2019

自动驾驶安全第一白皮书

I

II

作者

Matthew Wood, M.Sc. matthew.wood@aptiv.com

Dr. Philipp Robbel philipp.robbel@aptiv.com

Dr. Michael Maass Dr. Radboud Duintjer Tebbens Marc Meijs, M.Sc.Mohamed Harb, M.Sc. Jonathon Reach, B.Sc. Karl Robinson

David Wittmann, M.Sc.david.wittmann@audi.de

Toshika Srivastava, M.Sc. Dr.-Ing. Mohamed Essayed Bouzouraa

刘思远, BS, MBA liusiyuan01@baidu.com 王亚丽, MA wangyali05@baidu.com

Dr.-Ing. Christian Knobel christian.knobel@bmw.de Dipl.-Inf. David Boymanns david.boymanns@bmw.de

Dr.-Ing. Matthias Löhning Dr. Bernhard Dehlink Dirk Kaule, M.Sc. Dipl.-Ing. Richard Krüger Dr. Jelena Frtunikj Dr. Florian Raisch Dipl.-Math. Miriam Gruber Jessica Steck, M.Sc. Dipl.-Psych. Julia Mejia-Hernandez

Dipl.-Ing. Sandro Sygudasandro.syguda@continental-

corporation.com Dipl.-Ing. Pierre Blüher Dr.-Ing. Kamil Klonecki Dr. Pierre Schnarz

Dr. Thomas Wiltschko thomas.t.wiltschko@daimler.com Dipl.-Inf. Stefan Pukallus Dr.-Ing. Kai Sedlaczek

Neil Garbacik, M.Sc. neil.garbacik@fcagroup.com David Smerza, BSAE Dr. Dalong Li Dr. Adam Timmons Marco Bellotti

Michael O’Brien, BS michael.obrien@here.com Michael Schöllhorn

Dipl.-Ing. Udo Dannebaumudo.dannebaum@infineon.com

Jack Weast, BS, M.Sc.jack.weast@intel.com

Alan Tatourian, BS

Dr.-Ing. Bernd Dornieden bernd.dornieden@volkswagen.de Dr.-Ing. Philipp Schnetter Dr.-Ing. Dipl.-Wirt.Ing. Philipp Themann Dr.-Ing. Thomas Weidner Dr. rer. nat. Peter Schlicht

III

摘要

版本说明：《自动驾驶安全第一白皮书》中文版由北京百度网讯科技有限公司提供。中文翻译仅供参考，如中英文内容出现不一致，以英文版本为准。

本出版物汇总了 SAE L3 和 L4 自动驾驶的众所周知的通过设计实现安全，以及验证和确认（V&V）方法。本出版物的目的在于最大化地论证自动驾驶方案相比于人类平均驾驶水平具有正风险平衡。目前已有一系列出版物聚焦于自动驾驶的具体子主题。相比之下，本出版物基于主机厂、各层级供应商、关键技术供应商的输入对自动驾驶的安全相关主题进行了综合说明。本出版物的方法为首先将安全原则系统性分解为设计安全能力、各种要素和架构，然后对验证与确认方法进行汇总以证实实现了正风险平衡。由于 L3 和 L4 级自动驾驶系统仍在开发当中，本出版物为开发和 V&V 过程提供了潜在方法和考量因素的指导。本出版物无意用作自动驾驶系统的最终声明或最低、最高标准要求或标准。相反，本出版物旨在为当前寻求全行业的自动驾驶标准化的活动做出贡献。

参考标准

ISO/PAS 21448:2019 道路车辆-预期功能安全（SOTIF）ISO 26262:2018 道路车辆-功能安全ISO/SAE CD 21434 道路车辆-网络安全工程ISO 19157:2013 地理信息-数据质量ISO/TS 19158:2012 地理信息-数据供应的质量保证ISO/TS 16949:2009 质量管理体系- ISO 9001:2008用于汽车生产和相关配件组织的具体要求ISO/IEC 2382-1:1993 信息技术-词汇-第1部分：基本术语ISO/IEC/IEEE 15288:2015 系统与软件工程-系统生命周期过程

© Copyright 2019 by Aptiv Services US, LLC; AUDI AG; Bayrische Motoren Werke AG; Beijing Baidu Netcom Science Technology Co., Ltd; Continental Teves AG & Co oHG; Daimler AG; FCA US LLC; HERE Global B.V.; Infineon Technologies AG; Intel; Volkswagen AG. All rights reserved.The document and information contained herein is not a license, either expressly or impliedly, to any intellectual property owned or controlled by any of the authors or developers of this publication, and license to this document and information should not be considered to be have been made available to parties receiving and/or reviewing this document and information. The information contained herein is provided on an “AS IS” basis, and to the maximum extent permitted by applicable law, the authors and developers of this document hereby disclaim all other warranties and conditions, either express, implied or statutory, including but not limited to, any (if any) implied warranties, duties or conditions of merchantability, of fitness for a particular purpose, of accuracy or completeness of responses, of results, of workmanlike effort, of lack of viruses, of lack of negligence. THERE IS NO WARRANTY OR CONDITION OF TITLE, QUIET ENJOYMENT, QUIET POSSESSION, OR NON-INFRINGEMENT.

IV

目  录1  引言与动机 �������������������������������������������������������������������������������������������������������������������������� 2

1.1 本出版物的范围 ............................................................................................................................ 2

1.2 本出版物中使用的结构与开发示例 ................................................................................................ 4

1.3 安全愿景 ...................................................................................................................................... 6

1.3.1 背景 ............................................................................................................................... 6

1.3.2 十二条自动驾驶的指导原则 ............................................................................................. 6

2  系统地开发可靠性以支持通过设计实现安全���������������������������������������������������������������������������122.1 由可靠性推导自动驾驶能力要求 .................................................................................................. 13

2.1.1 自动驾驶车辆的法律框架 .............................................................................................. 13

2.1.2 相关安全标准的应用 ..................................................................................................... 14

2.1.3 预期功能安全（SOTIF） ................................................................................................ 17

2.1.4 功能安全 ...................................................................................................................... 20

2.1.5 汽车信息安全 ............................................................................................................... 21

2.1.5.1 为什么信息安全对安全性如此重要？ ................................................................ 22

2.1.5.2 信息安全方法与措施 ........................................................................................ 24

2.1.6 自动驾驶的能力要求 ..................................................................................................... 27

2.1.6.1 能力的初始推导............................................................................................... 27

2.1.6.2 能力概述 ......................................................................................................... 30

2.1.7 最低风险状况和最低风险策略 ....................................................................................... 34

2.2 实现能力的要素 .......................................................................................................................... 36

2.2.1 能力的实现 ................................................................................................................... 36

2.2.1.1 FS_1：确定位置 .............................................................................................. 37

2.2.1.2 FS_2：感知自动驾驶车辆附近的相关静态和动态物体 ....................................... 38

2.2.1.3 FS_3: 预测相关对象的未来行为 ........................................................................ 39

2.2.1.4 FS_4：制定一个无碰撞并且合法的驾驶规划 ..................................................... 40

2.2.1.5 FS_5：正确执行驾驶规划................................................................................. 41

2.2.1.6 FS_6：与其他（易受伤害的）道路使用者的沟通和互动 .................................... 41

2.2.1.7 FS_7：确定规定的标称性能是否达到 ............................................................... 42

2.2.1.8 FD_1：确保操作员的可控性 ............................................................................ 43

2.2.1.9 FD_2：检测降级模式是否可用 ......................................................................... 44

2.2.1.10 FD_3：确保安全的模式转换和用户认知 ......................................................... 44

2.2.1.11 FD_4：通过降级来应对标称性能不足和其他失效 ........................................... 45

2.2.1.12 FD_5：在应对失效的降级模式下降低系统性能 ............................................... 46

2.2.1.13 FD_6：在减少的系统限制范围内执行降级模式 ............................................... 46

2.2.2 要素 ............................................................................................................................. 47

2.2.2.1 环境感知传感器............................................................................................... 47

V

2.2.2.2 先验感知传感器............................................................................................... 48

2.2.2.3 V2X ................................................................................................................ 51

2.2.2.4 传感器融合 ..................................................................................................... 51

2.2.2.5 解释与预测 ..................................................................................................... 52

2.2.2.6 定位 ................................................................................................................ 53

2.2.2.7 ADS模式管理器............................................................................................... 53

2.2.2.8 自车运动 ......................................................................................................... 54

2.2.2.9 驾驶规划 ......................................................................................................... 55

2.2.2.10 交通规则 ....................................................................................................... 56

2.2.2.11 运动控制 ....................................................................................................... 56

2.2.2.12 运动执行机构 ................................................................................................ 57

2.2.2.13 带辅助执行器的车身控制 ............................................................................... 58

2.2.2.14 人机交互 ....................................................................................................... 58

2.2.2.15 驾驶员状态确定 ............................................................................................. 61

2.2.2.16 车辆状态 ....................................................................................................... 64

2.2.2.17 监视器（标称和降级模式） ........................................................................... 64

2.2.2.18 处理单元 ....................................................................................................... 64

2.2.2.19 电源 .............................................................................................................. 65

2.2.2.20 通信网络 ....................................................................................................... 65

