自动驾驶汽车在现实环境中的实际操作要求它们达到并保持可认证的功能安全状态。这些车辆必须保持这种状态,即使它们在与可能较少或没有自动化的旧车辆共享的混乱环境中运行。因此,在充满变量的环境中获得此认证本身必须包含广泛的要求和过程。
SOTIF是代表“预期功能安全性”的首字母缩略词。SOTIF本身是一个非常广泛的主题,需要考虑许多细微差别和相互作用。SOTIF是自动驾驶的关键组成部分,但它只是众多要素之一。为了在功能安全的整体背景下更好地了解SOTIF的范围和目的,让我们首先研究SOTIF如何与自动驾驶汽车领域的其余部分相融合。这将首先为我们提供定义SOTIF是什么的背景,然后我们将开始深入研究SOTIF的各种元素和注意事项。
为什么需要 SOTIF现代机电一体化系统今天的汽车与20世纪末的前辈大不相同。电气和机械系统本质上是独立的系统,由固定在防火墙上的基本控制单元加以加强的时代早已一去不复返了。当今的现代车辆是高度复杂的机电一体化机器,它们通过电气和电子系统实现机械系统、软件、计算能力、传感、数据和带宽容量以及物理驱动紧密交织在一起。这些系统的交织性质从保险杠延伸到保险杠甚至更远的地方,包括车辆运行的环境。这种能力使机电一体化系统作为一个统一的整体,能够根据其感知和设计目的做出决策并采取行动。今天的汽车与20世纪末的前辈大不相同。电气和机械系统本质上是独立的系统,由固定在防火墙上的基本控制单元加以加强的时代早已一去不复返了。今天的现代汽车是高度复杂的机电一体化机器,它将机械系统、软件、计算能力、传感、数据和带宽容量以及物理驱动紧密交织在一起,由电气和电子系统实现。这些系统相互交织,前车到后车,甚至延伸到车辆运行的环境。这种能力使机电系统作为一个统一的整体,能够根据它所感知的东西和它的设计目的来做出决定和采取行动。管理风险近年来,先进车辆功能的数量、性能和复杂性有了显著增加。一点一点地,无人驾驶汽车的能力正在增长,它可以增强或在某些情况下接管以前只能由人类处理的功能。然而,随着复杂性的增加,风险也在增加。为了有效地管理这些风险,将功能安全工作重点放在风险最大的领域,然后尝试减少或消除它们是有意义的。由于大多数车辆功能由人类控制,因此大多数车辆事故都可以追溯到人为错误。因此,减少事故数量的最有效方法是为控制车辆的人提供值得信赖的帮助。这是通过将选择决策和功能卸载到自动化系统来实现的,这些系统已被证明比普通人更快、更准确、更可靠地执行这些特定任务。目的不是取代人类驾驶员,而是让驾驶员和车辆一起工作,使驾驶员能够专注于人类表现最好的任务。ADAS和SOTIF:不同和互补基础概念高级驾驶辅助系统 (ADAS) 是一种硬件、软件和通信系统,旨在通过使用人机界面来帮助驾驶车辆的人来提高安全性和降低风险。ADAS提供早期预警并缩短对潜在危险的反应时间。这种增强的能力有助于防止伤亡,一是减少了交通事故的数量,二是减少了不可避免的事故的严重程度。相比之下,国际标准ISO/PAS 21448,道路车辆-预期功能的安全性,将SOTIF定义为“……由于预期功能的功能不足或合理可预见的人员滥用而导致的危险而不存在不合理的风险。”
没有不合理的风险……由功能不足引起的危险……系统的预期功能与它在现实世界中实现的实际功能程度……可预见的人员误用,无论是意外的还是故意的……在此,我们将详细研究所有这些SOTIF考虑因素,以及我们用来定义和创建这些系统并衡量其有效性的过程和系统。
在现实世界中有所作为精确定义“预期功能的安全性”可以建立ADAS系统设计、构建和部署时需要满足的标准。换句话说,SOTIF定义了目标以及每个场景中“功能安全”的预期定义。然后,ADAS系统通过将预期安全转化为现实世界中的实际安全来确定您如何达到目标。如果团队没有首先通过SOTIF定义预期的功能,他们就无法知道他们的目标是什么,也无法确认他们达到了目标。如果他们没有部署经过审查的ADAS解决方案,现实世界的安全性就不会得到改善。
为司机提供帮助可以说,ADAS系统和SOTIF本身就是一些早期汽车安全工作的延伸。当汽车刚被引进时,它们只不过是被取代的马车和马车的阶梯式发展。无论是车辆还是它们运行的环境,都没有被设计成适应汽车的发明将迅速引入的车辆的速度、重量和数量。
