什么是SOTIF? SOTFI到底讲的是什么?
危险场景的出现通常是由于期望的功能难以预测而导致的结果。如果一个系统的功能能够被准确预测,则其情景已经包含在系统设计中。ISO/PAS 21448通过两个维度来评估考虑的情况:一是情况是否已知;二是这些情景的安全性如何。如下图所示:
ISO/PAS 21448 标准未涵盖区域4中安全但未知的情况(意外情况),其主要研究范围集中在扩展区域1( Area 1.)而对区域2( Area 2)和区域3( Area 3)采取了收缩策略.通过分析危险预期行为可能引发的具体危险事件及其潜在原因来综合评估风险水平.
从危险的预期行为会导致什么样的危险事件角度举例,当多辆车同时使用自适应巡航一起行驶时,会出现手风琴效应 “accordion effect” 或者弹簧不稳定状态“string instability”(道路中的手风琴效应,是指前方车辆减速和加速时产生的减速度和加速度变化。这些速度波动会向后传播,并且通常沿线越来越大,从而降低了道路交通的吞吐量。The accordion effect in road traffic refers to the typical decelerations and accelerations of a vehicle when the vehicle in front decelerates and accelerates. These fluctuations in speed propagate backwards and typically get bigger and bigger further down the line, decreasing the throughput of road traffic.)。控制回路中的延时会使振荡变的越来越危险,并最终需要人的干预。
代码解读从危险行为潜在原因的角度出发,在这种情况下行人在穿厚实的大衣时会导致超声波效果;与此同时,在这种情况下太阳升起也会导致摄像头性能。
标准中提出的SOTIF分析法旨在通过有效识别和评估(指算法并未针对交通拥堵中的救护车进行专门优化)传感器或执行器的动作触发来确定关键事件(后续功能分析的文章中会介绍GAMAB/GAME以及ALARP方法)。当这些动作触发被检测到时(指上述两种方法可分别用于风险承受能力评估),就需要参考车辆投放市场所在国的交通事故统计数据(如美国NHTSA、法国ONISR及德国BASt)。这些统计数据将详细描述各国道路行驶状况、年均行驶里程及各类事故数量等信息
很难准确判定SOTIF潜在危害与风险, 其结果往往依赖于"工程判断engineering judgement". 为此开发了一系列指导术语. 在头脑风暴过程中, 可以采用以下方式探讨相关问题: "不理解do not understand""识别失败false recognition""故意的intentional". 特别引人注目的是, 在许多分析故意违反交通或社会规范( intentionally violates a traffic regulation or social rule)的情况中, 如果行人或者司机故意违背交通或者社会规则, 相关后果往往被系统性地忽视.