最新资讯
ISO 8800与SOTIF通过覆盖AI系统全生命周期安全管理与功能不足风险防控,形成自动驾驶安全评估的双重保障体系。
ISO 8800聚焦AI系统安全框架,SOTIF针对功能不足与场景触发条件,二者在技术目标、流程设计、数据管理、验证方法及持续监控等维度互补协同,共同提升自动驾驶系统的安全性与可靠性。
具体协同机制如下:
ISO 8800:AI系统安全的全生命周期框架
AI安全生命周期:包括需求定义、系统设计、数据管理、安全验证、风险缓解等阶段。
数据质量管控:强调训练数据的多样性、无偏性和可追溯性,通过数据清洗工具(如Google Cloud Data Fusion)确保数据可靠性。
持续监控与更新:部署后实时监控系统输出(如传感器数据异常),并基于新场景数据重新训练模型(如冬季路面识别优化)。
定位:针对自动驾驶中AI系统的安全性,提供从需求定义到持续监控的全生命周期管理框架。
核心内容:
案例:某智能网联汽车制造商通过ISO 8800标准,采用冗余传感器设计和异常输入检测机制,显著提升系统鲁棒性。
SOTIF:功能不足与场景触发的风险防控
危害分析与风险评估:通过双层接受准则(行为危害性、残余风险可接受性)评估功能不足的触发条件(如暴雨导致传感器失效)。
系统优化与改进:采取功能限制(如低能见度时限制自动驾驶功能)、权限移交(接管提示)等措施降低风险。
未知场景覆盖:依赖长期实车测试和大数据分析,确保残余风险可控(如百万公里路测发现小概率危险场景)。
定位:补充ISO 26262,解决自动驾驶系统因功能不足或人为误用导致的安全风险。
核心内容:
案例:特斯拉和Uber自动驾驶事故表明,仅靠避免系统故障不足以保障安全,需通过SOTIF防范功能不足风险。
需求定义阶段
ISO 8800:明确AI系统的功能边界和安全目标(如“自动驾驶系统在极端天气下的安全停车”)。
SOTIF:定义系统功能、性能局限及触发条件(如传感器在低光照条件下的探测范围限制)。
协同效果:确保AI系统设计初期即考虑功能不足风险,避免后期补救成本。
系统设计与验证阶段
ISO 8800:选择AI技术(如深度学习)、设计数据采集流程,并通过仿真测试验证模型性能。
SOTIF:通过场景覆盖分析(如corner cases)识别潜在风险,并采用冗余设计(如多传感器融合)提升系统可靠性。
协同效果:结合AI安全验证与功能不足分析,形成覆盖技术实现与场景应用的双重验证。
持续监控与改进阶段
ISO 8800:部署后实时监控系统输出,通过OTA更新推送优化后的模型版本(如改进夜间感知能力)。
SOTIF:收集实际使用中的SOTIF事件(如误触发案例),建立问题闭环管理流程(检测→分析→修复→验证)。
协同效果:通过动态监控与迭代优化,确保系统长期安全性。
数据管理工具
ISO 8800:推荐使用数据清洗工具(如Google Cloud Data Fusion)和标注平台(如Label Studio),确保训练数据质量。
SOTIF:依赖大数据分析覆盖未知场景,通过DSSAD(自动驾驶数据存储系统)记录车辆状态数据。
协同效果:标准化数据管理流程为功能不足分析提供高质量输入,提升安全验证的可靠性。
智能化分析工具
ISO 8800:采用形式化验证确保神经网络输出的确定性,建立AI组件安全档案(Safety Case)。
SOTIF:利用AI和LLM分析历史事故报告,提取传统方法可能忽略的潜在危害(如非结构化数据中的风险信号)。
协同效果:智能化工具提升安全分析效率,降低人为误判风险。
企业部署现状
主机厂与供应商:长城汽车、一汽红旗等二十余家企业已部署SOTIF流程,博世、英伟达等供应商推出AI安全解决方案(如博世AI Safety机制、英伟达NVIDIA Halos系统)。
标准认证:2024年中国企业通过功能安全认证134项,其中52项为产品认证,显示行业对安全标准的重视程度持续提升。
未来发展方向
AI与SOTIF融合:利用机器学习优化场景预测,减少未知风险(如通过生成式AI模拟极端场景)。
跨行业协作:汽车厂商、芯片供应商、监管部门共建SOTIF生态,推动数据共享与标准统一(如自动驾驶场景库联盟)。
标准化工具开发:推广SOTIF公开课、AI安全检测实验室等最佳实践,降低企业合规成本。
推荐阅读:
亚远景-“过度保守”还是“激进创新”?ISO/PAS 8800的99.9%安全阈值之争
亚远景-ISO 26262与ISO 21434:汽车安全标准的入门指南
亚远景-从事故案例看ISO 26262与ISO 21434的重要性
从ISO 26262到ISO 8800:汽车功能安全标准的AI时代演进
推荐服务:
点击查看亚远景ASPICE、ISO26262实施工具-APMS研发过程管理平台
