自动驾驶安全的关键标准 SOTIF(ISO/PAS 21448)
SOTIF (ISO/PAS 21448) 的开发是为了解决自动驾驶(和半自动驾驶)汽车软件开发人员面临的新安全挑战。这一点尤为重要,因为人工智能 (AI) 和机器学习在自动驾驶汽车的开发中发挥着关键作用。
本文引用地址:https://www.eepw.com.cn/article/202503/468663.htm什么是 SOTIF (ISO/PAS 21448)?
SOTIF (ISO 21448) 适用于需要适当的态势感知以确保安全的功能。该标准涉及在没有故障的情况下保证预期功能 (SOTIF) 的安全性。这与传统的功能安全形成鲜明对比,后者关注的是降低系统故障导致的风险。
该标准提供了有关设计、验证和确认措施的指导。应用这些措施有助于您在没有故障的情况下实现安全。
以下是 SOTIF (ISO PAS 21448) 提供的一些示例:
设计测量示例:包括对传感器性能的要求。
验证措施示例:包括场景覆盖率高的测试用例。
验证度量示例:包括模拟。
使用静态代码分析工具 轻松应用 SOTIF (ISO 21448)。
验证自动化系统很困难。
自动化系统拥有大量数据,这些数据被馈送到复杂的算法中。AI 和机器学习对于开发这些系统至关重要。
为了避免潜在的安全隐患,AI 需要做出决策。这包括需要态势感知的场景。
使用 SOTIF (ISO 21448) 将是确保 AI 能够做出决策和避免安全隐患的关键。
示例:SOTIF (ISO/PAS 21448) 分析适用情况
SOTIF (ISO 21448) 适用于在没有系统故障的情况下发生的安全违规行为。
下面是一个态势感知的例子。
路很结冰。基于 AI 的系统可能无法理解情况并做出正确响应。这会影响车辆安全运行的能力。如果不感应到结冰的路况,自动驾驶汽车的行驶速度可能会超过该条件下的安全速度。满足 SOTIF (ISO 21448) 意味着考虑到这种情况并根据概率做出决策。
SOTIF (ISO 21448) 的目标是减少潜在的未知、不安全情况。但是,该定义非常广泛。而且很难证明您已经考虑了所有潜在的边缘情况。
ISO 26262 涵盖了系统故障时的功能安全。它不包括没有系统故障的安全隐患。这就是 SOTIF (ISO 21448) 的必要性。
事实上,SOTIF (ISO 21448) 最初打算成为 ISO 26262:第 14 部分。由于在没有系统故障的情况下确保安全非常复杂,因此 SOTIF (ISO 21448) 现在已成为一项独立标准。
ISO 26262 与 ISO 21448
ISO 26262 仍然适用于现有的、已建立的系统,例如动态稳定控制 (DSC) 系统或安全气囊。对于这些系统,通过降低系统故障的风险来确保安全性。
SOTIF (ISO 21448) 适用于紧急干预系统和高级驾驶员辅助系统等系统。这些系统可能存在安全隐患,但不会发生系统故障。
因此,SOTIF (ISO 21448) 是对 ISO 26262 的补充。
安全一直是汽车软件开发的关键。确保功能安全对于自动驾驶仍然至关重要。
以下是开发团队需要做的事情,以继续生产安全的软件。
1. 使用安全的开发流程
AI 和机器学习面临的最大挑战之一是安全性。网络安全和 AI 需要考虑很多因素。本文介绍了正确设置安全和隐私权的基础知识。
以下是关键安全开发流程的三个示例:
良好的编程实践和全面的测试工作对于消除安全漏洞至关重要。这可以通过使用安全编码标准来实现。
威胁建模和风险缓解是开发安全组件的关键。这可以通过进行危害和风险分析来实现。
对构建/发布环境的控制是防止黑客入侵和保持构建安全的关键。这可以通过 CI/CD 环境中的访问控制来实现。
2. 将自动化应用于设计、验证和确认
人工智能。机器学习。自动驾驶汽车。汽车软件开发人员在努力生产安全软件时需要担心很多事情。
将自动化应用于设计、验证和确认流程可以提高开发团队的效率。
SOTIF (ISO 21448) 给出了以下示例(前面列出):
设计测量示例: 包括对传感器性能的要求。
验证措施示例:包括场景覆盖率高的测试用例。
验证度量示例: 包括模拟。
使用需求管理工具可以帮助您满足传感器性能的要求。这有助于汽车嵌入式软件的设计更安全。
使用测试用例管理工具可以帮助您确保不同场景的高度覆盖。这有助于软件验证。
使用静态分析工具可以帮助您模拟潜在的运行时场景。这有助于软件验证。
3. 符合功能安全标准
SOTIF (ISO 21448) 对于自动驾驶的功能安全非常重要。但遵守既定的功能安全标准仍然很重要,尤其是 ISO 26262。
ISO 21448 仍需要遵循最佳实践和基于 ISO 26262 的 ASIL 的建议,以确保自动驾驶汽车的软件安全。
评论