*注:本文由轩辕实验室翻译自国际标准ISO 21448 附录B,版权归轩辕实验室所有
本附件的目的是展示评估释放的SOTIF的示例(请参阅12.2和12.3)。该示例演示了一种基于已发布的交通事故统计数据的自动紧急制动系统(AEB)验证方法。选择试驾作为验证方法,使用统计方法和4步分析计算目标里程。这些步骤在本附件的各个子节中进行了描述(另请参见图B.1)。下面列出了步骤列表,并为每个步骤制定了其部分目标。
1)分区系统故障
•对于目标系统,确定可能导致由次优模型边界定义引起的危险事件的参数
• 阐明SOTIF危险事件与这些参数的组合之间的关系
2)危险事件建模
• 考虑引起系统性能限制的代表性参数
• 对危险事件的场景进行建模
• 使用派生的方案评估所选参数对危害概率的影响
3)流量统计分析
• 确定与上一步得出的方案相关的统计变量
• 计算每种危险情况下的发生概率
• 使用基于危险情景模型的统计模拟计算目标验证里程
4)定义测试方案
• 根据与误报率有关的任务配置文件选择目标验证测试方案
注1:本附件与区域3“未知的不安全情况”有关(见图7)。减少第2区“已知的不安全情景”中的风险(第7条)并完成对SOTIF(第10条)区域的验证的措施,这些措施估计在生产车辆部署之前执行,本附件未涵盖。:
注2:本附件基于介绍。
对制动系统具有一定权限的车辆控制系统(例如AEB)可能会因错误的致动而使驾驶员或其他道路使用者面临危险。错误地识别驾驶场景可能会导致紧急制动,从而在不需要时使车辆完全停止。
一些用于对象识别的ADAS算法(例如贝叶斯估计器,神经网络)受性能限制导致的故障影响——一组与ISO 26262:2018系列中定义的故障不同的故障。
对于AEB系统以及其他ADAS功能,危险事件的原因可以分为三类:
1)违反安全目标的硬件故障(随机的和系统的)可以通过应用ISO 26262-5进行控制;
2)违反安全目标的系统软件故障可以通过应用ISO 26262-6进行控制;
3)由于性能限制而导致的意外行为。
由于性能限制而导致的意外行为可能会导致违反安全性。可以在ISO26262-3:2018 HARA中识别这些违规情况(例如,由于意外的AEB致动而导致崩溃)。但是,根据ISO 26262-3进行的安全性分析往往侧重于设计失败(上面列举中的点1和2)。本文档可以考虑其他危险源,例如合理可预见的滥用行为,作为系统潜在危险行为的触发事件。
AEB系统行为可以通过以下三个参数在很高的水平上建模:
•存在概率,PE:我们对物体摆在我们面前的信心有多大?
• 碰撞概率,PC:我们与前方物体发生碰撞的可能性有多大?
• 碰撞时间,TTC:碰撞前剩余的时间。
当下列条件的结合成立时,系统命令激活AEB:存在的可能性超过给定的阈值,碰撞的可能性超过给定的阈值,并且碰撞时间(TTC)低于某个阈值。在数学上,这可以用以下方式编写:
安全违规与这些参数的组合之间的关系不是线性的。除上面系统中列出的参数外,它还可能取决于多个外部因素。
考虑一个能够以图B.2所示的减速配置文件并且在以下性能限制内执行AEB的系统:
• AEB系统根据移动物体命令以最大0,9 g的负加速度进行制动;
•制动上升时间视制动系统的预填充而定,并且限制为15m / s3;
• AEB功能可在5 km / h至80km / h之间使用;
• 允许速度最大降低50km / h;
• 传感器和制动系统中的安全机构将防止AEB指令在指定速度范围之外进行减速。
根据ISO 26262-3在HARA中确定了安全目标和相关的危险情景。
安全目标:应避免在设计意图内意外地进行AEB制动超过340毫秒危险情况—在专心驾驶的驾驶员无法感觉到需要AEB致动的情况下,AEB事件持续超过340毫秒。
实现危险场景的可能与SOTIF相关的原因包括,因次优模型边界定义导致的算法错误激活的AEB引发的追尾事故。可以将意外减速的危害建模为具有一阶效应的直线汽车跟随场景(见图B.3)[8]。
该方案基于以下假设:
• 两辆车以相同的速度行驶。
• 前后两车的间隔d具有已知的概率分布。
• 即使行驶状况不要求,第一个车辆的AEB也会启动紧急制动。
• 所有AEB制动事件均遵循图B.2中所示的制动曲线。
• 跟随驾驶员察觉到危险情况,并通过制动做出反应。反应时间具有已知的概率分布。
