一、核心概念先验
行业内所述的一端式、两段式发展浪潮,本质是自动驾驶从传统分层模块化架构,向端到端(E2E)数据驱动架构演进的两条核心技术路线:
- 两段式端到端:也叫模块化端到端/中间表征驱动架构,是当前量产落地的主流方案。核心是将自动驾驶链路拆分为「感知抽象层+决策规控层」两个可独立优化、联合训练的阶段:第一阶段将原始传感器数据转化为可解释、可监督的中间表征(BEV特征、OCC占用栅格、语义地图等);第二阶段基于中间表征生成驾驶轨迹/控制指令,兼顾了端到端的全局优化能力与模块化的可解释性。
- 一段式端到端:也叫全链路端到端/单模型端到端,是行业技术演进的终局方向之一。核心是用单一神经网络实现「传感器原始输入→车辆控制指令」的端到端映射,无显式拆分的中间模块,训练目标直接对齐最终驾驶效果,更接近人类驾驶的“直觉式”决策。
而全局规划(Routing),传统定义是自动驾驶系统的顶层导航模块,核心是在道路拓扑网络中,求解从起点到终点满足代价约束的最优宏观路径,是整个驾驶任务的战略锚点。
二、传统分层架构下Routing的原生定位(基准线)
传统自动驾驶采用「全局Routing→行为决策→轨迹规划→车辆控制」的四层分层架构,Routing是整个系统的战略级导航核心,其原生功能与角色如下:
- 核心功能:基于SD/HD地图的道路拓扑网络,结合起终点、用户驾驶偏好、实时交通信息,通过A*、Dijkstra、分层路网搜索等算法,输出车道级参考路径、语义导航指令(直行、左转、汇入、调头等)[语义导航与局部决策功能部分重叠,模块化设计中局部决策可以调整参考线±车道宽来实现换道],更新频率0.1-1Hz,以静态离散拓扑搜索为主。
- 下游模块的绝对主导锚点:行为决策、轨迹规划的所有动作,都必须严格围绕Routing输出的参考路径展开,是驾驶任务的刚性基准;
- 长周期任务的语义拆解者:将“从起点到终点”的长周期驾驶任务,拆解为一系列可执行的短周期语义动作,实现宏观导航与微观驾驶的衔接;
- 系统安全的顶层约束者:提前规避禁行、封闭、高风险路段,为下游规划提供合法的道路级边界,从源头规避合规风险。
三、端到端浪潮下Routing的功能与角色核心变化
(一)两段式端到端架构:从「独立核心模块」到「全局约束与引导模块」
两段式架构并未消解Routing的独立存在,而是重构了其功能边界与角色定位,实现了从“硬主导”到“软协同”的转变。
- 输出形态从「刚性参考线」转向「柔性目标约束」:传统Routing输出的是必须严格跟随的车道级路径点序列,两段式架构下,其输出转变为全局目标语义+道路拓扑约束,通常转化为向量嵌入输入到决策规控大模型中,而非给下游提供硬参考线;
- 核心功能的迁移与保留:车道级路径搜索功能被下放到决策规控模型,模型基于BEV/OCC中间表征,结合全局目标自主生成局部最优路径;而Routing保留了全局拓扑搜索、用户需求解析、动态交通适配的核心能力,负责解决“走哪条路”的宏观决策;
- 新增安全兜底功能:承担端到端模型的决策纠偏职责,当模型输出的轨迹偏离全局目标、违反道路拓扑约束时,Routing会触发修正指令,强制模型回归合法路径,解决端到端模型的“目标漂移”问题。
- 从「下游模块的绝对主导者」变为「端到端模型的引导者」:不再是刚性约束基准,而是为模型提供长周期的全局目标导向,避免模型陷入局部最优(如为了避障持续偏离目的地方向);
- 从「静态离线规划」变为「动态在线协同」:从仅在起终点变化、路径阻断时重规划,转变为与感知、规控模块实时联动,结合实时交通、模型决策状态动态更新全局约束,实现“全局-局部”的闭环协同;
- 从「纯规则驱动」变为「规则+数据驱动融合」:在传统拓扑搜索的基础上,引入海量人类驾驶数据优化代价函数,让全局规划更贴合端到端模型的驾驶风格,避免“全局规划要求变道,模型决策不愿变道”的冲突。
