超越功能安全：ISO/PAS 8800 与自动驾驶的“预期功能安全（SOTIF）”

什么是 ISO/PAS 8800？

ISO/PAS 8800 的全称是 《道路车辆 自动驾驶系统安全预期功能（SOTIF）》。

它是一个由国际标准化组织发布的 公开可用规范。请注意，它不是一个正式的“国际标准”，而是一个“规范”。这通常意味着它是在该领域技术快速发展时期，为了提供及时指导而发布的先行文件，未来可能会演进成为正式的ISO标准。

该文件的核心目的是为汽车行业，特别是高级别自动驾驶系统，解决 “预期功能安全” 问题。

核心概念：什么是 SOTIF？

要理解 ISO/PAS 8800，首先必须理解 SOTIF。

• 传统功能安全： 关注的是系统 “不发生故障” 的风险。例如，刹车系统的芯片因为电压不稳而烧毁，导致刹车失灵。这是 ISO 26262 标准主要解决的问题。

• 预期功能安全： 关注的是系统 “即使没有故障，也可能因为性能局限而引发危险” 的风险。简单说，就是系统“能力不足”或“考虑不周”导致的事故。

SOTIF 的典型场景：

1. 感知局限：

• 自动驾驶的摄像头在强光逆光下“致盲”，无法识别前方的静止车辆。

• 激光雷达将路边的金属路牌错误识别为障碍物，导致车辆急刹。

• 算法无法准确区分飘在路上的塑料袋和一块石头。

2. 决策算法局限：

• 在复杂、罕见的交通场景下（例如，五岔路口、有行人突然从视觉盲区闯入），系统的决策算法做出了不合理甚至危险的驾驶行为。

3. 性能局限：

• 系统的控制精度不够，在湿滑路面上无法稳定保持车道。

这些情况下的风险，都不是因为硬件故障，而是因为系统的预期功能本身存在性能边界和局限性。SOTIF 就是要识别、评估和减少这类风险。

ISO/PAS 8800 的主要内容

该文件为SOTIF的工程实践提供了一个完整的生命周期框架，主要包括四个关键阶段：

1. 定义（Definition）

• 明确自动驾驶系统的功能、操作设计域（ODD）、以及系统在ODD内应有的表现。

• 识别可能因系统性能局限而导致的危害场景和潜在风险。

2. 识别和评估（Identification and Evaluation）

• 识别已知不安全场景： 通过分析、测试、仿真等手段，找出所有已知的会导致系统表现不佳的场景（例如，上述的强光、特殊障碍物等）。

• 识别未知不安全场景： 通过系统化的方法（如基于关键要素的变化）去探索和发现那些尚未知晓的危险场景。

• 评估风险： 对识别出的场景进行风险评估，确定其严重程度和发生概率。

3. 功能改进与验证（Function Modification and Verification）

• 减少已知不安全场景： 通过改进传感器融合算法、提升决策逻辑、扩大训练数据集、增加冗余系统等方式，尽可能减少“已知不安全场景”的数量和风险。

• 验证改进效果： 通过测试（实车测试、仿真测试）来验证改进措施是否有效，确保已知风险被降低到可接受水平。

4. 确认（Validation）

• 这是SOTIF流程的最终目标：通过充分的测试和论证，证明在考虑了所有已知和未知的不安全场景后，系统的残余风险已经达到了 “可接受” 的水平。

• 确认系统在其定义的ODD内是足够安全的。

这个过程可以概括为一个经典的SOTIF四象限模型（虽然ISO/PAS 8800本身可能不直接使用这个图，但思想一致）：

• 区域1： 已知，安全（理想区域）

• 区域2： 已知，不安全（需要通过功能改进来消除）

• 区域3： 未知，不安全（需要通过探索来发现并转移到区域2）

• 区域4： 未知，安全（系统表现良好，但我们尚未测试到）

SOTIF工作的目标就是不断 缩小区域2和区域3。

为什么 ISO/PAS 8800 如此重要？

1. 填补安全法规空白： 随着自动驾驶等级提升，单纯依靠ISO 26262（功能安全）已无法覆盖所有风险。SOTIF填补了“无故障但不安全”这一关键空白。

2. 建立行业共识： 它为全球汽车制造商、供应商和技术公司提供了一个统一的工程方法论和术语体系，避免了各家自搞一套，有利于技术交流和供应链整合。

3. 提升公众信任： 通过系统化的SOTIF流程，可以向监管机构和公众证明，自动驾驶系统经过了远超传统汽车的严格安全评估，有助于建立社会对这项新技术的信心。

4. 应对法规要求： 世界多国（如欧盟、中国）正在将SOTIF原则纳入其智能网联汽车的准入法规中。遵循ISO/PAS 8800是满足这些法规要求的重要途径。

与 ISO 26262 和 ISO 21448 的关系

• ISO 26262（功能安全）： 解决“故障”导致的安全问题。它与SOTIF是互补关系，共同构成了自动驾驶系统的完整安全体系。一个系统必须同时满足功能安全和预期功能安全的要求。

• ISO 21448（SOTIF）： 这是 ISO/PAS 8800 的正式标准版本。ISO/PAS 8800是先行文件，其核心内容和技术框架已经被吸收并正式发布为 ISO 21448:2022。目前，行业内的主流参考标准是 ISO 21448。

总结

ISO/PAS 8800 是自动驾驶安全领域的一个里程碑式的文件，它首次系统化地提出了解决 “预期功能安全” 的工程框架。虽然它已被正式的 ISO 21448 标准所取代，但其开创性的思想和核心流程被完整继承。理解ISO/PAS 8800/SOTIF，是理解当今高水平自动驾驶如何确保安全性的关键。

简单来说，它回答了一个核心问题：“我们如何确保一辆永远不会‘坏掉’的自动驾驶汽车，在面对真实世界的无限复杂性时，也不会因为‘犯傻’而出事故？”

颐卓咨询管理集团-广州总部

总部地址：广州市海珠区琶洲数字科技产业园A15-2栋

联系方式：13622221264（张小姐）

邮        箱：eyzo@chinakec.com

公司官网：www.chinakec.com

集团分支机构：深圳、成都、重庆、佛山、东莞、长沙、武汉、北京、昆山、厦门等