7 潜在的功能不足以及触发条件的辨别与评估
7.1 目标
本条款的目标是为了取得以下目的:
- 应该定义说明书的潜在功能不足、限制特性和触发条件(包含合理的可预见的误操作)
-
应评估系统对可能引发危险行为的触发条件的响应是否符合SOTIF。
注:本活动考虑了车辆级预期功能规范的潜在不足,以及系统元件说明书或者潜在性能限制的潜在不足。
7.2 总则
为了能够取得以上条款的目的,需要考虑以下信息:
- 需要符合条款5.4.1的详细说明书和设计的文档;
- 需要符合条款6.6.1的车辆层次的危险;
- 需要符合条款6.6.2的危险行为的评估;
- 需要符合条款6.6.3的可接受标准;
- 已知系统知潜在功能的缺陷、部件、已知潜在的触发条件(包括合理可预见的直接误操作),这些已知潜在的触发条件可以基于外部信息或者经验教训导致危险行为(例如条款13.5.1)
7.2 潜在功能缺陷以及触发条件的分析
7.3.1总则
可以建立一个系统的方法来分析功能不足和缺陷触发条件。这种方法可以考虑从类似项目、专家和现场经验中获得的知识。分析的目的是为了辨别出说明书的缺陷、性能的限制(包含传感器、决策算法以及执行器)以及可能导致危险的场景(包含触发条件)。
这些分析可以并行进行,从以下两个方面着手:
- 从已知的潜在的说明书缺陷以及性能限制方面确定场景;
- 从潜在的环境条件以及合理可预见的无操作去确定潜在的说明书缺陷以及性能限制。
注1:进一步详细的可参考附录B.
这些分析可以帮助系统的潜在功能缺陷的理解以及触发条件的辨别。
注2:分析可以采用归纳法、演绎法或探索性方法;
注3:分析可以采用定性、定量或者两者结合的形式;
注4:定量目标可以根据可接受的评价指标以及系统层次的验证目标定义到系统组件层次;
注5:所有相关用例参数的适当抽象有助于处理大量的用例组合。
注6:可以从交通统计中找出合理的有用的用例(这些用例可能导致潜在的危险行为)。
例子1 在雪地上以非常高的速度行驶不是一个合理的用例,因为它被认为是对车辆的滥用。
注7:这些分析可通过大量模拟得到支持,例如使用蒙特卡罗方法。
识别评估说明书的潜在缺陷、性能限制以及触发条件可以参考表4的说明。
依据系统的结构以及元件的潜在功能缺陷,可以分成2类
- 单点的功能缺陷;
- 多点的功能缺陷
这种分类有助于确定实现SOTIF的适当功能修改(参考条款8)。它可用于导出在车辆级实现SOTIF所需的要素级要求(见第5条)。
例2 将传感器的误报检测率降低到指定的性能目标。
它也可以在定义验证策略时使用(参考条款9和附录C.6)
对于给定的性能限制或规范的不足,可能存在多个触发条件,从而导致危险行为;此外,已知的环境条件和合理可预见的误用可能会暴露出若干系统或组件级性能限制或说明书的不足。在危险行为、触发条件和系统或组件级潜在性能限制或规范不足之间建立并保持可追溯性。 图9给出了以危险行为、触发条件和系统或组件级潜在性能限制或规范不足之间联系的一个例子。
在下面的部分中,决策算法和传感器是分开处理的,以允许更结构化的表示。如果有利,传感器列表中的项目也可用于决策算法分析,反之亦然。
7.3.2与决策算法有关的潜在功能缺陷以及触发条件。
可以通过分析与决策算法相关的说明书的缺陷、 性能限制和触发条件来确定:
- 根据第8.3条改进SOTIF的措施;
- 根据第10.4条进行规划算法验证;
- 根据第11条评估未知危险情况
分析除了其它的,还需要考虑以下的内容:
- 环境和位置;
-
道路基础设施;
-
城市或农村基础设施;
- 高速路基础设施;
- 司机或者使用者的行为(包括合理可预见的误操作)
- 其它司机或者道路使用者的潜在行为;
