随着自动驾驶相关技术逐步突破,自动驾驶技术正向商业化应用迈进。然而,因人为操作不当或驾驶系统缺陷等导致的安全事故层出不穷,严重削弱了消费者对自动驾驶技术的信任。中国工程院院士、清华大学教授李骏曾表示,“安全是智能网联汽车发展的生命线,也是消费者最为关心的问题”。行业亟需构建科学的安全评估体系,尤其是面向自动驾驶的安全体系,通过安全体系的构建,让自动驾驶真正从 “可用” 迈向 “可靠”。
4.1 自动驾驶安全系统要素
李骏院士强调,“自动驾驶汽车的安全是一个涵盖全生命周期的系统工程,必须同时确保自动驾驶系统安全与自动驾驶运行安全的双重保障。产品出厂前的功能安全只是基础门槛,更关键的是在动态交通环境中持续保障运行安全,这涉及车辆与复杂环境的实时交互、与多元交通参与者的协同,以及控制策略的适应性。” 这就要求汽车企业在研发阶段就构建 “系统安全 – 运行安全” 的一体化架构。一方面,通过 SOTIF 消除感知 – 决策链路存在的潜在风险;另一方面,建立覆盖车辆全生命使用周期的运行安全体系,包括远程监控、动态 ODD 合规性检查及人机共驾时的控制权无缝交接等。只有将设计端的失效防护与运行端的风险管控形成闭环,才能真正实现 “设计即安全、运行保安全” 的目标。本节将对汽车自动驾驶安全系统的系统安全及运行安全进行详细地介绍 [1],系统框架如图 4-1 所示。
图 4-1 汽车自动驾驶安全系统框架,框架包含自动驾驶系统安全和自动驾驶运行安全,其中自动驾驶系统安全涵盖功能安全、预期功能安全、信息安全、系统安全性、故障安全响应、HMI / 操作员信息、OEDR、ODD、系统安全验证、网络安全、软件更新、EDR/DSSAD;自动驾驶运行安全涵盖使用安全、远程操作、在用车辆安全、用户教育培训、车辆环境、控制安全、ODD 的适用性、监测与报告、维护与检查
4.1.1 自动驾驶系统安全
自动驾驶系统安全主要包括系统安全性、故障安全响应、人机交互界面 / 操作员信息、目标物与事件检测响应、运行设计域、系统安全验证、网络安全、软件更新、自动驾驶车辆事件数据记录器与数据存储系统 [1],详细如下:(1) 系统安全性(System Safety):处于自动驾驶模式时,自动驾驶车辆应确保驾驶员及其他道路使用者不存在不合理的安全风险,并符合道路交通法规要求。(2) 故障安全响应(Failsafe Response):自动驾驶车辆应能检测系统故障或 ODD 条件不满足的情况,此时车辆应能发出介入请求,并在驾驶员未接管时执行最小风险策略。(3) 人机交互界面 / 操作员信息(Human Machine Interface, HMI/Operator information):在驾驶员可能介入驾驶任务的场景下,自动驾驶车辆应配备驾驶员参与度监测功能,以评估其对全程驾驶任务的认知与准备状态。当驾驶员需重新获取车辆控制权时,车辆应发出驾驶任务移交请求。此外,自动驾驶车辆应支持与其他道路使用者的交互。(4) 目标物与事件检测响应(Object Event Detection and Response, OEDR):自动驾驶车辆须具备检测并响应 ODD 内合理预期目标物 / 事件的能力。(5) 运行设计域(Operational Design Domain, ODD):就车辆安全性评估而言,制造商应书面说明车辆支持的 ODD 范围及规定 ODD 内的功能表现,ODD 应明确描述自动驾驶模式下的预期运行条件,至少包含道路类型、地理区域、速度范围、环境条件等。(6) 系统安全验证(Validation for System Safety):制造商应基于系统工程方法,通过可靠的设计与验证流程证明其自动驾驶系统不存在不合理的安全风险,且需要符合道路交通法规。设计与验证方法应包括自动驾驶系统的危害分析与安全风险评估、OEDR 评估与集成系统的整车设计评估等,应能验证自动驾驶车辆在常规运行中的行为能力、碰撞规避能力及降级策略的效能。测试方法可结合仿真测试、试验场测试及实际道路测试进行。(7) 网络安全(Cybersecurity):应依据车辆物理系统的网络安全实践,对自动驾驶车辆实施诸如网络攻击等手段的防护措施。主机厂须明确如何将网络安全考量纳入自动驾驶系统(ADS)开发全过程,包括所有的实施措施、变更项、设计决策、分析论证及相关测试验证,并确保在健全的文档版本控制环境下实现数据的可追溯性。(8) 软件更新(Software Updates):车辆制造商应确保系统更新能按需以安全可靠的方式执行,同时为售后维修及必要改装提供技术支持。(9) 自动驾驶汽车事件数据记录系统与数据存储系统(Event data recorder, EDR; Data Storage System for Automated Driving vehicles, DSSAD):自动驾驶车辆应具备数据采集与记录功能,以可追溯形式存储与系统状态、功能异常、性能降级或故障发生相关的必要数据,这些数据可用于事故原因鉴定、自动驾驶系统状态判定与驾驶员状态的确认。
4.1.2 自动驾驶运行安全
自动驾驶运行安全包括:远程操作、在用车辆安全、用户教育与培训 [1],详细如下:(1) 远程操作(Remote Operation):自动驾驶系统遇到超出其处理能力的场景时,通过车外控制中心对车辆实施实时干预的技术方案。(2) 在用车辆安全(Safety of In-Use Vehicles):确保已投入市场的自动驾驶车辆在全生命周期内持续符合安全要求的系统性措施,主要包含三方面:一是 ODD 适用性,确保车辆实际运行环境始终符合预设的 ODD 边界,包括地理围栏、天气条件、道路类型等参数;二是监测与报告,自动驾驶车辆在运行过程中,实时监控车辆的运行状态,并在发生与自动驾驶安全相关的事件时进行数据上传和报告;三是维护与检查,针对自动驾驶车辆硬件、软件及通信系统的全生命周期管理流程,旨在通过预防性维护、周期性检测及故障后修复,确保车辆始终符合设计安全标准。(3) 用户教育与培训(Consumer Education):车辆制造商应制定、记录并持续更新针对内部员工、经销商、分销商及消费者的教育培训计划,重点涵盖自动驾驶车辆与传统车辆在操作使用方面的预期差异。