2.3 通用逻辑架构 ............................................................................................................................. 65

3  验证与确认 �������������������������������������������������������������������������������������������������������������������������723.1 本章范围和自动驾驶V&V的主要步骤 .......................................................................................... 72

3.2 L3与L4系统V&V的关键挑战 ........................................................................................................ 75

3.3 自动驾驶系统的V&V方法 ........................................................................................................... 76

3.3.1 定义测试目标与目的（为何与多好） ............................................................................. 77

3.3.2 测试设计方法（如何） .................................................................................................. 77

3.3.3 测试平台（何地） ......................................................................................................... 78

3.3.4 应对关键挑战的测试策略 .............................................................................................. 79

3.4 测试数量与质量 .......................................................................................................................... 83

3.4.1 等价类/基于情景的测试 ................................................................................................ 84

3.5 仿真 ........................................................................................................................................... 85

3.5.1 仿真类型 ...................................................................................................................... 87

3.5.2 仿真情景生成 ............................................................................................................... 88

3.5.3 对仿真的确认 ............................................................................................................... 89

3.5.4 更多仿真主题 ............................................................................................................... 89

3.6 要素验证与确认 .......................................................................................................................... 90

3.6.1 先验信息与感知（地图） .............................................................................................. 91

3.6.2 定位（包括GNSS） ...................................................................................................... 92

VI

3.6.3 环境感知传感器、V2X与传感器融合.............................................................................. 92

3.6.4 解释与预测、驾驶规划和交通规则 ................................................................................. 93

3.6.5 运动控制 ...................................................................................................................... 93

3.6.6 监视器、ADS模式管理器（包括车辆状态） ................................................................... 93

3.6.7 人机交互 ...................................................................................................................... 94

3.7 现场操作（监控、配置、更新） .................................................................................................. 94

3.7.1 测试可追溯性 ............................................................................................................... 94

3.7.2 鲁棒性配置与变更管理过程 ........................................................................................... 95

3.7.3 回归预防 ...................................................................................................................... 95

3.7.4 安保性监控与更新 ......................................................................................................... 96

3.7.5 连续监控与纠正执行 ..................................................................................................... 97

4  结论与展望 �����������������������������������������������������������������������������������������������������������������������100

5   附录A：开发示例 ��������������������������������������������������������������������������������������������������������������1045.1 L3交通阻塞巡航（TJP） ........................................................................................................... 104

5.1.1 标称功能定义 ............................................................................................................. 104

5.1.2 最低风险状况 ............................................................................................................. 104

5.1.3 最低风险策略 ............................................................................................................. 104

5.2 L3高速公路巡航（HWP） ......................................................................................................... 104

5.2.1 标称功能定义 ............................................................................................................. 104

5.2.2 降级模式/最低风险状况 .............................................................................................. 104

5.2.3 最低风险策略 ............................................................................................................. 105

5.3 L4城市巡航（UP） ................................................................................................................... 106

5.3.1 标称功能定义 ............................................................................................................. 106

5.3.2 降级模式/最低风险状况 .............................................................................................. 106

5.3.3 最低风险策略 ............................................................................................................. 106

5.4 L4停车场巡航（CPP） ............................................................................................................. 106

5.4.1 标称功能定义 ............................................................................................................. 106

5.4.2 降级模式/最低风险状况 ............................................................................................. 106

5.4.3 最低风险策略 ............................................................................................................. 106

5.5 讨论要素的选择 ........................................................................................................................ 107

5.5.1 FS_1定位的感知要素 ................................................................................................... 107

5.5.2 FS_2感知相关要素的感知要素 ..................................................................................... 108

5.5.3 FS_3预测将来运动中的解释和预测 .............................................................................. 109

5.5.4 FS_5执行驾驶规划和FD_6执行降级模式的行动要素 ..................................................... 110

5.5.5 FS_7检测标称性能和F_4对性能不足做出的反应中的ADS模式管理器 ............................ 111

5.5.6 FD_1确保操作员可控性中的用户状态确定 ................................................................... 112

5.5.7 FD_1确保操作员可控性和FD_6执行降级模式中的HMI ................................................. 113

VII

5.5.8 FS_7和FD_2中的监视器 .............................................................................................. 113

6   附录B：使用深度神经网络实现自动驾驶系统的安全相关要素 �����������������������������������������������1166.1 动机与引言：自动驾驶中的机器学习 ......................................................................................... 116

6.2 定义（何事和为何） ................................................................................................................. 118

6.3 解构（如何做） ........................................................................................................................ 120

6.3.1 定义和选择数据 .......................................................................................................... 120

6.3.2 DNN的架构设计 ......................................................................................................... 123

6.4 开发与评价 .............................................................................................................................. 125

6.5 部署与监控 .............................................................................................................................. 128

6.6 安全工作成果 ........................................................................................................................... 130

7  词汇表 ������������������������������������������������������������������������������������������������������������������������������134

8  参考文献 ���������������������������������������������������������������������������������������������������������������������������142

VIII

缩写对照表

ADAS Advanced Driver Assistance System 高级驾驶辅助系统ADS Automated Driving System 自动驾驶系统ASIL Automotive Safety Integrity Level 汽车安全完整性等级AUTO-ISAC Automotive Information Sharing and Analysis Center 汽车信息共享和分析中心AUTOSAR AUTOmotive Open System Architecture 汽车开放系统架构CERTS Computer Emergency Response Team 计算机应急响应小组CPU Central Processing Unit 中央处理器CPP Car Park Pilot 停车场巡航CRC Cyclic Redundancy Check 循环冗余检查DDT Dynamic Driving Task 动态驾驶任务DESTATIS (Statistisches Bundesamt) Federal Statistical Office of

Germany德国联邦统计局

DFMEA Design Failure Mode and Effect Analysis 设计失效模式和效果分析DiL Driver-in-the-Loop 驾驶员在环DNN Deep Neural Network 深度神经网络E/E Electrical/Electronic 电气/电子ECU Electronic Control Unit 电子控制单元EPS Electric Power Steering 电动助力转向EU European Union 欧盟FMEA Failure Mode and Effects Analysis 失效模式和影响分析FMVSS Federal Motor Vehicle Safety Standards 联邦机动车安全标准FUSA Functional Safety 功能安全GDPR European General Data Protection Regulation 欧盟通用数据保护规定GNSS Global Navigation Satellite System 全球导航卫星系统GPS Global Positioning System 全球定位系统GPU Graphics Processing Unit 图形处理单元HiL Hardware-in-the-Closed-Loop 硬件在环HMI Human-Machine Interaction 人机交互HW Hardware 硬件HW REPRO. Hardware Reprocessing 硬件再处理HWP Highway Pilot 高速公路巡航I/O Port Input/Output Port 输入/输出接口IEC International Electrotechnical Commission 国际电工委员会IEEE Institute of Electrical and Electronics Engineers 电气和电子工程师协会IMU Inertial Measurement Unit 惯性测量单元IPsec Internet Protocol Security 互联网安全协议ISO International Organization for Standardization 国际标准化组织ISTQB International Software Testing Qualifications Board 国际软件测试资质认证委员会LIDAR Light Detection and Ranging 激光雷达MCU Microcontroller Unit 微控制单元MRC Minimal Risk Condition 最低风险状况

IX

MRM Minimal risk maneuver 最低风险策略NDS Naturalistic Driving Study 自然驾驶研究NHTSA National Highway Traffic Safety Administration 国家高速公路交通安全局NTSB National Transportation Safety Board 国家交通安全委员会ODD Operational Design Domain 运行设计域OEM Original Equipment Manufacturer 原始设备制造商OR Open Road 开放道路OTP One True Pairing 最佳配对OUT Object Under Test 待测物体PG Proving Ground 验证场地RAMSS Reliability, Availability, Maintainability, Safety and

Security可靠性、可用性、可维护性、安全和安保性

RMA Reliable Map Attribute 可靠的地图要素SDL Secure Development Lifecycle 安全开发生命周期SiL Simulation-in-the-Closed-Loop 仿真在环SoC System on Chip 系统级芯片SOTIF Safety of the Intended Functionality 预期功能安全STVG (Straßenverkehrsgesetz) German Road Traffic Act 德国道路交通条例SW Software 软件SW REPRO. Software Reprocessing 软件再处理TJP Traffic Jam Pilot 交通阻塞巡航TLS Transport Layer Security 交通层安全UNECE United Nations Economic Commission for Europe 欧洲经济共同体UP Urban Pilot 城市巡航V&V Verification and Validation 验证与确认

第一章

引言与动机

2

1  引言与动机

自动驾驶是现代汽车的关键技术之一。除了提供更广泛的交通便利性，它还有助于减少驾驶相关的事故数量。在自动驾驶时，自动驾驶车辆的安全性是最重要的因素之一。本出版物旨在对现有有关安全各方面的出版物进行补充说明，更以技术为基础概述开发期间的各项要求，以避免安全相关的危害，从而强调通过设计实现安全的重要性。此外，本出版物还旨在对这些系统的验证和确认进行充分的讨论，而目前现有文献中仍然缺少这一方面的内容。

