![]()
/注明/ 文章内容由汽车功能安全行业工程师口述及参考行业资料整理,仅代表个人观点,如果更好的建议和补充,可以留言互动!
SOTIF(Safety Of The Intended Function)即预期功能安全,主要关注系统在没有故障的情况下,由于性能局限或可预见的误用导致的危害。在自动驾驶系统中,它确保车辆在正常运行范围内,按照预期功能行驶而不会产生不合理的风险。其核心在于识别并评估自动驾驶系统可能出现的功能不足和可预见的误用情况,然后采取措施降低风险,使其达到可接受的水平。这涉及到对系统的功能、性能、使用场景等多方面的综合考虑。传统安全基于硬件组件的故障和失效(可靠性方法),而 SOTIF 涉及即使没有硬件设备故障,但自动驾驶车辆某些功能或预期功能出现性能下降时也可能发生事故。
一些故障是由于自动驾驶车辆组件的性能下降引起的,通常涉及更高层次的处理或更高的自动化水平,例如服务故障。
SOTIF 在自动驾驶车辆中,强调了 SOTIF 的重要性,重点关注自动驾驶车辆中的功能不足和可预见的误用情况,突出了基于场景的虚拟仿真测试对于提高自动驾驶测试效率的必要性。
在自动驾驶系统中,SOTIF危害分析和风险评估是确保系统安全的关键环节,主要流程有:首先需要详细描述自动驾驶系统的各项功能,包括但不限于自动跟车、车道保持、自动换道、障碍物避让等。对于每个功能,明确其输入(如传感器数据)、处理过程(如算法决策)和输出(如车辆控制指令)。例如,对于自动跟车功能,需要明确车辆是基于何种传感器(摄像头、毫米波雷达等)来检测前车距离和速度,以及系统如何根据这些信息计算合适的跟车距离和速度,并输出加速、减速或保持车速的指令。第二,还需要定义自动驾驶系统正常运行的边界条件,包括道路类型(高速公路、城市快速路、乡村道路等)、环境条件(天气状况如晴天、雨天、雪天、雾天,光照条件如白天、夜晚、黎明、黄昏等)、交通状况(交通流量、车辆类型混合程度等)。例如,通过收集实际道路交通数据,发现某自动驾驶系统在暴雨天气下,摄像头和雷达的性能会受到严重影响,因此将暴雨天气排除在当前版本系统的 ODD 之外,直到系统性能得到提升可以适应这种天气。第三,危害识别中一部分考虑系统在正常运行过程中由于性能局限可能出现的危害。这可能包括传感器性能下降(如在强光或弱光下视觉传感器识别不准确)、算法决策失误(如对特殊形状的障碍物无法正确识别)、通信延迟(如车辆与云端或其他车辆通信时数据传输延迟)等情况。例如,激光雷达在强光直射下可能出现点云数据丢失或错误,导致系统对前方障碍物的距离和形状判断失误,从而引发碰撞风险。另外一部分考虑可预见的误用引发的危害,分析用户可能的错误操作或不合理的使用场景导致的危害。这可能包括驾驶员错误设置系统参数(如将跟车距离设置得过近)、在不适合的 ODD 条件下启用系统(如在施工路段启用自动驾驶功能)等。例如,驾驶员在车辆进入未在 ODD 范围内的非标准道路(如临时封闭道路用于活动现场)时仍开启自动驾驶功能,可能导致系统无法正确应对道路状况而发生危险。第四,风险评估,首先对于识别出的每个危害,确定风险的两个主要因素:危害发生的可能性和危害后果的严重程度。可能性评估可以考虑因素如系统故障概率、环境条件出现的频率、驾驶员误用的可能性等。严重程度评估则要考虑对乘客生命安全、车辆损坏程度、交通秩序影响等方面。另外可以采用多种方法来量化风险,如概率 - 后果矩阵。将可能性分为几个等级(如高、中、低),将后果严重程度也分为几个等级(如灾难性、严重、中等、轻微),通过组合这两个因素来确定风险等级(如高风险、中风险、低风险)。例如,自动紧急制动系统失效且在高速行驶时发生碰撞的情况,可能性较低但后果严重程度为灾难性,综合评估为高风险;而自动跟车功能在低速行驶时轻微距离偏差,可能性较高但后果轻微,综合评估为低风险。