4.2 自动驾驶系统安全
系统安全是指在自动驾驶汽车系统生命周期内应用安全系统工程等相关理论辨识整车、零部件及算法等组件的潜在危害,并采取有效的安全保障措施及技术将其系统风险降至可接受水平,使汽车达到最佳安全状态的综合性体系。系统安全的研究重点是如何通过合理的保障技术改善功能安全、预期功能安全和信息安全,即系统故障导致的功能安全(Functional Safety, FuSa)问题、功能不足导致的预期功能安全(Safety Of The Intended Functionality, SOTIF)问题以及网络攻击等手段导致的信息安全(Cybersecurity)问题,如图 4-2 所示。
图 4-2 自动驾驶汽车系统安全框架,包含功能安全(FuSa)、预期功能安全(SOTIF)、信息安全(Cybersecurity),对应的标准分别为《道路车辆功能安全》ISO 26262、《道路车辆预期功能安全》ISO21448、《道路车辆信息安全》ISO/SAE 21434,以及国内标准《道路车辆功能安全》GB/T 34590、《道路车辆预期功能安全》GB/T 43267-2023、《汽车整车信息安全技术要求》GB 44495-2024)
4.2.1 功能安全
(1)定义与内涵
功能安全作为道路车辆电子电气系统的核心安全屏障,在国际标准 ISO 26262 中赋予了明确定义,指不存在由电气 / 电子系统的功能异常表现引起的危害而导致的不合理风险 [2][3]。这一定义以风险防控为导向,构建了系统设计、开发、生产、在用、报废全生命周期的安全过程管控框架。功能安全的核心在于通过系统化的工程方法,识别、评估并缓解因系统功能失效引发的潜在危害,确保车辆在各类工况下的安全可控性。从技术实现维度看,功能安全并非单一的技术指标,而是涵盖需求分析、系统设计、验证测试及持续改进的完整体系。
(2)研究对象的层级解构
道路车辆功能安全的研究对象是 “相关项”,是指功能安全整车层面的范围,具体定义为实现整车层面功能或部分功能的系统或系统组合。这里的 “功能” 本质是用户对系统能力的预期,如加速、转向、制动等基础操作,或是自动驾驶、自动泊车等复杂功能。相关项的界定需明确功能边界,例如,自适应巡航控制系统(ACC)作为独立相关项,其功能范畴限定于车距保持与速度调节,而不涉及车道保持等其他功能域。
相关项由 “系统” 构成,而功能安全对系统的定义进行了严格的技术约束。一个完整系统至少包含传感器、控制器、执行器三大核心要素,三者缺一不可。以电子稳定程序(ESP)为例,主要包括传感器(通过陀螺仪、加速度计采集车辆姿态数据)、控制器(基于预设算法分析数据,判断是否触发稳定控制)及执行器(通过液压系统对特定车轮施加制动力纠正行驶轨迹)。若缺失执行器(如制动系统故障),即使传感器与控制器功能正常,系统也无法实现预期功能,更无法对外界环境产生作用,这正是功能安全强调系统完整性的根本原因。值得注意的是,传感器或执行器可位于相关项内部或外部,例如自动驾驶系统的转向执行器通常依托整车底盘系统(外部资源),而非独立集成于相关项内。
(3)故障链分析
功能安全风险的根源在于 “系统性失效” 与 “随机硬件失效”,二者通过 “故障 – 错误 – 失效” 的链式反应引发危害,理解这一过程是构建安全防护机制的关键。
“故障” 是可导致要素或相关项失效的异常情况,具有多样性与动态性特征。常见的故障包括永久性故障(如传感器电路短路,导致持续输出错误信号等)、间歇性故障(因组件老化或接触不良,如 ECU 焊点虚接导致偶发通信中断等)、瞬态故障(如电磁干扰引发的寄存器数据跳变等)。部分系统性故障也可能成为间歇性故障的诱因,例如时序设计不足导致控制器在高负载下出现周期性计算延迟等情况。
“错误” 是计算值、观测值与真实值的差异,其产生源于内部故障或外部环境干扰,如雷达传感器因雨雾天气出现误检测,将水滴反射信号误判为障碍物(外部干扰引发错误);微控制器因缓存错误导致控制算法输出异常扭矩值(内部故障引发错误)。错误可潜伏于软硬件系统各层级中(如软件逻辑错误、硬件信号错误等),是连接故障与失效的中间环节。
“失效” 是因故障导致的功能执行能力终止,主要分为两类:系统性失效和随机硬件失效。前者与人的设计、操作等主观因素相关,具有确定性因果关系。例如,软件需求规格说明书存在歧义,导致控制逻辑错误;硬件布局未考虑电磁兼容,引发传感器信号串扰。此类失效需通过流程改进(如代码评审、设计验证)消除。后者服从概率分布的不可预测失效,源于物理层面的不确定性。例如,电容因长期工作温度过高导致电解液泄漏。此类失效需通过可靠性建模与冗余设计降低发生概率。
故障→错误→失效的演进最终可能引发危害,而危害需与具体场景结合形成危害事件。例如,制动系统失效在城市道路(高暴露率场景)的风险远高于停车场(低暴露率场景)。ISO 26262 通过严重度(伤害的严重程度)、暴露率(运行场景的暴露概率)、可控性(驾驶员或系统避免伤害的能力)三参数量化风险,形成汽车安全完整性等级(ASIL)[4] 的判定依据。
(4)功能安全系统开发
根据 ISO 26262,功能安全系统阶段开发内容分为技术安全需求及技术安全概念的开发及验证(Verification)和系统集成测试及安全确认(Validation)两部分,分别隶属于系统开发 “V” 模型的左侧和右侧,二者中间穿插了具体的硬件和软件开发。系统阶段技术安全需求和技术安全概念的开发,与概念开发过程及输出产物紧密衔接,而只有完成具体的硬件和软件开发,才能进行系统层面的集成测试和安全确认。以软件功能安全开发为例,ISO 26262 第 6 部分规定的软件功能安全开发 “V” 模型左侧涵盖需求开发、架构设计及详细实现,右侧涉及集成与测试验证。该模型与 2005 年欧洲车企制定的 ASPICE 在内容和输出上基本类似,因此可参照 ASPICE 规范软件开发流程,以提升汽车软件质量。
