(ISO PAS 21448中第12章節內容)
12 SOTIF釋放的方法和標準
12.1目標
應執行SOTIF釋放工作,目的是:
- 複查SOTIF活動
- 通過考慮SOTIF活動的結果來評估剩餘風險的可接受性
爲了實現這些目標,需考慮以下信息:
- 功能和系統規範,如第5章節所定義
- 驗證和確認的目標,如第6章節所定義
- 對第7章節中定義的觸發事件的分析
- 作爲第8章節活動結果的功能改進
- 驗證和確認策略,如第9章節所定義
- 驗證結果,如第10章節所定義
- 第11章節中定義的SOTIF確認結果
12.2 SOTIF釋放的評估方法
首先要考慮複查以下因素:
- 確認策略是否考慮了預期功能範圍內的所有指定用例?
a. 測試是否涵蓋已確定的觸發事件?
例如:窄金屬結構使得雷達錯誤地觸發制動
b. 它是否不同於之前的確認工作而單獨定製的? - 預期的功能是否達到了最低的退而求其次的風險條件,必要時,爲消費者或其他道路使用者提供了一個較安全的狀態?
a. 只使用指定的駕駛員干預
b. 考慮到合理預見的誤操作
c. 警告故障車輛的使用者及/或其他道路使用者 - 是否完成了充分的驗證和確認並滿足了驗收標準,以確信風險不是不合理的?
a. 預期功能是否已充分測試,以評估形同虛設的行爲和潛在的非預期行爲?
b. 是否真的沒有觀察到可能導致危險事件的非預期行爲? - 在發生可能導致危險事件的非預期行爲時,所提供的證據證明不存在不合理的風險?
例如:附件B,C,D
注:SOTIF活動結果的檢查可在ISO 26262-2:2008功能安全評估中考慮
12.3 SOTIF釋放的流程
基於上述12.2,第3點方法的證據,建議用於釋放的“接受”,“有條件接受”或“拒絕”可以使用以下標準確定:
a. 對於“接受”,12.2中的第1、2和3點是滿足的;
b. 對於“有條件接受”,12.2中的第1,2,4點是滿足的,當風險在規定日期前被證明不是不合理時,條件就滿足了;
c. 12.3_a和12.3_b都不滿足,SOTIF釋放狀態爲“拒絕”。
參考文檔:
ISO PAS 21448 Road vehicles — Safety of the intended functionality
我將結合例子對標準進行解析,請繼續關注後續內容。。。