“安全第一”是自動駕駛的核心理念和價值觀。自動駕駛車輛的整體系統(tǒng)安全設(shè)計是一項復(fù)雜的系統(tǒng)工程， 涉及車載自動駕駛系統(tǒng)的核心算法策略設(shè)計、 硬件和軟件冗余安全設(shè)計、遠(yuǎn)程云代駕技術(shù)、 全流程測試驗證技術(shù)等， 并遵循功能安全（ISO 26262） 和預(yù)期功能安全（ISO/PAS 21448） 的要求和設(shè)計思路。 下面梳理一下百度 L4 級自動駕駛的安全系統(tǒng)實踐， 分為主系統(tǒng)安全、 冗余安全系統(tǒng)、 遠(yuǎn)程云代駕系統(tǒng)三層安全體系。

圖 1 百度 L4 整體系統(tǒng)安全設(shè)計思路

自動駕駛主系統(tǒng)安全

主系統(tǒng)安全體系即通過車載自動駕駛系統(tǒng)的核心算法層來保證駕駛策略和駕駛行為的安全性， 也可稱為“策略安全”。使用最先進可靠的感知與定位算法、 預(yù)測決策規(guī)劃與控制算法來應(yīng)對道路行駛中的各種場景， 尤其是需要保證在遇到難度場景時也可以從駕駛策略和行為上確保安全。

自動駕駛主系統(tǒng)安全是軟硬件組合套件的安全設(shè)計。軟件算法是整個自動駕駛系統(tǒng)的核心， 典型的 L4 級自動駕駛算法系統(tǒng)架構(gòu)主要包括車載操作系統(tǒng)、 環(huán)境感知、 高精地圖與定位、 預(yù)測決策與規(guī)劃、 控制與執(zhí)行模塊等。

操作系統(tǒng)

基礎(chǔ)操作系統(tǒng)是運行在自動駕駛汽車上用于管理、 調(diào)度、 控制車載軟硬件資源的基礎(chǔ)軟件。其主要任務(wù)是為自動駕駛系統(tǒng)提供任務(wù)實時調(diào)度、 實時計算任務(wù)資源隔離、 實時消息通訊、 系統(tǒng)級訪問控制等能力， 有效管理系統(tǒng)資源， 提高系統(tǒng)資源使用率， 向無人車算法模塊屏蔽硬件軟件物理特性及操作細(xì)節(jié)， 承載運行感知、 定位、 規(guī)劃決策與控制等自動駕駛核心組件。操作系統(tǒng)具有高穩(wěn)定、 實時性、 低時延（反應(yīng)速度高于人類駕駛員 250ms） 等特點。

泛感知系統(tǒng)

環(huán)境感知是自動駕駛的前提條件。環(huán)境感知系統(tǒng)融合激光雷達、 毫米波雷達、 攝像頭等多傳感器的優(yōu)勢， 實現(xiàn)車身周圍 360 度視距， 在復(fù)雜變化的交通環(huán)境中穩(wěn)定檢測并跟蹤交通者的行為和速度朝向等信息， 為決策規(guī)劃模塊提供場景理解信息。

感知算法采用多傳感器融合的框架， 能夠提供最遠(yuǎn) 280 米外的障礙物的檢測。基于深度神經(jīng)網(wǎng)絡(luò)及海量的自動駕駛數(shù)據(jù)， 能夠準(zhǔn)確的識別出障礙物類型、 并穩(wěn)定跟蹤障礙物行為，為下游決策模塊提供穩(wěn)定的感知能力。基于多傳感器融合方案的感知系統(tǒng)， 通過異源感知通路形成冗余， 為自動駕駛系統(tǒng)提供高容錯能力從而提升系統(tǒng)安全。除此之外， 感知算法還通過水霧噪聲識別、 低矮障礙物檢測、 異形交通信號燈和標(biāo)識的檢測等能力， 有效支持場景擴展。在紅綠燈識別上， 可將自車感知識別的紅綠燈燈色和倒計時與高精地圖提供的先驗信息進行交叉驗證， 同時提高臨時紅綠燈識別能力， 確保可靠性和安全性。

