SOTIF很快將會取代ISO 26262？為您詳細解讀SOTIF標準ISO/PAS 21448

根據MES模賽思對其全球客戶的問卷調查表明， 儘管有相當一部分的參與者（35%）認為SOTIF在功能安全相關係統開發方面顯示出了重要意義，SOTIF對於絕大部分參與者（79%）來說仍然陌生，目前絕大部分從業者仍然遵循ISO 26262功能安全標準進行開發。

為了更好的瞭解SOTIF ，我們需要回答SOTIF到底是什麼，與ISO 26262有什麼不同？SOTIF 如何影響開發過程，需要關注哪些內容，具有怎樣的開發流程和思路等問題

SOTIF的定義與適用範圍

SOTIF（預定功能安全）標準於2019年1月作為公開的規範釋出（ISO/PAS 21448），正式版預計將於2022年釋出，目前PAS版本共有29頁+23頁附件，重點關注SAE自動化1級和2級駕駛員輔助功能。

其不適用於“現有在釋出時已有可靠的設計、驗證和確認（V&V）措施系統的功能（如動態穩定控制（DSC）系統、安全氣囊等）”及“資訊保安方面的話題”

規範當中將SOTIF定義為 “不存在因預期功能不足或由於合理預見的人員誤操作而造成的危險”。

所謂“由系統的預期功能或效能限制引起的潛在危險行為，但是該系統又不存在ISO 26262系列中所述的故障。此類限制的例子包括：

• 功能無法正確理解情況和安全操作；這也包括使用機器學習演算法的功能；
• 功能對感測器輸入變化或不同環境條件的魯棒性不足

而“合理可預見的可能直接導致潛在的危險系統行為的誤用“，也被視為可能的直接導致SOTIF 相關危害的觸發事件

功能安全與預期功能安全

功能安全規範主要考慮EE系統本身失效所導致的危害事件，它關注EE體統內部。而作為對照，預期功能安全主要關注外部的因素導致的危害事件，如已知的系統限制、環境條件和可預見的誤用。以上觸發事件再結合系統本身弱點，如感測器、執行器和演算法，最終導致的危害事件。二者均會導致危害事件，但成因不同。

下面我們舉例說明觸發事件:

第一個例子車道保持輔助系統。車道保持系統透過攝像頭檢測前方車道線，如發現車輛太過靠近車道線，車道保持輔助系統則會接管，施加轉向扭矩。在特殊場景下，如高速公路施工路段，車道線被人為重新佈置，而車道保持輔助系統無法識別交叉車道標記，存在非預期的功能啟用，而駕駛員又無法及時接管車輛，從而引發危害事件。為了降低此種風險，功能規範有待完善，如新增附加規範，檢測駕駛員手是否有效握持方向盤，如檢測到脫離情況，馬上報警。

第二個例子是關於自動緊急制動系統AEB。AEB系統靠雷達檢測車距，在車距過於接近的情況下引發系統緊急制動。在特殊的道路條件下，如井蓋、隧道或飲料罐，雷達產生回波，系統可能將其誤讀為潛在障礙物，而造成錯誤的訊號識別而引發危害。

SOTIF方法論

SOTIF規範當中，將駕駛場景根據用例劃分為4類，已知安全場景（區域1），已知非安全場景（區域2），未知非安全場景（區域3）和未知安全場景（區域4）。在開發的初期，區域2和3可能因區域太大導致不可接受的剩餘風險，SOTIF的最終目標是評估區域2和3的SOTIF，並提供論述證明，證明區域2和3足夠小進而認為產生的剩餘風險可接受。而區域1則為最大化保持區。對於區域2，作為已知場景，其現有用例可以明確評估，可以透過SOTIF分析方法來保證這類場景的機率足夠低。比如說在必要的時候改進功能或限制功能使用，將相應的危險場景轉移至區域1。基本思想是透過安全分析識別出風險場景，針對風險場景開發對應策略再對已知場景搭建實施模擬環境或透過實車測試用例來進行測試，根據實驗結果最佳化系統設計。這與傳統V模型開發理念一致。區域3未知非安全場景應儘可能減少至可接受水平，將每個能檢測到的危險場景轉移到區域2當中。區域3的場景和相應用例可以透過行業最佳實踐或者其他方法，如透過方案設計、系統分析或專業實驗來進行評估，以此證明區域3足夠小。SOTIF規範目前對於區域3暫時沒有細節方法，寬泛地提到了兩個點：提高系統零部件功能的可信度和實車路試模擬測試資料積累。

更多關於SOTIF的內容，如具體場景示例、SOTIF活動流程、關於ISO 26262和21448可能的互動等內容，歡迎您訪問MES模賽思官網，觀看免費影片研討課。

關於MES模賽思：

模賽思軟體技術有限公司(Model Engineering Solutions，簡稱MES)是一家來自德國柏林的高科技軟體公司，專為軟體專案的質量保證提供解決方案。MES為客戶基於模型的軟體開發提供技術支援，使其符合IEC 61508、ISO 26262或ASPICE等行業標準。MES的主要客戶包括整車廠如戴姆勒、大眾、豐田和吉利等以及博世、西門子和三星等行業供應商。在汽車行業中，除少數幾家公司外，全球數十家頂尖製造商及供應商均在他們的開發環境中使用MES的解決方案。為支援其全球客戶，MES已在美國和中國建立了子公司，並與全球分銷商網路緊密合作。

MES的產品包括4種質量工具軟體：MES Model Examiner®、MES Test Manager®、MES Model & Refactor®和MES Quality Commander®，它們共同構成了一個工具鏈，全面保障基於模型的軟體開發過程中所有階段的質量。透過MES Jenkins Plugin，該工具鏈也可以在持續整合環境中使用。工具鏈主要應用平臺為MATLAB®Simulink®。除了MES質量工具外，MES測試中心和MES學院的專家們還為全球客戶提供關於質量保證和開發流程最佳化的定製諮詢服務及培訓課程。