上海磐時(shí)是一家專門從事汽車功能安全、預(yù)期功能安全、信息安全相關(guān)的培訓(xùn)、流程咨詢、產(chǎn)品咨詢、工程服務(wù)的專業(yè)公司。

上海磐時(shí)信息技術(shù)有限公司創(chuàng)始人邊俊以《自動(dòng)駕駛安全實(shí)踐挑戰(zhàn)及思考》為主題，從如何設(shè)計(jì)可靠冗余，如何讓Linux滿足功能安全，如何覆蓋感知系統(tǒng)的各種失效模式，如何正確判斷自動(dòng)駕駛設(shè)計(jì)的ODD，如何定義自動(dòng)駕駛的安全可接受準(zhǔn)則，如何解決自動(dòng)駕駛仿真環(huán)境和真實(shí)世界的差異性這幾個(gè)方面展開，以下是演講內(nèi)容整理：

上海磐時(shí)信息技術(shù)有限公司創(chuàng)始人邊俊

如何設(shè)計(jì)可靠冗余

首先做個(gè)簡單的自我介紹，我在2009年開始接觸功能安全，當(dāng)時(shí)普遍使用的標(biāo)準(zhǔn)還是應(yīng)用于工業(yè)領(lǐng)域的IEC 61508，到如今已經(jīng)從事了十幾年安全相關(guān)的開發(fā)、審核等工作。首先說一下創(chuàng)立上海磐時(shí)信息技術(shù)公司的初心，從業(yè)十幾年來，我看到國內(nèi)安全領(lǐng)域和國外還是有一定差距，主要體現(xiàn)在自動(dòng)駕駛、芯片、軟件質(zhì)量等領(lǐng)域，特別在自動(dòng)駕駛領(lǐng)域，安全作為從L2向L3演進(jìn)的最關(guān)鍵、也最基本的點(diǎn)，這一環(huán)節(jié)的完成度會影響到中國整個(gè)自動(dòng)駕駛行業(yè)的落地。

自動(dòng)駕駛安全需要集合國家和社會的財(cái)力和知識資源，建立行業(yè)性的連接，從而真正解決其在安全上的共性問題，最終助力中國自動(dòng)駕駛的落地。今天我?guī)淼膬?nèi)容主要分為六個(gè)方面，主要是我在整個(gè)自動(dòng)駕駛開發(fā)過程中碰到的問題和挑戰(zhàn)，需要大家一起探討完成。

第一，如何設(shè)計(jì)可靠的冗余系統(tǒng)，自動(dòng)駕駛從L1向L4演進(jìn)，安全冗余的設(shè)置也會越來越多，從L3-TJP交通擁堵輔助、L3-HWP高速公路引導(dǎo)等功能開始，在轉(zhuǎn)向、機(jī)動(dòng)、定位等方面都會有冗余要求。到L3以上，安全冗余會有一個(gè)全方位的要求，涉及感知、域控、電控等基礎(chǔ)操作層面。

從2018年到如今，國內(nèi)已經(jīng)形成了自己的系統(tǒng)解決方案，但是有方案不代表這一領(lǐng)域真正實(shí)現(xiàn)了量產(chǎn)落地，其中仍然有很多技術(shù)問題沒有得到解決。首先，系統(tǒng)需要具備有效且及時(shí)的失效檢測機(jī)制，“有效”強(qiáng)調(diào)安全冗余機(jī)制的性能問題，國內(nèi)的安全冗余設(shè)計(jì)往往是多種安全機(jī)制相互校驗(yàn)，如果有一個(gè)安全機(jī)制失效了，還要關(guān)注另外一個(gè)安全機(jī)制的性能能否達(dá)到要求。比如路征匹配和絕對定位一起構(gòu)成了道路級定位的冗余設(shè)計(jì)，一旦絕對定位失效，路征匹配方案是不是還具備足夠高的準(zhǔn)確性，能夠支撐車輛運(yùn)行，這是需要考慮的問題。

“及時(shí)”強(qiáng)調(diào)冗余機(jī)制的切換時(shí)間，需要系統(tǒng)在較短的時(shí)間內(nèi)檢測到失效點(diǎn)，并迅速切換到備用機(jī)制，才能保證系統(tǒng)的正常運(yùn)行。比如將攝像頭和激光雷達(dá)融合，作為車道線識別的冗余設(shè)計(jì)，一旦激光雷達(dá)出現(xiàn)故障，實(shí)際運(yùn)行車道線就會逐漸偏離攝像頭車道線，這就需要激光雷達(dá)自身的安全機(jī)制可以及時(shí)探測到故障，系統(tǒng)進(jìn)而及時(shí)切換到基于攝像頭輸出的橫向控制。如果不能及時(shí)檢測故障，實(shí)際行駛車道線和攝像頭車道線偏差過大，系統(tǒng)就無法確認(rèn)故障點(diǎn)，那么就必須采取緊急制動(dòng)。

