上海磐時是一家專門從事汽車功能安全、預期功能安全、信息安全相關的培訓、流程咨詢、產品咨詢、工程服務的專業公司。

上海磐時信息技術有限公司創始人邊俊以《自動駕駛安全實踐挑戰及思考》為主題，從如何設計可靠冗余，如何讓Linux滿足功能安全，如何覆蓋感知系統的各種失效模式，如何正確判斷自動駕駛設計的ODD，如何定義自動駕駛的安全可接受準則，如何解決自動駕駛仿真環境和真實世界的差異性這幾個方面展開，以下是演講內容整理：

上海磐時信息技術有限公司創始人邊俊

如何設計可靠冗余

首先做個簡單的自我介紹，我在2009年開始接觸功能安全，當時普遍使用的標準還是應用于工業領域的IEC 61508，到如今已經從事了十幾年安全相關的開發、審核等工作。首先說一下創立上海磐時信息技術公司的初心，從業十幾年來，我看到國內安全領域和國外還是有一定差距，主要體現在自動駕駛、芯片、軟件質量等領域，特別在自動駕駛領域，安全作為從L2向L3演進的最關鍵、也最基本的點，這一環節的完成度會影響到中國整個自動駕駛行業的落地。

自動駕駛安全需要集合國家和社會的財力和知識資源，建立行業性的連接，從而真正解決其在安全上的共性問題，最終助力中國自動駕駛的落地。今天我帶來的內容主要分為六個方面，主要是我在整個自動駕駛開發過程中碰到的問題和挑戰，需要大家一起探討完成。

第一，如何設計可靠的冗余系統，自動駕駛從L1向L4演進，安全冗余的設置也會越來越多，從L3-TJP交通擁堵輔助、L3-HWP高速公路引導等功能開始，在轉向、機動、定位等方面都會有冗余要求。到L3以上，安全冗余會有一個全方位的要求，涉及感知、域控、電控等基礎操作層面。

從2018年到如今，國內已經形成了自己的系統解決方案，但是有方案不代表這一領域真正實現了量產落地，其中仍然有很多技術問題沒有得到解決。首先，系統需要具備有效且及時的失效檢測機制，“有效”強調安全冗余機制的性能問題，國內的安全冗余設計往往是多種安全機制相互校驗，如果有一個安全機制失效了，還要關注另外一個安全機制的性能能否達到要求。比如路征匹配和絕對定位一起構成了道路級定位的冗余設計，一旦絕對定位失效，路征匹配方案是不是還具備足夠高的準確性，能夠支撐車輛運行，這是需要考慮的問題。

“及時”強調冗余機制的切換時間，需要系統在較短的時間內檢測到失效點，并迅速切換到備用機制，才能保證系統的正常運行。比如將攝像頭和激光雷達融合，作為車道線識別的冗余設計，一旦激光雷達出現故障，實際運行車道線就會逐漸偏離攝像頭車道線，這就需要激光雷達自身的安全機制可以及時探測到故障，系統進而及時切換到基于攝像頭輸出的橫向控制。如果不能及時檢測故障，實際行駛車道線和攝像頭車道線偏差過大，系統就無法確認故障點，那么就必須采取緊急制動。

難點二，就是復雜的系統設計增加了冗余設計獨立性的難度。工作人員需要考慮各種共因失效和級聯失效，尤其是用到傳感器融合的一些設計，需要考慮傳感器的時間戳、自身運動狀態等共因。除了電子電器故障之外，外在環境因素也會導致冗余設計的失效，比如降雨可能同時導致攝像頭和激光雷達的性能下降。

做冗余設計的時候要從五個方面考慮。第一，要做充分的安全分析，如FTA，要把冗余機制由于性能局限導致失效的概率考慮在內。第二，在開發階段早期做DFA的分析，避免潛在的公因失效和級聯失效。第三，要有時間規劃，需要縮短自我診斷和相互校驗的時間。第四，增加系統工程的投入。第五，進行雙重考慮，冗余設計既要實現ASIL等級分解，也要考慮fail-operational，為了故障降低的順利進行，感知系統至少需要三個獨立的功能/機制，通過3選2的策略，快速甄別故障。

