SOTIF预期功能安全标准翻译
作者:逯建枫 作者简介:现任爱驰汽车智能驾驶资深工程师,曾就职于安波福和博世。
前言
第三篇系统架构与第四篇软件架构因故删除了。等过段时间重新提炼排版后再补上。
引言
比较合理的汽车安全等级是做到避免不合理风险。ISO26262-1定义了如何避免因电子电器系统故障导致的不合理的安全风险。ISO26262-3详细描述了危害分析与风险评估(HARA)方法来确定整车级危害。该方法主要用来评估因相关项失效导致的潜在风险,并定义顶层安全需求,例如安全目标、减轻风险的必要性等。ISO26262其他章节主要提供需求和建议,来避免并控制那些能影响到安全目标的随机硬件失效或系统性失效。
· 功能无法正确理解场景信息,导致系统无法安全的运行,例如机器学习这种黑盒子算法。
SOTIF的主要目的是为了规避那些因功能限制导致潜在危害行为发生的不合理风险。ISO26262功能安全和SOTIF在关于Safety主题上是互补的。
· 设计阶段的措施,例如传感器性能的需求。
· 确认阶段的措施,例如长期的仿真测试、车辆测试和路试。
在许多案例中,一些触发事件是导致潜在危害行为发生的关键;因此,这些触发事件在特定用例中分析危害就显得非常重要。
另外,合理可预见的误作用(直接导致潜在危险系统行为)也可以考虑成一种可能的触发事件。
ISO26262主要是解决电子电器系统的随机硬件失效和系统性失效。而SOTIF则是ISO26262的补充。
1 范围
本文适用于对安全至关重要的态势感知的预期功能性。态势感知依赖于复杂的传感器和感知算法,尤其是紧急介入系统(例如AEB)和其他ADAS系统。当前版本的SOTIF可以用于更高级别的自动驾驶,不过可能需要其他措施的支持。对于现有的、发布时已经制定了可靠设计、验证和确认措施(例如动态稳定控制系统DSC、安全气囊系统)的成熟系统,本文档不适用。如果有一些创新功能,是基于复杂传感器和算法中提取的感知信息来保持运作的话,本文档可以适用此类系统。
2 引用标准
ISO 26262-1:2018, Road vehicle —— Functional Safety Part 1:Vocabulary
ISO26262-1:2018中给出的术语及定义,在本文件中适用。
— ISO Online browsing platform : available at iso.org/obp
3.1 Action(行动):某个场景中,执行者需要执行的最小原子行为。方案描述主要由动作/事件和场景的时间序列组成。例如:自车触发应急灯。
3.3 Event(事件):发生在特定地点和特定时间点的遭遇。
注释2:本文会涉及到触发事件和危害事件的概念。所谓危害事件是指危害(由故障引起)和特定操作状态的组合。
例2:在某时某分,交通信号灯的绿灯亮了。
3.5 Intended Behavior (预期行为):预期功能的特定行为,包括相关项的交互行为
注2:该指定行为是指功能开发人员认为是正常(即无故障)的功能,由于零部件和技术的固有特性,导致能力受到限制。
3.7 Misuse (误作用):人们对某个系统进行非系统制造商本意的使用。
注2:误作用不包括人们故意修改系统导致的系统行为。
3.9 Performance Limitation (性能限制):预期功能在实现层面的不足
3.10 Safety Of The Intended Functionality (SOTIF):规避因预期功能的功能性不足或人员的合理可预见误用导致危害发生的不合理风险。
3.11 Scenario (情景):一系列场景(scenes)随时间演化形成的场景序列,叫情景。
PS:个人理解,scenes场景是个空间概念,而scenario情景是scenes加时间维度。
注1:见图4.
注3:
注1:情境是所有相关条件、选择和行为决定因素的结合。情境是通过场景衍生过来的,这种派生行为既基于短期的信息选择和增强过程,也基于长期的目标和价值。因此情境总是主观的,它代表了一个元素观点。
3.14 test case (测试用例):确定系统是否根据其预期功能正常工作的一组条件。
3.15 triggering event (触发事件):驾驶情景中一组特定条件的引发者,会导致危害事件后续系统反应。
3.16 use case (用例):通用应用领域的规范,可能包含有关系统的信息如下:
— 功能范畴;
— 系统边界
3.17 unexpected item behavior (意外行为):非预期的意外行为。
3.18 validation (验证):一组活动,使人们相信一个项目能够完成其预期的功能和任务。
4 开发活动概述
- 用户评论
