自動駕駛系統是對安全至關重要的網絡物理系統，如果沒有基于適當證據的適當論證，就不能假定其預期功能（SOTIF）的安全性。因此，有關自動駕駛安全的標準和法規的最新進展都非常關注，如何證明這些系統的預期功能不會給利益相關者帶來不合理的風險。在這項工作中，我們對 ISO 21448 標準進行了批判性分析，該標準包含關于如何證明 SOTIF 有效的要求和指導。重點在于制定一個統一的術語，作為使用定量驗收標準時，后續驗證策略定義的基礎。從廣義上講，我們的目標是實現完善的風險分解，從而為自動駕駛系統的 SOTIF 提供嚴格的定量確認方法。

01 導言

確保自動駕駛系統（ADS）的安全運行是其廣泛應用于公共交通的首要條件。最近，聯合國出臺了第 157 號法規，其中包含對自動車道保持系統（一種符合 SAE J3016 標準的自動駕駛系統）進行型式認證的要求。事實上，梅賽德斯-奔馳的 Drive Pilot 就是一種自動駕駛輔助系統，據制造商稱，它已獲得 2022 年在德國道路上使用的型式認可，同時符合聯合國第 157 號法規的要求。例如，德國關于具有自動駕駛功能的機動車輛（AFGBV）的批準和運行法案也采用了該法規。

這種型式認證的一個方面是證明系統的安全性。為此，業界制定了 ISO 26262 和 ISO 21448 等標準。ISO 26262 關注的是功能安全，即項目不符合規格所產生的風險，而 ISO 21448 關注的是預期功能安全 (SOTIF），即規格本身所產生的風險。具體而言，聯合國第 157 號條例的一項要求如下：“[審核員/評估員]尤其應具備 ISO 21448 的審核員/評估員資格”。在德國，AFGBV 還要求評估系統安全是否符合最新技術水平。根據 AFGBV 的規定，符合 ISO 21448 標準是最先進安全評估的充分標準。因此，制造商和型式批準機構都必須將 SOTIF 視為基石。

為了實現 SOTIF，需要解決在所有可能的運行情況下規格的完整性和安全性問題。

一般來說，SOTIF 的發展是由于自動駕駛水平的不斷提高，以及自動駕駛與普通交通參與者在開放環境下的互動，例如，由于在指定功能時沒有正確考慮對抗性環境。因此，ISO 21448 于 2016 年啟動，自 2019 年起作為規范公開發布，并于 2022 年 6 月最終發布。

因此，現在可以進行符合 ISO 21448 標準的安全案例驗證，如上所述，這對于遵守聯合國第 157 號法規至關重要。此外，通過至少部分定量驗證，安全案例的嚴謹性也會大幅提高。因此，我們的研究問題是：ISO 21448 如何要求或建議進行定量 SOTIF 驗證？歸根結底，必須能夠設計出符合標準要求的驗證策略。這就需要對 ISO 21448 進行嚴格研究。據我們所知，這項工作是首次以此類調查為主題開展的。為了全面了解該標準如何處理與風險相關的數量、驗收標準和驗證目標，我們詳細分析了各自的定義、它們之間的關系以及該標準中規范性和信息性的 SOTIF 驗證方面。具體而言，我們 ：

1) 深入研究術語風險框架以及 ISO 21448 中關于 SOTIF 驗證的相關規范和信息部分，

2) 批判性地討論其中哪些內容不足以實施符合要求的定量 SOTIF 驗證方法，以及

3) 提供建設性的改進建議。

傳統上，我們在第 II 部分討論相關工作。我們將在第 III 部分繼續研究和討論術語風險框架，并在第 IV 部分討論定量驗證的各個方面。第V部分總結。

02 相關工作

一直以來，汽車行業的主動安全特性評估主要考慮的是手動駕駛車輛的功能安全，即項目故障引起的風險。在這方面，ISO 26262 是最主要的依據。它圍繞風險暴露、可控性和嚴重性確定了一個術語風險框架。這些要素可以量化評估，然后按離散等級分類，如 Krampe 和 Junge 對嚴重性的評估。

在向更高自動化水平邁進時，規格本身產生的風險變得更加重要，因此需要對相關安全方面進行嚴格量化。為此，有一些方法可以實現 ISO 21448 提出的再要求。之前在 PEGASUS中開展的工作旨在通過估計觸發環境條件的發生概率來量化暴露度。