*两段式是当前国内所有车企量产 NOA 的唯一可行方案,它的核心特点是:端到端规控模型只接管了「局部战术决策 + 轨迹生成」,但天生存在「短视缺陷」,没有长周期全局规划能力。(二)一段式端到端架构:从「显式独立模块」到「隐式目标嵌入核心」
一段式架构下,Routing的显式路径搜索功能完全消解,但其核心价值不仅没有消失,反而从“系统中间组件”升级为“驾驶任务的定义入口”,实现了颠覆性的角色重构。
- 显式路径搜索功能完全消解:一段式架构无独立的Routing、行为、轨迹规划模块,单一模型完成全链路映射,传统Routing的“道路拓扑搜索、参考路径生成”功能,被模型的隐式特征学习完全替代——模型通过海量驾驶数据,自主学习从当前位置到目的地的路径选择逻辑;
- 核心功能收敛为「任务目标的定义与嵌入」:Routing的核心价值从“生成路径”,转变为将用户的导航需求(起点、终点、途经点、驾驶偏好)转化为模型可理解的目标嵌入向量,作为模型推理的核心条件输入,解决端到端模型“去哪里”的根本问题,是模型输出符合用户预期动作的前提;
- 核心新增功能为「安全合规的硬约束注入」:作为全黑箱系统中少数可解释、可控制的规则化锚点,将交通法规、禁行规则、道路拓扑约束等硬规则,转化为模型推理的强制约束条件,避免模型输出违规、偏离目的地的决策,解决纯黑箱模型的可控性难题。
- 从「系统中间执行模块」变为「驾驶任务的定义入口」:一段式架构下,Routing是用户需求与端到端模型之间的唯一桥梁,用户的导航需求必须通过Routing转化为模型可理解的输入,是整个自动驾驶任务的起点,而非中间执行环节;
- 从「高频更新的规划模块」变为「低频稳定的目标锚点」:从准实时更新路径,转变为仅在用户修改导航目标、全局路径出现不可逾越阻断时,才更新目标嵌入,其余时间作为稳定的全局锚点,保证长距离驾驶的一致性;
- 从「可替代功能模块」变为「系统不可缺失的核心组件」:无论端到端模型多强大,都必须解决“用户要去哪里”的核心问题,Routing成为连接用户需求与模型能力的不可替代环节,同时也是黑箱系统中少数可追溯、可审计的安全抓手,重要性不降反升。
(三)变化的核心趋势总结
- 输出形态:从「刚性参考线输出」到「柔性目标约束与向量嵌入」;
- 角色定位:从「下游模块的绝对主导者」到「端到端模型的引导者」;
- 存在形态:从「显式独立规则模块」到「与端到端模型深度融合的隐式核心」。
端到端浪潮下全局规划(Routing)
一、工程落地的核心前提与架构选型基准
1. 不可突破的硬约束(量产红线)
所有工程设计必须优先满足以下合规与安全要求,这是Routing模块不能被端到端模型完全替代的核心原因:
- 功能安全:导航与全局规划模块需满足ISO 26262 ASIL-B等级要求,而端到端规控大模型当前仅能达到QM(质量管理)等级,无法通过ASIL-B认证,必须保留独立的安全冗余模块;
- 预期功能安全SOTIF:需覆盖感知失效、模型漂移、路网突变等极限场景,具备可解释、可追溯、可干预的安全兜底能力;
- 法规合规:需满足《道路交通安全法》对机动车通行规则的硬约束,所有决策必须具备可审计性,黑箱模型无法单独承担合规责任。
2. 量产主流架构选型
当前国内小鹏、华为、理想、蔚来等车企的城市NOA、高速NOA量产方案,采用Routing 衔接「两段式端到端 + 确定性白盒安全岛」的双轨架构,而非将Routing完全融入黑箱模型。
- 核心设计原则:安全与决策解耦,规则与数据互补。ASIL-B等级的Routing模块与QM等级的端到端规控模型物理隔离,前者负责全局目标引导、安全合规校验、失效兜底,后者负责局部轨迹生成、场景交互决策,形成「主决策-安全兜底」的冗余架构。
- 绝对禁止的工程设计:将Routing的路径搜索、安全约束功能完全融入端到端模型,放弃独立的规则化安全锚点,该方案无法通过法规认证,且实车出现问题无法debug与追溯。
量产方案的安全分工(双轨架构)
- 主轨(两段式 E2E):QM
