ISO PAS 21448 SOTIF（预期功能安全）笔记（三）

（ISO PAS 21448中第5章节内容）

5 Functional and system specification (intended functionality content)（功能和系统规范（预期的功能内容））

5.1目标

功能和系统规范活动应该：

• 编写和创建包含足够信息的证据，以启动与SOTIF相关的活动；
• 在SOTIF相关活动的每次迭代之后，根据需要更新证据。

5.2功能描述

功能和系统规范包括(如适用)

功能相关：

• 预期功能的目标
• 预期功能被激活、停用和激活的用例
• 预期功能的描述
• 车辆动力学的自动化/权威水平
• 以下因素相互依赖和交互：驾驶员、乘客、行人和其他道路使用者；相关的环境条件；与道路基础设施的接口

系统相关：

• 应用于预期功能的系统和元素的描述
• 应用于预期功能所安装的传感器、控制器、执行器的描述和性能
• 关于预期功能如何使用其它元素的输入的假设
• 关于其它元素如何使用预期功能的输出的假设
• 系统和子系统的概念和技术
• 局限性及对策
• 支持应对策略的系统架构
• 退化的概念
• 警告策略
• 车辆其它功能和系统相互依赖和交互

注：本文件和ISO 26262-3:18 2018项目定义可以包含公共信息

5.3系统设计和架构的考虑

功能和系统规范提供了对系统及其功能的充分理解，以便可以执行后续阶段中的活动，包括所有性能局限性及其对策的列表。在SOTIF相关过程开始之前，一些局限性和对策已经被了解并记录在案，而其它局限性和对策则是SOTIF活动的结果。

SOTIF相关活动的每次迭代(图9)都可能导致工程活动和对本规范的更新。每个迭代都依赖于这个规范是最新版本，这样它就反映了在以前的迭代中发现的所有信息。所有开发方之间的合作(OEM，Tier1，TierN)用于发现所有开发阶段的局限性并制定对策。

功能和系统规范列出了每种独立机制、算法或与预期功能的安全性相关的元素的性能局限性。因此，在设计该系统时考虑到这些局限性，并确保在必要时采取对策以减轻其对整个系统的影响。

随着SOTIF活动识别出新的局限性和后果(第7章节)，并定义新的减轻措施(第8章节)，功能和系统规范被更新。这将确保在前一个迭代的结束和下一个迭代的开始时完成所有需要的工作。

总结：功能和系统规范是个动态迭代的过程，有个最初的版本，后期随着SOTIF流程的进行，不断升级。

具体地说，设计包括考虑系统局限性，这些局限性可能导致足够高的概率出现子系统的错误输出(较低概率的错误可能被设计忽略)，并可能导致潜在的危险行为。这些局限性的例子包括：不正确的分类，不正确的测量，不正确的跟踪，错误的检测，鬼影，不正确的目标选择，不正确的运动估计，等等。

最终的系统架构通过考虑每个组件、技术和系统局限性来实现健壮性。系统开发基于对设计局限性的假设。实施措施以确保SOTIF并将其集成到功能和系统规范中，减少了区域2和区域3的大小，并通过增加区域1的大小来增加整体的健壮性。区域3测试仅在与原始系统设计相关的对策不完整或不适用于新引入的用例时才用。

注1：定性故障树、HAZOP、FMEA、STPA、事件树分析等方法可以增加对SOTIF的置信度。
注2：性能局限性可以通过冗余、多样性、功能限制或其它措施来解决。

标准中几个例子解释的非常典型

例1：一个高速公路的车道线边界检测算法，对于诸如车道保持这样的功能，可能会由于道路上的碎片而错误地确定车道。然而，冲出车道导致碰撞可以通过其它自动驾驶功能来减轻，如：使用高清地图和定位确认车道线；根据前面车辆的轨迹合理化车辆轨迹；即使离开车道，避碰算法使得自车与其它车辆保持一定距离，等等。

例2：目标物检测算法检测滑板上的人是行人，但会因为其速度难以置信而拒绝接受，与滑板的碰撞会被碰撞缓和制动系统减轻，这个系统是独立于使用感知和处理的目标物识别算法。

例3：在一些地区，一个小孩跑到马路上的视觉错觉图被用来提醒司机（澳大利亚在一个学校周边的道路上画一个立体的小女孩捡球的图，用来让司机在这里减速，引起很大争议）。该图像是专门用来欺骗人类感知的，也可以欺骗视觉系统来检测一个不存在的物体。在这种情况下，一种基于光流的分析机制可以防止假制动。光流分析和基于雷达的环境识别是应对这类情况的可选措施，其他常见的检测情况也可用上，如，分类错误导致的鬼影。

例4：使用一个自动停车系统，一个大的物体从打开的车厢伸出可能会导致一个危险的事件。系统设计中的一个对策是只允许在后备箱关闭时自动停车。

参考文档：
ISO PAS 21448 Road vehicles — Safety of the intended functionality

我将进一步翻译并总结整个标准，请继续关注后续内容。。。