(ISO PAS 21448中第12章节内容)
12 SOTIF释放的方法和标准
12.1目标
应执行SOTIF释放工作,目的是:
- 复查SOTIF活动
- 通过考虑SOTIF活动的结果来评估剩余风险的可接受性
为了实现这些目标,需考虑以下信息:
- 功能和系统规范,如第5章节所定义
- 验证和确认的目标,如第6章节所定义
- 对第7章节中定义的触发事件的分析
- 作为第8章节活动结果的功能改进
- 验证和确认策略,如第9章节所定义
- 验证结果,如第10章节所定义
- 第11章节中定义的SOTIF确认结果
12.2 SOTIF释放的评估方法
首先要考虑复查以下因素:
- 确认策略是否考虑了预期功能范围内的所有指定用例?
a. 测试是否涵盖已确定的触发事件?
例如:窄金属结构使得雷达错误地触发制动
b. 它是否不同于之前的确认工作而单独定制的? - 预期的功能是否达到了最低的退而求其次的风险条件,必要时,为消费者或其他道路使用者提供了一个较安全的状态?
a. 只使用指定的驾驶员干预
b. 考虑到合理预见的误操作
c. 警告故障车辆的使用者及/或其他道路使用者 - 是否完成了充分的验证和确认并满足了验收标准,以确信风险不是不合理的?
a. 预期功能是否已充分测试,以评估形同虚设的行为和潜在的非预期行为?
b. 是否真的没有观察到可能导致危险事件的非预期行为? - 在发生可能导致危险事件的非预期行为时,所提供的证据证明不存在不合理的风险?
例如:附件B,C,D
注:SOTIF活动结果的检查可在ISO 26262-2:2008功能安全评估中考虑
12.3 SOTIF释放的流程
基于上述12.2,第3点方法的证据,建议用于释放的“接受”,“有条件接受”或“拒绝”可以使用以下标准确定:
a. 对于“接受”,12.2中的第1、2和3点是满足的;
b. 对于“有条件接受”,12.2中的第1,2,4点是满足的,当风险在规定日期前被证明不是不合理时,条件就满足了;
c. 12.3_a和12.3_b都不满足,SOTIF释放状态为“拒绝”。
参考文档:
ISO PAS 21448 Road vehicles — Safety of the intended functionality
我将结合例子对标准进行解析,请继续关注后续内容。。。