由于性能局限、規范不足或可合理預見誤用導致的預期功能安全問題層出不窮，嚴重阻礙了智能汽車的快速發展。本綜述聚焦智能汽車預期功能安全保障關鍵技術，分別從系統開發、功能改進和運行3個階段進行了系統的總結，最后從基礎理論、風險防護和更新機制3方面進行了展望。本文可為智能汽車預期功能安全研究提供重要參考依據。

前言

根據美國國家交通安全管理局（NHTSA）數據統計，約94%的交通事故由人為因素導致，智能汽車以機器代替人類駕駛員，在提高行車安全性方面具有重要意義。但現有技術尚不能充分發揮其安全潛力，此外在引入新技術消除原有問題的同時，新的安全問題也隨之出現，如功能安全、信息安全和預期功能安全（safety of the intended functionality，SOTIF）問題。尤其隨著智能汽車系統復雜化和智能化程度日益提升以及其運行環境的開放性和挑戰性不斷增加，由功能不足導致的SOTIF問題逐漸暴露，并成為制約智能汽車安全性保障的關鍵難題。此外，近年來出現的由于感知、決策等功能不足所導致的自動駕駛/輔助駕駛事故也反映了SOTIF問題的嚴峻性。圖1為2018年發生的全世界第一起路測無人車撞死行人的事故原因剖析，其中感知和預測功能不足是該事故的主要致因因素。因此，推動SOTIF保障技術的研究已成為當務之急。

圖1 Uber路測無人車事故原因剖析

預期功能安全旨在避免由于預期功能或其實現的功能不足導致危害所產生的不合理風險，其基本概念由ISO 21448提出和定義，自2016年2月ISO啟動該標準的制定工作以來，已形成PAS、CD、DIS和FDIS等版本的草案。ISO 21448作為ISO 26262的延伸，處理在不發生硬件隨機失效和系統故障情況下的功能不足問題。

SOTIF研究涉及系統功能設計改進、分析評估、驗證確認和認證等多方面問題，且隨著技術發展和新技術的引入不斷提出新的需求，因此，ISO 21448 難以具體涵蓋所有相關內容。近年來，諸多其他國際標準相繼提出并將SOTIF作為重要的研究對象，如圖2所示。

圖2 SOTIF相關標準

在自動化產品的安全評估方面，UL 4600旨在補充功能安全和SOTIF標準，提出一種面向安全目標的方法，專注于“如何評估”全自動駕駛安全情況；針對高級別自動駕駛系統的安全設計、驗證和確認，ISO/TR 4804確定了符合ISO/PAS 21448的SOTIF功能設計流程，并有待進一步開發ISO/AWI TS 5083；針對基于場景的安全評估，ISO 34502提出了一套場景生成和評估流程，并在場景庫建立過程中針對性地考慮了SOTIF 典型觸發條件；針對人工智能（artificialintelligence，AI）等新技術引入后的問題，待開發的ISO/AWI PAS 8800旨在提供解決AI相關系統開發和部署全生命周期問題的規范，以彌補ISO 21448中對AI問題考慮的不足。

伴隨SOTIF標準化進程，近年來國內外政府、企業和研究機構在SOTIF實踐方案方面進行了諸多探索：在產品開發方面，寶馬、百度等諸多公司嘗試將SOTIF引入其產品全生命周期安全開發流程；在產品安全分析評估方面，大陸、ANSYS等公司嘗試引入安全分析工具，歐盟ENSEMBLE項目和NHTSA等進行了SOTIF分析評估實踐，并提供了成果報告；在安全驗證確認方面，歐盟PEGASUS及其延伸項目VVM、SetLevel、日本SAKURA項目以及中國智能網聯汽車聯盟預期功能安全工作組等在實踐中與SOTIF進行了結合；在功能改進方面，諸多公司均提出了各自的方案，歐盟DENSE等項目則針對傳感器等部件的具體功能不足問題進行了研究。

上述標準和實踐活動為智能汽車SOTIF保障提供了框架性指導（見圖3），而在實際研究和開發過程中，須采用特定的保障技術以有效地解決各階段面臨的具體問題。然而，該領域尚未形成完善的技術研究體系：一方面，當前直接以SOTIF為主題的文獻雖呈增長趨勢，但總量仍相對較少，內容主要涉及概念和意義闡述、安全分析、測試驗證和系統工程等方面，缺少對SOTIF保障關鍵技術系統性的研究和梳理；另一方面，雖然許多相關領域的高水平研究成果對于解決功能不足問題具有重要的啟發和借鑒意義，但尚未被明確納入SOTIF 保障技術研究范疇。

