當輔助駕駛系統(tǒng)從實驗室駛?cè)脲e綜復雜的真實道路，其安全邊界便不再是清晰的代碼與參數(shù)，而是一張由無數(shù)“如果”編織的風險之網(wǎng)。

預期功能安全（SOTIF）概念的誕生，正是為了界定這張網(wǎng)的經(jīng)緯：系統(tǒng)在無故障情況下，因性能局限或可預見誤用而引發(fā)的風險，究竟該由誰、以何種方式負責？ 

然而，當前業(yè)界對SOTIF核心目標的認知與實踐，卻暗藏著一場精巧的“責任切割”游戲。本文旨在刺破浮于表面的共識，以辛辣筆鋒厘清SOTIF應瞄準的靶心，并質(zhì)問那些被刻意忽視的“典型事故”何以在權(quán)威標準草案中神秘蒸發(fā)。

一、 SOTIF的核心目標：是彌補設(shè)計缺陷，還是筑起免責高墻？

SOTIF絕非安全問題的“垃圾回收站”。其核心目標必須旗幟鮮明：識別并降低由功能設(shè)計缺陷或性能局限性所引發(fā)的風險，且已發(fā)生的事故是驗證這些缺陷、迭代安全體系最關(guān)鍵、最殘酷的輸入。 反之，一切試圖將硬件失效、駕駛員違規(guī)乃至“極端不可預見”場景都塞入SOTIF范疇的論調(diào)，非但不能提升安全，反而會稀釋其核心價值，成為企業(yè)推諉設(shè)計責任的煙幕彈。

靶心之內(nèi)：設(shè)計缺陷的“原罪”

SOTIF必須覆蓋的，是系統(tǒng)“智力”與“能力”層面的先天不足：

1. 功能設(shè)計缺陷：系統(tǒng)對合法、常規(guī)道路元素的“誤判”與“無視”。例如，將靜止障礙物誤判為無關(guān)背景，對合理加塞車輛無響應，或是對環(huán)衛(wèi)工人、扛樹枝行人等特定姿態(tài)的交通參與者“視而不見”。這并非傳感器一時“眼花”，而是算法認知模型的根本性缺陷。

2. 性能邊界不足：在系統(tǒng)自己宣稱的適用場景（如雨天、夜間）內(nèi)，其性能未達到保障安全的最低要求。例如，在標稱可工作的雨夜，識別精度大幅下降；或跟車距離標定得過近，以至于無法應對前車正常制動——即便這距離可能不符合某些法規(guī)的理想值（比如道交法實施條例要求的高速公路100m/50m跟車距離，絕大多數(shù)系統(tǒng)并未遵守），但只要在系統(tǒng)設(shè)計允許范圍內(nèi)發(fā)生了事故，就是性能標定的失敗。

3. 場景覆蓋缺失：大量已發(fā)生的悲劇場景，如施工區(qū)錐桶、無保護左轉(zhuǎn)、靜止作業(yè)的環(huán)衛(wèi)工人、扛樹枝/打傘行人，本就屬于高概率的日常道路場景，卻未被系統(tǒng)的“場景庫”收錄。這暴露了功能定義與驗證場景的狹隘與脫離實際。

4. 人機交互失效：系統(tǒng)設(shè)計導致駕駛員無法準確理解車輛狀態(tài)或未能有效接管。例如，接管提醒模糊、延遲或被輕易忽略；系統(tǒng)狀態(tài)顯示錯誤，讓駕駛員誤以為一切盡在掌控。這本質(zhì)上是一種交互邏輯的設(shè)計失誤。

靶心之外：別讓SOTIF“背鍋”

SOTIF不應是萬能的托辭，以下事故應被堅決排除在其核心覆蓋范圍外：

1. 硬件失效類：攝像頭突然“失明”、雷達“癡呆”、芯片“休克”、執(zhí)行器“僵住”——這屬于 “功能安全”（FuSa） 的經(jīng)典領(lǐng)域，關(guān)乎硬件的可靠性、冗余與失效防護。

2. 人為操作類：駕駛員在系統(tǒng)明確要求接管時睡覺、分心、甚至酒駕；在明確禁用的路段（如城市普通街道）強行激活功能。這屬于 “操作安全” 或用戶教育、法律法規(guī)的范疇。試圖用SOTIF覆蓋此類行為，實則是向用戶傳遞“系統(tǒng)總會兜底”的危險錯覺，鼓勵不當依賴。

3. 極端不可預見類：路面突然塌陷、行人毫無征兆地從視覺盲區(qū)飛身沖出、暴雪/沙塵暴/團霧瞬間完全遮擋一切傳感器視線——這些場景已遠遠超出任何理性系統(tǒng)的設(shè)計運行域（ODD）。將它們納入SOTIF，只會讓標準變得遙不可及，淪為不切實際的空談。

4. 外部惡意干擾：他人用強激光持續(xù)照射攝像頭、故意遮擋雷達。這是蓄意破壞或罕見意外，而非系統(tǒng)設(shè)計能普遍預防的范疇。

簡而言之，判斷一起事故是否應觸發(fā)SOTIF流程的終極試金石是：能否通過優(yōu)化系統(tǒng)設(shè)計（算法、標定、交互邏輯、場景庫）來避免同類事故再次發(fā)生？ 若能，則是SOTIF不可推卸的責任；若否，則應交由其他安全體系或社會規(guī)則處理。

