GB/T 43267-2023
基本信息
标准号: GB/T 43267-2023
中文名称:道路车辆 预期功能安全
标准类别:国家标准(GB)
英文名称:Road vehicles—Safety of the intended functionality
标准状态:现行
发布日期:2023-11-27
实施日期:2023-11-27
出版语种:简体中文
下载格式:.pdf .zip
下载大小:40004705
标准分类号
标准ICS号:道路车辆工程>>43.040道路车辆装置
中标分类号:车辆>>车用电子、电气设备与仪表>>T35车用电子、电气设备与仪表综合
关联标准
采标情况:ISO 21448:2022
出版信息
出版社:中国标准出版社
页数:168页【胶订-大印张】
标准价格:162.0
相关单位信息
起草人:李波、尚世亮、刘航、白晓宇、刘宇、付越、周林、王宇、王潇屹、张伟谦、王嘉浩、吴月翠、马婷、余建业、韩文淏、刘辉、付朝英、陈锐、张刘杨、戎辉、马凯、曲元宁、宋炜瑾、杨虎、余波、张立君、王方方、闻继伟、陈伟、高建勇、李春林、钱坤、谢玉录、李勇、李鸿鹏、郑彤等
起草单位:中国汽车技术研究中心有限公司、中国第一汽车股份有限公司、华为技术有限公司、上海商汤临港智能科技有限公司、一汽-大众汽车有限公司、极氪汽车(宁波杭州湾新区)有限公司、上海机动车检测认证技术研究中心有限公司、蔚来汽车科技(安徽)有限公司、长城汽车股份有限公司等
归口单位:全国汽车标准化技术委员会(SAC/TC 114)
提出单位:中华人民共和国工业和信息化部
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件提供了用于确保预期功能安全(SOTIF)的通用论证框架和措施指南。预期功能安全指不存在因预期功能不足引起的危害而导致的不合理风险,功能不足包括:
a) 整车层面预期功能规范定义的不足;
b) 系统中电气/电子要素实现的规范定义不足或性能局限。
本文件为实现和保持SOTIF所需的适用的设计、验证和确认措施以及在运行阶段的活动提供指导。
本文件适用于依靠复杂传感器和处理算法进行态势感知且感知的正确性会对安全产生重要影响的预期功能,特别是紧急干预系统的功能和驾驶自动化等级为 L1~L5级的系统的相关功能。
本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子(E/E)系统的预期功能。
可合理预见的误用属于本文件的范围。此外,对于由远程用户操作或辅助车辆运行,或与后台通信可影响车辆决策的情况,如果可能导致安全危害,也属于本文件的范围。
标准图片预览
标准内容
ICS 43.040
CCS T 35
中华人民共和国国家标准
GB/T43267—2023
道路车辆
预期功能安全
Road vehicles-Safety of the intended functionalit(ISO21448:2022,MOD)
2023-11-27发布
国家市场监督管理总局
国家标准化管理委员会
2023-11-27实施
1范围
2规范性引用文件
3术语和定义
4预期功能安全活动概述和组织
4.2预期功能安全的原理
4.3本文件的使用,
4.4预期功能安全活动管理和支持过程5规范定义和设计
5.1目的.
5.2功能规范的定义和对设计的考虑.5.3系统设计和架构的考虑,
5.4性能局限和应对措施的考虑...5.5工作成果
6危害的识别和评估
概述…
危害识别.
6.4风险评估,
6.5残余风险接受准则的定义.
6.6工作成果,
7潜在功能不足和潜在触发条件的识别与评估,7.1目的.
概述,
7.3潜在功能不足与触发条件的分析7.4预估系统对触发条件的响应的可接受性7.5工作成果,
8修改功能以解决预期功能安全相关风险8.1目的
概述、
8.3改进预期功能安全的措施
GB/T43267—2023
GB/T 43267—2023
8.4更新“规范定义和设计”的输入信息8.5工作成果,
9定义验证和确认策略
9.1目的.….
