目的

在汽車(chē)電子領(lǐng)域，已經(jīng)有了ISO26262這樣針對(duì)系統(tǒng)的功能安全的標(biāo)準(zhǔn)，為啥同在汽車(chē)領(lǐng)域的自動(dòng)駕駛，需要SOTIF（ISO21448）這樣的預(yù)期功能安全呢？原因是，在自動(dòng)駕駛領(lǐng)域，在系統(tǒng)沒(méi)有報(bào)故障的情況下，也有可能導(dǎo)致一些危害。因此針對(duì)E/E失效外導(dǎo)致的危害，SOTIF是汽車(chē)功能安全的一個(gè)補(bǔ)充。
簡(jiǎn)單來(lái)說(shuō)，ISO26262針對(duì)：

E/E系統(tǒng)的失效
SOTIF針對(duì)以下兩個(gè)場(chǎng)景：

系統(tǒng)或組件的性能受限，導(dǎo)致預(yù)期功能不可達(dá)

系統(tǒng)的可預(yù)期誤用(misuse)/或直譯為合理可預(yù)期誤用

2、關(guān)鍵概念說(shuō)明

2.1 SOTIF

Safety Of The Intended Functionality,即預(yù)期功能安全。

2.2 Misuse

誤用，指的是不按照設(shè)計(jì)系統(tǒng)的要求，去使用系統(tǒng)，在SOTIF中，什么樣的視為誤用呢？
如ADAS系統(tǒng)提出明確的 通知警告，告知駕駛員/安全員需要做出相應(yīng)的接管或反饋時(shí)，同時(shí)駕駛員也充分理解該 通知警告，但是駕駛員故意忽略，此類(lèi)情況，可以視為誤用；
當(dāng)駕駛員/安全員，有意違反ADAS的設(shè)計(jì)，以某種形式去操作ADAS，此類(lèi)情況，可視為誤用。
這里需要對(duì)比一下，非誤用場(chǎng)景：
駕駛員對(duì)ADAS系統(tǒng)、自動(dòng)駕駛系統(tǒng)發(fā)出的通知或警告，感到困惑，則不是誤用；
駕駛員私自修改ADAS、自動(dòng)駕駛系統(tǒng)，則屬于功能濫用。
大家可以思考一下，淘寶上買(mǎi)的幫人握住方向盤(pán)，騙系統(tǒng)的行為，屬于什么？

2.3 Triggering Event

Triggering Event，驅(qū)動(dòng)事件，指的是特定駕駛條件下，觸發(fā)輸入系統(tǒng)，可能導(dǎo)致危害事件。

直接拿標(biāo)準(zhǔn)的例子說(shuō)明：如在高速路上，系統(tǒng)的AEB功能開(kāi)啟，此處誤識(shí)別一個(gè)道路標(biāo)志，導(dǎo)致車(chē)輛以-0.5g的減速度剎車(chē)5s。

這樣的一個(gè)場(chǎng)景條件，就是所謂的驅(qū)動(dòng)事件。

2.4 Validation

Validation，確認(rèn)，指一系列增加系統(tǒng)符合預(yù)期功能的活動(dòng)，這里主要和Verification進(jìn)行區(qū)分說(shuō)明，Verification主要針對(duì)Area2場(chǎng)景，Validation活動(dòng)主要針對(duì)Area 3場(chǎng)景。其中verification 主要側(cè)重于已知場(chǎng)景的測(cè)試，如邊界測(cè)試-需求測(cè)試-注入測(cè)試-MIL-SIL-HIL測(cè)試等。Validation，則注重于未知場(chǎng)景的測(cè)試，如隨機(jī)測(cè)試用例測(cè)試-長(zhǎng)時(shí)間測(cè)試-根據(jù)經(jīng)驗(yàn)測(cè)試-分析最壞場(chǎng)景測(cè)試等。

