L3自动驾驶中的“最小风险操作”功能安全概念详解
汽车自动驾驶技术自百年前诞生以来，一直致力于减少交通事故、减轻驾驶员负担、提升道路使用效率。然而，随着自动化水平的不断提升，汽车电子系统与软件的复杂性也日益加剧，这无疑对道路安全构成了新的挑战。有条件自动驾驶（L3）作为自动驾驶的初级阶段，允许自动驾驶系统在特定环境下独立完成动态驾驶任务（DDT）。但当系统面临极限挑战时，驾驶员需随时准备接管车辆控制。在某些紧急情况中，若驾驶员无法及时响应系统发出的后备接管请求，系统则应自动执行被称作“最小风险操作”（MRM）的安全措施。定义并实施这一关键功能的安全概念（FSC），对于保障L3自动驾驶的安全性至关重要。本文将深入探讨L3自动驾驶平台中MRM的概念、应用场景、触发条件及执行的各种DDT，同时剖析L3平台中的故障冗余与故障运行系统，并介绍操作设计域（ODD）、动态驾驶任务（DDT）以及对象与事件检测与响应（OEDR）等核心概念。最后，本文还将探讨功能安全系统级要求、MRM功能的高层次标准，以及高速公路巡航与自动变道辅助（ALCA）功能中的实际用例。

介绍

SAE L3级有条件自动驾驶的设计核心在于，在预定的操作设计域（ODD）内，执行包括对象与事件检测与响应（OEDR）在内的全方位动态驾驶任务（DDT）。然而，当自动驾驶条件不再满足时，驾驶员需保持高度警觉，随时准备接管车辆控制。不同于L2系统，L3系统通常提供更为充裕的接管时间，这得益于其独立/冗余的系统设计，确保在自动驾驶系统出现故障时，车辆仍能继续安全运行。

若驾驶员在规定时间内未能响应接管请求，L3自动驾驶系统将自动启动最小风险操作（MRM），通过执行安全措施，如将车辆停靠在路边或同一车道内，以最大程度地降低风险。为确保L3系统的安全性，开发过程中必须严格遵循ISO 26262的功能安全标准，以及ISO/PAS 21448的预期功能安全SOTIF指南。

ADAS功能概览

L3自动驾驶的核心功能之一是高速公路巡航/高速公路自驾系统。该系统依托摄像头、雷达、激光雷达等ADAS传感器融合技术，全面控制车辆在复杂环境中的运动状态，包括对周围环境的实时监控。此外，自动变道辅助系统（ALCA）也是L3级别的重要功能，它能在特定情况下，如车辆需在高速公路上匝道/下匝道等复杂路况下自动切换车道，而无需驾驶员干预。

同时，还有其他辅助驾驶功能，如BSD盲点探测系统、DMS驾驶员监控系统、ESA紧急转向辅助系统、AHB自动远光灯、AEB自动紧急制动以及LCA车道居中辅助等，它们虽不属于L3级别功能，但能为MRM功能提供有力支持，协助完成DDT和安全停车任务。

ADAS系统的冗余设计

在L3自动驾驶系统中，冗余概念至关重要。通过采用独立/冗余的系统设计，L3系统能在自动驾驶过程中持续监控自身状态和外部环境变化。一旦检测到任何潜在风险或故障，系统将立即启动相应的安全措施，确保车辆始终处于可控状态。这种冗余设计不仅提高了系统的可靠性，也为驾驶员提供了额外的安全保障。
为了确保在整个AD运行过程中能够顺利执行DDT，强烈推荐为Ego车辆配备冗余的车辆动态控制器，如制动、转向和ADAS控制器。这些控制器在设计时必须保持足够的独立性，以预防如冗余电源故障或轨迹规划传感器失效等常见问题。通常，这些冗余系统在大部分驾驶周期内都处于待命状态，仅在主控系统出现问题时才会启动。因此，第二个AD系统更宜被称作后备控制系统，它能在不降低自动驾驶功能（如变道操作）的前提下执行故障应对措施。然而，在最不利的情况下，例如多个传感器因损坏或环境因素而失效，自动驾驶系统应准备好执行降级操作或故障安全措施。通过为主控制系统提供主路径和次路径的冗余设计，可以独立规划和验证轨迹。若这两条路径因相同的输入故障而无法工作，后备系统将接管自动驾驶系统的运行，以确保最小风险条件（MRC）的实现。具有多样化冗余的自动驾驶系统结构如图1所示。

