登陆
注册
首页> 知识> 浅谈预期功能安全(Safety Of The Intended Functionality)

浅谈预期功能安全(Safety Of The Intended Functionality)

来源:公众号“RAMS工程师”
2020-04-26
1078
“SOTIF”越来越引起人们的关注。小编也忍不住凑了热闹,于几天前在斯德哥尔摩参加了名为“SOTIF and Functional Safety for Automated Driving”的研讨会。此次研讨会由瑞典皇家理工(KTH)举办,邀请了来自工业界和高校的相关人员。近4个小时的分享和讨论,让小编开始了对SOTIF的更多思考。


鉴于目前能公开检索到的关于SOTIF的中文资料还不多,小编试着归纳整理了今年搜集的相关资料,外加一些个人解读写成本文,仅供入门参考。小编接触SOTIF的时间不长,理解可能有偏颇,欢迎批评指正。部分中文翻译可能有待商榷。


1. 背景


随着Advanced Driver Assistance Systems(ADAS)系统越发复杂,引入了各种复杂的传感系统(如Radar、Lidar)和算法(如machine learning)等。这些传感系统和算法在执行预期功能时(未发生故障),其态势感知能力(situational awareness)在某些情况下能够直接影响安全性。举个例子,Uber自动驾驶汽车2018年3月在美国意外撞击致死一名行人。当时行人正穿过一段未被路灯直接照亮的道路,传感系统(Radar和Lidar,未发生故障)采集了行人的信息,在撞击发生的前6秒被车载软件依次解读为未知物体、车辆和自行车。该事故的最终原因(究竟是传感系统、软件还是其它因素)有待官方调查结果,但仍可见预期功能可能对安全性的极端影响。(小编注:关于该事故截至目前的官方初步调查报告,可参见往期文章Uber自动驾驶汽车事故的初步调查报告。)


基于上述原因,不难理解Safety Of The Intended Functionality (SOTIF)的概念为什么越发受到重视。 


2. SOTIF的定义和大致思路

SOTIF在ISO/PAS 21448中的官方定义为:“Safety Of The Intended Functionality (SOTIF): absence of unreasonable risk due to hazards resulting from functional insufficiencies of the intended functionality or from reasonably foreseeable misuse by persons.”


由此可见,SOTIF(中文直译为预期功能安全)的关注点是:由功能不足、或者由可合理预见的人员误用所导致的危害和风险。例如,传感系统在暴雨、积雪等天气情况下,本身并未发生故障,但是否仍能执行预期的功能。而功能安全关注于与安全相关的失效(failure),信息安全关注于与安全相关的威胁(threat)。
SOTIF在很大程度上基于假设场景(scenarios)来进行分析。ISO/PAS 21448对场景(scenarios)的定义是:“description of the temporal development between several scenes in a sequence of scenes”,即一系列片段(scenes)中几个片段(scenes)之间的时序发展描述,如下图所示。
(图片来源:[1])

ISO/PAS 21448将场景(scenarios)划分为如下图所示的4个区间,分别为(1)已知-安全、(2)已知-不安全、(3)知-不安全和(4)未知-安全。目的是尽可能缩小位于区间(2)和(3)中的场景(scenarios)比例,即将确保场景(scenarios)控制在安全的区间。
(图片来源:[1])


一些典型的自动驾驶的假设场景(scenarios)如下:
(图片来源:[3])
(图片来源:[3])
(图片来源:[3])

3. SOTIF的现有规范

ISO/PAS 21448《Road vehicles - Safety of the intended functionality》于2019年1月份正式发布,是截至目前唯一的SOTIF规范。该规范从设计、验证(verification)和确认(validation)等方面,提供了(尤其是在level 1和level 2中)实现预期功能安全所需的工作指南。


(小编注:21448目前是以Publicly Available Specification即公用规范的形式发布的,可以理解为“准“标准。PAS的定义如下图所示。)
(图片来源:www.iso.org)


SOTIF是继功能安全(Functional Safety)、信息安全(Cybersecurity)之后出现在汽车行业的新关注点,同时也与这两者密切关联。下图简要列出了SOTIF规范、功能安全标准和信息安全标准的大致涵盖范畴。
(图片来源:[1])


ISO/PAS 21448与正在筹备中的自动驾驶安全标准 IEEE P700X和UL 4600的关联如下:
(图片来源:[2])


