引言
随着自动驾驶和高级驾驶辅助系统 (ADAS) 的快速发展,确保车辆安全已超越了传统的功能安全措施。这正是 SOTIF(预期功能安全)和 ISO 21448 发挥作用的地方。与侧重于预防系统故障的 ISO 26262 不同,ISO 21448 旨在解决由性能限制、传感器误读和不可预见的情况造成的危险。
对于希望最大程度降低自动驾驶功能相关风险的汽车制造商、工程师和安全专业人员来说,了解 ISO 21448 合规性至关重要。本文探讨了 ISO 21448 指南、最佳实践以及 ISO 26262 与 ISO 21448 之间的主要区别,同时重点介绍了有助于实现合规性的顶级软件解决方案和工具。
让我们深入了解 SOTIF 和 ISO 21448 的基础知识,看看它如何塑造汽车安全的未来。
什么是 SOTIF (ISO 21448)?
ISO 21448(预期功能安全,SOTIF)是一项国际汽车安全标准,旨在解决由系统限制而非硬件或软件故障引起的危险。与侧重于预防故障的 ISO 26262 不同,ISO 21448 确保系统在所有可预见的运行条件下安全运行,包括意外的驾驶员行为、传感器误读以及环境因素。
随着自动驾驶系统和 ADAS 变得越来越先进,传统的安全标准已不再足够。符合 ISO 21448 要求可帮助制造商识别和弥补感知、决策和系统行为方面的安全漏洞,而这些是自动驾驶汽车开发的关键方面。
ISO 21448 的主要目标
ISO 21448 标准提供了一种结构化的方法来评估和降低由功能限制、外部干扰和误用场景引起的风险。主要目标包括:
- 确保预期功能 – 验证 ADAS 和自动系统在所有预期和意外条件下是否安全运行。
- 识别并缓解功能安全漏洞 – 解决传感器不准确性、人工智能驱动的决策错误以及不可预测的环境变化。
- 加强验证和确认流程 – 建立强大的测试方法,提高自动化系统的安全保障。
- 补充 ISO 26262 – ISO 26262 侧重于因硬件和软件缺陷导致的故障,而 ISO 21448 则扩展了安全措施,以解决不完整或不正确的系统行为。
整个汽车系统的范围和适用性
ISO 21448 适用于任何依赖传感器、人工智能和实时数据处理的汽车系统,包括:
- 高级驾驶辅助系统 (ADAS) – 自动紧急制动、车道保持辅助和自适应巡航控制等功能。
- 自主车辆 – 确保自动驾驶技术在现实场景中安全运行。
- 感知和传感器系统 – 降低与摄像头、激光雷达、雷达和传感器融合不准确相关的风险。
- 基于人工智能的决策算法 – 验证自动驾驶系统中使用的机器学习模型。
随着汽车行业自动化程度的不断提升,遵守 ISO 21448 指南对于制造商、原始设备制造商 (OEM) 和安全工程师而言变得至关重要。实施 ISO 21448 解决方案、工具和软件,可确保采取主动的汽车安全措施,降低不可预见的危险风险。
ISO 26262 与 ISO 21448:主要区别
ISO 26262 是汽车系统功能安全的既定国际标准,重点是识别和降低硬件或软件故障导致的风险。它通过定义安全目标、进行危害分析和建立 V 模型开发生命周期来确保系统在发生故障时能够安全响应。
相比之下,ISO 21448(SOTIF)解决了即使系统按预期运行但在意外或不确定的条件下也会发生的危险,例如传感器误解、环境感知不足或人工智能决策的局限性。
| 方面 | ISO 26262 | ISO 21448 |
| 专注 | 功能安全(故障) | 预期功能(限制) |
| 涵盖的危险 | 系统/组件故障 | 误用、环境不确定性和设计限制 |
| 适用性 | 所有车辆电子产品 | 主要是 ADAS 和自动驾驶系统 |
| 解决的典型故障 | 硬件/软件故障 | 传感器不准确、人工智能错误和逻辑不完整 |
| 安全目标 | 预防或减轻系统故障的影响 | 防止正常、降级或复杂场景中的不安全行为 |
ISO 21448 如何在汽车安全方面补充 ISO 26262?