圖3 SOTIF保障的基本活動流程

因此，本文中基于大量國內外研究報告和文獻資料，系統地分析和梳理了SOTIF保障關鍵技術，并基于現有研究不足提出了展望。

SOTIF概述

明確的問題定義和風險源分析是保障SOTIF的前提。從系統自身角度分析，SOTIF問題主要源于兩方面：（1）在車輛層對預期功能的規范不足，場景開放性、系統復雜性和專家經驗的不完備性等限制均可能導致車輛行為的設計規范過程出現問題，進而難以實現理想的安全目標；（2）預期功能實現的不足，即使對車輛層預期功能的規范足夠完備，由于系統組件的性能局限和規范不足，感知、決策和控制等功能的實現可能不符合預期。如傳感器、執行器存在感知、執行能力上限或易受外界環境因素干擾等性能局限；感知、決策算法可能具有魯棒性、泛化性、可解釋性、邏輯完備性、規則覆蓋度等方面的問題。此外，SOTIF 危害的產生和演化依賴于特定場景。首先，上述規范不足或性能局限由場景中特定條件觸發而導致危害行為；另外，上述危害行為最終演化為傷害是建立在當前場景包含相關風險源以及場景可控性低的情況下。因此，在進行SOTIF保障過程中，需要綜合系統自身局限和運行場景風險以建立安全保障體系。

根據場景是否已知和是否會導致SOTIF危害，將其分為已知安全、已知不安全、未知不安全和未知安全4類場景，SOTIF保障目標為通過一系列活動和相關技術以最小化兩類不安全場景對應區域，其核心是對未知不安全場景的發現和處理。如圖4 所示，SOTIF保障目標的實現可分解為將未知轉化為已知、將不安全轉化為安全兩方面。首先，SOTIF分析評估、驗證確認以及運行階段的關鍵數據收集、記錄和反饋等活動有助于充分挖掘未知場景；另外，開發階段直接針對功能不足的改進、運行階段的未知風險監測、防護和基于收集數據的系統功能改進是將不安全場景轉化為安全場景的必要活動；此外，驗證確認與殘余風險評估以及安全論證等則是確保殘余風險足夠低的重要活動，從而為SOTIF發布提供依據。下文將分別從開發階段和運行階段梳理各項活動對應的SOTIF 保障關鍵技術，并針對智能汽車系統的功能改進技術進行具體討論。

圖4 SOTIF保障目標與實現過程

開發階段SOTIF保障關鍵技術

系統開發階段的SOTIF 保障活動主要包括SOTIF分析評估、驗證確認、功能改進和發布等，本節將分別重點介紹各環節關鍵技術。

1、SOTIF 分析評估

采用有效的安全分析技術可提高對SOTIF 危害、潛在功能不足與觸發條件等識別分析的效率、全面性和科學性。傳統安全分析技術如故障樹分析、失效模式與影響分析和危害與可操作性分析等，其在SOTIF 分析評估方面得到了一些應用；以智能汽車為代表的新技術帶來了事故本質改變、新類型危害、單次事故容忍度降低、系統復雜性增加、人機交互復雜化等新的安全挑戰，因此需要更有效的安全分析技術，系統理論過程分析（systems-theoretic process analysis，STPA）（見圖5）具有分析復雜系統的潛力，包含定義分析目的、構建控制結構、識別不安全控制行為、識別致因場景4步，已被用于感知、決策和全自動駕駛系統等的SOTIF分析。然而，單一技術的可用性有限，可結合其各自優勢以開發更有效的SOTIF分析技術。

圖5 STPA技術實現過程

此外，在SOTIF分析中引入特定建模技術等有利于進一步改善分析效果。傳統STPA技術構建的控制結構描述了系統內部運行邏輯，但未建模功能和運行環境間的關系，有限狀態機等被采用以彌補上述不足，通過建模車輛狀態結合環境條件的轉換關系可更全面地識別危害。因果關系模型有利于指導分析危害行為對應的觸發條件、性能局限或規范不足，如貝葉斯網絡已被用于構建感知性能局限和場景觸發條件間的層次依賴關系，結合條件信念表、P值檢驗和專家分析等技術可用于量化評估上述關系和發掘新的觸發條件。另外，對場景要素、觸發條件和性能局限等基本元素進行前期梳理和過程中更新，并建立相關映射關系有利于提高SOTIF分析的效率和全面性。

