ISO 21448 SOTIF — 预期功能安全
本质与导读
本质 ISO 26262 管"系统故障导致 SG 违反",但 ADAS / L3+ 系统没坏也可能危险——传感器/AI 算法的性能局限被未预期工况击穿,或被合理可预见的误用触发。SOTIF (ISO 21448) 与 26262 互补不重叠,专补这块:用 4 象限把场景按已知/未知 × 安全/不安全切类,目标是经仿真 + 路测 + field monitoring 把"未知不安全"减到可接受。L3 及以上几乎强制。
1. SOTIF vs ISO 26262 的边界
1.1 两个标准处理不同失效
这一节先把“两个标准处理不同失效”的判断维度收拢到同一视图里,后面的表格用于横向比较各选项的边界。
| 标准 | 处理 | 例 |
|---|---|---|
| ISO 26262 | malfunctioning behavior(系统失效) | MCU stuck → 加速命令变 0 → SG 违反 |
| ISO 21448 SOTIF | 功能本身的局限 / 误用 | 摄像头在逆光下认不到行人(系统正常工作)/ 司机错按巡航键 |
ISO 26262 的 hazard 触发源是fault(随机硬件 / 系统性失效);SOTIF 的 hazard 触发源是 triggering condition(导致功能局限暴露的输入 / 工况)。
1.2 互补不重叠
例 ADAS AEB(自动紧急刹车):
- 摄像头 ASIC 内部故障 → ISO 26262
- 大雨水珠遮挡 + 弱光 → 摄像头识别率掉 → SOTIF
- 司机以为 AEB 也能识别动物 → 撞到鹿 → SOTIF(误用)
- 训练集偏差导致漏识别黑色 SUV → SOTIF
两边的 hazard 都关联同一组 SG,但分析方法和缓解措施不同。
2. 4 象限分析
SOTIF 的核心方法论:把所有可能场景按 2×2 分类,目标是缩小 Area 2/3:
| 象限 | 含义 | 处理 |
|---|---|---|
| Area 1 Known Safe | 已知场景,行为安全 | 持续验证(回归测试) |
| Area 2 Known Unsafe | 已知场景,但可能不安全(性能极限识别出来了) | 设计 SM / 缓解 / 限制 ODD |
| Area 3 Unknown Unsafe | 未知场景,会出问题 | SOTIF 主战场——仿真 + 路测 + field 发现 + 加入 Area 1/2 |
| Area 4 Unknown Safe | 未知场景,实际安全(无 hazard) | 不需要主动处理 |
SOTIF 验证 = 想办法把 Area 3 → Area 2 或 Area 4(把"不知道"变"知道")。
3. Triggering Conditions
SOTIF 引入triggering condition 概念——导致功能局限暴露的"前因",非"故障":
| 类型 | 例 |
|---|---|
| 环境 | 大雨 / 雪 / 雾 / 逆光 / 隧道出入口光突变 |
| 道路/基础设施 | 施工标志 / 涂鸦车道线 / 反光路牌 |
| 目标特征 | 黑色 SUV / 推车的人 / 异常姿态行人 |
| 工况 | 高速过弯极限 / 多目标快切换 |
| 车辆动力学 | 重载 / 低胎压 / 冰雪附着差 |
| 用户行为 | 注意力分散 / 误按 / 超出 ODD 使用 |
每个 triggering condition + system response = 一个潜在 hazard,要分析 + 设 SM 或限制 ODD。
4. 4 类典型 SOTIF 场景
4.1 性能极限(Performance Limitation)
例:摄像头在 -40°C 启动时图像噪声大,识别率 < 80%。SM:启动时延迟 3s 让传感器自检 + 降级 ADAS 功能。
4.2 算法误判(Algorithmic Limitation)
例:AI 模型在训练集没见过的"特殊形状的车"上识别率低。SM:多传感器融合(摄像头 + 雷达 + 激光雷达 cross-check)/ 不确定时降级到司机接管。
4.3 传感器局限(Sensor Limitation)
例:雷达在金属护栏附近多径反射误报。SM:与摄像头 fusion / 多帧时间一致性 check / OEM 路线优化。
4.4 合理可预见的误用(Reasonably Foreseeable Misuse)
例:用户在 L2 ADAS 下睡觉,DMS(司机监控)不工作。SM:DMS 强制激活 / 司机不响应 → 减速靠边停 / 更明显的警告。
