在ASPICE框架下落地预期功能安全（ISO 21448），需将SOTIF的核心流程与ASPICE的过程域深度融合，通过标准化流程、量化管理和持续改进机制，

系统性地解决智能驾驶系统在复杂场景、性能边界及可预见误用等场景下的安全风险。 

一、框架融合：以ASPICE为骨架，嵌入SOTIF核心流程

1. 过程域对齐
   ASPICE的V模型（如系统需求分析、系统架构设计、软件实现、测试验证等过程域）与ISO 21448的SOTIF流程（场景识别、风险评估、安全措施设计、验证确认）存在天然契合点。例如：

• 系统需求分析（SYS.2）：需明确SOTIF相关项定义，包括功能边界、运行条件（ODD）及可预见误用场景。

• 系统架构设计（SYS.3）：需嵌入安全机制设计，如冗余传感器布局、算法容错策略，以应对性能局限或环境干扰。

• 软件集成测试（SWE.6）：需覆盖SOTIF场景库，通过仿真测试（如SCANeR Studio）和实车测试（如VaHIL平台）验证系统在未知场景下的残余风险。

2. 双向追溯性强化
   ASPICE强调需求与测试的双向追溯性，SOTIF则要求从场景识别到风险管控的全链条可追溯。例如：

• 在需求阶段，需将SOTIF风险（如暴雨导致传感器失效）转化为可验证的安全需求（如“系统需在雨量≥50mm/h时触发降级模式”）。

• 在测试阶段，需通过量化指标（如驾驶员接管成功率、最小风险状态达成率）验证安全措施的有效性。

二、关键流程落地：从场景识别到风险管控

1. 场景库构建与分类

• 已知-安全场景（Area 1）：通过历史数据和仿真测试覆盖，确保系统行为符合预期。

• 已知-不安全场景（Area 2）：通过安全机制设计（如冗余算法、权限移交）降低风险。

• 未知-不安全场景（Area 3）：通过海量路采数据分析和长期测试（如SOTIF未知场景车队测试）逐步识别，并动态更新安全措施。

• 未知-安全场景（Area 4）：作为优化目标，通过持续改进缩小其比例。

2. 风险评估与双层接受准则

• 危害行为接受准则：判断车辆行为是否属于危害行为（如突然急刹导致后车追尾）。

• 残余风险接受准则：针对不满足危害行为接受准则的行为，评估其残余风险是否处于合理水平（如AEB误触发频率≤1次/10万公里）。

3. 验证与确认策略

• 仿真测试：使用SCANeR Studio等工具构建复杂场景（如强逆光、道路施工），验证系统在极端条件下的性能。

• 实车测试：通过VaHIL平台连接实际ECU/传感器，在真实环境中验证SOTIF措施的有效性。

• 数据驱动优化：基于海量路采数据（如特斯拉的影子模式），持续更新场景库和风险模型。

三、工具链支持：标准化与自动化并重

1. 需求管理工具
   使用IBM DOORS或Polarion管理SOTIF相关需求，确保需求可追溯、可验证。例如：

• 将“系统需在雨量≥50mm/h时触发降级模式”需求链接至测试用例（如“模拟暴雨场景，验证系统是否在10秒内进入降级模式”）。

2. 测试自动化工具
   采用VectorCAST或LDRA Testbed实现测试自动化，覆盖单元测试、集成测试和系统测试。例如：

• 通过自动化脚本模拟传感器故障，验证系统是否按设计触发安全降级。

3. 配置管理工具
   使用Git或SVN管理代码版本，确保变更可追溯。例如：

• 记录算法优化对SOTIF性能的影响（如“更新目标检测算法后，误识别率降低20%”）。

四、组织与文化转型：从流程合规到安全基因

1. 独立安全团队与一票否决权

• 成立独立的安全委员会，直属于CEO，负责功能安全、信息安全和SOTIF的统筹管理。

• 在项目关键节点（如需求评审、测试放行）赋予安全团队一票否决权，确保安全优先。

2. 全员安全意识培训

• 将SOTIF理念融入企业文化，通过案例分享（如特斯拉Autopilot事故）强化团队对“无故障不等于安全”的认知。

• 定期开展SOTIF专项培训，提升工程师对复杂场景和误用场景的识别能力。

3. 持续改进机制

• 基于ASPICE的持续改进过程域（PIM.5），建立SOTIF闭环优化机制。例如：

• 每月分析测试数据，识别高频风险场景（如“隧道出口强光导致摄像头过曝”），并迭代安全措施。

五、案例验证：上汽大众的双认证实践

上汽大众通过深度整合ASPICE与ISO 21448，构建了覆盖全生命周期的SOTIF开发体系：

• 流程层面：将SOTIF场景识别、风险评估和验证确认嵌入ASPICE的V模型，确保每个过程域均符合SOTIF要求。

• 工具层面：采用SCANeR Studio进行仿真测试，通过VaHIL平台实现实车与虚拟环境的联动验证。

• 组织层面：成立独立的安全委员会，赋予安全团队一票否决权，确保SOTIF措施的有效落地。

该实践使其获得ISO 26262 ASIL-D和ISO 21448双认证，标志着其智能驾驶系统在功能安全与预期功能安全领域均达到国际领先水平。

推荐阅读：

亚远景-ASPICE在供应链管理中的角色：如何利用标准评估和选择供应商

亚远景-ASPICE过程参考模型（PRM）解析与应用

亚远景-从仿真测试到实车验证：ISO/PAS 8800 的测试策略

亚远景-配置管理与ASPICE评估的契合点分析

亚远景-ASPICE评估：汽车软件开发过程评估的方法与经验总结

亚远景-ISO/PAS 8800与全球汽车AI监管趋同下的中国企业合规策略与技术适配

推荐服务：

点击查看亚远景ASPICE咨询、评估、“认证”、培训服务

点击查看亚远景ISO26262咨询、认证、培训服务

点击查看亚远景ASPICE、ISO26262培训课程

点击查看亚远景ASPICE、ISO26262实施工具-APMS研发过程管理平台