从车规级硬件到系统功能安全，什么是自动驾驶「量产门槛」

对于自动驾驶赛道来说，“量产”两个字并非简单的车队数量，背后是一致性、安全以及全生命周期的可控和可维护。

在汽车行业，一直以来，零部件供应商和汽车制造商都遵守各种不同的安全开发规范（比如，AEC-Q100车规级硬件，ISO26262功能安全等等），目的是确保整车、各个子系统以及基础组件的安全运行。

不过，由于自动驾驶（尤其是L4级及以上）一直处于研发测试及示范运营阶段，实际上全球范围都没有一个非常清晰的行业规范来约束企业的系统开发，从而保证安全机制的落实。

以中国市场为例，早前的智能网联汽车道路测试与示范应用，也基本上是以安全性自我声明为主要规范。其中，对于改装车辆要求是车型强制性检验报告，对于自动驾驶系统则是要求自动驾驶功能说明及其未降低车辆安全性能的证明。

但，这种混乱的状况，正在被打破。

按照去年发布的《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》，就明确提出加强自动驾驶功能产品安全管理，应满足功能安全、预期功能安全、网络安全等过程保障要求，避免车辆在设计运行条件内发生可预见且可预防的安全事故。

这意味着，从政策层面，对自动驾驶系统开发有了更多的约束性条件。同样的要求，也已经传导到全球市场。

今年4月初，现代汽车旗下自动驾驶公司Motional宣布，计划与认证机构合作，对即将推出的Robotaxi进行安全评估。按照计划，该公司的自动驾驶车队将于2023年开始无人驾驶服务运营。

而就在本周，重卡自动驾驶技术公司智加科技宣布连续获得全球权威的第三方认证机构UL颁发首个自动驾驶行业ISO26262功能安全认证（最高等级ASIL-D 级别要求）和TÜV南德颁发的首张货运自动驾驶行业ISO 9001质量管理体系认证。

最高等级的流程认证，意味着规模化生产前装量产自动驾驶重卡进入新的阶段。

硬件车规级，是第一步

几年前，有自动驾驶公司坦言，L4级自动驾驶的供应链还远未成熟，包括关键的一级组件，如制动、转向和车载计算单元。“专门定制自动驾驶车队的目的，就是为了提高可靠性。因为传统的改装模式，并不可靠。”

而随着一级供应商以及芯片厂商的进程加速，满足L4级自动驾驶的车规级硬件已经不再是一个难题，比如，英伟达的Orin车规级大算力平台已经进入量产周期。同样，激光雷达也已经进入前装量产周期。

今年3月，英伟达宣布包括元戎启行、文远知行、云骥智行在内的一批中国自动驾驶初创公司将加入DRIVE Hyperion生态，搭载按需定制的DRIVE Hyperion™ 8可编程平台架构，基于端到端解决方案来加速自动驾驶开发。

智加科技早在2018年就已经与英伟达进行合作，在2021年已经开始交付亚马逊至少1000套自动驾驶系统就搭载了NVIDIA DRIVE Xavier运算平台，并宣布将在其下一代量产自动驾驶重卡产品中使用英伟达车规级Orin计算平台，并计划于2022年在美国、中国和欧洲实现新一代系统的商业化部署。

在此之前，大部分L4级自动驾驶公司基于工业级或者没有在前装规模化量产的计算平台开发系统，主要目的是用于系统的原型验证和测试。如今，汽车级计算平台将是自动驾驶公司向市场投放满足车规级量产要求的关键。

此外，英伟达通过与索尼（摄像头）、大陆集团（4D毫米波雷达、长距雷达）、海拉（短距毫米波雷达）、法雷奥（超声波传感器）、Luminar（激光雷达）、U-Blox（GPS）、禾赛科技（真值系统）等多家厂商合作，提供完整的参考设计。

这其中的关键是车规级组件。众所周知，过去几年时间，大部分自动驾驶公司都采用的定制化感知组件来进行测试，这些部件都没有通过完整的车规级验证。

此外，考虑到英伟达Orin将从今年开始进入面向私人用户的前装乘用车市场，这意味着，计算平台的成本将有机会实现快速下降，这是解决L4级自动驾驶成本居高不下的及时雨。

“Orin在系统层面符合ISO 26262功能安全ASIL-D标准，这对自动驾驶等对安全要求十分严苛的应用场景十分重要。”截至目前，英伟达已经拿到的Orin、DRIVE Hyperion™等一系列软硬件方案的订单合同总计110亿美元，将在未来六年进行交付。

“这一进展标志着L4级解决方案在商业化方面又迈出了重要一步。”在行业人士看来，通过快速将自研算法集成到DRIVE Hyperion™，将大幅降低自动驾驶系统的车规级设计和验证成本。

以智加科技为例，该公司目前已经全面导入符合车规和功能安全要求的硬件，采用符合功能安全ASIL-D的AutoSAR架构基础软件，中间件和QNX安全操作系统。同时，在车辆线控执行器端，采用符合功能安全ASIL-D要求的双冗余EHPS和线控制动系统。

这意味着，自动驾驶公司与车企合作伙伴，可以共同定义和开发面向自动驾驶应用的车辆平台，并且实现自动驾驶系统正向开发与集成，提升整个产品的可靠性和安全性。

而自动驾驶系统的另一个关键成本模块——激光雷达，也在进入市场普及期。从汽车行业的前装应用来说，我们相信激光雷达的应用超出了大多数人的想象。以法雷奥为例，截止去年底已经量产交付了超过16万颗激光雷达。

