预期功能安全(Safety of The Intended Functionality,SOTIF)是针对自动驾驶车辆的一个安全概念,它主要关注的是车辆在正常运行时可能出现的安全问题,这些问题可能源于设计不足或性能局限,而非系统失效。SOTIF的核心目标是确保自动驾驶系统在面对各种复杂和未知的驾驶环境时,能够安全地运行,避免因功能不足或误用导致的不合理风险。
SOTIF的研究背景主要是随着自动驾驶技术的发展,传统的以质量保障为中心的车辆安全体系已不足以满足自动驾驶车辆的安全需求。因此,需要建立一套新的安全评判准则体系,指导自动驾驶车辆的设计开发和测试评价工作。
一、SOTIF的关键活动
- 规范定义和设计:在SOTIF活动的开始,需要明确车辆的功能和系统规范,这可能包括对已知功能不足的识别和设计更新。
- 危害的识别与评估:需要对可能的危害事件进行识别,并评估其风险,确定是否可接受。
- 功能修改以降低风险:基于风险评估的结果,对车辆的功能进行必要的修改,以减少SOTIF风险。
- 验证和确认策略的定义:制定验证和确认策略,确保整车层面的残余风险符合可接受水平,并且系统满足其功能要求。
- 已知和未知场景的验证:通过测试用例验证系统在已知和未知场景下的表现,确保对设计运行范围(Operational Design Domain, ODD)的覆盖度足够高。
- SOTIF发布准则:评估SOTIF活动的结果,论证是否实现了预期功能安全,并满足发布标准。
SOTIF与功能安全(Functional Safety)不同,功能安全主要关注因系统失效导致的危害,而SOTIF关注的是即使系统按设计运行,也可能因为设计不足或性能局限而产生的风险。两者共同为自动驾驶车辆提供了全面的安全保障。
二、ISO 21448标准
国际标准化组织(ISO)制定的专门针对自动驾驶车辆的预期功能安全,《道路车辆-预期功能的安全性》标准提供了一套全面的技术指导,以帮助开发者和评估者理解和实施SOTIF相关的活动。
作为一个关键的国际标准,旨在补充ISO 26262功能安全标准,以解决由非硬件故障引起的安全风险。本文档将深入探讨ISO 21448的核心概念、目的、关键要素及其在现代车辆技术中的应用。
ISO 21448是一个指导性技术规范(PAS),它专注于评估和管理由功能限制、设计不足或使用场景中不可预见因素导致的风险。SOTIF标准适用于所有包含电子系统和软件控制功能的道路车辆,从辅助驾驶系统到全自动驾驶车辆。
1.为何需要SOTIF
尽管ISO 26262为道路车辆电气和电子系统的功能安全提供了框架,但它主要集中在防止由随机硬件故障或系统性故障引起的不安全行为。ISO 21448则填补了功能安全的一个重要空白,关注那些系统按设计工作但可能因性能限制、外部环境因素或人为操作不当而引发的风险。例如,当一个自动驾驶系统因为无法识别特定类型的交通标志而做出错误决策时,这就是SOTIF所要解决的问题。
2.核心术语与定义
● 预期功能的安全性 (SOTIF):确保由于预期功能的功能不足或合理可预见的人员滥用而导致的危险不存在不合理的风险。
● 功能不足:系统无法在规定的边界条件下正确执行其预期功能。
● 合理可预见的滥用:系统在非预期使用情况下,用户可能采取的行动,这些行动虽不合理但可预测。
3.关键要素
● 场景分析与危害识别:识别车辆可能遇到的所有场景,并分析每个场景下潜在的危害。
● 功能要求与规范:明确系统的功能需求,确保它们覆盖所有必要的使用场景,并且能够安全地处理这些场景。
● 系统设计与验证:设计系统时考虑SOTIF原则,采用模拟、测试和验证手段确保系统在各种条件下都能安全运行。
● 监控与响应策略:集成监控机制,以便在系统遇到超出其处理能力的场景时,能安全地降级或提示人类驾驶员介入。
4.案例实践
● 自适应巡航控制:如果由于不完全规范导致车辆未能与前车保持安全距离,SOTIF分析会识别此风险并推动改进规范和系统设计。
● 未识别道路标志处理:系统通过增强对不常见或新出现的交通标志的识别能力,减少因规范缺失引发的安全隐患。
三、结论
ISO 21448作为道路车辆预期功能安全的国际标准,对于推动自动驾驶技术的安全进步至关重要。它要求制造商和开发者从设计之初就全面考虑系统功能的局限性和实际道路环境的复杂性,确保技术的稳健性和可靠性。随着自动驾驶技术的不断成熟,遵循SOTIF原则将成为确保公共道路安全的基石。
中国也在积极推动SOTIF技术和标准的国内应用和实施,制定了相关的研究规划和标准体系,以促进自动驾驶汽车的安全发展。
849
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
