ISO PAS 21448 SOTIF（预期功能安全）笔记（四）

（ISO PAS 21448中第6章节内容）

6 Identification and Evaluation of hazards caused by the intended functionality（预期功能引起的危害识别和评估）

6.1 目标

与SOTIF有关的潜在危害应系统地识别和评估，以便：

由导致潜在危险行为及其潜在后果的功能引起的可能的危险事件，应该被识别和评估。
指定在确认阶段评估设计的验收标准(例如：确认目标)。
注：这样的验收标准可以是所需要的耐久跑的最小距离，以及每种类型所观察到的故障的最大数量（如，误报率，漏报率）。
识别并评估由用户合理预见的误操作所引起的可能的危险事件。

6.2 危害识别

系统地确定了由非预期的功能行为引起的危害。这种系统的识别主要是基于对功能及其可能偏差的认知。这可以通过应用ISO 26262-3:2018中提出的方法来实现，同时考虑到预期功能的性能限制。有关ISO 26262系列和本章节要求的危害分析过程的一般要素的说明，请参阅图12。图13以自动紧急制动(AEB)系统为例，展示了如何使用图12中的术语。

例1：对于AEB系统，不正确的检测可能会导致意外的全制动。然而，该系统可以对AEB触发的制动命令形成一定的限制。因此，对前车的错误检测只能触发制动到这个预定的限制。然而，在指定的权限内对不必要的制动(由于不正确的检测)限制会有影响安全的后果，所以需要在SOTIF相关的风险评估中考虑清楚这些不想要的制动事件。
例2：如果多辆车使用自适应巡航控制(ACC)在一条直线上一个接一个地行驶，那么自适应巡航控制(ACC)功能可能会表现出不良的行为。在这种情况下，高控制环路延迟可能导致“手风琴效应”的积累，直到系统不能充分刹车，司机不得不进行干预。虽然驾驶员可能认为这种操作情况是可以控制的，但避免这种堆积效应的需要仍然可以作为SOTIF的一部分加以分析。

注：与ISO 26262-3:2018不同，在分析SOTIF相关危害时，没有确定有害事件的ASIL。但是，可以使用S、E和C参数来用于确认工作

6.3 危害分析

危险事件的危害性和可控性可以用ISO 26262-3:2018第6章所述的方法来评估，但也可以针对特定的SOTIF相关危害对单个危险事件的评估。
例如：紧急制动引起的追尾事故的严重程度可以通过限制制动的强度来降低。强度极限可以看作是一种增加可控性的安全机制，或者是对预期行为的一种修正。在分析危害时，极限被认为是预期行为的一部分。然而，与实施限制有关的功能故障将成为其他安全标准的主题，如ISO 26262系列。

在给定的场景中，考虑潜在危险行为的严重性和可控性，以判断是否会导致确信的伤害。对于危险事件的分类，可以考虑相关人员的延迟或没有反应来控制危险。
例如：某个环境条件不支持ADAS，需要驾驶员恢复控制。由驾驶员的反应时间引起的延迟会影响可控性评估，可能成为SOTIF相关分析的一个主题。
例如：下表给出了一个AEB系统和SOTIF相关的危险事件潜在后果评估的例子。

6.4 风险评估

风险评估考虑预期功能的性能瓶颈，以判断可控性或严重性是否可接受；可控性是指“总体可控”，严重程度是指“不会造成伤害”。严重性和可控性评估可以考虑预期的系统限制以及为减轻其影响而实施的措施。(根据第5章节中描述的功能和系统规范)

6.5 “确认目标”的规范

确认工作的目标考虑政府和行业的法律法规以及确保安全所需的当前功能性能水平，指定的验证目标将取决于验证策略中选择的方法。
例如：推论分析需要考虑所有已知和相关的触发事件的列表。对于此类分析，相关的验证目标将确保覆盖此列表中的所有事件。相反，对SOTIF相关危害的归纳分析将涉及搜索与应用程序相关的先前未知的触发事件。在这种情况下，验证目标的定义应具有统计上的可信度，即经验数据证明触发事件不会带来不合理风险。

在指定这些目标时可以考虑的方法包括：

目标市场的现有交通数据(例如意外统计、交通分析)(见D.3)；
在该领域运行的类似功能中预先存在的目标。

例如：在一个给定的场景的仿真测试，pass/fail的判定可以定义为，当某个功能不需要时执行，允许的误发生率和漏发生率，当某个功能需要时不执行，允许的误发生率和漏发生率。

如果只有一个场景的子集与特定的危害相关，那么暴露在相关的场景中的持续时间可以在确定目标值和相关确认时考虑(类似于ISO 26262- 3:3 - 2018，第6条中的暴露，通过特定场景在中体运行时间中占比来计算暴露率或暴露等级)。
在评估给定场景中某个触发事件违反定量目标的可能性时，可以考虑其暴露程度、可控性和导致行为的严重程度。这可以减轻在第3区域证明触发事件发生率所需的努力，见本文件附件B。
例如：考虑6.3节的例子，如果有一辆尾随车辆，非故意刹车只会导致追尾事故。在指定确认目标时，可以考虑尾随车辆的暴露率。

如果没有可用的交通统计数据或相关领域的数据，那么可以提供一个有效的原理选择适当的目标。
注1：一个基本原理可以基于风险容忍原则，例如法国的GAMAB或GAME，两者都有“全球至少一样好”的意思。遵循这一原则，任何新系统的剩余风险(关于安全性)都不会显著高于具有可比功能和危险的现有系统。在考虑新系统所有风险的情况下，将这种风险可容忍性原则应用于总体剩余风险，可以做出相应的风险权衡。例如，即使某个特定危险的剩余风险增加了，系统也可以被发布，只要通过抵消一个或多个其它剩余风险的减少来补偿这一点。
注2：一个基本原理是ALARP（二拉平）原则，ALARP风险管理框架可以提供一个有用的风险减少原则，特别是在开发和引入新技术方面，目前还没有“良好实践”。承认零/无风险的状态是不可能的，ALARP原则旨在通过权衡风险与进一步降低风险所需的牺牲来将风险降低到“合理可行”的水平。

参考文档：
ISO PAS 21448 Road vehicles — Safety of the intended functionality

我将进一步翻译并总结整个标准，请继续关注后续内容。。。