難點(diǎn)二，就是復(fù)雜的系統(tǒng)設(shè)計(jì)增加了冗余設(shè)計(jì)獨(dú)立性的難度。工作人員需要考慮各種共因失效和級聯(lián)失效，尤其是用到傳感器融合的一些設(shè)計(jì)，需要考慮傳感器的時(shí)間戳、自身運(yùn)動(dòng)狀態(tài)等共因。除了電子電器故障之外，外在環(huán)境因素也會導(dǎo)致冗余設(shè)計(jì)的失效，比如降雨可能同時(shí)導(dǎo)致攝像頭和激光雷達(dá)的性能下降。

做冗余設(shè)計(jì)的時(shí)候要從五個(gè)方面考慮。第一，要做充分的安全分析，如FTA，要把冗余機(jī)制由于性能局限導(dǎo)致失效的概率考慮在內(nèi)。第二，在開發(fā)階段早期做DFA的分析，避免潛在的公因失效和級聯(lián)失效。第三，要有時(shí)間規(guī)劃，需要縮短自我診斷和相互校驗(yàn)的時(shí)間。第四，增加系統(tǒng)工程的投入。第五，進(jìn)行雙重考慮，冗余設(shè)計(jì)既要實(shí)現(xiàn)ASIL等級分解，也要考慮fail-operational，為了故障降低的順利進(jìn)行，感知系統(tǒng)至少需要三個(gè)獨(dú)立的功能/機(jī)制，通過3選2的策略，快速甄別故障。

如何讓Linux滿足功能安全

相比于其他系統(tǒng)，Linux有很多優(yōu)勢，一方面免費(fèi)開源，擁有豐富的軟件庫，開發(fā)成本較低。另一方面綜合性能強(qiáng)，反應(yīng)時(shí)間、響應(yīng)速度更快，可以更有效地運(yùn)行軟件任務(wù)，而且支持多核運(yùn)行，適配于不同硬件。同時(shí)，Linux也有一定的劣勢，比如說整個(gè)開發(fā)過程沒有辦法達(dá)成功能安全相關(guān)的標(biāo)準(zhǔn)，以下對Linux滿足功能安全的幾大挑戰(zhàn)做了概括：

第一是缺文檔，開發(fā)過程無法追溯。針對這一點(diǎn)，可以采用軟件FMEA分析的方式，將軟件模塊白盒化，識別失效模式和影響，也可以對軟件模塊做ASIL安全等級分解，從不同層級進(jìn)行監(jiān)控，但如果采取軟件監(jiān)控，就需要額外去考慮其獨(dú)立性。

第二是硬實(shí)時(shí)性難以保證，針對這一點(diǎn)，常用策略是增加實(shí)時(shí)內(nèi)核，采用雙內(nèi)核運(yùn)行，但這個(gè)解決方案也有很多問題，比如實(shí)時(shí)內(nèi)核無法擁有Linux內(nèi)核的優(yōu)越性，而Linux內(nèi)核無法滿足安全性，為了保證硬實(shí)時(shí)性采取雙核，可能會產(chǎn)生代碼移植的問題。

第三是代碼和單元測試的工作量巨大，這就需要針對安全做裁剪，重編不符合ISO26262編碼規(guī)范的代碼。第四是經(jīng)過安全性改造之后，Linux的優(yōu)越性消失。業(yè)內(nèi)有一個(gè)假設(shè)，也許將來不會存在縮水打包的Linux軟件包，這種軟件包可以應(yīng)用于對安全性要求很高的應(yīng)用程序上，但是在硬件的通用性上可能會打折扣。

從行業(yè)進(jìn)展看，目前國內(nèi)外組織都在致力于提升Linux系統(tǒng)的安全性。因此，長遠(yuǎn)來說，Linux可能是一個(gè)更開放的平臺，未來還是有蠻大概率被會用于安全的產(chǎn)品上。

如何覆蓋感知系統(tǒng)的各種失效模式

目前來說整個(gè)自動(dòng)駕駛的難點(diǎn)其實(shí)在感知，比如說L1和L2級別自動(dòng)駕駛的主要目標(biāo)是防止非預(yù)期的AEB導(dǎo)致與后車相撞，過渡到L3級別之后還會增加很多額外的安全目標(biāo)，比如要正確地識別道路邊緣信息；正確地識別前方障礙物以防止錯(cuò)誤地前碰和后碰；正確地識別表征ODD的信息以防止系統(tǒng)進(jìn)入不可知的危險(xiǎn)狀態(tài)。

