- 自动驾驶汽车在动态不可预测环境中面临复杂安全挑战,**AI感知系统** 的可靠性难以保证
- 现有安全标准如**ISO 26262** 和**ISO/PAS 21448 (SOTIF)** 仅覆盖系统故障与已知场景,无法应对未知场景及系统降级需求
- 随着自动化等级提升,车辆需要具备**故障运行(fail-operational)** 能力,在部分失效或退化条件下持续安全运行
- 提出**Connected Dependability Cage** 架构,支持层级**故障运行(fail-operational)** 行为
- 集成**功能监控器(Function Monitor)**:通过**投票机制(voting mechanism)** 监督多个异构AI感知管线,检测预测结果的不一致性
- 集成**异常监控器(Anomaly Monitor)**:检测场景中可能未被训练集覆盖的**未知或新物体(unknown/novel objects)**,评估AI感知可靠性
- 当任一监控器触发安全标志时,启动自动数据记录过程,支持系统迭代开发;同时系统执行**优雅降级(graceful degradation)** 并过渡到**最小风险策略(minimal-risk maneuver)**
- **首次将功能监控与异常监控结合**:在同一框架内同时检测感知管线内部不一致性和外部未知异常,实现互补安全覆盖
- **层级故障运行设计**:从AI感知异常到降级再到最小风险策略,提供清晰的故障管理模式
- **自动数据记录触发机制**:利用运行时安全标志驱动数据收集,实现开发与运营的持续迭代闭环
- **实车验证**:通过大规模车辆测试验证框架在实际环境中的有效性,现有工作多限于仿真或离线评估
- 为自动驾驶AI感知系统提供了一种**运行时监控架构**,增强系统的安全性和可靠性
- 满足**ISO 26262** 和**SOTIF** 等标准对功能安全与预期功能安全的要求,同时支持**故障运行** 能力
- 通过**数据驱动迭代** 机制,促进了自动驾驶系统的持续改进,缩短开发周期
- 在真实道路上验证了方法可行性,为工业界部署**安全关键AI系统** 提供了参考范式