本文档详细阐述了SOTIF(安全性相关的其他交通参与者行为识别)验证和确认策略的目的,涵盖验证目标、方法、验收标准和工作原则。重点在于确保自动驾驶系统在已知和未知危险场景中的安全性,涉及传感器精度、决策算法、系统鲁棒性、HMI交互、运行设计域、动态驾驶任务适应性、最小风险条件等方面。同时,提到了验证过程中对触发条件、校准和配置数据的考虑,以及如何通过集成测试和分析来获取证据。
9. 验证和确认策略的定义
9.1目的
本条款的内容是为取的如下的目的:
- 针对SOTIF验证和确认策略(包含确认目标),应该考虑1)已知和未知危险场景的评估;2)足够的证据(例如分析结果、测试报告等);3)产生证据的过程。
- 应提供所选验证和确认方法适用性的基本原理。
关于潜在危险行为风险的系统验证和确认活动包括集成测试,针对如下的方面:
- 传感器提供环境的精确信息能满足SOTIF分析的要求;传感器处理算法精确建模环境的能力;
- 决策算法应该满足安全处理功能缺陷,以及根据环境模型和系统架构做出适当决策的能力;
- 系统或功能的鲁棒性;
- 不存在预期功能危险行为的不合理风险;
- 假定基础设施资源的可靠性(如通信网络突然中断或长期无更新可能性);
- HMI防止合理预见的误操作的能力;
- 运行设计域、在整个运行设计域驾驶策略或者行为执行的鲁棒性;
-
动态驾驶任务(Dynamic Driving Task, DDT)的合适性;
-
最小风险条件(Minimal Risk Condition,MRC )的合适性;
为了实现上述目标,需要考虑以下问题:
- 满足条款5.4.1的规范和设计内容;
- 满足条款6.6.2危险行为风险评估;
- 满足6.6.3的可接受标准;
- 满足条款7.5.1的确定规范的潜在不足、性能限制和触发条件;
- 系统的集成和测试计划;
- 根据第13.5.1条从现场监测过程中吸取的经验教训
9.3集成和测试的规范
定义了验证和确认策略,以提供实现目标的论证以及如何满足确认的目标。验证和确认策略覆盖车辆的全部预期功能,包括E/E元件和与实现SOTIF相关的其他技术元件。确定验证目标是为了提供符合验收标准的证据。根据选择的验证方法,可以通过多种方式确定验证目标。
- 验收标准是为了发现已知和未知危险情况造成的风险。在推导验证目标时考虑了这一点。
- 附录C.2 和 C.6给出了 验收标准和验证目标的例子。
例1:考虑与应用相关的以前未知的触发条件的搜索, 验证目标的定义应具有统计置信度,即经验数据支持仍然未知的触发条件不会带来不合理的风险这个假设。
注3 附件B.2,表B.5提供了一个如何生成场景子集的示例。在评估触发条件违反定量目标的可能性时,可考虑所产生行为的暴露、可控性和严重性。这可以减少证明暴露在触发条件下所需的工作量。
注4:附录C.6.4给出了一个推理的例子。
为了实现SOTIF,验证和确认活动需要考虑校准数据和配置数据。
注5:通过评估验证和确认策略,考虑触发条件参数的可变性。有关汽车感知系统验证和确认的进一步实践,请参见附录C.4;
注6:由于功能修改是通过SOTIF迭代过程进行的(图5),因此对系统进行分析来确定现有函数是否受到影响,并使用回归测试重新测试这些函数。这确保了功能修改不会在现有功能中引起潜在的危险行为。用一个适当的理由,可以缩小回归测试的范围。
注7:为确保保持正确的功能行为,任何想发布的版本都要记录完整的测试文档,应该包括未修改元件和受更改影响的重新测试元件的说明资料;
可以使用适当的方法组合获得指定验证和确认活动的方法(例如集成测试用例、分析),考虑到集成级别,如表6所示。
9.4工作原则
验证和确认策略的定义需要满足条款9.1 a)和9.1 b)。
扫一扫
172
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
