标准搜索结果: 'GB/T 43267-2023'
标准编号 | GB/T 43267-2023 (GB/T43267-2023) | 中文名称 | 道路车辆 预期功能安全 | 英文名称 | Road vehicles -- Safety of the intended functionality | 行业 | 国家标准 (推荐) | 中标分类 | T35 | 国际标准分类 | 43.040 | 字数估计 | 162,125 | 发布日期 | 2023-11-27 | 实施日期 | 2023-11-27 | 起草单位 | 中国汽车技术研究中心有限公司、中国第一汽车股份有限公司、华为技术有限公司、上海商汤临港智能科技有限公司、一汽-大众汽车有限公司、极氪汽车(宁波杭州湾新区)有限公司、上海机动车检测认证技术研究中心有限公司、蔚来汽车科技(安徽)有限公司、长城汽车股份有限公司、上海海拉电子有限公司、维宁尔(中国)电子有限公司、深圳市大疆卓见科技有限公司、北京航迹科技有限公司、中汽创智科技有限公司、大众汽车(中国)投资有限公司、博世汽车部件(苏州)有限公司、知行汽车科技(苏州)有限公司、北京地平线机器人技术研发有限公司、一汽解放 | 归口单位 | 全国汽车标准化技术委员会(SAC/TC 114) | 提出机构 | 中华人民共和国工业和信息化部 | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 |
GB/T 43267-2023: 道路车辆 预期功能安全
GB/T 43267-2023 英文版: Road vehicles -- Safety of the intended functionality
中华人民共和国国家标准
道路车辆 预期功能安全
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
1 范围
本文件提供了用于确保预期功能安全(SOTIF)的通用论证框架和措施指南。预期功能安全指不
存在因预期功能不足引起的危害而导致的不合理风险,功能不足包括:
a) 整车层面预期功能规范定义的不足;
b) 系统中电气/电子要素实现的规范定义不足或性能局限。
本文件为实现和保持SOTIF所需的适用的设计、验证和确认措施以及在运行阶段的活动提供
指导。
本文件适用于依靠复杂传感器和处理算法进行态势感知且感知的正确性会对安全产生重要影响的
预期功能,特别是紧急干预系统的功能和驾驶自动化等级为L1~L5级的系统的相关功能。
本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子(E/E)系统
的预期功能。
可合理预见的误用属于本文件的范围。此外,对于由远程用户操作或辅助车辆运行,或与后台通信
可影响车辆决策的情况,如果可能导致安全危害,也属于本文件的范围。
本文件不适用于:
---GB/T 34590(所有部分)涵盖的故障;
---信息安全威胁;
---因系统技术直接导致的危害(例如,激光雷达光束对眼睛造成的伤害);
---与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、能量释放等相关的危害和类似的危害,除
非危害是直接由电气/电子(E/E)系统的预期功能引起的;
---明显违反系统预期用途的故意行为(被视为功能滥用)。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 34590(所有部分) 道路车辆 功能安全
GB/T 34590.1-2022 道路车辆 功能安全 第1部分:术语
3 术语和定义
GB/T 34590.1-2022界定的以及下列术语和定义适用于本文件。
4 预期功能安全活动概述和组织
4.1 概述
4.2~4.4提供了:
a) 预期功能安全原理的概述;
b) 关于预期功能安全活动的工作流程和使用本文件的指南;
c) 关于预期功能安全活动管理和支持过程管理的指南。
本文件规定的活动适用于整车、系统和组件层面。
4.2 预期功能安全的原理
4.2.1 预期功能安全相关的危害事件模型
本文件的主要目的是,对用于确保所有已识别的SOTIF相关危害事件达到足够低的风险水平的活
动和理由进行描述。
功能和系统规范及设计包含了相关用例,而这些用例又由多个场景组成。这些场景可能包含导致
伤害(简化的示意图见图5,详细的示意图见图2~图4)的触发条件。为了避免伤害,适当的态势感知
是必要的。
a 触发条件包括可合理预见的直接误用。
b 无法控制危害事件也可能是由于可合理预见的间接误用导致的,例如,驾驶员没有按照规定的方式监控系统。
4.2.2 场景的4个区域
在本文件中,危害场景指的是导致危害行为的场景。作为相关用例的一部分,车辆运行场景可以分
为4个区域(见图6和图7)。
4.2.3 “感知-规划-执行”模型
本文件中,导致危害行为的可能原因,与系统能力密切相关,这些能力包括创建足够准确的环境模
型,基于环境模型做出正确决策并推导出正确的控制动作,以及执行该控制行为。
