GB/T 43267-2023 道路车辆 预期功能安全

GB/T 43267-2023 Road vehicles—Safety of the intended functionality

国家标准 中文简体 现行 页数:162页 | 格式:PDF

基本信息

标准号
GB/T 43267-2023
相关服务
标准类型
国家标准
标准状态
现行
中国标准分类号(CCS)
国际标准分类号(ICS)
发布日期
2023-11-27
实施日期
2023-11-27
发布单位/组织
国家市场监督管理总局、国家标准化管理委员会
归口单位
全国汽车标准化技术委员会(SAC/TC 114)
适用范围
本文件提供了用于确保预期功能安全(SOTIF)的通用论证框架和措施指南。预期功能安全指不存在因预期功能不足引起的危害而导致的不合理风险,功能不足包括:
a) 整车层面预期功能规范定义的不足;
b) 系统中电气/电子要素实现的规范定义不足或性能局限。
本文件为实现和保持SOTIF所需的适用的设计、验证和确认措施以及在运行阶段的活动提供指导。
本文件适用于依靠复杂传感器和处理算法进行态势感知且感知的正确性会对安全产生重要影响的预期功能,特别是紧急干预系统的功能和驾驶自动化等级为 L1~L5级的系统的相关功能。
本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子(E/E)系统的预期功能。
可合理预见的误用属于本文件的范围。此外,对于由远程用户操作或辅助车辆运行,或与后台通信可影响车辆决策的情况,如果可能导致安全危害,也属于本文件的范围。

发布历史

研制信息

起草单位:
中国汽车技术研究中心有限公司、中国第一汽车股份有限公司、华为技术有限公司、上海商汤临港智能科技有限公司、一汽-大众汽车有限公司、极氪汽车(宁波杭州湾新区)有限公司、上海机动车检测认证技术研究中心有限公司、蔚来汽车科技(安徽)有限公司、长城汽车股份有限公司、上海海拉电子有限公司、维宁尔(中国)电子有限公司、深圳市大疆卓见科技有限公司、北京航迹科技有限公司、中汽创智科技有限公司、大众汽车(中国)投资有限公司、博世汽车部件(苏州)有限公司、知行汽车科技(苏州)有限公司、北京地平线机器人技术研发有限公司、一汽解放汽车有限公司、北京车和家汽车科技有限公司、东软睿驰汽车技术(上海)有限公司、北京经纬恒润科技股份有限公司、东软集团股份有限公司、智马达汽车有限公司、岚图汽车科技有限公司、中车时代电动汽车股份有限公司、上海集度汽车有限公司、比亚迪汽车工业有限公司、泛亚汽车技术中心有限公司、宇通客车股份有限公司、合众新能源汽车有限公司、襄阳达安汽车检测中心有限公司、北京新能源汽车股份有限公司、中国长安汽车集团有限公司、广州汽车集团股份有限公司、亿咖通(湖北)技术有限公司、苏州博沃创新能源科技有限公司、重庆长安汽车软件科技有限公司、吉利汽车研究院(宁波)有限公司、上海禾赛科技有限公司、联合汽车电子有限公司、北京国家新能源汽车技术创新中心有限公司、北京百度智行科技有限公司、上海蔚来汽车有限公司
起草人:
李波、尚世亮、刘航、白晓宇、刘宇、付越、周林、王宇、王潇屹、张伟谦、王嘉浩、吴月翠、马婷、余建业、韩文淏、刘辉、付朝英、陈锐、张刘杨、戎辉、马凯、曲元宁、宋炜瑾、杨虎、余波、张立君、王方方、闻继伟、陈伟、高建勇、李春林、钱坤、谢玉录、李勇、李鸿鹏、郑彤、夏显召、张宏伟、陈义礼、张立、李珍珍、刘发彪、李桂兰、高海龙、王海川、邵海贺、付郁涵、郭魁元、石娟、梁瑜、郭晓东、赵金富、陈勇、周宏伟、王建斌、任夏楠、赵鑫、郑岩、李兆麟、贾元辉、徐大伟、黄毅
出版信息:
页数:162页 | 字数:316 千字 | 开本: 大16开

