中文
中文 英语 日语 越南语

SOTIF预期功能安全系统需求如何分解到部件:从理论到实践

2025-02-23 233

一、引言:SOTIF的核心概念与重要性

(一)SOTIF的定义
SOTIF是ISO/PAS 21448标准中定义的概念,旨在解决自动驾驶和智能汽车系统在预期功能下可能存在的安全风险。与传统功能安全(ISO 26262)不同,SOTIF关注的是系统在无故障情况下,由于以下原因导致的风险:
  1. 系统性能不足(如功能设计不足,传感器精度不够等);
  2. 功能局限(如算法无法识别特殊障碍物);
  3. 外部环境变化(如恶劣天气、复杂路况);
  4. 人员的误用(如误理解,误操作)。
(二)SOTIF的重要性
随着自动驾驶技术的快速发展,车辆在复杂环境下的安全运行变得至关重要。SOTIF的核心目标是确保系统在预期功能范围内,即使面临复杂的运行环境,也能安全运行。例如,在自动驾驶场景中,即使传感器和算法正常工作,但由于传感器的探测范围有限,导致未能识别到远处的障碍物,从而引发危险,这就是典型的SOTIF问题。
(三)SOTIF与功能安全的关系
SOTIF与功能安全相互补充。功能安全主要关注系统因故障(如硬件故障、软件错误)而导致的危险,而SOTIF则关注系统在正常运行时,由于性能不足或功能局限而导致的危险。例如,自动驾驶系统中,传感器故障属于功能安全问题,而传感器在恶劣天气下性能下降且系统没有对该性能下降的提出对策时属于SOTIF问题。

SOTIF系统需求分解的总体框架

(一)SOTIF系统需求分解的目标
SOTIF系统需求分解的目标是将复杂的系统级安全需求细化到各个部件,确保每个部件的设计和开发都能满足整体系统的SOTIF要求。通过分解,可以实现以下目标:
  1. 降低系统复杂度:将复杂的系统需求转化为多个相对简单的需求,便于开发和验证。
  2. 优化资源分配:各部件承担的安全需求,合理分配资源,避免过度设计。
  3. 提高系统可维护性:分解后的部件具有更高的独立性,便于后续的维护和升级。
(二)SOTIF系统需求分解的基本原则
在将SOTIF需求分解到部件时,需要遵循以下基本原则:
  1. 独立性原则:各部件应尽量独立,避免相互干扰。
  2. 冗余原则:通过引入冗余设计,提高系统的可靠性。
  3. 层次化原则:将系统分解为多个层次,每一层负责不同的功能层的SOTIF需求。
(三)SOTIF系统需求分解的总体流程
SOTIF系统需求分解的总体流程包括以下步骤:
  1. 系统级需求分析:识别系统的整体SOTIF需求。
  2. 功能/架构/场景分解:将系统功能分解到子系统然后分解到各个部件。
  3. 部件级SOTIF需求分解:根据功能分解结果,明确各部件的SOTIF需求。
  4. 部件级SOTIF需求细化:根据明确各部件的SOTIF需求,进行细化。

三、系统级需求分析:识别系统风险

(一)系统级需求分析的目标
系统级需求分析的目标是全面识别系统的SOTIF风险,为后续的功能分解提供依据。分析的主要内容包括:
  1. 系统功能描述:明确系统的预期功能,例如自动驾驶系统的感知、决策和执行功能。
  2. 运行环境分析:识别系统可能面临的复杂运行环境,如恶劣天气、复杂路况等。
  3. 风险识别:通过场景分析和用例分析,识别系统在无故障情况下可能存在的安全风险。
(二)运行环境分析
运行环境分析是系统级需求分析的重要环节。自动驾驶系统可能面临的复杂运行环境包括:
  1. 恶劣天气:如雨、雪、雾等,可能导致传感器性能下降。
  2. 复杂路况:如拥堵、施工路段、非结构化道路等,可能导致系统决策困难。
  3. 特殊场景:如夜间行驶、强光干扰等,可能导致系统感知能力不足。
(三)风险识别方法
  1. 场景分析:通过建立场景库,模拟系统在各种运行环境下的表现,识别潜在的SOTIF风险。例如,在AEB系统开发中,通过建立包含恶劣天气、复杂路况等场景的库,对系统性能进行量化评估。
  2. 用例分析:通过定义系统的典型USECASE,识别潜在的SOTIF风险。例如,在自动驾驶系统中,用例可以包括正常行驶、恶劣天气行驶、复杂路况行驶等。
  3. FMEA(Failure Mode and Effects Analysis):通过分析系统各部件的故障模式及其对系统的影响,识别可能的SOTIF风险。
  4. CTA (Cause Tree Analysis):通过对车辆功能可能存在的非预期行为进行逐步分析,得到可能导致危害的事件组合,从而识别可能的SOTIF风险。
  5. STPA (System Theoretical Process Analysis):通过定义分析的目标,建立对应的控制结构,进一步识别不安全控制行为从而识别出致因场景,通过不安全控制行为和致因场景识别可能的SOTIF风险。

