车辆预期功能安全标准21448笔记(七)
7 潜在的功能不足以及触发条件的辨别与评估
7.1 目标
本条款的目标是为了取得以下目的:
- 应该定义说明书的潜在功能不足、限制特性和触发条件(包含合理的可预见的误操作)
应评估系统对可能引发危险行为的触发条件的响应是否符合SOTIF。
注:本活动考虑了车辆级预期功能规范的潜在不足,以及系统元件说明书或者潜在性能限制的潜在不足。
7.2 总则
为了能够取得以上条款的目的,需要考虑以下信息:
- 需要符合条款5.4.1的详细说明书和设计的文档;
- 需要符合条款6.6.1的车辆层次的危险;
- 需要符合条款6.6.2的危险行为的评估;
- 需要符合条款6.6.3的可接受标准;
- 已知系统知潜在功能的缺陷、部件、已知潜在的触发条件(包括合理可预见的直接误操作),这些已知潜在的触发条件可以基于外部信息或者经验教训导致危险行为(例如条款13.5.1)
7.2 潜在功能缺陷以及触发条件的分析
7.3.1总则
可以建立一个系统的方法来分析功能不足和缺陷触发条件。这种方法可以考虑从类似项目、专家和现场经验中获得的知识。分析的目的是为了辨别出说明书的缺陷、性能的限制(包含传感器、决策算法以及执行器)以及可能导致危险的场景(包含触发条件)。
这些分析可以并行进行,从以下两个方面着手:
- 从已知的潜在的说明书缺陷以及性能限制方面确定场景;
- 从潜在的环境条件以及合理可预见的无操作去确定潜在的说明书缺陷以及性能限制。
注1:进一步详细的可参考附录B.
这些分析可以帮助系统的潜在功能缺陷的理解以及触发条件的辨别。
注2:分析可以采用归纳法、演绎法或探索性方法;
注3:分析可以采用定性、定量或者两者结合的形式;
注4:定量目标可以根据可接受的评价指标以及系统层次的验证目标定义到系统组件层次;
注5:所有相关用例参数的适当抽象有助于处理大量的用例组合。
注6:可以从交通统计中找出合理的有用的用例(这些用例可能导致潜在的危险行为)。
例子1 在雪地上以非常高的速度行驶不是一个合理的用例,因为它被认为是对车辆的滥用。
注7:这些分析可通过大量模拟得到支持,例如使用蒙特卡罗方法。
识别评估说明书的潜在缺陷、性能限制以及触发条件可以参考表4的说明。
依据系统的结构以及元件的潜在功能缺陷,可以分成2类
- 单点的功能缺陷;
- 多点的功能缺陷
这种分类有助于确定实现SOTIF的适当功能修改(参考条款8)。它可用于导出在车辆级实现SOTIF所需的要素级要求(见第5条)。
例2 将传感器的误报检测率降低到指定的性能目标。
它也可以在定义验证策略时使用(参考条款9和附录C.6)
对于给定的性能限制或规范的不足,可能存在多个触发条件,从而导致危险行为;此外,已知的环境条件和合理可预见的误用可能会暴露出若干系统或组件级性能限制或说明书的不足。在危险行为、触发条件和系统或组件级潜在性能限制或规范不足之间建立并保持可追溯性。 图9给出了以危险行为、触发条件和系统或组件级潜在性能限制或规范不足之间联系的一个例子。
在下面的部分中,决策算法和传感器是分开处理的,以允许更结构化的表示。如果有利,传感器列表中的项目也可用于决策算法分析,反之亦然。
7.3.2与决策算法有关的潜在功能缺陷以及触发条件。
可以通过分析与决策算法相关的说明书的缺陷、 性能限制和触发条件来确定:
- 根据第8.3条改进SOTIF的措施;
- 根据第10.4条进行规划算法验证;
- 根据第11条评估未知危险情况
分析除了其它的,还需要考虑以下的内容:
- 环境和位置;
道路基础设施;
城市或农村基础设施;
- 高速路基础设施;
- 司机或者使用者的行为(包括合理可预见的误操作)
- 其它司机或者道路使用者的潜在行为;
- 驾驶环境(例 施工现场、事故、紧急通道堵车、错向行驶的车辆);
- 决策算法的限制(例不能够处理可能的场景、或不确定行为);
