无人驾驶系统ISO 26262和ISO 21448开发流程的融合

确保安全对于自动驾驶汽车来说非常重要。自动驾驶安全性主要可以从两个角度来看：功能安全(FuSa)和预期功能安全(SOTIF)。FuSa确保系统在电气和电子元件失效时的风险可接受，而SOTIF确保系统在功能不足和性能限制时的风险可接受。

ISO 26262 和ISO 21448是先进的国际标准，分别用于确保自动驾驶汽车系统符合FuSa和SOTIF。ISO 21448标准提到需要使ISO 26262开发活动与ISO 21448开发活动保持一致，并在非常高的层次上描述了映射关系。然而，考虑到ISO 21448中SOTIF开发活动的迭代性质，两个标准之间的工作流程并不是直接的一对一映射。因此，我们需要清楚地了解如何调整ISO 26262和ISO 21448开发活动，以及在一个标准中进行的分析如何影响另一个标准。

为实现这一目标，我们在本文中提出了ISO 26262和ISO 21448标准之间的详细工作流程。我们讨论了如何确定由于SOTIF更改而导致的设计变更是否会影响FuSa分析，反之亦然。我们还讨论了敏捷开发需要考虑的安全流程问题。

介绍

在开发汽车系统时，安全是我们需要考虑的重要方面之一。随着许多公司转向自动驾驶，系统的复杂性一直在增加，进而增加了安全保障方面的复杂性。安全标准，例如ISO 26262、ISO 21448，和ANSI/UL 4600就工程师和分析师如何确保汽车系统的安全性提供指导。

ISO 26262是一项功能安全标准，它为如何证明系统的电气和电子组件不会产生不可接受的风险提供了指导。ISO 21448是预期功能的安全性(SOTIF)标准，它提供了有关如何确保系统不存在由于系统中组件的功能不足和性能限制而导致的不合理风险的指南。SOTIF标准旨在减少已知和未知的风险。与ISO 26262和ISO 21448标准不同，UL 4600是一个为无人系统构建安全档案提供指导的标准。这三个标准都有助于提高自动驾驶汽车的安全性。

虽然UL 4600是一个独立的标准，但ISO 21448第4.4条提到需要使其开发活动与ISO 26262开发活动保持一致。虽然ISO 21448附件A.2.3提供了有关ISO 21448和ISO 26262开发活动一致性的顶层信息，但我们没有足够的信息来说明这些开发活动如何相互作用。此外，ISO 26262将其分析限制在与安全系统相关的电气和电子元件。然而，ISO 21448适用于整个自动驾驶汽车以及任何人机界面。因此，有必要了解系统、硬件和软件级别的活动的首选工作流程是什么，以及如何制定既能从ISO 26262和ISO 21448的角度确保安全，又有助于识别未知风险的系统化流程。

为了解决这一局限性，我们在本文中详细介绍了使ISO 26262和ISO 21448之间的开发活动保持一致的工作流。我们还讨论了工作流中考虑的流程背后的原因，并给出了一个说明性示例来展示工作流程。我们相信我们的工作流程将有助于在组织中创建更好的流程，并促进协同工作的团队之间更好的沟通。

背景及相关工作

ISO 26262

ISO 26262是道路车辆的功能安全标准。功能安全是指不存在由于电气和电子系统失效而导致的不合理风险。ISO 26262遵循系统级开发、硬件开发和软件开发的V模型。ISO 26262所遵循的过程模型以及与各阶段相关的部分编号如图1所示。

我们从概念阶段（ISO 26262第3部分）开始，在此阶段我们定义要分析功能安全的相关项。创建功能框图并确定与每个模块关联的功能。相关项定义完成后，我们将识别项目边界内模块的故障。基于这些故障，我们识别相应的危害并进行危害分析和风险评估(HARA)。在HARA期间，我们为每个故障分配严重性(S)、可控性(C)和暴露(E)等级，