嬴徹科技：2022自動駕駛卡車量產白皮書（101頁）.pdf

《嬴徹科技：2022自動駕駛卡車量產白皮書（101頁）.pdf》由會員分享，可在線閱讀，更多相關《嬴徹科技：2022自動駕駛卡車量產白皮書（101頁）.pdf（101頁珍藏版）》請在三個皮匠報告上搜索。

1、01|自動 駕 駛 卡車量 產白皮書01|自動 駕 駛 卡車量 產白皮書量產正成為自動駕駛行業的主旋律。同時，正向設計、前裝量產自動駕駛系統和整車的技術挑戰極大，行業普遍感到相關能力稀缺，知識經驗較為匱乏和碎片化。經過嬴徹科技與中國卡車主機廠近三年的聯合開發，搭載嬴徹科技全棧自研 L3 級別自動駕駛系統的智能重卡于 2021 年底成功量產，得到干線物流用戶認可，規?；a和運營投放節奏開始加速。嬴徹科技的技術團隊將三年量產的實踐與探索做了深度總結與復盤，并撰寫成 自動駕駛卡車量產白皮書，與行業共享共創。此白皮書在以下領域分享嬴徹科技的自動駕駛量產開發方法論和技術創新：一套針對自動駕駛卡車使用場

2、景的系統性正向功能定義方法。融合了功能安全和信息安全的標準與規范，并配套完整的指標體系和測試方案。一套完整的自動駕駛卡車量產開發體系與全棧自研的核心技術。覆蓋車端和云端的全部構成，包括自動駕駛（感知、定位、規劃控制、節油、系統軟件、自動駕駛域控制器和硬件套裝）、電子電氣、線控底盤、人機交互、網絡安全、云基礎設施和數據閉環。分享了在成本、安全和物流運營多重苛刻要求下的自動駕駛重卡核心技術創序言新與工程優化，介紹了量產后里程數迅猛增長情況下對高效數據閉環的探索與實踐。一個以“正向開發、兼顧敏捷”為原則的自動駕駛卡車研發流程體系。將汽車行業的 V 模型開發流程與軟件行業的敏捷開發模式進行了創新性融合

3、，首次將高階自動駕駛開發過程融入卡車整車開發的全流程，并建立了業內最完整的自動駕駛卡車量產測試驗證體系。一個貫穿研發到量產全周期，涵蓋整車到核心系統，跨越嬴徹科技全組織，并協同多個量產伙伴的自動駕駛安全開發體系。從流程安全、整車安全和系統安全三個維度入手，為自動駕駛卡車實現充分的可靠性和安全性（Safety and Security）。針對自動駕駛技術在車輛安全方面的全新挑戰，在量產過程中持續改良，務實探尋新方案。一個具備自我演進能力的全新無人駕駛技術路線。嬴徹科技針對當前主流算法和系統架構的潛在瓶頸，提出一個端到端深度神經網絡方案，并通過結合深度強化學習 DRL（Deep Reinforce

4、ment Learning）和 神 經 輻 射 場NeRF（Neural Radiance Fields）技術的仿真器來訓練端到端模型，實現自動駕駛能力的高效自我演進，最終走向無人。02|自動 駕 駛 卡車量 產白皮書在量產開發過程中，我們深刻感受到：自動駕駛技術的前裝量產要求涵蓋自動駕駛整車和全部核心系統的技術能力和非常完整的開發體系。量產成功需要遵循木桶理論，不能有任何短板。這對自動駕駛公司普遍追求的全棧自研提出了更高的能力要求，不僅要能自研算法、軟件和自動駕駛域控制器，還要能夠與產業伙伴共同開發線控底盤、電子電氣架構和人機交互系統，并且具備極為完整嚴格的整車測試驗證能力和豐富的供應鏈與生

5、產管理能力。需要對車輛的正向研發和前裝量產保持高度敬畏，耐心積累?？ㄜ囎詣玉{駛的技術創新和工程極致，來源于對卡車物理特性、苛刻安全要求、量產一致性、成本壓力、運輸時效和安全員特點等多重挑戰的深度認知和極致追求。這是技術的真正源動力，對自動駕駛的算法演進、架構創新和工程實踐提出了更高的要求。自動駕駛推動汽車走進深度學習和軟件定義汽車的新時代，也帶來了整車正向開發的嚴謹性、軟件開發的敏捷性、自動駕駛算法與需求的不確定性之間的巨大沖突。問題和沖突遠未解決，需要全行業一起不斷實踐，融合創新。人機共駕在相當長時間內是高等級自動駕駛落地應用的主流模式，與安全密切相關，對商用車人力成本優化和乘用車駕乘體驗影

6、響極大。全行業的實踐積累還非常有限，需要從人因工程和安全設計切入，大力發展。走向無人的道路上，當前主流的自動駕駛技術?？赡苁紫仍诒O督學習所需的海量數據獲取效率與代價、經典的機器人框架等方面遇到瓶頸。需要更多富有想象力的新方案，百花齊發，加速探索。這本白皮書匯集了東風商用車有限公司、中國重型汽車集團有限公司等卡車自動駕駛產業鏈上下游五十余家合作伙伴的群體智慧?！扒把貏撔?、極致求實”的共同技術價值觀和“安全高于一切”的共同理念，凝聚所有量產伙伴攜手前行。我們本著極度坦誠的態度，透過這本白皮書分享嬴徹科技和產業伙伴的早期量產實踐和前沿探索，其中定會有未盡和不足之處。非常期待大家通過whitepape

7、rinceptio.ai 反饋指正，一起共享共創，推動自動駕駛產業完成量產的關鍵一躍！03|自動 駕 駛 卡車量 產白皮書1 干線物流用戶需求與痛點2 自動駕駛卡車前裝量產的要求2.1 自動駕駛卡車的特點與挑戰2.2 自動駕駛前裝的必要性2.3 自動駕駛卡車前裝量產的開發原則2.4 嬴徹科技的自動駕駛重卡量產進程06080809101201141515182325282829303436404447515356611 自動駕駛卡車量產方法論概述2 需求定義2.1 正向設計的功能定義2.2 功能安全2.3 網絡安全2.4 指標體系3 系統開發3.1 自動駕駛卡車系統概述3.2 自動駕駛系統3.2

8、.1 感知系統3.2.2 高精定位3.2.3 規劃控制3.2.4 節油解決方案 FEAD （Fuel Efficient Autonomous Driving）3.2.5 系統軟件3.2.6 自動駕駛域控制器（ADCU）3.2.7 車規級硬件套裝3.3 云基礎設施3.4 數據閉環3.5 線控底盤目 錄CONTENTS第一章用戶需求與技術挑戰序言第二章嬴徹科技自動駕駛卡車量產方法論與實踐04|自動 駕 駛 卡車量 產白皮書3.6 電子電氣架構3.7 網絡安全3.8 人機交互系統4 流程與工具4.1 流程與工具概述4.2 自動駕駛軟件敏捷開發流程4.3 整車正向開發流程4.4 生產準備流程4.5

9、測試驗證第四章展望未來：自我演化，走向無人駕駛附錄：英文縮略語及含義656769717172747578929783838484858686878788888989901 安全理念：安全高于一切2 安全開發準則2.1 流程安全2.2 整車安全2.3 核心系統安全3 安全開發實踐 3.1 安全流程實施3.2 車規級達標實踐3.3 自動駕駛系統安全實踐3.4 線控底盤安全實踐3.5 電子電氣架構安全實踐3.6 網絡安全安全實踐3.7 人機交互系統安全實踐4 行業性挑戰第三章嬴徹科技安全方法論與實踐05|自動 駕 駛 卡車量 產白皮書CHAPTER 1用戶需求與技術挑戰第一章06|自動 駕 駛 卡車

10、量 產白皮書1干線物流用戶需求與痛點 駕駛員難招難管，人力成本高目前，我國卡車駕駛員缺口持續增加。由于工作環境惡劣，造成駕駛員難招難管、供需失衡、人力成本上升等問題。國內卡車駕駛員招聘的年齡要求已從24-50 歲放寬至 22-60 歲，仍難以招募，25 歲以下年輕人僅占 1.4%，行業駕駛員缺口高達 1000 萬人2。為應對長時間高強度駕駛的疲勞風險，在以快遞快運為代表的高密度長途干線運輸中，每車往往需 2-3名駕駛員輪班，導致人力成本進一步增加。中國干線物流行業現狀萬億級市場，規模巨大。由中重卡承運的干線運輸占到整體公路貨運市場的 82%，全國中重卡保有量約730 萬臺1，市場規模達 4.6

11、 萬億元1，體量全球第一，超過同城物流及乘用出租市場規模之和。同樣，在世界上其他主要經濟體，干線運輸都是規模最大的物流細分市場。運營成本非常高，成本管理以 TCO（Total Cost of Ownership，全生命周期成本）為導向。油耗和干線物流主要痛點人力成本占到單車年度 TCO 的 50%以上，存在巨大優化潛力；而車輛購置成本僅占約 10%，若高端車型可使整體 TCO 優化，則購車決策者不會僅拘泥于初始車輛購置成本的增加。勞動密集型行業，復雜低效。運輸的安全、時效和油耗情況高度依賴于駕駛員個體的駕駛能力、責任心和身體狀況，駕駛員個體差異巨大，運輸管理復雜。油耗成本路橋費用人力成本車輛成

12、本其他合計主要成本項年度成本（萬元/年）占比3530%3530%2520%1210%1310%120100%典型重卡年度 TCO 構成07|自動 駕 駛 卡車量 產白皮書 油耗高度依賴個體駕駛員表現，極難管控油耗成本是公路物流成本的重要組成部分，約占整體成本的 30%3。然而油耗水平的個體差異較大，優秀駕駛員（擁有多年駕齡的高水平駕駛員）油耗表現較行業平均油耗水平可節省約 9%4。安全問題頻發據中國公路貨運行業智慧安全白皮書披露，2019 年我國公路貨運百萬公里事故數為 3.75起；而基于對頭部快遞快運公司的訪談，當前人工駕駛場景下，賠付成本超過 5 萬元人民幣的百萬公里事故率為 0.11 次

13、。降低人力成本，解決駕駛員供給不足問題L3 級自動駕駛技術能夠大幅度降低駕駛員勞動強度，并有機會在雙駕線路上減少 0.5-1 名駕駛員。未來的 L4 級自動駕駛技術可以進一步實現完全無人駕駛，從而顯著降低 TCO。節約能耗，降低排放通過學習最節油人類駕駛員的駕駛行為，自動駕駛系統可以首先達到人類駕駛員的頂尖節油水平；再通過更長感知、更優規劃和更精控制，自動駕駛有望超越優秀人類駕駛員水平。提升貨運安全系數，降低事故發生率自動駕駛卡車可以避免因人類駕駛員能力局限或車輛故障導致的事故發生，也可避免人類駕駛員的疲勞、分心等危險駕駛行為，從根本上實現比人類駕駛員更安全的駕駛，提升貨運安全系數。經嬴徹科技

14、初步測算，相較人工駕駛，自動駕駛技術在中國干線物流市場有機會實現：每公里運費降低 5%-15%每年碳排放量減少 950 萬-3800 萬噸 每年為干線物流創造 2500 億-1.3 萬億元的經濟效益自動駕駛技術的潛在價值信息來源：1：BCG中國公路貨運市場發展趨勢2：中國物流與采購聯合會2021 年貨車司機從業狀況調查報告3：全國道路貨物運輸價格指數4：2018 沃爾沃卡車節油挑戰賽比賽數據5：普華永道、G7、中國交通報中國公路貨運行業智慧安全白皮書 08|自動 駕 駛 卡車量 產白皮書嬴徹科技專注于重卡的自動駕駛。重卡主要運行在相對封閉的高速公路，相較城市道路場景看似更簡單。但是，由于重卡特

