ISO 21448－SOTIF預(yù)期功能安全

ADS的安全性還與其他因素有關(guān)，如可想象的人為誤用功能、傳感器或系統(tǒng)的性能限制以及車輛環(huán)境的意外變化。

SOTIF（預(yù)期功能的安全性）試圖防止預(yù)期功能不足或可合理預(yù)見(jiàn)的人員誤用。即使不存在設(shè)備故障，也可能無(wú)法正常運(yùn)行。SOTIF不適用于ISO 26262系列涵蓋的故障或直接由系統(tǒng)技術(shù)。相反，SOTIF與ISO 26262協(xié)同工作，以幫助制造商評(píng)估和緩解開(kāi)發(fā)過(guò)程中的各種風(fēng)險(xiǎn)，ISO 26262側(cè)重于降低故障風(fēng)險(xiǎn)，ISO 21448側(cè)重于緩解可預(yù)見(jiàn)的系統(tǒng)誤用。

ISO 21448旨在應(yīng)用于預(yù)期功能，其中適當(dāng)?shù)膽B(tài)勢(shì)感知對(duì)安全至關(guān)重要，并且該態(tài)勢(shì)感知源自復(fù)雜的傳感器和處理算法；特別是緊急干預(yù)系統(tǒng)（如主動(dòng)安全制動(dòng)系統(tǒng)）和高級(jí)駕駛員輔助系統(tǒng)。根據(jù)SAE國(guó)際標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)可用于更高級(jí)別的自動(dòng)化，但可能需要采取其他措施。

ISO 21448主要考慮緩解因意外操作條件（由于傳感器和算法的限制，預(yù)期功能可能不會(huì)始終在此類條件下工作）和需求差距（缺乏對(duì)實(shí)際預(yù)期功能的完整描述）而產(chǎn)生的風(fēng)險(xiǎn)。

美國(guó)NHTSA 的AV安全框架開(kāi)發(fā)

2020年12月，美國(guó)國(guó)家公路交通安全管理局（NHTSA）通過(guò)ANPRM形式面向社會(huì)征集對(duì)自動(dòng)駕駛安全框架的建議。

以功能安全、SOTIF和UL 4600的描述為背景，NHTSA正在考慮如何在制定關(guān)于ADS的新框架的背景下，利用這些過(guò)程標(biāo)準(zhǔn)，無(wú)論是基于法規(guī)還是提供指導(dǎo)。該機(jī)構(gòu)預(yù)計(jì)安全框架將包括管理風(fēng)險(xiǎn)的過(guò)程和工程措施。過(guò)程措施（例如，在車輛設(shè)計(jì)過(guò)程中分析、按嚴(yán)重程度和頻率分類以及減少潛在風(fēng)險(xiǎn)源的一般做法）可能包括穩(wěn)健的安全保證和功能安全計(jì)劃。工程措施（例如，性能指標(biāo)、閾值和測(cè)試程序）將尋求提供證明ADS以高水平熟練程度執(zhí)行其預(yù)期功能的感知、感知、規(guī)劃和控制（即執(zhí)行）的方法。

NHTSA的一個(gè)關(guān)鍵研究方向?qū)Ｗ⒂贏DS安全性能，并尋求確定方法、指標(biāo)以及評(píng)估配備ADS的車輛執(zhí)行正常駕駛?cè)蝿?wù)和防碰撞能力的工具。此類評(píng)估包括與系統(tǒng)規(guī)定的ODD和對(duì)象及OEDR事件檢測(cè)與響應(yīng)能力相關(guān)的系統(tǒng)性能和行為以及在遇到ODD以外的條件時(shí)的故障安全能力。

第二個(gè)高級(jí)研究重點(diǎn)是功能安全和ADS子系統(tǒng)性能。

第三個(gè)研究領(lǐng)域涉及車輛和系統(tǒng)（包括ADS）的網(wǎng)絡(luò)安全。

最后，NHTSA還研究了配備ADS的車輛可能存在的人為因素問(wèn)題。

雖然感知、判斷、規(guī)劃與控制四種核心安全功能功能對(duì)于ADS是必要的，但它們不一定足以確保ADS的安全，這還取決于系統(tǒng)的各種其他功能和能力，以及該系統(tǒng)如何與配備ADS的車輛內(nèi)部和周圍的人進(jìn)行交互。

例如，四個(gè)功能中未包含的一個(gè)安全相關(guān)方面是車輛在駕駛環(huán)境中與車輛乘員、其他車輛和人員、尤其是易受傷害的道路使用者進(jìn)行通信的能力。ADS能夠準(zhǔn)確、可靠地檢測(cè)車輛中自身系統(tǒng)或其他系統(tǒng)的故障，同時(shí)確保為響應(yīng)任何檢測(cè)到的問(wèn)題或故障而開(kāi)發(fā)的操作模式之間的安全過(guò)渡（例如，故障保護(hù)或跛行回家模式）是可能影響ADS預(yù)期性能的另一個(gè)重要考慮因素。

可能影響ADS以安全可靠的方式執(zhí)行其預(yù)期計(jì)劃能力的其他方面包括：

在出現(xiàn)故障時(shí)識(shí)別降低的系統(tǒng)性能和／或 ODD；

在降低的系統(tǒng)約束下以降級(jí)模式運(yùn)行；

執(zhí)行將乘客或貨物從起點(diǎn)運(yùn)送至所選目的地的基本任務(wù)；

識(shí)別來(lái)自優(yōu)先響應(yīng)者的通信并作出適當(dāng)反應(yīng)，包括消防、EMS 和執(zhí)法；

接收、裝載和跟蹤 OTA 軟件更新；

執(zhí)行系統(tǒng)維護(hù)和校準(zhǔn)；

解決與安全相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；

系統(tǒng)冗余。

NHTSA致力于開(kāi)發(fā)安全性能模型和指標(biāo)的一個(gè)關(guān)鍵例子是2017年發(fā)布的ISM瞬時(shí)安全指標(biāo)。ISM瞬時(shí)安全指標(biāo)計(jì)算了受試車輛和周圍交通中的其他道路使用者在給定一組可能行動(dòng)時(shí)在未來(lái)預(yù)設(shè)的有限時(shí)間內(nèi)可能采取的物理軌跡（例如，方向盤(pán)角度、制動(dòng)／油門(mén)），并計(jì)算可能導(dǎo)致潛在多因素碰撞的軌跡組合。由軌跡的數(shù)量和／或比例（以及導(dǎo)致該軌跡的動(dòng)作的嚴(yán)重性／概率）確定可能導(dǎo)致碰撞指標(biāo)，作為評(píng)估給定駕駛狀態(tài)安全風(fēng)險(xiǎn)的工具。

更新的方法是MPrISM模型預(yù)測(cè)瞬時(shí)安全度量（：Model Predictive Instantaneous Safety Metric），建立在ISM概念的基礎(chǔ)上并修改其評(píng)估方法。MPrISM考慮受試車輛的完全可控動(dòng)作范圍，并在受試車輛做出最佳響應(yīng)選擇和現(xiàn)場(chǎng)其他參與者做出最差選擇的情況下計(jì)算碰撞影響。

ISM和MPrISM的優(yōu)點(diǎn)之一是它們的邏輯推理和直接分析結(jié)構(gòu)。然而ISM在實(shí)際應(yīng)用中的一個(gè)挑戰(zhàn)是有效利用所需的巨大計(jì)算復(fù)雜性。MPrISM試圖通過(guò)新的度量開(kāi)發(fā)工作解決這一難題，NHTSA將繼續(xù)研究降低復(fù)雜性的方法。