前沿超越SOTIF：黑天鹅和形式化方法-绵羊汽车生活记录

本文来自尝试室符永乐的探求成就和练习条记Beyond SOTIF: Black Swans and Formal Methods（题外）「黑天鹅事变」是指餍足以下三个特色的事变：第一，它具蓄意外

第三，固然它具蓄意外性，但人的性子促使咱们正在过后为它的发作编制情由，而且或众或少以为它是可说明和可预测的。

「摘要」：iso26262轨范处置了体系窒碍和和平减轻这些窒碍的必要。然而，该轨范只是隐含了预期效用的和平性。人们该当招供，一个没有窒碍的体系，正在指定的计划界限内运转该当是和平的。然而，新的ISO/PAS 21448预期效用和平轨范(SOTIF)仅明了地处置了与产物计划闭联的非预期效用，据称正在没有任何体系、元素或组件窒碍的情状下。这是奈何发作的?是什么保障现代繁杂的企图机独揽体系正在寻常情状下老是发挥优越，而不会发挥出任何不妨对用户形成潜正在危急的不料和过失举止?何如材干处置这个困难呢?本文商量了「依赖于繁杂子体系来出现所需效用的繁杂体系中的实质窒碍」。咱们质疑ISO 26262和ISO 21488轨范目前正在其指示下一经足够处置这个谜。

1.跟着汽车范围自愿化水准的进步（遵循SAE J3016），该行业面对着和平保障方面的特殊挑拨。「车内体系」正在举座道道和平中饰演着越来越要紧的脚色，由于驾驶义务从驾驶员转化到了这些体系，并应承体系断定操作和最终战略级别。

「其次」，汽车体系运转的境况是不受抑制的，包罗各品种型的不确定性，这些不确定性导致了对指定运转域的挑拨。

「第三」，汽车行业的供应链有很众插足者，而新时间的引入为新来者翻开了大门，而新来者并非守旧汽车商场的一片面。换句话说，汽车体系的计划漫衍正在宏大而繁杂的供应链中；认识到不妨的和平题目并负担和平义务并非易事。

「最终」，这一行业的众人商场意味着，与其他交通东西比拟，民众对汽车的接触要众得众；以是，潜正在的体系和平题目将对社会出现巨大影响。

3.确保体系的无误运转被称为“「效用和平」”。自2011年此后，ISO 26262轨范（及其后第二次修订版）确立了汽车效用和平的最新水准。本轨范给出了正在车辆级别识别危急、量化与汽车和平完备性级别（ASIL）闭联的危险以及确定缓解或戒备这些危急的高级别和平方针的指南和手腕。它供给了闭于需求主意机闭和百般计划、阐明和验证手腕的创议。先前的探求一经处置了本轨范限度内效用和平的体系编制题目。

4.ISO 26262的限度筹议了因项目窒碍导致的“项目”窒碍举止而出现的伤害。可是，因为车辆的标称举止而不妨发作的危急不正在本楷模的限度内。对缓解或戒备窒碍的体贴看待守旧汽车体系来说一经足够了，由于守旧汽车体系的标称效用具有明了性和确定性。另一方面，看待立异体系，比方自愿驾驶操纵法式，存正在用例和操作范围的不确定性。传感器的控制性和效用亏空，再加上症结操作情状，不妨导致危急（超过ISO 26262的限度）。这些危急不妨是因为车辆内的一组触发要求或驾驶场景的境况状态形成的。正在体系拓荒阶段，这些危急不妨“已知”或“未知”。

5.ISO/PAS 21448轨范闭于预期效用的和平性(SOTIF)处置了上述伤害。本文探求了ISO/PAS 21448正在涉及体系集成的繁杂体系时的根基正理。「因为目下体系过于繁杂，闭于需求、规格解释、计划告竣和操作境况的交互的学问变得不完备。正在体系学问不完备、危险处理流程不楷模的情状下，非常或非预期的举止不妨发挥为“黑天鹅”事变」。