本出版物旨在为当前寻求全行业自动驾驶标准化的活动做出贡献。这项工作也将有助于为汽车和出行领域的所有公司——从技术创业公司到成熟的 OEM 和关键技术的各级供应商，制定自动驾驶系统安全框架或指南提供更深入的理解。

1�1  本出版物的范围本出版物的目的是提供有关安全自动驾驶系统开发和验证的一般步骤的概述和指导。本文

的出发点源于不同监管出版物（世界各地不同的法律、道德报告等）中对安全指南的定义。这些指南是编制本文的基础，是系统设计、各种方法和验证与确认策略的依据。本文将主要关注超出现有 SAE L1/2 级驾驶辅助系统之外的额外开发需求。另外，信息安全也必须同安全性被一起考虑在内，因为信息安全涉及的是主动攻击的使用需求，而安全性考虑的则是被动攻击。这一差异导致额外的分析工具和技术机制的应用，从而又影响了安全性。因此，二者应协同工作，所以第 2.1.4 节对这一概念进行了更详细的探讨。

本出版物还旨在为解决自动驾驶车辆引入的风险制定指南。该方法包括了所有参与公司达成的共识，而市场上引入的每个具体系统则需基于其做出扩展。本出版物基于出版时最新的自动驾驶技术进行编写。因此，本出版物并不完整，应随着社会认可、技术和立法方面的进展而不断进行重新审查和修订。

3

本出版物的范围并不包括设计明确的技术解决方案或提出最低、最高的标准，因为自动驾驶系统的定义、其运行设计领域和技术演进等还存在多种可能性。由于本出版物重点放在安全方面，因此未涉及无监督机器学习、误用、数据隐私或高级驾驶辅助系统等主题。最后，通常作为用户功能一部分的非安全相关要素，如舒适驾驶策略或点到点最快导航策略等等也未纳入到本出版物的范围之列。

本出版物的预期受众包括媒体和出版社等实体、监管机构、自动驾驶行业从业人员、保险公司以及以后参与标准化工作的人员。

为避免异议需特别说明，本文无意也不应被理解为试图建立、创立或已经制定了一个自动驾驶可靠性领域的单一的最低或最高要求或标准，另外也无意阻止、妨碍或限制缔约方或附属公司以任何方式偏离本出版物的内容。每一家公司保留权利去决定和应用针对自动驾驶系统开发中的特定需求最适合的标准和流程。如果在本出版物中的内容被视为与以上声明冲突的情况下，应遵循无约束力声明。

4

1�2   本出版物中使用的结构与开发示例本出版物由多个互相关联的主题构成，它们相互支撑以实现整体的安全愿景。图 1 将这种

结构可视化：

结构概览

1

2 3

风险平衡

十二原则

通过设计实现安全 验证与确认

能力

3.1–3.4整体测试

3.5–3.7仿真和现场运行

3.6要素的验证与确认

2.2

2.1

要素

2.3 通用架构

附录 A开发示例

附录 B深度神经网络

图1: 结构概览

5

图中的屋脊代表了作为出发点和总体目标的正风险平衡。正下方的屋顶代表了自动驾驶的十二个原则。屋脊和屋顶共同构成了第 1 章。整个屋顶结构由两个支柱支撑，即通过设计实现安全（第 2 章）和验证与确认（第 3 章）。第一个支柱介绍了自动驾驶可靠性的三个领域：预期功能安全（第 2.1.3 节）、功能安全（第 2.1.4 节）和汽车信息安全（第 2.1.5 节）。自动驾驶的能力是从 12 个原则和 3 个可靠性领域中推导出来的。第 2.2 节介绍了实现能力的要素，第2.3 节介绍了将要素整合在一起的通用架构。开发示例（附录 A）构成了这个支柱的最后一个元素。

第二个支柱首先介绍第 3.1 节至第 3.3 节中的测试与验证方法，然后讨论测试质量（第3.4 节）和仿真（第 3.5 节）。第 3.6 节介绍了第 2.2 节中涉及的要素的验证和确认。第二根支柱的最后一块包括第 3.7 节中有关现场运行的讨论。然后，这两个支柱通过第 3 章中概述的V&V 方法连接在一起，该方法将通过设计实现安全和主要 V&V 策略结合起来，以解决本出版物中提出的挑战。最后，附录 B 讨论了使用 DNN 实现自动驾驶中安全相关的要素。

本出版物使用多种方法帮助读者阅读。第 1.3 节所述的十二个原则的每一个都被赋予了一个象形图，并在随后的章节中用作视觉索引。为了进一步清晰起见，本出版物还使用了以下四个开发示例及其图示：

客户可选用的 L3 级交通阻塞巡航系统（TJP）：驾驶员需持有驾照并随时关注路面情况；仅在双向车道被物理隔离的道路上驾驶，通常路上无行人或自行车；最高时速60km/h，只在前方有车辆的情况下驾驶，并且无变道、无施工现场；仅在白天、无雨、温度高于零度的环境下驾驶。

客户可选用的 L3 级高速公路巡航系统（HWP）：驾驶员需持有驾照并随时关注路面情况；仅在双向车道被物理隔离的道路上驾驶；最高时速130km/h，可有前方车辆或无前车，可以变道，允许有施工现场；可以在白天或夜晚，中雨或中雪的环境下驾驶。

6

城市区域内适用车队运营的 L4 级城市巡航系统（UP）：用户无需驾照和驾驶能力，也不必关注路面；最高时速70km/h；设计运行域在没有安全员的情况下非常有限，在有安全员的情况下可适当扩大；必要时允许远程操控。

适用于客户选用也适用于车队运营的 L4 级停车场巡航系统（CPP）：在认证的停车场或区域内无人驾驶（用户无需驾照，也无需关注路面）；最高时速10km/h；设计运行域专注于路外停车和物流区域，基础设施需基于需求来扩展（基础设施的搭建可能因远程操控而做必要的改造，但这并不是强制的）。

1�3  安全愿景

1�3�1  背景

根据德国联邦统计局（Destatis, 2018）公布的德国交通事故统计数据，超过 98% 的交通事故是至少部分由人引发的（Destatis, 2018, p.146）。同样，美国国家公路交通安全管理局

（NHTSA）报告说，美国94%的严重撞车事故是由人为失误造成的（NCSA, 2015, p. 142）。因此，引入自动驾驶对降低撞车事故发生率具有很大的潜力。但是，正如德国伦理委员会 2017 年 6月所建议的那样（BMVI，2017），要实现“与人类驾驶水平相比的正风险平衡”的目标，实现自动驾驶的完全安全效益，这还面临着重大挑战。

深入研究 Destatis 发布的统计数据后（这些统计数据也可作为人类驾驶表现的指标），可以认为人类是影响交通安全的一个合理因素（Destatis, 2018）。一辆车两次任意严重程度的碰撞之间的平均距离为 30 万公里，而一辆车的终生里程为 70 万公里。据统计，美国两次致命撞车事故间的平均距离为 2.28 亿公里，而德国高速公路或“Autobahn”出现两次该类事故间的平均距离多达 6.61 亿公里 (Destatis, 2018, p. 146; NCSA, 2015, p. 142)。

1�3�2  十二条自动驾驶的指导原则

与人类司机相比，自动驾驶在大多数情况下都能提供更好的表现。但自动驾驶也并不能完全消除事故或碰撞风险。本出版物的目标是提出一种解决自动驾驶车辆引起的风险的通用方法。这一通用方法应被解释为自动驾驶安全性的一个基准，而并非尝试去定义一个完整且安全的具体产品。

77

安保性在提供自动驾驶系统时，应采取措施保护自动驾驶系统免受安保威胁。

安全操作处理系统降级如果安全相关功能或系统组件变得危险

（例如不可用），则自动驾驶系统应该 ：

• 能够补偿系统并将其转换到安全条件或状态（在可接受风险范围内）

• 确保有足够的时间，以便将控制权安全地转移到车辆操作员身上

失效可运行（仅限于安全相关功能或组件）安全关键功能或系统组件的丧失不应导致一个安全相关的情况。

运行设计域ODD确认一旦识别出限制自动化系统安全功能的系统边界，系统应作出反应以补偿或向车辆操作员发出接管请求，并为接管提供足够的时间。

典型情况管理自动驾驶系统必须考虑 ODD 中通常预期可能发生的情况，并解决可能的风险。

车辆操作员接管请求激活和退出自动驾驶系统应该要求来自车辆操作员的表明高置信度意图的明确交互。

88

用户责任为了提高安全性，用户的状态（例如警觉状态）必须适合于负责任地执行接管程序。系统应该能够识别用户的状态并让他们了解用户所承担的对应责任。而在无人驾驶服务中，系统还应将安全相关驾驶情况告知相应的操作员。

