目录

1.目的

2.关键概念说明

2.1 SOTIF

2.2 Misuse

2.3 Triggering Event

2.4 Validation

2.5 Area

3.SOTIF实施过程

4.ISO21448 概要说明

4.1 功能和系统规范

4.2 识别和评估SOTIF产生的危害

4.3 识别和评估触发事件

4.4 修改功能减小SOTIF风险

4.5 确定验证和确认措施

4.6 SOTIF验证

4.7 SOTIF确认

4.8 SOTIF发布方法与准则

5.SOTIF场景搜索

6.SOTIF案例说明

1.目的

在汽车电子领域,已经有了ISO26262这样针对系统的功能安全的标准,为啥同在汽车领域的自动驾驶,需要SOTIF(ISO21448)这样的预期功能安全呢?原因是,在自动驾驶领域,在系统没有报故障的情况下,也有可能导致一些危害。因此针对E/E失效外导致的危害,SOTIF是汽车功能安全的一个补充。

简单来说,ISO26262针对:

  • E/E系统的失效

SOTIF针对以下两个场景:

  • 系统或组件的性能受限,导致预期功能不可达;
  • 系统的可预期误用(misuse)/或直译为合理可预期误用。

2.关键概念说明

2.1 SOTIF

Safety Of The Intended Functionality,即预期功能安全。

2.2 Misuse

误用,指的是不按照设计系统的要求,去使用系统,在SOTIF中,什么样的视为误用呢?

  • 如ADAS系统提出明确的 通知警告,告知驾驶员/安全员需要做出相应的接管或反馈时,同时驾驶员也充分理解该 通知警告,但是驾驶员故意忽略,此类情况,可以视为误用;
  • 当驾驶员/安全员,有意违反ADAS的设计,以某种形式去操作ADAS,此类情况,可视为误用。

这里需要对比一下,非误用场景:

  • 驾驶员对ADAS系统、自动驾驶系统发出的通知或警告,感到困惑,则不是误用;
  • 驾驶员私自修改ADAS、自动驾驶系统,则属于功能滥用。

大家可以思考一下,淘宝上买的帮人握住方向盘,骗系统的行为,属于什么?

2.3 Triggering Event

Triggering Event,驱动事件,指的是特定驾驶条件下,触发输入系统,可能导致危害事件。

直接拿标准的例子说明:如在高速路上,系统的AEB功能开启,此处误识别一个道路标志,导致车辆以-0.5g的减速度刹车5s。

这样的一个场景条件,就是所谓的驱动事件。

2.4 Validation

Validation,确认,指一系列增加系统符合预期功能的活动,这里主要和Verification进行区分说明,Verification主要针对Area2场景,Validation活动主要针对Area 3场景。其中verification 主要侧重于已知场景的测试,如边界测试-需求测试-注入测试-MIL-SIL-HIL测试等。Validation,则注重于未知场景的测试,如随机测试用例测试-长时间测试-根据经验测试-分析最坏场景测试等。

2.5 Area

Area1:known safe scenarios  已知安全场景

Area2: known unsafe scenarios 已知非安全场景

Area3:unknown unsafe scenarios 未知的非安全场景

Area4:unknown safe scenarios 未知的安全场景

其中SOTIF则主要针对Area2 和Area3对症下药。

3.SOTIF实施过程

4.ISO21448 概要说明

4.1 功能和系统规范

定义系统架构,描述系统的功能,确定系统的边界,此处类似于ISO26262中 相关项的定义。包括系统对外功能的交互的描述,系统内部的描述,尤其涉及到HMI,传感器-算法-执行器等相关描述,用于启动SOTIF。

4.2 识别和评估SOTIF产生的危害

识别危害场景,识别场景的触发条件,确定验收条件。此处主要进行由于功能受限引起的危害事件,分析危害事件的严重度和可控度,确定验证和确认标准。

4.3 识别和评估触发事件

根据上文识别的危害事件,识别触发潜在危害的事件,此处主要是找出触发危害事件的原因。

4.4 修改功能减小SOTIF风险

设计相应的措施,分配到系统功能,以减轻SOTIF风险,进一步评估所采取的的措施,对预期功能的影响。

一般改善措施包括,系统性能提升,如选用性能更好的传感器;限制场景的功能使用,如识别到车道线不清晰-大雨天气等,禁止使用自动驾驶功能或者限制使用某些自动驾驶功能;降低系统和误用,如设计更好的交互或HMI。

4.5 确定验证和确认措施

识别危害事件所在的区域(Area2/Area3),选取SOTIF推荐的验证或确认策略,这里核心是识别出相应的test case,并确定哪些适应于Area2,哪些适应于Area3.

