预期功能安全SOTIF基本介绍
本文框架
- 1.背景与动因
- 2.SOTIF的核心定义与目标
- 2.1 定义
- 2.2 目标
- 3.SOTIF的开发流程与关键活动
- 3.1 规范定义与设计(第5章)
- 3.2 危害分析与风险评估(第6章)
- 3.3 潜在功能不足与触发条件识别(第7章)
- 3.4 系统优化与改进(第8章)
- 3.5 验证与确认策略(第9-11章)
- 3.6 成果评估与发布(第12章)
- 3.7 运行阶段监控(第13章)
- 4. SOTIF与功能安全(ISO 26262)的关系
- 4.1 互补性
- 4.2 流程相似性
- 5.实践挑战与未来展望
- 5.1 挑战
- 5.2 趋势
在汽车工业迈向自动驾驶的征程中,安全性始终是核心议题。随着技术的进步,人们逐渐意识到,除了传统的系统失效风险外,功能不足和人为误用同样可能引发严重后果。为此,国际标准化组织(ISO)推出了ISO 21448《道路车辆—预期功能安全》(Safety of the Intended Functionality, SOTIF),旨在填补现有功能安全标准的空白,确保车辆在复杂场景下的安全运行。本文将深入探讨SOTIF的背景、定义、核心内容及其实践意义,本文框架如下:
1.背景与动因
传统功能安全标准如ISO 26262主要关注因系统性失效或硬件随机故障导致的风险,但随着自动驾驶技术的普及,新的挑战浮现:即使系统按设计正常运行,仍可能因功能不足或性能局限无法应对特定场景,或因用户误操作导致危险。例如,特斯拉和Uber的自动驾驶事故表明,仅靠避免系统故障不足以保障安全,必须考虑功能本身在极端条件下的表现及用户行为的可预见性。在此背景下,ISO于2016年启动SOTIF标准制定,旨在补充ISO 26262,解决非系统失效引起的安全问题。
2.SOTIF的核心定义与目标
2.1 定义
SOTIF定义了预期功能安全的含义,即在合理预见的人员操作下,不会因为预期功能的不足导致危险的发生。其核心在于防范两类风险:
- 功能不足:如传感器在恶劣天气下性能下降、算法无法处理复杂路况;
- 人为误用:如用户过度依赖自动驾驶系统或发出错误指令。
2.2 目标
通过系统化的开发流程,确保车辆在设计、验证和确认阶段充分考虑潜在风险,将已知和未知的不安全场景比例降至最低,最终实现“合理预见范围内无不合理风险”。
3.SOTIF的开发流程与关键活动
ISO 21448定义了12项关键开发活动,覆盖从规范设计到运行监控的全生命周期:
3.1 规范定义与设计(第5章)
- 内容:明确系统功能、性能局限及触发条件,形成已知功能不足的清单。例如,定义传感器在低光照条件下的探测范围限制。
- 迭代性:SOTIF活动可能多次更新规范,需在每次迭代中纳入新发现的功能不足。
3.2 危害分析与风险评估(第6章)
- 双层接受准则:
- 第一层:判断车辆行为是否属于危害行为(如AEB非预期激活导致急刹车);
- 第二层:对不满足第一层的行为,评估残余风险是否可接受(如急刹车是否造成碰撞)。
- 评估维度:严重度(S)和可控性(C),但不考虑暴露概率(E),因SOTIF风险默认与功能相关。
3.3 潜在功能不足与触发条件识别(第7章)
- 触发条件分析:基于“感知-规划-执行”模型,识别环境条件(如暴雨)、用户误用(如错误语音指令)导致的功能不足。例如,车道线模糊可能触发转向辅助失效。
3.4 系统优化与改进(第8章)
- 措施类型:
- 系统修改:提升传感器性能或算法精度;
- 功能限制:在能见度低时限制自动驾驶功能;
- 权限移交:将驾驶权交还给人类驾驶员;
- 误用解决:通过座椅震动提醒用户双手需握方向盘。
3.5 验证与确认策略(第9-11章)
- 已知场景验证:通过仿真和测试覆盖ODD(设计运行范围),验证组件层面的风险控制。例如,模拟雨天场景测试传感器性能。
- 未知场景确认:依赖长期实车测试和大数据覆盖极端案例,确保残余风险可控。例如,百万公里路测发现小概率危险场景。
3.6 成果评估与发布(第12章)
- 评审标准:检查流程完整性、证据一致性,决定是否“接受”“有条件接受”或“拒绝”SOTIF成果。
3.7 运行阶段监控(第13章)
- 工具支持:部署DSSAD(自动驾驶数据存储系统)和远程监控系统,实时记录车辆状态,为后续优化提供数据支撑。
4. SOTIF与功能安全(ISO 26262)的关系
4.1 互补性
- 功能安全:防范系统性失效和硬件随机故障(如芯片短路);
- 预期功能安全:解决功能不足(如算法局限性)和人为误用(如用户错误操作)。
两者共同构成自动驾驶安全的完整框架。
4.2 流程相似性
SOTIF的规范定义、危害分析、验证确认等步骤与ISO 26262高度类似,但侧重场景不同。例如,SOTIF的危害分析更关注环境触发条件而非硬件故障。
5.实践挑战与未来展望
5.1 挑战
- 未知场景的覆盖:需海量测试数据,成本高昂且难以穷尽所有边缘案例;
- 人为因素量化:用户误用的可预见性边界难以界定(如“过度自信”的判定);
- 技术迭代速度:算法升级可能引入新的功能不足,需动态更新SOTIF流程。
5.2 趋势
- AI与SOTIF融合:利用机器学习优化场景预测,减少未知风险;
- 跨行业协作:汽车厂商、芯片供应商、监管部门共建SOTIF生态;
- 标准化工具开发:如IAE智行众维推出的SOTIF公开课,推动最佳实践落地。
SOTIF的提出标志着汽车安全理念从“防止故障”向“预防功能不足”的跨越。在自动驾驶技术快速演进的今天,它不仅是技术合规的基石,更是赢得消费者信任的关键。未来,随着AI技术的深度整合和测试方法的创新,SOTIF有望进一步成熟,为高阶自动驾驶的商业化铺平道路。对于汽车行业而言,拥抱SOTIF不仅是应对监管的必然选择,更是构建核心竞争力的战略举措。