日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

ADAS/AD相關(guān)標準翻譯 - SOTIF

2019-08-30 21:58:36·  來源:汽車功能安全  
 
文章轉(zhuǎn)自知乎,作者:我愛露營車前言翻譯翻譯SOTIF(預期功能安全)吧!正文引言車輛行駛安全是整個汽車工業(yè)最關(guān)心的問題。近年來,汽車中新增了大量更先進的功
文章轉(zhuǎn)自知乎,作者:我愛露營車
 
前言
翻譯翻譯SOTIF(預期功能安全)吧!
 
正文
 
引言
 
車輛行駛安全是整個汽車工業(yè)最關(guān)心的問題。近年來,汽車中新增了大量更先進的功能。這些功能被集成到整車電子電器系統(tǒng),依賴感知、復雜的算法和執(zhí)行裝置來運行。
 
比較合理的汽車安全等級是做到避免不合理風險。ISO26262-1定義了如何避免因電子電器系統(tǒng)故障導致的不合理的安全風險。ISO26262-3詳細描述了危害分析與風險評估(HARA)方法來確定整車級危害。該方法主要用來評估因相關(guān)項失效導致的潛在風險,并定義頂層安全需求,例如安全目標、減輕風險的必要性等。ISO26262其他章節(jié)主要提供需求和建議,來避免并控制那些能影響到安全目標的隨機硬件失效或系統(tǒng)性失效。
 
對于那些依賴感知內(nèi)外部環(huán)境的系統(tǒng),可能會遇到潛在的、ISO26262沒有包含的系統(tǒng)失效行為,包括系統(tǒng)預期功能失效,或者性能限制等。例如:
 
· 功能無法正確理解場景信息,導致系統(tǒng)無法安全的運行,例如機器學習這種黑盒子算法。
 
· 因傳感器輸入變化或不同環(huán)境條件造成的功能魯棒性不足。
 
SOTIF的主要目的是為了規(guī)避那些因功能限制導致潛在危害行為發(fā)生的不合理風險。ISO26262功能安全和SOTIF在關(guān)于Safety主題上是互補的。
 
為了實現(xiàn)SOTIF,需要實施以下幾個階段的活動:
· 設(shè)計階段的措施,例如傳感器性能的需求。
· 驗證階段的措施,例如技術(shù)評審、相關(guān)場景覆蓋率高的測試用例、潛在觸發(fā)事件的(錯誤)注入測試、相關(guān)用例的SOTIF在環(huán)測試。
· 確認階段的措施,例如長期的仿真測試、車輛測試和路試。
 
用戶對功能本身、功能行為、功能限制(包括HMI)的正確認知是保證安全的關(guān)鍵。
 
在許多案例中,一些觸發(fā)事件是導致潛在危害行為發(fā)生的關(guān)鍵;因此,這些觸發(fā)事件在特定用例中分析危害就顯得非常重要。
 
本文檔對于危害的定義,是指因某個觸發(fā)事件導致系統(tǒng)出現(xiàn)潛在危害行為。這里的觸發(fā)事件,既包括車輛正確操作,也包括一些合理可預見的車輛誤操作。例如,在使用L2節(jié)自動駕駛功能過程中,駕駛員出現(xiàn)分心。
 
另外,合理可預見的誤作用(直接導致潛在危險系統(tǒng)行為)也可以考慮成一種可能的觸發(fā)事件。
 
利用車輛的安全漏洞對車輛進行網(wǎng)絡(luò)攻擊也能產(chǎn)生非常嚴重的后果(例如數(shù)據(jù)和身份被竊、隱私侵犯等)。盡管網(wǎng)絡(luò)安全也可能導致潛在危害行為發(fā)生。但是本標準并不涉及安全(security )問題?!綪S:作者注,網(wǎng)絡(luò)安全是外部攻擊導致的安全問題,英文單詞能說明問題,security 。功能安全和預期功能安全是針對自身問題導致的安全問題,注意英文單詞safety】
 
ISO26262主要是解決電子電器系統(tǒng)的隨機硬件失效和系統(tǒng)性失效。而SOTIF則是ISO26262的補充。


1 范圍
預期功能的實際功能表現(xiàn)不足,或人類合理可預見的誤作用,都會導致危害的發(fā)生。為了避免以上危害造成的不合理風險,我們提供了各種實用設(shè)計、驗證和確認措施的方法論和文檔,并稱之為預期功能安全(SOTIF)。本文檔不適用于ISO26262所涵蓋的故障,也不適用于因系統(tǒng)技術(shù)直接形成的危害(例如激光雷達灼傷人眼)。
 
本文適用于對安全至關(guān)重要的態(tài)勢感知的預期功能性。態(tài)勢感知依賴于復雜的傳感器和感知算法,尤其是緊急介入系統(tǒng)(例如AEB)和其他ADAS系統(tǒng)。當前版本的SOTIF可以用于更高級別的自動駕駛,不過可能需要其他措施的支持。對于現(xiàn)有的、發(fā)布時已經(jīng)制定了可靠設(shè)計、驗證和確認措施(例如動態(tài)穩(wěn)定控制系統(tǒng)DSC、安全氣囊系統(tǒng))的成熟系統(tǒng),本文檔不適用。如果有一些創(chuàng)新功能,是基于復雜傳感器和算法中提取的感知信息來保持運作的話,本文檔可以適用此類系統(tǒng)。
 
在識別危害時,應綜合考慮以下兩種潛在危害系統(tǒng)行為的發(fā)生:預期作用;合理可預見的誤用。其中,合理可預見的誤用這種危害,一般認為屬于SOTIF相關(guān)危害,會導致直接的潛在的具有危害性的系統(tǒng)行為發(fā)生。有意更改系統(tǒng)操作的行為被視為功能濫用,不屬于SOTIF的談論范圍。
 