2.5 Area



Area1：known safe scenarios 已知安全場(chǎng)景

Area2：known unsafe scenarios 已知非安全場(chǎng)景

Area3：unknown unsafe scenarios 未知的非安全場(chǎng)景

Area4：unknown safe scenarios 未知的安全場(chǎng)景

其中SOTIF則主要針對(duì)Area2 和Area3對(duì)癥下藥。

3、SOTIF實(shí)施過(guò)程




4、SO21448概要說(shuō)明

4.1 功能和系統(tǒng)規(guī)范

定義系統(tǒng)架構(gòu)，描述系統(tǒng)的功能，確定系統(tǒng)的邊界，此處類(lèi)似于ISO26262中 相關(guān)項(xiàng)的定義。包括系統(tǒng)對(duì)外功能的交互的描述，系統(tǒng)內(nèi)部的描述，尤其涉及到HMI，傳感器-算法-執(zhí)行器等相關(guān)描述，用于啟動(dòng)SOTIF。

4.2 識(shí)別和評(píng)估SOTIF產(chǎn)生的危害

識(shí)別危害場(chǎng)景，識(shí)別場(chǎng)景的觸發(fā)條件，確定驗(yàn)收條件。此處主要進(jìn)行由于功能受限引起的危害事件，分析危害事件的嚴(yán)重度和可控度，確定驗(yàn)證和確認(rèn)標(biāo)準(zhǔn)。

4.3 識(shí)別和評(píng)估觸發(fā)事件

根據(jù)上文識(shí)別的危害事件，識(shí)別觸發(fā)潛在危害的事件，此處主要是找出觸發(fā)危害事件的原因。

4.4 修改功能減小SOTIF風(fēng)險(xiǎn)

設(shè)計(jì)相應(yīng)的措施，分配到系統(tǒng)功能，以減輕SOTIF風(fēng)險(xiǎn)，進(jìn)一步評(píng)估所采取的的措施，對(duì)預(yù)期功能的影響。

一般改善措施包括，系統(tǒng)性能提升，如選用性能更好的傳感器；限制場(chǎng)景的功能使用，如識(shí)別到車(chē)道線不清晰-大雨天氣等，禁止使用自動(dòng)駕駛功能或者限制使用某些自動(dòng)駕駛功能；降低系統(tǒng)和誤用，如設(shè)計(jì)更好的交互或HMI。

4.5 確定驗(yàn)證和確認(rèn)措施

識(shí)別危害事件所在的區(qū)域（Area2/Area3）,選取SOTIF推薦的驗(yàn)證或確認(rèn)策略，這里核心是識(shí)別出相應(yīng)的test case，并確定哪些適應(yīng)于Area2，哪些適應(yīng)于Area3.

4.6 SOTIF驗(yàn)證

對(duì)系統(tǒng)的傳感器-算法-執(zhí)行器等，進(jìn)行重復(fù)覆蓋測(cè)試驗(yàn)證，以證明修改的系統(tǒng)和組件，符合預(yù)期的功能，同時(shí)已知不安全（Area2）場(chǎng)景下，功能符合預(yù)期（危害風(fēng)險(xiǎn)足夠?。?。

4.7 SOTIF確認(rèn)

對(duì)系統(tǒng)的傳感器-算法-執(zhí)行器等，進(jìn)行實(shí)際場(chǎng)景驗(yàn)證，以證明修改后的系統(tǒng)或組件，符合預(yù)期功能，在未知不安全（Area3）場(chǎng)景下，功能符合預(yù)期（證明實(shí)際場(chǎng)景風(fēng)險(xiǎn)足夠低）。

4.8 SOTIF發(fā)布方法與準(zhǔn)則

主要是評(píng)估殘余風(fēng)險(xiǎn)是否可接受，是否符合發(fā)布準(zhǔn)則。

5、SOTIF場(chǎng)景搜索

SOTIF和ISO26262功能安全一樣，也是定義了一套方法論，而SOTIF這套方法論最關(guān)鍵的是，盡可能識(shí)別出相應(yīng)的場(chǎng)景-對(duì)應(yīng)措施-以及驗(yàn)證策略。本文結(jié)合自身對(duì)行業(yè)理解，簡(jiǎn)要談?wù)勅绾稳ニ阉鱏OTIF場(chǎng)景。