如何讓Linux滿足功能安全

相比于其他系統，Linux有很多優勢，一方面免費開源，擁有豐富的軟件庫，開發成本較低。另一方面綜合性能強，反應時間、響應速度更快，可以更有效地運行軟件任務，而且支持多核運行，適配于不同硬件。同時，Linux也有一定的劣勢，比如說整個開發過程沒有辦法達成功能安全相關的標準，以下對Linux滿足功能安全的幾大挑戰做了概括：

第一是缺文檔，開發過程無法追溯。針對這一點，可以采用軟件FMEA分析的方式，將軟件模塊白盒化，識別失效模式和影響，也可以對軟件模塊做ASIL安全等級分解，從不同層級進行監控，但如果采取軟件監控，就需要額外去考慮其獨立性。

第二是硬實時性難以保證，針對這一點，常用策略是增加實時內核，采用雙內核運行，但這個解決方案也有很多問題，比如實時內核無法擁有Linux內核的優越性，而Linux內核無法滿足安全性，為了保證硬實時性采取雙核，可能會產生代碼移植的問題。

第三是代碼和單元測試的工作量巨大，這就需要針對安全做裁剪，重編不符合ISO26262編碼規范的代碼。第四是經過安全性改造之后，Linux的優越性消失。業內有一個假設，也許將來不會存在縮水打包的Linux軟件包，這種軟件包可以應用于對安全性要求很高的應用程序上，但是在硬件的通用性上可能會打折扣。

從行業進展看，目前國內外組織都在致力于提升Linux系統的安全性。因此，長遠來說，Linux可能是一個更開放的平臺，未來還是有蠻大概率被會用于安全的產品上。

如何覆蓋感知系統的各種失效模式

目前來說整個自動駕駛的難點其實在感知，比如說L1和L2級別自動駕駛的主要目標是防止非預期的AEB導致與后車相撞，過渡到L3級別之后還會增加很多額外的安全目標，比如要正確地識別道路邊緣信息；正確地識別前方障礙物以防止錯誤地前碰和后碰；正確地識別表征ODD的信息以防止系統進入不可知的危險狀態。

當前感知上的安全目標還是主要針對L1、L2級別進行定義，一旦要用于L3級別系統，如何考慮這些偏差會成為行業的一個難點。設想一個場景，早高峰陰轉中雨，你開車行駛在某道路路口，突然攝像頭故障，那么你會看到以下場景：行地址失效，列地址失效，控制寄存器失效，像素數據管道失效，內存/寄存器尋址失效，圖像數據管道失效。

圖片來源：上海磐時信息技術有限公司

在L3級別自動駕駛中，需要保證目標物識別正確，ODD識別正確的同時，考慮到各種失效對它的影響，這其實有非常大的工程量。我之前也見過國外的一些芯片，他們在做這塊分析時可能列到幾千個場景，針對每個場景去考慮有什么影響，如何去解決。

針對以上難點，行業內也提出了幾類針對攝像頭的安全機制，一類是象素級別的模擬測試，主要是針對象素點，常用的方法比如模擬信號范圍篩查，ADC的測試方案，行/列存儲數據通路的測試方案，最后就是冗余。像素模擬測試可以用來解決像素顏色、強度、對比度的問題，也能發現大于一定域值的噪聲，但是沒有辦法解決象素的時間、空間的表達，也沒有辦法解決圖象傳輸中發生的問題。

針對圖象的測試，這也是目前行業內應用比較多的方式，典型方式就是給一個參考圖象，然后知道參考圖象應該輸出什么目標物。這種方式的優勢是能夠針對象素的時間、空間表達去測試，但是也具備一定劣勢，其診斷覆蓋率很難達到一定要求，難以遍歷巨量的失效模式。

第三就是對組成元件的測試，這種方式覆蓋像素顏色、強度、對比度；像素時間、空間表達；圖像傳輸；也可以發現大于閾值的噪音，相當于白核測試，采用關鍵數據寫入保護；CRC寄存器；溫度、電壓檢測；時鐘檢查等等方法進行。

圖片來源：上海磐時信息技術有限公司

以上這幾種方式，我認為未來肯定是都是要結合在一起的，但是如何設計一個高診斷覆蓋率，針對不同安全目標都可以適用的方案，我相信是所有攝像頭廠商和后端芯片廠商的難題。

如何正確判斷自動駕駛設計的ODD運行設計域

其實在自動駕駛早期的時候，大家都更傾向于用靜態ODD約束和地理圍欄。發展到現在，純靜態運行設計域約束不再適用，系統需要具備有效且及時反映環境條件的動態檢測機制，保證系統始終在可接受風險下運行。

