Qu'est-ce que l'SOTIF ?

La sécurité des fonctionnalités prévues (SOTIF) est une approche de sécurité développée pour les applications des systèmes avancés d'aide à la conduite (ADAS) et des systèmes de conduite automatisée (ADS), qui porte sur la sécurité des capteurs et des algorithmes en l'absence de défaillance du système. 

Avec l'essor des systèmes avancés d'aide à la conduite et des systèmes de conduite automatisée de tous niveaux, la norme ISO 21448 a été élaborée en 2022 afin de fournir des directives aux constructeurs et aux fournisseurs automobiles sur la manière de garantir « l'absence de risque déraisonnable » lié aux dangers résultant d'insuffisances fonctionnelles des fonctionnalités prévues ou d'un mauvais usage raisonnablement prévisible par les utilisateurs. Ensemble, ces normes de sécurité fournissent une approche holistique pour les systèmes de conduite autonomes et les ADAS sur toutes les plateformes automobiles. Les questions de cybersécurité sont abordées dans la norme ISO 21434, car les organismes de normalisation ont convenu qu'il était préférable de fournir un cadre unique pour la gestion des risques de cybersécurité tout au long du cycle de vie des véhicules.

Bien que l'idée de SOTIF telle que définie dans la norme ISO 21448 ait été développée pour le domaine automobile, elle peut être transposée à n'importe quel système autonome. Les entreprises la trouvent utile dans les applications aérospatiales, de machinerie lourde, de construction et de l'automatisation industrielle, où elle est souvent associée aux stratégies de sécurité fonctionnelle déjà en place. La SOTIF est une méthodologie évolutive, et des groupes de normalisation dans le monde entier l'affinent activement pour répondre aux technologies et applications émergentes. 

Les lignes directrices contenues dans la norme ISO 21448 ont été élaborées pour compléter les lignes directrices relatives à la sécurité fonctionnelle contenues dans la norme ISO 26262. Alors que la sécurité fonctionnelle (FuSa) aborde les défaillances du système, la SOTIF porte sur la sécurité du système en l'absence de défaillance.

Le tableau suivant aborde certaines des différences entre les deux normes de sécurité automobile :

En bref, la FuSa aide les équipes de conception à éviter les problèmes de sécurité associés aux défaillances logicielles et matérielles de tout système électrique/électronique (E/E), tandis que la SOTIF aborde les problèmes de sécurité automobile qui surviennent lorsque les systèmes autonomes et d'aide à la conduite reçoivent des données inexactes, les interprètent de manière incorrecte ou sont mal utilisés ou mal compris par l'opérateur humain. 

Après avoir élaboré des normes pour les véhicules routiers autour des défaillances d'équipement, la communauté de la conception automobile a reconnu la nécessité d'instaurer des exigences de sécurité pour traiter d'autres dangers potentiels qui surviennent lorsque les systèmes autonomes ne sont pas compromis et ne tombent pas en panne. Les systèmes ADAS et de conduite autonome utilisent des capteurs pour évaluer la situation, l'apprentissage automatique pour traiter les données des capteurs, ainsi que des algorithmes complexes pour informer, assister ou prendre le relais du conducteur.

Pour aider les ingénieurs à élaborer un processus d'identification et de gestion des risques, la norme définit trois types d'événements dangereux :

Insuffisances fonctionnelles

Une insuffisance fonctionnelle désigne l'incapacité d'un système concerné à interpréter avec précision un événement réel dans son domaine de conception opérationnelle (ODD), ce qui entraîne un événement dangereux. Les insuffisances fonctionnelles d'un système incluent les lacunes dans les spécifications du système. Par exemple : une collision avec une moto qui double, parce que le véhicule automatisé n'a pas anticipé que la moto s'approcherait aussi rapidement et l'a repérée trop tard.

