一、概念
预期功能安全(Safty Of The Intended Functionality,SOTIF)是由未知或不确定的非系统故障或人员误操作引起的,具有未知性和不确定性的特点,其主要的风险来源包括系统功能的局限性、环境因素以及人员误用。
action(动作):情景(scenes)中的任何参与者执行的原子性行为。
erroneous pattern(错误的模式):可能触发意外行为的输入。
event(事件):在特定时间和地点发生的事情。
functional improvement(功能改善):对功能、系统或元素规范的修改以减少风险。
intended behaviour(预期行为):预期功能的特定行为,包括各组件之间的交互。
intended functionality (预期功能):
misuse(误操作):操作者以非系统制造商所预期的方式使用系统
misuse scenario(误操作场景):发生误操作的场景
performance limitation(性能极限):预期功能实现不足
二、风险来源
(1)系统功能局限
A.系统功能的定义不完全符合相关市场对系统功能的需求;
B.在系统设计的过程中对相关场景考虑不充分,导致系统对环境要素的识别不够准确;
C.系统的决策逻辑设计不合理,导致运行中系统决策出现问题;
D.执行器对系统决策的响应不足,导致车辆的应对达不到预期要求。
(2)环境因素
A.道路状况
B.车辆周围事物
C.天气情况(特殊的天气可能会影响到传感器数据的可靠性)
三、预期功能安全的研究挑战
(1)自动驾驶汽车系统感知的不充分,主要包括漏检和错检;
(2)由场景的随机变化及人工智能算法等因素造成SOTIF度量的不准确;
(3)SOTIF的测试里程长,效率低,不全面
四、预期功能安全标准
ISO21448国际标准:定义了预期功能安全(SOTIF)
五、SOTIF流程
场景: 已知的安全场景(区域1)、已知的不安全场景(区域2)、未知的不安全场景(区域3)、未知的安全场景(区域4)
ISO 21448
第一章:Scope(范围)
第二章:List item Normative references(引用标准)
第三章:Terms and definitions(术语和定义)
第四章:Overview of this document’s activities in the development process(本文档在开发过程中的活动概述)
第五章:Functional and system specification (intended functionality content)(功能和系统规范(预期的功能内容))
第六章:Identification and Evaluation of hazards caused by the intended functionality(预期功能引起的危害识别和评估)
第七章:Identification and Evaluation of triggering events(触发事件的识别和评估)
第八章:Function modifications to reduces SOTIF related risk(功能修订以减少SOTIF相关的风险)
第九章:Definition of the Verification and validation strategy(验证和确认策略的定义)
第十章:Verification of the SOTIF(SOTIF验证(区域2))
第十一章:Validation of the SOTIF(SOTIF确认(区域3))
第十二章:Methodology and criteria for SOTIF release(SOTIF释放的方法和标准)