- 负责:感知融合(BEV/Occ)、局部轨迹规划、控制指令输出
- 安全岛 / 白盒冗余轨:ASIL B/C/D
- 负责:全局 Routing、硬交规约束、安全仲裁、故障诊断、最小风险策略(MRC)
- 安全责任:承担全部功能安全责任,是系统 ASIL 等级的唯一载体
*关键澄清:QM ≠ 不安全
- QM:仅指不按 ISO 26262 ASIL 流程开发,不做强制安全机制与故障诊断,遵循常规质量管理。
- ASIL:是对安全关键功能的强制要求,必须满足故障检测、容错、降级、可验证等一系列严苛指标。
- 量产方案的安全逻辑:用 QM 的端到端做 “智能”,用 ASIL 的白盒安全岛做 “安全兜底”,两者解耦、互相校验,既保证体验又守住安全底线。
二、量产架构下Routing的工程化功能重构与接口设计
1. 功能的工程化裁剪与边界划分
完全摒弃传统分层架构中「车道级硬参考线」的设计思路,基于量产需求做功能的精准裁剪,明确与端到端模型的权责边界,避免功能重叠与决策冲突。
| 保留Routing的核心功能(ASIL-B,硬规则实现) | |
|---|
| | |
| 1. 全局道路级拓扑路径搜索(A*/分层路网算法)2. 关键节点导航语义指令生成(可解释token)3. 交通法规/禁行/限行硬规则合规校验4. 模型决策与全局目标的偏差监控与仲裁5. 模型失效时的最小风险策略(MRC,常见为靠边停车)触发与执行6. 实时交通适配的全局重规划 | 1. 车道级参考线与行驶轨迹生成2. 局部变道/避障/跟车的时机与动作决策3. 路口/匝道/拥堵场景的精细化交互决策4. 局部路径的动态调整与绕障规划 |
2. 实车部署的硬件与软件架构设计
- 硬件部署:Routing模块独立部署在智驾域控制器的ASIL-B级安全岛AP核/MCU,与端到端模型的NPU推理核物理隔离,电源、时钟、定位输入均做冗余设计,保证模型核完全失效时,Routing模块仍能正常运行,触发安全兜底。
- 时钟同步:与感知、规控、底盘域的时间同步精度≤10ms,避免出现“模型已行驶至路口,Routing引导指令延迟”的时序问题。
- 算力分配:Routing核心逻辑运行在CPU核,算力占用≤5%;拓扑匹配、向量嵌入生成等轻量计算,分时复用NPU空闲算力,不占用端到端模型的核心推理算力,总算力占用≤1TOPS。
3. 与端到端模型的标准化接口设计(工程落地核心)
实车量产中90%的Routing与模型冲突问题,都来自接口设计不清晰、交互黑箱化。行业通用的量产级接口方案,采用「可解释语义token+固定维度向量嵌入+硬约束掩码」的标准化三层接口,完全避免黑箱交互,同时保证可debug、可监督。
(1)给模型的核心输入接口
- 工程实现:将起终点、途经点、全局路径的关键拓扑节点,转化为固定256维的向量嵌入,与BEV/OCC特征在通道维度拼接,作为规控模型的全局条件输入。
- 优化点:向量嵌入离线预训练,仅在线做轻量化更新,保证推理延迟≤1ms,同时保证不同场景下的特征一致性。
- 工程实现:将导航指令转化为固定词表的离散语义token+距离信息,例如
<左转, 800m>、<汇入高速, 1.2km>、<靠右驶出匝道, 500m>,作为模型的强引导输入。 - 优化点:token词表控制在32个以内,覆盖所有量产驾驶场景,保证模型训练时可完全对齐,推理时可解释、可追溯。
- 工程实现:基于全局拓扑路径,输出与OCC占用栅格对齐的二值化合法区域掩码,模型只能在掩码内生成轨迹,从底层杜绝逆行、驶入禁行区域、非机动车道等违规行为。
- 优化点:掩码更新频率与BEV特征输出对齐(10Hz),路口/匝道等关键场景做动态扩缩,兼顾安全与灵活性。
(2)模型的反馈闭环接口
模型实时向Routing输出3类核心状态,形成闭环协同:
- 决策输出的置信度、执行状态(如变道中、直行、等待左转);
- 局部场景的异常状态(如前方事故、道路封闭、感知失效)。 Routing基于反馈信息,动态调整引导指令、触发重规划、启动仲裁干预,解决“模型与全局目标脱节”的核心问题。
