當(dāng)輔助駕駛系統(tǒng)從實(shí)驗(yàn)室駛?cè)脲e(cuò)綜復(fù)雜的真實(shí)道路，其安全邊界便不再是清晰的代碼與參數(shù)，而是一張由無(wú)數(shù)“如果”編織的風(fēng)險(xiǎn)之網(wǎng)。

預(yù)期功能安全（SOTIF）概念的誕生，正是為了界定這張網(wǎng)的經(jīng)緯：系統(tǒng)在無(wú)故障情況下，因性能局限或可預(yù)見(jiàn)誤用而引發(fā)的風(fēng)險(xiǎn)，究竟該由誰(shuí)、以何種方式負(fù)責(zé)？ 

然而，當(dāng)前業(yè)界對(duì)SOTIF核心目標(biāo)的認(rèn)知與實(shí)踐，卻暗藏著一場(chǎng)精巧的“責(zé)任切割”游戲。本文旨在刺破浮于表面的共識(shí)，以辛辣筆鋒厘清SOTIF應(yīng)瞄準(zhǔn)的靶心，并質(zhì)問(wèn)那些被刻意忽視的“典型事故”何以在權(quán)威標(biāo)準(zhǔn)草案中神秘蒸發(fā)。

一、 SOTIF的核心目標(biāo)：是彌補(bǔ)設(shè)計(jì)缺陷，還是筑起免責(zé)高墻？

SOTIF絕非安全問(wèn)題的“垃圾回收站”。其核心目標(biāo)必須旗幟鮮明：識(shí)別并降低由功能設(shè)計(jì)缺陷或性能局限性所引發(fā)的風(fēng)險(xiǎn)，且已發(fā)生的事故是驗(yàn)證這些缺陷、迭代安全體系最關(guān)鍵、最殘酷的輸入。 反之，一切試圖將硬件失效、駕駛員違規(guī)乃至“極端不可預(yù)見(jiàn)”場(chǎng)景都塞入SOTIF范疇的論調(diào)，非但不能提升安全，反而會(huì)稀釋其核心價(jià)值，成為企業(yè)推諉設(shè)計(jì)責(zé)任的煙幕彈。

靶心之內(nèi)：設(shè)計(jì)缺陷的“原罪”

SOTIF必須覆蓋的，是系統(tǒng)“智力”與“能力”層面的先天不足：

1. 功能設(shè)計(jì)缺陷：系統(tǒng)對(duì)合法、常規(guī)道路元素的“誤判”與“無(wú)視”。例如，將靜止障礙物誤判為無(wú)關(guān)背景，對(duì)合理加塞車輛無(wú)響應(yīng)，或是對(duì)環(huán)衛(wèi)工人、扛樹(shù)枝行人等特定姿態(tài)的交通參與者“視而不見(jiàn)”。這并非傳感器一時(shí)“眼花”，而是算法認(rèn)知模型的根本性缺陷。

2. 性能邊界不足：在系統(tǒng)自己宣稱的適用場(chǎng)景（如雨天、夜間）內(nèi)，其性能未達(dá)到保障安全的最低要求。例如，在標(biāo)稱可工作的雨夜，識(shí)別精度大幅下降；或跟車距離標(biāo)定得過(guò)近，以至于無(wú)法應(yīng)對(duì)前車正常制動(dòng)——即便這距離可能不符合某些法規(guī)的理想值（比如道交法實(shí)施條例要求的高速公路100m/50m跟車距離，絕大多數(shù)系統(tǒng)并未遵守），但只要在系統(tǒng)設(shè)計(jì)允許范圍內(nèi)發(fā)生了事故，就是性能標(biāo)定的失敗。

3. 場(chǎng)景覆蓋缺失：大量已發(fā)生的悲劇場(chǎng)景，如施工區(qū)錐桶、無(wú)保護(hù)左轉(zhuǎn)、靜止作業(yè)的環(huán)衛(wèi)工人、扛樹(shù)枝/打傘行人，本就屬于高概率的日常道路場(chǎng)景，卻未被系統(tǒng)的“場(chǎng)景庫(kù)”收錄。這暴露了功能定義與驗(yàn)證場(chǎng)景的狹隘與脫離實(shí)際。

4. 人機(jī)交互失效：系統(tǒng)設(shè)計(jì)導(dǎo)致駕駛員無(wú)法準(zhǔn)確理解車輛狀態(tài)或未能有效接管。例如，接管提醒模糊、延遲或被輕易忽略；系統(tǒng)狀態(tài)顯示錯(cuò)誤，讓駕駛員誤以為一切盡在掌控。這本質(zhì)上是一種交互邏輯的設(shè)計(jì)失誤。

