本篇属于预期功能安全SOTIF专题系列第05篇内容,我们继续聊预期功能安全ISO 21448中,一旦完成危害分析和风险评估过程,针对那些不满足危害行为接受准则的那些行为,我们如何有效地识别导致危害行为产生的潜在功能不足与触发条件,这绝对是预期功能安全开发的难点之一😂。
阅读之前强烈建议参考之前系列文章:
04 | 预期功能安全-SOTIF: ASIL等级在SOTIF中还适用吗
在上一篇文章我们聊到了功能安全经典的危害风险量化指标ASIL等级在 SOTIF中是否还适用的问题,相信一定会给你带来新的视角。
根据ISO 21448内容,一旦通过危害分析识别出整车危害(Hazard)及危害事件(Hazard Event),就需要对其潜在功能不足与触发条件进行识别,即哪些原因导致了危害行为的产生,便于后续依据触发条件制定安全需求,对系统进行优化和改进。
和功能安全相比,预期功能安全SOTIF的危害源于系统功能和性能局限,或人为合理误触发,且应用于自动驾驶或高级辅助驾驶系统。
1
自动驾驶系统功能和性能局限多属于未知因素,触发条件与运行场景强相关
2
3
系统之间错综复杂的相互作用关系使得安全分析很难找到失效的真正原因
4
非白盒模型极大增加了安全分析的难度
5
人为合理触发存在一定的个体差异性
由于以上原因,基于传统的安全分析方法,已经不再能够满足预期功能安全SOTIF危害源识别的需求,那么我们应该如何应对呢?
总体来看,我们可以从以下几个方面入手:
1
重视并不断丰富自动驾驶运行场景的搭建
2
3
加强仿真及测试验证的作用
只有这样才能充分识别自动驾驶系统在已知和未知的危害场景下的功能不足及危害触发条件。是的,这个结论看似简单,却不简单!
01
自动驾驶运行场景
自动驾驶系统运行场景的建立非常有助于潜在功能不足的触发条件的识别,和功能安全分析的车辆场景相比,预期功能安全中触发条件识别需要的运行场景更为细致,为了涵盖小概率危害事件,需要尽可能全面地收集更多的运行场景,包括一些极为少见的情形。
自动驾驶系统常见的运行场景因素主要包括:
气候
─ 例如,良好,多云,雨,雪,雾,风等
道路及道路特性
─ 例如,直道,弯道,上坡,下坡,道路宽窄,坑洼道路,车道线存在/不存在等
道路特征 ─ 例如,高速,立交桥,匝道,隧道等
一天中所处的时间 ─ 例如,早上,中午,晚上等
光照 ─ 例如,直射,背光,无光照,路灯照射等
自车运行情况 ─ 例如,车辆运行状态(纵向,横向),车重,传感器位置,干净程度等
自车操作 ─ 例如,加速,减速,弯道超车,停车,转向等
周围车辆 ─ 例如,前车加速,前车减速,前车停止,迎面来车,对面车打开了远光灯等
其他交通参与情况 ─ 例如,行人,轿车,卡车,公交车等
障碍物等 ─ 例如,交通标志,围栏,侧壁,掉落的物体等
02
安全分析手段的应用
这一部分我们系统地来看看,有哪些分析手段可以用来识别预期功能安全危害触发原因,它们各自的适用程度如何,更适合解决哪类问题!