4.2.2 预期功能安全
(1)基本概念
预期功能安全(SOTIF)是伴随自动驾驶技术迭代应运而生的核心安全理念,旨在系统性应对因系统功能不足引发的安全风险。其核心逻辑在于通过全生命周期的安全评估与管理,在设计阶段精准识别潜在功能缺陷同时以工程优化手段降低风险,确保系统在预期使用环境下安全可靠运行。SOTIF 体系中,场景被定义为包含目标、环境条件及事件时序关系的复杂集合,用户对系统功能的误用或对其局限性的认知不足,均可能放大安全风险,此类风险通常由可控性与严重程度共同界定。
在具体运行场景中,车辆承担的动态驾驶任务(DDT)涵盖实时操作与战术功能,如车道保持、速度调节等。以 3 级自动驾驶为例,当车辆故障为轻微失效时,此时应立即向 DDT fallback(驾驶员)发出介入请求,若 10s 内未接管,则执行最小风险操作(MRM)进入最小风险状态(MRC);而当车辆故障为严重失效时,可直接执行 MRM,进入 MRC。而运行设计域(ODD)则为车辆划定了安全运行边界,从道路类型、气象条件到系统参数等多个维度明确规定了车辆可安全执行 DDT 的条件范围。
随着智能驾驶从 2 级向 3 级进阶,系统复杂度与场景多样性呈指数级增长,SOTIF 的重要性也愈发凸显。该体系围绕一个关键概念展开:功能不足,即规范定义不足或性能局限。前者表现为需求描述不完整,后者源于技术能力边界。当功能不足被特定触发条件触发,轻则导致系统输出异常,重则引发车辆危害事件。例如,配备高速公路辅助驾驶的车辆,若驾驶员监测摄像头受强光干扰而失效,可能致使系统无法及时警示分心驾驶,进而在车道偏离时错失接管时机酿成事故。
图 4-3 SOTIF 的危害事件模型,展示触发条件导致危害行为,危害行为导致危害,危害导致危害事件,场景包含使危害可导致伤害的条件,伤害不可控
如图 4-3 所示,SOTIF 的危害事件模型可通过可视化手段揭示功能不足、触发条件与危害行为间的因果链。例如,高速公路场景中,传感器受环境干扰误将路标识别为换道车辆,触发不适当制动最终引发追尾;城市道路中,系统未能有效识别异形交通参与者,导致车辆跟车制动延迟造成碰撞事故。基于此,如图 4-4 所示,SOTIF 将场景划分为已知安全、已知不安全、未知安全、未知不安全四类,其核心目标在于通过持续迭代,将未知场景转化为已知、将不安全场景优化为安全,逐步压缩风险区域,最终实现残余风险的可接受化,向全时速、全方向、全目标、全天候、全场景的全域安全目标持续迈进。
图 4-4 预期功能安全活动带来的场景区域之间的演变,横轴为安全 / 不安全,纵轴为已知 / 未知,包含已知安全场景(区域 1)、已知不安全场景(区域 2)、未知不安全场景(区域 3)、未知安全场景(区域 4)
- 时速安全
在动态变化的交通场景中,不同速度对应差异化的风险特征,通过建立速度域与安全边界的动态映射,自动驾驶系统能够实时匹配环境感知、决策响应与机械控制的协同节奏,有效预防因速度适配偏差引发的碰撞、失控等安全隐患。低速场景行业生效范围一般≤5~20km/h,优秀企业可做到生效范围≤2~10km/h,一般包括城市道路低速行驶场景、停车场相关场景、校园 / 园区 / 景区特殊场景等,车辆在高速公路上保持设定的较高速度(如 100~120km/h),高速场景前向自动紧急制动速度生效范围行业一般≥100km/h,优秀企业可做到生效范围≥120km/h;侧向防碰撞的速度生效范围行业一般≥80km/h,优秀企业可做到生效范围≥100km/h。 - 方向安全
不同于传统被动防护,智能驾驶的全向防碰撞系统通过融合感知、决策与控制技术,构建起覆盖前向、侧向、后向及变道场景的动态防护网。无论是路口突现的 “鬼探头”、后方高速逼近的电动车,还是加塞车辆的强行切入,系统能以毫秒级响应实现主动避让或紧急制动。这种突破视觉盲区的全域守护,主要包含了前、后、侧向的预警与紧急制动功能,可以让智能汽车真正具备 “零死角” 的风险化解能力。 - 识别安全
系统不仅需要准确感知常规动态目标,如移动车辆、横穿行人及自行车等,更要具备对静态障碍物(锥桶、水马等)及异形物体的精准辨识能力。尤其在复杂路况下,准确区分目标的运动属性(静止 / 移动)及行为模式(横穿、斜穿或逆向行驶等),可大幅提升预判风险的响应速度,有效预防因漏检或误判引发的碰撞事故。 - 环境安全
在复杂多变的现实交通场景中,恶劣天气、异常光照、极端温度等环境变量对感知系统的稳定性、决策算法的适应性和控制执行的可靠性提出了严苛挑战。从产业发展维度看,全天候安全不仅是技术攻坚的制高点,更是构建用户信任体系的关键支柱,当智能网联车辆能在暴雨夜的湿滑弯道、雨雾尘霾天的复杂路口等高风险场景中保持稳定可靠的行驶表现,才能真正推动自动驾驶迈向规模化商用。 - 场景安全
系统必须具备无差别风险处置能力,覆盖人机共驾路况判断、高速突发应对、低速泊车障碍物识别等全域场景。路面自适应 AEB 通过多源感知数据融合,在高速追击、弯道遮蔽、湿滑制动等极限条件下动态建模碰撞风险并分级干预,其场景覆盖广度决定主动安全系统可靠性边界;驾驶员失能靠边停车与辅助控制功能建立全链路应急响应,填补人机权责切换安全真空;紧急 Cut-in 鸣笛与 HUD 危险显示构成的预警体系,经声光融合将风险前置处理,强化人机共驾认知协同;智能领航需平衡变道博弈与车道保持,智能泊车需突破狭小空间定位精度,自主泊车则需深化场库拓扑理解;从高速控制到泊车优化,从事件处置到风险预判增强,每个场景都考验感知 – 决策 – 执行闭环的无缝衔接。正是通过高频高危场景锤炼,自动驾驶系统才能建立行驶全周期安全护城河,推动智能出行向安全承诺的价值跃迁。
(2)安全保障技术
为了解决自动驾驶车辆的安全问题,与传统安全方法不同,预期功能安全保障技术从触发条件、系统功能不足的角度来解决车辆面临的安全风险,瞄准算法正常运行时的算法自身状态,关注算法或器件运行所在的驾驶环境,规范算法输出的驾驶结果,最终实现修正与规范自动驾驶系统行为的目标。
