和2级自动化以及部分3级自动化的情况下，响应可以是关闭功能并过渡到手动驾驶。此策略不适用于自动化级别4，因为根据定义，任何手动驾驶的回退都不包括在内。即使我们假设正确检测情况不是问题，但如果我们想确定哪种车辆行为适合哪种情况，我们仍然需要处理大量的驾驶情况。因此，在更高级别的自动化中，还需解决如何创建一个安全标称行为规范方面的问题。安全标称行为规范定义了在何种情况下哪些行为是安全的，并且从所有技术挑战中抽象出情景意识。

解决的问题：

1）现有的标准，包括即将发布的SOTIF安全标准，都没有为设计一个安全名义行为规范提供指导。

2）避免在更高自动化水平的安全工程背景下对现有安全标准的过度解释或误解。

工程方法：

本文认为，安全的高度自动化或自治系统的工程需要考虑功能安全、功能不足和安全名义行为规范三个安全方面。如图1所示，3个安全方面分别对应3个抽象层，分别为系统功能视图层、系统实现概念层和使用上下文层。

在基本研究问题上，系统表示用于在不同抽象层表示系统的符号和建模语言，然后在系统表示的基础上进行安全性分析。最后安全论证是三个抽象层之间的连接元素，安全论证也可以被视为安全文档，因为它将顶级安全目标的细化存储到安全需求中，并提供了一个关于低级需求的实现如何意味着顶级目标的实现的结构化论证，本文建议安全论证活动使用目标结构符号（GSN）。

较高抽象级别的活动依赖于较低抽象级别的活动，反之亦然。此外，安全分析依赖于被分析的系统表示工程，安全措施的选择以及相关的安全论证依赖于安全分析。针对该多方面安全工程，本文提出以下瀑布式流程：

1） 建模高级系统概念

输出：独立于任何实现细节的系统行为的状态机模型

2）考虑高层次的系统行为以及这种行为可能带来的危害

输出：安全系统规范，包括系统状态空间分析得出的安全目标

3）提供有关传感器和算法概念的信息

输出：传感器和算法概念作为SOTIF分析的基础

4）局限性与功能不足分析

输出：考虑到系统限制和功能不足及其衍生的安全目标，扩展安全系统规范

5）对符合安全系统规范和实现概念的功能架构进行建模

输出：作为ISO 26262分析基础的系统功能视图

6）执行ISO 26262分析，调查组件故障对违反安全目标的影响

输出：分配给架构中组件的功能安全要求

方法示例：

根据SOTIF标准草案中的范围定义，考虑危害的不同因果因素：1）E/E系统故障；2）无故障或错误的非预期行为（包括E/E系统性能限制）；3）可预见的用户误用；4） 违反安全规定；5）主动基础设施和/或车对车通信的影响；6）汽车周围环境的影响；7）不安全标称行为规范。

本文在安全定义行为规范方面来增强概述，并使用目标结构表示法（GSN）进行结构化。并在SOTIF和本工作范围内定义安全目标：“执行此类安全工程活动来确保4级自动驾驶系统不存在由[之前枚举的元素]引起的不合理风险”。现有的安全标准中，“网络物理车辆系统网络安全指南”（J3061）解决了违反安全规定因素（安全目标4），即将出版的“道路车辆-扩展车辆”ISO 20077解决了V2I和V2V因素（安全目标5），ISO 26262解决了E/E系统故障（安全目标1），SOTIF标准要求解决无故障或错误的非预期行为、可预见的用户误用和汽车周围环境影响的因素（安全目标2、3、6）。

本文举例说明高速公路辅助系统的解决方案，考虑中的系统被归类为SAE自动化4级，应在无需干预的情况下运行，且不依赖于作为动态驾驶任务后备执行的人类驾驶员，但系统有限的能力使其仅能在高速公路上运行。

（1）建立高级系统概念：应在无需干预的情况下运行，且不依赖于作为动态驾驶任务后备执行的人类驾驶员，但系统有限的能力使其仅能在高速公路上运行。建议使用状态图来表示这些高级概念。

