(ISO PAS 21448中第6章節內容)
6 Identification and Evaluation of hazards caused by the intended functionality(預期功能引起的危害識別和評估)
6.1 目標
與SOTIF有關的潛在危害應系統地識別和評估,以便:
- 由導致潛在危險行爲及其潛在後果的功能引起的可能的危險事件,應該被識別和評估。
- 指定在確認階段評估設計的驗收標準(例如:確認目標)。
注:這樣的驗收標準可以是所需要的耐久跑的最小距離,以及每種類型所觀察到的故障的最大數量(如,誤報率,漏報率)。 - 識別並評估由用戶合理預見的誤操作所引起的可能的危險事件。
6.2 危害識別
系統地確定了由非預期的功能行爲引起的危害。這種系統的識別主要是基於對功能及其可能偏差的認知。這可以通過應用ISO 26262-3:2018中提出的方法來實現,同時考慮到預期功能的性能限制。有關ISO 26262系列和本章節要求的危害分析過程的一般要素的說明,請參閱圖12。圖13以自動緊急制動(AEB)系統爲例,展示瞭如何使用圖12中的術語。
例1:對於AEB系統,不正確的檢測可能會導致意外的全制動。然而,該系統可以對AEB觸發的制動命令形成一定的限制。因此,對前車的錯誤檢測只能觸發制動到這個預定的限制。然而,在指定的權限內對不必要的制動(由於不正確的檢測)限制會有影響安全的後果,所以需要在SOTIF相關的風險評估中考慮清楚這些不想要的制動事件。
例2:如果多輛車使用自適應巡航控制(ACC)在一條直線上一個接一個地行駛,那麼自適應巡航控制(ACC)功能可能會表現出不良的行爲。在這種情況下,高控制環路延遲可能導致“手風琴效應”的積累,直到系統不能充分剎車,司機不得不進行干預。雖然駕駛員可能認爲這種操作情況是可以控制的,但避免這種堆積效應的需要仍然可以作爲SOTIF的一部分加以分析。
注:與ISO 26262-3:2018不同,在分析SOTIF相關危害時,沒有確定有害事件的ASIL。但是,可以使用S、E和C參數來用於確認工作
6.3 危害分析
危險事件的危害性和可控性可以用ISO 26262-3:2018第6章所述的方法來評估,但也可以針對特定的SOTIF相關危害對單個危險事件的評估。
例如:緊急制動引起的追尾事故的嚴重程度可以通過限制制動的強度來降低。強度極限可以看作是一種增加可控性的安全機制,或者是對預期行爲的一種修正。在分析危害時,極限被認爲是預期行爲的一部分。然而,與實施限制有關的功能故障將成爲其他安全標準的主題,如ISO 26262系列。
在給定的場景中,考慮潛在危險行爲的嚴重性和可控性,以判斷是否會導致確信的傷害。對於危險事件的分類,可以考慮相關人員的延遲或沒有反應來控制危險。
例如:某個環境條件不支持ADAS,需要駕駛員恢復控制。由駕駛員的反應時間引起的延遲會影響可控性評估,可能成爲SOTIF相關分析的一個主題。
例如:下表給出了一個AEB系統和SOTIF相關的危險事件潛在後果評估的例子。
6.4 風險評估
風險評估考慮預期功能的性能瓶頸,以判斷可控性或嚴重性是否可接受;可控性是指“總體可控”,嚴重程度是指“不會造成傷害”。嚴重性和可控性評估可以考慮預期的系統限制以及爲減輕其影響而實施的措施。(根據第5章節中描述的功能和系統規範)
6.5 “確認目標”的規範
確認工作的目標考慮政府和行業的法律法規以及確保安全所需的當前功能性能水平,指定的驗證目標將取決於驗證策略中選擇的方法。
例如:推論分析需要考慮所有已知和相關的觸發事件的列表。對於此類分析,相關的驗證目標將確保覆蓋此列表中的所有事件。相反,對SOTIF相關危害的歸納分析將涉及搜索與應用程序相關的先前未知的觸發事件。在這種情況下,驗證目標的定義應具有統計上的可信度,即經驗數據證明觸發事件不會帶來不合理風險。
在指定這些目標時可以考慮的方法包括:
- 目標市場的現有交通數據(例如意外統計、交通分析)(見D.3);
- 在該領域運行的類似功能中預先存在的目標。
例如:在一個給定的場景的仿真測試,pass/fail的判定可以定義爲,當某個功能不需要時執行,允許的誤發生率和漏發生率,當某個功能需要時不執行,允許的誤發生率和漏發生率。
如果只有一個場景的子集與特定的危害相關,那麼暴露在相關的場景中的持續時間可以在確定目標值和相關確認時考慮(類似於ISO 26262- 3:3 - 2018,第6條中的暴露,通過特定場景在中體運行時間中佔比來計算暴露率或暴露等級)。
在評估給定場景中某個觸發事件違反定量目標的可能性時,可以考慮其暴露程度、可控性和導致行爲的嚴重程度。這可以減輕在第3區域證明觸發事件發生率所需的努力,見本文件附件B。
例如:考慮6.3節的例子,如果有一輛尾隨車輛,非故意剎車只會導致追尾事故。在指定確認目標時,可以考慮尾隨車輛的暴露率。
如果沒有可用的交通統計數據或相關領域的數據,那麼可以提供一個有效的原理選擇適當的目標。
注1:一個基本原理可以基於風險容忍原則,例如法國的GAMAB或GAME,兩者都有“全球至少一樣好”的意思。遵循這一原則,任何新系統的剩餘風險(關於安全性)都不會顯著高於具有可比功能和危險的現有系統。在考慮新系統所有風險的情況下,將這種風險可容忍性原則應用於總體剩餘風險,可以做出相應的風險權衡。例如,即使某個特定危險的剩餘風險增加了,系統也可以被髮布,只要通過抵消一個或多個其它剩餘風險的減少來補償這一點。
注2:一個基本原理是ALARP(二拉平)原則,ALARP風險管理框架可以提供一個有用的風險減少原則,特別是在開發和引入新技術方面,目前還沒有“良好實踐”。 承認零/無風險的狀態是不可能的,ALARP原則旨在通過權衡風險與進一步降低風險所需的犧牲來將風險降低到“合理可行”的水平。
參考文檔:
ISO PAS 21448 Road vehicles — Safety of the intended functionality
我將進一步翻譯並總結整個標準,請繼續關注後續內容。。。