15、有的物理特性、運行環境和商業運營要求，相較于乘用車的自動駕駛系統，重卡的自動駕駛系統對車輛的感知距離和精度、系統響應速度以及車輛控制的精準性都提出了更高要求：很長的制動距離。重卡在 100km/h 車速下的制動距離通常超過 100 米，相較于乘用車在 40 米以內的制動距離，要求自動駕駛系統需要具備更遠的感知距離，以及更快的端到端響應速度。外形尺寸和重量巨大。重卡外輪廓尺寸標準寬達 2.55 米、高達 4 米、長度最長可達 17 米，在不同掛車裝載下整車質量變化高達 500%（9 噸49 噸），車頭與掛車之間的非剛體連接和掛車慣性，增加了自動駕駛控制的難度。此外，重卡運行環境復雜，經常面對各種

16、不同的道路環境，如低附地面路面、碎石路面、非標準車道等，對重卡自動駕駛的規劃控制提出了更大挑戰。重卡線控系統的響應速度更慢，精度也相對更低。以制動系統為例，重卡普遍采用氣制動技術，相比于乘用車的液壓制動需要更長的建壓過程。重卡的制動系統響應時間通常在 400ms 左右，嬴徹科技成立伊始即選擇正向設計、前裝量產的路線，以實現自動駕駛技術的產品化，這是自動駕駛卡車實現安全可靠、合法合規和規?；虡I投放的唯一路徑。2.1自動駕駛卡車的特點與挑戰而乘用車可以做到 100ms 以內?？朔豢叵到y的延時、實現精確控制，給自動駕駛控制系統帶來了比較大的挑戰。重卡車輛參數的公差范圍大，隨著行駛里程的增加，車輛

17、參數會出現更大范圍的漂移。以方向盤轉角偏置為例，乘用車出廠時為 1以內，重卡出廠時可以達到 7。再以方向盤空行程為例，有實驗數據表明，運營時間 12 個月的重卡，空行程相較出廠時劣化 43%，從平均 8.4劣化到超過 12。上述方向盤參數公差問題要求自動駕駛控制系統有能力及時識別到參數的變化，并及時加以自動修正。干線物流場景下的綜合平衡要求。干線物流場景對重卡運營提出了安全、時效和成本三大方面的要求，這三方面要求形成了一個此消彼長的三角關系。例如，如果追求時效，則意味著更快的平均車速，但卻導致更高的油耗，并對安全提出了更高要求。對于整個自動駕駛系統而言，需要綜合考量，在保障安全的前提下，給出全

18、局最優解。2自動駕駛卡車前裝量產的要求09|自動 駕 駛 卡車量 產白皮書2.2自動駕駛前裝的必要性法規標準的要求在中國，要讓一輛智能卡車（輔助駕駛或自動駕駛）合法合規地上路行駛和開展商業運營，必須依據相關法規標準，通過工信部等部門的產品認證，取得復雜的整車系統交互自動駕駛系統作為車輛的關鍵系統，需要整車層面多方面系統設計的配合，包括底盤系統、動力總成、車身系統、人機交互系統、網聯系統等。只有前裝的正向研發模式才能滿足如此復雜的系統交互要求，而后裝的改制模式只能實現基礎功能，無法滿足安全和性能所必需的全系統設計要求。以 L3 級別自可靠性與耐久性要求商用車的運營環境對產品的可靠性和耐久性要求非

19、常嚴苛，零部件選型和整車系統集成設計與開發都需要符合相應的嚴苛標準，且通過嚴謹的測試驗證得到確認。以攝像頭為例，在正向開發中，一方面，零件本身必須通過一系列的機械性實驗與各類環境性實驗；另一方面，攝像頭需要和支架、線車輛產品公告資質和車輛運營資質。因此，任何購買車輛進行后裝改制的方案只能用于試驗場內，無法合法地大規模上路和開展商業化運營。動駕駛的轉向系統為例，后裝改制模式只能沿用傳統轉向機，設計時無法考慮安全員在自動駕駛模式下手扶方向盤的使用場景，可能出現由于安全員手力矩干擾導致轉向器輸出角度追蹤不到位的問題，進而產生“畫龍”的安全風險。束、接插件、護罩、玻璃等關聯部件共同設計、測試，通過整車

20、級的車規試驗標準考驗。后裝產品僅能關注零件自身的功性能，無法在整車布置設計時通盤考慮自動駕駛系統的全場景要求，如散熱與通風的設計缺失，導致視野前玻璃易起霧，造成系統可用性不滿足要求。10|自動 駕 駛 卡車量 產白皮書要 求說 明原 則安全至上正向前裝車規標準全天候全生命周期功能安全Fail-Operational信息安全正向開發V 模型開發流程整車產品認證零部件車規算力優化以明確定義的功能安全目標和 Fail-Operational 作為總體安全目標，從流程安全、整車安全和核心系統安全三個維度進行設計和實施，確保整車、自動駕駛等各子系統和零部件均達到安全目標，在大規模制造和部署的情況下仍可實

21、現全生命周期和全天候的安全目標自動駕駛系統需能有效應對各種天氣、動靜態目標和道路環境，實現規模部署條件下的全天候安全運行車上軟件代碼符合 MISRA 和 AUTOSAR 標準從整車層面出發對多個系統進行全方位匹配設計，達成自動駕駛的全部功能性能和安全目標開發始于全面正向設計，對自動駕駛卡車全部相關系統提出需求定義，包括自動駕駛系統，電子電氣架構、線控底盤、人機交互、和其他整車集成要素針對設計逐級進行測試驗證，確保功能性能和可靠性達標整車要滿足各項法規標準要求，通過產品認證、取得產品公告目錄，才能合規生產、合法上路零部件要滿足車規級要求，通過 DV、PV 和 PPAP 認證。商用車對硬件的電氣、

22、電磁兼容性、機械、環境耐久、振動、壽命等有更高要求，尤其在振動和壽命方面，如耐久壽命要達到 2 萬小時自動駕駛系統需能夠在車規要求下進行算力使用等方面的優化，以應對車規級器件相比普通器件可高達 50%的性能下降2.3自動駕駛卡車前裝量產的開發原則自動駕駛車輛的開發一般始于改制的概念驗證車，但完成概念驗證和路測只是自動駕駛量產道路上的一小步。為了實現大規模前裝量產，需要在設計與驗證、批量生產和維護、商業化等方面滿足廣泛而嚴苛的要求。嬴徹科技-自動駕駛卡車前裝量產的八項開發原則在量產開發實踐中，嬴徹科技總結出指導自動駕駛卡車量產開發的 8 項原則。11|自動 駕 駛 卡車量 產白皮書自動駕駛系統相

23、關算法需具備自適應調整能力，以應對大規模量產車輛的生產尺寸公差和底盤性能差異等針對自動駕駛系統進行量產產線工藝優化，下線車輛的節拍達到分鐘級嚴格控制產線的裝配、檢測和標定等關鍵過程，確保制造質量重卡在全生命周期內、全天候運行都要有足夠高的可靠性和穩定性，并且壽命要達到 120-150 萬公里自動駕駛軟硬件系統需進行專門的高可靠性設計自動駕駛系統和整車需經歷嚴格的仿真和道路測試，并通過寒區和熱帶等環境試驗以及耐久試驗考核自動駕駛系統需具備車云協同能力，支持遠程車輛狀態監控和管理，通過云服務對車輛問題進行自動分析并反饋到售后支持開發專用售后診斷工具，普通維修站操作技師就可進行維修人機共駕階段的人機

24、交互設計應能夠有效地幫助安全員獲取到自動駕駛相關的關鍵交互信息，提升對系統的信任，減少使用過程中的焦慮與疲勞駕駛員只需非常簡單的培訓卡車用戶為總體擁有成本 TCO（Total Cost of Ownership）導向。自動駕駛系統的設計和量產應通過人力成本、能耗成本、維保成本等的降低，真正帶來單公里成本的優化卡車自動駕駛技術應通過提升安全員體驗、顯著降低疲勞和事故發生率，來降低安全風險和安全成本，降低駕駛員日益難招難管引起的管理成本上升。最終，通過無人化本質上降低管理成本算法適應性生產效率制造質量系統穩定性環境適應性使用壽命診斷便利性維修效率維修成本易用性客戶體驗公里成本最優管理成本最優規模生

25、產可靠耐久維護簡易交互友好成本最優12|自動 駕 駛 卡車量 產白皮書2.4嬴徹科技的自動駕駛重卡量產進程嬴徹科技分別與中國領先的重卡主機廠東風商用車有限公司及中國重型汽車集團有限公司于 2019年啟動了 L3 能力級別智能重卡的聯合開發和量產合作。項目合作嚴格遵循正向設計、前裝量產的原則，嬴徹科技全棧自研重卡自動駕駛系統，包括算法、軟件、自動駕駛域控制器 ADCU（Autonomous Driving Control Unit）和線控底盤接口。嬴徹科技與主機廠在整車集成、線控底盤、電子電氣架構、網絡安全、人機交互和功能安全等方面進行了正向聯合開發。嬴徹科技和主機廠協同 50 多家產業鏈上下游

26、合作伙伴，在傳感器、自動駕駛域控制器（ADCU）、線控底盤、人機交互等核心零部件和系統層面進行了緊密合作，推動行業在零部件和系統的車規級可靠性、功能安全和人機共駕體驗方面首次達到量產要求。2021 年底，嬴徹科技與主機廠伙伴聯合開發的首個自動駕駛智能卡車車型實現量產，并成功投放商業運營。歷時 3 年時間，嬴徹科技不僅開發了行業首個面向量產、全棧自研的卡車自動駕駛系統，而且在與主機廠伙伴聯合量產開發的過程中，共同實現了多個行業首創：創新性的卡車自動駕駛算法：有效克服了重卡獨有物理局限和量產限制條件帶來的挑戰，實現了一套能滿足重卡應用場景的感知、定位和規控算法。全自研的自動駕駛系統軟件：不但為卡車

27、自動駕駛系統提供高性能、高安全、高可靠的中間件服務，也為產品研發效率提供了強大的支撐，創造了一個更友好的集成環境?？ㄜ囶I域首個全冗余、高算力、車規級的自動駕駛域控制器（ADCU）。行業首個域集中式全冗余、多通訊鏈路、具備整車 OTA（Over The Air，在線升級）能力的電子電氣架構。行業首個全冗余線控底盤，涵蓋冗余轉向、冗余制動和冗余電源。行業首個車規級硬件套裝認證，包含多傳感器融合和計算單元冗余，性價比有競爭力，全面實現量產。行業首個多模態全冗余人機交互系統，具備聽覺、視覺、觸覺等多重提醒功能。行業首個商用車全方位網絡安全設計方案，涵蓋云、管、車端入口、車內網絡等，可應對多種商用車應用

28、場景攻擊。13|自動 駕 駛 卡車量 產白皮書CHAPTER 2嬴徹科技自動駕駛卡車量產方法論與實踐 第二章14|自動 駕 駛 卡車量 產白皮書經過歷時 3 年的自動駕駛重卡開發與量產，嬴徹科技形成了一套較為完整的自動駕駛卡車量產開發體系。1自動駕駛卡車量產方法論概述這個體系完整覆蓋了自動駕駛卡車的核心設計任務，并進行了大量的技術創新與產業融合：需求定義：首次提出了針對自動駕駛卡車使用場景的正向功能定義方法，融合了功能安全和信息安全的標準與規范，并配套完整的指標體系和測試方案。系統開發：完整深入地覆蓋了自動駕駛卡車在車端和云端的全部構成，包括自動駕駛、電子電氣、線控底盤、人機交互、網絡安全、云

29、基礎設施和數據閉環。流程與工具：將汽車產業的 V 模型開發模式與軟件行業的敏捷開發模式進行了創新性融合，首次將高階自動駕駛開發過程融入卡車整車開發的全流程，建立了業內最完整的自動駕駛卡車量產測試驗證體系。*圖：嬴徹科技-自動駕駛卡車量產開發體系15|自動 駕 駛 卡車量 產白皮書2需求定義符合前裝量產標準的功能定義，當前對于自動駕駛而言極具挑戰。一方面，自動駕駛尚在早期，功能定義的原則、方法和需求范疇均不成熟。另一方面，前裝量產遵循正向設計的原則，要求自動駕駛的功能定義嚴格符合 V 模型，即功能定義作為整個開發活DDT/ODD 定義按照 SAE 3016 標準的指導，高級別自動駕駛的核心定義要

