“残余风险接受准则10⁻⁴h”这行字,表面上像个统计题;但落到L3L4的车上,它会变成一把卡得死死的刀。你以为你在做算法,实际你在跟标准吵架:你得证明“系统没坏也可能做错”这件事,依然不会在16000小时里闹出安全相关事件。ISO那边还盯着硬件随机故障的 ≤10⁻⁸ 小时 和 SPFM ≥99%、LFM ≥90%。同一辆车里,硬件别出幺蛾子,算法别“看不见”,环境还得处处都能兜底。你说这是不是反常识?明明只是“看路”,为什么标准要把它当“赌命的工程项目”来验收?
你可能听过一句话:纯视觉行不行?标准有没有“明文禁止”?听起来很像辩论赛,答案也像法条:字面上没封死。但现实是一脚油门一脚刹车的差别你真要走到L3L4,ASIL D + 残余风险10⁻⁴h + SOTIF这三道绞索,会把纯视觉的合规成本和技术风险拉到你大概率不会选它做L3L4的程度。不是因为不能做,是因为你得用一整套“举证责任”去把自己绑牢。
附录D那套ASIL D框架,本质在考你什么?不绕弯子讲:它不是考你“会不会识别”,而是考你“会不会在关键时刻突然失效”,以及“你能不能在失效前把自己抓出来”。车不是游戏机,出错不是丢一条线索,是要撞人的。
在国标表D.1的整车危害里,最卡脖子的几项是ASIL D那几条:
1)非预期的侧向运动 → 碰撞 D。想象一下:方向盘莫名其妙打角度,车窜进对向车道。你不需要速度快,只需要“不该动的时候动了”。
2)非预期失去侧向运动控制 → 转向系统挂了,车不可控。不是“慢一点”,是“失控”。
4)非预期的主动减速能力丢失 → 碰撞 D。你以为刹车不行是小问题?在高速和盲区里,刹不住就是灾难。
5)非预期的加速 → 碰撞 D。油门信号 corruption,车自己加速这类错误最像“系统在演你”。
8)(L4时)非预期的丢失错误MRM → D。MRM这类“最小风险动作”失效,连安全靠边都做不到。L4不是“更稳一点”,是“出事时必须能兜底”。
然后再把它翻译成工程世界的“硬杠杆”。在ISO 26262体系里,ASIL D对应的随机硬件失效率目标大概是 ≤10⁻⁸ 小时,单点故障度量(SPFM)要求 ≥99% 诊断覆盖率,潜伏故障度量(LFM)≥ 90%。
白话一句:你不能让任何一个随机硬件故障让车失控撞人,而且你得能检测到、覆盖到。你要做的不只是“修复”,是“让错不敢发生、发生也要立刻被揪出来”。
再看另一条更刺耳的:残余风险。
D.2.3.2.3注释里写了:残余风险接受准则 10⁻⁴h,确认目标定义为16000小时运行无安全相关事件 → 有80%置信度认为系统符合。
注意那种“精微差别”,很容易被人拿去偷换概念。
- 10⁻⁸h 是硬件随机故障层面的定量目标。
- 10⁻⁴h 是系统层面的残余风险。它不只包含“设备坏了”,还包含SOTIF的那类:器件没坏,但算法就是没认出来、判错了,或者输入本身不可靠。
这就是标准最狠的地方:它不让你只做功能安全,还要你面对SOTIF预期功能安全。听起来绕,换成生活比喻就是:你不能只证明“灯泡没坏”,还得证明“对方冲过来的时候,你的眼睛不会因为光线问题突然瞎掉”。而纯视觉,恰恰最常在“光线、纹理、天气、反射、遮挡”这种问题上被追问。
为什么“激光雷达 + 视觉 + 毫米波雷达”在工程上几乎像默认答案?别急着归因为“国标写了要”。现实是:这三套传感器的物理原理互相不太“连带”,失效模式也更容易拆开证明。标准喜欢看“共因失效(CCF)降低”,你要给审核员的是“独立失效证据”,不是“我觉得应该不会”。
把它说得更直一点:三种物理通道,三种“塌房方式”。
- 摄像头是被动光学→2D图像→靠AI推深度、推语义。它很强:读标志、辨灯色、辨人,识别能力上限高。
但它的典型塌房场景也直白:逆光过曝、黑夜、暴雨水幕、雾、脏污导致图像信噪比崩塌比如白卡车融进蓝天,或者你以为那是车结果画面被糊成了噪声。
- 毫米波雷达是主动电磁波→多普勒测距测速。它几乎不负责“语义颜色形状”,但它负责“前方有没有、距离多远、相对速度是多少”。优点是全天候,雨雾灰尘它照样能回波。典型问题则更偏工程:低反射率小目标漏检、垂直分辨率有限、会出现鬼影(多径等)。
- 激光雷达是主动激光ToF→直接3D点云。它有几何优势,但缺少纹理语义;极端浓雾大雪会衰减,比视觉好但也不是万能。某些材质吸光、成本与寿命也会进入讨论范围。
更关键是它们“坏的理由互不传染”。
摄像头被泥污糊住,毫米波和激光雷达不跟着一起瞎。
