道路車輛 預(yù)期功能安全

ICS43.040

CCST35

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

`

道路車輛預(yù)期功能安全

RoadVehicles-SafetyoftheIntendedFunctionality

（征求意見稿）

（本草案完成時(shí)間：2022年4月29日）

在提交反饋意見時(shí)，請將您知道的相關(guān)專利連同支持性文件一并附上。

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由中華人民共和國工業(yè)和信息化部提出。

本文件由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC114）歸口。

本文件起草單位：

本文件主要起草人：

道路車輛預(yù)期功能安全

RoadVehicles-SafetyoftheIntendedFunctionality

（征求意見稿）

（本草案完成時(shí)間：2022年4月29日）

在提交反饋意見時(shí)，請將您知道的相關(guān)專利連同支持性文件一并附上。

IV

GB/TXXXXX—XXXX

引言

道路車輛的安全是道路車輛行業(yè)最為關(guān)注的問題。車輛上包含的自動(dòng)駕駛功能的數(shù)量逐漸增加，而

這些功能依賴于由電氣/電子(E/E)系統(tǒng)實(shí)現(xiàn)的感知、復(fù)雜算法進(jìn)行處理和執(zhí)行。

可接受的道路車輛安全水平指不存在因預(yù)期功能及其實(shí)現(xiàn)相關(guān)的任何危害而導(dǎo)致不合理的風(fēng)險(xiǎn)，

包括由失效引起的危害和由規(guī)范定義不足或性能局限而引起的危害。

為了實(shí)現(xiàn)功能安全，GB/T34590.1-XXXX將功能安全定義為不存在因電氣/電子系統(tǒng)的功能異常表

現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。GB/T34590.3-XXXX描述了如何開展危害分析和風(fēng)險(xiǎn)評估（HARA）

以確定整車層面的危害及其安全目標(biāo)。GB/T34590-XXXX的其他部分提供了避免和控制可能違背安全目

標(biāo)的隨機(jī)硬件失效和系統(tǒng)性失效的要求和建議。

對于一些E/E系統(tǒng)，例如依靠感知車輛外部或內(nèi)部環(huán)境來建立態(tài)勢感知的系統(tǒng)，盡管沒有發(fā)生GB/T

34590中所提到的故障，但其預(yù)期功能及實(shí)現(xiàn)仍可能會(huì)導(dǎo)致危害行為，造成此類潛在危害行為的原因，

舉例來說，包括：

——功能無法正確感知環(huán)境；

——功能、系統(tǒng)和算法在傳感器輸入變化、融合策略或不同環(huán)境條件等方面缺乏魯棒性；

——由于決策算法和/或人的不同期望而導(dǎo)致的非預(yù)期的行為。

尤其是這些因素與使用機(jī)器學(xué)習(xí)的功能、系統(tǒng)和算法有關(guān)。

不存在因功能不足引起的危害行為而導(dǎo)致不合理的風(fēng)險(xiǎn)被定義為預(yù)期功能安全（SOTIF）。功能安

全（GB/T34590所指的）和預(yù)期功能安全在安全方面是互補(bǔ)的（見附錄A.2，以更好地理解GB/T34590

和本文件的各自范圍）。

為解決SOTIF問題，在以下階段實(shí)施消除危害或降低風(fēng)險(xiǎn)的措施：

——規(guī)范定義和設(shè)計(jì)階段；

示例1：在開展SOTIF活動(dòng)的過程中，通過識(shí)別出的系統(tǒng)不足或危害場景，對車輛功能或傳感器性能要求進(jìn)行修改。

——驗(yàn)證和確認(rèn)階段；

示例2：技術(shù)評審、對相關(guān)場景具有高覆蓋率的測試用例、潛在觸發(fā)條件的注入、選定SOTIF相關(guān)場景的在環(huán)測試

[例如:軟件在環(huán)（SIL）、硬件在環(huán)（HIL）、模型在環(huán)（MIL）]。

示例3：車輛長期道路測試，車輛場地測試，仿真測試。

——運(yùn)行階段；

示例4：SOTIF事件的現(xiàn)場監(jiān)控。

這些危害可被場景中的特定條件（即：觸發(fā)條件）觸發(fā)，觸發(fā)條件可包括預(yù)期功能的合理可預(yù)見的

誤用。此外，與其他整車層面功能的交互可能會(huì)導(dǎo)致危害（例如，在自動(dòng)駕駛功能激活時(shí)，觸發(fā)駐車制

動(dòng)）。

因此，用戶正確理解功能及其行為和局限性（包括人機(jī)交互）對于確保安全至關(guān)重要。

示例5：駕駛員在使用2級駕駛自動(dòng)化系統(tǒng)時(shí)注意力不集中。

示例6：模式混淆（例如，當(dāng)某功能未激活時(shí)，駕駛員認(rèn)為該功能已激活）可能直接導(dǎo)致危害。

注1：合理可預(yù)見的誤用不包括對系統(tǒng)運(yùn)行的故意更改。

基礎(chǔ)設(shè)施提供的信息（例如，V2X、地圖），如果可能對SOTIF產(chǎn)生影響，也將作為評估功能不足的

一部分。見D.4中關(guān)于V2X功能的指南。

示例7：對于自動(dòng)代客泊車系統(tǒng)，路徑規(guī)劃功能和目標(biāo)探測功能可由基礎(chǔ)設(shè)施和車輛共同實(shí)現(xiàn)。

注2：根據(jù)應(yīng)用情況，在評估SOTIF時(shí)，基于其他技術(shù)的要素可能是相關(guān)的。

V

GB/TXXXXX—XXXX

示例8：傳感器在車輛上的位置和安裝可能與避免因振動(dòng)而導(dǎo)致的傳感器輸出噪聲有關(guān)。

示例9：在評估攝像頭傳感器的SOTIF時(shí)，擋風(fēng)玻璃的光學(xué)特性可能是相關(guān)的。

針對E/E系統(tǒng)的隨機(jī)硬件故障和系統(tǒng)性故障（包括硬件和軟件故障），在GB/T34590中給出了降低

風(fēng)險(xiǎn)的指導(dǎo)。

本文件中提到的功能不足可能被認(rèn)為是系統(tǒng)性故障，然而，應(yīng)對這些功能不足的措施是本文件特有

的，同時(shí)也是對GB/T34590中所述措施的補(bǔ)充。GB/T34590假定預(yù)期功能是安全的，且針對的是E/E系

統(tǒng)故障，這些故障可導(dǎo)致預(yù)期功能的偏離而產(chǎn)生危害。系統(tǒng)及其要素的要求的獲取過程可來自此兩項(xiàng)標(biāo)

準(zhǔn)的相關(guān)方面。

表1說明了危害事件的可能原因與現(xiàn)有標(biāo)準(zhǔn)的映射關(guān)系。

表1不同標(biāo)準(zhǔn)應(yīng)對安全相關(guān)主題的概覽

危害來源危害事件的原因范圍

電氣/電子系統(tǒng)故障GB/T34590

功能不足本文件

不正確和不充分的人機(jī)交互（HMI）設(shè)計(jì)（不恰當(dāng)?shù)谋疚募?/p>

系統(tǒng)用戶態(tài)勢感知，例如，用戶感到困惑、用戶負(fù)擔(dān)過歐洲人機(jī)交互原則聲明[1]

重、用戶注意力不集中）

基于人工智能算法的功能不足本文件

系統(tǒng)技術(shù)特定標(biāo)準(zhǔn)

