量化评估SOTIF中不合理风险的方法

译文：量化评估SOTIF中不合理风险的方法
原文：On Quantification for SOTIF Validation ofAutomated Driving Systems
翻译：朱旭光、徐不不
审核：李莽

➡本文主要内容分为5个部分

自动驾驶系统是对安全至关重要的网络物理系统，如果没有基于适当证据的适当论证，就不能假定其预期功能（SOTIF）的安全性。因此，有关自动驾驶安全的标准和法规的最新进展都非常关注，如何证明这些系统的预期功能不会给利益相关者带来不合理的风险。在这项工作中，我们对 ISO 21448 标准进行了批判性分析，该标准包含关于如何证明 SOTIF 有效的要求和指导。重点在于制定一个统一的术语，作为使用定量验收标准时，后续验证策略定义的基础。从广义上讲，我们的目标是实现完善的风险分解，从而为自动驾驶系统的 SOTIF 提供严格的定量确认方法。

01 导言

确保自动驾驶系统（ADS）的安全运行是其广泛应用于公共交通的首要条件。最近，联合国出台了第 157 号法规，其中包含对自动车道保持系统（一种符合 SAE J3016 标准的自动驾驶系统）进行型式认证的要求。事实上，梅赛德斯-奔驰的 Drive Pilot 就是一种自动驾驶辅助系统，据制造商称，它已获得 2022 年在德国道路上使用的型式认可，同时符合联合国第 157 号法规的要求。例如，德国关于具有自动驾驶功能的机动车辆（AFGBV）的批准和运行法案也采用了该法规。

这种型式认证的一个方面是证明系统的安全性。为此，业界制定了 ISO 26262 和 ISO 21448 等标准。ISO 26262 关注的是功能安全，即项目不符合规格所产生的风险，而 ISO 21448 关注的是预期功能安全 (SOTIF），即规格本身所产生的风险。具体而言，联合国第 157 号条例的一项要求如下：“[审核员/评估员]尤其应具备 ISO 21448 的审核员/评估员资格”。在德国，AFGBV 还要求评估系统安全是否符合最新技术水平。根据 AFGBV 的规定，符合 ISO 21448 标准是最先进安全评估的充分标准。因此，制造商和型式批准机构都必须将 SOTIF 视为基石。

为了实现 SOTIF，需要解决在所有可能的运行情况下规格的完整性和安全性问题。

一般来说，SOTIF 的发展是由于自动驾驶水平的不断提高，以及自动驾驶与普通交通参与者在开放环境下的互动，例如，由于在指定功能时没有正确考虑对抗性环境。因此，ISO 21448 于 2016 年启动，自 2019 年起作为规范公开发布，并于 2022 年 6 月最终发布。

因此，现在可以进行符合 ISO 21448 标准的安全案例验证，如上所述，这对于遵守联合国第 157 号法规至关重要。此外，通过至少部分定量验证，安全案例的严谨性也会大幅提高。因此，我们的研究问题是：ISO 21448 如何要求或建议进行定量 SOTIF 验证？归根结底，必须能够设计出符合标准要求的验证策略。这就需要对 ISO 21448 进行严格研究。据我们所知，这项工作是首次以此类调查为主题开展的。为了全面了解该标准如何处理与风险相关的数量、验收标准和验证目标，我们详细分析了各自的定义、它们之间的关系以及该标准中规范性和信息性的 SOTIF 验证方面。具体而言，我们：

1) 深入研究术语风险框架以及 ISO 21448 中关于 SOTIF 验证的相关规范和信息部分，

2) 批判性地讨论其中哪些内容不足以实施符合要求的定量 SOTIF 验证方法，以及

3) 提供建设性的改进建议。

传统上，我们在第 II 部分讨论相关工作。我们将在第 III 部分继续研究和讨论术语风险框架，并在第 IV 部分讨论定量验证的各个方面。第V部分总结。

02 相关工作

一直以来，汽车行业的主动安全特性评估主要考虑的是手动驾驶车辆的功能安全，即项目故障引起的风险。在这方面，ISO 26262 是最主要的依据。它围绕风险暴露、可控性和严重性确定了一个术语风险框架。这些要素可以量化评估，然后按离散等级分类，如 Krampe 和 Junge 对严重性的评估。