2 引用標準
 
以下文件的部分的或全部內(nèi)容構(gòu)成,會被本文引用。關(guān)于引用文件,凡是注明了日期的,表示僅引用的版本適用;凡是未注明日期的,表示最新版本(包括任何修正版)適用:
ISO 26262-1:2018, Road vehicle —— Functional Safety Part 1:Vocabulary
 
3 術(shù)語及定義
ISO26262-1:2018中給出的術(shù)語及定義,在本文件中適用。
國際標準化組織(ISO)和國際電工委員會(IEC)在以下地址維護標準化術(shù)語數(shù)據(jù)庫:
— ISO online browsing platform : available at iso.org/obp
— IEC Electropedia : available at electropedia.org/
3.1 Action(行動):某個場景中,執(zhí)行者需要執(zhí)行的最小原子行為。方案描述主要由動作/事件和場景的時間序列組成。例如:自車觸發(fā)應急燈。
3.2 Erroneous Pattern(錯誤方式):觸發(fā)意外行為的輸入。
3.3 Event(事件):發(fā)生在特定地點和特定時間點的遭遇。
注釋1:按時間順序排列的動作/事件和場景(scenes),組成了情景(scenario)。
注釋2:本文會涉及到觸發(fā)事件和危害事件的概念。所謂危害事件是指危害(由故障引起)和特定操作狀態(tài)的組合。
例1:車輛前方街道50米處,一棵樹倒了。
例2:在某時某分,交通信號燈的綠燈亮了。
3.4 Functional Improvement (功能性優(yōu)化):對一個功能/系統(tǒng)/元素規(guī)格進行修改,以減少風險。
3.5 Intended Behavior (預期行為):預期功能的特定行為,包括相關(guān)項的交互行為
注1:有關(guān)預期行為規(guī)范的更多信息,請參見第5條。
注2:該指定行為是指功能開發(fā)人員認為是正常(即無故障)的功能,由于零部件和技術(shù)的固有特性,導致能力受到限制。
3.6 Intended Functionality (預期功能性):一個系統(tǒng)的特定行為
3.7 Misuse (誤作用):人們對某個系統(tǒng)進行非系統(tǒng)制造商本意的使用。
注1:因?qū)ο到y(tǒng)性能過分自信導致的誤作用;
注2:誤作用不包括人們故意修改系統(tǒng)導致的系統(tǒng)行為。
3.8 Misuse Scenario (誤用情景):誤作用發(fā)生的情景
3.9 Performance Limitation (性能限制):預期功能在實現(xiàn)層面的不足
eg: 情景感知的不完整,決策算法的不足,執(zhí)行器的性能不足等
3.10 Safety Of The Intended Functionality (SOTIF):規(guī)避因預期功能的功能性不足或人員的合理可預見誤用導致危害發(fā)生的不合理風險。
注1:正常性能包括預期功能和預期功能的實現(xiàn),這些功能可能會受到性能限制或人員可預見誤用的影響。
3.11 Scenario (情景):一系列場景(scenes)隨時間演化形成的場景序列,叫情景。


注1:每個情景都始于一個初始場景。行動和事件,以及目標和數(shù)值,可用來描述情景的時序發(fā)展關(guān)系。與場景相比,情景會跨越一定時間。
PS:個人理解,scenes場景是個空間概念,而scenario情景是scenes加時間維度。


 


3.12 Scene (情景):環(huán)境快照,包括風景、動態(tài)元素和所有參與者和觀察者的自我表達以及這些實體之間的關(guān)系。
注1:見圖4.
注2:只有仿真世界中的場景才可以是全方位的(如:客觀場景或真實場景)。在真實世界中,不論從一個或幾個觀察者的角度看(如:主觀場景),場景都是不完整的、不準確、不確定的。
注3:


3.13 Situation (情境):在特定時間點選擇適當?shù)男袨槟J健?/div>
注1:情境是所有相關(guān)條件、選擇和行為決定因素的結(jié)合。情境是通過場景衍生過來的,這種派生行為既基于短期的信息選擇和增強過程,也基于長期的目標和價值。因此情境總是主觀的,它代表了一個元素觀點。
注2:


3.14 test case (測試用例):確定系統(tǒng)是否根據(jù)其預期功能正常工作的一組條件。
注1:測試用例需要一個邏輯情景,該情景的每個方面都有一組特定參數(shù)值,以及評估測試成功/失敗的標準。
3.15 triggering event (觸發(fā)事件):駕駛情景中一組特定條件的引發(fā)者,會導致危害事件后續(xù)系統(tǒng)反應。
例:在高速公路上駕駛車輛時,車輛的AEB系統(tǒng)誤將一個路標識別成一輛前車,且導致車輛在幾秒內(nèi)以幾g減速度剎車的行為。
3.16 use case (用例): 通用應用領(lǐng)域的規(guī)范,可能包含有關(guān)系統(tǒng)的信息如下:
—— 一個或幾個情景;
— 功能范疇;
— 期望的行為;
— 系統(tǒng)邊界
注1:用例描述通常不包括用例的所有相關(guān)情景的詳細列表。用更抽象的描述來表示該情景。
3.17 unexpected item behavior (意外行為):非預期的意外行為。
注1:在驗證過程中能夠發(fā)現(xiàn)非預期行為。
3.18 validation (驗證):一組活動,使人們相信一個項目能夠完成其預期的功能和任務。
分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25