按照计划，法雷奥即将在2024年推出的第三代激光雷达将全面支持L4级自动驾驶系统开发。而在中国市场，禾赛科技在上个月宣布与L4级自动驾驶公司文远知行WeRide合作升级，将推动车规级半固态激光雷达在自动驾驶场景的率先应用。

公开信息显示，这款名为AT128的车规级半固态激光雷达，将于今年下半年在禾赛科技规划年产能百万的“麦克斯韦”智造中心全面量产交付，并同时开始交付面向私人消费市场的乘用车前装。

系统安全是关键门槛

除了硬件层面的规范，软件及系统也是重中之重。

一直以来，大多数自动驾驶公司都会关注任何与安全相关的汽车行业标准，包括ISO 26262（功能安全）、ISO 21448（预期功能安全）和ANSI/UL 4600。“这是一家企业是否认真对待安全的关键，”业内人士表示。

以福特、大众投资的自动驾驶Argo AI为例，该公司在对外发布的安全报告中明确写道，“我们的系统工程方法是围绕两个关键的ISO标准构建，分别是ISO 26262和ISO 21448。”

从目前行业公认的逻辑，ISO 26262解决了基础的功能安全问题（可以完美对接整车的开发标准），而在L4级别自动驾驶系统层面，预期功能安全和系统级安全是额外的规范覆盖。

众所周知，针对自动驾驶系统，如何证明自动驾驶的安全性，行业内尚未形成一致认可的安全开发流程和标准，相关安全标准和法律法规正在讨论和制定过程中。但一些常见的问题，并非自动驾驶特有。

比如，干线物流货运通常货物运输线路较长，驾驶时间较长，容易造成因驾驶员疲劳驾驶、分神导致的安全事故；对于紧急突发情况和路面掉落障碍物等异常路况，可能由于驾驶员来不及反应或错误操作而产生安全事故。

这意味着，自动驾驶系统的如何清晰定义运行设计条件ODC和运行设计域ODD，以及如何设计和实施全面的测试覆盖，具有一定的挑战。对于极限运行条件边界，传感器、算法和决策的局限性，同样需要一套验证规范。

同时，车辆平台本身的局限性，如车辆平台是否面向自动驾驶设计，车辆线控性能的一致性和可靠性，也会影响到自动驾驶功能、性能和安全性。这意味着，自动驾驶公司必须在系统开发层面，遵守汽车行业的通用标准。

以智加科技的PlusDrive自动驾驶系统为例，这是一套基于全栈自研的L4自动驾驶协议栈，并且在去年实现有人监督的自动驾驶产品落地应用，同时已经通过国家法规要求的双预警、AEB紧急制动功能和盲区检测等相关测试。

从完整安全性角度来说，除了常见的软件单元测试、模块测试，SIL、HIL、VIL、封闭场地、公开道路测试和试运营测试，以及整车及零部件可靠耐久、环境适应性、道路适应性和法规相关测试，还需要加强产品功能安全，预期功能安全和信息安全分析、设计、开发和验证。

比如，PlusDrive系统实现在ODD（设计运行域）内的自动驾驶系统安全功能，并且实现功能降级和安全停车，以及针对潜在系统失效的MRM（Minimal Risk Maneuvers）最大程度降低安全风险；

背后还有非常关键的一环：推进软件开发过程设计质量管理体系建设。以智加科技已经通过的TÜV南德ISO 9001质量管理体系认证为例，目的是从产品设计、软件开发过程控制到测试、部署运营相关的质量管理体系的完善。

接下来，更多的自动驾驶安全规范还将陆续上线，这是对整个细分市场的一次洗牌，也是自动驾驶真正实现全面规范、大规模量产前的一次洗牌。

比如，英伟达在其安全报告中这样写道，“NVIDIA DRIVE 架构可以帮助汽车制造商、自动驾驶公司能够生产和部署符合ISO 26262、ISO/DIS 21448等国际安全标准以及各国市场要求的自动驾驶系统规范。”

就在今年4月，中国多个部委联合发布《关于试行汽车安全沙盒监管制度的通告》，共同启动汽车安全沙盒监管试点工作。对象是在车辆中使用的环境感知、智能决策、协同控制等前沿技术，或实现各级别自动驾驶、远程升级等新功能新模式。

目前，智加PlusDrive自动驾驶产品开发除了与ISO26262 ASIL-D开发流程有机结合，同时也在部署自动驾驶安全评估框架，ISO21448预期功能安全和ISO21434信息安全的一体化集成。

“如果你不能说出什么是安全，也不能解释为什么你认为系统实际上是安全的，那么你的系统很可能就是不安全的。”英特尔参与了IEEE P2846标准的制定，为自动驾驶汽车决策定义一个参数化的正式模型，基于离散数学和逻辑进行自动驾驶决策，适用于SAE 3-5级自动驾驶的规划和决策功能。

在一些行业人士看来，许多公司都在开发自动驾驶技术，问题是，只要行业参与者仍在用不同的方法来理解和评估安全，就会导致不断的新挑战和混乱，并且无法真正兑现所谓的商业模式。

“谈到安全标准，每个人都有不同的看法，但这是大方向。”目前，在全球范围主要是三种类型的安全标准，谁提前布局软件、系统的安全认证以及汽车级软件开发标准将开启第二轮竞赛。

一是目前量产车（辅助驾驶）在适用的硬件车规级、ISO26262（功能安全）、ISO 21448（SOTIF/预期功能安全），二是类似IEEE P2846（自动驾驶决策模块）、IEEE P2851（芯片的安全验证数据格式）、IEEE P1228（车辆全生命周期内的软件安全）等，三是类似UL 4600这样的商业化参考标准。