車輛中心 研究發展處 莊志偉

近年來新車搭載自駕等級L1、L2的自動駕駛輔助系統（ADAS）的比例逐漸增高，然而由於誤用或是辨識能力不足導致車輛發生交通事故新聞也隨之增高，因而引起各界對於系統設計是否存在瑕疵之疑慮，也因此系統廠陸續透過功能安全標準（ISO 26262）以及預期功能安全（ISO 21448）標準，作為其系統之安全設計依據準則。

車電組件預期功能安全功能

ISO 26262 功能安全標準旨在避免由電機／電子（Electronic/Electrical, E/E）系統功能失效而導致的不可接受之風險，主要著重於對應系統性或隨機硬體失效導致的風險之設計、迴避和補強措施；而ISO 21448（SOTIF）則針對自動駕駛領域的感知、決策、控制系統，在操作適用範圍（Operational Design Domain, ODD）內之預期功能失效或性能侷限等問題，進行分析及補強設計要求，兩份標準主要差異如表1所示。

表1、預期功能安全（ISO 21448）與功能安全（ISO 26262）主要差異

資料來源：ISO/PAS 21448. Road vehicles - Safety of the intended functionality.2022，車輛中心整理

SOTIF 旨在提供設計、驗證和確認方法的指導（Guide），評估在已知及未知不安全場景下殘餘系統失效風險機率是否可接受。綜合考慮所採用技術的有效性、可行性和成本，其解決系統／元件安全問題步驟：(1) 界定系統功能與規範 (2) 識別經驗數據下無不合理的觸發事件 (3) 評估已知危險（不安全）情景 (4) 評估未知危險（不安全）情景 (5) 驗證，並透過反覆進行上述測試方式以進行修改功能或限制，進而降低風險，如圖1。

圖1、預期功能安全（SOTIF）分析流程

資料來源：ISO 21448：2022 -Road vehicles - Safety of the intended functionality.，車輛中心整理

基於SOTIF安全性測試平台系統開發

(1) 致因場景建構

為了確保車輛系統的安全性，測試平台須能通過在虛擬環境中模擬實際道路上各種情境，評估系統在不同條件下的反應，從而確保其在各種極端情況下的功能正常性和安全性，例如構建惡劣天氣、複雜道路環境和突發狀況的致因場景來提供測試平台進行模擬，如圖2。

基於SOTIF安全性測試平台，可依主動安全輔助系統（如LKA、ACC、AEB等）所要求整車級別的危害規範，模擬驗證進而識別及評估出預期功能場景中不安全控制行為所引起的風險，提高系統安全性。

圖2、致因場景建構

(2) 分析影像感測器結果─以車道偵測模組為例

車輛中心（ARTC）透過模擬軟體建置可重現的虛擬場景及攝影機迴路硬體（Camera in the Loop, CiL）測試平台，協助市售車道偵測模組（Lane Detection module ,LD）產品進行其作動範圍極限與測試各危害（不安全）場景的對應機制，依該模組所提供車道資訊，透過安裝攝影機擷取致因場景中道路的影像，進行CiL測試，如圖3。

圖3、CiL模擬驗證技術（LD系統）

在經影像處理辨識後之輸出模擬結果來判斷左、右車道線被危害場景（上、下坡度）影響的程度，進而協助LD系統的開發廠商，找出攝影機偵測極限或侷限點，以避免因輸出結果誤判造成車輛偏移失控情況發生，如圖4。

圖4、以CiL測試驗證車道線穩定性

總結

車輛中心已將SOTIF理論應用在具體輔助駕駛功能開發過程，輔助駕駛可能因速差過大、坡道或彎道路段、前車沒開在路中央（或前車屬特殊車輛）、他車亂切車道（Cut-in/Cut-off）、遇到靜止的車輛、天氣狀況等，影響系統的偵測功能；因應後續輔助駕駛系統對於系統設計操作之要求，協助廠商從感測端至系統端，確認是否符合其宣稱之ODD，從迭代測試發展改善機制，縮小殘餘風險範圍，找出功能不足或侷限點，加速完成產品開發與確保系統可靠度，建立更加穩固和可靠的自動駕駛系統。