日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測(cè)試網(wǎng)

  • 公眾號(hào)

    • 汽車測(cè)試網(wǎng)

    • 在線課堂

    • 電車測(cè)試

前沿 | 超越SOTIF:黑天鵝和形式化方法

2021-11-18 09:28:03·  來(lái)源:軒轅實(shí)驗(yàn)室  
 
本文來(lái)自實(shí)驗(yàn)室符永樂的研究成果和學(xué)習(xí)筆記Beyond SOTIF: Black Swans and Formal Methods(題外)「黑天鵝事件」是指滿足以下三個(gè)特點(diǎn)的事件:第一,它具有意外
本文來(lái)自實(shí)驗(yàn)室符永樂的研究成果和學(xué)習(xí)筆記
Beyond SOTIF: Black Swans and Formal Methods

(題外)”「黑天鵝事件」“是指滿足以下三個(gè)特點(diǎn)的事件:
第一,它具有意外性。
第二,它產(chǎn)生重大影響。
第三,雖然它具有意外性,但人的本性促使我們?cè)谑潞鬄樗陌l(fā)生編造理由,并且或多或少認(rèn)為它是可解釋和可預(yù)測(cè)的。
「摘要」:iso26262標(biāo)準(zhǔn)解決了系統(tǒng)故障和安全減輕這些故障的需要。然而,該標(biāo)準(zhǔn)只是隱含了預(yù)期功能的安全性。人們應(yīng)該承認(rèn),一個(gè)沒有故障的系統(tǒng),在指定的設(shè)計(jì)邊界內(nèi)運(yùn)行應(yīng)該是安全的。然而,新的ISO/PAS 21448預(yù)期功能安全標(biāo)準(zhǔn)(SOTIF)僅明確地解決了與產(chǎn)品設(shè)計(jì)相關(guān)的非預(yù)期功能,據(jù)稱在沒有任何系統(tǒng)、元素或組件故障的情況下。這是怎么發(fā)生的?是什么保證當(dāng)代復(fù)雜的計(jì)算機(jī)控制系統(tǒng)在正常情況下總是表現(xiàn)良好,而不會(huì)表現(xiàn)出任何可能對(duì)用戶造成潛在危險(xiǎn)的意外和偏差行為?怎樣才能解決這個(gè)難題呢?本文探討了「依賴于復(fù)雜子系統(tǒng)來(lái)產(chǎn)生所需功能的復(fù)雜系統(tǒng)中的實(shí)際故障」。我們質(zhì)疑ISO 26262和ISO 21488標(biāo)準(zhǔn)目前在其指導(dǎo)下已經(jīng)足夠解決這個(gè)謎。
第一章 介紹

1.隨著汽車領(lǐng)域自動(dòng)化水平的提高(根據(jù)SAE J3016),該行業(yè)面臨著安全保證方面的獨(dú)特挑戰(zhàn)?!杠噧?nèi)系統(tǒng)」在整體道路安全中扮演著越來(lái)越重要的角色,因?yàn)轳{駛責(zé)任從駕駛員轉(zhuǎn)移到了這些系統(tǒng),并允許系統(tǒng)決定操作和最終戰(zhàn)術(shù)級(jí)別。
汽車自動(dòng)化等級(jí)劃分:

2.由于多種因素,汽車領(lǐng)域的安全挑戰(zhàn)是獨(dú)特的(與航空電子和鐵路等其他行業(yè)相比)。
「首先」,與其他行業(yè)的系統(tǒng)相比,汽車系統(tǒng)的復(fù)雜性要高得多。
「其次」,汽車系統(tǒng)運(yùn)行的環(huán)境是不受約束的,包括各種類型的不確定性,這些不確定性導(dǎo)致了對(duì)指定運(yùn)行域的挑戰(zhàn)。
「第三」,汽車行業(yè)的供應(yīng)鏈有許多參與者,而新技術(shù)的引入為新來(lái)者打開了大門,而新來(lái)者并非傳統(tǒng)汽車市場(chǎng)的一部分。換句話說(shuō),汽車系統(tǒng)的設(shè)計(jì)分布在龐大而復(fù)雜的供應(yīng)鏈中;意識(shí)到可能的安全問(wèn)題并負(fù)責(zé)安全責(zé)任并非易事。
「最后」,這一行業(yè)的大眾市場(chǎng)意味著,與其他交通工具相比,公眾對(duì)汽車的接觸要多得多;因此,潛在的系統(tǒng)安全問(wèn)題將對(duì)社會(huì)產(chǎn)生重大影響。
3.確保系統(tǒng)的正確運(yùn)行被稱為“「功能安全」”。自2011年以來(lái),ISO 26262標(biāo)準(zhǔn)(及其后第二次修訂版)確立了汽車功能安全的最新水平。本標(biāo)準(zhǔn)給出了在車輛級(jí)別識(shí)別危險(xiǎn)、量化與汽車安全完整性級(jí)別(ASIL)相關(guān)的風(fēng)險(xiǎn)以及確定緩解或預(yù)防這些危險(xiǎn)的高級(jí)別安全目標(biāo)的指南和方法。它提供了關(guān)于需求層次結(jié)構(gòu)和各種設(shè)計(jì)、分析和驗(yàn)證方法的建議。先前的研究已經(jīng)解決了本標(biāo)準(zhǔn)范圍內(nèi)功能安全的系統(tǒng)體系問(wèn)題。
4.ISO 26262的范圍討論了因項(xiàng)目故障導(dǎo)致的“項(xiàng)目”故障行為而產(chǎn)生的危害。但是,由于車輛的標(biāo)稱行為而可能發(fā)生的危險(xiǎn)不在本規(guī)范的范圍內(nèi)。對(duì)緩解或預(yù)防故障的關(guān)注對(duì)于傳統(tǒng)汽車系統(tǒng)來(lái)說(shuō)已經(jīng)足夠了,因?yàn)閭鹘y(tǒng)汽車系統(tǒng)的標(biāo)稱功能具有明確性和確定性。另一方面,對(duì)于創(chuàng)新系統(tǒng),例如自動(dòng)駕駛應(yīng)用程序,存在用例和操作領(lǐng)域的不確定性。傳感器的局限性和功能不足,再加上關(guān)鍵操作情況,可能導(dǎo)致危險(xiǎn)(超出ISO 26262的范圍)。這些危險(xiǎn)可能是由于車輛內(nèi)的一組觸發(fā)條件或駕駛場(chǎng)景的環(huán)境狀況造成的。在系統(tǒng)開發(fā)階段,這些危險(xiǎn)可能“已知”或“未知”。
5.ISO/PAS 21448標(biāo)準(zhǔn)關(guān)于預(yù)期功能的安全性(SOTIF)解決了上述危害。本文研究了ISO/PAS 21448在涉及系統(tǒng)集成的復(fù)雜系統(tǒng)時(shí)的基本公理。「由于當(dāng)前系統(tǒng)過(guò)于復(fù)雜,關(guān)于需求、規(guī)格說(shuō)明、設(shè)計(jì)實(shí)現(xiàn)和操作環(huán)境的交互的知識(shí)變得不完整。在系統(tǒng)知識(shí)不完整、風(fēng)險(xiǎn)管理流程不規(guī)范的情況下,異?;蚍穷A(yù)期的行為可能表現(xiàn)為“黑天鵝”事件」。
6.我們?cè)谶@篇論文中的貢獻(xiàn)是探索黑天鵝事件及其來(lái)源,以及作為遏制它們的一種手段的正式方法的檢查。系統(tǒng)的安全性和復(fù)雜性是對(duì)立的。隨著復(fù)雜性的增加,追蹤難以捉摸的黑天鵝事件必須成為系統(tǒng)集成商的當(dāng)務(wù)之急。「黑天鵝」的發(fā)現(xiàn)需要一個(gè)專門的設(shè)計(jì)和驗(yàn)證過(guò)程,以增加對(duì)系統(tǒng)功能安全和SOTIF相關(guān)問(wèn)題安全性的信任。
7.本文的其余部分組織如下:
在第二章中,描述了ISO/PAS 21448的當(dāng)前范圍和內(nèi)容。
在第三章中,簡(jiǎn)要概述了形式化方法。
在第四章中,定義了“意外功能”,并提供了一些示例。
在第五章討論了處理非預(yù)期功能的形式化方法的適用性和局限性。
最后,第六章總結(jié)本文。
(第一章 主要總結(jié)了ISO 21448和ISO26262兩個(gè)標(biāo)準(zhǔn)的內(nèi)容和范圍,接下來(lái)分別對(duì)兩個(gè)標(biāo)準(zhǔn)的內(nèi)容進(jìn)行探討)
第二章 ISO/PAS 21448 SOTIF

