8针对SOTIF相关风险的功能修改
8.1目标
这个条款的目的是为了实现如下目的:
a) 确定并应用应对SOTIF相关风险的措施;
b) “规范和设计"的输入信息需要更新;
8.2总则
为了实现这个条款的目的,需要考虑以下信息:
- 说明与设计需要按照条款5.4.1;
- 危险行为的评估需要遵循条款6.6.2;
- 需要符合条款7.5.1的说明书的潜在功能不足、性能限制、触发条件的确定;
- 已知场景的验证结果(根据第10.8.1条),如有;
- 未知危险场景验证结果(根据第11.5.1条),如有;
- SOTIF发布论证(根据第12.5.1条),如有;
8.3提高SOTIF的措施
8.3.1介绍
本条款中考虑应对SOTIF相关风险措施(以下简称“SOTIF措施”)在以下条件下进行:
- 初始规范和设计的预期功能(第5条)被确定为具有需要进一步分析的危险场景(在危险事件的风险评估中被评估为可能造成损害)(第6条);
- 系统对引起危险场景不可接受的已识别触发条件的响应(已知的情况是,触发危险事件的剩余风险不符合可接受的标准,并导致不合理的风险)(第7条))。
在上述条件下,系统通过反复考虑本条中的SOTIF措施,用这些SOTIF措施更新规范和设计(第5条),并使用更新后的规范和设计对预期功能(第6条和第7条)进行风险评估。
将在验证和确认阶段对该详细系统(包括SOTIF措施的有效性)进行评估,在下列情况下,可能需要重新激活本条款:
- 已知危险场景的剩余风险被判定为不可接受(条款10);
- 遭遇了一个未知的危险场景(剩余风险是不可接受的)(条款11);
- 虽然通过了验证和确认,但是剩余风险被认为是不可接受的。
在上述情况下,重复第5条至第8条,以改进系统。
SOTIF措施可由解决SOTIF相关风险的“避免”和“缓解”选项组成,SOTIF措施涉及到多种措施,避免风险的措施不减轻风险的措施更可取。
对于SOTIF措施的使用,需要下面的内容:
- 除正在处理的系统和要素外,对其他系统和要素没有不利影响;
- 除正在处理的危险场景外,没有其他不知道的危险场景;
此外,SOTIF措施即使经过精心设计和实施,也可能不会产生预期的结果,并可能产生意想不到的后果。因此,进行第13条所述的监测和审查是SOTIF措施实施的重要组成部分,以确保SOTIF措施仍然有效。
条款8.3.2到8.3.5描述了可能的SOTIF措施
8.3.2系统的改造
系统修改的措施主要是避免(如果不是避免,则有助于缓解)解决SOTIF相关风险的措施,旨在尽可能维护预期功能。这些措施包括但不限于:
- 提高传感器的性能或者精度;
-
提高执行器的性能或者精度;
-
提高感知决策算法的性能。
8.3.3功能限制
功能限制措施主要是缓解措施(在某些情况下是避免措施),旨在通过降低(或限制)预期功能来维持部分功能。这些措施包括但不限于:
- 对特定用例的预期功能的限制;如道路检测不清楚的时候,道路保持功能不能使用;
- 对特定用例的预期功能的权限限制;由于午后阳光反射周围光线而使照相机失明;
- 取消特定用例的预期功能的权限;自动驾驶汽车不能处理收费站的收费,需要人工接管。
8.3.4权利移交
将权力从系统移交给驾驶员,以提高关键操作情况影响的可控性(转换本身是可控的,不代表对驾驶员的额外风险),包括但不限于
- 改善人机界面
- 改进预警和降级策略
- 从其他来源获得指导
8.3.5 解决误用问题
针对误操作的措施,包括但不限于
- 客户教育(对驾驶员进行培训)
- 改善人机交互界面,如提示人员正确的操作方法
- 监测和预警系统,例如,方向盘被释放时警告司机
8.3.6 SOTIF措施实施的注意事项
监视和修正对于保证SOTIF措施有效是非常重要的,包括但不限于
- SOTIF相关风险的可测试性;
- SOTIF相关风险的诊断能力;
- SOTIF相关风险数据监测能力。
8.4升级系统规范和设计
根据第8.3条确定和应用的SOTIF措施条例进行更新
8.5工作原则
SOTIF措施规范应该满足条款8.1a和8.1b。
参考文档:ISO/DIS 21448:2021(E) Road vehicles — Safety of the intended functionality