示例：激光雷達(dá)光束對眼睛的傷害示例：IEC60825

用戶或其他道路參與者的合理可預(yù)見的誤用本文件

GB/T34590

利用車輛安全漏洞進(jìn)行攻擊ISO/SAE21434或SAEJ3061

智能基礎(chǔ)設(shè)施和/或車輛與車輛通信以及外部系統(tǒng)的本文件

外部因素

影響ISO20077、GB/T34590、GB/T20438

車輛周圍環(huán)境的影響（例如，其他用戶、非智能基本文件

礎(chǔ)設(shè)施、天氣、電磁干擾）GB/T34590、ISO7637-2、ISO7537-3、ISO

11452-2、ISO11452-4、ISO10605及其他標(biāo)準(zhǔn)

VI

GB/TXXXXX—XXXX

道路車輛預(yù)期功能安全

1范圍

本文件提供了用于確保預(yù)期功能安全（SOTIF）的措施的通用論證框架和指南。預(yù)期功能安全指不

存在因預(yù)期功能不足引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)，功能不足包括：

a)整車層面預(yù)期功能規(guī)范定義的不足；或

b)系統(tǒng)中電氣/電子要素實(shí)現(xiàn)的規(guī)范定義不足或性能局限。

本文件為實(shí)現(xiàn)和保持SOTIF所需的相關(guān)設(shè)計(jì)、驗(yàn)證和確認(rèn)措施以及在運(yùn)行階段的活動(dòng)提供指導(dǎo)。

本文件適用于依靠復(fù)雜傳感器和處理算法進(jìn)行態(tài)勢感知且感知的正確性會(huì)對安全產(chǎn)生重要影響的

預(yù)期功能，特別是緊急干預(yù)系統(tǒng)的功能和駕駛自動(dòng)化等級為L1-L5的系統(tǒng)的相關(guān)功能。

本文件適用于安裝在除輕便摩托車外的量產(chǎn)道路車輛上的包含一個(gè)或多個(gè)電氣/電子系統(tǒng)的預(yù)期功

能。

合理可預(yù)見的誤用屬于本文件的范圍。此外，如果遠(yuǎn)程用戶對車輛的操作或協(xié)助、或與可影響車輛

決策的后臺(tái)間的通信，可能導(dǎo)致安全危害，也屬于本文件的范圍。

本文件不適用于：

——GB/T34590涵蓋的故障；

——信息安全威脅；

——因系統(tǒng)技術(shù)直接導(dǎo)致的危害（例如，激光雷達(dá)光束對眼睛造成的傷害）；

——與觸電、火災(zāi)、煙霧、熱、輻射、毒性、易燃性、反應(yīng)性、能量釋放等相關(guān)的危害和類似的

危害，除非危害是直接由電氣/電子系統(tǒng)的預(yù)期功能引起的；

——被視為功能濫用的、明顯違反系統(tǒng)預(yù)期用途的故意行為。

對于已具備成熟且可靠的設(shè)計(jì)及驗(yàn)證和確認(rèn)（V&V）措施的現(xiàn)有系統(tǒng)（例如，動(dòng)態(tài)穩(wěn)定性控制系統(tǒng)、

安全氣囊）的功能，不在本文件的預(yù)期使用范圍。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T34590-XXXX（所有部分）道路車輛功能安全（ISO26262:2018，MOD）

3術(shù)語和定義

GB/T34590.1-XXXX界定的以及下列術(shù)語和定義適用于本文件。

接受準(zhǔn)則acceptancecriterion

表征不存在不合理風(fēng)險(xiǎn)(3.23)水平的準(zhǔn)則。

注1：接受準(zhǔn)則可以是定性的或定量的，例如，當(dāng)某特定行為被認(rèn)為是危害行為時(shí)所對應(yīng)的物理參數(shù)，每小時(shí)的最大

事件數(shù)，最低合理可行風(fēng)險(xiǎn)水平(ALARP)等。

1

GB/TXXXXX—XXXX

示例1：從交通統(tǒng)計(jì)數(shù)據(jù)得到合理風(fēng)險(xiǎn)水平是每X千米發(fā)生一次事故。

示例2：與同等整車層面的影響（在使用中已證明駕駛員對該影響可控）進(jìn)行比較，可支持接受準(zhǔn)則的定義。例如，

由非預(yù)期的車道保持輔助功能的干擾而引起的軌跡擾動(dòng)，可類比為橫風(fēng)，以定義該功能的接受準(zhǔn)則。

注2：預(yù)期功能安全的接受準(zhǔn)則包含兩個(gè)層面：

a)第一層：判斷車輛行為是否屬于危害行為而可能導(dǎo)致危害事件的準(zhǔn)則，即危害行為接受準(zhǔn)則；

b)第二層：判斷車輛運(yùn)行過程中殘余安全風(fēng)險(xiǎn)是否處于合理水平的準(zhǔn)則，即殘余風(fēng)險(xiǎn)接受準(zhǔn)則。

示例3：在使用預(yù)期功能安全接受準(zhǔn)則進(jìn)行評估過程中，可首先針對車輛某一行為或事件進(jìn)行評估，判斷是否構(gòu)成有

風(fēng)險(xiǎn)的危害行為或危害事件；然后針對一定行駛里程或行駛時(shí)間內(nèi)出現(xiàn)的危害行為可能導(dǎo)致的殘余危害風(fēng)險(xiǎn)進(jìn)行評估，

判斷是否可以接受。見圖1所示。

圖1雙層接受準(zhǔn)則的評估

注3：雙層接受準(zhǔn)則的指標(biāo)值可能受多方面因素（如：技術(shù)演變、場景變化、交通文明程度提升等）的影響，因而在

應(yīng)用過程中也可能伴隨著接受準(zhǔn)則及其指標(biāo)值的變化。

注4：在考慮特定功能場景的風(fēng)險(xiǎn)時(shí)，雙層接受準(zhǔn)則的理念可能存在融合，例如：通過基于一定時(shí)間內(nèi)、某一場景下

人類駕駛員操作行為的風(fēng)險(xiǎn)統(tǒng)計(jì)，來定義自動(dòng)駕駛功能的危害行為接受準(zhǔn)則。但這并不影響使用雙層接受準(zhǔn)則

對預(yù)期功能安全的評價(jià)。

行為action

場景快照(3.27)中任何參與者所實(shí)施的單一行為。

注1：行為/事件(3.7)的時(shí)序和場景快照是場景(3.26)定義的一部分。

示例：自車(3.6)點(diǎn)亮危害報(bào)警燈。

注2：在該術(shù)語定義中，參與者可是人員、另一目標(biāo)、另一系統(tǒng)或與所考慮功能相互作用的任何要素。

駕駛策略drivingpolicy

定義整車層面可接受的控制行為(3.2)的策略和規(guī)則。

動(dòng)態(tài)駕駛?cè)蝿?wù)DDTdynamicdrivingtask；DDT

在交通中車輛運(yùn)行所需要的實(shí)時(shí)操作和決策功能。

注：以下功能屬于部分動(dòng)態(tài)駕駛?cè)蝿?wù)：

——車輛側(cè)向運(yùn)動(dòng)控制（操作）；

——車輛縱向運(yùn)動(dòng)控制（操作）；

——監(jiān)控駕駛環(huán)境（操作和決策），及執(zhí)行對目標(biāo)與事件(3.7)的響應(yīng)（操作和決策），見OEDR(3.20)；

——運(yùn)動(dòng)規(guī)劃（決策）；

——通過照明、發(fā)信號(hào)及打手勢等增強(qiáng)可見性（決策）。

2

GB/TXXXXX—XXXX

動(dòng)態(tài)駕駛?cè)蝿?wù)后援DDTfallback

當(dāng)發(fā)生失效、探測到功能不足(3.8)或探測到潛在危害行為后，為執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)(3.4)或過渡到

