关于SOTIF预期功能安全的理解.docVIP

关于SOTIF预期功能安全的理解 1 目的 在汽车电子领域，已经有了ISO26262这样针对系统的功能安全的标准，为啥同在汽车领域的自动驾驶，需要SOTIF（ISO21448）这样的预期功能安全呢？原因是，在自动驾驶领域，在系统没有报故障的情况下，也有可能导致一些危害。因此针对E/E失效外导致的危害，SOTIF是汽车功能安全的一个补充。 简单来说，ISO26262针对： E/E系统的失效 SOTIF针对以下两个场景： 系统或组件的性能受限，导致预期功能不可达 系统的可预期误用(misuse)/或直译为合理可预期误用 2 关键概念说明 2.1 SOTIF Safety Of The Intended Functionality,即预期功能安全。 2.2 Misuse 误用，指的是不按照设计系统的要求，去使用系统，在SOTIF中，什么样的视为误用呢？ 如ADAS系统提出明确的 通知警告，告知驾驶员/安全员需要做出相应的接管或反馈时，同时驾驶员也充分理解该 通知警告，但是驾驶员故意忽略，此类情况，可以视为误用； 当驾驶员/安全员，有意违反ADAS的设计，以某种形式去操作ADAS，此类情况，可视为误用。 这里需要对比一下，非误用场景： 驾驶员对ADAS系统、自动驾驶系统发出的通知或警告，感到困惑，则不是误用； 驾驶员私自修改ADAS、自动驾驶系统，则属于功能滥用。 大家可以思考一下，淘宝上买的帮人握住方向盘，骗系统的行为，属于什么？ 2.3 Triggering Event Triggering Event，驱动事件，指的是特定驾驶条件下，触发输入系统，可能导致危害事件。 直接拿标准的例子说明：如在高速路上，系统的AEB功能开启，此处误识别一个道路标志，导致车辆以-0.5g的减速度刹车5s。 这样的一个场景条件，就是所谓的驱动事件。 2.4 Validation Validation，确认，指一系列增加系统符合预期功能的活动，这里主要和Verification进行区分说明，Verification主要针对Area2场景，Validation活动主要针对Area 3场景。其中verification 主要侧重于已知场景的测试，如边界测试-需求测试-注入测试-MIL-SIL-HIL测试等。Validation，则注重于未知场景的测试，如随机测试用例测试-长时间测试-根据经验测试-分析最坏场景测试等。 2.5 Area Area1：known safe scenarios ?已知安全场景 Area2：known unsafe scenarios 已知非安全场景 Area3：unknown unsafe scenarios 未知的非安全场景 Area4：unknown safe scenarios 未知的安全场景 其中SOTIF则主要针对Area2 和Area3对症下药。 3 SOTIF实施过程 4 SO21448概要说明 4.1 功能和系统规范 定义系统架构，描述系统的功能，确定系统的边界，此处类似于ISO26262中 相关项的定义。包括系统对外功能的交互的描述，系统内部的描述，尤其涉及到HMI，传感器-算法-执行器等相关描述，用于启动SOTIF。 4.2 识别和评估SOTIF产生的危害 识别危害场景，识别场景的触发条件，确定验收条件。此处主要进行由于功能受限引起的危害事件，分析危害事件的严重度和可控度，确定验证和确认标准。 4.3 识别和评估触发事件 根据上文识别的危害事件，识别触发潜在危害的事件，此处主要是找出触发危害事件的原因。 4.4 修改功能减小SOTIF风险 设计相应的措施，分配到系统功能，以减轻SOTIF风险，进一步评估所采取的的措施，对预期功能的影响。 一般改善措施包括，系统性能提升，如选用性能更好的传感器；限制场景的功能使用，如识别到车道线不清晰-大雨天气等，禁止使用自动驾驶功能或者限制使用某些自动驾驶功能；降低系统和误用，如设计更好的交互或HMI。 4.5 确定验证和确认措施 识别危害事件所在的区域（Area2/Area3）,选取SOTIF推荐的验证或确认策略，这里核心是识别出相应的test case，并确定哪些适应于Area2，哪些适应于Area3. 4.6 SOTIF验证 对系统的传感器-算法-执行器等，进行重复覆盖测试验证，以证明修改的系统和组件，符合预期的功能，同时已知不安全（Area2）场景下，功能符合预期（危害风险足够小）。 4.7 SOTIF确认 对系统的传感器-算法-执行器等，进行实际场景验证，以证明修改后的系统或组件，符合预期功能，在未知不安全（Area3）场景下，功能符合预期（证明实际场景风险足够低）。 4.8 SOTIF发布方法与准则 主要是评估残余风险是否可接受，是否符合发布准则。 5 SOTIF