主动驾驭功用安全和SOTIF混合剖析结构（下）：HCL模型示例及评论

  《主动驾驭功用安全和SOTIF混合剖析结构》专题连载共分为“上、中、下”三个部分。此文为该连载系列的“下”部分，详细从主动驾驭轿车场景的HCL模型运用、示例评论、未来作业、定论等方面内容进行论说。

  为了阐明此专题连载系列的“上、中”两部分提及的概念结构的运用，咱们为主动驾驭轿车开发了一个典型的运转场景，最常见的两车事端场景之一是一辆车停在主动驾驭轿车前方的车道上。在本文中，咱们为主动驾驭轿车前方的触发事情“车辆停在车道上”开发了HCL概念模型。

  在概念层面，有一个明晰界说的、主动驾驭轿车有必要在触发事情“车辆停在车道上”之后完结的序列事情，然后防止事端。主动驾驭轿车有必要知道它地点的车道，检测其车道上中止的车辆，决议怎么呼应，并安全正确地履行呼应（例如，转向）。该序列在下面图1中的简略行为ESD中进行了标明。请注意，咱们在图中运用术语ego来区别主动驾驭轿车，并将其与场景中的其他主动驾驭和非主动驾驭轿车参与者区别。

  结合一些根本的ODD信息（例如，速度限制、交通密度）时，这个简略的ESD足以辨认几个HARA场景并估量露出度、可控性和严峻度。在ISO26262术语中，导致损害终究状况的每条仅有途径，都是要记录在HARA中的危险场景。然后，能够为每个危险场景确认顶层安全方针和ASIL等级（并或许在未来的场景中重复运用）。

  该进程的下一步是将每条途径开发成功用ESD，如下图2所示。关于此示例，咱们挑选仅从上面图1中杰出显现的要害事情2开端开发感知途径。行为ESD中的PE-2和功用ESD之间的衔接能够被以为是一个传输门，其间PE-2的弥补细节在功用ESD中进行开发。

  为什么要把行为ESD和功用ESD分隔呢？答案在产品开发阶段。首要构建行为ESD能够仅依据行为要求尽早履行HARA，乃至无需概念开发。功用ESD是则能够用来探究概念架构选项。

  相同，咱们运用功用ESD而不是FTA来提出概念架构，因为它答应运用更简略的ESD格局，然后更快地提出架构主张。

  在这个比方中，咱们提出了功用ESD的概念规划，感知功用分为首要（2-A）和备用（2-B）功用。这明显是一个不受行为要求驱动的规划方案，这些要害事情将在FTA层进一步拓宽。

  为了示例的明晰性，咱们将图2中的ESD限制为仅两个要害事情，但能够依据需求通过其他事情进行扩展，以取得更详尽的模型。例如，假如这是或许的体系行为，咱们能够界说“部分成功”运转的要害事情。这种灵敏性答应ESD对具有多种终究状况或许性的杂乱场景进行建模。请注意，ESD中的要害事情之间没有独立性的假定。

  在之前的概念阶段中，尚不存在感知体系规划。工程师在要害事情2-A和2-B中概念性地提出了冗余感知架构。为了将这个比方延续到体系阶段，让咱们假定感知体系规划者现已进一步开发了这个提议的规划，如下所述。

  所提出的规划，将首要(2-A)和备用(2-B)感知功用，放置在运用各种ML算法的冗余核算硬件上。其间，主体系运用激光雷达和摄像头，而备用体系运用毫米波雷达和不同的摄像头。冗余方针检测成果被发送到主动驾驭轿车体系的其余部分，然后进行进一步处理（未显现）。该规划的框图如下图3所示。

  此外，咱们假定现已对架构中每个组件的失效概率（在危险毛病办法下）进行了估量，如下表1所示。请注意，这些概率值仅用于阐明。

  出于本示例的意图，咱们将要点重视传感器之间的共因要素。为了简化，咱们疏忽了核算和 ML软件组件之间的常见共因联系，因为它们是示例的辅佐。

  咱们为要害事情2-A和2-B开发了一个简略的体系级FTA，如下图4所示。关于这个简略的示例，咱们跳过了定性FTA进程，直接进入定量FTA。如上所述，该FTA疏忽了比方其他失效办法、使命时刻和常见原因（除了下面说到的）等要素。