最小風(fēng)險(xiǎn)狀態(tài)(3.16)而由駕駛員或駕駛自動(dòng)化系統(tǒng)做出的響應(yīng)。

示例：駛離ODD(3.21)或傳感器被冰雪遮擋可導(dǎo)致危害行為，此時(shí)要求駕駛員做出響應(yīng)。

自車egovehicle

SOTIF(3.25)分析時(shí)考慮的、裝備了相關(guān)功能的車輛。

事件event

在某一時(shí)刻所發(fā)生的事情。

注1：行為(3.2)/事件的時(shí)序和場景快照(3.27)是場景(3.26)定義的一部分。

注2：雖然每個(gè)行為也是一個(gè)事件，但不是任何事件都只是一個(gè)行為，即行為是事件的子集。

示例1：樹倒在車輛前方50米的街道上。

示例2：交通燈在給定的時(shí)間變綠。

功能不足functionalinsufficiency

規(guī)范定義不足(3.12)或性能局限(3.22)。

注1：功能不足包括整車層面或系統(tǒng)中電氣/電子要素層面的規(guī)范定義不足或性能局限。

注2：SOTIF(3.25)活動(dòng)包括對功能不足的識(shí)別及對其影響的評估。根據(jù)定義（見3.12和3.22），功能不足會(huì)導(dǎo)致危

害行為或無法防止、探測及減輕合理可預(yù)見的誤用(3.17)。在促成危害行為或無法防止、探測及減輕合理可預(yù)

見的誤用的能力尚未被建立時(shí)，可使用術(shù)語“潛在功能不足”。

注3：圖2-圖4描述了SOTIF因果模型，涵蓋以下關(guān)系：觸發(fā)條件(3.30)，功能不足，輸出不足，危害行為，無法防止、

探測及減輕合理可預(yù)見的間接誤用，危害(3.11)，危害事件(3.7)和傷害。

注4：對于有助于傷害發(fā)生的間接誤用，通常涉及兩類功能不足。一類是導(dǎo)致系統(tǒng)在觸發(fā)條件下產(chǎn)生危害行為的功能

不足，另一個(gè)類是導(dǎo)致無法防止、探測及減輕合理可預(yù)見的間接誤用的功能不足。見圖2-4。

示例：一輛配備了L2級高速公路駕駛輔助功能的車輛，探測駕駛員注意力不集中的駕駛員監(jiān)控?cái)z像頭是該系統(tǒng)的

一部分。為了簡化，假設(shè)以下描述為真：

——感知要素存在功能不足，若被觸發(fā)條件1觸發(fā)，該功能不足會(huì)導(dǎo)致危害行為，例如，執(zhí)行錯(cuò)誤的車輛運(yùn)行軌

跡；

——駕駛員監(jiān)控?cái)z像頭存在功能不足，若被觸發(fā)條件2觸發(fā)，該功能不足會(huì)導(dǎo)致系統(tǒng)無法探測和減輕合理可預(yù)見

的間接誤用。

為使傷害發(fā)生，場景(3.26)需包含：

——駕駛員的間接誤用：駕駛員注意力不集中且未及時(shí)探測到系統(tǒng)的危害行為，從而能夠?qū)ζ溥M(jìn)行控制；

——觸發(fā)條件2，其導(dǎo)致系統(tǒng)無法及時(shí)探測和減輕出現(xiàn)的合理可預(yù)見的間接誤用；

——觸發(fā)條件1，其導(dǎo)致系統(tǒng)危害行為。

注5：若整車層面的功能不足被觸發(fā)條件觸發(fā)，這將會(huì)導(dǎo)致危害行為，或?qū)е聼o法防止、探測及減輕合理可預(yù)見的間

接誤用。見圖4A。

注6：若要素層面的功能不足被觸發(fā)條件觸發(fā)，這將會(huì)導(dǎo)致輸出不足。見圖4B。輸出不足本身或與其他要素的一個(gè)或

多個(gè)輸出不足相結(jié)合，將促成整車層面的危害行為或無法防止、探測及減輕合理可預(yù)見的間接誤用。見圖4B。

3

GB/TXXXXX—XXXX

說明：

a——危害是傷害的潛在來源，由整車層面的危害行為導(dǎo)致；

b——包含危害可能導(dǎo)致傷害的條件的場景是傷害發(fā)生的助推因素，但不是傷害的來源；

c——無法充分控制危害事件是傷害發(fā)生的助推因素，但不是傷害的來源。

圖2危害和傷害發(fā)生的關(guān)聯(lián)

圖3危害事件未得到控制的原因

說明：

a——取決于系統(tǒng)架構(gòu)，要素層面的功能不足可被認(rèn)為是單點(diǎn)功能不足(3.28)或多點(diǎn)功能不足(3.19)；

b——輸出不足本身或與其他要素的一個(gè)或多個(gè)輸出不足相結(jié)合，促成整車層面的危害行為或無法防止、探測及減輕合理

可預(yù)見的間接誤用。

圖4SOTIF因果模型

功能修改functionalmodification

功能規(guī)范的變更。

注：“功能修改”與GB/T34590.1-XXXX中定義的術(shù)語“修改”不同。本文件中“功能修改”在GB/T34590術(shù)語中稱

為“變更”。

4

GB/TXXXXX—XXXX

后援用戶fallbackreadyuser

有能力操作車輛，并能在一定時(shí)間內(nèi)（對處于已定義的非駕駛期間的用戶是合適的）進(jìn)行干預(yù)以按

要求執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)后援（3.5）的用戶。

危害hazard

由整車層面危害行為導(dǎo)致的傷害的潛在來源。

規(guī)范定義不足insufficiencyofspecification

可能不完整的規(guī)范定義，當(dāng)被一個(gè)或多個(gè)觸發(fā)條件(3.30)觸發(fā)時(shí)，會(huì)導(dǎo)致危害行為或?qū)е聼o法防止、

探測及減輕合理可預(yù)見的間接誤用(3.17)。

示例1：自適應(yīng)巡航跟車距離的規(guī)范定義不完整，導(dǎo)致自車（3.6）未與前車保持安全距離。

示例2：由于規(guī)范定義的偏差，導(dǎo)致系統(tǒng)無法處理不常見的道路標(biāo)識(shí)，即：不常見的道路標(biāo)識(shí)不在規(guī)范定義的范圍內(nèi)，

因而系統(tǒng)不能恰當(dāng)處理該標(biāo)識(shí)。

注1：在系統(tǒng)生命周期的某個(gè)給定時(shí)間點(diǎn)上，規(guī)范定義不足可能是已知的，也可能是未知的。

注2：SOTIF(3.25)活動(dòng)包括對規(guī)范定義不足的識(shí)別及對其影響的評估。在促成危害行為或無法防止、探測及減輕合

理可預(yù)見的誤用的能力尚未被建立時(shí)，可使用術(shù)語“潛在規(guī)范定義不足”。

注3：從規(guī)范定義、其他系統(tǒng)或要素的假設(shè)、或系統(tǒng)性分析（如第6章包含的分析或引出SOTIF設(shè)計(jì)及實(shí)現(xiàn)所需要求的

其他分析）中衍生出的要求，可包含在正式的數(shù)據(jù)庫中，以助于確保驗(yàn)證。很多組織可能不認(rèn)為這些要求是“規(guī)

范定義”，但對于確保SOTIF是必要的。本文件中使用的術(shù)語“規(guī)范定義不足”包括此類衍生要求的不足。

預(yù)期行為intendedbehavior

預(yù)期功能(3.14)的行為。

注1：預(yù)期行為是開發(fā)者考慮了能力局限的標(biāo)稱功能，這些能力局限來源于所用組件和技術(shù)的固有特性。

注2：開發(fā)者定義的預(yù)期行為，盡管不代表不合理的風(fēng)險(xiǎn)(3.31)，但可能與駕駛員對系統(tǒng)行為的期望不匹配。

預(yù)期功能intendedfunctionality

已定義的功能。

注：預(yù)期功能是在整車層面定義的。

駕駛自動(dòng)化等級levelsofdrivingautomation

基于駕駛自動(dòng)化系統(tǒng)能夠執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)的程度，根據(jù)執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)(3.4)中的角色分配以