责任用户必须清楚了解仍然由用户负责的驾驶任务的各个方面。

模式感知自动功能必须确保可以在任何时间明确且无误地识别当前有效的驾驶模式。此外，用户必须明确了解驾驶模式的变更。

车辆接管请求最小风险状况如果车辆操作员不遵守接管请求，则自动驾驶系统必须执行操作以最小化风险，从而达到最小风险状况。这种操作取决于自动驾驶系统的情况和当前性能。

接管请求车辆接管请求对于车辆操作员来说应易于理解和处理。

车辆操作员与自动驾驶系统的互相依赖

对系统安全的整体评估应考虑到自动化对车辆操作员的影响。即使这些影响出现在自动驾驶时段结束之后，且与行程中的自动驾驶部分有直接关联。

99

安全评估应使用验证和确认来确保满足安全目标，以便持续地改善整体安全性。

数据记录当事件或事故发生的时候，自动驾驶车辆应以符合适用的数据隐私法的方式记录与自动驾驶系统状态有关的相关数据。

被动安全碰撞场景车辆布局应适应由车辆自动化引起的碰撞场景的变化。

不同的乘坐位置即使通过自动驾驶系统实现了车辆内部空间的新用途，也应确保乘员保护。

交通行为路面礼仪自动驾驶功能的行为不仅应让周围（易受伤害的）交通参与者易于理解，还需要可预测和管理。

遵守规则自动驾驶系统需要遵守适用的交通规则。上述“用户责任”原则描述了其他的用户责任。

1010

安全层自动驾驶系统应识别系统限制，尤其是那些会导致无法将控制权安全地转移到车辆操作员的系统限制，并做出应对以尽量减小风险。

本出版物的整体方法基于以上 12 项原则，包括综合收集各种出版物，以及主要公共部门或消费者协会提出的各种建议（IWG, 2017; ABI & Thatcham Research, 2017; NTSB, 2017; NCSA, 2015; BMVI, 2017; StVG, 2018）。在考虑正风险平衡时，对于不同自动驾驶功能所需的总体安全要求，这些原则为推导出它们的一个基准提供了基础。

本出版物的目的是强调自动驾驶车辆开发、生产、操作和维护的在安全性和安保性上的相关方面，而综合这些方面可以带来安全的产品。这些内容应为自动驾驶车辆的安全性奠定基础。本出版物的参与公司拥有共同的目标，暨在同一 ODD 内，在回避或缓解风险（例如碰撞或驶离道路等）方面，他们的自动驾驶车辆在自动驾驶模式下以及转移到人类驾驶的前后比人类平均驾驶水平表现更好。同时，在非常罕见的情况下，自动驾驶系统略微的负安全平衡仍然是可接受的，从而在所有情况下都保持正风险平衡。

第二章

系统地开发可靠性以 支持通过设计实现安全

12

2  系统地开发可靠性以支持通过设计实现安全

本章阐述了三个可靠性领域：预期功能安全、功能安全和信息安全，以及它们如何协同工作以及如何将它们整合在一起，以创建一个可靠的系统。本章首先介绍每个领域，并从可靠性中推导出自动驾驶能力要求。然后提供可以实现这些能力要求的要素。最后，通过一套通用的逻辑架构设计来整合所有要素（参见图 2）。

可靠性的系统开发

基于可靠性的系统能力

通用体系结构

要素

能力的目的

原则对照 能力

将要素连接到通用逻辑体系结构

通用示例

能力对照要素

图2: 可靠性的系统开发

13

2�1   由可靠性推导自动驾驶能力要求由可靠性推导自动驾驶能力时，首先概述了适用于自动驾驶车辆的各国的法律框架，以确

定在 12 条原则以外的能力要求。这些能力同时涵盖了功能安全和应对人为因素的 SOTIF。安保性作用于逻辑和技术架构，并为这两者提供输入要求。由于目前没有关于汽车信息安全的立法或国际标准，因此本节提供了有关信息安全方法和措施的建议。

2�1�1  自动驾驶车辆的法律框架

自动驾驶系统应满足那些针对自动驾驶车辆的规定，同时也应满足那些针对其他车辆和道路使用者的整体规定，例如道路交通法规。所有自动驾驶系统都应符合适用于自身 ODD 的法律规定。这可能包括一系列联邦、国家和国际法规，例如：

欧盟、日本、其他国家和地区（联合国法规）

1968年维也纳公约规定驾驶员必须始终控制他们的车辆。2014 年，联合国欧洲经济委员会（UNECE）对该法规进行了修订，将高度自动化的系统纳入其中，前提是这些系统可以让驾驶员随时接管车辆，并且驾驶员可以启动或退出系统。然而，这仍然以每辆车都必须有驾驶员为前提条件。UNECE WP.1 已经确认，1949 年和 1968 年公约适用于所有驾驶情况，除了车辆完全由车辆系统控制，而驾驶员完全没有承担任何作用的情况以外。

UNECE WP.1 目前正在制定一项关于在公路交通中部署高度自动驾驶和全自动驾驶车辆的决议草案，其中包含了 1949/1968 公约缔约方提出的关于如何安全部署这种新技术的建议(ECE/TRANS/WP.1/165, 2018)。

美国

美国交通部发布了《2016 年联邦自动驾驶车辆政策》（U.S. DOT, 2016）, 以及后续取代它的《自动驾驶系统：一个安全愿景》（NHTSA，2017），为行业和各州提供了一个适用于 SAE L3-L5级自动驾驶系统的自愿自我安全评估的框架用于分析和交流安全策略。该框架强调了基于 12个原则的自动驾驶系统开发和安全验证的广泛需求。为了实现适当的法律框架，自动驾驶系统规范必须在国际、国家、区域和地方各层面共存，并同时应考虑到现有的汽车法律框架。国家

14

层面需要统一的法律框架，可为自动驾驶系统规范提供基础法律框架。这将为国家公路交通安全管理局（NHTSA）制定新的联邦机动车安全标准（FMVSS）提供基础。

各国政府都有需求分析各自的汽车立法现状，以理解需要根据自动驾驶系统调整的领域。这样将促进和实现不同级别的自动驾驶系统的大规模量产，特别是促进对近期可量产的 SAE L3 和 L4 级技术的安全监管。

中国

中华人民共和国工业和信息化部于 2018 年发布了《国家车联网产业标准体系建设指南（智能网联汽车）》以整体性强化顶层系统设计并促进智能网联汽车行业的研究和发展。另外，中国正在密集地制定新的法律规范（2020 年前 30 项新标准，2025 年前 100 项新标准）以适应中国的国情和国际实践。

2�1�2  相关安全标准的应用

除了法规之外，系统除非能够控制由于预期用途或罕见的 E/E 故障导致的安全相关用例，否则无法达到必要的安全水平。此外，应考虑故意的恶意操纵以外的可预见的系统误用。已量产的部分自动驾驶系统（SAE L2）越来越多地辅助驾驶员完成横向和纵向控制任务。驾驶辅助系统的进步将减轻用户在驾驶任务中的压力，而高级自动驾驶系统（SAE L3 或更高）的引入将使用户完全脱离驾驶任务。需要应用全局系统视角来保障整个技术发展过程中的安全。已经制定的开发标准部分涵盖了这一视角，但是仍然需要制定新的标准。

由于这样的系统尚未量产，并且由于可用的解决方案不成熟并且未被部署，因此目前尚无自动驾驶系统的开发标准。汽车工业目前除了 ISO 26262 之外还使用其他资源来定义自动驾驶系统的安全设计。其他行业开发的经验、文献、研究和标准可以为汽车界定义自动驾驶系统领域安全标准和流程提供更多资源。ISO 26262 的第二次修订已经结束，以更严谨和结构化的方式支持更复杂汽车电子系统。最近发布的 ISO/PAS 21448 标准规定了用于分析、验证和确认非故障情景的开发流程和系统用例。但是，ISO/PAS 21448 仅考虑 L1 和 L2 自动化系统。因

15

此，本出版物试图将该标准扩展至 L3 和 L4 应用。上述标准相互补充，可主要用于定义自动驾驶系统的设计风险，使工程团队设计出各种安全机制并增强自动驾驶系统的预期功能，以降低所识别的风险。

现有标准并没有解决自动驾驶系统中一些最棘手的问题，例如人工智能的安全保障（相关的算法来自于机器学习和神经网络领域，参见附录 B）、人为因素和心理学，以及作为自动驾驶系统输入的传感器的技术能力等。尽管如此，应分析与安全相关的用例，以确保必要的安全水平。这些分析系统地评估了预期用途和可预见的误用可能产生的危害的功能说明。除了安全的设计和开发过程，系统评估还从验证到确认逐步迭代，包括专家评估、安全分析和试验。根据其范围的不同，这一过程可采用多种标准。

首先应定义安全功能。ISO/PAS 21448 旨在处理由预期功能和可预见的功能误用的引起风险和危害等级。通过全球制定的 ISO26262 可以解决由系统的 E/E 故障引起的危险，而 ISO/SAE 21434 从安保性角度来评估故意操纵的危险。实施 ISO/PAS 21448、ISO 26262 和 ISO/SAE 21434 等安全标准需要将它们的过程和方法组合。根据开发组织的需要，可能需要对这些标准独立地予以开发，同时考虑其依赖性。

在实现自动驾驶车辆功能时，应根据功能和系统边界来评估风险。性能限制（例如，基于传感器限制）可能导致故障行为，从而可能产生危险情况。开发标准将帮助开发人员管理系统的复杂性，评估可能的风险并采取适当的措施。最后，目前尚无标准可以处理系统安全性和可用性之间存在的充分关联。将 ISO 26262 用于大多数应用时会在可用性方面有其局限性。设计一个安全的自动驾驶系统需要平衡应用的可用性和风险性。风险性太低会导致系统过于保守，系统可用性变得太低（为实现充分完整性的安全机制可能会危及可用性目标），反之又无法提供更安全和舒适的客户体验。相反，如果系统安全设计过于宽松，将产生一个不够安全但可能始终可用的系统，如图 3 所示：