- 机器学习规范的不足;
- 机器学习中数据的不足;
注: 潜在的功能缺陷不足被包含在条款5.2的参考列表中。
7.3.2与传感器和执行器有关的潜在功能缺陷以及触发条件。
可以通过分析与传感器和执行器相关的说明书的缺陷、 性能限制和触发条件来确定:
- 根据第8.3条改进SOTIF的措施;
- 根据第10.3条进行传感器的验证;
- 根据第10.5条进行执行器的验证;
- 根据第11条评估未知危险情况
分析除了其它的,还需要考虑以下的内容:
- 运行设计域;
- 天气条件;
- 物理扰动(例车辆的传感器位置的振动导致传感器输出噪声);
- 传感器上的灰尘;
- 电磁干扰(EMI);
- 来自其他车辆或其他来源(如雷达或激光雷达)的干扰;
- 声干扰;
- 刺眼的光;
- 低质量的反射;
- 精度、范围,响应时间;
- 耐久性、磨损、老化对性能的影响;
- 职权能力(执行器的使用例,预期功能可以作用于液压刹车系统的最大压力)
例1:雨和雪会影响雷达的性能。
注1: 已知情景的组合可以导致潜在的危险行为;
注2: 对于特定的类别的分析可以参考附录B,可以基于类似行业的领域经验以及知识确定详细的干扰;
注3: 与AD或先进驾驶辅助系统(ADAS)功能相关的传感器输入也可以由基础设施元件提供;
此外,在可能的数值范围内,可以对每个环境的输入进行系统分析。
7.3.4合理可预见误操作的分析
预期功能的合理可预见的误操作可以触发一个危险行为。直接误用分析作为触发条件分析的一部分包含在本条中。
直接误用的原因可以是:
- 对于系统的缺乏理解
- 给用于提供错误的信息(如:不充分、不适当不正确的信息)
- 注意力的缺失;
- 对系统的错误认知
- 系统设计对用户交互的错误假设。
表5 提供了一些合理可预见误操作的分析方法,除此之外,附录B.1描述了它描述了一种推导SOTIF误用场景的方法。
注1:详细方法见附录B.1“SOTIF误用情景推导方法”;
注2:驾驶员不能控制车辆的情景不在本文的分析的内容中;
可以评估为防止或减轻合理可预见的滥用(间接或直接)而采取的额外措施的必要性以及这些措施的有效性,同时估计系统对潜在触发条件的响应的可接受性。这些措施的有效性可以在验证和确认阶段进行证明。
7.4系统对触发条件响应可接受性的估计
评估包含已识别触发条件的场景,以确定SOTIF是否被视为可实现。
注1:这些已知场景将条款10进行验证,以提供对其可接受性的最终评估。
注2: 具体而言,对于SOTIF产生成果的评价所用到或者产生的假设可以基于条款10进行验证;
例1:评估过程中考虑的假设可以包括系统及其组件的预期行为,或用户的假设行为。
在以下情况下,SOTIF被视为可实现,无需进一步的功能修改(如第8条所述):
- 危险事件的系统剩余风险被视为低于第6.5条规定的验收标准;
注3:在验证和确认期间,可以产生用于风险评估的证据。
- 目前还没有已知的情况会导致特定道路使用者面临不合理的风险
注4:即使车队触发条件的概率很低(作为场景的一部分),如果给定单个车辆遇到此类场景的概率很高,系统的响应也可能是不可接受的。
根据上述条件,系统对不可接受的触发条件的响应需要进一步修改系统(如第8条所述)。
7.5工作原则
7.5.1说明书的功能缺陷、性能限制以及触发条件的辨别(包括合理可预见的直接误用),要实现的目标为7.1.a)
7.5.2 评估系统对确定的触发条件的响应,来确定关于SOTIF的可接受性,要实现目标7.1 b)。
车辆预期功能安全标准21448笔记(七)相关推荐
- ISO PAS 21448 SOTIF(预期功能安全)笔记(四)
(ISO PAS 21448中第6章节内容) 6 Identification and Evaluation of hazards caused by the intended functionali ...