Chia 等人對自動駕駛風險評估方法進行了全面調查。其中，作者根據風險評估方法的特性對其進行了分類，包括定性方法還是定量方法，以及是否涉及功能安全、SOTIF 或都涉及。與上述調查報告不同的是，這項工作旨在使 ISO 21448 本身更加成熟，以適用于此類定量方法。Zhu 等人提出了系統識別 SOTIF 觸發條件作為其主要貢獻，他們已經發現了其中的一些不一致之處，并隨后使用了他們自己改編的定義。我們還要提到 Saberi 等人的工作，他們在 ISO 21448 標準仍在制定過程中，就非預期功能導致的突發行為對 ISO 26262/21448 標準的適用性提出了質疑。

關于自動變送器的風險量化，de Gelder 等人提出了一種相關的方法。他們按照 ISO 26262 標準，將與情景類別相關的風險建模為暴露、嚴重性和可控性概率分布預期值的乘積。在他們的案例研究中，情景類別的暴露程度是通過讓有經驗的人類駕駛員按照規定路線行駛而獲得的真實世界數據估算出來的，而嚴重程度和可控性的預期值則是通過模擬估算出來的。關于 ISO 21448，他們在模擬中加入了兩個觸發條件，但沒有考慮其發生概率。盡管情景等級的暴露不可能獨立于 ADS，其可控性建模和模擬的有效性也值得商榷，但目前的工作受到了為 SOTIF 建立嚴格的定量風險模型這一想法的啟發。

Buerkeleet 等人提出的另一種方法是根據感知失靈和環境危害的相互影響來估算傷害概率。

顯然，其他領域也在研究風險量化問題。在元層面上，ISO/IEC 指南 51 為標準制定者提供了（理論上的）建議。對于單獨領域的系統安全，Ericson 提出了一個著名的危險分析框架。在鐵路和航空領域，Filip 等人試圖將安全量化框架應用于 ADS。在民用航空領域，已有全面的風險評估程序，涉及功能安全和與 SOTIF 類似的主題。整體安全流程由 ARP4754A確定，并由 ARP4761 加以補充。后者就如何執行安全分析、生成必要的證據以及在飛機層面對故障情況（FC）進行整體安全論證提供了具體指導。

這些最高級別的故障情況被分為五個嚴重程度類別：無安全影響、輕微、嚴重、危險和災難性。對于重大及以上的 FC，確定了量化安全目標（例如，災難性故障情況的故障率必須小于 10-9/h）。

03 ISO 21448 的術語框架

為了理解量化在 ISO 21448 論證框架中的作用，最重要的是了解該標準的基本術語及其用法。ISO 21448 的術語和定義主要采用了 ISO 26262-1 中的術語和定義，并對其第 3 條進行了補充。圖 1 描述了 ISO 21448 所建議的與量化相關的術語定義是如何相互依賴以及術語的起源。

A. 事實分析

ISO 21448 的主要目標是確保 SOTIF，即“不存在因[某些特定]危險而造成的不合理風險”。因此，要理解這一意圖，就必須了解風險和危害這兩個術語在 ISO 21448 標準中是如何應用的。

風險一詞在 ISO 26262 中已有定義。其定義為 “發生危害的概率和危害的嚴重程度的組合”，ISO 21448 采用了這一定義。它是在 ISO 26262 將 “傷害 ”定義為 “對人的身體傷害或健康損害”的基礎上發展而來的。我們要注意的是，ISO 26262 對危害的定義僅指對人身的損害，不包括對財產的損害，這與 ISO/IEC 指南 51 等其他標準不同。除危害外，風險還基于嚴重性一詞，嚴重性被定義為 “在潛在危險事件中對一個或多個個體可能造成的危害程度的估計”。因此，嚴重性不僅取決于傷害，還取決于危險事件。

危險事件一詞有歧義，ISO 21448 的讀者有兩種解釋：

i) 參考 ISO 21448 將事件定義為 “在某個時間點上發生的事件”，或

ii) 采用 ISO 26262 將危險事件定義為 “危險與運行狀況的結合”。

在 i) 中，形容詞 “危險 ”的含義不明確。ISO 21448 的圖 1、圖 4、圖 12 和圖 13 將危險事件描述為危險與 "包含危險可能導致傷害的條件的情景 "相結合的結果，但省略了明確的定義。

