SAE ：L4级自动驾驶系统的架构

芝能科技出品

《Safe Automated Driving: Requirements and Architectures》这份报告以SAE L4级高速公路领航辅助（HWP）为参考用例，剖析自动驾驶系统架构的系统需求、设计原则及候选架构的特性与评估标准。

读完这份报告以后，还是很有价值的。通过对单通道、对称及非对称架构的系统性分析，揭示其在功能安全（FuSa）、预期功能安全（SOTIF）、可用性及可扩展性等方面的表现。

非对称架构在复杂场景下的容错性与安全性优势显著，为架构选型及技术优化提供科学依据，我们结合软硬件实现考量与前沿技术趋势，展望自动驾驶架构的未来发展方向。

备注：本文围绕架构分析来写的，和车企目前使用的架构有很大的差异。

01

自动驾驶系统架构

的基础要素剖析

以SAE L4级高速公路领航辅助（HWP）作为分析用例，代表2025-2028年间具备商业化前景的自动驾驶技术。

HWP涵盖复杂驾驶任务，包括车道保持（U1）、自动变道（U2）、交通拥堵应对（U3）及最高130km/h的车速支持（U6）。

◎操作设计域（ODD）明确，激活需满足驾驶员手动触发（U8）及系统状态检查，停用或干预请求则通过UI系统实现，确保人机交互的安全性与可靠性。

◎自动驾驶智能（ADI）系统作为核心计算单元，与传感器系统、执行器系统、用户界面（UI）系统及诊断系统协同工作。

◎传感器系统通过多模态感知（雷达、激光雷达、摄像头等）提供高精度、实时环境数据，需具备冗余设计以应对单点故障。

◎执行器系统负责执行ADI的控制指令（如转向、制动、加速），要求低延迟与高可靠性。

◎UI系统支持驾驶员与系统的交互，提供状态反馈与干预入口。

◎诊断系统实时监控各子系统状态，生成故障日志以支持故障检测与恢复。这些子系统共同构成自动驾驶生态，其架构设计直接决定了系统的性能与安全性。

● ADI系统的技术需求涵盖多维度性能指标。

◎输出需满足及时性（S1），确保决策与控制指令在毫秒级内完成，避免因延迟导致碰撞风险；◎可用性（S2）要求系统在部分故障下仍能维持安全运行，例如在传感器失效时通过冗余通道保持基本功能；◎正确性（S3）与一致性（S4）确保指令符合预期逻辑，避免错误决策；◎此外，感知故障检测（S5）与系统诊断（S6）功能通过实时监控与日志分析，快速识别并隔离故障，防止故障扩散。

● 设计架构时需正视技术局限并遵循科学原则，局限性包括：

◎大型复杂系统中软件设计缺陷难以完全消除（G1），如百万行代码中隐藏的逻辑错误；

◎硬件受单事件干扰（G2）影响，如电磁干扰或宇宙射线导致的位翻转；

◎高安全性系统无法仅通过仿真与测试验证（G3），需结合形式化验证与冗余设计。

● 为此，设计原则强调：

◎故障隔离单元（FCUs，D1）：通过模块化设计将功能分配至独立单元，限制故障影响范围。◎多样性与冗余（D3）：采用异构硬件与算法（如不同供应商的传感器或AI模型）提高容错能力。◎简化交互（D5）：减少子系统间不必要的通信，降低复杂交互引发的不可预测行为。◎瑞士奶酪模型（D6）：通过多层防御机制（如感知、决策、执行的独立校验）降低风险穿透概率。

这些原则为架构设计提供了理论基础，确保系统在动态、不可预测的高速公路场景中维持高可靠性和安全性。

02

候选架构的全面分析与评估

自动驾驶系统架构可分为单通道、对称及非对称三大类，每类在功能实现、容错机制与适用场景上各有侧重。