1.引言
1.1 自动驾驶技术带来的新问题
自动驾驶技术在落地的过程中,越来越多的新问题不断涌现:
1.20%问题的长尾效应
2.场景覆盖不全
3.数据训练不足
4.感知局限
5.决策模糊
6.人机交互“错位”,预期偏差,理解障碍
...
自动驾驶技术
这些新问题可以大体归结如下:
1.感知能力局限:
传感器的感知性能总是存在某些局限性,例如:摄像头在强光、暴雨、逆光下易 “致盲”,毫米波雷达误判金属井盖、路牌,激光雷达对低矮障碍物、非金属物体识别不足,导致决策偏差。
2.算法与决策盲区:
决策算法常常遇到一些无法解决的复杂和极端状况,例如:复杂路口、无标线道路、极端天气等场景,算法训练覆盖不足,易出现误判、决策迟缓,甚至错误变道、急刹。
3.可预见的人为误用:
聚集于用户对自动驾驶功能的不正确理解和使用,例如:L2 级自动驾驶场景下,驾驶员过度依赖、分心接管不及时,或在非设计场景(如市区)激活高速辅助功能,放大安全风险。
4.未知场景风险:
现实路况的长尾场景(如突发障碍物、特殊天气组合)难以穷尽,系统应对未知风险的能力不足。
以上这些问题直接威胁驾乘安全,也制约着自动驾驶技术的规模化落地。
而传统安全(如ISO26262功能安全)在面对这些新问题时往往显得束手无策,这些问题正在成为新的核心安全挑战。
为了在全行业内推动解决这些新的问题,促进自动驾驶技术的发展,并沉淀业内实践,于是新的行业技术标准--SOTIF(预期功能安全)应运而生。
SOTIF(ISO 21448)聚焦 “系统无故障但仍不安全” 的风险,与传统功能安全(ISO 26262)形成互补,在由“故障”造成的风险之外,重点解决 “做得不够好”带来的风险。
目前行业正通过场景库构建、多传感器融合、OTA 持续迭代、SOTIF专项测试等手段,逐步扩大能力边界、降低未知风险,推动自动驾驶从 “能用” 走向 “安全可靠”。
1.2 SOTIF适用于哪些地方?
SOTIF适用于预期功能,涉及:
1.安装在量产公路车辆中的一个或多个电子/电气(E/E)系统
2.紧急干预系统的功能以及具有1至5级驾驶自动化水平的系统
3.基于复杂传感器和处理算法的态势感知功能
4.合理可预见的误用
5.远程用户或后台对车辆的操作或协助功能,可影响车辆决策并导致安全隐患
2. SOTIF的几个重要概念
1.功能不足、触发条件、危害行为及其关联关系
2.误用(Misuse)
误用(Misuse)
3. SOTIF生命周期活动流程
SOTIF生命周期活动流程
如图,活动5~活动13为SOTIF生命周期各阶段活动,分别对应标准的第5章~第13章。
<注>:
1.图中活动7“系统对触发条件的预期响应可接受”的评估所使用的证据来源于第9~11章中的验证活动,以提供其可接受性的最终评估依据。
2.“可接受性”的评估依据为第6章中定义的“接受准则”。