針對識別所得SOTIF 危害應進行風險評估。STPA等技術自身不具備風險量化的功能，因此需進行相應拓展，功能安全領域的危害分析與風險評估（hazard analysis and risk assessment，HARA）和汽車安全完整性等級（automotive safety integration level，ASIL）被一些研究改進并用于SOTIF 風險評估。貝葉斯概率模型作為一種統計性方法，也已被用于量化SOTIF相關風險及其邊界。然而，由于場景復雜度增大和統計困難、觸發條件對場景的依賴性、AI算法不確定性等原因，現有研究尚未能明確和統一SOTIF風險定義及其量化方法，因此亟待探索和提出更有效的SOTIF定量分析指標與技術。此外，為避免智能汽車HARA難以接受的復雜性，可結合任務分解、等價類和影響分析以及模型重構等技術以管理其復雜度。

2、SOTIF 功能改進

針對由功能不足導致的不合理風險，應進行功能改進以縮小不安全區域。現階段的功能改進技術眾多，可主要分為3種技術路線：①性能提升，如提高特定傳感器或感知模型自身的性能上限；②風險監測與防護，即通過對觸發條件（包含合理可預見的誤操作）、功能不足狀態等的識別以監測SOTIF 風險，從而采取針對性的防護技術，如風險源消除、功能限制或權限移交等，此外，也可通過直接對運行設計域（operational design domain，ODD）的明確、監測和限制為風險防護提供參考；③功能冗余，如通過設計冗余功能模塊以改善整體性能表現。第3節將針對智能汽車各模塊和整車層分別系統地梳理相應功能改進技術。

3、SOTIF 驗證確認

驗證確認是進一步發現不安全場景和證明SOTIF得到充分保障的重要活動。SOTIF驗證旨在提供客觀證據證明對規定要求的滿足，對象包括傳感器、感知算法、決策算法、執行器和集成系統等，驗證指標如準確性、可靠性和抗干擾性等。SOTIF確認旨在采用合理的確認目標和方法，評估在已知和未知不安全場景下殘余風險是否可接受。SOTIF確認目標用于量化滿足接受準則的條件，后者可在考慮事故統計數據、人類駕駛員表現等基礎上分析風險接受原則，如風險容忍、正向風險平衡、最低合理可行、最小內源性死亡率等。

SOTIF驗證確認須綜合考慮所采用技術的有效性、可行性和成本，如基于分析對比的驗證、仿真和軟硬件在環等技術成本相對較低，但提供證據的有效性、適用范圍有限；開放道路測試能夠反映車輛在環境中最真實的表現，有利于突破經驗知識和模型等限制，挖掘罕見的未知不安全場景，但單獨采用此類方法的成本難以接受。近年來，基于場景的測試（見圖6）得到了廣泛研究與實踐。一方面，該方法可結合仿真、軟硬件在環和試驗場等不同平臺合理分配測試資源，并結合測試場景覆蓋度評估、重要性采樣、危害行為識別等技術進一步減少測試成本；另一方面，該方法以場景為核心，既可用于在包含潛在觸發條件場景下的SOTIF驗證，也可通過基于真實場景分布的采樣測試或對未知場景的充分挖掘以輔助SOTIF確認。

圖6 基于場景的測試方法與流程

特定場景或用例的生成是驗證確認的前提，根據信息來源的不同，主要分為知識驅動和數據驅動，前者可參考專家知識、標準和相關經驗等，典型方法如本體論，后者一般依賴自然駕駛或事故數據進行提取。根據生成目標不同，主要包含隨機場景生成和關鍵場景生成，其中關鍵場景可源于對已識別潛在觸發條件的映射和組合，也可通過定義場景危險程度等指標進行自動生成。對抗樣本生成是一種有效的關鍵場景生成方法，其結合梯度等信息可自動生成更易觸發系統功能不足的安全關鍵場景，進而提高測試效率；在場景生成過程中，與真實世界的相似性是保證測試有效性的重要前提，而可接受擾動生成等則是實現上述目標的重要技術。此外，適當的功能分解對于克服參數空間爆炸和減少測試量具有重要意義，進而根據測試對象不同，在生成不同功能模塊的場景時應進行差異化考慮，如針對傳感器和感知模塊，可選擇包含雨雪霧等惡劣天氣或特定目標檢測對象的場景；針對決策模塊，可側重于對交通干擾等場景的選擇；針對控制器和執行器，包含極限工況、惡劣道路和環境條件等的場景需要被重點考慮。

