上海磐時是一家專門從事汽車功能安全、預(yù)期功能安全、信息安全相關(guān)的培訓(xùn)、流程咨詢、產(chǎn)品咨詢、工程服務(wù)的專業(yè)公司。

上海磐時信息技術(shù)有限公司創(chuàng)始人邊俊以《自動駕駛安全實踐挑戰(zhàn)及思考》為主題，從如何設(shè)計可靠冗余，如何讓Linux滿足功能安全，如何覆蓋感知系統(tǒng)的各種失效模式，如何正確判斷自動駕駛設(shè)計的ODD，如何定義自動駕駛的安全可接受準則，如何解決自動駕駛仿真環(huán)境和真實世界的差異性這幾個方面展開，以下是演講內(nèi)容整理：

上海磐時信息技術(shù)有限公司創(chuàng)始人邊俊

如何設(shè)計可靠冗余

首先做個簡單的自我介紹，我在2009年開始接觸功能安全，當(dāng)時普遍使用的標(biāo)準還是應(yīng)用于工業(yè)領(lǐng)域的IEC 61508，到如今已經(jīng)從事了十幾年安全相關(guān)的開發(fā)、審核等工作。首先說一下創(chuàng)立上海磐時信息技術(shù)公司的初心，從業(yè)十幾年來，我看到國內(nèi)安全領(lǐng)域和國外還是有一定差距，主要體現(xiàn)在自動駕駛、芯片、軟件質(zhì)量等領(lǐng)域，特別在自動駕駛領(lǐng)域，安全作為從L2向L3演進的最關(guān)鍵、也最基本的點，這一環(huán)節(jié)的完成度會影響到中國整個自動駕駛行業(yè)的落地。

自動駕駛安全需要集合國家和社會的財力和知識資源，建立行業(yè)性的連接，從而真正解決其在安全上的共性問題，最終助力中國自動駕駛的落地。今天我?guī)淼膬?nèi)容主要分為六個方面，主要是我在整個自動駕駛開發(fā)過程中碰到的問題和挑戰(zhàn)，需要大家一起探討完成。

第一，如何設(shè)計可靠的冗余系統(tǒng)，自動駕駛從L1向L4演進，安全冗余的設(shè)置也會越來越多，從L3-TJP交通擁堵輔助、L3-HWP高速公路引導(dǎo)等功能開始，在轉(zhuǎn)向、機動、定位等方面都會有冗余要求。到L3以上，安全冗余會有一個全方位的要求，涉及感知、域控、電控等基礎(chǔ)操作層面。

從2018年到如今，國內(nèi)已經(jīng)形成了自己的系統(tǒng)解決方案，但是有方案不代表這一領(lǐng)域真正實現(xiàn)了量產(chǎn)落地，其中仍然有很多技術(shù)問題沒有得到解決。首先，系統(tǒng)需要具備有效且及時的失效檢測機制，“有效”強調(diào)安全冗余機制的性能問題，國內(nèi)的安全冗余設(shè)計往往是多種安全機制相互校驗，如果有一個安全機制失效了，還要關(guān)注另外一個安全機制的性能能否達到要求。比如路征匹配和絕對定位一起構(gòu)成了道路級定位的冗余設(shè)計，一旦絕對定位失效，路征匹配方案是不是還具備足夠高的準確性，能夠支撐車輛運行，這是需要考慮的問題。

“及時”強調(diào)冗余機制的切換時間，需要系統(tǒng)在較短的時間內(nèi)檢測到失效點，并迅速切換到備用機制，才能保證系統(tǒng)的正常運行。比如將攝像頭和激光雷達融合，作為車道線識別的冗余設(shè)計，一旦激光雷達出現(xiàn)故障，實際運行車道線就會逐漸偏離攝像頭車道線，這就需要激光雷達自身的安全機制可以及時探測到故障，系統(tǒng)進而及時切換到基于攝像頭輸出的橫向控制。如果不能及時檢測故障，實際行駛車道線和攝像頭車道線偏差過大，系統(tǒng)就無法確認故障點，那么就必須采取緊急制動。