30、素有三個方面：運 行 設 計 域 ODD（Operational Design Domain），即自動駕駛功能所要應對外部環境；動態駕駛任務 DDT（Dynamic Driving Task），即自動駕駛關鍵的駕駛行為表現；Fallback，即自動駕駛應對自身能力邊界或者系統異常時的人機交互。為完成上述三個核心要素的定義，行業里有多種不同的路徑。以 DDT 作為切入點為例，將自動駕駛關鍵的駕駛行為拆分為多個功能。在這些功能中，除了常規的巡航、跟車、車道居中控制等，嬴徹科技還結合商用車和干線物流運營的特點，增加了智能避讓、高速擁堵輔助、全局速度規劃等安全和時效相關的功能。在對每個功能進行定義時，

31、都會著重思考其在高速干線上的行為表現，尤其是面對 5 大類 60 余種ODD 要素組合形成的復雜環境。同時，對于每個功能，還要定義其在應對系統異常、車輛異常、環境異常和安全員狀態異常等情況下的 Fallback 交互策略以及 Fallback 接管過程中的控車行為，必要時切換至冗余系統進行安全停車。在嬴徹科技看來，DDT/ODD 定義的完整步驟，需要結合實際的 ODD場景，全面地設計好每個功能在正常和異常時的行為表現。2.1正向設計的功能定義動的起點，能系統性地講清楚需求和設計，并為驗證和驗收提供輸入和依據。為了應對上述功能定義方面的挑戰，嬴徹科技采用了循環往復、逐步深入的三個步驟：*圖：嬴徹

32、科技-自動駕駛系統功能定義三步驟16|自動 駕 駛 卡車量 產白皮書車道線實線：抑制借道避讓隧道：抑制避讓等無車道線：切換為 LCC（Lane Centering Control）模式匝道：調整巡航目標車速為匝道限速車速范圍：在（30KPH,80KPH）內允許觸發等車速范圍：跟車車速范圍（0KPH,100KPH）跟車時距范 圍：（2s，4s）等超寬車：觸發避讓錐桶：觸發避讓等限速標志：調整巡航目標車速為道路限速等NA光照：支持夜間運行等GPS 信 號 弱區域：抑制避讓等NA智能避讓巡航及跟車ODD專項舉例DDT專項類別駕駛行為類性能指標類系統穩定性類人機交互類進出匝道優化；避讓抑制時鄰道目標車

33、跟車策略優化等重剎優化等診斷策略精準化等系統啟動過程信息透明化等基礎設施操作限制目標物信息環境條件區域條件Fallback專項研究如果說 DDT/ODD 定義的步驟側重于功能定義的廣度，旨在綜合全面地考慮如何應對不同 ODD 下功能正常和異常，那么專項研究的步驟則側重于功能定義的深度，以便解決特定的重點難點問題。為此，嬴徹科技設立了多個不同類型、跨不同功能的專項。系統 異常：避 讓過程中側向感知異常觸發接管提醒并取消此次避讓等環境 異 常：跟車過程中遇到大雨觸發接管提醒車 輛異常：巡 航過程中制動系統異常觸發接管提醒并使用冗余系統安全停車等以進出匝道優化為例，該專項研究涉及了導航功能的精準有效

34、、車道級路徑規劃功能的同步匹配、智能變道功能的及時執行以及匝道內巡航功能的限速調整和大曲率彎道控車優化等。專項研究的步驟，需要每個細節都經過深思熟慮和反復推敲，深刻理解和定義具體場景下的功能表現。DDT/ODD 定義示例專項類別及示例示例示例17|自動 駕 駛 卡車量 產白皮書沖突融合自動駕駛是個高復雜度的產品，按照細化功能開展DDT/ODD 定義和專項研究，能有效地將復雜問題具體化、簡單化。但自動駕駛本身是一個完整的產品，不同功能最終要在一個系統內進行融合。功能融合的本質是沖突管理。在這一點上，嬴徹科技的實踐經驗是加強事前管理以預防沖突發生。每個功能的定義都要經歷產品設計、功能設計、系統設計

35、和模塊設計的過程。通過不同功能團隊對上述設計文檔的詳細評審，能有效地提前發現功能定義過程中的沖突，并及時采取有效措施進行干預，最終融合成完整的產品。除了上述的方法論之外，嬴徹科技在開展功能定義時，還堅持兩個重要的理念：強調系統和架構的重要性。從整車的電子電氣架構，到自動駕駛系統，到軟硬件架構，每個功能的定義都依托于這些系統和架構的設計，并且也反過來有效地促成其完善。強調數據驅動的優化。功能定義不是一蹴而就的活動，也是逐步完善和迭代的過程。實際的測試和運營數據，正是驅動功能定義不斷完善的原動力?；谏鲜龇椒ê驮O計理念，嬴徹科技形成了一套詳細的功能清單，并在日常的工作中進行實時維護和更新，以此來驅

36、動功能定義的展開。通過正向設計的功能定義方法和過程，嬴徹科技在業界率先將自動駕駛系統落地于量產整車項目上。結合運營端的實際場景，前期針對性地進行功能定義及頂層設計，后期基于實際運營數據進行快速迭代，滿足了干線物流運輸的實際需求。專項DDTODD縱向功能駕駛行為類座艙管理穩定性問顥類橫向功能性能指標類司機安全管理人機交互類巡航及跟車高速擁堵輔助緊急制動安全停車智能節油模式全局速度規劃避讓抑制錐桶、碎片避讓及提醒惡劣天氣應對系統啟動及提醒駕駛員干預 Fallback分級提醒智能導航語音交互診斷策略優化系統重啟策略車道保持基于指令的變道智能避讓智能變道匝道輔助駕駛智能進出匝道重剎優化車輛非線性優化駕

37、駛員狀態管理遠程司機喚醒遠程通話系統啟動過程信息透明化文字及語音優先級*圖：功能定義設計過程功能清單示例示例18|自動 駕 駛 卡車量 產白皮書根據中國公路貨運行業智慧安全白皮書，中國公路貨運行業百萬公里事故數為 3.7 次，相當于平均每個駕駛員每 16 個月就會發生一次交通事故，平均每年的事故保險賠付額約為 3 萬元/車。事故產生的最主要原因有兩種，駕駛員因素占 37%，輔助設備不足因素占 35%。自動駕駛系統通過智能感知、智能決策和智能車控來輔助或代替駕駛員執行駕駛任務以期顯著提高駕駛安全性。為了實現這一安全性目標，自動駕駛系統本身的設計開發就必須達到足夠的安全要求。進行功能安全和預期功能

38、安全（SOTIF，Safety of The Intended Functionality）開發，是目前實現這些安全性目標最有效的手段。傳統汽車產品的功能安全開發已有比較成熟的方案。2.2功能安全與之相比，如何開發和驗證自動駕駛系統的安全性還面臨著諸多挑戰：ISO 26262 和 ISO 21448 并沒有詳細的、可執行的開發方案 自動駕駛中廣泛采用的深度學習算法在某些情況下不可解釋、不可預測 深度學習算法的訓練和驗證流程沒有行業公認的方案 用于訓練和驗證的數據的缺乏統一的質量保證體系 自動駕駛系統的安全評估缺乏統一的行業標準 功能安全與預期功能安全目前，嬴徹科技主要根據 ISO 26262

39、進行功能安全開發，根據 ISO 21448 進行預期功能安全（SOTIF）開發，從而提高自動駕駛卡車的安全性。功能安全主要為了解決電子電氣系統中的以下兩類問題：系統性失效。如由于缺乏嚴格的設計、代碼評審和測試，編程時錯誤地將 u16 數據類型當作u8，使得超過 255 的數值產生錯誤結果。隨機硬件失效。如由于系統中某個電阻發生短路故障，導致系統功能不正常。預期功能安全主要為了解決自動駕駛系統中的以下兩類問題：功能/性能不足。如在暴雨、積雪等天氣情況下，攝像頭感知能力變差（沒有故障），導致系統不能正確識別障礙物或車道線，進而造成交通事故?？深A見的安全員誤用。如因為人機交互界面（HMI，Human

40、 Machine Interface）設計不合理，安全員接管提醒不充分或難以理解，造成因安全員接管不及時而產生交通事故。針對上述四大類安全問題，嬴徹科技的應對策略是：開展 10000 種以上場景的危害分析和安全評估（HAR A，Hazard Analysis and Risk Assessment）。提出18 條整車級別的安全目標（Safety Goal），如防止車輛非預期加速、車輛非預期轉向、自動駕駛系統非預期退出、Fallback 等級過低等問題發生，全面涵蓋加速、制動、轉向、安全員接管、19|自動 駕 駛 卡車量 產白皮書功能安全設計與應對為了應對自動駕駛系統的系統性失效，嬴徹科技從公司

41、文化、組織架構和研發流程體系等方面進行了以下兩大類相關設計和開發：完整的安全文化和研發流程。嬴徹科技是自動駕駛嬴徹科技解決方案產出物舉例問題系統性失效按照整車、系統、硬件、軟件等，分層級實施全面的架構設計按照整車、系統、硬件、軟件等，分層級定義完整的設計需求，且保持需求之間的一致性和可追溯性嚴格地進行技術評審系統地進行測試驗證完善的配置管理、變更管理和問題管理機制等支持性流程整車 E/E 架構設計自動駕駛系統架構設計軟件架構設計硬件架構設計整車級別的 18 條安全目標整車系統級別的功能安全需求（FSR）子系統級別的技術安全需求（TSR）硬件安全需求（HSR）軟件安全需求（SSR）每一份架構和需

42、求設計文檔和軟硬件都經過相關人員通過嚴格評審才批準發布硬件集成測試、軟件單元測試、集成測試、系統集成測試、整車測試和驗證綜合運用 SIL（Software In Loop，軟件在環）、HIL（Hardware In Loop，硬件在環）、DIL（Driver In Loop，駕駛員在環）等測試環境對軟硬件版本進行嚴格管理對變更需經過相關人員專業分析后做出開發決定和計劃，并規范存檔對評審和測試中發現的問題進行規范化地統一管理重卡領域全球首個通過 ASIL D 級別功能安全流程認證的企業。嚴格的系統設計和評審，包括整車 E/E 架構、自動駕駛系統、硬件、基礎軟件和算法架構設計等。系統降級等所有與安

43、全相關的功能。逐步細化出超過 10000 條功能安全需求 FSR（Functional Safety Requirement）、子系統級別的技術安全需求 TSR（Technical Safety Requirement）、硬件安全需求 HSR（Hardware Safety Requirement）和軟件安全需求 SSR（Software Safety Requirement）等各級安全需求。針對系統性失效的解決方案示例示例20|自動 駕 駛 卡車量 產白皮書系統性失效和隨機硬件失效都會對安全造成直接影響。因此，嬴徹科技從系統設計和開發的角度，對所開發活動/產出安全設計/需求問題因系統性失效或

44、隨機硬件失效導致非預期轉向危害分析和安全評估（HARA）安全目標（Safety Goal）安全狀態（Safe State）緊急操作（Emergency operation）功能安全需求（FSR）系統安全需求（TSR）硬件安全需求（HSR）軟件安全需求（SSR）在高速公路最右側車道以 80km/s 速度行駛時發生非預期轉向，撞向左側車道車輛（ASIL D）防止非預期的轉向。故障處理時間間隔 FHTI（Fault Handling Time Interval）為 1000 毫秒（ASIL D）維持正常的轉向功能，直到在當前車道安全停車控制車輛在 10 秒內在本車道內安全停車傳感器系統必須正確識別車

