芝能科技出品t7qednc
《Safe Automated Driving: Requirements and Architectures》这份报告以SAE L4级高速公路领航辅助(HWP)为参考用例,剖析自动驾驶系统架构的系统需求、设计原则及候选架构的特性与评估标准。t7qednc
t7qednc
读完这份报告以后,还是很有价值的。通过对单通道、对称及非对称架构的系统性分析,揭示其在功能安全(FuSa)、预期功能安全(SOTIF)、可用性及可扩展性等方面的表现。t7qednc
t7qednc
非对称架构在复杂场景下的容错性与安全性优势显著,为架构选型及技术优化提供科学依据,我们结合软硬件实现考量与前沿技术趋势,展望自动驾驶架构的未来发展方向。t7qednc
t7qednc
备注:本文围绕架构分析来写的,和车企目前使用的架构有很大的差异。t7qednc
自动驾驶系统架构t7qednc
的基础要素剖析t7qednc
以SAE L4级高速公路领航辅助(HWP)作为分析用例,代表2025-2028年间具备商业化前景的自动驾驶技术。t7qednc
HWP涵盖复杂驾驶任务,包括车道保持(U1)、自动变道(U2)、交通拥堵应对(U3)及最高130km/h的车速支持(U6)。t7qednc
◎ 操作设计域(ODD)明确,激活需满足驾驶员手动触发(U8)及系统状态检查,停用或干预请求则通过UI系统实现,确保人机交互的安全性与可靠性。
◎ 自动驾驶智能(ADI)系统作为核心计算单元,与传感器系统、执行器系统、用户界面(UI)系统及诊断系统协同工作。
◎ 传感器系统通过多模态感知(雷达、激光雷达、摄像头等)提供高精度、实时环境数据,需具备冗余设计以应对单点故障。
◎ 执行器系统负责执行ADI的控制指令(如转向、制动、加速),要求低延迟与高可靠性。
◎ UI系统支持驾驶员与系统的交互,提供状态反馈与干预入口。
◎ 诊断系统实时监控各子系统状态,生成故障日志以支持故障检测与恢复。
这些子系统共同构成自动驾驶生态,其架构设计直接决定了系统的性能与安全性。
● ADI系统的技术需求涵盖多维度性能指标。t7qednc
t7qednc
◎ 输出需满足及时性(S1),确保决策与控制指令在毫秒级内完成,避免因延迟导致碰撞风险;
◎ 可用性(S2)要求系统在部分故障下仍能维持安全运行,例如在传感器失效时通过冗余通道保持基本功能;
◎ 正确性(S3)与一致性(S4)确保指令符合预期逻辑,避免错误决策;
◎ 此外,感知故障检测(S5)与系统诊断(S6)功能通过实时监控与日志分析,快速识别并隔离故障,防止故障扩散。
● 设计架构时需正视技术局限并遵循科学原则,局限性包括:t7qednc
◎ 大型复杂系统中软件设计缺陷难以完全消除(G1),如百万行代码中隐藏的逻辑错误;
◎ 硬件受单事件干扰(G2)影响,如电磁干扰或宇宙射线导致的位翻转;
◎ 高安全性系统无法仅通过仿真与测试验证(G3),需结合形式化验证与冗余设计。
● 为此,设计原则强调:t7qednc
◎ 故障隔离单元(FCUs,D1):通过模块化设计将功能分配至独立单元,限制故障影响范围。
◎ 多样性与冗余(D3):采用异构硬件与算法(如不同供应商的传感器或AI模型)提高容错能力。
◎ 简化交互(D5):减少子系统间不必要的通信,降低复杂交互引发的不可预测行为。
◎ 瑞士奶酪模型(D6):通过多层防御机制(如感知、决策、执行的独立校验)降低风险穿透概率。
这些原则为架构设计提供了理论基础,确保系统在动态、不可预测的高速公路场景中维持高可靠性和安全性。t7qednc
候选架构的全面分析与评估t7qednc
自动驾驶系统架构可分为单通道、对称及非对称三大类,每类在功能实现、容错机制与适用场景上各有侧重。t7qednc
● 单通道架构以单一电子控制单元(ECU)为核心,整合感知、决策与控制功能。
典型案例包括奥迪zFAS系统(用于L3级功能)与特斯拉FSD的早期设计。其优势在于硬件简单、开发成本低,适合低级别自动驾驶(如L2+)。