图1 L3 ADAS系统冗余概念
在L3自动驾驶系统中，SOTIF（Scenario-Oriented Threat and Influence Analysis，面向场景的威胁与影响分析）显得尤为重要。ISO 26262标准主要关注电子/电气系统故障时的安全，而未涵盖系统在特定环境条件下的潜在危险，或驾驶员误用功能时可能引发的问题。为此，ISO/PAS 21448标准应运而生，专门针对自动驾驶系统负责监控环境条件的场景进行规范。

SOTIF主要针对两类可能导致潜在危险的事件，即触发事件。第一类触发事件包括恶劣天气条件对传感器功能的限制，以及自动驾驶系统在紧急情况下进行轨迹规划时的算法局限。第二类触发事件则是可预见的驾驶员误操作，例如在车辆运行过程中手离方向盘或解开安全带/打开车门等行为。

在设计和实施L3及以上级别的AD系统时，必须同时考虑功能安全和SOTIF。MRM（最小风险条件）功能作为L3操作的关键部分，必须遵循ISO/PAS 21448中定义的SOTIF实践，以确保系统的安全性和可靠性。

MRM功能详解

最小风险操作（MRM）是L3自动驾驶系统中的一项关键功能。在驾驶员未能响应接管请求或车辆系统遭遇严重故障时，MRM将接管驾驶任务，确保车辆能够安全停止。

MRM功能会在一定时间内运行车辆，通常这个时间限制在一分钟左右，但具体时长可能因原始设备制造商的不同而有所差异。在此期间，MRM会依据现有资源和环境条件来操控车辆。一旦驾驶员在MRM运行过程中进行干预，该功能将立即停止并交还手动驾驶控制权。

AD自动驾驶系统由主路径和次路径组成，如图1所示。在MRM运行与不运行的状态下，辅助驾驶路径始终负责创建安全轨迹，并与主路径进行交叉验证。当MRM被激活时，次要路径轨迹将作为首选路径选择；若主路径仍在运行，则次要路径轨迹会与主路径进行交叉验证以确保安全。若整个主ECU系统发生故障，后备ECU将负责执行MRM操作并使车辆安全停驶。

MRM的触发条件通常包括AD模式结束、ODD退出或驾驶员未能响应接管请求等严重故障情况。此外，根据不同制造商的设计要求，还可能存在其他触发MRM的因素。

MRM功能分为两种Use Case：MRM触发条件和MRM运行。当驾驶员无法响应MRM接管请求时，会触发一系列主要或更高优先级的条件，如ODD退出、驾驶员使用不当/注意力不集中以及严重组件故障等。这些触发事件是MRM激活的常见原因。同时，根据制造商的设计要求，可能还存在其他触发MRM的事件。此外，不同类型/阶段的组件故障也会触发MRM功能，但具体细节未在此详细列出。MRM功能和运行可用性水平将根据组件故障的类型而有所不同。有关MRM类型的详细概述，请参见MRM运行章节。图2展示了MRM功能所涉及的触发事件流程图及如何针对不同类型事件进行警告更改的机制。

MRM潜在触发时机与运行流程图解
在自动驾驶系统（AD）驱动车辆时，MRM功能通常处于待命状态。AD系统有其特定的运行环境，即所谓的“操作设计域”（ODD），该区域由多种因素共同界定，如道路类型、车道可用性、道路标志、道路条件以及驾驶时间等。高清地图是确定AD驾驶区域的关键输入。当车辆接近ODD的出口时，AD系统会按照预设的不同阶段发出警告，以提醒驾驶员注意即将到来的变化。若驾驶员在规定时间内未作出响应，MRM功能将被自动激活，接管驾驶任务，确保车辆能够安全停驶。

此外，针对自动变速箱的风险量化，de Gelder等人提出了一种研究方法。他们参照ISO 26262标准，将风险建模为暴露程度、严重性和可控性概率分布预期值的乘积。在他们的案例研究中，暴露程度是通过真实世界数据估算的，而严重性和可控性的预期值则是通过模拟来得出的。尽管他们的研究未考虑ISO 21448中的触发条件及其发生概率，且情景等级的暴露可能与ADS系统紧密相关，但其建模和模拟方法仍为SOTIF的定量风险模型提供了有益的启示。