概述,
9.3集成和测试的定义
工作成果,
已知场景的评估
感知的验证
规划算法的验证
执行的验证
集成系统验证
已知危害场景导致的残余风险的评估工作成果
11未知场景的评估
未知场景残余风险的评估
工作成果
12预期功能安全实现的评估
评估预期功能安全的方法和准则预期功能安全发布推荐
工作成果
13运行阶段的活动
与运行观察相关的主题
预期功能安全问题评估和解决流程工作成果
附录A(资料性)预期功能安全的通用指南用目标结构表示法构建预期功能安全论证的示例A.1
GB/T34590(所有部分)与本文件之间交互的说明A.2
A.3简化的预期功能安全应用示例I
A.4规范定义和设计的简化示例
附录B(资料性)场景和系统分析指南,B.1推导预期功能安全误用场景的方法.B.2SOTIF安全分析方法的场景因素构建示例.B.3用于识别和评估潜在触发条件和功能不足的安全分析的示例...B.4在ADAS和自动驾驶车辆的预期功能安全研究中应用STPA方法.附录C(资料性)预期功能安全验证和确认指导c.1
验证和确认策略目的
C.2确认目标的导出
预期功能安全适用系统的确认
C.4感知系统的验证和确认
C.5场景参数化及场景抽样指导
减少确认测试的考虑
附录D(资料性)关于SOTIF特定方面的指南D.1驾驶策略规范指导,
D.2对机器学习的建议
D.3地图预期功能安全的考虑
D.4预期功能安全对V2X的考虑,D.5感知系统性能目标量化与常见传感器性能局限举例D.6OTA更新的预期功能安全考虑附录E(资料性)自动驾驶系统风险接受准则示例E.1概述
E.2单个子场景下风险接受准则示例参考文献
GB/T43267—2023
GB/T43267—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件修改采用ISO21448:2022《道路车辆预期功能安全》。本文件与ISO21448:2022相比做了下述结构调整:一图2~图17对应IS021448:2022中的图1~图16;表B.7~表B.15对应ISO21448:2022中的表B.6~表B.14。本文件与ISO21448:2022的技术差异及其原因如下:用规范性引用的GB/T34590.1~34590.12一2022替换了ISO26262-1,以适应我国的技术
条件;
更改了术语“接受准则”的定义(见3.1),便于理解该术语;分析、验证和确认、评估活动
一增加了术语“优先度子集”及其定义(见3.35),有助于支持SOTIF中,应对大量的场景和用例;
一增加了关于附录E的表述(见4.3.1):一更改了验证和确认活动的导出方法(见表6)。本文件做了下列编辑性改动:
一在术语“接受准则”的定义中增加了注2、示例3、注3和注4(见3.1);删除了ISO21448:2022中术语“动态驾驶任务后援”“后援用户”的注,术语“动态驾驶任务”“驾驶自动化等级”“场景”的注2,术语“最小风险状态”“用例”的注3术语“设计运行范围”的注2和注4,术语“场景快照”的注4,术语“危害”“目标和事件探测与响应”“风险”“不合理的风险”的关于来源的描述;
在功能规范的定义和对设计的考虑中增加了注3(见5.2);在风险评估中增加了注4~注7(见6.4),便于理解接受准则:一在残余风险接收准则的定义中增加了关于接受准则的注5(见6.5),有助于应用和理解如何基于交通数据分析定义风险接受准则:在潜在功能不足和潜在触发条件的识别与评估的目的中增加了注3(见7.1),有助于应用和完善接受准则;
一删除了ISO21448:2022中关于A.3示例的注:一增加了关于D.5内容的注4(见7.3.3);更改了集成和测试的定义的注3(见9.3);在预期功能安全问题评估和解决流程中增加了注6(见13.4);一增加了规范定义和设计的简化示例(见A.4),便于理解和应用;一增加了基于定量规则的场景优先度子集示例(见表B.6),便于理解和应用;一增加了感知系统性能目标量化与常见传感器性能局限举例(见D.5),便于理解和应用;-增加了OTA更新的预期功能安全考虑(见D.6),有助于运行过程中对预期功能的安全考虑;-增加了自动驾驶系统风险接受准则示例(见附录E),便于应用和完善接受准则。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中华人民共和国工业和信息化部提出。本文件由全国汽车标准化技术委员会(SAC/TC114)归口。
