从ISO 21448到工程实践：构建自动驾驶预期功能安全的“场景-验证”闭环

1. 从标准到实践：SOTIF为何成为自动驾驶的安全基石

第一次听说SOTIF这个概念时，我正在参与一个L3级自动驾驶项目。当时团队遇到一个棘手问题：在暴雨天气下，毫米波雷达的误报率突然飙升，导致车辆频繁误刹车。这个案例让我深刻理解了ISO 21448标准的价值——它解决的正是这种"系统没坏但就是不好用"的安全隐患。

**SOTIF（预期功能安全）**与传统功能安全有着本质区别。打个比方，功能安全关注的是"手机不会突然爆炸"，而SOTIF解决的是"微信视频通话时为什么总是卡顿"。在自动驾驶领域，这种区别尤为关键：

• 功能安全（ISO 26262）：确保电子电气系统故障时仍能安全运行
• 预期功能安全（ISO 21448）：处理传感器误判、算法缺陷等非故障类问题

去年某车企的自动泊车系统在识别斜向车位时频繁失误，就是典型的SOTIF问题。系统硬件完全正常，但车位检测算法在特定角度下会产生误判。这类场景正是ISO 21448标准重点关注的领域。

2. 场景分类：构建自动驾驶的"风险地图"

在工程实践中，我们采用标准提出的"四象限"场景分类法。这个方法就像给自动驾驶系统绘制一张风险地图：

2.1 已知安全场景（已验证无风险）

这类场景就像考驾照时的"科目二"——所有情况都在可控范围内。例如：

• 晴天日间高速公路跟车
• 结构化道路上的车道保持

处理这类场景的关键是建立基准测试集。我们团队会记录传感器原始数据、控制指令等完整信息，作为后续迭代的参照基准。

2.2 已知不安全场景（需设计消除）

这里藏着自动驾驶开发的"明雷"。比如：

• 隧道出入口的光照突变
• 低矮三角锥的识别
• 暴雨天气下的水花干扰

对于这些场景，我们采用"设计消除+专项验证"的策略。最近一个项目就在毫米波雷达上增加了多普勒滤波算法，有效解决了路面积水反射的误判问题。

2.3 未知不安全场景（需测试探索）

这才是真正的挑战所在。去年我们遇到一个典型案例：某款激光雷达在特定角度的冰晶反射下会产生"幽灵障碍物"。这种场景在实验室根本想象不到，直到在黑龙江冬季测试时才暴露出来。

应对这类场景，我们建立了异常场景挖掘流程：

1. 通过影子模式收集corner case
2. 使用对抗生成网络(GAN)创造极端场景
3. 在仿真环境中进行压力测试

2.4 未知安全场景（无需干预）

这类场景就像普通人不会专门练习"如何在月球表面开车"。但要注意的是，随着技术发展，今天的未知安全场景可能明天就会变成需要关注的对象。

3. 工程闭环：从场景库到验证落地

3.1 场景库构建实战

好的场景库就像一本精心编写的习题集。我们团队采用分层建设方法：

• 基础层：法规标准场景（如NCAP测试项）
• 扩展层：自然驾驶数据提取的典型场景
• 专项层：针对特定风险的强化场景

最近我们开发了一个自动化工具链，能够从路测视频中自动提取交通参与者轨迹、环境特征等信息，生成仿真可用的场景文件。这个工具使场景构建效率提升了60%。

3.2 仿真测试的"三重境界"

在SIL（软件在环）测试中，我们建立了分级验证体系：

1. 单元级：单个算法模块的鲁棒性测试
   • 例如往感知模型注入噪声数据
2. 系统级：完整软件栈的集成测试
   • 模拟传感器时序不同步等现实问题
3. 场景级：完整交通场景的闭环测试
   • 包含其他交通参与者的交互行为

HIL（硬件在环）测试则更接近真实环境。我们曾发现一个有趣的问题：某型号摄像头在实验室表现完美，但在HIL台架上却出现帧丢失。最后查明是电源模块的电磁干扰导致。

3.3 路测数据回流机制

实车测试的价值无法替代。我们采用"三明治"式数据采集策略：

• 常规数据：所有测试里程的基础日志
• 触发数据：特定条件下的增强记录（如急刹车时）
• 专项数据：针对验证目标的定制采集

最近一次路测中，我们通过数据分析发现了一个潜在风险：在特定角度的夕阳照射下，视觉里程计会出现累计误差。这个发现直接促成了多传感器融合算法的优化。

4. 持续迭代：构建活的安全体系

4.1 运营阶段的数据金矿

车辆上市只是开始。我们建立的"用户反馈-数据分析-场景更新"闭环已经产生了巨大价值。例如通过OTA升级收集的数据，我们发现：

• 某地区特有的异形交通标志容易导致误识别
• 特定品牌卡车的尾部结构会被误判为障碍物

这些发现都迅速转化为新的测试场景，纳入到后续车型的验证体系中。

4.2 人机交互的微妙平衡

HMI设计在SOTIF中常被忽视。我们总结出几个关键原则：

• 状态可知：让用户清楚系统在做什么
• 能力透明：明确告知系统限制
• 接管友好：预留足够的反应时间

曾有个案例：某车型的自动驾驶退出提示过于隐蔽，导致多次险情。后来我们将提示方式改为"视觉+听觉+触觉"三重反馈，问题得到根本解决。

4.3 工具链的自我进化

随着项目深入，我们逐步搭建了完整的工具生态系统：

• 场景生成器：支持参数化场景编辑
• 自动化测试平台：可批量执行回归测试
• 数据分析看板：实时监控测试进展

这个系统最近刚帮助我们发现了毫米波雷达在金属护栏场景下的多径干扰问题。通过工具自动生成的测试用例，工程师们快速验证了解决方案的有效性。

在自动驾驶行业摸爬滚打这些年，我越来越认识到：安全不是某个阶段的检查项，而是需要融入开发全过程的DNA。每次看到团队通过场景-验证闭环发现并解决一个潜在风险，都让我对这项技术的未来多一分信心。毕竟在安全这件事上，再多的谨慎都不为过。