16

安全性 vs. 可用性（L3/4级系统）

扩展ODD（可用性）

严重受限的运行

安全性

优化的受限运行 不受限的运行

图3: 安全性vs.可用性（L3/4级系统）

因此，从分析的角度来解决问题变得越来越重要：通过基于情景的系统行为设计来解决系统的安全性，并通过分析用例和情景来设计鲁棒而安全的系统。本出版物将此定义为通过设计实现安全（Safety by Design）概念，这一方法将在本文中详述。

可用性不仅受 ODD 限制的影响；同时也可能因过于保守、过于复杂或安全机制设计缺陷、系统设计缺陷、传感器模态和冗余方面的多样性不足、环境因素、由于设计不良的 HMI引起的人为模式混乱或自动化效应（车辆操作员与自动驾驶系统的相互依赖）而受到影响。

为了实现失效安全和可用性之间的平衡，设计要从上到下的分析和构建。基础的分析将与通用逻辑架构无关。该过程包括风险评估，以确定所设计系统的安全要求。最终，这将演变为一个安全概念，它定义了可以支持安全目标的多种安全机制。

17

2�1�3  预期功能安全（SOTIF）

SOTIF 方法的基本概念是引入迭代开发和设计过程，其中包括确认和验证，并产生可以被声明为安全的预期功能。可以通过相应方法推导出若干活动，以证明这些活动足以开发安全的自动化功能。

该方法假设存在一个包含安全系统行为的已知场景区域，以及具有潜在危害的未知区域。实际上，这些区域有重叠，如图 4 所示。维恩图中描绘的区域定义如下：

区域1可以被宣布为

已知的安全行为。根据定义，该区域没有不可

接受的系统行为

区域2包括存在潜在危险的已知行为，或在特定情况下可能的

意外行为。

区域3为未知并且可能危险的

行为。

根据定义，其余白色安全区域是安全和未知的。

可能的功能/系统行为定义

11

2

3

图4: 可能的功能/系统行为定义

18

汽车开发的目标是将已知的潜在非预期行为和未知的潜在行为降低到可接受的剩余风险水平。使用上述模型，可以得出以下开发目标：

安全功能/系统行为最大化（区域1）

已知潜在非预期场景最小化（区域2）

未知非预期场景最小化（区域3）

白色区域与本出版物的论据无关，因为其已经安全。在任何情况下，白色区域也能通过减少区域 3 或扩展区域 1 的措施被减小。图 5 通过描绘各区域的发展目标来展示这一结果：

❙ 通过这个模型可以得到以下各区域的安全开发目标：❙ 区域1：安全功能/系统行为最大化❙ 区域2：已知的潜在危险行为最小化❙ 区域3：未知区域最小化，无论危险与否

基于SOTIF的开发目标

2

3

11

图5: 基于SOTIF的开发目标

19

以下措施有助于实现应用这一概念的开发目标。这些措施将促成一个迭代式的改善流程：

区域1的措施明确定义要开发的功能，以：

○ 通过分析识别潜在的风险 ○ 发现不足时完善定义

将使用与 ISO 26262 类似（但不相同）的风险分析方法来分析功能和技术规范。如果检测到不足，则将对功能或系统进行改进。

区域2的措施验证功能，包括其系统组件，以：

○ 对功能（包括其驾驶情景）仿真 ○ 测试系统组件以及整个系统 ○ 确认在出现不足的情况下，可以对功能或系统进行的改进 ○ 确定剩余风险可接受性的依据

区域3的措施确认功能系统：

○ 减小区域 3 至可接受水平，如通过耐久性试验、驾驶测试、仿真等

20

关于这一点，可以参考第 3 章，因为验证和确认提供了对客户证明系统足够安全的主要证据。

结合ISO/PAS 21448 SOTIF的功能开发流程

功能开发

I. 分析

II. 验证

III. 确认

IV. 现场运行

I. 通过设计实现安全II.III. 统计论证

需求验证

图6: 结合ISO/PAS 21448 SOTIF的功能开发流程

2�1�4  功能安全

ISO 26262 专门应用于乘用车、摩托车和商用机动车，更具体地说，是功能安全的应用。在该标准中，使用汽车安全完整性等级（ASIL）来确定并传达或反映风险。本出版物不会尝试在传统的功能安全应用中直接跟踪和分解 ASIL 值，但这些可以从后续章节中得出的架构示例中间接推断出来。然而，作为功能安全的从业者，可以理解会导致系统功能失效的 E/E 故障将可能进一步导致转向或制动错误，而这是 ASIL D 级别的最高安全相关风险。

21

通过符合 ISO PAS 21448 SOTIF 的方法去定义安全功能和系统，并包括一个初步的架构，是根据 ISO 26262 应用功能安全的第一步——创建相关项定义。此相关项定义应包含功能的定义，包括它们对环境和其他项目 / 车辆的依赖性和交互。因此，根据相关项定义，可以进行危害分析和风险评估，以找出功能及其相关系统的根本要求或安全目标。后续步骤则是开发功能和技术安全概念。

ISO 26262 的第一版是基于对汽车行业最先进系统（如转向、制动、安全气囊系统等）的知识而创建的，并未完全解决非常复杂和分布式系统的问题。此外，尚无明确的方法论可以满足维持安全的可用性需求。第二版解决了其中一些问题，但未能解决其他问题。因此，需要进一步解决的一些问题包括：

○ 识别ISO 26262第一版和第二版之间的差距，以设计满足可用性需求的解决方案 ○ ISO 26262中缺少汽车架构模型，例如：用于（如IEC 61508等其他标准中描述的）失效

率估算 ○ 当前和可复用的架构要素是基于失效-安全模式来设计。而新系统应基于失效可运行或失

效降级的模式来设计 ○ 分解给定的体系架构要素以达到要求的ASIL等级 ○ 定义达到要求ASIL等级所需的功能和体系架构要素

解决所有挑战意味着定义了一个安全功能，并且意味着已经考虑了技术的缺陷（SOTIF），并且系统或其他措施可以控制可能的 E/E 故障（ISO 26262）。因此，可以将自动化系统称为无外部操纵下的安全（外部操纵目前尚未被 ISO/PAS 21448 或 ISO 26262 所涵盖）。

2�1�5  汽车信息安全

人们通常将安全性（Safety）和安保性（Security）分在同一组，即使他们无法阐明这些主题为何或如何相互关联。由于两大主题有重叠部分，因此这一分组很自然。但是，它们的重点略有不同，因为安全性侧重于系统的正常运行，而安保性则侧重于系统抵抗某种形式的故意恶意行为的能力。特别地，安全性主要担心被动攻击、自然随机性和人为造成的事故及碰撞所引起的风险；而安保性则担心以有意识的创造性、确定性和恶意行为形式的主动攻击所带来的风险。这导致安保性需要利用额外的分析工具和技术机制，从而也影响安全性。

例如，安全性和安保性都非常注重数据完整性。安全性通常依赖 CRC 来检测损坏，但是CRC不能良好抵御恶意行为。因此，安保性依赖哈希算法来检测损坏和故意篡改，同时抵抗攻

22

击。此外，安保性应该考虑到数据可能完全由未知来源伪造的可能性，因此应验证数据的来源和完整性以达到可接受的风险等级。可用性也类似：在安全性强调失效安全和降级模式的情况下，安保性侧重于尽可能避免系统不可用，因为失效安全或降级模式可能使攻击者处于优势。

安保性大量使用密码学，这通常属于资源密集型应用，但主动安全机制应该是确定性的。安全相关数据通常具有短处理期限的要求，这使得难以确保所需的数据真实性、机密性等。满足安全性和安保性将对成本和架构产生影响。

2.1.5.1 为什么信息安全对安全性如此重要？

汽车行业正面临由于自动驾驶车辆内部以及这些车辆与其操作环境之间高度可连接性而引入的新挑战。这些挑战包括从满足监管要求到确保车队和客户免受网络安全攻击。连通性增加包括连接车辆的控制功能、IT 后端系统和其他外部信息源之间的新接口。丰富的攻击面激发了具有各种目的的恶意行为者相当大的兴趣。简而言之，我们已经达到了车辆除非也能在网络安全层面安全运行否则无法保持安全状态的水平。最重要的是，应采用网络安全原则和做法来确保：（1）攻击者无法对车辆的运动进行任意控制；（2）攻击特别难以扩展到对多台车辆的同时利用。

23

汽车信息安全

IT后端

自动驾驶

传感器破坏者

无线接口黑客

车辆

恶意服务供应商

黑客行动主义者

恐怖分子

后端黑客

IT后端

各种接口

用于维修保养的OBD II

充电设施，智能家居

移动应用

中立服务器

外部合作伙伴

ADAS后端 扩展车辆ISO20078

联网服务后端

图7: 汽车信息安全

随着车辆自动化程度的提高，保护车辆功能的安全措施应防止未经授权的访问和操作，以保证车辆及其部件的完整性和功能的安全运行，特别是车辆控制功能。我们的根本利益是确保最高的安全标准，并尽可能以最佳方式保护车辆安全，同时在这样做时考虑到当前的技术水平。

