導語：

SASETECH，Safety and Security Technology，是國內首個由汽車功能安全、信息安全專家發起組建的技術社區，致力于為汽車安全的從業者提供交流、學習、合作的中立性平臺。安全是汽車的基石，安全從業者是人們生命及財產的守護者。我們希望SASETECH 打破高大上的壁壘，讓更多工程師參與討論、共同成長;讓安全成為一個話題，是一個讓大家討論和思考的技術方向;讓安全成為一種文化，是一個讓企業和監管機構愈發重視的領域;建立安全的生態，讓企業/從業者都能夠有所收獲、有所思考。

SOTIF中的定量分析(一)

前言

在上一篇中，我們以誤制動為例做了SOTIF的定量分析，根據誤制動的風險場景以及AEB算法，計算得到了對感知系統相對距離和相對速度的精度指標要求的函數，并取了一組數據：距離精度要求29.2%，速度精度要求20%。

但是這個精度指標是不完整的，因為感知一定會有誤差，誰都不能保證傳感器能百分之百達到這個要求。所以在定義精度時，會有一個與之相對應的概率值，通常假設誤差滿足正態分布，概率值一般取 2 sigma或3 sigma。其含義是感知輸出誤差分布在精度指標范圍內的概率為95.4%(2 sigma)或99.7%(3 sigma)。

本篇文章將繼續以AEB誤制動為例，探討這個概率的取值方法。

總體思路

首先，AEB有一個指標叫誤報率，即在單位時間內誤制動發生的概率，單位是h^-1。在ISO21448附錄B中有關于AEB誤報率指標計算的示例，其總體思想是要保證AEB系統誤制動導致追尾的概率要小于人開車發生追尾的概率，即機器至少要比人開的好，這不是這篇文章討論的重點，只要明白誤報率的指標是可以知道的。

那么在多大的概率內滿足精度指標才能滿足整車AEB誤報率的要求呢?有兩個思路。

思路一是將誤報率指標分解到各個參數(自上而下)。思路二是先給定一個概率(比如2 sigma),計算這個概率會導致的誤報率(自下而上)，看是否滿足誤報率目標。這里我們用第二種思路。

如果一個參數可以保證2 sigma滿足精度指標，就意味著每一幀信號都會有95.4%的概率在精度閾值內，4.6%的概率超過閾值。我們可把超過閾值的信號認為是“失效”，那么4.6%就理解為信號的失效率。但是直覺告訴我們，一幀信號的“失效”不一定會導致危害發生。我們需要知道信號怎樣的“失效”會導致整車層級的危害，才能探究信號的失效率和AEB誤報率的關系。

注：

筆者這里參考了ISO26262硬件部分的概念。失效率：指單位時間內元器件失效的概率。PMHF(Probabilistic Metric for random Hardware Failure)：單位時間內發生單點故障或多點故障中多點都發生故障的概率。一個元器件失效不一定會導致危害，只有發生單點故障，或者多點故障中的“多點”都發生故障，才會導致危害。PMHF就是用來度量導致危害的硬件失效概率密度的指標。信號“失效率”與AEB誤報率的關系，就可以類比成硬件元器件的失效率和PMHF的關系。

問題一

問：哪幾種信號失效的組合會導致危害。

這涉及到在該場景下，誤制動發生與幾種信號相關。我們稱與誤制動風險相關的信號為安全相關信號。若誤制動和一個以上參數相關，在一個信號周期內，多個安全相關信號同時失效的概率(P)為這幾個信號的失效概率相乘。

(1)

n為安全相關信號的個數;

為每個安全相關信號單幀的失效率。

問題二

問：上述失效信號的組合發幾幀會導致危害。

此時需要定義危害，ISO21448附錄B中對非預期制動的定義是非預期制動持續時間超過340ms。我認為這里的340ms是和制動系統的性能相關的，制動系統建壓需要一定時間，而340ms就是制動建壓達到某個減速度閾值的時間，這個減速度閾值就是危害發生的邊界，或者S>0的邊界。340ms是個參考值，制動系統建壓速率越快，這個時間越小。

然后往前推導，制動系統建壓340ms，需要AEB連續發送制動請求信號340ms。那么感知系統連續發幾幀失效信號，才會導致AEB系統持續發340ms制動信號?

