12.3 · 2026年7月 ADS架构与空间感知安全风险执行包
精美HTML阅读版 · 保留完整内容 · 主题化辅助图
2026年7月ADS架构与空间感知安全风险执行包
辅助图:ADS安全链路
Sensors
→
Perception
→
Fusion
→
Risk/TTC
→
Decision
→
Monitor
→
Actuator
→
HMI/Log
辅助图:PV / BEV / Occupancy
PV
看到了什么:语义丰富,但距离和遮挡风险明显。
BEV
它在哪里:适合规划控制,但依赖标定和同步。
Occupancy
空间是否可通行:适合未知障碍,但需表达不确定性。
1. 本月定位
本文件是 12-2026年度双轨学习与能力建设计划书.md 中“2026年7月计划”的具体实现。
7月主题:
ADS系统架构 + PV/BEV/Occupancy安全风险。
6月已经围绕AEB建立了功能安全基础,包括 Item Definition、Hazard、Hazardous Event、HARA、Safety Goal、FSC、TSC 和 SG-FSR-TSR 追踪。
7月要解决的问题是:
这些安全目标和安全需求到底落在ADS系统架构的哪些环节?AI感知错误如何传播到规划、控制、执行器和HMI?PV、BEV、Occupancy这些空间感知表达方式分别有什么安全风险?
本月目标不是训练感知模型,也不是实现BEV算法,而是建立安全负责人需要的系统架构理解能力。
2. 本月应达到的能力
7月底应具备:
- 能画出AEB从传感器到制动执行的基本链路。
- 能解释感知、融合、风险判断、制动请求、执行器、HMI、诊断之间的关系。
- 能说明PV、BEV、Occupancy分别是什么、用于哪里、有哪些安全风险。
- 能解释感知错误如何传播为规划错误、控制错误和执行风险。
- 能把6月的
Safety Goal / FSR / TSR映射到ADS架构模块。 - 能初步将ADS架构方法迁移到机器人感知-规划-控制-执行链路。
3. 本月交付物清单
| 编号 | 交付物 | 目标 |
|---|---|---|
| M07-01 | AEB感知-决策-制动链路图 | 理解AEB系统链路 |
| M07-02 | ADS架构模块与安全风险表 | 建立系统架构安全视角 |
| M07-03 | PV-BEV-Occupancy安全影响说明 | 理解空间感知表达风险 |
| M07-04 | BEV错误到规划控制风险传播说明 | 理解风险传播路径 |
| M07-05 | AEB Safety Goal到架构模块映射表 | 将6月成果落到架构 |
| M07-06 | ADS架构与机器人架构对比表 | 支撑机器人/具身智能副线 |
| M07-07 | 7月验收问答 | 检查是否真正理解 |
4. ADS系统架构总览
4.1 ADS是什么
ADS 是 Automated Driving System,自动驾驶系统。
从安全分析角度,ADS不是一个单独模块,而是一条从环境感知到车辆执行的链路。
典型链路如下:
flowchart LR
sensors["Sensors<br/>Camera/Radar/Lidar/IMU/GNSS"] --> perception["Perception<br/>Object/Lane/Free Space"]
perception --> fusion["Fusion<br/>Tracking/Consistency"]
fusion --> localization["Localization<br/>Position/Map"]
fusion --> prediction["Prediction<br/>Target Behavior"]
localization --> planning["Planning<br/>Path/Trajectory"]
prediction --> planning
planning --> control["Control<br/>Lateral/Longitudinal"]
control --> actuators["Actuators<br/>Brake/Steering/Powertrain"]
control --> hmi["HMI<br/>Warning/Takeover/Status"]
sensors --> diagnosis["Diagnostics<br/>Health/Degradation"]
diagnosis --> hmi
diagnosis --> planning
对于AEB而言,链路可以简化为:
flowchart LR
sensors["Camera/Radar/Lidar"] --> perception["Target Detection"]