24

本出版物侧重于信息安全，以保护自动驾驶汽车的安全。因此，给出了一些例子，说明如何确保安全自动驾驶所需的附加部件、所需的外部信息，以及自动驾驶所需的全新外部接口的安全。

当从 L2 扩展到 L3 或 L4 车辆时，信息安全面临的挑战是自动驾驶功能严重依赖于外部数据，例如传感器信息、地图、定位信息等。如果此数据的完整性或真实性受到损害，则自动驾驶功能的基础模块（感知 - 规划 - 执行）将使用错误数据操纵车辆，这可能导致驾驶不准确或其他偏离正确操作的情况。如果一辆自动驾驶的汽车受到攻击，由于车内的人根本无法及时控制将造成更严重的影响。因此，应充分引入信息安全措施，以保护自动驾驶不受恶意行为的影响。

2.1.5.2 信息安全方法与措施

本节讨论解决上述威胁的方法。该方法首先概述说明了如何构建抵抗攻击的自动驾驶系统的开发过程。系统设计中应全方位的考虑信息安全设计。严格且充分集成的安全工程流程是创建信息安全的基础，因此也是安全系统的基础。

该过程有助于紧密集成各种安全控制，这些控制在介绍完该过程后予以说明。传统的计算安全性通常侧重于建立所谓的纵深防御。在本出版物中，采用纵深防御来确保在整个系统中分层控制，以防止仅依靠外部边界防御来抵御攻击。

2.1.5.2.1 安全开发生命周期

安全开发生命周期（SDL）是一个构建安全性的过程。特别是，SDL 规定了在开发过程的特定阶段执行的安全实践。这些做法多种多样，旨在主动预防攻击或尽早发现并修复漏洞。SDL 是为适应作为产品开发和产品维护一部分的开发过程而量身定做的。

无论使用何种开发流程，SDL 通常都会将实践广泛分为三类，即预备、开发和维护。预备包括培训以确保开发组织内具备基准知识，以及制定政策、程序和指南，以确保其余过程具备必要的基础。开发包括软件工程中熟悉的常规做法，例如安保性要求定义、威胁建模，静态和动态分析、模糊测试、代码审查和渗透测试等。最后，维护包括事件响应、更新签核程序和其他确保产品在发布后继续运行的实践。

25

整个行业并未使用统一的 SDL，因为 SDL 在与每个组织向市场交付产品的方式保持一致时才最有效。但是，在我们开发产品时，使用这些生命周期可确保在开发产品时采用结构化方法积极解决安保性问题。

在应用各种 SDL 实践时，需要做出许多权衡。风险评估用于帮助我们选择在何处花费有限的资源以及如何确定方法的优先顺序。在考虑开发过程中的权衡时，至少必须有三个维度，即风险处理策略、系统状态和风险处理表现。风险处理策略提供处理风险的选项（例如，回避、转移、减缓或接受风险），系统状态有助于定义适当的减缓措施，处理表现有助于理解所选方法如何改变所产生的风险。

风险应对的三个维度

综合的风险管控

考虑风险减缓措施的相应状态

风险将被如何对抗

系统状态

启动

开发运行

重启

应对策略回避

减缓 转移

接受

应对表现

预防

限制

检测

响应

图8: 风险应对的三个维度

26

2.1.5.2.2 深度防御安全架构

本节讨论信息安全功能如何分层以实现先前讨论的信息安全目标。对于自动驾驶车辆，深度防御从低级别组件开始并且贯穿到单个设备、设备组（可形成一个独立系统，例如感知）、车辆本身和支持车辆所需的基础设施。

为实现汽车安保性目标，自动驾驶嵌入式系统采用传统信息安全三要素（CIA）：保密性、完整性（包括真实性）、可用性，涵盖数据、（子）系统、功能或组件。在组件级别（例如微控制器、ECU、摄像头传感器等），一些基本元素可用于安全地实现机密性、完整性和真实性

（参见表 1）。这通常意味着确保微控制器实现或集成硬件安全模块或类似的专用硬件，在其上可以构建更高级功能所使用的加密功能。关于这一点，我们还考虑了建立组件防篡改、可配置性（例如，删除或禁用不需要的功能）和可更新性的功能。

向上移动一层，多种组件构成了设备（例如激光雷达、雷达、摄像机单元等），而其中组件建立的安保性也被充分利用。关于这一点，我们建立固件和软件的完整性和真实性（安全启动）, 加密和验证消息，验证被授权升级设备的实体，以及验证升级本身。我们还考虑了减轻针对设备的 DoS 攻击的功能，以及如何防止来自设备的意外信息泄露。

当组合设备以形成系统时，就需要考虑：系统内各个设备之间整体通信的安全、向其他设备证明每一设备的安全状态、抵御共享通信信道情况下的拒绝服务攻击等。此外，关于这一点，我们还受益于安全的冗余机制。利用传感器融合和交叉引用（多种模态中感知内容）迫使攻击者需要在多个不同设备之间进行协调攻击，才能欺骗整个系统。车辆内的独立安全系统也进一步有助于深度防御，因为一个被侵入的系统不一定能改变（可检测和响应安全问题的）另一系统的运行。

自动驾驶车辆并不是仅依赖自身运行。车辆由公共（例如 DSRC、GNSS 等）和私人（例如后台功能）基础设施提供支持。虽然自动驾驶车辆参考从基础设施接收的数据，特别是可以被强认证和确认的数据，但最终维持其自身决策权的是车辆，而非基础设施。关于这一点，我们也考虑到涉及自动驾驶车辆操作、管理、维护等的许多人员。人类对车辆的访问是受限的，并且基于功能进行隔离。例如，操作人员可能需要访问车辆位置和状态，但不需要知道车辆中的人是谁。

以上所有内容均提高了 L3 和 L4 车辆的安保性、可靠性和可信性。表 1 举例说明了一些有助于实现本出版物中所述安全目标的安全控制手段。

27

von Seite 312.1.1.4.2.4 Defense-in-Depth Security Architecture

信息安全目标 环境层面安全管理 整车层面安全管理 部件层面安全管理

完整性 §访问权限的完整性管理 §受保护的通信，TLS、IPsec等

§控制流的功能性分离和可信执行

§访问权限控制 §控制流完整性（CFI） §可信根

真实性 §开发和生产站点的访问权控制 §受保护的通信

§信息真实性验证码等 §带可信根的受保护启动，例：OTP中公钥

可用性 §入侵监控机制以响应潜在攻击

§网关和路由上的拥塞控制 §网络接口中速率限制 §确定性调度

保密性 §文档的访问权限控制 §传输数据加密

§ TLS，IPsec等 §闲时数据加密 §受保护的存储

信息安全管理示例

表1： 信息安全管理示例

2�1�6  自动驾驶的能力要求

2.1.6.1 能力的初始推导

为了遵守第 1.3.2 节中概述的十二个原则，自动驾驶系统必须具备一套基本的系统属性，在这里被定义为能力。下面将讨论一个可宣称为安全的系统所应有的能力。

这些能力分为失效安全能力（FS）和失效降级能力（FD）。失效安全能力提供并实现客户价值。失效安全能力可以中断，因为它们的不可用性和安全之间的相关性足够低或者被失效降级能力覆盖。即使在发生故障的情况下，失效降级能力也应在一定的性能水平下执行，以便在特定的时间段内提供一个安全的系统，直到进入一个达到允许系统退出的最低风险状况

（MRC）（见第 2.1.7 节）。

表 2 中的选择矩阵展示了推导出的能力的完备状态，并显示了其到第 1 章中原则的可追溯性。

28

von Seite 332.1.3.3 Traceability of Capabilities

安全

操作

安全

层

运行

设计

域（O

DD）

交通

行为

用户

责任

车辆

接管

请求

车辆

操作

员接

管请

求

车辆

操作

员与

ADS的

互相

依赖

数据

记录

安保

性

被动

安全

性

安全

评估

编号

FS_1确定位置 X X X X

FS_2感知相关物体 X X X

FS_3预测相关对象的未来行为 X X X

FS_4制定无碰撞且合法的驾驶规划 X X X

FS_5正确执行驾驶规划 X X X

FS_6与其他（易受伤害的）道路使用者沟通和互动 X X X

FS_7确定是否达到特定标称性能 X X X X

FD_1确保车辆操作员的可控性 X X X X X X X

FD_2检测降级模式是否可用 X X X

FD_3确保安全模式转换和用户认知 X X X X X X X X

FD_4应对标称性能不足和其他失效 X X X X

FD_5在失效时降低系统性能 X X X X

FD_6在减少的系统限制范围内执行降级模式 X X X X X X

能力的可追溯性

表2： 能力的可追溯性的选择矩阵

如上所述，安全评估这一安全原则追溯到所有能力。这是因为产品开发是被认为要负责提供必要水平的证据以对能力进行验证和确认，并可以由评估小组进行审查。这点虽在此处提到，但将在后续章节中被更详细地讨论。后续章节中制定了完整的逻辑和基本原则，它们围绕自动化系统的需求确认方法而展开。

