一、预期功能安全概述

1.1 什么是预期功能安全(SOTIF)

预期功能安全,英文叫 SOTIF(Safety Of The Intended Functionality)。

这名字听着有点绕,我换个说法你就明白了。

传统功能安全,防的是「系统坏了怎么办」。比如刹车失灵、传感器短路、软件跑飞了——这些都是系统本身出故障

但 SOTIF 防的是什么呢?

防的是「系统没坏,但干的事不对」。说白了,就是功能本身的设计缺陷,或者环境太复杂,系统应付不来。

核心定义:预期功能安全,是指在没有系统故障的情况下,由于功能不足或环境干扰,导致系统无法达到安全状态的风险。

举个例子。你开一辆带自动紧急制动(AEB)的车。传感器没坏,软件也没崩溃。但对面来了一辆大卡车,阳光正好直射摄像头——系统没识别出来,没刹车。这就是 SOTIF 问题。

系统是好的,但功能不够好。

我个人习惯把 SOTIF 理解为「能力边界的安全」。你设计的系统,能力边界在哪?超出边界会怎样?这就是 SOTIF 要回答的问题。

1.2 SOTIF 与功能安全的区别

很多刚入行的朋友会问:SOTIF 和功能安全到底有啥区别?

我画个简单的对比表,你一看就懂。

对比维度 功能安全(ISO 26262) 预期功能安全(ISO 21448)
风险来源 系统故障(硬件失效、软件错误) 功能不足、环境干扰、误用
系统状态 系统有故障 系统无故障,但能力不够
典型场景 刹车踏板断裂、传感器短路 强光下摄像头失效、雨雾天雷达误判
应对策略 冗余、诊断、故障容错 功能改进、场景覆盖、用户教育
标准 ISO 26262 ISO 21448

嗯,这里要注意一点。两者不是替代关系,而是互补关系

我在项目中遇到过一种情况:团队花了大半年做功能安全,ASIL 等级定得死死的,冗余设计也做了。结果路试时发现,系统在隧道出口处频繁误触发——因为光线突变,摄像头短暂失明。

这不是故障,这是功能不足。功能安全管不了,得靠 SOTIF 来解决。

所以我的建议是:功能安全管「坏」的,SOTIF 管「不够好」的。两者缺一不可。

1.3 SOTIF 的行业背景

为什么 SOTIF 最近这么火?

原因很简单——自动驾驶来了。

传统汽车,驾驶员是最终的安全兜底。你刹车失灵了,我可以踩;你转向卡住了,我可以掰回来。

但 L3 级以上自动驾驶呢?驾驶员可以放手、可以睡觉。系统必须自己处理所有情况。

这就带来了一个根本性的问题:系统怎么知道自己「不知道」?

你想想看,一个感知模型,训练了 100 万张图片。但第 100 万零 1 张它没见过,它不会说「我不认识」,它会硬猜。猜对了没事,猜错了可能就是事故。

这就是 SOTIF 要解决的核心矛盾——未知的不安全场景

行业现状:目前主流车企和 Tier 1 都在建立 SOTIF 流程。2022 年后,欧盟对 L3 以上车型的认证,明确要求提供 SOTIF 证据。国内也在跟进,工信部的相关指南已经提到了 SOTIF 要求。

1.4 ISO 21448 标准简介

ISO 21448,全称是「Road vehicles — Safety of the intended functionality」。

这个标准 2019 年发布了第一版,2022 年做了更新。它主要讲什么呢?

我总结成四个核心步骤:

  1. 功能定义与场景分析——你的系统要干什么?在什么场景下工作?
  2. 识别触发条件——哪些情况会导致功能不足?比如天气、光照、道路条件。
  3. 评估风险——这些触发条件会不会导致危害?严重程度如何?
  4. 改进与验证——通过设计改进、算法优化、测试验证,把风险降到可接受水平。

标准里有个很重要的概念,叫「已知不安全场景」和「未知不安全场景」。

已知的,我们可以针对性地改进。未知的,才是真正的挑战。

我曾经参与过一个项目,团队把已知场景测了个遍,觉得差不多了。结果量产前一个月,在某个城市的立交桥下,系统突然急刹车——因为桥下阴影和路面颜色对比太强烈,视觉算法误判成了障碍物。

这就是典型的未知不安全场景。标准里要求你通过系统性的探索方法(比如场景变异、边界搜索)来发现这类问题。

避坑指南:我曾经见过一个团队,把 SOTIF 当成「功能安全的附属品」,随便写几页文档就交差了。结果审核时被问了一个问题:「你们怎么证明未知场景已经充分探索了?」——答不上来。SOTIF 不是走过场,它需要实打实的场景库、测试数据和迭代改进。

知识体系总览

下面这张图,是我自己梳理的 SOTIF 知识框架。你可以把它当作本章的思维导图。

预期功能安全 SOTIF 核心概念 • 功能不足导致的风险 • 系统无故障但能力不够 • 环境干扰与误用 与功能安全对比 • 故障 vs 功能不足 • ISO 26262 vs ISO 21448 • 互补关系,非替代 行业背景 • L3+自动驾驶需求 • 欧盟认证要求 • 国内政策跟进 ISO 21448 标准 ① 功能定义与场景分析 ② 识别触发条件 ③ 评估风险 ④ 改进与验证

这张图把 SOTIF 的核心脉络理清楚了。后面每一章,我们都会围绕这个框架展开。

好了,这一章就到这里。记住一句话:SOTIF 不是功能安全的附属品,它是自动驾驶时代的安全基石


公众号:蓝海资料掘金营,微信deep3321