内容描述

ICS43.040

CCST35

中华人民共和国国家标准

GB/T43267-2023

道路车辆预期功能安全

Roadvehicles-Safetyoftheintendedfunctionality

(ISO21448:2022,MOD)

2023-11-27发布2023-11-27实施

国家市场监督管理总局申+

国家标准化管理委员会但叩

GB/T43267-2023

目次

前言............….........…….........……......…·…….v

引言…………·..……W

1他阴-

2去见他性寻IJ割文件……………·

3术语和定义………........……··

<I预期功能安全活动概述和l组织………………............9

4.11证述…………………….9

12预期功能安全的原理………………9

43本文件的使用………………………13

4.4预期功能安全活动管理和支持过程…··.........……M

5规范定义和设计··...................…………….……..16

5.1目的…………………….16

52功能规范的定义和对设川的考虑…………………16

53系统设计和架构的考虑….........……·………........……......……….17

5.4性能局限和应对捕施的考虑…………….18

5.5了作成果………………·…………19

6危害的识圳和评估……………….……..19

6.1自的…………………19

6.2概述……………………...............”

6.3危窑识别…………………….19

61风险评估……………·…………..21

65残余风险接受准则的定义…………22

6.6工作成果……………23

7浴在功能不足和潜在触发条件的识别与评估……··……………….23

7.1目的…………………….23

72概述………………·……………………21

73浴在功能不足与触发条件的分析…………………21

7.4预估系统对触发条件的响应的可接受性…….........………......……….28

7.5工作成果…………··……………….28

8修改功能以解决预期功能安全棉关凤险………………·….28

8.1目的…………………28

8.2概述…………………29

8.3改逃预期功能安全的措施………........…….........……...……….29

GB/T43267-2023

8.4更新··规范定义和设计”的输入信息……………….………………..31

8.5i作成果……………32

9寇义验证和确认策附........……...……....…….32

9“l囚的…………………32

9.2概述………………………··32

9.3集成和测试的定义…………………..33

9.4_L作成果……………34

JO已~'Cl场景的评估…........……...……....…….35

10.l囚的……………35

10.21挺述………………………35

10.3感知的验证…………….35

0.4规划算法的验证…………………36

1

J0.5执行的验iiE………………………36

10.6集成系统验证……………··........37

10.7已知危窑场景导致的残余凤险的评价……………..38

10.8工作成果…………………………u

11未知场景的评估…........…·…...……....…….38

I1.1囚的……………38

11.21挺述……………………·38

11.3未知场景残余Jxll验的评估………..38

11.4工作成果…………………………40

12预期功能安全实现的评估……...……....…….40

12.J囚的……………………··40

12.2概述…………………….40

12.3评估预期功能安全的方法;f1111EJill]………………10

12.4预期功能安全发布推称…………u

12.5工作成果…………………………创

刊运行阶段的活动………·..............................41

13.l目的……………………..11

13.2概述………………u

13.3与运行观察相关的主题...12

13.4预期功能安全问题评估和解决流在............43

13.5了作成果………………………..43

附录A(资料tu预期功能安全的通用指南……………“

A.l剧目标纺掏表示法构建预期功能安全论证的示例……………“

A.2GB/T34590(所有部分)与本文件之间交互的说明……………....................................“

A.3简化的预期功能安全应用示例…………··73

IJ

GB/T43267-2023

A.4规范定义和设计的简化示例……………………76

附录B<资料性〉场景和系统分析指南…………………80

B1推导预期功能安全误用场景的方法.....…….............…….80

