Che cos'è il SOTIF?

Il Safety of the Intended Functionality (SOTIF) è un approccio di sicurezza sviluppato per applicazioni ADAS (Advanced Driver Assistance Systems, sistemi avanzati di assistenza alla guida) e ADS (Automated Driving Systems, sistemi di guida automatizzati), che garantisce la sicurezza dei sensori e degli algoritmi in assenza di guasti al sistema. 

Con la diffusione di sistemi avanzati di assistenza alla guida e di sistemi di guida automatizzati di tutti i livelli, nel 2022 è stata sviluppata la norma ISO 21448 per fornire indicazioni ai produttori e fornitori del settore automobilistico su come garantire l'"assenza di rischi non ragionevoli" dovuti a pericoli derivanti da insufficienze funzionali della funzionalità prevista o da un uso improprio ragionevolmente prevedibile da parte delle persone. Insieme, questi standard di sicurezza forniscono un approccio olistico ai sistemi di guida autonomi e ADAS su tutte le piattaforme automobilistiche. Le problematiche di cybersecurity sono affrontate nella norma ISO 21434, poiché le organizzazioni di standardizzazione hanno concordato che fosse preferibile fornire un unico framework per la gestione dei rischi informatici lungo l'intero ciclo di vita del veicolo.

Sebbene il concetto di SOTIF, così come definito nella ISO 21448, sia stato sviluppato per il settore automobilistico, può essere esteso a qualsiasi sistema autonomo. Le aziende lo stanno trovando utile anche in applicazioni aerospaziali, macchinari industriali, edilizia e automazione industriale, dove viene spesso combinato con le strategie esistenti di sicurezza funzionale. Il SOTIF è una metodologia in evoluzione e i gruppi di standardizzazione a livello mondiale lo stanno attivamente affinando per affrontare tecnologie e applicazioni emergenti. 

La guida contenuta nello standard ISO 21448 è stata sviluppata per integrare la guida sulla sicurezza funzionale contenuta nello standard ISO 26262. Laddove la sicurezza funzionale (FUSA) si occupa dei guasti del sistema, l'approccio SOTIF gestisce la sicurezza di un sistema in assenza di guasti.

La seguente tabella illustra alcune delle differenze tra i due standard di sicurezza per il settore automobilistico:

In sintesi: la Functional Safety (FuSa) aiuta i team di ingegneria a evitare problemi di sicurezza legati a guasti software e hardware in qualsiasi sistema elettrico/elettronico (E/E), mentre l'approccio SOTIF affronta i problemi di sicurezza automobilistica che emergono quando i sistemi di guida assistita o autonoma ricevono dati imprecisi, li interpretano in modo errato oppure vengono usati impropriamente o fraintesi dall'operatore umano. 

Dopo aver sviluppato gli standard per i veicoli stradali incentrati sui guasti delle apparecchiature, la comunità dell'ingegneria automobilistica ha riconosciuto la necessità di requisiti di sicurezza in grado di affrontare anche altri potenziali pericoli che emergono quando i sistemi autonomi non sono compromessi e non presentano errori. I sistemi ADAS e di guida autonoma utilizzano sensori per ottenere consapevolezza della situazione, il machine learning per elaborare i dati dei sensori e algoritmi complessi per informare, assistere o sostituire il conducente.

Per aiutare gli ingegneri a sviluppare un processo di identificazione e gestione dei rischi, lo standard definisce tre tipi di eventi pericolosi:

Insufficienze funzionali

Un'insufficienza funzionale è l'incapacità di un sistema coperto di interpretare correttamente un evento del mondo reale all'interno del proprio dominio di progettazione operativo (ODD), portando a un evento pericoloso. Le insufficienze funzionali includono lacune nelle specifiche del sistema. Un esempio è una collisione con una motocicletta in fase di sorpasso, perché il veicolo automatizzato non era consapevole che la moto si sarebbe avvicinata così rapidamente ed è stata rilevata troppo tardi.

Limitazioni prestazionali

Le limitazioni delle prestazioni si verificano quando un sistema si comporta in modo non sicuro a causa di carenze di un sensore o di un algoritmo. Se una o più limitazioni intrinseche sono causate da un sensore, un algoritmo o un componente, ciò può portare a comportamenti pericolosi. Un esempio rappresentativo è un sistema di frenata di emergenza che non si attiva perché il sensore della telecamera non riesce a rilevare un oggetto a causa di pioggia intensa o nebbia.

Uso improprio prevedibile

Gli eventi di uso improprio prevedibile sono situazioni in cui un utente interagisce con il sistema in modo non previsto. Ad esempio, un utente che sterza improvvisamente mentre è attivo un sistema di guida automatizzata oppure guida distratto senza vedere o sentire un messaggio di avviso su una possibile collisione. 

Una volta identificata una criticità di sicurezza, il team sviluppa scenari, ovvero "storie" che descrivono situazioni che il veicolo potrebbe incontrare su strada. Lo standard ISO 21448 definisce quattro aree di scenario che rappresentano i livelli di sicurezza e di conoscenza della situazione. Il livello di sicurezza può essere sicuro o non sicuro, mentre la conoscenza della situazione può essere nota o sconosciuta.

