一、SOTIF概述:预期功能安全的核心概念

大家好,我是这次课程的主讲工程师。在智能驾驶领域摸爬滚打了十几年,我见过太多因为「功能没问题,但场景出问题」导致的翻车事故。今天咱们就来聊聊这个让无数工程师头疼的话题——预期功能安全,也就是SOTIF。

1.1 什么是预期功能安全?

先说说定义。预期功能安全,英文叫Safety of the Intended Functionality,简称SOTIF。说白了,就是确保你的系统在「设计好的功能范围内」不会因为功能本身的问题导致危险。

嗯,这句话有点绕。我举个例子你就明白了。

你设计了一个自动紧急制动系统,功能逻辑完全正确——传感器检测到障碍物,系统计算距离,然后刹车。但问题是,如果传感器在暴雨天失效了呢?或者摄像头被夕阳晃瞎了呢?这时候系统「功能本身没问题」,但「预期功能」在特定场景下失效了。这就是SOTIF要解决的问题。

核心定义:预期功能安全关注的是系统在「设计预期内」的功能表现,但可能因为「场景复杂性」或「系统局限性」导致的安全风险。

1.2 ISO 21448标准简介

说到SOTIF,就绕不开ISO 21448这个标准。我记得2019年这个标准刚发布时,我们团队连夜开会讨论——因为之前做ADAS项目时,我们一直用ISO 26262来覆盖所有安全问题,但发现根本不够用。

ISO 21448的全称是「道路车辆——预期功能安全」。它主要解决的是:

  • 功能不足:系统能力有限,比如传感器探测距离不够
  • 触发条件:特定场景导致系统误判,比如隧道出口的强光
  • 合理可预见的误用:驾驶员操作不当,比如把油门当刹车

这个标准不是要替代ISO 26262,而是补充。你想想看,ISO 26262管的是「系统坏了怎么办」,而ISO 21448管的是「系统没坏但不好使怎么办」。

个人经验:我在做L3级自动驾驶项目时,发现70%的安全问题其实来自SOTIF范畴,而不是功能安全。所以千万别以为过了ISO 26262就万事大吉了。

1.3 SOTIF与功能安全(ISO 26262)的区别与联系

这两个概念经常被混淆。我画个表格帮你理清楚:

维度 功能安全(ISO 26262) 预期功能安全(ISO 21448)
关注点 系统故障(硬件/软件失效) 功能性能不足(无故障)
典型问题 传感器坏了、代码跑飞了 传感器被遮挡、算法误判
分析方法 FMEA、FTA、FMEDA STPA、场景分析、仿真测试
安全目标 避免系统故障导致危害 避免功能局限导致危害
适用阶段 全生命周期 概念阶段、开发阶段、验证阶段

说白了,功能安全是「防坏」,SOTIF是「防蠢」。我曾经在一个项目中,功能安全团队把ASIL等级算得清清楚楚,结果路试时发现系统在雨天根本识别不了车道线——这就是典型的SOTIF问题。

避坑指南:千万不要把SOTIF当成功能安全的子集。它们是两个独立的维度,需要分别分析、分别验证。我见过太多团队把SOTIF问题硬塞进功能安全框架里,最后搞得四不像。

1.4 SOTIF的核心挑战:未知不安全场景

好,重点来了。SOTIF最大的挑战是什么?不是已知的问题,而是「未知的不安全场景」。

你想想看,已知的问题我们可以分析、可以测试、可以规避。但那些你根本没想到的场景呢?比如:

  • 一辆卡车侧面贴着巨大的广告牌,上面印着一辆车的图片——系统会不会误判为真实车辆?
  • 隧道出口处突然出现彩虹——激光雷达会不会被干扰?
  • 大雪覆盖了路面标线,但路肩上有一排反光柱——系统会不会把反光柱当成车道线?

这些场景,你在设计阶段根本想不到。但一旦上路,它们就是定时炸弹。

我个人习惯把未知不安全场景分为两类:

  1. 已知的未知:我们知道可能存在某些场景,但具体是什么不清楚。比如「极端天气下的传感器性能衰减」——我们知道会有问题,但衰减到什么程度才危险?
  2. 未知的未知:完全没预料到的场景。比如上面说的广告牌骗过视觉系统——谁能想到这个?

对于第一类,我们可以通过仿真测试和真实场景验证来逐步覆盖。对于第二类,嗯,这才是真正的挑战。

核心观点:SOTIF的本质,就是一场与「未知」的博弈。你永远无法证明系统在所有场景下都是安全的,你只能通过不断测试和验证,把「未知的不安全场景」转化为「已知的安全场景」。

1.5 SOTIF的知识体系框架

为了帮你更直观地理解SOTIF的整体结构,我画了一张框架图:

预期功能安全(SOTIF)知识体系 SOTIF 核心 定义与背景 ISO 21448 标准 与ISO 26262关系 功能不足 触发条件 场景分析 仿真测试 区别 联系 核心挑战:未知不安全场景 已知的未知场景 未知的未知场景 图:SOTIF知识体系框架

这张图把SOTIF的核心脉络理清楚了。从定义背景出发,到ISO 21448标准,再到与功能安全的关系,最后落到核心挑战——未知不安全场景。后面的课程,我们会逐一深入每个模块。

1.6 小结

这一章我们聊了SOTIF的基本概念。记住三个关键点:

  • SOTIF管的是「功能没坏但不好使」的问题
  • ISO 21448是SOTIF的指导标准,和ISO 26262是互补关系
  • 最大的挑战是那些你根本想不到的「未知不安全场景」

我个人觉得,做SOTIF最需要的是「敬畏心」。你永远不知道下一个危险场景会以什么形式出现。所以,保持谦逊,多测试,多验证——这是我在无数个熬夜debug的夜晚总结出来的教训。


专注资料整理