怎样判断是白癜风 http://m.39.net/baidianfeng/a_7192379.html

SOTIF

原创

预期功能安全(SOTIF)是汽车行业的一个安全分析流程，解决的是系统在特定环境条件下性能不足，人为误操作，以及环境干扰造成的非预期行为。识别未知/潜在的不安全场景通常结合分析、仿真、台架测试和道路测试，本文通过开发用于推导SOTIF分析所需场景的结构化框架来支持该方法的分析部分，然后可以使用通过该框架得出的场景为仿真和测试提供信息。注：

1

SOTIF概述图1展示了PAS中描述的SOTIF过程中的关键步骤，本节将介绍SOTIF的概念，更详细的内容可以参考PAS，PAS的获取方法详见文末。图1SOTIF中的关键步骤SOTIF风险识别和评估步骤用于确定危险事件是否可能会导致确定的伤害。

PAS将危险事件定义为潜在的系统危险和特定操作情况的组合。在ISO66中，将车辆行驶情况定义为车辆使用期间可能发生的情况。

PAS描述了以下危险事件示例：

危险：

在

加速度时自动紧急制动意外激活；

行驶情况：在高速公路上行驶。

在识别出危险事件之后，SOTIF将重点放在识别可能导致意外系统行为并最终导致一个或多个识别出的危险事件的触发事件上。PAS将触发事件（包括可预见的误用）定义为触发系统后续响应的、具有特定条件的驾驶场景。对触发事件的分析用于识别系统弱点以及可能导致已知危险事件的场景。.

触发事件可以分为两类。

第一类包含超出系统和组件性能限制的事件。本文将此类触发事件定义为SOTIF类型I事件。这一类别既包括传感器限制，也包括算法限制，例如机器学习和神经网络算法。举例来讲，高度自动化的驾驶系统可能在其预期的操作范围内行驶(例如，高速公路、天气情况良好)，但随后遇到的眩光路况，可能会超出前置摄像机的性能。

第二类包含人为因素限制，特别是在驾驶员—车辆交互接口方面。本文将此类触发事件定义为SOTIF类型II事件。这一领域大致涵盖了几个人为因素问题，例如驾驶员未能将手放在方向盘上；驾驶员对系统能力和局限性的了解，以及驾驶员的责任；驾驶员理解和响应警告和警报的能力等。根据SOTIF，人为因素限制不包含到故意滥用系统，例如故意忽略驾驶员接管请求或故意使用超越系统限制的产品。

在PAS中，触发事件发生的场景定义为从初始情景（环境快照）开始，通过一系列事件和动作（例如，触发事件和系统响应）演变的情景序列。情景有几个特征，包括动态元素、背景、施动者和观察者的自我表现。

根据PAS和轻减策略是否充分降低SOTIF风险，情景可分为已知安全和已知不安全。

第三类，未知—不安全，代表那些在系统设计时未知，通过长期车辆测试、模拟、随机输入测试和其他措施识别的场景。本文的方法试图通过使用更全面的分析来改进已知—不安全场景的识别。

方法

从技术角度讲，想要为SOTIF开发场景依然面临很多问题。PAS的附件F中给出了一些指导性描述。本文描述的方法进一步扩充了现有的分类法，以产生可用于系统地派生SOTIF场景的变量分层框架。其目的是通过增加在系统设计开始时确定的已知不安全情景的数量，来实现对对策的更全面的分析和开发。框架没有涵盖系统功能或系统设计目标和参数等场景的某些元素。该框架旨在帮助确定车辆外部场景的各个方面。

业界为设计运行区域开发了顶层的分类法。分类法确定了6个顶层类别和个直接子类别，如表1所示。

本文使用了在PAS附件F中所列的情景因素和致命事故分析报告系统(FARS)的相关变量。根据数十年来对致命车祸的历史原因的分析，FARS数据库提供了基于几十年来分析历史上死亡事故原因的变量。虽然FARS没有区分人类驾驶员和自动驾驶系统，但FARS的参数仍然提供了对已知的具有挑战性的道路条件和自动驾驶系统可能需要驾驭的行为的一般描述。

本文进一步深化了上述的分类法，该分类法给出了00个变量清单，分为41个详细的子类别，这是SOTIF框架的一个特点。对于某些变量和情况，分析人员在应用该框架时可能需要考虑适当的“负面情况”。例如，有一个变量是“行人、骑自行车的人、其他非机动车驾驶者允许在道路上通行”。相应的“负面情况”是禁止非机动车驾驶者使用道路。负面情况没有明确地包括在框架中。

表为使用FARS道路类型变量的扩展框架示例。PAS附件A提供了完整的框架，其中的情景变量还包括了未包含在FARS数据库和PAS附件F中的一些变量。

（注：添加牛小喀，可查看，扫描文末