高精地圖與高精定位為自動駕駛車輛提供預(yù)先的道路信息、 精準(zhǔn)的車輛位置信息和豐富的道路元素數(shù)據(jù)信息， 強調(diào)空間的三維模型以及精度， 非常精確的顯示路面上的每一個特征和狀況。高精地圖與定位采用激光雷達、 視覺、 RTK 與 IMU 多傳感器融合的方案， 通過多種傳感器融合使得定位精度可以達到 5-10 厘米， 滿足 L4 級自動駕駛需求。

預(yù)測決策與規(guī)劃控制

預(yù)測決策與規(guī)劃控制技術(shù)模塊相當(dāng)于自動駕駛汽車的大腦。預(yù)測決策與規(guī)劃是軟件算法核心模塊， 直接影響車輛自動駕駛的能力和效果。該算法模塊基于交通安全規(guī)范與共識規(guī)則，為車輛規(guī)劃出安全、 高效、 舒適的行駛路徑和軌跡。為了更好提升算法的泛化能力， 應(yīng)用數(shù)據(jù)挖掘和深度學(xué)習(xí)算法來實現(xiàn)智能規(guī)劃駕駛行為。

在給定車輛設(shè)定的出發(fā)地與目的地后， 系統(tǒng)生成最優(yōu)的全局規(guī)劃路徑。車輛能夠?qū)崟r接收感知模塊提供的環(huán)境和障礙物信息， 結(jié)合高精度地圖， 跟蹤并預(yù)測周邊車輛、 行人、 騎行者或其他障礙物的行為意圖和預(yù)測軌跡， 綜合考慮安全性、 舒適性和效率， 生成駕駛行為決策（跟車、 換道、 停車等） ， 并按照交通規(guī)則和文明交通禮儀對車輛進行運行規(guī)劃（速度、軌跡等） ， 最終輸出到控制模塊實現(xiàn)車輛加減速和轉(zhuǎn)向動作。車輛控制部分是最底下一層，直接與車輛底盤通信， 將車輛的目標(biāo)位置和速度通過電信號傳給底盤來操作油門、 剎車和方向盤。

自動駕駛的目標(biāo)是應(yīng)對城市道路的復(fù)雜交通場景， 在任何道路交通狀況下都能保證自動駕駛車輛處于安全駕駛狀態(tài)。在軟件算法層， 有基于海量測試數(shù)據(jù)訓(xùn)練的深度學(xué)習(xí)模型， 保證自動駕駛車輛在常規(guī)駕駛場景下安全高效平穩(wěn)的通行；在安全算法層， 針對各種典型危險場景設(shè)計了一系列安全駕駛策略， 保證自動駕駛車輛在任何場景下都能做出安全的駕駛行為。如在惡劣天氣、 視野遮擋等極端場景下， 會觸發(fā)防御性駕駛策略， 通過多觀察減速駕駛降低安全風(fēng)險等。自動駕駛車輛更加遵守交通規(guī)則和道路優(yōu)先通行權(quán)， 在道路交叉口與其他交通參與者交匯場景下， 在高路權(quán)情況下遇到搶行車輛， 也會以安全第一原則考慮減速讓行， 避免風(fēng)險。在遇到“鬼探頭”等高危風(fēng)險場景時， 也會堅持安全第一原則采取緊急制動策略盡可能避免傷害。隨著自動駕駛道路測試數(shù)據(jù)和大量的極端場景數(shù)據(jù)的積累， 自動駕駛核心算法通過數(shù)據(jù)驅(qū)動的深度學(xué)習(xí)算法模型， 得以持續(xù)不斷進化， 成為能夠提前預(yù)判、 安全謹(jǐn)慎駕駛的“老司機”。