L'approccio SOTIF si concentra sulla riduzione del numero di situazioni sconosciute e non sicure, dando priorità all'identificazione di scenari potenzialmente pericolosi, soprattutto trasformandoli da sconosciuti a noti. Il passo successivo è trasformare gli scenari pericolosi in scenari non pericolosi. Ciò avviene migliorando le prestazioni del sistema oppure evitando l'esposizione a tali scenari tramite la restrizione dell'ODD (Operational Design Domain). Disporre queste etichette in un diagramma a quadranti basato sulle categorie indicate di seguito aiuta i team di sicurezza a determinare quali scenari siano pericolosi e anche a stabilire le priorità. 

Con l'aumento dei casi d'uso in cui il SOTIF è applicabile, le aziende stanno lavorando intensamente per integrare questo standard in continua evoluzione nel regime di sicurezza lungo l'intero ciclo di vita dei prodotti. Sebbene l'esperienza del settore con il SOTIF sia ancora recente, sono emerse alcune best practice per accelerarne l'integrazione, aumentare l'efficienza delle implementazioni e, in ultima analisi, migliorare la sicurezza dei veicoli con sistemi di assistenza alla guida, funzionalità di guida autonoma e altre macchine che utilizzano sensori e AI per automazione e autonomia. Di seguito sono riportate tali best practice:

• Coinvolgere esperti: Si tratta di un ambito nuovo: esperti interni o esterni all'organizzazione possono accelerare l'implementazione, migliorarne l'accuratezza e aumentarne l'impatto.
• Utilizzare i dati di campo: I sensori ADAS e dei sistemi di guida autonoma, insieme agli algoritmi che elaborano i dati, generano una grande quantità di informazioni essenziali per individuare omissioni funzionali, carenze prestazionali e casi di uso improprio.
• Integrare i processi SOTIF con FuSa e cybersecurity tramite un approccio MBSE (Model-Based Systems Engineering): Sebbene FuSa, SOTIF e cybersecurity affrontino aspetti e cause diverse dei pericoli, spesso si riferiscono agli stessi pericoli. Inoltre, strumenti simili di valutazione del rischio (come analisi della struttura ad albero del guasto, delle cause e degli attacchi) si applicano a tutti e tre i domini. Si dovrebbe quindi riutilizzare informazioni e fasi quando possibile. Quando la condivisione non è fattibile, è opportuno condurre gli studi SOTIF in parallelo ad altre attività di sicurezza. Una forte integrazione con approcci model-based accelera l'analisi della sicurezza, garantisce che la configurazione reale del sistema venga considerata e che i risultati delle analisi FuSa/SOTIF/cybersecurity vengano reintegrati nello sviluppo, assicurando piena tracciabilità.
• Combinare tecniche analitiche con la validazione: I team di sicurezza dovrebbero utilizzare processi analitici come analisi dei rischi, HAZOP (Hazard and Operability Study), cause-tree analysis e analisi delle insufficienze e delle condizioni di attivazione per individuare potenziali problemi. Queste informazioni devono poi guidare gli approcci di validazione, inclusi test su strada, test su banchi sensori, hardware-in-the-loop, simulazioni dei sensori e simulazioni di scenari.
• Adattare i metodi di verifica e validazione al SOTIF: Il SOTIF richiede spesso approcci di verifica innovativi, a causa delle nuove funzionalità o dell'enorme numero di scenari e condizioni di attivazione possibili. I team dovrebbero valutare l'intera catena di verifica e validazione (V&V) e modificare ogni fase per includere le informazioni necessarie al SOTIF.
• Implementare training e test virtuali del sistema: Il numero di variazioni di scenari di test necessari per coprire l'ODD è enorme, e l'esperienza sul campo cresce continuamente, rendendo necessario integrare il set di casi di test esistente. Si ritiene impossibile verificare tutto tramite test su strada con veicoli reali. Per questo si sta assistendo a un forte spostamento verso la simulazione, sia closed-loop, per testare il comportamento completo del veicolo e la sua interazione con altri utenti della strada in scenari realistici, sia open-loop, per testare con modelli fisicamente accurati dei sensori cosa il veicolo percepisce o come reagisce a stimoli specifici. Il testing virtuale tramite simulazione consente inoltre di valutare e ottimizzare algoritmi e configurazioni dei sensori nelle prime fasi del ciclo di progettazione, permettendo un miglioramento iterativo del sistema in cicli agili.
• Applicare il SOTIF come processo iterativo: lo standard fa riferimento ai rischi che permangono dopo un'interazione come rischi residui. Tali rischi devono essere riesaminati e gestiti nuovamente fino a quando rimangono solo criticità che non comportano un rischio non ragionevole.
• Rendere il SOTIF parte integrante della cultura della sicurezza: Il SOTIF offre una prospettiva diversa su come si generano i pericoli e su come prevenirli. Chiunque sia coinvolto nel ciclo di vita di un veicolo dovrebbe possedere una conoscenza fondamentale di questo standard. 

