如何保证自动驾驶的安全性-上 | 盖世大学堂舱驾、行泊一体系列知识讲解

一、自动驾驶安全性问题

在自动驾驶技术蓬勃发展的当下，其安全性成为了人们关注的焦点。随着辅助驾驶功能逐渐普及，相关事故数据也引发了广泛讨论。据统计，在2021年7月至2022年5月期间，辅助驾驶事故中特斯拉的事故数量遥遥领先。然而，这一数据的准确性存在一定争议，部分原因在于一些装配量较低的品牌可能存在事故不上报的情况，例如安波福。此外，国内相关统计数据的获取也较为困难，存在删帖现象，使得数据的完整性和真实性难以保证。

二、辅助驾驶功能与事故关系分析

即便如此，对事故数据进行分析仍具有重要意义。特斯拉事故频发，表明其在某些方面可能存在不足。从不同品牌的事故数量分布来看，各品牌在辅助驾驶安全方面的表现差异较大。进一步分析不同类型辅助驾驶功能对事故频率的影响可知，无论是在其他道路还是高速公路上，基本ADAS（预警类L0功能）和先进ADAS（LKA/AEB类L1功能）对事故的减少都有明显的提升作用。以手动挡汽车为例，在没有倒车雷达等辅助设备的情况下，驾驶员在驾驶过程中需要高度集中注意力，否则在拐弯等操作时容易因盲区问题与其他车辆发生碰撞。而具备报警类功能的辅助驾驶系统，能够在车辆处于盲区时及时发出警报，有效避免此类事故的发生。类似地，LKA（车道保持辅助系统）和AEB（自动紧急制动系统）等功能也在实际驾驶中发挥了重要作用，不少用户在论坛分享中提到这些功能帮助他们避免了事故，保障了行车安全。

然而，对于高级ADAS（L2功能），其安全性表现则存在一定的不确定性。虽然该功能在某些情况下能够发挥积极作用，如华为的辅助驾驶系统在部分场景下能够成功触发紧急避让功能，但也有出现事故的案例，比如车辆撞上路边施工区域或在特殊情况下出现误判等。总体而言，基本ADAS和L2以下的L1功能在一定程度上对行车安全具有正向促进作用，但高级ADAS的安全性仍需进一步研究和完善。

在保险方面，随着电动汽车的普及，保费呈现出逐渐上升的趋势。此外，当L3、L4级自动驾驶车辆发生重大事故时，责任界定问题尚未得到明确解决。目前，即使部分企业获得了L4级自动驾驶的运营牌照，也只能在特定路段进行运营，这在很大程度上限制了自动驾驶技术的推广和应用。

三、自动驾驶安全关键领域与标准

为了确保自动驾驶的安全性，汽车安全领域通常会关注功能安全、预期功能安全和网络安全这三个关键方面，分别对应ISO 26262、ISO 21448和ISO/SAE 21434标准。这三个标准在保障自动驾驶安全方面发挥着重要作用，它们从不同角度对自动驾驶系统进行规范和约束，以降低风险，提高系统的可靠性和安全性。

功能安全主要关注系统在正常运行过程中，由于硬件故障或软件错误等原因导致功能失效时，如何避免对人员和车辆造成伤害。它起源于美国航空航天局提出的系统安全概念，旨在从功能设计的源头抑制伤害源，重点关注人员伤害和功能失效问题。例如，在汽车电控系统中，如果某个部件出现故障，导致车辆非预期制动或转向，就可能引发严重的交通事故。功能安全通过一系列的设计和分析方法，如危害分析和风险评估（HARA），来识别潜在的危害，并采取相应的措施降低风险。

信息安全则侧重于保护车辆数据的安全，防止数据被冒用、篡改、泄露等。例如，个人ID被冒用导致银行卡资金被盗取，车辆操作系统镜像完整性被破坏导致机器无法启动，以及车辆在运行过程中请求转向、多媒体等功能时受到否认攻击，无法得到响应等情况。信息安全问题不仅会损害个人利益，如财产损失、名誉受损等，还可能对车辆的正常运行产生影响，进而危及行车安全。在某些情况下，信息安全问题可能会导致功能安全问题，如AEB代码被篡改，使该功能无法正常工作，最终造成人员伤亡。但需要明确的是，这本质上是信息安全问题引发的功能异常，与功能安全中功能自身失效的情况有所不同。