关键系统要素及其交互由“感知-规划-执行”模型表示(见图10)。“感知”要素执行感知部分(包括
定位),即依据从车辆外部和内部环境以及车辆和系统状态所感知并接收到的信息,创建环境模型;“规
划”要素将其目标和策略应用于由“感知”要素提供的环境模型,以得出控制行为;最后,“执行”要素执行
控制行为。
4.3 本文件的使用
4.3.1 本文件的流程图和结构
第5章(规范定义和设计)旨在启动SOTIF活动(见图11)。规范定义和设计中包含了那些在后续
SOTIF活动和周期开始前就已知的功能不足。SOTIF活动的迭代可能会导致规范定义和设计的更
新,以及新的先前未发现的功能不足。SOTIF活动的每次迭代开始于规范定义和设计,目的在于将规
范定义和设计更新到最新的状态。
第6章(危害的识别和评估)旨在对预期功能的潜在危害行为进行危害识别和风险评估。对已识别
出的危害事件进行风险评估,并定义相应的风险接受准则。如果证明危害事件不会导致不合理的风
险,则不需应用额外的设计措施。第6章不考虑预期功能的危害行为的原因,而仅考虑其对安全的影
响。因此,重点是评估可能由危害行为引起的危害事件,并定义所需满足的接受准则。
第7章(潜在功能不足和潜在触发条件的识别与评估)旨在识别可能导致预期功能危害行为的根本
原因(见图4),并评估由所识别出的潜在功能不足和触发条件引起的风险是否合理。
第8章(修改功能以解决预期功能安全相关风险)旨在根据第6章、第7章、第9章~第13章的活
动,如果认为有必要,则对功能进行修改(例如,改进传感器的能力,对 ODD进一步的限制),以改进
SOTIF。
第9章(定义验证和确认策略)旨在制定验证和确认策略,以提供证据来证明:与SOTIF相关的整
车层面残余风险符合可接受的水平,要素满足其功能要求,对ODD的覆盖是充分的。第10章(已知场
景的评估)和第11章(未知场景的评估)旨在基于验证和确认策略导出相应的验证和确认测试用例,且
测试用例对ODD的覆盖度足够高。
第12章(预期功能安全实现的评估)旨在评估SOTIF活动的结果是否充分,足以论证实现了SO-
TIF。
第13章(运行阶段的活动)旨在定义在运行阶段识别和解决可能出现的SOTIF现场运行问题的流程。
图11描述了本文件中为确保预期功能安全所需的活动流程。带圆圈的数字表示本文件中的相应章节。
4.3.2 规范的条款
通过在各章节的开始列出目标,提供实现目标的论据,并记录相应的工作成果,可以声明符合本文
件。目标的规范性特征是通过使用关键词“应”来表达的,表示一种要求。
注:A.1给出了基于目标结构表示法(GSN)的论证示例。
4.3.3 表的解释
本文件中的一些表列出了为实现某一开发目标的一系列方法和措施。这些条目旨在说明可能的方
法和措施,而表的条目可能并不详尽。可以采用其他等效的方法和措施。这些表的目的是支持开发团
队选择一个或多个适当的措施和方法。
注:选择一组适当的方法可能取决于各种因素,例如,危害事件的复杂性或暴露概率。
4.4 预期功能安全活动管理和支持过程
4.4.1 质量管理、系统工程和功能安全
为了开发安全的产品,严格的工程和质量管理过程至关重要。这些已经在其他标准中予以说明,如
IATF16949、GB/T 34590(所有部分)和ISO/IEC/IEEE15288。本文件仅关注这些过程中的SOTIF
特定方面。
注1:在产品开发过程中,本文件和GB/T 34590(所有部分)规定的活动是并行开展的。一般而言,实施的措施可能
对SOTIF和功能安全产生影响,并按照这两种方法论进行评估。A.2为并行应用GB/T 34590(所有部分)和
SOTIF提供了实践指南。
对于管理活动和支持过程,可以将GB/T 34590.2、GB/T 34590.7、GB/T 34590.8扩展到SOTIF活
动中。5.3和10.2进一步描述了要求的传递和追溯性。
对于SOTIF相关的活动,选择以下一组方法和措施。
---SOTIF过程(见图11)始于规范定义和系统及其架构的设计(见第5章)。
---对预期功能的潜在危害行为进行危害识别和风险评估(见第6章),以识别危害及其相应的危
害事件。如果证明危害事件不会导致不合理的风险,则不需应用额外的设计措施。
注2:第6章不考虑预期功能的危害行为的原因,而仅考虑其对安全的影响。因此,重点是评估可能由危害行
为引起的危害事件,并定义所需满足的接受准则。
---第7章旨在识别可能导致预期功能危害行为的根本原因(见图2),并评估由所识别出的潜在
功能不足和触发条件引起的风险是否合理。
---根据第6章、第7章、第10章、第11章、第12章、第13章的活动,如果认为有必要,则对功能
进行修改(例如,改进传感器的能力,对ODD进一步的限制),以改进SOTIF。见第8章。
---制定验证和确认策略,以提供证据来证明:与SOTIF相关的整车层面残余风险达到可接受的
水平,要素满足其功能要求(见第9章),对 ODD的覆盖是充分的。为了能够收集所需的证
据,可从该策略中导出相应的验证和确认测试用例,且测试用例对 ODD的覆盖度足够高(见
