简介:本文件提供了关于确保预期功能安全性 (SOTIF) 的措施的一般论证框架和指南,即不存在由于功能不足引起的危险而导致的不合理风险,即:a) 车辆层面预期功能规范不足;或b) 规范不足或性能不足,在系统中实施电气和/或电子 (E/E) 元件。本文件提供了有关实现和维护 SOTIF 所需的适用设计、验证和确认措施以及操作阶段的活...
本文件提供了关于确保预期功能安全性 (SOTIF) 的措施的一般论证框架和指南,即不存在由于功能不足引起的危险而导致的不合理风险,即:
a) 车辆层面预期功能规范不足;或
b) 规范不足或性能不足,在系统中实施电气和/或电子 (E/E) 元件。
本文件提供了有关实现和维护 SOTIF 所需的适用设计、验证和确认措施以及操作阶段的活动的本文档适用于适当的态势感知对安全至关重要的预期功能,并且这种态势感知来自复杂的传感器和处理算法,尤其是紧急干预系统和驾驶自动化级别从 1 到 5 的系统的功能[2].
本文件适用于预期功能,包括安装在批量生产道路车辆(不包括轻便摩托车)中的一个或多个 E/E 系统。
合理可预见的滥用属于本文档的范围。此外,当可能导致安全隐患时,远程用户对车辆的操作或协助或与后台的通信可能会影响车辆决策,这些都属于本文档的范围。
本文档不适用于:
— ISO 26262 系列涵盖的故障;
— 网络安全威胁;
— 由系统技术直接造成的危险(例如激光雷达光束对眼睛的伤害);
— 与触电、火灾、烟雾、热、辐射、毒性、可燃性、反应性、能量释放和类似危险相关的危险,除非由 E/E 系统的预期功能直接引起;和
— 明显违反系统预期用途的故意行为(被视为功能滥用)。
本文档不适用于存在成熟且广受信任的设计、验证和确认 (V&V) 措施的现有系统(例如动态稳定控制系统、安全气囊)的功能。