轩辕实验室|预期功能安全标准:ISO PAS 21448(五)
自动驾驶车辆的安全风险来源包含系统失效、功能局限性及网络安全等。国际标准ISO 21448由12个章节及7个附录构成,围绕自动驾驶车辆的功能局限性(含设计不足和性能局限),在复杂环境影响和人员合理误用的情况下,避免或降低车辆潜在的安全风险。
7 触发事件的识别和评估
7.1 目标
• 识别可触发潜在危害行为
• 应评估其对SOTIF的可接受性
注:触发事件识别可以由详细的环境模型支持
7.2 触发事件分析
可以建立一个系统的方法来进行触发事件的分析。这种方法可以考虑从类似项目和场地的经验中获得的知识。分析的目的是识别系统的弱点(包括传感器、算法、执行器的弱点)和可能导致识别危险的相关场景。
这种分析可以并行进行,从以下两个方面入手:
• 系统组件的已知限制,以确定由于这些限制可能导致危险行为的场景;
• 被识别的环境条件和可预见的误用,以确定可能触发系统潜在危险行为的系统限制。更多细节参照附录E和附录F。
这些分析将增加对系统局限性的理解,并将提升对未知触发事件的识别。
注:分析可以使用归纳或演绎的方法。
7.2.1 与算法相关的触发事件
通过分析与算法相关的触发事件来确定:(目的)
• 通过8.3章节的方法减轻SOTIF风险
• 在10.3章节中决策算法验证
• 在11章节中功能确认
分析考虑分类,例如:
• 环境和位置
• 公路基础设施
• 城市基础设施
• 高速公路基础设施
• 驾驶员行为(包括合理可预见的误操作)
• 其他驾驶员或道路使用者的预期行为
• 驾驶情景(例如,建筑工地、意外、紧急通道交通挤塞、行车到错误道路)
• 算法局限性(例如,处理可能的情况或不确定性行为的能力)
注:确定的功能局限性包含在第5章节中提到的列表中。
7.2.2 与传感器和执行器相关的触发事件
通过分析与传感器干扰和执行器局限性相关的触发事件来确定:(目的)
• 8.3章节制定的SOTIF风险提升方法;
• 10.2章节制定的传感器验证策略;
• 第11章节确认功能。
分析可能导致触发事件考虑的分类,例如:
• 天气条件
• 机械干扰(包括安装、设计位置、信号传输)
• EMI干扰
• 来自其他车辆或其他来源(例如,雷达或激光雷达)的干扰
• 声音干扰
• 刺眼光线
• 低质量的反射
• 精度
• 范围
• 反应时间
• 耐久性
• 权威的能力(适用于传感器)
例1:雨雪天气会影响雷达性能
例2:太阳在汽车的前部会影响摄像机的性能
例3:厚重的羊毛大衣会影响超声波传感器的性能
例4:不正确的校准会影响许多传感器类型
注1:所考虑的传感器包括惯性传感器、摄像机、雷达等
注2:一个潜在的场景可以是由已经观察到的场景的理论组合产生的场景
注3:具体的分析类别见附件D、E和F。对于每个类别,详细的干扰清单是根据知识和经验确定的(包括在类似项目中获得的知识和领域经验)
此外,可以在可能的值范围内(包括潜在的和观察到的场景)对每个环境输入进行系统分析。
7.3 触发事件的接受
考虑SOTIF风险识别和评估期间指定的接受标准,对识别的触发事件进行评估(如第6章节所述)
出现如下情况,系统对这些触发事件的响应相对于SOTIF可以被认为是可接受的,而不需要进一步的功能改进(第8章节中描述):
• 系统发生危险事件的概率低于6.5章节中规定的验证目标值
• 对于可能导致危险事件的特定车辆,不存在系统上不可接受的场景
注:即使车队触发事件的概率非常低,但如果对于特定的系统车辆行为来说,触发事件的概率很高,这也是不可接受的。例如:一种特殊的结构,它总是导致AEB系统过度刹车。
- 用户评论