及有無設(shè)計(jì)運(yùn)行范圍(3.21)限制，將駕駛自動(dòng)化進(jìn)行的等級劃分，分成0級至5級。

注：見表2（參考GB/T40429-2021附錄A，表A.1）。

表2駕駛自動(dòng)化等級與劃分要素的關(guān)系

動(dòng)態(tài)駕駛?cè)蝿?wù)(3.4)

持續(xù)的側(cè)向和目標(biāo)和事件探動(dòng)態(tài)駕駛?cè)蝿?wù)設(shè)計(jì)運(yùn)行范圍

等級名稱

縱向車輛運(yùn)動(dòng)測與響應(yīng)后援(3.5)(3.21)

控制(3.20)

0應(yīng)急輔助駕駛員駕駛員及系統(tǒng)駕駛員有限制

5

GB/TXXXXX—XXXX

1部分駕駛輔助駕駛員和系統(tǒng)駕駛員及系統(tǒng)駕駛員有限制

2組合駕駛輔助系統(tǒng)駕駛員及系統(tǒng)駕駛員有限制

動(dòng)態(tài)駕駛?cè)蝿?wù)

3有條件自動(dòng)駕駛系統(tǒng)系統(tǒng)后援用戶有限制

(3.10)

4高度自動(dòng)駕駛系統(tǒng)系統(tǒng)系統(tǒng)有限制

5完全自動(dòng)駕駛系統(tǒng)系統(tǒng)系統(tǒng)無限制*

*排除商業(yè)和法規(guī)因素等限制

最小風(fēng)險(xiǎn)狀態(tài)MRCminimalriskconditionMRC

當(dāng)給定的行程無法完成時(shí)，為降低風(fēng)險(xiǎn)(3.23)的車輛狀態(tài)。

注1：這是動(dòng)態(tài)駕駛?cè)蝿?wù)后援(3.5)的一個(gè)預(yù)期輸出。

注2：GB/T34590中相似的功能安全術(shù)語是安全狀態(tài)。

誤用misuse

以制造商或服務(wù)提供商不期望的方式使用。

注1：誤用包括非故意的人員行為，但不包括故意改變系統(tǒng)或以造成傷害為目的而使用系統(tǒng)。

注2：誤用可能源于對系統(tǒng)性能的過度信心。

注3：根據(jù)與危害行為的因果關(guān)系，有兩種誤用，直接誤用和間接誤用。

注4：直接誤用可能是導(dǎo)致系統(tǒng)發(fā)生危害行為的原因，被認(rèn)為是潛在的觸發(fā)條件(3.30)。如果其形成了導(dǎo)致危害行為

發(fā)生的能力，則將其作為觸發(fā)條件。直接誤用也可能是觸發(fā)條件的一部分，即在直接誤用后，需存在場景的其

他特定條件，才能發(fā)生系統(tǒng)的危害行為。

示例1：直接誤用：在城市環(huán)境中激活用于高速公路的功能，導(dǎo)致車輛未探測到停車標(biāo)志并做出響應(yīng)的場景(3.26)。

示例2：直接誤用：在用戶手冊定義的ODD(3.21)范圍以外，駕駛員激活了自動(dòng)化系統(tǒng)。該直接誤用與系統(tǒng)是否包含

自車(3.6)定位組件無關(guān)，此定位組件用于防止功能在定義的ODD范圍外被激活。

注5：間接誤用會(huì)導(dǎo)致對危害行為的可控性降低，或?qū)е率鹿实膰?yán)重度增加，或二者兼有。間接誤用不被視為潛在的

觸發(fā)條件，因?yàn)槠洳荒軐?dǎo)致系統(tǒng)自身的危害行為。

示例3：間接誤用：一個(gè)脫手L2級高速公路輔助系統(tǒng)存在已知的感知問題，要求駕駛員持續(xù)監(jiān)控系統(tǒng)對DDT(3.4)的

正確執(zhí)行，并在必要時(shí)做出干預(yù)。間接誤用是駕駛員睡著，而沒有監(jiān)控。該間接誤用與駕駛員監(jiān)控系統(tǒng)是否探測到此情

況并做出糾正無關(guān)。

示例4：間接誤用：當(dāng)自車處于自動(dòng)駕駛狀態(tài)并在運(yùn)動(dòng)過程中，乘員解開安全帶。該間接誤用潛在增加了事故的嚴(yán)重

度，但不是觸發(fā)條件。

注6：見圖2-4。

誤用場景misusescenario

發(fā)生誤用(3.17)的場景(3.26)。

多點(diǎn)功能不足multiple-pointfunctionalinsufficiency

在一個(gè)或多個(gè)觸發(fā)條件(3.30)觸發(fā)下，且僅當(dāng)與其他要素的功能不足結(jié)合出現(xiàn)時(shí)，才會(huì)導(dǎo)致危害行

為或無法防止、探測及減輕合理預(yù)見的間接誤用(3.17)的要素的功能不足(3.8)。

6

GB/TXXXXX—XXXX

目標(biāo)和事件探測與響應(yīng)OEDRobjectandeventdetectionandresponseOEDR

動(dòng)態(tài)駕駛?cè)蝿?wù)(3.4)中的任務(wù)，其包含監(jiān)控駕駛環(huán)境并對目標(biāo)和事件(3.7)執(zhí)行恰當(dāng)?shù)姆磻?yīng)，以完成

動(dòng)態(tài)駕駛?cè)蝿?wù)(3.4)和/或動(dòng)態(tài)駕駛?cè)蝿?wù)后援(3.5)。

設(shè)計(jì)運(yùn)行范圍ODDoperationaldesigndomainODD

對于給定的駕駛自動(dòng)化系統(tǒng)，在設(shè)計(jì)時(shí)確定的功能運(yùn)行的特定條件。

注1：條件可以是空間的、時(shí)間的、法律的或環(huán)境的。

注2：駕駛自動(dòng)化系統(tǒng)自身的條件，例如：車速、計(jì)算能力及感知能力，也屬于ODD的范疇。

性能局限performanceinsufficiency

技術(shù)能力局限，其在一個(gè)或多個(gè)觸發(fā)條件(3.30)觸發(fā)下，促成危害行為或無法防止、探測及減輕合

理預(yù)見的間接誤用(3.17)。

注1：在系統(tǒng)生命周期的某個(gè)給定時(shí)間點(diǎn)上，性能局限可以是已知的，也可以是未知的。

注2：性能局限考慮系統(tǒng)中的電氣/電子要素，及與實(shí)現(xiàn)SOTIF(3.25)（見3.8注1）相關(guān)的其他技術(shù)要素。

注3：SOTIF(3.25)活動(dòng)包括對性能局限進(jìn)行識(shí)別并評估其影響。在促成危害行為或無法防止、探測及減輕合理可預(yù)

見的誤用的能力尚未建立時(shí)，可使用術(shù)語“潛在性能局限”。

示例：技術(shù)能力局限包括有限的計(jì)算性能、有限的傳感器感知范圍、有限的執(zhí)行等。

風(fēng)險(xiǎn)risk

傷害發(fā)生的概率及其嚴(yán)重度的組合。

反應(yīng)reaction

場景快照(3.27)中任何參與者對行為(3.2)的反饋。

預(yù)期功能安全SOTIFsafetyoftheintendedfunctionalitySOTIF

不存在因預(yù)期功能(3.14)或其實(shí)現(xiàn)的功能不足(3.8)引起的危害(3.11)而導(dǎo)致不合理的風(fēng)險(xiǎn)(3.31)。