車路協(xié)同

車路協(xié)同自動駕駛是在單車智能自動駕駛的基礎(chǔ)上， 通過車聯(lián)網(wǎng)將“人-車-路-云”交通參與要素有機地聯(lián)系在一起， 實現(xiàn)車與車、 車與路、 車與人之間動態(tài)實時信息交互共享， 保證交通安全。車路協(xié)同自動駕駛通過信息交互協(xié)同、 協(xié)同感知與協(xié)同決策控制， 可以極大地拓展單車的感知范圍、 提升感知的能力， 引入高維數(shù)據(jù)為代表的新的智能要素， 實現(xiàn)群體智能。可以幫助解決單車智能自動駕駛遇到的技術(shù)瓶頸， 提升自動駕駛能力， 從而保證自動駕駛安全， 擴展自動駕駛設(shè)計運行域（Operational Design Domain， ODD） 。

例如， 車路協(xié)同自動駕駛可以解決單車智能易受到遮擋、 惡劣天氣等環(huán)境條件影響， 在動靜態(tài)盲區(qū)/遮擋協(xié)同感知方面的問題。單車智能自動駕駛受限于傳感器感知角度限制， 在出現(xiàn)靜態(tài)障礙物或動態(tài)障礙物（如大型車輛） 遮擋時， AV 無法準(zhǔn)確獲取盲區(qū)內(nèi)的車輛或行人的運動情況。車路協(xié)同則通過路側(cè)多傳感器部署， 實現(xiàn)對多方位、 長距離連續(xù)檢測識別，并與 AV 感知進行融合， 實現(xiàn)自動駕駛車輛對盲區(qū)內(nèi)車輛或行人的準(zhǔn)確感知識別， 車輛可提前做出預(yù)判和決策控制， 進而降低事故風(fēng)險。

圖 2 動靜態(tài)盲區(qū)非機動車/行人鬼探頭協(xié)同感知

圖 3 路口遮擋車路協(xié)同感知

自動駕駛安全冗余系統(tǒng)

根據(jù)《ISO 26262 道路車輛功能安全》， 系統(tǒng)功能安全必須考慮功能冗余的要求。按照功能安全的設(shè)計標(biāo)準(zhǔn)， 功能冗余從部件級、 系統(tǒng)級和整車級三個層面來完成。冗余的系統(tǒng)設(shè)計是保證自動駕駛安全可控的關(guān)鍵， 依托全線冗余設(shè)計可有效應(yīng)對車輛控制系統(tǒng)、 硬件平臺、軟件平臺三個層次單點故障或功能失效， 為完全無人自動駕駛系統(tǒng)提供基礎(chǔ)支撐。

L4級自動駕駛系統(tǒng)在車載主計算單元和傳感系統(tǒng)之外又配置了安全冗余實現(xiàn)了軟件和硬件的異構(gòu)冗余設(shè)計， 避免了各個系統(tǒng)的單點失效， 主計算系統(tǒng)和冗余安全系統(tǒng)分工不同且互為校驗， 整體上實現(xiàn)安全性和可靠性極大提升。冗余安全系統(tǒng)在功能和算法策略設(shè)計上，側(cè)重于對主計算系統(tǒng)軟硬件的實時監(jiān)控， 并進行危害識別， 當(dāng)檢測到主計算系統(tǒng)異常時將觸發(fā) MRC 機制， 通過告警、 緩剎、 靠邊停車、 緊急制動等方法讓車輛進入最小風(fēng)險狀（Minimal Risk Condition， MRC） 。

硬件和傳感器冗余

從傳感器、 計算單元到車輛控制系統(tǒng)， 都具備兩套互為獨立冗余的系統(tǒng)， 避免單點失效，提升系統(tǒng)整體可靠性和安全性。

計算單元冗余

安全系統(tǒng)通過配置一套 SafetyDCU 作為冗余計算單元， 實時運算并監(jiān)控主系統(tǒng)工作狀態(tài)。當(dāng)主計算單元故障時， 能夠支持冗余系統(tǒng)的算法運算繼續(xù)控制車輛， 做出風(fēng)險最小回退的緩剎、 靠邊停車等動作。

