自动驾驶车辆的安全风险来源包含系统失效、功能局限性及网络安全等。国际标准ISO 21448由12个章节及7个附录构成,围绕自动驾驶车辆的功能局限性(含设计不足和性能局限),在复杂环境影响和人员合理误用的情况下,避免或降低车辆潜在的安全风险。
1. Scope(范围)
1.定义:由于预期功能的不足或人为的合理滥用而造成的危害而导致的不合理风险的缺失被称为预期功能的安全性(SOTlF)。本文档提供了实现SOTIF所需的适用设计、验证和验证措施的指南。本文档不适用于ISO 26262系列所涵盖的故障或系统技术直接造成的危险(例如激光传感器造成的眼睛损伤)。
2.用途:指导功能设计、验证和确认工作。设计阶段(例如,传感器性能需求)、验证阶段(例如,技术复查、相关场景高覆盖率的测试用例、潜在触发事件的注入、在环测试(例如SIL/HIL/MIL)中选定的SOTIF相关的用例)、确认阶段(长期的仿真测试和实车测试)。
3.范围:
(1)不适用于ISO26262中考虑的因系统故障导致的危害;
(2)不适用于现有系统的功能,这些系统在发布时已经有了完善和可靠的设计、验证和验证(V&V)措施,例如:DSG、安全气囊等;
(3) 适用于L1~L2的ADAS功能和更高级别自动驾驶系统;
2. List item Normative references(引用标准)
ISO 26262-1:2018, Road vehicles — Functional Safety Part 1: Vocabulary
3. Terms and definitions(术语和定义)
3.1 action(动作)
情景(scenes)中的任何参与者执行的原子性行为(原子性行为:要么执行成功,要么执行失败,不会存在中间状态);
例如:灯亮或者不亮
3.2 erroneous pattern(错误的模式)
可能触发意外行为的输入
3.3 event(事件)
在特定时间和地点发生的事情
例如:交通灯在XX:XX时刻亮起
3.4 functional improvement(功能改善)
对功能、系统或元素规范的修改以减少风险
3.5 intended behaviour(预期行为)
预期功能的特定行为,包括各组件之间的交互
注1:第5章节会更多描述预期行为的规范
注2:特定的行为是项目的开发人员认为是无故障的功能的行为,由于所使用的组件和技术的固有特性,它的能力存在极限
3.6 intended functionality (预期功能)
系统的执行行为
3.7 misuse(误操作)
操作者以非系统制造商所预期的方式使用系统
3.8 misuse scenario(误操作场景)
发生误操作的场景
3.9 performance limitation(性能极限)
预期功能实现不足
例如:场景感知不完整,决策算法不足,驱动性能不足
3.10 Safety Of The Intended Functionality(SOTIF 预期功能安全)
不存在因预期功能不足或由于合理预见的人员误操作而造成的危险
3.11 scenario(场景)
描述场面(scenes)序列中几个场面之间的时间发展
注1:每个场景都从一个初始场面开始。动作和事件,以及目标和数值,可以被指定来描述一个场景中的这个时间发展,与场面不同的是场景跨越一定的时间。
3.12 scene(情景)
环境的快照,包括风景、动态元素以及所有参与者和观察者的描述,以及这些实体之间的关系
注:只有在模拟世界中,场面的表示才能包含所有的内容(例如,客观场面或地面实况)。在现实世界中,场面是不完整的、不正确的、不确定的,并且是从一个或多个观察者的角度来看(例如,主观场面)
3.13 situation(情境)
在特定时间点选择适当的行为模式
注:一个情境包含了所有相关的条件、选择和行为的决定因素。情境是从情景中衍生出来的,基于瞬态的信息选择和增强过程(例如,任务细节),以及永久的目标和数值。因此,一个情境总是主观的,因为它代表了一个要素的观点。
3.14 test case(测试用例)
一组条件,以确定一个系统是否正在按其预期的功能工作
注:测试用例需要一个(逻辑的)场景,该场景的每个方面都有一组特定的参数值,以及评估它的通过-失败标准
3.15 triggering event(触发事件)
驾驶场景的特定条件,作为后续系统反应的引发因素,可能导致危险事件
例如:在高速公路上行驶时,车辆的自动紧急制动(AEB)系统将路牌错误地识别为前车,导致车辆以g的减速度制动Y秒
3.16 use case(用例)
广义应用领域的规范,可能涉及系统的以下信息:
一个或多个场景
功能范围
期望的行为
系统边界
注:用例描述通常不包括此用例所有相关场景的详细列表,而是使用了对这些场景的更抽象的描述。
3.17 unexpected item behaviour(意外的部件行为)
未规定的非预期行为
注:确认过程中可能会发现的意外行为
3.18 validation(确认)
对某一部件能够完成其预期功能和任务获取足够信心的一系列活动
注:验证(Verification)活动主要处理图7、8和9中的第2区域(已知的不安全场景);而确认(validation)活动主要处理图7、8和9中的第3区域(未知的不安全场景)。
已完成
数据加载中