靶心之外：別讓SOTIF“背鍋”

SOTIF不應(yīng)是萬(wàn)能的托辭，以下事故應(yīng)被堅(jiān)決排除在其核心覆蓋范圍外：

1. 硬件失效類：攝像頭突然“失明”、雷達(dá)“癡呆”、芯片“休克”、執(zhí)行器“僵住”——這屬于 “功能安全”（FuSa） 的經(jīng)典領(lǐng)域，關(guān)乎硬件的可靠性、冗余與失效防護(hù)。

2. 人為操作類：駕駛員在系統(tǒng)明確要求接管時(shí)睡覺(jué)、分心、甚至酒駕；在明確禁用的路段（如城市普通街道）強(qiáng)行激活功能。這屬于 “操作安全” 或用戶教育、法律法規(guī)的范疇。試圖用SOTIF覆蓋此類行為，實(shí)則是向用戶傳遞“系統(tǒng)總會(huì)兜底”的危險(xiǎn)錯(cuò)覺(jué)，鼓勵(lì)不當(dāng)依賴。

3. 極端不可預(yù)見(jiàn)類：路面突然塌陷、行人毫無(wú)征兆地從視覺(jué)盲區(qū)飛身沖出、暴雪/沙塵暴/團(tuán)霧瞬間完全遮擋一切傳感器視線——這些場(chǎng)景已遠(yuǎn)遠(yuǎn)超出任何理性系統(tǒng)的設(shè)計(jì)運(yùn)行域（ODD）。將它們納入SOTIF，只會(huì)讓標(biāo)準(zhǔn)變得遙不可及，淪為不切實(shí)際的空談。

4. 外部惡意干擾：他人用強(qiáng)激光持續(xù)照射攝像頭、故意遮擋雷達(dá)。這是蓄意破壞或罕見(jiàn)意外，而非系統(tǒng)設(shè)計(jì)能普遍預(yù)防的范疇。

簡(jiǎn)而言之，判斷一起事故是否應(yīng)觸發(fā)SOTIF流程的終極試金石是：能否通過(guò)優(yōu)化系統(tǒng)設(shè)計(jì)（算法、標(biāo)定、交互邏輯、場(chǎng)景庫(kù)）來(lái)避免同類事故再次發(fā)生？ 若能，則是SOTIF不可推卸的責(zé)任；若否，則應(yīng)交由其他安全體系或社會(huì)規(guī)則處理。

二、 何種事故血跡，應(yīng)成為SOTIF的進(jìn)化圖譜？

基于上述原則，我們可以繪制一幅更清晰、更具操作性的SOTIF事故覆蓋圖譜：

聚焦?fàn)幾h案例：撞上扛樹(shù)枝行人、靜止環(huán)衛(wèi)工人，SOTIF該當(dāng)何罪？

結(jié)論是尖銳的：在絕大多數(shù)情況下，這類事故應(yīng)被SOTIF覆蓋。 核心判據(jù)無(wú)外乎：1. 場(chǎng)景是否在ODD內(nèi)？ 如果事故發(fā)生在系統(tǒng)宣稱適用的高速公路、城市快速路甚至城區(qū)道路上，答案通常是肯定的。

2. 是否存在設(shè)計(jì)局限？ EDR數(shù)據(jù)往往能證明：系統(tǒng)是否未能有效識(shí)別這些目標(biāo)？識(shí)別后決策模塊是否錯(cuò)誤地將其歸類為無(wú)需響應(yīng)的背景？控制模塊是否未能及時(shí)制動(dòng)或避讓？

3. 能否通過(guò)設(shè)計(jì)優(yōu)化規(guī)避？ 顯然可以。通過(guò)算法升級(jí)以更好識(shí)別非標(biāo)準(zhǔn)姿態(tài)行人、擴(kuò)充場(chǎng)景庫(kù)包含此類目標(biāo)、優(yōu)化AEB觸發(fā)策略等，完全有可能避免悲劇重演。若同時(shí)滿足以上三點(diǎn)，這就是一起典型的、應(yīng)由SOTIF機(jī)制負(fù)責(zé)迭代優(yōu)化的設(shè)計(jì)缺陷事故。將之排除在外，無(wú)異于對(duì)生命與技術(shù)進(jìn)步的集體漠視。三、 L2強(qiáng)標(biāo)公開(kāi)征求意見(jiàn)稿的“選擇性失明”：是能力不足，還是刻意回避？正是在此背景下，審視《智能網(wǎng)聯(lián)汽車 組合駕駛輔助系統(tǒng)安全要求》強(qiáng)制性國(guó)家標(biāo)準(zhǔn)（公開(kāi)征求意見(jiàn)稿）的附錄C（SOTIF建議考慮場(chǎng)景），便生出一種深切的疑惑與不安。