B.2SOTIF安全分析方法的场拔阪|家构建示例…………............…….82

B.3用于识别和评价潜在触发条件和功能不足的安全分析的示例…·……………...90

BA在ADAS和向动驾驶车辆的预期功能安全研究中应用STPA方法……100

附录c(资料性〉预期功能安全验证和确认指导……………………105

C.II验证和确认策略目的…….........…….........…….........…….105

C.2确认目标的导出........................................................105

C.3预期功能安全适用系统的确认…………………··112

C.1感知系统的验证和确认……..………………….111

C.5场景参激化及场景抽样指导……………………120

C.6减少确认测试的考虑……………........…….........…….........…….124

附录D<资料性〉关于SOTIF特定方丽的指南…......129

0.1驾驶策略规范指导………………·129

0.2页。I机器~;:习的建议………………137

D.3j也阁预Wl功能安全的考虑………........…….........…….........…….142

0.4预期功能安全对V2X的考虑............143

D.5感知系统性能目标毒化与常见传感掷性能局限拳例…………………··145

D.6OTA'!l!:新的预期功能安全考虑……………………116

附录E(资料性)自动驾驶系统风险接受准则示例…………………147

E.l微述………………147

E.2单个子场拔下风险接受准则示例……………·148

参考文献……………·....................…………….………………··....................151

m

GB/T43267-2023

前言

本文件按照GB/T1.12020《标准化下作导贝lj第I部分:标准化文件的销构和起草规则B的规定

起卒.

本文件修改采用ISO21118:2022《道路车辆预期功能安全机

本文件与ISO21448,2022相比做了下述结构调整.

一一图2~囱17对应ISO21118:2022中的阁l~图16;

一一表B.7~表B15J\.]I茧ISO21•118:2022中的表B.6~表B.l•l,

本文件与ISO21448:2022的技术差异及其原因如下.

一一用规范t-E'JI用的GB/T34590.l~34590.12-2022替换了ISO26262-1.以适应我国的技术

条件;

一一更改了术语··接受准则”的定义〈见3.ll.便于理解该术i击;

一一增加了术语··优先皮子线”及其寇义〈见3.35).有助于支持SOTIF分忻、验证和确认、词’伯活动

中,应对大量的场放军日月1例;

一一增加丁关于附录E的表述〈见4.3.J);

一一更改丁验证和确认活动的导出方法(见表们。

本文ft做了下列编辑性改动:

一一在术语··接受准则”的定义中增Jm了注2、示银川、注3和注:“见3.1);

一一删除了ISO21448:2022中术语··动态驾驶任务后援””后援用户”的泣,术语“动态驾驶任务”

..驾驶自动化等级”“场奴”的注:2,术语“愚小风险状态”..ff!例”的注3,术语“设计运行范围”的

注2和注4,术语”场景快照”的注4,术语“危密”··目标和事件探视l与1响Jii7.,...JXL险”“不合理的风

险”的关于来源的f描述,

一一在功能规范的定义和对设计的考虑中增加丁注3(见5.2);

一一在风险评伯中增加了注<I~注7(.l\!.6.4).便于理解按~I的jl];

一一在残余风险接收准则的定义中增加了关于按受1llJJ!1J的注S(!Jl6.5).有助于应用和理解如何基

子交通数据分析定义Jxl险按受1IE则.

一一在潜在功能不足和i榕在触发条件的识别与评伯的目的中增加了注3(.l\!.7.1),有助于应用和完

善接受准则;

一一删除了ISO21448:2022’,.关于A.3示例的注.

一一增加了关于D.5内容的注4(见7.3.3);

一一更改了集成和测试的定义的注3(见9.3);

一一在预期功能安全问题评估和解决ik[穗’|『增加了注6(见13.4);

一一增加了规范起义和l设计的简化示例〈见Aι〉.便于理!卿和l应用;

一一增加了基于寇盘.Ji.JI\则的场崇优先皮子集示~J<见表B.6),便于迦卿和应用;

一一增加了感知l系统性能目标萤化与常见传感苦苦t.£能局限举例〈见。.衍,便于础解和应用;

一一增加了。TA更新的预期功能安全考虑〈见。.6).有助于运行过程中对预期功能的安全考虑;

一一增加了自动驾驶系统风险接受准则示例(见附录白,便于应用和完善接受准则.

请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.

本文件rl1中华人民共和同了业和信息化部提II\.

