4. SOTIF各阶段活动简介4.1 规范定义和设计功能规范的定义和对设计的考虑功能描述对预期的功能、支持子系统和组件的功能的描述性能目标为实现预期功能而安装的传感器、控制器、执行器或其他输入及组件的性能目标相关交互预期功能的依赖关系、交互或接口误用合理可预见的误用(直接和间接)SOTIF改进系统及其要素的潜在的性能局限、已识别出的触发条件、应对措施报警降级报警和降级概念数据监控在预期功能的开发过程中和开发后支持数据收集和监控的程序运营要求运行阶段形成风险缓解能力的机制、设计和要求系统设计和架构的考虑系统架构设计应贯彻规范定义的要求应考虑以下事项验证系统架构设计的能力预期的硬件和软件要素在实现SOTIF方面的技术能力在系统集成期间进行测试的能力应确定安全相关要素的内部和外部接口确保其他要素不会在SOTIF方面对安全相关要素产生不利的影响应确定系统状态相关描述和跳转关系4.2 危害识别和评估4.2.1危害识别危害识别是指系统地确定整车层面由功能不足引起的危害。这种系统地识别主要是基于对功能的认识及对可能因功能不足而引起偏差的认识。SOTIF可以通过应用ISO26262中定义的方法来进行危害识别。从预期功能层面结合运行场景分析功能的异常行为可能造成的危害(先不考虑具体的潜在功能不足和触发条件)。危害识别方法对可能的功能偏差导致的危害进行系统性识别考虑驾驶员或用户与系统的交互(包括合理可预见的误用)以识别出更多的危害AEB 危害分析示例4.2.2危害评估风险评估旨在评估给定场景中危害行为的风险这有助于定义 SOTIF相关风险的接受准则。可以使用ISO26262-Part3中描述的方法来评估伤害的严重度和危害事件的可控度。可以共享分析方法。ISO26262-Part3中危害分析与风险评估方法评估准则若“可控”(即 C0)或“无伤害”(即 S0)则认为不存在不合理的风险。否则危害事件被认为与 SOTIF 相关。如果在功能修改后(第8章)危害事件被判断为S0或C0则该危害已得到充分解决。危害识别和风险评估示例4.2.3定义接受准则根据预期功能和对应危害的特性定义合理的残余风险接受准则。如果给出有效的理由就可以选择适当的定量接受准则。总体理由可以基于以下单个理由中的一个或多个的组合风险容忍原则例如 GAMAB 或 GAME这两个法语术语的意思是“至少在全球范围内一样好”。遵循这一原则任何新系统的残余风险关于安全方面不应高于那些具有类似功能或危害的现有系统。正向风险平衡原则。这种风险容忍原则应用于考虑了新系统所有危害的整体残余风险可以进行相关风险权衡。对于某个危害即使残余风险增加系统也可发布前提是通过降低一个或多个其他残余风险来达到平衡补偿。ALARP 原则。ALARP 风险管理框架可以提供一个有用的风险降低原则尤其是在目前不存在“良好实践”的情况下开发和引入新技术。通过承认零风险状态是不可能的ALARP 原则旨在通过权衡风险与进一步降低风险所需的努力将风险降低到“合理可行”的水平。MEM最小内源性死亡率原则。MEM 原则基于的理念是技术系统的引入不应显著增加社会死亡率。由技术系统导致的死亡概率的定量接受准则源自自然原因导致的最小死亡概率。4.3 对潜在功能不足和触发条件的识别和评估4.3.1对潜在功能不足和触发条件进行分析的2种典型方法方法1以潜在功能不足为起点潜在功能不足-触发条件方法2以触发条件为起点触发条件-潜在功能不足对潜在功能不足和触发条件进行分析的2种典型方法4.3.2常用分析方法及其比较SOTIF常用安全分析方法SOTIF常用安全分析方法比较4.3.3合理可预见误用的分析方法4.3.4典型的潜在功能不足和触发条件与规划算法相关的潜在功能不足和触发条件与传感器和执行器相关的潜在功能不足和触发条件不同类型传感器性能局限举例4.4 进行功能修改以解决SOTIF相关风险4.4.1前提系统对已识别出的可导致危害行为的触发条件的响应被评估为是不可接受的(第 7 章)。4.4.2定义功能修改措施(SOTIF措施)4.4.2.1SOTIF措施类型避免措施目的是消除风险缓解措施目的是降低风险(当风险无法完全消除)4.4.2.2功能修改类型系统修改修改系统本身(传感器、决策算法、执行器等)目的是保持预期功能(同时降低风险)功能限制目的是通过功能的降级(或限制)来维持部分功能(同时降低风险)权限移交修改将权限从系统移交给驾驶员的方式目的是提高在较低自动驾驶等级下的可控性解决可合理预见误用的修改改进防止用户误用的措施如客户教育、改进HMI等4.5 定义验证和确认策略4.5.1定义确认目标首先定义确认目标即根据接受准则定义合适的量化目标例如基于一个已知且公认的接受准则(通常非常小而严苛)结合对应危害行为在危害场景下的暴露概率、不可控概率以及严重度来得到一个“危害行为比率”(通常较接受准则低而宽松)作为等价的确认目标。4.5.2定义验证和确认活动制定验证和确认规范(如集成测试用例、分析等)。方法导出验证和确认策略的方法典型的验证和确认环境4.6 已知场景的评估按照已定义的验证和确认策略对已知的潜在危害场景实施评估(验证和确认)。典型系统的分层验证过程系统分层评估方法感知规划执行集成系统根据已定义的确认目标评估残余风险是否满足接受准则。4.7 未知场景的评估按照已定义的验证和确认策略对未知的潜在危害场景实施评估(验证和确认)。未知场景的评估方法根据已定义的确认目标评估残余风险是否满足接受准则。4.8 对SOTIF实现的评估对SOTIF是否实现的最终评估涵盖第5章到第13章的所有SOTIF活动。主要评估方面所有分析是否完整是否充分实施了必要的功能修改是否完成了充分的验证和确认是否充分降低了风险并满足了所有确认目标SOTIF发布推荐4.9运行阶段的活动5. 展望当前SOTIF正经历从“理论框架”向“工程实践”的关键跃迁。展望未来其发展将呈现三大趋势一是标准体系加速完善。 ISO 21448标准持续迭代从“通用指南”逐步细化为行业可执行的技术规范尤其在感知系统局限、算法鲁棒性、人机交互等核心领域形成明确评价指标。二是AI驱动安全验证变革。传统路测难以覆盖长尾场景生成式AI正在重塑SOTIF验证模式——通过自动生成海量边缘场景实现从“被动发现”到“主动构造”的范式转变。数字孪生与真实路测的融合闭环将成为行业标配。三是安全边界持续外延。 随着L3级以上自动驾驶落地SOTIF的重心从“算法能力”向“系统冗余”延伸。多传感器异构冗余、端到端与规则系统的互补机制、驾驶权平稳交接等将成为安全设计的核心命题。未来五年SOTIF将从“技术挑战”转变为“竞争壁垒”。谁能更高效地覆盖未知场景、更系统地证明安全性谁就能在自动驾驶规模化落地的赛道上占据先机。以上为本次技术分享后续相关专题文章将持续更新欢迎关注交流。