難點二，就是復(fù)雜的系統(tǒng)設(shè)計增加了冗余設(shè)計獨立性的難度。工作人員需要考慮各種共因失效和級聯(lián)失效，尤其是用到傳感器融合的一些設(shè)計，需要考慮傳感器的時間戳、自身運動狀態(tài)等共因。除了電子電器故障之外，外在環(huán)境因素也會導(dǎo)致冗余設(shè)計的失效，比如降雨可能同時導(dǎo)致攝像頭和激光雷達的性能下降。

做冗余設(shè)計的時候要從五個方面考慮。第一，要做充分的安全分析，如FTA，要把冗余機制由于性能局限導(dǎo)致失效的概率考慮在內(nèi)。第二，在開發(fā)階段早期做DFA的分析，避免潛在的公因失效和級聯(lián)失效。第三，要有時間規(guī)劃，需要縮短自我診斷和相互校驗的時間。第四，增加系統(tǒng)工程的投入。第五，進行雙重考慮，冗余設(shè)計既要實現(xiàn)ASIL等級分解，也要考慮fail-operational，為了故障降低的順利進行，感知系統(tǒng)至少需要三個獨立的功能/機制，通過3選2的策略，快速甄別故障。

如何讓Linux滿足功能安全

相比于其他系統(tǒng)，Linux有很多優(yōu)勢，一方面免費開源，擁有豐富的軟件庫，開發(fā)成本較低。另一方面綜合性能強，反應(yīng)時間、響應(yīng)速度更快，可以更有效地運行軟件任務(wù)，而且支持多核運行，適配于不同硬件。同時，Linux也有一定的劣勢，比如說整個開發(fā)過程沒有辦法達成功能安全相關(guān)的標(biāo)準，以下對Linux滿足功能安全的幾大挑戰(zhàn)做了概括：

第一是缺文檔，開發(fā)過程無法追溯。針對這一點，可以采用軟件FMEA分析的方式，將軟件模塊白盒化，識別失效模式和影響，也可以對軟件模塊做ASIL安全等級分解，從不同層級進行監(jiān)控，但如果采取軟件監(jiān)控，就需要額外去考慮其獨立性。

第二是硬實時性難以保證，針對這一點，常用策略是增加實時內(nèi)核，采用雙內(nèi)核運行，但這個解決方案也有很多問題，比如實時內(nèi)核無法擁有Linux內(nèi)核的優(yōu)越性，而Linux內(nèi)核無法滿足安全性，為了保證硬實時性采取雙核，可能會產(chǎn)生代碼移植的問題。

第三是代碼和單元測試的工作量巨大，這就需要針對安全做裁剪，重編不符合ISO26262編碼規(guī)范的代碼。第四是經(jīng)過安全性改造之后，Linux的優(yōu)越性消失。業(yè)內(nèi)有一個假設(shè)，也許將來不會存在縮水打包的Linux軟件包，這種軟件包可以應(yīng)用于對安全性要求很高的應(yīng)用程序上，但是在硬件的通用性上可能會打折扣。

從行業(yè)進展看，目前國內(nèi)外組織都在致力于提升Linux系統(tǒng)的安全性。因此，長遠來說，Linux可能是一個更開放的平臺，未來還是有蠻大概率被會用于安全的產(chǎn)品上。

如何覆蓋感知系統(tǒng)的各種失效模式

目前來說整個自動駕駛的難點其實在感知，比如說L1和L2級別自動駕駛的主要目標(biāo)是防止非預(yù)期的AEB導(dǎo)致與后車相撞，過渡到L3級別之后還會增加很多額外的安全目標(biāo)，比如要正確地識別道路邊緣信息；正確地識別前方障礙物以防止錯誤地前碰和后碰；正確地識別表征ODD的信息以防止系統(tǒng)進入不可知的危險狀態(tài)。

