从传统驾驶迈向自动驾驶的过程中,汽车的安全标准体系也经历了一场深刻的演进。ISO 26262 作为汽车功能安全的基石,其边界与延伸清晰地反映了这一技术变革。
ISO 26262(功能安全)的核心使命是解决由系统或组件故障引发的安全风险。它不关心系统“会不会开车”,只关心“系统坏了会不会出大事”。
专注点:预防或减轻硬件和软件故障带来的影响。
典型场景:传感器突然失效、ECU死机、软件异常重启、通信中断等。
核心要求:确保关键功能(如制动、转向)不会无声失效,防止单点故障导致灾难,并在出问题时能进入预设的安全状态(如限制功能或请求接管)。
简单来说,ISO 26262 确保了自动驾驶系统具备“不出错”或“出错后能兜底”的底线能力。它是自动驾驶必须站稳的“地板”,而非“天花板”。
随着自动驾驶技术的发展,一个致命的问题暴露出来:即使系统没有任何故障,它也可能因为“不够聪明”或“能力边界”而引发危险。
例如,摄像头将白色卡车误识别为白云,或算法在极端天气下无法识别横穿的行人。这类问题不属于“故障”,而是系统设计的“功能不足”或“性能局限”。为了填补这一空白,ISO 21448(预期功能安全,SOTIF) 应运而生,成为 ISO 26262 的重要延伸和补充。
专注点:解决在无硬件或软件故障的情况下,由系统功能不足、性能局限或可合理预见的人员误用引发的风险。
典型场景:传感器在强光下误判、AI算法对罕见场景决策失误、环境感知不足等。
核心方法:通过系统化的场景分析、验证与确认(V&V)流程,识别并缓解“已知不安全”和“未知不安全”的场景,将风险降至可接受水平。
在成熟的自动驾驶安全体系中,ISO 26262 与 SOTIF 并非替代关系,而是互补关系:
ISO 26262:防系统“失控”(防故障)。
SOTIF (ISO 21448):防系统“误判”(防能力不足)。
两者共同构成了现代智能驾驶系统的核心安全框架。此外,随着人工智能在自动驾驶中的深度应用,新的标准如 ISO/PAS 8800(道路车辆人工智能安全)也在制定中,专门针对AI系统的不确定性和数据依赖特性提供安全开发指南,进一步完善了整个标准体系。
总而言之,从传统驾驶到自动驾驶,安全标准从单一的“防故障”(ISO 26262)延伸到了“防误判”(SOTIF)乃至“防AI不确定性”(ISO/PAS 8800),这标志着汽车安全正迈向一个更加系统化、场景化和智能化的新阶段。
推荐阅读:
亚远景-拒绝“为了评估而评估”:如何让 ASPICE 真正融入日常开发?
亚远景-ASPICE在供应链管理中的角色:如何利用标准评估和选择供应商
亚远景-从仿真测试到实车验证:ISO/PAS 8800 的测试策略
亚远景-ASPICE评估:汽车软件开发过程评估的方法与经验总结
推荐服务:
点击查看亚远景ASPICE、ISO26262实施工具-APMS研发过程管理平台
要不要我帮你梳理一下这两项标准在自动驾驶开发流程中的具体落地方式?比如如何从场景分析到验证测试一步步走下来。