虽然 ISO 26262 可确保发生故障时系统的完整性,但它并不涵盖因系统行为正确但不充分而导致的危险。这对于现代车辆尤其重要,因为人工智能、感知传感器和机器学习带来了新的安全挑战。
ISO 21448 填补了这一空白,是对 ISO 26262 的补充,为非故障危险提供了额外的风险缓解策略。两者共同构成了 ADAS 和自动驾驶系统开发全面的安全保障框架。
通过同时实施这两项标准,汽车开发商可以实现:
- 增强安全覆盖范围,覆盖更广泛场景
- 改进感知和决策功能的验证
- 从概念到生产的全生命周期风险评估
- 未来移动系统的监管和行业合规性
随着汽车系统变得越来越自主和复杂,ISO 21448 合规性和 ISO 26262 的整合对于提供安全、可靠和合法的产品变得至关重要。
ISO 21448 的主要指导原则和合规要求
ISO 21448(预期功能安全性 - SOTIF)标准提供了一种结构化的方法来识别、评估和减轻因系统限制(而非硬件或软件故障)而产生的安全风险。为确保合规性,组织必须遵守关键的 ISO 21448 准则,这些准则侧重于:
- 危害识别和风险评估 – 评估由传感器不准确、人工智能驱动的错误和不可预测的环境因素导致的潜在安全问题。
- 基于场景的测试和验证 – 确保系统在预期和不可预见的条件下安全运行。
- 系统性能监控 – 在整个产品生命周期中持续分析风险缓解措施的有效性。
- 人机交互考虑因素 – 解决驾驶员和乘客如何与 ADAS 和自动系统互动以防止滥用。
实现 ISO 21448 合规性的步骤
为了满足 ISO 21448 合规性要求,组织应遵循以下基本步骤:
- 定义功能边界 – 建立清晰的操作设计域 (ODD),以了解系统预计在何处以及如何安全运行。
- 行为危害和风险分析 (HARA) – 识别非基于故障的风险,例如传感器感知错误或错误的 AI 决策。
- 制定安全要求 – 实施缓解策略以解决已发现的风险并提高系统可靠性。
- 执行验证与确认 (V&V) – 使用基于场景的模拟、真实世界测试和故障注入测试来评估性能。
- 确保持续监控和改进 – 利用数据分析和部署后反馈来逐步提高系统安全性。
SOTIF 实施中的常见挑战
尽管 ISO 21448 合规性为汽车安全提供了强大的框架,但组织通常面临关键挑战,例如:
- 确保安全场景的完整性 – 定义一份全面的现实世界情况列表非常复杂。
- 验证人工智能和传感器融合系统 – 人工智能驱动的系统需要不断学习和改进来处理特殊情况。
- 与 ISO 26262 集成 – 管理功能安全(ISO 26262)和预期功能(ISO 21448)之间的重叠。
通过利用 ISO 21448 软件解决方案、工具和最佳实践,组织可以简化合规工作并增强 ADAS 和自动系统的安全性。
ISO 21448 汽车安全最佳实践
风险识别与危害评估
ISO 21448 的关键最佳实践之一是进行全面的风险识别和危害评估,以确保 ADAS 和自动驾驶系统在任何条件下都能安全运行。这包括:
- 识别与 SOTIF 相关的危险 – 与关注硬件/软件故障的 ISO 26262 不同,ISO 21448 危险源于传感器限制、人工智能误解和意外的环境条件。
- 基于情景的风险分析 – 创建一个真实世界和边缘驾驶场景库,其中系统限制可能导致安全问题。
- 应用危害分析和风险评估(HARA) – 根据风险的严重程度、暴露程度和可控性进行评估,以确定缓解措施的优先顺序。
- 故障模式及影响分析 (FMEA) 和故障树分析 (FTA) – 使用结构化安全分析技术了解潜在的故障链。
