道路車輛 預期功能安全編輯說明

《道路車輛預期功能安全》（征求意見稿）編制說明

《道路車輛預期功能安全》

（征求意見稿）編制說明

一、工作簡況

1、任務來源

根據國標委發(fā)【2020】48號文《國家標準化管理委員會關于下達2020年第三批推薦性

國家標準計劃的通知》，制定推薦性國家標準《道路車輛預期功能安全》（計劃項目編

號：20203970-T-339）。

2、目的和意義

自動駕駛汽車上日趨高度集成的電控系統(tǒng)因故障、功能局限、人機交互（HMI）誤用

而引發(fā)的人員傷亡等安全事故日益受到各方關注，其安全性依賴于電控系統(tǒng)對環(huán)境的正確

感知、復雜算法的正確處理及精確的執(zhí)行，隨著自動駕駛車輛中先進功能的數量大幅增

加，電控系統(tǒng)的集成度、復雜度越來越高，安全風險也日益凸顯。

多起車輛在處于自動駕駛模式下發(fā)生的事故表明，車輛安全問題不僅源于系統(tǒng)故障，

也來源于諸如感知系統(tǒng)不能正確識別目標場景，無法對環(huán)境做出正確響應；控制決策中功

能邏輯仲裁機制、算法不合理，導致決策出現(xiàn)問題；執(zhí)行過程中執(zhí)行機構的輸出與理想輸

出發(fā)生偏差，未做出正確控制。

GB/T34590-2017《道路車輛功能安全》為避免車輛電控系統(tǒng)因故障而導致車輛失

控、人員傷亡等事故風險，提出了電控系統(tǒng)在全生命周期（設計、開發(fā)、生產、運行、報

廢）內的功能安全要求，以避免或減輕這些風險。

對于自動駕駛車輛，除了需要避免GB/T34590-2017《道路車輛功能安全》中提到的

因系統(tǒng)故障而引起的安全風險，還應避免感知、決策、執(zhí)行過程中的功能不足、性能局

限，以及駕乘人員的誤用帶來的安全風險，這類非故障情況下因系統(tǒng)功能不滿足預期而導

致的安全風險就需要預期功能安全技術來解決題。制定預期功能安全標準對于解決和提升

自動駕駛車輛的安全性具有重要意義。

國家標準《道路車輛預期功能安全》在參考借鑒國際標準化組織ISO于2022年2月形成

的ISO21448的FDIS版本基礎上，基于我國國情和技術發(fā)展水平而制定的。與ISO21448的

FDIS版本相比：

1.完善了術語3.1。

2.新增了術語3.35。優(yōu)先度子集PrioritySubset。

3.新增了5.2章節(jié)中的注3。

4.新增了6.4章中的注5和注6。

5.新增了9.3章節(jié)的注3。

6.修改了9.3章節(jié)的表6。

1

《道路車輛預期功能安全》（征求意見稿）編制說明

7.新增了13.4章節(jié)的注釋6。

8.新增了13.5.2。

9.新增了附錄A.4。

10.新增了表B.6。

11.新增了D.5。

12.新增了D.6。

13.新增了附錄E。

3、主要工作過程

本項目任務下達后，全國汽車標準化技術委員會組織行業(yè)相關單位成立標準起草組，

確定中國汽車技術研究中心有限公司為牽頭單位。其他參與單位包括：一汽集團、華為、

商湯科技、一汽大眾、吉利汽車、法雷奧、泛亞、大眾中國、地平線、蔚來汽車、上汽商

用車、長城汽車、知行科技、東軟集團、上海機動車檢測、海拉、維寧爾、嘀嘀汽車、中

汽創(chuàng)智、大疆、集度汽車、聯(lián)電、廣汽、北汽新能源、恒潤、博世、理想汽車、襄陽達

安、蘇州耐世特等30余家企業(yè)。主要工作過程如下：

2019年12月，項目啟動預研，來自國內整車企業(yè)、系統(tǒng)供應商、軟硬件等20家企業(yè)的

32名代表參加會議，主要針對標準制定思路和框架進行了討論。

2020年3月-5月期間，召開起草組多次網絡會議，來自國內整車企業(yè)、系統(tǒng)供應商、軟

硬件等30余家企業(yè)的40名代表參加會議。

2020年5月28日，召開“道路車輛功能安全標準研究制定工作組第十三次會議”網絡會

議，會議介紹了本標準的起草進展情況及標準初步草案。

2020年5月28日，召開“道路車輛功能安全標準研究制定工作組第十三次會議”網絡會

議，會議介紹了本標準的起草進展情況及標準初步草案。

2021年12月21日，在天津市召開“道路車輛功能安全標準研究制定工作組第十四次會

議”，會議介紹了草案框架及主要內容，會議之后起草組將進一步完善草案，盡快形成起

草組草案并在工作組范圍內征求意見。

2022年1月-2月，起草組召開多次網絡會議，討論形成工作組草案，并在功能安全工作

組內征求意見。其中收到來自22家單位的62條修改意見，起草組召開了4次網絡會議進行了

逐條討論，其中采納32條，不采15條，部分采納15條，起草組按照以上修改意見，以及