1.ISO/PAS 21448標(biāo)準(zhǔn)規(guī)定了道路車輛高度自動(dòng)化駕駛應(yīng)用的預(yù)期功能(SOTIF)的安全性。本標(biāo)準(zhǔn)旨在為需要復(fù)雜態(tài)勢(shì)感知的安全關(guān)鍵系統(tǒng)的高級(jí)開發(fā)提供指南。
2.總的來(lái)說(shuō),本標(biāo)準(zhǔn)從兩個(gè)主要角度提供了指南:「從駕駛員的角度」,它提供了更系統(tǒng)的方法(與ISO 26262相比)來(lái)分析合理可預(yù)見的誤用及其潛在的安全風(fēng)險(xiǎn)。,它著重于由于車內(nèi)系統(tǒng)的標(biāo)稱性能(限制)而可能發(fā)生的危險(xiǎn)。它特別考慮了「兩種」類型的系統(tǒng)限制:感知環(huán)境的能力(缺陷),包括傳感器融合等相關(guān)主題,以及控制算法功能的(不)充分性,包括對(duì)不同環(huán)境情況的反應(yīng)。這些限制,再加上作為觸發(fā)事件的敵方環(huán)境條件,可能組合成關(guān)鍵場(chǎng)景,并最終造成危險(xiǎn)。我們展示了系統(tǒng)透視圖的概述,并將其與圖1中ISO 26262的范圍進(jìn)行了比較。