在实践层面,SOTIF 遵循 ISO/DIS 21448 标准构建全流程框架,涵盖分析评估、验证确认与运行监测三大阶段。分析评估阶段综合运用危害分析和风险评估(HARA)、功能失效分析等手段,深度挖掘功能缺陷与潜在风险;验证确认阶段通过策略制定与场景验证,确保系统在实际运行中满足安全要求;运行阶段则依赖持续监测与动态升级,保障系统长期可靠,如危急时刻的人机共驾、车辆紧急避险协同、多系统的协同控制、融合感知的安全应对、冗余安全设计等策略。
技术实现层面,SOTIF 突破传统安全框架,聚焦算法正常运行时的性能边界与环境适配问题。以人工智能算法为例,清华大学李骏院士团队针对深度学习模型可解释性差、泛化能力弱的固有缺陷,引入不确定性量化技术进行风险监测,该团队通过贝叶斯神经网络或深度集成等方法,量化认知不确定性与偶然不确定性,一旦检测到风险阈值立即触发分级预警与决策调整,最终确保行车安全 [5][6]。比如:
- 危急时刻的人机共驾策略
在助力叠加方面,驾驶员本能触发制动或转向操作时,系统需实时融合干预力度;对于自动紧急制动(AEB)系统,需通过压力传感器获取驾驶员制动踏板力度,动态计算叠加制动力矩,避免系统单独作用导致过度制动;转向系统则需在驾驶员实施轻微转向操作时,基于力矩反馈和转向角度进行毫秒级运算,智能补偿辅助转向力矩。在避险策略处理上,系统设置毫秒级决策校验窗口,通过连续监测驾驶员操作意图与预设策略的偏差度,有效区分真实避险需求与误操作。 - 车辆紧急避险协同策略
AEB 应优先于 AES 启动,AEB 通过主动减速实现风险化解,而 AES 作为补充手段仅在制动距离不足等极端情况下启用。在此安全框架下,AES 系统需执行更严苛的防误触标准,其误触发率应从 AEB 的十万公里 / 次基准提升至亿公里 / 次量级,这种指数级安全冗余源于 AES 作为终极避险手段的特殊属性,每次介入都意味着系统已突破 AEB 的安全边界,伴随着车道偏移带来的二次风险。 - 多系统协同策略
当前行业普遍将传感器视作系统的 “眼睛”,算法视为 “大脑”,但若执行机构响应滞后,只有眼睛看得清、脑子反应快,但身体跟不上也无法保证安全,仍可能引发安全隐患。因此,需突破传统分布式底盘架构的限制,通过底盘域控制器的集中化重构,实现动力、制动、转向等执行单元的毫秒级协同响应,同时打通与座舱系统、通信网络、光学交互等模块的底层数据通道,构建全域联动的主动安全体系。 - 融合感知的安全应对策略
激光雷达的引入为感知系统补全关键拼图,其厘米级精度的三维点云数据可精准重构环境立体信息,显著提升目标物分类、距离及方位判断的可靠性,为自动驾驶决策提供确定性更强的感知输入。但激光雷达并非全能解决方案,相较于毫米波雷达,其在雨雪雾霾等复杂气象下的抗干扰能力存在短板,而摄像头独有的色彩感知能力仍是交通标识、信号灯等场景不可替代的信息来源。激光雷达强化空间建模能力,毫米波雷达保障基础环境感知鲁棒性,视觉系统维持语义解析优势,三种传感器实质上构建起多维互补的感知网络。 - 冗余安全设计策略
自动驾驶在感知、决策、执行上有冗余安全要求,包含计算冗余、感知冗余、制动冗余、转向冗余、电源冗余、通信冗余、热管理冗余等,通过部署多重组件构建容错能力,确保预期功能持续稳定运行。 - 预测不确定性量化评估方法
预测是自动驾驶的关键技术,借助这一技术,自动驾驶车辆可在必要时提前做出调整,避免或减少交通事故的发生。该领域深度学习是研究热点,虽然其极大增强了自动驾驶系统在复杂场景的适应能力,但是仍面临多种挑战,尤其是预测问题的不确定性。该不确定性主要来源于两个维度,一是模型本身的不确定性;二是数据层面的认知不确定性。针对模型不确定性可通过概率分布形式进行量化,常用的方法如高斯分布及其变型;针对认知不确定性可引入预测熵作为度量,构建以贝叶斯推理模型为基础的认知评估模型,从而有效量化和管理模型不确定性和认知不确定性,提升自动驾驶系统的可靠性。
运行设计域(ODD)的动态监测同样是 SOTIF 的关键支撑。从道路规范(覆盖城市、高速等场景的几何特征与车道规则)、天气规范(限定能见度、温度等环境参数)到车辆与驾乘人员状态规范,ODD 构建了多层次安全屏障。例如,针对道路缺陷监测,常见的方法是利用单阶段式目标检测网络模型结合双目视觉与点云处理完成路面缺陷识别;针对天气状态监测,利用责任敏感安全模型动态调整车速以平衡理论安全间距,是确保极端天气下行车安全的有效方法之一。道路法规合规性监测则为 SOTIF 注入法律约束维度。为了实现法规数字化,李骏院士团队提出将自然语言法规转化为度量时序逻辑表达式,该过程从语义元素提取、原子命题构建到逻辑链梳理,最终形成机器可执行的规则库。在此基础上,该团队构建了分层触发监测与合规决策协同运作架构,实时校验车辆行为与法规约束的一致性,通过优先级划分与模型预测控制算法,动态生成合规行驶轨迹,确保自动驾驶既符合安全标准,又满足法律要求,如图 4-5 所示。
图 4-5 自动驾驶车端合规性在线监测架构,左侧为《中华人民共和国道路交通安全法实施条例》相关条款:第 38 条右转弯的车辆、第 44 条变更车道的机动车不得影响相关车道内行驶的机动车的正常行驶、第 38 条转弯的车辆不得妨碍被放行的直行车辆、行人通行,在不妨碍被放行的车辆、行人通行的情况下,可以通行;右侧为在线监测系统流程:Start→在线监测系统→操作环境→自动驾驶系统→感知→决策→控制,中间包含 Trigger、Layer c、Layer b、Logical Violation judgment 等触发与判断环节
综上,SOTIF 并非孤立的技术模块,而是贯穿自动驾驶系统设计、开发、运营全生命周期的安全哲学。其通过多维度风险建模、智能化监测预警与动态化策略响应,填补了传统安全体系的空白,为自动驾驶技术的规模化商用筑牢安全基石。
4.2.3 信息安全
(1)基础概念
