近日，馭勢而上，安全先行——新能源汽車智能安全創(chuàng)新論壇暨SASETECH2025年度峰會(huì)圓滿結(jié)束。磐時(shí)信息技術(shù)預(yù)期功能安全專家周堂瑞先生受邀并以《SOITF應(yīng)用實(shí)踐：與開發(fā)及數(shù)據(jù)的結(jié)合》為題，在“駛向全場景安全：智駕系統(tǒng)的實(shí)踐探索與合規(guī)”環(huán)節(jié)展開演講，提出針對 SOTIF 落地脫節(jié)與數(shù)據(jù)支撐不足問題的解決方案。

峰會(huì)現(xiàn)場 /周堂瑞先生

SOTIF落地的核心困境

隨著 L2 強(qiáng)標(biāo)《智能網(wǎng)聯(lián)汽車組合輔助駕駛系統(tǒng)安全要求》附錄 C 的發(fā)布，SOTIF 已從企業(yè)可選工作變?yōu)榉ǘㄒ?，涵蓋文檔合規(guī)、驗(yàn)證確認(rèn)、場地測試等多項(xiàng)硬性指標(biāo)，推動(dòng)行業(yè)從流程建設(shè)向?qū)嶋H落地轉(zhuǎn)型。但在與客戶的合作中，我們發(fā)現(xiàn)當(dāng)前 SOTIF 實(shí)踐普遍面臨兩大核心痛點(diǎn)。

1

SOTIF 工作與開發(fā)流程嚴(yán)重脫節(jié)。很多企業(yè)的 SOTIF 介入時(shí)機(jī)過晚，往往在產(chǎn)品軟件、智駕方案基本確定后才啟動(dòng)安全分析，導(dǎo)致提出的需求要么已被開發(fā)團(tuán)隊(duì)解決（缺乏實(shí)際意義），要么因傳感器選型、算法方案固化而無法落地，反而成為效率開發(fā)的阻礙。同時(shí)，開發(fā)階段的改進(jìn)、測試結(jié)果與 SOTIF 安全分析完全割裂，安全論證無法復(fù)用已有開發(fā)成功，形成 “兩張皮” 現(xiàn)象。

2

數(shù)據(jù)應(yīng)用未能支撐 SOTIF 深度落地。開發(fā)測試中的數(shù)據(jù)采集、處理多以開發(fā)需求為驅(qū)動(dòng)，未與 SOTIF 的風(fēng)險(xiǎn)評估、場景覆蓋相結(jié)合，既無法為危險(xiǎn)場景庫擴(kuò)展、風(fēng)險(xiǎn)量化提供有效輸入，也未能通過 SOTIF 分析指導(dǎo)數(shù)據(jù)回傳與處理策略，導(dǎo)致數(shù)據(jù)價(jià)值未能充分發(fā)揮。

SOTIF 與開發(fā)流程的體系化融合

要解決 SOTIF 與開發(fā)脫節(jié)的問題，核心是構(gòu)建“以整車開發(fā)流程為基礎(chǔ)”的 SOTIF 實(shí)施體系，實(shí)現(xiàn)安全活動(dòng)與開發(fā)活動(dòng)的全周期協(xié)同。我們在項(xiàng)目中形成了“五維度融合方案”，讓 SOTIF 真正融入開發(fā)全流程。

階段匹配：全周期介入，而非事后補(bǔ)充

SOTIF 絕非產(chǎn)品規(guī)劃定型后的 “附加工作”，而應(yīng)在產(chǎn)品規(guī)劃階段就同步介入，貫穿規(guī)范定義、設(shè)計(jì)開發(fā)、驗(yàn)證確認(rèn)全流程。我們會(huì)明確 SOTIF 活動(dòng)在整車開發(fā)各階段的對應(yīng)節(jié)點(diǎn)，確保安全要求從源頭嵌入，避免后期 “亡羊補(bǔ)牢”。

責(zé)任劃分：明確接口，避免權(quán)責(zé)模糊

SOTIF 涉及功能定義、系統(tǒng)開發(fā)、測試驗(yàn)證等多個(gè)環(huán)節(jié)，需清晰界定各開發(fā)團(tuán)隊(duì)的責(zé)任范圍與輸入輸出接口。例如在與OEM 客戶的體系項(xiàng)目中，在明確各部門在SOTIF 分析、測試、論證中的具體職責(zé)之外，我們會(huì)邀請各環(huán)節(jié)負(fù)責(zé)人都參與體系培訓(xùn)，了解各自分工。