三、工程落地核心痛点与量产级解决方案
以下为实车量产中必踩的核心痛点。
痛点1:去高精地图化下,Routing的拓扑源缺失问题
背景
传统Routing高度依赖高精地图的车道级拓扑网络,而当前量产智驾的核心趋势是“去高精地图化”,仅用SD地图(仅包含道路级拓扑,无车道级信息、不包含车道边界、车道中心线的精确曲线、车道宽度变化、车道类型(如左转专用道)等细节。道路的几何形状可能简化为一条粗略的中心线(或一组点),而不是像附件中那样对每个车道进行精细建模),导致Routing失去传统的拓扑输入源,无法给模型提供精准引导。
轻量众包拓扑+实时感知补全的融合方案
- 工程实现:采用SD地图+众包更新的轻量拓扑地图,仅保留①道路级拓扑、②关键路口的车道数、③转向规则、④限速信息,数据量仅为传统高精地图的1/100,更新成本极低,可通过众包实现周级更新。
- 优化点:采用分层存储,高速/快速路全量存储,城市道路仅预加载导航路径沿线1km范围的拓扑数据,降低内存占用。
- 工程实现:基于感知大模型输出的BEV语义特征,在线提取当前道路的车道拓扑、路口停止线、转向车道分布,与Routing的全局拓扑路径做KD-Tree快速匹配,补全局部车道级拓扑,给模型提供精细化引导。
- 优化点:拓扑匹配频率10Hz,匹配耗时≤50ms,仅处理导航路径沿线500m范围的感知拓扑,控制算力消耗。
- 感知拓扑补全失效时,Routing降级为道路级引导,触发模型切换为保守驾驶模式,降速至30km/h以下,同时提示驾驶员接管;
- 定位/地图输入失效时,直接触发MRC最小风险策略,靠边停车。
痛点2:Routing与端到端模型的决策冲突与目标对齐问题
背景
实车量产中最常见的问题:Routing要求前方1km左转进入最左车道,模型持续不变道,最终错过路口;本质是规则化的全局目标,与数据驱动的模型驾驶风格不匹配,推理阶段目标对齐失效。
分层引导+训练对齐+仲裁干预的三级闭环
- 分层引导,避免过度约束将全局引导分为3个层级,仅对核心目标做硬约束,执行层完全放权给模型,从源头减少冲突:
- 战略层(不可修改):起终点、全局通行路径,必须严格遵循;
- 战术层(强约束):关键节点的语义指令(左转/右转/汇入/驶出),必须在指定节点完成;
- 执行层(完全放权):变道时机、车道选择、跟车距离,完全交给模型自主决策,不做硬规则限制。
- 训练阶段目标对齐,从根源解决冲突工程实现:将Routing的全局目标,转化为规控模型训练的损失函数项,在训练阶段就完成目标对齐,而非仅在推理阶段做约束:
- 全局路径偏离惩罚项:模型生成的轨迹与全局路径的横向偏差超过阈值时,施加梯度惩罚;
- 关键节点错过惩罚项:模型未在指定节点完成转向/驶出动作时,施加强惩罚;
- 引导指令跟随奖励项:模型提前响应Routing的引导指令时,给予奖励,强化模型的全局目标跟随能力。
- 推理阶段冲突仲裁,实车兜底工程实现:部署独立的ASIL-B级仲裁模块,实时检测Routing引导需求与模型决策的匹配度,场景化设置干预阈值,分级触发干预:
- 轻度冲突:模型轻微偏离路径,输出修正提示,模型自主回归;
- 中度冲突:距离关键节点不足阈值(城市道路200m/高速1km),模型仍未进入目标车道,触发强制约束,锁定模型的合法车道范围,强制模型变道;
- 重度冲突:模型完全不响应引导,即将错过关键节点,触发驾驶员接管提醒,同时准备最小风险策略。
- 优化点:干预阈值做场景化适配,高速/快速路提前干预,城市道路灵活调整,避免频繁干预影响驾驶平顺性。
痛点3:全局重规划的实时性与防抖平衡问题
背景
长距离导航中,实时交通信息频繁波动,容易导致Routing频繁重规划,出现“导航路线反复横跳”的问题;同时拥堵/封路场景下,重规划延迟过高,会导致模型错过变道时机,陷入局部拥堵。
分层路网搜索+前瞻式重规划+防抖触发机制
