1.2.2 预期功能安全研究面临的挑战

智能驾驶过程中，机器代替了驾驶人，自动驾驶算法可能具有鲁棒性、泛化性、可解释性、逻辑完备性、规则覆盖度等方面的功能不足。具体而言，在含触发条件（包括合理可预见误操作）的场景下由于上述功能不足将导致危险行为发生，如果场景中存在可能产生伤害的因素将进一步演化为预期功能安全事故，并在可控性不足的情况下导致伤害形成。机器需要预防系统的预期功能或性能限制引起的潜在危险行为。智能网联汽车预期功能研究面临5个方面挑战：

1.预期功能安全场景库研究面临的挑战

场景对预期功能安全来说至关重要，缩小已知和未知的不安全场景是预期功能安全研究的终极目标。预期功能安全的必要条件包括触发条件与功能不足，因而与触发条件密切相关的预期功能安全场景是系统开发、测试评价等工作的前提和基础，如何系统地梳理预期功能安全触发条件，以结构化、规范化的形式构建、描述预期功能安全场景，并且在中国特殊场景下如何提取其特殊的触发条件是当前国内预期功能安全场景库研究面临的挑战之一；在形成场景库的基础上，考虑到实践应用中的海量交通场景，基于预期功能安全场景的复杂度、重复度、危险度等指标的快速计算和评估，筛选或生成预期功能安全典型的交通场景，为高效地实现对自动驾驶系统预期功能安全的测试评价，需要能够基于预期功能安全典型场景，自动化地生成预期功能安全测试用例。如何从中高效地筛选提取出预期功能安全典型的场景是另一个挑战。

2.算法级预期功能安全研究面临的挑战

根据智能网联汽车的算法组成，可以从感知算法、决策算法、控制算法三个维度来说明算法级预期功能安全研究面临的挑战。

1）感知算法的功能不足可以分为传感器感知与算法认知两个方面。

①传感器感知性能局限主要来自两个方面：

a.在雨、雪、雾、强光等不利环境条件下，能见度范围降低和目标物被遮挡等因素造成感知能力变弱。

b.传感器自身原理限制了对某些特定目标物的检测，如激光雷达扫描到镜面、毫米波雷达探测到特定材质时会出现漏检或误检。

②算法认知性能局限主要来自深度学习算法的不确定性，其学习过程基于大量标注数据，内部运行过程往往被当作“黑盒”，可解释性、可追溯性较弱，实际应用过程中遇到训练数据分布以外的情况时表现往往很差，从而引发安全风险。

2）决策算法主要分为基于规则和基于学习两种。

①基于规则的方法通常因考虑不够全面而无法覆盖真实驾驶环境中的所有潜在危害场景，包括状态切割划分条件不灵活、行为规则库触发条件易重叠、场景深度遍历不足等问题。

②基于学习的方法依赖大数据训练，其功能不足包括训练过程不合理导致的算法过拟合或欠拟合，以及样本数量不足、数据质量交叉、网络架构不合理等问题。

3）控制算法的功能不足主要来源于车辆动力学层面，例如在大曲率弯道、高侧向风速及低路面摩擦系数等非线性极限工况下，现有的线性车辆动力学模型能力边界有限，不足以表征车辆的动态特性，会产生较大的偏差。

3.部件级预期功能安全研究面临的挑战

智能汽车安全运行依赖于不同部件，可以分为感知、决策、定位、人机交互、控制等部件。其中，天气、机械、电磁、眩光、声音、遮挡和其他外界环境来源等产生干扰造成的传感器性能下降，以及传感器自身精度、范围、分辨率、采样频率等性能局限；控制受到动力学建模局限性、控制器实时性、执行器的执行精度、最大转向或制动能力边界、采样频率等的限制。

4.整车级预期功能安全研究面临的挑战

智能汽车集成了多模块的复杂交互，单纯的算法和功能级改进不足以充分保障预期功能安全：

1）现有算法和功能级的SOTIF问题难以彻底消除，需要通过优化整车级设计以最小化总体风险。

2）即使算法和功能级任务能正常运行，整车系统设计规范不足仍可能导致车辆危险行为。

总之，SOTIF危险源于智能汽车整体的消极表现，因此需要寻求系统解决方案。

5.测试评价预期功能安全研究面临的挑战

近年来，国内外广泛开展了智能网联汽车测试评价实践，并逐渐提高对预期功能安全问题的重视程度，如何对预期功能安全的已知与未知不安全场景进行测试，是测试评价研究的重中之重。对于高级自动驾驶，由于系统复杂度高、运行范围广、未知场景多、缺少统一成熟的系统架构标准以及人工智能等新技术广泛应用等多方面原因，在该领域的SOTIF测试评价实践更多停留在相对抽象的方法论层面。测试评价相关预期功能安全研究面临的挑战主要包括以下三个方面：

1）预期功能安全测评场景的难确定。根据被测对象不同，如何选择针对整车级/部件级/算法级的高覆盖度、典型性测试场景，加速暴露预期功能安全问题，是测试评价研究的首要难题。

2）人工智能算法的难测评。由于人工智能算法基于概率统计的本质，在模型训练与测试过程中所涉及的训练样本难以覆盖自动驾驶所有场景，导致算法在面对未曾训练过的关键场景时会出现感知算法失误、对周围环境预测不正确、做出错误决策等情况，从而危害行车安全，这是预期功能安全问题产生的根源之一。如何通过测试方法加速暴露人工智能算法的性能不足以及制定其评价指标，是预期功能安全测试评价面临的典型难题。

3）精准高效的工具链尚缺失。当前对于智能网联汽车测试评价的工具链主要包括虚拟仿真、硬件在环等方面工具链，而对于测试感知系统所需的高保真工具链尚未突破，对传感器的物理传感器建模尚未达到理想效果，这直接导致预期功能安全测试效率低、真实性不足等问题。