标准简介
ISO 21448:2022《道路车辆 预期功能安全》(SOTIF)是 ISO 于 2022 年 6 月发布的国际标准,专注于自动驾驶和高级驾驶辅助系统(ADAS)在正常运行、无故障情况下仍可能产生的安全风险。它填补了 ISO 26262 功能安全未覆盖的空白,针对感知、决策与执行系统的性能局限,以及可合理预见误用导致的危险事件,提出系统性的识别、评估与控制要求。
SOTIF 适用于开发 SAE L2+ 至 L4 级自动驾驶系统的整车厂与供应商,是联合国欧洲经济委员会(UNECE)型式认证框架中日益重要的参考依据。本页汇总了 ISO 21448 的官方文档、当前状态、核心流程与常见认证机构,帮助企业快速理解 SOTIF 落地路径与测试验证策略。
超越功能安全
解决系统在正常运行、无故障情况下,由功能不足和可合理预见误用导致的风险,填补 ISO 26262 未覆盖的空白。
感知与算法性能局限
聚焦摄像头、雷达、激光雷达等感知系统及决策算法在触发条件下的性能局限,以及可能引发的不安全行为。
基于场景的分析
采用场景化方法识别并评估触发条件,即特定情境或条件组合导致预期功能出现危险行为的情形。
list_alt SOTIF 关键过程域
- 预期功能规格与设计
- 潜在危险行为识别
- 触发条件与功能不足分析
- 已知与未知危险场景评估
- 改进措施定义与实施
- SOTIF 验证与确认策略
- 可接受残余风险论证准则
- 运营阶段监控与现场数据收集
谁需要合规?
开发高级驾驶辅助系统(ADAS)和自动驾驶系统的汽车整车厂与供应商,特别是 SAE L2+ 至 L4 级系统,需要确保感知、决策与执行在所有可预见条件下安全运行。
关键要求
功能不足识别
系统识别预期功能规格与设计中的功能不足,包括传感器局限、算法性能边界和执行器约束。
触发条件分析
识别并分析触发条件,即特定环境、用户行为或输入组合导致系统在按设计运行的情况下仍出现危险行为。
场景分类与评估
将场景分为已知安全、已知危险、未知安全和未知危险四类,并系统降低未知和已知危险区域,以实现可接受的残余风险。
验证与确认策略
制定综合 V&V 策略,结合仿真、试验场和实际道路测试,证明 SOTIF 相关危险的残余风险在所有相关场景下足够低。
SOTIF 相关监控
实施现场监控和数据收集,识别运营过程中此前未知的触发条件,并将发现反馈到 SOTIF 改进流程。
实施路线图
准备范围、责任和义务
围绕车辆预期功能、感知和决策系统、传感器、算法、运行设计域、可预见误用、场景分析、验证、确认和安全论证证据定义SOTIF 安全保证项目范围。指定责任人,识别适用法律、客户、认证或监管驱动因素,并约定证据治理方式。
差距分析和风险优先级
依据 ISO 21448 期望和风险背景评估当前实践。审查功能不足、性能限制、可预见误用、场景识别、触发条件、SOTIF 危害、风险评价、验证和确认策略、剩余风险接受以及安全论证维护,并按法律暴露、安全或消费者影响、客户影响、运营依赖和评审准备度排列差距优先级。
实施控制、记录和报告
部署所需控制、运行流程、文档、供应商或伙伴流程、测试、报告和升级路径。围绕项目定义、ODD 定义、场景目录、触发条件分析、SOTIF 危害分析、仿真报告、道路测试证据、确认覆盖、剩余风险决策和安全论证记录建立可追溯证据。
评审、审核并保持最新
在SOTIF 评估或客户安全评审前完成准备度评审、内部检查和纠正措施。产品、服务、供应商、技术、法律、市场、事件或监管变化后刷新项目。
合规检查清单
checklist 范围与问责
checklist 控制与证据
checklist 监控与改进
处罚与执行
ISO 21448 为自愿性标准,无直接监管处罚。但 SOTIF 分析已日益被型式认证机构要求,并被联合国欧洲经济委员会(UNECE)法规引用。若因功能不足导致自动驾驶系统事故,可能面临召回、产品责任和声誉损害。
常见问题解答
谁需要 ISO 21448?
expand_more
ISO 21448 适用于产品、服务、系统或受监管活动落入车辆预期功能、感知和决策系统、传感器、算法、运行设计域、可预见误用、场景分析、验证、确认和安全论证证据的组织。采用动因通常来自监管、客户、认证、市场准入或保证需求。
ISO 21448 的主要目的是什么?
expand_more
实践目的在于为功能不足、性能限制、可预见误用、场景识别、触发条件、SOTIF 危害、风险评价、验证和确认策略、剩余风险接受以及安全论证维护建立可重复运行的项目。该项目应让义务可见、定义责任人、运行控制并保持证据最新。
首先应做什么?
expand_more
先确认范围、所有权和适用义务。这可以避免团队建立与实际产品、服务、系统或受监管活动不匹配的文档或控制。
实施需要多长时间?
expand_more
聚焦实施可能需要数周或数月。周期取决于成熟度、场所或系统数量、供应商参与度、技术复杂度、测试需求和外部评审深度。
哪些证据最有用?
expand_more
有用证据包括项目定义、ODD 定义、场景目录、触发条件分析、SOTIF 危害分析、仿真报告、道路测试证据、确认覆盖、剩余风险决策和安全论证记录。评审方通常期望看到可追溯证据,将义务与决策、控制、测试、报告和纠正措施连接起来。
应如何管理供应商或伙伴?
expand_more
供应商和伙伴责任应通过合同、准入要求、数据或证据请求、绩效监控,以及针对发现项、事件或变化的升级路径记录下来。
项目应何时更新?
expand_more
法律变化、产品或服务变化、供应商变化、新市场、事件、投诉、监管反馈或审核发现后都应更新项目。陈旧证据是常见合规失败原因。
可以与其他项目整合吗?
expand_more
可以。ISO 21448 通常可以与相邻合规项目共享治理、文件控制、培训、供应商管理、问题跟踪、风险管理、内部评审和纠正措施流程。