45、道線ADCU 必須正確計算出所需的轉向扭矩轉向系統必須根據自動駕駛系統的輸出，正確執行轉向控制ADCU 對所計算的轉向扭矩進行安全校驗如果 ADCU 檢測到所計算的轉向扭矩請求超過安全邊界，應向安全監控模塊報告故障，并在 100 毫秒內激活安全降級ADCU 與轉向系統之間的通信應受到 E2E 機制的保護ADCU 的隨機硬件失效指標 PMHF（Probabilistic Metric for Random Hardware Failure）應小于 10 FIT（Failures in Time），即每 10 億小時工作時間，不超過 10 個ADCU 內部電源監視器應在系統初始化期間進行一次自檢，

46、以避免潛在的電壓監視器故障安 全 相 關 的 RAM 數 據 必 須 進 行 ECC（Error Correcting Code，糾錯碼）機制保護感 知 融 合 模 塊 必 須 正 確 識 別目標 的 外包 圍 框（Bounding Box），誤差不大于 10 cm安全關鍵軟件運行的內存區間應受到保護，避免低安全級別的軟件改寫高安全級別軟件所在的內存區間*表格中所有需求和數據為示例而用，僅供參考，不代表真實系統設計有的安全目標進行了完整的安全開發。以防止非預期轉向這一條安全目標為例：防止非預期的轉向功能安全開發示例示例21|自動 駕 駛 卡車量 產白皮書預期功能安全設計與應對在預期功能安全開發

47、方面，針對可能的功能/性能不足以及可預見的安全員誤用，嬴徹科技從以下幾個方面進行了開發和優化：針對深度學習的安全性和可靠性，嬴徹科技從以下幾個方面進行了加強：嬴徹科技解決方案具體安全措施問題功能/性能不足可預見的誤用系統改善功能限制改進接管邏輯改進人機交互設計多個毫米波雷達、攝像頭、激光雷達的充分冗余通過傳感器的融合感知，以及優化相關的算法，提高感知距離和準確率反復優化算法，提高感知、定位和控制的精度通過優化算法，有針對性地提高每個功能的能力邊界通過仿真、測試去識別極端情況（Corner Case），并進行有針對性的開發，擴大對極端情況的支持范圍通過仿真和測試，明確性能邊界對超過系統性能邊界的

48、場景，優化功能限制和降級策略將所能支持的 ODD 和性能邊界寫進用戶手冊，并對安全員進行培訓通過理論研究、仿真和測試，優化接管時間優化駕駛接管操作的簡便性確保對安全員的提醒的及時性和有效性確保對安全員的提醒的簡潔性和易懂性優化不同提醒的優先級，避免提醒之間的沖突嬴徹科技解決方案具體安全措施問題深度學習不可解 釋、不 可 預測性開發流程制 定 完 整 的 深 度 學習開發 流 程，并 對 其 進 行 PFMEA（Process Failure Mode and Effects Analysis，過程失效模式和影響分析）分析和優化嚴格遵循以上流程來進行開發、評審、測試和驗證對所用到的軟件和數據都進

49、行安全評估對深度學習的軟件和參數都進行配置管理預期功能安全設計解決方案-示例 1預期功能安全設計解決方案-示例 2示例示例22|自動 駕 駛 卡車量 產白皮書深度學習不可解 釋、不 可 預測性深度學習安全性缺乏統一評判標準軟件需求定義軟件架構設計軟件測試系統安全驗證定義清晰和完整的需求，并對系統級需求、測試用例進行追溯定義超過 200 項衡量深度學習性能的指標對數據集按照訓練集、驗證集和測試集進行分類管理將深度學習模塊當作一個軟件模塊進行模塊化設計采用異構冗余架構，采用不同的深度學習算法充分考慮功能安全和預期功能安全需求，對軟件架構進行安全分析，如 FMEA（Failure Mode and

50、Effects Analysis，失效模式及后果分析）、DFA（Dependent Failure Analysis，相關性失效分析）等對采用的第三方軟件庫和開源工具進行安全鑒定綜合運用故障注入測試和神經元覆蓋度測試完整進行軟件單元測試和集成測試綜合運用仿真和實車測試，達到時間、經濟成本和測試有效性之間的平衡根據 ODD 定義和實際運營場景，設計相應的測試場景庫，并不斷更新，盡可能地涵蓋更多場景對測試里程進行綜合設計，追求有效性，而非一味追求里程數據定義清晰而合理的安全評價指標，形成企業標準傳統整車和電子零部件的功能安全方案已經非常成熟，而且都由駕駛員來接管作為最后的安全措施，系統的安全等級相

51、對可以較低（比較常見的是 ASIL B 或以下）。自動駕駛系統不僅復雜度更高，而且自動化等級越高，對安全員接管的要求越低，進而導致對系統功能安全等級的要求更高（基本都要 ASIL D）。此外，最新版的 ISO 標準缺乏對自動駕駛系統的完善支持，不管是開發還是驗證都缺乏統一的行業標準。盡管面對諸多挑戰，嬴徹科技在安全方面，堅持采用行業最新的安全技術，在參考 ISO 26262 和 ISO 21448 的標準前提下，采用最先進的安全策略，在概念、系統、軟件、硬件、測試等每個環節都進行了充分的安全設計和開發，使得嬴徹科技自動駕駛系統的安全性達到行業最高水平。自動駕駛的安全性不管是從設計和開發的角度，

52、還是從驗證和評估的角度，都還有很多未知的領域尚待研究和完善。作為智能重卡量產的先行者，嬴徹科技在創立之初就將安全高于一切作為自身基因的一部分，持續設計、開發、驗證和完善各種系統架構和算法的安全性，建立對標基準，向行業分享。同時，嬴徹科技持續與行業上下游的伙伴、科研院所和相關監管部門進行合作與共同探索，促進自動駕駛行業安全規范化和標準統一化。嬴徹科技重卡自動駕駛功能安全設計實踐23|自動 駕 駛 卡車量 產白皮書隨著智能網聯汽車網聯能力越來越開放，由于信息安全漏洞導致車輛被攻擊的案例在過去幾年中不斷爆出。提高自身車聯網信息安全水平，保障用戶生命財產及個人隱私安全，成了一個重大課題。重卡作為商用車

53、，其通信接口的標準化導致黑客能夠更為輕國家和汽車行業高度重視日益凸顯的汽車信息安全問題，相關標準陸續出臺：國內法律法規層面：為引導和規范智能網聯汽車行業安全發展，各部委基于中華人民共和國國家安全法、中華人民共和國網絡安全法、中華人民共和國密碼法、中華人民共和國數據安全法、中華人民共和國個人信息保護法制定了一系列的標準和法規，工信部于 2021 年密集頒布了如智能網聯汽車生產企業及產品準入管理指南、智能網聯汽車道路測試與示范應用管理規范、汽車信息安全2.3網絡安全而易舉地獲取車輛原始信息。同時，智能網聯汽車存在更多近場通信和遠程通信的暴露度。因此自動駕駛重卡的信息安全防護能力變得刻不容緩。通用技

54、術要求、車載信息交互系統信息安全技術要求及試驗方法、汽車網關信息安全技術要求及試驗方法等標準，并且 汽車整車信息安全技術要求 將在 2023 年形成強制國標。國際標準層面：國際標準化組織（ISO）和美國汽車工程師學會（SAE International）共同制訂的國際標準ISO/SAE-21434-道路車輛信息安全工程于 2021 年 8 月正式發布實施。*圖：自動駕駛重卡信息安全挑戰24|自動 駕 駛 卡車量 產白皮書汽車信息安全本質上是一種動態安全，隨著產品、技術、應用、網絡的變化和發展而變化。但在變化中不變的是：信息安全的目標：保證生命安全，保護資產（包括實物資產、數字資產等）不受信息安

55、全威脅，保證系統功能安全運行，保證國家和個人數據安全。信息安全應對策略：1）有效的安全設計，消除信息安全風險；2）實時監控，抵御網絡安全攻擊；3）多方聯動，及時發現、上報、處置網絡安全威脅。汽車整車信息安全技術的基本應對原則主要包括如下 4 個方面，也是設計的核心要求：車端安全：包括消息認證、安全區域劃分、訪問控制、報文健康檢查、診斷服務檢測、異常行為監測、身份管理、證書密鑰管理、安全日志等。汽車外部通信鏈路安全：遠程升級安全、遠程控制安全、V2X 安全、遠程訪問安全、定位安全等。數據安全：基礎數據、車控數據、服務數據、隱私數據等。車聯網云端安全：入侵防范、身份認證安全、接入安全、通信安全、系

56、統安全等。信息安全測試可以分為正向和逆向兩個方面，需要做相應的設計：正向驗證是從工程開發層面確保安全設計和實施達到預期效果，實施內容包括如代碼的靜態掃描發現代碼漏洞、模糊測試檢測協議棧缺陷、安全測試用例驗證安全策略、漏洞跟蹤和掃描、及時打補丁等，保證安全需求適時地形成閉環。逆向驗證是通過安全攻防，模擬黑客攻擊產品，通過固件逆向、通訊劫持、信號干擾、CVE（Common Vulnerabilities&Exposures，公共漏洞和暴露）漏洞利用等，利用實戰反向驗證產品的安全性。25|自動 駕 駛 卡車量 產白皮書2.4指標體系自動駕駛系統是一套龐大、復雜、數據驅動且對安全性要求極高的系統。如何

57、準確評價自動駕駛產品的表現既重要又充滿挑戰，科學系統的指標體系是構建自動駕駛產品的前提和基石。指標體系的構建包含三方面：指標定義、指標監控和指標運用。指標定義指標定義需要滿足三個特性，包括系統性、體驗一致性和可量化性：系統性：對自動駕駛系統建立全面的多維度指標，以便全面掌控系統的運行狀態。體驗一致性：確保安全員主觀的體驗感受與指標客觀的衡量在統計意義上保持高度一致?？闪炕喝魏沃笜吮仨毷强闪炕铱陀^，以便準確評價性能的提升或是降低，以及具體的變化幅度。從指標體系系統性的角度，為了衡量量產自動駕駛卡車的性能，可以將指標整體分為以下幾大類：安全類、運營類、功能類、質量類、算法類：安全類：衡量自動駕

58、駛系統在道路上持續運行的風險，反映其安全性。運營類：衡量自動駕駛重卡在運營場景中商業價值的達成度，反映所取得的經濟效益。功能類：衡量自動駕駛各類功能的執行成功率，反映具體功能在實際應用中的可用性和成熟度。質量類：衡量自動駕駛系統在長時間運行條件下能否持續保持在預期工作狀態，反映量產自動駕駛重卡的可靠性。算法類：衡量感知、定位和規劃控制系統的輸出是否穩定準確，反映自動駕駛算法系統整體的精確性。產生人工接管的間隔里程數因發生安全風險需要人工接管的間隔里程數百公里發生超過-2m/s2減速度重剎的次數百公里發生車輛在車道中周期性左右晃動的次數百公里壓線行駛次數MPD（Mileage Per Disen

59、gagement）MPD0重剎頻次畫龍頻次壓線行駛頻次安全類車輛性能指標自動駕駛卡車指標定義-示例示例具體指標舉例類別指標釋義26|自動 駕 駛 卡車量 產白皮書早于基準時效到達目的地的趟數/總運單趟數百公里耗油千公里安全員疲勞次數百萬公里發生事故次數撥桿變道成功次數/撥桿變道使用次數車道內避讓成功超車次數/車道內避讓觸發次數超車時被抑制時長/總超車時長自動駕駛狀態通過匝道次數/總通過匝道次數HMI 系統使用便捷性以及系統提醒合理性廠內自動駕駛系統故障件總數/自動駕駛系統出貨件總數*1000000 件12 個月內車輛故障數/12 個月內生產車輛總數*100%自動駕駛里程/高速運營里程自動駕駛系

