1.2.1 预期功能安全活动基本流程

当前预期功能安全标准草案ISO/DIS 21448规定了SOTIF设计开发的基本活动：规范和设计、危害识别与评估、潜在功能不足和触发条件识别与评估、功能改进、验证和确认策略定义、已知危险场景评估、未知危险场景评估、SOTIF发布标准、运行阶段活动。各部分活动逻辑关系如图1-4所示。

首先是规范和设计活动，通过该活动定义启动后续SOTIF活动的信息，并作为反馈循环一部分在SOTIF相关活动每次迭代后进行必要更新。在此阶段可包含对车辆、系统、组件等不同层级的功能描述和规范，如预期功能、子功能及其实现所需的系统、子系统和元素、组件等，所安装传感器、控制器、执行器或其他输入和部件的性能目标，预期功能和驾乘人员、道路使用者、环境等的依赖、交互关系，合理可预见误操作以及潜在性能局限等。本阶段需要提供对系统、子系统及其功能和性能危害识别目标的充分理解，以便执行后续阶段活动。

危害识别与评估阶段主要包含三类活动：危害识别、风险评估和可接受标准制定。危害识别指系统识别可能由功能不足引起的车辆级别危险，其主要基于对功能以及可能因功能不足而产生偏差的认知，属于知识驱动的分析，可适当借鉴ISO 26262-3：2018中的分析方法，结合SOTIF相关危险事件模型推导。风险评估目的是评估给定场景下危险行为所产生的风险，有助于后续制定SOTIF相关风险的接受标准。如果风险不能通过功能改进充分降低，则需要制定与危险场景相关的风险可接受标准。

图1-4 SOTIF活动的相关性

注：该图上编号对应ISO 21448标准中的编号

潜在功能不足和触发条件识别与评估活动的目的为识别潜在的功能不足（包括规范不足和性能局限）和触发条件，并评估系统对所识别潜在触发条件响应的SOTIF可接受性。对潜在功能不足和触发条件的分析需要建立由相似项目、专家经验等知识驱动的系统方法。分析过程可以并行化，在分析过程中可采用归纳或演绎、定性或定量的分析方法，结合需求分析、运行设计域（Operational Design Domain, ODD）分析、事故数据分析、边界值分析、等价类分析、功能依赖性分析等思路进行系统有效的潜在功能不足与触发条件分析；此外，对于给定的功能不足可能存在多个触发条件，而已知的场景和合理可预见误操作也可能暴露多个功能不足问题，因此应建立并维护危险行为、触发条件和系统/部件级性能局限或规范不足之间的可追溯性。

功能改进活动目标为识别和应用可处理SOTIF相关风险的方法，并更新到规范和设计活动的输入信息。具体的改进措施主要分为系统改进、功能限制、权限移交、处理误操作等；此外，可通过在设计系统时应考虑SOTIF相关风险的可测试性、诊断能力和数据监控能力，以确保在实时功能改进后对措施有效性保持检测和诊断。

验证确认策略定义指明确包含确认目标的SOTIF验证确认策略，并提供所选方法适用性的基本原理。验证确认策略被用于论证目标得以实现和确认目标如何得到满足，在具体策略定义时可考虑针对各项需求的综合测试活动，如传感器获取环境信息和传感器处理算法建模环境的能力、决策算法安全处理功能不足和根据环境模型及系统架构做出适当决策的能力、系统或功能的鲁棒性以及HMI防止合理可预见误操作的能力等。

对已知危险场景的评估主要为证明系统及其组件的功能在已知危险场景和合理可预见误操作下的行为符合规范，同时通过测试或分析证明已知场景得到充分覆盖，最终验证结果应证明来自已知危险场景的剩余风险足够低。

对未知危险场景评估的主要目的为提供证据证明在实际运行中遇到未知危险场景的情况满足确认目标，因此评估由于未知场景产生的剩余风险是关键，典型方法如对随机测试用例的在环测试、随机输入测试、长期车辆测试、车队测试、与现有系统比较、真实世界中的场景探索、功能分解和概率建模等，进而需评估由于未知危险场景导致剩余风险的可接受性。基于SOTIF活动及对其工作成果完整性和正确性的评审，可进行SOTIF释放过程，从而给出明确的批准或拒绝SOTIF释放建议。根据提供的证据，可以确定接受、有条件接受或拒绝的建议，在有条件接受情况下，条件将被记录并在最终释放前对其履行情况进行验证。