ISO 21448 车辆预期功能安全
具备法律效应
国际公信力
当天申报
进度实时可查
1v1全程陪审
5星服务体验
1. 标准定位与目标:
是什么? ISO 21448 全称为《道路车辆 预期功能安全》,简称 SOTIF。它专注于解决没有发生故障的情况下,由于性能局限、设计不足、环境干扰或可预见的误用**导致的危害风险。
核心目标: 识别和减轻由预期功能在特定场景下表现不足或驾驶员可预见误用而引发的风险,确保系统在已知和未知场景下都能达到可接受的安全水平。它与 ISO 26262 (功能安全) 和 ISO/SAE 21434 (网络安全) 共同构成现代智能网联汽车的三大核心安全支柱。
核心问题: 解决功能"做了它该做的,但做得不够好"所引发的安全问题。
2. 核心概念:
-预期功能安全:避免因预期功能性能局限或合理可预见的误用而导致的不合理风险。
-触发条件: 导致预期功能表现不足或产生危害行为的特定场景或事件。这是 SOTIF 的核心分析对象,分为:
第 1 类: 已知的不安全场景 (已知-不安全)。
第 2 类: 未知的不安全场景 (未知-不安全)。
功能不足: 系统在特定触发条件下无法按预期执行其功能(例如,传感器在恶劣天气下失效、算法无法处理罕见场景)。
-合理可预见的误用:用户可能以不符合设计意图但可预见的方式使用系统(例如,过度依赖辅助驾驶系统导致分心)。
-SOTIF 改进区域:标准强调通过迭代过程(识别->分析->改进->验证)不断缩小两个关键区域:
已知不安全区域 (第 1 类): 尽可能缩小并通过措施减轻风险。
未知不安全区域 (第 2 类): 努力识别未知场景并将其转化为已知场景(第 1 类或已知安全区域),持续缩小该区域。
3. 适用范围:
特别适用于依赖复杂传感器(摄像头、雷达、激光雷达等)和算法(感知、决策)的系统**,尤其是:
高级驾驶辅助系统
有条件自动驾驶系统
任何其功能表现受环境、场景复杂性或用户行为显著影响的系统。
当系统故障(由 ISO 26262 覆盖)或恶意网络攻击(由 ISO/SAE 21434 覆盖)是主要风险来源时,ISO 21448 不适用。
4. 生命周期活动 (V模型框架):
ISO 21448 同样采用类似 V 模型的生命周期管理:
概念阶段:
功能定义与操作设计域定义。
危害识别与风险评估:识别由功能不足或误用可能导致的危害场景(触发条件 + 危害事件),评估严重度和暴露概率(可控性评估相对次要)。
功能修改规范:定义改进功能设计、增加安全措施(如降级策略、人机交互警告)或限制 ODD 以降低风险。
系统开发阶段:
制定 SOTIF 需求(包括验证确认目标)。
系统架构设计(考虑传感器冗余、算法鲁棒性、失效运行策略)。
设计并实施 SOTIF 措施(如场景探测、置信度评估、系统降级、向驾驶员提供清晰有效的接管请求或警告)。
验证与确认阶段 (这是 SOTIF 的核心挑战和重点)
已知场景验证: 通过测试(仿真、台架、实车)证明在已知触发条件下,风险被有效降低到可接受水平。
未知场景探索与确认: 利用各种方法(如基于场景的测试、基于搜索的测试、模糊测试、数据驱动方法、现场监控)主动寻找未知的不安全场景,评估其风险并采取改进措施。目标是证明剩余风险足够低。
残余风险评估: 对经过验证后仍存在的已知和未知风险进行综合评估,判断是否可接受。
运行与维护阶段:
定义监控和事件响应流程(如数据记录器、OTA 更新),以便在车辆运行期间收集新场景信息(尤其是未知不安全场景),用于持续改进。
5. 与 ISO 26262 的关系:
互补而非替代: ISO 26262 解决**系统故障**引起的安全风险;ISO 21448 解决**无故障但功能表现不足或误用**引起的安全风险。
协同工作: 一个复杂的汽车系统(如 L2/L3 自动驾驶)通常需要同时满足两个标准。例如:
ISO 26262 确保计算平台在硬件故障时能安全处理。
ISO 21448 确保感知算法在浓雾中能可靠检测障碍物或能安全地降级/提醒驾驶员。
重叠区管理:两个标准在系统设计、验证方法等方面有重叠,需要协调管理(如共因分析)。
6. 标准的挑战与价值:
挑战:
穷尽所有可能的场景(尤其是未知场景)极其困难且成本高昂。
定义“可接受的风险水平”具有主观性。
验证确认方法(特别是未知场景)仍在发展中。
价值:
系统性地识别和解决由功能局限和环境因素带来的新型安全风险。
推动更鲁棒的系统设计、更完善的测试验证方法和更清晰的用户责任界定。
增强公众对自动驾驶等先进技术的信任。
为法规制定和产品责任界定提供依据。
ISO 21448 (SOTIF) 填补了汽车安全标准的重要空白,专注于“无故障但功能不足”的风险。它通过定义预期功能安全的概念、强调触发条件分析、并建立一套识别、分析、改进和验证(特别是针对未知场景)的流程,为开发依赖复杂传感器和算法的先进驾驶系统提供了关键的安全保障框架。它是实现安全可靠的自动驾驶道路上不可或缺的标准,与 ISO 26262 和 ISO/SAE 21434 共同构成了现代智能网联汽车的“安全铁三角”。