注1：可導(dǎo)致危害的系統(tǒng)危害行為，是由場景(3.26)中的觸發(fā)條件(3.30)引發(fā)的（見圖2）。合理可預(yù)見的直接誤用

(3.17)被認(rèn)為是潛在的觸發(fā)條件。

注2：在識(shí)別危害事件(3.7)時(shí)，對“預(yù)期使用和合理可預(yù)見的間接誤用(3.17)”與“因規(guī)范定義不足(3.12)或性能

局限(3.22)導(dǎo)致的危害行為”進(jìn)行結(jié)合考慮。

場景scenario

按場景快照(3.27)的先后順序，對幾個(gè)場景快照的時(shí)間關(guān)系進(jìn)行的描述，包括特定情況下受行為

(3.2)和事件(3.7)影響的目標(biāo)和取值。

注1：每個(gè)場景都開始于一個(gè)初始的場景快照?？啥x行為、事件、目標(biāo)及取值，以對場景中的時(shí)間關(guān)系進(jìn)行特征化。

與場景快照不同，場景持續(xù)了一定的時(shí)長。

注2：提及的“目標(biāo)和取值”是預(yù)期功能的條件參數(shù)。目標(biāo)可以是“保持在車道線以內(nèi)”，取值可以是“行人安全的

優(yōu)先級高于避免財(cái)產(chǎn)損失”。

場景快照scene

環(huán)境快照，包括風(fēng)景、動(dòng)態(tài)要素、所有參與者和觀察者的自我表征以及這些實(shí)體之間的關(guān)系。

注1：場景快照可包含環(huán)境要素（狀態(tài)、時(shí)間、天氣、照明和其他周邊條件）、道路設(shè)施或內(nèi)部要素（道路或內(nèi)部幾

7

GB/TXXXXX—XXXX

何構(gòu)造、拓?fù)浣Y(jié)構(gòu)、質(zhì)量、交通標(biāo)識(shí)、道路邊界等）及對象/參與者（如果適用，靜態(tài)的、動(dòng)態(tài)的、運(yùn)動(dòng)的、

交互、動(dòng)作）。

注2：一個(gè)包含所有實(shí)體（如風(fēng)景、動(dòng)態(tài)要素、參與者）的包羅萬象的場景快照（即客觀場景或基本事實(shí)）只能在模

擬中建模。在現(xiàn)實(shí)世界中，場景快照是由傳感器感知的。自車(3.6)或人類駕駛員感知到的場景快照是對真實(shí)

情況的不完整、不準(zhǔn)確、不確定和潛在錯(cuò)誤的投影。

注3：場景快照也可包含自車及實(shí)施預(yù)期功能(3.14)的系統(tǒng)的情況，如：胎壓、用戶使用情況及系統(tǒng)部件存在的失效。

單點(diǎn)功能不足single-pointfunctionalinsufficiency

在一個(gè)或多個(gè)觸發(fā)條件(3.30)觸發(fā)下，直接導(dǎo)致危害行為或無法防止、探測及減輕合理可預(yù)見的誤

用(3.17)的要素的功能不足(3.8)。

態(tài)勢感知situationalawareness

對態(tài)勢的理解。

觸發(fā)條件triggeringcondition

場景(3.26)中的特定條件，這些條件引發(fā)了系統(tǒng)的后續(xù)反應(yīng)，這些反應(yīng)促成了危害行為或無法防止、

探測及減輕合理可預(yù)見的間接誤用。

注1：“觸發(fā)”的概念包含有多個(gè)條件逐步發(fā)生而導(dǎo)致危害行為或無法預(yù)防、探測及減輕合理可預(yù)見的誤用的可能

性。

注2：場景(3.26)中的觸發(fā)條件觸發(fā)了功能不足(3.8)，導(dǎo)致系統(tǒng)的后續(xù)反應(yīng)。見圖2-4。

示例：在高速公路上運(yùn)行時(shí)，車輛自動(dòng)緊急制動(dòng)(AEB)系統(tǒng)誤將道路標(biāo)志識(shí)別為前車，導(dǎo)致了Xg的制動(dòng)持續(xù)了Y秒。

在此示例中，觸發(fā)條件是在高速公路上運(yùn)行時(shí)導(dǎo)致誤識(shí)別路標(biāo)的環(huán)境條件，而AEB具有相關(guān)的性能局限(3.22)（例如，

感知精度低或算法分類錯(cuò)誤）。

注3：SOTIF(3.25)活動(dòng)包括對觸發(fā)條件進(jìn)行識(shí)別并評估系統(tǒng)的響應(yīng)。在引發(fā)相應(yīng)反應(yīng)的能力尚未被建立時(shí)，可使用

術(shù)語“潛在的觸發(fā)條件”。

注4：合理可預(yù)見的直接誤用可直接引發(fā)系統(tǒng)的危害行為，被視為潛在的觸發(fā)條件。

注5：見圖2-4。

不合理的風(fēng)險(xiǎn)unreasonablerisk

按照現(xiàn)行的安全觀念，被判斷為在某種環(huán)境下不可接受的風(fēng)險(xiǎn)（3.23）。

用例usecase

一組相關(guān)場景(3.26)的描述。

注1：用例可包括以下的系統(tǒng)相關(guān)信息：

——一個(gè)或幾個(gè)場景；

——功能范圍（如最大允許車速、最大允許減速度）；

——預(yù)期行為；

——系統(tǒng)邊界；

——關(guān)于環(huán)境和人員操作的假設(shè)。

注2：典型的用例描述不包括該用例的全部相關(guān)場景詳單。相反，用這些場景的更概要的描述。

確認(rèn)目標(biāo)validationtarget

用于論證滿足接受準(zhǔn)則(3.1)的值。

8

GB/TXXXXX—XXXX

注1：確認(rèn)目標(biāo)的定義取決于目標(biāo)市場和運(yùn)行場景(3.26)。

注2：在SOTIF(3.25)范圍內(nèi)，確認(rèn)是一種保證，基于檢查和測試，確保接受準(zhǔn)則（對于已識(shí)別的危害）會(huì)得到實(shí)現(xiàn)

且具有充分的置信度水平。

示例：功能在Y小時(shí)的耐久運(yùn)行中無危害行為，或在X次泊車中發(fā)生一次某種嚴(yán)重度的危害行為。

注3：為完全滿足一個(gè)給定的接受準(zhǔn)則，滿足多個(gè)確認(rèn)目標(biāo)可能是必要的。

整車層面安全策略VLSSvehiclelevelsafetystrategyVLSS

針對預(yù)期功能(3.14)的一組整車層面需求，用于支持設(shè)計(jì)、驗(yàn)證和確認(rèn)活動(dòng)以實(shí)現(xiàn)SOTIF(3.25)。

注：可為每個(gè)SOTIF相關(guān)的系統(tǒng)定義一套整車層面安全策略。

優(yōu)先度子集PrioritySubset

按照一定的規(guī)則對要素的屬性進(jìn)行排序，所挑選出的部分要素的集合。

示例：根據(jù)場景要素中與預(yù)期功能不足的相關(guān)性（觸發(fā)條件），及這些要素的發(fā)生概率，可以給出預(yù)期功能的一組

場景優(yōu)先度子集或用例優(yōu)先度子集。

注1：由于場景和用例的完整描述難以實(shí)現(xiàn)，優(yōu)先度子集有助于支持SOTIF分析、驗(yàn)證和確認(rèn)、評估活動(dòng)中，應(yīng)對大