Limites de performances

Les limites de performances se produisent lorsqu'un système se comporte de manière dangereuse en raison des déficiences d'un capteur ou d'un algorithme. Si une ou plusieurs limites inhérentes sont causées par un capteur, un algorithme ou un composant, cela peut entraîner un comportement dangereux. Un exemple représentatif serait un système de freinage d'urgence qui ne s'enclenche pas parce que le capteur de sa caméra ne peut pas détecter un objet en raison d'une forte pluie ou de brouillard.

Mauvaise utilisation prévisible

Les mauvaises utilisations prévisibles sont des situations dans lesquelles un utilisateur interagit de manière imprévue. Par exemple, un utilisateur tourne brusquement le volant alors qu'il est en mode de conduite automatisée, ou conduit en étant distrait et ne voit ou n'entend pas un message d'avertissement concernant une collision potentielle. 

Une fois qu'une équipe a identifié un problème de sécurité, elle élabore des scénarios ou des « histoires » qui décrivent les situations auxquelles le véhicule pourrait être confronté sur la route. La norme ISO 21448 définit quatre scénarios qui représentent les niveaux de sécurité et de connaissance de la situation. Le niveau de sécurité peut être sûr ou dangereux, et la situation peut être connue ou inconnue.

La SOTIF vise à réduire le nombre de situations inconnues et dangereuses, en s'attachant en priorité à identifier les scénarios potentiellement dangereux, notamment en les faisant passer de l'état inconnu à l'état connu. L'étape suivante consiste à transformer les scénarios dangereux en scénarios non dangereux. Cela passe par l'amélioration des performances du système ou par la prévention de l'exposition à de tels scénarios grâce à la restriction du domaine de conception opérationnelle. La disposition de ces dénominations dans un quadrant basé sur les catégories indiquées ci-dessous aide les équipes de sécurité à déterminer les scénarios dangereux et à définir les priorités. 

À mesure que le nombre de cas d'utilisation pour lesquels la SOTIF est applicable augmente, les entreprises s'efforcent d'intégrer la norme en constante évolution dans la politique de sécurité tout au long du cycle de vie de leurs produits. Bien que l'expérience de l'industrie avec la SOTIF soit encore nouvelle, certaines bonnes pratiques ont émergé pour accélérer l'intégration, augmenter l'efficacité des implémentations SOTIF et, en fin de compte, améliorer la sécurité des véhicules équipés de systèmes d'aide à la conduite, de fonctions de conduite autonome et d'autres machines qui utilisent des capteurs et de l'IA pour l'automatisation et l'autonomie. Ces bonnes pratiques sont décrites ci-dessous.

