ISO PAS 21448 SOTIF（预期功能安全）笔记（六）

（ISO PAS 21448中第8章节内容）

8 功能修订以减少SOTIF相关的风险

8.1 目标

为降低SOTIF相关风险而进行的功能修订活动应达到以下目标：

• 确定和分配措施，以避免、减少或减轻与SOTIF相关的风险；
• 估计SOTIF相关措施对预期功能的影响；
• 改进第5章节所要求的信息（功能和系统规范）。

8.2 概述

本章节涉及为避免、减少或减轻SOTIF相关风险而确定的措施。功能和系统描述是通过几个迭代开发完成的，并且每次功能和系统规范(第5章节所要求的)都用确定的措施更新升级。
在如下确定的触发事件中，可能需要进行功能性修复以减少SOTIF相关的风险:
a.有可能触发潜在的危险行为，导致具有可信伤害的危险事件(根据第6章节)；
b.不能通过预期功能的安全性评估为可接受的行为(根据第7章节)。
为实现这个目标，以下信息需要考虑：
a.系统架构设计的信息
b.根据第5章节定义和描述的功能
c.根据第6章节对可能发生的危险事件的潜在后果进行的评估
d.根据第7章节，可以触发意外的系统行为从而导致危险事件的场景
e.从以前的验证结果中获得的知识，根据第10章节，在进行验证期间，系统和组件对于特定用例的行为不符合预期（如果有的话）
f.从以前的验证结果中获得的知识，包括现实生活中的用例，在这些用例中，根据第11章节，功能没有按照预期运行，系统和组件的限制导致了不合理的风险水平 (如果有的话)

8.3改进SOTIF的措施

改进SOTIF的措施针对导致违背安全的系统局限性(按照7.2章节)。针对评估的SOTIF相关风险，提出了相应的改进措施可以得到避免、减少或缓解。
这些措施包括：

a) 系统改进以避免或减少与SOTIF相关的风险，包括但不限于

1.通过以下方法提高传感器性能和/或精度：

• 传感器算法改进
• 足够的传感器技术
• 传感器位置修改
• 传感器扰动检测，触发适当的报警和降级策略
• 识别现有的设计运行域，即识别已知的不受支持的环境条件，需要过渡到合适的传感器应用策略
• 不同的传感器技术

2.通过以下方法提高执行机构性能和/或精度：

• 适当的执行器技术(如提高精度，扩大输出范围，缩短响应时间，提高耐久性，仲裁权威能力)

3.通过以下方法提高了识别和决策算法的性能：

• 算法的改进
• 识别现有的设计运行域，即识别已知的不受支持的环境条件，需要过渡到适当的警告和退化策略
• 为已知的不受支持的SOTIF用例合并触发适当的警告和降级策略，例如：车道保持
• 缓解和解决功能干扰/冲突（避免由于系统间死锁/活锁而导致的意外行为），例如：车道保持与自动换道之间的冲突

4.通过以下方法提高可测试性：

• 允许系统和组件行为的验证

b.) 为减少或减轻SOTIF相关风险而对预期功能进行的功能限制，包括但不限于

1.限制特定SOTIF用例的预期功能。例如，当车道检测设备不能清楚地检测车道时，车道保持辅助功能减少，以避免不必要的转向干预。

2.对特定用例的预期功能的权限限制。例如，由于午后的阳光反射了周围的光线，相机被蒙住了眼睛，使用雷达和其他传感器的操作权限受到限制。

3.对特定用例的预期功能的总体权限的限制。例如，所有感知传感器被暴风雪致盲，司机被请求接管控制

c）将权力从系统移交给驾驶员，以提高关键操作情况影响的可控性(转换本身是可控的，不代表对驾驶员的额外风险)，包括但不限于

1. 改善人机界面
2. 改进预警和降级策略
3. 从其他来源获得指导

d） 减少或减轻合理预见的误操作影响，包括但不限于

1. 改进提供给驾驶员的有关预期功能的信息，例如说明书
2. 改善人机界面
3. 实施监测和预警系统，例如，方向盘被释放时警告司机
   

8.4升级系统规范

为了更新功能和系统规范，需要识别以下信息

• 系统改进的措施，以避免、减少或减轻与SOTIF相关的风险
• 功能限制的措施，以减少或减轻关键运行情境的影响
• 改进人机界面的措施及预警和降级策略
• 处理合理预见的误操作而采取的措施

参考文档：
ISO PAS 21448 Road vehicles — Safety of the intended functionality

我将进一步翻译并总结整个标准，请继续关注后续内容。。。