为保持系统协同并证明产品开发中没有不合理的风险，汽车行业受到诸多法规和标准约束。

由于智能环境传感器的出现和复杂的因果链，新系统的验证正在经历转变。显然，整个验证流程的工作流在显著增加。不仅要增加测试数量，还有全面了解开发和V&V（验证和确认）流程。数据驱动的开发和虚拟测试方式的紧密结合是开发可靠系统的支柱，它们可以让开发人员能够可靠、高效地完成认证过程。

这就需要一项合适的全面的测试策略，以仿真为核心元素，在仿真中持续重复使用测量数据——不仅要验证正在开发的系统，还要确保虚拟测试方法能够实现其目标。仿真不仅仅是一个高效的开发工具。它也是进行系统协同所必不可少的，便于全面验证已知风险以及在尚未了解的驾驶场景中验证新的危险，从而证明没有不合理的风险。

ISO 26262和SOTIF（ISO 21448）解决了安全方面的问题。ISO 26262确保不存在系统故障造成的不合理风险。其中包括零星的硬件故障和系统级的技术错误。

安全关键型应用必须确保环境的完整性。ISO 26262并没有考虑到真实用例和系统的特定操作条件（运行设计域 - ODD）对驾驶功能的制约。举个例子，如果所开发的系统带有摄像头传感器，从技术角度来看，传感器技术可能会正常运作，但在某个场景中它却无法检测到对象。鉴于真实用例和可能的误用情况，ISO 21448——预期功能安全标准应运而生，该标准对ISO 26262进行了补充。

验证预期行为

开发符合法律和技术要求的ADAS/AD功能最佳实践程序，要依据ASAM测试规范研究小组报告。考虑到特定用例，测试矩阵中列出了合适的测试方法和环境。

根据ASAM测试矩阵，已知不安全场景的一种测试方法是在软件在环仿真中进行基于要求的测试。这些场景根据验收标准，对系统必须在哪些条件下安全运行提出了要求。测试规范正是根据这些要求制定的。其中包括场景、测试用例和参数的规范。

在软件在环仿真中，虚拟ECU集成到基于PC的仿真平台中。这样就可以用基于要求的测试来验证系统对预定义场景的响应。此外，基于要求的测试提供了一个工具，该工具可以评估系统设计中的技术措施的有效性。

结论——理想的V&V流程是怎样的？

要制定有效的V&V策略，必须确定SOTIF的总体目标：

1. 验证目标是什么？
2. 如何识别和评估触发事件及功能不全问题？
3. 潜在危险场景的评估是否充分？
4. 是否充分涵盖了相关场景？
5. 所提供的证据支持哪些方法？
6. 是否选择了合适的验证和确认方法？

这些问题并没有一个标准答案。相反，对于相应的SUT，回答这些问题时要考虑到测试目标，并在一定测试水平上将所选测试环境和测试方法相结合。

必须系统地识别和评估危险行为带来的风险。随着自动化水平的提高，识别和评估导致潜在危险行为的条件（触发因素）也变得越来越复杂，需要结合多种分析技术和真实道路测试来识别危险场景。例如，检验系统中的潜在触发因素的影响的一种方法是进行系统弱点分析。在该过程中，会对所识别的各个系统因素以及相关功能不全和触发因素进行风险分析，从而制定改进SOTIF的措施，再测试这些措施的有效性，并以适当的理由评估残余风险。

此外，总体发布策略需要融合SOTIF验证和确认流程。

将上述因素考虑进来，可以提供一个SOTIF发布论据，最好在数字系统协同流程中实现。这为处理复杂自动系统以应对不断变化的驾驶环境的流程奠定了理论基础。

dSPACE咨询服务部根据ISO 26262和ISO/PAS 21448，提供专业风险分析，针对基于场景和基于要求的设计，帮助开发测试策略，将它们无缝集成到已有的开发流程中。

2024年2月发布