GB/T43267—2023
本文件起草单位:中国汽车技术研究中心有限公司、中国第一汽车股份有限公司、华为技术有限公司、上海商汤临港智能科技有限公司、一汽-大众汽车有限公司、极氨汽车(宁波杭州湾新区)有限公司、上海机动车检测认证技术研究中心有限公司、蔚来汽车科技(安徽)有限公司、长城汽车股份有限公司、上海海拉电子有限公司、维宁尔(中国)电子有限公司、深圳市大疆卓见科技有限公司、北京航迹科技有限公司、中汽创智科技有限公司、大众汽车(中国)投资有限公司、博世汽车部件(苏州)有限公司、知行汽车科技(苏州)有限公司、北京地平线机器人技术研发有限公司、一汽解放汽车有限公司、北京车和家汽车科技有限公司、东软睿驰汽车技术(上海)有限公司、北京经纬恒润科技股份有限公司、东软集团股份有限公司、智马达汽车有限公司、岚图汽车科技有限公司、中车时代电动汽车股份有限公司、上海集度汽车有限公司、比亚迪汽车工业有限公司、泛亚汽车技术中心有限公司、宇通客车股份有限公司、合众新能源汽车有限公司、襄阳达安汽车检测中心有限公司、北京新能源汽车股份有限公司、中国长安汽车集团有限公司、广州汽车集团股份有限公司、亿咖通(湖北)技术有限公司、苏州博沃创新能源科技有限公司、重庆长安汽车软件科技有限公司、吉利汽车研究院(宁波)有限公司、上海禾赛科技有限公司、联合汽车电子有限公司、北京国家新能源汽车技术创新中心有限公司、北京百度智行科技有限公司、上海蔚来汽车有限公司。
本文件主要起草人:李波、尚世亮、刘航、白晓宇、刘宇、付越、周林、王宇、王潇屹、张伟谦、王嘉浩、吴月翠、马婷、余建业、韩文漠、刘辉、付朝英、陈锐、张刘杨、戎辉、马凯、曲元宁、宋炜瑾、杨虎、余波、张立君、王方方、闻继伟、陈伟、高建勇、李春林、钱坤、谢玉录、李勇、李鸿鹏、郑彤、夏显召、张宏伟、陈义礼、张立、李珍珍、刘发彪、李桂兰、高海龙、王海川、邵海贺、付郁涵、郭魁元、石娟、梁瑜、郭晓东、赵金富、陈勇、周宏伟、王建斌、任夏楠、赵鑫、郑岩、李兆麟、贾元辉、徐大伟、黄毅。引言
GB/T43267—2023
道路车辆的安全是道路车辆行业最为关注的问题。车辆上包含的自动驾驶功能的数量逐渐增加,而这些功能依赖于由电气/电子(E/E)系统实现的感知、复杂算法进行处理和执行。可接受的道路车辆安全水平指不存在因预期功能及其实现相关的任何危害而导致的不合理风险,包括由失效引起的危害和由规范定义不足或性能局限而引起的危害为了实现功能安全,GB/T34590.1一2022将功能安全定义为不存在因电气/电子(E/E)系统的功能异常表现引起的危害而导致的不合理风险。GB/T34590.3一2022描述了如何开展危害分析和风险评估(HARA)以确定整车层面的危害及其安全目标。GB/T违背安全目标的随机硬件失效和系统性失效的要求和建议。34590的其他部分提供了避免和控制可能对于一些电气/电子(E/E)系统,例如依靠感知车辆外部或内部环境来建立态势感知的系统,尽管没有发生GB/T34590(所有部分)中提到的故障,但其预期功能及实现仍可能会导致危害行为,造成此类潜在危害行为的原因,举例来说,包括:-一功能无法正确感知环境:
一一功能、系统和算法在传感器输入变化、融合策略或不同环境条件等方面缺乏鲁棒性;一由于决策算法和/或人的不同期望而导致的非预期的行为。尤其是这些因素与使用机器学习的功能、系统和算法有关。不存在因功能不足引起的危害行为导致的不合理风险被定义为预期功能安全(SOTIF)。功能安
全[GB/T
34590(所有部分)所指的」和预期功能安全在安全方面是互补的(见A.2,以更好地理解GB/T34590(所有部分)和本文件的各自范围)。为解决SOTIF问题,在以下阶段实施消除危害或降低风险的措施:规范定义和设计阶段:
