什么是 ISO/PAS 8800?
ISO/PAS 8800 的全称是 《道路车辆 自动驾驶系统安全预期功能(SOTIF)》。
它是一个由国际标准化组织发布的 公开可用规范。请注意,它不是一个正式的“国际标准”,而是一个“规范”。这通常意味着它是在该领域技术快速发展时期,为了提供及时指导而发布的先行文件,未来可能会演进成为正式的ISO标准。
该文件的核心目的是为汽车行业,特别是高级别自动驾驶系统,解决 “预期功能安全” 问题。
核心概念:什么是 SOTIF?
要理解 ISO/PAS 8800,首先必须理解 SOTIF。
SOTIF 的典型场景:
-
感知局限:
-
决策算法局限:
-
性能局限:
这些情况下的风险,都不是因为硬件故障,而是因为系统的预期功能本身存在性能边界和局限性。SOTIF 就是要识别、评估和减少这类风险。
ISO/PAS 8800 的主要内容
该文件为SOTIF的工程实践提供了一个完整的生命周期框架,主要包括四个关键阶段:
1. 定义(Definition)
2. 识别和评估(Identification and Evaluation)
-
识别已知不安全场景: 通过分析、测试、仿真等手段,找出所有已知的会导致系统表现不佳的场景(例如,上述的强光、特殊障碍物等)。
-
识别未知不安全场景: 通过系统化的方法(如基于关键要素的变化)去探索和发现那些尚未知晓的危险场景。
-
评估风险: 对识别出的场景进行风险评估,确定其严重程度和发生概率。
3. 功能改进与验证(Function Modification and Verification)
4. 确认(Validation)
这个过程可以概括为一个经典的SOTIF四象限模型(虽然ISO/PAS 8800本身可能不直接使用这个图,但思想一致):
SOTIF工作的目标就是不断 缩小区域2和区域3。
为什么 ISO/PAS 8800 如此重要?
-
填补安全法规空白: 随着自动驾驶等级提升,单纯依靠ISO 26262(功能安全)已无法覆盖所有风险。SOTIF填补了“无故障但不安全”这一关键空白。
-
建立行业共识: 它为全球汽车制造商、供应商和技术公司提供了一个统一的工程方法论和术语体系,避免了各家自搞一套,有利于技术交流和供应链整合。
-
提升公众信任: 通过系统化的SOTIF流程,可以向监管机构和公众证明,自动驾驶系统经过了远超传统汽车的严格安全评估,有助于建立社会对这项新技术的信心。
-
应对法规要求: 世界多国(如欧盟、中国)正在将SOTIF原则纳入其智能网联汽车的准入法规中。遵循ISO/PAS 8800是满足这些法规要求的重要途径。
与 ISO 26262 和 ISO 21448 的关系
-
ISO 26262(功能安全): 解决“故障”导致的安全问题。它与SOTIF是互补关系,共同构成了自动驾驶系统的完整安全体系。一个系统必须同时满足功能安全和预期功能安全的要求。
-
ISO 21448(SOTIF): 这是 ISO/PAS 8800 的正式标准版本。ISO/PAS 8800是先行文件,其核心内容和技术框架已经被吸收并正式发布为 ISO 21448:2022。目前,行业内的主流参考标准是 ISO 21448。
总结
ISO/PAS 8800 是自动驾驶安全领域的一个里程碑式的文件,它首次系统化地提出了解决 “预期功能安全” 的工程框架。虽然它已被正式的 ISO 21448 标准所取代,但其开创性的思想和核心流程被完整继承。理解ISO/PAS 8800/SOTIF,是理解当今高水平自动驾驶如何确保安全性的关键。
简单来说,它回答了一个核心问题:“我们如何确保一辆永远不会‘坏掉’的自动驾驶汽车,在面对真实世界的无限复杂性时,也不会因为‘犯傻’而出事故?”
颐卓咨询管理集团-广州总部
总部地址:广州市海珠区琶洲数字科技产业园A15-2栋
联系方式:13622221264(张小姐)
邮 箱:eyzo@chinakec.com
公司官网:www.chinakec.com
集团分支机构:深圳、成都、重庆、佛山、东莞、长沙、武汉、北京、昆山、厦门等