前沿 | 将系统工程流水线应用到SOTIF的方法

*本文来自轩辕实验室王子维的研究成果和学习笔记

文章介绍了一种使用系统工程流水线来应用SOTIF的方法，可以将SOTIF与功能开发相结合，接下来将从以下四个部分逐一介绍：

·MBSE

·系统工程流水线

·使用STPA进行SOTIF分析

·使用系统工程流水线进行SOTIF分析

 

MBSE:基于模型的系统工程方法取代了低效的基于文本的系统工程方法，使用SysML建模语言（https://blog.csdn.net/lyalong0616/article/details/89433090），可以在模型中追踪各种元素。

 

系统工程流水线：该方法与V模型不同，每一个抽象级别都包含集成和测试，因此迭代周期可以在多个级别上并发进行。优点：可以预先验证，不需要等待详细设计并有物理原型后再开始验证。    

使用STPA进行SOTIF分析：STPA只找到危险，使用HARA进行风险评估。

SOTIF的STPA步骤：

·识别危险

·将危险作为系统安全的目标

·对控制结构进行建模

·识别出每个控制器的不良操作

·定义安全要求以限制每个不期望的安全措施

·对于每个不期望的控制操作，识别与危险场景相关的工艺缺陷

·确定与工艺缺陷相关的具体因素

·确定安全要求或设计措施以减轻缺陷

 

使用系统工程流水线进行SOTIF分析：举了自动制动系统的例子进行具体分析，介绍了每个SOTIF进程应用于哪个抽象级别，与对应的操作。

第一步进行危险识别，用HARA输出具有相关风险水平和相关危险的安全目标，再使用STPA方法确定制动系统的不良控制动作（Undesired Control Actions,UCA）。STPA贯穿了从概念到实现的全过程，如图：

根据STPA指南鉴别出的UCA如表1所示（共四种危险动作）：

 

表2描述了任何由UCA导致的具体危险和对应的HARA的相应的危险和相应的安全目标，如图：

 

下一步是鉴别和评估触发事件：

 

 表3描述了事故场景的问题、相应的UCA和可能的导致因素：

如果危险还是不可接受的，就在“功能修改以降低SOTIF风险”过程步骤来限制或修改设计。STPA将继续迭代（循环上面的步骤），直到可接受。这里举了人类驾驶员进行制动的例子，像前三张表格一样分析了其中的UCA、由UCA导致的具体危险和对应的HARA的相应的危险和相应的安全目标、事故场景的问题、相应的关联UCA和可能的导致因素

一旦触发事件是可接受的，就开始验证阶段，在该阶段确定覆盖率，并评估系统和控制机制是否足够在预期的情况下降低风险。如果没有实现或发现了新的危险，则开始另一个迭代。

SOTIF的验证跨越了所有步骤，因为测试场景涵盖了所有方面。可以使用XIL、MIL 、SIL、HIL进行测试。

最后一步是SOTIF的确认，识别任何其他未知的危险场景。

原文始发于微信公众号（轩辕实验室）：前沿 | 将系统工程流水线应用到SOTIF的方法