摘要:自动驾驶汽车的安全部署需要协同应用多项安全标准,每项标准针对系统性能和风险的不同维度。本文提出一种统一安全框架,整合ISO 26262、ISO 21448(预期功能安全)和UL 4600,为自动驾驶汽车开发生命周期全流程提供全面的安全保障。本研究首先阐述了识别、分析和整合相关标准与学术文献的结构化方法。该研究的核心贡献在于将系统理论过程分析(STPA)与危害分析和风险评估(HARA)流程相结合,使通过系统理论过程分析识别的系统级性能相关危害,能通过危害分析和风险评估被系统分类并分配汽车安全完整性等级(ASIL)。这一组合工作流为三项标准间的危害、安全目标和功能需求映射提供了连贯的机制。研究随后构建了协调化的安全框架,在概念设计和早期设计阶段整合各项标准的互补优势。通过对自适应巡航控制结合车道居中这一典型的L2级自动驾驶功能开展详细案例研究,验证了该框架的有效性。案例表明,该统一框架能够提升可追溯性、减少冗余,并支持跨标准的一致性合规。研究还指出了更广泛的挑战,包括不断演变的自动驾驶汽车软件行为,以及UL 4600在低自动化等级中的适用性问题。本研究提供了一种结构化的、基于标准的方法,强化了实际安全保障工作,为可扩展、透明且统一的自动驾驶汽车安全实践奠定了基础。
原文作者:Morteza Soleimani,Ayse Aysu Sari
原文标题:A unified safety framework for automated vehicle development: integrating ISO 26262, SOTIF, and UL 4600
编译:猿东东,猿西西
智能网联自动驾驶汽车的出现正在重新定义汽车工程的发展格局,这一变革由旨在提升机动性、交通效率和整体道路安全的使能技术快速发展所推动。在这些技术成果中,自动驾驶汽车作为核心创新,有望通过减少人为失误(历史上交通事故的主要诱因)大幅降低道路事故发生率。这类系统融合了人工智能、机器学习、传感器融合和决策算法等多种复杂技术,能够感知周边环境、评估场景并在无人类直接操控的情况下实现车辆导航。尽管这些功能带来了巨大效益,但也引入了新的复杂性和风险,传统汽车安全框架已无法充分应对。
随着自动驾驶汽车技术的发展和大规模部署的临近,保障其运行安全已成为关键要务。自动驾驶汽车除了能带来减少交通拥堵、提升非驾驶人群出行可达性等效益外,还必须在各类工况和不可预测的环境中可靠运行。其核心挑战在于,自动驾驶系统需在动态场景中做出实时决策,且决策过程常涉及与人类驾驶员、弱势道路使用者和不同道路基础设施的交互。此外,感知传感器/系统的固有不确定性,以及机器学习模型的概率性特征,即便在无硬件故障的情况下,也可能导致系统出现意外行为。这就要求建立一种全新的安全保障方法,突破传统的组件级容错范畴。
自动驾驶汽车投入公共道路网络后,相关的监管和伦理考量愈发重要,进一步加剧了上述复杂性。碰撞事故中的法律责任界定、交通法规的合规性,以及决策算法的伦理编程等问题,受到了监管机构、政策制定者和研究人员的高度关注。在此背景下,安全不再仅仅是技术问题,而是涉及系统工程、法律、伦理和人因工程的跨学科议题。随着自动驾驶汽车安全研究的不断推进,业界已形成共识:现有安全方法必须与技术发展同步迭代,才能维护公众信任并获得监管认可。
实现可靠的自动驾驶汽车安全,关键要求之一是构建统一的安全框架,即通过结构化方法将现有安全标准和实践整合为连贯的流程。现代自动驾驶汽车依赖大量相互关联的技术和组件,每个技术和组件都存在不同的失效模式、性能约束和运行假设。因此,针对风险不同维度的多项安全标准应运而生。例如,ISO 26262为功能安全提供指导,重点缓解随机硬件失效和软件失效引发的风险;ISO 21448(即预期功能安全)针对所有组件正常工作时仍可能出现的危害;而最新推出的UL 4600则从更广泛的系统层面出发,通过安全档案构建、论证和全生命周期保障,聚焦自动驾驶安全。
尽管每项标准在保障自动驾驶汽车安全运行中都发挥着重要作用,但它们并非为协同整合应用而设计,这导致各工程领域和开发阶段的安全工作难以协调。以人工智能为基础的感知和决策等新技术的引入,进一步加剧了这一问题,带来了传统安全范式难以覆盖的风险,包括模型泛化的不确定性、现实场景中的边缘案例,以及系统对复杂场景的误判等,这些挑战无法仅通过传统的基于故障或基于性能的框架解决。此外,自动驾驶汽车行业的参与者已不再局限于传统汽车制造商,生态系统中新增了专注于半导体、计算机视觉、网联技术和云服务的科技企业。新参与者的加入导致了工程文化和开发方法的多样化,使得安全实践的共识更难达成。由于各企业在风险评估、设计保障和系统验证方面采用不同的方法,建立一个既能适应这些差异,又能保持严谨性和可追溯性的通用框架,变得尤为迫切。
统一安全框架有望通过整合不同标准和方法的优势,弥补上述短板。该框架不再将功能安全、预期功能安全和自动驾驶安全视为独立流程,而是构建结构化的生命周期,实现全系统行为范围内的危害识别、风险评估、缓解策略制定和安全验证。这使得安全目标能从高层级向下追溯至各设计需求和验证成果,对于构建可信的安全档案、满足监管要求至关重要。
尽管相关研究已取得一定进展,但此类框架的实际落地仍面临挑战,尤其是在自动驾驶汽车开发早期,系统架构、用例和安全目标尚未明确的阶段。一个实用的统一框架必须与现有工程工作流兼容,支持结构化的风险评估,提供纳入性能限制、系统误用和新型危害的机制,同时符合相关标准的合规要求。
本文旨在解决上述挑战,为概念设计和详细设计阶段的自动驾驶汽车开发构建并验证一套整合的安全框架。该框架将ISO 26262、ISO 21448(预期功能安全)和UL 4600 的核心要素整合为连贯的方法,为早期阶段的安全工程提供支持。通过针对L2级自动驾驶功能——自适应巡航控制结合车道居中开展详细案例研究,对该框架进行验证,凸显其管理危害、定义安全目标,并契合技术和监管要求的能力。
现有研究虽已探讨自动驾驶汽车安全标准的部分整合,但尚未有研究将ISO 26262、预期功能安全和UL 4600全面且实用地整合为一体。Kirovskii和Gorelov的研究仅聚焦于ISO 26262和预期功能安全;Wagner and Carlan提出的开放式自动驾驶安全档案框架,仅提供了高层级的安全档案模板,未涉及详细的流程映射。本文的创新点在于提出了一种符合标准的全新方法:(1)在概念设计和早期设计阶段明确映射三项标准;(2)将系统理论过程分析和危害分析与风险评估整合为统一的危害和风险分析工作流;(3)为推导功能安全、预期功能安全和安全档案要求提供结构化、可追溯的流程。通过自适应巡航控制结合车道居中的详细案例研究,验证了该整合流程的实际应用效果,实现了危害到三项标准各要求的全链路追溯。这种将实际整合、方法协调和案例验证相结合的研究方式,在现有文献中尚未见报道。