信息安全在自动驾驶领域承载着保障系统可信运行的核心使命,本质上是通过技术手段实现可用性(系统持续稳定工作,如遭攻击仍能通信)、机密性(数据不被非法获取,如加密传输位置信息)、完整性(数据不被篡改,如区块链验证数据一致性)、不可否认性(操作可追溯,如数字签名确认指令来源)、真实性(身份可信,如车载终端认证)、可控性(权限可管理,如分级访问控制)六大属性的动态平衡 [8],核心内涵随技术发展从单一数据保护延伸至系统级风险防控,例如智能座舱需防范物理层硬件篡改、网络层协议欺骗、应用层恶意代码注入等跨层级风险。根据 GB 44495-2024《汽车整车信息安全技术要求》,车企需构建覆盖全生命周期的信息安全管理体系,并在外部连接、通信安全、软件升级及数据保护等维度设置强制性技术屏障。特别强调对远程控制、OTA 升级等关键场景的威胁防护,要求通过身份认证、完整性验证、最小化授权等机制抵御网络攻击。
信息安全威胁呈现多样化形态,包括信息泄露(如窃听通信信号)、数据篡改(如伪造导航路线)、重放攻击(如重复发送开门指令)、身份假冒(如伪装成合法车辆接入网络)等多种核心模式,每种威胁均对应特定技术风险。
(2)车联网架构
车联网是基于车内网、车际网和车载移动互联网的一体化网络,其作为自动驾驶通信基石构建于 “端 – 管 – 云” 三层架构,但也时常面临信息安全的挑战。
- 端系统(车内网络)
相当于汽车的 “神经中枢”,通过 CAN 总线、车载以太网等连接电动机、传感器等设备。例如,低速 CAN 总线用于车窗控制,但若缺乏认证机制,攻击者可通过 OBD 接口伪造指令。 - 管系统(车外通信)
实现车与车(V2V)、车与人(V2R)的无线通信。专用短程通信(DSRC)用于近距离实时交互(如碰撞预警),但需防范信号伪造;蜂窝车联网(C-V2X)基于 5G 技术,覆盖范围广但面临中继攻击的挑战;无线局域网(WLAN)则可能被黑客通过 Wi-Fi 热点入侵。 - 云系统(云端平台)
通过 T-Box 连接车辆与云端,可实现远程控制、OTA 升级等功能。若升级包未加密,则可能缺乏完整性校验机制,面临被恶意篡改、病毒注入等风险;若云端数据泄露,大量用户隐私和车辆状态信息将面临安全挑战。
(3)安全保障技术
自动驾驶信息安全设计的深化,不仅是满足合规要求的必要路径,更是重塑智能交通生态信任基石的战略选择。通过将 GB 44495-2024 的安全基因植入自动驾驶系统的研发闭环,既能有效防范勒索攻击、数据泄露等新型风险,又能为未来一体化协同提供可信数据底座。为了实现信息的安全防护,安全保障技术应运而生,常见的保障技术如下:
1)态势感知与入侵检测技术
通过部署传感器和探针,可实时监控车内总线流量、车外通信信号和云端日志。例如,利用机器学习建立车辆行为基线,当转向角度、刹车频率等数据异常波动时,系统会立即预警。入侵检测系统则像 “电子警察”,分为监控主机日志的 “主机型” 和分析网络流量的 “网络型”,前者可发现病毒写入系统文件,后者能识别伪装成正常通信的攻击信号。随着 AI 技术的快速成熟,在入侵检测系统中利用神经网络模型自适应标记异常行为是当前技术热点之一。实际应用中多采用前向模型,利用逆向传播法(Back Propagation, BP)进行训练,其中输入层接收事件二进制信号,输出层指示可能的入侵,同时根据具体场景设定隐含层参数,最终结合前向估计输出与反向误差反馈实现网络权重调整过程。
2)加密与认证技术
加密与认证技术是保障车载信息传输与访问安全的重要手段,具体如下:
- 加密技术
指利用算法对数据进行处理,防止信息在传输或存储中被窃取、篡改。可分为对称加密(如 AES,速度快适合视频传输)和非对称加密(如 RSA,适合密钥交换)。例如,车载摄像头拍摄的画面通过 AES 加密后传输,车云通信则用 RSA 协商密钥,确保 “一次一密”[9]。 - 身份认证
指用于确认操作者及信息访问者身份的过程。认证技术已经从简单的 “用户名 + 密码” 升级为多因子认证,如动态口令(每次登录密码不同)、生物特征(指纹、虹膜)、USB Key(硬件 + 密码双重验证)等方式,可实现信息安全性的大幅提升。
3)主动防护技术
主动防护技术通过预先部署防御机制,从源头降低车载网络遭受攻击的风险,主要包括以下几类:
- 防火墙技术
如同网络的 “安检门”,过滤不安全的流量。例如,禁止外部设备随意访问车载诊断接口(OBD)或只允许特定 IP 地址连接车载系统。 - 蜜罐技术
设置 “诱饵系统” 吸引黑客攻击。例如,在车内网模拟一个虚假的空调控制节点,当黑客尝试入侵时,系统可记录攻击路径并及时防御 [10]。 - 应急响应技术
制定 “安全应急预案”。若系统检测到攻击,可自动切断危险连接并启动备份系统,甚至让车辆进入 “limp-home 模式”(低速安全行驶到维修点)。
4.3 自动驾驶运行安全
4.3.1 自动驾驶运行安全总体职能
自动驾驶运行安全管理体系涵盖运行风险管控与运行安全保障两大职能模块,其中运行风险管控作为体系核心,贯穿自动驾驶全生命周期管理流程。运行风险管控职能聚焦自动驾驶系统在环境交互及交通参与者交互过程中的动态风险管控。在环境交互领域,重点构建两大技术管控体系:一是实现 ODD 边界动态识别;二是建立环境参数实时监测机制。在与交通参与者交互层面,确保车辆驾驶行为符合交通法规要求;实现风险实时监测与分级预警;构建标准化应急风险处置与响应流程。运行安全保障职能主要涵盖使用安全与安全管理两大领域。在使用安全上,一方面强化系统优化与人员管理,另一方面构建持续改进与维护机制。在安全管理上,实现风险事件及事故隐患的实时监控;建立标准化事故处理及溯源流程;制定突发事件管理制度。
4.3.2 自动驾驶运行风险管控关键技术
4.3.2.1 自动驾驶 ODD 边界动态识别