示例1:在开展SOTIF活动的过程中,通过识别出的系统不足或危害场景,对车辆功能或传感器性能要求进行修改。
验证和确认阶段:
示例2:技术评审、对相关场景具有高覆盖率的测试用例、潜在触发条件的注入、选定SOTIF相关场景的在环测试[例如:软件在环(SIL)、硬件在环(HIL)、模型在环(MIL)]。示例3:车辆长期道路测试、车辆场地测试、仿真测试。运行阶段
示例4:SOTIF事件的现场监控。
这些危害可被场景中的特定条件(即触发条件)触发,触发条件可包括预期功能的可合理预见的误用。此外,与其他整车层面功能的交互可能会导致危害(例如,在自动驾驶功能激活时,触发驻车制动)因此,用户正确理解功能及其行为和局限性(包括人机交互)对于确保安全至关重要。示例5:驾驶员在使用L2级驾驶自动化系统时注意力不集中。示例6:模式混淆(例如,当某功能未激活时,驾驶员认为该功能已激活)可能直接导致危害。注1:可合理预见的误用不包括对系统运行的故意更改。基础设施提供的信息(例如,V2X、地图),如果可能对SOTIF产生影响,也将作为评估功能不足的一部分。见附录D中D.4关于V2X功能的指南示例7:对于自动代客泊车系统,路径规划功能和目标探测功能可由基础设施和车辆共同实现。注2:根据应用情况,在评估SOTIF时,基于其他技术的要素可能是相关的示例8:传感器在车辆上的位置和安装可能与避免因振动而导致的传感器输出噪声有关。V
GB/T43267—2023
示例9:在评估摄像头传感器的SOTIF时,挡风玻璃的光学特性可能是相关的。针对电气/电子(E/E)系统的随机硬件故障和系统性故障(包括硬件和软件故障),在GB/T34590
(所有部分)中给出了降低风险的指导。本文件提到的功能不足可能被认为是系统性故障,然而,应对这些功能不足的措施是本文件特有的,同时也是对GB/T34590(所有部分)所述措施的补充。GB/T34590(所有部分)假定预期功能是安全的,且针对的是可导致偏离预期功能进而引发危害的电气/电子系统(E/E)故障。系统及其要素的要求的获取过程可包括这两项标准的相关方面表1说明了危害事件的可能原因与现有标准的映射关系。表1不同标准应对安全相关主题的概览危害来源
外部因素
危害事件的原因
电气/电子(E/E)系统故障
功能不足
不正确和不充分的人机交互(HMI)设计(不恰当的用户态势感知,例如,用户感到困惑、用户负担过重、用户注意力不集中)
基于人工智能算法的功能不足
系统技术
示例:激光雷达光束对眼睛的伤害用户或其他道路参与者的可合理预见的误用利用车辆网络安全漏洞进行攻击智能基础设施和/或车辆与车辆间通信的影响,及外部系统的影响
车辆周围环境的影响(例如,其他用户、非智能基础设施、天气、电磁干扰)
对应的标准
GB/T34590(所有部分)
本文件
本文件
欧洲人机交互原则声明[26]
本文件
特定标准
例如:IEC60825
本文件
GB/T34590(所有部分)
IS0/SAE21434
本文件
IS020077、GB/T34590(所有部分)、GB/T20438本文件
GB/T34590(所有部分)、ISO7637-2、ISO7637-3IS011452-2、IS011452-4、ISO10605及其他标准1范围
道路车辆预期功能安全
GB/T43267—2023
本文件提供了用于确保预期功能安全(SOTIF)的通用论证框架和措施指南。预期功能安全指不存在因预期功能不足引起的危害而导致的不合理风险,功能不足包括:a)整车层面预期功能规范定义的不足;b)系统中电气/电子要素实现的规范定义不足或性能局限。本文件为实现和保持SOTIF所需的适用的设计、验证和确认措施以及在运行阶段的活动提供指导。
本文件适用于依靠复杂传感器和处理算法进行态势感知且感知的正确性会对安全产生重要影响的预期功能,特别是紧急干预系统的功能和驾驶自动化等级为L1~L5级的系统的相关功能本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子(E/E)系统的预期功能。