從生成的場景或場景庫中選擇具體場景是決定測試代表性、覆蓋度和成本的關鍵步驟，參數空間具有復雜性和連續性，因此可采用采樣方法，根據場景參數先驗信息的不同分為基于參數范圍的采樣和基于參數分布的采樣。前者的典型技術包括組合測試、交互式實驗設計、隨機化技術等；后者典型技術如蒙特卡洛采樣等。加速測試是改善測試成本的重要途徑，典型技術如極值理論、重要性采樣和馬爾科夫鏈蒙特卡洛等。此外，一些研究關注基于證偽的場景選擇，如通過考慮事故數據或場景臨界性、復雜性等特征進行關鍵場景篩選，或利用仿真進行適應性壓力測試、替代建模和隨機優化以及自適應搜索等。

測試平臺包含虛擬仿真、軟硬件在環、整車在環和試驗場等，其測試真實性依次增加，但測試成本、安全風險和可拓展性逐漸降低，為充分利用有限資源，應在滿足測試要求的前提下優先使用仿真和在環測試技術。此外，通過開發高保真度的傳感器模型（如采用現象學模型）可進一步改善仿真和在環測試技術的適用性。

評價指標是判斷系統或組件是否滿足指定要求或殘余風險足夠低的依據，傳統安全性指標可包括主觀/客觀、微觀/宏觀、短期/長期等類型，但主要用于評價整車行為，并不適用于具體功能組件；而現階段針對感知、預測等模型的評價也存在標準不一、主要集中于精度類評價而對安全性考慮不足等問題。因此，有待提出適用于智能汽車功能評價的SOTIF指標。

此外，形式化驗證技術采用數學建模方法來保證系統正確性，驗證結果嚴謹，因此對智能汽車等安全關鍵系統具有重要意義。在車輛行為驗證方面，定理證明、可達性分析等技術得到了許多關注；在系統集成方面，形式化驗證可用于規范不同組件（如控制器）集成的正確性；另外，形式化方法在以機器學習為代表的AI領域得到了廣泛研究，可進一步用于對感知、預測等相關功能模塊的驗證。然而，該技術實現成本較高，對復雜系統、開放場景和黑盒模型等情況的可拓展性有限，因此仍有待進一步探索和改進。

綜上，現階段存在多種技術可用于SOTIF驗證確認，通過結合不同技術優勢可進一步改善效果。然而，由于場景復雜多變和長尾效應、智能汽車系統復雜多樣和更新迭代快以及缺少SOTIF評價規范等問題，SOTIF驗證確認仍面臨嚴峻挑戰。

4、SOTIF 發布

在開發階段的最后，須論證系統是否符合SOTIF 發布準則。Schwalb 等提出了一個概率框架以逐步量化SOTIF殘余風險。此外，經過上述分析評估、設計改進和驗證確認等活動可形成完整的安全文檔，進而可利用目標結構表示法、拓展證據網絡等技術進行安全論證，如Misra提出了一個狀態機用于探索預期功能可能導致危害的條件，并斷言相應安全聲明，在此基礎上結合目標結構表示法構建了SOTIF論證架構。

除上述各階段活動的針對性保障技術，對系統開發流程的優化也是SOTIF保障的重要方向，如采用敏捷系統工程可改善系統開發效率、經濟性和可追溯性。此外，部分學者嘗試將形式化方法、規則手冊等集成到SOTIF系統開發過程，并初步獲得了加速開發、提高可追溯性和可評估性等優化效果。然而，這些方法自身仍存在復雜性、可拓展性和適用性等方面的問題，另外其與SOTIF的結合仍處于探索階段，對實際開發過程的指導意義有限。

智能汽車功能改進關鍵技術

智能汽車功能實現依賴于各子模塊，如圖7所示。在合理可預見的誤用等觸發條件的影響下，感知、定位、決策、控制等功能不足均可能導致SOTIF危害，而根據各模塊特點可進行針對性改進。本節將從感知定位、決策控制、合理可預見誤用處理和整車層功能改進4方面分別進行總結。

圖7 智能汽車各層級SOTIF問題

1、感知（含定位）功能改進

感知功能實現主要依賴于傳感器和感知模型，因此其功能改進主要面向傳感器性能局限和感知模型功能不足問題進行。

a、傳感器和感知模型性能提升

通過傳感器優化技術改進其檢測范圍、精度和抗干擾能力等基本性能，如針對Lidar易受雨霧、塵埃干擾的問題，有多次回波技術和面激光技術等。另外，針對感知模型的性能提升技術與所采用感知算法密切相關，現階段智能汽車感知功能普遍采用機器學習算法，根據其工作原理，可將感知模型性能提升主要分為如下幾個方面。