4.6 SOTIF验证

对系统的传感器-算法-执行器等,进行重复覆盖测试验证,以证明修改的系统和组件,符合预期的功能,同时已知不安全(Area2)场景下,功能符合预期(危害风险足够小)。

4.7 SOTIF确认

对系统的传感器-算法-执行器等,进行实际场景验证,以证明修改后的系统或组件,符合预期功能,在未知不安全(Area3)场景下,功能符合预期(证明实际场景风险足够低)。

4.8 SOTIF发布方法与准则

主要是评估残余风险是否可接受,是否符合发布准则。

5.SOTIF场景搜索

SOTIF和ISO26262功能安全一样,也是定义了一套方法论,而SOTIF这套方法论最关键的是,尽可能识别出相应的场景-对应措施-以及验证策略。本文结合自身对行业理解,简要谈谈如何去搜索SOTIF场景。

主要将场景分为两个大类,分别为系统的功能限制,以及系统的预期合理误用。

  • 针对系统性能限制

a.列出系统所有的功能,并根据功能进一步细分传感器-算法-处理器-执行器,一步一步细分到组件。

b.罗列出系统各个功能的限制,这里需要按照一定的规则,罗列场景,并结合场景,找出功能边界值,极限值等。如考虑道路结构-天气状况-功能逻辑场景等,罗列传感器的极限值,算法的准确性,执行器相应的精确性等。这里场景应将性能限制Mapping到一张表,并评估组合在一起的可能性,将不可能出现的情况可以排除掉。此处可以借鉴HARA分析方法。

  • 针对系统可预期误用

a.首先识别出干系人(Stakeholders)(如驾驶员-乘客等)

b.采用引导词识别误用原因

过程 引导词
认知 不理解
错误识别
判断 错误判断
行动 失误(注意力不集中导致)
故意
不能(难以操作)

c.考虑驾驶员与系统之间的交互(如一些操作,警告,指示,车辆行为等)

d.考虑用例场景的环境,如道路条件-天气等

e.通过以上来组合生成误用场景表

6.SOTIF案例说明

以下针对SOTIF工作流案例进行说明(参考ISO21448)

工作流 案例(AEB,紧急制动)
系统功能规范 本功能使用雷达扫描前方障碍物距离,如果检测到近处的障碍物,AEB将会触发
SOTIF相关的危害识别和风险评估

交通场景:驾驶在交通繁忙地段

潜在危害:非预期的紧急刹车,可能导致后方车辆追尾
风险可接受? No!驾驶员无法控制该危害,危害取决于两车间的间距
识别和评估驱动事件 道路上有易拉罐-或雪糕筒等异物,雷达可能识别为潜在障碍物
识别到的驱动事件可接受? No!由于AEB导致的追尾事故必须减轻
修改功能以降低SOTIF风险 限制AEB的制动持续时间或制动力度
修改功能和系统规范 增加功能:限制刹车介入,以最小化减小或阻止由于非预期紧急刹车导致的伤害
识别驱动事件可接受? Yes!无需进一步改进
定义验证和确认策略 选择设计相关的测试用例,以应对AEB相关的已知或未知非安全场景
验证SOTIF 针对已知AEB场景,进行跟踪测试-仿真测试-以及耐久测试。

已知场景足够覆盖?

系统和组件表现符合预期?

 Yes,认为所做措施,或相应场景概率足够低,风险可接受
确认SOTIF 选择测试用例,进行整车层级测试,长久测试进行统计
系统和组件在真实场景中不会造成不合理风险 Yes,长久测试参考GAMAB规则
发布SOTIF方法和准则

获得测试和验证的结果,

证明残余风险可接受。

关于SOTIF预期功能安全的理解相关推荐

  1. SOTIF预期功能安全工作流程

    预期功能安全系列文章 SOTIF预期功能安全理解及分析方法 SOTIF预期功能安全工作流程 文章目录 预期功能安全系列文章 SOTIF预期功能安全工作流程 SOTIF预期功能安全工作流程

  2. SOTIF预期功能安全分析方法

    文章目录 1. 预期功能安全简介 2. SOTIF中的场景分类 3. SOTIF预期功能安全分析方法 1. 预期功能安全简介 在汽车四化(电动化.网联化.智能化.共享化)领域,尤其是自动驾驶领域,引入 ...