图3：在特定触发条件下启动MRM并实现安全停机的过程详解
在ODD（操作设计域）内，可能发生多种触发MRM（接管控制）的情况。其中之一便是驾驶员的误操作，如无视系统警告或进行不当驾驶行为。此时，驾驶员监控摄像头（DMS）将发挥作用，实时监控驾驶员状态，确保其专注于驾驶。若系统检测到驾驶员在AD（自动驾驶）模式下进行危险操作或分神，将立即发出警告并启动MRM，以保障行车安全。

此外，系统故障也可能触发MRM的介入。在ODD内，车辆以AD模式运行时，可能会遭遇如执行器、电源或传感器装置的故障。这些故障一旦发生，系统将自动判断并启动MRM，以应对潜在风险。

MRM的运行定义明确，旨在确保车辆在面临触发事件时能够安全停止。根据事件类型的不同，MRM的运行模式也会有所差异。大致上，MRM可分为两种类型：正常MRM和紧急MRM。正常MRM通常在系统确认无故障且ODD内未发现异常时激活，主要用于处理如ODD出口、驾驶员忽视警告或误操作等常见情况。而紧急MRM则是在面临紧急情况时启动，旨在迅速且安全地使车辆停止。
图3：在特定触发条件下启动MRM并实现安全停机的过程详解
在正常情况下，MRM的运行应当平稳无阻，确保车内人员在整个减速和变道过程中都能保持舒适。据相关规范，若不存在其他交通参与者或道路障碍物导致的紧急碰撞风险，正常MRM的最大减速限制设定为4 m/s²。无论起始速度如何，车辆的运行速度都应降至特定水平，通常推荐为xx kph（具体数值取决于制造商的规定）。同时，危险警告灯在MRM功能启动时将自动点亮，并在车辆安全停放后持续闪烁。

此外，正常MRM功能具有预设的时间限制，旨在确保车辆能够识别安全停车区域并顺利驶向路肩。若在功能操作期限内无法使用应急车道，车辆则应停在当前车道内。需注意，在同一车道内停车的定义因情况而异，以确保在停车过程中达到最低程度的安全风险。例如，在路口或盲弯处停车可能存在安全隐患，因此应避免在这些区域停车。总体而言，正常MRM功能会综合考虑各种条件，生成既安全又优化的轨迹规划，从而确保车辆能够平稳且安全地停止。

另一方面，紧急MRM的定义是在系统故障影响到传感装置或驾驶执行器的完全可用性时，为保障车辆安全而采取的紧急措施。可能触发紧急MRM的故障包括ESC系统故障、EPS系统故障、视觉系统或雷达系统故障等。值得注意的是，在某些严重的故障情况下，紧急MRM可能无法保证变道操作和平稳停车的安全性。
在侧向控制系统出现故障时，紧急MRM会启动，其最大减速度将超过4m/s²。然而，若制动系统出现问题，MRM功能将借助其他手段，如电动助力系统或自动驻车制动器，来进行纵向控制。这种情况下，减速水平可能会低于4m/s²，因为其他方式只能提供部分减速助力。当视觉或雷达系统发生故障，或环境条件如无车道/恶劣天气影响到传感器功能时，紧急MRM的性能可能会受到影响，此时将依据其他传感器数据进行融合决策。由于执行紧急MRM时系统或组件可能出现的故障，车辆不应变换车道，而应尽快在同一车道内安全停放。除非不具备在同一车道停车的条件，否则操作不应持续至整个时限。在这两种MRM状态下，若驾驶员尝试接管车辆，对车辆的控制将切换回手动模式。这一适用范围涵盖功能启动前及执行过程中的任何时刻。

MRM的功能安全分析

在车辆控制系统中，横向和纵向运动的控制功能一直面临着重大的安全挑战。为了确保这些功能在极端情况下仍能保持稳定性和可靠性，功能安全分析显得尤为重要。最小风险操作作为一项关键功能，不仅在车辆动力学上为驾驶员提供支持，还能自主控制整个驾驶决策过程。而ISO 26262系列标准则为功能安全的实施和管理提供了全面的指导和规范。