當(dāng)前感知上的安全目標(biāo)還是主要針對L1、L2級別進(jìn)行定義，一旦要用于L3級別系統(tǒng)，如何考慮這些偏差會成為行業(yè)的一個(gè)難點(diǎn)。設(shè)想一個(gè)場景，早高峰陰轉(zhuǎn)中雨，你開車行駛在某道路路口，突然攝像頭故障，那么你會看到以下場景：行地址失效，列地址失效，控制寄存器失效，像素?cái)?shù)據(jù)管道失效，內(nèi)存/寄存器尋址失效，圖像數(shù)據(jù)管道失效。

圖片來源：上海磐時(shí)信息技術(shù)有限公司

在L3級別自動(dòng)駕駛中，需要保證目標(biāo)物識別正確，ODD識別正確的同時(shí)，考慮到各種失效對它的影響，這其實(shí)有非常大的工程量。我之前也見過國外的一些芯片，他們在做這塊分析時(shí)可能列到幾千個(gè)場景，針對每個(gè)場景去考慮有什么影響，如何去解決。

針對以上難點(diǎn)，行業(yè)內(nèi)也提出了幾類針對攝像頭的安全機(jī)制，一類是象素級別的模擬測試，主要是針對象素點(diǎn)，常用的方法比如模擬信號范圍篩查，ADC的測試方案，行/列存儲數(shù)據(jù)通路的測試方案，最后就是冗余。像素模擬測試可以用來解決像素顏色、強(qiáng)度、對比度的問題，也能發(fā)現(xiàn)大于一定域值的噪聲，但是沒有辦法解決象素的時(shí)間、空間的表達(dá)，也沒有辦法解決圖象傳輸中發(fā)生的問題。

針對圖象的測試，這也是目前行業(yè)內(nèi)應(yīng)用比較多的方式，典型方式就是給一個(gè)參考圖象，然后知道參考圖象應(yīng)該輸出什么目標(biāo)物。這種方式的優(yōu)勢是能夠針對象素的時(shí)間、空間表達(dá)去測試，但是也具備一定劣勢，其診斷覆蓋率很難達(dá)到一定要求，難以遍歷巨量的失效模式。

第三就是對組成元件的測試，這種方式覆蓋像素顏色、強(qiáng)度、對比度；像素時(shí)間、空間表達(dá)；圖像傳輸；也可以發(fā)現(xiàn)大于閾值的噪音，相當(dāng)于白核測試，采用關(guān)鍵數(shù)據(jù)寫入保護(hù)；CRC寄存器；溫度、電壓檢測；時(shí)鐘檢查等等方法進(jìn)行。

圖片來源：上海磐時(shí)信息技術(shù)有限公司

以上這幾種方式，我認(rèn)為未來肯定是都是要結(jié)合在一起的，但是如何設(shè)計(jì)一個(gè)高診斷覆蓋率，針對不同安全目標(biāo)都可以適用的方案，我相信是所有攝像頭廠商和后端芯片廠商的難題。

如何正確判斷自動(dòng)駕駛設(shè)計(jì)的ODD運(yùn)行設(shè)計(jì)域

其實(shí)在自動(dòng)駕駛早期的時(shí)候，大家都更傾向于用靜態(tài)ODD約束和地理圍欄。發(fā)展到現(xiàn)在，純靜態(tài)運(yùn)行設(shè)計(jì)域約束不再適用，系統(tǒng)需要具備有效且及時(shí)反映環(huán)境條件的動(dòng)態(tài)檢測機(jī)制，保證系統(tǒng)始終在可接受風(fēng)險(xiǎn)下運(yùn)行。

這里舉了兩個(gè)例子，左圖是對于單一因子影響的評估：比如陽光直射導(dǎo)致攝像頭反光，系統(tǒng)如何判斷怎樣的反光程度會對駕駛員產(chǎn)生影響，何時(shí)應(yīng)該退出，這是當(dāng)前行業(yè)的難點(diǎn)。右圖是多影響因子耦合：大霧的夜晚，迎面遠(yuǎn)光燈，系統(tǒng)如何評估這個(gè)時(shí)候是退出還是繼續(xù)運(yùn)行。

圖片來源：上海磐時(shí)信息技術(shù)有限公司

以下是一個(gè)基于傳感器原理方法的環(huán)境觸發(fā)條件識別的案例：車輛在金屬護(hù)欄道路邊緣行駛，雷達(dá)反射導(dǎo)致虛景，系統(tǒng)誤認(rèn)為前方有車，導(dǎo)致誤制動(dòng)。