可合理预见的误用属于本文件的范围。此外,对于由远程用户操作或辅助车辆运行,或与后台通信可影响车辆决策的情况,如果可能导致安全危害,也属于本文件的范围。本文件不适用于:Www.bzxZ.net
-GB/T34590(所有部分)涵盖的故障;一一信息安全威胁;
一因系统技术直接导致的危害(例如,激光雷达光束对眼晴造成的伤害);一与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、能量释放等相关的危害和类似的危害,除非危害是直接由电气/电子(E/E)系统的预期功能引起的:明显违反系统预期用途的故意行为(被视为功能滥用)。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T34590(所有部分)道路车辆功能安全GB/T34590.1一2022道路车辆功能安全第1部分:术语3术语和定义
34590.1一2022界定的以及下列术语和定义适用于本文件。3.1
接受准则acceptancecriterion
表征不存在不合理风险(3.23)水平的准则。注1:接受准则可能是定性的,也可能是定量的。例如:当某特定行为被认为是危害行为时所对应的物理参数、每小时的最大事件数、最低合理可行风险水平(ALARP)等。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCS T 35
中华人民共和国国家标准
GB/T43267—2023
道路车辆
预期功能安全
Road vehicles-Safety of the intended functionalit(ISO21448:2022,MOD)
2023-11-27发布
国家市场监督管理总局
国家标准化管理委员会
2023-11-27实施
1范围
2规范性引用文件
3术语和定义
4预期功能安全活动概述和组织
4.2预期功能安全的原理
4.3本文件的使用,
4.4预期功能安全活动管理和支持过程5规范定义和设计
5.1目的.
5.2功能规范的定义和对设计的考虑.5.3系统设计和架构的考虑,
5.4性能局限和应对措施的考虑...5.5工作成果
6危害的识别和评估
概述…
危害识别.
6.4风险评估,
6.5残余风险接受准则的定义.
6.6工作成果,
7潜在功能不足和潜在触发条件的识别与评估,7.1目的.
概述,
7.3潜在功能不足与触发条件的分析7.4预估系统对触发条件的响应的可接受性7.5工作成果,
8修改功能以解决预期功能安全相关风险8.1目的
概述、
8.3改进预期功能安全的措施
GB/T43267—2023
GB/T 43267—2023
8.4更新“规范定义和设计”的输入信息8.5工作成果,
9定义验证和确认策略
9.1目的.….
概述,
9.3集成和测试的定义
工作成果,
已知场景的评估
感知的验证
规划算法的验证
执行的验证
集成系统验证
已知危害场景导致的残余风险的评估工作成果
11未知场景的评估
未知场景残余风险的评估
工作成果
12预期功能安全实现的评估
评估预期功能安全的方法和准则预期功能安全发布推荐
工作成果
13运行阶段的活动
与运行观察相关的主题
预期功能安全问题评估和解决流程工作成果
附录A(资料性)预期功能安全的通用指南用目标结构表示法构建预期功能安全论证的示例A.1
GB/T34590(所有部分)与本文件之间交互的说明A.2
A.3简化的预期功能安全应用示例I
A.4规范定义和设计的简化示例
附录B(资料性)场景和系统分析指南,B.1推导预期功能安全误用场景的方法.B.2SOTIF安全分析方法的场景因素构建示例.B.3用于识别和评估潜在触发条件和功能不足的安全分析的示例...B.4在ADAS和自动驾驶车辆的预期功能安全研究中应用STPA方法.附录C(资料性)预期功能安全验证和确认指导c.1
验证和确认策略目的
C.2确认目标的导出
预期功能安全适用系统的确认
C.4感知系统的验证和确认
C.5场景参数化及场景抽样指导
减少确认测试的考虑
附录D(资料性)关于SOTIF特定方面的指南D.1驾驶策略规范指导,
D.2对机器学习的建议
D.3地图预期功能安全的考虑