迭代適配：匹配智駕敏捷開發(fā)模式

針對智駕領(lǐng)域的敏捷開發(fā)特性，我們在 SOTIF 實(shí)施流程中明確了迭代觸發(fā)機(jī)制 —— 并非開發(fā)的微小變化都需啟動(dòng) SOTIF 重分析，而是結(jié)合版本更新節(jié)奏，定期開展針對性分析，既保障安全覆蓋，又不影響開發(fā)效率。

測試協(xié)同：打通測試結(jié)果與安全論證的鏈路

SOTIF 的核心不僅在概念階段，部件及系統(tǒng)級(jí)測試結(jié)果也是安全論據(jù)的重要組成。我們會(huì)幫助客戶建立測試節(jié)點(diǎn)與 SOTIF 驗(yàn)證確認(rèn)的對應(yīng)關(guān)系，明確哪些測試結(jié)果可直接用于安全論證，實(shí)現(xiàn)測試資源的高效復(fù)用。

運(yùn)行階段：建立全生命周期責(zé)任體系

在運(yùn)行階段，我們重點(diǎn)破除“SOTIF 是新增工作”的認(rèn)知誤區(qū)。實(shí)際上，SOTIF 無需單獨(dú)建設(shè)數(shù)據(jù)鏈路，而是通過結(jié)構(gòu)化組織現(xiàn)有鏈路及數(shù)據(jù)資源，形成系統(tǒng)的安全論證體系。明確售后、整車、智駕等部門的責(zé)任，建立問題分類機(jī)制 —— 將運(yùn)行中發(fā)現(xiàn)的問題精準(zhǔn)界定為功能安全、信息安全或預(yù)期功能安全問題，確保高效閉環(huán)。

此外，體系融合已成為行業(yè)趨勢。我們以 ASPICE 為基礎(chǔ)，構(gòu)建了功能安全、預(yù)期功能安全、ASPICE三體系融合方案：包含ASPICE 除機(jī)器學(xué)習(xí)外的全部過程，功能安全除生產(chǎn)、運(yùn)營等外的核心內(nèi)容，SOTIF 全部過程，通過管理手冊、操作指南、模板檢查單等工具，實(shí)現(xiàn)融合流程的落地。

SOTIF 與數(shù)據(jù)閉環(huán)的雙向驅(qū)動(dòng)

數(shù)據(jù)是 SOTIF 落地的核心支撐，二者構(gòu)成“雙向驅(qū)動(dòng)”關(guān)系 ——數(shù)據(jù)閉環(huán)為 SOTIF 提供基礎(chǔ)輸入，SOTIF為數(shù)據(jù)閉環(huán)提供方向指導(dǎo)，形成高效迭代的良性循環(huán)。

1

數(shù)據(jù)閉環(huán)賦能 SOTIF 深度落地：車端采集的感知數(shù)據(jù)、車輛狀態(tài)數(shù)據(jù)、地圖數(shù)據(jù)等，經(jīng)清洗預(yù)處理后，通過場景語義標(biāo)簽生成、參數(shù)提取等環(huán)節(jié)，為 SOTIF 分析提供三大核心支撐：一是擴(kuò)展觸發(fā)條件庫與危險(xiǎn)場景庫，二是為風(fēng)險(xiǎn)量化評估提供數(shù)據(jù)依據(jù)，三是驗(yàn)證安全接受準(zhǔn)則的合理性。我們通過自主開發(fā)的場景提取工具、未知場景挖掘工具等，實(shí)現(xiàn)靜態(tài) 及動(dòng)態(tài)語義信息、駕駛狀態(tài)信息的精準(zhǔn)提取，快速定位 SOTIF 相關(guān)的實(shí)測數(shù)據(jù)。