當(dāng)前感知上的安全目標(biāo)還是主要針對L1、L2級別進行定義，一旦要用于L3級別系統(tǒng)，如何考慮這些偏差會成為行業(yè)的一個難點。設(shè)想一個場景，早高峰陰轉(zhuǎn)中雨，你開車行駛在某道路路口，突然攝像頭故障，那么你會看到以下場景：行地址失效，列地址失效，控制寄存器失效，像素數(shù)據(jù)管道失效，內(nèi)存/寄存器尋址失效，圖像數(shù)據(jù)管道失效。

圖片來源：上海磐時信息技術(shù)有限公司

在L3級別自動駕駛中，需要保證目標(biāo)物識別正確，ODD識別正確的同時，考慮到各種失效對它的影響，這其實有非常大的工程量。我之前也見過國外的一些芯片，他們在做這塊分析時可能列到幾千個場景，針對每個場景去考慮有什么影響，如何去解決。

針對以上難點，行業(yè)內(nèi)也提出了幾類針對攝像頭的安全機制，一類是象素級別的模擬測試，主要是針對象素點，常用的方法比如模擬信號范圍篩查，ADC的測試方案，行/列存儲數(shù)據(jù)通路的測試方案，最后就是冗余。像素模擬測試可以用來解決像素顏色、強度、對比度的問題，也能發(fā)現(xiàn)大于一定域值的噪聲，但是沒有辦法解決象素的時間、空間的表達，也沒有辦法解決圖象傳輸中發(fā)生的問題。

針對圖象的測試，這也是目前行業(yè)內(nèi)應(yīng)用比較多的方式，典型方式就是給一個參考圖象，然后知道參考圖象應(yīng)該輸出什么目標(biāo)物。這種方式的優(yōu)勢是能夠針對象素的時間、空間表達去測試，但是也具備一定劣勢，其診斷覆蓋率很難達到一定要求，難以遍歷巨量的失效模式。

第三就是對組成元件的測試，這種方式覆蓋像素顏色、強度、對比度；像素時間、空間表達；圖像傳輸；也可以發(fā)現(xiàn)大于閾值的噪音，相當(dāng)于白核測試，采用關(guān)鍵數(shù)據(jù)寫入保護；CRC寄存器；溫度、電壓檢測；時鐘檢查等等方法進行。

圖片來源：上海磐時信息技術(shù)有限公司

以上這幾種方式，我認為未來肯定是都是要結(jié)合在一起的，但是如何設(shè)計一個高診斷覆蓋率，針對不同安全目標(biāo)都可以適用的方案，我相信是所有攝像頭廠商和后端芯片廠商的難題。

如何正確判斷自動駕駛設(shè)計的ODD運行設(shè)計域

其實在自動駕駛早期的時候，大家都更傾向于用靜態(tài)ODD約束和地理圍欄。發(fā)展到現(xiàn)在，純靜態(tài)運行設(shè)計域約束不再適用，系統(tǒng)需要具備有效且及時反映環(huán)境條件的動態(tài)檢測機制，保證系統(tǒng)始終在可接受風(fēng)險下運行。

這里舉了兩個例子，左圖是對于單一因子影響的評估：比如陽光直射導(dǎo)致攝像頭反光，系統(tǒng)如何判斷怎樣的反光程度會對駕駛員產(chǎn)生影響，何時應(yīng)該退出，這是當(dāng)前行業(yè)的難點。右圖是多影響因子耦合：大霧的夜晚，迎面遠光燈，系統(tǒng)如何評估這個時候是退出還是繼續(xù)運行。

圖片來源：上海磐時信息技術(shù)有限公司

以下是一個基于傳感器原理方法的環(huán)境觸發(fā)條件識別的案例：車輛在金屬護欄道路邊緣行駛，雷達反射導(dǎo)致虛景，系統(tǒng)誤認為前方有車，導(dǎo)致誤制動。