- 分层路网搜索,提升重规划效率工程实现:将全国路网分为高速/快速路、城市主干道、城市支路3个层级,长距离导航时,先在高速层完成全局路径搜索,再逐层向下细化,单次重规划耗时≤100ms,完全满足实时性要求。
- 前瞻式重规划,提前规避风险工程实现:提前5km预加载导航路径沿线的实时交通、道路施工、事故信息,当检测到前方路段通行时间增加≥30%、拥堵持续≥5分钟、道路封闭时,提前触发重规划,在进入拥堵段前完成路线切换,解决端到端模型的“短视问题”。
- 防抖触发机制,避免频繁重规划工程实现:设置多层防抖阈值,杜绝实时交通波动导致的无效重规划:
- 仅当新路径的总通行时间比原路径缩短≥15%时,才触发主动重规划;
- 同一区间10分钟内最多触发1次重规划,避免路线反复切换;
- 路口/匝道/隧道等关键场景,禁止触发重规划,保证驾驶连续性。
痛点4:功能安全与失效策略的工程化落地
背景
端到端模型的黑箱特性,导致其失效模式不可枚举,而Routing作为ASIL-B级安全模块,必须覆盖所有模型失效场景,实现可验证、可落地的安全闭环,满足法规认证要求。
独立安全岛+全链路监控+分级失效闭环
- 独立安全岛架构,保证硬件冗余Routing的安全监控、失效兜底逻辑,完全部署在ASIL-B级安全岛,与模型推理核物理隔离,具备独立的电源、时钟、传感器输入,即使主SOC完全失效,安全岛仍能正常运行,控制车辆完成最小风险策略。
- 全链路状态监控,覆盖失效模式设计3层实时监控机制,监控频率100Hz,保证失效及时响应:
- 输入层监控:监控定位、地图、TSP交通信息的有效性,数据失效时触发降级;
- 模型层监控:监控模型的输出频率、置信度、轨迹合法性、与全局目标的偏差,当模型输出超时、置信度低于阈值、轨迹越界、严重偏离全局路径时,判定为模型失效;
- 自身层监控:Routing模块内置看门狗与自检机制,保证自身运行正常,避免自身失效。
- 分级失效策略闭环,可验证可落地基于失效等级,设计标准化的分级响应策略,所有策略均经过HIL台架与实车封闭场地验证,满足功能安全要求:
| | |
|---|
| | |
| | 触发硬约束掩码,锁定合法行驶区域,降级为保守驾驶模式,触发接管提醒 |
| | 触发最小风险策略(MRC),控制车辆平稳降速、靠边停车、开启双闪,完成安全兜底 |
四、工程化验证与数据闭环体系
量产落地的核心是“可验证、可迭代”,必须搭建完整的MIL/SIL/HIL/实车验证体系,以及Routing与模型的联合数据闭环,实现持续优化。
1. 台架验证阶段
- MIL/SIL模型在环验证:搭建虚拟仿真环境,覆盖100万+公里虚拟场景,重点验证:Routing与模型的接口交互、冲突仲裁机制、重规划逻辑、失效兜底策略,100%覆盖路口错过、封路、模型失效、定位丢失等核心corner case,通过率100%方可进入下一阶段。
- HIL硬件在环验证:将实车智驾域控制器、安全岛MCU、座舱域全量接入仿真环境,验证硬件部署的实时性、时钟同步精度、接口通信稳定性,以及失效策略的硬件触发可靠性,完成ASIL-B等级的功能安全验证。
2. 实车验证阶段
- 封闭场地验证:覆盖所有基础功能、极限失效场景,重点验证强制变道、MRC触发、模型失效兜底等安全逻辑,保证100%触发成功,无安全风险。
- 开放道路验证:分阶段完成城市道路→高速→全场景的实车验证,累计验证里程≥100万公里,重点验证导航准确性、路口通过率、驾驶平顺性、重规划合理性,收集实车corner case数据。
3. 联合数据闭环体系
实车量产中90%的优化迭代,都来自数据闭环,核心搭建3个闭环链路:
- 数据采集与挖掘:实车采集Routing与模型冲突、错过路口、重规划失效、模型偏离路径的高价值数据,云端通过大模型自动分类、标注,筛选核心corner case。
- 模型侧:用corner case数据优化规控模型的损失函数,强化全局目标跟随能力,减少决策冲突;