29

在系统正常运行的时间内，可以使用机器人学和自动化文献中的“感知 - 规划 - 执行”这一经典设计范例来理解系统运行。在此模型中，一种通用且与具体实现无关的系统形式包括：检测与感知（包括定位）、规划和控制以及执行和车身控制。图 9 对该通用模型进行了图示说明。

执行规划感知

感知-规划-执行的设计范式

图9: 感知-规划-执行的设计范式

将能力分配到“感知 - 规划 - 执行”的基本功能后，可继续将需求分配到各个要素，以确保自动驾驶车辆安全运行。如图 10 所示：

实现标称和降级能力

FS_2: 感知相关物体

FS_1: 确定位置

FS 3:预测相关对象的未来行为

FS_5:

正确执行驾驶规划

FS_6:与其他（易受伤害的）道路使用者沟通和互动

FS_7: 确定是否达到特定标称性能

FD_2: 检测降级模式是否可用

FD_4: 应对标称性能不足和其他失效 FD_5: 在失效时降低系统性能

FS_4:

制定无碰撞且合规的驾驶规划

FD_6: 在减少的系统限制范围内执行降级模式

FD_1: 确保车辆操作员的可控性

FD_3: 确保安全模式转换和用户认知

图10: 实现标称和降级能力

3030

FS_1：确定位置系统应能够确定其与 ODD 相关的位置。车辆应该能够确定其位于（有特定位置的）ODD 之内还是之外。知晓 ODD 内的具体位置可能是必要的，具体取决于项目定义。

FS_2：感知自动驾驶车辆附近的相关静态和动态物体自动驾驶系统应感知、选择性地预处理，以及正确提供为实现其功能行为而要求的所有实体。应优先考虑存在相关碰撞风险的实体。实体的例子包括动态对象（例如（易受伤害的）道路使用者和相应运动的特征）、静态实例（例如道路边界、交通引导和通信信号）以及障碍物。

FS_3：预测相关对象的未来行为相关环境模型需要通过预测的未来状态进行扩展。目的在于创建环境预测。应能够解读相关对象的意图，以便形成预测未来运动的基础。

FS_4：制定一个无碰撞并且合法的驾驶规划为确保制定一个无碰撞并且合法的驾驶策略，应遵守以下规定 ：

• 与其他对象保持安全的横向和纵向距离。• 遵守ODD范围内所有适用的交通规则。• 考虑可能存在遮挡物体的潜在区域。• 在未给予通行权的情况下，不通行。• 如果在不危及第三方的情况下可以避

免碰撞，则在必要情况下可以暂时调整交通规则的优先级。

2.1.6.2 能力概述

313130

FS_7：确定是否达到规定的标称性能自动驾驶系统的任何要素都可能，单独地或与其他要素组合在一起地，导致不利行为。因此，需要各种机制来检测系统的不利标称性能。FD_4 涵盖了对检测到的不良行为做出的反应。

影响标称性能的典型方面包括：

• 不必要的人为因素，包括误用和操纵• 预期功能的偏差• 技术限制• 环境条件• 系统与随机失效模式

FS_5：正确执行驾驶规划应根据驾驶规划生成用于横向和纵向控制的相应行动信号。

FS_6：与其他（易受伤害的）道路使用者的沟通和互动根据 ODD 和用例，要求自动驾驶车辆与其他（易受伤害的）道路使用者进行沟通和互动。

将系统恢复至标称性能的能力也是可能存在的，但在本出版物中不作进一步考虑，因为它们没有直接的安全相关性。满足以上能力要求是实现安全的系统运行的必要不充分条件。而具体的产品和功能设计也可能提出额外的能力要求。

3232

FD_1：确保对车辆操作员的可控性车辆操作员的控制级别根据 SAE J3016的自动化级别和用例定义而异，因此应该得到保证。

FD_3：确保安全模式转换和用户认知确保模式转换正确执行，并在必要时由受影响的车辆操作员控制。此外，受影响的车辆操作员应了解当前模式，以及他们对此模式中承担的责任。例如，仅在ODD 内部允许启动自动模式，并且在离开 ODD 之前或者由于车辆操作员再次接管控制而将其退出。

FD_2：检测降级模式是否可用应确保检测到降级模式可能的不可用情形。如果降级策略取决于降级原因，则降级原因也应被确认。

FD_4：通过降级来应对标称性能不足和其他失效由于标称性能能力可能无法使用，以及出现其他失效（例如，基于硬件的失效等），因此系统应在明确定义的时间内降级。

FD_5：在应对失效的降级模式下降低系统性能应确定降级模式下出现失效时的反应。

FD_6：在减少的系统限制范围内执行降级模式降级模式下的自动驾驶系统运行，其即是在新的限制下执行标称能力。可能有多种降级模式。对限制应该作出清晰定义，才能宣称降级模式是安全的。有可能需要避免（让该模式）永远运行下去，而需要为额外的应对方法定义清晰的时间范围。

33

34

2�1�7  最低风险状况和最低风险策略

最低风险策略（MRM）是系统在最低风险状况（MRC）之间转换的能力。MRC 和 MRM的概念源于 ISO 26262 的原则，被定义为一个相关项（在失效的情况下）的操作模式，其具有可容忍的风险级别。根据 ISO 26262 [2018-1 第 9 页 ]，MRM 是一种到达 MRC（被称为安全状态）的紧急操作。与 MRC 通常只被定义为一个静止状态不同，本出版物将定义扩展到包括降级运行和被车辆操作员接管的状态。最终的 MRC 指的是允许自动驾驶系统完全退出的MRC，例如静止或被车辆操作员接管。图 11 对这一基本原理进行了说明。

最低风险状况和最低风险策略

标称运行

MRCm

MRCn

最终MRCI

降级运行

完全可用的功能

功能不完全可用

MRM m1

MRM n1

MRM n2

恢复

MRM m2

MRM l 1

MRM l 2

图11: 最低风险状况和最低风险策略

MRM 的目的在于在车辆可以支持的功能水平下使车辆达到可容忍的风险水平。由于自动化系统和影响风险的条件的复杂性，可以连续进行多个 MRC 和 MRM。如果并非所有的失效安全能力都可用，系统将处于降级模式，其余的失效降级能力将通过执行适当的最低风险策略达到并保持最低风险状况。降级模式是一个有时间限制的操作域，应尽可能减少其出现的频

35

率。降级模式的可接受时间取决于当前系统中的剩余能力。一般而言，这一基本观点源自 ISO 26262。ISO 26262 的一个主要概念就是，每降低一个可能伤害频率的数量级都能降低对安全完整性等级的要求。表 3 定义了 MRM 安全转换的条件。附录 A 中列出了具体的例子。von Seite 392.1.3.4 Exposure Argument – Time and Frequency Minimum Risk Conditions and Minimum Risk

编号 MRC 定义 可能的原因

MRC_1 驾驶员接管 驾驶员或操作员完全接管了驾驶任务。

§已知将至的ODD限制 §存在限制或车辆操作员（如果存在）接管车辆 §检测到降级功能不可用（FD_2）

MRC_2 受限运行车辆仍在受限的能力范围内运行。根据功能定义和剩余功能，可能存在几种受限运行的状况

§系统能力受限

MRC_3 结束运行 该状况描述了允许安全地退出该功能的车辆状态

§系统严重失效、能力丧失、无驾驶员接管

最低风险状况

表3： 最低风险状况

建议进行以下 MRM。 von Seite 412.1.3.4 Exposure Argument – Time and Frequency Minimum Risk Conditions and Minimum Risk

编号 MRM 定义 目标条件

MRM_1 转换请求 请求驾驶员接管 MRC_1 驾驶员接管

MRM_2 有限功能状态 转换至受限运行，根据MRC和实际状态，可能存在多种MRM变体 MRC_2 有限操作

MRM_3 平缓停车 平缓地过渡到结束运行 MRC_3 操作结束

MRM_4 安全停车 由于严重失效，需要快速但安全地过渡到结束运行 MRC_3 操作结束

MRM_5 紧急停车 在足够罕见的严重系统失效情况下，引入紧急停止以尽量减少风险并且可能使得能够达到操作结束条件。

MRC_3 操作结束

恢复 恢复 解决了能力的限制，并再次达到标称状态 标称状态

提出的MRM

表4： 提出的MRM

36

应使用表 4 列出的 MRM 在整个系统中反映潜在的故障模式。应采用一些分析方法，其中还可能包括失效分析技术，如 FMEA 或 DFMEA 等。可以利用额外的分析方法对系统的预期用途和误用进行分析。上述分析技术输出的结果定义了每个组件的安全状态，以及这些状态如何激活系统中的 MRC 和 MRM。

2�2  实现能力的要素在实现自动驾驶系统时，除 SAE 等级和 ODD 定义外，还有其它要素需要考虑。附录 A 中

的开发实例可以认为是 2.1.3 节中描述的能力的具体实现。本章以宏观的方式讨论如何通过各种现实世界中的要素来实现失效安全和失效降级能力。2.2.1 节讨论了每种能力的可能实现方式，2.2.2 节详细解释了每种要素的细节。