perception --> fusion["Target Fusion & Tracking"]
fusion --> risk["Collision Risk<br/>TTC/Distance/Relative Speed"]
risk --> decision["AEB Decision"]
decision --> monitor["Independent Monitor"]
monitor --> brake["Brake Request"]
brake --> esc["ESC/Brake System"]
decision --> hmi["Warning/HMI"]
monitor --> log["Event Logging"]
一句话理解:
AEB不是“感知模型发现障碍物就刹车”,而是传感器、感知、融合、风险评估、制动决策、独立监控、执行器、HMI和诊断共同构成的安全链路。
4.2 ADS主要模块
| 模块 | 作用 | 常见输入 | 常见输出 | 安全关注点 |
|---|---|---|---|---|
| 传感器 | 获取外部环境和车辆状态 | 图像、点云、雷达目标、IMU、车速 | 原始数据或初级目标 | 遮挡、污染、失准、冻结、丢帧、时间戳错误 |
| 感知 | 识别车辆、行人、车道、障碍物 | 传感器数据 | 目标、车道线、语义、可行驶区域 | 漏检、误检、分类错误、位置误差 |
| 融合 | 多传感器目标合并和跟踪 | 相机目标、雷达目标、激光雷达目标 | 融合目标、轨迹、置信度 | 目标关联错误、重复目标、目标丢失 |
| 定位 | 确定自车位置 | GNSS、IMU、轮速、地图 | 自车位姿 | 定位漂移、地图错误、坐标系错误 |
| 预测 | 预测其他交通参与者行为 | 融合目标、历史轨迹 | 目标未来轨迹 | 行为预测错误、cut-in预测不足 |
| 规划 | 生成路径或轨迹 | 目标、地图、车道、ODD | 期望路径/轨迹 | 错误避障、轨迹不可行、过于激进 |
| 控制 | 将轨迹转成控制命令 | 目标轨迹、车辆状态 | 转向/制动/加速请求 | 控制超限、延迟、振荡 |
| 执行器 | 执行控制命令 | 制动、转向、动力请求 | 车辆运动 | 执行失败、响应迟滞、超调 |
| HMI | 向驾驶员提示状态和风险 | 功能状态、故障、接管请求 | 声音/视觉/触觉提示 | 提示不清、误信任、接管不足 |
| 诊断 | 监控系统健康状态 | 传感器、通信、模块状态 | 故障、降级、DTC | 故障漏诊断、误诊断、降级不及时 |
5. AEB系统链路
5.1 AEB输入
AEB通常需要以下输入:
| 输入 | 来源 | 安全关注点 |
|---|---|---|
| 前方目标 | 摄像头/雷达/激光雷达 | 漏检、误检、分类错误 |
| 目标距离 | 感知/融合 | 距离误差会影响TTC |
| 相对速度 | 雷达/融合 | 相对速度错误会导致触发过早或过晚 |
| 目标类别 | 感知模型 | 行人/车辆/两轮车分类错误影响风险策略 |
| 目标置信度 | 感知模型 | 置信度不可靠会影响决策 |
| 自车速度 | 车辆信号 | 速度错误影响制动距离判断 |
| 横摆率/方向盘角 | 车辆信号 | 用于判断自车路径相关目标 |
| 制动踏板 | 底盘信号 | 判断驾驶员是否已响应 |
| 油门踏板 | 底盘信号 | 判断驾驶员意图 |
| AEB功能状态 | 状态机 | 决定功能是否可用 |
5.2 AEB输出
| 输出 | 接收方 | 安全关注点 |
|---|---|---|
| FCW预警请求 | HMI | 提示是否及时、清晰 |
| AEB制动请求 | 制动系统/ESC | 是否合理、限幅、及时 |
| 目标减速度 | 制动执行器 | 是否过大、过小、jerk是否过高 |
| 功能降级状态 | HMI/诊断 | 是否及时提示驾驶员 |
| 故障状态 | 诊断系统 | 是否记录和闭环 |
| 事件记录 | 数据记录模块 | 是否支持复盘和证据链 |
5.3 AEB风险传播路径
路径一:感知漏检 -> AEB漏触发
flowchart LR
miss["Pedestrian missed by perception"] --> fusion["No valid target in fusion"]
fusion --> risk["Collision risk not calculated"]
risk --> decision["AEB does not trigger"]
decision --> collision["Collision or late braking"]
安全解释:
- 感知漏检对应
FN / False Negative。 - 如果没有其他传感器或监控机制补偿,AEB可能完全不触发。
- 这会进入HARA中的“前方真实目标存在,AEB未触发或触发过晚”危险事件。
