標準簡介
ISO 21448:2022《道路車輛 預期功能安全》(SOTIF)是 ISO 於 2022 年 6 月釋出的國際標準,專注於自動駕駛和高階駕駛輔助系統(ADAS)在正常執行、無故障情況下仍可能產生的安全風險。它填補了 ISO 26262 功能安全未覆蓋的空白,針對感知、決策與執行系統的效能侷限,以及可合理預見誤用導致的危險事件,提出系統性的識別、評估與控制要求。
SOTIF 適用於開發 SAE L2+ 至 L4 級自動駕駛系統的整車廠與供應商,是聯合國歐洲經濟委員會(UNECE)型式認證框架中日益重要的參考依據。本頁彙總了 ISO 21448 的官方文件、當前狀態、核心流程與常見認證機構,幫助企業快速理解 SOTIF 落地路徑與測試驗證策略。
超越功能安全
解決系統在正常執行、無故障情況下,由功能不足和可合理預見誤用導致的風險,填補 ISO 26262 未覆蓋的空白。
感知與演算法效能侷限
聚焦攝像頭、雷達、鐳射雷達等感知系統及決策演算法在觸發條件下的效能侷限,以及可能引發的不安全行為。
基於場景的分析
採用場景化方法識別並評估觸發條件,即特定情境或條件組合導致預期功能出現危險行為的情形。
list_alt SOTIF 關鍵過程域
- 預期功能規格與設計
- 潛在危險行為識別
- 觸發條件與功能不足分析
- 已知與未知危險場景評估
- 改進措施定義與實施
- SOTIF 驗證與確認策略
- 可接受殘餘風險論證準則
- 運營階段監控與現場資料收集
誰需要合規?
開發高階駕駛輔助系統(ADAS)和自動駕駛系統的汽車整車廠與供應商,特別是 SAE L2+ 至 L4 級系統,需要確保感知、決策與執行在所有可預見條件下安全執行。
關鍵要求
功能不足識別
系統識別預期功能規格與設計中的功能不足,套件括感測器侷限、演算法效能邊界和執行器約束。
觸發條件分析
識別並分析觸發條件,即特定環境、使用者行為或輸入組合導致系統在按設計執行的情況下仍出現危險行為。
場景分類與評估
將場景分為已知安全、已知危險、未知安全和未知危險四類,並系統降低未知和已知危險區域,以實現可接受的殘餘風險。
驗證與確認策略
制定綜合 V&V 策略,結合模擬、試驗場和實際道路測試,證明 SOTIF 相關危險的殘餘風險在所有相關場景下足夠低。
SOTIF 相關監控
實施現場監控和資料收集,識別運營過程中此前未知的觸發條件,並將發現反饋到 SOTIF 改進流程。
實施路線圖
准备範圍、責任和義務
圍繞車輛預期功能、感知和決策系統、感測器、演算法、執行设计域、可預見誤用、情境分析、驗證、確認和安全論證證據定義SOTIF 安全保證專案範圍。指定責任人,識別適用法律、客戶、認證或監管驅動因素,并約定證據治理方式。
差距分析和風險優先順序
依据 ISO 21448 期望和風險背景評估目前實務。審查功能不足、效能限制、可預見誤用、情境識別、觸發条件、SOTIF 危害、風險评价、驗證和確認策略、剩余風險接受以及安全論證維護,并按法律暴露、安全或消費者影響、客戶影響、營運依賴和審查準備度排列差距優先順序。
實施控制、記錄和報告
部署所需控制、執行流程、文件、供應商或夥伴流程、測試、報告和升級路徑。圍繞專案定義、ODD 定義、情境目錄、觸發条件分析、SOTIF 危害分析、模擬報告、道路測試證據、確認覆盖、剩余風險決策和安全論證記錄建立可追溯證據。
審查、稽核并保持最新
在SOTIF 評估或客戶安全審查前完成準備度審查、內部檢查和矯正措施。產品、服務、供應商、技術、法律、市場、事件或監管變化后更新專案。
合規檢查清單
checklist 範圍与問責
checklist 控制与證據
checklist 監控与改进
處罰與執行
ISO 21448 為自願性標準,無直接監管處罰。但 SOTIF 分析已日益被型式認證機構要求,並被聯合國歐洲經濟委員會(UNECE)法規引用。若因功能不足導致自動駕駛系統事故,可能面臨召回、產品責任和聲譽損害。
常見問題解答
谁需要 ISO 21448?
expand_more
ISO 21448 適用于產品、服務、系統或受監管活動落入車輛預期功能、感知和決策系統、感測器、演算法、執行设计域、可預見誤用、情境分析、驗證、確認和安全論證證據的組織。採用動因通常来自監管、客戶、認證、市場准入或保證需求。
ISO 21448 的主要目的是什么?
expand_more
實務目的在于为功能不足、效能限制、可預見誤用、情境識別、觸發条件、SOTIF 危害、風險评价、驗證和確認策略、剩余風險接受以及安全論證維護建立可重複執行的專案。该專案应让義務可见、定義責任人、執行控制并保持證據最新。
首先应做什么?
expand_more
先確認範圍、所有權和適用義務。这可以避免團隊建立与實際產品、服務、系統或受監管活動不匹配的文件或控制。
實施需要多长時間?
expand_more
聚焦實施可能需要數週或數月。週期取決於成熟度、場所或系統數量、供應商參與度、技術複雜度、測試需求和外部審查深度。
哪些證據最有用?
expand_more
有用證據包括專案定義、ODD 定義、情境目錄、觸發条件分析、SOTIF 危害分析、模擬報告、道路測試證據、確認覆盖、剩余風險決策和安全論證記錄。審查方通常期望看到可追溯證據,将義務与決策、控制、測試、報告和矯正措施連接起来。
应如何管理供應商或夥伴?
expand_more
供應商和夥伴責任应透過合約、准入要求、数据或證據請求、績效監控,以及针对發現項、事件或變化的升級路徑記錄下来。
專案应何时更新?
expand_more
法律變化、產品或服務變化、供應商變化、新市場、事件、投訴、監管回饋或稽核发现后都应更新專案。陈旧證據是常见合規失敗原因。
可以与其他專案整合吗?
expand_more
可以。ISO 21448 通常可以与相邻合規專案共享治理、文件控制、訓練、供應商管理、問題追蹤、風險管理、內部審查和矯正措施流程。