本文件rl1全同汽车标准化技术委员会(SJ\C/TC114)归口。

v

GB/T43267-2023

本文件起草咱位.中罔汽车技术研究中心有限公司、中同第一汽车股份有限公司、华为技术有限公

司、上海商汤11臼港智能科技有限公司、一汽-大众汽车有限公司、极氮汽车〈宁波杭州沁、新区}有限公司、

上海机动车检测认iiE技术研究中心有限公司、防来汽车科技(安徽〉有限公司、t走城汽车股份有限公司、

上海海扣,咆子有限公司、维宁尔«I『囡)电子有限公司、深圳市大植卓见科技有限公司、北京航迹科技有

限公司、中j'(创智科技有限公司、大众汽车(中国〉投资有限公司、博世汽车部件(苏州〉有限公司、知l行汽

车科技〈苏州’|〉有限公司、北京地平线饥.;m人技术研发有限公司、一汽解放汽车有限公司、北京车和家汽

车科技有限公司、东软容驰汽车技术(上海)有限公司、北京经纬惬润科技股份有限公司、东软集|主|股份

有限公司、斜’马达汽车有限公司、岚阁汽车科技有限公司、中车时代电动汽车股份有限公司、上海集gr汽

车有限公司、比亚i也汽车工业有限公司、泛jlf._汽车技术小心有限公司、字通客车股份有限公司、合众新能

源汽车有限公司、是在ll日达安汽车位测中心有限公司、Jt京新能源们骂:股份有限公司、中国长安汽车集网

有限公司、广州’|汽车集团股份有限公司、亿U.bJI通(湖北}技术有限公司、苏州|锵沃创新能源科技有限公司、

读庆长安汽车软件科技有限公司、古利汽车研究院〈宁波)有限公司、上海禾赛科技有限公司、联合汽车

也于有限公司、北京国家新能源汽车技术创新中心有限公司、北京百度智行科技有限公司、上海蔚来汽

车有限公司。

本文件主要起草人:主在波、尚tl!;亮、:x1Jf抗、门晓字、XIJ字、付越、周林、玉宇、王苦苦屹、张伟谦、王茶话、

吴月米、马婷、余建业、韩文侠、XIJ辉、付朝爽、I陈锐、张如j杨、xx:辉、马凯、曲元宁、宋炜路、杨虎、余波、

张立君、王方方、闯继伟、|的、伟、高建勇、李春林、钱坤、i射玉录、李勇、李鸿鹏、英fl彤、"$1_显召、张宏伟、陈义礼、

张立、李珍珍、,XI]发彪、李桂兰、高i每龙、王海Jii、召fli每贺、付部涵、事II魁元、石娟、梁瑜、草~I陇东、赵金富、

陈勇、周宏伟、王建斌、任夏楠、赵鑫、郑岩、李兆麟、贺元辉、徐大伟、政毅.

11

GB/T43267-2023

寻|

道路车辆的安全是道路车辆行业最为关注的问题.车辆上包含的自illl驾驶功能的敛盎逐渐增

Jm,而这些功能依赖于由电气/电子(巴/E)系统实现的感知1、复杂算法进行处舰和l执行。

可接受的道路车辆安全水平指不存在|到预期功能及其实现相关的任何危窑而导致的不合现风

险,包据自失效引起的危窑和自规范定义不足或性能局限而引起的危害。

为了实现功能安全,GB/T34590.1-2022将功能安全定义为不存在网电气/电子(£/£)系统的功

能异常表现引起的危害而导致的不合理!凤险。υB/T34590.32022捕述丁如何开脱危窑分析和凤|验

评估(HARAl以确定整车层面的危'ill'及其安全目标.GB/T31590的其他部分提供了避免和控制可能

违背安全目标的随机硬件失究生和系统性失去生的要求和建议.