• Faire intervenir des experts : il s'agit d'un nouveau domaine qui implique que les experts internes ou externes à une organisation peuvent accélérer la mise en œuvre, améliorer la précision et renforcer l'impact.
• Utiliser les données de terrain : les capteurs ADAS et les capteurs liés à la conduite autonome, ainsi que les algorithmes qui utilisent les données des capteurs, génèrent une quantité importante d'informations essentielles pour découvrir les omissions fonctionnelles, les lacunes en matière de performance et les mauvaises utilisations.
• Intégrer les processus SOTIF aux méthodes de FuSa et de cybersécurité dans le cadre d'une approche d'ingénierie des systèmes basée sur des modèles (MBSE) : bien que la FuSa, la SOTIF et la cybersécurité abordent différents aspects et causes des dangers, elles portent souvent sur les mêmes dangers. De plus, des données similaires et des outils d'évaluation des risques pour la sécurité, comme les arbres de défaillances, les arbres de causes et les arbres d'attaque, s'appliquent aux trois secteurs. Essayez de réutiliser les informations et les étapes dans la mesure du possible. Lorsque le partage n'est pas possible, menez des études de SOTIF parallèlement à d'autres tâches de sécurité. une intégration étroite avec des approches basées sur des modèles accélère l'analyse de sécurité, garantit que la configuration réelle du système est prise en compte dans le cadre de l'analyse et que les résultats de l'analyse de FuSa/SOTIF/cybersécurité sont réutilisés dans le cadre du développement, assurant ainsi une traçabilité totale.
• Associer les techniques analytiques et la validation : Les équipes de sécurité doivent utiliser des processus analytiques tels que l'analyse des dangers, l'étude des dangers et de l'exploitabilité (HAZOP), l'analyse par arbre des causes et l'analyse des insuffisances et des conditions de déclenchement pour identifier les problèmes potentiels. Elles doivent ensuite utiliser ces informations pour orienter les approches de validation, notamment les essais sur route, les essais au banc des capteurs, la simulation de matériel dans la boucle, la simulation de capteurs et la simulation de scénarios.
• Adapter les méthodes de vérification et de validation pour la SOTIF : la SOTIF nécessite souvent de nouvelles approches de vérification en raison de la nouvelle fonctionnalité ou en raison du grand nombre de scénarios potentiels et de conditions de déclenchement. Les équipes doivent évaluer l'ensemble de la chaîne de vérification et de validation (V&V) et modifier chaque étape, le cas échéant, afin d'intégrer les informations requises aux fins de la SOTIF.
• Mettre en œuvre la formation et les tests de systèmes virtuels : le nombre de variantes de scénarios de test nécessaires pour couvrir le domaine de conception opérationnelle est colossal, et l'expérience acquise sur le terrain, qui ne cesse de s'enrichir, doit venir compléter l'ensemble actuel de cas de test. On considère qu'il est impossible de vérifier cela par des essais routiers avec de vraies voitures sur de vraies routes. On observe donc une transition massive vers la simulation, tant en boucle fermée (pour tester le comportement global du véhicule et sa réaction face aux autres usagers de la route dans des scénarios réalistes) qu'en boucle ouverte (pour tester, à l'aide de modèles de capteurs physiquement précis, ce que la voiture peut percevoir ou comment elle réagit à des stimuli spécifiques). Le test virtuel par simulation permet également l'évaluation et l'optimisation des algorithmes et des configurations de capteurs de manière précoce dans le cycle de conception, ainsi que l'amélioration itérative du système dans les cycles agiles.
• Appliquer la SOTIF en tant que processus itératif : la norme fait référence aux risques qui subsistent après une interaction comme des risques résiduels. Ces dangers résiduels doivent être réexaminés jusqu'à ce qu'il ne reste plus que des problèmes ne présentant pas de risque déraisonnable.
• Faire de la SOTIF une partie intégrante de la culture de la sécurité : la SOTIF offre une perspective différente sur la façon dont les dangers se produisent et la manière de les prévenir. Toute personne impliquée dans le cycle de vie d'un véhicule doit avoir une compréhension fondamentale de la norme. 

La SOTIF et sa norme associée, ISO 21448, ont été développées pour compléter les normes existantes de l'industrie et de l'entreprise, ainsi que les normes existantes en matière de sécurité fonctionnelle et de cybersécurité. Bien que les équipes chargées de la qualité et de la sécurité s'efforcent d'anticiper les événements, elles ne peuvent pas identifier tous les problèmes potentiels couverts par la SOTIF avant la mise en service d'un véhicule. Les outils de simulation peuvent faciliter l'évaluation des systèmes couverts par la SOTIF et fournir des données exploitables sur les capteurs et les algorithmes tout au long du processus.

Les entreprises qui souhaitent maximiser l'efficacité, la rapidité et la précision de leurs processus SOTIF doivent envisager les types de produits de simulation et d'outils analytiques suivants.

Planification des processus de sécurité et gestion des dossiers de sécurité

La première étape du déploiement d'un logiciel consiste à utiliser un outil de gestion de la sécurité, tel qu'Ansys Digital Safety Manager, pour la planification guidée de la sécurité, la gestion des dossiers de sécurité, l'exécution et la révision des plans de sécurité, la simulation, l'analyse SOTIF, ainsi que pour le suivi et la production de rapports sur les indicateurs clés de performance (KPI). 