傳感器冗余

安全系統(tǒng)通過冗余設(shè)計兩套獨立的自動駕駛傳感器系統(tǒng)， 采用激光雷達、 攝像頭、 定位設(shè)備等零部件冗余方案， 在任何單一零部件失效的情況下， 都能夠觸發(fā)冗余系統(tǒng)， 提供完善環(huán)境感知能力， 從而安全控制車輛， 保障系統(tǒng)的運行更加可靠。

車輛控制系統(tǒng)冗余

車輛底盤具備冗余能力， 包括轉(zhuǎn)向、 動力、 制動等關(guān)鍵部件， 能夠在單一系統(tǒng)故障失效時， 切換到備用系統(tǒng)控制車輛， 幫助安全停車， 防止車輛失控的發(fā)生。

故障監(jiān)控系統(tǒng)與軟件冗余

故障監(jiān)控系統(tǒng)為部署在主計算單元與安全計算單元之間的一套完整故障檢測系統(tǒng)， 能夠?qū)ο到y(tǒng)運行中的所有軟硬件類失效、 故障、 超出 ODD 范圍、 系統(tǒng)算法缺陷等做到實時檢測監(jiān)聽， 并且通過主系統(tǒng)和冗余系統(tǒng)進行交叉驗證， 互相校驗和監(jiān)控， 確保故障沒有遺漏。同時進行風(fēng)險預(yù)測， 對易發(fā)生問題的數(shù)據(jù)進行挖掘分析、 特征提取， 在車端進行實時安全風(fēng)險計算。

軟件冗余系統(tǒng)是一套完整的輕量化的感知定位與決策控制的軟件。例如完善的定位系統(tǒng)冗余， 增加多重交叉驗證提升定位異常檢測和容錯的能力；感知 360 度環(huán)視檢測覆蓋， 對車身周圍和前向風(fēng)險做到實時感知；當(dāng)檢測到主系統(tǒng)故障或失效時， 備份系統(tǒng)代替其接管車輛的操控， 通過限速、 緩慢剎車、 靠邊停車、 剎停等進行功能降級或進入 MRC， 實現(xiàn)車輛的安全停車。

圖 4 故障監(jiān)控系統(tǒng)與軟件冗余

遠(yuǎn)程云代駕

遠(yuǎn)程云代駕系統(tǒng)是在車輛遇困或極端場景下， 由遠(yuǎn)程駕駛員接管車輛， 通過環(huán)繞屏展示環(huán)境建模型及主視覺、 俯視角， 為安全員提供身臨其境的平行駕駛感受。當(dāng)遠(yuǎn)程駕駛員將車輛開到安全地帶后再將控制權(quán)移交給車端， 整個過程端到端時延比人類司機的反應(yīng)時間更短，且車端和遠(yuǎn)程的控制權(quán)切換完全平滑無感。在遠(yuǎn)程駕駛艙， 通過配置多屏監(jiān)控， 以及通過風(fēng)險預(yù)警和動態(tài)調(diào)度等功能， 可以實現(xiàn)車隊級實時監(jiān)控。

遠(yuǎn)程云代駕設(shè)有包含主動安全、 安全預(yù)警以及安全基礎(chǔ)功能在內(nèi)的全面安全分層設(shè)計，可實時監(jiān)測駕駛艙、 網(wǎng)絡(luò)、 無人駕駛車輛狀態(tài)， 并根據(jù)不同故障或風(fēng)險等級做出安全處理，進一步為自動駕駛運營全面護航。當(dāng)前自動駕駛技術(shù)在常規(guī)城市道路下主要由車端自動駕駛系統(tǒng)實現(xiàn)自主駕駛， 僅在極端場景下借助遠(yuǎn)程云代駕， 因此可以實現(xiàn)遠(yuǎn)程駕駛員一人控制多車的高效運營服務(wù)。

