上海磐時(shí)是一家專門從事汽車功能安全、預(yù)期功能安全、信息安全相關(guān)的培訓(xùn)、流程咨詢、產(chǎn)品咨詢、工程服務(wù)的專業(yè)公司。

上海磐時(shí)信息技術(shù)有限公司創(chuàng)始人邊俊以《自動(dòng)駕駛安全實(shí)踐挑戰(zhàn)及思考》為主題，從如何設(shè)計(jì)可靠冗余，如何讓Linux滿足功能安全，如何覆蓋感知系統(tǒng)的各種失效模式，如何正確判斷自動(dòng)駕駛設(shè)計(jì)的ODD，如何定義自動(dòng)駕駛的安全可接受準(zhǔn)則，如何解決自動(dòng)駕駛仿真環(huán)境和真實(shí)世界的差異性這幾個(gè)方面展開，以下是演講內(nèi)容整理：

上海磐時(shí)信息技術(shù)有限公司創(chuàng)始人邊俊

如何設(shè)計(jì)可靠冗余

首先做個(gè)簡(jiǎn)單的自我介紹，我在2009年開始接觸功能安全，當(dāng)時(shí)普遍使用的標(biāo)準(zhǔn)還是應(yīng)用于工業(yè)領(lǐng)域的IEC 61508，到如今已經(jīng)從事了十幾年安全相關(guān)的開發(fā)、審核等工作。首先說(shuō)一下創(chuàng)立上海磐時(shí)信息技術(shù)公司的初心，從業(yè)十幾年來(lái)，我看到國(guó)內(nèi)安全領(lǐng)域和國(guó)外還是有一定差距，主要體現(xiàn)在自動(dòng)駕駛、芯片、軟件質(zhì)量等領(lǐng)域，特別在自動(dòng)駕駛領(lǐng)域，安全作為從L2向L3演進(jìn)的最關(guān)鍵、也最基本的點(diǎn)，這一環(huán)節(jié)的完成度會(huì)影響到中國(guó)整個(gè)自動(dòng)駕駛行業(yè)的落地。

自動(dòng)駕駛安全需要集合國(guó)家和社會(huì)的財(cái)力和知識(shí)資源，建立行業(yè)性的連接，從而真正解決其在安全上的共性問題，最終助力中國(guó)自動(dòng)駕駛的落地。今天我?guī)?lái)的內(nèi)容主要分為六個(gè)方面，主要是我在整個(gè)自動(dòng)駕駛開發(fā)過(guò)程中碰到的問題和挑戰(zhàn)，需要大家一起探討完成。

第一，如何設(shè)計(jì)可靠的冗余系統(tǒng)，自動(dòng)駕駛從L1向L4演進(jìn)，安全冗余的設(shè)置也會(huì)越來(lái)越多，從L3-TJP交通擁堵輔助、L3-HWP高速公路引導(dǎo)等功能開始，在轉(zhuǎn)向、機(jī)動(dòng)、定位等方面都會(huì)有冗余要求。到L3以上，安全冗余會(huì)有一個(gè)全方位的要求，涉及感知、域控、電控等基礎(chǔ)操作層面。

從2018年到如今，國(guó)內(nèi)已經(jīng)形成了自己的系統(tǒng)解決方案，但是有方案不代表這一領(lǐng)域真正實(shí)現(xiàn)了量產(chǎn)落地，其中仍然有很多技術(shù)問題沒有得到解決。首先，系統(tǒng)需要具備有效且及時(shí)的失效檢測(cè)機(jī)制，“有效”強(qiáng)調(diào)安全冗余機(jī)制的性能問題，國(guó)內(nèi)的安全冗余設(shè)計(jì)往往是多種安全機(jī)制相互校驗(yàn)，如果有一個(gè)安全機(jī)制失效了，還要關(guān)注另外一個(gè)安全機(jī)制的性能能否達(dá)到要求。比如路征匹配和絕對(duì)定位一起構(gòu)成了道路級(jí)定位的冗余設(shè)計(jì)，一旦絕對(duì)定位失效，路征匹配方案是不是還具備足夠高的準(zhǔn)確性，能夠支撐車輛運(yùn)行，這是需要考慮的問題。