验证和确认方法
为了达到 ISO 21448 要求,制造商必须实施严格的验证和确认 (V&V) 流程,这些流程超越了传统的组件级测试。ISO 21448 针对 V&V 的主要指导原则包括:
- 基于模拟的测试 – 在实际部署之前,利用虚拟环境在数百万种场景中测试 ADAS 和自动系统。
- 硬件在环 (HIL) 和软件在环 (SIL) 测试 – 确保安全关键软件在模拟的真实条件下正常运行。
- 真实世界测试和边缘情况验证 – 进行道路测试以评估传感器性能、人工智能决策和驾驶员互动。
- 数据驱动验证 – 使用人工智能和机器学习分析车队车辆的大量数据集,以不断完善安全模型。
SOTIF 合规实施策略
对于希望满足 ISO 21448 合规性要求的组织来说,采用结构化实施方法至关重要。最佳实践包括:
- 在开发生命周期早期集成 SOTIF – 从概念到验证嵌入 ISO 21448 最佳实践可确保主动的风险管理。
- 利用 ISO 21448 软件和工具 – 使用专门的需求管理、场景测试和危害分析工具可提高合规效率。
- 结合 ISO 21448 与 ISO 26262 – 双重方法确保全面解决硬件故障和系统限制。
- 建立持续监控和部署后分析 – 实施无线更新、车队数据分析和人工智能驱动的监控有助于提高部署后的安全性。
- 对团队进行 SOTIF 指南和最佳实践的培训 – 确保工程师、安全团队和 AI 开发人员了解 ISO 21448 原则对于长期合规至关重要。
通过实施这些 ISO 21448 最佳实践,汽车公司可以增强系统安全性,降低 SOTIF 相关风险,并提高 ADAS 和自动驾驶功能的可靠性。
ISO 21448 解决方案:合规工具和软件
为了达到 ISO 21448 合规性,组织需要支持危险评估、验证和确认 (V&V)、可追溯性和基于场景的测试的专门软件解决方案。
Visure 要求 ALM 平台符合 ISO 21448 要求
Visure Requirements ALM Platform 是一个强大的需求管理和可追溯性解决方案,使汽车公司能够有效地遵守 ISO 21448(SOTIF)和 ISO 26262。主要功能包括:
- 端到端需求可追溯性
- 在 SOTIF 要求、安全目标、风险评估和测试用例之间建立完整的可追溯性。
- 确保跨硬件、软件和安全验证流程的双向可追溯性。
- 风险管理与危害分析
- 执行危害分析和风险评估 (HARA) 以识别潜在的 SOTIF 相关风险。
- 实施故障模式和影响分析(FMEA)和故障树分析(FTA)进行结构化风险评估。
- 将危险识别与安全要求联系起来,以确保适当的缓解策略。
- 基于场景的验证和确认 (V&V)
- 定义真实世界的驾驶场景和边缘情况来测试 ADAS 和自动系统。
- 支持基于模拟的测试、基于模型的开发和人工智能驱动的验证流程。
- 与 ISO 21448 测试工具集成,进行硬件在环 (HIL) 和软件在环 (SIL) 验证。
- 符合 ISO 21448 和 ISO 26262
- 确保与 ISO 21448(SOTIF)和 ISO 26262(功能安全)保持一致。
- 生成自动合规报告以满足行业监管要求。
- 支持版本控制和审计跟踪,以简化认证流程。
- 人工智能驱动的需求管理
- 利用人工智能驱动的辅助进行自动化需求验证、影响分析和风险评估。
- 通过检测安全关键要求中的不一致和差距来减少人为错误。
为什么选择 Visure 来符合 ISO 21448 要求?
