ISO 21448 SOTIF — 预期功能安全深度

SOTIF 5 个必须先弄清楚的术语:

• Functional Insufficiency (FI):两类 — (a) intended functionality 规格不全;(b) E/E 实现性能不够
• Triggering Condition (TC):触发 FI 的场景属性 / 环境因子(天气、光照、罕见道路、驾驶员行为)
• Performance Limitation:传感器 / 算法的固有能力上限(分辨率、动态范围、训练分布外)
• Foreseeable Misuse:可合理预见的用户误用(L2 司机脱手 / 长时不接管)
• ODD (Operational Design Domain):系统可安全运行的环境 / 场景边界
• Hazardous Event:TC × FI 在车辆层造成的不合理风险

下表把"管什么 / 怎么分级 / 怎么验证"3 个维度并排,两套必须同时走,任一缺失安全 case 都不完整:

自动紧急制动 AEB 是双标互补的教科书:

• ISO 26262 覆盖:刹车 ECU MCU 随机硬件故障 / 刹车算法软件 bug
• ISO 21448 覆盖:
  • 摄像头把白色卡车看成天空(感知极限)
  • 误识别塑料袋触发 AEB(false positive)
  • radar-camera fusion 特定角度盲区(false negative)
  • 司机过度依赖,超 ODD 使用(foreseeable misuse)

2026 起汽车系统级安全标准是三角并立:

• ISO 26262 — Functional Safety(器件失效)
• ISO 21448 — SOTIF(功能不足)
• ISO/SAE 21434 — Cybersecurity(网络攻击)

三者必须同时满足,跨标准接口在 safety case 中显式调和。仅做 ISO 26262 在 L3+ AD 项目里通不过审查。

下表把 4 区域的状态、目标、工具一次说清:

把 Area 2/3 的残余风险降到 acceptance criteria 以下 — 这就是 SOTIF 全部工程活动的总指针。Area 1 永远在扩大,Area 4 随知识增长自然消化。

V-cycle 的左半 / 谷底 / 右半各自处理 4 区域中的不同分支:

• 左半 V-cycle (Clause 5–7):specify intended functionality → analyze TC/FI → 识别 Area 2 + 推测 Area 3
• 谷底 V-cycle (Clause 8–9):设计改进 + 监控限制 ODD → 把识别的 Area 2 翻译到 Area 1
• 右半 V-cycle (Clause 10–11):Verification 测试 Area 2 + Validation 挖 Area 3 → Area 2
• 右上 V-cycle (Clause 12–13):残余风险评估 + 上市后 fleet 闭环 → Area 4 → Area 1 自然增长

每个 Clause 在 V-cycle 上有明确位置:

• Clause 4 — 组织级 SOTIF 治理与活动管理
• Clause 5 — 功能与设计规格定义(specification of intended functionality & design)
• Clause 6 — 危害辨识 + 风险评估 + 残余风险接受准则(HARA-like for FI)
• Clause 7 — 系统性辨识与评估潜在 FI 与 TC(qualitative + quantitative)
• Clause 8 — 风险降低:设计改进 / 监控 / 限制 ODD
• Clause 9 — 设计与开发措施(design measures)
• Clause 10 — Verification:Known-Unsafe(Area 2)的需求驱动测试,SiL 仿真为主
• Clause 11 — Validation:Unknown-Unsafe(Area 3)发现,场景库 + 仿真 + fleet data
• Clause 12 — 残余风险评估 + release 决策 + safety case 总装
• Clause 13 — 现场运营阶段(field operation):上市后 issue 评估与回路改进

SOTIF 把 Verification 和 Validation 彻底拆开,对应处理 Area 2 vs Area 3:

• Verification (Clause 10) — 已知 Area 2 不安全场景的针对性测试。问题是确定性的,需求驱动 + SiL 仿真主战场。
• Validation (Clause 11) — 未知 Area 3 不安全场景的挖掘。问题是统计的,大规模 SiL 扫参 + 真车 fleet data 长时回路。

关键认知:没找到 Area 3 不等于 Area 3 不存在 — SOTIF Validation 必须用 miles-driven base rate 量化"找完了"的统计置信度,见 §4.2。

场景库 = ODD × 触发条件参数化空间。每个场景定义 SUT 初态 + 环境 + 触发事件。PEGASUS / ASAM OpenSCENARIO 体系把场景分 3 层:

• Functional scenario:语义层 — "高速公路前车切入"
• Logical scenario:参数范围 — "速度 80-120 km/h × 切入角度 ±30°"
• Concrete scenario:具体数值,可执行

覆盖率衡量靠参数空间 sweep + 关键场景 + 边界场景三件套。

接受准则范式:每小时 / 每英里 fatality / injury / property damage 上限。风险容忍框架 4 选 1:

• GAMAB(Globalement Au Moins Aussi Bon)— 整体不低于人类驾驶基线
• ALARP / ALARA — 在合理可行范围内尽量低
• MEM(Minimum Endogenous Mortality)— 不超过自然死亡率
• PRB(Positive Risk Balance)— 必须正向改善人类基线

典型数值:人类驾驶 ~1.x deaths per 100 million miles(美国 NHTSA 基准),SOTIF 系统至少要达到此基线或更低。

数据独立性底线:训练数据 ≠ 验证数据是统计独立强约束。把训练集放进 validation 是"自证清白",在审计上不被认可。

为什么 miles-driven 会"里程爆炸":要在置信度 $C$ 下证明系统故障率 ≤ 目标 $\lambda$(如 1 次 / $10^8$ miles),零失效验证所需里程 $N=-\ln (1-C)/\lambda$。取 $C=95\%$、$\lambda =10^{-8}$/mile,$N\approx 3\times 10^8$ miles ≈ 3 亿英里——单车每年跑 ~1.5 万英里,等于上万辆车跑一整年。这就是 SOTIF 验证不可能靠纯路测穷举、必须用测试金字塔把绝大多数里程压进 SiL/MiL 仿真(单场景成本趋零、可大规模 sweep)、路测只留最终验收的根因;基线越低(目标越严)→ 需求里程线性放大,这是 RSS/PRB 接受准则落地的硬成本。

SOTIF 工程实践遵循"快而便宜的多做,慢而真的少做"原则:

• SiL/MiL 占场景覆盖率主力(Clause 10–11 主战场)
• HiL/VIL 用于跨硬件验证 + 闭环时延真实化
• 路测 仅做最终发布前验收 + fleet learning(Clause 13)

Clause 12 总装的 SOTIF Argument 是 release 决策的法律证据,3 件套:

• TC/FI 辨识完整性(Clause 6-7 输出)
• 设计措施有效性(Clause 8-9 输出)
• 验证统计置信度(Clause 10-11 输出)

典型论证形式是 GSN(Goal Structuring Notation) 或 claim-argument-evidence。残余风险量化 是 release 通过/否决的硬门槛。

中国标准跟随 ISO 21448:2022 等效转化:

• 正式标题:《道路车辆 预期功能安全》
• 发布日期:2023-11-27(发布日 = 实施日)
• 关系:对应 ISO 21448:2022,作为中国国标推广 SOTIF
• 与 GB/T 34590 关系:GB/T 34590(ISO 26262 中国版)+ GB/T 43267(SOTIF 中国版)— 双标准协同
• 配合标准:GB/T 44721-2024《智能网联汽车 自动驾驶系统通用技术要求》也引用 SOTIF

中国特色挑战(《Engineering》期刊综述):

• Long-tail 场景:中国道路混杂 + 电动两轮车密集
• 系统复杂度:Apollo 代码量从 35k → 750k+ 行
• AI 黑盒难以白盒化验证

GRVA(自动 / 联网车辆工作组)制定的 ADS 评估方法:

• NATM(New Assessment/Test Method for Automated Driving)— 多支柱方法:virtual + physical + real-world,基于 ODD 与 ADS 需求
• 时间表:
  • 2024:WP.29 通过 ADS 安全评估指南(FRAV + VMAD IWG 产出)
  • 2025:GRVA 收到 UN GTR + UN R 草案
  • 2026 年 1 月:GRVA session 审查
  • 2026 年 6 月 23–26 日 WP.29 正式表决 — 全球统一 ADS 监管框架里程碑

2025 年 12 月:中国工信部首批 L3 准入,长安 + 极狐(北汽)各 1 款。运行限制 + SOTIF 关联:

• 长安:重庆指定路段,堵车单车道,≤ 50 km/h
• 极狐:北京快速路指定路段,≤ 80 km/h
• 试点城市:北京 / 上海 / 深圳 已建立 L3 路测 + 示范 + 商业化运营准入条件
• SOTIF 关联:GB/T 43267 是 L3 准入审查的强制项,所有 L3 车型须出具完整 SOTIF case

2025-12 进展:华为 HIMA 深圳内测 L3 / 小鹏广州 L3 路试许可 / 理想北京 L3 路试许可。

RSS(Responsibility-Sensitive Safety) — Mobileye 2017 提出的形式化数学模型,5 条形式化规则:

• 最小安全距离
• 危险情况识别
• 适当响应
• 谨慎并入
• 不可滥用 right-of-way

SOTIF ↔ RSS:RSS 是 SOTIF 规划层的实现手段;ISO 21448 借鉴 RSS 作为 Acceptance Criteria 之一。IEEE 2846 标准 以 RSS 为基础正式化。

