ISO PAS 21448 SOTIF(预期功能安全)笔记(四)
(ISO PAS 21448中第6章节内容)
6 Identification and Evaluation of hazards caused by the intended functionality(预期功能引起的危害识别和评估)
6.1 目标
与SOTIF有关的潜在危害应系统地识别和评估,以便:
- 由导致潜在危险行为及其潜在后果的功能引起的可能的危险事件,应该被识别和评估。
- 指定在确认阶段评估设计的验收标准(例如:确认目标)。
注:这样的验收标准可以是所需要的耐久跑的最小距离,以及每种类型所观察到的故障的最大数量(如,误报率,漏报率)。 - 识别并评估由用户合理预见的误操作所引起的可能的危险事件。
6.2 危害识别
系统地确定了由非预期的功能行为引起的危害。这种系统的识别主要是基于对功能及其可能偏差的认知。这可以通过应用ISO 26262-3:2018中提出的方法来实现,同时考虑到预期功能的性能限制。有关ISO 26262系列和本章节要求的危害分析过程的一般要素的说明,请参阅图12。图13以自动紧急制动(AEB)系统为例,展示了如何使用图12中的术语。
例1:对于AEB系统,不正确的检测可能会导致意外的全制动。然而,该系统可以对AEB触发的制动命令形成一定的限制。因此,对前车的错误检测只能触发制动到这个预定的限制。然而,在指定的权限内对不必要的制动(由于不正确的检测)限制会有影响安全的后果,所以需要在SOTIF相关的风险评估中考虑清楚这些不想要的制动事件。
例2:如果多辆车使用自适应巡航控制(ACC)在一条直线上一个接一个地行驶,那么自适应巡航控制(ACC)功能可能会表现出不良的行为。在这种情况下,高控制环路延迟可能导致“手风琴效应”的积累,直到系统不能充分刹车,司机不得不进行干预。虽然驾驶员可能认为这种操作情况是可以控制的,但避免这种堆积效应的需要仍然可以作为SOTIF的一部分加以分析。
注:与ISO 26262-3:2018不同,在分析SOTIF相关危害时,没有确定有害事件的ASIL。但是,可以使用S、E和C参数来用于确认工作
6.3 危害分析
危险事件的危害性和可控性可以用ISO 26262-3:2018第6章所述的方法来评估,但也可以针对特定的SOTIF相关危害对单个危险事件的评估。
例如:紧急制动引起的追尾事故的严重程度可以通过限制制动的强度来降低。强度极限可以看作是一种增加可控性的安全机制,或者是对预期行为的一种修正。在分析危害时,极限被认为是预期行为的一部分。然而,与实施限制有关的功能故障将成为其他安全标准的主题,如ISO 26262系列。
在给定的场景中,考虑潜在危险行为的严重性和可控性,以判断是否会导致确信的伤害。对于危险事件的分类,可以考虑相关人员的延迟或没有反应来控制危险。
例如:某个环境条件不支持ADAS,需要驾驶员恢复控制。由驾驶员的反应时间引起的延迟会影响可控性评估,可能成为SOTIF相关分析的一个主题。
例如:下表给出了一个AEB系统和SOTIF相关的危险事件潜在后果评估的例子。
6.4 风险评估
风险评估考虑预期功能的性能瓶颈,以判断可控性或严重性是否可接受;可控性是指“总体可控”,严重程度是指“不会造成伤害”。严重性和可控性评估可以考虑预期的系统限制以及为减轻其影响而实施的措施。(根据第5章节中描述的功能和系统规范)
6.5 “确认目标”的规范
确认工作的目标考虑政府和行业的法律法规以及确保安全所需的当前功能性能水平,指定的验证目标将取决于验证策略中选择的方法。
例如:推论分析需要考虑所有已知和相关的触发事件的列表。对于此类分析,相关的验证目标将确保覆盖此列表中的所有事件。相反,对SOTIF相关危害的归纳分析将涉及搜索与应用程序相关的先前未知的触发事件。在这种情况下,验证目标的定义应具有统计上的可信度,即经验数据证明触发事件不会带来不合理风险。
在指定这些目标时可以考虑的方法包括:
- 目标市场的现有交通数据(例如意外统计、交通分析)(见D.3);
- 在该领域运行的类似功能中预先存在的目标。
例如:在一个给定的场景的仿真测试,pass/fail的判定可以定义为,当某个功能不需要时执行,允许的误发生率和漏发生率,当某个功能需要时不执行,允许的误发生率和漏发生率。
如果只有一个场景的子集与特定的危害相关,那么暴露在相关的场景中的持续时间可以在确定目标值和相关确认时考虑(类似于ISO 26262- 3:3 - 2018,第6条中的暴露,通过特定场景在中体运行时间中占比来计算暴露率或暴露等级)。
在评估给定场景中某个触发事件违反定量目标的可能性时,可以考虑其暴露程度、可控性和导致行为的严重程度。这可以减轻在第3区域证明触发事件发生率所需的努力,见本文件附件B。
例如:考虑6.3节的例子,如果有一辆尾随车辆,非故意刹车只会导致追尾事故。在指定确认目标时,可以考虑尾随车辆的暴露率。
如果没有可用的交通统计数据或相关领域的数据,那么可以提供一个有效的原理选择适当的目标。
注1:一个基本原理可以基于风险容忍原则,例如法国的GAMAB或GAME,两者都有“全球至少一样好”的意思。遵循这一原则,任何新系统的剩余风险(关于安全性)都不会显著高于具有可比功能和危险的现有系统。在考虑新系统所有风险的情况下,将这种风险可容忍性原则应用于总体剩余风险,可以做出相应的风险权衡。例如,即使某个特定危险的剩余风险增加了,系统也可以被发布,只要通过抵消一个或多个其它剩余风险的减少来补偿这一点。
注2:一个基本原理是ALARP(二拉平)原则,ALARP风险管理框架可以提供一个有用的风险减少原则,特别是在开发和引入新技术方面,目前还没有“良好实践”。 承认零/无风险的状态是不可能的,ALARP原则旨在通过权衡风险与进一步降低风险所需的牺牲来将风险降低到“合理可行”的水平。
参考文档:
ISO PAS 21448 Road vehicles — Safety of the intended functionality
我将进一步翻译并总结整个标准,请继续关注后续内容。。。
ISO PAS 21448 SOTIF(预期功能安全)笔记(四)相关推荐
- ISO PAS 21448 SOTIF(预期功能安全)笔记(二)
(ISO PAS 21448中第4章节内容) 4 Overview of this document's activities in the development process(本文档在开发过程中 ...