  如图4所示，FTA办法缺乏以对高保真度的主动驾驭轿车进行建模。图4中的注释杰出显现了FTA未能充沛模仿体系的当地。特别是关于传感器，单个传感器的毛病不会直接导致感知失利，因而它不是一个正确的或门。可是，一个传感器的毛病会明显增加感知失利的或许性，因而它也不是一个正确的与门。BN层中的“noisy”门能够更精确地处理这种类型的杂乱交互。

  此外，“失利”或“未失利”的FTA状况或许无法充沛描绘单个传感器的行为。虽然这些状况或许足以满意ISO26262的规模，但它们并未包含广泛的SOTIF要素。例如，单个传感器的功用也或许遭到驾驭条件的非确认性影响，然后导致中间状况的不确认规模，例如“轻度退化”或“严峻退化”。别的，SOTIF域中的软因果要素超出了传感器功用，或许包含气候、照明、驾驭员行为、速度等。

  对ML算法的软因果影响，也最好通过BN层中的条件概率来处理。没有简略的FTA共因模型（例如，Beta模型）能够充沛模仿传感器和环境条件之间的杂乱彼此作用。ML算法多种多样，但它们或许直接遭到一起传感器环境因果要素的影响。关于这个简略的比方，咱们专心于传感器的因果要素，但另一个要素，是否“成功”检测所需的间隔（或磕碰时刻），会因为最小制动间隔而改变，这又或许会遭到ODD条件的影响，比方下雨。

  本示例的终究一步是详细的FTA和BN层的开发，以处理上面提出的问题。在此进程中，修改了图4中存在缺点的FTA，并增加了BN层以处理图4中发现的限制。

  组合的FTA和BN层如下图5所示。一切BN节点的条件概率表(CPT)如图6所示。

  图5阐明晰BN怎么完成功用安全和SOTIF问题的无缝集成。在BN层中，传感器“毛病”的概念现已扩展为更一般的传感器“功用”概念。换句话说，传感器的电子毛病和失效（即功用安全）仅仅传感器功用欠安的潜在原因之一。其他原因还包含SOTIF触发要素，例如下雨或光线缺乏。在此示例中，咱们没有包含传感器功用下降的状况，但能够轻松增加它们。

  与FTA相同，请注意此示例中的一切定量值仅用于阐明意图。需求阐明的是，本示例中未开发用于对主动驾驭轿车体系的FTA和BN层进行严厉量化的办法。而CPT中的示例概率旨在阐明模型的格局和灵敏性。条件概率在逻辑上是共同的（例如，大雨比小雨更糟），但它们不是从实在国际的数据中得出的。

  一旦模型结构的一切三层都已开发，并且节点已被量化，则能够运用文中现已描绘的算法对整个HCL模型进行量化。因为体系安全方针是依据ESD层界说的，模型的量化还能够供给与ISO26262、ISO21448共同的ASIL硬件方针以及SOTIF功用方针的量化。

  BN模型能够更精确地描绘感知所触及的多种类型传感器之间的联系，这些依靠联系在BN模型的结构和条件概率表(CPT)中都得到了表现。关于传感器模型，与门已从FTA中删去，并替换为BN事情传感器功用。通过此更改，咱们扩展了FTA的严厉与门逻辑，然后在BN中包含额定的不确认性和灵敏性。在更新的模型中，假如两个传感器都产生毛病，则传感器组必定有毛病。可是，假如只要一个传感器产生毛病，咱们依然答应通过共因呈现或许的毛病。在两个传感器都没有毛病的情况下，咱们答应一些“走漏”来解说未知数。此表阐明晰BN Noisy门供给的灵敏性。传感器功用的CPT如上图6(a)所示。

  此外，证明晰软因果要素的结合，它们各自对激光雷达和相机功用的概率影响，已在BN中进行了量化。请注意，Rain节点具有三种或许的状况，阐明晰BN对非二元变量的才能。相机功用受雨水和光照的影响，因而它具有最杂乱的CPT，如图6(b)所示。CPT包含了雨水和照明的一切组合的条件概率，在一张紧凑的表格中包含了六种不同的场景变体。

  BN层的另一个不直观的优点是BN固有的才能，能够将调查到的依据（或假定的依据）运用于每个BN节点，并更新整个网络的条件概率。例如，咱们或许会问这样一个问题：“假如咱们在夜间小雨中行进，而雷达传感器现已呈现毛病，感知失利的概率是多少？”该问题的相关概率总结如下表2所示。