在向更高自动化水平迈进时，规格本身产生的风险变得更加重要，因此需要对相关安全方面进行严格量化。为此，有一些方法可以实现 ISO 21448 提出的再要求。之前在 PEGASUS中开展的工作旨在通过估计触发环境条件的发生概率来量化暴露度。

Chia 等人对自动驾驶风险评估方法进行了全面调查。其中，作者根据风险评估方法的特性对其进行了分类，包括定性方法还是定量方法，以及是否涉及功能安全、SOTIF 或都涉及。与上述调查报告不同的是，这项工作旨在使 ISO 21448 本身更加成熟，以适用于此类定量方法。Zhu 等人提出了系统识别 SOTIF 触发条件作为其主要贡献，他们已经发现了其中的一些不一致之处，并随后使用了他们自己改编的定义。我们还要提到 Saberi 等人的工作，他们在 ISO 21448 标准仍在制定过程中，就非预期功能导致的突发行为对 ISO 26262/21448 标准的适用性提出了质疑。

关于自动变送器的风险量化，de Gelder 等人提出了一种相关的方法。他们按照 ISO 26262 标准，将与情景类别相关的风险建模为暴露、严重性和可控性概率分布预期值的乘积。在他们的案例研究中，情景类别的暴露程度是通过让有经验的人类驾驶员按照规定路线行驶而获得的真实世界数据估算出来的，而严重程度和可控性的预期值则是通过模拟估算出来的。关于 ISO 21448，他们在模拟中加入了两个触发条件，但没有考虑其发生概率。尽管情景等级的暴露不可能独立于 ADS，其可控性建模和模拟的有效性也值得商榷，但目前的工作受到了为 SOTIF 建立严格的定量风险模型这一想法的启发。

Buerkeleet 等人提出的另一种方法是根据感知失灵和环境危害的相互影响来估算伤害概率。

显然，其他领域也在研究风险量化问题。在元层面上，ISO/IEC 指南 51 为标准制定者提供了（理论上的）建议。对于单独领域的系统安全，Ericson 提出了一个著名的危险分析框架。在铁路和航空领域，Filip 等人试图将安全量化框架应用于 ADS。在民用航空领域，已有全面的风险评估程序，涉及功能安全和与 SOTIF 类似的主题。整体安全流程由 ARP4754A确定，并由 ARP4761 加以补充。后者就如何执行安全分析、生成必要的证据以及在飞机层面对故障情况（FC）进行整体安全论证提供了具体指导。

这些最高级别的故障情况被分为五个严重程度类别：无安全影响、轻微、严重、危险和灾难性。对于重大及以上的 FC，确定了量化安全目标（例如，灾难性故障情况的故障率必须小于 10-9/h）。

03 ISO 21448 的术语框架

为了理解量化在 ISO 21448 论证框架中的作用，最重要的是了解该标准的基本术语及其用法。ISO 21448 的术语和定义主要采用了 ISO 26262-1 中的术语和定义，并对其第 3 条进行了补充。图 1 描述了 ISO 21448 所建议的与量化相关的术语定义是如何相互依赖以及术语的起源。

A. 事实分析

ISO 21448 的主要目标是确保 SOTIF，即“不存在因[某些特定]危险而造成的不合理风险”。因此，要理解这一意图，就必须了解风险和危害这两个术语在 ISO 21448 标准中是如何应用的。

风险一词在 ISO 26262 中已有定义。其定义为 “发生危害的概率和危害的严重程度的组合”，ISO 21448 采用了这一定义。它是在 ISO 26262 将 “伤害 ”定义为 “对人的身体伤害或健康损害”的基础上发展而来的。我们要注意的是，ISO 26262 对危害的定义仅指对人身的损害，不包括对财产的损害，这与 ISO/IEC 指南 51 等其他标准不同。除危害外，风险还基于严重性一词，严重性被定义为 “在潜在危险事件中对一个或多个个体可能造成的危害程度的估计”。因此，严重性不仅取决于伤害，还取决于危险事件。

危险事件一词有歧义，ISO 21448 的读者有两种解释：

i) 参考 ISO 21448 将事件定义为 “在某个时间点上发生的事件”，或

ii) 采用 ISO 26262 将危险事件定义为 “危险与运行状况的结合”。

在 i) 中，形容词 “危险 ”的含义不明确。ISO 21448 的图 1、图 4、图 12 和图 13 将危险事件描述为危险与 "包含危险可能导致伤害的条件的情景 "相结合的结果，但省略了明确的定义。

