自動駕駛電車難題：功能安全ISO 26262與預期功能安全SOTIF的協(xié)同實踐

時間：2026-03-18 19:31:59

關鍵字：自動駕駛 ISO 26262

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]當一輛自動駕駛汽車在暴雨中駛向十字路口，突然發(fā)現前方橫穿馬路的行人時，系統(tǒng)需要在0.3秒內完成環(huán)境感知、路徑規(guī)劃與執(zhí)行決策。這個場景背后，是功能安全與預期功能安全兩大技術體系的協(xié)同運作——前者確保系統(tǒng)在故障時不會失控，后者保證系統(tǒng)在正常狀態(tài)下能應對復雜場景。這種協(xié)同機制正在重塑自動駕駛的安全邊界。

當一輛自動駕駛汽車在暴雨中駛向十字路口，突然發(fā)現前方橫穿馬路的行人時，系統(tǒng)需要在0.3秒內完成環(huán)境感知、路徑規(guī)劃與執(zhí)行決策。這個場景背后，是功能安全與預期功能安全兩大技術體系的協(xié)同運作——前者確保系統(tǒng)在故障時不會失控，后者保證系統(tǒng)在正常狀態(tài)下能應對復雜場景。這種協(xié)同機制正在重塑自動駕駛的安全邊界。

一、功能安全

ISO 26262標準自2011年發(fā)布以來，已成為汽車電子系統(tǒng)的安全基石。該標準通過ASIL(汽車安全完整性等級)將風險劃分為A-D四個等級，其中ASIL D要求隨機硬件失效率低于10^-8/h。以線控轉向系統(tǒng)為例，當轉向電機控制器檢測到電流異常時，系統(tǒng)必須在10ms內切換至冗余電機，確保方向盤控制權不丟失。

在特斯拉Autopilot的召回事件中，功能安全機制發(fā)揮了關鍵作用。2021年，因攝像頭識別模塊存在隨機內存錯誤風險，特斯拉通過OTA更新為系統(tǒng)增加了雙通道校驗機制，使故障檢測覆蓋率從92%提升至99.97%。這種改進直接對應ISO 26262 Part 6要求的硬件容錯設計。

功能安全的實施需要貫穿產品全生命周期。吉利汽車在研發(fā)GEEA 3.0電子電氣架構時，投入超過200人年的工作量進行HARA(危害分析與風險評估)，識別出1,276個潛在危害場景，其中32個被評定為ASIL D等級。通過采用鎖步核(Lockstep Core)與ECC內存糾錯技術，該架構的硬件失效率較上一代降低83%。

二、預期功能安全

當系統(tǒng)組件均正常工作時，自動駕駛仍可能因設計局限或環(huán)境干擾引發(fā)事故。2020年沃爾沃XC60的AEB誤觸發(fā)事件，正是由于系統(tǒng)將地面反光誤判為障礙物所致。這類問題屬于ISO 21448定義的預期功能安全(SOTIF)范疇，其核心在于解決"非故障安全"風險。

SOTIF的實施通過四象限模型實現風險收斂：

已知安全場景：通過仿真測試覆蓋95%以上常規(guī)工況

已知不安全場景：針對識別出的132類典型失效模式進行專項優(yōu)化

未知不安全場景：利用真實道路數據訓練神經網絡，使系統(tǒng)具備場景遷移能力

未知安全場景：通過持續(xù)監(jiān)控逐步轉化為已知場景

在蔚來NOP+領航輔助系統(tǒng)中，SOTIF機制顯著提升了復雜場景適應性。當系統(tǒng)檢測到前方施工區(qū)域時，會同時激活視覺提示、語音警報與方向盤震動三重預警，并在駕駛員未響應時啟動最小風險策略(MRM)，以15km/h時速緩慢靠邊停車。這種設計使系統(tǒng)在2025年C-NCAP測試中，行人保護得分從82分提升至96分。

三、協(xié)同實踐

功能安全與SOTIF的協(xié)同體現在三個維度：

1. 架構設計層

小鵬汽車XNGP系統(tǒng)采用分層冗余架構：感知層部署激光雷達+攝像頭+毫米波雷達三重冗余;決策層運行兩套獨立算法，主系統(tǒng)基于規(guī)則推理，備份系統(tǒng)采用強化學習;執(zhí)行層配置雙繞組電機與電子機械制動(EMB)。這種設計使系統(tǒng)在單個組件失效時，仍能維持ASIL B級功能安全。

2. 開發(fā)流程層

HWMDC計算平臺的開發(fā)流程完美融合兩項標準：在概念階段同時進行HARA分析與SOTIF場景庫建設;在系統(tǒng)設計階段，功能安全要求轉化為故障檢測覆蓋率指標，SOTIF要求轉化為場景覆蓋度指標;在驗證階段，通過硬件在環(huán)(HIL)測試完成4,000萬公里等效驗證，其中20%測試用例專門針對SOTIF場景。

3. 運行監(jiān)控層

特斯拉Dojo超級計算機每天處理1.6PB的車輛數據，構建起動態(tài)更新的SOTIF場景庫。當系統(tǒng)在特定路段連續(xù)出現3次異常減速時，會自動觸發(fā)Root Cause分析流程，結合功能安全日志確定是傳感器臟污(SOTIF問題)還是電源模塊波動(功能安全問題)，并推送針對性更新包。

當前技術仍面臨兩大瓶頸：

長尾場景覆蓋：真實道路中存在超過10萬種罕見場景，完全依賴車輛自身感知難以窮盡

算法可解釋性：深度學習模型的"黑箱"特性導致功能安全認證困難

車路協(xié)同技術為此提供了新解法。在蘇州高鐵新城示范區(qū)，路側單元(RSU)通過5G-V2X向自動駕駛車輛實時廣播盲區(qū)信息，使系統(tǒng)有效感知范圍擴展至300米。這種協(xié)同感知使SOTIF場景庫的構建效率提升40%，同時降低車載計算平臺的算力需求35%。

當功能安全與SOTIF形成閉環(huán)，自動駕駛系統(tǒng)將具備"自我進化"能力。正如ISO 21448標準委員會主席Dr. Klaus Müller所言："未來的安全系統(tǒng)不應只是避免事故，更要能預測風險并主動優(yōu)化。這需要功能安全的基礎保障與SOTIF的認知升級形成共振。"在這場技術革命中，中國車企正通過"雙安全標準"實踐，為全球自動駕駛安全樹立新標桿。