（1）訓練數據改進。首先，可改善訓練數據的豐富度，通過采用大規模低成本數據采集方案結合自動/半自動標注方法以降低成本，進而提高訓練數據量。另外，可改進數據采集技術以提高數據質量，結合數據清洗、過濾和校正等技術減少由于采集或標注錯誤等導致的訓練數據問題。此外，可通過訓練數據分布的合理分配以改善訓練效果。

（2）訓練模型改進。模型架構的設計直接影響感知性能，如由于卷積神經網絡對于圖像信息處理的天然優勢，添加該設計的網絡性能一般優于單純的多層感知機網絡。優化感知模型設計是當前計算機視覺等領域的主要研究方向，因此感知性能也得以快速提升。此外，通過優化模型設計也可改善其對未知對象的檢測效果，從而降低殘余風險。

（3）訓練過程改進。針對訓練數據不足或潛在未知場景的問題，可通過數據增強、遷移學習、主動學習等技術提高對有限數據或標簽的利用效率，其中針對感知算法的數據增強，除圖像翻轉、裁剪等傳統方法外，對雨雪霧天氣條件的渲染也是提高在惡劣天氣下感知性能的一種方式。針對潛在功能不足問題，對抗訓練等技術有助于在有限數據的基礎上減少模型缺陷，提高其魯棒性。此外，改進損失或獎勵函數以及合理使用歸一化、正則化等技術均有助于模型性能的進一步提升。

b、感知SOTIF風險監測與防護

將感知SOTIF風險來源分為外界觸發條件與內部功能不足，可作為風險監測的參考。其中，雨、雪、霧、冰雹等不良天氣條件是感知SOTIF問題的重要觸發條件，一些研究通過試驗分析建立了其影響關系，為外界觸發條件監測提供依據。對不良天氣條件的監測可采用特定環境模型或天氣傳感器，如車用雨量傳感器便包含電容式、光學式、壓電振子式、電阻式、CCD成像式等類型；另外，結合統計學或深度學習等方法，攝像頭等自身輸出數據也可直接用于對惡劣天氣條件或其導致干擾的監測。此外，一些研究關注對感知功能不足表現的直接監測，如通過修改模型、調整訓練過程和引入其他信息以實現對感知性能的在線估計。

針對受環境條件影響的傳感器數據可進行干擾消除。首先，傳感器參數內部調優可用于提高其在惡劣天氣下的數據質量。另外，通過添加附加裝置可消除干擾，如通過液體或雨刷器清洗傳感器污垢，而針對雨雪結冰或霜等對攝像頭造成的不良影響，可添加自熱裝置。此外，數據降噪等預處理技術也可用于去除環境干擾，如用于圖像除霧的典型算法包含圖像增強、基于大氣退化模型的圖像復原和基于深度學習的方法等；另一些研究關注圖像除雨技術，主要分為兩類：雨滴（粘附在鏡頭上）去除和降雨（分布在空氣中）去除；對于Lidar，一些商業產品已具備自動圖像校正功能，可通過面向像素的評估來過濾雨滴和雪花。

此外，也可跳過干擾消除步驟，直接改善感知模型對含干擾數據的處理能力。如Huang等引入一種新型雙子網網絡——DSNet來解決霧天圖像目標檢測問題，在保持高速的同時檢測性能優于許多先進的目標檢測器和“除霧+檢測”的組合模型。

c、感知功能冗余

針對單一傳感器及其感知模型的性能局限，多傳感器融合是一種重要的改進技術。首先，同類傳感器融合可通過多個傳感器的合理布局來增加感知范圍，如在車輛四周布置多個攝像頭以獲取360°的感知視角；另外，多類傳感器融合將有助于克服單類傳感器的固有性能局限，增加環境信息獲取的多樣性和準確性，如利用Lidar測距精確的優勢彌補攝像頭功能不足，或結合冗余信息分析等確定傳感器異常。根據融合傳感器的特點可分為基于攝像頭、Lidar和Radar間不同組合方式的融合；根據融合信息所屬層級可分為數據級、特征級和目標級融合；常用融合方法如自適應加權平均法、聚類算法、貝葉斯推理等。現階段研究考慮惡劣天氣等觸發條件影響，針對最佳融合架構、模型設計、訓練策略、多模態數據集等方面進行了諸多探索，并取得了一些較為顯著的效果。此外，在城市復雜交通場景，通過引入路側和城市感知信息，實現使能賦能一體化的協同感知方案也是解決單車感知功能不足的重要研究方向。