本文的结构安排如下:第2节为文献综述,阐述自动驾驶汽车开发中的当前安全挑战;第3节介绍识别、分析和整合安全相关资料的研究方法;第4节提出所构建的统一安全框架,并解释其结构和设计依据;第5节将该框架应用于自适应巡航控制结合车道居中的案例研究;第6节探讨本研究带来的启示、面临的挑战及未来发展方向;最后,第7节对全文进行总结。
自动驾驶汽车的安全问题已成为汽车领域研究、标准化和监管工作的核心。随着自动驾驶技术从高级驾驶辅助系统向更高自动化等级发展,保障系统的功能安全、运行安全和系统级安全的复杂性不断提升。本节综述了指导自动驾驶汽车安全保障的主要标准,以及学术界和工业界的相关研究成果。
2.1 主流安全标准:ISO 26262、预期功能安全和UL 4600
自动驾驶汽车安全保障的核心是采用成熟的安全标准,ISO 26262、ISO 21448和UL 4600是指导制造商和开发者在自动驾驶汽车全生命周期中识别、分析和缓解风险的三项核心成熟安全标准。
ISO 26262-3:2018是道路车辆功能安全的基础标准,重点关注电气/电子系统中的系统性失效和随机失效,提供了包括危害分析和风险评估、汽车安全完整性等级确定,以及功能和技术安全需求制定在内的结构化流程。尽管该标准已被广泛采用,但应用于具有非确定性行为和人工智能功能的系统时存在局限性,尤其是其对基于故障的安全模型的侧重。其适用范围也仅限于故障引发的失效,无法覆盖自动驾驶系统按设计运行但仍存在安全风险的场景。
为补充ISO 26262的不足,ISO/PAS 21448标准(通常称为预期功能安全)应运而生,针对系统按预期运行,但因环境感知不完整或场景限制导致性能不足而引发的危害。预期功能安全聚焦于识别可能导致安全风险的功能缺陷和触发条件,尤其针对复杂的驾驶环境。该标准不采用汽车安全完整性等级分类,是与ISO 26262并行的辅助框架,而非替代方案。单独应用ISO 21448的一个主要局限性在于,其在全面危害分析方面的指导不够完善,在高等级自动驾驶汽车的应用中这一问题尤为突出。
UL 4600标准(ANSI/UL 4600:2020)进一步拓展了安全保障的范围,针对完全自动驾驶系统的安全问题,为构建全面的、基于证据的安全档案提供了结构化框架,且无需预设人类监督。该标准由Koopman及其团队参与制定,倡导以目标为导向的安全方法,强调可追溯性、安全论证和持续验证。尽管其全面性适用于高等级自动驾驶,但资源密集型的实施方式带来了挑战,尤其是在应用于低自动化等级时。
2.2 安全保障的学术和工业框架
学术界和工业界已开展大量研究,试图将ISO 26262、预期功能安全和UL 4600等安全标准整合为统一框架,以应对自动驾驶汽车多维度的安全需求。Kirovskii和Gorelov提出了整合ISO 26262和预期功能安全的通用安全生命周期,重点关注结构化危害分析和系统级整合。然而,其方法未考虑UL 4600标准,也未涉及基于目标的安全档案构建,而这两点对于高等级车辆自动驾驶至关重要。与之不同,Wagner和Carlan与行业专家密切合作,提出了开放式自动驾驶安全档案框架。该模块化框架通过整合法规合规、性能监控和透明度要求,为构建安全档案提供了灵活的结构。尽管其适应性使其能在不同的法律和组织环境中应用,但通用性特点使其在更具体的工程场景中难以直接落地。
为将这些标准应用于安全工程流程,业界采用了多种方法,其中危害分析和风险评估以及系统理论过程分析是典型代表。危害分析和风险评估是ISO 26262的核心要求,支持识别和评估系统故障引发的风险,为推导汽车安全完整性等级和相关安全目标提供了结构化方法。尽管危害分析和风险评估在应对系统性和随机硬件失效方面效果显著,但在处理非基于故障的危害时存在不足,尤其是涉及人-系统交互、环境场景或性能限制的危害,而这些危害在L2和L3级自动驾驶系统中十分突出。
系统理论过程分析由Nancy和John P提出,是传统基于失效分析方法的系统理论替代方案。该方法聚焦于不安全控制行为和系统交互,非常适合分析自动驾驶汽车动态且复杂的运行环境,在识别传统组件级失效模式难以覆盖的系统危害方面具有重要价值。例如,Kaiser将系统理论过程分析应用于高速领航功能的案例研究,验证了其与预期功能安全整合后,能够发现感知和决策子系统相关的风险,而这些领域仅依靠危害分析和风险评估难以覆盖。
这些分析方法的整合是构建稳健统一安全框架的核心。其中的关键挑战在于协调其适用范围和输出结果:危害分析和风险评估提供了与ISO 26262一致的、可量化的基于风险的可追溯性;而系统理论过程分析则能深入洞察系统的不安全交互和突发行为,随着自动驾驶汽车对软件驱动的自主性和实时环境感知的依赖度不断提高,这些因素的重要性愈发凸显。
与人工智能和机器学习相关的新型安全问题,进一步增加了统一框架的开发难度。传统安全方法假设系统行为具有确定性,故障传播具有可追溯性,而基于机器学习的系统在新环境中往往缺乏透明度和可预测性。正如Salay和Czarnecki所强调的,机器学习模型的动态特性带来了静态安全档案未考虑的风险,包括模型漂移、再训练误差和场景适配性不当等,这些问题对验证和运行时保障机制都构成了挑战。
传感器可靠性和感知精度也是自动驾驶汽车安全的核心。Koopman和Widen指出,在恶劣天气或基础设施条件不佳的情况下,传感器性能会显著下降,影响自动驾驶汽车在其设计运行域内的安全运行能力。为解决这些局限性,Xia等倡导在感知层结合预期功能安全和系统理论过程分析,从而更细致地评估功能缺陷、触发条件和基于传感器的不确定性。
同时,研究人员也在探索符合正式安全需求的基于模型的控制和软件设计策略。例如,Bemporad等研究了模型预测控制在ISO 26262合规中的应用。尽管其研究并非专门针对自动驾驶汽车,但为模型预测控制如何通过强制约束、保障稳定性和性能来支持功能安全提供了有价值的见解,而这些特性对自动驾驶的控制系统至关重要。
综上,现有研究表明,迫切需要构建整合的安全框架,其不仅要实现文档对齐,更要实现方法协同,纳入新兴技术,并支持在自动驾驶汽车全生命周期中的实际落地。本研究通过提出ISO 26262、预期功能安全和UL 4600的结构化整合方案,回应了这一需求,该方案以成熟方法(危害分析和风险评估、系统理论过程分析)和前瞻性安全原则为基础。
2.3 弥补短板:本研究框架的贡献
尽管研究已取得显著进展,但文献表明自动驾驶汽车安全保障仍存在诸多未解决的问题。首先,目前尚无框架能将ISO 26262、预期功能安全和UL 4600充分整合为统一流程,该流程需在概念上严谨,且能在不同自动化等级中实际落地。现有整合尝试往往局限于标准的两两组合,或仅聚焦于感知系统、故障运行架构等特定应用领域。
人工智能驱动的自动驾驶系统的安全问题仍未得到充分解决。现有标准在处理不断演变的机器学习行为、数据驱动的决策逻辑或运行时适应性方面的指导有限,需要将可解释人工智能、可追溯的模型更新和实时验证等保障方法整合到传统安全生命周期中的框架。
尽管安全档案的应用日益广泛,但大多数现有框架要么缺乏具体的实施步骤,要么所需资源超出小型开发者的能力范围。跨多项标准协调文档、可追溯性、验证和测试要求的复杂性,成为重要的准入壁垒,在早期项目中尤为突出。