GB/T1.1-2020的要求對標準草案進行了完善，于4月30日更新并形成了社會公開征求意見

稿。

二、國家標準編制原則和國家標準主要內容

1、編制原則

標準文本依據GB/T1.1-2020給出的規(guī)則起草。

2、主要技術內容

2

《道路車輛預期功能安全》（征求意見稿）編制說明

1)范圍

本標準提供了用于確保預期功能安全（SOTIF）的措施的通用論證框架和指南。預期功

能安全指不存在因預期功能不足引起的危害而導致不合理的風險，功能不足包括：

a.整車層面預期功能規(guī)范定義的不足，或

b.系統(tǒng)中電氣/電子要素實現(xiàn)的規(guī)范定義不足或性能局限。

本標準為實現(xiàn)和保持SOTIF所需的相關設計、驗證和確認措施以及在運行階段的活動提

供指導。

本標準適用于依靠復雜傳感器和處理算法進行態(tài)勢感知且感知的正確性會對安全產生

重要影響的預期功能，特別是緊急干預系統(tǒng)的功能和駕駛自動化等級為L1-L5的系統(tǒng)的相

關功能。

本標準適用于安裝在除輕便摩托車外的量產道路車輛上的包含一個或多個電氣/電子系

統(tǒng)的預期功能。

合理可預見的誤用屬于本標準的范圍。此外，如果遠程用戶對車輛的操作或協(xié)助、或與

可影響車輛決策的后臺間的通信，可能導致安全危害，也屬于本標準的范圍。

本標準不適用于：

—GB/T34590涵蓋的故障；

—信息安全威脅；

—因系統(tǒng)技術直接導致的危害（例如，激光雷達光束對眼睛造成的傷害）；

—與觸電、火災、煙霧、熱、輻射、毒性、易燃性、反應性、能量釋放等相關的危害

和類似的危害，除非危害是直接由電氣/電子系統(tǒng)的預期功能引起的；

—被視為功能濫用的、明顯違反系統(tǒng)預期用途的故意行為。

對于已具備成熟且可靠的設計及驗證和確認（V&V）措施的現(xiàn)有系統(tǒng)（例如，動態(tài)穩(wěn)定

性控制系統(tǒng)、安全氣囊）的功能，不在本標準的預期使用范圍。

2)預期功能安全活動概述和組織

b)關于預期功能安全活動的工作流程和使用本標準的指南；

c)關于預期功能安全活動管理和支持過程管理的指南。

3)規(guī)范定義和設計

a)規(guī)范定義和設計應包含充分的信息以開展SOTIF相關活動；

b)在SOTIF相關活動的每次迭代后，應根據要求對規(guī)范定義和設計進行更新。

4)危害的識別和評估

a)應系統(tǒng)地識別整車層面定義的預期功能所導致的危害。

b)應系統(tǒng)地識別和評估由預期功能的危害行為導致的風險，及危害行為可能導致危害

的相應場景。應定義預期功能的行為被視為不安全的情況下的參數。

c)應定義殘余風險的接受準則。

5)潛在功能不足和潛在觸發(fā)條件的識別與評估

a)應識別出潛在規(guī)范定義不足、潛在性能局限和包括合理可預見的直接誤用在內的潛

在觸發(fā)條件，并確定導致危害行為的來源。

3

《道路車輛預期功能安全》（征求意見稿）編制說明

b)應對系統(tǒng)的響應進行SOTIF可接受性評估。

6)修改功能以解決SOTIF相關風險

a)應確定并實施解決SOTIF相關風險的措施；

b)應更新“規(guī)范定義和設計”的輸入信息。

7)定義驗證和確認策略

a）應定義SOTIF的驗證和確認策略，包括確認目標，并應考慮：

1）對潛在危害場景的必要的評估；

2）對相關場景空間的充分覆蓋；

3）必要的證據（例如，分析結果、測試報告、專門調查）；

4）生成證據的過程。

b）應提供所選驗證和確認方法和確認目標的適用性理由。

8)已知場景的評估

a)對已識別出的潛在危害場景應評估其是否具有危害性；

b)對于已知危害場景和合理可預見的誤用，系統(tǒng)及其要素的功能表現(xiàn)應符合其定義

的方式；

c)對于由已定義的整車層面行為導致的潛在危害行為，應評估其可接受度；

d)根據驗證和確認策略，已知場景應被充分覆蓋；及

e)驗證結果應證明確認目標得到了滿足；

9)未知場景的評估

確認結果應證明來自未知危害場景的殘余風險滿足接受準則并具有足夠的置信度。

10)SOTIF成果的評估

a）應對SOTIF活動產生的工作成果的完整性、正確性和一致性進行評審。

b)應根據本標準各章的目的及相應工作成果的完成情況，為SOTIF的實現(xiàn)情況提供論

證；及

c）應對SOTIF的成果的論證進行評估，并提出批準或拒絕SOTIF發(fā)布的建議。

11)運行階段的活動

1)應在發(fā)布之前定義現(xiàn)場監(jiān)控流程，以確保運行期間的SOTIF；及