量的場景和用例。

注2：對要素屬性的排序規(guī)則可以是定性的，如：與預(yù)期功能是否相關(guān)，也可以是定量的，如：場景要素出現(xiàn)的概率

大小。

注3：場景優(yōu)先度子集是給定規(guī)則的場景概要描述，可支持對用例和場景的分析和建立，以及對場景覆蓋率的論證。

4預(yù)期功能安全活動(dòng)概述和組織

總則

第4章提供了：

a)預(yù)期功能安全原理的概述；

b)關(guān)于預(yù)期功能安全活動(dòng)的工作流程和使用本文件的指南；

c)關(guān)于預(yù)期功能安全活動(dòng)管理和支持過程管理的指南。

本文件中規(guī)定的活動(dòng)適用于整車、系統(tǒng)和組件層面。

預(yù)期功能安全的原理

4.2.1SOTIF相關(guān)的危害事件模型

本文件的主要目的是，對用于確保SOTIF相關(guān)危害事件達(dá)到足夠低的風(fēng)險(xiǎn)水平的活動(dòng)和理由進(jìn)行描

述。

功能和系統(tǒng)規(guī)范及設(shè)計(jì)包含了相關(guān)用例，而這些用例又由多個(gè)場景組成。這些場景可能包含導(dǎo)致傷

害（簡化的示意圖見圖5，詳細(xì)的示意圖見圖2-4）的觸發(fā)條件。為了避免傷害，適當(dāng)?shù)膽B(tài)勢感知是必要

的。

9

GB/TXXXXX—XXXX

說明：

a——觸發(fā)條件包括合理可預(yù)見的直接誤用。

b——無法控制危害事件也可能是由于合理可預(yù)見的間接誤用導(dǎo)致的，例如，駕駛員沒有按照規(guī)定的方式監(jiān)控系統(tǒng)。

圖5SOTIF相關(guān)危害事件模型的示意圖

示例1：當(dāng)一個(gè)僅適用于高速公路的功能在城市環(huán)境中被激活時(shí)，該功能將難以識(shí)別和解釋弱勢道路使用者的運(yùn)動(dòng)。

示例2：對系統(tǒng)運(yùn)行模式的錯(cuò)誤理解，例如，系統(tǒng)未激活，但駕駛員誤認(rèn)為系統(tǒng)處于激活狀態(tài)。在這種情況下，用于

防止這種混淆的系統(tǒng)人機(jī)交互的潛在不足或（如果駕駛員行為可以被監(jiān)控的情況下）系統(tǒng)缺乏恰當(dāng)?shù)姆磻?yīng)，可能也被視

為系統(tǒng)的危害行為。

注1：正確的態(tài)勢感知依賴于：

——對相關(guān)環(huán)境條件具有足夠全面、準(zhǔn)確的感知，對場景快照的正確理解（例如，探測停車標(biāo)志），以及關(guān)于每

個(gè)道路參與者的狀態(tài)的預(yù)測模型（例如，行駛方向，速度）。定位、自車運(yùn)動(dòng)、與其他車輛或環(huán)境的通信等

信息可進(jìn)一步用于態(tài)勢感知。

——駕駛時(shí)，適當(dāng)?shù)男袨榛蚍磻?yīng)（例如，遵守與停車標(biāo)志相關(guān)的規(guī)則）。

在車輛的整個(gè)運(yùn)行生命周期中，可能會(huì)產(chǎn)生以下變化：

——環(huán)境（例如，新型交通標(biāo)志、道路標(biāo)記、車輛）；

——適當(dāng)?shù)捻憫?yīng)（例如，新交通標(biāo)志要求的新駕駛行為，駕駛場景的變化，駕駛法規(guī)的變化）。

注2：本文件第13章描述了對此類變化的監(jiān)控。

注3：該問題可以通過源于駕駛策略的要求來解決。見附錄D.1中的示例。

在定義設(shè)計(jì)運(yùn)行范圍（ODD）和系統(tǒng)開發(fā)過程中（例如，風(fēng)險(xiǎn)識(shí)別，定義適當(dāng)?shù)拇胧?，考慮上述

這些變化，以確保運(yùn)行階段的預(yù)期功能安全。

4.2.2場景的四個(gè)區(qū)域

在本文件中，危害場景指的是導(dǎo)致危害行為的場景。作為相關(guān)用例的一部分，車輛運(yùn)行場景可以分

為四個(gè)區(qū)域（見圖6和圖7）。

圖6場景的可視化分類

10

GB/TXXXXX—XXXX

圖7場景可視化分類的替代方案

定義區(qū)域1、2、3和4，旨在構(gòu)建和指導(dǎo)對本文件的理解：

——已知安全場景（區(qū)域1）；

——已知不安全場景（區(qū)域2）；

——未知不安全場景（區(qū)域3）；

——未知安全場景（區(qū)域4）。

示例：未知區(qū)域與以下場景相關(guān)：

——定義了潛在的觸發(fā)條件（例如，極端低溫、不同駕駛場景的特殊組合），但系統(tǒng)的行為是未知的；

——存在未知的觸發(fā)條件（例如，概率極低的偶發(fā)事件）；或

——場景的已知參數(shù)可組合成未知的潛在觸發(fā)條件（例如，天氣和交通條件的組合）。

注1：區(qū)域4中的場景是未知但安全的，不會(huì)導(dǎo)致傷害風(fēng)險(xiǎn)。一旦區(qū)域4中的場景被發(fā)現(xiàn)（即成為已知的），它就會(huì)被

移至區(qū)域1。

該模型是一個(gè)抽象概念，其代表了SOTIF活動(dòng)的目標(biāo)，即：

——基于對預(yù)期功能的分析，評估區(qū)域2的風(fēng)險(xiǎn)是否可接受；

——通過功能修改（見第8章），將區(qū)域2中引起危害行為的已知不安全場景的概率，降低到可

接受的標(biāo)準(zhǔn)；

——通過充分的驗(yàn)證和確認(rèn)策略（見第9和11章），將區(qū)域3中引起潛在危害行為的未知不安

全場景的概率，降低到可接受的標(biāo)準(zhǔn)。

注2：各區(qū)域的大小代表場景的數(shù)量大小，而不是這些場景導(dǎo)致的風(fēng)險(xiǎn)大小。然而，這只是一種概念性描述方法，因

為這些區(qū)域的大小并不是真正可以測量的。SOTIF的任務(wù)是為預(yù)期功能的風(fēng)險(xiǎn)足夠低提供論據(jù)，其中，場景的

數(shù)量是其中的一個(gè)方面，但不是唯一的方面。造成傷害的嚴(yán)重度和危害場景出現(xiàn)的可能性會(huì)影響預(yù)期功能的風(fēng)

險(xiǎn)，但這些并未在區(qū)域中體現(xiàn)。

注3：即使在所應(yīng)用的系統(tǒng)開發(fā)方法中，某些SOTIF相關(guān)活動(dòng)未計(jì)劃使用場景的方法，也不會(huì)改變SOTIF的目標(biāo)，即，

避免不合理風(fēng)險(xiǎn)。

一個(gè)給定的用例可以包含已知和未知的場景。探索每個(gè)用例的場景可以識(shí)別出以前未知的場景。

SOTIF活動(dòng)的最終目標(biāo)是評估區(qū)域2和區(qū)域3中存在的潛在危害行為，并提供論據(jù)以證明這些場景導(dǎo)

致的殘余風(fēng)險(xiǎn)足夠低，即達(dá)到或低于接受準(zhǔn)則。雖然明確評估了區(qū)域2中已知場景產(chǎn)生的風(fēng)險(xiǎn)，也需要

通過基于統(tǒng)計(jì)數(shù)據(jù)的測試，以論證區(qū)域3中未知場景產(chǎn)生的風(fēng)險(xiǎn)足夠低。

11

GB/TXXXXX—XXXX

期望降低區(qū)域2和區(qū)域3的殘余風(fēng)險(xiǎn)。通過不斷增加區(qū)域1（見圖8和9）中的場景集合，將提高實(shí)現(xiàn)

