ISO 21448－SOTIF預期功能安全

ADS的安全性還與其他因素有關，如可想象的人為誤用功能、傳感器或系統的性能限制以及車輛環境的意外變化。

SOTIF（預期功能的安全性）試圖防止預期功能不足或可合理預見的人員誤用。即使不存在設備故障，也可能無法正常運行。SOTIF不適用于ISO 26262系列涵蓋的故障或直接由系統技術。相反，SOTIF與ISO 26262協同工作，以幫助制造商評估和緩解開發過程中的各種風險，ISO 26262側重于降低故障風險，ISO 21448側重于緩解可預見的系統誤用。

ISO 21448旨在應用于預期功能，其中適當的態勢感知對安全至關重要，并且該態勢感知源自復雜的傳感器和處理算法；特別是緊急干預系統（如主動安全制動系統）和高級駕駛員輔助系統。根據SAE國際標準，該標準可用于更高級別的自動化，但可能需要采取其他措施。

ISO 21448主要考慮緩解因意外操作條件（由于傳感器和算法的限制，預期功能可能不會始終在此類條件下工作）和需求差距（缺乏對實際預期功能的完整描述）而產生的風險。

美國NHTSA 的AV安全框架開發

2020年12月，美國國家公路交通安全管理局（NHTSA）通過ANPRM形式面向社會征集對自動駕駛安全框架的建議。

以功能安全、SOTIF和UL 4600的描述為背景，NHTSA正在考慮如何在制定關于ADS的新框架的背景下，利用這些過程標準，無論是基于法規還是提供指導。該機構預計安全框架將包括管理風險的過程和工程措施。過程措施（例如，在車輛設計過程中分析、按嚴重程度和頻率分類以及減少潛在風險源的一般做法）可能包括穩健的安全保證和功能安全計劃。工程措施（例如，性能指標、閾值和測試程序）將尋求提供證明ADS以高水平熟練程度執行其預期功能的感知、感知、規劃和控制（即執行）的方法。

NHTSA的一個關鍵研究方向專注于ADS安全性能，并尋求確定方法、指標以及評估配備ADS的車輛執行正常駕駛任務和防碰撞能力的工具。此類評估包括與系統規定的ODD和對象及OEDR事件檢測與響應能力相關的系統性能和行為以及在遇到ODD以外的條件時的故障安全能力。

第二個高級研究重點是功能安全和ADS子系統性能。

第三個研究領域涉及車輛和系統（包括ADS）的網絡安全。

最后，NHTSA還研究了配備ADS的車輛可能存在的人為因素問題。

雖然感知、判斷、規劃與控制四種核心安全功能功能對于ADS是必要的，但它們不一定足以確保ADS的安全，這還取決于系統的各種其他功能和能力，以及該系統如何與配備ADS的車輛內部和周圍的人進行交互。

例如，四個功能中未包含的一個安全相關方面是車輛在駕駛環境中與車輛乘員、其他車輛和人員、尤其是易受傷害的道路使用者進行通信的能力。ADS能夠準確、可靠地檢測車輛中自身系統或其他系統的故障，同時確保為響應任何檢測到的問題或故障而開發的操作模式之間的安全過渡（例如，故障保護或跛行回家模式）是可能影響ADS預期性能的另一個重要考慮因素。

可能影響ADS以安全可靠的方式執行其預期計劃能力的其他方面包括：

在出現故障時識別降低的系統性能和／或 ODD；

在降低的系統約束下以降級模式運行；

執行將乘客或貨物從起點運送至所選目的地的基本任務；

識別來自優先響應者的通信并作出適當反應，包括消防、EMS 和執法；

接收、裝載和跟蹤 OTA 軟件更新；

執行系統維護和校準；

解決與安全相關的網絡安全風險；

系統冗余。

NHTSA致力于開發安全性能模型和指標的一個關鍵例子是2017年發布的ISM瞬時安全指標。ISM瞬時安全指標計算了受試車輛和周圍交通中的其他道路使用者在給定一組可能行動時在未來預設的有限時間內可能采取的物理軌跡（例如，方向盤角度、制動／油門），并計算可能導致潛在多因素碰撞的軌跡組合。由軌跡的數量和／或比例（以及導致該軌跡的動作的嚴重性／概率）確定可能導致碰撞指標，作為評估給定駕駛狀態安全風險的工具。

更新的方法是MPrISM模型預測瞬時安全度量（：Model Predictive Instantaneous Safety Metric），建立在ISM概念的基礎上并修改其評估方法。MPrISM考慮受試車輛的完全可控動作范圍，并在受試車輛做出最佳響應選擇和現場其他參與者做出最差選擇的情況下計算碰撞影響。

ISM和MPrISM的優點之一是它們的邏輯推理和直接分析結構。然而ISM在實際應用中的一個挑戰是有效利用所需的巨大計算復雜性。MPrISM試圖通過新的度量開發工作解決這一難題，NHTSA將繼續研究降低復雜性的方法。