四、部件级需求分解:将系统需求分配到部件

(一)部件级需求分解的目标
部件级需求分解的目标是将系统的需求分配到各个部件,确保每个部件的设计和开发都能满足系统的安全性要求。分解的主要内容包括:
  1. 功能链分析:通过分析系统各部件之间的功能交互路径,明确各部件的功能需求。
  2. 部件功能分配:根据功能链分析结果,将系统功能分解到各个部件。
(二)部件功能链分析
部件功能链是指系统中各部件之间的功能交互路径。通过分析部件功能链,可以更清晰地理解各部件之间的依赖关系,从而实现SOTIF需求分解。例如,在自动驾驶系统中,功能链可以包括:
  1. 感知链:传感器(摄像头、毫米波雷达、激光雷达等)→数据预处理→特征提取→目标识别。
  2. 决策链:目标识别结果→路径规划→行为决策→控制指令。
  3. 执行链:控制指令→执行器(制动、转向等)→车辆运动。
(三)部件功能分配
根据功能链分析结果,将系统功能分解到各个部件,并明确各部件的功能。例如,在自动驾驶系统中:
  1. 传感器模块:
    1. 部件需求:负责环境感知,提供高精度、高可靠性的数据,避免误感知、漏感知。
  2. 数据融合模块:
    1. 部件需求:将多源传感器数据进行融合,提高目标检测的准确性。
  3. 决策模块:
    1. 部件需求:根据感知数据进行路径规划和行为决策。
  4. 执行模块:
    1. 部件需求:根据控制指令执行车辆运动。

五、部件级SOTIF需求分解:明确各部件的SOTIF需求

(一)部件级SOTIF需求细化的目标
部件级SOTIF需求细化的目标是根据功能分解结果,明确各部件的具体SOTIF需求,并设计相应的安全机制。细化的主要内容包括:
  1. 部件级SOTIF需求细化:根据功能分解结果,明确各部件的具体SOTIF需求。
(二)部件级SOTIF需求具体的分解方法
  1. 系统架构分解法:
    1. 功能链分析:将整车功能分解为子系统/部件(如感知、决策、执行、人机交互)。例如,自动驾驶功能链可以分解为感知(摄像头、雷达)→融合算法→规划控制→执行器(转向/制动)。
    2. 接口定义:明确子系统间的交互(如传感器到融合算法的数据流),识别接口潜在失效模式。
  2. 场景驱动需求分解法:
    1. 场景细化:将整车级场景拆解为子系统/部件相关的子场景。
    2. 触发条件映射:将场景中的触发条件(如光照、天气、路况)关联到具体部件的设计约束。

      3.   感知算法需求分解:
      整车场景
      感知子场景
      触发条件映射/感知算法需求
      夜间行驶,前方行人
      低光照下的行人检测
      在光照≤20 lux时,行人检测准确率≥95%,漏检率≤1次/10km;支持红外或低光增强算法
      暴雨中跟车
      摄像头受水雾干扰、雷达多径反射
      多传感器融合策略(如雷达为主、视觉为辅),误检率≤0.05次/分钟
      隧道入口强光眩光
      摄像头短暂致盲
      算法需在200ms内恢复有效检测,或切换至备用传感器(如激光雷达)
        控制算法需求分解:
      整车场景
      控制子场景
      触发条件映射/控制算法需求
      湿滑路面紧急制动
      轮胎附着系数降低(μ=0.3)
      制动压力控制需考虑滑移率,避免抱死(ABS逻辑),制动距离偏差≤10%
      路口行人突然横穿
      感知延迟(200ms)下的避撞决策
      规划算法需预留安全裕量(如1.5倍理论制动距离),响应延迟≤50ms
      高速车道保持失效
      系统误退出导致车辆偏移
      控制算法需在退出前维持最小风险状态(如减速至30km/h并开启双闪)
  3. 危害分析与需求分配法:
    1. SOTIF HARA扩展:基于整车级危害分析(HARA),识别部件级贡献因素。例如,整车危害“误识别静止障碍物导致紧急制动”对应的部件级根源可能是“雷达多径反射误检、融合算法置信度逻辑缺陷”。
    2. 需求分配:将安全需求分配到部件,并量化指标(如检测概率、误检率、响应延迟)。