路径二:感知误检 -> AEB误触发
flowchart LR
fp["Shadow/reflection detected as obstacle"] --> fusion["False fused target"]
fusion --> risk["TTC appears dangerous"]
risk --> decision["AEB triggers braking"]
decision --> rear["Rear-end or passenger injury risk"]
安全解释:
- 感知误检对应
FP / False Positive。 - 如果没有目标持续性、TTC合理性、多传感器一致性和独立监控,可能导致误制动。
路径三:距离/速度估计错误 -> 触发时机错误
flowchart LR
error["Distance/relative speed error"] --> ttc["Wrong TTC"]
ttc --> trigger["Trigger too early or too late"]
trigger --> risk["False braking or insufficient braking"]
安全解释:
- 即使目标被正确检测,如果距离或相对速度错误,AEB仍可能触发过早或过晚。
- 所以AEB不仅需要分类正确,还需要空间位置、速度和时间同步可靠。
路径四:制动请求错误 -> 执行风险
flowchart LR
decision["AEB decision"] --> request["Brake request"]
request --> limiter["Limiter/Monitor missing or failed"]
limiter --> brake["Excessive braking"]
brake --> risk["Instability/rear-end/passenger discomfort"]
安全解释:
- 即使感知正确,错误制动请求也可能引入新风险。
- 因此需要制动请求限幅、jerk限制、持续时间限制和独立监控。
路径五:降级未提示 -> 驾驶员误信任
flowchart LR
sensor["Sensor degraded"] --> diag["Diagnostic detects or misses degradation"]
diag --> hmi["No clear HMI warning"]
hmi --> driver["Driver believes AEB is available"]
driver --> risk["Delayed manual response"]
安全解释:
- 这是交互安全问题。
- 功能不可用、降级、退出或ODD边界条件必须通过HMI清晰提示。
6. PV、BEV、Occupancy是什么
6.1 PV,Perspective View
PV 是 Perspective View,即相机透视视角。
它接近人眼或相机看到的原始图像视角。
示例:
- 前视相机看到前方车辆、行人、车道线。
- 环视相机看到车辆周围环境。
- 目标检测模型在图像上输出2D框。
PV的优点:
- 接近原始感知输入。
- 适合图像特征提取。
- 对语义信息较友好,例如识别车辆、行人、标志牌、车道线。
PV的安全风险:
- 远距离目标像素小,容易漏检。
- 透视关系导致距离估计困难。
- 遮挡和重叠目标难以判断。
- 强光、雨雾、夜间、反光会影响图像质量。
- 多相机之间视角和标定误差会影响融合。
安全追问:
- 相机标定是否可靠?
- 图像质量异常如何检测?
- 夜间、逆光、雨雾是否单独验证?
- PV检测结果如何转入3D空间或BEV空间?
- 距离估计是否有雷达或其他传感器校验?
6.2 BEV,Bird's Eye View
BEV 是 Bird's Eye View,即鸟瞰视角。
它把周围环境转换到俯视坐标系中,更接近规划和控制需要的空间表达。
BEV常用于:
- 多摄像头融合。
- 目标位置表达。
- 可行驶区域识别。
- 轨迹预测。
- 规划避障。
- Occupancy表达。
BEV的优点:
- 适合表达目标相对自车的位置。
- 适合规划和控制使用。
- 便于融合多传感器、多相机信息。
- 对路径、障碍物、车道和可行驶区域更直观。
BEV的安全风险:
- PV到BEV转换依赖标定和深度估计。
- 标定错误会导致目标位置偏移。
- 时间同步错误会导致动态目标位置错误。
- 遮挡区域可能被错误表达为可通行。
- BEV中的小位置误差可能导致规划错误。
安全追问:
- BEV坐标误差如何评估?
- 多相机外参标定是否有监控?
- 动态目标时间同步如何保证?
- 遮挡和未知区域如何表达?
- BEV不确定性是否传递给规划?
