当智能网联汽车开始慢慢驶入寻常百姓家，成为越来越多消费者触手可及的生活伴侣以及帮手时，安全问题日益凸显，解决汽车主动安全隐患也因此成为了车企和整个行业都需要加大力度重视和关注的课题。9月28日，由中汽数据有限公司(以下简称“中汽数据”)和TÜV南德意志集团共同主办的智能网联汽车关键技术国际研讨系列会议(线上)第二期——预期功能安全技术线上讨论会成功举行，TÜV南德意志集团自动驾驶团队功能安全首席工程师Simon Rößner博士、国际Tier 1企业安全总监Richard Zeng以及中汽数据(天津)有限公司预期功能安全项目经理赵启东，就预期功能安全这一技术的发展现状、面临挑战以及量产应用等进行了深入地分析与探讨。

因场景导致的安全风险

对于非技术领域的汽车行业人士来说，预期功能安全恐怕是一个相对有些陌生的词汇。据了解，这一概念最早由欧洲专家于2018年提出，目的是解决因场景导致的安全风险。早在智能汽车诞生之前，大家更加熟悉的是“功能安全”，但正如Simon Rößner在演讲中所说的那样，由于智能网联汽车技术的发展，汽车需要通过对周边环境进行感知，来执行相应的系统决策，这使得安全问题不再只局限于车内。同一辆车如果在不同的国家、时间、地点行驶，环境不同，智能网联汽车就会面临不同的问题，这也就是所谓的预期功能安全。值得强调的是，预期功能安全所覆盖的问题不包括由于故障产生的，即整车、系统、软硬件层面不存在通信、电源等故障，各系统运转正常。

由于欧美国家在这一领域的布局较早，因此在技术开发和标准研究方面也均处于领先地位，例如目前最有影响力的预期功能安全标准是由国际标准组织编写的ISO21448。这一标准于2018年由原负责功能安全标准ISO26262的工作组提出并立项，并在2019年发布PAS版。“安全的必要条件之一是提供具有确保完整性的功能，然而，对于自动驾驶任务的功能，感知和态势感知成为重点。一方面，此类能力(如感知和态势感知)很难详细说明;另一方面，规范需要在很大程度上解决性能问题。”Simon Rößner提出，基于此，ISO/DIS 21448较好解决了规范差距和性能限制的问题。不过，尽管这一版本标准较为清晰地提出了“未知危害场景-已知危害场景-已知安全场景”的风险解决逻辑和预期功能安全总体分析验证流程，但其内容仍不足以支撑企业开展预期功能安全相关工作。作为预期功能安全领域的技术基础，ISO21448标准将于2022年3月正式发布，这将带动预期功能安全领域的发展将进入新的阶段。

自动泊车的预期功能安全设计

作为当前业内工人的最佳三大L4商业落地场景之一，自动泊车的预期功能安全设计成为了不少业内人士重点关注的话题。有鉴于此，在本次研讨会上，Richard Zeng着重就自动泊车预期功能安全的相关内容进行了分析和探讨。

在Richard Zeng看来，之所以自动泊车会成为高级别自动驾驶技术商业落地场景的热点之一，主要原因在于这一技术成熟落地后，将有力推动共享汽车领域的快速发展，商业前景较为广阔，且与此同时，较慢的车速也让自动泊车技术的实现难度大大降低。

“众所周知，场景库是不可穷举的，为便于进行相关功能的设计，业内按照目前国际上相关的标准，将自动泊车面临的场景库分为四类，包括已知危险、已知安全、未知危险和未知安全。”Richard Zeng表示，其中，已知危险和未知危险是需要重点关注的领域，而在进行自动泊车预期功能安全设计的过程中，主要的策略是通过尽量扩大已知区域，那么相对的，未知区域的风险就会变得更加可控。

如何实现这一目标呢?Richard Zeng给出的答案是：需要大量的前期分析工作和后期的测试验证工作，为了使用减少AI算法而产生误判和漏判的频率，可以采用优化算法和提高算力等方法。

值得一提的是，Richard Zeng还强调了信息安全的重要性，一旦有黑客或恐怖组织入侵系统，通过更改GPS定位系统、通过云命令给汽车的线控系统发送转向和执行制动请求等，操纵了大量共享汽车，将会造成非常严重的恐怖事件，所以当信息安全、自动驾驶系统游戏和系统APP进行结合的时候，安全问题尤其重要。

国内车企如何开展实践

虽然我国企业在预期功能安全技术方面起步较晚，不少企业对概念的理解也尚不充分，但近期相关标准和管理政策的出台，已经引起各方对这一领域的广泛关注。为此，赵启东着重介绍了今年4月，工信部发布的《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)(以下简称《征求意见稿》)。需要补充的是，其实在8月，工信部又正式发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》，但其中涉及的功能安全预期的部分较少，因此赵启东主要分享的仍然是《征求意见稿》的相关内容。

根据《征求意见稿》，文件对于智能网联汽车预期功能安全的要求主要分为两个对象，企业和产品。前者主要包括“功能安全及预期功能安全保障”“网络安全保障”“软件升级管理”三方面安全保障能力要求，以及建立专职的功能安全、预测功能安全和网络安全保障团队，负责产品全生命周期的安全保障工作等，后者则针对“整车尤其是驾驶自动化系统的功能安全过程”“驾驶自动化系统预期功能安全过程”“网络安全过程”提出了14小项要求，涉及风险评估、概念设计、产品开发、测试等各个阶段。

基于此，赵启东就车企开展预期功能安全实践工作提出了几点建议：首先，应从企业管理层面对预期功能安全进行整体把控，可与供应商共同完成预期功能安全的相关活动;其次，在明确预期功能安全总体流程的基础上，确认分析边界，对所有项目中涉及的系统和组件进行定义;第三，基于系统展开正向分析，展开危险分析与风险评估，识别不可接受的危害事件;第四，基于危害事件结果，分析相应触发条件;第五，应用安全方法识别触发条件，并在前述几项工作基础上进行系统的优化;第六，基于法规要求，提升产品的预期功能安全性能，可采取围绕场景进行逆向分析、基于自然采集数据和事故数据等将功能场景量化为逻辑场景、开展感知与决策系统仿真环境验证、基于真实环境和真实系统的整车级验证等方法。

为深入洞悉国际技术发展态势，促进智能网联汽车行业深度合作，由中汽数据主办的智能网联汽车关键技术国际研讨系列会议(线上)于2021年9月9日正式启动，计划共开展9期专题研讨会，本期技术研讨会为第二期，接下来即将举办的第三期讨论主题为自动驾驶汽车仿真体系工具链，敬请期待。(记者：施芸芸 )

关键词： 自动泊车 功能安全设计 实践 国内车企