从流程到落地：SOTIF与开发、数据的深度融合实践

近日，驭势而上，安全先行——新能源汽车智能安全创新论坛暨SASETECH2025年度峰会圆满结束。磐时信息技术预期功能安全专家周堂瑞先生受邀并以《SOITF应用实践：与开发及数据的结合》为题，在“驶向全场景安全：智驾系统的实践探索与合规”环节展开演讲，提出针对 SOTIF 落地脱节与数据支撑不足问题的解决方案。

峰会现场 / 周堂瑞先生

SOTIF落地的核心困境

随着 L2 强标《智能网联汽车组合辅助驾驶系统安全要求》附录 C 的发布，SOTIF 已从企业可选工作变为法定要求，涵盖文档合规、验证确认、场地测试等多项硬性指标，推动行业从流程建设向实际落地转型。但在与客户的合作中，我们发现当前 SOTIF 实践普遍面临两大核心痛点。

1

SOTIF 工作与开发流程严重脱节。很多企业的 SOTIF 介入时机过晚，往往在产品软件、智驾方案基本确定后才启动安全分析，导致提出的需求要么已被开发团队解决（缺乏实际意义），要么因传感器选型、算法方案固化而无法落地，反而成为效率开发的阻碍。同时，开发阶段的改进、测试结果与 SOTIF 安全分析完全割裂，安全论证无法复用已有开发成功，形成 “两张皮” 现象。  

2

数据应用未能支撑 SOTIF 深度落地。开发测试中的数据采集、处理多以开发需求为驱动，未与 SOTIF 的风险评估、场景覆盖相结合，既无法为危险场景库扩展、风险量化提供有效输入，也未能通过 SOTIF 分析指导数据回传与处理策略，导致数据价值未能充分发挥。

SOTIF 与开发流程的体系化融合
 

要解决 SOTIF 与开发脱节的问题，核心是构建 “以整车开发流程为基础” 的 SOTIF 实施体系，实现安全活动与开发活动的全周期协同。我们在项目中形成了 “五维度融合方案”，让 SOTIF 真正融入开发全流程。

阶段匹配：全周期介入，而非事后补充

SOTIF 绝非产品规划定型后的 “附加工作”，而应在产品规划阶段就同步介入，贯穿规范定义、设计开发、验证确认全流程。我们会明确 SOTIF 活动在整车开发各阶段的对应节点，确保安全要求从源头嵌入，避免后期 “亡羊补牢”。

责任划分：明确接口，避免权责模糊

SOTIF 涉及功能定义、系统开发、测试验证等多个环节，需清晰界定各开发团队的责任范围与输入输出接口。例如在与OEM 客户的体系项目中，在明确各部门在 SOTIF 分析、测试、论证中的具体职责之外，我们会邀请各环节负责人都参与体系培训，了解各自分工。

迭代适配：匹配智驾敏捷开发模式

针对智驾领域的敏捷开发特性，我们在 SOTIF 实施流程中明确了迭代触发机制 —— 并非开发的微小变化都需启动 SOTIF 重分析，而是结合版本更新节奏，定期开展针对性分析，既保障安全覆盖，又不影响开发效率。

测试协同：打通测试结果与安全论证的链路

SOTIF 的核心不仅在概念阶段，部件及系统级测试结果也是安全论据的重要组成。我们会帮助客户建立测试节点与 SOTIF 验证确认的对应关系，明确哪些测试结果可直接用于安全论证，实现测试资源的高效复用。

运行阶段：建立全生命周期责任体系

在运行阶段，我们重点破除 “SOTIF 是新增工作” 的认知误区。实际上，SOTIF 无需单独建设数据链路，而是通过结构化组织现有链路及数据资源，形成系统的安全论证体系。明确售后、整车、智驾等部门的责任，建立问题分类机制 —— 将运行中发现的问题精准界定为功能安全、信息安全或预期功能安全问题，确保高效闭环。

此外，体系融合已成为行业趋势。我们以 ASPICE 为基础，构建了功能安全、预期功能安全、ASPICE 三体系融合方案：包含ASPICE 除机器学习外的全部过程，功能安全除生产、运营等外的核心内容，SOTIF 全部过程，通过管理手册、操作指南、模板检查单等工具，实现融合流程的落地。

SOTIF 与数据闭环的双向驱动

数据是 SOTIF 落地的核心支撑，二者构成 “双向驱动” 关系 —— 数据闭环为 SOTIF 提供基础输入，SOTIF 为数据闭环提供方向指导，形成高效迭代的良性循环。

1

数据闭环赋能 SOTIF 深度落地：车端采集的感知数据、车辆状态数据、地图数据等，经清洗预处理后，通过场景语义标签生成、参数提取等环节，为 SOTIF 分析提供三大核心支撑：一是扩展触发条件库与危险场景库，二是为风险量化评估提供数据依据，三是验证安全接受准则的合理性。我们通过自主开发的场景提取工具、未知场景挖掘工具等，实现静态 及动态语义信息、驾驶状态信息的精准提取，快速定位 SOTIF 相关的实测数据。

2

SOTIF 指导数据闭环精准发力：SOTIF 分析为数据闭环提供明确的方向指引。基于风险评估结果制定安全导向的数据回传策略，明确哪些场景需要优先回传数据；将安全接受准则作为测试验证的核心评价指标；通过触发条件与危险场景定义，提升场景库覆盖度。例如，我们会将感知目标丢失、多车复杂交互、特殊天气路况等场景设为数据回传触发点，确保采集的数据精准服务于安全验证。

3

工具链支撑全流程高效运转：我们构建了覆盖 “数据获取 - 处理 - 管理 - 应用” 的全流程工具链：车端采集与航拍数据互补，通过场景库管理工具实现场景分类编码与筛选，借助安全评估模型开展风险量化，利用仿真加速测试工具替代部分实车里程测试。同时打通数据管理平台、标注平台、训练平台、仿真平台与实车平台，实现从场景挖掘、算法训练到测试验证的闭环运转。

4

场景泛化与触发条件积累：基于实车数据，我们应用多种参数概率分布模型，批量生成符合真实规律的测试场景，有效降低实车测试成本；通过智能背景车模型构建复杂交通环境，实现未知场景的高效挖掘。同时，我们已积累丰富的触发条件库，通过组合分析扩展新场景，并基于实车数据统计触发条件暴露率，为残余风险接受准则的制定提供科学依据。

安全从 “口号” 到 “可验证结论”

总结来看，SOTIF 在企业的落地核心实现了三大价值。

满足法规底线要求

这是最基础的目标，通过文档合规、场景测试、验证确认等工作，确保产品符合 L2 强标等法规要求，顺利通过审核。

构建系统化安全论据

SOTIF 并非新增额外工作，而是将开发过程中已有的测试数据、策略输出、问题记录等结构化组织起来，形成完整的安全论据体系，让开发团队清晰看到安全要求的落地情况，实现 “查漏补缺” 与 “成果沉淀”。

实现安全的迭代继承

让数据不仅服务于当下开发，更成为不断积累的安全支柱。通过持续挖掘未知场景、更新触发条件库，让安全能力随产品迭代不断继承复用，真正实现 “安全与开发同步进化”。

智能网联汽车的安全之路，需要流程与实践的深度融合，更需要数据与技术的持续赋能。我们希望通过 SOTIF 与开发、数据的闭环融合，让安全不再成为智能出行的束缚，真正实现 “让智能时代不受安全所困” 的愿景。