第三章 形式方法

1.形式化方法領(lǐng)域包括一系列技術(shù),用于以嚴(yán)格的數(shù)學(xué)方法描述、設(shè)計(jì)和分析系統(tǒng)行為。與大多數(shù)其他軟件工程方法相比,形式化方法側(cè)重于從數(shù)學(xué)上證明所設(shè)計(jì)的軟件滿足其所需的功能,并在所有情況下遵守所有可能執(zhí)行的所有安全要求。
2.形式化方法提倡對(duì)系統(tǒng)進(jìn)行建模和評(píng)估的「三步方法」?!傅谝徊健故茄芯恐邢到y(tǒng)的正式規(guī)范:設(shè)計(jì)師或工程師通過(guò)描述系統(tǒng)的所有相關(guān)行為,使用正式建模語(yǔ)言定義系統(tǒng)。描述通??梢钥醋魇且粋€(gè)狀態(tài)機(jī)。這些形式規(guī)范是用自然語(yǔ)言或純文本編寫系統(tǒng)規(guī)范的替代方法。以這種方式描述整個(gè)系統(tǒng)行為的一部分并不少見,例如內(nèi)部通信協(xié)議、高度安全關(guān)鍵組件的控制或其作為服務(wù)提供的接口。
3.在「第二步」中,工程師寫下對(duì)行為的要求。這些要求可以是安全性質(zhì)的(機(jī)器不能啟動(dòng)兩次,中間不能正確停止),可以描述最終行為(制動(dòng)器控制器必須在制動(dòng)器按下時(shí)始終接收信號(hào)),或者是更復(fù)雜的性質(zhì)(系統(tǒng)將在請(qǐng)求時(shí)報(bào)告自上次檢查以來(lái)發(fā)動(dòng)機(jī)中發(fā)生的所有錯(cuò)誤)。
4.編寫這樣的需求至關(guān)重要的一個(gè)基本遵循原則是,從人的角度來(lái)說(shuō),不可能寫出一個(gè)能夠很好地處理所有可能情況的模型——更不用說(shuō)軟件了。通過(guò)檢查軟件是否始終符合明確表示的要求,引入了一種保護(hù)措施,以防止通常不可避免的疏忽。原則上,對(duì)實(shí)際軟件進(jìn)行檢查是可能的,但是現(xiàn)代編程語(yǔ)言是如此的通用,語(yǔ)義復(fù)雜,并且包含了如此多的不相關(guān)的行為細(xì)節(jié),以至于對(duì)成熟軟件的檢查需求是站不住腳的。
5.在形式化方法中,對(duì)所有可能的運(yùn)行都用數(shù)學(xué)的嚴(yán)格性檢查需求,以確保系統(tǒng)行為總是按照需求運(yùn)行。當(dāng)系統(tǒng)行為中的狀態(tài)數(shù)量太大時(shí),就會(huì)遇到一個(gè)挑戰(zhàn),那些建立系統(tǒng)模型的人必須積極地以這樣一種方式設(shè)計(jì)系統(tǒng),即狀態(tài)空間足夠小,以啟用驗(yàn)證[14]。
6.請(qǐng)注意,使用測(cè)試時(shí),系統(tǒng)的許多可能運(yùn)行都沒有包括在內(nèi)。測(cè)試覆蓋率通常代表語(yǔ)句覆蓋率,這意味著變量值的許多特定組合永遠(yuǎn)不會(huì)被處理,因?yàn)檫@被認(rèn)為是不可能的。盡管測(cè)試是一種比驗(yàn)證弱得多的技術(shù),但放棄它是一個(gè)壞主意,因?yàn)闇y(cè)試可能會(huì)覆蓋模型或需求中未捕獲或未正確捕獲的方面。從不同的角度檢查和分析軟件是獲得高質(zhì)量的必要條件。
7.最后,一旦指定并驗(yàn)證了模型,就可以通過(guò)將規(guī)范轉(zhuǎn)換為常規(guī)編程代碼來(lái)實(shí)現(xiàn)。這可以自動(dòng)完成,但手動(dòng)轉(zhuǎn)換也是一個(gè)不錯(cuò)的選擇。將模型轉(zhuǎn)換為軟件相對(duì)容易,并且可以由熟練工人以快速可靠的方式完成。在這樣的轉(zhuǎn)換中引入問(wèn)題是可能的,但一般來(lái)說(shuō),它們遠(yuǎn)沒有建模和驗(yàn)證可以避免的錯(cuò)誤復(fù)雜。
