ISO PAS 21448 SOTIF(预期功能安全)笔记(二)
(ISO PAS 21448中第4章节内容)
4 Overview of this document’s activities in the development process(本文档在开发过程中的活动概述)
一、 一些说明
1.本文件的目标章节(5.1、6.1、7.1、8.1、9.1、10.1、11.1和12.1)是规范性的,所有其它内容都是信息性的。通过列出目标并提供目标已实现的论据,可以声称遵守了本文件。
2.当适用于分布式产品开发时,可以在所有开发人员之间定义开发接口协议。协议的目标是在项目的早期阶段确定SOTIF活动的所有职责。
3.实现SOTIF需要一些与ISO 26262:2018系列相补充的活动。本文件的主要目标之一是勾画出用于确保危险事件的可能性足够低的过程和基本原理。此外,本文件还试图评估来源于以下两个原因的剩余风险:
1)无法以安全方式处理给定场景的系统;
2)有关人士(司机、其他车辆拥有者或旁观者)没有能力减轻危险事件,这种危险时间是可以接受的。
4.功能和系统规范包括由几个相关的场景组成的用例。这些场景可能包含导致伤害的触发事件(见第3章节的定义)
5.危害识别的流程
1)识别场景
2)是否存在因性能瓶颈导致的潜在风险或合理遇见的误操作
3)风险是否会造成危害
4)参与人员是够可以控制这些危害
5)确认存在危害
二、场景分类
一个用例会包含四种场景: 已知的安全场景(区域1)、已知的不安全场景(区域2)、未知的不安全场景(区域3)、未知的安全场景(区域4)
三、SOTIF目标
在开发初期,第2区域和第3区域可能太大,导致无法接受的剩余风险。SOTIF活动的最终目标是评估区域2和区域3的SOTIF,并提出一个论点,即这些区域足够小,因此产生的剩余风险是可接受的。
区域2的已知场景和相应的用例可以明显地评估;区域3的场景和相应的用例是通过行业最佳实践或其他方法(如:设计措施,系统分析,或专门的实验)进行评估。这些评估的结果提供了一个论据,即,区域3足够小,而区域2通过SOTIF改进进行管理,因此遇到这种情况的概率足够低。
注:这个区域模型更适合理解为各种情况的占比。
SOTIF过程在区域1、区域2和区域3及相关场景的的目标是:
- 区域1:最大化或维护区域,同时最小化区域2和3,这将保留或提升安全功能;
- 区域2:将采用技术措施将该区域减少到可接受的水平,该水平具有一定的统计学意义,与减小区域2所采取技术措施产生的影响相适应。评估潜在风险,有必要的话,通过改进功能或限制功能的使用/性能,将危险场景移至区域1;
- 区域3:在可接受的努力水平下,尽可能减少区域3(未知的风险)(每个检测到的危险场景都移到区域2)。
四、SOTIF流程
圆圈的序号代表后面各章节号。
5. 功能和系统规范的定义。
6. 对预期功能可能存在的危险行为进行危害识别和风险评估。这里不考虑原因,只评估可能由危险预期行为导致的危险事件,并定义要满足的验证和确认目标。
7. 识别和评估触发事件。这里重点考虑原因。
8. 功能完善或用例限制,避免或降低SOTIF风险。在9、10、11章节都会应用到。
9. 提出了一种验证和确认策略,以证明剩余风险低于可接受的水平。测试用例在这个阶段设计出。
10. 在已知危险场景中验证SOTIF。已知危险场景是否被覆盖?系统和部件是否按预期工作?
11. 在未知危险场景中验证SOTIF。系统和部件在真实场景中是否会引起不合理风险?
12. 剩余风险评估,通过验证和确认工作评估风险是被接受还是功能完善或用例限制。
在图9中,流程从功能和系统规范的定义开始(参见第5章节)。预期功能可能存在的危险行为需要进行危险识别和风险评估(见第6章节),以识别潜在的危险事件。如果这些潜在的危险事件不会导致危害,那么就没有必要进行任何改进,并且预期的功能可以被认为没有不合理的风险。
如果它表明危害是可能的,那么分析可能的危险触发事件(参见章节7)(例如:对某些环境条件下的某些物体进行误检或驾驶员误操作)。
第6章节和第7章节涉及SOTIF的不同方面。第6章节没有考虑功能预期行为可能发生的危险的原因,只考虑了它们对安全的后果。因此,第6章节集中于评估可能由危险预期行为导致的危险事件,并定义要满足的验证和确认目标。第7章节论述了潜在危险行为的原因分析。这些在第8章节中有所缓解,并在第9章节、第10章节和第11章节中得到验证。
应用用例的功能改进或限制来避免这些危害或进一步减少产生的风险(见第8章节)。
制定了验证和确认策略,以提供关于剩余风险低于可接受水平的论证(参见第9章节),包括相关策略的实施。从这个分析中可以得出相应的验证和确认测试用例(参见第10和11章节)。
最后,根据验证和确认的结果对剩余风险进行评估(第12章节)。如果决定是不可接受的风险,有必要进一步功能改善或限制用例(章节8)。这种验证和确认策略可以包括模型在环 (MIL) 、软件在环(SIL)、硬件在环(HIL),测试跟踪实验、特定分析,长期耐力测试等方法。
本文档中所考虑的意外行为的可能原因与正在开发功能的感知、算法处理、驱动及其实现的性能密切相关。因此,本文档的活动适用于整车、系统和零部件级别。
同时,有能力的、整体的系统架构的选择是确保SOTIF的主要关注点,并且,为了确保整体的能力,相应的活动在早期阶段和整个功能开发生命周期中都在进行。
可能有必要制定确保SOTIF的具体机制。例如,一个专用的可以定义人机界面(HMI)来防止/减轻驾驶员一些合理可预见的误操作(见附件E)。
在产品开发过程中,本文件的活动和ISO 26262:2018中规定的活动都得到了执行,并采取了相应的措施进行SOTIF评估,如下图所示。
图10描述了本文档与ISO 26262:2018系列活动之间可能的交互。产品开发阶段通常需要几个迭代来产生最终的功能和系统规范。图中没有表示出这些迭代。
选择一套方法和措施是为了:
- 识别和评估与预期功能相关的SOTIF相关的危害(第6章节);
- 识别和评估危险触发事件(第7章节);
- 需要通过功能修改或用例限制来改进系统设计,以减少SOTIF风险(第8章节);
- 验证和确认工作设计的适当性(第9-11章节)
注:危险识别过程类似于ISO 26262-3:2008中描述的过程,因为SOTIF相关的车辆级别的潜在危险行为和ISO 26262涵盖的系统故障的影响可能是相同的。
附件A呈现了SOTIF活动的应用实例。
本文档提供了一个非详尽的方法和度量的集合,开发团队可以从中选择适当的组合。其他等效方法也可以应用。
参考文档:
ISO PAS 21448 Road vehicles — Safety of the intended functionality
我将进一步翻译并总结整个标准,请继续关注后续内容。。。
ISO PAS 21448 SOTIF(预期功能安全)笔记(二)相关推荐
- ISO PAS 21448 SOTIF(预期功能安全)笔记(四)
(ISO PAS 21448中第6章节内容) 6 Identification and Evaluation of hazards caused by the intended functionali ...