鲜有研究提供详细案例,验证整合标准如何在实际的自动驾驶汽车开发中落地。此类实际案例的缺失,阻碍了跨行业的基准对比和知识共享。
本文通过提出统一安全框架,针对性地解决了部分上述问题,该框架战略性地协调了ISO 26262、预期功能安全和UL 4600的结构和内容。在前期研究的基础上,本研究拓展了整合方法,为概念设计和详细设计阶段提供了详细指导,并通过自适应巡航控制结合车道居中的详细案例研究验证了该方法的有效性。本研究既在理论上实现了突破,也为从事自动驾驶系统保障的安全工程师和研究人员提供了实用的参考模型。
本研究采用结构化方法,为自动驾驶汽车的概念设计和详细设计阶段构建整合的安全框架。如图1所示,该方法分为三个相互关联的阶段:(1)相关资料的识别与收集;(2)数据的整理与分析;(3)整合为全面的安全框架。每个阶段均以前一阶段的成果为基础,确保框架既基于理论研究,又符合行业标准。
1. 相关资料识别:收集与自动驾驶汽车安全相关的标准、学术文献、技术报告和行业文档(如ISO 26262、预期功能安全、UL 4600)。
2. 数据整理与分析:按范围、方法和应用对资料进行系统分类和标记,通过对比分析识别短板、重叠点和优势。
3. 整合为安全框架:将不同标准中的安全要素映射并整合为统一框架,协调各类方法(如危害分析和风险评估、系统理论过程分析、预期功能安全),为概念阶段的安全工程提供支持。
3.1 相关资料的识别与收集
研究方法的第一阶段聚焦于整合学术文献和行业标准中的全面知识体系,通过系统综述安全相关资料,包括同行评审的研究论文、监管指南、行业最佳实践和技术报告,识别与高级驾驶辅助系统和自动驾驶汽车相关的关键安全特征、术语和方法。
为确保资料的广度和深度,本研究从多个渠道收集资料:通过官方数据库和专业会员渠道获取监管和标准化文档,从各类数据库收集学术文献,重点识别涉及功能安全(ISO 26262)、预期功能安全(ISO 21448)和UL 4600等系统级安全框架的研究成果。同时,也针对性收集采用系统理论过程分析、失效模式与影响分析、危害分析和风险评估等特定安全方法的研究。对学术界提出的这些方法的新型适配或整合方案的研究成果进行严格分析,以深入理解其在实际系统中的应用。这一全面、多渠道的文献收集阶段,使本研究得以建立既符合监管要求,又契合前沿学术研究的坚实基础。
3.2 数据的整理与分析
收集完相关资料后,本研究通过严谨的编目和分析过程提炼见解,为统一安全框架的开发提供支持。为管理收集信息的异质性和海量性,本研究建立了结构化的分类体系:按范围(如国家、国际)、功能领域(如软件安全、验证与确认、概念阶段)和自动驾驶汽车开发阶段的适用性对标准和法规进行分类;按研究重点(如危害分析、标准合规)、高级驾驶辅助系统应用场景和方法学路径对学术和技术论文进行分组。
本阶段的核心是对学术和监管资料进行对比分析,评估不同资料如何应对相似的安全挑战,识别方法上的共性和差异。例如,研究中重点关注了展示系统理论过程分析如何与ISO 26262对齐或与预期功能安全整合的论文,这些研究为理论与实践的协调提供了路径。综述同时也审视了学术界对现有标准进行改进或批判的研究,如对当前风险分类体系的合理性提出质疑,或为安全关键系统中的机器学习组件提出适配方案的研究。此外,编目后的文献还揭示了弥补方法学短板的研究成果,如系统理论过程分析与失效模式与影响分析的融合,或通过修改指导词使UL 4600与传统危害模型对齐的研究。
本分析阶段产生了两方面成果:一是明确了现有标准各自为战的现状,每项标准仅覆盖自动驾驶汽车生命周期的特定阶段或组件;二是揭示了学术研究成果如何为这些独立的标准搭建概念或方法学桥梁,从而为整合为统一框架奠定基础。
3.3 整合为统一安全框架
研究方法的最后阶段,是将文献和标准综述中的见解整合为连贯、实用的安全框架。通过将已识别的安全标准在自动驾驶汽车生命周期中进行结构化映射,实现这一目标,确保自动驾驶汽车安全的技术和运行维度均得到全面覆盖。
本研究的整合过程并非简单地汇编标准,而是有意识地将每项标准的侧重点与自动驾驶汽车开发的特定阶段相匹配。对ISO 26262、ISO 21448(预期功能安全)和UL 4600等核心标准的优势和局限性进行分析,规划其组合应用方式,确保覆盖从概念设计到验证和部署的全生命周期。
在框架开发过程中,本研究融入了前述分析中概述的文献中的多种观点和发现,这些资料通过引入当代方法和理念,为框架增添了概念深度和实践背景。例如,提出安全技术新型整合方案或挑战现有标准边界的研究成果,助力构建更稳健、更具适应性的框架。最终形成的框架结构,既体现了对成熟安全原则的合规性,又兼顾了自动驾驶汽车开发中固有的、不断变化的需求和不确定性。
整合阶段还包括迭代测试和优化,以验证框架的适用性。通过将框架应用于本文后续详细阐述的自适应巡航控制结合车道居中系统这一典型案例研究,识别并解决潜在的短板或不一致性问题,确保框架始终贴合实际用例。
通过整合监管指南、学术见解,并结合实际功能验证,最终形成的统一框架为高级驾驶辅助系统和自动驾驶汽车的安全保障提供了全面、适应性强的方法,为开发者、研究人员和监管机构提供了结构化且灵活的指导,支持自动驾驶汽车全生命周期的安全保障。下一节将详细阐述自动驾驶汽车统一安全框架的开发步骤。
本节介绍通过整合三项核心汽车安全标准(ISO 26262、ISO 21448(预期功能安全)和UL 4600)开发的安全框架。构建此类统一框架的必要性源于以下认知:尽管这些标准拥有共同的安全目标和通用术语,但安全研究的视角和采用的方法各不相同,这种差异往往给开发者和安全工程师带来挑战,使其难以在自动驾驶汽车开发的各个阶段制定一致、高效的实施策略。该整合框架展示了自动驾驶汽车开发者如何协调现有标准的不同优势,通过发挥其互补性,为自动驾驶汽车系统概念设计和早期设计阶段的稳健安全保障提供结构化且适应性强的方法。表1概述了这三项标准的范围、优势和局限性。
4.1 标准间的共性与差异
4.1.1 通用术语和概念
三项标准均使用“危害分析”、“风险评估”、“安全目标”等通用术语,为工程师、安全专业人员和监管机构之间的沟通提供了便利。然而,不同标准对这些术语的解读存在差异。例如,ISO 26262聚焦于电气/电子系统中与硬件相关的故障,典型危害如电气故障导致的制动失效;与之相反,预期功能安全处理因功能限制引发的危害,如系统对车道标线的误判;UL 4600则采用更广泛的视角,整合软硬件交互问题,如传感器融合误差导致的障碍物误判。
4.1.2 对安全保障的重视
安全保障是三项标准的核心支柱,但采用的策略各不相同。ISO 26262依靠系统性验证和故障安全设计,确保防抱死制动系统等组件在故障情况下仍能保持可靠运行;预期功能安全通过在真实场景中开展大量测试对其进行补充,验证自动制动系统能否在正确的环境条件下触发;UL 4600则进一步要求在所有潜在场景中构建全面的安全论证,整合功能安全和预期功能安全相关方面。例如,系统不仅要在正常工况下运行,还要在城市驾驶环境的不可预见边缘案例中保持安全。