ODD 是自动驾驶系统设计运行的核心边界框架,其明确定义了系统能够安全、可靠执行自动驾驶功能的外部条件集合。根据国际标准与行业实践,ODD 通常涵盖多个维度。例如,物理环境条件:天气(如光照、降水、能见度等)、道路基础设施(如车道标线清晰度、交通信号类型等)、地理区域(如城市道路、高速公路)等;交通动态要素:涉及其他道路使用者(如车辆、行人、非机动车的密度与行为模式)等。ODD 的核心价值在于为自动驾驶系统划定 “安全运行边界”。一方面,它是系统开发、测试与验证的基础,完整准确的 ODD 定义可确保测试场景覆盖所有设计工况;另一方面,它是运行阶段风险管控的依据,当系统检测到环境条件接近或超出 ODD 边界时,需触发后援响应(如人工接管、系统降级等),避免因功能失效导致事故。
在传统自动驾驶开发中,ODD 通常作为静态参数写入系统设计文档。然而,实际交通环境具有强动态性与不确定性,仅仅依赖静态 ODD 定义存在显著局限。例如,边缘案例的不可穷举性:静态 ODD 难以覆盖所有潜在场景(如突发恶劣天气、非常规交通行为等),然而边缘案例往往是事故高发场景;环境参数的连续变化特性:光照强度、道路湿滑度等物理量呈连续波动,静态阈值无法精准描述系统实际能力边界;系统性能的实时衰减风险:传感器污染、硬件老化等因素会导致系统实际感知能力偏离设计参数,需动态校准 ODD 边界。因此,动态识别的核心目标是通过实时监测环境参数与系统状态,动态判断当前工况是否处于 ODD 安全范围内,为风险管控提供前置决策依据。这一过程不仅涉及技术层面的感知与算法优化,更需融入系统工程的全生命周期管理理念。
自动驾驶 ODD 边界动态识别是针对与环境交互过程中风险管控的前提基础。相关技术框架通常涉及数据采集与多源融合、边界条件建模与实时评估、边缘案例的机器学习识别以及动态响应与控制策略。其中,动态识别的基础是对环境与系统状态的精准感知,需构建多模态数据采集体系。例如,在环境感知层,通过激光雷达、毫米波雷达和摄像头实时采集道路几何特征、交通参与者行为、气象参数等数据;通过 V2X 获取路侧单元发布的动态交通信息(如施工预警、临时限速等),卫星导航(如北斗)提供的高精度定位与地图匹配数据;在系统状态监测层,通过车载诊断系统实时采集传感器健康状态(如激光雷达点云密度衰减率)、计算平台算力利用率、执行器响应延迟等内部参数,但数据融合仍需进一步解决多源数据时空同步、语义一致性等问题;边界条件建模与实时评估可包含以下步骤:
- 动态边界数学建模
将 ODD 边界从 “静态阈值” 升级为 “概率分布模型”。如,针对 “雨雾天气下的能见度边界”,可建立传感器检测概率与能见度映射关系,当检测概率低于安全阈值时,判定进入边界区域; - 风险量化评估模型
结合环境参数与系统状态构建风险指数,针对难以通过规则建模的复杂场景,可引入机器学习技术,如基于强化学习的边界探索、异常检测算法等; - 动态响应与控制策略
根据风险指数划分响应等级,并构建分级预警机制:一级预警(低风险),仅记录数据,不触发动作;二级预警(中风险),激活局部传感器增强模式(如激光雷达提高扫描频率),同时向驾驶员发出预接管提示;三级预警(高风险),强制触发后援响应,如切换至人工驾驶模式或自动泊车;动态重规划技术:当检测到前方道路条件超出 ODD(如突发大面积积水),通过路径规划算法实时调整路线,绕行至 ODD 允许的区域。
4.3.2.2 自动驾驶道路交通法规符合性
在自动驾驶技术蓬勃发展的当下,如何确保自动驾驶车辆安全、合规地融入现有道路交通体系,成为行业焦点。自动驾驶系统严格遵守交通规则是其安全运行的基石。道路交通法规是保障道路交通安全、有序和高效运行的重要准则,无论是人类驾驶员还是自动驾驶系统,都必须严格遵循。在日常道路行驶中,交通信号灯变化、车道线的清晰划分、限速标志的明确指示等,都是自动驾驶系统需精准识别并严格遵守的交通规则。只有通过这样严格遵循交通规则的行驶,自动驾驶车辆才能在道路上安全、稳定地行驶,切实保障车内乘客以及道路上其他交通参与者的生命财产安全。
公安部道路交通安全研究中心凭借其权威性与专业性,在自动驾驶法规符合性研究领域持续深耕,已取得了一系列重要成果,为行业发展指明方向。道研中心指出,现行自动驾驶测试模式存在短板,难以充分保障车辆对交通法规的有效遵守。然而,目前封闭场地测试仅能覆盖不足 20% 的内容,且多为定性测试,对安全驾驶操作规范的定量验证有所欠缺。为突破这一困境,中心创新性地提出 “两库一平台” 的交通法规符合性仿真测试方法,为提升自动驾驶安全性、推动行业健康发展发挥了重要作用,也为未来自动驾驶全面融入交通体系筑牢了坚实基础。
此外,现有道路交通法规多以面向人类驾驶员的自然语言编写,部分条例表述不够清晰,导致各自动驾驶汽车企业对法规理解不同,进而使得自动驾驶汽车在实际行驶中的行为会出现明显分歧。让自动驾驶汽车在各种复杂情况下像人类驾驶员一样准确遵循自然语言编写的道路交通法规,一直是行业内亟待攻克的难题。为有效解决这一难题,清华大学李骏院士团队创新性地提出了自动驾驶 “合规性在线监测” 技术,该技术构建的系统独立于自动驾驶系统而运行,通过实时获取自动驾驶汽车的行为信息可以准确判断车辆行为是否符合法规要求。具体而言,该团队提出了一套全面的道路交通法规数字化方法和基于触发的分层合规性在线监测架构。此架构通过巧妙地设置触发条件,可以确保不同法规条例在恰当的运行环境下被触发,并且具有良好的扩展性,能够方便地容纳数字化后的不同地域的驾驶经验及规则。
随着社会发展和交通环境的变化,道路交通法规并非一成不变,而是在不断进行修订和完善。例如,新的交通标志和标线的引入、交通管理政策的调整等。自动驾驶系统必须能够自动、及时地识别这些法规变化,迅速更新自身的法规知识库,以确保在任何情况下都能够严格符合最新的法规要求。这就需要建立一个高效、快捷的法规信息收集、分析和更新机制。
自动驾驶道路交通法规符合性技术是自动驾驶技术实现广泛应用的关键性前提。稳态驾驶安全围栏技术通过对自动驾驶系统在遵守交通规则、兼顾多方面考量、识别场景变化及安全人员干预等方面提出明确且严格的要求,为保障自动驾驶法规符合性提供了全面、系统的解决方案。因此,随着技术的持续进步和法规体系的日益完善,自动驾驶技术将在严格遵守道路交通法规的坚实基础上,为人们带来更加安全、便捷、高效的出行体验,有力推动智能交通的蓬勃发展。