早期的先驱者主要通过实验来设计他们的车辆。如果某些东西有效,早期的建设者只是试图复制它,甚至在他们完全理解它为什么有效之前。就像从有效的方法中吸取教训一样,从无效的方法中吸取了更深刻和有价值的教训,通常是以人类痛苦为巨大代价的。当我们过渡到自动驾驶车辆时,整个系统以一种熟悉的模式发展,直接与当今现代车辆的设计进程相关。这包括最终成为SOTIF的最早暗示(关键词是意图)。车辆和道路的设计开始慢慢地从被动反应转变为具有功能性,这是有意预见的产物,或者是为了某个目的而设计。
我们在设计和施工阶段都采用了合理的工程原理,有意提高了安全性,提高了车辆及其运行的道路和桥梁的稳定性和安全承载能力。工程师们将科学研究与环境和材料科学结合起来,推出了更安全的车辆。相应地,车辆配备了更好的轮胎,通过提供更强的抓地力和更稳定的行驶,来提高安全性,这是专门为这些新路面设计的。道路本身演变成按照严格一致的通用标准建造的工程系统;这些设计是在各种公路建设协会的指导下进行的,最终由联邦监管机构进行了详尽的测试。
通过深思熟虑来保证安全的概念早在汽车出现之前就存在了,在今天比以往任何时候都更重要。 我们不断定义和应用预期的功能,因为我们有数据证明这样做会让我们的世界更安全。 应用经过审查和可重复的科学原理比猜测更有效。 通过深思熟虑来保证安全的概念早在汽车出现之前就存在了,在今天比以往任何时候都更重要。 我们不断定义和应用预期的功能,因为我们有数据证明这样做会让我们的世界更安全。 应用经过审查和可重复的科学原理比猜测更有效。 通过深思熟虑来保证安全的概念早在汽车出现之前就存在了,在今天比以往任何时候都更重要。 我们不断定义和应用预期的功能,因为我们有数据证明这样做会让我们的世界更安全。 应用经过审查和可重复的科学原理比猜测更有效。 所有这些观点都强调了在设计时考虑到预期功能的安全性(SOTIF)的概念。一旦车辆和道路的SOTIF被定义,工程师们就开始寻找提高驾驶员自身功能的方法。有许多ADAS系统的例子已经被普遍使用了几十年。一些较成熟和较不复杂的电气和机械系统包括20世纪70年代首次引入的防抱死制动系统、牵引力控制系统、在低光照条件下自动打开的前大灯和自动变暗的后视镜。最近的创新包括帮助防止倒车事故(特别是涉及儿童在车后玩耍的事故)的后视镜。自适应巡航控制,允许你设置并保持与前车的固定距离,以GPS为基础的图形和声音系统的形式提供导航辅助,在车辆周围的某些或所有方向上避免危险,以及车道偏离和居中。这些系统中使用的技术通常可以分为提高驾驶员意识的技术和/或自动化驾驶任务的技术。这些技术是在工程师首先定义以下内容之后才选择的,这些ADAS系统的设计和制造:在正式定义预期功能的安全性之前,必须首先有一个标准来指导您。这将使您能够确认您的定义是准确和完整的,并将为实现定义的目标提供一个定义、可测量和可重复的过程。ISO/PAS 21448就是这样一个标准。它是由国际标准化组织 (ISO) 创建和维护的 ISO 标准文档,该组织是由国家级标准机构组成的全球联合会。SOTIF有助于确保功能安全,首先确保管理这项工作的标准本身是强大的和经过适当审查的。如标准本身所述,ISO国际标准的制定通常通过ISO技术委员会进行。国际组织(政府和非政府)也与标准化组织联络,帮助支持这项工作。通过这些单位和个人的辛勤工作,对标准进行不断的评价和完善。本标准通过各种草案和审查制定和发展,并最终被批准发布的过程过程按以下顺序发生:- 小组委员会SC 32,电气和电子元件和一般系统方面
请注意,SOTIF标准起源于电子和通用系统领域的小组委员会,而不是道路车辆级别。鉴于当今的现代车辆是机电的,并且其中一些相同的传感器和组件可以在其他类型的车辆和应用中找到,因此这是有实际意义的。相同或相似的组件也可能在高速公路、非高速公路甚至航空航天应用中共享。从一开始就掌握这种增加的复杂性非常重要。车辆简单到可以细分为单独的电气和机械系统的日子已经一去不复返了。每个应用程序都需要根据其用例和操作环境的细节量身定制要求。ISO/PAS 21448 对汽车制造商和 OEM 意味着什么?汽车开发人员和原始设备制造商在各种技术和系统方面贡献了他们的专业知识。虽然关于这个标准的工作起源于一个专注于电子和通用系统的小组委员会,但这并没有反映出标准本身的最高优先级。因为每个应用程序可能以不同的方式利用类似的组件来实现不同的标准,所以团队成员首先关注部件和软件是没有意义的。相反,该标准首先侧重于定义术语“预期功能的安全性”的含义,然后提供适用设计的指导,以及验证和验证,以及实现SOTIF所需的措施。这有助于确保昂贵的设计和开发工作,以及具体技术的最终选择,都是针对明确定义的最终目标,而不是团队凭空挑出可能的安全应用程序来证明给定技术的使用是合理的。
|