D.4预期功能安全对V2X的考虑,D.5感知系统性能目标量化与常见传感器性能局限举例D.6OTA更新的预期功能安全考虑附录E(资料性)自动驾驶系统风险接受准则示例E.1概述
E.2单个子场景下风险接受准则示例参考文献
GB/T43267—2023
GB/T43267—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件修改采用ISO21448:2022《道路车辆预期功能安全》。本文件与ISO21448:2022相比做了下述结构调整:一图2~图17对应IS021448:2022中的图1~图16;表B.7~表B.15对应ISO21448:2022中的表B.6~表B.14。本文件与ISO21448:2022的技术差异及其原因如下:用规范性引用的GB/T34590.1~34590.12一2022替换了ISO26262-1,以适应我国的技术
条件;
更改了术语“接受准则”的定义(见3.1),便于理解该术语;分析、验证和确认、评估活动
一增加了术语“优先度子集”及其定义(见3.35),有助于支持SOTIF中,应对大量的场景和用例;
一增加了关于附录E的表述(见4.3.1):一更改了验证和确认活动的导出方法(见表6)。本文件做了下列编辑性改动:
一在术语“接受准则”的定义中增加了注2、示例3、注3和注4(见3.1);删除了ISO21448:2022中术语“动态驾驶任务后援”“后援用户”的注,术语“动态驾驶任务”“驾驶自动化等级”“场景”的注2,术语“最小风险状态”“用例”的注3术语“设计运行范围”的注2和注4,术语“场景快照”的注4,术语“危害”“目标和事件探测与响应”“风险”“不合理的风险”的关于来源的描述;
在功能规范的定义和对设计的考虑中增加了注3(见5.2);在风险评估中增加了注4~注7(见6.4),便于理解接受准则:一在残余风险接收准则的定义中增加了关于接受准则的注5(见6.5),有助于应用和理解如何基于交通数据分析定义风险接受准则:在潜在功能不足和潜在触发条件的识别与评估的目的中增加了注3(见7.1),有助于应用和完善接受准则;
一删除了ISO21448:2022中关于A.3示例的注:一增加了关于D.5内容的注4(见7.3.3);更改了集成和测试的定义的注3(见9.3);在预期功能安全问题评估和解决流程中增加了注6(见13.4);一增加了规范定义和设计的简化示例(见A.4),便于理解和应用;一增加了基于定量规则的场景优先度子集示例(见表B.6),便于理解和应用;一增加了感知系统性能目标量化与常见传感器性能局限举例(见D.5),便于理解和应用;-增加了OTA更新的预期功能安全考虑(见D.6),有助于运行过程中对预期功能的安全考虑;-增加了自动驾驶系统风险接受准则示例(见附录E),便于应用和完善接受准则。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中华人民共和国工业和信息化部提出。本文件由全国汽车标准化技术委员会(SAC/TC114)归口。
GB/T43267—2023
本文件起草单位:中国汽车技术研究中心有限公司、中国第一汽车股份有限公司、华为技术有限公司、上海商汤临港智能科技有限公司、一汽-大众汽车有限公司、极氨汽车(宁波杭州湾新区)有限公司、上海机动车检测认证技术研究中心有限公司、蔚来汽车科技(安徽)有限公司、长城汽车股份有限公司、上海海拉电子有限公司、维宁尔(中国)电子有限公司、深圳市大疆卓见科技有限公司、北京航迹科技有限公司、中汽创智科技有限公司、大众汽车(中国)投资有限公司、博世汽车部件(苏州)有限公司、知行汽车科技(苏州)有限公司、北京地平线机器人技术研发有限公司、一汽解放汽车有限公司、北京车和家汽车科技有限公司、东软睿驰汽车技术(上海)有限公司、北京经纬恒润科技股份有限公司、东软集团股份有限公司、智马达汽车有限公司、岚图汽车科技有限公司、中车时代电动汽车股份有限公司、上海集度汽车有限公司、比亚迪汽车工业有限公司、泛亚汽车技术中心有限公司、宇通客车股份有限公司、合众新能源汽车有限公司、襄阳达安汽车检测中心有限公司、北京新能源汽车股份有限公司、中国长安汽车集团有限公司、广州汽车集团股份有限公司、亿咖通(湖北)技术有限公司、苏州博沃创新能源科技有限公司、重庆长安汽车软件科技有限公司、吉利汽车研究院(宁波)有限公司、上海禾赛科技有限公司、联合汽车电子有限公司、北京国家新能源汽车技术创新中心有限公司、北京百度智行科技有限公司、上海蔚来汽车有限公司。