4. SOTIF分析流程


ISO/PAS 21448中定义的SOTIF相关活动如下图所示。(小编注:该图中存在一处笔误:中部的方框“Validation of the SOTIF”应为“Verification of the SOTIF”,参见小编标注出的红线。相信在下一版本中会有所更正。)

(图片来源:[1])


理论上,SOTIF应该与ISO 26262中的流程衔接,比如作为早期HARA的输入、后期确认(Validation)阶段的输入等等。参见下图。(小编注:将SOTIF与功能安全衔接的潜台词之一,是SOTIF应该采用与功能安全一致的风险接受准则。)
(图片来源:[1])


在功能安全与信息安全联合分析的理想框架背景下,SOTIF理论上可以作为下图中左半部分HARA的输入。
(图片来源:[5])

评价SOTIF分析工作的准则如下图所示。

(图片来源:[1])


5. SOTIF应用现状

由于SOTIF的出现相对较新,能检索到的、有实用价值的资料不多,如何能将它有效地落地仍处于探索阶段。目前有自动驾驶产业链上各个企业的需求和探索、有相关的SOTIF专题研讨会,但几乎还没有成型的、深入的项目应用。(这当然也有可能是出于对知识产权的保护,所以未公开。)各种所谓的培训也是鱼龙混杂。值得一提的是,SOTIF在GM的安全报告[4] 中略有体现。感兴趣的朋友可以下载阅读获取更多信息。

小编个人认为SOTIF是有价值的,但在21448升级为正式的ISO标准之前,SOTIF距离广泛的实际应用恐怕还有很长一段路,功能安全、信息安全仍会是首要的考虑因素。


6.待解决的问题

以下为小编认为的SOTIF的一些待解决问题,包括但不局限于:
  • 如何确保当前的用例(use case)、场景(scenarios)合理且完整?仿真是否切实可行?STPA是否切实可行?(小编注:关于STPA的介绍,可参见往期文章STPA:一款危害分析工具。)

  • 谁来提(OEM?)、如何提SOTIF要求?是否应该有类似于ASIL级别的“SOTIF级别”

  • 如何评估、谁来评估SOTIF的分析结果?
  • 对于level 3及以上,除了ISO/PAS 21448,还能参考哪些指南来考虑SOTIF?关于这一点,在该规范的Scope里也有所提及:“This edition of the document can be considered for higher levels of automation, however additional measures might be necessary.“ (小编注:这里的“higher levels of automation“指level 3及以上)
  • 如何将SOTIF落地,如何与功能安全分析流程有效衔接。例如如何界定“非预期功能”,究竟该将其划分为故障(即ISO 26262的范畴)、还是划分为功能不足(functional insufficiencies即SOTIF的范畴)。


7. 小结

本文简要介绍了SOTIF的背景、定义、大致思路、现有规范、分析流程、应用现状、待解决的问题等,可作为基础的理论介绍。


参考资料

[1] ISO/PAS 21448. Road vehicles - Safety of the intended functionality. 2019.
[2] Philip Koopman. Safety and Validation of Autonomous Vehicles. 2019. https://www.slideshare.net/PhilipKoopman1/safety-and-validation-of-autonomous-vehicles-june-2019?next_slideshow=1
[3] Technical Report- Taxonomy of Scenarios for Automated Driving. V1.2. 2017. https://s3-eu-west-1.amazonaws.com/media.ts.catapult/wp-content/uploads/2017/04/25114137/ATS34-Taxonomy-of-Scenarios-for-Automated-Driving.pdf
[4] General Motors. Self-driving Safety Report. 2018.  https://www.gm.com/content/dam/company/docs/us/en/gmcom/gmsafetyreport.pdf
[5] Riccardo Mariani. Can we trust autonomous systems? 2017. http://www.icri-sc.org/fileadmin/user_upload/Group_VCI/Events/Kickoff_2017/Mariani_Intel_ICRI-CARS_kickoff_v1.pdf


--- END ---



预期功能安全
收藏
点赞
上一篇:自动驾驶从原型到商用需要应对哪些技术挑战? 下一篇:《网络与信息安全学报》最新论文:基于同态加密和区块链技术的车联网隐私保护方案
2000
评论

沪公网安备31010702008313号 沪ICP备18019345号-2 © 2019 上海工业控制安全创新科技有限公司 保留所有权利