SOTIF(의도된 기능의 안전) in Bosh

SOTIF(Safety Of The Intended Functionality)는 제품의 안전(Safety)와 관련된 부분으로 기존에 Functional Safety(기능안전) 관점에서 다루다가 별도의 표준 (현재 ISO PAS 21448)로 제정하여 곧 별도의 표준으로 제정 될 예정이다

Functional Safety와 SOTIF의 가장 큰 차이점은 Functional Safety는 기능의 고장(Fault)에 의해 야기는 안전(Safety)의 이슈이며, SOTIF는 ADAS나 AV(Automated Vehicle)과 같이 intelligent vehicle의 제품의 성능(Performance)의 문제로 야기는 안전(Safety)의 이슈가 가장 큰 차이점이다. (예를 들면 현재 ADAS나 ADS에 많이 사용되는 사용화 되어 있는 Radar, Lidar, Camera 등의 센서의 성능의 문제로 기능을 제대로 발휘하지 못하는 경우)

이러한 부분은 기존의 Functional Safety와 다른 접근이 필요하며 여기서는 Bosh의 ADS제품에 적용하는 SOTIF의 프로세스를 간단히 소개한다. 하지만 이 프로세스도 PAS 21448을 기반으로 정의되어 있다.

특히 Bosh가 주장하는 바는 1) 현재 ADAS를 위한 PAS 21488을 R&D 상에 적용하고 있고 2) 자율주행차(Automated Vehicle)에 적용을 위한 절차와 방법에 대해 연구하고 있으며, 3) P-FTA(Performace FTA)이라는 방법론을 정량적인 관점에서 ADAS에 적용하고 있다고 주장하고 있음 (사실 구쳊거인 확인은 불가능하며, 그들이 맞다고 하면 자동차 업계에서는 어느정도 인정하고 있음)

5 Activities(Functional and System Specification) : SOTIF와 관련된 모든 기능적 사양에 대한 기술 -> 기존의 HARA시 Target Function의 정의와 유사

6. Activities(SOTIF risk identification : V&V Strategy) : Use of ISO 26262 H&R to identify SOTIF risks. Tailoring of further activities and definition of acceptance criteria in SOTIF plan or Safety Plan

7. Activities(Failure analysis) : Analysis of the causes of known triggering events and of the effects of the defined model assumptions by deductive analysis (Performance FTA, ...) and/or inductive analysis (FMEA, ...)

8. Activities(SOTIF Concept - Functional modification, measures) : List of measures to ensure a safe design with respect to SOTIF.

9. Activities(V&V Strategy) : Specification of the test cases for the known triggering events (test track, real world) and unknown triggering events (endurance run, real world).

10. Activities (Verification) : Verification of the known triggering events. Check if acceptance criteria defined in SOTIF plan(Safety plan) are met.

11. Activities (Validation, Evaluation) : Validation of the unknown triggering events. Check if validation targets defined in SOTIF plan(Safety plan) are met.
Evaluation of the residual risk given from the endurance run and test track.

12. Activities(SOTIF Release) : Summarize SOTIF activities and their results in the SOTIF argumentation. Review of the argumentation including the acceptability of the residual risk considering the findings of the SOTIF activities. Release of the argumentation.

실제 ADAS의 경우, SOTIF의 정확한 평가를 위해서는 V 모델의 오른쪽에 중심이 될 수 밖에 없다. 사양이나 기능적인 측면에서 SOTIF의 위험 요인을 식별하고 관련 내용을 정의할 수 있으나, 구체적인 성능범위나 수치는 설계가 아닌 실험치에서 정의되고 검증될 수 밖에 없다. (가장 전형적인 ADAS의 성능 및 기준치에 대한 규정은 NCAP 규정이며 특히 EU-NCAP이 가장 자세하며, 명확하다.)

하지만 자율주행차(Automated Vehicle)는 이러한 부분으로 적용하기 어렵다 왜냐하면, 실험치에 대한 통계적 데이터의 적합성 유무를 현재 시점에서는 판단하기 모호하기 때문이다.

참고로 SOTIF에 기존의 테스팅(Testing)에서 사용되었던 개념 중 False Positive and False Negative의 개념을 이해하고 적용해야 한다.

여기서 True Positive와 True Negative는 문제가 되지 않으며 "False Negative"는 바로 치명적인 문제를 가져올 수 있으며, "False Postive"는 직접적인 치명적 문제는 아니지만, 그러한 가능성을 가지고 있는 부분으로 --> Uncertainty in Nominal performance 영역으로 인지->분석->보완->검증 되어야 하는 영역이다.