对于一些电气/电子(E/E>系统,例如依~~感知l车辆外部或内部环搅来建立态势感知的系统.尽管

没有灰尘GB/T34590(所有部分〉中拢到的故障.但其预期功能及实现仍可能会导致危害行为.造成此

类潜在危害行为的原因.举例来说.包锚:

一一功能无法IF.确感知环境;

一一功能、系统和I算法在传感器输入变化、融合策略或小同环境条件等方面缺乏鲁棒性3

一一刷子快策算法和/"£&.人的不同期望而导敛的非预期的行为。

尤其是这些冈索与使用相Lllli学习的功能、系统和算法有关。

不存在萨|功能不足引起的危害行为导致的不合理风险被定义为预期功能安全<SOTIF)。功能安

全[GB/T34590(所有部分)所指的]和l预期功能安全在安全方面是互补的(见A.2,以更好地埠,你

GB/T3•1590(所有部分}和本文件的各l可范|辈|儿

为解决SOTIF问题,在以下阶段实施消除危密或降低风险的捎施.

一一规范定义和设计阶段,

示伊!Jl:在开艇SOTlFf币动的过程中,汹过识别~11的系统不足球危害场笨,对车辆功能或传感那位能要求迹行

修改.

一一验证和确认阶段;

示例2:技术评审、对相关场去具有商在{盖率的测试丹JfjiJ、潜在触发条例的投入、选定SOTIF相关场来的在环测试

[例如软件在环CSILJ、1!!1!1'1'在环(HILJ、银舰在环(MIL)],

示例3:车辆长阴道路测试、车辆场地测试、仿真测试.

一一运行阶段.

示例4,SOTIF事件的现场监控.

这些危害可被场景中的特定条件(~fl触发条件}触发.触发条件可包括预期功能的可合理预见的说

用.此外.与其他拖车层而功能的交互可能会导致危窑(例如.在l司i;IJ驾驶功能激活Rt.触发驻车和l动).

因此.用户正确理解功能及其行为和1局限性(包指人机交互)对于确保安全至关荒要.

示例5:驾驶员在使用L2级驾驶向动化系统时注意力不集中.

示例6:模式I目前{例如当某功能来激踊时驾驶员认为该功能已撤消〉可能崽接导玫危害.

注1可合理预见的误HJ;不包括对系统运行的故意!JII生.

基础设施提供的信息(例如,vzx、地|要|},如果可能对SOTIF产生影响,也将作为评估功能不足的

一部分.见附录D中D.4关于V2X功能的指南.

示例7:对于~I;/J代客lt-1年系统.f!H~~且JI.I]功能手II门栋栋测功能可由撰础设施和车辆共r;ll实现.

注2根据应用情况.{:Eiil'f~iSOTIF时.基于其他技术的要萦可能是相关的.

示例8:传f由锦在车辆七的位11'.:ln安装可能与避免因搬动而导致的传感器输:1:1噪声有关.

\I

GB/T43267-2023

示佛9在评估IJH草头传感郁郁1SOTIFll;J-.j喝风玻梢的先学将’性可能是相关的.

针对咆气/电子<E/E)系统的随机硬件故障和系统巴I:.故障(包恬硬件和l软件故隙).在Gl3/T34590

(所有部分)'I『给1:1~了降低风险的指导.

本文件提到的功能不足可能被认为是系统性攸降,然而,应对这些功能不足的措施是本文件将有

的,|司Ht也娃对C1B/T34590(所有部分〉所述措施的补充,C1B/T34590(所有部分)假定预期功能娃安

全的.且针对的结可导致偏湾预期功能进而引发危窑的电气/电子系统<E/El放阵.系统及其要素的主要

求的获取过程可包循这两项标准的相关方面.