- Routing侧:基于实车数据优化仲裁阈值、重规划触发机制、语义指令的提前量,适配模型的驾驶风格,提升用户体验。
- OTA灰度发布:优化后的模块先通过小批量灰度OTA验证,无问题后全量推送,实现持续迭代。
五、一段式端到端下Routing的工程化预研路径
一段式全端到端架构当前仍处于预研阶段,无大规模量产落地案例,工程化的核心前提仍是安全、可控、合规,预研落地路径如下:
- 始终保留独立的ASIL-B级Routing安全锚点:不将导航目标完全嵌入黑箱模型,仍作为外部可解释的条件输入,保证安全冗余,这是一段式架构可落地的核心前提。
- 功能极致收敛:Routing完全放弃路径搜索功能,仅保留3个核心能力:
- 驾驶任务的目标定义:将用户的导航需求转化为模型可理解的、可解释的目标嵌入;
- 安全硬约束注入:将交通法规、道路合法边界转化为模型推理的强制约束;
- 全链路安全监控与失效兜底:实时监控模型输出,失效时触发最小风险策略。
- 预研落地步骤:先在封闭场地完成全场景验证,再在高速场景试点落地,与两段式架构做冗余备份,最后逐步扩展到城市道路,绝对禁止直接全场景量产落地。
六、量产落地避坑指南
- 不要盲目追求技术激进,量产优先选双轨架构:放弃“全端到端消解Routing”的空想,优先采用Routing +「两段式+白盒规则」的架构,这是当前唯一能通过法规认证、保证安全的量产方案。
- 接口设计必须标准化、可解释,杜绝黑箱交互:Routing与模型的接口必须用可解释的语义token、硬约束掩码,不要用黑箱特征交互,否则实车出问题根本无法debug,排查成本极高。
- 安全逻辑必须用硬规则实现,绝对不能用AI:所有ASIL-B等级的安全监控、仲裁、兜底逻辑,必须用纯硬规则实现,保证可解释、可验证、可追溯,不要引入任何AI模型。
- 权责边界必须清晰,避免功能重叠:Routing只做全局战略引导,车道级、局部执行层的事情完全交给模型,不要过度约束,否则既浪费算力,又会导致频繁的决策冲突。
- 不要用一套阈值打天下,必须做场景化适配:高速、城市道路、匝道、路口的引导提前量、仲裁阈值、重规划逻辑,必须做场景化定制,否则实车体验会极差。
- 提前搭建数据闭环,不要靠人工调参解决问题:实车中90%的目标对齐问题,都要靠数据闭环迭代优化,而非人工调参,提前搭建Routing与模型的联合数据闭环,是量产持续迭代的核心。
ISO 26262 汽车功能安全完整性等级 从低到高排序说明
适用场景:自动驾驶导航与全局规划模块、规控系统功能安全合规参考
标准依据:ISO 26262《道路车辆功能安全》国际标准
一、安全等级完整排序(从低到高)
安全要求严苛度、认证难度、风险管控要求逐级递增,完整排序如下:
QM(质量管理)等级
ASIL A 等级
ASIL B 等级
ASIL C 等级
ASIL D 等级
术语说明:
二、各等级详细定义与核心要求
1. QM(质量管理)等级
安全定位:最低等级,无汽车功能安全相关强制要求
核心定义:功能失效不会引发人身伤害相关的安全风险,无需满足 ISO 26262 的专项功能安全管控要求,仅需遵循汽车行业常规质量管理体系(如 IATF 16949)即可
核心要求:仅常规质量管控,无功能安全专项开发、验证、冗余设计强制要求
典型应用:车载娱乐系统、车内氛围灯、非安全相关车机功能、座椅加热等纯舒适性配置;当前可解释性不足的端到端规控大模型仅能达到该等级
2. ASIL A 等级
安全定位:入门级功能安全等级,安全要求最低的 ASIL 等级
核心定义:功能失效仅会造成极低程度的安全风险,需满足 ISO 26262 基础功能安全管控要求
核心要求:需遵循标准基础安全开发流程,无强制硬件故障量化度量要求,核心聚焦基础故障告警与全流程质量管控
典型应用:后雾灯、普通车内照明、天窗 / 车窗基础控制、非安全相关车身辅助模块
3. ASIL B 等级