8.盡管在模型、需求及其驗(yàn)證方面花費(fèi)了額外的努力,但形式化方法的使用總體上更為有效,因?yàn)樵谠O(shè)計(jì)實(shí)現(xiàn)之前發(fā)現(xiàn)可用性缺陷可以節(jié)省時(shí)間。形式化方法可以防止在開發(fā)的后期出現(xiàn)代價(jià)高昂的錯(cuò)誤。使用形式化方法和經(jīng)典設(shè)計(jì)方法對(duì)類似項(xiàng)目進(jìn)行仔細(xì)分析后發(fā)現(xiàn),形式化方法所需的工作量最多可減少三倍,同時(shí)將錯(cuò)誤減少到10倍,通常只留下淺顯的軟件錯(cuò)誤供測(cè)試人員發(fā)現(xiàn)。
9.軟件建模的基本概念是狀態(tài)機(jī)。狀態(tài)機(jī)具有狀態(tài)以及這些狀態(tài)之間的轉(zhuǎn)換。狀態(tài)表示軟件在某些靜態(tài)情況下的狀態(tài),轉(zhuǎn)換表示計(jì)算或交互如何導(dǎo)致狀態(tài)更改。轉(zhuǎn)換和狀態(tài)具有指示其功能的標(biāo)簽。例如,一個(gè)轉(zhuǎn)換可以用“開”來(lái)標(biāo)記,表示機(jī)器打開時(shí)進(jìn)行轉(zhuǎn)換。
10.不幸的是,系統(tǒng)太復(fù)雜了,不能直接由狀態(tài)機(jī)建模。因此,已經(jīng)開發(fā)出了允許表達(dá)狀態(tài)機(jī)的形式。在20世紀(jì)80年代,過(guò)程代數(shù)被設(shè)計(jì)用來(lái)模擬系統(tǒng)行為。最值得注意的是「通信過(guò)程演算(CCS)」,「通信進(jìn)程代數(shù)(ACP)「和」通信順序進(jìn)程(CSP)」。另一種更適合于數(shù)據(jù)流應(yīng)用的形式是Petri網(wǎng)絡(luò)。
11.這些基本形式已通過(guò)數(shù)據(jù)、時(shí)間、有時(shí)甚至概率來(lái)擴(kuò)展,以描述更先進(jìn)的系統(tǒng)。對(duì)于Petri網(wǎng),人們通常會(huì)進(jìn)入有色Petri網(wǎng)領(lǐng)域,而在過(guò)程代數(shù)中,人們會(huì)看到諸如LOTOS-NT、FDR或mCRL2等語(yǔ)言[16],所有這些語(yǔ)言都帶有大量的工具集用于驗(yàn)證。
12.要對(duì)需求建模,需要使用邏輯。典型地,人們會(huì)使用模態(tài)邏輯,即命題邏輯或帶有模態(tài)的謂詞邏輯的擴(kuò)展。這些模式通常表示某些行為可以或不可以發(fā)生,以及如果發(fā)生了,隨后應(yīng)該發(fā)生什么。典型邏輯有CTL邏輯、LTL邏輯、Hennessy-Milner邏輯和模態(tài)黏液邏輯。如果用數(shù)據(jù)和時(shí)間擴(kuò)展這些邏輯,它們就會(huì)變得非常具有表現(xiàn)力。最具表現(xiàn)力的邏輯是時(shí)間和數(shù)據(jù)的模態(tài)微積分。
13.一個(gè)典型且可能令人深省的發(fā)現(xiàn)是,如果要對(duì)狀態(tài)機(jī)進(jìn)行建模,使用哪種形式主義幾乎無(wú)關(guān)緊要。當(dāng)行為以一種形式建模時(shí),它可以很容易地轉(zhuǎn)化為另一種形式。但通常情況下,將自然語(yǔ)言中的非正式規(guī)范轉(zhuǎn)換為模型既困難又耗時(shí),因?yàn)檫@些規(guī)范往往不完整、不一致且模棱兩可。關(guān)于需求規(guī)范,仍有一場(chǎng)爭(zhēng)論在進(jìn)行,LTL/CTL被認(rèn)為更直觀,而模態(tài)微積分更具表現(xiàn)力,但學(xué)習(xí)曲線更陡峭。
第四章 非預(yù)期功能