“及時(shí)”強(qiáng)調(diào)冗余機(jī)制的切換時(shí)間，需要系統(tǒng)在較短的時(shí)間內(nèi)檢測(cè)到失效點(diǎn)，并迅速切換到備用機(jī)制，才能保證系統(tǒng)的正常運(yùn)行。比如將攝像頭和激光雷達(dá)融合，作為車道線識(shí)別的冗余設(shè)計(jì)，一旦激光雷達(dá)出現(xiàn)故障，實(shí)際運(yùn)行車道線就會(huì)逐漸偏離攝像頭車道線，這就需要激光雷達(dá)自身的安全機(jī)制可以及時(shí)探測(cè)到故障，系統(tǒng)進(jìn)而及時(shí)切換到基于攝像頭輸出的橫向控制。如果不能及時(shí)檢測(cè)故障，實(shí)際行駛車道線和攝像頭車道線偏差過(guò)大，系統(tǒng)就無(wú)法確認(rèn)故障點(diǎn)，那么就必須采取緊急制動(dòng)。

難點(diǎn)二，就是復(fù)雜的系統(tǒng)設(shè)計(jì)增加了冗余設(shè)計(jì)獨(dú)立性的難度。工作人員需要考慮各種共因失效和級(jí)聯(lián)失效，尤其是用到傳感器融合的一些設(shè)計(jì)，需要考慮傳感器的時(shí)間戳、自身運(yùn)動(dòng)狀態(tài)等共因。除了電子電器故障之外，外在環(huán)境因素也會(huì)導(dǎo)致冗余設(shè)計(jì)的失效，比如降雨可能同時(shí)導(dǎo)致攝像頭和激光雷達(dá)的性能下降。

做冗余設(shè)計(jì)的時(shí)候要從五個(gè)方面考慮。第一，要做充分的安全分析，如FTA，要把冗余機(jī)制由于性能局限導(dǎo)致失效的概率考慮在內(nèi)。第二，在開發(fā)階段早期做DFA的分析，避免潛在的公因失效和級(jí)聯(lián)失效。第三，要有時(shí)間規(guī)劃，需要縮短自我診斷和相互校驗(yàn)的時(shí)間。第四，增加系統(tǒng)工程的投入。第五，進(jìn)行雙重考慮，冗余設(shè)計(jì)既要實(shí)現(xiàn)ASIL等級(jí)分解，也要考慮fail-operational，為了故障降低的順利進(jìn)行，感知系統(tǒng)至少需要三個(gè)獨(dú)立的功能/機(jī)制，通過(guò)3選2的策略，快速甄別故障。

如何讓Linux滿足功能安全

相比于其他系統(tǒng)，Linux有很多優(yōu)勢(shì)，一方面免費(fèi)開源，擁有豐富的軟件庫(kù)，開發(fā)成本較低。另一方面綜合性能強(qiáng)，反應(yīng)時(shí)間、響應(yīng)速度更快，可以更有效地運(yùn)行軟件任務(wù)，而且支持多核運(yùn)行，適配于不同硬件。同時(shí)，Linux也有一定的劣勢(shì)，比如說(shuō)整個(gè)開發(fā)過(guò)程沒有辦法達(dá)成功能安全相關(guān)的標(biāo)準(zhǔn)，以下對(duì)Linux滿足功能安全的幾大挑戰(zhàn)做了概括：

第一是缺文檔，開發(fā)過(guò)程無(wú)法追溯。針對(duì)這一點(diǎn)，可以采用軟件FMEA分析的方式，將軟件模塊白盒化，識(shí)別失效模式和影響，也可以對(duì)軟件模塊做ASIL安全等級(jí)分解，從不同層級(jí)進(jìn)行監(jiān)控，但如果采取軟件監(jiān)控，就需要額外去考慮其獨(dú)立性。

第二是硬實(shí)時(shí)性難以保證，針對(duì)這一點(diǎn)，常用策略是增加實(shí)時(shí)內(nèi)核，采用雙內(nèi)核運(yùn)行，但這個(gè)解決方案也有很多問題，比如實(shí)時(shí)內(nèi)核無(wú)法擁有Linux內(nèi)核的優(yōu)越性，而Linux內(nèi)核無(wú)法滿足安全性，為了保證硬實(shí)時(shí)性采取雙核，可能會(huì)產(chǎn)生代碼移植的問題。