六、部件SOTIF需求细化示例

)部件SOTIF需求的细化
  1. 性能需求的细化:
    1. 传感器部件:根据系统需求,定义传感器的探测范围、精度、抗干扰能力等性能指标。例如,雷达的探测范围应≥200米,精度≤0.1米。
    2. 执行器部件:根据系统需求,定义执行器的响应时间、控制精度等性能指标。例如,制动系统的响应时间应≤100ms,制动力控制精度应≤0.1米。
  2. 功能限制需求细化:
    1. 传感器部件:定义传感器在特定环境下的功能限制,如摄像头在低光照条件下的性能下降。
    2. 执行器部件:定义执行器在特定条件下的功能限制,如制动系统在湿滑路面上的制动力控制。
  3. 接口需求细化:
    1. 数据接口:定义部件之间的数据传输接口,确保数据格式和传输速率的兼容性。
    2. 控制接口:定义部件之间的控制信号接口,确保控制信号的稳定性和可靠性。
  4. SOTIF措施设计:
    1. SOTIF措施设计:根据部件的SOTIF需求,设计相应的安全措施,如提高性能,多传感器融合,冗余设计,算法优化,提高通信响应效率等。
)部件SOTIF需求的示例
以自动驾驶系统的传感器模块为例,部件定义需求包括:
  1. 毫米波雷达:
    1. 性能需求:雷达探测范围≥200米,探测精度≤0.1米,抗干扰能力强。
    2. 功能限制需求:在雨雪天气下,探测精度可能下降,需要通过算法优化进行补偿。
    3. 接口需求:数据输出接口为CAN总线,数据传输速率为1Mbps。
    4. SOTIF措施:采用多频段雷达,提高探测精度和抗干扰能力。
  2. 激光雷达:
    1. 性能需求:探测范围≥200米,精度≤0.1米,具备高分辨率和测距精度。
    2. 功能限制需求:在雨雪天气下,探测精度可能下降,需要通过算法优化进行补偿。
    3. 接口需求:数据输出接口为以太网,数据传输速率为100Mbps。
    4. SOTIF措施:通过卡尔曼滤波算法对激光雷达进行优化,提高目标定位的精度和可靠性。
  3. 摄像头:
    1. 性能需求:高分辨率(≥1080p)、低延迟(≤10ms)、具备夜视功能。
    2. 功能限制需求:在低光照条件下,图像质量可能下降,需要通过技术进行优化。
    3. 接口需求:数据输出接口为以太网,数据传输速率为100Mbps。
    4. SOTIF措施:采用高动态范围(HDR)摄像头,优化图像处理算法,提高在复杂光照条件下的性能。
  4. 数据融合模块:
    1. 性能需求:雷达和摄像头数据融合准确率≥95%,数据融合延迟≤100ms。
    2. 功能限制需求:在数据质量不佳时,融合结果的准确性可能下降,需要通过算法优化进行补偿。
    3. 接口需求:数据输入接口为CAN总线和以太网,数据输出接口为内部总线,数据传输速率为100Mbps。
    4. SOTIF措施:采用深度学习算法,优化数据融合逻辑,提高系统的鲁棒性
  5. 决策模块:
    1. 性能需求:能够在短时间内做出准确决策,决策时间≤100ms。
    2. 功能限制需求:在复杂场景下,决策的准确性可能下降,需要通过算法优化进行补偿。
    3. 接口需求:数据输入接口为内部总线,数据输出接口为控制信号接口,控制信号传输速率为1Mbps。
    4. SOTIF措施:优化决策算法,减少计算复杂度,提高系统的响应速度。
  6. 执行模块:
    1. 性能需求:能够快速响应制动指令,制动力控制精度高。
    2. 功能限制需求:在车辆动态变化时,制动力控制精度可能下降,需要通过算法优化进行补偿。
    3. 接口需求:控制信号输入接口为控制信号接口,数据传输速率为1Mbps。
    4. SOTIF措施:采用电子制动系统(EBS),优化制动控制算法,提高系统的响应速度和制动力控制精度。

七、总结

SOTIF需求分解是实现自动驾驶系统安全性的重要手段。通过将系统的SOTIF需求分解到各个部件,可以降低系统复杂度,优化资源分配,并提高系统的可维护性。在SOTIF需求分解过程中,需要遵循独立性、冗余和层次化等原则,并采用用例分析、功能链分析,系统架构分解等方法,结合模型驱动开发、FMEA等工具和技术,确保分解的合理性和有效性。同时,需要注意避免过度分解、注重部件协同和持续优化等问题。未来,随着技术的发展,SOTIF分解将与人工智能、多传感器融合等技术深度融合,并推动跨领域合作和标准化发展。
通过本文的介绍,希望能为从事自动驾驶系统开发的工程师提供一些参考和借鉴,帮助他们在实践中更好地应用SOTIF分解方法,提高系统的安全性。在未来的自动驾驶技术发展中,SOTIF将继续扮演关键角色,为实现更安全、更可靠的自动驾驶系统提供理论和技术支持。

上一篇: 智能驾驶预期功能安全中的失效模式与影响分析(Failure Mode and Effect Analysis FMEA):从理论到实践

下一篇: 信息安全-密码学(三)

最新新闻