预期功能安全关注的是系统在设计时未预料到的场景下，由于功能不足、设计缺陷或逻辑错误等原因导致的危害。以特斯拉撞白车事件为例，若车辆感知系统在设计时未考虑到识别白色卡车的情况，当遇到白色卡车时，系统可能无法做出正确的反应，从而引发事故。在传统汽车中，功能相对单一，出现非预期情况的概率较低。但在自动驾驶系统中，链路复杂，涉及多个环节，每个环节都可能存在设计缺陷或功能不足，导致预期功能安全问题日益凸显。例如，自动驾驶系统中的决策逻辑错误、功能被用户滥用（如在不允许的情况下打开某些功能）等情况，都可能引发安全事故。随着自动驾驶技术的不断发展，预期功能安全的重要性也日益增加。

在实际工作中，准确判断各类安全问题的归属对于保障自动驾驶安全至关重要。例如，电子电器系统故障通常属于功能安全范畴，因为它可能是由于系统自身的硬件或软件问题导致功能失效；而成功利用车辆安全漏洞的攻击则属于信息安全问题，因为这涉及到数据的安全和系统的访问控制。对于性能限制认知不足、没有合理预见的误用行为，以及可预见的误用、不正确的人机界面（如用户混淆、用户过载）等问题，需要根据具体情况进行判断，可能涉及功能安全或预期功能安全。此外，由系统技术造成的危害，如激光对人眼的伤害，也与功能安全相关；而来自主动基础设施、V2V通信、外部设备和云服务的攻击，则属于信息安全问题。

四、功能安全具体实施

（一）定义功能安全目标与HARA分析

在功能安全方面，明确功能安全目标是保障自动驾驶安全的重要基础。功能安全目标的定义应基于整车层面，例如确保整车不出现非预期的拐弯、加速或下跌等情况。为了科学合理地定义功能安全目标，需要进行危害分析和风险评估（HARA）。

HARA通过对系统功能的全面分析，识别可能的功能故障或失效模式，并结合驾驶场景进行情景分析，从而确定危害事件。例如，对于自适应巡航控制（ACC）功能，当车辆在前方有车切入（cutin）时，ACC应能及时停止。若ACC未能在这种情况下停止，就构成了一个危害事件。在分析该危害事件时，需要评估其严重度、暴露频率和可控性。严重度指危险事件所导致伤害或损失的潜在严重性；暴露频率表示人员暴露在系统失效能够造成危害的场景中的概率，可理解为危险事件可能发生的驾驶工况的可能性；可控性则反映危险所涉及的驾驶员和其他交通人员通过及时反应避免特定伤害或损失的能力。根据这三个因素的评估结果，可以确定危害事件的风险级别，即汽车安全完整性等级（ASIL）。不同的ASIL等级对应着不同的安全要求和实施手段，风险越高，安全要求级别越高，对应的ASIL等级也越高。

（二）分解目标与制定安全需求

在确定了功能安全目标和ASIL等级后，需要将其分解到系统的各个层面，包括硬件和软件。这一过程是自上而下进行的，即从整车功能安全目标出发，通过对功能故障的分析和HARA评估，确定整车层面的ASIL等级，然后逐步将该等级分配到各个子系统、硬件模块和软件模块。以ACC功能为例，在完成HARA分析并确定了相应的ASIL等级后，需要进一步制定功能安全需求（FSR）。FSR是针对功能本身提出的安全要求，例如在ACC系统中，为了确保其在各种情况下能够正常工作，需要考虑雷达、摄像头等传感器的功能，以及控制器对数据的处理和决策过程。具体来说，雷达应能准确发出目标物信息，摄像头应能输出正确的感知视频流，ADCU（ACC控制器）应对来自雷达和摄像头的数据进行检验，以防止数据错误或干扰。这些都是针对ACC功能的功能安全需求。