6.咱们正在这篇论文中的奉献是物色黑天鹅事变及其根源，以及行动阻难它们的一种措施的正式手腕的反省。体系的和平性和繁杂性是对立的。跟着繁杂性的扩大，追踪难以捉摸的黑天鹅事变务必成为体系集成商确当务之急。「黑天鹅」的创造必要一个特意的计划和验证经过，以扩大对体系效用和平和SOTIF闭联题目和平性的信赖。

（第一章闭键总结了ISO 21448和ISO26262两个轨范的实质和限度，接下来分辩对两个轨范的实质举办商量）

1.ISO/PAS 21448轨范规矩了道道车辆高度自愿化驾驶操纵的预期效用（SOTIF）的和平性。本轨范旨正在为必要繁杂态势感知的和平症结体系的高级拓荒供给指南。

2.总的来说，本轨范从两个闭键角度供给了指南：「从驾驶员的角度」，它供给了更体系的手腕（与ISO 26262比拟）来阐明合理可意思的误用及其潜正在的和平危险。，它着重于因为车内体系的标称职能（范围）而不妨发作的危急。它更加思索了「两种」类型的体系范围：感知境况的才力（缺陷），包罗传感器调解等闭联重心，以及独揽算法效用的（不）充沛性，包罗对区别境况情状的反响。这些范围，再加上行动触发事变的敌方境况要求，不妨组合成症结场景，并最终形成危急。咱们显现了体系透视图的概述，并将其与图1中ISO 26262的限度举办了对比。

1.形态化手腕范围包罗一系列时间，用于以厉峻的数学手腕形容、计划和阐明体系举止。与大大都其他软件工程手腕比拟，形态化手腕重视于从数学上证实所计划的软件餍足其所需的效用，并正在全豹情状下依照全豹不妨践诺的全豹和平哀求。

2.形态化手腕首倡对体系举办筑模和评估的「三步手腕」。「第一步」是探求中体系的正式楷模：计划师或工程师通过形容体系的全豹闭联举止，操纵正式筑模说话界说体系。形容平常可能看作是一个形态机。这些形态楷模是用自然说话或纯文本编写体系楷模的取代手腕。以这种格式形容扫数体系举止的一片面并不少睹，比方内部通讯允诺、高度和平症结组件的独揽或其行动任事供给的接口。

3.正在「第二步」中，工程师写下对举止的哀求。这些哀求可能是和平本质的（机械不行启动两次，中心不行无误终了），可能形容最终举止（制动器独揽器务必正在制动器按下时永远接纳信号），或者是更繁杂的本质（体系将正在苦求时陈说自前次反省此后煽动机中发作的全豹过失）。

4.编写云云的需求至闭要紧的一个根基根据法则是，从人的角度来说，不不妨写出一个可以很好地打点全豹不妨情状的模子——更不消说软件了。通过反省软件是否永远适当明了体现的哀求，引入了一种掩护手腕，以防御平常弗成避免的疏忽。法则上，对实质软件举办反省是不妨的，可是当代编程说话是如许的通用，语义繁杂，而且包括了如许众的不闭联的举止细节，以致于对成熟软件的反省需求是站不住脚的。

5.正在形态化手腕中，对全豹不妨的运转都用数学的厉峻性反省需求，以确保体系举止老是遵从需求运转。当体系举止中的形态数目太大时，就会碰到一个挑拨，那些筑树体系模子的人务必主动地以云云一种格式计划体系，即形态空间足够小，以启用验证[14]。

6.请留神，操纵测试时，体系的很众不妨运转都没有包罗正在内。测试掩盖率平常代表语句掩盖率，这意味着变量值的很众特定组合长远不会被打点，由于这被以为是不不妨的。纵然测试是一种比验证弱得众的时间，但放弃它是一个坏宗旨，由于测试不妨会掩盖模子或需求中未搜捕或未无误搜捕的方面。从区别的角度反省和阐明软件是获取高质料的需要要求。