方案 ii) 并没有将危险事件限制在一个时间点上，而是以运行状况为基础，即 “在车辆寿命期间可能发生的情景”。然而，ISO 26262 并没有定义 “情景”一词。事实上，ISO 21448 将场景定义为 “描述一系列场景中若干场景之间的时间关系，这些场景在特定情况下具有目标和价值，并受到行动和事件的影响”。但这一定义与 ISO 26262 中的操作情境并不一致。此外，“情况”一词仍未确定。

图1 ISO 21448 中与风险评估相关的定义关系，从术语 A 到 B 的边表示 A 被用于 B 的定义中

涉及 i) 和 ii) 的另一个问题是危险的定义。ISO 26262 将 “危险 ”定义为 “物品故障行为造成的潜在伤害源”，但这一定义仅限于其范围，而 “潜在伤害源 ”的一般定义与 ISO/IEC 指南 51 一致。ISO 21448 引入了自己的定义，将建议的故障原因改为“由车辆层面的危险行为引起”。要理解 ISO 21448 和 26262 对危险的定义之间的关系，就必须理解 “危险行为 ”一词。尽管 ISO 21448 标准中经常使用危险行为，但这两个标准都没有对其进行定义。

除危险外，其他术语也建立在危险行为的基础上，即触发条件（“情景的规格条件，作为随后系统反应的启动器，导致危险行为或无法防止或检测和减轻可合理预见的间接滥用”）、性能缺陷和规格缺陷（“导致技术能力限制”，以及 “可能不完整的规格，导致危险行为或无法防止或检测和减轻可合理预见的间接滥用”）。和 “规格可能不完整，导致危险行为或无法防止或检测和减轻在一个或多个触发条件下启动时可合理预见的间接滥用”。这些定义与 ISO 21448 图 1、3、4、12 和 13 的观点相结合，将危险行为描述为可能导致危险的行为，由功能缺陷（“规格缺陷或性能缺陷”）引起，并由至少一个触发条件激活。然而，这并不能构成一个定义，因为使用危险、触发条件和功能缺陷会导致循环引用：它们的定义已经建立在危险行为之上。

这些模糊性通过危险行为、情景和危险事件等术语的定义传播开来。特别是，风险、危险和功能缺陷等术语也受到影响。因此，即使是 SOTIF（“由于功能缺陷造成的危害而导致的不合理风险的缺失”）一词也不适用。而预期功能被定义为 “规格化功能”。

这也会影响到所应用的风险分类方案。ISO 21448 继承了 ISO 26262 中的术语，将风险分为严重性（如前所述）、暴露度（“如果与所分析的失效模式共同发生事故，则处于可能造成危险的运行状态”）和可控性（“通过相关人员的及时反应，可能在外部措施的支持下，避免特定伤害或损害的能力”）。暴露一词受到有关在操作情况下使用情景的问题的影响。

ISO 21448 并未调整暴露的定义，但在图 12 和图 13 中未包含运行状况一词。相反，“暴露”被表示为 “包含危险可能导致伤害的条件的情景”的特征。这些图还引入了“发生”这一导致风险的第四个因素。它表示为“包含触发条件的情景的特征，会导致危险行为。其文字描述为 “在功能运行阶段遇到触发条件的概率”。然而，ISO 21448 和 ISO 26262 均未给出该术语的定义。

其他与风险有关的术语也受到危险行为、情景和危险事件模糊性的影响，如建立在风险基础上的接受标准（“代表没有不合理风险水平的标准”），或建立在接受标准基础上的验证目标（“证明符合接受标准的价值”）。请注意，风险和验收标准仅指危害。然而，在 ISO 21448 的论证框架中，风险和接受标准这两个术语也用于其他场合，它们指的是危险行为（在给定情景下、预期功能、危害（在给定情景下）或危险事件。