1.如前所述,SOTIF危險(xiǎn)不要求任何組件或元件(硬件或軟件)存在缺陷。元素之間關(guān)系的非預(yù)期屬性足以產(chǎn)生異常的未知安全或不安全行為,這可能超出ISO/PAS 21448中當(dāng)前處理的已確認(rèn)觸發(fā)事件。這些相互作用的指數(shù)組合性質(zhì)將壓倒任何預(yù)測(cè)和緩解意外系統(tǒng)行為的最佳努力。
2.此外,車內(nèi)系統(tǒng)已經(jīng)被視為系統(tǒng)中的系統(tǒng),并且變得非常復(fù)雜。因此,智能構(gòu)思和管理復(fù)雜系統(tǒng)交互的能力現(xiàn)在已經(jīng)被構(gòu)建這些系統(tǒng)的能力所超越。
3.我們建議通過(guò)兩種渠道引入任何非預(yù)期功能/行為:
「第一種」是預(yù)期功能意外暴露于設(shè)計(jì)領(lǐng)域之外的場(chǎng)景/操作情況。意外觸發(fā)或觸發(fā)源可能是系統(tǒng)元素交互的產(chǎn)物。
「第二種」類型是由于未知依賴關(guān)系、不完全干擾或?qū)е路穷A(yù)期功能的非預(yù)期緊急行為而導(dǎo)致的未發(fā)現(xiàn)的共存問(wèn)題。
(第一種是系統(tǒng)內(nèi)部可能會(huì)出現(xiàn)的危險(xiǎn)因素,第二種是環(huán)境方面可能導(dǎo)致的危險(xiǎn)因素)
4.緊急行為是無(wú)意中嵌入系統(tǒng)并在特定條件下或通過(guò)一系列狀態(tài)轉(zhuǎn)換在意外時(shí)刻浮出水面的行為。緊急行為可以有不同的解釋:首先,緊急行為可以是系統(tǒng)在意外事件或事件序列之后出現(xiàn)的未定義行為。「例如」,假設(shè)處于主動(dòng)模式的巡航控制系統(tǒng)監(jiān)控制動(dòng)踏板,以便在踩下踏板時(shí)可以停用。如果制動(dòng)踏板在按下和釋放時(shí)都提供觸發(fā)信號(hào),則處于活動(dòng)模式的控制器不會(huì)期望制動(dòng)踏板釋放觸發(fā)器,并可能導(dǎo)致未定義的行為。這種情況可能是用戶在踩下制動(dòng)踏板時(shí)激活巡航控制系統(tǒng)的結(jié)果。其次,緊急行為可能是組合系統(tǒng)的結(jié)果,其中任何一個(gè)組件中都不存在意外行為,但它們的交互結(jié)果會(huì)產(chǎn)生意外狀態(tài)。「例如」,1995年阿麗亞娜5號(hào)導(dǎo)彈的墜毀,耗資5億美元,是將舊的阿麗亞娜4號(hào)軟件與更新的組件相結(jié)合的結(jié)果,這些組件對(duì)慣性參考系統(tǒng)[20]的水平偏差有不同的定義。意外的過(guò)載事件導(dǎo)致控制系統(tǒng)崩潰。另一個(gè)更常見的例子是通信系統(tǒng)之間的競(jìng)爭(zhēng)條件??刂葡到y(tǒng)需要能夠處理所有可能的事件組合。
5.在圖2中,我們展示了一個(gè)框架來(lái)捕獲這些概念與ISO/PAS 21448和ISO 26262中所涵蓋項(xiàng)目之間的關(guān)系。我們使用三個(gè)抽象級(jí)別:系統(tǒng)、車輛和環(huán)境。從物理架構(gòu)的角度來(lái)看,在這些抽象級(jí)別中,我們分別擁有系統(tǒng)、車輛和操作域。此外,從邏輯架構(gòu)的角度來(lái)看,系統(tǒng)具有功能,車輛顯示涉及系統(tǒng)功能的行為,操作域捕獲場(chǎng)景(包括各種車輛(或道路用戶)行為)。在邏輯的角度來(lái)看,我們考慮一個(gè)隱藏層捕捉非預(yù)期的功能,緊急行為,以及未知的場(chǎng)景。在此框架中,我們捕獲了系統(tǒng)故障、車輛故障行為和關(guān)鍵場(chǎng)景的功能安全問(wèn)題。在本框架中,故障行為(如ISO 26262所述)和關(guān)鍵場(chǎng)景都被視為危險(xiǎn)。我們使用箭頭顯示這些概念之間的因果關(guān)系,并區(qū)分ISO 26262和ISO/PAS 21448的范圍。