這里就需要知道AEB算法里的判斷邏輯，比如判定制動的debounce次數，判定停止制動的debounce次數，接收感知信號的周期，算法運行周期等。結果為感知系統連續發N幀失效信號，會導致AEB發送超過340ms的制動請求信號，進而導致危害發生。

問題三

通過前兩個問題，已經知道發生危害的條件是所有安全相關信號同時發生“失效”連續若干幀。那么第三個問題是：

車輛運行多長時間才會發生一次“連續N個信號周期發生n個安全相關信號都失效”的事件?

這個問題可以簡化成一道概率題：已知某事件X發生的概率為P，那么使事件X連續發生N次所需嘗試次數是多少?通過解答問題一和問題二，P和N都是已知的。

假設E(n)為事件X連續發生N次所需嘗試次數的期望，那么E(N)和E(N-1)有如下關系：

E(N)=E(N-1)+1+P*0+(1-P)*E(N);

經過轉換可得到公式：

(2)

將P和N代入，即可求解嘗試次數的期望。次數乘以信號周期就可以簡單轉換成時間、時間取倒數就是誤報率。

可得誤報率公式：

(3)

R為誤報率，單位h^-1;t為信號周期，單位ms。

注：公式(2)解釋和推導：連續發生N次的前提是先連續發生N-1次，然后再發生一次。但是發生N-1次之后的這次嘗試有兩種可能，一是事件X發生了，則不需再次嘗試(對應公式中P*0)，二是事件X未發生，則需要從頭開始再嘗試E(N)次(對應公式中(1-P)*E(N))。

可整理得到：E(N)=(E(N-1)+1)/P;

已知E(1)=1/P;E(2)=(1+P)/P^2;

E(N)=(1+P+P^2+…+P^N-1)/P^N

分子為等比數列求和，可化簡得：

E(N)=(1-P^N)/(P^N-P^N+1)

計算結果

以車輛在直道中的發生誤制動這個場景為例。已知風險場景與相對距離和相對速度兩個參數相關，相對距離和相對速度精度指標的概率都取2 sigma。那么，P=4.6%*4.6%=0.21%。

假設導致危害需要的連續幀數N=5，信號發送周期t=10ms。

得：E=2.45*10^13;R=(1.47*10^-8)h^-1。

即每發送2.45*10^13幀信號，會出現一次連續5幀距離速度兩個信號都失效的事件。轉換成時間就是6.82*10^7小時發生一次;誤報率1.47*10^-8。拿這個值與誤報率指標比較大小，若不能滿足則提高精度要求(精度值或概率值)。

下面給出幾組計算結果供參考。

表1：一個安全相關信號(2 sigma)

表2：兩個安全相關信號(2 sigma)

由上表可見，與危害相關的信號越多，誤報率越低。導致危害所需的信號連續失效次數越多，誤報率越低。而且都是呈指數降低。這也對AEB的算法優化提供了參考。

總結

本文以誤制動為例，探討了精度指標中概率分布的取值計算方法。首先確定了總體思路是分析信號的失效率如何滿足整車級誤報率指標;然后將問題抽象成一個概率問題并推出誤報率的計算公式;最后列出了幾組計算結果。不足之處請指正。

作者簡介

田野

曾任功能安全工程師，參與高低速智駕系統功能安全開發，底盤零件功能安全開發，以及預期功能安全預研項目，熟悉功能安全和預期功能安全分析方法，現從事嵌入式軟件開發工作。

原文標題：SOTIF的定量分析(二)

文章出處：【微信公眾號：SAE International】歡迎添加關注!文章轉載請注明出處。

審核編輯：湯梓紅