草案中列舉了若干事故場(chǎng)景，如某車型在施工區(qū)域的事故、某車型對(duì)靜止車輛后方行人漏觸發(fā)的事故，這顯示了起草組對(duì)部分問(wèn)題的關(guān)注。

然而，近年來(lái)在行業(yè)內(nèi)外部引起巨大震動(dòng)、并極具代表性的“某車型撞死扛樹(shù)枝行人”和“某車型撞傷靜止環(huán)衛(wèi)工人”事故，卻在附錄中蹤跡全無(wú)。 這絕非無(wú)足輕重的遺漏。它迫使我們直面三個(gè)令人不快的詰問(wèn)：

1. 是起草組技術(shù)能力有限，未能識(shí)別這些轟動(dòng)社會(huì)的典型SOTIF相關(guān)事故？ 若果真如此，其權(quán)威性與專業(yè)性何在？其對(duì)行業(yè)前沿安全案例的跟蹤與理解，是否已嚴(yán)重脫節(jié)？

2. 是起草組識(shí)別了，但經(jīng)過(guò)“專業(yè)”判斷，認(rèn)為這些事故不屬于SOTIF應(yīng)覆蓋的場(chǎng)景？ 這更令人擔(dān)憂。如果連如此清晰的設(shè)計(jì)缺陷案例（在ODD內(nèi)、可被感知優(yōu)化避免）都被排除在SOTIF之外，那么整個(gè)標(biāo)準(zhǔn)對(duì)于“預(yù)期功能安全”的定義與范圍是否發(fā)生了根本性的、危險(xiǎn)的偏離？這是在為企業(yè)的設(shè)計(jì)缺陷開(kāi)具“免罪證明”。

3. 是起草組識(shí)別了，也認(rèn)可其屬于SOTIF范疇，但出于“平衡行業(yè)利益”、“照顧特定企業(yè)感情”或“避免標(biāo)準(zhǔn)過(guò)于嚴(yán)苛”等非技術(shù)考量，而選擇了戰(zhàn)略性沉默？ 如果猜測(cè)屬實(shí)，這便不是技術(shù)標(biāo)準(zhǔn)的制定，而是一場(chǎng)關(guān)乎利益分配的妥協(xié)。安全，尤其是關(guān)乎公共道路生命的安全，其標(biāo)準(zhǔn)的底線容不得絲毫交易與退讓。

無(wú)論原因?yàn)楹?，這種在權(quán)威標(biāo)準(zhǔn)草案中的“選擇性呈現(xiàn)”，都向行業(yè)釋放了一個(gè)極其錯(cuò)誤的信號(hào)：某些鮮血換來(lái)的教訓(xùn)，可以被忽略、被淡化、被排除在強(qiáng)制性的安全改進(jìn)框架之外。這非但不能促進(jìn)SOTIF理念的落地，反而會(huì)助長(zhǎng)企業(yè)逃避核心設(shè)計(jì)責(zé)任的僥幸心理，讓SOTIF淪為一紙避重就輕、華而不實(shí)的空文。

結(jié)語(yǔ)

SOTIF的本意，是驅(qū)使我們將技術(shù)的聚光燈照向自身設(shè)計(jì)的黑暗角落，用已發(fā)生的事故作為最嚴(yán)厲的考官，逼迫系統(tǒng)在智能上實(shí)現(xiàn)真正的進(jìn)化。

它要求我們坦承：機(jī)器目前仍是“有局限的智能”，而彌補(bǔ)這種局限，是開(kāi)發(fā)者不可推卸的原生責(zé)任。任何模糊這一靶心、將責(zé)任向外稀釋的行為，都是對(duì)技術(shù)進(jìn)步與生命尊嚴(yán)的雙重背叛。

當(dāng)強(qiáng)制性標(biāo)準(zhǔn)草案都對(duì)某些觸目驚心的案例諱莫如深時(shí)，我們不禁要問(wèn)：我們究竟是在認(rèn)真構(gòu)筑安全的未來(lái)，還是在精心設(shè)計(jì)一場(chǎng)關(guān)于責(zé)任的羅生門(mén)？安全標(biāo)準(zhǔn)的公信力，始于對(duì)每一個(gè)本可避免的生命逝去的直面與銘記。

作者：打不死的小強(qiáng)