5. SOTIF 验证策略
5.1 场景库(Scenario Database)
收集所有已识别的 triggering condition + 对应车辆响应。典型 L3 项目:
- 1000+ 仿真场景(基础)
- 10000+ 路采场景(回灌仿真)
- N-million km 道路测试(高速 / 城市 / 复杂工况)
5.2 仿真 + HIL + 实车
这一节先把“仿真 + HIL + 实车”的判断维度收拢到同一视图里,后面的表格用于横向比较各选项的边界。
| 验证方式 | 适用 | 局限 |
|---|---|---|
| MIL/SIL 仿真 | 早期算法验证 | 不能完全复现真实物理 |
| HIL | 接入实际控制器 | 传感器输入仍是仿真 |
| VIL/Vehicle in the Loop | 真车 + 仿真环境 | 复杂搭建 |
| 路测 | 终极验证 | 慢 + 贵 |
5.3 公里数论证(Statistical Validation)
L4/L5 自动驾驶要求统计学论证——比人类驾驶安全 X 倍 → 需要 N 亿公里证据。RAND 研究:要证 L4 比人安全 2× 需要 110 亿英里测试。这促使行业用仿真 + reduced-order model 替代纯路测。
6. ADAS 等级 vs 标准适用
这一节先把“ADAS 等级 vs 标准适用”的判断维度收拢到同一视图里,后面的表格用于横向比较各选项的边界。
| ADAS 等级 | ISO 26262 | ISO 21448 |
|---|---|---|
| L0(警示) | 通常 ASIL A | 选做 |
| L1(单功能辅助) | ASIL B/C | 推荐 |
| L2(组合辅助 + 司机监督) | ASIL C/D | 强烈推荐 |
| L3(条件自动驾驶) | ASIL D | 强制 |
| L4/L5(高度 / 完全自动) | ASIL D | 强制 + 海量验证 |
L3+ 完全自动驾驶时段是 SOTIF 主战场——司机不在 loop 里,系统局限直接 = 危险。
7. SOTIF 与 ISO 26262 协同
实务上一个 ADAS 项目同时跑两个标准:
- HARA(26262) + TARA(21434 cyber) + STPA / SOTIF analysis(21448) 三件套并行
- Safety Case 整合 26262 + 21448 + 21434 三个论证
- 共用 V-cycle / Safety Plan / Safety Manager 角色
OEM 大型 ADAS 团队的安全工程师典型同时拿 ISO 26262 + ISO 21448 + ISO 21434 三本证。
核心要点
- ISO 26262 管 fault(系统失效),SOTIF 管 triggering condition(功能局限或误用),两者互补
- SOTIF 4 象限:Known Safe / Known Unsafe / Unknown Safe / Unknown Unsafe,核心是缩小 Area 3
- 4 类典型场景:性能极限 / 算法误判 / 传感器局限 / 用户合理可预见的误用
- 验证策略:场景库 + 仿真 + HIL + 路测,L4 需要 statistical validation
- ADAS L3+ 强制 SOTIF,L1-2 推荐,L0 选做
- 大型 ADAS 项目同时跑 26262 + 21448 + 21434 三标准,共用 Safety Plan
Engineering Objects
引用此页的结构化 Engineeri…
引用此页的结构化 Engineering Object(v2.0 Copilot 自动生成,不要手动编辑此段)。
- standard ·
standard_iso_21448— ISO 21448 SOTIF
Cross-references
- ← 索引
- 功能安全(Functional Safety)
- HARA:TSC 上层概念,SOTIF 用 STPA 替代
- ISO 26262-3 概念阶段细化:ISO 26262 概念阶段
- ISO 26262-9 ASIL 分析细化:ASIL 分析与 SOTIF 互补
- Safety Case:26262 + 21448 + 21434 联合 Safety Case
- 汽车网络安全(ISO/SAE 21434):另一个姊妹标准
- Fault Injection 测试方法:验证 SM 有效性
- 整车 E/E 架构:ADAS 系统架构层
- 汽车 MCU:ADAS 域控制器选型