12.6 · 2026年10月 VLM/VLA与端到端模型安全执行包
精美HTML阅读版 · 保留完整内容 · 主题化辅助图
2026年10月VLM/VLA与端到端模型安全执行包
辅助图:VLM / VLA风险差异
VLM
看图和语言理解,错了可能说错、理解错。
VLA
视觉+语言+动作,错了可能直接动错,风险更高。
辅助图:端到端安全约束链
1. 本月定位
10月主题:
Transformer、ViT、VLM、VLA和端到端模型安全。
本月目标不是训练模型,而是理解这些模型如何改变智能驾驶和机器人安全论证。
核心问题:
当模型从“识别目标”走向“理解场景、生成轨迹、执行动作”时,安全风险如何变化?Safety Case如何跟上?
2. 本月目标
10月底应能做到:
- 解释Transformer、ViT、VLM、VLA的基本含义。
- 说明VLM和VLA的区别。
- 说明端到端模型为什么更难验证和认证。
- 识别VLA在机器人场景中的误理解、误执行、危险动作风险。
- 建立端到端模型Safety Case追问清单。
- 建立服务机器人歧义指令风险分析。
3. 核心概念
3.1 Transformer
Transformer核心是Attention机制,擅长处理序列、多模态和长距离依赖。
安全关注:
- 输入扰动是否导致输出不稳定。
- 注意力是否关注错误对象。
- 多模态冲突时如何决策。
- 是否存在幻觉或错误推理。
3.2 ViT
ViT是Vision Transformer,将图像切成patch后用Transformer处理。
安全关注:
- 小目标是否被patch粒度影响。
- 遮挡和复杂光照下是否退化。
- 视觉模型是否按高风险场景分层验证。
3.3 VLM
VLM是Vision-Language Model,视觉语言模型。
输入:
- 图像/视频。
- 文本问题或指令。
输出:
- 场景描述。
- 问答结果。
- 任务理解。
风险:
- 看错物体。
- 理解错场景。
- 产生幻觉解释。
- 把危险物体当普通物体。
3.4 VLA
VLA是Vision-Language-Action模型。
输入:
- 视觉。
- 语言。
- 机器人状态。
输出:
- 动作。
- 轨迹。
- 抓取。
- 任务步骤。
VLA比VLM更危险,因为它直接连接物理动作。
风险:
- 误解指令。
- 生成危险动作。
- 在人附近快速动作。
- 抓取危险物体。
- 真实环境变化后仍执行原动作。
4. VLM与VLA对比
| 维度 | VLM | VLA |
|---|---|---|
| 全称 | Vision-Language Model | Vision-Language-Action Model |
| 输出 | 文本、描述、理解结果 | 动作、轨迹、任务步骤 |
| 主要风险 | 看错、说错、理解错 | 看错后做错、理解错后执行危险动作 |
| 安全约束 | 拒答、置信度、人工确认 | 限速、限力、碰撞检测、急停、运行时监控 |
| 安全等级 | 影响认知判断 | 直接影响物理世界 |
一句话:
VLM错了可能说错,VLA错了可能动错。
5. 端到端模型安全
端到端模型尝试从传感器输入直接输出轨迹、控制或决策。
优点:
- 链路简化。
- 表达能力强。
- 减少手工规则。
风险:
- 中间过程不可解释。
- 安全需求难以分配。
- 故障根因难定位。
- 数据覆盖要求极高。
- Safety Case难度上升。
- 模型更新影响范围大。
6. 安全约束层
对于VLA和端到端模型,必须关注是否存在独立安全约束。
典型安全约束:
- 动作限速。
- 加速度/jerk限制。
- 力限制。
- 工作空间限制。
- 人机距离约束。
- 碰撞检测。
- 轨迹合理性检查。
- 不确定时停止。
- 人工确认。
- 急停。
安全追问:
- 模型输出是否直接进入执行器?
- 是否有独立监控器?
- 是否有规则约束层?
- 不确定时是否停止?
- 危险指令是否被拒绝?
