TTTechAuto：故障可运行是实现L3/L4安全自动驾驶的关键

2025年9月10日，在第五届未来汽车AI计算大会上，TTTech Auto中国区总经理夏青青指出故障可运行是实现L3/L4安全智能辅助驾驶的关键。自L3级别起，智能辅助驾驶系统开始承担安全兜底功能，系统出现故障时不得立即失效，而是要维持安全运行直至抵达最小风险状态。L2系统的单通道架构缺乏冗余机制，无法满足L3、L4级别的安全要求，其难以通过持续优化来达到更高阶智能辅助驾驶的安全标准，存在技术瓶颈。

为此，多通道系统架构成为研究重点，其中三通道系统架构既能达成安全目标，又具备工程化落地条件且成本可控。该架构包含备用智能辅助驾驶系统、安全监控单元和安全决策逻辑单元等核心模块。TTTech Auto正通过形式化验证等方法保障系统安全，助力软件定义汽车未来发展。

夏青青｜TTech Auto中国区总经理

如何从L2级别平稳过渡至L3、L4级别，并确保此过程的安全性-这是近两至三年来备受行业关注的议题。对于L3、L4级别的智能辅助驾驶系统而言，“故障可运行”是保障其安全性的关键系统需求。首先，我们需思考:L3、L4级别的智能辅助驾驶系统，其安全性应达到何种标准？这既是主观判断的问题，也是客观评估的范畴，但无疑是我们必须直面并解决的。

其次，针对L2级别系统，我们已积累了丰富的ISO26262工程实践经验，大家对此均较为熟悉。然而，这些经验能否直接应用于L3、L4级别系统，以确保其安全性？这值得我们深入探究。

再者，有人认为，对现有L2系统进行充分测试，即可确保升级至L3、L4级别的安全性。但事实是否如此？L3、L4级别智能辅助驾驶系统所面临的复杂性与不确定性，远超L2级别，因此，仅凭测试恐难以全面保障其安全性。

SAE定义的智能辅助驾驶级别，从L1至L5。其中，L3级别开始，人类驾驶员的角色逐渐弱化，此乃L3、L4级别与L2级别的显著差异。

图源:演讲嘉宾素材

在L1、L2级别的智能辅助驾驶场景中，人类驾驶员需持续关注路况信息。即当辅助驾驶系统发生故障时，人类驾驶员必须即时接管车辆控制权，以履行整车安全兜底的职责。自L3级别起，智能辅助驾驶系统本身开始承担安全兜底功能。

在车辆正常行驶过程中，若L3及以上级别智能辅助驾驶系统出现故障，系统不得立即失效。根据L3级别定义，此时存在两种处理路径:一是由人类驾驶员接管车辆；二是由智能辅助驾驶系统将车辆引导至最小风险的安全状态。这一特性被定义为quot;故障可运行quot;，即系统在正常行驶期间发生故障时，仍需维持安全运行状态，直至车辆抵达最小风险的安全状态。

上述概念可能稍显抽象，现结合正在实施的L3级别项目进行说明。该项目采用状态流设计机制:当车辆在设计运行域内正常行驶且系统无故障时，维持常规运行状态；一旦系统检测到故障，将启动Fallback备用安全机制，此时可由人类驾驶员接管车辆控制。

然而，自L3级别起，人类驾驶员可于驾驶过程中从事非驾驶相关事务，其注意力可能处于分散状态。故而，当要求驾驶员重新进入驾驶状态并接管车辆时，必然需要一定的响应时间。在此情形下，系统需在客户所规定的10秒时限内持续保持安全运行，直至驾驶员完成接管。

当然，在某些特殊情况下，驾驶员可能因各种原因无法执行接管操作。此时，系统需承担最终安全保障责任，通过执行最小风险策略，将车辆平稳停驻于本车道或相邻车道，以确保整体系统的相对安全性。

上述内容构成了智能辅助驾驶系统安全性的高层级要求。那么在实际工程实践中，我们面临哪些具体安全挑战呢？首先需审视现有L2系统的架构特性:其采用单通道设计，即从环境感知、决策规划至执行控制的完整链路均为单一通道，缺乏冗余或备份机制。对于L2系统而言，此架构设计具有可行性，因为当系统出现异常时，人类驾驶员能够及时介入并接管车辆控制。

对于L3、L4级别的智能辅助驾驶系统，单通道架构显然无法满足其安全要求。以下列举若干典型情形予以说明:

若采用单通道系统，当硬件出现比特率翻转等故障时，将导致整个硬件系统失效，进而造成系统全面瘫痪。在此情况下，系统缺乏冗余设计以维持基本运行，无法实现故障可运行的安全特性。

就软件系统而言，鉴于其复杂度日益提升，完全消除软件缺陷在技术上不可实现。当此类缺陷在实车运行中引发严重故障时，单通道架构同样不具备故障容错能力。此外，尽管业界通过多种技术手段缓解长尾效应，但极端场景仍难以避免。单通道系统在应对此类非预期场景时，存在显著的功能局限。

首先，需明确L3、L4级别智能辅助驾驶系统应达到的安全标准。相关心理学研究指出，人类对自身失误的容忍度高于对机器失误的容忍度。因此，智能辅助驾驶系统若要获得社会认可，其安全性能必须显著优于人类驾驶员。

现以人类驾驶员的安全表现为基准进行量化分析。以公司总部所在的奥地利的官方数据为例:该国现有机动车500万辆，某年度共发生交通事故35,000起，造成人员伤亡500例。若设定智能辅助驾驶系统的安全指标为人类驾驶员的三倍，该倍数并非随意选取——尽管具体数值并非核心要素，但三倍标准可作为具有合理性的中间参考值。

基于上述安全目标，要验证智能辅助驾驶系统的安全性达到人类驾驶员三倍水平，需通过600万公里的实车测试，确保在该测试里程内未发生任何交通事故。这一测试里程的设定，与三倍安全系数的目标构成量化对应关系。

此外，若需证明智能辅助驾驶系统达到零人员伤亡的安全标准，所需验证的测试里程将高达4.2亿公里。这表明，单纯依靠实车测试来验证系统安全性，其工作量极为繁重，在工程实施层面几乎不具备可行性。

从现有技术架构的局限性来看，以单通道L2系统为例:根据特斯拉用户社区网站披露的数据，在最佳运行工况下，驾驶员平均每644英里(约1,032公里)需进行一次人工接管；而在城市道路等复杂场景中，接管频率显著上升。与前述600万公里的测试验证要求相比，现有L2系统的性能表现存在三个数量级的差距。

由此可见，若仅通过持续优化单通道L2系统来满足L3/L4级别的安全标准，将面临难以克服的技术瓶颈，其实现路径存在重大挑战。

鉴于单通道系统难以满足安全需求，自然会引发对其他技术路径的探讨:是否存在更具可行性的替代方案？在此背景下，多通道系统架构成为研究重点。具体而言，在L2级智能辅助驾驶中，人类驾驶员作为最终安全冗余；而针对L3/L4级系统，则需构建专门的安全保证子系统以承担系统托底功能。

关于安全保证子系统及多通道架构的研究，主流整车制造商与学术机构已开展广泛实践。TTTech Auto联合行业专家经过长期技术攻关，在专项研究报告中(全文近百页)系统论证了:单通道系统的技术局限性及其不可行性，同时对比分析了多通道系统各技术变种的实施路径。研究结论明确指出，三通道系统架构既能达成既定安全目标，又具备工程化落地条件，且商业化成本可控。该架构的核心优势之一在于可实现现有L2系统组件的大规模复用，从而优化技术迁移效率。

图源:演讲嘉宾素材

关于图中红色标注的三个核心模块，其功能定位与运行机制可规范表述如下:

右侧模块为备用智能辅助驾驶系统，承担系统级安全冗余功能。当主系统发生功能性失效时，该系统将依据最小风险策略(MRM)接管车辆控制，确保系统进入可控安全状态。

中央模块为安全监控单元，负责对主、备系统进行实时状态监测与异常检测。技术实现层面，行业推荐采用轨迹合规性校验作为核心监控指标——通过持续评估系统输出的规划轨迹是否满足安全约束条件(如碰撞避免、道路边界保持等)，实现系统运行状态的量化判断。当检测到轨迹输出异常时，监控单元将向安全决策模块发送切换请求。

上方模块为安全决策逻辑单元，负责执行系统切换裁决。当接收到监控单元的异常告警后，该模块将依据预设的仲裁规则(如故障严重等级、系统置信度评估等)启动主备切换流程，完成控制权移交。该架构的有效性依赖于两个关键设计原则:其一，主备系统需保持物理与逻辑层面的独立性，避免共因失效；其二，系统设计应体现功能多样性，例如主系统采用数据驱动型AI架构时，备用系统可选用基于规则的确定性模型，通过异构设计提升整体容错能力。