d、定位功能改進

定位功能實現主要包括基于全球導航衛星系統等的絕對定位和基于同步定位與地圖構建（simultaneous localization and mapping，SLAM）等的相對定位。前者的典型SOTIF問題如建筑物反射造成的多徑現象、交通設施或山區峽谷等遮擋造成的定位錯亂或定位信號丟失，可采用GPS海拔或氣壓絕對值比對等方法應對高架路段的定位信號錯亂問題；后者主要包含基于攝像頭或Lidar的SLAM定位等，因此其面臨的SOTIF問題與感知類似，如惡劣天氣導致定位準確性降低等，可通過多傳感器融合、算法優化等技術改進。

2 決策控制功能改進

a、決策方法分類與性能提升

當前主流的決策方法包含兩類：基于規則的決策和基于學習的決策。前者優點是可解釋性強、便于引入專家經驗、可靠性強等，但易出現規范不足、動態復雜場景下的認知推理能力不足、泛化性和算法可拓展性不足等局限性。針對上述問題，首先，可通過經驗積累、頭腦風暴等方法不斷優化決策邏輯，而STPA等系統分析技術對于提高決策規則設計的完備性也具有一定指導意義。另外，引入新建模理論和信息以及場景模板等技術可改善決策方法對復雜和未知場景的通用性。此外，引入單獨的預測模塊可提高決策對場景的認知能力，進而彌補原有模型的不足。

近年來，越來越多的研究關注基于學習的決策方法，如模仿學習和強化學習。針對此類方法的改進思路與上述感知模型性能提升類似，即可通過對訓練數據、模型和訓練過程的改進提高決策性能。

b、決策SOTIF風險監測與防護

決策功能模塊基于獲取的環境信息制定相應策略，假設感知定位模塊獲取的信息足夠準確，決策SOTIF風險主要來源于運行環境中的觸發條件（如交通擾動對決策算法帶來的挑戰）和決策模塊自身功能不足導致的安全問題，對應其風險監測與防護主要考慮的兩類因素。

針對環境中的觸發條件，如特定道路類型，可通過OOD等進行約束，結合分析評估與驗證確認結果，以逐漸明確決策模型適用的ODD，從而將其作為環境條件監測的參考依據，利用地圖、定位和特定場景識別等技術實時判斷當前風險。針對環境中交通參與者的不確定性運動，通過設計相應的風險量化模型和風險敏感的安全決策方法可獲取更安全的決策結果；此外，異常行為檢測技術可用于對環境中交通參與者非預期行為的識別。

針對決策模塊自身的潛在功能不足，形式化驗證技術在決策安全驗證領域得到了廣泛研究，其基本思路為驗證當前決策結果在特定假設下是否會導致事故，而該假設的合理性也是影響安全驗證效果的重要因素。此外，將決策模塊分為預測和行為選擇兩個關鍵子模塊，對預測功能不足的量化可用于風險監測和防護，如圖8所示。通過量化和傳播預測模型的不確定性可實現安全決策。

圖8 考慮預測不確定性的安全決策

此外，針對低級別自動駕駛決策難以應對的場景，可通過功能限制或請求駕駛員接管以緩解風險。

c、決策功能冗余

針對單類決策模型的局限性，混合決策（見圖9）可利用優勢互補進一步改善功能。如基于規則的決策難以建模高維不確定性環境，但其可解釋性和可靠性能彌補基于學習的決策。以融合規則的自學習混合決策為例，其包含通過知識或規則調整獎勵函數、調整探索過程、調整輸出動作或調整策略訓練迭代過程等類型，可提高決策結果的可靠性。此外，車路云協同和云控系統等技術發展為安全決策提供了有力支撐，通過引入云端和路側提供的交通狀態監控信息、宏觀決策控制指導、計算能力支持等輔助可緩解車載決策系統的功能不足問題。

圖9 混合決策一般框架

d、控制功能改進

控制功能的SOTIF問題主要包含兩方面：（1）控制層的動力學建模局限性導致對車輛動力學特性的表征不足，而控制器本身也存在實時性等性能局限；（2）執行器存在執行精度、最大轉向或制動能力邊界、實時響應能力等局限，且可能受道路條件、機械、強風等外界干擾。因此對其功能改進可主要圍繞以上兩方面開展，如針對執行器精度、響應時間等的性能提升，監測高風險工況進行防護，增加新的控制器或執行器以實現冗余等；在算法層面，魯棒容錯控制等是改善控制模型的典型技術。