  3. SOTIF 预期功能安全ISO21448介绍、功能安全标准ISO26262 与若干安全标准的适用范围和开发流程映射

    SOTIF 预期功能安全ISO21448介绍.功能安全标准ISO26262 与若干安全标准的适用范围和开发流程映射 ISO 21448 中规定了预期功能安全的设计开发流程图, 如下图所示.首先从 第 ...

  4. ISO PAS 21448 SOTIF(预期功能安全)笔记(二)

    (ISO PAS 21448中第4章节内容) 4 Overview of this document's activities in the development process(本文档在开发过程中 ...

  5. 预期功能安全(Safty Of The Intended Functionality,SOTIF)知识学习

    自动驾驶领域仅仅满足功能安全并不能完全满足实际场景中的多样性和未知性需求,预期功能安全可以通过使用新的方法和标准体系来保障自动驾驶汽车安全. 预期功能安全是由未知或不确定的非系统故障或人员误操作引起的 ...

  6. ISO PAS 21448 SOTIF(预期功能安全)笔记(四)

    (ISO PAS 21448中第6章节内容) 6 Identification and Evaluation of hazards caused by the intended functionali ...

  7. REANA-自动驾驶功能安全开发工具-功能安全ISO26262、预期功能安全(SOTIF)ISO21448、网络信息安全(Cybersecurity)ISO21434

    REANA-是一款由国内自主研发广泛适配汽车行业的安全功能开发/分析工具,是一款具备功能安全ISO26262.预期功能安全(SOTIF)ISO21448.网络信息安全(Cybersecurity)IS ...

  8. 车辆预期功能安全标准21448笔记(七)

    7 潜在的功能不足以及触发条件的辨别与评估 7.1 目标 本条款的目标是为了取得以下目的: 应该定义说明书的潜在功能不足.限制特性和触发条件(包含合理的可预见的误操作) 应评估系统对可能引发危险行为的 ...

  9. 智能驾驶汽车的预期功能安全

    "智能汽车生态群"加微信Time-machine-(备注公司+姓名) 0 前言 当前对智能驾驶汽车预期功能安全研究尚处于起步阶段,主要集中在讨论研究范畴及对内涵的理解.欧宝汽车提出 ...

最新文章

  1. 【CodeForces】961 F. k-substrings 字符串哈希+二分
  2. Python介绍以及Python 优缺点
  3. HTTPS 接入优化建议
  4. 【译】 WebSocket 协议第十二章——使用其他规范中的WebSocket协议
  5. bitMap保存图片
  6. C++ 中const的用法,特别是用在函数前面与后面的区别!
  7. java对象类型转换分为_java-如何将类对象转换为通用对象类型?
  8. 服务状态已停止_虾米音乐今日宣布关停,新平台”音螺“相关商标已注册
  9. firfox post plugin test
  10. linux账户管理代码和截图,linux 用户管理(示例代码)
  11. Java8初体验(一)lambda表达式语法
  12. lockdir.exe(文件夹加密软件)重装系统后打不开的解决办法
  13. 宁盾无线认证对接锐捷EG3220
  14. iOS开发Post请求错误:Error Domain=NSCocoaErrorDomain Code=3840 JSON text did not start with array or ...
  15. 华科计算机保研复试题目,2010华科保研复试经验谈
  16. AUTOSAR ArcticCore重构 - for_each_HOH
  17. 面试经验|2月最新映客直播一面+二面
  18. 推荐几款很实用画图工具
  19. 运维安全-网络与基础架构图
  20. CocosCreator小游戏排行榜

热门文章

  1. mysql dump 2013_mysqldump 错误2013 Lost connection
  2. 【unity 保卫星城】--- 开发笔记(Demo演示篇)
  3. 【每日最爱一句】2013.07.16
  4. 0基础快速开发口袋网盘小程序
  5. pytorch深度学习_用于数据科学家的深度学习的最小pytorch子集
  6. 求线段或直线与圆的交点
  7. 压力越大责任越大,数字基础设施还要“稳”字当头
  8. 领域知识网络即服务:知识助力产业升级“无形的手”?
  9. word表格分开快捷键_word文档如何快速拆分表格,干货!怎样快速拆分表格以及快速合并表格技巧介绍...
  10. 相机测试软件,相机篇 软件检测其实意义不大_佳能数码相机_数码影像评测-中关村在线...