STPA在SOTIF中的定制化应用:术语映射与方法论扩展研究
《IEEE Access》:Tailoring STPA for SOTIF: Terminology Mapping and Methodological Extension
【字体:
大
中
小
】
时间:2025年12月04日
来源:IEEE Access 3.6
编辑推荐:
为解决自动驾驶系统功能安全(SOTIF)分析中STPA(系统理论过程分析)与ISO 21448标准术语不匹配、缺乏系统性场景规范指导的问题,研究人员通过术语映射和方法论扩展,提出了一种结合行为规范与危险识别的集成方法。该研究实现了STPA在SOTIF场景下对触发条件与功能不足的精准追溯,为自动驾驶安全分析提供了标准化框架,显著提升了ISO 21448的合规性。
随着自动驾驶技术的快速发展,确保车辆在复杂环境中的安全性成为行业核心挑战。传统功能安全标准(如ISO 26262)主要关注系统故障,而自动驾驶系统的特殊性要求对“预期功能的安全性”(SOTIF)进行独立评估。ISO 21448标准应运而生,旨在解决因功能局限、性能不足或环境触发条件导致的潜在危险。然而,SOTIF分析面临两大难题:一是缺乏系统化的场景描述方法,二是现有安全分析工具(如STPA)与SOTIF术语存在语义鸿沟。例如,STPA中的“不安全控制行动”(UCA)与SOTIF的“危险行为”概念虽相关但未直接对齐,且STPA未提供场景条件的结构化定义指南。
为突破这些局限,德国航空航天中心等机构的研究团队在《IEEE Access》发表论文,提出通过术语映射和方法论扩展,将STPA定制化应用于SOTIF分析。研究首次明确了STPA与ISO 21448核心术语的对应关系(如将“损失”限定为物理伤害,“危险行为”对应车辆级UCA),并构建了集成行为规范、危险识别与STPA因果分析的三步法框架。该方法不仅填补了STPA在SOTIF场景下的理论空白,还通过模型化工具实现了分析结果的可追溯性。
- 1.行为规范:基于有向无环图(DAG)建模操作条件与车辆意图行为(如纵向/横向机动),建立场景元素与驾驶决策的因果链。
- 2.危险识别:采用关键词引导的偏差分析(如“未提供”“过早”),系统化推导危险行为及衍生危害。
- 3.STPA因果分析:在控制结构中显式标注触发条件(如积雪覆盖路缘)与功能不足(如算法假设缺失),确保每个损失场景均符合ISO 21448危险事件模型。
研究结果
术语映射实现概念对齐
通过对比STPA与SOTIF术语体系,研究厘清了关键概念差异。例如,SOTIF的“触发条件”和“功能不足”分别对应STPA因果因素的子集,需在损失场景中显式标注。这一映射为后续方法论集成奠定了理论基础。
行为规范增强场景定义
以人员接驳车(Ushift)巴士停靠场景为例,行为规范模型将“行人候车”“有效巴士站”等条件与“保持车道并停车”机动关联,形成可追溯的决策逻辑图。该模型为危险识别提供了结构化输入,避免了传统STPA中场景定义的随意性。
危险识别系统化发掘危害
通过偏差分析(如“车辆未保持车道”),研究识别出“车辆过于接近行人”“无效停靠引发追尾”等危险行为,并推导出对应的危害(如碰撞风险)。该方法显著提升了危险发现的完整性,覆盖了ISO 21448目标2和目标3的要求。
STPA因果分析追溯根本原因
在巴士停靠案例中,研究通过分析控制结构(如中央控制系统与感知模块的交互),识别出触发条件(如积雪覆盖路缘)和功能不足(如算法未考虑极端环境)。损失场景(LS-1至LS-4)的构建证明该方法可有效追溯车辆级危险行为至元件级原因。
结论与讨论
本研究通过术语映射与方法论扩展,解决了STPA在SOTIF应用中的核心障碍。集成框架不仅支持ISO 21448全部核心目标(如危害识别、功能不足分析),还通过模型化工具提升了分析结果的可追溯性与迭代效率。然而,研究仍存在局限性:一是对误用(如直接/间接误用)的分析覆盖不足,需进一步整合人机交互模型;二是案例简化限制了复杂开放场景的扩展性验证。未来工作可探索领域本体模型的形式化、自动化分析工具开发,以及残余风险评估方法的集成,以强化自动驾驶系统的全生命周期安全保障。
该研究为自动驾驶安全工程提供了实践性强的分析框架,其术语对齐思路与方法论集成策略对跨标准安全分析具有广泛借鉴意义。
生物通微信公众号
生物通新浪微博
今日动态 |
人才市场 |
新技术专栏 |
中国科学人 |
云展台 |
BioHot |
云讲堂直播 |
会展中心 |
特价专栏 |
技术快讯 |
免费试用
版权所有 生物通
Copyright© eBiotrade.com, All Rights Reserved
联系信箱:
粤ICP备09063491号