圖片來源：上海磐時信息技術(shù)有限公司

如何定義自動駕駛的安全可接受準則

針對如何定義自動駕駛的安全可接受準則，首先來解決兩個問題：已知不安全場景怎么樣算是可接受的？未知不安全場景的解決思路是什么？

針對已知不安全場景，一方面要去量化系統(tǒng)安全性能需求，建立測試評價體系，同時要解決仿真和實測上的技術(shù)難點，復(fù)現(xiàn)不安全場景，以仿真測試結(jié)果判斷是不是符合安全的要求。針對未知不安全的場景，也有兩個問題需要考慮：一是如何去定義自動駕駛釋放的安全準則，多大概率的碰撞是可接受的；二是如何去構(gòu)建一個場景庫，解決算法的安全問題，而不是一直進行實車測試，縮減測試周期。

具體而言，針對已知不安全場景，預(yù)期安全標(biāo)準羅列了對于傳感器、執(zhí)行器、算法及集成系統(tǒng)的不同測試方法，但目前并沒有給出量化KPI的方法。對于行業(yè)實踐來說，很多指標(biāo)都是需要去具體量化定義的，除了感知類的，其實還有控制類、決策類的指標(biāo)。每個指標(biāo)怎么去分配、定義，目前對于整個行業(yè)都是一個難題。

針對這一難題，可以去對感知系統(tǒng)的安全KPI進行量化：第一層通過RSS或者TTC去評估安全距離是不是合適。第二層是通過碰撞檢查，去評估肇事者是否可控？緩解策略的有效性多高？總體通過這兩條路線去評價決策系統(tǒng)是不是足夠安全。

圖片來源：上海磐時信息技術(shù)有限公司

如何解決未知的場景安全問題，就需要去定義整車安全準則：這輛車開了多久，碰撞概率多大。這是一個相對安全的概念。是對于安全性和可用性的平衡，那么一定需要考慮定義可接受風(fēng)險，什么是可接受風(fēng)險？目前有幾種思路。

第一，通過交通道路數(shù)據(jù)看在不同場景下的風(fēng)險準則。第二，參考功能安全ASIL A-D的等級標(biāo)準進行定義。在定義了風(fēng)險準則之后，還有一個問題就是如何去實測，曾經(jīng)有人估計過，如果要證明自動駕駛的算法是安全的，要測140億公里。這直觀反映了自動駕駛系統(tǒng)實測的工作量之大。因此，我認為仿真一定是未來的主流方向，雖然現(xiàn)在仿真有各種各樣的不足，但隨著數(shù)字化軟硬件技術(shù)的發(fā)展，這些問題都會逐漸得到解決。

如何解決自動駕駛仿真環(huán)境和真實世界的差異性

現(xiàn)在整個仿真和現(xiàn)實世界還是存在比較大的差異性，首先就是因為傳感器仿真模型的局限性?，F(xiàn)在常用的仿真軟件已經(jīng)可以做大部分傳感器的仿真模型，但是針對傳感器出現(xiàn)污漬、直面強光等場景，仿真中很難做出定量的判斷，只能定性處理，因此很難通過仿真找到算法的邊界問題。

更大的難點在于要建立一個和現(xiàn)實世界相似的場景模型，場景仿真的計算量非常大，如何支撐其物理仿真的工作。目前是盡可能拆解到若干有關(guān)功能安全的小型場景模塊，這是未來可能發(fā)展的一個方向。

總的來說，為解決自動駕駛仿真環(huán)境和真實世界的差異性，可以采取場景庫的模式：針對決策系統(tǒng)，通過足夠逼近真實世界的場景庫進行仿真，識別決策算法缺陷。也可以采取隨機交通流的方法：通過具有自主行駛能力的智能體或智能體集群形成的動態(tài)背景車與被測對象發(fā)生交互，產(chǎn)生場景，在隨機交通流中進行決策仿真。

（以上內(nèi)容來自上海磐時信息技術(shù)有限公司創(chuàng)始人邊俊于2022年8月26日由蓋世汽車主辦的2022中國汽車信息安全與功能安全大會發(fā)表的《自動駕駛安全實踐挑戰(zhàn)及思考》主題演講。）

返回第一電動網(wǎng)首頁 >