4.3.2.3 自动驾驶边界状态风险管控
在自动驾驶技术不断迈向商业化与规模化应用的进程中,边界状态风险管控技术成为保障系统安全稳定运行的核心环节。自动驾驶车辆在行驶过程中,不可避免会遭遇各类复杂场景,诸如极端天气、道路突发状况、系统异常等,这些都构成了边界状态。此时,边界状态风险管控技术可通过一系列严格要求与系统性措施,确保自动驾驶系统在面临风险时能够做出有效应对,保障乘客与道路交通安全。
部署安全模型规避事故风险是边界状态风险管控技术的首要任务。安全模型作为自动驾驶系统的 “安全卫士”,需要基于大量的道路数据、事故案例以及场景模拟来进行构建。如同一个智能大脑,能提前预判潜在风险,并为自动驾驶系统提供相应的决策参考。例如,可通过机器学习算法对历史交通事故数据进行深度分析,识别出高风险场景的特征模式,当自动驾驶车辆再次遇到类似场景时,安全模型可迅速判断风险等级,并触发相应的安全策略。此外,安全模型还需具备动态更新能力,随道路环境变化、新交通规则出台及技术迭代,不断优化自身的风险评估与应对机制,始终保持对事故风险的高效规避能力,为自动驾驶车辆的每一次出行保驾护航。
确保实施适当主动安全控制是边界状态风险管控技术的关键所在。主动安全控制是自动驾驶系统边界状态下的 “防御武器”,能在危险发生前主动采取措施降低风险,这涵盖了多个方面的技术应用,如自动紧急制动、车道保持辅助等。在边界状态下,系统检测到前方车辆突然减速,自动紧急制动系统可迅速响应,施加制动以避免碰撞;若车辆偏离车道,车道保持辅助系统会及时调整方向盘,将车辆拉回正确车道。同时,主动安全控制技术还需具备高度协同性,不同安全控制功能之间能够相互配合、协调运作。如在雨天路滑边界状态下,自适应巡航控制与自动紧急制动系统协同工作,可根据路面情况实时调整跟车距离与制动力度,确保车辆行驶安全。只有确保主动安全控制的适当实施,才能在边界状态下最大限度地降低事故发生的可能性。
最小风险策略 MRM 的合理性与合规性是边界状态风险管控技术的核心要点。最小风险策略是自动驾驶系统在无法维持正常行驶状态时,为将风险降至最低而采取的应对措施。MRM 的制定需充分考虑技术可行性、法律规定及社会伦理要求。从技术层面,策略要基于自动驾驶系统实际能力,确保在极端情况下能够有效执行;在法律方面,需符合当地交通法规以及自动驾驶相关的法律条款,避免因策略不当引发法律纠纷;在社会伦理层面,要权衡各方利益,优先保障人员生命安全。同时,为确保 MRM 合理性与合规性,需通过大量仿真测试与实际道路试验,不断优化策略内容,并依据法规变化和反馈及时进行调整,使其始终处于科学、合理且合法的状态。
此外,驾驶权移交过程的安全性同样不容忽视。在自动驾驶边界状态下,当系统无法有效应对当前状况时,驾驶权需平稳、安全地移交至人类驾驶员或远程操作人员手中。这一过程要求自动驾驶系统提前发出清晰、明确的预警信号,给予接收方充足的准备时间。同时,系统需对驾驶员的接管能力进行实时评估,若驾驶员未能及时地做出响应,系统应继续采取必要的安全措施,直至驾驶权成功移交或风险消除。同时,驾驶权移交过程中的人机交互界面设计也至关重要,需要确保信息传达准确、易懂,操作简便、快捷,避免因沟通不畅或操作复杂而导致移交失败,引发安全事故。通过保障驾驶权移交过程的安全性,能够在边界状态下建立起可靠的安全防线,确保自动驾驶系统在必要时可顺利过渡到人工控制模式。
自动驾驶边界状态风险管控技术通过部署安全模型、实施主动安全控制、确保 MRM 合理性与合规性及保障驾驶权移交安全等一系列严格要求,已构建起一套完整的风险防控体系。在自动驾驶技术持续发展的未来,这一技术将不断演进与完善,为自动驾驶车辆安全运行提供坚实保障,助力自动驾驶产业朝着更加安全、可靠的方向稳步前行。
4.4 自动驾驶安全评估体系
4.4.1 自动驾驶安全评估全流程体系概述
自动驾驶系统的安全评估已从单一功能测试转向全生命周期流程化验证,本体系以 “ODD 全流程覆盖” 和 “人机交互安全性” 为双核心,构建贯穿功能启动、运行、退出的闭环评估框架,如图 4-5 所示。其核心思想源于 ISO 3450X 系列标准对预期功能安全(SOTIF)的场景分层要求,将自动驾驶功能的安全边界划分为 “ODD 外 – 进入 ODD-ODD 内运行 – 退出 ODD” 三阶段,每个阶段对应不同的评估维度。就像给汽车的自动驾驶功能做 “全身体检”,不仅要看它开在路上是否靠谱,还要管 “启动前” 和 “退出时” 的安全。不同于传统仅关注运行阶段的测试模式,这套体系的核心逻辑是把自动驾驶的使用过程分成启动、运行、退出三个关键阶段,每个阶段都检查系统能不能正确判断自己的能力范围,以及和驾驶员的交互是否安全 [11][12]。本套流程体系可实现对 L3 级自动驾驶的安全性评估,同时可兼顾对 L2 级车辆的辅助驾驶能力评估。
图 4-6 自动驾驶安全评估全流程体系图示,横向分为 ODD 外(未知)、ODD 内(已知)、ODD 外(未知)三个阶段,纵向对应不同能力评估:ODD 外阶段评估 ODD 识别能力(ODD 完整描述、ODD 持续识别、ODD 有效识别)、ODD 外禁止启动能力(ODD 外禁止启动、ODD 外避免误触发);进入 ODD 阶段评估进入 ODD 内功能正常启动能力(合理启动方式、安全功能启用过程);ODD 内运行阶段评估感知干扰应对能力(极端天气应对、复杂光照适应、传感器冗余设计)、交通干扰应对能力(突发目标响应、复杂车流博弈、特殊车辆行为)、控制干扰应对能力(驾驶权过渡、动力平顺性、转向协同控制);退出 ODD 阶段评估功能退出能力(ODD 持续识别、明确的退出策略、驾驶员主动退出能力、请求接管能力、接管请求时间、接管实现能力、最小风险策略能力、最小风险策略有效性、最小风险策略合规性、应对 MRM 过程中的驾驶员干预)
4.4.2 自动驾驶功能启动过程安全性评估
启动阶段就像系统的 “开机自检”,主要看两件事:能不能开,该不该开。