這里舉了兩個例子，左圖是對于單一因子影響的評估：比如陽光直射導致攝像頭反光，系統如何判斷怎樣的反光程度會對駕駛員產生影響，何時應該退出，這是當前行業的難點。右圖是多影響因子耦合：大霧的夜晚，迎面遠光燈，系統如何評估這個時候是退出還是繼續運行。

圖片來源：上海磐時信息技術有限公司

以下是一個基于傳感器原理方法的環境觸發條件識別的案例：車輛在金屬護欄道路邊緣行駛，雷達反射導致虛景，系統誤認為前方有車，導致誤制動。

圖片來源：上海磐時信息技術有限公司

如何定義自動駕駛的安全可接受準則

針對如何定義自動駕駛的安全可接受準則，首先來解決兩個問題：已知不安全場景怎么樣算是可接受的？未知不安全場景的解決思路是什么？

針對已知不安全場景，一方面要去量化系統安全性能需求，建立測試評價體系，同時要解決仿真和實測上的技術難點，復現不安全場景，以仿真測試結果判斷是不是符合安全的要求。針對未知不安全的場景，也有兩個問題需要考慮：一是如何去定義自動駕駛釋放的安全準則，多大概率的碰撞是可接受的；二是如何去構建一個場景庫，解決算法的安全問題，而不是一直進行實車測試，縮減測試周期。

具體而言，針對已知不安全場景，預期安全標準羅列了對于傳感器、執行器、算法及集成系統的不同測試方法，但目前并沒有給出量化KPI的方法。對于行業實踐來說，很多指標都是需要去具體量化定義的，除了感知類的，其實還有控制類、決策類的指標。每個指標怎么去分配、定義，目前對于整個行業都是一個難題。

針對這一難題，可以去對感知系統的安全KPI進行量化：第一層通過RSS或者TTC去評估安全距離是不是合適。第二層是通過碰撞檢查，去評估肇事者是否可控？緩解策略的有效性多高？總體通過這兩條路線去評價決策系統是不是足夠安全。

圖片來源：上海磐時信息技術有限公司

如何解決未知的場景安全問題，就需要去定義整車安全準則：這輛車開了多久，碰撞概率多大。這是一個相對安全的概念。是對于安全性和可用性的平衡，那么一定需要考慮定義可接受風險，什么是可接受風險？目前有幾種思路。

第一，通過交通道路數據看在不同場景下的風險準則。第二，參考功能安全ASIL A-D的等級標準進行定義。在定義了風險準則之后，還有一個問題就是如何去實測，曾經有人估計過，如果要證明自動駕駛的算法是安全的，要測140億公里。這直觀反映了自動駕駛系統實測的工作量之大。因此，我認為仿真一定是未來的主流方向，雖然現在仿真有各種各樣的不足，但隨著數字化軟硬件技術的發展，這些問題都會逐漸得到解決。

如何解決自動駕駛仿真環境和真實世界的差異性

現在整個仿真和現實世界還是存在比較大的差異性，首先就是因為傳感器仿真模型的局限性。現在常用的仿真軟件已經可以做大部分傳感器的仿真模型，但是針對傳感器出現污漬、直面強光等場景，仿真中很難做出定量的判斷，只能定性處理，因此很難通過仿真找到算法的邊界問題。

更大的難點在于要建立一個和現實世界相似的場景模型，場景仿真的計算量非常大，如何支撐其物理仿真的工作。目前是盡可能拆解到若干有關功能安全的小型場景模塊，這是未來可能發展的一個方向。

總的來說，為解決自動駕駛仿真環境和真實世界的差異性，可以采取場景庫的模式：針對決策系統，通過足夠逼近真實世界的場景庫進行仿真，識別決策算法缺陷。也可以采取隨機交通流的方法：通過具有自主行駛能力的智能體或智能體集群形成的動態背景車與被測對象發生交互，產生場景，在隨機交通流中進行決策仿真。

（以上內容來自上海磐時信息技術有限公司創始人邊俊于2022年8月26日由蓋世汽車主辦的2022中國汽車信息安全與功能安全大會發表的《自動駕駛安全實踐挑戰及思考》主題演講。）

返回第一電動網首頁 >