SOTIF的信心。

圖8預(yù)期功能安全活動(dòng)帶來的場景區(qū)域演變

圖9預(yù)期功能安全活動(dòng)帶來的場景區(qū)域之間的演變替代表現(xiàn)形式

4.2.3“感知-規(guī)劃-執(zhí)行”模型

本文件中，導(dǎo)致危害行為的可能原因，與系統(tǒng)能力密切相關(guān)，這些能力包括創(chuàng)建足夠準(zhǔn)確的環(huán)境模

型，基于環(huán)境模型做出正確決策并推導(dǎo)出正確的控制動(dòng)作，以及執(zhí)行該控制動(dòng)作。

關(guān)鍵系統(tǒng)要素及其交互由“感知-規(guī)劃-執(zhí)行”模型表示（見圖10）?！案兄币貓?zhí)行感知部分（包

括定位），即依據(jù)從車輛外部和內(nèi)部環(huán)境以及車輛和系統(tǒng)狀態(tài)所感知并接收到的信息，創(chuàng)建環(huán)境模型。

“規(guī)劃”要素將其目標(biāo)和策略應(yīng)用于由“感知”要素提供的環(huán)境模型，以得出控制行為。最后，“執(zhí)行”

要素執(zhí)行控制行為。

注：決策算法被包含在“感知-規(guī)劃-執(zhí)行”模型的所有要素中（例如，分類、傳感器數(shù)據(jù)、融合、態(tài)勢分析、行為

12

GB/TXXXXX—XXXX

決策）。

圖10“感知-規(guī)劃-執(zhí)行”模型

基于“感知-規(guī)劃-執(zhí)行”模型，對有能力的整體系統(tǒng)架構(gòu)的選擇，是實(shí)現(xiàn)高效SOTIF過程的一個(gè)重

要考慮因素，在高效的SOTIF過程中，與整體能力相關(guān)的活動(dòng)可在早期階段啟動(dòng)，并貫穿整個(gè)功能開發(fā)

生命周期。選擇一個(gè)有能力的系統(tǒng)架構(gòu)對于確保SOTIF至關(guān)重要。因此，可在系統(tǒng)開發(fā)的早期階段啟動(dòng)

系統(tǒng)架構(gòu)的定義工作。此外，在系統(tǒng)整個(gè)生命周期中，定期評審系統(tǒng)架構(gòu)，并在必要時(shí)進(jìn)行更新。

本文件的使用

4.3.1本文件的流程圖和結(jié)構(gòu)

SOTIF流程（見圖11）開始于規(guī)范定義和設(shè)計(jì)（見第5章）。規(guī)范定義和設(shè)計(jì)中包含了那些在后續(xù)SOTIF

活動(dòng)和周期開始前就已知的性能局限和功能不足。SOTIF活動(dòng)的迭代可能會(huì)導(dǎo)致規(guī)范定義和設(shè)計(jì)的更新，

以及新的先前未發(fā)現(xiàn)的性能局限和功能不足。開始于規(guī)范定義和設(shè)計(jì)的每次迭代，也致力于將規(guī)范定義

和設(shè)計(jì)更新到最新的狀態(tài)。

對預(yù)期功能的潛在危害行為進(jìn)行危害識(shí)別和風(fēng)險(xiǎn)評估（見第6章）。對已識(shí)別出的危害事件進(jìn)行風(fēng)

險(xiǎn)評估，并定義相應(yīng)的風(fēng)險(xiǎn)接受準(zhǔn)則。如果證明危害事件不會(huì)導(dǎo)致不合理的風(fēng)險(xiǎn)，則不需應(yīng)用額外的設(shè)

計(jì)措施。第6章不考慮預(yù)期功能的危害行為的原因，而僅考慮其對安全的影響。因此，重點(diǎn)是評估可能

由危害行為引起的危害事件，并定義所需滿足的接受準(zhǔn)則。

第7章旨在識(shí)別可能導(dǎo)致預(yù)期功能危害行為的根本原因（見圖2），并評估由所識(shí)別出的潛在功能不

足和觸發(fā)條件引起的風(fēng)險(xiǎn)是否合理。

根據(jù)第6、7、9、10、11、12、13章的活動(dòng)，如果認(rèn)為有必要，則對功能進(jìn)行修改（例如，改進(jìn)傳

感器的能力，對ODD進(jìn)一步的限制），以改進(jìn)SOTIF，見第8章。

制定驗(yàn)證和確認(rèn)策略，以提供證據(jù)來證明：與SOTIF相關(guān)的整車層面殘余風(fēng)險(xiǎn)符合可接受的水平，

要素滿足其功能要求（見第9章），對設(shè)計(jì)運(yùn)行范圍(ODD)的覆蓋是充分的。為了能夠收集所需的證據(jù)，

可以從該策略中導(dǎo)出相應(yīng)的驗(yàn)證和確認(rèn)測試用例，且ODD上的測試用例具有足夠高的覆蓋率（見第10和

11章）。

評估SOTIF活動(dòng)的結(jié)果是否充分，足以論證實(shí)現(xiàn)了SOTIF，見第12章。

在運(yùn)行階段定義了識(shí)別和解決可能出現(xiàn)的SOTIF現(xiàn)場運(yùn)行問題的流程（見第13章）。

圖11描述了本文件中為確保預(yù)期功能安全所需的活動(dòng)流程。帶圓圈的數(shù)字表示本文件中的相應(yīng)章

節(jié)。

13

GB/TXXXXX—XXXX

圖11SOTIF活動(dòng)的相關(guān)性

附錄A提供了關(guān)于SOTIF的一般指南。

附錄B提供了關(guān)于場景和系統(tǒng)分析的指南。

附錄C提供了關(guān)于SOTIF驗(yàn)證和確認(rèn)的指南。

附錄D提供了關(guān)于SOTIF特定方面的指南，例如，駕駛策略的定義，對機(jī)器學(xué)習(xí)的影響以及對地圖

和V2X的考慮。

附錄E提供了風(fēng)險(xiǎn)接受準(zhǔn)則的示例。

4.3.2規(guī)范的條款

通過在各章節(jié)的開始列出目標(biāo)，提供實(shí)現(xiàn)目標(biāo)的論據(jù)，并記錄相應(yīng)的工作成果，可以聲明符合本文

件。目標(biāo)的規(guī)范性特征是通過使用關(guān)鍵詞“應(yīng)”來表達(dá)的，表示一種要求。

注：附錄A.1給出了基于目標(biāo)結(jié)構(gòu)符號(hào)（GSN）的論證示例。

4.3.3表的解釋

本文件中的一些表列出了為實(shí)現(xiàn)某一開發(fā)目標(biāo)的一系列方法和措施。這些條目旨在說明可能的方

法和措施，而表的條目可能并不詳盡。可以采用其他等效的方法和措施。這些表的目的是支持開發(fā)團(tuán)隊(duì)

選擇一個(gè)或多個(gè)適當(dāng)?shù)拇胧┖头椒ā?/p>

注：選擇一組適當(dāng)?shù)姆椒赡苋Q于各種因素，例如，危害事件的復(fù)雜性或暴露概率。

SOTIF活動(dòng)管理和支持過程

4.4.1質(zhì)量管理、系統(tǒng)工程和功能安全

為了開發(fā)安全的產(chǎn)品，嚴(yán)格的工程和質(zhì)量管理過程至關(guān)重要。這些已經(jīng)在其他標(biāo)準(zhǔn)中予以說明，如

IATF16949、GB/T34590和ISO15288。本文件僅關(guān)注這些過程中的SOTIF特定方面。

注1：在產(chǎn)品開發(fā)過程中，本文件和GB/T34590中規(guī)定的活動(dòng)是并行開展的。一般而言，實(shí)施的措施可能對SOTIF和