- 驾驶环境(例 施工现场、事故、紧急通道堵车、错向行驶的车辆);
- 决策算法的限制(例不能够处理可能的场景、或不确定行为);
- 机器学习规范的不足;
- 机器学习中数据的不足;
注: 潜在的功能缺陷不足被包含在条款5.2的参考列表中。
7.3.2与传感器和执行器有关的潜在功能缺陷以及触发条件。
可以通过分析与传感器和执行器相关的说明书的缺陷、 性能限制和触发条件来确定:
- 根据第8.3条改进SOTIF的措施;
- 根据第10.3条进行传感器的验证;
- 根据第10.5条进行执行器的验证;
- 根据第11条评估未知危险情况
分析除了其它的,还需要考虑以下的内容:
- 运行设计域;
- 天气条件;
- 物理扰动(例车辆的传感器位置的振动导致传感器输出噪声);
- 传感器上的灰尘;
- 电磁干扰(EMI);
- 来自其他车辆或其他来源(如雷达或激光雷达)的干扰;
- 声干扰;
- 刺眼的光;
- 低质量的反射;
- 精度、范围,响应时间;
- 耐久性、磨损、老化对性能的影响;
- 职权能力(执行器的使用例,预期功能可以作用于液压刹车系统的最大压力)
例1:雨和雪会影响雷达的性能。
注1: 已知情景的组合可以导致潜在的危险行为;
注2: 对于特定的类别的分析可以参考附录B,可以基于类似行业的领域经验以及知识确定详细的干扰;
注3: 与AD或先进驾驶辅助系统(ADAS)功能相关的传感器输入也可以由基础设施元件提供;
此外,在可能的数值范围内,可以对每个环境的输入进行系统分析。
7.3.4合理可预见误操作的分析
预期功能的合理可预见的误操作可以触发一个危险行为。直接误用分析作为触发条件分析的一部分包含在本条中。
直接误用的原因可以是:
- 对于系统的缺乏理解
- 给用于提供错误的信息(如:不充分、不适当不正确的信息)
- 注意力的缺失;
- 对系统的错误认知
- 系统设计对用户交互的错误假设。
表5 提供了一些合理可预见误操作的分析方法,除此之外,附录B.1描述了它描述了一种推导SOTIF误用场景的方法。
注1:详细方法见附录B.1“SOTIF误用情景推导方法”;
注2:驾驶员不能控制车辆的情景不在本文的分析的内容中;
可以评估为防止或减轻合理可预见的滥用(间接或直接)而采取的额外措施的必要性以及这些措施的有效性,同时估计系统对潜在触发条件的响应的可接受性。这些措施的有效性可以在验证和确认阶段进行证明。
7.4系统对触发条件响应可接受性的估计
评估包含已识别触发条件的场景,以确定SOTIF是否被视为可实现。
注1:这些已知场景将条款10进行验证,以提供对其可接受性的最终评估。
注2: 具体而言,对于SOTIF产生成果的评价所用到或者产生的假设可以基于条款10进行验证;
例1:评估过程中考虑的假设可以包括系统及其组件的预期行为,或用户的假设行为。
在以下情况下,SOTIF被视为可实现,无需进一步的功能修改(如第8条所述):
- 危险事件的系统剩余风险被视为低于第6.5条规定的验收标准;
注3:在验证和确认期间,可以产生用于风险评估的证据。
- 目前还没有已知的情况会导致特定道路使用者面临不合理的风险
注4:即使车队触发条件的概率很低(作为场景的一部分),如果给定单个车辆遇到此类场景的概率很高,系统的响应也可能是不可接受的。
根据上述条件,系统对不可接受的触发条件的响应需要进一步修改系统(如第8条所述)。
7.5工作原则
7.5.1说明书的功能缺陷、性能限制以及触发条件的辨别(包括合理可预见的直接误用),要实现的目标为7.1.a)
7.5.2 评估系统对确定的触发条件的响应,来确定关于SOTIF的可接受性,要实现目标7.1 b)。