4.1.3 全生命周期考量
三项标准均采用全生命周期视角,但侧重点不同。ISO 26262覆盖电气/电子系统的全生命周期,重点关注设计和开发阶段,强调早期危害识别,以避免后续问题;预期功能安全优先考虑测试和验证阶段,确保系统能应对边缘案例和性能限制;UL 4600支持更广泛的生命周期,从设计到持续部署,强调真实场景的监控和适配(ANSI/UL 4600:2020)。
尽管每项标准都提供了宝贵的指导,但其对生命周期的不同侧重可能导致安全保障的短板。例如,某车辆可能在早期阶段的可靠性方面符合ISO 26262要求,但在UL 4600所要求的持续适配方面存在不足。弥补这些生命周期短板,是本文提出的统一框架的核心目标。
4.1.4 互补性
ISO 26262、预期功能安全和UL 4600共同构成了自动驾驶汽车安全的全面视角:ISO 26262 确保电气/电子系统的可靠性,预期功能安全捕捉系统行为的局限性,UL 4600则针对自动驾驶和场景覆盖提出要求。然而,整合这些视角需要精心协调。例如,ISO 26262对确定性失效模式的侧重,需要通过预期功能安全对功能边缘案例的考量进行拓展;UL 4600则增加了新的要求,即整个安全论证(包括主张、证据和设计依据)必须在所有运行条件下得到详尽记录和论证。这就需要一种协调的方法,在保留每项标准优势的同时,减少不一致性。利益相关者的协作对于构建这一统一框架也至关重要。
4.2 概念阶段的安全框架设计
统一框架必须协调ISO 26262、预期功能安全和UL 4600相互重叠且互补的阶段。ISO 26262和预期功能安全均以结构化的早期流程为起点,指导系统全生命周期的安全工作:ISO 26262从概念阶段开始,聚焦于系统功能定义、危害识别和汽车安全完整性等级要求确定,确保从开发之初就应对系统性和随机硬件失效引发的风险;同样,预期功能安全从规范和设计阶段启动,聚焦于预期功能的安全,包括设计运行域、决策逻辑、性能限制和可预见的误用等因素,该阶段还会定义系统架构和降级策略。
与之相反,UL 4600并未规定生命周期或顺序开发流程,而是提供了灵活的、以目标为导向的安全档案结构,由主张、论证和证据构成,以证明系统的整体安全性。尽管UL 4600包含推荐做法和要求,但将安全工作的具体顺序和整合交由开发者自主决定,为危害识别和保障提供了非指令性的方法(ANSI/UL 4600:2020)。
为在规范/概念阶段整合这些标准,可通过协调其核心阶段和方法,建立统一的安全框架,具体包括以下详细步骤。
4.2.1 统一的危害分析和风险评估
统一安全框架的核心要素是整合ISO 26262、预期功能安全和UL 4600中的危害分析和风险评估工作。ISO 26262提供了基于故障的危害分析和风险评估流程,重点识别与故障相关的危害并分配汽车安全完整性等级;预期功能安全则相反,聚焦于系统无故障运行但因性能限制或感知不足引发的危害;UL 4600对两者进行补充,强调在全生命周期中全面识别危害、构建结构化的安全论证,并确保证据的可追溯性。三项标准共同支持更全面地理解自动驾驶系统中基于故障和基于功能缺陷的风险。
符合UL 4600第6.3条的要求,本框架至少采用两种危害识别技术(即危害分析和风险评估、系统理论过程分析),因为每种技术都具有互补优势。尽管危害分析和风险评估能根据严重性、暴露度和可控性对危害进行高效分类,但其侧重点仅限于故障行为;相反,系统理论过程分析能捕捉更广泛的不安全控制行为,包括因感知错误或不完整、人-自动化交互和场景误判引发的行为。图2展示了两种技术的适用范围如何重叠,并共同为各项标准提供支持。
图2:系统理论过程分析和危害分析与风险评估的安全适用范围
· 危害分析和风险评估:基于组件的风险评估方法;识别因组件失效引发的危害;根据严重性、暴露度、可控性评估风险;识别并缓解基于故障的风险。
· 系统理论过程分析:基于系统的风险评估方法;识别无组件失效情况下的控制不当危害;识别因人为、环境因素和误差引发的控制不当问题;识别系统动态和交互关系。
选择系统理论过程分析与危害分析和风险评估组合的核心原因,是其覆盖范围比许多其他混合方法更广泛。系统理论过程分析与失效模式与影响分析等方法能有效识别组件级失效模式,但在捕捉系统级控制交互、人-自动化协调问题和场景敏感行为方面仍存在局限,而这些正是系统理论过程分析的优势领域。失效模式与影响分析等技术同样高度聚焦于基于故障的行为,使其难以应对预期功能安全中与性能相关的缺陷。相反,系统理论过程分析与危害分析和风险评估的组合明确涵盖了两类危害:系统理论过程分析识别广泛的不安全场景(包括非故障和基于性能的危害),而危害分析和风险评估则根据ISO 26262和UL 4600的要求分配风险等级并将安全目标规范化。这形成了一种平衡的、符合标准的分析流程,非常适合自动驾驶汽车的开发。
综上,整合系统理论过程分析和危害分析与风险评估,为危害分析提供了连贯、可追溯且符合标准的方法,能很好地应对自动驾驶汽车带来的跨学科安全挑战。图3展示了系统理论过程分析如何整合到概念阶段的工作流中:将通过系统理论过程分析识别的不安全控制行为转化为损失场景,并将其分为两类,即与预期功能安全相关的功能缺陷场景,以及与ISO 26262相关的故障场景。这种分类能明确区分根本原因,确保因性能限制或感知缺陷引发的危害纳入预期功能安全流程,而故障引发的危害则纳入危害分析和风险评估以及汽车安全完整性等级推导流程。
图3:适用于ISO 26262和预期功能安全的系统理论过程分析流程
本统一框架的一项关键改进是实现了预期功能安全衍生危害与ISO 26262汽车安全完整性等级分类的明确对齐。由于预期功能安全未提供自身的风险分级体系,本框架将预期功能安全危害映射到ISO 26262危害分析和风险评估中制定的相关安全目标。因此,每项预期功能安全措施均“继承”对应安全目标的汽车安全完整性等级,确保功能缺陷危害得到与同等风险的故障危害相同的验证、确认和验证工作投入。
这一统一工作流有助于更稳健地定义系统级安全目标:系统理论过程分析通过识别广泛的危险场景实现广度覆盖,而危害分析和风险评估则通过表征风险等级、制定安全目标实现深度挖掘。将两者与预期功能安全整合,确保与性能相关的风险(如感知误差、遮挡、漏检和模糊的环境线索)被系统地转化为具有汽车安全完整性等级关联安全重要性的、可落地的预期功能安全措施。在实际应用中,这能生成更具论证性和全面性的危害概况,与三项标准均保持一致,并为后续的要求推导、设计和验证阶段提供支持。
系统理论过程分析步骤:需迭代考虑和应用这些步骤,且每个步骤完成后,工作成果需具备可追溯性和明确性,以与ISO 26262和预期功能安全结合使用。
步骤1:识别损失;建模控制结构→结束步骤1。
步骤2:细化危害。
步骤3:识别不安全控制行为→该失效原因是否会导致控制行为不当执行或未执行?