60、統啟動成功次數/自動駕駛系統啟動次數自動駕駛系統啟動的時長百公里系統故障提示安全員接管次數自動駕駛狀態下的平均時速感知算法對車輛檢測的準確率和召回率感知算法對車輛檢測的平均橫向和縱向誤差定位算法的平均誤差時效達成率油耗安全員疲勞度百萬公里事故次數撥桿變道成功率nudge 成功率超車抑制百分比匝道通過成功率HMI 體驗0KM PPM（Parts Per Million）12 MISAD（Autonomous Driving）占比系統啟動成功率系統啟動時長Fallback 頻次AD 平均時速車輛檢測準召率車輛檢測橫縱向誤差定位誤差運營類功能類質量類算法類算法性能指標車輛性能指標上述評價指標會受到外

61、部場景因素的影響，如不同時間、天氣、線路等等。需要區分統計不同場景的性能表現，以便進行針對性的優化。具體場景白天，夜晚晴天，雨天，雪天，霧天華北線路，華中線路，華南線路外部因素時 間天 氣線 路（Month In Service）27|自動 駕 駛 卡車量 產白皮書指標監控在大規模運營的條件下，需要對自動駕駛重卡的運營狀態進行密切有效的監控，以便相關人員根據情況采取不同的應對措施。按照時效性不同分為：實時監控：在運營過程中，運營管理人員實時監控反映車輛狀態的相關指標。當有單車表現異常的時候，可及時與安全員聯系并確認車輛和指標運用嬴徹科技目前已經建立了超過 50 個車輛性能指標和超過 100 個

62、算法性能指標，精確地評估車輛性能和算法性能，其應用原則如下：短板原則：在衡量量產產品的指標運用方面，要采用“短板思維”，產品的整體性能水平，取決于最短板關鍵指標的性能。精簡原則：指標運用注重精簡，衡量指標如不精簡分級，就會形成冗余而混亂的評價體系。過多或者過于復雜的指標會造成指標變化參差不齊，反而讓人無法做出正確判斷。嬴徹科技在研發安全員狀態，確保安全駕駛，盡早發現車輛故障并排查維修。延遲監控：研發及測試人員對一定周期的數據進行指標分析和統計，用于評估系統能力邊界并指導研發迭代。迭代過程中，使用約 20 個核心指標重點評價迭代中的性能變化。關注波動性：由于自動駕駛產品的算法會受到自車和各種外界

63、因素的干擾，且算法具有一定的概率性和隨機性，導致指標概率上升或者下降，因此，要充分評估數據波動性。比如，當某個指標上升時，不一定意味著產品性能提升，或許是因為受到外界因素（如天氣、車流量等）影響，或者因測試里程不足而導致指標波動。因此，要仔細分析外部影響因素，以及波動相對收斂的最低里程要求，從而做出可靠的判斷。嬴徹科技所建立的指標體系，在量產實踐過程中不斷完善，顯著促進了其重卡自動駕駛系統的快速迭代。例如，為了對 MPD 進行專項優化提升，先根據安全員接管原因的一級大類進行分類，如車輛畫龍導致接管、重剎導致接管、連接路問題導致接管、系統故障提醒安全員接管等。然后對于每一大類問題，進行根因層級細

64、分，包括算法模塊、系統設計和產品設計等。進而可以統計出根因子類出現的百公里頻次，以此將每一次接管對應的優化職責細分到對應的具體研發模塊或者對象。接下來各模塊就可以根據整體的優化目標，制定對應子項的優化目標設定，形成自上而下的拆解，通過達成每個小目標，最終實現大目標的達成。建立科學的指標體系，并堅持按照方法論執行，是嬴徹科技不斷進步的有力保障。28|自動 駕 駛 卡車量 產白皮書3系統開發我們認為自動駕駛技術真正的量產落地，是橫跨車輛工程、半導體、系統軟件、人工智能以及云計算等多個領域和技術棧的系統工程。打造一款成功的自動駕駛卡車，必須把這些領域的核心能力進行全棧整合。嬴徹科技自 2018 年創

65、建之初，即堅定選擇自動駕駛卡車核心領域的全棧自研。我們堅信全棧自主研發是取得量產成功、技術加速迭代并成功走向全無人駕駛的關鍵。首先，完整技術鏈條的構建，可以充分發揮跨技術領域的深度融合優勢。通過軟件、硬件和車輛3.1自動駕駛卡車系統概述的協同設計，可以綜合各種系統資源，最大限度地挖掘整個系統的潛能，使得整個自動駕駛系統高效運轉的同時，還能有效降低整體成本。其次，全棧技術能力可以非常靈活地適配不同場景、不同車輛，進而拓展生態，為加速自動駕駛技術量產與產業化提供強有力的保障。最后，在核心環節上擁有充分自主權，能夠在量產的每一個關鍵環節，比如供應鏈、成本優化等，擁有足夠的能力規避各種風險，順利高效率

66、地達成量產目標。*圖：嬴徹科技-自動駕駛卡車系統全景圖29|自動 駕 駛 卡車量 產白皮書嬴徹科技在自動駕駛算法上，創新性地克服了卡車獨有的物理局限和量產的限制條件所帶來的挑戰，實現了一套能高性能地滿足商用車應用場景的感知、定位、規控和節油算法。全自研的自動駕駛域控制器是卡車領域首個自帶全冗余且高算力的車規級車載計算平臺，并且已經成功量產。嬴徹科技自研的系統軟件層，不僅為自動駕駛卡車提供高性能、高安全、高可靠的中間件服務，也為產品研發效率提供了強大的支撐，創造了一個更友好的集成環境。在云端，嬴徹科技打造了“三橫兩縱”的基于云原生的技術棧，為量產提供了規?；膶崟r數據分析服務。在車端，嬴徹科技域

67、集中式電子電氣架構，減少了系統復雜度，并提供高通訊帶寬、整車信息安全以及整車 OTA 的能力。線控底盤方面，嬴徹科技的全冗余技術實現了精準安全的車輛控制和流暢的人機共駕，保證了車輛安全平穩運行。嬴徹科技的人機交互系統解決了安全員對系統的信任以及疲勞管理問題。此外，嬴徹科技集成的傳感器套裝，達成了OEM（Original Equipment Manufacturer，主機廠）認可的生產件 批 準 程 序 PPAP（Production Part Approval Process，生產件批準程序），是真正意義上的行業內首套商用車車規級自動駕駛系統硬件套裝。3.2自動駕駛系統*圖：嬴徹科技-卡車自動

68、駕駛系統全景圖30|自動 駕 駛 卡車量 產白皮書3.2.1 感知系統感知系統的核心任務是通過處理分析多種傳感器的信號輸入，實現對環境的深度理解，為車輛了解周邊環境并作出后續規劃控制提供保障。在自動駕駛系統中，感知系統作為第一環，是規劃控制系統的上游，其結果的準確性及魯棒性直接決定了自動駕駛系統的能力邊界。重卡對感知系統的特別要求 更遠的感知距離：卡車的制動距離更長，相比于乘用車 40 米的制動距離，卡車的制動距離會超過 100 米。因此，相比于乘用車 100 米左右的感知距離要求，卡車所要求的感知距離一般在200 米以上，甚至達到千米級別。更高的橫向精度：卡車寬度相比于乘用車更寬，寬度可達

69、2.8 米，高速公路車道線寬 3.75 米，當兩個卡車在相鄰車道并排居中行駛時，兩卡車的最近距離只有 95 厘米。相比而言，乘用車車寬 1.6 米，乘用車和卡車會車時的距離空間有 155 厘米，約為卡車會車距離的 1.6 倍。因此，重卡對目標車橫向位置的精度要求比乘用車更高。感知系統的量產挑戰 SoC 架構和算力瓶頸：為了滿足車規、功能安全和量產成本等要求，ADCU 平臺算力受限，且采用復雜的異構系統架構，對算法的計算性能和多模態計算帶來巨大挑戰。在高算力高帶寬的負載情況下，亦對系統穩定性造成空前壓力。后向感知：由于卡車帶掛，并且掛車無法安裝量產傳感器，所以正后方視角無傳感器可以直接觀測，對后

70、向感知的精度及距離帶來挑戰。傳感器布局：相比于乘用車，卡車更寬更長，傳感器的分布更加離散且不在同一剛體上，不同傳感器的視場 FOV（Field of View）重疊度較低，標定參數失效會對算法的精度帶來挑戰。傳感器選型：為了滿足車規、成本等量產要求，需要考慮相關傳感器的量產時間線，選型受限制，性能滯后于行業尖端水平，需要提升感知算法在硬件能力邊界的應對策略，拓展能力邊界以滿足量產功能定義的要求。31|自動 駕 駛 卡車量 產白皮書傳感器配置與設計嬴徹科技的自動駕駛方案采用攝像頭-毫米波雷達-激光雷達配置，實現車體 360環境感知覆蓋。傳感器安裝位置如下圖，為滿足不同級別配置的需要，左右兩側補盲

71、激光雷達為高配選裝。攝像頭：基于成像模組進行了定制化產品設計。毫米波雷達：選用國際供應商第五代面向商用嬴徹科技對傳感器的安裝布置進行了不同程度的優化設計，以便于滿足商用車相關法規要求，并充分考慮實際運營場景中的潛在問題與風險：將后向毫米波雷達融入后視鏡的一體化布局，多處傳感器支架進行了應對碰撞的潰縮吸能設計。車設計的長距與角向雷達，同時對輸出數據進行了專屬開發。激光雷達：選用當前性能與成熟度綜合最優，且符合車規的 MEMS 產品，并基于實際的卡車商業運營場景對基礎功性能進行了適配開發。新增適應實際長時間運營的激光雷達清洗功能。艙外傳感器分別滿足對應位置的防水防塵要求（部分甚至可達 IP6K9K

72、），且均經過驗證，在商用車的高強度、長時間振動環境下，達到與整車運營時間相匹配的零件壽命（最高 3 萬小時）。*圖：嬴徹科技-自動駕駛系統傳感器布置方案32|自動 駕 駛 卡車量 產白皮書嬴徹科技感知系統技術路線為了實現量產，感知系統需突破瓶頸限制，力求看得更遠更準、耗時更低。為此，嬴徹科技充分融合多傳感器信息，將重點聚焦于：長距離感知：利用非監督學習，融合百米級探測距離的高精度激光點云和千米級視距的長焦攝像頭圖像信息。利用近處的激光點云對低精度的背景點云進行高精度約束，并通過注意力轉移算法實現精準的千米距離感知，深度誤差低于 5%。高精度橫向感知：結合目標實例分割、車道橫向 多模多視角 Tr

73、ansformer 的前融合感知，全方位提升感知精準度：對于不同類型傳感器（如激光雷達、毫米波雷達和攝像頭）的輸入，我們設計并實現了在 BEV（Birds Eye View，鳥瞰視角）視角下融合不同數據源的前融合框架。此框架首先基于 Transformer 方法，將攝像頭視角映射到 BEV 視角下，其次利用 Transformer將不同數據源的 BEV 特征圖充分融合，最后利 用 長 短 期 記 憶 LSTM（Long Short-Term Memory）的時序融合網絡獲得視頻流的感知結果。相比于前一代的后融合方法，我們的前融合大模型在多項感知任務和場景上表現出更強和更穩定的性能，以及更加簡潔

74、的推理流程。目前業界常用的前融合框架通常會為每類數據源偏移量預測和目標物點云模糊輪廓提取等技術，實現障礙物檢測算法，橫向誤差在相同測試集下比國際知名廠商低 54%，達到業內領先水平。多任務深度神經網絡突破算力局限：采用加權多任務學習策略和 Warm-Up 策略，在確保充分節省算力的前提下，重點提升難訓練任務和重要任務的訓練效果。成功解決了 GradNorm、PcGrad 等算法在多任務學習中的精度下降難題。在保證精度不變的條件下，實現了 5 倍以上的加速，大幅度改善算力局限帶來的影響。設置單獨的 BEV 主干網絡，并通過將不同源的特征圖堆疊后進行局部卷積實現融合。為了在融合過程中更加高效地獲取