本文件主要起草人:李波、尚世亮、刘航、白晓宇、刘宇、付越、周林、王宇、王潇屹、张伟谦、王嘉浩、吴月翠、马婷、余建业、韩文漠、刘辉、付朝英、陈锐、张刘杨、戎辉、马凯、曲元宁、宋炜瑾、杨虎、余波、张立君、王方方、闻继伟、陈伟、高建勇、李春林、钱坤、谢玉录、李勇、李鸿鹏、郑彤、夏显召、张宏伟、陈义礼、张立、李珍珍、刘发彪、李桂兰、高海龙、王海川、邵海贺、付郁涵、郭魁元、石娟、梁瑜、郭晓东、赵金富、陈勇、周宏伟、王建斌、任夏楠、赵鑫、郑岩、李兆麟、贾元辉、徐大伟、黄毅。引言
GB/T43267—2023
道路车辆的安全是道路车辆行业最为关注的问题。车辆上包含的自动驾驶功能的数量逐渐增加,而这些功能依赖于由电气/电子(E/E)系统实现的感知、复杂算法进行处理和执行。可接受的道路车辆安全水平指不存在因预期功能及其实现相关的任何危害而导致的不合理风险,包括由失效引起的危害和由规范定义不足或性能局限而引起的危害为了实现功能安全,GB/T34590.1一2022将功能安全定义为不存在因电气/电子(E/E)系统的功能异常表现引起的危害而导致的不合理风险。GB/T34590.3一2022描述了如何开展危害分析和风险评估(HARA)以确定整车层面的危害及其安全目标。GB/T违背安全目标的随机硬件失效和系统性失效的要求和建议。34590的其他部分提供了避免和控制可能对于一些电气/电子(E/E)系统,例如依靠感知车辆外部或内部环境来建立态势感知的系统,尽管没有发生GB/T34590(所有部分)中提到的故障,但其预期功能及实现仍可能会导致危害行为,造成此类潜在危害行为的原因,举例来说,包括:-一功能无法正确感知环境:
一一功能、系统和算法在传感器输入变化、融合策略或不同环境条件等方面缺乏鲁棒性;一由于决策算法和/或人的不同期望而导致的非预期的行为。尤其是这些因素与使用机器学习的功能、系统和算法有关。不存在因功能不足引起的危害行为导致的不合理风险被定义为预期功能安全(SOTIF)。功能安
全[GB/T
34590(所有部分)所指的」和预期功能安全在安全方面是互补的(见A.2,以更好地理解GB/T34590(所有部分)和本文件的各自范围)。为解决SOTIF问题,在以下阶段实施消除危害或降低风险的措施:规范定义和设计阶段:
示例1:在开展SOTIF活动的过程中,通过识别出的系统不足或危害场景,对车辆功能或传感器性能要求进行修改。
验证和确认阶段:
示例2:技术评审、对相关场景具有高覆盖率的测试用例、潜在触发条件的注入、选定SOTIF相关场景的在环测试[例如:软件在环(SIL)、硬件在环(HIL)、模型在环(MIL)]。示例3:车辆长期道路测试、车辆场地测试、仿真测试。运行阶段
示例4:SOTIF事件的现场监控。
这些危害可被场景中的特定条件(即触发条件)触发,触发条件可包括预期功能的可合理预见的误用。此外,与其他整车层面功能的交互可能会导致危害(例如,在自动驾驶功能激活时,触发驻车制动)因此,用户正确理解功能及其行为和局限性(包括人机交互)对于确保安全至关重要。示例5:驾驶员在使用L2级驾驶自动化系统时注意力不集中。示例6:模式混淆(例如,当某功能未激活时,驾驶员认为该功能已激活)可能直接导致危害。注1:可合理预见的误用不包括对系统运行的故意更改。基础设施提供的信息(例如,V2X、地图),如果可能对SOTIF产生影响,也将作为评估功能不足的一部分。见附录D中D.4关于V2X功能的指南示例7:对于自动代客泊车系统,路径规划功能和目标探测功能可由基础设施和车辆共同实现。注2:根据应用情况,在评估SOTIF时,基于其他技术的要素可能是相关的示例8:传感器在车辆上的位置和安装可能与避免因振动而导致的传感器输出噪声有关。V
