摘要：大多數ADAS和AD安全架構僅針對符合ISO 26262的系統組件進行設計。僅考慮隨機誤差，不考慮系統誤差。然而，大多數誤差是由系統誤差引起的。此外，冗余僅針對誤差檢測而不是誤差糾正而建立。有必要考慮ISO 21448的安全性能，因為這種行為會被駕駛員和其他道路使用者感知到。

01.簡介

常見的ADAS和AD安全概念僅考慮符合ISO 26262的系統組件。僅考慮隨機誤差而不考慮系統誤差。但是，大多數誤差是由系統誤差引起的。此外，冗余僅與誤差檢測有關，而不與誤差校正有關，這會影響功能的可用性。有必要考慮符合ISO 21448 (SOTIF)的安全性能。

必須考慮傳感器屬性、它們對干擾的反應（例如雨、雪、太陽輻射等環境條件）以及它們對不同環境屬性（例如光學、電磁或聲學）的感知。雷達、攝像頭和激光雷達補充了對各種環境特征的感知，但不是冗余傳感器。為了確保故障檢測，通過兩條獨立路徑比較對屬性的檢測就足夠了；但是，無法找到錯誤（2選1方法）。要找到錯誤并可能糾正它，需要第三條獨立路徑（3選1方法）。

如果系統的性能應與人類駕駛員相當，那么在硬件和軟件中復制神經網絡并在駕駛過程中訓練系統是不夠的。訓練必須明顯對應于有執照的人類駕駛員的環境感知。駕照候選人具有最低限度的教育、生活經驗和適當的身體和心理能力；這些技能和知識不是通過駕駛車輛獲得的。

組件失效概率的一個很好的衡量標準是測試覆蓋率。未經測試的功能的失效概率應假設為0.5；危及生命的功能的數值應假設為1。當然，必須考慮函數調用概率。關于可測試性，應考慮，只有當所有狀態都是可控和可觀察時，網絡才是完全可測試的。線性網絡可以用有限數量的測試向量進行測試，但神經網絡不是線性的，并且具有從外部不可觀察到的隱藏層。因此，神經網絡具有很高的錯誤概率，因為不可能實現高測試覆蓋率。

對于系統組件設計而言，安全等級（例如ASIL）用處不大；HARA可以完成，并且只與車輛級別相關。相關故障率（例如FIT）與所需的測試覆蓋率更相關（例如ASIL D的1e-8/h）。

零故障概率的感知系統并不現實，但通過良好的安全概念、感知算法和軟件開發方法，可以避免系統故障，并將隨機故障概率降低到所需的水平。

02.安全架構解決方案

2.1. 兩條評估路徑

感知評估的架構通常具有一條主路徑和一條后備路徑。這兩條路徑在附加組件（融合）中合并和比較。如果路徑彼此匹配，則合并結果將傳遞到規劃組件。如果兩個結果不匹配，則生成后備結果并傳遞到規劃組件。后備結果出錯的概率很高，因為無法確定兩條路徑中的哪個結果是錯誤的；甚至兩個結果都可能是錯誤的。有兩種已知方法可以將傳感器連接到兩條評估路徑：在第一種變體——圖1常見變體1中，不同類型的傳感器連接到單獨的評估路徑（例如，攝像頭連接到主路徑，RADAR連接到后備路徑）。在第二種變體——圖2常見變體2中，所有具有不同傳感特性的傳感器（例如攝像頭和RADAR）都連接到兩條評估路徑。第一種情況只有部分冗余的傳感器（例如，RADAR無法探測到交通標志，濃霧天氣下攝像頭會失效）。對于第二種情況，應該注意的是，兩條評估路徑沒有獨立的傳感器，因此不是冗余的，如果兩條評估路徑都使用相同的算法，則評估路徑是高度依賴的，即它們根本不是冗余的。因此，在評估兩條路徑后，所有涉及的傳感器和算法的錯誤概率最高。