Il SOTIF e il relativo standard ISO 21448 sono stati sviluppati per integrare gli standard aziendali e industriali preesistenti, nonché le normative vigenti in materia di sicurezza funzionale (Functional Safety) e cybersecurity. Sebbene i team incaricati della qualità e della sicurezza lavorino con dedizione per anticipare ogni evento, non è possibile identificare tutte le potenziali criticità coperte dal SOTIF prima che un veicolo entri in servizio. Gli strumenti di simulazione possono supportare la valutazione dei sistemi soggetti a SOTIF, fornendo dati azionabili su sensori e algoritmi lungo tutto il processo.

Le aziende che mirano a massimizzare l'efficienza, la velocità e l'accuratezza dei propri processi SOTIF dovrebbero considerare le seguenti tipologie di prodotti di simulazione e strumenti analitici.

Pianificazione dei processi di sicurezza e gestione del safety case

Il primo ambito di implementazione del software riguarda gli strumenti di gestione della sicurezza, come Ansys Digital Safety Manager, per la pianificazione guidata della sicurezza, la gestione del safety case, l'esecuzione e la revisione del piano di sicurezza, la simulazione, l'analisi SOTIF e il monitoraggio e la reportistica dei KPI. 

Strumenti di analisi della sicurezza dei sistemi basati su modelli

Una volta definito il piano di sicurezza, le piattaforme di Model-Based System Engineering (MBSE) consentono agli ingegneri di condurre analisi di sicurezza sulla progettazione del sistema. Molti professionisti si affidano a soluzioni come Ansys medini analyze, un software per l'analisi della sicurezza orientata al sistema che supporta molteplici standard ISO con tracciabilità end-to-end e si integra con i principali strumenti di gestione dei requisiti e progettazione di sistema, come Ansys System Architecture Modeler (SAM). Ansys medini analyze rappresenta un eccellente esempio di piattaforma a livello di sistema, poiché permette ai team di creare e importare modelli di architettura per poi condurre diverse analisi di sicurezza, tra cui:

• Analisi dei rischi
• HAZOP
• Analisi della struttura ad albero del guasto, analisi delle cause e degli attacchi
• Diagrammi a blocchi di affidabilità
• Analisi di modalità ed effetti dei guasti (FMEA), analisi di modalità ed effetti dei guasti e analisi di criticità (FMECA), analisi di modalità, effetti e diagnostica dei guasti (FMEDA), studi di modalità, effetti e modelli dei guasti (FMES).
• Analisi di debolezze e insufficienze
• Analisi delle condizioni di attivazione

Una volta completati, i risultati dell'analisi possono essere esportati verso tutti i principali strumenti di gestione dei requisiti.

Piattaforme di simulazione di scenari e sensori

Una delle sfide principali nell'implementazione del SOTIF è la raccolta di dati sufficienti per individuare i rischi. Le piattaforme di simulazione digitale delle missioni, progettate per il settore dei veicoli autonomi, sono fondamentali per identificare i rischi prima che si verifichino realmente. Uno strumento come Ansys AVxcelerate Sensors può essere utilizzato per modellare le capacità di un sensore, consentendo il testing e la validazione della percezione senza dipendere esclusivamente dai dati registrati durante la guida reale. I test dei sistemi ADAS e di guida autonoma possono quindi essere virtualizzati utilizzando una piattaforma di simulazione completa e guidata dall'MBSE come Ansys AVxcelerate Autonomy, per eseguire test virtuali sotto forma di simulazioni massive di scenari con innumerevoli varianti di parametri per ciascuno scenario di base. Questi dati permettono di quantificare con precisione il rischio residuo per il SOTIF. 

Con la crescente diffusione dell'elettronica (E/E) nel settore automotive, nel 2011 è stato rilasciato lo standard ISO 26262 per la sicurezza funzionale, ovvero i pericoli causati da guasti e malfunzionamenti di tali sistemi. Con l'avvento dei sistemi ADAS e dei veicoli autonomi (AV) di ogni livello, questo standard non è più stato sufficiente a coprire tutti gli aspetti della sicurezza. Per questo motivo, nel 2022 è stato integrato dallo standard ISO 21448. Quest'ultimo fornisce linee guida a produttori (OEM) e fornitori su come garantire l'"assenza di rischi non ragionevoli derivanti da pericoli dovuti a insufficienze funzionali della funzionalità prevista o da un uso improprio ragionevolmente prevedibile da parte delle persone". Questo standard guida gli OEM e i fornitori della filiera automotive nella progettazione, verifica, validazione e gestione operativa dei sistemi E/E di bordo. Tali sistemi utilizzano sensori per acquisire dati sull'ambiente circostante, che vengono poi processati da algoritmi per supportare il guidatore o gestire direttamente il controllo del veicolo. 

Risorse correlate