3、合理可預見誤用的處理

在分析評估階段對合理可預見誤用的充分識別是應對此類風險的重要前提，可采用STPA等技術輔助分析。針對潛在誤用，存在多種處理思路：首先，優化用戶手冊和培訓可減少駕乘人員因規則不明確或知識不足導致的誤用。在行駛過程中，可通過對駕乘人員狀態監測以提前預警，如位姿狀態、極端異常狀態、安全帶狀態等，典型監測信息獲取途徑包括駕駛員監控攝像頭、座椅位置、轉向盤傳感器等，Abbood等提出了一種疲勞檢測和預測模型，其采用瞳孔反應、腦電信號等傳感器感知信息和駕駛員資料等定制信息進行行為預測和干預。在監測到潛在風險進行干預時，可通過視覺、聽覺、觸覺等交互形式進行警示或行為建議；同時應合理設計交互內容，Koo等研究了半自動駕駛傳遞的信息內容如何影響駕駛員態度和安全性，提出須合理調控提供信息的數量和種類。此外，針對難以避免的潛在誤用行為，可通過設計不易實現的功能操作方式（如座椅、按鈕位置或激活動作）、特定場景下駕乘人員權力限制等提高安全性，如在高速場景中禁止城市自動停車功能的激活。

4、整車層功能改進

智能汽車集成了多模塊復雜交互，單一功能模塊的改進不足以充分保障SOTIF：一方面，各模塊對應SOTIF問題難以徹底消除，須通過優化整車系統設計以最小化殘余風險；另一方面，即使各功能模塊能實現預期功能，整車設計的規范不足仍可能導致危害行為。因此，應從整車層面綜合考慮各模塊功能不足問題及其面臨的觸發條件，從而制定系統解決方案。

在整車系統設計中，應充分考慮不同功能模塊間的SOTIF風險傳播。近年來越來越多研究關注智能汽車上下游功能之間的系統性和互補性，上述決策SOTIF風險中關于上游感知定位模塊表現完美的假設實際難以成立，針對感知定位功能不足所導致的問題，可通過決策設計進行彌補。如通過在決策模塊中考慮傳感器輸入噪聲和遮擋等導致的感知不足以及感知結果中的類別不確定性和位置不確定性等信息，緩解感知功能不足對整車安全的影響。此外，由于感知或決策功能不足導致的風險也可通過控制模塊進行緩解。

此外，現階段一些研究關注對系統自我意識（self-awareness）的開發，從而提高其對外部運行環境和內部功能狀態的綜合認知和風險防護能力。自我意識的實現需要從整車層面對系統架構及其各模塊進行充分認知，如構建智能汽車的技能圖、能力圖以及整車架構的多層視圖，并將其集成到開發過程；在賦予整車自我意識能力的基礎上，可進行系統安全監控，如利用環境傳感器和車輛本征傳感器等實現對內外部狀態的感知和表征，并結合安全決策或系統自調節技術實現風險防護。

隨著系統復雜性和各模塊耦合度增加，對于整車層SOTIF改進的綜合技術方案需求也日益增加，但受限于風險機理和量化指標不明確、監測技術不完善、系統架構和功能模塊實現多樣性以及復雜系統分析困難等問題，當前技術尚難以有效應對。有待進一步開發整車層SOTIF 風險防護體系（見圖10），通過對SOTIF風險縱向傳播和整體監控的綜合考慮，以實現SOTIF的系統保障。

圖10 整車層SOTIF風險防護體系 運行階段SOTIF保障關鍵技術

滿足SOTIF 發布準則并不代表風險的完全消除。一方面，由于場景長尾效應，運行階段難免遇到開發階段未考慮到的功能不足或觸發條件；另一方面，環境、基礎設施、政策法規、行為習慣等因素相對于開發階段的情況可能發生變化，從而產生新的未知不安全場景，如圖11所示。為有效應對以上未知風險，一些技術可用于運行階段的SOTIF保障，主要包含兩類：短期風險防護和長期功能改進。

圖11 運行階段未知風險源分析

短期風險防護旨在對運行階段未知風險的實時防護，其關鍵在于風險監測。異常檢測技術可用于識別偏離正常數據實例區域的輸入，并賦予其異常分數或標簽，對于由分布偏移或分布外輸入等問題導致的未知風險具有一定監測能力，常見方法包括監督、半監督和無監督等方式，其在語義分割、基于視覺的安全導航等任務中得到了初步應用。