- ISO PAS 21448 SOTIF(预期功能安全)笔记(二)
(ISO PAS 21448中第4章节内容) 4 Overview of this document's activities in the development process(本文档在开发过程中 ...
- ISO PAS 21448 SOTIF(预期功能安全)笔记(七)
(ISO PAS 21448中第9章节内容) 9 验证和确认策略的定义 9.1 目标 验证和确认策略应定义为: 支持SOTIF的基本原理 生成必要的证据(例如,分析结果.测试报告.专门的调查) 制定产 ...
- EEA——预期功能安全
一.概念 预期功能安全(Safty Of The Intended Functionality,SOTIF)是由未知或不确定的非系统故障或人员误操作引起的,具有未知性和不确定性的特点,其主要的风险来源 ...
- SOTIF预期功能安全分析方法
文章目录 1. 预期功能安全简介 2. SOTIF中的场景分类 3. SOTIF预期功能安全分析方法 1. 预期功能安全简介 在汽车四化(电动化.网联化.智能化.共享化)领域,尤其是自动驾驶领域,引入 ...
- 基于零日漏洞的自动驾驶预期功能安全风险评估方法
目录 一.背景 二.建模 1.简易模型 2.详细模型 三.风险评估流程 步骤一: 步骤二: 步骤三: 步骤四: 步骤五: 四.结论 上海控安信息安全轩辕实验室提出基于零日漏洞的自动驾驶预期功能安全危害 ...
- 科普:自动驾驶预期功能安全(三)
预期功能安全(SOTIF)是在自动驾驶技术发展的大背景下出现的,是自动驾驶从L2到L3跨越的必然需求.随着自动驾驶技术的发展,人们发现车辆安全问题并非都源于系统错误和失效.在复杂的系统以及场景中,问题 ...
- SOTIF 预期功能安全ISO21448介绍、功能安全标准ISO26262 与若干安全标准的适用范围和开发流程映射
SOTIF 预期功能安全ISO21448介绍.功能安全标准ISO26262 与若干安全标准的适用范围和开发流程映射 ISO 21448 中规定了预期功能安全的设计开发流程图, 如下图所示.首先从 第 ...
- 智能驾驶汽车的预期功能安全
"智能汽车生态群"加微信Time-machine-(备注公司+姓名) 0 前言 当前对智能驾驶汽车预期功能安全研究尚处于起步阶段,主要集中在讨论研究范畴及对内涵的理解.欧宝汽车提出 ...
最新文章
- 新人工智能算法速度无极限
- 【Oracle】undo 自动调优
- VB:使用Visual Studio 2010中的VB语言工具箱DataGridView调用SQL数据库Database的表格文件
- AI换脸引发全民恐慌,用对方向却能推动行业变革
- 数据结构与算法之时间复杂度详解
- arm linux文件传输工具
- c语言加花指令,花指令的应用
- Dubbo + RestEasy 实现文件上传与下载
- Mobile and MID opportunities in APAC
- 渗透测试入门17之一次完整的渗透测试流程
- Android Palette颜色提取
- Python基础——zip、lambda、map
- vue(组件、路由)懒加载
- Html5——WebSocket
- oracle数据库补丁号解释,Oracle数据库版本对应的PSU和补丁号码
- sendRedirect的路径
- 教你用python爬虫下载1w+『ppt模板』,再也不用付费去购买啦!
- WHQL之无需HLK结果就可获得微软驱动数字签名+Cannot specify [ClassInstall32] section解决
- WebRTC协议学习之一(WebRTC简介)
- Python文件的操作