我1说明了危害事件的可能原因与现有标准的映射关系。

表1不同标准应对安全相关主题的概览

危害来源危害哥f.(~:,的原因

MJ.iii<J标准

电气/屯手(E/E)系统放路。B/T3•1590(所有部分)

功能不足本文例

不正确糊不充分的人机交可<HMI>设iI<不恰

本文例

当的m尸态势!:l!i知‘例如,HJ户感到网惑.mr’负

欧洲人桃交§.!原则声明·"

系统

扭过蕴、用户注意力不集中〉

’正于人」;智能算法的功能不足

4•文件

系统技水1非定际~~

示例激先霄达光束对眼目币的伤’占例如dl':C60825

本文件

JI]户或其他道路参与2号的可合理!顶见的诙阵|GB/T34590<所有部分)

利m4二辆网绵安全漏洞逃行攻击ISO/SAE2143•1

本文件

智能基础设施和/!lit车辆与车辆问Jillf言,的影

外部11'1京

ISO20077、GB/丁34590(所有部分}、Gll/T20438

响.及外1号~系统的影响

本文件

车辆用例环蜒的影响{例如.其他HI户、非智能

GB/T:i,而90(/所有lll>乡}}、ISO76:l7-2、ISO76:l7<l、

基础设施、天气、电磁干扰〉

JSυl1452-2、ISOI1452-4、ISO10605及其他标准

\D

GB/T43267-2023

道路车辆预期功能安全

1范固

本文件提供了用于确保预期功能安全<SOTI刊的通用论证舷架和峭施指南。预期功能安全指4、

存在因预期功能不足.;I起的危害而导敛的乐合理JXl险.功能4、足包括:

a)整车层由l预期功能规范JE义的A'足;

b)系统’,.咆气/电子要?在实现的规范定义斗、足或性能局限。

本文件为实现和11果将SOTIF所有宫的适用的设计、验证和Hiif1认措施以及在运行阶段的活动提供

指导。

本文件运用于依靠复杂传感器和政l:现算法进行态势感知且感知的正确也I:会对安全产生重要影响的

预期功能,特别是紧急于预系统的功能和l驾驶自动化等级为Ll~LS级的系统的相关功能。

本文件运用于安装在|除轻便摩托车外的盘产道路车辆上的包含一个或多个电气/电子<E/E)系统

的预期功能。

可合理预见的误附属于本文件的范围。此外,对于由远程用户操作或辅助车辆运行.或与后台通信

百l影响车辆决策的1i'f1兄,如果可能导致安全危害,也属于本文件的范围。

本文件不适用于:

一-GB/T34590(所有部分〉涵策的故路;

一一信息安全威胁;

一一因系统技术直接导敛的危害(例如,激光雷达光束对I眼睛造成的伤害);

一一与触电、火灾、烟雾、热、辐射、辛辛性、易燃性、反应性、能量将放等相关的危害和类似的危害.|除

非危害是直接由咆气/咆子(巴/E)系统的预期功能.;I起的;

一一明;\il.违反系统预期用途的故意行为〈被视为功能~,J,'fffl)。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中.注目J坷的引用文

件,仅该日期对应的版本适用于本文件;不放臼M的引用文件,其最新版本(包括所有的修改单〉适用于

本文件。

GB/T34590(所有部分)道路车辆功能安全

GB/T34590.1-2022道路车辆功能安全第l部分:术语

3术语和定义

GB/T31590.12022界定的以及下列术语和定义适用下本文件.

3.1

接受准则acceptancecriterion

表fiE不存在不合现!凤险(3.23)水平的准则。

法1接受准则”J能是定性的也nf能是定i茸的.例如吉13在特定行为被认为是危害行为ntJi'f对应的物础参徽、每小

时的最大事件数.最低合理可行凤阶水平CALARP>等.

GB/T43267-2023

示例1从交ii且统计放拒i得到合理风险水乎是每Xkrn发咕:-狄11'1故.

亲例2与我应用中已iiE明鸣ijJi!员可梢的网络蹬车层面影响j茸行比较.可文将接受lfj(Jl11的定义.例如lFl~·w预期的

车道保扮辅助功能的干扰而引泌的轨迹扰;;IJ.可类l也为极凤,以定义该功能的接受准则.

注2预期功能安全的接受11tJil1J包含附个层而

a)m-层,判断平辆行为是否民于危害针为而可能导致危害事件的准则J.Nil危害针为接受准则5

h)第二层判断车辆运行过程中残余凤险是乎?处于合理水平的准Jill).~II残余风险接受准则.