- ISO PAS 21448 SOTIF(预期功能安全)笔记(七)
(ISO PAS 21448中第9章节内容) 9 验证和确认策略的定义 9.1 目标 验证和确认策略应定义为: 支持SOTIF的基本原理 生成必要的证据(例如,分析结果.测试报告.专门的调查) 制定产 ...
- 为什么SOTIF(ISO/PAS 21448)是无人驾驶安全的关键?
在无人驾驶汽车的研发过程中,人工智能(AI)和机器学习起着重要作用.相应的,无人驾驶(和半无人驾驶)汽车的软件开发团队又要面临新的安全挑战:如何在故障未发生时保证预期功能安全?为了解决这一问题,新的I ...
- SOTIF预期功能安全分析方法
文章目录 1. 预期功能安全简介 2. SOTIF中的场景分类 3. SOTIF预期功能安全分析方法 1. 预期功能安全简介 在汽车四化(电动化.网联化.智能化.共享化)领域,尤其是自动驾驶领域,引入 ...
- SOTIF 预期功能安全ISO21448介绍、功能安全标准ISO26262 与若干安全标准的适用范围和开发流程映射
SOTIF 预期功能安全ISO21448介绍.功能安全标准ISO26262 与若干安全标准的适用范围和开发流程映射 ISO 21448 中规定了预期功能安全的设计开发流程图, 如下图所示.首先从 第 ...
- SOTIF预期功能安全工作流程
预期功能安全系列文章 SOTIF预期功能安全理解及分析方法 SOTIF预期功能安全工作流程 文章目录 预期功能安全系列文章 SOTIF预期功能安全工作流程 SOTIF预期功能安全工作流程
- 关于SOTIF预期功能安全的理解
目录 1.目的 2.关键概念说明 2.1 SOTIF 2.2 Misuse 2.3 Triggering Event 2.4 Validation 2.5 Area 3.SOTIF实施过程 4.ISO ...
- 智能汽车预期功能安全保障关键技术
本文作者邵文博.李骏.张玉新 由于性能局限.规范不足或可合理预见误用导致的预期功能安全问题层出不穷,严重阻碍了智能汽车的快速发展.本综述聚焦智能汽车预期功能安全保障关键技术,分别从系统开发.功能改进和 ...
- 智能驾驶汽车的预期功能安全
"智能汽车生态群"加微信Time-machine-(备注公司+姓名) 0 前言 当前对智能驾驶汽车预期功能安全研究尚处于起步阶段,主要集中在讨论研究范畴及对内涵的理解.欧宝汽车提出 ...
最新文章
- PHP date()函数警告: It is not safe to rely on the system解决方法
- DuiLib学习笔记5——标题栏不能正常隐藏问题
- 大数据挖掘在销售管理中的应用价值
- idea生成方法注释的正确方法
- selenium API(二)
- phpstorm 如何设置函数的注释内容
- MTCNN——基于级联模型的人脸关键点检测网络
- Java与jar之间的区别
- Eigen教程(4)
- haproxy 基础知识
- 像中文的罗马音字体复制_罗马音字体复制下载
- SFM图像三维重建(二)
- git创建本地代码库
- 产品是什么:PMF模型
- 戴尔R730服务器,U盘安装服务器阵列(raid)卡驱动,识别硬盘。
- 【C++】在线IDE
- 通俗易懂的Spatial Transformer Networks(STN)(二)
- C语言|计算流逝后的时间
- Win10系统电脑声卡驱动正常但没声音?驱动人生解决方案
- C#开发:创建gif图片
热门文章
- 中国联通与阿里云达成合作,推动5G+新媒体产业发展...
- 新兴人类增强技术与人类未来
- 为什么很多大学生甚至研究生跨专业转行程序员呢?
- 朦朦胧胧的耍酷薄雾如同轻纱一般环绕在我们周围
- winlicense官方版是一款功能专业强大的编程软件
- MySQL误删数据后,查找操作日志并恢复数据
- android 云备份通讯录备份,安卓版QQ手机管家2.1全新发布:云备份通讯录
- 2382 一半的一半(高精度大数,java)
- firefox火狐浏览器设置老板键
- android聊天界面对话气泡_android 模仿QQ聊天气泡 入门级示例源码