  贝叶斯定理答应网络依据AB的条件概率核算BA的条件概率，反之亦然。这意味着剖析师能够进行从A到B的向前推理（因果推理），也能够从B到A向后推理（依据推理）。

  因而，除了如上所示运用因果推理更新顶层体系概率外，BN还能够用于具有依据推理的猜测办法。在这种办法下，依据被放置在更高等级的节点上，并且条件概率会主动传达到更低等级的节点。通过这种办法，BN可用于辨认调查到的高等级毛病的最或许的诱发要素。这些办法也能够组合运用（因果推理），然后在杂乱体系中一起存在调查到的原因和调查到的影响的情况下进行推理。

  下面图7阐明晰在BN层中运用双向（即因果联系）推理。在此示例中，咱们现已取得了Sensor2集产生毛病的依据，因而在Sensor Performance2节点大将毛病状况的概率设置为100%。该依据会主动传达到整个BN，如虚线箭头所示。开端，信息向后传达（即依据推理），但一旦抵达Rain和Lighting节点，它就开端向前传达（即因果推理）。或许与直觉相反，对传感器2毛病的调查，实践上增加了传感器1产生毛病的或许性，因为它们把雨水和照明作为共因要素。

  上述示例简略阐明晰将主张的HCL结构运用于主动驾驭轿车感知部分的单个场景，该示例展现了专题连载“上”部分的“新结构的根本要求表”中所确认的许多根本原则。并且，HCL办法具有满意根本要求的潜力，已在专题连载“上”部分“主动驾驭功用安全和SOTIF混合剖析结构（上）：现有体系的限制和处理方案”中进行了详细阐明。

  该事例研讨供给了一个简略的示例，阐明怎么将功用安全和SOTIF问题集成到一个单一的归纳概率模型中。依据场景的模型满意灵敏和全面，能够考虑主动驾驭轿车安全剖析中的各种杂乱性和“软”要素，这些要素通常会从ISO26262剖析中扫除。

  可见，HCL结构代表了一种潜在的办法，用于定量剖析ISO21448包含的功用依靠联系和触发事情。该规范仍在开展中，没有提出详细的办法。虽然咱们的示例仅限于通用感知体系，但未来咱们能够想象该结构用于表征与规范共同的特定功用和行为（例如，在夜间检测被遮挡的行人）。

  可保护和高保线中集成的FTA和BN层，阐明晰BN怎么扩展FTA以描绘主动驾驭轿车运用程序典型的杂乱彼此依靠性和不确认性。无需关于独立性的不切实践的假定，BN层答应对相关失效进行杂乱的标明。如表2所示，该模型能够答杂乱乱的问题，例如“在雨中夜间雷达呈现毛病的情况下，体系毛病的概率是多少？”答应在危险知情的情况下做出决议计划。

  HCL模型的首要优势之一是能够明晰供认和表征新技能功用的不确认性。该示例运用HCL模型来描绘在不确认的运转环境中，具有杂乱感知传感器和机器学习算法的体系。在充沛了解功用的情况下，能够明晰界说CPT。并且，在工程师不太自傲的情况下，BN的“Noisy”门答应将不完善的常识归入剖析。跟着新技能得到更好的了解，贝叶斯更新进程为更新HCL模型中的常识更新，供给了一条天然的途径。

  图1和图2中的ESD展现了怎么明晰界说运转场景序列，以及怎么对开发进程分阶段以满意开发流程的需求。实践上，行为ESD乃至能够在界说产品架构之前就开宣布来。

  虽然咱们以为不太或许，但某些主动驾驭轿车场景或许非常杂乱，以至于运用ESD和FTA办法精确标明它们是不可行的，即便运用额定的BN层也是如此。在这些稀有的情况下，HCL结构能够作为这些场景彻底依据BN建模的“垫脚石”。而纯BN模型以增加杂乱性为价值供给最大的灵敏性和保真度。请注意，场景的纯BN模型，仍或许是整个HCL模型的一部分。

  本专题连载旨在在概念层面开发和证明主动驾驭轿车的HCL办法，因而结构界说和示例都没有开宣布严厉的模型量化办法。可是，量化和不确认性的结合是完好办法的重要方面，因而咱们在下面回应一些潜在的问题。