二、 何種事故血跡，應成為SOTIF的進化圖譜？

基于上述原則，我們可以繪制一幅更清晰、更具操作性的SOTIF事故覆蓋圖譜：

聚焦爭議案例：撞上扛樹枝行人、靜止環(huán)衛(wèi)工人，SOTIF該當何罪？

結(jié)論是尖銳的：在絕大多數(shù)情況下，這類事故應被SOTIF覆蓋。 核心判據(jù)無外乎：1. 場景是否在ODD內(nèi)？ 如果事故發(fā)生在系統(tǒng)宣稱適用的高速公路、城市快速路甚至城區(qū)道路上，答案通常是肯定的。

2. 是否存在設(shè)計局限？ EDR數(shù)據(jù)往往能證明：系統(tǒng)是否未能有效識別這些目標？識別后決策模塊是否錯誤地將其歸類為無需響應的背景？控制模塊是否未能及時制動或避讓？

3. 能否通過設(shè)計優(yōu)化規(guī)避？ 顯然可以。通過算法升級以更好識別非標準姿態(tài)行人、擴充場景庫包含此類目標、優(yōu)化AEB觸發(fā)策略等，完全有可能避免悲劇重演。若同時滿足以上三點，這就是一起典型的、應由SOTIF機制負責迭代優(yōu)化的設(shè)計缺陷事故。將之排除在外，無異于對生命與技術(shù)進步的集體漠視。三、 L2強標公開征求意見稿的“選擇性失明”：是能力不足，還是刻意回避？正是在此背景下，審視《智能網(wǎng)聯(lián)汽車 組合駕駛輔助系統(tǒng)安全要求》強制性國家標準（公開征求意見稿）的附錄C（SOTIF建議考慮場景），便生出一種深切的疑惑與不安。

草案中列舉了若干事故場景，如某車型在施工區(qū)域的事故、某車型對靜止車輛后方行人漏觸發(fā)的事故，這顯示了起草組對部分問題的關(guān)注。

然而，近年來在行業(yè)內(nèi)外部引起巨大震動、并極具代表性的“某車型撞死扛樹枝行人”和“某車型撞傷靜止環(huán)衛(wèi)工人”事故，卻在附錄中蹤跡全無。 這絕非無足輕重的遺漏。它迫使我們直面三個令人不快的詰問：

1. 是起草組技術(shù)能力有限，未能識別這些轟動社會的典型SOTIF相關(guān)事故？ 若果真如此，其權(quán)威性與專業(yè)性何在？其對行業(yè)前沿安全案例的跟蹤與理解，是否已嚴重脫節(jié)？

2. 是起草組識別了，但經(jīng)過“專業(yè)”判斷，認為這些事故不屬于SOTIF應覆蓋的場景？ 這更令人擔憂。如果連如此清晰的設(shè)計缺陷案例（在ODD內(nèi)、可被感知優(yōu)化避免）都被排除在SOTIF之外，那么整個標準對于“預期功能安全”的定義與范圍是否發(fā)生了根本性的、危險的偏離？這是在為企業(yè)的設(shè)計缺陷開具“免罪證明”。

3. 是起草組識別了，也認可其屬于SOTIF范疇，但出于“平衡行業(yè)利益”、“照顧特定企業(yè)感情”或“避免標準過于嚴苛”等非技術(shù)考量，而選擇了戰(zhàn)略性沉默？ 如果猜測屬實，這便不是技術(shù)標準的制定，而是一場關(guān)乎利益分配的妥協(xié)。安全，尤其是關(guān)乎公共道路生命的安全，其標準的底線容不得絲毫交易與退讓。

無論原因為何，這種在權(quán)威標準草案中的“選擇性呈現(xiàn)”，都向行業(yè)釋放了一個極其錯誤的信號：某些鮮血換來的教訓，可以被忽略、被淡化、被排除在強制性的安全改進框架之外。這非但不能促進SOTIF理念的落地，反而會助長企業(yè)逃避核心設(shè)計責任的僥幸心理，讓SOTIF淪為一紙避重就輕、華而不實的空文。

結(jié)語

SOTIF的本意，是驅(qū)使我們將技術(shù)的聚光燈照向自身設(shè)計的黑暗角落，用已發(fā)生的事故作為最嚴厲的考官，逼迫系統(tǒng)在智能上實現(xiàn)真正的進化。

它要求我們坦承：機器目前仍是“有局限的智能”，而彌補這種局限，是開發(fā)者不可推卸的原生責任。任何模糊這一靶心、將責任向外稀釋的行為，都是對技術(shù)進步與生命尊嚴的雙重背叛。

當強制性標準草案都對某些觸目驚心的案例諱莫如深時，我們不禁要問：我們究竟是在認真構(gòu)筑安全的未來，還是在精心設(shè)計一場關(guān)于責任的羅生門？安全標準的公信力，始于對每一個本可避免的生命逝去的直面與銘記。

作者：打不死的小強