近日，馭勢而上，安全先行——新能源汽車智能安全創新論壇暨SASETECH2025年度峰會圓滿結束。磐時信息技術預期功能安全專家周堂瑞先生受邀并以《SOITF應用實踐：與開發及數據的結合》為題，在“駛向全場景安全：智駕系統的實踐探索與合規”環節展開演講，提出針對 SOTIF 落地脫節與數據支撐不足問題的解決方案。

峰會現場 /周堂瑞先生

SOTIF落地的核心困境

隨著 L2 強標《智能網聯汽車組合輔助駕駛系統安全要求》附錄 C 的發布，SOTIF 已從企業可選工作變為法定要求，涵蓋文檔合規、驗證確認、場地測試等多項硬性指標，推動行業從流程建設向實際落地轉型。但在與客戶的合作中，我們發現當前 SOTIF 實踐普遍面臨兩大核心痛點。

1

SOTIF 工作與開發流程嚴重脫節。很多企業的 SOTIF 介入時機過晚，往往在產品軟件、智駕方案基本確定后才啟動安全分析，導致提出的需求要么已被開發團隊解決（缺乏實際意義），要么因傳感器選型、算法方案固化而無法落地，反而成為效率開發的阻礙。同時，開發階段的改進、測試結果與 SOTIF 安全分析完全割裂，安全論證無法復用已有開發成功，形成 “兩張皮” 現象。

2

數據應用未能支撐 SOTIF 深度落地。開發測試中的數據采集、處理多以開發需求為驅動，未與 SOTIF 的風險評估、場景覆蓋相結合，既無法為危險場景庫擴展、風險量化提供有效輸入，也未能通過 SOTIF 分析指導數據回傳與處理策略，導致數據價值未能充分發揮。

SOTIF 與開發流程的體系化融合

要解決 SOTIF 與開發脫節的問題，核心是構建“以整車開發流程為基礎”的 SOTIF 實施體系，實現安全活動與開發活動的全周期協同。我們在項目中形成了“五維度融合方案”，讓 SOTIF 真正融入開發全流程。

階段匹配：全周期介入，而非事后補充

SOTIF 絕非產品規劃定型后的 “附加工作”，而應在產品規劃階段就同步介入，貫穿規范定義、設計開發、驗證確認全流程。我們會明確 SOTIF 活動在整車開發各階段的對應節點，確保安全要求從源頭嵌入，避免后期 “亡羊補牢”。

責任劃分：明確接口，避免權責模糊

SOTIF 涉及功能定義、系統開發、測試驗證等多個環節，需清晰界定各開發團隊的責任范圍與輸入輸出接口。例如在與OEM 客戶的體系項目中，在明確各部門在SOTIF 分析、測試、論證中的具體職責之外，我們會邀請各環節負責人都參與體系培訓，了解各自分工。

迭代適配：匹配智駕敏捷開發模式

針對智駕領域的敏捷開發特性，我們在 SOTIF 實施流程中明確了迭代觸發機制 —— 并非開發的微小變化都需啟動 SOTIF 重分析，而是結合版本更新節奏，定期開展針對性分析，既保障安全覆蓋，又不影響開發效率。

測試協同：打通測試結果與安全論證的鏈路

SOTIF 的核心不僅在概念階段，部件及系統級測試結果也是安全論據的重要組成。我們會幫助客戶建立測試節點與 SOTIF 驗證確認的對應關系，明確哪些測試結果可直接用于安全論證，實現測試資源的高效復用。

運行階段：建立全生命周期責任體系

在運行階段，我們重點破除“SOTIF 是新增工作”的認知誤區。實際上，SOTIF 無需單獨建設數據鏈路，而是通過結構化組織現有鏈路及數據資源，形成系統的安全論證體系。明確售后、整車、智駕等部門的責任，建立問題分類機制 —— 將運行中發現的問題精準界定為功能安全、信息安全或預期功能安全問題，確保高效閉環。

此外，體系融合已成為行業趨勢。我們以 ASPICE 為基礎，構建了功能安全、預期功能安全、ASPICE三體系融合方案：包含ASPICE 除機器學習外的全部過程，功能安全除生產、運營等外的核心內容，SOTIF 全部過程，通過管理手冊、操作指南、模板檢查單等工具，實現融合流程的落地。

SOTIF 與數據閉環的雙向驅動

數據是 SOTIF 落地的核心支撐，二者構成“雙向驅動”關系 ——數據閉環為 SOTIF 提供基礎輸入，SOTIF為數據閉環提供方向指導，形成高效迭代的良性循環。

1

數據閉環賦能 SOTIF 深度落地：車端采集的感知數據、車輛狀態數據、地圖數據等，經清洗預處理后，通過場景語義標簽生成、參數提取等環節，為 SOTIF 分析提供三大核心支撐：一是擴展觸發條件庫與危險場景庫，二是為風險量化評估提供數據依據，三是驗證安全接受準則的合理性。我們通過自主開發的場景提取工具、未知場景挖掘工具等，實現靜態 及動態語義信息、駕駛狀態信息的精準提取，快速定位 SOTIF 相關的實測數據。

2

SOTIF 指導數據閉環精準發力：SOTIF 分析為數據閉環提供明確的方向指引。基于風險評估結果制定安全導向的數據回傳策略，明確哪些場景需要優先回傳數據；將安全接受準則作為測試驗證的核心評價指標；通過觸發條件與危險場景定義，提升場景庫覆蓋度。例如，我們會將感知目標丟失、多車復雜交互、特殊天氣路況等場景設為數據回傳觸發點，確保采集的數據精準服務于安全驗證。

3

工具鏈支撐全流程高效運轉：我們構建了覆蓋“數據獲取 - 處理 - 管理 - 應用”的全流程工具鏈：車端采集與航拍數據互補，通過場景庫管理工具實現場景分類編碼與篩選，借助安全評估模型開展風險量化，利用仿真加速測試工具替代部分實車里程測試。同時打通數據管理平臺、標注平臺、訓練平臺、仿真平臺與實車平臺，實現從場景挖掘、算法訓練到測試驗證的閉環運轉。

4

場景泛化與觸發條件積累：基于實車數據，我們應用多種參數概率分布模型，批量生成符合真實規律的測試場景，有效降低實車測試成本；通過智能背景車模型構建復雜交通環境，實現未知場景的高效挖掘。同時，我們已積累豐富的觸發條件庫，通過組合分析擴展新場景，并基于實車數據統計觸發條件暴露率，為殘余風險接受準則的制定提供科學依據。

安全從 “口號” 到 “可驗證結論”

總結來看，SOTIF 在企業的落地核心實現了三大價值。

滿足法規底線要求

這是最基礎的目標，通過文檔合規、場景測試、驗證確認等工作，確保產品符合 L2 強標等法規要求，順利通過審核。

構建系統化安全論據

SOTIF 并非新增額外工作，而是將開發過程中已有的測試數據、策略輸出、問題記錄等結構化組織起來，形成完整的安全論據體系，讓開發團隊清晰看到安全要求的落地情況，實現“查漏補缺” 與 “成果沉淀”。

實現安全的迭代繼承

讓數據不僅服務于當下開發，更成為不斷積累的安全支柱。通過持續挖掘未知場景、更新觸發條件庫，讓安全能力隨產品迭代不斷繼承復用，真正實現“安全與開發同步進化”。

智能網聯汽車的安全之路，需要流程與實踐的深度融合，更需要數據與技術的持續賦能。我們希望通過 SOTIF 與開發、數據的閉環融合，讓安全不再成為智能出行的束縛，真正實現“讓智能時代不受安全所困”的愿景。