方案 ii) 并沒有將危險事件限制在一個時間點上，而是以運行狀況為基礎，即 “在車輛壽命期間可能發生的情景”。然而，ISO 26262 并沒有定義 “情景”一詞。事實上，ISO 21448 將場景定義為 “描述一系列場景中若干場景之間的時間關系，這些場景在特定情況下具有目標和價值，并受到行動和事件的影響”。但這一定義與 ISO 26262 中的操作情境并不一致。此外，“情況”一詞仍未確定。

圖1 ISO 21448 中與風險評估相關的定義關系，從術語 A 到 B 的邊表示 A 被用于 B 的定義中

涉及 i) 和 ii) 的另一個問題是危險的定義。ISO 26262 將 “危險 ”定義為 “物品故障行為造成的潛在傷害源”，但這一定義僅限于其范圍，而 “潛在傷害源 ”的一般定義與 ISO/IEC 指南 51 一致。ISO 21448 引入了自己的定義，將建議的故障原因改為“由車輛層面的危險行為引起”。要理解 ISO 21448 和 26262 對危險的定義之間的關系，就必須理解 “危險行為 ”一詞。盡管 ISO 21448 標準中經常使用危險行為，但這兩個標準都沒有對其進行定義。

除危險外，其他術語也建立在危險行為的基礎上，即觸發條件（“情景的規格條件，作為隨后系統反應的啟動器，導致危險行為或無法防止或檢測和減輕可合理預見的間接濫用”）、性能缺陷和規格缺陷（“導致技術能力限制”，以及 “可能不完整的規格，導致危險行為或無法防止或檢測和減輕可合理預見的間接濫用”）。和 “規格可能不完整，導致危險行為或無法防止或檢測和減輕在一個或多個觸發條件下啟動時可合理預見的間接濫用”。這些定義與 ISO 21448 圖 1、3、4、12 和 13 的觀點相結合，將危險行為描述為可能導致危險的行為，由功能缺陷（“規格缺陷或性能缺陷”）引起，并由至少一個觸發條件激活。然而，這并不能構成一個定義，因為使用危險、觸發條件和功能缺陷會導致循環引用：它們的定義已經建立在危險行為之上。

這些模糊性通過危險行為、情景和危險事件等術語的定義傳播開來。特別是，風險、危險和功能缺陷等術語也受到影響。因此，即使是 SOTIF（“由于功能缺陷造成的危害而導致的不合理風險的缺失”）一詞也不適用。而預期功能被定義為 “規格化功能”。

這也會影響到所應用的風險分類方案。ISO 21448 繼承了 ISO 26262 中的術語，將風險分為嚴重性（如前所述）、暴露度（“如果與所分析的失效模式共同發生事故，則處于可能造成危險的運行狀態”）和可控性（“通過相關人員的及時反應，可能在外部措施的支持下，避免特定傷害或損害的能力”）。暴露一詞受到有關在操作情況下使用情景的問題的影響。

ISO 21448 并未調整暴露的定義，但在圖 12 和圖 13 中未包含運行狀況一詞。相反，“暴露”被表示為 “包含危險可能導致傷害的條件的情景”的特征。這些圖還引入了“發生”這一導致風險的第四個因素。它表示為“包含觸發條件的情景的特征，會導致危險行為。其文字描述為 “在功能運行階段遇到觸發條件的概率”。然而，ISO 21448 和 ISO 26262 均未給出該術語的定義。

其他與風險有關的術語也受到危險行為、情景和危險事件模糊性的影響，如建立在風險基礎上的接受標準（“代表沒有不合理風險水平的標準”），或建立在接受標準基礎上的驗證目標（“證明符合接受標準的價值”）。請注意，風險和驗收標準僅指危害。然而，在 ISO 21448 的論證框架中，風險和接受標準這兩個術語也用于其他場合，它們指的是危險行為（在給定情景下、預期功能、危害（在給定情景下）或危險事件。