功能安全產(chǎn)生影響，并按照這兩種方法論進(jìn)行評估。附錄A.2為并行應(yīng)用GB/T34590和SOTIF提供了實(shí)踐指南。

14

GB/TXXXXX—XXXX

對于管理活動(dòng)和支持過程，可以將GB/T34590第2、7和8部分?jǐn)U展到SOTIF活動(dòng)中。5.3章條和10.2

章條進(jìn)一步描述了需求傳遞和追溯性要求。

對于SOTIF相關(guān)的活動(dòng)，按下文選擇一組方法和措施：

——SOTIF過程（見圖11）始于規(guī)范定義和系統(tǒng)及其架構(gòu)的設(shè)計(jì)（見第5章）；

——對預(yù)期功能的潛在危害行為進(jìn)行危害識(shí)別和風(fēng)險(xiǎn)評估（見第6章），以識(shí)別危害及其相應(yīng)的

危害事件。如果證明危害事件不會(huì)導(dǎo)致不合理的風(fēng)險(xiǎn)，則不需應(yīng)用額外的設(shè)計(jì)措施。

注2：第6章不考慮預(yù)期功能的危害行為的原因，而僅考慮其對安全的影響。因此，重點(diǎn)是評估可能由危害行為引起

的危害事件，并定義所需滿足的接受準(zhǔn)則。

——第7章旨在識(shí)別可能導(dǎo)致預(yù)期功能危害行為的根本原因（見圖2），并評估由所識(shí)別出的潛

在功能不足和觸發(fā)條件引起的風(fēng)險(xiǎn)是否合理。

——根據(jù)第6、7、10、11、12、13章的活動(dòng)，如果認(rèn)為有必要，則對功能進(jìn)行修改（例如，改

進(jìn)傳感器的能力，對ODD進(jìn)一步的限制），以改進(jìn)SOTIF。見第8章。

——制定驗(yàn)證和確認(rèn)策略，以提供證據(jù)來證明：與SOTIF相關(guān)的整車層面殘余風(fēng)險(xiǎn)達(dá)到可接受的

水平，要素滿足其功能要求（見第9章），對設(shè)計(jì)運(yùn)行范圍(ODD)的覆蓋是充分的。為了能

夠收集所需的證據(jù)，可以從該策略中導(dǎo)出相應(yīng)的驗(yàn)證和確認(rèn)測試用例，且ODD上的測試用例

具有足夠高的覆蓋率（見第10和11章）。

——根據(jù)先前活動(dòng)的結(jié)果，評估殘余風(fēng)險(xiǎn)（見第12章）。

——在運(yùn)行階段定義了識(shí)別和解決可能出現(xiàn)的SOTIF現(xiàn)場運(yùn)行問題的流程（見第13章）。

注3：關(guān)于GB/T34590功能安全和本文件之間的交互，附錄A.2給出了進(jìn)一步解釋。

4.4.2分布式SOTIF開發(fā)活動(dòng)

在分布式產(chǎn)品開發(fā)的情況下，所有相關(guān)方之間定義了開發(fā)接口協(xié)議（DIA），DIA的目的是在項(xiàng)目的

早期階段確認(rèn)SOTIF活動(dòng)的所有職責(zé)，并在開發(fā)方之間交換充分的技術(shù)信息。

IATF16949提供了一個(gè)基本流程框架，也可在SOTIF過程中予以考慮。本章條側(cè)重于如何將DIA擴(kuò)展

到分布式SOTIF開發(fā)和實(shí)施中。GB/T34590提供了關(guān)于功能安全方面的DIA和供應(yīng)協(xié)議框架。為了將此框

架應(yīng)用于SOTIF，可以進(jìn)行剪裁，增加與SOTIF開發(fā)和實(shí)施相關(guān)的各方職責(zé)?？紤]并商定各方的責(zé)任，以

計(jì)劃和執(zhí)行第5至第13章的整個(gè)SOTIF活動(dòng)。對將要共享的信息和工作成果進(jìn)行定義?？筛鶕?jù)GB/T

34590.8中5.4.1、5.4.2、5.4.3、5.4.4和5.4.6所描述的過程，并為SOTIF進(jìn)行剪裁，來完成這些活動(dòng)。

在項(xiàng)目開發(fā)初期就文檔格式達(dá)成一致。

4.4.3獨(dú)立于環(huán)境的SOTIF相關(guān)要素

為了實(shí)現(xiàn)SOTIF，對不同系統(tǒng)（硬件和軟件）之間的接口的描述是必要的。為了確保集成的系統(tǒng)在

所定義的ODD內(nèi)是安全的，每個(gè)子系統(tǒng)（例如，獨(dú)立的感知系統(tǒng)）的邊界都要經(jīng)過仔細(xì)的評估。因?yàn)榄h(huán)

境因素（例如，ODD、場景）是SOTIF開發(fā)的基本問題，所以系統(tǒng)及其要素依層級的不同具有不同的關(guān)注

點(diǎn)。就這些系統(tǒng)和要素的開發(fā)而言，它們可以分為以下三種類型之一：

a)在環(huán)境中的開發(fā)：整個(gè)系統(tǒng)的所有SOTIF活動(dòng)遵循V模型進(jìn)行開發(fā)。對于從事系統(tǒng)及其要素

的分布式開發(fā)的各方，根據(jù)任務(wù)角色，來確定要求，包括規(guī)范定義和設(shè)計(jì)（見第5章）以及其

他活動(dòng)（見第6、7、8、9、10、11，12和13章）。在GB/T34590中，這種開發(fā)被視為“在

環(huán)境中”的開發(fā)。

b)獨(dú)立于環(huán)境的SOTIF相關(guān)要素：對于這些要素，可以對它們在整個(gè)系統(tǒng)中的使用及其對預(yù)期功

能的貢獻(xiàn)做出假設(shè)。因此，可以對與SOTIF相關(guān)的輸出不足及其容許的發(fā)生概率目標(biāo)做出假

設(shè)。記錄這些假設(shè)并將其作為這些要素后續(xù)開發(fā)的輸入。SOTIF活動(dòng)提供了實(shí)現(xiàn)相應(yīng)概率目標(biāo)

的證據(jù)。對于獨(dú)立于環(huán)境的SOTIF相關(guān)要素，記錄已識(shí)別出的觸發(fā)條件及其引起的輸出不足。

15

GB/TXXXXX—XXXX

通過整車層面功能環(huán)境下的SOTIF活動(dòng)，確定假設(shè)的有效性（見GB/T34590.10第9章的

SEooC）。

c)非特定的SOTIF相關(guān)開發(fā)：這些要素的功能可通過多種方式幫助實(shí)現(xiàn)預(yù)期功能，因此，如果使

用這些要素的環(huán)境未知，提前預(yù)估SOTIF相關(guān)要求在實(shí)踐上是不可行的。

5規(guī)范定義和設(shè)計(jì)

目的

本章的目的是實(shí)現(xiàn)以下目標(biāo)：

a)規(guī)范定義和設(shè)計(jì)應(yīng)包含充分的信息以開展SOTIF相關(guān)活動(dòng)；

b)在SOTIF相關(guān)活動(dòng)的每次迭代后，應(yīng)根據(jù)要求對規(guī)范定義和設(shè)計(jì)進(jìn)行更新（見圖11）。

功能規(guī)范的定義和對設(shè)計(jì)的考慮

規(guī)范定義和設(shè)計(jì)可包括本條中所列的各個(gè)方面。某些方面僅與特定的自動(dòng)化等級或特定的應(yīng)用相

關(guān)。此外，某些方面與整車層面或要素層面的功能規(guī)范定義相關(guān)。

考慮的方面（如適用）包括但不限于以下方面：