高精度定位的功能安全、预期功能安全及完好性

1、功能安全
功能安全（Functional Safety）是一个系统或设备整体安全的组成部分。当系统出现功能性故障或失效时，将进入安全的可控模式，从而避免造成人员伤亡。
比如：用于GNSS组合惯导系统中IMU传感器由于老化或者硬件失效导致输出的横向加速度异常跳变或者卡滞，软件安全机制需要能够检测出异常跳变或者卡滞，然后禁止使用异常IMU的加速度信号，通过其他冗余的传感器和算法来保证安全的高精度定位信号输出。此安全机制的检测，异常故障剔除和安全响应即为功能安全的范畴。
所以当系统内部的电子电器异常情况发生时，功能安全可以最大限度规避人员伤害，相当于工作时的最后一道“安全”防线。而这道防线的判定标准即国际标准ISO 26262。
2、预期功能安全？
全面实现L3自动驾驶的过程令系统复杂性不断提高， 新的问题层出不穷——在复杂的应用场景中，如何应对传感器及算法的性能局限，避免事故发生？“人-机”职责切换时，驾乘人员的误用甚至滥用怎么办？现有的功能安全标准“仅处理故障带来风险”已无法解决一切安全问题。
对于自动驾驶系统，即使没有任何硬件部件的失效，算法也没有任何软件的bug，也会因为ODD范围内各种Conner Case而触发系统的功能不能满足边界条件进而导致误判，从而发生安全事故。
针对这种非故障模式下的新难题，行业内已经完成相应的国际标准的FDIS版，预期功能安全标准（ISO 21448）。对于这些问题，就需要按照ISO 21448预期功能安全来进行设计、分析、开发，测试验证和最终的风险评估和放行。
预期功能安全是指降低由于系统的预期功能不足（设计不足或性能局限）或可预见的人员误操作导致的不可接受风险，适用的电子系统为安全功能受外部环境影响的功能，来自于传感器和处理算法。
比如：GNSS组合惯导系统在异常的环境场景下会产生 False Negative(即输出异常的定位结果，但是系统没有检测出来，没有告警信息)， False Negative的定位输出会导致车辆在领航辅助驾驶过程中发生车辆换错车道，故障停靠的过程中停错车道，ODD发送错误等，会给生命安全带来重大风险。对GNSS需要考虑的异常环境比如有电离层活跃导致的改正数异常，多路径效应导致的原始观测数据异常，GNSS欺骗干扰等，针对这些异常环境下定位算法的优化配合完好性监控的优化来保证False Negative足够低到可接受的风险范围内。针对异常环境场景下，通过算法的迭代优化和完好性监控来做到实时提供安全的定位结果，并且杜绝False Negative的产生。这属于预期功能安全的范畴，当然对于人机共驾HMI界面，预期功能安全还需要考虑误用。
功能安全和预期功能安全的区别是什么？
功能安全在于解决系统内的随机失效和系统性失效引起的危害，造成安全事故，包括硬件故障、软件故障，而系统功能正常时出现的危害不在功能安全考虑的范围内。由于使用传感器或算法的性能限制，驾驶人员对系统的误操作，预期功能安全旨在解决这一类问题。

￵{“emojiDesc”:"",“emojiUrl”:"",“hasSourceImage”:false,“hashCode”:37331275,“height”:280,“srcPath”:"/storage/emulated/0/Android/data/com.tencent.wework/files/imagecache/imagemsg2/f/fe7fd5d1ca0dcafe1ac088cce7ade461.0",“thumbPath”:"/storage/emulated/0/Android/data/com.tencent.wework/files/imagecache/imagemsg2/f/fe7fd5d1ca0dcafe1ac088cce7ade461.0",“width”:554}￰

