研究:核心机制、边界与融合实践)
ISO 26262 与 SOTIFISO 21448研究核心机制、边界与融合实践ISO 26262 管的是E/E 系统故障导致的不合理风险——即系统坏了怎么办SOTIFISO 21448管的是无故障情况下因功能性能不足或合理可预见误用导致的不合理风险——即系统没坏但能力不够怎么办。两者与 ISO 21434网络安全共同构成智能网联汽车三大安全支柱在高阶自动驾驶中必须融合落地。一、SOTIF 四象限场景模型核心理论框架SOTIF 把所有驾驶场景按已知性 × 安全性切为四块整个标准的方法论都在围绕如何把区域 2、3 收敛到区域 1 展开。四象限场景模型功能改进/限制ODDVV挖掘发现未覆盖暴露区域1已知·安全维持并扩大区域2已知·不安全功能改进/ODD限制区域4未知·安全保持,警惕隐藏风险区域3未知·不安全场景挖掘→转化为区域2SOTIF 的根本目标是消灭区域 2已知不安全、缩小区域 3未知不安全最终让区域 1 尽可能大、区域 3 残余风险可接受。二、ISO 26262 与 SOTIF 核心对比维度ISO 26262功能安全ISO 21448SOTIF 预期功能安全标准定位道路车辆 E/E 系统功能安全基于 IEC 61508 演化预期功能安全2022 年正式发布第 2 版风险来源E/E 系统故障硬件随机失效、系统性故障、软件 bug功能不足规范不足 性能不足 合理可预见误用核心问题“系统坏了怎么办”“系统没坏但功能/算法能力不够怎么办”分析方法HARA危害分析与风险评估 FMEA/FTA触发条件识别 功能不足分析 场景四象限分类风险定级ASIL A/B/C/D 四级由 S严重度×E暴露概率×C可控性决定不再强制分配 ASIL用 S/E/C 调整 VV 深度E 用于选择验证场景缓解手段故障检测、冗余容错、安全状态、降级运行算法功能改进、传感器多样性冗余、ODD 限制、HMI 改进、运行期监控架构要求Fail-SafeL2→ Fail-OperationalL3 双 SoC/双电源/双绕组电机感知冗余 置信度评估 系统降级 接管请求验证焦点故障注入测试、单点/潜伏故障度量SPFM/LFM/PMHF场景覆盖度、残余风险量化、未知不安全场景挖掘适用对象所有安全相关 E/E 系统转向、制动、BMS、气囊等依赖复杂传感器与算法的态势感知功能L1-L5 自动驾驶、紧急干预系统典型示例传感器内部短路导致信号丢失摄像头把白色广告牌误判为货车引发幽灵刹车三、ISO 26262 核心机制1. V 模型全生命周期ISO 26262 覆盖概念阶段 → 系统/硬件/软件开发 → 生产 → 运行 → 服务 → 报废全生命周期以 V 模型组织左侧自顶向下分解需求右侧自底向上验证确认。2. ASIL 分级与 HARAASIL 由三个参数组合确定SSeverity 严重度S0-S3S3 为致命伤害EExposure 暴露概率E0-E4E4 为几乎每次驾驶都发生CControllability 可控性C0-C3C3 为很难控制或不可控组合后得到 ASIL A最低到 D最高QM 级只需质量管理无需功能安全措施。典型映射转向/制动/AEB 为 ASIL D巡航控制 ASIL C车灯 ASIL B氛围灯 ASIL A。3. 安全目标与安全概念HARA 识别危害事件后转化为安全目标SG再分解为功能安全概念FSC→ 技术安全概念TSC→ 软硬件安全需求全程保持可追溯。4. 安全机制与架构演进ASIL 分解ASIL D 可分解为两个独立的 ASIL B112要求无共因失效Fail-SafeL2 逻辑故障即切断、报错、要求驾驶员接管Fail-OperationalL3 必备主控失效后备份毫秒级接管执行 MRM最小风险策略四、SOTIF 核心机制1. 触发条件Triggering ConditionsSOTIF 的关键创新指场景中激活功能不足并导致危险行为的特定条件。分两类第一类性能局限触发条件——传感器/算法在物理环境中的局限如强逆光致盲摄像头、雷达天线水膜衰减、车轮印迹与车道线混淆第二类合理可预见误用——如驾驶员在 ODD 外启动系统、接管过渡期未考虑司机注意力状态、将其他系统警告误判为本系统警告2. 