毫米波被金属护栏多径干扰,摄像头的光学成像不会因为电磁多径一起崩。
激光雷达窗口脏了,毫米波电磁波不care那层污渍。
在功能安全术语里这叫降低共因失效(CCF)。你在做的是让“单一物理原因导致整个感知链路共同失效”的概率变低。你用不同物理原理做备份,审核时就更容易讲通“我真的覆盖了独立失效”。
回到ASIL D的核心诉求:你不能有一个“单点失效”让感知归零。
D.2.4.2.4提到的可选安全措施里,给的方向很直接:
(a) 独立系统冗余(两个一样也可以,但要讲清楚代价与覆盖方式)
(b) 多样性(异构)系统设计不同原理传感器互为备份。
那么问题来了:纯视觉如果想走(a)那条路,要过的不是“工程难度”,而是“证明难度”。你得拿出可验证材料:
1)摄像头A挂了之后,摄像头BCD剩余感知能力仍然满足覆盖角、最小探测距离等最低要求。
2)更要命的是共因失效。所有摄像头的共因失效怎么覆盖?不是“一个CMOS坏了”,而是系统性:泥污、冰霜、逆光、暴雨水幕。你靠训练数据“多看几种图”当然能提高识别概率,但标准要的是定量的残余风险封口这不是一句“我们加了数据”就能盖住的。
3)你还得证明不存在“隐藏的系统性失效模式”让整套感知静默宕机。静默宕机这四个字很要命。因为很多事故里真正危险的不是“显而易见的坏”,而是你以为在正常工作、其实已经偏航到不可控。
这些都绕不开D.2.3(SOTIF)和安全档案里的举证方式:你要用仿真、场地、道路试验去把边缘场景覆盖起来。并且每次OTA都得重跑,这笔账谁都躲不开。说白了,纯视觉要付出的不是算力钱,是“举证责任钱”。
那毫米波雷达为什么几乎是“保底底线”?
就算你不带激光雷达,很多量产方案仍然保留毫米波雷达。原因很简单:它不依赖AI推理、不依赖光照纹理。它给的是纯电磁波反射→多普勒频移的直接物理量:前方80米有东西,还是相对速度-15ms那类“硬信息”。
你可以想成:视觉像是会读书的学生,雨雾一大就会看不清字;毫米波像是老师用手指在黑板上比划“那里确实有个东西”,虽然不懂它是什么,但它不会因为暴雨就彻底失聪。
当视觉在暴雨里变成噪点丛林,毫米波的回波通常不会归零。这就是fail-operational意义上最便宜的异构备份。
纯视觉到底“能不能”做到?
诚实话分两层:理论上能,实践上极难;审核上风险高到会让人犹豫。
对比一下现实维度:
- 随机硬件故障(ISO 26262)这块:多摄像头+锁步SoC+超强诊断覆盖率+电源通信冗余,工程上确实能做出来,覆盖路线相对清晰。你可以把“硬件坏了怎么办”变成可计算的防线。
- 共因失效环境退化(SOTIF)这块:才是主战场。暴雨、逆光、脏污、非标障碍物(没有纹理的白墙、白卡车这种)都是系统性的弱点。它不是“多训练几个epoch”就能彻底闭合的风险,因为你要证明残余风险 10⁻⁴h。这是一种“边界外的统计算账”。数据能帮你降低出错率,但标准要的是你关门的方式足够可靠。
- 安全档案的举证成本:你得跑 16000小时 运行确认目标,或者用仿真等价物覆盖全部边缘场景。每次OTA还要重跑。把这笔账算完,加颗毫米波激光雷达往往更便宜。不是因为传感器更聪明,而是因为它能让你更容易证明“残余风险真的被压住了”。
- 审核员的心理和行业惯例:当审核方看到“全光学通道单一物理介质”,天然会追问CCF论证。你可以答,但你要付出的工作量通常比你预想的多。因为他们在等你证明“覆盖了所有系统性退化”,不是等你讲“你们视觉团队很努力”。
再补一刀:特斯拉之所以敢走纯视觉路线,有一个现实背景它名义上更多在L2阶段运作,责任框架在法律层面仍然依附于“驾驶员监督”。一旦你要做L3,责任从人转移到系统,你要处理的那层“单一物理感知介质”的论证负担就会指数级上升。不是技术变了,是责任变了。责任变了,你就得让证据跟上。
所以别被“标准字面上没封死”带偏了。你真正要面对的是:附录D的ASIL D + 残余风险10⁻⁴h + SOTIF的三重要求,会把纯视觉的过关代价变得极高不是因为条文在禁止你,而是因为审核逻辑在逼你用物理本身给出答案。你行你举证,但举证的门槛就是物理:光线、纹理、天气、遮挡、污渍这些“共同原因”会不会让整个感知链路一起失明?
那问题来了:既然标准要求你把残余风险压到 10⁻⁴h、还要把硬件随机故障压到 ≤10⁻⁸ 小时,你凭什么相信“纯视觉”能在暴雨逆光脏污这种系统性退化里,永远比它们更聪明?还是说,只要没撞上,你就把“概率”当成了“确定性”?
全部评论 (0)