危险场景的出现,往往是因为期望的功能很难预测导致的。如果期望的功能可以预测的话,那么它已经并入系统设计之中了。ISO/PAS 21448 从两个维度来评价考虑的情景:一个是情况是否已知,另一个是这些情况是否安全。如下图所示: ISO/PAS 21448 标准忽略了区域4(Area 4)中安全但是未知的情景(意外情况),主要关注的是扩展区域1( Area 1.)并缩小区域2( Area 2)和区域3( Area 3).主要通过以下两点来考虑上述问题;危险的预期行为会导致什么样的危险事件?这些危险行为的潜在原因有哪些?
从危险的预期行为会导致什么样的危险事件角度举例,当多辆车同时使用自适应巡航一起行驶时,会出现手风琴效应 “accordion effect” 或者弹簧不稳定状态“string instability”(道路中的手风琴效应,是指前方车辆减速和加速时产生的减速度和加速度变化。这些速度波动会向后传播,并且通常沿线越来越大,从而降低了道路交通的吞吐量。The accordion effect in road traffic refers to the typical decelerations and accelerations of a vehicle when the vehicle in front decelerates and accelerates. These fluctuations in speed propagate backwards and typically get bigger and bigger further down the line, decreasing the throughput of road traffic.)。控制回路中的延时会使振荡变的越来越危险,并最终需要人的干预。从危险行为的潜在原因这个角度看,行人穿很厚的羊毛大衣会影响超声波的效果,刚刚升起的太阳会影响摄像头的性能等。
标准中提出的SOTIF分析是以有效识别和评估算法(例如算法并没有被训练如何处理交通拥堵中穿行的救护车)、传感器或者执行器的触发事件为开端。一旦触发事件被识别,就可以使用GAMAB/GAME 或者 ALARP(二拉平)(后续功能分析的文章中会涉及这两种方法的介绍)来判断风险接受水平。这时需要考虑车辆投放市场所在国的交通统计(如 美国的NHTSA , 法国的ONISR , 德国的BASt )。这些统计信息会详细说明道路上的汽车数量,每年汽车的平均行驶距离,不同类型的事故数量等。
很难确定SOTIF的潜在危害和风险,它们在很大程度上取决于“工程判断engineering judgement”。为了解决这个问题,ISO/PAS 21448提供了一系列指导术语,可以在头脑风暴上使用如“不理解do not understand”“识别失败false recognition”“故意的intentional”最后一个指导术语很有趣:在很多分析故意的不安全行为案例中,如果行人或者司机故意违背交通或者社会规则( intentionally violates a traffic regulation or social rule),不管发什么都会被忽略掉。 关注微信订阅号 autotechspace (汽车知识共享空间)获取更多实时内容。。。