75、更多有效信息，我們將投影后的 BEV 特征直接進行融合，并共享 BEV 下的特征編碼（Feature Encoder）與多任務頭（Multi-Task Head），此融合方式能節省約 10%的計算量與參數。同時，相較于將不同源的特征圖（Feature Map）堆疊再局部卷積，我們使用 Transformer 能同時捕捉到局部和全局的相關信息。經過評測，相較于業內領先的算法 BEVFusion，這套前融合感知方案在檢測任務上超過 2%mAP/NDS，將部署于嬴徹科技下一代高算力 ADCU。*圖：多任務深度神經網絡33|自動 駕 駛 卡車量 產白皮書 數據增強解決小樣本難題：為了降低標注成本，針對

76、領域自適應語義分割任務，提出了一個基于區域的主動學習方法，目的是自動地查詢一小部分區域給予標注，同時最大化網絡性能。為此，我們提出了基于區域不純度和預測不確定性的主動學習 RIPU（Active Learning via Region Impurity and Prediction Uncertainty），能夠捕捉圖像區域的空間鄰接性以及預測置信度。相比于基于圖片和像素的挑選策略，基于區域的挑選策略能夠更有效地利用有限的標注成本。RIPU 系統還增強了源域圖像中像素與它鄰近像素之間的局部預測一致性。另外，負學習損失（Negative Learning Loss）的引入也使得特征更具辨別力。大

77、量實驗證明該方法僅需少量標注即可得到趨近于全監督的性能，在跨領域分割任務上，較業界領先算法 MADA 性能領先9.71%。針對重卡業務場景，重視成本-安全-效率三角平衡嬴徹科技自動駕駛感知系統，面對量產要求、高速干線場景和物流運營商業化要求，建立了高效的研發迭代體系，支持針對性解決特定問題，從而實現成本-安全-效率的三角平衡，包括：建立完善的指標體系，全面監控感知系統的準確性及穩定性指標，并充分評估復雜場景下的感知表現。除了沿用通用的 Precision/Recall/mAP 等精確度指標之外，額外設計了穩定性指標。例如，Lane-Change Rate 用于表征連續幀之間車道線檢測的橫向位置

78、變化率；類似的，Label-Change Rate 用于表征連續幀間檢測類別的變化率。除了變化率之外，還需監控每個指標的方差，設計了 On-Lane Ratio 3 Sigma用于表征障礙物壓線量的方差。針對實際長尾問題，建立垂直場景集，一問題一規則，針對性設計回歸測試指標，精準挖掘復雜問題上的算法表現。干線場景下目標時速高、形態差異大，對感知系統提出更高的安全性要求。高速上存在形態各異的異型車，需要感知系統對其外廓進行精準識別。高速上目標車速較快，除了看的遠，還要反應快，因此感知系統在設計時需要盡量減少鏈路中的串行模塊數量?？ㄜ囎鳛槲锪鞣粘休d工具，需要應對復雜的物流外部環境，且對成本和時效

79、也有嚴格要求。需要支持復雜照明、天氣、路況等條件的穩定感知。當超出能力邊界時，需有降級策略。34|自動 駕 駛 卡車量 產白皮書3.2.2 高精定位高精定位為自動駕駛系統提供車輛在各個時刻下的位姿、速度、加速度、角速度等信息，是規劃和控制等系統正常執行的前提條件。針對干線物流的重卡場景，自動駕駛定位系統需要重點考慮四個方面的要求：泛化力、性價比、安全性和針對性。高精定位的幾個主要挑戰也源于此四項要求、以及它們之間的內在沖突。重卡對高精定位的獨特挑戰重卡的高精定位與乘用車相比，需要考慮重卡帶來的限制以及卡車自身的特性，主要有以下幾點：空間?。嚎ㄜ囯x車道邊界的距離都很小。對于超寬的掛車，其側面到車

80、道邊界的距離在 35cm-40cm，相比乘用車要少 50cm 以上。因此針對自車定位，在各個場景（如隧道）都要求有精確的定位輸出（比如橫向位置誤差 10cm）。駕 駛 室與 底 盤 的 非 剛 性 連 接：由 于 傳 感 器（GNSS/IMU、攝像頭、LiDAR 等）大部分是與駕駛室剛性連接，但駕駛室與底盤有相對運動。直接基于傳感器估算的車身位姿與車輛實際運動有差異，影響控制模塊對車輛的控制。震動大：由于卡車自身的特性，車身的震動相比乘用車要高將近一個數量級，因此給傳感器帶來比較大的噪聲。*圖：重卡自動駕駛系統高精定位的要求35|自動 駕 駛 卡車量 產白皮書量產對高精定位的苛刻要求面向量產的

81、卡車自動駕駛方案，既對成本控制有嚴格的要求，又要求系統具有高泛化能力，以支持全國主要干線物流高速路網：演示車中常見的高精衛導、慣導設備已不適用。需要用滿足車規和功能安全要求的低成本方案。由此帶來的性能下降，對軟件系統提出了更高要求，尤其是應對低成本方案在復雜工況下的精度和穩定性下降。高精地圖作為定位（以及規劃等模塊）的重要先驗，需要能覆蓋全國的高速路網（雙向大于 30面向量產落地的要求，嬴徹科技設計研發了帶有多重校驗和冗余的高效融合定位算法，能夠有效地抵抗各類噪聲，通過融合低成本 GNSS/IMU、視覺、LiDAR、輪速等傳感器信息，實現在不同工況下均能提供高精度的定位輸出。系統重點模塊如下：

82、面向卡車的運動模型：針對駕駛室與底盤的相對姿態、掛車的相對角度進行動態估算，綜合對卡車的運動進行建模。能有效緩解駕駛室與底萬公里），并且提供足夠的鮮度（小于天級別的限速、線型等屬性更新，小于周級別的車道線等幾何信息的更新）。對于自動駕駛中常用于定位的點云數據，由于其數據量與作業成本，在覆蓋率和更新效率上的挑戰更高。除此之外，由于存儲空間的限制，對三維點云的存儲效率也同樣有較高要求。需要能支持全場景，包括隧道、匝道、山區等。盤非剛性連接帶來的問題，并能在彎道、變道的場景下提供更精準的位姿估算。全方位的置信度模型：結合單傳感器的置信度評估和多源置信度評估，對每一個傳感器輸入進行多維度校驗，自適應地

83、去除不良觀測帶來的影響，在不同場景下都能利用最有效的觀測來提供精準定位，實現高穩定性?；诙鄠鞲衅魅诤系牧慨a高精定位系統*圖：高精定位系統觀測置信度模型36|自動 駕 駛 卡車量 產白皮書 動態傳感器標定：通過提取的特征信息（角點、車道線等），在線動態檢查和更新傳感器外參，消除傳感器之間由于路況、震動等導致的位姿誤差。高效、輕量級的 3D 點云匹配：點云地圖本身數據量巨大，采用原始點云數據很難量產泛化。常用方式是將 3D 點云降級到 2D 柵格地圖，雖然能大幅度減少數據量，但會導致信息的丟失。嬴徹科技采用基于等高線的表達方式，既能一定程度保留 3D 信息，又能有效降低數據量。讓覆蓋全國高速、推

84、向量產成為可能。安全芯片上的冗余定位：在主系統異常失效的情況下，在安全芯片上利用慣導推算提供自車軌跡，配合其他冗余模塊對車輛進行緊急狀態下的安全應對，讓車輛能持續處于安全可控的狀態。此外，嬴徹科技還在研發基于深度學習的特征表達與匹配，用于點云和視覺定位，進一步提升單位數據的有效性。面向未來，既能應對高速場景，也能在非高速場景下實現精準和穩定的定位。嬴徹科技通過獨有的算法設計，所研發的基于多傳感器融合的高精定位算法系統，對關鍵指標進行了重點優化：橫向定位精度 7cm 以及航向角精度 70%（準確率 90%）。數據壓縮率 80%。供更精細的算法特質相關的刻畫，避免了高價值場景數據的沉沒。這種更精準

85、的場景分類，能夠較好地平衡“分類精度”和“分類泛度”，最大程度地移除了低質量重復場景數據，控制數據成本。低延遲的數據采集：常規缺陷場景數據上傳的時效性達到小時級，緊急場景數據上傳時效性可達到分鐘級。量化統計分析類數據時效性達到亞秒級。精細化場景分類能力：基于超過 600 萬公里的開放道路數據，抽象歸納出高價值場景語義分類，約 7 大類、200+子類、問題分類約 70+類、對應算法原因分類 100+類。多維度組合后的精細化場景分類空間達到萬級規模。*圖：數據閉環場景分類樹定義61|自動 駕 駛 卡車量 產白皮書3.5線控底盤線控底盤屬于自動駕駛系統中的執行層，是實現自動駕駛控制意圖及控制安全的執

86、行機構。線控底盤開發主要包含線控轉向、線控制動、線控油門、線控擋位等線控功能，保證車輛在自動駕駛控制行駛中穩定、安全、平順和經濟。商用車的特點是整車壽命長達 150 萬公里，車輛總質量較重、工作時長較長、轉向力矩和制動力輸出較大、系統延遲較大。隨著行駛里程的增加，制動器間隙、轉向系統間隙和其他機械間隙會出現較大衰減，從而影響控制安全。線控底盤的開發，難點在于：如何保證實現線控底盤系統安全 如何實現 L3 級別人機共駕 如何保證線控執行器與自動駕駛系統預期性能的一致性線控底盤開發線控底盤的開發是一項系統工程，需要綜合考慮線控功性能目標、產品資源、方案可實施性、時間和成本等因素來決定實施路徑，過程

87、如下：線控功性能目標確定：需要根據市場研究并結合自動駕駛的功能定義、性能定義的目標要求來確定；實施方案可行性評估：包括供應商資源、車輛布置可行性、功能安全實現路徑、功性能實現的可行性、自動駕駛線控接口可行性、開發成本及時間周期的滿足性；設計與驗證：方案確認后，進入系統和零件設計，以及系統測試與驗證；聯調驗收：車輛與自動駕駛系統一起完成聯調聯控驗收，完成線控底盤各個系統的功性能驗收，鎖定線控底盤性能參數，釋放初版軟件；正式發布：車輛可靠耐久驗證后，正式釋放線控底盤 SOP（Start of Production）軟件。嬴徹科技線控底盤重點關注以下四個方面：保證車輛安全平穩運行 保證系統控制的精確

88、執行 人機共駕和接管設計 線控底盤指標體系62|自動 駕 駛 卡車量 產白皮書*圖：線控底盤控制框圖63|自動 駕 駛 卡車量 產白皮書車輛平穩運行的安全保障設計：智能卡車線控底盤采用全冗余設計，通過制動、轉向、電源管理系統，對因人和機器非預期行為帶來的風險，采取冗余設計和設置安全保護措施，防止自動駕駛車輛因系統失效或故障導致車輛出現安全問題和非預期行為帶來的安全風險。線控制動采取雙重冗余設計：制動系統采用行業首創的雙重冗余設計，主制動 EBS（Electronic Brake Systems）+冗 余 制 動 rEBS（Redundant Electronic Brake Systems）+

89、冗余 制動 ETB（Electronic Trailer Brake）方案。系統由三套獨立控制模塊組成，每個系統有獨立的電子控制單元（ECU）、供電電源、EBS 和 rEBS 具備獨立的輪速傳感器。每個系統能夠完全獨立工作，系統之間的交互通過 CAN 總線傳輸，EBS和 rEBS 之間通過私 CAN 傳輸。當主制動 EBS失效時，冗余制動 rEBS 在 20ms 內自主完成制動系統的接管和實現車輛控制；當主制動 EBS和冗余制動 rEBS 均失效時，接受 ADCU 仲裁指令后，冗余制動 ETB 可以實現對掛車進行制動控制來保證車輛行駛安全。線控轉向采取冗余和液壓失效檢測設計：轉向系統冗余設計采