7.最终，一朝指定并验证了模子，就可能通过将楷模转换为惯例编程代码来告竣。这可能自愿完工，但手动转换也是一个不错的选取。将模子转换为软件相对容易，而且可能由熟练工人以神速牢靠的格式完工。正在云云的转换中引入题目是不妨的，但日常来说，它们远没有筑模和验证可能避免的过失繁杂。

8.纵然正在模子、需求及其验证方面花费了特别的戮力，但形态化手腕的操纵总体上更为有用，由于正在计划告竣之前创造可用性缺陷可能省俭韶华。形态化手腕可能防御正在拓荒的后期出当代价嘹后的过失。操纵形态化手腕和经典计划手腕对近似项目举办谨慎阐明后创造，形态化手腕所需的劳动量最众可裁汰三倍，同时将过失裁汰到10倍，平常只留下粗浅的软件过失供测试职员创造。

9.软件筑模的根基观点是形态机。形态机具有形态以及这些形态之间的转换。形态体现软件正在某些静态情状下的形态，转换体现企图或交互怎么导致形态更改。转换和形态具有指示其效用的标签。比方，一个转换可能用“开”来标识，体现机械翻开时举办转换。

10.不幸的是，体系太繁杂了，不行直接由形态机筑模。以是，一经拓荒出了应承表达形态机的形态。正在20世纪80年代，经过代数被计划用来模仿体系举止。最值得留神的是「通讯经过演算(CCS)」，「通讯历程代数(ACP)「和」通讯序次历程(CSP)」。另一种更适合于数据流操纵的形态是Petri汇集。

11.这些根基形态已通过数据、韶华、有时以至概率来扩展，以形容更优秀的体系。看待Petri网，人们平常会进入有色Petri网范围，而正在经过代数中，人们会看到诸如LOTOS-NT、FDR或mCRL2等说话[16]，全豹这些说话都带有大批的东西集用于验证。

12.要对需求筑模，必要操纵逻辑。样板地，人们会操纵模态逻辑，即命题逻辑或带有模态的谓词逻辑的扩展。这些形式平常体现某些举止可能或弗成能发作，以及假若发作了，随后该当发作什么。样板逻辑有CTL逻辑、LTL逻辑、Hennessy-Milner逻辑和模态黏液逻辑。假若用数据和韶华扩展这些逻辑，它们就会变得非凡具有发挥力。最具发挥力的逻辑是韶华和数据的模态微积分。

13.一个样板且不妨令人深省的创造是，假若要对形态机举办筑模，操纵哪种形态主义简直可有可无。当举止以一种形态筑模时，它可能很容易地转化为另一种形态。但平常情状下，将自然说话中的非正式楷模转换为模子既坚苦又耗时，由于这些楷模往往不完备、不划一且含糊其词。闭于需求楷模，仍有一场争执正在举办，LTL/CTL被以为更直观，而模态微积分更具发挥力，但练习弧线.如前所述，SOTIF危急不哀求任何组件或元件（硬件或软件）存正在缺陷。元素之间相干的非预期属性足以出现非常的未知和平或担心全举止，这不妨超过ISO/PAS 21448中目下打点的已确认触发事变。这些彼此功用的指数组合本质将压服任何预测缓和解不料体系举止的最佳戮力。