同樣，ISO 21448 也未對這兩個術語在這些情況下的應用做出規定。

B. 批判性辯論和建設性建議

上一節揭示了 ISO 21448 標準術語中的各種缺陷，這些缺陷甚至導致其核心目標 SOTIF 的定義不清。對于認證而言，定量的、經驗性的風險評估可能是有益的。但要進行符合標準的量化，就必須清楚地了解什么是風險。因此，在繼續分析 SOTIF 的定量驗證之前，我們要解決這些術語上的歧義。特別是，我們將討論 “發生”、“危險/危險行為”、“情景”、“危險事件”、“暴露 ”和 “可控性 ”等術語。由于我們只關注實現 ISO 21448 術語的內部一致性，我們的建議可能與其他統一的風險術語不同，例如在 VVM 項目中開發的術語。由于這些術語旨在實現外部統一，因此適用范圍更廣。

a) 發生：ISO 21448 沒有對觸發條件的發生進行定義，但它對 “整體風險 ”有影響。我們的建議是直接采用 ISO 21448 第 6.3 條中的描述：

定義 1（觸發條件的發生）： 在功能運行階段遇到觸發條件的概率。

b) 危險/危險行為：盡管 ISO 21448 中的一些核心術語以危險行為為基礎，但并未對該術語進行定義。如上文所述，根據危險行為的原因或潛在后果來定義危險行為會導致循環引用。為了解決這個問題，我們建議對危害、危險、危險行為、觸發條件和功能缺陷等術語進行遞歸定義，并以危害作為遞歸的基礎。因此，與 ISO 21448 不同，我們建議使用 ISO/IEC 指南 51中給出的、ISO 26262中指出的危害的一般定義，該定義僅以危害為基礎。此外，我們還提出了以下危險行為定義：

定義 2（危險行為）：可能導致危害的功能行為。

通過這兩項調整，包括觸發條件和功能缺陷在內的整個鏈條都得到了很好的定義。請注意，ISO 21448 以及本工作的其余部分僅關注 “預期功能的功能缺陷導致的危害”。

c) 情景：由于 “情景 ”一詞是基于情景的最新技術的核心，因此其明確定義至關重要。如上圖所示，ISO 21448 的定義依賴于 “情景 ”一詞，而 “情景 ”一詞同樣沒有明確定義。值得注意的是，Ulbrich 等人的原始定義并非基于情況。為了解決這個問題，我們建議要么逐字逐句地使用最初的定義，要么明確引用Ulbrich 等人提供的定義。

d) 危險事件：危險事件的主要問題在于它源于 ISO 26262 標準，而 ISO 26262 標準所使用的術語在這兩個標準中不一定相同。一般來說，我們認為 ISO 21448 標準第 3 條應明確列出或注釋這些術語，同時提及適用的基本術語。就危險事件而言，如第 III-A 小節所述，這涉及到危險和運行狀況這兩個術語。此外，ISO 21448 將 “事件 ”明確定義為 “在某一時刻發生的情況”，該術語也包含在危險事件中。然而，由于危險事件的定義既沒有建立在事件一詞的基礎上，也沒有明確限制在一個時間點上，因此是否可以將危險事件理解為措辭中隱含的一種特殊事件仍不清楚。為了實現術語的一致性，我們建議將事件一詞納入危險事件的定義中，從而將危險事件限定為一個時間點。此外，我們還采用了情景（ISO 21448）的定義，而不是依賴于運行場景（ISO 26262），以及危險（ISO/IEC 指南 51）的定義。

定義 3（危害事件）：事件是危害和運行場景的組合，包含危險可能導致傷害的條件。

請注意，危險事件的定義會影響嚴重性、風險、SOTIF、驗收標準和驗證目標，而這些術語的定義都直接或間接地以危險事件為基礎。因此，這一調整需要注釋相應的參考資料。

e) 暴露：暴露受到與危險事件相同問題的影響，因為它建立在運行狀況和情景之上。此外，它的定義明確涉及功能安全，將危險限制為僅由故障模式導致。由于 SOTIF 關注的是功能缺陷造成的危害，因此 ISO 21448 不能隱含地參照 ISO 26262 來確定暴露程度。因此，我們建議采用正確的危害類型定義：

定義 4（暴露）：處于某種情景中的狀態，在該情景中，如果危險與分析中的危險行為（參見定義 2）同時發生，則可能導致傷害。

f) 可控性：ISO 26262 中適用的可控性定義考慮了相關人員的反應。據指出，這 “可能包括駕駛員、乘客或車輛外部附近的人員”。然而，自動駕駛輔助系統接管了駕駛和監控任務的主要部分，甚至可能需要安全功能，直到有后備操作員為止。由于 ISO 21448 號標準聲稱涵蓋所有級別的自動駕駛，因此系統本身也應作為可控性的一個組成部分。

