ISO 21448－SOTIF預(yù)期功能安全

ADS的安全性還與其他因素有關(guān)，如可想象的人為誤用功能、傳感器或系統(tǒng)的性能限制以及車輛環(huán)境的意外變化。

SOTIF（預(yù)期功能的安全性）試圖防止預(yù)期功能不足或可合理預(yù)見的人員誤用。即使不存在設(shè)備故障，也可能無法正常運行。SOTIF不適用于ISO 26262系列涵蓋的故障或直接由系統(tǒng)技術(shù)。相反，SOTIF與ISO 26262協(xié)同工作，以幫助制造商評估和緩解開發(fā)過程中的各種風(fēng)險，ISO 26262側(cè)重于降低故障風(fēng)險，ISO 21448側(cè)重于緩解可預(yù)見的系統(tǒng)誤用。

ISO 21448旨在應(yīng)用于預(yù)期功能，其中適當(dāng)?shù)膽B(tài)勢感知對安全至關(guān)重要，并且該態(tài)勢感知源自復(fù)雜的傳感器和處理算法；特別是緊急干預(yù)系統(tǒng)（如主動安全制動系統(tǒng)）和高級駕駛員輔助系統(tǒng)。根據(jù)SAE國際標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)可用于更高級別的自動化，但可能需要采取其他措施。

ISO 21448主要考慮緩解因意外操作條件（由于傳感器和算法的限制，預(yù)期功能可能不會始終在此類條件下工作）和需求差距（缺乏對實際預(yù)期功能的完整描述）而產(chǎn)生的風(fēng)險。

美國NHTSA 的AV安全框架開發(fā)

2020年12月，美國國家公路交通安全管理局（NHTSA）通過ANPRM形式面向社會征集對自動駕駛安全框架的建議。

以功能安全、SOTIF和UL 4600的描述為背景，NHTSA正在考慮如何在制定關(guān)于ADS的新框架的背景下，利用這些過程標(biāo)準(zhǔn)，無論是基于法規(guī)還是提供指導(dǎo)。該機(jī)構(gòu)預(yù)計安全框架將包括管理風(fēng)險的過程和工程措施。過程措施（例如，在車輛設(shè)計過程中分析、按嚴(yán)重程度和頻率分類以及減少潛在風(fēng)險源的一般做法）可能包括穩(wěn)健的安全保證和功能安全計劃。工程措施（例如，性能指標(biāo)、閾值和測試程序）將尋求提供證明ADS以高水平熟練程度執(zhí)行其預(yù)期功能的感知、感知、規(guī)劃和控制（即執(zhí)行）的方法。

NHTSA的一個關(guān)鍵研究方向?qū)Ｗ⒂贏DS安全性能，并尋求確定方法、指標(biāo)以及評估配備ADS的車輛執(zhí)行正常駕駛?cè)蝿?wù)和防碰撞能力的工具。此類評估包括與系統(tǒng)規(guī)定的ODD和對象及OEDR事件檢測與響應(yīng)能力相關(guān)的系統(tǒng)性能和行為以及在遇到ODD以外的條件時的故障安全能力。

第二個高級研究重點是功能安全和ADS子系統(tǒng)性能。

第三個研究領(lǐng)域涉及車輛和系統(tǒng)（包括ADS）的網(wǎng)絡(luò)安全。

最后，NHTSA還研究了配備ADS的車輛可能存在的人為因素問題。

雖然感知、判斷、規(guī)劃與控制四種核心安全功能功能對于ADS是必要的，但它們不一定足以確保ADS的安全，這還取決于系統(tǒng)的各種其他功能和能力，以及該系統(tǒng)如何與配備ADS的車輛內(nèi)部和周圍的人進(jìn)行交互。

例如，四個功能中未包含的一個安全相關(guān)方面是車輛在駕駛環(huán)境中與車輛乘員、其他車輛和人員、尤其是易受傷害的道路使用者進(jìn)行通信的能力。ADS能夠準(zhǔn)確、可靠地檢測車輛中自身系統(tǒng)或其他系統(tǒng)的故障，同時確保為響應(yīng)任何檢測到的問題或故障而開發(fā)的操作模式之間的安全過渡（例如，故障保護(hù)或跛行回家模式）是可能影響ADS預(yù)期性能的另一個重要考慮因素。

可能影響ADS以安全可靠的方式執(zhí)行其預(yù)期計劃能力的其他方面包括：

在出現(xiàn)故障時識別降低的系統(tǒng)性能和／或 ODD；

在降低的系統(tǒng)約束下以降級模式運行；

執(zhí)行將乘客或貨物從起點運送至所選目的地的基本任務(wù)；

識別來自優(yōu)先響應(yīng)者的通信并作出適當(dāng)反應(yīng)，包括消防、EMS 和執(zhí)法；

接收、裝載和跟蹤 OTA 軟件更新；

執(zhí)行系統(tǒng)維護(hù)和校準(zhǔn)；

解決與安全相關(guān)的網(wǎng)絡(luò)安全風(fēng)險；

系統(tǒng)冗余。

NHTSA致力于開發(fā)安全性能模型和指標(biāo)的一個關(guān)鍵例子是2017年發(fā)布的ISM瞬時安全指標(biāo)。ISM瞬時安全指標(biāo)計算了受試車輛和周圍交通中的其他道路使用者在給定一組可能行動時在未來預(yù)設(shè)的有限時間內(nèi)可能采取的物理軌跡（例如，方向盤角度、制動／油門），并計算可能導(dǎo)致潛在多因素碰撞的軌跡組合。由軌跡的數(shù)量和／或比例（以及導(dǎo)致該軌跡的動作的嚴(yán)重性／概率）確定可能導(dǎo)致碰撞指標(biāo)，作為評估給定駕駛狀態(tài)安全風(fēng)險的工具。

更新的方法是MPrISM模型預(yù)測瞬時安全度量（：Model Predictive Instantaneous Safety Metric），建立在ISM概念的基礎(chǔ)上并修改其評估方法。MPrISM考慮受試車輛的完全可控動作范圍，并在受試車輛做出最佳響應(yīng)選擇和現(xiàn)場其他參與者做出最差選擇的情況下計算碰撞影響。

ISM和MPrISM的優(yōu)點之一是它們的邏輯推理和直接分析結(jié)構(gòu)。然而ISM在實際應(yīng)用中的一個挑戰(zhàn)是有效利用所需的巨大計算復(fù)雜性。MPrISM試圖通過新的度量開發(fā)工作解決這一難題，NHTSA將繼續(xù)研究降低復(fù)雜性的方法。