步骤4:识别导致不安全控制行为的因果因素。
4.2.2 整合的规范和设计流程
整合的规范和设计流程在将ISO 26262、预期功能安全和UL 4600统一为连贯的安全框架中发挥着关键作用。ISO 26262对电气/电子系统可靠性的侧重,与预期功能安全对系统性能和用户交互的关注相契合,实现了全面的安全设计。具体而言,ISO 26262确保开发出符合严格硬件可靠性标准的稳健传感器架构,而预期功能安全则验证这些传感器能否准确解读数据,并将其正确输入决策系统。UL 4600通过指导构建可信的自动驾驶系统安全论证对其进行补充,包括分析和记录论证中的常见缺陷,以及深入理解设计运行域和环境交互。梳理典型但存在缺陷的论证模式目录,能进一步优化安全档案的构建和评估方式。
图4展示了如何将预期功能安全和系统理论过程分析整合到ISO 26262的概念阶段,以生成更完善、更全面的安全概念。该流程从ISO 26262的项目定义阶段开始,梳理安全关键组件及其交互关系,定义硬件架构并识别失效模式;随后根据严重性、暴露度和可控性分配汽车安全完整性等级,以保障硬件可靠性。同时,预期功能安全通过概述系统的设计运行域、性能目标、约束条件和组件交互,引入预期功能层,这对于系统在真实场景下的安全运行至关重要。
图4:预期功能安全和系统理论过程分析整合至ISO 26262-3:概念阶段
最终形成的安全概念融合了ISO 26262和预期功能安全的功能安全需求,这份详细的规范确保传感器架构既具备耐久性(符合ISO 26262需求),又能有效支持决策(符合预期功能安全需求),形成了严谨的整合式安全设计方法。
1. ISO 26262-3第5章:项目定义→梳理与安全关键组件的交互;项目特征。
2. 预期功能安全特定定义→预期功能、设计运行域、系统约束、与其他组件的交互;预期功能安全特定运行场景。
3. 系统理论过程分析+ ISO/PAS 21448第6章→通过系统理论过程分析识别触发条件;识别不安全控制行为、危害、事故约束;危害分类和缓解措施制定。
4. 危害分析和风险评估→推导安全目标;确定安全目标、危险事件。
5. ISO 26262-3第7章:功能安全概念+预期功能安全概念→推导功能安全需求;制定安全概念;推导预期功能安全需求。
6. 输出成果→项目定义、危害分析和风险评估报告、安全目标、系统架构设计、系统理论过程分析报告、预期功能和设计运行域、风险缓解方法、功能安全目标。
4.2.3 持续监控和反馈循环
持续监控和反馈循环是稳健安全框架的重要组成部分,支持在系统全生命周期中开展持续的风险缓解和保障工作。系统理论过程分析和预期功能安全流程的迭代特性,通过促进新运行数据和见解出现后的持续更新,强化了该框架。与传统的静态安全方法不同,系统理论过程分析和预期功能安全均强调适应性,确保危害和缺陷能被及时识别、重新评估和解决。
系统理论过程分析通过分析复杂的系统交互和控制行为,实现安全评估的迭代优化。随着更多信息的获取,安全模型会不断完善,危害分析也会随之更新,使工程师能及早发现不安全控制行为和事故场景,并相应调整控制策略。同样,预期功能安全采用迭代方法评估预期功能的安全性,通过持续监控系统性能和环境交互,帮助优化系统行为,以适应真实场景的多变性。这对于管理性能限制、应对意外行为尤为关键,从而提升系统的稳健性。
系统理论过程分析和预期功能安全之间的交互形成了动态的反馈循环:当系统理论过程分析识别出新的危害或问题时,预期功能安全流程可更新以纳入这些发现(ISO 21448:2022),这推动了主动的风险管理,确保硬件和功能安全始终与不断变化的系统条件保持一致。通过这一整合,框架能在安全风险升级为失效前对其进行预判和缓解。
UL 4600通过为自动驾驶系统的持续改进提供结构化方法,进一步强化了这一迭代安全范式,倡导构建能响应环境变化和新兴风险的自适应系统。整合UL 4600的指导要求,能实现实时数据收集、持续安全评估和问题的早期发现,使制造商能及时采取干预措施。
4.2.4 文档编制和合规跟踪
编制全面的文档对于证明符合ISO 26262、预期功能安全和UL 4600的要求至关重要,因为它能为安全相关工作和决策创建透明、可追溯的记录,包括危害分析、风险评估、设计依据、测试结果以及系统全生命周期中的所有变更记录。集中式的合规跟踪系统能简化这一过程,确保所有相关数据都得到规范整理,便于审计和监管审查。除合规性外,文档编制还能通过帮助企业监控进展、找出改进领域并采取相应的纠正措施,推动持续改进。
UL 4600特别强调构建清晰、完整且具有论证性的安全档案,凸显了严谨文档编制的重要性。在系统行为可能复杂且不可预测的自动驾驶系统中,透明度和问责制至关重要。详尽的文档编制确保所有安全决策都具备充分的依据且可追溯,既强化了企业对安全的承诺,又能应对多项标准对齐的复杂性。这一做法不仅完善了内部的安全保障流程,还能增强外部利益相关者的信任。
此外,UL 4600要求安全档案建立在结构化的论证基础上,并辅以明确的证据和推理。编制完善的安全档案不仅能经受住监管机构的审查,还能增强系统运行安全的信心。随着新数据和新见解的出现,稳健的文档框架能让安全档案随系统及其运行环境一同发展。这种动态方法确保安全决策始终具有时效性、合理性和适应性,为长期的安全保障和合规性提供支持。
本研究以自适应巡航控制结合车道居中功能为例,验证所提出安全框架的实际落地效果。该L2级高级驾驶辅助系统功能整合了自动加速、制动和转向控制,以保持车辆车速和车道内位置。选择该功能的原因在于其复杂度适中,且在学术界和工业界均得到广泛认可,在案例的说明性和功能的相关性之间实现了平衡。尽管整体框架旨在支持L2和L3级自动驾驶,但本研究选择L2级用例,能更直观、严谨地验证框架的有效性。
本节系统地应用该安全框架,首先定义系统及其应用场景,随后通过危害分析和风险评估、系统理论过程分析两种方法开展危害识别,再推导功能安全需求;接着应用预期功能安全流程,评估功能缺陷和误用场景;最后将研究结果整合为符合ISO 26262、ISO 21448和UL 4600要求的全面安全概念。
5.1 概念阶段
概念阶段是安全框架应用的基础,其目的有二:一是详细定义自适应巡航控制结合车道居中功能,二是为后续的安全分析建立必要的场景。根据ISO 26262第3部分和UL 4600的要求,该阶段需兼顾系统的功能和非功能方面,同时也是将预期功能安全流程和UL 4600要求与ISO 26262整合的起点。通过这一阶段,确保功能安全、预期功能安全和高层级自动驾驶相关问题得到协同解决,为自动驾驶汽车高级驾驶辅助系统功能安全保障的迭代性和关联性奠定坚实基础。
5.1.1 项目定义
概念阶段完成后,按照ISO 26262-3:2018第5.4条的要求(ISO 26262-3:2018)开展“项目定义”。该输出成果定义了研究的系统,包括其功能和非功能需求、环境假设、法律义务、性能标准和运行边界,同时描述了接口、外部依赖关系和运行模式。这些细节共同构成了后续危害分析、功能安全规范和验证工作的基础。
项目定义同时符合ISO 21448的指导要求,确保纳入可预见的误用、系统限制和性能缺陷等预期功能安全特定考量因素;此外,还响应UL 4600的要求,为安全档案开发明确架构背景和初步主张。