- 所有 SOTIF 流程的端到端可追溯性
- 使用内置危害分析工具进行全面的风险评估
- 与仿真、测试和 ALM 生态系统无缝集成
- ISO 21448 和 ISO 26262 的自动合规性报告
- 人工智能自动化简化需求验证
通过利用 Visure Requirements ALM 平台,汽车公司可以有效地管理 SOTIF 合规性,改进风险缓解策略,并加速安全可靠的自动系统的开发。
SOTIF 与汽车安全的未来
随着汽车系统日益自动化和智能化,ISO 21448 (SOTIF) 的重要性日益凸显。为了确保人工智能时代的道路安全,汽车行业必须与新兴技术同步发展,同时始终遵循 ISO 21448 的准则和标准。
人工智能和机器学习在 SOTIF 合规中的作用
人工智能和机器学习 (ML) 正在改变高级驾驶辅助系统 (ADAS) 和自动驾驶汽车解读和响应环境的方式。然而,这也为安全保障和 ISO 21448 合规性带来了新的挑战:
- 动态感知与决策 – 必须根据广泛的现实世界和边缘情况场景对人工智能模型进行测试,以确保其行为符合 SOTIF 安全目标。
- 不可预测的行为和黑箱模型 – 机器学习系统在陌生的环境中可能会出现意外的输出。ISO 21448 的工具和技术正在调整,以评估非确定性系统的安全性。
- 持续学习和部署后监控 – 随着 AI 模型不断发展,制造商必须实施强大的生命周期监控和无线更新,以确保持续遵守 SOTIF 标准。
- 数据驱动验证 – 大规模数据收集和基于人工智能的分析能够实现数百万英里行驶里程的实时风险检测和验证,显著增强了 ISO 21448 安全验证。
ISO 21448 如何随着新兴汽车技术的发展而发展
随着汽车创新的加速,ISO 21448也在不断发展以保持相关性和有效性。塑造SOTIF未来的一些关键趋势包括:
- 与下一代标准的集成 – ISO 21448 越来越多地与 ISO 26262 和未来的安全框架相结合,以提供包括功能安全、预期安全和操作安全的全面安全覆盖模型。
- 专注于互联和协作驾驶 – 车对万物 (V2X) 通信和群体智能引入了新的安全场景。SOTIF 指南正在调整以考虑共享感知和协作自主性。
- 可扩展且自动化的 SOTIF 验证 – 正在开发由人工智能驱动的 SOTIF 工具和软件解决方案,以自动化场景生成、测试覆盖率分析和合规性报告。
- 更加重视人机交互(HMI)—— 随着自动化程度的提高,确保驾驶员理解并适当响应系统行为成为未来 ISO 21448 修订的主要关注领域。
通过采用人工智能、模拟和数据驱动验证,并利用 Visure requirements ALM 等 ISO 21448 软件解决方案,汽车行业可以自信地驾驭安全和创新的未来。
结语
随着汽车行业加速迈向完全自动驾驶,确保预期功能安全 (SOTIF) 比以往任何时候都更加重要。ISO 21448 提供了一个全面的框架,用于识别、评估和降低并非源于系统故障,而是源于感知、解读和环境交互限制的风险。
了解 ISO 21448 与 ISO 26262 之间的主要区别、应用经过验证的 ISO 21448 最佳实践以及利用强大的 ISO 21448 工具和软件是实现完全合规和开发更安全、更智能的车辆的重要步骤。
Visure 要求 ALM 平台等解决方案为组织提供了端到端可追溯性、AI 驱动的自动化和强大的 SOTIF 合规性功能。无论您是构建 ADAS 系统还是自动驾驶平台,Visure 都可以帮助您简化开发生命周期,同时确保符合 ISO 26262 和 ISO 21448 准则。
立即开始 Visure Requirements ALM Platform 14 天免费试用 并体验最全面的 SOTIF 合规性、需求管理和汽车安全解决方案。