第三是代碼和單元測(cè)試的工作量巨大，這就需要針對(duì)安全做裁剪，重編不符合ISO26262編碼規(guī)范的代碼。第四是經(jīng)過(guò)安全性改造之后，Linux的優(yōu)越性消失。業(yè)內(nèi)有一個(gè)假設(shè)，也許將來(lái)不會(huì)存在縮水打包的Linux軟件包，這種軟件包可以應(yīng)用于對(duì)安全性要求很高的應(yīng)用程序上，但是在硬件的通用性上可能會(huì)打折扣。

從行業(yè)進(jìn)展看，目前國(guó)內(nèi)外組織都在致力于提升Linux系統(tǒng)的安全性。因此，長(zhǎng)遠(yuǎn)來(lái)說(shuō)，Linux可能是一個(gè)更開放的平臺(tái)，未來(lái)還是有蠻大概率被會(huì)用于安全的產(chǎn)品上。

如何覆蓋感知系統(tǒng)的各種失效模式

目前來(lái)說(shuō)整個(gè)自動(dòng)駕駛的難點(diǎn)其實(shí)在感知，比如說(shuō)L1和L2級(jí)別自動(dòng)駕駛的主要目標(biāo)是防止非預(yù)期的AEB導(dǎo)致與后車相撞，過(guò)渡到L3級(jí)別之后還會(huì)增加很多額外的安全目標(biāo)，比如要正確地識(shí)別道路邊緣信息；正確地識(shí)別前方障礙物以防止錯(cuò)誤地前碰和后碰；正確地識(shí)別表征ODD的信息以防止系統(tǒng)進(jìn)入不可知的危險(xiǎn)狀態(tài)。

當(dāng)前感知上的安全目標(biāo)還是主要針對(duì)L1、L2級(jí)別進(jìn)行定義，一旦要用于L3級(jí)別系統(tǒng)，如何考慮這些偏差會(huì)成為行業(yè)的一個(gè)難點(diǎn)。設(shè)想一個(gè)場(chǎng)景，早高峰陰轉(zhuǎn)中雨，你開車行駛在某道路路口，突然攝像頭故障，那么你會(huì)看到以下場(chǎng)景：行地址失效，列地址失效，控制寄存器失效，像素?cái)?shù)據(jù)管道失效，內(nèi)存/寄存器尋址失效，圖像數(shù)據(jù)管道失效。

圖片來(lái)源：上海磐時(shí)信息技術(shù)有限公司

在L3級(jí)別自動(dòng)駕駛中，需要保證目標(biāo)物識(shí)別正確，ODD識(shí)別正確的同時(shí)，考慮到各種失效對(duì)它的影響，這其實(shí)有非常大的工程量。我之前也見過(guò)國(guó)外的一些芯片，他們?cè)谧鲞@塊分析時(shí)可能列到幾千個(gè)場(chǎng)景，針對(duì)每個(gè)場(chǎng)景去考慮有什么影響，如何去解決。

針對(duì)以上難點(diǎn)，行業(yè)內(nèi)也提出了幾類針對(duì)攝像頭的安全機(jī)制，一類是象素級(jí)別的模擬測(cè)試，主要是針對(duì)象素點(diǎn)，常用的方法比如模擬信號(hào)范圍篩查，ADC的測(cè)試方案，行/列存儲(chǔ)數(shù)據(jù)通路的測(cè)試方案，最后就是冗余。像素模擬測(cè)試可以用來(lái)解決像素顏色、強(qiáng)度、對(duì)比度的問題，也能發(fā)現(xiàn)大于一定域值的噪聲，但是沒有辦法解決象素的時(shí)間、空間的表達(dá)，也沒有辦法解決圖象傳輸中發(fā)生的問題。

針對(duì)圖象的測(cè)試，這也是目前行業(yè)內(nèi)應(yīng)用比較多的方式，典型方式就是給一個(gè)參考圖象，然后知道參考圖象應(yīng)該輸出什么目標(biāo)物。這種方式的優(yōu)勢(shì)是能夠針對(duì)象素的時(shí)間、空間表達(dá)去測(cè)試，但是也具備一定劣勢(shì)，其診斷覆蓋率很難達(dá)到一定要求，難以遍歷巨量的失效模式。

