当辅助驾驶系统从实验室驶入错综复杂的真实道路,其安全边界便不再是清晰的代码与参数,而是一张由无数“如果”编织的风险之网。
预期功能安全(SOTIF)概念的诞生,正是为了界定这张网的经纬:系统在无故障情况下,因性能局限或可预见误用而引发的风险,究竟该由谁、以何种方式负责?
然而,当前业界对SOTIF核心目标的认知与实践,却暗藏着一场精巧的“责任切割”游戏。本文旨在刺破浮于表面的共识,以辛辣笔锋厘清SOTIF应瞄准的靶心,并质问那些被刻意忽视的“典型事故”何以在权威标准草案中神秘蒸发。
一、 SOTIF的核心目标:是弥补设计缺陷,还是筑起免责高墙?
SOTIF绝非安全问题的“垃圾回收站”。其核心目标必须旗帜鲜明:识别并降低由功能设计缺陷或性能局限性所引发的风险,且已发生的事故是验证这些缺陷、迭代安全体系最关键、最残酷的输入。 反之,一切试图将硬件失效、驾驶员违规乃至“极端不可预见”场景都塞入SOTIF范畴的论调,非但不能提升安全,反而会稀释其核心价值,成为企业推诿设计责任的烟幕弹。
靶心之内:设计缺陷的“原罪”
SOTIF必须覆盖的,是系统“智力”与“能力”层面的先天不足:
1. 功能设计缺陷:系统对合法、常规道路元素的“误判”与“无视”。例如,将静止障碍物误判为无关背景,对合理加塞车辆无响应,或是对环卫工人、扛树枝行人等特定姿态的交通参与者“视而不见”。这并非传感器一时“眼花”,而是算法认知模型的根本性缺陷。
2. 性能边界不足:在系统自己宣称的适用场景(如雨天、夜间)内,其性能未达到保障安全的最低要求。例如,在标称可工作的雨夜,识别精度大幅下降;或跟车距离标定得过近,以至于无法应对前车正常制动——即便这距离可能不符合某些法规的理想值(比如道交法实施条例要求的高速公路100m/50m跟车距离,绝大多数系统并未遵守),但只要在系统设计允许范围内发生了事故,就是性能标定的失败。
3. 场景覆盖缺失:大量已发生的悲剧场景,如施工区锥桶、无保护左转、静止作业的环卫工人、扛树枝/打伞行人,本就属于高概率的日常道路场景,却未被系统的“场景库”收录。这暴露了功能定义与验证场景的狭隘与脱离实际。
4. 人机交互失效:系统设计导致驾驶员无法准确理解车辆状态或未能有效接管。例如,接管提醒模糊、延迟或被轻易忽略;系统状态显示错误,让驾驶员误以为一切尽在掌控。这本质上是一种交互逻辑的设计失误。
靶心之外:别让SOTIF“背锅”
SOTIF不应是万能的托辞,以下事故应被坚决排除在其核心覆盖范围外:
1. 硬件失效类:摄像头突然“失明”、雷达“痴呆”、芯片“休克”、执行器“僵住”——这属于 “功能安全”(FuSa) 的经典领域,关乎硬件的可靠性、冗余与失效防护。
2. 人为操作类:驾驶员在系统明确要求接管时睡觉、分心、甚至酒驾;在明确禁用的路段(如城市普通街道)强行激活功能。这属于 “操作安全” 或用户教育、法律法规的范畴。试图用SOTIF覆盖此类行为,实则是向用户传递“系统总会兜底”的危险错觉,鼓励不当依赖。
3. 极端不可预见类:路面突然塌陷、行人毫无征兆地从视觉盲区飞身冲出、暴雪/沙尘暴/团雾瞬间完全遮挡一切传感器视线——这些场景已远远超出任何理性系统的设计运行域(ODD)。将它们纳入SOTIF,只会让标准变得遥不可及,沦为不切实际的空谈。
4. 外部恶意干扰:他人用强激光持续照射摄像头、故意遮挡雷达。这是蓄意破坏或罕见意外,而非系统设计能普遍预防的范畴。
简而言之,判断一起事故是否应触发SOTIF流程的终极试金石是:能否通过优化系统设计(算法、标定、交互逻辑、场景库)来避免同类事故再次发生? 若能,则是SOTIF不可推卸的责任;若否,则应交由其他安全体系或社会规则处理。
二、 何种事故血迹,应成为SOTIF的进化图谱?