第五章 討論

1.形式化方法(formal method)已經(jīng)存在了一段時(shí)間,但尚未得到廣泛使用。一般來(lái)說(shuō),形式化方法在工程界具有負(fù)面的含義,通常被視為教育玩具。以下是與形式化方法相關(guān)的典型問(wèn)題列表:
(1)可訪問(wèn)性—形式方法本質(zhì)上是數(shù)學(xué)方法,需要深厚的數(shù)學(xué)專業(yè)知識(shí)來(lái)應(yīng)用它們。
(2)可拓展性—由于狀態(tài)空間爆炸的問(wèn)題,形式化方法對(duì)它們能夠處理的問(wèn)題的大小有限制。
(3)適用性—形式化方法是領(lǐng)域特定語(yǔ)言(DSL),僅在孤立的領(lǐng)域中可用。
(4)探索—理解形式主義很有挑戰(zhàn)性,因此很難想象基于形式主義的系統(tǒng)將如何工作。
(5)轉(zhuǎn)換—形式化模型必須轉(zhuǎn)換為可針對(duì)目標(biāo)硬件編譯的代碼。一般來(lái)說(shuō),數(shù)學(xué)模型不能自動(dòng)轉(zhuǎn)換。
(6)學(xué)術(shù)性——盡管它們?cè)趯W(xué)術(shù)界已經(jīng)存在多年,但在行業(yè)環(huán)境中還沒有大規(guī)模使用(可能是因?yàn)樯鲜鲈颍?/span>
2.考慮到所有可能的技術(shù),我們只能說(shuō)形式化方法的潛在好處。因此,我們將這些定義為示例,并不打算提供詳盡的列表:
(1)完整性:一般來(lái)說(shuō),形式化方法強(qiáng)制執(zhí)行明確的規(guī)范。規(guī)范中的漏洞被檢測(cè)并報(bào)告為完整性問(wèn)題。
(2)合規(guī)性,功能正確性:如果規(guī)范和實(shí)現(xiàn)被正式定義,那么它們之間的合規(guī)性可以通過(guò)數(shù)學(xué)證明。
(3)確定性:可以驗(yàn)證形式化描述是否完全是確定性的
(4)死鎖、活鎖、死代碼:這些是狀態(tài)密集型系統(tǒng)中的典型情況,可以通過(guò)正式方法輕松檢測(cè)到,或者換句話說(shuō),可以證明它們的缺失。
第六章 結(jié)論

ISO/PAS 21448 SOTIF即將完成,是提高(自動(dòng))車輛安全性的重要一步。然而,我們聲稱這不是感到自滿和退縮的理由,因?yàn)樵谖覀兛磥?lái),仍然有一些領(lǐng)域沒有得到很好的覆蓋。我們通過(guò)使用形式化方法查看隱藏的行為,獲得了一些關(guān)于管理系統(tǒng)的復(fù)雜性和增加信任的建議。我們提出了一個(gè)框架來(lái)捕捉設(shè)計(jì)和功能安全的基本概念之間的關(guān)系。我們沒有討論正式方法的操作細(xì)節(jié),但參考了有關(guān)該主題的各種來(lái)源。這些建議應(yīng)視為對(duì)ISO/PAS 21448 SOTIF的補(bǔ)充。我們認(rèn)為,隨著自動(dòng)駕駛的發(fā)展,隨著行業(yè)的發(fā)展,將出現(xiàn)更多的標(biāo)準(zhǔn)和同質(zhì)數(shù)據(jù)庫(kù),涵蓋當(dāng)前關(guān)于未知場(chǎng)景和功能不足的擔(dān)憂。因此,設(shè)計(jì)重點(diǎn)將逐漸轉(zhuǎn)向本文所述的緊急行為。
 
分享到:
 
反對(duì) 0 舉報(bào) 0 收藏 0 評(píng)論 0
滬ICP備11026917號(hào)-25