12.4 · 2026年8月 SOTIF与ODD场景工程执行包
精美HTML阅读版 · 保留完整内容 · 主题化辅助图
2026年8月SOTIF与ODD场景工程执行包
辅助图:SOTIF工程闭环
ODD边界
→
Triggering Condition
→
场景库
→
数据需求
→
测试验证
→
残余风险
辅助图:FuSa / SOTIF / AI Safety边界
FuSa
系统失效导致风险。
SOTIF
无故障但功能不足导致风险。
AI Safety
数据、模型、训练、验证不足导致风险。
1. 本月定位
8月主题:
SOTIF、ODD、触发条件和机器人操作域。
7月已经理解了ADS架构、AEB链路、PV/BEV/Occupancy和HMI交互安全。8月要进一步回答:
系统没有坏,但为什么仍然可能不安全?哪些场景会触发功能不足?如何把ODD边界、触发条件、场景库、数据需求和测试验证串起来?
2. 本月目标
8月底应能做到:
- 解释
ISO 21448 / SOTIF关注的问题。 - 区分FuSa失效、SOTIF功能不足、AI Safety数据/模型不足。
- 定义AEB初始ODD和ODD边界。
- 列出AEB触发条件矩阵。
- 将触发条件映射到数据需求和测试场景。
- 建立机器人操作域和机器人触发条件初版。
3. 核心理论
3.1 SOTIF关注什么
SOTIF关注:
系统没有发生随机硬件故障,也没有明确软件故障,但由于预期功能不足,在某些场景下仍然产生不合理风险。
典型例子:
- 夜间黑衣行人,摄像头没有坏,但模型识别能力不足。
- 逆光下前方静止车辆,传感器可用但感知置信度下降。
- 雨雾导致目标边界模糊,系统仍然输出自信判断。
- 前车cut-in后急刹,系统预测和TTC估计不足。
3.2 FuSa、SOTIF、AI Safety边界
| 类型 | 关注点 | AEB例子 |
|---|---|---|
| FuSa | 系统失效导致风险 | 雷达信号冻结未诊断,AEB错误判断 |
| SOTIF | 无故障但功能不足 | 夜间行人识别能力不足 |
| AI Safety | 数据/模型/训练/验证不足 | 夜间行人样本不足,增训后未回归验证 |
实际项目中三者会交叉,不能机械切割。安全负责人要能说明风险来源、控制措施和证据链。
4. ODD定义
ODD 是 Operational Design Domain,运行设计域。
ODD回答:
系统在哪些条件下被设计为可用?
4.1 AEB初始ODD示例
| 维度 | 初始范围 | 边界/风险 |
|---|---|---|
| 道路 | 城市道路、高速道路 | 施工区、复杂交叉口、非结构化道路 |
| 车速 | 10-120 km/h | 极低速地库、高速极限场景 |
| 天气 | 晴天、小雨、轻雾 | 暴雨、大雪、浓雾、积水 |
| 光照 | 白天、夜间有照明 | 逆光、隧道口、弱光黑衣行人 |
| 目标物 | 车辆、行人、两轮车、静态障碍物 | 异形车、低矮物、施工锥桶、动物 |
| 传感器状态 | 正常、轻微退化 | 严重遮挡、污染、失准 |
4.2 ODD边界的安全意义
ODD边界不是宣传范围,而是Safety Case边界。
如果系统超出ODD仍然运行,会产生:
- 模型泛化不足风险。
- 驾驶员误信任风险。
- 测试证据不覆盖风险。
- 认证证据失效风险。
5. Triggering Condition触发条件
触发条件是使预期功能不足变成不安全行为的场景因素。
5.1 AEB触发条件矩阵
| TC ID | Triggering Condition | 可能不安全行为 | 数据需求 | 测试方法 |
|---|---|---|---|---|
| TC-AEB-001 | 夜间黑衣行人横穿 | 行人漏检,AEB触发过晚 | 夜间行人数据 | 仿真+实车夜间测试 |
| TC-AEB-002 | 逆光静止车辆 | 目标置信度下降 | 逆光车辆数据 | 回放+封闭场测试 |
| TC-AEB-003 | 前车cut-in后急刹 | TTC估计不足 | cut-in数据 | 参数扫描 |
| TC-AEB-004 | 雨天传感器污染 | 感知退化未识别 | 雨天污染数据 | 传感器污染注入 |
| TC-AEB-005 | 路面反光/阴影 | FP误制动 | 反光负样本 | 误触发测试 |
| TC-AEB-006 | 低矮障碍物 | 障碍物漏检 | 低矮目标数据 | 封闭场测试 |
| TC-AEB-007 | 行人被大车遮挡后出现 | 触发过晚 | 遮挡行人数据 | 场景回放 |
6. 场景库结构
6.1 四层场景
| 层级 | 说明 | AEB例子 |
|---|---|---|
| Functional Scenario | 自然语言描述 | 前车急刹,AEB应预警并制动 |
| Logical Scenario | 参数范围 | 自车60-120 km/h,TTC 0.8-2.5s |
| Concrete Scenario | 固定参数 | 自车100 km/h,前车0.6g制动,TTC 1.2s |
| Test Scenario | 可执行测试用例 | OpenSCENARIO/封闭场/回放用例 |
6.2 AEB场景样例