- ISO PAS 21448 SOTIF(预期功能安全)笔记(七)
(ISO PAS 21448中第9章节内容) 9 验证和确认策略的定义 9.1 目标 验证和确认策略应定义为: 支持SOTIF的基本原理 生成必要的证据(例如,分析结果.测试报告.专门的调查) 制定产 ...
- 为什么SOTIF(ISO/PAS 21448)是无人驾驶安全的关键?
在无人驾驶汽车的研发过程中,人工智能(AI)和机器学习起着重要作用.相应的,无人驾驶(和半无人驾驶)汽车的软件开发团队又要面临新的安全挑战:如何在故障未发生时保证预期功能安全?为了解决这一问题,新的I ...
- SOTIF预期功能安全分析方法
文章目录 1. 预期功能安全简介 2. SOTIF中的场景分类 3. SOTIF预期功能安全分析方法 1. 预期功能安全简介 在汽车四化(电动化.网联化.智能化.共享化)领域,尤其是自动驾驶领域,引入 ...
- SOTIF 预期功能安全ISO21448介绍、功能安全标准ISO26262 与若干安全标准的适用范围和开发流程映射
SOTIF 预期功能安全ISO21448介绍.功能安全标准ISO26262 与若干安全标准的适用范围和开发流程映射 ISO 21448 中规定了预期功能安全的设计开发流程图, 如下图所示.首先从 第 ...
- SOTIF预期功能安全工作流程
预期功能安全系列文章 SOTIF预期功能安全理解及分析方法 SOTIF预期功能安全工作流程 文章目录 预期功能安全系列文章 SOTIF预期功能安全工作流程 SOTIF预期功能安全工作流程
- 关于SOTIF预期功能安全的理解
目录 1.目的 2.关键概念说明 2.1 SOTIF 2.2 Misuse 2.3 Triggering Event 2.4 Validation 2.5 Area 3.SOTIF实施过程 4.ISO ...
- 智能汽车预期功能安全保障关键技术
本文作者邵文博.李骏.张玉新 由于性能局限.规范不足或可合理预见误用导致的预期功能安全问题层出不穷,严重阻碍了智能汽车的快速发展.本综述聚焦智能汽车预期功能安全保障关键技术,分别从系统开发.功能改进和 ...
- 智能驾驶汽车的预期功能安全
"智能汽车生态群"加微信Time-machine-(备注公司+姓名) 0 前言 当前对智能驾驶汽车预期功能安全研究尚处于起步阶段,主要集中在讨论研究范畴及对内涵的理解.欧宝汽车提出 ...
最新文章
- LINQ获取两个List的交集
- Web服务端性能提升实践
- 一个月6次泄露,为啥大家用Elasticsearch总不设密码?
- Applese 走方格
- (一)Hyperledger Fabric 1.1安装部署-基础环境搭建
- ECCV18 | UC伯克利提出基于自适应相似场的语义分割
- 如何自定义类加载器?
- php使用hset报错,hSet 命令/方法/函数
- 二度整理交换机有感(续)
- 数据库期末总结笔记( 零基础 )--数据库安全性与完整性-范式-E-R图
- 标志寄存器02 - 零基础入门学习汇编语言55
- 编写myqq即时聊天脚本,实现相互通信(tcp协议)
- AI面试官来临,教你三招搞定他
- 安装Linux系统不分区的问题,浅谈linux系统的分区问题
- 网络看不到计算机和设备,网络发现已关闭,网络计算机和设备不可见。请启用网络和共享中心中的网络发现。解决方法...
- 【FireFox】火狐浏览器的Flash插件安装
- 相遇在世界尽头与冷酷仙境
- blackscholes matlab,基于MATLAB的Black-Scholes-Merton欧式期权定价模型的计算研究
- android 点击退出账号,安卓退出登录功能
- 分享|数智化转型咨询赋能白皮书2021(附PDF)