- ODD 识别
先看环境是否在能力范围内。系统启动前会 “扫描” 周围环境,判断是不是在自己设定的能力范围内,比如路面标线好不好,如果车道线磨损得只剩一半,超过了系统的最低要求,系统会拒绝启动,避免 “看不清路”;下特大暴雨时,系统会判断如果雨量大小超出能力范围,则不启动,否则可以正常启动功能。 - ODD 外禁止启动
不该开的时候坚决不开。遇到自己能力范围外的情况,系统应拒绝驾驶员的启动请求,例如:系统发现不在预设的城市道路范围,会弹窗提示 “这里我不熟,无法自动驾驶”;夜间没路灯,系统无法有效识别场景,不会强行启动,防止事故发生。 - ODD 内正常激活
该开的时候要开好。条件合适时,系统要平稳接手,启动速度要快,点击按钮后 2 秒内完成自检的同时,同时需要确认驾驶员状态;保证突发情况时的处理方式合理,例如启动时前车急刹,系统应抑制激活,首先停车保证安全。
4.4.3 自动驾驶功能运行过程安全性评估
运行阶段是自动驾驶系统的核心工作时段,需同时满足环境适应性与动态响应能力,可拆解为 “感知干扰应对、交通扰动应对、控制干扰应对” 三大评估维度。
(1)感知干扰应对能力
自动驾驶系统需具备对环境干扰的鲁棒性,确保感知数据的准确性与可靠性,内容包括但不限于:a) 极端天气处理:如在暴雨、浓雾、强光等场景下,激光雷达需抑制雨雾散射噪点,摄像头需通过多帧合成提升低光照画质,毫米波雷达需维持穿透性探测能力;b) 复杂光照适应:如隧道进出口的明暗突变场景中,系统需通过动态光圈调节、HDR 图像算法减少光晕和对比度失衡,确保交通标识、行人等目标的识别准确率;c) 传感器冗余设计:多模态传感器(如激光雷达 + 摄像头 + 毫米波雷达)需实现时空同步与交叉验证,单一传感器失效时,其他传感器需无缝接管感知任务,避免因单点故障导致感知盲区。
(2)交通扰动应对能力
面对动态交通流与突发场景,系统需展现类人化决策逻辑,平衡安全性与通行效率,内容包括但不限于:a) 突发目标响应:前车急刹、行人 “鬼探头” 等场景中,系统需通过预碰撞安全系统(FCW+AEB)实现毫秒级制动,并结合 ESA 紧急转向辅助规避风险;b) 复杂车流博弈:在拥堵路段加塞、环岛合流等场景中,系统需基于博弈论算法判断路权优先级,通过合理加速 / 减速策略融入车流,避免激进变道或过度保守引发拥堵;c) 特殊车辆让行:检测到救护车、消防车等紧急车辆时,系统需实时规划避让路径,在确保安全的前提下快速腾出通行空间。
(3)控制干扰应对能力
系统需确保执行层对决策指令的精准执行,避免机械延迟或控制偏差引发风险,包括但不限于:a) 底盘协同控制:在湿滑路面紧急制动时,ESP(电子稳定程序)需与 ABS(防抱死系统)、TCS(牵引力控制系统)联动,通过轮速传感器实时调整制动力分配,防止车辆侧滑或甩尾;b) 转向精准性:高速过弯场景中,线控转向(SBW)系统需根据车道曲率动态调整转向比,配合 CDC(连续可调阻尼悬架)降低车身侧倾,确保转向轨迹与决策规划的偏差小于 0.2 米;c) 动力平顺性:在自动跟车场景中,电机扭矩输出需符合线性加减速曲线,避免急加速 / 急刹导致乘客不适。
通过上述维度的综合评估,可系统性检验自动驾驶系统在动态运行中的环境适应能力与风险管控水平,推动技术从 “功能可用” 向 “全场景可靠” 演进。
4.4.4 自动驾驶功能退出过程安全性评估
退出阶段聚焦人机接管可靠性与系统保底能力,确保控制权安全移交或自主避险。其中核心考察系统以下能力:
- 被动退出能力
当超出或即将超出设计运行条件 ODC 时,系统就需要提醒驾驶员来接管系统。这个阶段分为两个方面:精准监测驾驶员状态和用合理高效的方式提醒驾驶员接管系统。 - 主动退出能力
当驾驶员主动退出功能时,需要平稳地交接控制权,并明确地告知驾驶员系统当前的状态。
4.4.5 自动驾驶功能全过程安全性评价
评分体系以 “全流程覆盖、风险量化、动态加权” 为核心,通过将复杂场景拆解为可量化的子能力指标,结合场景风险等级与测试结果,形成从单场景到综合能力的多层级评分逻辑。其核心设计逻辑包括:
- 单场景风险矩阵
根据场景风险程度和通行结果的严重程度,将单场景得分映射至 [-3,3] 区间,负数代表风险未通过,正数代表安全通过,如图 4-7 所示。
图 4-7 场景风险分数矩阵,横轴为严重程度(无、低、中、高),纵轴为场景风险(高、中、低、无),对应得分:场景风险高 – 严重程度高为 3,场景风险高 – 严重程度中为 2,场景风险高 – 严重程度低为 1,场景风险高 – 严重程度无为 0;场景风险中 – 严重程度高为 2,场景风险中 – 严重程度中为 1,场景风险中 – 严重程度低为 0,场景风险中 – 严重程度无为 0;场景风险低 – 严重程度高为 1,场景风险低 – 严重程度中为 0,场景风险低 – 严重程度低为 0,场景风险低 – 严重程度无为 0;场景风险无 – 各严重程度均为 0)
- 子能力加权聚合
单场景得分通过 “平均得分 × 权重 + 最低得分 ×(1 – 权重)” 计算子能力得分,既关注整体表现,又强化对最低安全底线的考核。 - 综合能力分级
通过加权求和各子能力得分,最终按分数区间划分安全等级,实现从定性评估到定量分级的转化,见表 4-1。
表 4-1 综合能力分级区间说明
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
未来汽车安全评估的核心演进方向在于超越传统基于预设场景和规则的测试方法。现实驾驶环境的复杂多变使得潜在危险场景近乎无限,试图穷举测试所有可能困难且不够高效,同时人工智能的快速发展正推动算法走向 AI 化。因此,通过收集和分析涵盖广泛车辆、驾驶员与环境的真实世界运行大数据,进行统计性评估,成为衡量汽车整体安全水平更为合理和有效的途径。基于大数据的统计评估不仅能更精准地反映当前安全状态,还将为 AI 算法的持续迭代优化和安全策略的动态调整提供坚实依据,推动安全水平形成动态、进化式的提升机制。