2

SOTIF 指導(dǎo)數(shù)據(jù)閉環(huán)精準(zhǔn)發(fā)力：SOTIF 分析為數(shù)據(jù)閉環(huán)提供明確的方向指引?；陲L(fēng)險(xiǎn)評估結(jié)果制定安全導(dǎo)向的數(shù)據(jù)回傳策略，明確哪些場景需要優(yōu)先回傳數(shù)據(jù)；將安全接受準(zhǔn)則作為測試驗(yàn)證的核心評價(jià)指標(biāo)；通過觸發(fā)條件與危險(xiǎn)場景定義，提升場景庫覆蓋度。例如，我們會(huì)將感知目標(biāo)丟失、多車復(fù)雜交互、特殊天氣路況等場景設(shè)為數(shù)據(jù)回傳觸發(fā)點(diǎn)，確保采集的數(shù)據(jù)精準(zhǔn)服務(wù)于安全驗(yàn)證。

3

工具鏈支撐全流程高效運(yùn)轉(zhuǎn)：我們構(gòu)建了覆蓋“數(shù)據(jù)獲取 - 處理 - 管理 - 應(yīng)用”的全流程工具鏈：車端采集與航拍數(shù)據(jù)互補(bǔ)，通過場景庫管理工具實(shí)現(xiàn)場景分類編碼與篩選，借助安全評估模型開展風(fēng)險(xiǎn)量化，利用仿真加速測試工具替代部分實(shí)車?yán)锍虦y試。同時(shí)打通數(shù)據(jù)管理平臺(tái)、標(biāo)注平臺(tái)、訓(xùn)練平臺(tái)、仿真平臺(tái)與實(shí)車平臺(tái)，實(shí)現(xiàn)從場景挖掘、算法訓(xùn)練到測試驗(yàn)證的閉環(huán)運(yùn)轉(zhuǎn)。

4

場景泛化與觸發(fā)條件積累：基于實(shí)車數(shù)據(jù)，我們應(yīng)用多種參數(shù)概率分布模型，批量生成符合真實(shí)規(guī)律的測試場景，有效降低實(shí)車測試成本；通過智能背景車模型構(gòu)建復(fù)雜交通環(huán)境，實(shí)現(xiàn)未知場景的高效挖掘。同時(shí)，我們已積累豐富的觸發(fā)條件庫，通過組合分析擴(kuò)展新場景，并基于實(shí)車數(shù)據(jù)統(tǒng)計(jì)觸發(fā)條件暴露率，為殘余風(fēng)險(xiǎn)接受準(zhǔn)則的制定提供科學(xué)依據(jù)。

安全從 “口號(hào)” 到 “可驗(yàn)證結(jié)論”

總結(jié)來看，SOTIF 在企業(yè)的落地核心實(shí)現(xiàn)了三大價(jià)值。

滿足法規(guī)底線要求

這是最基礎(chǔ)的目標(biāo)，通過文檔合規(guī)、場景測試、驗(yàn)證確認(rèn)等工作，確保產(chǎn)品符合 L2 強(qiáng)標(biāo)等法規(guī)要求，順利通過審核。

構(gòu)建系統(tǒng)化安全論據(jù)

SOTIF 并非新增額外工作，而是將開發(fā)過程中已有的測試數(shù)據(jù)、策略輸出、問題記錄等結(jié)構(gòu)化組織起來，形成完整的安全論據(jù)體系，讓開發(fā)團(tuán)隊(duì)清晰看到安全要求的落地情況，實(shí)現(xiàn)“查漏補(bǔ)缺” 與 “成果沉淀”。

實(shí)現(xiàn)安全的迭代繼承

讓數(shù)據(jù)不僅服務(wù)于當(dāng)下開發(fā)，更成為不斷積累的安全支柱。通過持續(xù)挖掘未知場景、更新觸發(fā)條件庫，讓安全能力隨產(chǎn)品迭代不斷繼承復(fù)用，真正實(shí)現(xiàn)“安全與開發(fā)同步進(jìn)化”。

智能網(wǎng)聯(lián)汽車的安全之路，需要流程與實(shí)踐的深度融合，更需要數(shù)據(jù)與技術(shù)的持續(xù)賦能。我們希望通過 SOTIF 與開發(fā)、數(shù)據(jù)的閉環(huán)融合，讓安全不再成為智能出行的束縛，真正實(shí)現(xiàn)“讓智能時(shí)代不受安全所困”的愿景。