C. 示例

圖2描述了ISO 21448風險模型的一個示例，已經適應了我們的術語更新。重點介紹了設計時引入的兩個功能不足，分別影響了ADS的規劃部分：第一個是性能不足，在技術上只能限制地觀察前面車輛的負載;第二個是規定當前面車輛的負載下降時，規避策略不足。在運行時激活這些功能不足的觸發條件是ads操作的車輛前面的卡車上分別存在的冰塊。

在第一種情況下，產生的危險行為是一個未調整的距離。我們要強調的是，行為并不一定要主動執行。事實上，遺漏（如不調整速度或距離）構成了危險行為的重要部分。這一行為直接導致單一危險的距離未調整到前面的車輛。本例的第二部分將展示一個危險行為如何誘發多種危險。注意，與ISO 21448的例子相反，我們的例子沒有將碰撞聲明為危險。這可能在某些情況下是合理的，例如分析通過安全氣囊和安全帶的碰撞可控性。但在危害分析中，特別是對ADSs的行為安全性進行分析時，人們對不在因果鏈末端的危害感興趣。因此，我們可以識別有效的可控性策略，如緊急制動，可以利用到沖擊點。最后，我們注意到其他危險行為也可能導致這種典型危險，例如沒有為側挑戰者提供足夠的空間。

然而，未調整的距離可能不會直接對某些參與者構成危險，但如果前方車輛的負載開始下降，則會發生危險事件。最終，這一事件可能會導致冰塊與ads操作的車輛碰撞，可能會對乘客造成傷害。

第二個觸發條件是下落的冰塊，因此等價于前一個例子中的場景約束。它可以導致ads執行回避策略，這不一定是危險的。雖然規避策略可以有效地減少風險，但這種行為也可能導致風險，如下所示：

i) 規避動作的執行方式對相鄰車道上的車輛構成危險，或

Ii) 車輛開始危險地轉向，對車內人員構成危險。

多重傷害是可能的。在第一種情況下，我們可以觀察到由于與相鄰車輛或冰塊碰撞而造成的傷害（在這種情況下，基本的事故避免系統可以防止后面部分的規避操作以避免與相鄰車輛碰撞）。在第二種情況下，轉彎可能會因側翻或與迎面而來的車輛相撞而導致受傷。

在這個例子中，這引出了一個明確定義的風險分解:從確定危害的嚴重程度開始，這些危害在各自的危險事件之后可以控制，反過來又暴露于危險的結果。這種暴露是由其觸發條件的發生決定的。

D. 關于術語的最后評論

本節至少修正了以前發現的不一致，從而使ISO 21448建議或要求的定量驗證策略有良好基礎的后續分析成為可能。盡管如此，即使關于風險量化的術語結構在內部是一致的，開放的問題仍然存在。例如，與其他標準的外部一致性是可取的，但在許多情況下很難實現。這涉及到損害的定義，ISO 26262明確排除了環境和財產損害，這隨后被ISO 21448采用。然而，其他安全標準，如ISO/IEC指南51，認為更廣泛的定義可能適用，表明了從功能安全采用的基本原理是必要的。此外，一個內部甚至潛在的外部一致的術語并不能確保它實際上是合理和有用的。例如，預期的功能被視為指定功能的同義詞，因此SOTIF只關心規范的安全性。顯然，社會的要求、工程師的意圖，其結果規范可能各不相同。

04 使用定量驗收標準對sotif進行驗證

在本節中，我們分析了ISO 21448提供的框架，以便檢查SOTIF在使用定量驗收標準時可以如何演示。進一步，我們討論了基于ISO 21448信息性部分的一個具體例子，從量化接受標準中推導驗證目標。我們以上一節調整后的術語為基礎，提出了一些建設性的建議，補充了這些討論。

