SOTIF 预期功能安全ISO21448介绍、功能安全标准ISO26262 与若干安全标准的适用范围和开发流程映射
ISO 21448 中规定了预期功能安全的设计开发流程图, 如下图所示。首先从 第 5 条出发, 进行规范和设计。该部分是将进行整车级、 系统级、 组件级等功能规 范, 对于具体的系统, 需要对其功能和性能目标充分理解, 以便完成系统初始架构 的设计, 最终提供系统的需求规范、 功能规范、 系统设计规范等。 注意: 更多交流请加V:John-130
ISO 21448的活动
ISO 21448 与 ISO 26262 开发流程映射
ISO 26262 与 ISO 21448 的联系更为紧密, 开发流程中多有相 似或对应的部分。结合目前汽车产品的 V 字开发模型, ISO 26262 的第 3 至 7 部 分, 与 ISO 21448 的第 5 至 12 条可以相互映射。ISO 21448 中提供了两者间的映 射关系, Glander [72] 则对其映射关系进行了改进, 综合而言, 下图展示了功能安全与预期功能安全的 V 字开发模型图。
SOTIF 预期功能安全ISO21448介绍、功能安全标准ISO26262 与若干安全标准的适用范围
道路车辆的安全性是道路车辆行业最关心的问题。车辆中包含的自动驾驶功能的数量正在增加。这些依赖于传感,处理由电气和/或电子(E / E)系统实现的复杂算法和致动。
道路车辆可接受的安全水平要求不存在与预期功能及其实施相关的危害引起的不合理风险,包括由于故障和由于不足而导致的危害的规格或性能不足。
为了实现功能安全,ISO 26262-1将功能安全定义为不存在由于E / E系统的故障行为引起的危害而导致的不合理的风险。ISO 26262-3描述了如何进行危害分析和风险评估(HARA),以确定车辆级危害和相关的安全目标。ISO 26262 系列的其他部分提供要求和建议,以避免和控制可能违反安全目标的随机硬件故障和系统故障。
对于某些 E/E 系统,例如依赖于感测外部或内部车辆环境以建立态势感知的系统,尽管这些系统没有 ISO 26262 系列中解决的故障,但预期功能及其实现可能会导致危害行为。此类潜在危害行为的例原因包括:
- 功能无法正确感知环境;
- 功能、系统或算法在传感器输入变化、用于融合的启发式方法或各种环境条件等方面缺乏鲁棒性;
- 由于决策算法和/或不同的人类期望而导致的意外行为。特别是,这些因素与使用机器学习的函数、系统或算法有关。
与功能不足相关的危害行为造成的不合理风险被定义为预期功能安全(SOTIF)。
功能安全(由 ISO 26262 系列解决)和 SOTIF 是安全的补充方面。
为了应对SOTIF,在以下阶段实施消除危害或降低风险的措施: - 规范和设计阶段;
例1 车辆功能或传感器性能要求的修改,由已查明的系统不足或由在SOTIF活动期间查明的危害场景驱动。 - 验证和确认阶段;和
例 2 技术评审、具有高覆盖率相关场景的测试用例、潜在触发条件的注入、在环测试(例如 SIL:软件在环/HIL:硬件在环/MIL:模型在环路)中选定的 SOTIF 相关场景。
例3 车辆耐久测试、测试轨道车辆测试、模拟测试、 - 运行阶段。
例 4 现场监控技术情报室事件。
这些危害可能由场景的特定条件触发,定义为触发条件,其中可能包括合理可预见的预期功能的误用。此外,在车辆级别与其他功能的交互可能导致危害(例如在自动驾驶功能处于活动状态时激活停车制动器)。
因此,用户正确理解功能、行为和限制(包括人机界面)对于确保安全至关重要。
例 5 使用 2 级自动驾驶系统时驾驶员注意力不足。
例 6 模式混淆(例如驾驶员认为该功能在停用时被激活)可直接导致危害。
注1:合理可预见的误用不包括对系统运行的故意改变。
基础设施提供的信息(例如V2X - Vehicle2Everything通信,地图)也是评估功能不足的一部分,如果它可以对SOTIF产生影响。
例7 对于自动代客泊车系统,路线规划和目标检测的功能可以由基础设施和车辆共同实现。
注2:根据应用的不同,在评估SOTIF时,其他技术的要素可能具有相关性。
例 8 车辆上的位置和安装位置传感器可以相关,以避免振动引起的传感器输出噪声。
例 9 在评估相机传感器的 SOTIF 时,挡风玻璃光学特性可能很重要。
假设 E/E 系统的随机硬件故障和系统故障(包括硬件和软件故障)使用 ISO 26262 系列进行寻址。
人们可以将本文件中提到的功能不足解释为系统性故障。但是,解决这些功能不足的措施特定于ISO21448,并且是对ISO 26262系列中描述的措施的补充。具体而言,ISO 26262 系列假定预期功能是安全的,并解决由于偏离预期功能而可能导致危害的 E/E 系统故障。系统及其要素的需求诱导过程可以包括两个标准的各个方面。
表l说明了危害事件的可能原因如何映射到现有标准。
表1 — 不同标准涉及的安全相关主题概述
| 危害源 | 危害事件的原因 | 适用标准 |
|---|---|---|
| 系统 | 电子/电气系统故障 | ISO 26262 系列 |
| 系统 | 功能不足 | ISO21448 |
| 系统 | 人机界面(HMI)设计不正确和不充分(用户态势感知不当,例如用户混淆用户过载,用户注意力不集中) | ISO21448欧洲人机界面原则声明[ll |
| 系统 | 基于人工智能的算法的功能不足 | ISO21448 |
| 系统 | 系统技术例 激光雷达光束对眼睛造成的伤害 | 具体标准 例如 IEC 60825 |
| 外部因素 | 用户或其他道路使用者合理可预见的误用 | ISO21448 ISO 26262 系列 |
| 外部因素 | 攻击利用车辆安全漏洞 | ISO/SAE 21434 或 SAE J3061 |
| 外部因素 | 主动基础设施和/或车辆到车辆通信以及外部系统的影响 | ISO21448 ISO 20077;ISO 26262 系列、61508 系列 |
| 外部因素 | 车辆周围环境的影响(例如其他用户、被动基础设施、天气、电磁干扰) | ISO21448ISO 26262 系列- ISO 7637-2、 ISO 7537-3ISO 11452-2、ISO 11452-4、ISO 10605 和其他相关标准 |
