SOTIF很快将会取代ISO 26262？为您详细解读SOTIF标准ISO/PAS 21448

根据MES模赛思对其全球客户的问卷调查表明，尽管有相当一部分的参与者（35%）认为SOTIF在功能安全相关系统开发方面显示出了重要意义，SOTIF对于绝大部分参与者（79%）来说仍然陌生，目前绝大部分从业者仍然遵循ISO 26262功能安全标准进行开发。

为了更好的了解SOTIF ，我们需要回答SOTIF到底是什么，与ISO 26262有什么不同？SOTIF 如何影响开发过程，需要关注哪些内容，具有怎样的开发流程和思路等问题

SOTIF的定义与适用范围

SOTIF（预定功能安全）标准于2019年1月作为公开的规范发布（ISO/PAS 21448），正式版预计将于2022年发布，目前PAS版本共有29页+23页附件，重点关注SAE自动化1级和2级驾驶员辅助功能。

其不适用于“现有在发布时已有可靠的设计、验证和确认（V&V）措施系统的功能（如动态稳定控制（DSC）系统、安全气囊等）”及“信息安全方面的话题”

规范当中将SOTIF定义为 “不存在因预期功能不足或由于合理预见的人员误操作而造成的危险”。

所谓“由系统的预期功能或性能限制引起的潜在危险行为，但是该系统又不存在ISO 26262系列中所述的故障。此类限制的例子包括：

功能无法正确理解情况和安全操作；这也包括使用机器学习算法的功能；
功能对传感器输入变化或不同环境条件的鲁棒性不足

而“合理可预见的可能直接导致潜在的危险系统行为的误用“，也被视为可能的直接导致SOTIF 相关危害的触发事件

功能安全与预期功能安全

功能安全规范主要考虑EE系统本身失效所导致的危害事件，它关注EE体统内部。而作为对照，预期功能安全主要关注外部的因素导致的危害事件，如已知的系统限制、环境条件和可预见的误用。以上触发事件再结合系统本身弱点，如传感器、执行器和算法，最终导致的危害事件。二者均会导致危害事件，但成因不同。

下面我们举例说明触发事件:

第一个例子车道保持辅助系统。车道保持系统通过摄像头检测前方车道线，如发现车辆太过靠近车道线，车道保持辅助系统则会接管，施加转向扭矩。在特殊场景下，如高速公路施工路段，车道线被人为重新布置，而车道保持辅助系统无法识别交叉车道标记，存在非预期的功能激活，而驾驶员又无法及时接管车辆，从而引发危害事件。为了降低此种风险，功能规范有待完善，如添加附加规范，检测驾驶员手是否有效握持方向盘，如检测到脱离情况，马上报警。

第二个例子是关于自动紧急制动系统AEB。AEB系统靠雷达检测车距，在车距过于接近的情况下引发系统紧急制动。在特殊的道路条件下，如井盖、隧道或饮料罐，雷达产生回波，系统可能将其误读为潜在障碍物，而造成错误的信号识别而引发危害。

SOTIF方法论

SOTIF规范当中，将驾驶场景根据用例划分为4类，已知安全场景（区域1），已知非安全场景（区域2），未知非安全场景（区域3）和未知安全场景（区域4）。在开发的初期，区域2和3可能因区域太大导致不可接受的剩余风险，SOTIF的最终目标是评估区域2和3的SOTIF，并提供论述证明，证明区域2和3足够小进而认为产生的剩余风险可接受。而区域1则为最大化保持区。对于区域2，作为已知场景，其现有用例可以明确评估，可以通过SOTIF分析方法来保证这类场景的概率足够低。比如说在必要的时候改进功能或限制功能使用，将相应的危险场景转移至区域1。基本思想是通过安全分析识别出风险场景，针对风险场景开发对应策略再对已知场景搭建实施仿真环境或通过实车测试用例来进行测试，根据实验结果优化系统设计。这与传统V模型开发理念一致。区域3未知非安全场景应尽可能减少至可接受水平，将每个能检测到的危险场景转移到区域2当中。区域3的场景和相应用例可以通过行业最佳实践或者其他方法，如通过方案设计、系统分析或专业实验来进行评估，以此证明区域3足够小。SOTIF规范目前对于区域3暂时没有细节方法，宽泛地提到了两个点：提高系统零部件功能的可信度和实车路试仿真测试数据积累。

更多关于SOTIF的内容，如具体场景示例、SOTIF活动流程、关于ISO 26262和21448可能的交互等内容，欢迎您访问我们的网站，观看免费视频研讨课。观看地址：

https://model-engineers.com/zh-CN/academy/webinars/archive/what-in-the-world-is-sotif-zh

关于MES模赛思：

关于MES模赛思公司：

模赛思软件技术有限公司(Model Engineering Solutions，简称MES)是一家总部位于柏林的德国高科技软件公司，专为软件项目的质量保障提供解决方案。MES为客户基于模型的软件开发提供技术支持，使其符合IEC 61508、ISO 26262或ASPICE等行业标准。MES的主要客户包括整车厂如戴姆勒、大众、丰田和吉利等以及博世、西门子和三星等行业供应商。在汽车行业中，除少数几家公司外，全球数十家顶尖制造商及供应商均在他们的开发环境中使用MES的解决方案。为支持其全球客户，MES已在美国和中国建立了子公司，并与全球分销商网络紧密合作。

MES的产品包括4种质量工具软件：MES Model Examiner、MES Test Manager、MES Model & Refactor和MES Quality Commander，它们共同构成了一个工具链，全面保障基于模型的软件开发过程中所有阶段的质量。通过MES Jenkins Plugin，该工具链也可以在持续集成环境中使用。工具链主要应用平台为MATLABSimulink。除了MES质量工具外，MES测试中心和MES学院的专家们还为全球客户提供关于质量保证和开发流程优化的定制咨询服务及培训课程。

联系人：郭牧天

联系方式：

移动电话 | 微信号: 13122269208

mutian.guo@model-engineers.com