本章将深入探讨MRM在功能安全方面的某些关键工作，并解释其导出框架。其中，危害分析与风险评估（HARA）作为功能安全项目的核心活动，将受到特别关注。通过定量和定性分析不同条件，HARA决定着整个项目的汽车安全完整性级别（ASIL）。在进行分析前，必须对MRM功能的所有可能假设和限制进行全面定义。此外，SOTIF情景的考虑也不容忽视，因为它可能影响项目的定义和HARA分析的结果。

危害识别作为HARA流程的起点，通过对已知功能故障及其潜在危害的头脑风暴来进行。功能危害分析（FHA）是识别危害的一种常用方法，而选择适当的关键词对于确定危害的严重程度至关重要。同时，在定义功能时提出的假设也会对危害识别产生影响。因此，在进行FHA分析时，需要仔细考虑这些因素，以确保准确识别出潜在的危害。

最小风险操作的风险评估

通过功能危害分析（FHA）方法，我们识别出了在MRM操作过程中可能出现的各种潜在危险。为了进一步了解这些危险的强度，我们进行了详细的风险评估。风险评估的本质在于通过明确暴露度、严重度和可控性来对危险事件进行量化。在MRM的特定情境中，暴露度（E1-E4）是根据车辆的操作设计域（ODD）条件来界定的。由于MRM功能通常在执行驾驶操作时运行，且特定的地理围栏区域被确定为ODD，同时主AD系统负责大多数自动化驾驶任务，因此MRM功能的暴露度通常被评为“E2”。

接下来，我们将探讨ASIL的测定。

第二步是根据危险事件的后果来定义严重度（S1-S3）。在大多数情况下，由于MRM功能完全自动化，且在操作过程中不期望驾驶员干预，因此难以合理评估其可控度（C1-C3）。
在选择正确的S.E.C参数时，我们参考了ISO 26262第3部分的相关规定。同时，汽车安全完整性（ASIL）级别可以在提供的ASIL确定表中查找。

接下来，我们将通过两个示例来详细解释如何基于风险评估来确定MRM功能的ASIL级别。

示例危害1：车辆减速不足。在此情境中，MRM功能未能向执行器发出减速请求，导致即将发生碰撞时车辆无法及时减速。该危险事件发生在高速公路上，暴露度等级为E2，严重度等级为S3，且由于无人干预，可控性等级为C3。因此，该危害的ASIL级别为B。

示例危害2：过大的横向加速度。当MRM功能向执行器发出错误的转向加速度请求时，车辆可能尝试在不适当的时机变道，从而面临高速侧碰或后碰的风险。该危险事件的暴露度等级同样为E2，严重度等级为S3，且由于无人干预，可控性等级为C3。因此，该危害的ASIL级别同样为B。
在完成风险评估后，我们确定了MRM功能的最大ASIL等级为“ASIL B”。接下来，我们需要根据每个危害事件、ASIL等级和容错时间间隔来定义MRM功能的安全目标。这些安全目标将作为MRM功能开发的顶层要求，指导我们确保其安全性和可靠性。根据HARA过程的输出，我们确定了11个关键的安全目标，其中包括：

MRM功能不应非预期地或过高要求车辆进行减速，以避免可能的安全风险；
MRM功能不应要求提供过低的减速或无足够的减速时间，以确保车辆在紧急情况下能够及时响应；
在MRM功能启用期间，它应能够提供所需的转向输入请求，以支持车辆的稳定操控；
MRM功能不应要求提供超过特定时限的错误转向输入，以防止可能的失控情况；
MRM功能应在危险情况下及时启动危险警告灯，并确保在整个MRM阶段都保持其开启状态，以提高车辆的可识别性和安全性。

这些安全目标的明确定义，将有助于我们进一步开发和优化MRM功能，确保其在实际应用中能够满足高标准的安全要求。

MRM的功能安全概念

功能安全概念（FSC）是系统级的安全要求和相关信息的重要规范，它明确了架构要素及其必要的交互，以确保MRM功能的安全目标得以实现。FSC文档不仅勾勒出MRM功能的整体框架，还包括其安全架构、与其他系统组件的交互方式，以及系统级的安全机制和降级策略。通过这些详尽的描述，我们能够确保MRM功能始终处于安全状态。