第10章和第11章)。
---根据先前活动的结果,评估残余风险(见第12章)。
---在运行阶段定义了识别和解决可能出现的SOTIF现场运行问题的流程(见第13章)。
注3:关于GB/T 34590(所有部分)功能安全和本文件之间的交互,A.2给出了进一步解释。
4.4.2 分布式预期功能安全开发活动
在分布式产品开发的情况下,所有相关方之间定义了开发接口协议(DIA),DIA的目的是在项目的
早期阶段确认SOTIF活动的所有职责,并在开发方之间交换充分的技术信息。
IATF16949提供了一个基本流程框架,也可在SOTIF过程中予以考虑。本条侧重于如何将DIA
扩展到分布式SOTIF开发和实施中。GB/T 34590(所有部分)提供了关于功能安全方面的DIA和供
应协议框架。为了将此框架应用于SOTIF,可以进行剪裁,增加与SOTIF开发和实施相关的各方职
责。考虑并商定各方的责任,以计划和执行第5章~第13章的整个SOTIF活动。对将要共享的信息
和工作成果进行定义。可根据GB/T 34590.8-2022中5.4.1、5.4.2、5.4.3、5.4.4和5.4.6所描述的过
程,并为SOTIF进行剪裁,来完成这些活动。在项目开发初期就文档格式达成一致。
4.4.3 独立于环境的预期功能安全相关要素
为了实现SOTIF,对不同系统(硬件和软件)之间的接口的描述是必要的。为了确保集成的系统在
所定义的ODD内是安全的,每个子系统(例如,独立的感知系统)的边界都要经过仔细的评估。因为环
境因素(例如,ODD、场景)是SOTIF开发的基本问题,所以系统及其要素依层面的不同具有不同的关
注点。就这些系统和要素的开发而言,它们可以分为以下三种类型。
a) 在环境中的开发:整个系统的所有SOTIF活动遵循V模型进行开发。对于从事系统及其要
素的分布式开发的各方,根据任务角色来确定要求,包括规范定义和设计(见第5章)以及其他
活动(见第6章~第13章)。在GB/T 34590(所有部分)中,这种开发被视为“在环境中”的开发。
b) 独立于环境的SOTIF相关要素:对于这些要素,可以对它们在整个系统中的使用及其对预期
功能的贡献做出假设。因此,可以对与SOTIF相关的输出不足及其容许的发生概率目标做出
假设。记录这些假设并将其作为这些要素后续开发的输入。SOTIF活动提供了实现相应概
率目标的证据。对于独立于环境的SOTIF相关要素,记录已识别出的触发条件及其引起的输
出不足。通过整车层面功能环境下的SOTIF活动,确定假设的有效性(见GB/T 34590.10-
2022中第9章的SEooC)。
c) 非特定的SOTIF相关开发:这些要素的功能可通过多种方式帮助实现预期功能,因此,如果使
用这些要素的环境未知,提前预估SOTIF相关要求在实践上是不可行的。
5 规范定义和设计
5.1 目的
本章的目的是实现以下目标:
a) 规范定义和设计应包含充分的信息以开展SOTIF相关活动;
b) 在SOTIF相关活动的每次迭代后,应根据要求对规范定义和设计进行更新(见图11)。
5.2 功能规范的定义和对设计的考虑
规范定义和设计可包括本条所列的各个方面。某些方面仅与特定的自动化等级或特定的实现相
关。此外,某些方面与整车层面或要素层面的功能规范定义相关。
考虑的方面(如适用)包括但不限于以下方面。
---对预期的功能、支持子系统和组件的功能的描述,包括:
● 设计运行范围(ODD);
● 自动驾驶功能控制车辆动态任务的权限级别和细节;
● 整车层面的SOTIF策略;
● 功能可被激活或关闭的用例,以及激活和关闭用例间的转换;
● 决策逻辑的描述(例如,路径规划、驾驶策略,见D.1)。
---实现预期功能的相关系统及其要素的设计。
---为实现预期功能而安装的传感器、控制器、执行器或其他输入及组件(例如,地图,见D.3)的性
能目标。
注1:自动驾驶系统的性能目标(见D.5),例如,包括在ODD范围内对关键目标和事件(例如,行人、车辆、自
行车、摩托车和交通标志)的探测与响应。
---预期功能与如下条目间的依赖关系、交互或接口:
● 驾驶员;
● 驾驶员交互(例如,HMI),及如何使用交互以减轻已知的可合理预见的误用;
● 远程/后台操作人员;
● 乘客、行人、骑自行车的人和其他道路使用者;
● 相关环境条件;
● 道路基础设施和道路设备;
● 云端、车辆间或其他通信基础设施(例如,V2X/X2V,见D.4)以及涉及诊断和参数更新的
在用远程信息处理之间的数据交换;
● 软件更新的远程刷写;
● 车辆上可能干扰预期功能的其他功能,包括信息交换和相应的使用假设。
---可合理预见的误用(直接和间接)。
---系统及其要素的潜在的性能局限、已识别出的触发条件、应对措施。
注2:在SOTIF活动中,识别出的一些潜在的性能局限和风险可能是可以接受的,无应对措施。在此情况
下,在规范定义和设计中予以记录。
---实现预期功能的系统和整车架构。
---报警和降级概念:
● 报警策略;
● DDT后援:接管/后援的条件和方案,用于在各自的用例中,......
|