此外，一些研究聚焦于不同異常檢測方法的對比，Henriksson等提出了一個結構化的深度學習監視器評估框架，采用7個評價指標對比了兩類監視器（卷積神經網絡分類器和變分自編碼器）在不同測試用例上的性能，其中自動駕駛監視器可通過異常檢測識別新的交通場景；他們在之后的研究中拓展了上述工作，選用4類深度神經網絡與3個不同監視器，對比了在網絡不同訓練階段中監視器的性能表現，可檢測監視器表現開始惡化的時間點。此外，認知不確定性可反映模型在處理實際運行輸入時所表現出的信心程度，研究表明其對于分布偏移、未知數據輸入等具有一定檢測能力，提取認知不確定性的典型方法有貝葉斯近似推斷、蒙特卡羅dropout、深度集成和深度證據回歸等，如圖12所示。針對監測到的風險，可通過對不確定性敏感的決策模型設計、策略切換等進行安全保障。

圖12 提取認知不確定性的典型方法

長期功能改進旨在針對運行階段所發現的新的SOTIF危害進行功能改進和系統升級，從而更有效地消除相關風險，其中典型技術如關鍵數據發現與記錄、增量式的學習成長平臺和OTA 升級等。首先，運行階段導致智能汽車預期功能或其實現不足的關鍵因素應被發掘和記錄，具體可結合運行時未知風險監測、高風險或事故數據挖掘以及對環境、法規等外界影響因素變化的跟蹤記錄等方法實現。另外，基于關鍵數據反饋的系統更新迭代機制的建立和完善是充分解決所發現新問題的重要保障，如Tesla等公司在自動駕駛學習成長平臺方面進行了一定探索，而持續學習等技術在機器學習等領域也表現出應對長尾場景的潛力。此外，OTA等遠程升級技術可有效改善自動駕駛軟件等的更新成本和效率。

研究展望與總結

在梳理現有SOTIF保障關鍵技術的基礎上，綜合研究不足與發展趨勢，提出如下研究展望。

（1）加強SOTIF 保障基礎理論研究。從SOTIF問題本質出發，研究SOTIF風險的產生、傳播與演化機理。通過理論分析與實驗驗證，梳理智能汽車潛在功能不足、觸發條件以及兩者間的影響關系；結合智能汽車典型功能架構，探究不同模塊間SOTIF問題的影響和傳播機制，研究基于場景演變的風險動態演化理論；同時，針對AI等新技術存在的不確定性和黑盒問題，深入研究其導致系統功能不足的本質原因。此外，結合統計學、信息論等學科研究，構建SOTIF風險量化模型，為離線評估認證與在線風險防控技術的實施奠定理論基礎。

（2）構建SOTIF風險防護技術體系。在理論研究基礎上探索系統改進思路以降低整車SOTIF風險。結合SOTIF危害產生機理與風險模型，探究和優化智能汽車各模塊功能改進技術，并進一步構建具有自我感知和自我調控能力的整車層SOTIF風險防護系統。如圖13所示，綜合系統內部狀態（如AI模型）、外部運行環境（如ODD）以及其他約束（如交通法規）等信息進行監測，進而設計自適應安全決策模型以實現對SOTIF風險的防護。

圖13 SOTIF風險防護系統

（3）促進SOTIF保障技術的良性更新機制形成。當前智能汽車領域本身仍處于探索階段，具有多種路線共存、技術更新迭代快等特點；與此同時，伴隨技術發展、環境變化以及場景長尾問題的長期存在，新的未知不安全可能會不斷出現。因此應建立SOTIF保障技術研究的良性更新機制，完善問題監控、反饋和更新的自動化流程，探究靈活快速可持續的自動分析、自學習成長與重認證體系，以實現SOTIF保障技術與智能汽車技術的同步發展。

總之，SOTIF研究對于智能汽車最終能否被社會接受具有重要意義。然而，當前該領域標準尚未健全，行業實踐仍處于探索階段且缺乏技術研究體系支撐。本文從SOTIF問題本質出發，通過對智能汽車系統開發和運行階段的SOTIF保障關鍵技術以及針對系統各模塊、合理可預見誤用和整車層功能改進技術的綜述，梳理了SOTIF保障技術體系并提出了研究展望，從而助力智能汽車SOTIF的技術研究和產業落地。
審核編輯：郭婷