再者就是风险的排序及优先级确定,根据风险评估的结果,对所有识别出的危害按照风险等级从高到低进行排序。这有助于集中资源首先处理高风险的危害。考虑风险的可控性、降低风险的成本和效益等因素,确定处理每个危害的优先级。对于高风险且易于控制的危害,应给予最高优先级。例如,对于通过软件更新可以快速修复的高风险算法决策失误问题,应优先安排开发和测试资源进行修复;而对于需要更换硬件才能解决的复杂问题,可能需要综合考虑成本和效益后确定合适的处理时机。第五,风险评估的更新与闭环管理,在自动驾驶系统的整个生命周期中,持续监控系统的运行情况,包括系统性能、环境变化、用户反馈等。收集新的数据来识别可能出现的新危害或之前评估的风险因素的变化。例如,随着车辆的长期使用,传感器可能会出现老化等情况,导致性能下降,需要通过定期的车辆健康检查和数据监测来发现这些问题。最后根据新的数据和信息,及时更新危害分析和风险评估。如果发现新的危害或者风险因素发生变化,重新进行风险排序、优先级确定和控制措施制定。以下是一份报告模板,仅供参考,在实际编写时,应根据项目的要求和具体的自动驾驶系统和评估需求进行调整和完善。报告目的:阐述对自动驾驶系统进行 SOTIF(Safety Of The Intended Function)危害分析和风险评估的目的,强调确保系统在预期功能下的安全性。系统描述:简要介绍被评估的自动驾驶系统,包括系统的主要功能、设计运行范围(ODD)以及关键技术组件。传感器性能局限:描述各种传感器(如摄像头、雷达、激光雷达等)可能出现的性能下降情况,例如在特定光照、天气或环境条件下的检测不准确。举例说明可能导致的危害,如误识别或漏识别障碍物,从而引发碰撞风险。算法决策失误:分析算法在处理复杂场景或特殊情况时可能出现的错误决策,如对动态物体的轨迹预测错误。阐述由此产生的危害后果,如与其他车辆或行人发生碰撞。用户错误操作:列举驾驶员可能的错误操作,如错误设置系统参数、在不适当的条件下启用自动驾驶功能。分析这些操作可能引发的危害,如系统无法正常运行或增加事故风险。超出 ODD 使用:描述车辆在超出设计运行范围的情况下使用自动驾驶系统可能出现的问题。举例说明可能导致的危害,如系统性能下降或无法应对特殊场景。可能性评估:分析危害发生的可能性,考虑因素包括系统故障概率、环境条件出现的频率、驾驶员误用的可能性等。对每个危害的可能性进行等级划分,如高、中、低。严重程度评估:评估危害后果的严重程度,考虑对乘客生命安全、车辆损坏程度、交通秩序影响等方面。对每个危害的严重程度进行等级划分,如灾难性、严重、中等、轻微。风险量化:采用概率 - 后果矩阵或其他合适的方法对风险进行量化。将每个危害的可能性和严重程度组合,确定风险等级,如高风险、中风险、低风险。风险排序:根据风险等级对所有危害进行排序,以便确定处理的优先级。风险控制措施:针对每个危害制定具体的风险控制措施,包括但不限于以下方面:系统设计改进,用户培训与提示,监测与反馈机制等,并阐述风险控制措施的实施计划和预期效果。模拟测试场景设计:列举用于验证的各种模拟场景,涵盖不同的环境条件和交通状况。实地测试方案:说明实地测试的路线选择、测试次数和评估指标。描述对风险控制措施的验证和确认方法,包括模拟测试、实地测试等,并分析验证和确认结果,确认风险是否降低到可接受的水平。总结 SOTIF 危害分析和风险评估的主要结果,包括概述已识别的危害、风险等级和采取的控制措施,说明系统的安全性是否满足要求。提出进一步改进的建议和未来的研究方向,针对未完全消除的风险提出持续改进的建议,探讨未来可能出现的新风险和应对策略。![]()