亲例3夜使用预JPI功能安全接受准~VJ;茸行评价过程寸’.可首先钊对罕辆某-针为或事件j茸针评价.判断是否向1且

有风阶的危’占行为ilX危密事例,然后钊对一定行驶里程就衍驶时间内出现的1江省行为可能导致的残余危’占凤院进行iii'

f户,.判断是脊口I以接受.见倒JJilf示.

属性,,减速度超过λ:(mh'刷刷动衍为IIII属性,,在-定行驶盟草里就

III行扯时间内出现的危自行

剧性2,\Jl!C革翩超出丰避缉的转向行为11II为敷掘,,

属性,":在一应行破虫穗

成行理费时间内,是否出现

了不可接受的行为后果

属性,..ill革岖离(T陀}小于l'{s)

第二层楼受而且则-f.l余风险It受

准则:别断运行过程中里拟的危

第-层接受准则-f!L西行为接受准则z

风险是否处于告到町接受的水平

车辆行为

秘鲁仔为别斯辜辆行为是否构成危密行为

图1双层接受准则的评估

注3双层接受lf~l!11的指标值可能受多方面因紫(如技术M变、场景变化、交通文明程度提到等}的彩qr,J.因而在应

用过程中接受舵”I)及其指标值可能Jlfl*1影响因素的变化而变化.

注4在考虑特定功能场奈的风险时,双n:接受准则的理念可能存在融合例如1,通过棋子-定时间内、某-场景下

人类驾驶员操作衬为的风险统ii.来定义臼!;JJ驾驶功能的危害行为接受准则.{且这并不影响i'l!HI双层接受准

则对甜iWJ功能去金的评价.

3.2

行为action

场封;快照(3.27)中任何参与者所实施的单一衍动或表现。

注1行为/事件(3.7)的时序和场最快照是场崇(3.26)/t义的一部分.

示例:自拿(3.6)点亮危害报警灯.

注2,在该术语it义’|习.参与者是人员、另-目标、另-系统或与所考虑功能相且;作用的任何娶亲.

3.3

驾驶策略drh'htg1>olicy

定义盖在车层面而接受的控制行为(3.2)的策略和规则.

3.4

动态驾驶任务dynamicdri\'ingtask;DDT

车辆在交通流中运行Rt所俗的实时操作功能和决策功能。

注以F功能是i;/JI.ii驾驶任务的组成部分

一一年1两侧向运动舵制{操作h

一一年剿纵向运动技制{操作〉

一-ll.";J茧驾驶环境〈躲作事!决策〉.及执行对剧标与事件(3.7)的响应(躲作和l决策〉.见OEOR<3.20),

一一运动规划(诀策〉.

一一通过照明、发俏号或好手势等则强可见性〈决策}.

2

GB/T43267-2023

3.5

动态驾驶任务后续DDTf是1llback

当发生失效Wt探jJl)iffiJ功能不足(3.8)后.或探测到l潜在危害行为时.为执行动态驾驶任务(3.4)或过

渡到最小凤险状态(3.16)1翩翩驾驶员或驾驶自动化系统做出的响应。

示例:驶离Ql)l)(3.2J)成传感器被冰笃遮梢会导数危窑行为.此时要求驾驶员做出响应.

3.6

自车egovehicle

装备了为实现SOTlF(3.25)而进行分析的功能的车辆。

3.7

事件event

在某一时刻所发生的事情。

法1行为(3.2)/事件的时j芋初场景快照(3.27)是场景(3.26)定义的-部分.

注2虽然每个行为也是-个事俐,(A不是任何事例部只是-个行为,11”行为是事件的子集.

示伊川:树倒在4'辆前方50阳的街道上.

示例2,交通灯在给定的时间变绿.

3.8

功能不足fuuctionalinsuf『iciency

规范定义不足(3.12)或性能局限(3.22)。

注1J)J能不足也书li1在罕层面或系统’1··电气/电子要索层面的成范定义不足或性能用~I~.