第三就是對(duì)組成元件的測(cè)試，這種方式覆蓋像素顏色、強(qiáng)度、對(duì)比度；像素時(shí)間、空間表達(dá)；圖像傳輸；也可以發(fā)現(xiàn)大于閾值的噪音，相當(dāng)于白核測(cè)試，采用關(guān)鍵數(shù)據(jù)寫入保護(hù)；CRC寄存器；溫度、電壓檢測(cè)；時(shí)鐘檢查等等方法進(jìn)行。

圖片來(lái)源：上海磐時(shí)信息技術(shù)有限公司

以上這幾種方式，我認(rèn)為未來(lái)肯定是都是要結(jié)合在一起的，但是如何設(shè)計(jì)一個(gè)高診斷覆蓋率，針對(duì)不同安全目標(biāo)都可以適用的方案，我相信是所有攝像頭廠商和后端芯片廠商的難題。

如何正確判斷自動(dòng)駕駛設(shè)計(jì)的ODD運(yùn)行設(shè)計(jì)域

其實(shí)在自動(dòng)駕駛早期的時(shí)候，大家都更傾向于用靜態(tài)ODD約束和地理圍欄。發(fā)展到現(xiàn)在，純靜態(tài)運(yùn)行設(shè)計(jì)域約束不再適用，系統(tǒng)需要具備有效且及時(shí)反映環(huán)境條件的動(dòng)態(tài)檢測(cè)機(jī)制，保證系統(tǒng)始終在可接受風(fēng)險(xiǎn)下運(yùn)行。

這里舉了兩個(gè)例子，左圖是對(duì)于單一因子影響的評(píng)估：比如陽(yáng)光直射導(dǎo)致攝像頭反光，系統(tǒng)如何判斷怎樣的反光程度會(huì)對(duì)駕駛員產(chǎn)生影響，何時(shí)應(yīng)該退出，這是當(dāng)前行業(yè)的難點(diǎn)。右圖是多影響因子耦合：大霧的夜晚，迎面遠(yuǎn)光燈，系統(tǒng)如何評(píng)估這個(gè)時(shí)候是退出還是繼續(xù)運(yùn)行。

圖片來(lái)源：上海磐時(shí)信息技術(shù)有限公司

以下是一個(gè)基于傳感器原理方法的環(huán)境觸發(fā)條件識(shí)別的案例：車輛在金屬護(hù)欄道路邊緣行駛，雷達(dá)反射導(dǎo)致虛景，系統(tǒng)誤認(rèn)為前方有車，導(dǎo)致誤制動(dòng)。

圖片來(lái)源：上海磐時(shí)信息技術(shù)有限公司

如何定義自動(dòng)駕駛的安全可接受準(zhǔn)則

針對(duì)如何定義自動(dòng)駕駛的安全可接受準(zhǔn)則，首先來(lái)解決兩個(gè)問題：已知不安全場(chǎng)景怎么樣算是可接受的？未知不安全場(chǎng)景的解決思路是什么？

針對(duì)已知不安全場(chǎng)景，一方面要去量化系統(tǒng)安全性能需求，建立測(cè)試評(píng)價(jià)體系，同時(shí)要解決仿真和實(shí)測(cè)上的技術(shù)難點(diǎn)，復(fù)現(xiàn)不安全場(chǎng)景，以仿真測(cè)試結(jié)果判斷是不是符合安全的要求。針對(duì)未知不安全的場(chǎng)景，也有兩個(gè)問題需要考慮：一是如何去定義自動(dòng)駕駛釋放的安全準(zhǔn)則，多大概率的碰撞是可接受的；二是如何去構(gòu)建一個(gè)場(chǎng)景庫(kù)，解決算法的安全問題，而不是一直進(jìn)行實(shí)車測(cè)試，縮減測(cè)試周期。

具體而言，針對(duì)已知不安全場(chǎng)景，預(yù)期安全標(biāo)準(zhǔn)羅列了對(duì)于傳感器、執(zhí)行器、算法及集成系統(tǒng)的不同測(cè)試方法，但目前并沒有給出量化KPI的方法。對(duì)于行業(yè)實(shí)踐來(lái)說(shuō)，很多指標(biāo)都是需要去具體量化定義的，除了感知類的，其實(shí)還有控制類、決策類的指標(biāo)。每個(gè)指標(biāo)怎么去分配、定義，目前對(duì)于整個(gè)行業(yè)都是一個(gè)難題。