GB/T43267—2023
示例9:在评估摄像头传感器的SOTIF时,挡风玻璃的光学特性可能是相关的。针对电气/电子(E/E)系统的随机硬件故障和系统性故障(包括硬件和软件故障),在GB/T34590
(所有部分)中给出了降低风险的指导。本文件提到的功能不足可能被认为是系统性故障,然而,应对这些功能不足的措施是本文件特有的,同时也是对GB/T34590(所有部分)所述措施的补充。GB/T34590(所有部分)假定预期功能是安全的,且针对的是可导致偏离预期功能进而引发危害的电气/电子系统(E/E)故障。系统及其要素的要求的获取过程可包括这两项标准的相关方面表1说明了危害事件的可能原因与现有标准的映射关系。表1不同标准应对安全相关主题的概览危害来源
外部因素
危害事件的原因
电气/电子(E/E)系统故障
功能不足
不正确和不充分的人机交互(HMI)设计(不恰当的用户态势感知,例如,用户感到困惑、用户负担过重、用户注意力不集中)
基于人工智能算法的功能不足
系统技术
示例:激光雷达光束对眼睛的伤害用户或其他道路参与者的可合理预见的误用利用车辆网络安全漏洞进行攻击智能基础设施和/或车辆与车辆间通信的影响,及外部系统的影响
车辆周围环境的影响(例如,其他用户、非智能基础设施、天气、电磁干扰)
对应的标准
GB/T34590(所有部分)
本文件
本文件
欧洲人机交互原则声明[26]
本文件
特定标准
例如:IEC60825
本文件
GB/T34590(所有部分)
IS0/SAE21434
本文件
IS020077、GB/T34590(所有部分)、GB/T20438本文件
GB/T34590(所有部分)、ISO7637-2、ISO7637-3IS011452-2、IS011452-4、ISO10605及其他标准1范围
道路车辆预期功能安全
GB/T43267—2023
本文件提供了用于确保预期功能安全(SOTIF)的通用论证框架和措施指南。预期功能安全指不存在因预期功能不足引起的危害而导致的不合理风险,功能不足包括:a)整车层面预期功能规范定义的不足;b)系统中电气/电子要素实现的规范定义不足或性能局限。本文件为实现和保持SOTIF所需的适用的设计、验证和确认措施以及在运行阶段的活动提供指导。
本文件适用于依靠复杂传感器和处理算法进行态势感知且感知的正确性会对安全产生重要影响的预期功能,特别是紧急干预系统的功能和驾驶自动化等级为L1~L5级的系统的相关功能本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子(E/E)系统的预期功能。
可合理预见的误用属于本文件的范围。此外,对于由远程用户操作或辅助车辆运行,或与后台通信可影响车辆决策的情况,如果可能导致安全危害,也属于本文件的范围。本文件不适用于:Www.bzxZ.net
-GB/T34590(所有部分)涵盖的故障;一一信息安全威胁;
一因系统技术直接导致的危害(例如,激光雷达光束对眼晴造成的伤害);一与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、能量释放等相关的危害和类似的危害,除非危害是直接由电气/电子(E/E)系统的预期功能引起的:明显违反系统预期用途的故意行为(被视为功能滥用)。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T34590(所有部分)道路车辆功能安全GB/T34590.1一2022道路车辆功能安全第1部分:术语3术语和定义
34590.1一2022界定的以及下列术语和定义适用于本文件。3.1
接受准则acceptancecriterion
表征不存在不合理风险(3.23)水平的准则。注1:接受准则可能是定性的,也可能是定量的。例如:当某特定行为被认为是危害行为时所对应的物理参数、每小时的最大事件数、最低合理可行风险水平(ALARP)等。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。