同样，ISO 21448 也未对这两个术语在这些情况下的应用做出规定。

B. 批判性辩论和建设性建议

上一节揭示了 ISO 21448 标准术语中的各种缺陷，这些缺陷甚至导致其核心目标 SOTIF 的定义不清。对于认证而言，定量的、经验性的风险评估可能是有益的。但要进行符合标准的量化，就必须清楚地了解什么是风险。因此，在继续分析 SOTIF 的定量验证之前，我们要解决这些术语上的歧义。特别是，我们将讨论 “发生”、“危险/危险行为”、“情景”、“危险事件”、“暴露 ”和 “可控性 ”等术语。由于我们只关注实现 ISO 21448 术语的内部一致性，我们的建议可能与其他统一的风险术语不同，例如在 VVM 项目中开发的术语。由于这些术语旨在实现外部统一，因此适用范围更广。

a) 发生：ISO 21448 没有对触发条件的发生进行定义，但它对 “整体风险 ”有影响。我们的建议是直接采用 ISO 21448 第 6.3 条中的描述：

定义 1（触发条件的发生）：在功能运行阶段遇到触发条件的概率。

b) 危险/危险行为：尽管 ISO 21448 中的一些核心术语以危险行为为基础，但并未对该术语进行定义。如上文所述，根据危险行为的原因或潜在后果来定义危险行为会导致循环引用。为了解决这个问题，我们建议对危害、危险、危险行为、触发条件和功能缺陷等术语进行递归定义，并以危害作为递归的基础。因此，与 ISO 21448 不同，我们建议使用 ISO/IEC 指南 51中给出的、ISO 26262中指出的危害的一般定义，该定义仅以危害为基础。此外，我们还提出了以下危险行为定义：

定义 2（危险行为）：可能导致危害的功能行为。

通过这两项调整，包括触发条件和功能缺陷在内的整个链条都得到了很好的定义。请注意，ISO 21448 以及本工作的其余部分仅关注 “预期功能的功能缺陷导致的危害”。

c) 情景：由于 “情景 ”一词是基于情景的最新技术的核心，因此其明确定义至关重要。如上图所示，ISO 21448 的定义依赖于 “情景 ”一词，而 “情景 ”一词同样没有明确定义。值得注意的是，Ulbrich 等人的原始定义并非基于情况。为了解决这个问题，我们建议要么逐字逐句地使用最初的定义，要么明确引用Ulbrich 等人提供的定义。

d) 危险事件：危险事件的主要问题在于它源于 ISO 26262 标准，而 ISO 26262 标准所使用的术语在这两个标准中不一定相同。一般来说，我们认为 ISO 21448 标准第 3 条应明确列出或注释这些术语，同时提及适用的基本术语。就危险事件而言，如第 III-A 小节所述，这涉及到危险和运行状况这两个术语。此外，ISO 21448 将 “事件 ”明确定义为 “在某一时刻发生的情况”，该术语也包含在危险事件中。然而，由于危险事件的定义既没有建立在事件一词的基础上，也没有明确限制在一个时间点上，因此是否可以将危险事件理解为措辞中隐含的一种特殊事件仍不清楚。为了实现术语的一致性，我们建议将事件一词纳入危险事件的定义中，从而将危险事件限定为一个时间点。此外，我们还采用了情景（ISO 21448）的定义，而不是依赖于运行场景（ISO 26262），以及危险（ISO/IEC 指南 51）的定义。

定义 3（危害事件）：事件是危害和运行场景的组合，包含危险可能导致伤害的条件。

请注意，危险事件的定义会影响严重性、风险、SOTIF、验收标准和验证目标，而这些术语的定义都直接或间接地以危险事件为基础。因此，这一调整需要注释相应的参考资料。

e) 暴露：暴露受到与危险事件相同问题的影响，因为它建立在运行状况和情景之上。此外，它的定义明确涉及功能安全，将危险限制为仅由故障模式导致。由于 SOTIF 关注的是功能缺陷造成的危害，因此 ISO 21448 不能隐含地参照 ISO 26262 来确定暴露程度。因此，我们建议采用正确的危害类型定义：

定义 4（暴露）：处于某种情景中的状态，在该情景中，如果危险与分析中的危险行为（参见定义 2）同时发生，则可能导致伤害。

f) 可控性：ISO 26262 中适用的可控性定义考虑了相关人员的反应。据指出，这 “可能包括驾驶员、乘客或车辆外部附近的人员”。然而，自动驾驶辅助系统接管了驾驶和监控任务的主要部分，甚至可能需要安全功能，直到有后备操作员为止。由于 ISO 21448 号标准声称涵盖所有级别的自动驾驶，因此系统本身也应作为可控性的一个组成部分。