基于上述原则,我们可以绘制一幅更清晰、更具操作性的SOTIF事故覆盖图谱:
聚焦争议案例:撞上扛树枝行人、静止环卫工人,SOTIF该当何罪?
结论是尖锐的:在绝大多数情况下,这类事故应被SOTIF覆盖。 核心判据无外乎:1. 场景是否在ODD内? 如果事故发生在系统宣称适用的高速公路、城市快速路甚至城区道路上,答案通常是肯定的。
2. 是否存在设计局限? EDR数据往往能证明:系统是否未能有效识别这些目标?识别后决策模块是否错误地将其归类为无需响应的背景?控制模块是否未能及时制动或避让?
3. 能否通过设计优化规避? 显然可以。通过算法升级以更好识别非标准姿态行人、扩充场景库包含此类目标、优化AEB触发策略等,完全有可能避免悲剧重演。若同时满足以上三点,这就是一起典型的、应由SOTIF机制负责迭代优化的设计缺陷事故。将之排除在外,无异于对生命与技术进步的集体漠视。三、 L2强标公开征求意见稿的“选择性失明”:是能力不足,还是刻意回避?正是在此背景下,审视《智能网联汽车 组合驾驶辅助系统安全要求》强制性国家标准(公开征求意见稿)的附录C(SOTIF建议考虑场景),便生出一种深切的疑惑与不安。
草案中列举了若干事故场景,如某车型在施工区域的事故、某车型对静止车辆后方行人漏触发的事故,这显示了起草组对部分问题的关注。
然而,近年来在行业内外部引起巨大震动、并极具代表性的“某车型撞死扛树枝行人”和“某车型撞伤静止环卫工人”事故,却在附录中踪迹全无。 这绝非无足轻重的遗漏。它迫使我们直面三个令人不快的诘问:
1. 是起草组技术能力有限,未能识别这些轰动社会的典型SOTIF相关事故? 若果真如此,其权威性与专业性何在?其对行业前沿安全案例的跟踪与理解,是否已严重脱节?
2. 是起草组识别了,但经过“专业”判断,认为这些事故不属于SOTIF应覆盖的场景? 这更令人担忧。如果连如此清晰的设计缺陷案例(在ODD内、可被感知优化避免)都被排除在SOTIF之外,那么整个标准对于“预期功能安全”的定义与范围是否发生了根本性的、危险的偏离?这是在为企业的设计缺陷开具“免罪证明”。
3. 是起草组识别了,也认可其属于SOTIF范畴,但出于“平衡行业利益”、“照顾特定企业感情”或“避免标准过于严苛”等非技术考量,而选择了战略性沉默? 如果猜测属实,这便不是技术标准的制定,而是一场关乎利益分配的妥协。安全,尤其是关乎公共道路生命的安全,其标准的底线容不得丝毫交易与退让。
无论原因为何,这种在权威标准草案中的“选择性呈现”,都向行业释放了一个极其错误的信号:某些鲜血换来的教训,可以被忽略、被淡化、被排除在强制性的安全改进框架之外。这非但不能促进SOTIF理念的落地,反而会助长企业逃避核心设计责任的侥幸心理,让SOTIF沦为一纸避重就轻、华而不实的空文。
结语
SOTIF的本意,是驱使我们将技术的聚光灯照向自身设计的黑暗角落,用已发生的事故作为最严厉的考官,逼迫系统在智能上实现真正的进化。
它要求我们坦承:机器目前仍是“有局限的智能”,而弥补这种局限,是开发者不可推卸的原生责任。任何模糊这一靶心、将责任向外稀释的行为,都是对技术进步与生命尊严的双重背叛。
当强制性标准草案都对某些触目惊心的案例讳莫如深时,我们不禁要问:我们究竟是在认真构筑安全的未来,还是在精心设计一场关于责任的罗生门?安全标准的公信力,始于对每一个本可避免的生命逝去的直面与铭记。
作者:打不死的小强
来源:汽车测试网
作者:打不死的小强