  可证明模型的一个要害方面是可了解的模型。图5很好地阐明晰HCL模型的可解说性，其间互连的FTA和BN图直观地传达了体系中的相关因果要素。这两层都明晰地与图1和图2中ESD中描绘的运转场景中的事情相关联。模型的图形结构有助于让非专业人士清楚地了解模型中包含的一切要素。

  模型数据的合理性超出了本概念文件的规模。可是，运用阐明性数据，咱们展现了怎么通过兼并更灵敏的BN层来纠正图4 FTA中存在缺点和不完好的逻辑。BN中的“noisy”门和软因果要素在CPT中被彻底量化，以便为规划决议计划和/或危险承受决议计划供给更精确的概率。终究，咱们以为，彻底量化CPT的要求本质上推动了根底数据的挑选和证明的严厉性。

  因为咱们没有在示例中展现量化技能，因而咱们没有在示例中明晰展现模型的可保护性方面。可是，咱们能够定性地调查到，咱们在示例中的简略BN层，将来能够依据ODD扩展或现场经历轻松扩展。例如，现有模型能够增加额定的因果要素（例如，雪或雾），或许能够增加全新的因果网络（例如，安排要素）。网络中分配的概率也能够运用众所周知的贝叶斯更新办法依据运转数据进行更新。

  该示例通过此专题连载的“中”部分“主动驾驭功用安全和SOTIF混合剖析结构（中）：HCL开发阶段和办法 ”的示例图里显现了与ISO26262兼容的进程，也阐明晰该办法的实践运用。HCL办法中对功用安全和SOTIF的处理办法供给了ISO26262和ISO21448之间的一致办法。明显，咱们的示例中没有明晰包含ISO26262共同性的许多细节（例如，ASIL方针、安全要求等），但这些部分与文中包含的安全剖析进程切合。

  咱们开端探究了在概念层面上开发主动驾驭轿车安全的全体结构。因而，要开发完好的详细结构，还有几个范畴的作业要做。

  其一，结构的概念阶段需求进一步开展，从开发一套全面的依据情形的ESD的办法开端。其二，需求对构建ESD的进程进行额定界说，包含处理因开发很多场景而不可防止地重复的办法。其三，关于FTA和BN层，咱们需求树立一个流程来辨认FTA模型的缺乏之处，以及BN层对主动驾驭轿车最有价值的当地。其四、需求一种严厉的办法来量化具有不确认性的BN层。

  其五，需求开发更详细的实践示例来演示和验证HCL办法。在ESD层，能够演示更杂乱、更详细的场景；在较低层，本专题连载中的简略感知示例能够用详细的细节进行扩展；主动驾驭轿车的其他功用，包含定位、猜测和运动规划，也是HCL建模的绝佳实践；ODD因果要素的归纳模型及其与主动驾驭轿车全栈的交互将是终究方针。

  咱们拟定了新的主动驾驭轿车危险评价和安全剖析结构的根本要求，并提出了一个依据已树立的混合因果逻辑(HCL)办法的新结构。新结构答应集成功用安全和SOTIF剖析，包含ODD条件和安排要素等软因果要素。这项作业是第一个提出将HCL办法运用于主动驾驭轿车范畴的作业。

  提议的HCL办法依据已确认的根本要求进行了体系检查，标明HCL满意一切根本要求。为契合ISO26262产品开产生命周期的主动驾驭轿车运用开发了分步HCL办法。然后将该办法运用于简略的主动驾驭轿车运转场景以展现其实用性。从而，依据根本要求对本示例的成果进行评价，并显现其满意一般HCL需求剖析所猜测的这些要求。

  本连载系列文中的HCL办法通过改编并以新颖的办法运用于主动驾驭轿车范畴。咱们开发了一种运转场景驱动的办法，而不是ESD层的毛病驱动办法，以使对各种主动驾驭轿车场景的剖析变得可行。将BN层用于表征主动驾驭轿车在不同ODD条件下的SOTIF功用，是主动驾驭轿车范畴的一种新办法。出于实践意图，它清楚地展现了HCL结构怎么无缝扩展现有的ISO26262办法，以供给一个一致的结构来处理主动驾驭轿车的功用安全和SOTIF问题。