C. 示例

图2描述了ISO 21448风险模型的一个示例，已经适应了我们的术语更新。重点介绍了设计时引入的两个功能不足，分别影响了ADS的规划部分：第一个是性能不足，在技术上只能限制地观察前面车辆的负载;第二个是规定当前面车辆的负载下降时，规避策略不足。在运行时激活这些功能不足的触发条件是ads操作的车辆前面的卡车上分别存在的冰块。

在第一种情况下，产生的危险行为是一个未调整的距离。我们要强调的是，行为并不一定要主动执行。事实上，遗漏（如不调整速度或距离）构成了危险行为的重要部分。这一行为直接导致单一危险的距离未调整到前面的车辆。本例的第二部分将展示一个危险行为如何诱发多种危险。注意，与ISO 21448的例子相反，我们的例子没有将碰撞声明为危险。这可能在某些情况下是合理的，例如分析通过安全气囊和安全带的碰撞可控性。但在危害分析中，特别是对ADSs的行为安全性进行分析时，人们对不在因果链末端的危害感兴趣。因此，我们可以识别有效的可控性策略，如紧急制动，可以利用到冲击点。最后，我们注意到其他危险行为也可能导致这种典型危险，例如没有为侧挑战者提供足够的空间。

然而，未调整的距离可能不会直接对某些参与者构成危险，但如果前方车辆的负载开始下降，则会发生危险事件。最终，这一事件可能会导致冰块与ads操作的车辆碰撞，可能会对乘客造成伤害。

第二个触发条件是下落的冰块，因此等价于前一个例子中的场景约束。它可以导致ads执行回避策略，这不一定是危险的。虽然规避策略可以有效地减少风险，但这种行为也可能导致风险，如下所示：

i) 规避动作的执行方式对相邻车道上的车辆构成危险，或

Ii) 车辆开始危险地转向，对车内人员构成危险。

多重伤害是可能的。在第一种情况下，我们可以观察到由于与相邻车辆或冰块碰撞而造成的伤害（在这种情况下，基本的事故避免系统可以防止后面部分的规避操作以避免与相邻车辆碰撞）。在第二种情况下，转弯可能会因侧翻或与迎面而来的车辆相撞而导致受伤。

在这个例子中，这引出了一个明确定义的风险分解:从确定危害的严重程度开始，这些危害在各自的危险事件之后可以控制，反过来又暴露于危险的结果。这种暴露是由其触发条件的发生决定的。

D. 关于术语的最后评论

本节至少修正了以前发现的不一致，从而使ISO 21448建议或要求的定量验证策略有良好基础的后续分析成为可能。尽管如此，即使关于风险量化的术语结构在内部是一致的，开放的问题仍然存在。例如，与其他标准的外部一致性是可取的，但在许多情况下很难实现。这涉及到损害的定义，ISO 26262明确排除了环境和财产损害，这随后被ISO 21448采用。然而，其他安全标准，如ISO/IEC指南51，认为更广泛的定义可能适用，表明了从功能安全采用的基本原理是必要的。此外，一个内部甚至潜在的外部一致的术语并不能确保它实际上是合理和有用的。例如，预期的功能被视为指定功能的同义词，因此SOTIF只关心规范的安全性。显然，社会的要求、工程师的意图，其结果规范可能各不相同。

04 使用定量验收标准对sotif进行验证

在本节中，我们分析了ISO 21448提供的框架，以便检查SOTIF在使用定量验收标准时可以如何演示。进一步，我们讨论了基于ISO 21448信息性部分的一个具体例子，从量化接受标准中推导验证目标。我们以上一节调整后的术语为基础，提出了一些建设性的建议，补充了这些讨论。

A. SOTIF的定量评价

我们首先检查了ISO 21448关于SOTIF定量评估的规范性部分，即条款6、7和9。

a）事实分析：按照ISO 21448的建议，SOTIF的评估从最初的定性风险评估开始。在ISO 21448的第6条中，认为ISO 26262和ISO 21448之间存在着重要的相似之处，关键术语保持不变。该标准中没有使用ASIL分类，但考虑严重性、暴露性和可控性的思想延续了ISO 26262的思想。与ASIL不同，严重性和可控性被视为二值变量，用于选择sotifs相关的危险事件，声称唯一的相关信息是它们是否为零。对危害严重程度和危害事件可控性的估计参考ISO 26262-3-6。风险评估中不考虑暴露。如果对危险事件的严重性或可控性的评估为零，则必须有充分的证据证明。

