第12部分SOTIF的发行标准

12.1目标

这个条款的目的是取的以下目标

• SOTIF发布过程应基于SOTIF活动及其工作产品完整性和正确性的审查；
• SOTIF的成就应该被评估，需要给出SOTIF发布的确切建议（同意或者拒绝）；

12.2总则

• 设计和说明应该满足5.4.1；
• 危险满足6.6.1；
• 危险事件评估应该满足6.6.2；
• 接受准则满足6.6.3；
• 辨别功能不足满足7.5.1；
• 评估系统触发条件的原因满足7.5.2；
• SOTIF措施的说明规范满足8.5.1；
• 验证和确认策略的定义满足9.4.1；
• 已知危险场景的验证报告满足10.8.1；
• 未知危险场景的确认报告满足11.5.1；
• 剩余风险评估报告满足11.5.2；
• 为实现现场监控过程的车上和车下措施的实施和描述应该满足13.5.1.

12.3 SOTIF发行的评价标准

该评审检查了第5条至第11条目标的实现情况，以及相应工作产品中记录的第13条SOTIF发布前活动。

如果运营阶段活动导致SOTIF措施，则第12条将审查这些措施。先决条件信息的审核应考虑以下因素：

• 危险、功能不足以及触发条件的分析和任何必要的设计修改能否取得SOTIF的实现和评估，能否使得修改之后的设计减少制定所有例子的风险？
• 验证和确认策略是否覆盖了所有已知的危险场景？它是否提供了在预期功能范围内充分覆盖未知场景的论据？（1）测试是否涵盖确定的触发条件？（2）验证和确认策略中是否包含足够的确认活动，以限制因已知和未知场景而产生的风险？

在必要时，预期功能是否达到最低风险条件，是否为乘客或其他道路使用者提供没有不合理风险的状态，应该考虑：

• 指定的驾驶员干预；
• 合理的可预见的误使用；
• 针对乘客或其他道路使用者的警告；
• 指定的功能降级；
• 动态驾驶任务反馈

验证和确认是否充分完成？确认目标是否完成？对剩余风险是否合理有信心？

• 是否充分发挥了预期功能来评估正常的行为或者潜在的危险行为？
• 在危险行为的情况下，是否有证据证明不存在不合理的风险？
• 针对所有的用例、运行设计域、目标和事件检测与响应中测试是否提供了足够的论据来支撑驾驶策略的鲁棒性？

这些方法对于实施运行阶段的活动是否是必须的？

图为SOTIF发行流程图

 

例子：可根据规定的条款6.5和条款13的需求依据可接受基本原理，为缩短行驶里程设置目标值。如果所有条件都满足，这就可以证明接受。如果之前的条件是真的，除了完成解决SOTIF异常的设计改进回归测试外，那么有条件的验收是合适的

12.4 SOTIF评估标准和方法

根据上述条款12.3中方法的证据，可以确定“接受”、“有条件接受”或“拒绝”发布的建议。在“有条件接受”的情况下，应记录条件，并在最终放行前验证其满足情况。

记录了SOTIF评估的基本原理，参考附录A.1使用目标结构表示法(GSN)的可能参数结构示例；

12.5 工作原则

SOTIF发布依据应该满足12.1。