在关联每个安全目标时，必须考虑一个或多个特定的功能安全要求（FSR），并确保这些要求与相同的ASIL等级相契合，从而满足安全完整性的要求。此外，对于那些具有相似目的的多余需求，我们可以依据ISO 26262中定义的ASIL分解原则，将它们合理分解为较低ASIL等级的需求，以更有效地实现安全目标。

为了确保安全目标的实现，首先需要构建一个初步的安全架构，其中包含功能和信号通信的概述（见图6）。这一步骤是定义功能安全要求（FSR）的基础。通过这样的初步活动，我们可以为后续的安全工作奠定坚实基础。

图6展示了最小风险操作的高层级接口架构。在这个架构中，MRM功能被设计为主控制器冗余AD路径的一部分。状态机负责启用和禁用该功能，同时将内部和外部故障信息传递给MRM。当ESC系统不进行制动时，动力系统输入变得尤为重要，而再生制动状态则为MRM提供了一个减速选项，以实现车辆的交替停止。此外，ESC系统还为MRM系统提供了诸如轮速、偏航率等车辆动态信号。值得注意的是，冗余路径虽然使用与主路径相同的传感器，但配备了不同的传感器融合单元。同时，MRM还接收了包括对象列表、道路模型等在内的多种信息。在轨迹验证方面，MRM轨迹与主路径之间存在交叉验证机制，反之亦然。最终，路径选择器将根据所有验证的轨迹选择出最安全的路径。

在MRM的状态定义方面，我们简化了其高层级状态，并如图7所示进行呈现。需要强调的是，在MRM功能出现故障时，预计降级系统将接管车辆的驾驶任务。

图7展示了MRM状态简化的示意图。在定义MRM的安全架构时，我们必须依据初步级别的性能要求来进行。首先，确定安全目标后，需要深入分析架构，并明确与安全相关的各个部件及其相应的ASIL等级。这种高层级的安全架构是定义具有合适ASIL等级的安全需求的必要基础，它不仅保障了系统级别的独立性，还为软件和硬件组件的开发提供了关键输入。

结合图8中定义的安全架构，我们可以看到，为了定义道路模型、自由空间检测以及车道信息等，需要融合目标列表和定位信息。同时，行为规划目标和障碍信息也被输入到轨迹规划器中，以生成安全轨迹。模式管理器则负责控制整体状态和通信。与辅助MRM路径相关联的所有模块都必须满足ASIL B的完整性要求。在主控制器自动驾驶时，该路径同样被划分为具有主AD路径（PAD系统）的ASILB（D）等级。综上所述，在车辆处于自动模式时，辅助路径会持续生成MRM轨迹，为主路径提供交叉验证轨迹，从而确保安全驾驶。值得注意的是，只有在触发条件满足时，系统才会使用MRM轨迹。

图8展示了MRM的高层级功能安全架构。MRM系统作为一个L3自动驾驶功能，不仅提供交叉轨迹验证，还具备额外的依赖性。为了确保系统安全，必须明确功能安全要求（FSR）和技术安全要求（TSR），或者将它们组合为“无上下文的安全元素（SEooC）”。同时，MRM函数本身也被视为开发范围的相关项。在图9和图10中，我们提供了关于FSR的示例需求，如过低的加速度情况下的处理措施。

图9展示了FSR的一个定义示例，即转向加速不正确的情况。同时，我们也提供了FSR的概览，以帮助读者更好地理解这一安全要求。

图10展示了FSR的另一个定义示例，即MRM安全分析。这种分析方法针对安全相关项的开发至关重要，旨在提供安全目标和安全要求真实性的有力证据，并确保所有安全故障都能得到妥善解决和适当的安全机制。通过MRM安全分析，我们可以有效识别依赖性故障和单点故障，并采取相应措施予以解决。同时，这一过程还有助于发现新的安全要求。值得注意的是，MRM是依据有条件自动驾驶平台开发的一个ASIL B功能。而表3则详细列出了ISO 26262指南中针对不同ASIL级别的项目所推荐执行的安全分析类型。
警告与降级概念