安全定位:中低级功能安全等级,自动驾驶导航与全局规划模块的目标合规等级
核心定义:功能失效可能造成中等程度的安全风险,需满足明确的全生命周期功能安全管控要求
核心要求:
典型应用:车道偏离预警 (LDW)、ACC 自适应巡航基础模块、制动灯 / 转向灯控制、倒车影像系统、自动驾驶全局规划模块
4. ASIL C 等级
安全定位:中高级功能安全等级,安全要求与认证难度较 ASIL B 大幅提升
核心定义:功能失效可能造成较高程度的安全风险,需满足严苛的功能安全管控与冗余设计要求
核心要求:
严苛的全生命周期安全开发流程管控、双重安全监控机制
硬件随机失效量化指标:单点故障度量 (SPFM)≥97%,潜伏故障度量 (LFM)≥80%
高覆盖率故障诊断设计,对软件架构独立性、测试覆盖度有明确高要求
典型应用:AEB 自动紧急制动执行模块、电子稳定程序 (ESP/ESC)、电动助力转向 (EPS) 核心模块、高阶自动驾驶横向 / 纵向控制核心模块
5. ASIL D 等级
安全定位:汽车领域最高等级功能安全等级,安全要求最严苛、认证成本与难度最高
核心定义:功能失效会造成极高程度的致命安全风险,需满足 ISO 26262 最顶级的全生命周期安全管控要求
核心要求:
典型应用:线控制动 / 线控转向核心安全模块、ABS 防抱死制动系统、安全气囊 ECU、自动驾驶安全冗余监控模块、整车动力系统安全核心控制器
三、自动驾驶规控场景合规关键提示
若系统整体需满足 ASIL B 等级要求,其核心安全相关子模块、硬件、软件均需满足对应等级要求
仅达到 QM 等级的端到端规控大模型,无法承接任何安全目标,必须配套独立的、满足 ASIL B 及以上等级的安全冗余模块
安全冗余模块需实现对大模型输出的实时监控、异常检测、故障降级与最小风险策略执行,规避功能失效带来的安全风险
预期功能安全(SOTIF)总结
一、核心定义与标准定位
预期功能安全(Safety of the Intended Functionality, SOTIF)是道路车辆智能驾驶系统安全的核心体系,对应国际标准ISO 21448:2022《道路车辆 预期功能安全》,国内对应国标GB/T 43267-2023《道路车辆 预期功能安全》。
其标准定义为:不存在因预期功能的功能不足导致的危害行为所产生的不合理风险。核心解决系统无硬件 / 软件故障时,因功能设计局限、性能缺陷、场景覆盖不全、可预见用户误用引发的安全风险,是 ISO 26262 功能安全体系的关键补充,与 ISO 26262(功能安全)、ISO/SAE 21434(网络安全)共同构成汽车电子电气系统安全的三大核心支柱。
二、核心术语与基础概念
| 核心术语 | 定义与说明 |
|---|
| 功能不足 | 功能规范不完整或性能缺陷,即便系统无故障,也可能在特定场景下触发危害行为,是 SOTIF 的核心管控对象。典型场景:感知算法雨雾 / 逆光下识别失效、决策逻辑对复杂路口的处理缺陷 |
| 触发条件 | 能够激活功能不足、导致系统进入危险状态的特定场景、环境或工况,是 SOTIF 分析与测试的核心抓手。典型场景:暴雨天气、车道线模糊、异形障碍物、驾驶员可预见误用 |
| 运行设计域(ODD) | 系统设计的安全运行边界,涵盖环境、地理、天气、道路、车速等维度的限定条件,是 SOTIF 风险管控的基础 |
| 可预见的误用 | 用户对系统功能的非预期、但合理可预见的使用行为,如 L2 级辅助驾驶中驾驶员脱手、分心驾驶等 |
三、SOTIF 四大场景区域模型(核心逻辑)
标准通过已知 / 未知、安全 / 不安全两个核心维度,将系统运行场景划分为四大区域,构成 SOTIF 方法论的核心框架:
区域 1:已知安全场景
系统行为明确,且在该场景下表现安全,是系统设计与验证的基础,核心目标是通过正向设计持续扩大该区域。
区域 2:已知不安全场景