| Functional Scenario | Logical Parameters | Concrete Example |
|---|---|---|
| 前车急刹 | 自车60-120 km/h,前车减速度0.2g-1.0g | 自车100 km/h,前车0.6g制动 |
| 行人横穿 | 行人速度1-3 m/s,距离10-40m | 夜间黑衣行人20m处横穿 |
| cut-in急刹 | cut-in距离5-30m,TTC 0.8-2.0s | 前车15m cut-in后急刹 |
7. 机器人操作域迁移
机器人操作域类似ADS ODD。
7.1 服务机器人商场操作域
| 维度 | 范围 | 边界风险 |
|---|---|---|
| 场景 | 商场通道、服务台附近 | 临时施工、拥挤活动区 |
| 速度 | 低速移动 | 人流密集需进一步限速 |
| 目标 | 成人、儿童、老人、推车、宠物 | 儿童突然奔跑、透明物体 |
| 地面 | 平整地面 | 反光、湿滑、台阶、坡道 |
| 光照 | 室内正常光照 | 强反光、局部暗区 |
| 交互 | 语音/屏幕/灯光提示 | 用户围堵、恶意指令、误解任务 |
7.2 机器人触发条件
| TC ID | Triggering Condition | 可能不安全行为 |
|---|---|---|
| TC-RBT-001 | 儿童突然跑入路径 | 机器人漏停或急停过晚 |
| TC-RBT-002 | 玻璃反射 | 误识别人或障碍物 |
| TC-RBT-003 | 透明门/透明物体 | 漏检障碍物 |
| TC-RBT-004 | 人流围堵 | 规划失效或异常停滞 |
| TC-RBT-005 | 地面湿滑 | 制动距离变化 |
| TC-RBT-006 | 歧义语音指令 | 执行错误任务 |
8. 实践任务
8.1 AEB ODD边界清单
填写:
| ODD维度 | 正常范围 | 边界条件 | 处理策略 |
|---|---|---|---|
| 道路 | |||
| 天气 | |||
| 光照 | |||
| 目标物 | |||
| 传感器状态 |
8.2 AEB触发条件矩阵
要求至少列出20个触发条件,并标注:
- 风险来源。
- 可能不安全行为。
- 数据需求。
- 测试方法。
- 是否进入回归测试集。
8.3 机器人操作域与触发条件初版
要求:
- 定义服务机器人操作域。
- 列出至少15个触发条件。
- 说明每个触发条件对应的安全后果。
9. 常见错误
- 把ODD当成营销宣传范围。
- 只列场景,不分析不安全行为。
- 只讲SOTIF概念,不连接数据和测试。
- 只关注已知风险,不建立未知风险发现机制。
- 忽略HMI、接管和用户误信任。
10. 验收问答
10.1 SOTIF和FuSa有什么区别?
FuSa关注系统失效导致的不合理风险,SOTIF关注系统没有故障但预期功能不足导致的不合理风险。
10.2 ODD为什么重要?
ODD定义系统安全论证边界。超出ODD后,数据、模型、测试和Safety Case证据可能不再成立。
10.3 Triggering Condition有什么价值?
触发条件把“功能不足”变成可识别、可测试、可补数据、可闭环的工程对象。
10.4 机器人操作域和ADS ODD有什么相似点?
两者都定义系统可安全运行边界,都需要识别边界条件、触发条件、降级策略和测试证据。
11. 本月最终验收标准
8月底应达到:
- 能定义AEB ODD。
- 能列出AEB触发条件矩阵。
- 能把触发条件转成数据需求和测试用例。
- 能解释FuSa、SOTIF、AI Safety边界。
- 能建立机器人操作域和触发条件初版。
一句话验收:
看到一个系统“没坏但表现不好”的场景,你能判断它是否属于SOTIF风险,并能把它转成数据、测试和证据链要求。
12. 端到端模型视角补充
端到端模型让SOTIF更重要。
原因:
- 模型内部逻辑更难解释。
- 触发条件更难从模块失效定位。
- 很多问题表现为“模型在某类场景下行为不符合预期”。
- 场景覆盖和数据分布对安全性影响更大。
12.1 端到端下的触发条件
端到端触发条件应从“模块输入异常”扩展为“行为失败条件”。
| Triggering Condition | 端到端风险 |
|---|---|
| 施工区锥桶摆放异常 | 模型输出错误路径 |
| cut-in后急刹 | 模型减速行为不足 |
| 遮挡行人突然出现 | 模型未提前保守减速 |
| 车道线缺失 | 模型轨迹漂移 |
| 逆光/雨雾 | 模型输出不稳定 |
| ODD边界场景 | 模型继续自信驾驶 |
12.2 端到端SOTIF验证重点
需要重点验证:
- 行为是否保守。
- 输出轨迹是否安全。
- 对未知区域是否过度乐观。
- 是否能识别ODD边界。
- 是否在触发条件下进入fallback或请求接管。
12.3 新增实践任务
将AEB触发条件矩阵扩展为“端到端行为风险矩阵”:
| Triggering Condition | 传统风险 | 端到端行为风险 | 验证方法 |
|---|---|---|---|
| 夜间行人 | 行人漏检 | 未输出及时减速轨迹 | 夜间行为回放+封闭场 |
| cut-in急刹 | TTC估计不足 | 减速不及时或轨迹过激 | 参数扫描 |
| 反光阴影 | FP误制动 | 无风险场景输出急刹 | 误触发回归 |