否则，必须制定验收标准，该标准将在第7条中进一步处理。最后，给出了定量接受标准制定的某些有效依据，包括GAMAB（globalement au moins aussi bon）、PRB （positive risk balance）、ALARP（as low as possible possible）和MEM（minimal endogenous死亡率）。

图2 ISO 21448术语风险框架的建议更新示例

在第7条中，ISO 21448要求使用专家知识对潜在的功能不足和相关的触发条件进行系统的定性或定量分析，可能采用归纳、演绎或探索性方法支持。在此过程之后，ISO 21448要求对包含已识别触发条件的场景进行评估，以证明SOTIF是可实现的。如果“导致危险事件的系统剩余风险显示低于接受标准……”并且目前还没有已知的情景会导致特定道路使用者的不合理风险。

在第9条中，ISO 21448阐明了验证目标的相关性，以论证验收标准是满足的，以及提供这些验证目标满足证据的策略的必要性。必须为每个方法相关的验证目标分配适当的工作和基本原理。为了减少这种验证工作，建议考虑暴露性、可控性和严重性。

b）批判性辩论和建设性建议:首先，我们要注意到，与航空航天标准、UL 4600或ISO 26262相比，ISO 21448的规范部分的要求相当少（使用“应”的陈述）。对于每个条款，“应该”——陈述仅限于“目标”——非常抽象和不具体的小节。特别是第6、7、9条中没有一条要求对风险进行量化:所有风险都可以进行定性评估。虽然在概念阶段进行定性风险评估是合理的，但我们质疑完全忽略暴露并降低二元变量的可控性和严重性的决定。首先，确定了有关C = 0（"一般可控"）和S = 0（"无结果伤害"）语义的问题，因为C = 0只需要"一般"可控性。因此，在给定危险事件的情况下，它允许危害的概率很低，但不一定为零，这与S = 0的尖锐边界形成了对比。此外，这个明确的定义导致了一个（相当理论性的）问题，即S = 0不适用于任何已识别的危害，因为根据定义，危害导致危害的概率非零。定义S = 0为“一般无害”可以避免这个问题。

虽然直观地说，ADSs的安全性验证需要更严格的风险评估，但与ISO 26262的ASIL分类相比，ISO 21448第6.4条的建议可以被视为一种回归。为什么排除E和对C和S进行二进制计算就足够了，这完全没有一个一般的推理。我们认为这种相对重大的改变必须有理由。

另一个主要问题是条款6.5中对剩余风险接受标准的规范，这是条款9中定义验证和确认策略的基石。再次，ISO 21448允许定性和定量的接受标准，但同时大力提倡定量的接受标准（GAMAB, PRB, ALARP, MEM）为例。然而，验证附加在危害上的定量接受标准，例如P（危害）≤10-x/h的形式，立即需要对剩余风险进行定量评估，这再次需要对风险相关成分进行定量评估（或至少估计）。

一旦确定了剩余风险的量化接受标准，就可以从中得出验证目标。由于验证目标并不附属于风险分解的某一部分，参见，因此可以根据危害程度，也可以根据危险行为，甚至触发条件来定义验证目标。众所周知，直接基于里程的方法来验证毁伤概率上限对于ADSs来说是不可行的，因此需要进一步分解与毁伤相关的目标来减少验证的工作量。由不等式（2）和不等式（3）给出了合理的风险分解建议，并将在未来推广。

B. 定量验证目标的推导

在讨论了这些规范性方面之后，我们现在考虑关于定量验证目标推导的信息性部分，即附件C.2和部分C.3。

a）事实分析:ISO 21448的附录C.2提供了一个从给定的定量接受标准推导验证目标的例子，以减少验证工作。在本例中，验证目标与危险行为相关联，并注意到，根据第6条，每个危险行为都与一个接受标准相关联。假设，对于导致危害H的已识别事件，接受标准AH 以“既定方法”确定的比率给出。基于此，提出将AH 分解为：