圖5 遠(yuǎn)程云代駕產(chǎn)品設(shè)計

平行駕駛基于 5G 技術(shù)， 遠(yuǎn)程控制中心的安全操作員能夠?qū)崟r了解車輛所處環(huán)境與狀態(tài)，車云無縫對接， 在自動駕駛無法通過的場景下完成遠(yuǎn)程協(xié)助， 結(jié)束后使車輛回到自動駕駛狀態(tài)， 實現(xiàn)極端場景下的車輛脫困和避險。

5G 云代駕是未來無人駕駛的重要配套設(shè)施， 基于 5G、 智慧交通、 V2X 等新基建設(shè)施，實現(xiàn)自動駕駛車輛車內(nèi)、 車外視頻實時回傳監(jiān)控， 可在車上無駕駛員的情況下為自動駕駛系統(tǒng)的能力缺口補位。

圖 6 遠(yuǎn)程云代駕適用場景

自動駕駛汽車測試與驗證

自動駕駛系統(tǒng)從研發(fā)到應(yīng)用， 需要進行充分的功能安全和性能安全測試驗證來證明其運行安全性， 以保障乘車用戶和其他交通參與者的人身安全。虛擬仿真需要進行數(shù)億至上百億公里的驗證測試， 真實道路測試需要百萬公里以上的測試積累。

測試流程體系

自動駕駛測試以場景化的測試方法， 驗證在每個場景下是否都具備安全駕駛能力。自動駕駛測試場景庫是測試體系的基礎(chǔ)， 驅(qū)動自動駕駛車輛測試各個環(huán)節(jié)。

測試場景庫包含典型的日常行駛場景、 高碰撞風(fēng)險場景、 法律法規(guī)場景等， 同時也包含已經(jīng)形成行業(yè)標(biāo)準(zhǔn)的場景，例如 AEB 功能的標(biāo)準(zhǔn)測試場景。具體分為不同自然條件（天氣、 光照） 、 不同道路類型（路面狀態(tài)、 車道線類型等） 、 不同交通參與者（車輛、 行人位置、 速度等） 、 不同環(huán)境類型（高速公路、 小區(qū)、 商場、 鄉(xiāng)村等） 的多類型虛擬仿真測試場景和真實交通環(huán)境的測試試驗場景。測試內(nèi)容包括傳感器、 算法、 執(zhí)行器、 人機界面以及整車等， 從應(yīng)用功能、 性能、 穩(wěn)定性和魯棒性、 功能安全、 預(yù)期功能安全、 型式認(rèn)證等各個方面來驗證自動駕駛系統(tǒng)的合理性、 安全性和穩(wěn)定性， 從而確保車輛能夠自主上路。

自動駕駛汽車的測試流程體系主要包括離線環(huán)境測試、 車輛在環(huán)測試（Vehicle in theLoop， VIL） 、 道路在環(huán)測試（Road in the Loop， RIL） 三個階段， 對軟件、 硬件、 車輛進行逐層環(huán)環(huán)相扣測試， 確保自動駕駛系統(tǒng)上路測試的安全性。在離線測試階段， 每一行代碼都能被充分及時的測試， 當(dāng)軟件發(fā)生修改后， 系統(tǒng)會逐一自動觸發(fā)各個測試環(huán)節(jié)， 直至達到安全的上車測試標(biāo)準(zhǔn)方進入車輛在環(huán)測試階段及道路在環(huán)階段。道路在環(huán)測試階段發(fā)現(xiàn)問題會進行下一輪的代碼修改， 開始下一次的循環(huán)。經(jīng)過一輪又一輪的閉環(huán)， 使得自動駕駛能力不斷提升。

離線測試

離線是指未包含車輛的測試， 大部分工作是在實驗室里完成的。這個階段包含了模型在環(huán)測試（Model in the Loop， MIL） 、 軟件在環(huán)測（Software in the Loop， SIL） 、 硬件在環(huán)測試（Hardware in the Loop， HIL） 。

