5.4 工作原则
详细的规范、设计以及目标文件可以参考5.1a 和5.1.b。
注:详细的规范、设计文档可以分为几个文档,如:与SOTIF相关的系统需求规范、功能规范和设计规范。
6 危害识别与评价
6.1 目的
这个条例是为了取的如下的目的:
- 应识别在车辆级别上定义的危险;
- 应系统地识别和评估预期功能在相关场景中的危险行为所产生的风险,应规定定义危险行为的参数;
注:危害识别与评价应该包括合理的直接或者间接误操作引起的风险。
应规定用于评估剩余风险的验证目标的验收标准。
6.2 总则
为支持本条款的目标,可考虑以下信息:
- 系统危害识别与评价应该符合5.4.1条款;
- 用于推导验收标准的可用数据。
6.3 风险的识别
在车辆级别系统地确定由功能不足引起的危险。这种系统识别主要基于对功能及其可能因功能不足而产生的偏差的知识。可以通过应用ISO 26262指定的方法来实现。ISO 26262系列和本次修正的子条款所要求危害分析过程的共同要素的说明如图7所示。
图8使用一个自动紧急制动(Autonomous Emergency Braking,AEB)系统作为性能限制的例子,来具体说明图7中的术语的含义,这个例子由相同危险行为导致的两种危险, 附录A.2.5, 以AEB为例阐述了这两个过程。
AEB系统具有源于预期功能和故障行为的危险,在危险分析和风险评估中,无论制动级别如何, 可以从功能安全的角度分析意外制动造成的危险。由功能限制引起制动相关的相同危险也属于SOTIF分析的范畴。触发条件的发生与情景暴露之间有着细微但重要的区别, 由于触发条件是场景的特定条件。 如果处于某个场景的概率在统计上独立发生触发条件的概率,那么暴露只能作为进一步降低风险的附加参数。图8提供了一个可以假设统计独立的例子,驾驶员在高速公路上驾驶时的触发条件是一个无法假设统计独立性的例子。C参数可用于评估判断 与SOTIF相关危害是否可控(参考第11条,有关道路参与者反应的研究或假设可用于可控性评级。
注2: 与ISO 26262-3:2018不同,在分析SOTIF相关危险时,此次修正没有包含确定危险事件的汽车安全完整性水平(Automotive Safety Integrity Level,ASIL); 而参数暴露性(Exposure, E)和可控性( Controllability, C)以及严重性(Severity, S)可用于调整验证效果,其中, E可用于选择验证场景。
通过考虑驾驶员或用户与系统的交互作用,可以识别其他危险包括合理可预见的滥用。合理可预见的误用根据其与危险的因果关系加以区分。预期功能的直接误用会导致触发条件,而预期功能的间接误用会导致可控性降低或提高危险行为导致的危险事件的严重性(例如,疏忽的驾驶员误解了功能的限制)。
合理可预见的间接误用的识别以及其影响分析可以参考本条款。
注3:第7.3.4条和附录B.1为合理可预见的误用分析提供了一般指导。
6.4 风险的评估
风险评估的目的是评估特定场景中危险行为所导致的风险,可以帮助制定SOTIF相关风险的验收标准。
危险事件的可控性以及危害的严重程度可以采用ISO 26262-3:2018标准(条款6)中的方法进行评估,对于给定的预期功能相关的危险有独立的危险事件的评估。
注:ISO 26262-3:2018介绍了可控与严重性的分类,而本条款的内容只与危险事件是否可控,危险事件是否可以造成伤害有关。
例1 紧急制动引起的追尾事故的严重程度可以通过限制制动的幅度来降低。幅度限制可以看作是提高可控性的一种安全措施,也可以看作是对预期行为的功能性修改。在分析危险时,限制被认为是预期行为的一部分;相反,限制执行的失败的问题属于其他的安全标准,如ISO26262系列标准。
危险事件的严重性和可控性被用来决定在特定场景中造成的危险结果是否可接受,
例 3: 表3给了一个与SOTIF相关的危险事件和AEB系统潜在后果的一个评价例子。
6.5验收标准的说明
如果不能通过对预期功能的功能性修改来充分降低伤害风险, 则需要定义与危险场景相关的风险的验收标准;如果利用对预期功能的功能性修改和对危害的重新评估,可以得到S=0或C=0,那么伤害的风险是可以接受的, 就无须进一步对剩余的触发条件规定验收标准。
验收标准需要考虑以下几个方面:
- 应该适用于政府和行业规定;
- 如果一项功能是新的或已经在市场已经存在,则风险是否为可能暴露于风险中的人所接受(例如,车辆拥有者、自动公共交通系统中的操作员、行人或乘客)。
例子:此类验收标准可以是所需耐久运行的最小长度期间所观察到的每种类型故障的最大数(例如假阳性、假阴性)。
第9条基于规定的验收标准定义了适当的验证和确认策略。
指定验收标准时可考虑的方法包括:
- 基于目标市场可以获得的交通数据(例如:事故统计、交通分析)[参考附录C2.4];
- 本领域的类似职能部门的现有标准。
如果给出了有效的理由,可以选择适当的定量验收标准。
一个基本的原因可以建立在风险容限原则的基础上,例如总体上至少同样好(Globalement au moins aussi bon,GAMAB)或总体上至少等效(Globalement au moins équivalent,GAME);这两个法语术语的含义都是“总体上至少一样好”。遵循这一原则,任何新系统的剩余风险(安全方面)不高于具有类似功能和危险的现有系统的剩余风险。将这种风险容忍性原则应用于总体剩余风险(即考虑新系统的所有危险)时允许进行相关的风险权衡。即使给定危险的剩余风险增加,这个系统也可以被发布,前提是一个或者其他的几个剩余风险可以抵消这一部分的增长。
注1:附件C2和C6给出了定义以及评估验收的标准和验证目标的示例。
一个基本原因也可以基于尽可能低的合理可行原则(as low as reasonably practicable,ALARP)。ALARP的风险管理框架可以提供有用的风险降低原则,特别是关于在目前尚不存在“良好做法”的情况下开发和引进新技术。承认零风险状态是不可能的,ALARP原则旨在通过权衡风险与进一步降低风险所需的努力,将风险降低到“合理可行”的水平。
一个基本原理也可以基于最小内生死亡率(Minimal Endogenous Mortality ,MEM)原则, MEM原则的思想来源于技术系统的引入不应显著提高社会死亡率。技术系统造成的死亡概率的定量接受标准是从自然原因造成的最小死亡概率推导出来的。
注2:关于GAMAB、GAME、ALARP的描述可以参考 CENELEC-Standard EN 50126-2:2017 A.1 (RAMS) [6].
注3:一个有效的基本原理可以基于整个车队的风险或与单个车辆相关的风险。即使车队在该场景下的触发条件的概率很低,如果给定单个车辆面临此类场景的概率很高,系统的响应也可能是不可接受的。
6.6 工作原则
6.6.1 车辆层次的危险以及实现目标 6.1 a)
6.6.2 危险行为的评估以及实现目标6.1 b)
6.6.3 可接受标准以及实现目标6.1 c)
————————————————————————————————————————————————————————————————————————————————————————————————
将进一步翻译并总结整个标准,请继续关注后续内容。。。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
