自動駕駛安全的關鍵標準 SOTIF（ISO/PAS 21448）

SOTIF （ISO/PAS 21448） 的開發是為了解決自動駕駛（和半自動駕駛）汽車軟件開發人員面臨的新安全挑戰。這一點尤為重要，因為人工智能 （AI） 和機器學習在自動駕駛汽車的開發中發揮著關鍵作用。

什么是 SOTIF （ISO/PAS 21448）？

SOTIF （ISO 21448） 適用于需要適當的態勢感知以確保安全的功能。該標準涉及在沒有故障的情況下保證預期功能 （SOTIF） 的安全性。這與傳統的功能安全形成鮮明對比，后者關注的是降低系統故障導致的風險。

該標準提供了有關設計、驗證和確認措施的指導。應用這些措施有助于您在沒有故障的情況下實現安全。

以下是 SOTIF （ISO PAS 21448） 提供的一些示例：

• 設計測量示例：包括對傳感器性能的要求。

• 驗證措施示例：包括場景覆蓋率高的測試用例。

• 驗證度量示例：包括模擬。

使用靜態代碼分析工具 輕松應用 SOTIF （ISO 21448）。

驗證自動化系統很困難。

自動化系統擁有大量數據，這些數據被饋送到復雜的算法中。AI 和機器學習對于開發這些系統至關重要。

為了避免潛在的安全隱患，AI 需要做出決策。這包括需要態勢感知的場景。

使用 SOTIF （ISO 21448） 將是確保 AI 能夠做出決策和避免安全隱患的關鍵。

示例：SOTIF （ISO/PAS 21448） 分析適用情況

SOTIF （ISO 21448） 適用于在沒有系統故障的情況下發生的安全違規行為。

下面是一個態勢感知的例子。

路很結冰。基于 AI 的系統可能無法理解情況并做出正確響應。這會影響車輛安全運行的能力。如果不感應到結冰的路況，自動駕駛汽車的行駛速度可能會超過該條件下的安全速度。滿足 SOTIF （ISO 21448） 意味著考慮到這種情況并根據概率做出決策。

SOTIF （ISO 21448） 的目標是減少潛在的未知、不安全情況。但是，該定義非常廣泛。而且很難證明您已經考慮了所有潛在的邊緣情況。

ISO 26262 涵蓋了系統故障時的功能安全。它不包括沒有系統故障的安全隱患。這就是 SOTIF （ISO 21448） 的必要性。

事實上，SOTIF （ISO 21448） 最初打算成為 ISO 26262：第 14 部分。由于在沒有系統故障的情況下確保安全非常復雜，因此 SOTIF （ISO 21448） 現在已成為一項獨立標準。

ISO 26262 與 ISO 21448

ISO 26262 仍然適用于現有的、已建立的系統，例如動態穩定控制 （DSC） 系統或安全氣囊。對于這些系統，通過降低系統故障的風險來確保安全性。

SOTIF （ISO 21448） 適用于緊急干預系統和高級駕駛員輔助系統等系統。這些系統可能存在安全隱患，但不會發生系統故障。

因此，SOTIF （ISO 21448） 是對 ISO 26262 的補充。

安全一直是汽車軟件開發的關鍵。確保功能安全對于自動駕駛仍然至關重要。

以下是開發團隊需要做的事情，以繼續生產安全的軟件。

1. 使用安全的開發流程

AI 和機器學習面臨的最大挑戰之一是安全性。網絡安全和 AI 需要考慮很多因素。本文介紹了正確設置安全和隱私權的基礎知識。

以下是關鍵安全開發流程的三個示例：

1. 良好的編程實踐和全面的測試工作對于消除安全漏洞至關重要。這可以通過使用安全編碼標準來實現。

2. 威脅建模和風險緩解是開發安全組件的關鍵。這可以通過進行危害和風險分析來實現。

3. 對構建/發布環境的控制是防止黑客入侵和保持構建安全的關鍵。這可以通過 CI/CD 環境中的訪問控制來實現。

2. 將自動化應用于設計、驗證和確認

人工智能。機器學習。自動駕駛汽車。汽車軟件開發人員在努力生產安全軟件時需要擔心很多事情。

將自動化應用于設計、驗證和確認流程可以提高開發團隊的效率。

SOTIF （ISO 21448） 給出了以下示例（前面列出）：

• 設計測量示例： 包括對傳感器性能的要求。

• 驗證措施示例：包括場景覆蓋率高的測試用例。

• 驗證度量示例： 包括模擬。

使用需求管理工具可以幫助您滿足傳感器性能的要求。這有助于汽車嵌入式軟件的設計更安全。

使用測試用例管理工具可以幫助您確保不同場景的高度覆蓋。這有助于軟件驗證。

使用靜態分析工具可以幫助您模擬潛在的運行時場景。這有助于軟件驗證。

3. 符合功能安全標準

SOTIF （ISO 21448） 對于自動駕駛的功能安全非常重要。但遵守既定的功能安全標準仍然很重要，尤其是 ISO 26262。

ISO 21448 仍需要遵循最佳實踐和基于 ISO 26262 的 ASIL 的建議，以確保自動駕駛汽車的軟件安全。