​
合格的功能安全自动驾驶系统是可以在零部件(电子电器部件)发生失效的时候，能够进入安全可控的运行模式，从而可以保证安全风险达到系统可接受的水平；
合格的预期功能安全自动驾驶系统是控制由触发条件/误用导致的系统功能不足而产生的安全风险达到可接受的水平。比如之前某车型在使用领航辅助驾驶时，跟白色静止的半挂卡车相撞，导致驾驶员死亡，这种Corner Case 在领航辅助驾驶系统中是没有被识别出障碍物的。
4、L3级自动驾驶对功能安全和预期功能安全的要求
针对功能安全，L3 级自动驾驶系统需要安全目标达到ASIL D，这意味着整个系统的PMHF要在10-8/h之内，也就是整个自动驾驶系统在激活使用108 h，必须保证发生电子电器故障带来的安全危害小于1次。
预期功能安全对自动驾驶系统的可接受的风险，目前行业内主要参考French GAMAB的两个原则方法：
1） 参考该功能在目标市场的交通数据，如事故统计、交通分析，提炼出该功能在当前技术条件下的发生安全危害的失效率，对标该失效率来制定自动驾驶系统的可接受风险。但由于自动驾驶系统的复杂性，目前基本上没有可以对标统计的足够样本的事故数据，所以该方法实施较为困难；
2）参考已有类似的功能在市场上的可接受标准，比如常见的高级辅助驾驶类似功能，可以参考ISO 26262功能安全的风险等级进行制定，所以需要满足在ODD内尽可能穷尽所有已知的 Corner Case， 并且保证由于Corner Case触发的安全危害的失效率要在10-8/h之内。
以上对功能安全和预期功能安全的可接受标准要求是非常苛刻的，尤其是预期功能安全的可接受标准，需要不断优化迭代升级系统，解决已知的所有的Corner Case 才能达到最终的安全放行。
5、L3级自动驾驶定位系统对功能安全和预期功能安全的要求分解
定位系统为高阶自动驾驶系统提供行车当前位置和和状态信息，是实现高阶自动驾驶功能的关键路径，所以必须要满足分解下来的安全需求。
从功能安全维度来说，自动驾驶的定位系统需要满足ASILD的安全目标，而一般为了实现这么高的安全等级和非常低的安全风险，必须要设计两套独立冗余的安全定位系统来做安全分解。而基于GNSS的绝对定位和基于SLAM的相对定位正好是两套异构冗余的定位系统，所以从功能安全可接受风险维度，基于GNSS的绝对定位是必须要满足功能安全ASIL B的要求。
而从预期功能安全的维度出发，纯GNSS的绝对定位和基于SLAM的相对定位是天然互补的，基于SLAM的相对定位比较容易受外部光线反射、车道线模糊/丢失、雨雾等影响，而纯GNSS定位不受外部环境因素的影响，所以纯GNSS定位算法可以在SLAM定位算法能力不足/缺陷的触发场景下，进行安全的定位支撑，从而解决该安全风险。
纯GNSS高精度定位系统不仅要保证功能安全的符合性证明和安全风险控制在10-7/h，而且还需保证在高阶自动驾驶的ODD场景内，必须满足预期功能安全的符合性证明，并且也要保证安全风险控制在10-6/h。
6、定位系统中功能安全和预期功能安全的实现
GNSS高精度定位系统的功能安全主要通过硬件的安全设计和软件的安全监控响应来保证；预期功能安全主要通过算法的优化和完好性监控响应来保证系统能力范围内的安全定位输出，和系统功能不足范围外的安全警告。
到这里，“完好性”这个重要概念粉墨登场了——完好性确保预期功能安全。
完好性是对导航定位系统所提供的定位信息可信度的度量，导航系统的完好性还要保证当定位信息异常不能使用的时候，在指定时间内提供给用户报警信息。完好性包括三个指标：
① 完好性风险：即发生定位误差超限而没有及时告警的概率；
② 告警时间：从超限发生时刻起到准确通知到用户的时延；
③ 告警限值：是根据不同服务应用要求确定的门限值，一般与应用场景的安全需求关联。
而纯GNSS定位系统本身会受到电离层风暴、对流层异常、基准站干扰、终端接收机的多路径效应、GNSS欺骗干扰等 Corner Case的触发条件的干扰，从而导致错误的定位输出，所有这些基于各种Corner Case 的触发条件都需要通过完好性监控系统和算法来进行研判，确保在定位算法能力范围之外，可以及时提供报警信息给到自动驾驶系统，从而保证预期功能安全风险满足纯GNSS定位系统的完好性风险在10-6/h。