自适应巡航控制结合车道居中项目定义简要总结
1. 项目特征:自适应巡航控制结合车道居中功能在规定范围内实现自动加速、制动和横向控制,目标为L2级自动驾驶,符合ISO 26262、ISO 21448、UL 4600、联合国欧洲经济委员会第79号法规及适用的国家交通法规。
2. 功能行为:系统保持安全跟车距离和车道位置,运行状态包括激活、待机、手动控制和故障模式,采用雷达和摄像头传感器进行感知,通过动力总成、制动和转向子系统执行控制。
3. 核心功能:
(1)纵向控制:保持预设车速和安全跟车距离,实现平顺的节气门控制和制动;
(2)横向控制:通过视觉车道跟踪保持车辆在车道居中位置;
(3)安全功能:包括故障检测、降级策略、驾驶员提醒和自诊断;
(4)驾驶员交互:通过仪表板提供反馈,支持手动接管,并以视觉和听觉方式向驾驶员发出提醒。
4. 设计运行域:车道标线清晰的高速公路、白天及轻度恶劣天气(如雾、小雪)、温度范围-5℃至+50℃;系统可应对中高速交通流,并执行紧急干预。
5. 安全和冗余:包括备用控制路径、故障安全停用模式和驾驶员接管机制,确保故障情况下的可控降级。
综上,项目定义为自适应巡航控制结合车道居中系统建立了符合标准的详细概况,确保全面覆盖接口、功能行为、环境约束和安全机制。该文档是安全档案中的首个正式工作成果,也是所有后续安全分析的基础。
5.1.2 危害分析
本案例研究采用两种互补技术开展危害分析:一是符合ISO 26262-3:2018要求的危害分析和风险评估方法,二是ISO 21448和UL 4600均推荐的系统理论过程分析方法。
危害分析和风险评估传统上用于识别与系统故障相关的风险并分配汽车安全完整性等级,而系统理论过程分析则从更广泛的、以控制为导向的视角,分析系统内的不安全交互。两者结合,能实现全面的安全评估,与本研究提出的统一框架保持一致。这种双方法分析也得到UL 4600第6.3条的认可,该条款鼓励同时使用传统和现代技术(包括危害分析和风险评估、系统理论过程分析)开展系统级危害识别。此外,UL 4600要求每个识别的危害都能在结构化的危害日志中追溯至缓解策略。
除故障引发的失效外,系统理论过程分析在识别不安全控制行为方面也具有重要价值,包括与性能限制和人-机交互相关的行为,而这些正是预期功能安全分析的关键考量因素。识别触发条件尤为重要,即系统按预期运行但仍可能引发不安全行为的场景相关条件。
下文详细介绍自适应巡航控制结合车道居中系统的危害分析和风险评估、系统理论过程分析应用过程。
5.1.2.1 危害分析和风险评估
自适应巡航控制结合车道居中系统的危害分析和风险评估流程,旨在系统地识别和评估因故障行为引发的危害,同时考虑子系统交互和环境多变性,包括横向和纵向控制的非预期、缺失或异常执行等场景,这些场景均可能影响车辆的稳定性和安全。
本研究共识别出8类不同的危害,其中多数发生在不同的道路和天气条件下(包括降雨、大雾和侧风)。根据严重性、暴露度和可控性对这些场景进行评估,并分配汽车安全完整性等级,结果主要为QM级(质量管理级)、A级,少数为D级。这一等级分布反映了安全影响的不同程度,也说明需要针对具体场景制定缓解措施。
通过危害分析和风险评估推导的核心安全目标包括:
· 避免非预期的横向控制;
· 避免非预期的纵向控制;
· 驾驶员接管前避免未发出提醒。
这些目标构成了后续功能安全需求的基础,例如,安全的状态转换(如故障情况下的系统停用)是风险缓解策略的核心。每个安全目标均与运行场景和具体设计约束相关联,确保符合ISO 26262的结构化风险降低方法。
5.1.2.2 系统理论过程分析
为补充危害分析和风险评估的结果,将安全评估范围拓展至硬件故障之外,本研究开展了系统理论过程分析。该方法得到UL 4600的推荐,且与ISO 26262、ISO 21448均兼容,能识别因系统交互、控制逻辑和外部影响引发的危害,还有助于发现与预期功能安全相关的触发条件和合理可预见的误用场景。
图5为系统理论过程分析的开展框架,通过在规定的分析边界内梳理可控系统组件(如动力总成、制动、转向、电子控制单元、传感器和人机接口)之间的交互,实现危害的系统识别。交通、驾驶员行为和环境条件等外部因素虽超出该分析边界,但通过传感器输入和法规合规性加以考量,以确保系统的安全和可靠运行。
· 可控区域(系统设计者):自适应巡航控制结合车道保持系统、制动系统、动力总成、人机接口、转向系统、传感器、执行器/线控驱动、底盘、物理车辆;
· 不可控区域(系统设计者):周边环境(交通/其他驾驶员/行人行为、极端天气、天气条件、行人/建筑物/障碍物、其他车辆/交通事故)、驾驶员(转向输入、加速踏板、制动踏板、反馈、驾驶员误用)、技术进步(软件升级、新功能、开发方法)、行业反馈、法规(交通法规/条例、开发相关法规、新技术/问题)。
图6展示了分析边界内的控制结构框图,突出了驾驶员、车辆子系统和自适应巡航控制结合车道居中模块之间的交互,展示了驾驶员通过踏板和转向发出的输入如何传输至相应的控制单元,而控制单元又如何向自适应巡航控制结合车道居中模块和驾驶员提供反馈。该图还描绘了感知传感器在收集环境数据中的作用,以及监控系统状态和性能的反馈循环。控制行为(蓝色箭头)代表驾驶员和自适应巡航控制模块向子系统发出的指令,而反馈循环(红色箭头)则包括系统状态、提醒信息,以及子系统向自适应巡航控制模块和驾驶员提供的实时状态更新。分析边界聚焦于这些交互,以评估和提升系统的安全性和性能。
· 人类驾驶员:激活、制动指令、加速指令、设置目标车速/目的地、停用、提醒、自适应车辆控制状态、转向指令;
· 自适应巡航控制结合车道保持系统:激活/停用自适应车辆控制、转向角度、转向扭矩、加速指令、车道标线、前方车辆、障碍物、制动扭矩、加速信号、发动机扭矩、转向扭矩、扭矩降低、转向角度、转向扭矩、请求车轮扭矩、车轮滑移、制动信号、车轮转速信号、车轮转速;
· 感知传感器套件、制动控制单元、转向系统、动力总成、车轮、仪表板、方向盘、制动踏板、加速踏板;
· 控制行为(蓝色箭头)、反馈(红色箭头)。
系统理论过程分析的下一步是识别不安全控制行为,即在特定情况下,最坏场景下可能引发危害的控制行为,包括需要制动时未发出制动指令,或转向输入过晚、过大等场景。在系统理论过程分析中,“不安全”指分析过程中识别的危害,这些危害可能包括人员受伤或死亡等传统安全风险,也可能包括任务失败、性能下降或环境损害等其他类型的损失。表2列举了部分不安全控制行为示例。
基于识别的不安全控制行为,可为控制器制定安全约束,以防止危险行为的发生。控制器安全约束明确了确保控制器行为不会引发不安全控制行为必须遵守的具体条件或规则,这些约束作为安全保障措施,确保控制器在安全范围内运行,避免引发任何危险后果。
表3列出了与制动相关的不安全控制行为对应的部分控制器安全约束示例,这些约束明确了防止不安全控制行为发生必须遵守的条件和规则,从而确保制动系统的安全运行。
表3:系统理论过程分析控制器安全约束(制动相关示例)