注2,SOTIF<3.25)活动包括对功能不足的识别及对其影响的评价.恨据~义(见3.12;自I3.22>.功能不足会导致危

客行为戒x法防止、探测及减轻”{合理预见的慎用<3.17儿在促成危害行为!!ltxit防止、探测及减轻”{合理

预见的i>!用的能力尚米被建立IJ.]'.可能使用术碎?”潜在功能不足’.

注3,I明2~刨4描述fSOTIFll<I果换!~l涵放以下关系:触发条件<3.:io)功能不足输111不足,危客行为,无法防

此、探测及减经可什卫E预见的间接谈阵l危害(3.川}危害事件(3.7)手n伤害.

注4对于促成伤在:IJ.:坐的问·~误用.通常涉及两类功能不足.一类是导致系统在触发条件下产生危窑行为的功能

不足.另-个类是导主主)l;lt防止、探测及减轻”1合现预见的li1JI在谈用的功能不足.见罔2~佟I''•

示例=-刷配备了L2级高i在公路驾驶辅助功能的牢辆.探测驾驶员注意力不必巾的驾驶员1监树根像止是该系统的

-部分.为f简化,假设以下描述为其

一-~知要絮存在功能不足.着被触发条件li睦发该功能不足会导敛危害行为.例如执行错误的车1树运行轨迹=

一一驾驶员监佼恨你头存在功能不足.者被触i:条例2触及,该功能不足会导致系统无法探测和I~且将可合理预见的

间接误用.

为f!l!伤害发生.场景(3.26)衍包含。

一一驾驶员的间接谈用驾驶员注意力不然’|’且朱放ll才发现系统的危害行为.以对Jti草行控制,

一一触发条件2.J在等敛系统x法及时探测和l减轻,'fl现的,•f合理!预见的问按说j咽,

一一触发条件l.~:~导致系统fit宙行为.

注5若整年1王丽的功能不足被触发条例触发.这将会导玫危害行为.li!(导致无法,防It.、探nm此减轻可合理如i见的问

i>!用.见罔4寸’A.

注6若要il'层面的功能不足被触发条例触发.这将会导政输出不)~.输也不足本身lJ!(与其他哥哥兹的-个或多个输

111不足相约合.将促成被车层il!if){J危害行为戒JI;法防止、探测及减轻”{合理预见的间接误用.见罔4中B.

3

GB/T43267-2023

f也鲁(3.II)"危警事件(3.7)

场景(3.26),古使危I!!

f血喜事件不可控。

能导班伤密的条件b

•fit答是伤害的泌在来源,由拖车层面的危害行为导政.

包含使危害能导致伤害的条件的场景是伤害发生的l!IJ推因索也不是伤害的来源-

b

e

无法充分校制危:在哥~i'I'是伤1占2坐的助樵因素,(A不是伤窑的来源.

图2危害和伤害发生的关联

合理可预见的间接误用

(3.17)

针对合理可预见的问接误

用.已定义的措施无效

涉且的人员不能控

剿危害事件(3.7)

非拖赠内的其他国童

外部措施无效

图3危害事件未得到控制的原因

’自牢房丽的危害行为

A矗统层面的功能

不是(3.创

无法防止、探测及减轻合理

可预血的间接误用(3.17)

篝革层面的危害行为

B

无法防止、探测且减役合理

可预见的间接误用

取决于系统架构.要索层面的功能不足被认为是单点功能不足(3.28)Jilt事点功能不足(3.19).

'输出不足本身或与其他要萦的一个政多个输出不足相综合.促成撞车层面的危富行为或无法防止、探测及减轻可

合理预见的间接i-5!用.

图4SOTIF因果模型

3.9

功能修改functionalmod“'ication

功能规范的变且~.

注。”功能修改”与GB/T34590.1-2022中定义的术ifl'."修改匀不同.本文件’1"•..J)Jfili修改”在GB/T34590(所有部

分)术t击中称为··变更”.

4

推荐标准

关联标准

相似标准推荐

更多>