Outils d'analyse de la sécurité du système basés sur des modèles

Une fois qu'un plan de sécurité est élaboré, les plateformes MBSE (Model-based System Engineering) appropriées permettent aux ingénieurs d'effectuer des analyses de sécurité sur la conception de leur système. De nombreux ingénieurs se tournent vers des outils tels qu'Ansys medini analyze, un logiciel d'analyse de sécurité orienté système qui prend en charge plusieurs normes ISO avec une traçabilité de bout en bout et qui s'intègre parfaitement aux principaux outils de gestion des exigences et de conception de systèmes, comme Ansys System Architecture Modeler (SAM). L'outil Ansys medini analyze est un excellent exemple de plateforme au niveau du système, car il permet aux équipes de créer et d'importer des modèles d'architecture système, puis de réaliser différents types d'analyses de sécurité, notamment :

• Analyse des risques
• HAZOP
• Analyse de l'arbre des défaillances / l'arbre des causes / l'arbre des attaques
• Diagrammes de fiabilité
• Analyse des modes de défaillance et de leurs effets (FMEA), analyse des modes de défaillance, de leurs effets et de leur criticité (FMECA), analyse des modes de défaillance, de leurs effets et de leur diagnostic (FMEDA), et modèles d'étude des modes de défaillance et de leurs effets (FMES).
• Analyse des faiblesses et des insuffisances
• Analyse des conditions de déclenchement

Une fois l'analyse terminée, les résultats peuvent être exportés vers tous les principaux outils de gestion des exigences.

Plateformes de simulation de scénarios et de capteurs

L'un des défis majeurs de la mise en œuvre de la SOTIF est de recueillir suffisamment de données pour découvrir les dangers. Les plateformes numériques de simulation de mission conçues pour l'espace des véhicules autonomes sont essentielles si les équipes veulent identifier les dangers avant qu'ils ne surviennent sur le terrain. Un outil comme le logiciel de simulation de capteur de véhicule autonome Ansys AVxcelerate Sensors peut être utilisé pour modéliser les capacités d'un capteur, permettant ainsi de tester et de valider la perception du capteur sans se fier aux données enregistrées lors de la conduite réelle. Les tests des systèmes ADAS et de conduite autonome peuvent ensuite être virtualisés à l'aide d'une plateforme de simulation complète et basée sur l'ingénierie MBSE, telle que le logiciel Ansys AVxcelerate Autonomy, afin de réaliser des tests virtuels sous la forme de simulations de scénarios à grande échelle avec de nombreuses variantes de paramètres pour chaque scénario de base. Ces données peuvent être utilisées afin de quantifier le risque résiduel pour la SOTIF. 

Avec l'utilisation accrue de systèmes électriques et électroniques (E/E) dans les voitures, la norme ISO 26262 pour la sécurité fonctionnelle (c'est-à-dire les dangers causés par des défaillances et des dysfonctionnements dans de tels systèmes) a été publiée en 2011. Lorsque les systèmes ADAS et les véhicules autonomes (AV) de tous niveaux ont fait leur apparition, cette norme seule ne suffisait plus à couvrir tous les aspects de leur sécurité. Elle a donc été complétée par la norme ISO 21448 en 2022, afin de fournir des directives aux constructeurs et aux fournisseurs automobiles sur la manière de garantir « l'absence de risque déraisonnable relativement aux dangers résultant d'insuffisances fonctionnelles des fonctionnalités prévues ou d'une mauvaise utilisation raisonnablement prévisible par les utilisateurs ». Cette norme plus récente fournit des conseils aux fabricants d'équipement d'origine (OEM) et à leurs fournisseurs dans l'industrie automobile pour la conception, la vérification, la validation et le fonctionnement des systèmes E/E automobiles qui utilisent des capteurs pour fournir des informations sur la situation, qui sont ensuite utilisées par des algorithmes afin d'aider le conducteur ou de contrôler le véhicule. 

Ressources connexes