模型在環(huán)測試?yán)么笠?guī)模數(shù)據(jù)集對感知、 預(yù)測、 定位、 控制等核心算法模型進行精確的評估， 通過模型評估后的各項指標(biāo)度量模型能力變化， 通過自動化挖掘在早期暴露算法問題和 BadCase， 避免遺留到后續(xù)測試過程。

軟件在環(huán)測試階段， 仿真測試是自動駕駛測試體系的關(guān)鍵環(huán)節(jié)， 通過將海量的道路測試數(shù)據(jù)灌入仿真系統(tǒng)， 反復(fù)回歸驗證新算法的效果。同時在仿真系統(tǒng)中構(gòu)造大量的極端場景，并且通過參數(shù)擴展的方法將單一的場景自動化生產(chǎn)規(guī)模化的場景， 以提高測試的覆蓋度。此外， 仿真平臺還有一套精細(xì)的度量體系， 可以自動化地判斷仿真過程中發(fā)生的碰撞問題、 違反交規(guī)問題、 體感問題、 路線不合理問題。

硬件在環(huán)測試階段， 把軟件和硬件集成到一起， 以測試軟硬件系統(tǒng)的兼容性和可靠性。通常硬件的故障發(fā)生都有一定的概率， 帶有一定的偶然性， 在硬件在環(huán)測試階段基于真實和虛擬硬件結(jié)合方式進行成千上萬真實場景的還原測試， 并且 24 小時不間斷的對自動駕駛系統(tǒng)施加壓力， 以模擬系統(tǒng)在不同資源極限條件下（比如：GPU 資源不足， CPU 使用率過高）的性能和穩(wěn)定性表現(xiàn)。同時在這個階段模擬了大量的硬件故障， 測試在硬件故障的情況下系統(tǒng)的反映， 如硬件失效、 斷電、 丟幀、 上下游接口異常等， 確保系統(tǒng)符合 ISO26262 功能安全要求。

車輛在環(huán)測試

車輛在環(huán)測試階段會先進行基于臺架的測試， 在臺架上完成各項車輛線控功能、 性能和穩(wěn)定性測試， 以確保自動駕駛系統(tǒng)可以按照意圖控制車輛。完成對車輛線控的測試之后 VIL環(huán)節(jié)會進入封閉場地， 基于真實的道路構(gòu)建虛實結(jié)合的場景測試自動駕駛系統(tǒng)在真實車輛上的表現(xiàn)。

道路在環(huán)測試

在離線測試和車輛在環(huán)測試階段通過后（每個環(huán)節(jié)都有嚴(yán)格的測試通過標(biāo)準(zhǔn)） ， 接下來進入封閉場地內(nèi)構(gòu)建真實的場景來測試車輛的自動駕駛各項能力和安全性。封閉測試場涵蓋了常見的城市道路及高速道路， 包括直行道路、 彎道、 路口、 坡路、 隧道及停車場等。另外，通過假人、 假車等測試設(shè)備構(gòu)造各種低頻場景。這類低頻場景在社會道路上存在， 但是出現(xiàn)的頻率較低， 在開放道路上不易得到充分驗證。例如逆行的自行車、 突然沖出的行人、 路段積水等場景。

開放道路測試是道路在環(huán)測試的最終環(huán)節(jié)， 也是自動駕駛車輛完成測試評估所必須經(jīng)過的重要環(huán)節(jié)。開放道路測試是循序漸進開展的， 通常最新的系統(tǒng)部署在少量車上進行測試，確認(rèn)安全后再部署到更大規(guī)模的車隊。通過部署規(guī)模化自動駕駛車輛不斷在實際道路上進行測試和驗證， 形成實際路上場景和自動駕駛能力不斷閉環(huán)， 使自動駕駛車輛在智能度、 安全性等方面持續(xù)提升， 從而逐漸接近具備自動駕駛車輛走進千家萬戶的能力。

審核編輯 ：李倩