6.3 Occupancy
Occupancy 表示空间是否被占用。
相比传统目标框,Occupancy更关注:
- 某个空间格子是否有障碍物。
- 某个区域是否可通行。
- 是否存在未知或不规则障碍物。
Occupancy常用于:
- 自动驾驶可通行空间判断。
- 低矮障碍物识别。
- 不规则物体表达。
- 机器人避障。
- 人形机器人周围空间理解。
Occupancy的优点:
- 不依赖目标类别一定被识别出来。
- 可以表达不规则障碍物。
- 对未知物体和可行驶空间有价值。
- 更适合机器人和自动驾驶的避障场景。
Occupancy的安全风险:
- 低矮障碍物、透明物体、悬空物体可能被漏掉。
- 未知区域如果被错误认为可通行,会导致碰撞。
- 占用空间误差会影响路径规划。
- 动态物体占用变化如果更新不及时,会导致规划滞后。
安全追问:
- 未知空间如何表达?
- 不确定性是否传递给规划?
- 可通行区域是否过度乐观?
- 低矮、透明、反光物体是否专项测试?
- Occupancy失败时是否降级或保守规划?
7. PV、BEV、Occupancy对比
| 维度 | PV | BEV | Occupancy |
|---|---|---|---|
| 全称 | Perspective View | Bird's Eye View | Occupancy Representation |
| 中文 | 透视视角 | 鸟瞰视角 | 空间占用表达 |
| 主要输入 | 相机图像 | 多相机/雷达/激光雷达/深度估计 | 多传感器或空间感知结果 |
| 主要用途 | 目标识别、语义理解 | 空间位置、路径规划 | 可通行空间、障碍物占用 |
| 优点 | 语义丰富 | 适合规划控制 | 适合未知障碍和空间安全 |
| 主要风险 | 距离估计、遮挡、光照 | 标定、同步、位置误差 | 未知空间、低矮/透明物体 |
| 安全关注 | 是否看见目标 | 目标在哪里 | 空间是否可通行 |
一句话理解:
PV关注“看到了什么”。BEV关注“它在自车周围哪里”。Occupancy关注“哪些空间被占用或不可通行”。
8. BEV错误如何传播为安全风险
8.1 目标位置偏移
场景:
BEV中前方车辆位置被估计得比真实位置更远。
风险传播:
flowchart LR
bev["BEV target position too far"] --> ttc["TTC overestimated"]
ttc --> aeb["AEB triggers late"]
aeb --> collision["Rear-end collision risk"]
安全影响:
- AEB认为碰撞风险较低。
- 制动触发延迟。
- 制动距离不足。
8.2 虚假占用
场景:
BEV中将路面反光错误表达为障碍物。
风险传播:
flowchart LR
false["False BEV obstacle"] --> plan["Planning avoids or brakes"]
plan --> control["Unnecessary braking/steering"]
control --> risk["Rear-end or instability risk"]
安全影响:
- AEB可能误触发。
- NOA可能异常绕行。
- 机器人可能误停。
8.3 遮挡区域过度乐观
场景:
BEV或Occupancy将遮挡区域错误表达为可通行。
风险传播:
flowchart LR
unknown["Occluded area treated as free"] --> plan["Planner chooses path"]
plan --> hidden["Hidden pedestrian appears"]
hidden --> risk["Late braking or collision"]
安全影响:
- 系统未对遮挡区域保持保守。
- 行人、两轮车、障碍物突然出现时反应不足。
8.4 时间同步错误
场景:
多摄像头或雷达数据时间戳不同步,导致动态目标在BEV中位置错误。
安全影响:
- 目标轨迹不稳定。
- TTC计算错误。
- AEB触发过早或过晚。
- 规划轨迹不合理。
9. AEB Safety Goal到架构模块映射
| Safety Goal | 相关架构模块 | 架构层安全机制 |
|---|---|---|