在讨论了定量验证目标的建议推导的这三个主要问题-即，条件的正确使用，多种危险行为的缺失聚合以及对系统独立性的假设-我们现在建设性地提出了一种更通用的方法。它修复了上述问题，同时采用了使用条件概率的想法。可接受标准通常被指定为一般危害可能性的上限，或与（最小）严重程度相结合的危害可能性的上限在ISO 21448的例子中，对于给定危害的每个严重程度，甚至可以有不同的接受标准。为了分解这种可接受标准，第三节中提出的因果链通过考虑危害事件、危险行为和导致危害的触发条件来分解危害的可能性。让我们注意到，这一因果链的许多其他分割事件是可以想象的，作为这种分解的基础。例如，可以完全省略危险行为，或者可以包括一系列相互建立的危险事件。

设HH , EE , BB 和TT分别描述与危害H、危险事件E、危险行为B和触发条件T的发生相关的事件。进一步，让E、B和T描述所有已知的可能导致所考虑的危害H的危险事件、危险行为和触发条件的集合。假设H仅仅是由一个危险事件、一个危险行为和一个触发条件组成的确定的三重事件的结果，我们建议应用Bonferroni不等式并结合对条件概率的分解来推导H的概率的上界：

这些不等式中给出的上界可用于验证目标的推导。我们注意到不等式（2）和（3）可能太不准确了。在这种情况下，可以应用纳入-排除标准，尽管这需要更多的验证工作，因为会出现额外的术语，参见Gelder等人。如果只存在危害事件、危害行为和导致危害H的触发条件的一个元组，则不等式（3）的右侧化简为类似于式（1）的分解项。但一般情况下，不等式（2）和（3）中的聚合不能省略，如例所示。因此，验证目标的估计需要推导不同求和的上界。

此外，必须注意的是，一般来说，不等式（2）和（3）中的所有概率都取决于系统，正如等式（1）中已经讨论过的那样。因此，推导单个验证目标是不够的。为了证明满足验收标准而插入的每一个值都需要一个系统相关的验证，或者至少需要一些为什么可以省略它的理由。研究如何获得和验证不同的概率，以及评估哪些概率是特定验证策略的良好候选，例如使用模拟，仍然是未来的研究。

c）示例：图2中调整后的风险模型的示例说明了等式（1）中关于上面讨论的缺失聚合和错误的系统独立性假设的问题。为此，图2描绘了两种不同的触发条件、危险行为和导致ads操作车辆（H1）与冰板碰撞造成人身伤害的危险事件（H1）。假设存在H1的定量接受标准，在从接受标准导出验证目标时，需要结合起来。

此外，导致H1的危险事件需要在另一条车道上的车辆前面分别存在一辆卡车。这些事件的发生取决于被调查防空系统的作战设计域（ODD）以及该系统在其作战设计域内的战略决策。例如，如果ADS只能部署在另一辆车后面，或者如果它的ODD仅限于交通堵塞，那么前面卡车出现的可能性就会增加——即使是对高速公路路线的偏好也会对这种可能性产生影响。因此，在这种情况下，给定危险行为的危险事件暴露不是系统无关的。

05 结论及未来工作

在这项工作中，我们总结了对ISO 21448的术语和量化指南进行深入研究的结果，特别是关于SAE三级或以上自动驾驶的验证策略。这些考虑分为事实分析，然后是批评性辩论和建设性建议。首先，一致的术语是严格量化的先决条件，我们提供了微创性的建议，以改进ISO 21448使用的术语。其次，基于这些改进，我们严格审查了ISO 21448关于SOTIF量化的指导，特别关注验收标准和验证目标的推导。最后，建议的风险分解应被视为未来工作的理论基础。

为此，作者的目的是改进所提出的风险分解位置，使所涉及的数量在原则上是定义良好的和可估计的。通过研究真实世界的数据或模拟方法，对这些与风险相关的数量和相关的估计方法进行彻底的分析，似乎是对SOTIF，特别是对ADSs，进行合理量化所不可或缺的。

END

免责声明：如涉及侵权请及时与我们联系反馈，我们会在第一时间做更正声明或做删除处理。文章版权及解释权归原作者及发布单位所有，如需转载或引用本文的任何内容，请注明出处。

作者：SASETECH
文章来源：sasetech

推荐阅读

更多物联网安全，PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信（id:aijishu20)加入PSA技术交流群，请备注研究方向。