1. 预期功能安全简介
在汽车四化(电动化、网联化、智能化、共享化)领域,尤其是自动驾驶领域,引入了复杂的感知系统和决策算法,我们发现不是所有的安全问题都来源于E&E系统故障(ISO26262功能安全定义范畴),还需要考虑外界环境(如超出ODD可运行区域范围,恶劣天气等的影响),系统性能局限,驾驶员误用等因素的影响,比如转弯、侧翻的白色卡车。
这类非故障条件下系统功能不及预期,驾驶员误用,外部环境干扰等导致危害事件发生的不合理风险就是SOTIF(ISO/PAS 21448 Safety of the intended function)预期功能安全要解决的问题。
ISO/PAS 21448中SOTIF预期功能安全的描述:“Safety Of The Intended Functionality (SOTIF): absence of unreasonable risk due to hazards resulting from functional insufficiencies of the intended functionality or from reasonably foreseeable misuse by persons.”
以下是SOTIF预期功能安全标准(ISO/PAS 21448-2019)对安全相关标准应用范畴的区分。
如上图所示,ISO26262功能安全解决的是电子电气系统内部的故障、失效问题,一般是部件/模块的参数发生了永久性改变;而SOTIF预期功能安全解决的是系统在特定环境条件下功能不足时的非预期行为,人为误操作,以及环境干扰造成的非预期行为。
ISOS26262功能安全&SOTIF预期功能安全从两个不同的维度,为自动驾驶的安全性提供了标准支撑。ISO26262没有对自动驾驶领域的感知、决策、控制系统,在超出