7. 服务机器人歧义指令示例
场景:
用户对服务机器人说:“把那个东西拿过来。”
风险:
- “那个东西”指代不清。
- 机器人误识别物体。
- 机器人抓取危险物品。
- 机器人穿过人群执行任务。
- 用户意图和实际动作不一致。
安全要求:
- 指令歧义时请求确认。
- 危险物品不得自动抓取。
- 人机距离不足时暂停。
- 动作执行前做路径和碰撞检查。
- 记录指令、理解结果、动作结果。
8. 端到端模型Safety Case追问清单
| 问题 | 目的 |
|---|---|
| 安全需求如何分配? | 防止模型黑盒吞掉需求 |
| 中间状态是否可观测? | 支持问题定位 |
| 输出是否经过独立检查? | 防止危险动作直接执行 |
| 长尾场景如何覆盖? | 防止未知风险 |
| OOD如何识别? | 防止超域运行 |
| 模型更新如何验证? | 防止回归 |
| 是否有fallback? | 失败后进入安全状态 |
| Safety Case证据如何组织? | 支持认证和审计 |
9. 智驾端到端AEB/NOA安全追问
- 模型输出轨迹是否可解释?
- 输出轨迹是否经过交通规则检查?
- 是否有限速、限加速度、限jerk?
- 对cut-in、施工区、遮挡区是否专项验证?
- 是否有独立碰撞风险监控器?
- 是否保留传统安全兜底?
10. 机器人VLA安全追问
- 是否区分认知结果和动作执行?
- 是否有任务级安全规则?
- 是否有危险动作黑名单?
- 是否有人工确认机制?
- 是否有力/速度/空间限制?
- 是否有急停和安全姿态?
- 是否记录模型输入、输出和执行结果?
11. 实践任务
11.1 Transformer/ViT安全风险摘要
要求:
- 每个概念一句话解释。
- 每个概念列出至少3个安全风险。
11.2 VLM/VLA区别与安全影响说明
要求:
- 说明VLM和VLA区别。
- 说明为什么VLA更需要安全约束。
- 给出至少3个机器人场景例子。
11.3 服务机器人歧义指令风险分析
填写:
| 指令 | 歧义点 | 可能危险动作 | 安全策略 |
|---|---|---|---|
| 把那个东西拿过来 | 目标不明确 | 抓错物体 | 请求确认 |
11.4 端到端模型Safety Case追问清单
输出一份不少于20个问题的清单。
12. 验收问答
12.1 VLM和VLA有什么区别?
VLM主要输出理解或文本,VLA输出动作或任务执行结果。VLA直接影响物理世界,因此安全风险更高。
12.2 为什么端到端模型更难做Safety Case?
因为中间过程不可解释、安全需求难分配、故障根因难定位、数据覆盖要求高、模型更新影响范围大。
12.3 VLA为什么需要独立安全约束层?
因为VLA输出可能直接导致物理动作,必须通过限速、限力、碰撞检测、人机距离、人工确认和急停等机制拦截危险动作。
13. 本月最终验收标准
10月底应达到:
- 能解释Transformer、ViT、VLM、VLA。
- 能说明VLM和VLA的安全差异。
- 能分析端到端模型Safety Case难点。
- 能给出机器人VLA安全约束建议。
- 能完成服务机器人歧义指令风险分析。
一句话验收:
看到一个多模态或具身智能模型,你能判断它从感知、理解到动作的安全风险,并提出独立约束、验证和证据链要求。
14. 智驾端到端安全保证补强
10月是端到端安全的重点月份,需要将端到端从“模型概念”升级为“安全保证对象”。
14.1 端到端模型的安全对象
端到端安全分析关注的不只是模型结构,而是:
- 输入是否可靠。
- 输出轨迹是否安全。
- 行为是否符合ODD。
- 失败是否可检测。
- 风险是否可验证。
- 证据是否可审计。
14.2 端到端模型的不可接受行为
应建立不可接受行为清单:
- 对真实碰撞风险不减速。
- 无风险场景急刹。
- 轨迹穿越障碍物。
- 贴近行人或两轮车。
- 在ODD外继续自动驾驶。
- 施工区行为不符合预期。
- 输出过大加速度、减速度或jerk。
- 接管请求不及时。
14.3 运行时安全监控器
端到端系统建议保留独立安全监控器。
监控内容:
- 轨迹碰撞风险。
- TTC阈值。
- 与可通行空间一致性。
- 速度/加速度/jerk边界。
- 车道和道路边界。
- ODD/OOD状态。
- 驾驶员接管状态。
14.4 新增实践任务
输出:
端到端ADS不可接受行为清单。端到端输出轨迹安全检查清单。端到端模型运行时监控器需求草案。
验收:
能说明端到端模型不是“模型输出就执行”,而必须经过独立安全约束、行为验证和证据链管理。