ISO 21448－SOTIF预期功能安全

ADS的安全性还与其他因素有关，如可想象的人为误用功能、传感器或系统的性能限制以及车辆环境的意外变化。

SOTIF（预期功能的安全性）试图防止预期功能不足或可合理预见的人员误用。即使不存在设备故障，也可能无法正常运行。SOTIF不适用于ISO 26262系列涵盖的故障或直接由系统技术。相反，SOTIF与ISO 26262协同工作，以帮助制造商评估和缓解开发过程中的各种风险，ISO 26262侧重于降低故障风险，ISO 21448侧重于缓解可预见的系统误用。

ISO 21448旨在应用于预期功能，其中适当的态势感知对安全至关重要，并且该态势感知源自复杂的传感器和处理算法；特别是紧急干预系统（如主动安全制动系统）和高级驾驶员辅助系统。根据SAE国际标准，该标准可用于更高级别的自动化，但可能需要采取其他措施。

ISO 21448主要考虑缓解因意外操作条件（由于传感器和算法的限制，预期功能可能不会始终在此类条件下工作）和需求差距（缺乏对实际预期功能的完整描述）而产生的风险。

美国NHTSA 的AV安全框架开发

2020年12月，美国国家公路交通安全管理局（NHTSA）通过ANPRM形式面向社会征集对自动驾驶安全框架的建议。

以功能安全、SOTIF和UL 4600的描述为背景，NHTSA正在考虑如何在制定关于ADS的新框架的背景下，利用这些过程标准，无论是基于法规还是提供指导。该机构预计安全框架将包括管理风险的过程和工程措施。过程措施（例如，在车辆设计过程中分析、按严重程度和频率分类以及减少潜在风险源的一般做法）可能包括稳健的安全保证和功能安全计划。工程措施（例如，性能指标、阈值和测试程序）将寻求提供证明ADS以高水平熟练程度执行其预期功能的感知、感知、规划和控制（即执行）的方法。

NHTSA的一个关键研究方向专注于ADS安全性能，并寻求确定方法、指标以及评估配备ADS的车辆执行正常驾驶任务和防碰撞能力的工具。此类评估包括与系统规定的ODD和对象及OEDR事件检测与响应能力相关的系统性能和行为以及在遇到ODD以外的条件时的故障安全能力。

第二个高级研究重点是功能安全和ADS子系统性能。

第三个研究领域涉及车辆和系统（包括ADS）的网络安全。

最后，NHTSA还研究了配备ADS的车辆可能存在的人为因素问题。

虽然感知、判断、规划与控制四种核心安全功能功能对于ADS是必要的，但它们不一定足以确保ADS的安全，这还取决于系统的各种其他功能和能力，以及该系统如何与配备ADS的车辆内部和周围的人进行交互。

例如，四个功能中未包含的一个安全相关方面是车辆在驾驶环境中与车辆乘员、其他车辆和人员、尤其是易受伤害的道路使用者进行通信的能力。ADS能够准确、可靠地检测车辆中自身系统或其他系统的故障，同时确保为响应任何检测到的问题或故障而开发的操作模式之间的安全过渡（例如，故障保护或跛行回家模式）是可能影响ADS预期性能的另一个重要考虑因素。

可能影响ADS以安全可靠的方式执行其预期计划能力的其他方面包括：

在出现故障时识别降低的系统性能和／或 ODD；

在降低的系统约束下以降级模式运行；

执行将乘客或货物从起点运送至所选目的地的基本任务；

识别来自优先响应者的通信并作出适当反应，包括消防、EMS 和执法；

接收、装载和跟踪 OTA 软件更新；

执行系统维护和校准；

解决与安全相关的网络安全风险；

系统冗余。

NHTSA致力于开发安全性能模型和指标的一个关键例子是2017年发布的ISM瞬时安全指标。ISM瞬时安全指标计算了受试车辆和周围交通中的其他道路使用者在给定一组可能行动时在未来预设的有限时间内可能采取的物理轨迹（例如，方向盘角度、制动／油门），并计算可能导致潜在多因素碰撞的轨迹组合。由轨迹的数量和／或比例（以及导致该轨迹的动作的严重性／概率）确定可能导致碰撞指标，作为评估给定驾驶状态安全风险的工具。

更新的方法是MPrISM模型预测瞬时安全度量（：Model Predictive Instantaneous Safety Metric），建立在ISM概念的基础上并修改其评估方法。MPrISM考虑受试车辆的完全可控动作范围，并在受试车辆做出最佳响应选择和现场其他参与者做出最差选择的情况下计算碰撞影响。

ISM和MPrISM的优点之一是它们的逻辑推理和直接分析结构。然而ISM在实际应用中的一个挑战是有效利用所需的巨大计算复杂性。MPrISM试图通过新的度量开发工作解决这一难题，NHTSA将继续研究降低复杂性的方法。