已明确系统在该场景下会出现不安全行为,是 SOTIF 首要处理对象,需通过功能优化、ODD 限制、安全降级等措施,消除风险或将其降低至可接受水平。
区域 3:未知不安全场景
尚未识别,但实际存在且会触发系统危害行为的场景,是 SOTIF 的核心挑战与工作焦点。需通过场景挖掘、海量仿真、实车路测、大数据分析等手段,将其转化为区域 2 后完成风险管控。
区域 4:未知安全场景
未被识别,但系统可安全应对的场景,是系统鲁棒性的核心体现,随技术成熟度提升逐步扩大。
四、全生命周期开发流程
SOTIF 采用 V 模型全生命周期管控,核心流程与标准章节对应如下:
1. 规范定义与设计阶段(标准第 5 章)
2. 危害识别与风险评估阶段(标准第 6 章)
3. 功能不足与触发条件识别阶段(标准第 7 章)
4. 安全措施制定与系统优化阶段(标准第 8 章)
5. 验证与确认(V&V)阶段(标准第 9-11 章,SOTIF 核心环节)
已知不安全场景验证:通过 SIL 仿真、HIL 台架、实车场地测试,覆盖所有已识别的触发条件与场景,验证风险控制措施的有效性,确保区域 2 风险降至可接受水平。
未知不安全场景确认:通过海量开放道路测试、大数据驱动的场景泛化、模糊测试、在环仿真等手段,主动挖掘未知边缘场景,量化评估残余风险,持续缩小区域 3 范围。
核心输出:验证计划、测试报告、场景覆盖度报告、残余风险评估报告。
6. 发布评估与运行阶段(标准第 12-13 章)
发布评估:基于全流程 SOTIF 活动成果,评审完整性与有效性,判定产品是否满足发布条件(接受 / 有条件接受 / 拒绝)。
运行阶段监控:建立全生命周期闭环机制,实时监控车辆运行中的 SOTIF 相关事件(近碰撞、非预期接管、识别失效案例等),同步更新行业事故数据与场景库,完成设计迭代与风险持续优化。
核心输出:SOTIF 发布评估报告、运行监控方案、问题闭环管理流程。
五、与 ISO 26262(功能安全)的核心区别
| 对比维度 | ISO 26262(功能安全) | ISO 21448(SOTIF 预期功能安全) |
|---|
| 核心关注对象 | 系统故障引发的风险(硬件随机失效、软件系统性故障) | 系统无故障时,功能不足、性能局限、可预见误用引发的风险 |
| 核心目标 | 确保系统 “故障时仍安全”(Fail-Safe),避免故障导致的不合理风险 | 确保系统 “无故障时也安全”(Safe without Failure),避免功能局限导致的不合理风险 |
| 风险来源 | 硬件损坏、软件 Bug、系统性设计错误导致的失效 | 感知局限、算法逻辑不足、场景覆盖不全、用户可预见误用 |
| 核心分析方法 | HARA、FMEA、FTA 等故障分析方法 | 场景分析、触发条件识别、海量仿真与路测的场景挖掘 |
| 风险评估体系 | 基于严重度 (S)、暴露率 (E)、可控性 (C) 划分 ASIL 等级 | 基于严重度 (S)、可控性 (C) 定义量化风险可接受准则,无 ASIL 等级 |
| 验证核心 | 故障注入测试,验证故障下安全机制的有效性 | 场景覆盖度测试,挖掘未知边缘场景,量化残余风险 |
| 核心适用场景 | 整车所有电子电气系统(BMS、底盘、车身控制器等) | 高度依赖环境感知、复杂算法的 ADAS / 自动驾驶系统(L1-L5) |
六、适用范围与排除边界
适用范围
道路车辆上依赖环境感知、复杂算法实现的电子电气系统,尤其聚焦 L1-L5 级驾驶自动化系统、自动紧急制动(AEB)等紧急干预系统;
覆盖系统概念、开发、生产、运行、维护的全生命周期;
特别适用于机器学习 / 人工智能驱动的智能驾驶系统,解决算法黑盒、场景泛化不足带来的安全风险。
排除边界
七、核心目标与行业价值
核心目标:通过系统化全流程管控,持续扩大已知安全场景,消除 / 降低已知不安全场景风险,最小化未知不安全场景范围,最终将自动驾驶系统的残余风险降低至社会可接受水平。
10个月宝宝每天需要喝多少奶粉?