90、用的是行業首創的主轉向EHPS（Electronic Hydraulic Power Steering）和 冗 余 轉 向 CEPS（Column Electric Power Steering）方案。系統由兩個獨立的電子轉向系統串聯組成，每個系統具備獨立的 ECU 和電機、角度傳感器和扭矩傳感器、供電電源，能夠分別完全獨立工作。兩套系統之間的交互信息通過 CAN 總線傳輸。當主轉向 EHPS 失效時，冗余轉向 CEPS 接受自動駕駛控制器 ADCU 的仲裁指令和控制指令接管和控制車輛。當車輛通過液位傳感器發出指令或主轉向 EHPS 檢測到液壓失效時，接受 ADCU 的仲裁指令后，冗余轉向 C

91、EPS 會控制 HPS（Hydraulic Power Steering）安全接管和控制車輛。供電電源采用冗余設計：車輛供電系統采用主電源和冗余電源的設計，并采用冗余電源控制器 SES（Smart Emergency Switch）進 行 管理，當車輛主電源失效時，冗余電源控制器將在1ms 內將兩側回路切斷，車輛由冗余電源進行供電來保證車輛供電系統的安全。對防止非預期安全采取的安全防護：在防止非預期轉向、非預期緊急制動及安全員的潛在誤操作影響等方面，通過設置安全閾值進行非預期保護。系統控制的精確執行：線控主制動與冗余制動最大減速度完全相同。線控制動 XBR（External Brake Req

92、uest，外部制動請求）的響應時間縮短 33%，超調量減少 50%。線控主轉向與冗余轉向的性能指標完全相同，在集成冗余轉向系統后，主轉向系統在響應時間、超調量、穩態時間和穩態誤差等方面的性能指標都可保持獨立運行時的水平。線控油門響應時間縮短 10%，檔位切換響應時間縮短 20%。人與自動駕駛域控制器 ADCU 的共駕設計：線控制動、線控轉向、線控油門和線控換擋，均實現了自動駕駛與人工駕駛模式的狀態機接口設計，并通過多場景下的反復調參實現人與機器的平順切換，適應于 L3 級別自動駕駛人機共駕場景下的各種潛在接管需求。64|自動 駕 駛 卡車量 產白皮書線控指標評價體系設計嬴徹科技線控底盤開發實踐

93、 線控制動性能評價指標包括：響應時間、穩態時間、穩態誤差、超調量、冗余接管時間、最大制動減速度和輔助制動最大減速度。線控轉向性能評價指標包括：響應時間、穩態時間、穩態誤差、超調量、相位延遲、截止頻率、冗余接管時間、空行程和切換力矩波動。全冗余線控底盤技術架構可以支持 L4 技術平臺，是行業首款具備可前裝量產、滿足系統功能安全等級ASIL D 的線控底盤。線控制動及轉向冗余系統分別通過了等效 300 萬公里的接管可靠性試驗和等效150 萬公里的冗余切換可靠性試驗。同時在整車層面累積進行了400 萬公里的道路耐久驗證。全冗余線控底盤系行業首創，解決了行業 L3 級別自動駕駛車輛底盤系統痛點，具備“

94、Fail-Operational”線控動力總成性能指標體系包括：油門響應時間和檔位切換時間。能力，故障下可運行功能。但在冗余系統接管時間、冗余方案技術復雜性、冗余制動 ABS 非獨立性、冗余制動控制響應時間、成本等方面還需繼續進行優化和改善。高度集成全功能的自冗余系統，是滿足未來自動駕駛安全需求的主流技術方向。65|自動 駕 駛 卡車量 產白皮書3.6電子電氣架構汽 車 電 子 電 氣 架 構 EEA（Electrical/Electronic Architecture）是指將汽車上所有的電子和電氣部件設計為一體的整車電子電氣解決方案。行業普遍共識的博世電子電氣架構演進圖展示了電子電氣架構發展

95、的不同階段：分布式階段（模塊化、集成化）、域集中式階段（集中化、融合化）和中央式階段（車載超級電腦化、云計算化），而商用車當前絕大部分的車型架構還處于模塊化向集成化的轉型過程。嬴徹科技第一代域集中式電子電氣架構嬴徹科技與主機廠合作的第一代智能重卡，是基于現有的重卡平臺進行改型，第一代產品已經實現量產，其電子電氣架構具備以下特點：快速融合的域控制器架構：秉持兼顧現狀、快速融合的思路，在既有分布式 EEA 的基礎上，構建具備自動駕駛功能的域控制器。持續迭代的 OTA 能力：自動駕駛域具備完整OTA 能力，并且達到 100%域內芯片及控制器可被遠程升級，使得嬴徹科技的自動駕駛產品能夠不斷的自我進化，

96、始終保持對于市場需求的高速迭代，不再是傳統機械產品汽車的量產即過時。高速網絡通信能力：在局部域內，通過百兆以及千兆以太網的配置同比提升通信速率 100 倍以上，掃除了帶寬瓶頸的焦慮。*圖：博世電子電氣架構演進示意圖66|自動 駕 駛 卡車量 產白皮書嬴徹科技第二代星云電子電氣架構設計*圖：嬴徹科技-第二代星云電子電氣架構繼第一代產品的量產投放，嬴徹科技已著手研究第二代 EEA星云架構（中央計算+區域控制星形連接架構形態），力圖解決商用車電子電氣架構“安全、實時性、帶寬瓶頸以及成本”等方面的痛點，從如下四方面進一步提升架構整體競爭力：硬件架構升級：功能域控制器（自動駕駛域控制器&智能網聯域控制器

97、）與位置域控制器并存（中部車身域控制器），可使傳統 ECU 數量減少約 30%，線束回路減少約 20%，解決商用車線束布置局促的先天限制，并且實現硬件資源高度集中化從而實現成本最優化。軟件架構升級：通過引入標準化服務的 SOA 架構理念，使軟硬件解耦分層，實現軟硬件設計分離，從而帶來軟件/固件 OTA 升級性、軟件架構的實時操作系統的可移植性，以及采集數據信息多功能應用性。有效減小硬件需求量，真正實現軟件定義汽車。通信架構升級：商用車首次以千兆以太網構建主干通信，數據傳輸能力可提升 1000 倍以上，有效解決傳統 CAN/LIN 總線傳輸低效的帶寬瓶頸，為數據深度融合提供了更好的基礎。迭代體驗

98、升級：通過硬件架構和軟件架構升級，帶來軟硬解耦以及接口標準化，大大縮短開發周期，使得產品升級迭代更為高效。通過域的高度整合以及通信架構的升級，使得全域 OTA 升級控制在 45 分鐘以內。67|自動 駕 駛 卡車量 產白皮書3.7網絡安全嬴徹科技在量產開發過程中，始終堅持安全至上的原則，堅持正向信息安全設計和開發，開展各類信息安全測試驗證活動，持續監控和解決各類潛在網絡風險，嚴格審核各類數據的采集、使用、存儲的合規性，確保量產自動駕駛車輛能滿足信息安全法規要求，守護用戶生命財產及個人隱私安全。構建行業領先的車輛信息安全開發體系嬴 徹 科 技 嚴格 遵 循 ISO/SAE-21434 開發 方

99、法論，搭建了行業領先的信息安全開發體系，構建了涵蓋產品定義、研發設計和生產運營的全生命周期閉環的信息安全方案，引領商用車信息安全的最佳實踐。目標是于 2022 年內獲得商用車行業首個ISO/SAE 21434 道路車輛-信息安全工程管理體系認證。信息安全測試驗證 正向驗證：安全團隊構建了自動化安全測試平臺，結合安全需求和信息安全漏洞，導入了一批安全測試項及一系列安全測試用例，包括調試口訪問安全、遠程登錄安全、內網通信等，構建了標準化、快速、批量的完成網絡安全測試的能力。量產級信息安全需求和安全方案 通過對 300+商用車應用場景深入研究，建立從正向出發的信息安全風險評估方法。識別出了 179

100、類網絡安全風險，并形成嬴徹科技特有的漏洞庫。打 造 了 6 層 縱 深 防 御 體 系，涵 蓋 云-管 道（AirLink）-車端入口（T-Box）-車端咽喉（網關）-車內網絡-關鍵零件。提出了近 500 多項安全需求，涵蓋編碼、密鑰、診斷、操作系統、升級、啟動、車聯網云端信息、網絡通信、敏感數據管理與防護等九類。將隱私計算等前沿安全技術與產品功能融合，涵蓋云、管、車端入口、車內網絡，設計驗證了一系列安全方案使得產品的信息安全能力達到了行業領先水平。68|自動 駕 駛 卡車量 產白皮書產業合作伙伴聯防聯控伴隨著汽車聯網和軟件頻繁升級迭代，汽車不再是一錘子買賣，網絡安全逐漸成為動態變化的問題。為

101、及時應對層出不窮的各類全新信息安全問題，嬴徹科技與地圖、差分定位、網絡運營商等產業合作伙伴已經打通應急響應機制，聯防聯控地開展持續性網絡安全監控和應急響應，確保能夠及時發現、響應、處置各類安全風險，7x24 小時保障車輛信息安全。逆向驗證：嬴徹科技聯合全球領先的騰訊科恩實驗室對整車及自動駕駛系統開展安全測試驗證，通過頂尖黑客對車輛系統模擬攻擊，范圍涵蓋了接觸式、近場、遠程等多個種類，驗證車輛的信息安全能力。嬴徹科技與主機廠聯合開發的自動駕駛重卡通過了各項嚴格攻擊測試，綜合評估產品的信息安全能力達到了商用車領先水平，在行業內也達到了先進水平。69|自動 駕 駛 卡車量 產白皮書3.8人機交互系統

102、量產自動駕駛卡車在人機交互方面的挑戰對處于人機共駕階段的 L3 能力級別智能重卡，人機交互系統的設計至關重要。友好的人機交互設計可以有效地幫助安全員獲取到自動駕駛相關的關鍵交互信息，提升對系統的信任，減少自動駕駛使用過程中的焦慮與疲勞，最終讓整個行車過程更加安全和高效。對于高級別的自動駕駛，由于涉及到駕駛權的轉移，顯著增加了人機交互設計和實現的難度。根在商用車和干線物流的應用場景下，除了行業本身在人機交互層面的乏善可陳和技術制約外，上述的設計難點突出體現在：長距離、高強度的運輸任務容易導致疲勞，尤其在夜間駕駛時段。據 NHTSA（National Highway Traffic Safety

103、Administration，美國高速公路安全管理局）的調研，在其所著的 Human Factors Design Guidance for Level 2 And Level 3 Automated Driving Concepts一文中指出，L2 及以上級別自動駕駛系統有一系列的設計難點。嬴徹科技對其進行了歸納整理并針對各難點建立了相應的設計原則。長時間使用自動駕駛，行駛在較單調的高速場景下，如何保持注意力。貨車安全員群體所需的清晰且明確的交互信息和操作提示。嬴徹科技設計原則設計難點對自動駕駛的信任自動駕駛的誤用、棄用及濫用安全員不在環的注意力保持自動駕駛失效的及時接管自動駕駛引發的疲勞笨

104、拙的自動駕駛駕駛模式的模糊提升安全員對于自動駕駛能力的信任，并且愿意使用和依賴系統所提供的交互信息有效減少安全員在不合理的場景下對自動駕駛的誤用甚至濫用，并能減少頻繁錯誤提示造成的棄用讓安全員不在駕駛狀態的情況下又能保持一定的注意力，及時獲取到關鍵的交互信息讓安全員能夠及時獲取到自動駕駛系統的失效信息，并減少接管的時長降低安全員在無駕駛任務情況下的無聊和困倦提升自動駕駛系統幫助人解決更具挑戰的駕駛任務的能力，而不僅僅是輔助人實現簡單的駕駛操作讓安全員及時且清晰的意識到車輛駕駛模式和駕駛主體的變化高級別自動駕駛系統人機交互的設計難點及其設計原則70|自動 駕 駛 卡車量 產白皮書多模態全冗余的人