2.其余，车内体系一经被视为体系中的体系，而且变得非凡繁杂。以是，智能构想和处理繁杂体系交互的才力现正在一经被修筑这些体系的才力所超越。

「第一种」是预期效用不料泄露于计划范围以外的场景/操作情状。不料触发或触起源不妨是体系元素交互的产品。

「第二种」类型是因为未知依赖相干、不全体作对或导致非预期效用的非预期垂危举止而导致的未创造的共存题目。

4.垂危举止是偶然中嵌入体系并正在特定要求下或通过一系列形态转换正在不料时期浮出水面的举止。垂危举止可能有区别的说明：开始，垂危举止可能是体系正在不料事变或事变序列之后浮现的不决义举止。「比方」，假设处于主动形式的巡航独揽体系监独揽动踏板，以便正在踩下踏板时可能停用。假若制动踏板正在按下和开释时都供给触发信号，则处于行为形式的独揽器不会祈望制动踏板开释触发器，并不妨导致不决义的举止。这种情状不妨是用户正在踩下制动踏板时激活巡航独揽体系的结果。其次，垂危举止不妨是组合体系的结果，此中任何一个组件中都不存正在不料举止，但它们的交互结果会出现不料形态。「比方」，1995年阿丽亚娜5号导弹的坠毁，耗资5亿美元，是将旧的阿丽亚娜4号软件与更新的组件相连接的结果，这些组件对惯性参考体系[20]的水准过失有区别的界说。不料的过载事变导致独揽体系倒闭。另一个更常睹的例子是通讯体系之间的逐鹿要求。独揽体系必要可以打点全豹不妨的事变组合。

5.正在图2中，咱们显现了一个框架来搜捕这些观点与ISO/PAS 21448和ISO 26262中所涵盖项目之间的相干。咱们操纵三个概括级别：体系、车辆和境况。从物理架构的角度来看，正在这些概括级别中，咱们分辩具有体系、车辆和操作域。其余，从逻辑架构的角度来看，体系具有效用，车辆显示涉及体系效用的举止，操作域搜捕场景（包罗百般车辆（或道道用户）举止）。正在逻辑的角度来看，咱们思索一个埋伏层逮捕非预期的效用，垂危举止，以及未知的场景。正在此框架中，咱们搜捕了体系窒碍、车辆窒碍举止和症结场景的效用和平题目。正在本框架中，窒碍举止（如ISO 26262所述）和症结场景都被视为危急。咱们操纵箭头显示这些观点之间的因果相干，并辨别ISO 26262和ISO/PAS 21448的限度。

1.形态化手腕（formal method）一经存正在了一段韶华，但尚未获得通俗操纵。日常来说，形态化手腕正在工程界具有负面的寄义，平常被视为培育玩具。以下是与形态化手腕闭联的样板题目列表：

（5）转换—形态化模子务必转换为可针对方针硬件编译的代码。日常来说，数学模子不行自愿转换。

（6）学术性——纵然它们正在学术界一经存正在众年，但内行业境况中还没有大界限操纵（不妨是由于上述因为）。

2.思索到全豹不妨的时间，咱们只可说形态化手腕的潜正在好处。以是，咱们将这些界说为示例，并不预备供给仔细的列表：

（1）完备性：日常来说，形态化手腕强制践诺明了的楷模。楷模中的缺陷被检测并陈说为完备性题目。

（2）合规性，效用无误性：假若楷模和告竣被正式界说，那么它们之间的合规性可能通过数学证实。

（4）死锁、活锁、死代码：这些是形态繁茂型体系中的样板情状，可能通过正式手腕轻松检测到，或者换句话说，可能证实它们的缺失。

ISO/PAS 21448 SOTIF即将完工，是进步（自愿）车辆和平性的要紧一步。然而，咱们声称这不是感觉骄贵和退却的情由，由于正在咱们看来，依然有少许范围没有获得很好的掩盖。咱们通过操纵形态化手腕查看埋伏的举止，获取了少许闭于处理体系的繁杂性和扩大信赖的创议。咱们提出了一个框架来逮捕计划和效用和平的根基观点之间的相干。咱们没有筹议正式手腕的操作细节，但参考了相闭该重心的百般根源。这些创议应视为对ISO/PAS 21448 SOTIF的增补。咱们以为，跟着自愿驾驶的繁荣，跟着行业的繁荣，将浮现更众的轨范和同质数据库，涵盖目下闭于未知场景和效用亏空的忧郁。以是，计划重心将慢慢转向本文所述的垂危举止。

汽车测试网-兴办于2008年，报道汽车测试时间与产物、趋向、动态等闭系邮箱 marketing#auto-testing.net (把#改成@)