（2）考虑高层次的系统行为以及这种行为可能带来的危害：在系统行为在高抽象层面被捕获后，就可以分析它在不同驾驶情况下的安全性。一种行为是安全或适当的取决于当前的情况。对于每一种操作模式，需要就进入一种模式必须满足的先决条件和需要停用一种模式的情况进行辩论。只有在当前驾驶情况下该模式的风险可接受时，才应激活该模式；如果该模式的风险变得不可接受，则需要停用该模式。

对于4级自动驾驶系统的“超车”操作模式，分析不同工况下的“超车”行为，产生以下安全目标：①不得在高速公路的交叉口（合流）区域进行超车；②不得在高速公路的交叉口（合流）区域进行超车。

（3）提供有关传感器和算法概念的信息：到了这一点，流程步骤已经从实现概念中分离出来了。为了进行SOTIF分析，需要将这些概念添加到有关已开发系统的可用信息中。特别地，该标准侧重于传感器和用于创建态势感知的算法。需要指定如何使用传感器来创建所需的态势感知。系统需要从安全角度了解哪些情况，这可以从前面步骤中进行的分析中得出。根据上述“超车”运行模式的安全目标，可得出以下关于态势感知的要求：①检测高速公路的交叉（合并）区域；②检测相邻左侧车道上的车辆。

（4）局限性与功能不足分析：基于传感概念，推导其性能极限。此步骤通过向系统规范中添加特定于实现的信息来改进创建安全系统规范的步骤。本文从与“超车”操作模式相关的安全目标中导出了传感器概念，作为系统局限性和功能不足分析的一部分。假设使用的传感器具有以下限制：①摄像头：夜间性能有限；②激光雷达：在大雨和大雪中的性能有限；③雷达：在大雪中性能有限④3D地图：信息通常延迟至少10分钟；⑤GNSS：隧道内性能有限。

根据由此产生的限制，可以得出以下功能改进：①当在隧道中行驶时（无法检测到是否在公路交叉（合流）区域）不得超车；②在夜间大雪天气下（在交通堵塞或道路障碍物时，无法检测到相邻左侧车道或尾部车辆），禁止超车。

（5）对符合安全名义行为规范和实现概念的功能体系结构进行建模：在解决方案的步骤1和2中的实现独立信息和步骤3和4中的实现特定信息的安全标称行为规范中定义系统行为后，应将本规范转换为功能架构，作为ISO 26262的基础分析。在工业中，组件通常只使用一个输入端口和一个输出端口进行建模。这不足以支持组件集成故障树分析，需要更详细地定义功能架构中各功能之间交换的信息。

（6）执行ISO 26262分析，调查组件故障对违反安全目标的影响：为了达到功能安全的要求，ISO 26262标准当然对自动化水平较高的系统仍然很重要，它是汽车领域的相应参考标准。，在将标准应用于更高自动化级别时遇到的问题主要是由于对预期功能的定义不精确。如果遵循本工作中建议的步骤并创建实现安全名义行为规范的功能架构，则可以应用ISO 26262。

结论：

在汽车领域以及嵌入式系统的其他领域，自动化水平不断提高，但在这些系统真正成为产品之前，还需确保安全。而既定的方法和标准是在考虑到手动控制系统的情况下设计的，需要加以扩充，以实际涵盖高度自动化和自主系统的所有相关方面。

本文提出一个多方面安全工程方法，用于高度自动驾驶，该方法包含了功能安全之外的其他相关安全方面，从而超越了既定方法和标准。同时介绍了再状态机和系统状态空间分析的帮助下，设计安全名义行为规范附加方面。使得在ISO PAS21448和ISO 26262所处理的安全问题上增加了一层，即预期功能安全性和功能安全性。并基于一个先进驾驶员辅助系统的工业案例研究，说明了总体方法，简要描述了安全名义行为规范是如何创建的，如何被用作根据SOTIF标准分析停用预期功能的原因和后果的起点，以及如何处理功能安全。