ISO 21448预期功能安全认证SOTIF

ISO 21448，全称为《道路车辆 预期功能安全》国际标准，简称为SOTIF。该标准于2022年正式发布，旨在解决智能驾驶与自动驾驶系统在无硬件或软件故障的情况下，因系统功能定义不足、性能局限或可合理预见的人为误用而引发的安全风险。它是ISO 26262功能安全标准的重要补充，共同构成智能驾驶系统的核心安全框架。标准适用于驾驶自动化等级为L1至L5的车辆系统，核心是通过系统化的设计、验证、确认及运行监控流程，识别和管控由“功能不足”导致的潜在危险，从而将未知风险降至可接受水平，保障智能驾驶功能在全场景下的安全性与可靠性。

背景资料

传统的功能安全标准ISO 26262聚焦于系统性失效和硬件随机失效，而对于因设计局限性、感知误差、不充分场景识别、驾驶环境不确定性等非故障性风险，缺乏系统化的分析与管理手段。

目前，汽车智能化与自动化水平越来越高，越来越多的车辆功能依赖于感知、决策与执行系统的协同工作。尤其在高级驾驶辅助系统（ADAS）与自动驾驶系统（ADS）中，诸如AEB（自动紧急制动）、LKA（车道保持辅助）、TJA（交通拥堵辅助）、NOA（领航辅助）等功能大量部署，其安全性已不再仅仅依赖传统电气故障诊断与应对措施。仅靠防范硬件软件故障（ISO 26262）已不足以应对所有安全挑战。在此背景下，ISO 21448《道路车辆——预期功能安全》（SOTIF）应运而生。ISO 21448的引入，正是为了系统性应对功能不足、性能局限等非故障风险。两者的结合对于L1-L5级别的驾驶自动化系统和紧急干预系统至关重要，是构建可信赖智能驾驶产品的基石。

中国智能网联汽车产业创新联盟于2020年5月发起成立了“智能网联汽车预期功能安全工作组”，其目的是为了促进中国智能驾驶系统预期功能安全的研究与落地，该工作组旨在对相关科学问题与前沿技术进行研究，并提出可行、有效的解决方案，同时推动相关标准体系的构建。

展望未来，ISO 21448标准的实践与深化面临多重挑战与发展方向，主要包括应对人工智能/机器学习算法的验证难题、探索基于车路协同等新技术的SOTIF风险提升路径以及推进中国本土化标准的预研与制定工作。

SOTIF遭遇的难点：

● 感知系统复杂性增加：多传感器融合（摄像头、毫米波雷达、激光雷达）带来输入空间的不确定性，无法完全预测所有场景组合；

● 自动驾驶边界模糊：系统接管边界不明确可能导致误用或滥用，增加了系统误判风险；

● 真实场景复杂且稀缺：难以通过测试覆盖所有潜在不充分场景（unknown scenarios），传统验证手段面临瓶颈；

● 法规与市场双重压力：国际法规(如UNECE R171)和主机厂等对SOTIF合规性提出明确要求；

● 缺乏标准落地经验：ISO 21448相对较新，企业在实施过程中普遍缺乏案例参考、方法指导和认证路径支持。

在这种情况，企业需要

● 构建或补充现有开发流程中SOTIF相关的体系与能力模块；

● 对具体产品进行预期功能安全评估，提升交付可信度；

● 获得第三方权威认证以满足主机厂准入要求或监管部门的安全合规审查。

服务范围

SOTIF服务体系包含两个核心模块：流程认证服务与产品认证服务，覆盖企业从体系建设、项目实践到第三方合规的全生命周期需求。

● 流程认证服务（Process Assessment & Certification）

（1）培训与能力提升：为研发团队提供SOTIF基础与进阶定制培训，涵盖标准解读、SOTIF核心概念、工具方法及行业案例。

（2）流程现状评估：基于ISO 21448标准，识别客户当前开发流程与ISO 21448的偏差，形成差距分析报告。

（3）体系建设指导：协助建立/优化SOTIF流程模块，如感知系统场景分析、不充分场景识别、验证与确认策略制定等。

（4）评估及认证服务：针对客户的开发流程进行评估审核，并出具评审报告，审核通过后颁发具有德国DAkkS授权的流程认证证书。

● 产品认证服务（Product Evaluation & Certification）

（1）产品差距评估：基于目标产品（如AEB系统、L2/L3自动驾驶功能等）开展SOTIF适用性评估并输出差距评估报告，明确产品当前设计/验证与SOTIF要求的差距，为后续改进和认证建立基础。

（2）产品开发咨询：面向产品开发过程中的核心SOTIF活动，提供专家技术支持与方法咨询。

（3）产品功能与使用场景分析：定义产品功能边界、用户假设和使用意图。

（4）潜在危害识别与分类：基于系统功能进行潜在危害清单化与分类评级。

（5）未知场景识别与分析：构建场景库，使用专家评估/机器学习/实测数据进行分析。

（6）验证与确认策略制定：设计场景驱动的验证方法与残余风险评估机制。

（7）评估及认证服务：针对客户的产品的开发设计进行评估审核，并出具评审报告，审核通过后颁发具有国际权威的产品认证证书。

● 工程服务

（1）流程文档支持：输出关键流程文档，如SOTIF分析报告、场景数据库管理策略等。

（2）技术开发支持：针对客户的产品的开发设计提供设计及文档编写服务。