预期功能安全标准：SOTIF适用系统的验证

*注：本文由轩辕实验室翻译自国际标准ISO 21448 附录C，版权归轩辕实验室所有

系统的技术限制可能是SOTIF出现问题的重要根源。本附件介绍了图9区域3的验证活动。介绍了推导验证目标的概念。

对于SOTIF，验证可以包括在各种运行条件下测试车辆。它可能是SIL，HIL和实际操作条件的混合。它可能包含一些结构化测试，专用分析和仿真，但是关键方面（尤其是对于区域3而言）是在足够随机的操作条件下进行充分的测试，以暴露未知的不安全场景。

预计适用于SOTIF的系统的典型车辆软件开发将具有每意外行为平均时数或公里数的历史轨迹，如图C.1所示。随着软件的测试和意外行为的消除，意外行为之间的平均距离有望增加。但是，随着新特性/功能的引入或启用，随着新特性/功能引入的错误得到解决，每个意外行为的平均小时数或公里数可能会下降然后上升。最终，对于指定的用例和功能达到了验证目标阈值，并且可以认为满足了验证活动。

1：实施新功能          Y：每个意外行为的平均公里数

2：验证目标             a：特性/功能完备

X：开发时间             b：符合验证标准

  图C.1 开发过程中意外行为发生率的预期状况

例如，在测试之前，项目所有者指定以下内容：

1）验证目标（停止规则）。

2）测试模式，实际测试，HIL，SIL等之间的权重

3）确认意外行为的定义，重新启动距离计数器的标准。

验证适用于SOTIF的系统的过程始于选择验证目标（请参阅6.5）。可以根据系统用例（例如辅助停车，自动紧急制动，车道保持，自动并行停车，低速自动停车场班车，高速公路自动驾驶仪，自动出租车），目标的碰撞统计数据和安全性来计算目标。

示例对于特定的用例，驾驶员在两次事件之间的平均里程为x公里。出于安全原因，指定了额外的余量y。所选SOTIF适用系统的验证目标是意外行为之间的x·y平均公里数或目标事件发生率λ= 1 /（x·y）。停止规则假定事件具有泊松分布。如果有τ数量的驾驶没有意外行为，则系统可以证明事件发生率大于或等于λ，置信度a，其中τ由公式（C.1）给出：

注释1：τ可以以时间或距离为单位，具体取决于入射率的单位。

注释2：对于α = 0,63，τ = 1 / h。

在实践中，τ，需要行驶的验证公里数或小时数可能很大，因此在某些情况下不可行。通过使用具有类似系统的专业知识以及MIL，SIL和HIL模拟的公里数，可以减少现实世界中的驾驶需求。可以指定实际公里数与模拟公里数之间的可接受范围。真实世界和模拟验证测试条件要尽可能多地变化（例如，不同的天气条件，一天中的时间，道路条件，交通条件，行人条件等），以尝试发现罕见的运行情况。对于ADAS功能，尤其是也可以通过考虑暴露于危险情况减少验证目标x*y。根据功能，可以通过使用公路数据收集中的数据来定量地计算暴露量。

指定了表征意外行为的标准。如果在测试的早期阶段遇到了问题，请务必小心。在这种情况下，证明了在相同的置信水平下，额外的测试量可能会大于τ（即大于以原始指标从零公里处重新开始）。