下表是 2026 主流 SOTIF 仿真平台,SiL → HiL → DiL/VIL 选型按需配合:

Sim-One SOTIF Asset Library 是中国首选 — 特殊光照 / 天气 / 传感器干扰场景集,直接 cover GB/T 43267 验证。

OEM 完整 SOTIF case study 极少公开发表,业界主要靠 SAE 论文 + 高校合作披露:

• Mobileye — RSS 形式化安全模型 + EyeQ 平台 + Safety Architecture white paper
• dSPACE — SOTIF 全流程工具链 + 参与 SET Level 项目
• IPG Automotive — CarMaker + PEGASUS 项目场景库
• VIRES (Hexagon) — VTD 模块化 ADAS/AD 仿真链
• aiMotive — aiSim 首个 ISO 26262 认证仿真器
• 51WORLD — Sim-One + Dataverse 数据 + SOTIF Asset Library
• BMW — L3 traffic jam assist(Mobileye EyeQ + ZF 控制软件,< 40 mph 撒手)
• Audi — Traffic Jam Pilot(早期 SOTIF 实践案例,因法规未批延期)

实战中按传感器分类 4 类 TC,SOTIF 场景库的核心填充内容:

• Camera:逆光眩光 / 低对比度(白卡车 vs 白天空)/ 路面反光 / 隧道出入口骤变 / 夜间无路灯
• LiDAR:雨雪雾尘 / 强反光路标 / 玻璃幕墙多次反射
• Radar:金属护栏多径 / 桥下静态物分类 / 紧密车辆角度模糊
• Fusion:不同传感器一致性时延 / 不同 FoV 边缘漏检

ISO 21448 正本与 GB 等效转化两条最权威源:

• ISO 21448:2022 official abstract: https://www.iso.org/standard/77490.html
• GB/T 43267-2023 《道路车辆 预期功能安全》(SAC 国家数字标准馆):https://www.ndls.org.cn/standard/detail/9869a06d94ebd700d3a8bd8392c6a4da

3 个二次源讲清 ISO 26262 vs 21448 的边界 + 互补:

• PatSnap — ISO 26262 vs ISO 21448 SOTIF for autonomous driving:https://www.patsnap.com/resources/blog/articles/iso-26262-vs-iso-21448-sotif-for-autonomous-driving/
• PiEmbSysTech — ISO 26262 vs SOTIF Ultimate Guide:https://piembsystech.com/iso-26262-vs-sotif-iso-21448/
• CS Canada — SOTIF ISO/PAS 21448 vs Functional Safety ISO 26262:https://www.cscanada.ca/sotif-introduction/

场景驱动测试 + miles-driven 统计两条线的权威 white paper:

• BTC Embedded — Scenario-based Testing for AD:https://www.btc-embedded.com/testin-autonomous-driving-the-other-part-of-the-iceberg/
• dSPACE — Navigating the Road to ISO 21448:https://www.dspace.com/en/inc/home/news/engineers-insights/navigating-the-road-to-iso-214.cfm
• SRES.AI — Demystifying SOTIF Acceptance Criteria and Validation Targets:https://sres.ai/autonomous-systems/demystifying-sotif-acceptance-criteria-and-validation-targets-part-1/

UNECE + 中国 GB + L3 准入 3 个来源串成全球+中国监管时间线:

• UNECE GRVA — NATM Guidelines for Validating ADS:https://unece.org/transport/documents/2023/06/working-documents/grva-new-assessmenttest-method-automated-driving-natm
• Engineering (Elsevier) — Key Challenges and Chinese Solutions for SOTIF in ICV:https://www.engineering.org.cn/engi/EN/10.1016/j.eng.2023.09.008
• CnEVPost — China grants 1st L3 autonomous driving permits (2025-12-15):https://cnevpost.com/2025/12/15/china-grants-1st-l3-autonomous-driving-permits-passenger-cars/
• Mobileye RSS:https://www.mobileye.com/technology/responsibility-sensitive-safety/

vendor 工具 + 中国本土玩家 + 行业研究报告:

• aiMotive aiSim ISO 26262 certification:https://aimotive.com/aisim
• 51WORLD Sim-One SOTIF Asset Library:https://51world.medium.com/conquering-the-toughest-hurdle-in-autonomous-driving-simulation-simone-3-4-387160b95918
• ResearchInChina — Automotive Functional Safety and SOTIF Research Report 2024:https://www.prnewswire.com/news-releases/global-and-china-automotive-functional-safety-and-safety-of-the-intended-functionality-sotif-research-report-2024-302089302.html