| AEB应及时识别碰撞风险并触发预警或制动 | 传感器、感知、融合、风险评估、AEB决策、制动执行 | 目标检测、融合跟踪、TTC计算、触发时机验证 |
| AEB不应在无合理碰撞风险时发出强制动请求 | 感知、融合、AEB决策、独立监控、制动请求管理 | 目标持续性检查、多传感器一致性、TTC合理性、监控器抑制 |
| AEB制动请求应受减速度、jerk、持续时间约束 | AEB决策、控制、制动执行 | 制动请求限幅、jerk限制、持续时间限制 |
| 关键传感器或感知链路不可用时应降级或提示 | 传感器、诊断、状态机、HMI | 传感器健康监控、故障诊断、降级策略、HMI提示 |
| AEB不可用、降级或退出时应提示驾驶员 | 状态机、HMI、诊断 | 功能状态显示、声音/视觉提示、事件记录 |
10. FSR/TSR到架构模块映射
| FSR/TSR | 架构模块 | 说明 |
|---|---|---|
| 输入信号应检查时间戳、有效位、更新周期和范围 | 传感器、通信、诊断 | 防止旧数据、冻结数据、异常值进入决策 |
| 摄像头、雷达目标应进行一致性检查 | 感知、融合 | 降低单传感器误检/漏检风险 |
| TTC计算应进行范围和跳变检查 | 风险评估模块 | 防止TTC异常导致误触发或漏触发 |
| 制动请求应由独立监控器检查 | AEB决策、监控器 | 防止单点错误导致误制动 |
| 制动请求应限制最大减速度、jerk和持续时间 | 控制、制动执行 | 防止过度制动引入新风险 |
| 关键故障应触发DTC、HMI提示和降级 | 诊断、HMI、状态机 | 支撑驾驶员理解功能状态 |
| AEB事件应记录时间、版本、输入和输出状态 | 数据记录、诊断 | 支撑问题复盘和Safety Case证据 |
11. 交互安全与HMI在架构中的位置
交互安全不是附属功能,而是ADS安全链路的一部分。
典型交互安全风险:
- 功能已经退出,但驾驶员以为仍可用。
- AEB不可用,但没有明显提示。
- 接管请求不清晰。
- 功能降级状态没有被驾驶员理解。
- 驾驶员对系统能力产生过度信任。
- 不同自动驾驶模式之间切换提示不清。
HMI应支持:
- 功能可用状态提示。
- 功能不可用提示。
- 降级提示。
- 故障提示。
- 接管请求。
- 风险预警。
- 驾驶员响应确认。
安全追问:
- 驾驶员是否能及时理解系统状态?
- 提示是否足够清晰?
- 声音、视觉、触觉是否组合使用?
- 接管请求是否有足够提前量?
- 功能退出后是否仍可能让驾驶员误信任?
12. ADS架构与机器人架构对比
| 智能驾驶ADS | 服务机器人/具身智能 | 安全迁移关系 |
|---|---|---|
| ODD | 机器人操作域 | 都定义系统可安全运行边界 |
| 相机/雷达/激光雷达 | RGB-D/激光雷达/深度相机/触觉传感器 | 都存在遮挡、污染、误检、漏检 |
| 感知 | 环境理解/物体识别/人体检测 | 都需要识别目标和可通行空间 |
| BEV/Occupancy | 局部地图/占用栅格/空间理解 | 都用于规划避障 |
| 规划 | 路径规划/任务规划 | 都可能因环境理解错误产生危险动作 |
| 控制 | 运动控制/机械臂控制 | 都需要限速、限力、限加速度 |
| 执行器 | 制动/转向/动力 | 轮式底盘/关节/机械臂 |
| HMI | 语音/屏幕/灯光/动作反馈 | 都需要向人表达状态和风险 |
| MRC/fallback | 停止、退回、安全姿态 | 都需要失败后的安全状态 |
一句话:
ADS和机器人都遵循“感知-理解-规划-控制-执行-交互”的安全链路,只是执行对象从车辆变成了机器人本体、轮式底盘或机械臂。
13. 代码视角:架构风险表的结构化管理
7月可以继续保持轻量代码实践。
目标不是写ADS软件,而是把架构风险结构化。
建议用CSV/YAML维护架构风险表:
| field | meaning |
|---|---|
| module | 模块名称 |
| input | 输入 |
| output | 输出 |
| failure_mode | 失效模式 |
| safety_effect | 安全后果 |
| detection | 检测方式 |
| mitigation | 缓解措施 |
| evidence | 证据 |
可检查规则:
- 每个关键模块是否至少有一个失效模式。
- 每个失效模式是否有安全后果。
