1. SOTIF概述:ISO 21448标准背景、SOTIF与功能安全的关系、SOTIF核心概念

大家好,我是你们的老朋友。今天咱们正式开始聊SOTIF——也就是ISO 21448标准。说实话,我第一次接触这个标准的时候,心里也犯嘀咕:功能安全(ISO 26262)还没吃透呢,怎么又冒出来一个SOTIF?但干过几个项目之后,我慢慢明白了,这两个东西其实是「两条腿走路」,缺一不可。

1.1 ISO 21448标准背景

先说说这个标准是怎么来的。你想想看,传统的功能安全主要对付的是「系统故障」——比如传感器坏了、芯片烧了、软件跑飞了。但自动驾驶时代来了之后,我们发现一个更头疼的问题:系统本身没坏,但就是干不好活

举个例子,我有个朋友做ADAS项目,摄像头、雷达都好好的,算法也跑得挺顺。结果一到下雨天,车道线识别就乱跳。你说这是故障吗?不是。硬件没坏,软件也没bug。但就是功能不足——这就是SOTIF要管的事。

ISO 21448就是在这样的背景下诞生的。它专门针对「预期功能安全」,说白了就是:系统在正常工作时,会不会因为设计上的局限性,导致危险发生

核心要点:ISO 21448不是要替代ISO 26262,而是补上后者管不到的那块——「功能不足」带来的风险。

1.2 SOTIF与功能安全的关系

这两个标准的关系,我习惯用一个比喻来讲:

  • 功能安全(ISO 26262):好比给车配了安全带、气囊、刹车——防止「系统坏了」导致事故。
  • SOTIF(ISO 21448):好比给司机配了眼镜、雨刷、夜视仪——防止「系统能力不够」导致事故。

我在做L2级辅助驾驶项目时,就踩过这个坑。当时功能安全分析做得挺全,所有硬件故障都覆盖了。结果路试时发现,系统在隧道出口处突然急刹车——因为摄像头从暗到亮,瞬间过曝,把阴影误判成了障碍物。

硬件坏了吗?没有。算法错了吗?也没错。但就是功能不足——摄像头动态范围不够,这就是SOTIF要解决的问题。

对比维度 功能安全(ISO 26262) SOTIF(ISO 21448)
关注对象 系统故障(硬件/软件失效) 功能不足(设计局限性)
典型场景 传感器损坏、芯片死机 雨雾天看不清、弯道过急
分析方法 FMEA、FTA、FMEDA 触发条件分析、场景分析
验证手段 故障注入、诊断测试 实车路试、仿真测试

我的建议:做项目时,别把这两个标准割裂开。我习惯在系统设计阶段就同时考虑「故障」和「功能不足」两种风险,这样后期返工少很多。

1.3 SOTIF核心概念

好,接下来咱们聊聊SOTIF的三个核心概念。这三个词你搞懂了,SOTIF就算入门了。

1.3.1 功能不足

什么叫功能不足?说白了就是:系统能力有限,应付不了某些场景

我举个例子你就明白了。现在的自动紧急制动(AEB)系统,大部分在白天、干燥路面表现不错。但一到晚上、下雨天,性能就大打折扣。这不是故障,是功能不足——传感器感知能力有限,算法处理能力有限。

功能不足分两种:

  • 感知不足:摄像头看不清、雷达测不准、激光雷达点云太稀疏
  • 决策不足:算法对复杂场景判断不准、规划路径不合理

注意:功能不足不是bug,不是故障。它是系统设计时「有意或无意」留下的局限性。你没法完全消除它,只能通过验证和确认来降低风险。

1.3.2 触发条件

触发条件,就是让功能不足「暴露出来」的那个导火索。

我曾经做过一个项目,系统在高速上表现完美,但一到城市道路的十字路口就出问题。后来一查,触发条件是「行人突然从停着的公交车后面窜出来」。系统不是不能识别行人,而是对这种「遮挡后突然出现」的场景,反应时间不够。

常见的触发条件包括:

  • 环境因素:雨、雪、雾、逆光、夜间
  • 道路因素:急弯、坡道、施工区、车道线模糊
  • 交通参与者:行人突然横穿、非机动车逆行、大型车辆遮挡
  • 系统自身:传感器脏污、算法延迟、定位漂移

你想想看,这些触发条件千奇百怪。我个人的习惯是,先列出所有可能的触发条件,然后按严重程度排序。这样测试时就能有的放矢。

1.3.3 危害事件

危害事件,就是功能不足 + 触发条件,最终导致的结果——有人受伤了,或者财产损失了

注意,不是所有功能不足都会导致危害事件。比如,自适应巡航在弯道中速度控制不够精准,但驾驶员及时接管了,那就没出事。只有当功能不足 + 触发条件 + 驾驶员来不及接管,三者凑齐了,才会酿成危害事件。

危害事件的严重程度,一般从三个方面评估:

  1. 伤害严重度:轻伤、重伤、死亡
  2. 发生概率:罕见、偶尔、经常
  3. 可控性:驾驶员能否轻松应对

避坑指南:我曾经犯过一个错误——只关注了「高严重度」的危害事件,忽略了那些「低严重度但高频发生」的场景。结果路试时,系统频繁触发不必要的制动,用户体验极差。记住,SOTIF不仅要管「会不会死人」,还要管「好不好用」。

1.4 小结

好了,第一章的内容就到这里。咱们回顾一下:

  • ISO 21448是专门管「功能不足」的标准,和ISO 26262互补
  • 功能不足是系统能力的局限性,不是故障
  • 触发条件是让功能不足暴露出来的场景因素
  • 危害事件是功能不足 + 触发条件导致的不良后果

下一章,咱们会深入聊聊「SOTIF的生命周期」——从设计到验证,每一步该怎么做。到时候我会分享一些实际项目中的踩坑经验,保证让你少走弯路。

嗯,今天就到这里。有问题随时交流。