文章介绍了一种使用系统工程流水线来应用SOTIF的方法,可以将SOTIF与功能开发相结合,接下来将从以下四个部分逐一介绍:
MBSE:基于模型的系统工程方法取代了低效的基于文本的系统工程方法,使用SysML建模语言(https://blog.csdn.net/lyalong0616/article/details/89433090),可以在模型中追踪各种元素。
系统工程流水线:该方法与V模型不同,每一个抽象级别都包含集成和测试,因此迭代周期可以在多个级别上并发进行。优点:可以预先验证,不需要等待详细设计并有物理原型后再开始验证。
使用STPA进行SOTIF分析:STPA只找到危险,使用HARA进行风险评估。
·对于每个不期望的控制操作,识别与危险场景相关的工艺缺陷
使用系统工程流水线进行SOTIF分析:举了自动制动系统的例子进行具体分析,介绍了每个SOTIF进程应用于哪个抽象级别,与对应的操作。
第一步进行危险识别,用HARA输出具有相关风险水平和相关危险的安全目标,再使用STPA方法确定制动系统的不良控制动作(Undesired Control Actions,UCA)。STPA贯穿了从概念到实现的全过程,如图:
根据STPA指南鉴别出的UCA如表1所示(共四种危险动作):
表2描述了任何由UCA导致的具体危险和对应的HARA的相应的危险和相应的安全目标,如图:
表3描述了事故场景的问题、相应的UCA和可能的导致因素:
如果危险还是不可接受的,就在“功能修改以降低SOTIF风险”过程步骤来限制或修改设计。STPA将继续迭代(循环上面的步骤),直到可接受。这里举了人类驾驶员进行制动的例子,像前三张表格一样分析了其中的UCA、由UCA导致的具体危险和对应的HARA的相应的危险和相应的安全目标、事故场景的问题、相应的关联UCA和可能的导致因素
一旦触发事件是可接受的,就开始验证阶段,在该阶段确定覆盖率,并评估系统和控制机制是否足够在预期的情况下降低风险。如果没有实现或发现了新的危险,则开始另一个迭代。
SOTIF的验证跨越了所有步骤,因为测试场景涵盖了所有方面。可以使用XIL、MIL 、SIL、HIL进行测试。
最后一步是SOTIF的确认,识别任何其他未知的危险场景。
![前沿 | 将系统工程流水线应用到SOTIF的方法 前沿 | 将系统工程流水线应用到SOTIF的方法]()
原文始发于微信公众号(轩辕实验室):前沿 | 将系统工程流水线应用到SOTIF的方法
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/583000.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论