如何理解预期功能安全（二）

开始阅读本篇文章前可先阅读文章：如何理解预期功能安全（一）。

注：图文无关，来源搜狐，小鹏P5

本篇谈预期功能安全的触发事件triggering event，它指的是车辆驾驶场景的某个特定条件，启动了系统的特定反应，导致危害事件发生。 在ISO21448中举了一个例子：车辆在高速公路上行驶过程中，车辆的自动紧急制动系统AEB误认为路标是前方的一辆车，从而以X g的减速度减速Y秒。 这个示例中，触发事件是AEB的感知子系统对前方物体的识别发生了误判，危害事件是非预期的减速，可能导致车辆的追尾事故。 ISO21448定义的第一类触发事件是超过系统和部件性能限制的事件，需要针对系统设计所使用的技术， 以车道保持系统使用的camara和radar为例，列举几个典型的SOTIF触发事件

例1：环境中的干扰因素如道路的光线反射，会影响相机检测车道标线的能力，下图中对光线反射亮斑的识别

例2：相机对路面环境条件的检测可能造成的误判，下图中车轮行驶印迹与车道线的混淆 例3：雷达天线上覆盖水膜对雷达信号的损失衰减，下图中水膜厚度的增加对雷达天线功率的影响， 引自[1]https//www.hirecpaint.com

以上这些示例都属于感知组件中在物理环境中的局限性导致的性能下降，在系统的功能安全分析过程中，不会覆盖此类性能局限下的影响分析，这类外部环境对系统传感器、控制器、执行器的影响是SOTIF的范围。

第二类触发事件是潜在可能的非预期的人为误操作，第一类触发事件中，有人机界面的限制，人机界面属于系统内的一部分，也存在潜在的性能不足，还有的触发事件是人为潜在的可预见的误用。

列举几个典型的SOTIF第二类触发事件：

例1：驾驶员难以接触系统控制界面（如果系统控制位于子菜单中或控制界面的按钮位置设计较远）。

例2：车道保持系统在控制过渡期结束时将控制权还给驾驶员，未考虑司机的注意力状态。

例3：驾驶员将其他车辆系统反馈的信息，如其它系统发出的警告，误认为是自动车道保持系统的警告。驾驶员可能会操作车道保持系统的控制功能，而不是操作其他系统的控制功能。

例4：驾驶员在系统的ODD范围外启动自动车道保持系统，不满足进入系统功能的条件。

在ISO21448附件E中描述的三个阶段的人为操作过程：

对信息的获取

对信息的判断

对系统的操作

将人类比于一个系统，按照I-P-O的方式去分析三个环节中存在的各种误操作因素。

SOTIF规定的第1类和第2类触发事件相当于功能安全HARA分析中的危害识别，触发事件的识别是一个不断递进往复的过程，它的细化程度决定了减轻措施的针对性。

在ISO21448中，减轻措施的类别可以归为以下几种：

- 对系统性能限制的减轻策略

限制系统操作或特定使用情况（降级条件）下的权限。

防止系统在特定的使用情况下运行。

- 设计改进的缓解策略。

提高算法的性能。

采用多样化的传感器技术以规避单一传感器的性能受限。

调整传感器位置。

检测传感器受到的干扰并作出反应。

确定系统所处于ODD的极限边界。

改进控制执行技术，包括反应时间、准确度、耐久程度和可靠性能力。

检测并应对已知的不支持的user case。

针对已知的不安全情况，通过系统和组件的可测试性进行检测。

- 缓解策略，以改善人的后备操作，减少可预见的误用。

改进人机界面。

改进预警和降级策略。

提高司机对系统限制的理解。

理解了SOTIF的触发事件，如何开发完备的针对所考虑系统的触发事件场景，是一个具有挑战性的工作，如何从具有无限种可能性的场景分析中找出影响系统预期功能的触发事件，这个方面在ISO21448中并没有提供明确的指导方法。

对SOTIF分析感兴趣期望进一步了解的读者，欢迎留言。

关键词： 触发事件 系统控制