完成不安全控制行为识别与安全约束制定后,需进一步分析导致这些不安全行为的因果因素,涵盖系统设计缺陷、传感器性能限制、环境干扰、人机交互失效等多个维度。例如“未在需要时发出制动指令”的因果因素可能包括:雷达传感器在暴雨天气下出现目标漏检、摄像头对逆光场景下的车道线识别失效、融合算法对异构传感器数据的决策延迟、驾驶员分心未及时接管等。
结合危害分析与风险评估(HARA)与系统理论过程分析(STPA)的结果,本研究对识别出的所有危害进行分类梳理:将由硬件失效、软件逻辑错误引发的危害归入ISO 26262功能安全范畴,依据风险等级分配对应的汽车安全完整性等级(ASIL);将由系统性能限制、感知不足、场景适配缺陷引发的危害归入ISO 21448预期功能安全(SOTIF)范畴,并映射至对应的功能安全目标,“继承”其ASIL等级,确保风险缓解的资源投入与风险严重程度相匹配。
同时,按照 UL 4600 的要求,所有危害、因果因素、安全约束及缓解策略均被纳入结构化危害日志,实现从危害识别到风险缓解的全链路可追溯,为后续安全档案的构建提供核心证据。
5.1.3 安全目标与要求推导
基于危害分析的成果,本阶段将高层级的安全目标细化为可落地的功能安全需求(FSR)和预期功能安全需求(SOTIF要求),并结合UL 4600的安全档案框架,明确各项要求的验证依据,确保与三项标准的合规性保持一致。
5.1.3.1 功能安全需求(ISO 26262)
功能安全需求聚焦于防范由故障引发的安全风险,基于HARA推导的安全目标和分配的ASIL等级制定,覆盖系统架构、硬件可靠性、软件逻辑、故障检测与处理等核心维度。针对自适应巡航控制结合车道居中系统,核心功能安全需求示例如下:
1. 故障检测与诊断:系统需具备实时自诊断能力,对传感器、执行器、电子控制单元(ECU)的通信故障、硬件失效进行持续监测,诊断覆盖率需满足对应ASIL等级的要求;故障检测后需在100ms内完成故障确认,并触发相应的故障处理策略。
2. 安全状态转换:当检测到严重故障(如制动执行器失效、转向ECU通信中断)时,系统需立即进入故障安全状态,包括平滑退出自适应巡航控制结合车道居中功能、切断自动控制输出、激活驾驶员视觉与听觉提醒,确保车辆控制权安全移交至驾驶员。
3. 冗余设计:对于ASIL D级的安全目标(如紧急制动控制),需采用硬件冗余架构,设置备用制动控制路径,确保主控制路径失效时,备用路径能接管并执行基础制动功能。
5.1.3.2 预期功能安全需求(ISO 21448)
预期功能安全需求针对系统无故障运行时的性能限制与功能缺陷,基于STPA识别的不安全控制行为、因果因素及安全约束制定,覆盖设计运行域(ODD)界定、性能边界、触发条件防范、人机交互优化等方面。核心预期功能安全需求示例如下:
1. 设计运行域限制:系统需具备ODD监测能力,实时识别自身是否处于设计运行域外(如车道标线模糊的乡村道路、重度暴雨天气、温度超出- 5℃至+ 50℃范围);若检测到超出ODD,需立即发出提醒并逐步退出自动控制功能。
2. 感知性能优化:针对逆光、大雾、侧风等典型干扰场景,系统需采用多传感器融合增强策略(如雷达与摄像头的深度融合、激光雷达补盲),降低目标漏检、误检的概率;对于车道线磨损、遮挡等场景,需具备基于道路拓扑的辅助识别能力。
3. 驾驶员接管辅助:系统需根据驾驶场景复杂度、驾驶员状态(如视线偏离、操作延迟),动态调整接管提醒的时机与方式;在高风险场景(如高速公路匝道、施工区域),需提前增加提醒频次,为驾驶员预留充足的接管反应时间。
5.1.3.3 安全档案要求(UL 4600)
结合ISO 26262的功能安全需求与ISO 21448的预期功能安全需求,按照UL 4600的以目标为导向的安全档案框架,明确安全主张、论证逻辑与证据要求。核心安全档案要求包括:
1. 安全主张明确化:提出 “自适应巡航控制结合车道居中系统在设计运行域内,其功能安全与预期功能安全风险均已降低至可接受水平” 的核心主张,并分解为传感器可靠性、控制逻辑安全性、人机交互有效性等子主张。
2. 论证逻辑结构化:采用“主张-论证-证据”(CAE)结构,为每个子主张构建清晰的论证逻辑,明确各项安全需求如何支撑风险缓解,以及对应的验证结果、测试数据、仿真报告等证据如何证明要求的满足。
3. 全生命周期证据留存:要求留存概念设计阶段的危害分析报告、STPA报告、安全目标文档,设计阶段的系统架构设计方案、冗余设计说明,验证阶段的台架测试报告、实车路试数据、仿真分析结果等,确保安全档案的论证具备充分、可追溯的证据支撑。
5.2 验证与确认阶段
验证与确认阶段的核心目标是证明系统已满足推导的功能安全需求、预期功能安全需求及安全档案要求,确保统一安全框架的落地有效性。本研究结合三项标准的验证要求,采用台架测试、仿真分析、实车路试相结合的多维度验证方法,覆盖故障场景、性能限制场景、边缘案例等全类型安全风险。
5.2.1 功能安全验证(ISO 26262)
功能安全验证聚焦于故障场景的测试,验证系统的故障检测、诊断与处理能力是否符合 ASIL 等级要求。主要验证活动包括:
1. 故障注入测试:在台架环境下,对传感器、ECU、通信总线等核心组件注入人为故障(如断路、短路、通信丢包),测试系统的故障检测覆盖率、响应时间及故障安全状态转换的有效性。例如,向制动执行器注入“信号中断”故障,验证系统是否能在规定时间内检测到故障、切断自动控制并提醒驾驶员。
2. 硬件可靠性测试:针对核心硬件组件,开展高低温循环、振动、电磁兼容(EMC)等环境适应性测试,验证硬件在恶劣环境下的运行可靠性,确保随机硬件失效的发生率满足ASIL等级的量化要求。
5.2.2 预期功能安全验证(ISO 21448)
预期功能安全验证聚焦于性能限制与边缘案例的测试,验证系统在设计运行域内及边界处的功能表现是否符合要求。主要验证活动包括:
1. 仿真场景测试:基于Prescan、Carsim等仿真平台,构建海量边缘案例场景库,涵盖逆光、暴雨、侧风、车道线磨损、施工区域、异形障碍物等典型场景,测试系统的感知、决策与控制能力。例如,构建“高速公路匝道+车道线模糊+前方慢车”的复合场景,验证系统是否能准确识别场景并触发减速、提醒等正确行为。
2. 实车路试验证:在真实道路环境中,选择不同气候、道路类型的测试路线,开展累计超10万公里的实车路试,覆盖设计运行域内的所有典型场景及部分边界场景,记录系统的运行数据,验证仿真测试结果的有效性,同时发现仿真中未覆盖的潜在性能缺陷。
5.2.3 安全档案确认(UL 4600)
安全档案确认聚焦于验证安全档案的完整性、论证的合理性及证据的充分性,确保系统的安全性能够得到监管机构与利益相关者的认可。主要确认活动包括:
1. 证据一致性审查:审查台架测试报告、仿真分析结果、实车路试数据等证据,验证其是否与安全需求、论证逻辑保持一致,是否存在证据缺失、矛盾的情况。
2. 安全论证有效性评估:邀请行业内的安全工程专家,对安全档案的 CAE结构、论证逻辑进行评审,评估其是否能充分支撑核心安全主张,是否符合UL 4600对安全论证的严谨性要求。