主要將場(chǎng)景分為兩個(gè)大類(lèi)，分別為系統(tǒng)的功能限制，以及系統(tǒng)的預(yù)期合理誤用。

1、針對(duì)系統(tǒng)性能限制
a.列出系統(tǒng)所有的功能，并根據(jù)功能進(jìn)一步細(xì)分傳感器-算法-處理器-執(zhí)行器，一步一步細(xì)分到組件。

b.羅列出系統(tǒng)各個(gè)功能的限制，這里需要按照一定的規(guī)則，羅列場(chǎng)景，并結(jié)合場(chǎng)景，找出功能邊界值，極限值等。如考慮道路結(jié)構(gòu)-天氣狀況-功能邏輯場(chǎng)景等，羅列傳感器的極限值，算法的準(zhǔn)確性，執(zhí)行器相應(yīng)的精確性等。這里場(chǎng)景應(yīng)將性能限制Mapping到一張表，并評(píng)估組合在一起的可能性，將不可能出現(xiàn)的情況可以排除掉。此處可以借鑒HARA分析方法。

2、針對(duì)系統(tǒng)可預(yù)期誤用
a.首先識(shí)別出干系人（Stakeholders）（如駕駛員-乘客等）

b.采用引導(dǎo)詞識(shí)別誤用原因

過(guò)程 引導(dǎo)詞
認(rèn)知 不理解
錯(cuò)誤識(shí)別
判斷 錯(cuò)誤判斷
行動(dòng) 失誤（注意力不集中導(dǎo)致）
故意
不能（難以操作）
c.考慮駕駛員與系統(tǒng)之間的交互（如一些操作，警告，指示，車(chē)輛行為等）

d.考慮用例場(chǎng)景的環(huán)境，如道路條件-天氣等

e.通過(guò)以上來(lái)組合生成誤用場(chǎng)景表

6、SOTIF案例說(shuō)明

以下針對(duì)SOTIF工作流案例進(jìn)行說(shuō)明（參考ISO21448）
工作流 案例（AEB，緊急制動(dòng)）
系統(tǒng)功能規(guī)范 本功能使用雷達(dá)掃描前方障礙物距離，如果檢測(cè)到近處的障礙物，AEB將會(huì)觸發(fā)
SOTIF相關(guān)的危害識(shí)別和風(fēng)險(xiǎn)評(píng)估
交通場(chǎng)景：駕駛在交通繁忙地段
潛在危害：非預(yù)期的緊急剎車(chē)，可能導(dǎo)致后方車(chē)輛追尾
風(fēng)險(xiǎn)可接受？ No！駕駛員無(wú)法控制該危害，危害取決于兩車(chē)間的間距
識(shí)別和評(píng)估驅(qū)動(dòng)事件 道路上有易拉罐-或雪糕筒等異物，雷達(dá)可能識(shí)別為潛在障礙物
識(shí)別到的驅(qū)動(dòng)事件可接受？ No！由于AEB導(dǎo)致的追尾事故必須減輕
修改功能以降低SOTIF風(fēng)險(xiǎn) 限制AEB的制動(dòng)持續(xù)時(shí)間或制動(dòng)力度
修改功能和系統(tǒng)規(guī)范 增加功能：限制剎車(chē)介入，以最小化減小或阻止由于非預(yù)期緊急剎車(chē)導(dǎo)致的傷害
識(shí)別驅(qū)動(dòng)事件可接受？ Yes！無(wú)需進(jìn)一步改進(jìn)
定義驗(yàn)證和確認(rèn)策略 選擇設(shè)計(jì)相關(guān)的測(cè)試用例，以應(yīng)對(duì)AEB相關(guān)的已知或未知非安全場(chǎng)景
驗(yàn)證SOTIF 針對(duì)已知AEB場(chǎng)景，進(jìn)行跟蹤測(cè)試-仿真測(cè)試-以及耐久測(cè)試。
已知場(chǎng)景足夠覆蓋?
系統(tǒng)和組件表現(xiàn)符合預(yù)期?
Yes，認(rèn)為所做措施，或相應(yīng)場(chǎng)景概率足夠低，風(fēng)險(xiǎn)可接受
確認(rèn)SOTIF 選擇測(cè)試用例，進(jìn)行整車(chē)層級(jí)測(cè)試，長(zhǎng)久測(cè)試進(jìn)行統(tǒng)計(jì)
系統(tǒng)和組件在真實(shí)場(chǎng)景中不會(huì)造成不合理風(fēng)險(xiǎn) Yes,長(zhǎng)久測(cè)試參考GAMAB規(guī)則
發(fā)布SOTIF方法和準(zhǔn)則
獲得測(cè)試和驗(yàn)證的結(jié)果，證明殘余風(fēng)險(xiǎn)可接受。