圖片來源：上海磐時(shí)信息技術(shù)有限公司

如何定義自動(dòng)駕駛的安全可接受準(zhǔn)則

針對如何定義自動(dòng)駕駛的安全可接受準(zhǔn)則，首先來解決兩個(gè)問題：已知不安全場景怎么樣算是可接受的？未知不安全場景的解決思路是什么？

針對已知不安全場景，一方面要去量化系統(tǒng)安全性能需求，建立測試評價(jià)體系，同時(shí)要解決仿真和實(shí)測上的技術(shù)難點(diǎn)，復(fù)現(xiàn)不安全場景，以仿真測試結(jié)果判斷是不是符合安全的要求。針對未知不安全的場景，也有兩個(gè)問題需要考慮：一是如何去定義自動(dòng)駕駛釋放的安全準(zhǔn)則，多大概率的碰撞是可接受的；二是如何去構(gòu)建一個(gè)場景庫，解決算法的安全問題，而不是一直進(jìn)行實(shí)車測試，縮減測試周期。

具體而言，針對已知不安全場景，預(yù)期安全標(biāo)準(zhǔn)羅列了對于傳感器、執(zhí)行器、算法及集成系統(tǒng)的不同測試方法，但目前并沒有給出量化KPI的方法。對于行業(yè)實(shí)踐來說，很多指標(biāo)都是需要去具體量化定義的，除了感知類的，其實(shí)還有控制類、決策類的指標(biāo)。每個(gè)指標(biāo)怎么去分配、定義，目前對于整個(gè)行業(yè)都是一個(gè)難題。

針對這一難題，可以去對感知系統(tǒng)的安全KPI進(jìn)行量化：第一層通過RSS或者TTC去評估安全距離是不是合適。第二層是通過碰撞檢查，去評估肇事者是否可控？緩解策略的有效性多高？總體通過這兩條路線去評價(jià)決策系統(tǒng)是不是足夠安全。

圖片來源：上海磐時(shí)信息技術(shù)有限公司

如何解決未知的場景安全問題，就需要去定義整車安全準(zhǔn)則：這輛車開了多久，碰撞概率多大。這是一個(gè)相對安全的概念。是對于安全性和可用性的平衡，那么一定需要考慮定義可接受風(fēng)險(xiǎn)，什么是可接受風(fēng)險(xiǎn)？目前有幾種思路。

第一，通過交通道路數(shù)據(jù)看在不同場景下的風(fēng)險(xiǎn)準(zhǔn)則。第二，參考功能安全ASIL A-D的等級標(biāo)準(zhǔn)進(jìn)行定義。在定義了風(fēng)險(xiǎn)準(zhǔn)則之后，還有一個(gè)問題就是如何去實(shí)測，曾經(jīng)有人估計(jì)過，如果要證明自動(dòng)駕駛的算法是安全的，要測140億公里。這直觀反映了自動(dòng)駕駛系統(tǒng)實(shí)測的工作量之大。因此，我認(rèn)為仿真一定是未來的主流方向，雖然現(xiàn)在仿真有各種各樣的不足，但隨著數(shù)字化軟硬件技術(shù)的發(fā)展，這些問題都會逐漸得到解決。

如何解決自動(dòng)駕駛仿真環(huán)境和真實(shí)世界的差異性

現(xiàn)在整個(gè)仿真和現(xiàn)實(shí)世界還是存在比較大的差異性，首先就是因?yàn)閭鞲衅鞣抡婺Ｐ偷木窒扌浴，F(xiàn)在常用的仿真軟件已經(jīng)可以做大部分傳感器的仿真模型，但是針對傳感器出現(xiàn)污漬、直面強(qiáng)光等場景，仿真中很難做出定量的判斷，只能定性處理，因此很難通過仿真找到算法的邊界問題。

更大的難點(diǎn)在于要建立一個(gè)和現(xiàn)實(shí)世界相似的場景模型，場景仿真的計(jì)算量非常大，如何支撐其物理仿真的工作。目前是盡可能拆解到若干有關(guān)功能安全的小型場景模塊，這是未來可能發(fā)展的一個(gè)方向。

總的來說，為解決自動(dòng)駕駛仿真環(huán)境和真實(shí)世界的差異性，可以采取場景庫的模式：針對決策系統(tǒng)，通過足夠逼近真實(shí)世界的場景庫進(jìn)行仿真，識別決策算法缺陷。也可以采取隨機(jī)交通流的方法：通過具有自主行駛能力的智能體或智能體集群形成的動(dòng)態(tài)背景車與被測對象發(fā)生交互，產(chǎn)生場景，在隨機(jī)交通流中進(jìn)行決策仿真。

（以上內(nèi)容來自上海磐時(shí)信息技術(shù)有限公司創(chuàng)始人邊俊于2022年8月26日由蓋世汽車主辦的2022中國汽車信息安全與功能安全大會發(fā)表的《自動(dòng)駕駛安全實(shí)踐挑戰(zhàn)及思考》主題演講。）

返回第一電動(dòng)網(wǎng)首頁 >