基于上述架构特性，当主系统遭遇超出其处理能力的异常工况时，备用系统可凭借其独立性及多样性设计，仍具备较高的故障处置成功率，从而满足L3/L4级智能辅助驾驶系统的功能安全要求。

关于多通道系统对测试里程要求的量化影响，可从功能安全分解的技术维度进行规范阐述:在单通道系统架构中，为满足三倍于人类驾驶员的安全性能验证需求，需完成600万公里的实车测试。而三通道冗余系统通过功能安全任务的模块化分解与系统级容错机制设计，可将测试里程需求降低两个数量级至6万公里。该优化效果源于多通道架构的异构冗余特性——当主系统发生功能性失效时，备用系统可独立维持基础安全功能，从而将系统级失效概率从单点故障模式转化为多通道协同容错模式。

从实证数据支撑角度，基于美国加州部分智能辅助驾驶企业公开的接管里程统计数据，其最优测试场景下已实现43,000公里无人工接管记录。尽管该数据反映的是特定工况下的系统表现，但结合6万公里的工程验证目标分析，三通道架构在技术可行性与商业化落地周期之间形成了有效平衡。该测试里程指标既符合功能安全国际标准(ISO 26262)对冗余系统验证的量化要求，又处于当前智能辅助驾驶技术发展水平的可达范围，具备工程化实施的现实基础与短期落地可行性。

关于L3/L4冗余架构的工程落地，需从硬件-软件协同设计层面构建系统级安全实现路径。针对冗余系统的核心安全目标，需重点满足这三项工程要求:其一，消除单点故障风险。其二，保障子系统的独立性。其三，满足系统级别的ASIL D功能安全等级，保证系统可用性。针对上述工程目标，需采用区别于传统ISO 26262方法的创新实现路径。值得补充的是，今年6月TTTech Auto正式完成与恩智浦半导体的战略整合——作为全球汽车半导体领域的技术领导者，恩智浦在车载计算、网络通信等硬件领域具有深厚积累，我们也希望结合之后可以更好的助力软件定义汽车未来的进程。

图源:演讲嘉宾素材

就TTTech Auto而言，我们的方案和服务保持不变。我们拥有软件产品MotionWise，今日主要介绍的是名为“safety service”的服务，即安全服务部分。今日的主题聚焦于L3、L4级别智能辅助驾驶，左侧内容为前文提及的三点极为重要的功能，即安全方面需要满足的要求。右侧则是我们提出的safety toolbox，包含供各方使用的工程落地方法及工具。

首先，针对单点故障，我们引入了形式化验证方法。实际上，ISO 26262标准中也提及了形式化验证，但在L2级别智能辅助驾驶中，该方法鲜少被提及与应用，因为彼时系统复杂度尚未达到需要采用形式化验证的程度。然而，在L3、L4级别智能辅助驾驶中，我们认为单点故障极为关键，必须予以避免。因此，形式化验证这种基于量化数学模型的方法，能够提供强有力的保障。

其次，关于DFA，有人可能会说在L2级别也进行DFA分析。但在L2级别中，DFA分析可能更多侧重于定性分析。而我们则引入了自身的方法，以实现定量分析。此外，定量分析中一个至关重要的问题是，如何判定系统间的独立性和多样性已达到足够水平。许多客户会询问，是否必须确保系统中的某个组件与其他组件完全不同。

其实，上述方法均非决定性或绝对的，因为若追求绝对冗余，成本将过高。因此，这些方法旨在提供一种分析途径，帮助大家明确哪些部分可做冗余设计，哪些部分无需冗余，从而降低整个系统的成本。此外，我们还引入了可用性分析，针对ASIL D等级，我们不仅考虑了硬件的故障率，还纳入了软件的故障率，以综合计算系统的整体故障率。

目前，我们国内有一个正在进行的L3级别智能辅助驾驶项目，该项目采用两个ECU，并且是MotionWise Schedule首次应用于L3级别系统，过去该方案多应用于L2级别，L3级别的应用确实较为少见。

总体而言，这些方法是在工程实践中能够快速落地、达成安全目标且成本可控的重要实践手段。

郑重声明：此文内容为本网站转载企业宣传资讯，目的在于传播更多信息，与本站立场无关。仅供读者参考，并请自行核实相关内容。