原文来自于Apollo阿波罗智能驾驶

1 功能安全是什么

无人车主要分为两大块，一块是 络安全，另一块就是功能安全。

• 络安全主要是指驾驶软件信息不被黑客窃取。
• 功能安全是指通过冗余、多样性手段构建功能安全子系统，极大限度召回软硬件故障，使得损害风险降低到可接受的水平。

2 功能安全如何做

面对挑战，Apollo 从两个方面出发：

• 从全局看，落实 ISO 26262，搭建安全流程，系统地分析解决系统风险点；
• 从局部看，建立无人驾驶安全子系统，召回软硬件故障，建立安全防线。

3 功能安全子系统

下图为功能安全的主系统思路。Apollo 把自动驾驶主系统比作一个人，感知是感官，决策是大脑，控制是手和脚。当驾驶员遇到突发状况而面临安全风险时，系统会根据情况做故障检测和故障处理。

故障处理分为五种处理方式：

第一个是警告，不是特别严重；

第二个是减速，当系统延迟比较大的时候，会相应地做降速行驶；

第三个是停车，比如传感器失效，就需要紧急停车；

第四个是靠边停车，不过是否能够靠边停车是由它发生的故障决定，比如感知系统失效就不能进行靠边停车；

第五个是继续行驶，当系统容灾能力比较强时，可以切换到备份系统继续行驶。

熔断机制 & 碰撞检测

在杨凯介绍功能安全的熔断机制时，他说道：“在没有功能安全的时候，系统需要把感知发给规划，规划再发给行动，进而行动再控制车辆。功能安全在规划后加入一层安全，保障系统的容灾能力。”

图所示，右面是碰撞检测，绿色区域是规划距离，也就是正常的车在规划过程中会与行车保持一个安全距离，而这个安全距离要远于功能安全的检测距离。红色区域是安全检测的碰撞区域，比如上图的公式，参考 mobileye RSS。

另外在碰撞检测中，冗余方面，除了传感器的冗余（激光雷达、双目、超声波），还实现了感知算法的多样性，提升碰撞检测的召回率和稳定性。