功能不足Insufficiencies规范不足功能定义不完整未考虑某些场景性能不足硬件/算法能力有限如传感器探测范围不足、CNN 对罕见遮挡组合误分类3. SOTIF 改进措施功能改进提升算法性能、采用多样化传感器摄像头雷达激光雷达、调整传感器位置、检测 ODD 边界ODD 限制缩小功能使用范围如禁止泊车系统在有悬崖的停车场使用抠面积策略运行期防护实时风险监控系统RRMS如激光雷达点云密度骤降 90% 摄像头过曝即触发降级4. VV 验证确认SOTIF 的核心挑战五维测试宇宙虚拟仿真CARLA/LGSVL/VTD 注入 10 万边缘场景硬件在环 HIL雷达回波模拟器制造雨雾干扰实车测试影子模式收集 corner case对抗攻击FGSM 生成欺骗性路标人因工程驾驶员接管反应时间压力测试GB/T 47025-2026《智能网联汽车 自动驾驶功能仿真试验方法及要求》进一步定义了 7 类 48 个专项试验采用固定一般参数 泛化变量参数的场景生成逻辑。5. 残余风险评估SOTIF 最终交付物不是测试报告而是安全论证——量化系统在多大程度上是安全的对未知本身进行量化评估基于场景暴露概率、系统性能局限、危害严重程度整合为可比较的残余风险指标遵循 ALARP 原则。五、两者关系与融合开发实践边界与重叠两标准在与设计意图的偏差上存在重叠——故障和性能限制都表现为偏离期望行为。实务中不纠结定义细化而是按安全方法论适配性划分故障类用 ISO 26262 方法算法局限类用 SOTIF 方法。同一危险事件可能同时涉及两套标准如 AEB 意外制动制动执行器故障归 26262雷达误识别路牌归 SOTIF。双标准融合开发流程否是概念阶段统一HARA入口系统设计同步拆解ASIL等级与场景安全目标功能安全机制P3/P4:冗余/诊断/降级SOTIF安全措施C8:功能改进/ODD限制/HMI共用需求追溯体系VV融合故障注入测试场景库测试残余风险可接受?量产发布运行期监控OTA数据回流未知场景挖掘融合落地的三个关键动作统一风险分析入口概念阶段同时进行 HARA 与 SOTIF 场景库建设共用约 20%-30% 的共性方法减少安全机制与安全措施分歧整合 ISO 26262 的 P3/P4 安全机制与 SOTIF 的 C8 安全措施优化测试用例VV 阶段协同集成两套测试用例减少 VV 激活时间建立双向闭环上汽大众通过深度整合 ASPICE 与 ISO 21448将 SOTIF 场景识别、风险评估、验证确认嵌入 V 模型获得 ISO 26262 ASIL-D 与 ISO 21448 双认证。六、智能驾驶落地场景映射场景风险类型适用标准典型措施AEB 误触发把广告牌当车辆算法误识别SOTIF多传感器交叉验证、置信度阈值、限制 ODDAEB 漏触发特定光照下漏检水泥墩感知性能局限SOTIF场景库扩充、对抗样本训练、运行期监控制动执行器卡死硬件随机失效ISO 26262双回路制动、诊断、Fail-Operational暴雨中激光雷达点云稀疏传感器性能局限SOTIF毫米波雷达冗余、降级策略、接管请求L3 接管请求未考虑驾驶员注意力可预见误用SOTIF驾驶员状态监测、渐进式 HMI、接管过渡期设计OTA 升级后 ASIL 等级被破坏软件变更系统性故障ISO 26262版本变更追溯、回归测试、安全等级维持端到端大模型决策不可解释算法性能不足 AI 风险SOTIF ISO 8800因果链验证、对抗鲁棒性、模型漂移监控七、行业趋势ISO 21448:2022 第 2 版更新相比 2019 版 PAS正式版扩展了适用范围至 L1-L5 与远程操作场景强化了未知不安全场景的 VV 方法明确不适用于网络安全威胁与系统技术直接造成的危害。三标准一体化行业已从两套标准独立开发、分开落地转向 ISO 26262 SOTIF ISO 8800AI 安全三位一体融合共用需求追溯体系避免安全盲区与重复投入。数据闭环驱动 SOTIF 迭代车端采集数据经场景语义标签生成、参数提取反向扩展触发条件库与危险场景库SOTIF 分析又指导数据回传策略感知目标丢失、复杂交互、特殊天气设为回传触发点形成双向驱动。国标转化GB/T 43267-2023《道路车辆 预期功能安全》等同采用 ISO 21448:2022GB/T 47025-2026 定义仿真试验方法标志着仿真测试能力成为强制性准入要求。供应链准入收紧头部主机厂对 Tier1、车规芯片供应商设立硬性规则——底盘、智驾、BMS 等安全相关零部件必须配套完整 ASIL 等级证明二级元器件厂商同步提交功能安全测试报告且要求覆盖量产制程管控与 OTA 升级安全保障。