基于交通和响应时间分布中汽车之间的定义距离的蒙特卡洛模拟用于识别各种制动事件的结果。其中一些会导致碰撞。当发生意外的AEB激活时,结果很大程度上取决于车辆的速度。
仿真模型提供了导致冲突的意外AEB激活案例的百分比。模拟将起始速度v和碰撞时的差转速δv作为输入,而将导致碰撞的模拟百分比(输出的起始速度为v且碰撞时的差转速为δv)作为输出。由模型产生的依赖关系由公式[B.1]正式描述:
根据ISO26262-1:2018,HARA可以识别与ADAS功能相关的事故。对于AEB,假定与AEB功能相关的最常见事故是在跟车情况下的追尾(见图B.3)。为了确定追尾碰撞的最大可容忍(接受)发生率,进行了分析。低于现有发生率的比率被公众认为是可接受的。国家道路安全当局提供的交通统计数据可以概述事故现场的现有发生率,并按事故发生地的公布速度进行分类。数据提供者包括美国的NHTSA,法国的ONISR,日本的ITARDA,德国的BASt。除了道路安全的统计概述外,ONISR还提供了一个数据库,列出了法国所有导致人员伤亡的事故的精确特征(BAAC)。粒度相似的数据可从GIDAS研究(德国)获得。
流量统计可以提供以下数据:
• 现场的乘用车数量(N)。
• 每辆客车每年行驶的平均距离(K)。
• 每年在限速范围内的现场追尾次数v(Av)。
根据此信息,可以计算每个速度范围内两次碰撞之间的平均距离,请参阅公式(B.2)。采用保证系数Ca可以避免对目标确认行驶里程的估计过低(例如,由于合理制动造成的事故)。用于确定碰撞概率的模型的置信度可以足够保守,以至于不能保证对统计置信度的任何进一步考虑,例如:比70%的置信区间保守得多。但是,如果使用Ca因子,则可以添加进一步的统计置信度。
分析的目的是使车辆的最终用户不会遭受比没有配备AEB系统的车辆通常能接受的更高的追尾风险。假定使用AEB不会增加追尾事故以外类型事故的风险。
值CKT_v表示每个发布的速度限制间隔中系统的目标误报率。
注意:以上给出的目标只是一个概率性的理论目标,用于解释在决定将产品投放市场时可以容忍的风险。因此,即使达到这种可能性,当在实际市场中发生错误警报时,还需要另外考虑对策是否必要的判断。
将来自流量统计分析(B.2)的依赖项与Eormula [B.1]给出的模拟结果合并,并考虑δv的所有可行值(即|δv|<|v|),可以确定(相对于B.3中描述的性能)在每个发布的速度限制下需要收集/分析的数据公里数(Dkm),以验证系统行为对于SOTIF要求是否足够健壮:
注1:如果使用“灰箱”方法,则该体系结构包括具有独立逻辑的独立元素,从而可以显示某些统计独立性,然后可以考虑该独立性来评估该体系结构。可以减少每个独立元素的验证要求。考虑任何统计依赖性,例如如IEC 61508中的Beta因素。
注2:对于基于统计数据进行的所有计算和推论,要求使用行业标准的适当方法和置信度。
车辆任务配置文件可用于解决数据收集和验证策略以及公认国际标准中的可用数据。例如,图B.4显示了在各种道路上可观察到的速度区间。颜色编码显示了由于错误的AEB激活而导致追尾的可能性。有关“危险”速度范围的信息可用于解决AEB系统的数据收集问题。
注意以高于80 km / h的速度激活AEB的潜在行为违反了该项目的限制。例如,这可以通过ISO 26262-3中建议的外部措施来实现。
根据车辆任务概况和所需的性能,数据收集可以包括天气,一天中的时间和速度方面的各种驾驶条件。举个例子:
• 速度:主车辆速度可能与范围内的功能有关。对于此示例,不考虑超过80 km / h的速度。
• 天气条件:AEB系统可以根据一组典型的天气条件进行测试。这包括干燥,雾天,雪天,雨天,阴天等。
• 一天中的时间:根据传感器的类型,数据收集可以包括一天中的不同时间,例如夜晚,黄昏等。
另外,数据收集可以包括从传感器限制和特征特定限制的分析得出的相关驾驶情况。
表B.1给出了作为本示例主题的功能数据收集规范的示例。该规范可以基于天气,速度和其他参数的真实轮廓。一种替代方法建议选择与感兴趣的交通事故(例如所考虑示例的追尾)的概率增加相关的参数。外部参数与特定类型事故概率之间的关系可以通过统计分析找到。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论