基于功能安全需求，还需要进一步制定技术安全需求（TSR）。TSR是为了满足功能安全需求而对系统架构和技术方案提出的要求。例如，对于ADCU内部的SOC和MCU，为了保证ADCU能够做出正确的决策，需要确保SOC发出正确的目标物信息，MCU对SOC的目标物进行校验，并在内部设置监控机制，保证向外部发出的刹车指令完整且正确。在设计系统架构时，需要考虑如何满足这些技术安全需求。如果原有的系统架构不符合功能安全要求，就需要进行改进和优化，例如增加校验和、监控模块，以及采用安全的通讯机制等。通过这些措施，将原有的非功能安全系统架构转变为符合功能安全要求的架构。

（三）功能安全工程师的作用

在实际的功能安全设计和实施过程中，功能安全工程师起着关键作用。他们不仅要熟悉ISO 26262标准，还要能够根据具体的系统功能和需求，进行HARA分析、制定功能安全需求和技术安全需求，并参与系统架构的设计和优化。在与各个模块进行交互时，功能安全工程师需要明确各模块的安全需求和接口规范，确保整个系统的安全性。同时，他们还需要对功能安全需求进行详细的描述和记录，以便在系统开发、测试和验收过程中进行追溯和验证。在测试环节，功能安全工程师需要制定测试原则和测试指标，指导测试工程师进行测试工作。测试工程师按照功能安全工程师提出的要求，对系统进行全面测试，确保系统满足功能安全需求。在测试过程中，需要关注各种异常情况的处理，以及系统在不同工况下的安全性表现。例如，对于SOC应发出正确目标物的需求，若采用双CPU计算的方式进行验证，当两个CPU的计算结果不一致时，应如何判断系统是否满足安全要求，这都需要功能安全工程师在测试指标中明确规定。

五、硬件相关的功能安全

（一）芯片设计与选择

在硬件方面，为了满足功能安全的要求，芯片设计和选择至关重要。大算力SoC一般只能做到ASIL B，要想实现系统级的ASIL D，通常需要配置Safety MCU。常见的方案有外置MCU方案（如OrinX+TC397）和内置安全岛方案（如TITDA4内置Cortex R5F）。Safety MCU的核一般成对出现，通过指令级别的锁步（lock-step）机制，实现高诊断覆盖度。在锁步核中，两个核执行相同的指令，并通过“Compare”进行比较。虽然使用了两个核，但实际算力相当于一个核，这种方法在微控制器和复杂度较低的微处理器领域经过多年验证，具有较高的可靠性。Safety MCU的软硬件安全性和实时性都较高，一般用于运行整车的数据交互、诊断、控制算法等软件。此外，功能安全岛上可以运行Autosar等安全操作系统，也可以将多核操作系统中的安全监控等任务放在安全岛上执行；信息安全岛上则可以实现芯片的安全启动、对称/非对称加解密、签名与验签、密钥存储与销毁等安全任务。为了保证Safety MCU的独立性和安全性，其内部总线、外设接口、电源等通常与主芯片隔离。

（二）芯片认证局限性

然而，芯片在进行功能安全认证时，存在一定的局限性。以英飞凌的MCU为例，在认证其达到ASILD等级时，往往是基于systemout of context（无上下文系统）的前提条件，即把芯片视为一个封闭的环境，仅考虑芯片自身的功能，如CPU运算、内存存储、通讯等，而不涉及芯片外部的应用场景，如ACC、RTE等功能。在这种情况下，英飞凌的MCU解决了CPU运算失效、内存读写错误、内部总线通讯故障、ADC不稳定以及时钟出错等芯片内部的问题，但这并不意味着它能够完全保证ACC等功能的正常运行。尽管CPU运算正确有助于ACC的执行，但芯片内部的功能安全设计与整车功能之间的关联较为复杂，不能简单地通过芯片的ASIL等级来推断整车功能的安全性。