- 每个安全后果是否有检测方式。
- 每个检测方式是否有缓解措施。
- 每个缓解措施是否有验证证据。
伪代码:
for row in architecture_risks:
assert row["module"]
assert row["failure_mode"]
assert row["safety_effect"]
assert row["detection"]
assert row["mitigation"]输出:
- 架构风险缺口清单。
- 缺少检测机制的失效模式。
- 缺少验证证据的缓解措施。
14. 7月实践任务
14.1 实践任务1:画出AEB系统链路
要求至少包含:
- 传感器。
- 感知。
- 融合。
- TTC/风险评估。
- AEB决策。
- 独立监控器。
- 制动请求。
- 制动执行。
- HMI。
- 诊断和事件记录。
14.2 实践任务2:完成ADS模块风险表
填写模板:
| 模块 | 失效模式 | 安全后果 | 检测方式 | 缓解措施 |
|---|---|---|---|---|
| 传感器 | ||||
| 感知 | ||||
| 融合 | ||||
| 风险评估 | ||||
| AEB决策 | ||||
| 制动执行 | ||||
| HMI |
14.3 实践任务3:写PV/BEV/Occupancy安全说明
要求:
- 每个概念用一句话解释。
- 每个概念列出至少3个安全风险。
- 每个概念列出至少3个安全追问。
14.4 实践任务4:完成AEB Safety Goal到架构映射
填写模板:
| Safety Goal | 架构模块 | 安全机制 | 验证方法 |
|---|---|---|---|
14.5 实践任务5:完成ADS与机器人架构对比
要求:
- 至少列出8组对应关系。
- 每组说明安全迁移逻辑。
- 重点关注感知、空间理解、规划、控制、执行和交互。
15. 常见错误
15.1 只懂模型,不懂系统链路
错误:
感知模型Recall提升,所以系统一定更安全。
正确:
感知只是链路一部分。还需要看融合、TTC、决策、监控、制动执行、HMI和诊断。
15.2 把BEV当成天然安全
错误:
BEV能看全局,所以更安全。
正确:
BEV依赖标定、深度估计、时间同步和数据覆盖。BEV错误会直接影响规划和控制。
15.3 忽略未知区域
错误:
没检测到障碍物,所以可通行。
正确:
未检测到不等于没有障碍物。遮挡和未知区域应保守处理。
15.4 忽略HMI和驾驶员理解
错误:
系统内部已经降级,所以安全。
正确:
如果驾驶员不知道系统降级,仍可能产生误信任和延迟接管风险。
16. 7月验收问答
16.1 ADS系统链路包括哪些主要模块?
回答:
典型ADS链路包括传感器、感知、融合、定位、预测、规划、控制、执行器、HMI和诊断。AEB可简化为传感器、目标检测、融合跟踪、TTC/风险评估、AEB决策、独立监控器、制动请求、制动执行、HMI和事件记录。
16.2 PV和BEV有什么区别?
回答:
PV是相机透视视角,接近原始图像,适合目标识别和语义理解;BEV是鸟瞰视角,把环境转换到俯视空间,更适合目标位置表达、规划和控制。PV关注“看到了什么”,BEV关注“它在自车周围哪里”。
16.3 BEV为什么不是天然安全?
回答:
BEV依赖相机标定、深度估计、多传感器融合和时间同步。标定错误、深度错误、动态目标时间不同步或遮挡区域表达错误,都可能导致目标位置偏移、虚假障碍或过度乐观的可通行区域,从而影响规划和控制。
16.4 Occupancy对安全有什么价值?
回答:
Occupancy关注空间是否被占用,能够表达未知物体、不规则障碍物和可通行区域。它对自动驾驶和机器人避障都有价值,尤其适合处理不容易分类的障碍物。但Occupancy也需要处理低矮、透明、悬空、动态物体和未知空间的不确定性。
16.5 感知错误如何传播到控制风险?
回答:
感知漏检会导致融合目标缺失,风险评估无法计算碰撞风险,AEB可能不触发;感知误检会生成虚假目标,TTC可能被错误计算为危险,AEB可能误制动;目标位置或速度估计错误会导致触发过早或过晚,最终影响制动执行和车辆安全。
16.6 HMI为什么是安全链路的一部分?
回答:
HMI负责向驾驶员表达功能状态、风险预警、降级、退出、故障和接管请求。如果提示不清晰或不及时,驾驶员可能误信任系统或延迟接管。因此HMI不仅是用户体验问题,也是交互安全问题。
