安全被普遍认为是自动驾驶汽车被用户接受或者得到商业应用的最大问题，传统的汽车电子按照ISO 26262功能安全标准进行安全设计，但是自动驾驶汽车的安全的要求超越了ISO 26262的范畴，包含了其他的安全理念比如预期功能安全（SOTIF，ISO/PAS21448）。目前政府和整车厂正在努力为自动驾驶汽车的安全定义合理的要求。所以安全成为汽车制造商、服务提供商、政府以及自动驾驶生态中各个利益相关方的核心话题。这门课将会引导学员了解预期功能安全安全背后的主要原则和问题，学习预期功能安全在ADAS，自动驾驶等产品上应用的最佳实践，包含SOTIF的方法论、实施流程、系统和软硬件阶段的开发，场景库建设以及测试验证技术等。

培训目标

ü 掌握SOTIF的思想和方法论

ü 掌握SOTIF的流程实施技术

ü 掌握基于SOTIF的安全分析和评估技术

ü 掌握SOTIF系统和软硬件阶段的设计和开发技术

ü 掌握SOTIF的在场景库建设、测试和验证技术

ü 掌握SOTIF的释放和运维技术

主讲老师

牛喀学城特约讲师，SCCM高级安全专家

15年汽车电子行业工作经验，专注于自动驾驶方向，有丰富的自动驾驶系统安全设计经验。近十年功能安全开发、咨询、审核经验，曾任多个国际顶级零部件商功能安全经理，SGS-TUV汽车功能安全总工程师，国内首个量产ADAS项目（ASILD）的功能安全经理，国内首个量产产品功能安全的TUV审核和认证咨询专家，带领团队进行整车功能安全设计并获得TUV审核认证。

一. SOTIF基础概念介绍

    1.1 SOTIF提出的背景和面对的新技术的挑战

    1.2 SOTIF标准ISO 21448的概览

    1.3 SOTIF标准和其它安全标准的关系

    1.4 自动驾驶马斯洛三角安全标准体系

    1.5 UL4600中的自动驾驶安全标准体系

    1.6 ISO 4804中的自动驾驶安全标准体系

    1.7 SOTIF的基本思想和方法论简介

二. SOTIF的整体流程管理介绍

    2.1 符合ISO 21448的开发流程概览

    2.2 SOTIF的迭代设计在项目中的应用

    2.3 自动驾驶研发流程标准整合方案

三. SOTIF的系统级开发介绍

    3.1 自动驾驶系统的SOTIF的场景库简介

    3.2 五层法搭建自动驾驶的场景库

    3.3 自动驾驶的SOTIF功能设计

    3.4 典型L2系统的SOTIF场景库和功能设计介绍

    3.5 典型L3系统的SOTIF场景库和功能设计介绍

    3.6 低速L4系统的SOTIF场景库和功能设计介绍

    3.7 Robot Taxi系统的SOTIF场景库和功能设计介绍

    3.8 无人干线物流系统的SOTIF场景库和功能设计介绍

四. SOTIF的危害识别和评估介绍

    4.1 自动驾驶系统识别SOTIF危害的方法论简介

    4.2 HARA分析方法论介绍

    4.3 自动驾驶系统SOTIF危害评估和安全目标介绍

    4.4 自动驾驶系统SOTIF的验收标准介绍

    4.5 L2~L2+自动驾驶系统的典型SOTIF危害识别和评估

    4.6 L3~L4自动驾驶系统的典型SOTIF危害识别和评估

五. 识别自动驾驶系统SOTIF的功能不足和触发条件

    5.1 自动驾驶系统的SOTIF功能不足识别分析

    5.2 自动驾驶系统的SOTIF触发条件分析

    5.3 分析自动驾驶系统响应对应触发条件的可接受性

    5.4 自动驾驶传感器系统的典型功能不足和触发条件

    5.5 自动驾驶算法的典型功能不足和触发条件

    5.6 自动驾驶执行器系统的典型功能不足和触发条件

六. 自动驾驶系统SOTIF的改进 – SOTIF安全需求

    6.1 针对区域2的5大安全解决方案介绍

    6.2 低速自动驾驶传感器的典型SOTIF需求和设计方案

6.4  高速自动驾驶传感器的典型SOTIF需求和设计方案

    6.4 自动驾驶算法的典型SOTIF需求和设计方案

 6.5 自动驾驶执行器的典型SOTIF需求和设计方案

七. SOTIF的误用分析介绍

    7.1 SOTIF的误用分析介绍

    7.2 自动驾驶SOTIF的误用分析案例分析

    7.3 自动驾驶SOTIF的误用分析解决方案介绍

    7.4 自动驾驶的典型误用案例和对应解决方案

八. SOTIF的安全分析介绍

   8.1 STPA背景和基本思路介绍 – 来自麻省理工的黑科技

   8.2 STPA基本方法论介绍

   8.3 自动驾驶系统的STPA案例讲解

   8.4 STPA对比传统分析方法论的优势 – 集成一体化的分析

   8.5 FTA和FMEA在自动驾驶SOTIF分析中的应用

九. SOTIF的系统测试介绍

   9.1 自动驾驶系统SOTIF的测试策略设计和测试方法论介绍

   9.2 自动驾驶传感器典型SOTIF测试方法介绍

   9.3 自动驾驶算法典型SOTIF测试方法介绍

   9.4 自动驾驶执行器典型SOTIF测试方法介绍

   9.5 自动驾驶系统集成典型SOTIF测试方法介绍

   9.6 SOTIF测试的通过条件设定策略（区域2评估）

十. SOTIF的系统验证介绍

   10.1 自动驾驶系统SOTIF的验证策略设计和验证方法论介绍

   10.2 自动驾驶传感器的典型SOTIF验证方法介绍

   10.3 自动驾驶算法的典型SOTIF验证方法介绍

   10.4 自动驾驶执行器的典型SOTIF验证方法介绍

   10.5 自动驾驶系统整体的典型SOTIF验证方法介绍

   10.6 真实案例讲解1 – 算法验证

   10.7 真实案例讲解2 – 低速自动驾驶系统验证

   10.8 SOTIF验证的通过条件设定策略（区域3评估）

   10.9 问题挑战和解决方案探索

十一. SOTIF的释放和运维

   11.1 残余风险的评估准则和方法

   11.2 SOTIF释放的条件设定

   11.3 自动驾驶系统运行时的SOTIF潜在弱点监控

   11.4 自动驾驶系统运维中的SOTIF风险识别和评估

   11.5 如何在自动驾驶系统运维中降低的SOTIF风险

十二. SOTIF的一般性支持指导求

   12.1 GSN在SOTIF开发中的应用

   12.2 SOTIF和功能安全的流程融合介绍

   12.3 SOTIF的驾驶策略规范

12.4  自动驾驶地图的SOTIF考量

12.5 V2X的SOTIF考量