对于自动驾驶系统的预期功能安全而言,传统的安全分析方法的最大的局限性就在于需要依靠分析者的经验,对错综复杂的系统,甚至是非白盒系统,进行安全分析,不但分析工作量大,难度大,而且很多触发条件强烈依赖场景,而很多运行场景存于未知状态,所以安全分析+运行场景在预期功能安全分析中成为必然,安全分析在具体使用过程中也会发生一定的变化。
由于传统分析手段的白盒分析的特性,所以传统的安全分析手段,除了识别危害本身外,比较适用于以下情形:
1
失效源和触发条件的初步识别
2
3
执行器端的功能和性能不足的问题及触发条件
2.1 归纳分析方法
归纳分析法,例如FMEA, 是一种自下而上的安全分析方法,重点关注系统的各组成部分可能会发生的故障以及这些故障对系统的影响,属于从原因到结果的分析方法。
由于自动驾驶系统功能不足的触发条件的识别,离不开自动驾驶运行场景,所以我们可以从两个角度系统地应用归纳分析法,识别系统的功能不足和触发条件:
角度一: 从潜在功能不足识别触发条件
这个角度和我们传统的归纳分析方法,例如FMEA,分析流程完全一致,主要是依据自动驾驶“感知-策划-执行”的模型的组成和功能,针对特定的系统功能,首先识别功能所涉及的软件,硬件要素列表,分析要素可能存在的功能不足,然后根据潜在的功能不足,结合运行场景,进一步识别可能会激活这些不足的触发条件。
为了朋友们更好理解,我们上个实例。例如,对于如下所示的自动驾驶系统车道保持(LKA)这个功能而言:
首先,分析该功能主要涉及的要素包括:
─ 执行器: EPS
然后,识别要素潜在的功能不足:
─ 执行器: EPS执行单元在较低的温度下,执行速度变慢。
最后,考虑运行场景,识别出触发条件:
─ 触发条件3: ...
角度二: 从运行条件识别潜在功能不足
虽然这个分析角度和传统的FMEA分析过程不同,但本质上也是属于归纳分析法,只不过是通过对可能导致危害行为的运行场景进行归纳,找出受这些潜在触发条件的影响的系统功能或要素,进而推断出其功能不足的问题。
该方式正好是前面所描述的从潜在功能不足到触发条件识别的反过程,上述实例过程也是同样适用,只是过程相反。
2.2 演绎分析方法
所谓的演绎分析方法,例如,FTA,即自上而下,从危害入手,通过故障树的形式,逐级分析导致危害产生的原因,直至最终的底层原因为止。
在预期功能安全功能安全及触发条件识别中,虽然演绎分析发看似比较直接有效,可以根据危害直接识别到功能不足和触发条件,但由于自动驾驶系统较为复杂,影响因素相互交错,演绎分析方法的应用相对比较困难,很难直接应用于整个系统。
为此,在实际操作中可以根据特定的安全目标或危害,将系统按照“感知-策划-执行”三个大的部分,甚至可以在每个大的部分内部进行进一步分解,以此降低系统复杂度,便于演绎分析的实际操作。
2.3 系统理论过程分析STPA
STPA(System-Theoretic Process Analysis),即系统理论过程分析认为事故是由不当的控制引起,而不是来源于失效链,非常适合自动驾驶系统预期功能安全这样比较复杂的分析对象。
STPA属于定性的安全分析方法,其核心在于建立系统的控制模型:
首先,需要建立自动驾驶系统分析对象的控制模型。
然后,根据分析引导词,通过对控制模型中的每个控制行为(包括人类行为)进行安全分析,识别出可能会导致危害(Hazard)产生的不安全的控制行为(UCA, Unsafe Controll Action),即可能潜在的功能不足。
最后,分析不安全控制行为产生的原因,即得到了触发条件。
03 | 预期功能安全-SOTIF: 危害分析之STPA(点我)
STPA直接基于控制模型,对分析者者经验要求相对低,比较适合预期功能安全危害原因的分析。
03
仿真和测试手段
仿真是自动驾驶系统研发的重要手段。它的实现离不开仿真平台和运行场景库的搭建。通过对各种各样自动驾驶场景的仿真,识别可能存在的问题,进而识别出系统功能不足和对应的触发条件。
实际测试也是自动驾驶验证必不可缺的环节,需要大量的长期测试,才能发现系统存在的问题。
写在最后:
自动驾驶系统潜在功能不足与触发条件如何识别相关内容我们就聊完了,希望能够给朋友们对其带来更多理解。AUTO世代付费社区限时开通,福利多多,更多优质内容,精彩不容错过,感兴趣的朋友可以直接长按下方二维码了解。
END
【点赞】和【在看】= 原创的动力
多谢【点赞】和【在看】