A. SOTIF的定量評價

我們首先檢查了ISO 21448關于SOTIF定量評估的規范性部分，即條款6、7和9。

a）事實分析：按照ISO 21448的建議，SOTIF的評估從最初的定性風險評估開始。在ISO 21448的第6條中，認為ISO 26262和ISO 21448之間存在著重要的相似之處，關鍵術語保持不變。該標準中沒有使用ASIL分類，但考慮嚴重性、暴露性和可控性的思想延續了ISO 26262的思想。與ASIL不同，嚴重性和可控性被視為二值變量，用于選擇sotifs相關的危險事件，聲稱唯一的相關信息是它們是否為零。對危害嚴重程度和危害事件可控性的估計參考ISO 26262-3-6。風險評估中不考慮暴露。如果對危險事件的嚴重性或可控性的評估為零，則必須有充分的證據證明。

否則，必須制定驗收標準，該標準將在第7條中進一步處理。最后，給出了定量接受標準制定的某些有效依據，包括GAMAB（globalement au moins aussi bon）、PRB （positive risk balance）、ALARP（as low as possible possible）和MEM（minimal endogenous死亡率）。

圖2 ISO 21448術語風險框架的建議更新示例

在第7條中，ISO 21448要求使用專家知識對潛在的功能不足和相關的觸發條件進行系統的定性或定量分析，可能采用歸納、演繹或探索性方法支持。在此過程之后，ISO 21448要求對包含已識別觸發條件的場景進行評估，以證明SOTIF是可實現的。如果“導致危險事件的系統剩余風險顯示低于接受標準……”并且目前還沒有已知的情景會導致特定道路使用者的不合理風險。

在第9條中，ISO 21448闡明了驗證目標的相關性，以論證驗收標準是滿足的，以及提供這些驗證目標滿足證據的策略的必要性。必須為每個方法相關的驗證目標分配適當的工作和基本原理。為了減少這種驗證工作，建議考慮暴露性、可控性和嚴重性。

b）批判性辯論和建設性建議:首先，我們要注意到，與航空航天標準、UL 4600或ISO 26262相比，ISO 21448的規范部分的要求相當少（使用“應”的陳述）。對于每個條款，“應該”——陳述僅限于“目標”——非常抽象和不具體的小節。特別是第6、7、9條中沒有一條要求對風險進行量化:所有風險都可以進行定性評估。雖然在概念階段進行定性風險評估是合理的，但我們質疑完全忽略暴露并降低二元變量的可控性和嚴重性的決定。首先，確定了有關C = 0（"一般可控"）和S = 0（"無結果傷害"）語義的問題，因為C = 0只需要"一般"可控性。因此，在給定危險事件的情況下，它允許危害的概率很低，但不一定為零，這與S = 0的尖銳邊界形成了對比。此外，這個明確的定義導致了一個（相當理論性的）問題，即S = 0不適用于任何已識別的危害，因為根據定義，危害導致危害的概率非零。定義S = 0為“一般無害”可以避免這個問題。

雖然直觀地說，ADSs的安全性驗證需要更嚴格的風險評估，但與ISO 26262的ASIL分類相比，ISO 21448第6.4條的建議可以被視為一種回歸。為什么排除E和對C和S進行二進制計算就足夠了，這完全沒有一個一般的推理。我們認為這種相對重大的改變必須有理由。

另一個主要問題是條款6.5中對剩余風險接受標準的規范，這是條款9中定義驗證和確認策略的基石。再次，ISO 21448允許定性和定量的接受標準，但同時大力提倡定量的接受標準（GAMAB, PRB, ALARP, MEM）為例。然而，驗證附加在危害上的定量接受標準，例如P（危害）≤10-x/h的形式，立即需要對剩余風險進行定量評估，這再次需要對風險相關成分進行定量評估（或至少估計）。

一旦確定了剩余風險的量化接受標準，就可以從中得出驗證目標。由于驗證目標并不附屬于風險分解的某一部分，參見，因此可以根據危害程度，也可以根據危險行為，甚至觸發條件來定義驗證目標。眾所周知，直接基于里程的方法來驗證毀傷概率上限對于ADSs來說是不可行的，因此需要進一步分解與毀傷相關的目標來減少驗證的工作量。由不等式（2）和不等式（3）給出了合理的風險分解建議，并將在未來推廣。

B. 定量驗證目標的推導

在討論了這些規范性方面之后，我們現在考慮關于定量驗證目標推導的信息性部分，即附件C.2和部分C.3。

a）事實分析:ISO 21448的附錄C.2提供了一個從給定的定量接受標準推導驗證目標的例子，以減少驗證工作。在本例中，驗證目標與危險行為相關聯，并注意到，根據第6條，每個危險行為都與一個接受標準相關聯。假設，對于導致危害H的已識別事件，接受標準AH 以“既定方法”確定的比率給出。基于此，提出將AH 分解為：