2�2�1  能力的实现

以下描述了能力和相关要素的关系。

37

2.2.1.1 FS_1：确定位置

如果自动驾驶的预期功能受到地理位置的限制，则必须确保其仅在特定的系统限制内运行。因此，应使用来自传感器融合算法（见2.2.1.4小节）的环境融合信息来充分定位自动驾驶车辆。

为了实现适当的定位，可能需要将自动驾驶系统和来自车载感知能力之外的额外先验信息（例如，通过地图信息、将检测到的事件在统一的坐标系内进行处理等）相关联。定位可以考虑来自自车运动的信息，以便预测自动驾驶车辆是否即将超过 ODD 限制。作为激活自动驾驶系统的前提条件，这可以防止操作员在 ODD 限制外使用自动驾驶系统的误操作。

FS_1:确定位置

环境感知传感器

先验感知传感器

自车运动

传感器融合

检测到的地图属性

当前位置

自定位

图12: FS_1:确定位置

38

2.2.1.2 FS_2：感知自动驾驶车辆附近的相关静态和动态物体

自动驾驶功能行为需求所涉及的所有实体都应被感知、预处理并安全地提供给自动驾驶系统。应优先考虑存在最高碰撞风险的实体。样本实体包括动态实体（例如（易受伤害的）道路使用者和相应运动的特征）、静态实体（例如道路边界、交通引导和通信信号）以及超过临界尺寸的障碍物。其主要要素是传感器融合要素，其中使用来自车载传感器的不同输入、定位、自车运动和可选的 V2X 信息来生成现实世界模型。可以使用交通规则来优化世界模型的内容。感知环境的语义知识对于以后的解析、预测和规划很重要。因此，自动驾驶系统能确切地知道检测的内容和位置。相关对象的定义取决于项目定义。

定位要素除了提供地图和自动驾驶车辆在地图上的位置外，还可以支持静态实体的检测。当实体标记在地图上后，这成为了另一个独立传感器来支持传感器融合算法。

FS_2： 感知自动驾驶车辆附近的相关静态和动态物体

环境感知传感器

交通规则

自车运动

自定位

V2X

传感器融合现实世界模型

地图以及基于地图的定位

图13: FS_2: 感知自动驾驶车辆附近的相关静态和动态物体

39

2.2.1.3 FS_3:预测相关对象的未来行为

FS_2 输出的现实世界模型可能不足以用来创建安全合法的驾驶规划（FS_4）。因此，应将其扩展为不仅反映世界模型的当前状态，而且还反映预测的未来状态，以便生成动态驾驶场景的完整描述。也应该考虑其他动态对象的意图和由于遮挡导致的不可见物体以作为预测其未来运动的基础。最后，当前的驾驶环境状况，例如低路面摩擦或者受限的传感器性能（雾、霾、大雨等）也必须加以考虑。

FS_3：预测相关对象的未来行为

传感器融合

交通规则

解释和预测场景描述

图14: FS_3: 预测相关对象的未来行为

40

2.2.1.4 FS_4：制定一个无碰撞并且合法的驾驶规划

制定无碰撞且合法的驾驶规划可以考虑几个要素。例如，车辆应该首先准确地感知其环境并在创建任何驾驶规划之前执行定位。在执行定位并提供准确的世界模型后，车辆应从解释和预测的角度考虑世界模型中与安全相关（易受伤害的）的道路使用者以及他们的跟踪动作所表明的内容。这提供了一个基准，以针对检测到的（易受伤害的）道路使用者作出可能的合理假设。

除非明确定义的例外情况（与行业、政府和社会合作），自动驾驶车辆应遵守交通规则，以便驾驶规划要素用于制定合法的驾驶规划。因此，机器可解读的交通规则也是必要的。

因为自然环境和自动驾驶车辆的物理特性限制了可能的运动特征，自动驾驶车辆的自车运动也需要考虑。最后，应考虑 ADS 模式管理器要素，以便驾驶规划知道其是处于正常运行模式还是降级 / 最低风险状况模式。

图 15 对要求的要素进行了图示说明：

FS_4：制定一个无碰撞并且合法的驾驶规划

解释和预测

交通规则

自车运动

ADS 模式管理器

Localization自定位

驾驶规划

无碰撞并且合法的驾驶规划

图15: FS_4: 制定一个无碰撞并且合法的驾驶规划

41

2.2.1.5 FS_5：正确执行驾驶规划

一旦驾驶规划模块制定了无碰撞且合法的驾驶规划，运动控制和运动执行器也可以考虑当前的自车运动，以便将驾驶规划要素生成的轨迹转换为车辆运动执行器（例如：转向、制动或动力总成）可执行的物理运动。

FS_5：正确执行驾驶规划

驾驶规划

自车运动

运动控制 运动执行器自车运动

图16: FS_5: 正确执行驾驶规划

2.2.1.6 FS_6：与其他（易受伤害的）道路使用者的沟通和互动

其他（易受伤害的）道路使用者需要了解自动驾驶车辆未来将要执行的动作。与手动驾驶一样，为遵守交通规则，可采用包括视觉和声学指示器等通信手段。V2X 或其他类型的交互也可以作为通信手段。

FS_6：与其他（易受伤害的）道路使用者的沟通和互动

驾驶规划

运动控制

带辅助执行器的车身控制

V2X

车身信号

图17: FS_6: 与其他（易受伤害的）道路使用者的沟通和互动

42

2.2.1.7 FS_7：确定规定的标称性能是否达到

应该有系统或要素级的监控程序来检测定义的标称性能边界条件，并有足够的时间来确保安全反应。边界是根据第 2 章开头描述的迭代方法得出的。

FS_7：确定规定的标称性能是否达到

标称性能指示ADS 模式管理器所有要素

图18: FS_7：确定规定的标称性能是否达到

43

2.2.1.8 FD_1：确保操作员的可控性

车辆操作员的角色取决于自动驾驶系统相应的 SAE 水平。在 SAE L3 自动驾驶系统中，车辆操作员可以将他们的注意力从驾驶任务转移开。在这种情况下，当系统发出接管请求时，系统负责保持车辆控制直到操作员重新集中注意力于驾驶任务并获得对周边环境的认知。因此，自动驾驶系统应该持续监控车辆操作员可能的分心或模式混淆。这也适用于配备 SAE L4 自动驾驶系统和手动驾驶模式的车辆。

在没有手动驾驶模式的 SAE L4 自动驾驶系统中，车辆操作者的可控性可能仅限于在驾驶员识别出危险时或在意识到 ODD 退出时实施紧急制动的能力。在系统允许远程控制的情况下，车辆操作员可能并不在自动驾驶的车辆里面。为了确保本地或远程车辆操作员的可控性，ADS 模式管理器应感知操作员希望控制车辆的意图并作出反应。

FD_1：确保车辆操作员的可控性

人机交互

用户状态确定

车辆状态

自车运动

ADS 模式管理器

驾驶规划

人机交互

规划的车辆运动

可视化输出

图19: FD_1：确保操作员对车辆的可控性

44

2.2.1.9 FD_2：检测降级模式是否可用

监视器应检查降级性能是否可达到，即使在标称模式中降级模式它并未激活的情况下。因此，监视器必须不断检查降级模式（其可由多种方式来实现）的可用性。

FD_2：检测降级模式是否可用

降级性能指示ADS 模式管理器降级模式要素

图20: FD_2：检测降级模式是否可用

2.2.1.10 FD_3：确保安全的模式转换和用户认知

ADS模式管理器收集决定是否变更模式所需的所有必要信息以执行安全的模式转换。这包括来自监视器的有关电气故障、性能问题或车辆和操作员状态的信息。收集所有必要信息后的第二步就是在模式之间安全切换。只有当操作员回到车辆的控制闭环中，或汽车处于安全状态时，才可以退出自动驾驶系统。

监测器

车辆状态

用户状态

驾驶规划

规划的车辆运动

视觉输出ADS 模式管理器

人机交互

FD_3：确保安全的模式转换和用户认知

图21: FD_3：确保安全模式转换和用户认知

45

2.2.1.11 FD_4：通过降级来应对标称性能不足和其他失效

应定义系统对标称性能不足做出的反应（参见 FS_7），即使发生故障，系统也应做出适当的反应。此任务由 ADS 模式管理器执行。此任务由监视器触发，并启动为相应的触发预定义的反应。取决于具体故障的严重程度，这可能会影响仅仅几个要素或几乎全部自动驾驶系统。

总之，这项任务的难度在于考虑所有可能发生的不同失效组合的情况下决定选择何种降级方式。

FD_4：通过降级来应对标称性能不足和其他失效

ADS 模式管理器

降级模式

监测器

失败或性能不足

图22: FD_4：通过降级来应对标称性能不足和其他失效

46

2.2.1.12 FD_5：在应对失效的降级模式下降低系统性能

ADS 模式管理器和其他包含降级限制（如感知范围减小）的输入决定了目标 MRC，在此情况下，驾驶规划模块应能够生成无碰撞且合法的驾驶规划以在受限的系统性能下实现相应的MRC。系统性能能力降低可以是从丧失自动驾驶系统的某些功能，到请求安全地停止自动驾驶不等。同时对于通过人机交互执行的模式变更（例如接管请求），则还应包括关于它的操作员信息。对于导致舒适性降低的失