自動(dòng)駕駛安全的關(guān)鍵標準 SOTIF（ISO/PAS 21448）

SOTIF （ISO/PAS 21448） 的開(kāi)發(fā)是為了解決自動(dòng)駕駛（和半自動(dòng)駕駛）汽車(chē)軟件開(kāi)發(fā)人員面臨的新安全挑戰。這一點(diǎn)尤為重要，因為人工智能 （AI） 和機器學(xué)習在自動(dòng)駕駛汽車(chē)的開(kāi)發(fā)中發(fā)揮著(zhù)關(guān)鍵作用。

什么是 SOTIF （ISO/PAS 21448）？

SOTIF （ISO 21448） 適用于需要適當的態(tài)勢感知以確保安全的功能。該標準涉及在沒(méi)有故障的情況下保證預期功能 （SOTIF） 的安全性。這與傳統的功能安全形成鮮明對比，后者關(guān)注的是降低系統故障導致的風(fēng)險。

該標準提供了有關(guān)設計、驗證和確認措施的指導。應用這些措施有助于您在沒(méi)有故障的情況下實(shí)現安全。

以下是 SOTIF （ISO PAS 21448） 提供的一些示例：

• 設計測量示例：包括對傳感器性能的要求。

• 驗證措施示例：包括場(chǎng)景覆蓋率高的測試用例。

• 驗證度量示例：包括模擬。

使用靜態(tài)代碼分析工具 輕松應用 SOTIF （ISO 21448）。

驗證自動(dòng)化系統很困難。

自動(dòng)化系統擁有大量數據，這些數據被饋送到復雜的算法中。AI 和機器學(xué)習對于開(kāi)發(fā)這些系統至關(guān)重要。

為了避免潛在的安全隱患，AI 需要做出決策。這包括需要態(tài)勢感知的場(chǎng)景。

使用 SOTIF （ISO 21448） 將是確保 AI 能夠做出決策和避免安全隱患的關(guān)鍵。

示例：SOTIF （ISO/PAS 21448） 分析適用情況

SOTIF （ISO 21448） 適用于在沒(méi)有系統故障的情況下發(fā)生的安全違規行為。

下面是一個(gè)態(tài)勢感知的例子。

路很結冰?；?AI 的系統可能無(wú)法理解情況并做出正確響應。這會(huì )影響車(chē)輛安全運行的能力。如果不感應到結冰的路況，自動(dòng)駕駛汽車(chē)的行駛速度可能會(huì )超過(guò)該條件下的安全速度。滿(mǎn)足 SOTIF （ISO 21448） 意味著(zhù)考慮到這種情況并根據概率做出決策。

SOTIF （ISO 21448） 的目標是減少潛在的未知、不安全情況。但是，該定義非常廣泛。而且很難證明您已經(jīng)考慮了所有潛在的邊緣情況。

ISO 26262 涵蓋了系統故障時(shí)的功能安全。它不包括沒(méi)有系統故障的安全隱患。這就是 SOTIF （ISO 21448） 的必要性。

事實(shí)上，SOTIF （ISO 21448） 最初打算成為 ISO 26262：第 14 部分。由于在沒(méi)有系統故障的情況下確保安全非常復雜，因此 SOTIF （ISO 21448） 現在已成為一項獨立標準。

ISO 26262 與 ISO 21448

ISO 26262 仍然適用于現有的、已建立的系統，例如動(dòng)態(tài)穩定控制 （DSC） 系統或安全氣囊。對于這些系統，通過(guò)降低系統故障的風(fēng)險來(lái)確保安全性。

SOTIF （ISO 21448） 適用于緊急干預系統和高級駕駛員輔助系統等系統。這些系統可能存在安全隱患，但不會(huì )發(fā)生系統故障。

因此，SOTIF （ISO 21448） 是對 ISO 26262 的補充。

安全一直是汽車(chē)軟件開(kāi)發(fā)的關(guān)鍵。確保功能安全對于自動(dòng)駕駛仍然至關(guān)重要。

以下是開(kāi)發(fā)團隊需要做的事情，以繼續生產(chǎn)安全的軟件。

1. 使用安全的開(kāi)發(fā)流程

AI 和機器學(xué)習面臨的最大挑戰之一是安全性。網(wǎng)絡(luò )安全和 AI 需要考慮很多因素。本文介紹了正確設置安全和隱私權的基礎知識。

以下是關(guān)鍵安全開(kāi)發(fā)流程的三個(gè)示例：

1. 良好的編程實(shí)踐和全面的測試工作對于消除安全漏洞至關(guān)重要。這可以通過(guò)使用安全編碼標準來(lái)實(shí)現。

2. 威脅建模和風(fēng)險緩解是開(kāi)發(fā)安全組件的關(guān)鍵。這可以通過(guò)進(jìn)行危害和風(fēng)險分析來(lái)實(shí)現。

3. 對構建/發(fā)布環(huán)境的控制是防止黑客入侵和保持構建安全的關(guān)鍵。這可以通過(guò) CI/CD 環(huán)境中的訪(fǎng)問(wèn)控制來(lái)實(shí)現。

2. 將自動(dòng)化應用于設計、驗證和確認

人工智能。機器學(xué)習。自動(dòng)駕駛汽車(chē)。汽車(chē)軟件開(kāi)發(fā)人員在努力生產(chǎn)安全軟件時(shí)需要擔心很多事情。

將自動(dòng)化應用于設計、驗證和確認流程可以提高開(kāi)發(fā)團隊的效率。

SOTIF （ISO 21448） 給出了以下示例（前面列出）：

• 設計測量示例： 包括對傳感器性能的要求。

• 驗證措施示例：包括場(chǎng)景覆蓋率高的測試用例。

• 驗證度量示例： 包括模擬。

使用需求管理工具可以幫助您滿(mǎn)足傳感器性能的要求。這有助于汽車(chē)嵌入式軟件的設計更安全。

使用測試用例管理工具可以幫助您確保不同場(chǎng)景的高度覆蓋。這有助于軟件驗證。

使用靜態(tài)分析工具可以幫助您模擬潛在的運行時(shí)場(chǎng)景。這有助于軟件驗證。

3. 符合功能安全標準

SOTIF （ISO 21448） 對于自動(dòng)駕駛的功能安全非常重要。但遵守既定的功能安全標準仍然很重要，尤其是 ISO 26262。

ISO 21448 仍需要遵循最佳實(shí)踐和基于 ISO 26262 的 ASIL 的建議，以確保自動(dòng)駕駛汽車(chē)的軟件安全。