在功能安全领域，警告与降级概念占据着举足轻重的地位。一旦操纵原则出现失效或变更，系统必须及时向驾驶员或道路使用者发出警报。以L3系统为例，当驾驶员未能响应接管请求时，MRM功能将启动安全状态，执行预先在MRM操作中定义的故障操作或性能降级措施。若发生严重的MRM故障，系统应准备fail-safe响应，且该响应应与主控制器独立设计。此外，这些警告信息应在整个MRM操作过程中持续显示，以便在驾驶员尝试接管时发出警示。MRM还会启动危险警告灯，提醒其他交通参与者注意车辆的危险操作状态。一旦MRM功能确保车辆处于安全状态，它将解锁车门并启动紧急呼叫，以便为车辆乘客提供必要的医疗援助。

确认标准

为确保功能安全，需要提供充分证据来证明安全目标、标准和概念已得到妥善实现。这包括验证安全机制、FTTI验证以及系统间的独立性等要求。功能安全确认就是为此目的而设计的，它通过一系列的测试程序、测试用例和标准来评估系统的安全性。确认结果将被详细记录在安全案例中，成为生产状态释放的关键依据。在ISO 26262框架下，表4列出了针对MRM安全要求的确认方法及首选测试策略。

本章提供了一个故障注入测试条件作为确认示例。在试验环境中，车辆处于正常的MRM状态，以恒定速度60 kph在紧急车道附近的车道上行驶。当注入摄像头故障导致视觉系统完全失效时，测试驾驶员不得接管车辆。此时，正常的MRM应自动切换到紧急的MRM状态，车辆应以4 m/s/s的减速速度开始制动，并继续使用激光雷达和雷达输入进行操作。同时，MRM警告和危险警告灯应在整个减速阶段持续点亮。车辆应在规定时间内达到静止状态，并在停止后自动进行驻车制动。此后，应模拟紧急呼叫，开门并启动紧急呼叫功能。
总结
本文详细阐述了自动驾驶技术的核心概念，包括其部分已应用于当前汽车技术，而部分尚待未来实现。随着汽车自动化程度的提升，从L3车辆开始，整车自动化概念带来了更高的风险挑战，这要求我们更加重视功能安全和SOTIF方法的实施。

L3车辆在自动驾驶领域占据着举足轻重的地位，其涉及的功能繁多且关键。为了确保L3车辆的安全运行，冗余降级系统被引入，以提供额外的安全保障。同时，ADAS L3控制器作为自动驾驶系统的核心组件，其独立性要求和操作架构也是我们关注的重点。

在L3车辆中，ISO/PAS 21448 SOTIF标准发挥着至关重要的作用，它确保了车辆在关键情况和操作条件下的最低风险操作功能。而自动车辆系统中的最小风险操作功能，更是成为了保障驾驶安全的关键一环。其功能描述、架构概述以及触发条件的多样性，都为我们提供了深入理解其工作原理的机会。

此外，MRM功能作为自动驾驶系统中的一项重要功能，其定义和操作策略因不同车辆制造商而异。在了解MRM功能的基础上，我们进一步探讨了ISO 26262功能安全的概念，以及在自动车辆平台和MRM功能中的应用。通过HARA概念推导MRM函数，并进行功能失效分析和风险评估，我们得以更全面地理解MRM功能的安全要求。

下一章将更深入地探讨MRM功能的安全架构和系统要求，包括其高级通信结构、内部ADAS和外部ECU的交互，以及不同操作状态的定义。同时，我们也将明确警告和降级概念在MRM功能中的重要性，以确保其功能安全得到充分保障。
作为L3功能的重要组成部分，MRM警告概念在确保驾驶安全方面发挥着关键作用。本文简要阐述了功能激活前后以及实现不同安全状态时的MRM警告，如失效运行、失效降级和失效安全方法。此外，我们还概述了安全分析方法和验证标准，并探讨了MRM功能的一个示例测试用例场景及其预期的故障注入测试结果。

基于功能安全概念的深入推导和分析，我们建议MRM功能的开发可以基于ASIL B平台。只要该功能具备独立的二级路径、能够生成独立的轨迹，并支持主轨迹验证，那么它便能满足ASIL D ADAS自动驾驶平台的高标准要求。