16.7 ADS架构如何迁移到机器人安全?
回答:
ADS和机器人都遵循感知、理解、规划、控制、执行和交互的链路。ADS中的ODD可迁移为机器人操作域,BEV/Occupancy可迁移为机器人局部地图或占用栅格,MRC/fallback可迁移为机器人停止、退回或安全姿态,HMI可迁移为语音、屏幕、灯光或动作反馈。
17. 与6月成果的衔接
6月成果 | 7月用途
--- | ---
AEB Safety Goal | 映射到传感器、感知、融合、决策、执行、HMI模块
FSR | 确定功能层安全能力由哪个模块承担
TSR | 分配到具体技术机制,如输入检查、TTC检查、制动限幅
追踪矩阵 | 继续扩展到架构模块和验证证据
18. 与8月学习的衔接
8月会进入:
SOTIF、ODD、触发条件和机器人操作域。
7月成果将用于8月:
- ADS架构帮助判断触发条件影响哪个模块。
- PV/BEV/Occupancy风险帮助识别SOTIF功能不足。
- HMI和交互安全帮助分析驾驶员误信任、接管和功能退出风险。
- ADS与机器人架构对比帮助后续定义机器人操作域。
19. 7月底复盘模板
| 问题 | 复盘内容 |
|---|---|
| 是否能画出AEB系统链路? | |
| 是否能解释PV、BEV、Occupancy? | |
| 是否能说明BEV错误如何传播到规划控制? | |
| 是否能把Safety Goal映射到架构模块? | |
| 是否能解释HMI为什么是安全链路一部分? | |
| 是否完成ADS与机器人架构对比? | |
| 哪些架构模块还不熟? | |
| 8月学习SOTIF和ODD前还需要补什么? |
20. 本月最终验收标准
7月底应达到:
- 能画出AEB感知-决策-制动链路。
- 能解释ADS主要模块和安全风险。
- 能说清PV、BEV、Occupancy的区别和安全影响。
- 能解释BEV错误如何影响AEB、NOA或机器人避障。
- 能把AEB Safety Goal映射到架构模块。
- 能说清HMI、降级、退出和接管提示为什么属于安全问题。
- 能完成ADS架构与机器人架构对比。
一句话验收:
看到一个感知或空间理解错误,你能说明它如何沿ADS链路传播到规划、控制、执行器和HMI,并能提出检测、缓解和验证证据。
21. 端到端架构视角补充
端到端模型会弱化传统模块边界,但不会消除系统架构安全分析。
传统模块化ADS:
Sensor -> Perception -> Fusion -> Prediction -> Planning -> Control端到端ADS:
Sensor / History / Map / Navigation -> End-to-End Model -> Trajectory / Control表面上链路缩短了,但安全负责人仍需理解:
- 输入来自哪些传感器。
- 模型内部可能隐式学习了哪些空间表达。
- 输出是轨迹、控制还是高层动作。
- 输出是否经过独立安全检查。
- 执行器是否有约束和限幅。
- HMI是否能表达模型能力边界。
21.1 PV/BEV/Occupancy在端到端中的作用
端到端不代表没有PV、BEV、Occupancy。
它们可能变成:
- 模型内部隐式表征。
- 中间特征。
- 训练监督信号。
- 可解释性分析工具。
- 安全监控器输入。
安全追问:
- 模型是否显式或隐式使用BEV/Occupancy?
- 如果没有显式中间结果,如何解释空间理解错误?
- 是否有独立Occupancy或碰撞监控兜底?
- 输出轨迹是否与可通行空间一致?
21.2 端到端输出安全检查
端到端输出必须经过安全约束:
- 轨迹碰撞检查。
- 速度/加速度/jerk限制。
- 车道边界和道路边界检查。
- 与动态目标的时空冲突检查。
- ODD边界检查。
- fallback/MRC检查。
21.3 新增实践任务
将AEB链路改写为端到端安全链路:
Camera/Radar/History -> E2E Model -> Longitudinal Trajectory / Brake Intent -> Safety Monitor -> Brake System输出一张表:
| 环节 | 端到端视角 | 安全关注点 |
|---|---|---|
| 输入 | 多传感器和历史帧 | OOD、污染、时间同步 |
| 模型 | 端到端行为生成 | 泛化、长尾、不可解释 |
| 输出 | 轨迹/制动意图 | 是否碰撞、是否过激 |
| 监控 | 独立安全检查 | 轨迹合理性、限速、fallback |
| 执行 | 制动系统 | 限幅、响应、事件记录 |