圖1.常見變體1

圖2.常見變體2

2.2. 三條評估路徑

Mobileye使用的一種新變體也已為人所知并使用，該變體結合了上一節中介紹的解決方案。第一條路徑處理所有傳感器數據（攝像頭、RADAR、LiDAR），第二條路徑僅處理攝像頭數據，第三條路徑處理RADAR和LiDAR數據——圖3常見變體3。所有三條路徑的結果在下游組件中合并（融合），并將結果傳遞給規劃組件。在這種情況下，路徑二和路徑三可以被視為獨立的，但不是冗余的，因為它們評估的是不同的對象屬性。第一條路徑與其他兩條路徑都不獨立，因為使用的是相同的傳感器。因此，合并后的結果可能與前兩種變體解決方案的結果不同，但失效的概率并不低。

圖3.常見變體3

2.3. 兩條/三條獨立評估路徑

更好的解決方案是兩條評估路徑，采用不同的評估算法和完全不同的傳感器組（RADAR、LiDAR、攝像頭）——圖4兩條冗余路徑。此解決方案的錯誤概率非常低，但可用性并不比以前的解決方案更好，因為如果一條路徑發生故障，則無法提供可用的結果。第三條完全獨立的路徑可以顯著提高可用性，因為可以定位和糾正三條路徑之一的錯誤結果——圖5三條冗余路徑。這些解決方案提供了良好或非常好的結果，但相應地成本也很高。

圖4.兩條冗余路徑

圖5.三條冗余路徑

2.4. 優化的安全架構

該解決方案符合ISO 26262和ISO 21448標準，即使使用基于神經網絡和機器學習的評估算法也能提供可用的后備結果。

兩個獨立傳感器組的評估在兩個獨立路徑上進行：一個性能路徑和一個控制路徑——圖6優化的安全架構。傳感器組和評估路徑對于驗證/控制功能是冗余的。第一條路徑是性能最高的路徑，具有最高的分辨率。在此路徑中，傳感器數據由兩個獨立且不同的算法處理：第一個高分辨率算法具有神經網絡和機器學習，第二個算法具有線性算法和高可測試性。第一個非線性算法具有更高的錯誤概率，但結果在第二個線性算法結果的幫助下得到驗證。第二個線性算法的分辨率較低，但錯誤概率也較低。如果無法驗證高分辨率結果，則傳遞線性算法的結果——圖7融合方法。高性能路徑上的傳感器組包括用于檢測車輛環境的廣泛特征的傳感器（例如攝像頭、RADAR、LiDAR）。第二條路徑是具有較低分辨率的控制路徑，它捕獲的環境屬性較少，但錯誤概率明顯較低。其結果用于驗證性能路徑結果，并且在極端情況下，它為環境感知提供后備結果——圖6優化的安全架構。線性算法具有較低的分辨率，但可測試性高，錯誤概率低。控制路徑的傳感器組包括用于檢測不太廣泛的環境特征的傳感器（例如RADAR、LiDAR）。該算法的分辨率非常低，可測試性高，與性能路徑上的算法完全不同。

圖6.優化的安全架構

圖7.融合方法

要檢測的對象屬性分為三組，具有不同的分辨率。較低分辨率組中的屬性用于驗證具有較高分辨率的屬性。如果無法驗證，則轉發較低分辨率的結果——圖7融合方法。轉發的結果始終包含安全級別和驗證方法的信息。表1優化架構的對象分類——示例列出了一些對象分類參數。

表1.優化架構的對象分類——示例

評估結果取決于系統中的故障，也取決于周圍條件（例如雨、霧）或要檢測物體的性質（例如，非導電物體無法被RADAR檢測到）。

算法評估傳感器數據的質量并計算所提供數據的質量（例如，圖片對比度）。融合模塊提供的數據標有評估的ASIL。

錯誤及其對結果的影響（包括ASIL）列于表2優化架構的結果——示例。

僅當Lidar和RADAR數據不可用或性能和控制路徑中的數據質量錯誤時，才會發生感知故障。但這些傳感器在環境影響方面最為穩健，因此感知故障的概率非常低——表2優化架構的結果——示例。

表2.優化架構的結果——示例

END