专注于车载信息安全和预期功能安全技术研究
电话:+86 21 62655001
您的位置: 网站首页 > 学术前沿
2020-07-14 10:23:19

预期功能安全标准:ISO PAS 21448(六)

来源:学术前沿 浏览次数:303 点赞数:0

功能修订以减少SOTIF相关的风险

8.1 目标

为降低SOTIF相关风险而进行的功能修订活动应达到以下目标:

• 确定并分配措施,以避免、减少或减轻与SOTIF相关的风险;

• 估计SOTIF相关措施对预期功能的影响;

• 改进第5章节所要求的信息(功能和系统规范)。

8.2概述

本章节涉及为避免、减少或减轻SOTIF相关风险而确定的措施。功能和系统描述是通过几个迭代开发完成的,并且每次功能和系统规范(第5章节所要求的)都用确定的措施更新升级。

在如下确定的触发事件中,可能需要进行功能性修复以减少SOTIF相关的风险:

a.有可能触发潜在的危险行为,导致具有可信伤害的危险事件(根据第6章节);

b.不能通过预期功能的安全性评估为可接受的行为(根据第7章节)。

为实现这个目标,以下信息需要考虑:

a.系统架构设计的信息

b.根据第5章节定义和描述的功能

c.根据第6章节对可能发生的危险事件的潜在后果进行的评估

d.根据第7章节,可以触发意外的系统行为从而导致危险事件的场景

e.从以前的验证结果中获得的知识,根据第10章节,在进行验证期间,系统和组件对于特定用例的行为不符合预期(如果有的话)

f.从以前的验证结果中获得的知识,包括现实生活中的用例,在这些用例中,根据第11章节,功能没有按照预期运行,系统和组件的限制导致了不合理的风险水平(如果有的话)

 

8.3改进SOTIF的措施

改进SOTIF的措施针对导致违背安全的系统局限性(按照7.2章节)。针对评估的SOTIF相关风险,提出了相应的改进措施可以得到避免、减少或缓解。

这些措施包括:

a) 系统改进以避免或减少与SOTIF相关的风险,包括但不限于

1.通过以下方法提高传感器性能和/或精度

• 传感器算法改进

• 充足的传感器技术

• 传感器位置修改

• 传感器扰动检测,触发适当的报警和降级策略

• 识别现有的设计运行域,即识别已知的不受支持的环境条件,需要过渡到合适的传感器应用策略

• 不同的传感器技术

2.通过以下方法提高执行器的性能和/或精度

• 适当的执行器技术(如提高精度,扩大输出范围,缩短响应时间,提高耐久性,仲裁权威能力)

3.通过以下方法提高了识别和决策算法的性能

• 算法的改进

• 识别现有的设计运行域,即识别已知的不受支持的环境条件,需要过渡到适当的警告和退化策略

• 为已知的不受支持的SOTIF用例合并触发适当的警告和降级策略,例如:车道保持

• 缓解和解决功能干扰/冲突(避免由于系统间死锁/活锁而导致的意外行为),例如:车道保持与自动换道之间的冲突

4.通过以下方法提高可测试性

• 允许系统和组件行为的验证

b) 为减少或减轻SOTIF相关风险而对预期功能进行的功能限制,包括但不限于

• 限制特定SOTIF用例的预期功能。例如,当车道检测设备不能清楚地检测车道时,车道保持辅助功能减少,以避免不必要的转向干预。

• 对特定用例的预期功能的权限限制。例如,由于午后的阳光反射了周围的光线,相机被蒙住了眼睛,使用雷达和其他传感器的操作权限受到限制。

• 对特定用例的预期功能的总体权限的限制。例如,所有感知传感器被暴风雪致盲,司机被请求接管控制

c)将权力从系统移交给驾驶员,以提高关键操作情况影响的可控性(转换本身是可控的,不代表对驾驶员的额外风险),包括但不限于

• 改善人机界面

• 改进预警和降级策略

• 从其他来源获得指导

d)减少或减轻合理预见的误操作影响,包括但不限于

• 改进提供给驾驶员的有关预期功能的信息,例如说明书

• 改善人机界面

• 实施监测和预警系统,例如,方向盘被释放时警告司机

例:表三给出了一个SOTIF相关措施的例子

8.4升级系统规范

为了更新功能和系统规范,需要识别以下信息

• 系统改进的措施,以避免、减少或减轻与SOTIF相关的风险

• 功能限制的措施,以减少或减轻关键运行情境的影响

• 改进人机界面的措施及预警和降级策略

• 处理合理预见的误操作而采取的措施