自动驾驶安全的关键标准 SOTIF（ISO/PAS 21448）

SOTIF （ISO/PAS 21448） 的开发是为了解决自动驾驶（和半自动驾驶）汽车软件开发人员面临的新安全挑战。这一点尤为重要，因为人工智能 （AI） 和机器学习在自动驾驶汽车的开发中发挥着关键作用。

什么是 SOTIF （ISO/PAS 21448）？

SOTIF （ISO 21448） 适用于需要适当的态势感知以确保安全的功能。该标准涉及在没有故障的情况下保证预期功能 （SOTIF） 的安全性。这与传统的功能安全形成鲜明对比，后者关注的是降低系统故障导致的风险。

该标准提供了有关设计、验证和确认措施的指导。应用这些措施有助于您在没有故障的情况下实现安全。

以下是 SOTIF （ISO PAS 21448） 提供的一些示例：

• 设计测量示例：包括对传感器性能的要求。

• 验证措施示例：包括场景覆盖率高的测试用例。

• 验证度量示例：包括模拟。

使用静态代码分析工具 轻松应用 SOTIF （ISO 21448）。

验证自动化系统很困难。

自动化系统拥有大量数据，这些数据被馈送到复杂的算法中。AI 和机器学习对于开发这些系统至关重要。

为了避免潜在的安全隐患，AI 需要做出决策。这包括需要态势感知的场景。

使用 SOTIF （ISO 21448） 将是确保 AI 能够做出决策和避免安全隐患的关键。

示例：SOTIF （ISO/PAS 21448） 分析适用情况

SOTIF （ISO 21448） 适用于在没有系统故障的情况下发生的安全违规行为。

下面是一个态势感知的例子。

路很结冰。基于 AI 的系统可能无法理解情况并做出正确响应。这会影响车辆安全运行的能力。如果不感应到结冰的路况，自动驾驶汽车的行驶速度可能会超过该条件下的安全速度。满足 SOTIF （ISO 21448） 意味着考虑到这种情况并根据概率做出决策。

SOTIF （ISO 21448） 的目标是减少潜在的未知、不安全情况。但是，该定义非常广泛。而且很难证明您已经考虑了所有潜在的边缘情况。

ISO 26262 涵盖了系统故障时的功能安全。它不包括没有系统故障的安全隐患。这就是 SOTIF （ISO 21448） 的必要性。

事实上，SOTIF （ISO 21448） 最初打算成为 ISO 26262：第 14 部分。由于在没有系统故障的情况下确保安全非常复杂，因此 SOTIF （ISO 21448） 现在已成为一项独立标准。

ISO 26262 与 ISO 21448

ISO 26262 仍然适用于现有的、已建立的系统，例如动态稳定控制 （DSC） 系统或安全气囊。对于这些系统，通过降低系统故障的风险来确保安全性。

SOTIF （ISO 21448） 适用于紧急干预系统和高级驾驶员辅助系统等系统。这些系统可能存在安全隐患，但不会发生系统故障。

因此，SOTIF （ISO 21448） 是对 ISO 26262 的补充。

安全一直是汽车软件开发的关键。确保功能安全对于自动驾驶仍然至关重要。

以下是开发团队需要做的事情，以继续生产安全的软件。

1. 使用安全的开发流程

AI 和机器学习面临的最大挑战之一是安全性。网络安全和 AI 需要考虑很多因素。本文介绍了正确设置安全和隐私权的基础知识。

以下是关键安全开发流程的三个示例：

1. 良好的编程实践和全面的测试工作对于消除安全漏洞至关重要。这可以通过使用安全编码标准来实现。

2. 威胁建模和风险缓解是开发安全组件的关键。这可以通过进行危害和风险分析来实现。

3. 对构建/发布环境的控制是防止黑客入侵和保持构建安全的关键。这可以通过 CI/CD 环境中的访问控制来实现。

2. 将自动化应用于设计、验证和确认

人工智能。机器学习。自动驾驶汽车。汽车软件开发人员在努力生产安全软件时需要担心很多事情。

将自动化应用于设计、验证和确认流程可以提高开发团队的效率。

SOTIF （ISO 21448） 给出了以下示例（前面列出）：

• 设计测量示例： 包括对传感器性能的要求。

• 验证措施示例：包括场景覆盖率高的测试用例。

• 验证度量示例： 包括模拟。

使用需求管理工具可以帮助您满足传感器性能的要求。这有助于汽车嵌入式软件的设计更安全。

使用测试用例管理工具可以帮助您确保不同场景的高度覆盖。这有助于软件验证。

使用静态分析工具可以帮助您模拟潜在的运行时场景。这有助于软件验证。

3. 符合功能安全标准

SOTIF （ISO 21448） 对于自动驾驶的功能安全非常重要。但遵守既定的功能安全标准仍然很重要，尤其是 ISO 26262。

ISO 21448 仍需要遵循最佳实践和基于 ISO 26262 的 ASIL 的建议，以确保自动驾驶汽车的软件安全。