2)應執(zhí)行現(xiàn)場監(jiān)控流程，以保持運行階段的預期功能安全的實現(xiàn)。

12)附錄A給出了預期功能安全的通用指南

13)附錄B給出了場景和系統(tǒng)分析指南

4

《道路車輛預期功能安全》（征求意見稿）編制說明

14)附錄C給出了驗證和確認策略目的

15)附錄D給出了關于SOTIF特定方面的指南

D.1駕駛策略規(guī)范指導

D.2對機器學習的建議

D.3地圖預期功能安全的考慮

D.4V2X功能安全的考慮

D.5感知系統(tǒng)性能目標量化與常見傳感器性能局限舉例

D.6OTA更新的SOTIF考慮

16)附錄E風險接受準則示例。

三、主要試驗（或驗證）情況分析

本標準的技術內容在分析ISO21448FDIS、GB/T34590-XXXX等標準實際應用的基礎

上，根據我國汽車行業(yè)的特點和實際情況，制定本文件。為了做好此項工作，道路車輛功

能安全標準研究制定工作組廣泛地收集了國內、外有關標準及資料，調研國內外整車和系

統(tǒng)零部件企業(yè)、軟硬件企業(yè)以及通過開展起草組會議、工作組會議、研討交流的形式吸取

有益建議和意見，逐步完善標準草案。

四、標準中涉及專利的情況

本標準內容不涉及相關專利。

五、預期達到的社會效益等情況

針對依靠復雜傳感器和處理算法進行態(tài)勢感知且感知的正確性會對安全產生重要影響

的預期功能，特別是緊急干預系統(tǒng)的功能和駕駛自動化等級為L1-L5的系統(tǒng)的相關功能。

本標準提供了用于確保預期功能安全（SOTIF）的措施的通用論證框架和指南。為實現(xiàn)和保

持SOTIF所需的相關設計、驗證和確認措施以及在運行階段的活動提供指導。對于解決和提

升自動駕駛車輛的安全性具有重要意義。

六、采用國際標準和國外先進標準的情況

無。

七、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調性

無。

八、重大分歧意見的處理經過和依據

無。

九、標準性質的建議說明

本標準為推薦性國家標準。

十、貫徹標準的要求和措施建議

5

《道路車輛預期功能安全》（征求意見稿）編制說明

無。

十一、廢止現(xiàn)行相關標準的建議

無。

十二、其他應予說明的事項

無。

6

《道路車輛預期功能安全》（征求意見稿）編制說明

目次

一、工作簡況.........................................................................................................................1

二、國家標準編制原則和國家標準主要內容.....................................................................1

三、主要試驗（或驗證）情況分析.....................................................................................2

四、標準中涉及專利的情況.................................................................................................5

五、預期達到的社會效益等情況.........................................................................................5

六、采用國際標準和國外先進標準的情況.........................................................................5

七、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調性.................................................5

八、重大分歧意見的處理經過和依據.................................................................................5

九、標準性質的建議說明.....................................................................................................5

十、貫徹標準的要求和措施建議...................................