Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
STPA在预期功能安全(SOTIF)评估中的系统化方法 —— 解读SAE J3187-2-2023
SAE J3187-2-2023 是《系统理论过程分析(STPA)推荐实践》的附录,专门针对预期功能安全(SOTIF)评估。该标准将STPA从传统的事故链分析扩展至面向系统交互与控制的系统性方法,适用于任何行业的安全关键系统。本文基于该标准,梳理STPA在SOTIF中的实施要点,并提供工程化落地建议。
1. STPA与SOTIF的深度融合:从规范到验证
SOTIF关注的是功能本身因性能局限或用户误用所导致的危害,而非硬件随机失效。STPA作为一种基于系统理论的分析方法,通过建立控制结构、识别不安全控制动作(UCA)和损失场景,能够系统性地覆盖SOTIF所要求的各类危险。其核心优势在于,它不仅捕获已知危险,还能通过过程模型信念推导出未知但可控的潜在风险。
标准详细列出了STPA步骤与SOTIF条款的对应关系,如下表所示:
| STPA步骤 | 对应SOTIF条款 | 主要活动 |
|---|---|---|
| Step 1: 定义分析目的 | Clause 5(功能与规范) | 识别系统级损失、系统边界、初始危险 |
| Step 2: 建立控制结构 | Clause 6(危害识别与风险评估) | 建模系统控制回路,提取安全约束 |
| Step 3: 识别不安全控制行为 | Clause 6(持续) | 基于过程模型信念推断UCA |
| Step 4: 识别损失场景 | Clause 9(验证与确认策略) | 导出测试场景、验证目标与安全需求 |
🛠️ 工程设计洞察:在规范阶段较早使用STPA,可以从控制结构中发现被忽略的交互边角情况,从而显著减少后期验证迭代的代价。结合操作设计域(ODD)的精确定义,可以有效提升UCA的完整性。
2. 利用STPA输出生成系统性测试场景
SOTIF验证的重点之一是“场景覆盖”。STPA通过识别不安全控制行为和损失场景,自然地为场景生成提供结构化输入。标准提出将STPA输出的UCA和因果因素拆解为三个层面:
- 场景(Scenery):道路几何、静态元素;
- 环境(Environment):天气、照明、动态障碍物;
- 动态元素(Dynamic Elements):自车及交通参与者行为、V2X等。
通过将每个UCA对应到一个或多个具体的场景变体,即可构建覆盖已知和未知危险的测试矩阵。标准还强调,验证目标(Pass Criteria)必须关联至安全损失,而非仅通过功能响应判定。
⚠️ 常见陷阱:仅仅依赖功能安全(如ISO 26262)的故障注入测试并不能覆盖SOTIF危害。必须将STPA输出的过程模型信念偏差纳入测试用例设计,例如传感器感知偏差或算法决策逻辑的局限性。
3. 案例研究:低速自动驾驶系统(LSAD)
标准以低速自动驾驶系统为例,完整演示了STPA的四个步骤在SOTIF中的运用:
- Step 1:明确系统目标为在限定ODD内安全行驶,不可导致碰撞或功能失效;
- Step 2:绘制包含传感器、控制器、执行器及环境模型的控制结构,重点标识人机交互回路;
- Step 3:辨识出不安全控制动作,如“在行人无法感知时继续行驶”、“未提供足够的制动减速度”;
- Step 4:推导出因果场景,包括传感器遮挡、地图错误、预期行为与实际行为的偏差等。
基于这些输出,标准进一步生成了针对性的测试场景,充分体现了STPA对“事先未知但可控”危险的覆盖能力。
常见问题(FAQ)
Q1: STPA是否可用于非汽车行业的安全关键系统?
是的。该标准明确指出“面向任何行业”,其方法具有行业中立性,适用于航空航天、工业自动化、医疗设备等领域。
Q2: 如何确保STPA输出的UCA是完整的?
完整性依赖两个因素:一是控制结构的颗粒度是否覆盖所有关键交互;二是过程模型信念的偏差是否被系统化地枚举。建议结合多学科评审和ODD边界分析。
Q3: STPA生成的测试场景如何与现有验证流程集成?
可直接将STPA输出的场景要素映射到现有的测试管理工具或场景库(如OpenScenario)。建议将每个UCA与一个或多个测试用例关联,确保双向可追溯性。
结语
SAE J3187-2-2023 为STPA支持SOTIF评估提供了可操作且可复用的框架。通过将系统理论引入安全分析,工程师能够在规范早期发现设计盲区,并在测试阶段系统化生成场景,从而显著提升安全关键系统的鲁棒性。《STPA与预期功能安全》为已经熟悉STPA的团队打开了系统化应对SOTIF挑战的大门,值得深入研读与推广。