在討論了定量驗證目標的建議推導的這三個主要問題-即，條件的正確使用，多種危險行為的缺失聚合以及對系統獨立性的假設-我們現在建設性地提出了一種更通用的方法。它修復了上述問題，同時采用了使用條件概率的想法。可接受標準通常被指定為一般危害可能性的上限，或與（最小）嚴重程度相結合的危害可能性的上限在ISO 21448的例子中，對于給定危害的每個嚴重程度，甚至可以有不同的接受標準。為了分解這種可接受標準，第三節中提出的因果鏈通過考慮危害事件、危險行為和導致危害的觸發條件來分解危害的可能性。讓我們注意到，這一因果鏈的許多其他分割事件是可以想象的，作為這種分解的基礎。例如，可以完全省略危險行為，或者可以包括一系列相互建立的危險事件。

設HH , EE , BB  和TT分別描述與危害H、危險事件E、危險行為B和觸發條件T的發生相關的事件。進一步，讓E、B和T描述所有已知的可能導致所考慮的危害H的危險事件、危險行為和觸發條件的集合。假設H僅僅是由一個危險事件、一個危險行為和一個觸發條件組成的確定的三重事件的結果，我們建議應用Bonferroni不等式并結合對條件概率的分解來推導H的概率的上界：

這些不等式中給出的上界可用于驗證目標的推導。我們注意到不等式（2）和（3）可能太不準確了。在這種情況下，可以應用納入-排除標準，盡管這需要更多的驗證工作，因為會出現額外的術語，參見Gelder等人。如果只存在危害事件、危害行為和導致危害H的觸發條件的一個元組，則不等式（3）的右側化簡為類似于式（1）的分解項。但一般情況下，不等式（2）和（3）中的聚合不能省略，如例所示。因此，驗證目標的估計需要推導不同求和的上界。

此外，必須注意的是，一般來說，不等式（2）和（3）中的所有概率都取決于系統，正如等式（1）中已經討論過的那樣。因此，推導單個驗證目標是不夠的。為了證明滿足驗收標準而插入的每一個值都需要一個系統相關的驗證，或者至少需要一些為什么可以省略它的理由。研究如何獲得和驗證不同的概率，以及評估哪些概率是特定驗證策略的良好候選，例如使用模擬，仍然是未來的研究。

c）示例：圖2中調整后的風險模型的示例說明了等式（1）中關于上面討論的缺失聚合和錯誤的系統獨立性假設的問題。為此，圖2描繪了兩種不同的觸發條件、危險行為和導致ads操作車輛（H1）與冰板碰撞造成人身傷害的危險事件（H1）。假設存在H1的定量接受標準，在從接受標準導出驗證目標時，需要結合起來。

此外，導致H1的危險事件需要在另一條車道上的車輛前面分別存在一輛卡車。這些事件的發生取決于被調查防空系統的作戰設計域（ODD）以及該系統在其作戰設計域內的戰略決策。例如，如果ADS只能部署在另一輛車后面，或者如果它的ODD僅限于交通堵塞，那么前面卡車出現的可能性就會增加——即使是對高速公路路線的偏好也會對這種可能性產生影響。因此，在這種情況下，給定危險行為的危險事件暴露不是系統無關的。

05 結論及未來工作

在這項工作中，我們總結了對ISO 21448的術語和量化指南進行深入研究的結果，特別是關于SAE三級或以上自動駕駛的驗證策略。這些考慮分為事實分析，然后是批評性辯論和建設性建議。首先，一致的術語是嚴格量化的先決條件，我們提供了微創性的建議，以改進ISO 21448使用的術語。其次，基于這些改進，我們嚴格審查了ISO 21448關于SOTIF量化的指導，特別關注驗收標準和驗證目標的推導。最后，建議的風險分解應被視為未來工作的理論基礎。

為此，作者的目的是改進所提出的風險分解位置，使所涉及的數量在原則上是定義良好的和可估計的。通過研究真實世界的數據或模擬方法，對這些與風險相關的數量和相關的估計方法進行徹底的分析，似乎是對SOTIF，特別是對ADSs，進行合理量化所不可或缺的。

END