然而,单通道架构高度依赖单一计算单元,缺乏冗余机制,单点故障可能导致系统完全失效,无法满足L4及以上级别对ASIL-D级功能安全(ISO 26262)的严格要求。此外,其可扩展性受限,难以适应复杂场景的多样化需求。
● 对称架构以多通道并行计算为特征,典型为多数投票架构(如三重模块冗余,TMR)。
该架构由多个同构或近似功能的通道组成,通过投票器仲裁输出。例如,三个通道分别运行感知与决策算法,投票器根据多数一致性选择结果。这种设计能有效应对随机硬件故障(如芯片失效),提升系统可用性。
然而,对称架构对共因故障(Common Cause Failure, CCF)敏感,例如所有通道因相同软件漏洞或传感器数据错误产生一致性错误,导致投票机制失效。
此外,在复杂场景中,各通道可能对同一问题生成不同但合理的结果,投票器难以准确仲裁,限制了其在L4级HWP场景中的适用性。
● 非对称架构通过功能分解与冗余设计,提供更高的容错性与安全性,分为以下子类型:t7qednc
◎ 通道式Doer/Checker/Fallback(DCF)架构:包含计算机控制驾驶子系统(CCDSS,执行正常驾驶)、监测子系统(MSS,实时校验CCDSS输出)、关键事件处理子系统(CEHSS,执行最低风险操作,如减速停车)及容错决策子系统(FTDSS,选择最终输出)。其通过Active/Hot Stand-By机制确保故障时无缝切换,适用于高可靠性场景。
◎ 层式DCF架构:在感知、决策、执行各层引入Doer/Checker对,形成多层冗余。例如,感知层采用主激光雷达与备用摄像头校验,决策层通过异构AI模型比对输出,增强系统鲁棒性。
◎ 分布式安全机制(DSM)架构:通过分布式节点实现安全监测与控制,各节点独立运行轻量化安全算法,协同完成故障检测与恢复,适合大规模、异构系统。
非对称架构通过功能分离与多样性设计,显著降低了共因故障风险,适用于复杂L4场景。t7qednc
● 架构评估标准与结果分析t7qednc
架构评估基于以下关键标准,全面衡量其技术性能:t7qednc
◎ 可用性:故障情况下维持必要功能的能力。例如,HWP场景要求系统在单一传感器失效时仍能安全行驶至路肩。
◎ 可靠性:保持标称功能的持续性。频繁的功能降级(如降至L2模式)会降低用户体验,需尽量避免。
◎ 网络安全:抵御外部攻击的能力。通过最小化通信接口、实施加密与访问控制降低攻击面。
◎ 可扩展性:支持不同SAE级别与市场场景的能力,如从L4 HWP扩展至L5城市驾驶。
◎ 简单性:易于设计、验证与维护,降低开发与验证成本。
◎ 安全性(FuSa与SOTIF):满足ISO 26262与ISO 21448标准,确保功能异常或预期外行为不引发事故。
评估结果表明,非对称架构在多项指标上表现优异。以通道式DCF架构为例,其通过功能分解(CCDSS与MSS分离)与冗余设计(CEHSS作为热备),在可用性与安全性上显著优于其他架构。t7qednc
层式DCF架构通过多层校验机制,进一步提升了可靠性与SOTIF表现,适合高复杂性场景。DSM架构的分布式特性使其在可扩展性与网络安全方面具有优势,适合未来异构化、云边协同的自动驾驶系统。t7qednc
对称架构如TMR在随机故障容忍方面表现良好,但共因故障敏感性使其在复杂场景中的可靠性受限。单通道架构在简单性与成本上占优,但可用性与安全性不足,难以满足L4级别需求。t7qednc
综合评估,非对称架构在HWP场景中的综合性能最佳,尤其在功能安全与预期功能安全方面具有显著优势。t7qednc
通过系统性分析,揭示了自动驾驶系统架构在设计与实现中的核心挑战与技术路径。非对称架构凭借其在容错性、安全性与可扩展性方面的优越性,成为L4级自动驾驶的理想选择。
通道式DCF、层式DCF与DSM架构通过功能分解、多层冗余与分布式设计,有效应对复杂场景下的安全与可靠性需求,架构优化需结合具体硬件平台(如高性能SoC、异构加速器)与软件栈(如ROS2、AUTOSAR Adaptive)实现,确保实时性与资源效率。
责编:Ricardo
最前沿的电子设计资讯