（三）硬件故障模式分析

在硬件故障模式方面，常见的有单点故障、残余故障和多点故障等。单点故障是指某个硬件元件出现问题，需要判断该故障是否与安全相关。若与安全相关，还需进一步确定其失效模式以及是否存在控制该失效模式的安全机制。例如，当SOC中的状态机失效时，可能会导致命令无法发出，从而影响安全目标的实现。此时，若存在监控模块等安全机制，能够及时检测到故障并采取相应措施，如触发CPU的安全机制进行重启或重置等，则可以降低故障对系统安全的影响。但即使有安全机制，也可能存在残余故障，需要计算残余故障率，以评估系统是否符合相应的ASIL等级要求。在分析硬件故障模式时，需要综合考虑各种因素，确保系统的安全性满足设计要求。

（四）冗余设计

在自动驾驶硬件架构设计中，冗余设计是提高系统安全性的重要手段。通常意义上，符合功能安全的设计需要明确功能安全目标，并满足相应的功能安全需求和技术安全需求。例如，在L3功能架构设计中，常见的硬件架构包含主控制器、副控制器、激光雷达、制动系统、转向系统、多个雷达和摄像头等设备。为了提高系统的可靠性，这些设备往往采用冗余设计，如冗余通讯、双转向系统等。然而，在实际设计过程中，需要谨慎考虑冗余设计的必要性。对于一些功能相对简单的应用场景，如仅运行ACC功能的车辆，过度的冗余设计可能会造成资源浪费，且与功能安全目标的关联性不大。但在L4及以上级别的自动驾驶设计中，为了应对更高的安全要求，双冗余甚至多冗余设计则更为常见，如双芯片、双传感器等。这种设计虽然在一定程度上增加了成本和复杂性，但能够有效提高系统的容错能力，确保在部分设备出现故障时，系统仍能正常运行。不过，在进行冗余设计时，需要综合考虑系统的整体性能、成本和可靠性等因素，避免盲目追求冗余而忽视了其他重要方面。

六、芯片厂商的不同做法

在芯片设计和应用领域，不同厂商的做法存在差异。英飞凌、德州仪器等厂商在芯片设计过程中，会进行详细的分析和设计，并编写全面的安全手册，如英飞凌的TC397 safetymenu和德州仪器的相关文档。这些手册包含了大量关于芯片功能安全设计的信息，为后续的应用开发提供了重要参考。而高通等厂商在SOC设计中，采用了安全岛的方案，并在安全岛中运行实时安全操作系统，如safetyrtos。高通通过对linux进行裁剪，使其更适合于实时性和安全性要求较高的自动驾驶场景，实现了确定性调度，提高了系统的安全性和可靠性。然而，高通在安全手册编写方面相对薄弱，内部资料不够完善。此外，地平线等厂商在芯片设计时，会借鉴其他厂商的成熟经验，如采用lockstep等技术，以减少研发成本和时间。但在实际应用中，仍需要根据自身产品的特点和需求，进行适当的调整和优化。

七、L3 级自动驾驶面临的挑战

在自动驾驶技术的发展历程中，L3级自动驾驶功能的实现具有重要意义，但也面临诸多挑战。2017年，奥迪A8成功量产全球首款L3自动驾驶功能（TJP，Traffic Jam Pilot，拥堵领航驾驶），标志着自动驾驶技术在量产车上的重大突破。然而，2020年奥迪宣布放弃在下一代A8上搭载L3功能，这一决策引发了行业的广泛关注。

与此同时，戴姆勒宣称实现了L3级的ALKS（Automated Lane-Keeping System，自动车道保持系统）功能。尽管如此，目前L3级自动驾驶功能仍存在一定的局限性。例如，L3级自动驾驶功能中的车道保持功能，虽然允许驾驶员在一定条件下脱手脱眼，但在车辆行驶过程中，驾驶员仍需保持对前方道路的关注，以应对可能出现的突发情况。即使配备了ACC功能，也不能完全消除驾驶员的注意力需求，这表明L3级自动驾驶技术在实际应用中仍需进一步完善和优化，以提高其安全性和可靠性。