本文探讨了现代汽车系统中融合功能安全(FS)和预期功能安全(SOTIF)的开发案例,特别是在自动驾驶汽车(AV)领域的应用。FS关注系统内部失效导致的风险,而SOTIF则专注于非确定性因素和算法性能限制。文章介绍了如何结合ISO 26262和ISO PAS 21448标准,建立一个通用的安全生命周期,以整合FS和SOTIF的需求,确保全程可追溯性和安全档案创建。通过危害分析、风险评估、触发事件分析等步骤,提出了一种将FS和SOTIF生命周期融合的方法,以提高自动驾驶系统的安全性。
摘要
现代汽车系统必须符合严格的安全要求。本文侧重于安全的两个方面:符合ISO 26262 (FS)的功能安全和符合ISO PAS 21448的预期功能安全(SOTIF)。FS包含整个生命周期,确保不存在由于系统内部失效而导致的不合理风险。SOTIF专注于非确定性部分和算法(例如神经网络),因为它们的性能的完整规范现在还遥不可及。同时,FS及其生命周期为社会所熟知,并且具有更好的实施历史。本文介绍了一种基于FS生命周期来集成FS和SOTIF需求的方法。
1.简介
提高道路车辆的自主性是当今汽车行业的最重要趋势之一。开发人员和车厂面临的挑战之一是如何在任何情况下保证自动驾驶汽车(AV)内部和周围人员的安全。多年来,安全保障方法一直在不断发展,没有任何终结的迹象。本文介绍了汽车安全相关的术语,以及工程师为确保安全所采取的主要策略。
根据欧亚经济联盟TR TS 018/2011技术法规“轮式车辆安全”,“车辆安全”被定义为“将危害人员生命、健康、财产的风险消除或最小化”。立法者承认不可能完全消除与车辆相关的风险。该法律的目的是激励车辆设计者和制造商以及其他车辆生命周期参与者,在整个生命周期中采取措施应对这些风险。
功能安全规范(例如ISO 26262)遵循此范例。功能安全(FS)解决由系统错误(即其组件故障)引起的故障。现代自动驾驶(AD)系统和高级驾驶员辅助系统(ADAS)高度依赖于非确定性、通常基于AI算法(例如目标识别、使用机器学习技术的路径规划)提供的外部数据。在这些情况下,即使是无故障的系统也可能由于系统性能的限制而表现出危险行为。ISO PAS 21448中制定的预期功能安全(SOTIF)的新范例解决了这个问题。
FS和SOTIF都规定了用于识别和控制风险的生命周期过程。FS生命周期因其较长的历史而广为人知并得到更广泛的实施,而随着车辆自主性的提高,SOTIF措施变得越来越必要。这两个生命周期可以结合起来,以实现需求的全程可追溯性并促进安全档案的创建。
2.FS和SOTIF的范围
众所周知,仅在不同的ISO标准中,就可以找到40多种安全定义。令人惊讶的是,ISO 26262和ISO PAS 21448都同意将安全定义为不存在不合理的风险。他定义了每个标准的范围:
·功能安全:不存在因E/E系统故障行为引起的危害而导致的不合理风险(ISO 26262-1,Def.1.51)。
※故障行为被定义为一个相关项相对于其设计意图的失效或非预期行为(这又是未定义的)。
·预期功能的安全性:不存在由于预期行为的性能限制或用户合理可预见的误用引起的危害而导致的不合理风险(ISO PAS 21448,Def.3.5)。
※性能限制:功能本身的不足(例如:对场景的不正确认识或由不可行的模型假设引起)–ISO PAS 21448,Def.3.4。
两个标准中定义的范围都不够明确,因为没有明确区分“故障”和“性能限制”。两者都被定义为与期望行为的偏差。可以说FS和SOTIF的范围存在重叠。与其细化定义以得出更清晰的区别,更有用的方法是定义安全方面,哪些方面最好用FS方法处理,哪些方面SOTIF方法更有益。
图1.安全方法:用例
业界采用安全方法论来控制(即系统地识别、减少、减轻和评估残留)风险。只有将与不同方法论(这里的不同方法论追求相同的目标)相关的方法放在一个生命周期中,才能实现对各种方法论的有效使用。
图1没有完整性声明,除此之外,还存在交叉依赖关系,例如,如果误用在故障情况下变得危险,则功能安全处理非故意误用问
最低0.47元/天 解锁文章
扫一扫
920
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