針對(duì)這一難題，可以去對(duì)感知系統(tǒng)的安全KPI進(jìn)行量化：第一層通過(guò)RSS或者TTC去評(píng)估安全距離是不是合適。第二層是通過(guò)碰撞檢查，去評(píng)估肇事者是否可控？緩解策略的有效性多高？總體通過(guò)這兩條路線去評(píng)價(jià)決策系統(tǒng)是不是足夠安全。

圖片來(lái)源：上海磐時(shí)信息技術(shù)有限公司

如何解決未知的場(chǎng)景安全問題，就需要去定義整車安全準(zhǔn)則：這輛車開了多久，碰撞概率多大。這是一個(gè)相對(duì)安全的概念。是對(duì)于安全性和可用性的平衡，那么一定需要考慮定義可接受風(fēng)險(xiǎn)，什么是可接受風(fēng)險(xiǎn)？目前有幾種思路。

第一，通過(guò)交通道路數(shù)據(jù)看在不同場(chǎng)景下的風(fēng)險(xiǎn)準(zhǔn)則。第二，參考功能安全ASIL A-D的等級(jí)標(biāo)準(zhǔn)進(jìn)行定義。在定義了風(fēng)險(xiǎn)準(zhǔn)則之后，還有一個(gè)問題就是如何去實(shí)測(cè)，曾經(jīng)有人估計(jì)過(guò)，如果要證明自動(dòng)駕駛的算法是安全的，要測(cè)140億公里。這直觀反映了自動(dòng)駕駛系統(tǒng)實(shí)測(cè)的工作量之大。因此，我認(rèn)為仿真一定是未來(lái)的主流方向，雖然現(xiàn)在仿真有各種各樣的不足，但隨著數(shù)字化軟硬件技術(shù)的發(fā)展，這些問題都會(huì)逐漸得到解決。

如何解決自動(dòng)駕駛仿真環(huán)境和真實(shí)世界的差異性

現(xiàn)在整個(gè)仿真和現(xiàn)實(shí)世界還是存在比較大的差異性，首先就是因?yàn)閭鞲衅鞣抡婺Ｐ偷木窒扌浴，F(xiàn)在常用的仿真軟件已經(jīng)可以做大部分傳感器的仿真模型，但是針對(duì)傳感器出現(xiàn)污漬、直面強(qiáng)光等場(chǎng)景，仿真中很難做出定量的判斷，只能定性處理，因此很難通過(guò)仿真找到算法的邊界問題。

更大的難點(diǎn)在于要建立一個(gè)和現(xiàn)實(shí)世界相似的場(chǎng)景模型，場(chǎng)景仿真的計(jì)算量非常大，如何支撐其物理仿真的工作。目前是盡可能拆解到若干有關(guān)功能安全的小型場(chǎng)景模塊，這是未來(lái)可能發(fā)展的一個(gè)方向。

總的來(lái)說(shuō)，為解決自動(dòng)駕駛仿真環(huán)境和真實(shí)世界的差異性，可以采取場(chǎng)景庫(kù)的模式：針對(duì)決策系統(tǒng)，通過(guò)足夠逼近真實(shí)世界的場(chǎng)景庫(kù)進(jìn)行仿真，識(shí)別決策算法缺陷。也可以采取隨機(jī)交通流的方法：通過(guò)具有自主行駛能力的智能體或智能體集群形成的動(dòng)態(tài)背景車與被測(cè)對(duì)象發(fā)生交互，產(chǎn)生場(chǎng)景，在隨機(jī)交通流中進(jìn)行決策仿真。

（以上內(nèi)容來(lái)自上海磐時(shí)信息技術(shù)有限公司創(chuàng)始人邊俊于2022年8月26日由蓋世汽車主辦的2022中國(guó)汽車信息安全與功能安全大會(huì)發(fā)表的《自動(dòng)駕駛安全實(shí)踐挑戰(zhàn)及思考》主題演講。）

返回第一電動(dòng)網(wǎng)首頁(yè) >