3. 可追溯性核查:通过合规跟踪系统,核查从危害识别到安全需求、验证活动、证据留存的全链路可追溯性,确保每个危害都有对应的缓解策略、每个安全需求都有对应的验证结果、每个验证结果都有对应的证据支撑。
5.3 案例研究结果与分析
通过对自适应巡航控制结合车道居中系统的案例应用,本研究提出的统一安全框架展现出显著的实践价值,主要成果与分析如下:
1. 风险覆盖的全面性:通过整合HARA与STPA两种危害识别方法,本研究共识别出23类危害,其中10类为ISO 26262覆盖的故障类危害,13类为 ISO 21448覆盖的性能类危害,相比单一标准的危害识别,覆盖范围提升约30%,有效弥补了传统安全框架对性能限制风险的遗漏。
2. 标准协同的有效性:通过将SOTIF危害映射至ISO 26262的安全目标并“继承”ASIL等级,解决了SOTIF无自身风险分级体系的问题,实现了两项标准在风险缓解资源投入上的协同;同时,以UL 4600的安全档案框架为核心,整合两项标准的验证成果,构建了结构化的安全论证,解决了多标准合规的碎片化问题。
3. 可追溯性的提升:通过建立集中式的合规跟踪系统和结构化危害日志,实现了从危害识别到风险缓解、验证确认、证据留存的全链路可追溯,满足了UL 4600对安全档案透明度的要求,也为后续系统升级、监管审查提供了便利。
4. 工程落地的可行性:针对L2级自动驾驶功能的应用场景,框架的实施未显著增加开发成本与周期,反而通过减少多标准并行开发的冗余工作,提升了开发效率。同时,案例研究中识别的性能缺陷(如逆光场景下的车道线识别问题),为系统设计优化提供了明确方向,进一步提升了产品的安全性能。
案例研究也发现了框架应用中的潜在挑战:在低自动化等级(如L2级)系统中,UL 4600的部分要求(如全生命周期持续监控)存在实施成本偏高的问题;针对人工智能(AI)驱动的感知模块,现有验证方法难以覆盖模型漂移、边缘案例泛化不足等新型风险。这些挑战为后续框架的优化指明了方向。
6.1 研究启示
本研究构建的整合ISO 26262、ISO 21448与UL 4600的统一安全框架,为自动驾驶汽车安全工程提供了重要的理论与实践启示:
首先,标准整合的核心是方法协同而非文档汇编。现有安全标准的碎片化问题,根源在于其方法学的侧重点不同,而非目标的冲突。通过整合HARA与STPA的危害分析方法、对齐风险分级体系、构建统一的验证流程,能够实现三项标准的优势互补,形成覆盖故障风险与性能风险的全面安全保障体系。
其次,早期设计阶段是标准整合的关键节点。在概念设计与详细设计阶段开展统一的危害分析、安全目标推导,能够避免后续开发阶段因多标准要求冲突而产生的返工,降低开发成本,同时确保安全需求从顶层到底层的全链路可追溯。
最后,安全档案是多标准合规的核心载体。UL 4600提出的以目标为导向的安全档案框架,为整合ISO 26262与ISO 21448的合规成果提供了结构化载体。通过构建“主张-论证-证据”的安全档案,能够向监管机构、制造商、消费者清晰传递系统的安全保障逻辑,增强公众对自动驾驶技术的信任。
6.2 主要挑战
尽管本研究的框架取得了初步成效,但在自动驾驶汽车安全工程的实际应用中,仍面临诸多挑战:
1. AI与机器学习系统的安全适配:现有三项标准均基于确定性系统的安全范式,而AI驱动的感知、决策模块具有概率性、动态性的特点,模型漂移、数据偏差、边缘案例泛化不足等新型风险,难以通过传统的故障分析或性能测试方法覆盖。如何将AI系统的安全需求纳入统一框架,是当前行业面临的核心难题。
2. UL 4600在低自动化等级中的适用性:UL 4600最初为高等级自动驾驶(L3级及以上)系统设计,其全生命周期持续监控、全面安全档案构建等要求,在L2级及以下的高级驾驶辅助系统中实施时,存在成本与收益不匹配的问题。如何对UL 4600的要求进行差异化适配,是框架大规模落地的关键。
3. 跨学科协同的壁垒:自动驾驶汽车安全涉及系统工程、电子工程、计算机科学、法学、伦理学等多个学科,而不同学科的工程文化、术语体系存在显著差异。例如,安全工程师关注故障缓解,AI工程师关注模型精度,监管机构关注合规性,如何打破跨学科协同的壁垒,确保统一框架的有效执行,仍需进一步探索。
4. 实时安全监控与更新的挑战:随着自动驾驶汽车的大规模部署,系统需应对实时变化的道路环境、法规要求与新兴风险。如何构建基于车路云一体化的实时安全监控体系,实现安全档案的动态更新与风险的快速响应,是保障自动驾驶汽车全生命周期安全的重要挑战。
6.3 未来展望
针对上述挑战,未来的研究可从以下方向进一步优化与拓展本研究的统一安全框架:
1. 融入AI安全专项要求:研究适用于AI系统的危害分析方法(如机器学习安全评估框架)、验证方法(如对抗性测试、数字孪生仿真),将AI模型的可靠性、透明度、可追溯性要求纳入统一框架,构建覆盖传统系统与AI系统的全类型安全保障体系。
2. 构建分级化的合规路径:基于自动驾驶系统的自动化等级,对UL 4600的要求进行分级适配,为L2级及以下系统制定简化版的安全档案框架,降低实施成本;为L3级及以上系统制定强化版要求,重点强化全生命周期持续监控、伦理决策合规性等内容。
3. 开发数字化合规工具链:结合大数据、区块链、数字孪生等技术,开发一体化的数字化合规工具链,实现危害分析、安全需求推导、验证数据管理、安全档案生成的自动化,打破跨学科协同的壁垒,提升框架的实施效率。
4. 建立行业协同与监管共识:联合汽车制造商、科技企业、科研机构与监管部门,开展统一框架的试点应用,形成行业最佳实践;推动监管机构对多标准整合合规路径的认可,构建与技术发展相适配的监管体系,为自动驾驶汽车的安全部署提供政策保障。
自动驾驶汽车的安全部署需要突破单一安全标准的局限性,构建覆盖功能安全、预期功能安全与系统级安全的统一安全框架。本文通过系统梳理ISO 26262、ISO 21448与UL 4600三项核心安全标准的共性与差异,提出了一种整合式的安全框架,核心创新点在于将系统理论过程分析(STPA)与危害分析和风险评估(HARA)整合为统一的危害分析工作流,实现了三项标准在概念设计与早期设计阶段的方法协同与要求对齐。
通过L2级自动驾驶功能——自适应巡航控制结合车道居中的案例研究,验证了该框架的有效性:框架不仅实现了对故障风险与性能风险的全面覆盖,还通过风险等级映射解决了预期功能安全的分级难题,通过安全档案构建实现了多标准合规成果的整合,显著提升了安全工程的可追溯性与效率。同时,案例研究也揭示了框架在AI系统适配、低自动化等级应用等方面的挑战。
本研究的成果为自动驾驶汽车安全工程提供了结构化的方法参考,既弥补了现有研究中多标准整合不充分的短板,也为工业界的实际应用提供了可落地的流程指导。未来,通过融入AI安全专项要求、构建分级化合规路径、开发数字化工具链,该框架将进一步适配自动驾驶技术的发展,为构建可扩展、透明且统一的自动驾驶汽车安全实践奠定基础,助力自动驾驶技术的安全、合规部署。
免责声明:文中观点仅供分享交流,文章版权及解释权归原作者及发布单位所有,如涉及版权等问题,请您联系TechApe@yeah.net告知,我们会在第一时间做出处理。
10个月宝宝每天需要喝多少奶粉?