105、機交互系統人機交互評價指標基于上述的設計原則和商用車干線物流的特殊場景，嬴徹科技設計并實施了業界首個視覺、聽覺、觸覺多模態全冗余的人機交互系統。該系統主要有三個方面的特點：多種方式獲取安全員關鍵信息，除了用常規的方向盤和踏板信息了解安全員的駕駛操作之外，該 系 統 還 使 用 了 DMS（Driver Management System）安 全員 監 控 系 統、HOD（Hands Off Detection）手握狀態檢測系統，用于實時監控安全員的疲勞、分心、離座以及駕駛手勢等狀態。在一系列人機交互設計的基礎上，結合實際運營的經驗，基于安全性的考慮，嬴徹科技總結出了三個核心的人機交互評價指標：

106、安全員激活自動駕駛系統的平均時長：從人機交互的角度，自動駕駛系統的運行可分為未就緒、已就緒、激活中、Fallback 等狀態。在各類內外部條件都滿足后，自動駕駛系統會提示系統已就緒。此時，安全員激活系統的平均時長越短，說明安全員越愿意使用該系統，也越信任該 多維度的交互，讓安全員及時有效了解自動駕駛系統運行的狀態，通過視覺、聽覺、觸覺的多模態交互傳遞各類關鍵信息，確保安全員快速建立對當前場景的意識與判斷。不同場景下分階段的交互策略，讓安全員從容處理不同緊急程度的事件。以接管請求為例，對于緊急程度高的事件，會同時觸發視覺、聽覺、觸覺等多重提醒，期望安全員在更短時間內接管車輛；而對于緊急程度低的事

107、件，會優先以更柔和的方式提醒安全員，讓安全員更平穩地接管車輛。系統的綜合表現。百公里疲勞次數：將安全員的疲勞等級根據人臉的狀態、眼球的活動、面部的姿態等進行劃分。友好的人機交互應能有效降低各級疲勞發生的次數。接管績效：自動駕駛系統的人機交互，需要權衡接管的及時性和接管質量，讓安全員在及時接管的同時又能兼顧每次接管的質量，從而確保該次接管是足夠平穩和安全的。方向盤&硬按鍵：HOD 握姿監測 ADS 交互開關DMS 駕駛員監控：疲勞/分心監測 危險行為Inceptio ADS系統中控&儀表：GUI（Graphical User Interface）交互 TTS（Text To Speech）播報提

108、醒氛圍燈帶視覺報警氣墊座椅：震動提醒 預警電動安全帶*圖：嬴徹科技-多模態全冗余人機交互系統71|自動 駕 駛 卡車量 產白皮書4流程與工具流程與工具是保障自動駕駛重卡產品研發制造質量與效率的重要基礎，貫穿設計、開發、驗證和生產制造的全過程。嬴徹科技通過實踐，以“正向開發、兼顧敏捷”為原則，構建了基于 V 模型理念的研發流程體系，包含整車正向開發流程、生產準備流程、測試驗證流程和自動駕駛軟件敏捷開發流程等四項關鍵流程：整車正向開發流程由嬴徹科技與主機廠伙伴聯合制定，面向整車和核心零部件的聯合研發，保障自動駕駛整車與零部件研發的嚴謹性和合作效率，其中包括生產準備流程和測試驗證流程。生產準備流程面

109、向整車產品的生產制造，貫穿整車開發全過程，包括制造方案策劃、實施、驗證及驗收確認等，確保產品成本、生產交付以及質量目標的達成。測試 驗證流程通 過 構建 完 整的 測試 驗 證 體系，從軟件、硬件、系統、車輛各層面進行充分驗證，保證自動駕駛卡車達到各級設計目標、安 全可靠。嬴徹科技的測試驗證流程包括 SIL（Software In Loop，軟件在環）、HIL4.1流程與工具概述（Hardware In Loop，硬件在環）、DIL（Driver In Loop，駕 駛 員 在 環）、LST（Large Scale Test On Proving Ground，封閉場地測試）、ORT（Open

110、 Road Test，開放道路測試）共 5個環節。自動駕駛軟件敏捷開發流程是嬴徹科技為支持自動駕駛系統以數據驅動的方式快速迭代而專門建立的。在遵循量產車型正向開發嚴謹性的前提下，應對自動駕駛系統中深度學習算法和需求定義的不確定性對開發過程所帶來的挑戰。嬴徹科技的研發流程體系源于自動駕駛卡車量產開發過程中的持續實踐與探索，試圖解決整車正向開發的嚴謹性、軟件開發的敏捷性、自動駕駛算法與需求的不確定性之間的沖突與融合對行業帶來的全新挑戰，在持續優化中。自動駕駛整車正向開發流程生產準備流程測試驗證流程自動駕駛軟件敏捷開發流程*圖：嬴徹科技-自動駕駛整車與軟件開發流程72|自動 駕 駛 卡車量 產白皮書

111、4.2自動駕駛軟件敏捷開發流程自動駕駛卡車的量產涉及到極為復雜的軟硬件一體化系統的開發，既要遵循正向開發的嚴謹性，也要應對自動駕駛系統中被大量應用的深度學習算法和需求定義的不確定性。嬴徹科技在量產實踐中對 V 模型開發、敏捷開發和測試驗證體系進行了創新性融合，建立了自動駕駛軟件敏捷開發流程。V 模型開發模式是汽車研發體系的經典開發模式。V模型的左半邊對應需求分解傳遞過程，確保每一條需求都正確傳遞到開發端；其右半邊對應測試驗證過程，確保每一條需求都得到正確的實現。V 模型的優勢在于：需求正向傳遞、層層分解，各層級解耦，有利于復雜系統集成。各層級需求可追溯，避免需求遺漏。分階段測試，提前驗證，有利

112、于及早發現問題。測試及需求可追溯，有利于快速定位問題原因。敏捷開發模式在軟件產業中被廣泛應用，根據需求的價值優先級，分多次持續快速地將軟件交付給客戶，收集使用反饋并進行不斷優化。特點是快速迭代、小步快跑，非常適用于需求變化快、響應速度要求高的情形。測試驗證體系確保自動駕駛卡車可以安全可靠地大規模投入應用，經受全場景、高強度的運輸任務考驗。嬴徹科技的測試驗證體系包括 SIL（軟件在環）、HIL（硬件在環）、DIL（駕駛員在環）、LST（封閉場地測試）、ORT（開放道路測試）共 5 個環節。*圖:嬴徹科技-自動駕駛軟件敏捷開發流程73|自動 駕 駛 卡車量 產白皮書自動駕駛軟件敏捷開發流程的設計

113、需求定義與設計：V 模型左側對應設計過程，自頂向下共計四層，依次為需求分析、整車系統設計、自動駕駛域架構設計、自動駕駛軟件模塊設計。測試與驗證：V 模型右側對應測試驗證過程，與左側設計層次一一對應，自底向上依次為單元測試、集成測試、系統測試、驗收測試。每個層次的測試都從嬴徹科技測試驗證體系中分配了相應的完整測試步驟。敏捷迭代閉環：在 V 模型左側的軟件模塊設計和 V 模型右側的四層測試驗證過程之間，通過敏捷開發模式貫穿起來，獲得足夠的敏捷性和效率。自動駕駛軟件敏捷開發流程的使用自動駕駛軟件敏捷開發流程可以有效解決實際開發過程中的需求與挑戰：開發缺陷修復（Bug Fix）：自動駕駛因其系統和運行

114、環境的高度復雜性，以及早期系統設計需求的不完美和不確定性，導致在 V 模型右側測試階段很難如傳統 V 模型一樣對左側對應層級的設計進行徹底充分的驗證。為了解決該問題，嬴徹科技部分融合敏捷開發的思路，相較于傳統 V 模型，在模型右側進行更廣泛層級的迭代測試，直到充分發現并修復開發缺陷。例如，在自動駕駛避讓功能的測試驗證過程中，不僅在低層模塊級和跨模塊級測試中采用 SIL 和 HIL進行大量仿真性的壓力測試，還在高層系統級和驗收級測試中采用封閉測試場和開放測試路段進行路測，過程中發現的開發缺陷都會快速納入下一次迭代中。這個迭代過程不斷快速循環，直到開發缺陷充分收斂，滿足軟件釋放質量要求。對確定性需

115、求的性能持續優化：嬴徹科技在實踐中體會到，自動駕駛系統在應用中發現的大量問題不是由于系統功能開發缺陷導致的，而是源于系統應對復雜場景的性能不足。只有在真實道路上長時間地運行才能發現系統能力短板，尤其是出現頻次很低、較難復現的長尾問題。對于此類問題，可結合敏捷開發的思路，在符合安全設計要求的條件下，盡可能快速地投入實際運行環境，收集反饋、迭代優化性能。比如，“車輛畫龍”是重卡自動駕駛系統運行中遇到的一個典型問題，其受到諸多長尾因素的影響，包括運行狀態（超車/直行）、定位誤差、地圖錯誤和底盤轉向器性能缺陷等。在大規模運行情況下，每個因素都是概率性的、影響權重不同且可能與運行環境高度相關，導致不可能

116、一次解決所有問題根源。應當快速迭代，收集實際運行數據并統計分析影響權重，制定有針對性的優化策略。整個過程不斷迭代，直至最終徹底解決。SILHILDILLSTORT驗收測試系統測試集成測試單元測試測試驗證流程與方法74|自動 駕 駛 卡車量 產白皮書 對不明確需求定義的持續迭代：自動駕駛重卡作為一個極為復雜的新技術產品，既要滿足安全、時效、成本三方面的要求，也要在很長時間內滿足人機共駕的特殊需求。這導致大量需求定義必須從多種不同維度考慮和權衡，從而使需求定義很難做到一步到位，只能逐步迭代。例如，在自動駕駛重卡產品開發的早期，對控制精準性的極度追求導致頻繁轉向制動，顯著影響油耗水平和零部件的耐久性

117、，導致產品不具備商業落地的可行性。此類問題需要通過敏捷開發快速迭代，基于大量道路運行數據逐步優化 V模型左側的需求定義。4.3整車正向開發流程整車開發需要遵循嚴格的正向開發過程和產業鏈上下游的緊密配合，涉及到嬴徹科技、主機廠和供應商合作伙伴。為充分保證自動駕駛重卡量產項目的開發及質量目標，嬴徹科技與 OEM 伙伴在項目初期共同商定了整車項目的開發流程，以“V”模型開發流程為基礎，并兼顧軟件開發的敏捷迭代，將汽車開發與軟件開發的流程創新性融合，有效支持了這一全新項目的開發效率和交付質量。1.預研究1.1 項目建議書1.2 項目概念立項1.3 項目合作簽署1.4 商品企劃書發布2.概念設計2.1

118、電子架構、電氣原理2.2 系統、子系統、零部件需求2.3 ADS、線控底盤等系統技術方案2.4 DIA、HARA 分析、FSR 定義2.5 ADS 供應商定點2.6 概念設計論證：A 樣車改裝3.詳細設計3.1 AD 部件、支架、線束、制動、轉向、電源等專用件詳細設計，動力經濟性、CAE 等仿真分析3.2 TSR 定義、FTA、FMEA 分析3.3 B 樣車整車設計文件發布3.4 設計驗證及樣車策劃3.5 同步工程、制造方案4.設計驗證4.1 車端部件定點4.2 硬件準備、軟件開發，及零部件 DV、系統設計驗證4.3 B 樣車試制、評審4.4 系統、整車功能調試、性能標定，寒區、高溫、耐久驗證

119、4.5 制造產線實施5.認證與生產準備5.1 部件 PV5.2 C 樣車產線裝車、公告認證5.3 D 樣車批量爬坡、驗證5.4 C 車運營可靠性驗證5.5 AD 功性能驗收、凍結釋放5.6 售后策劃6.SOP6.1 合規管理6.2 開發品質6.3 部品品質6.4 制造品質6.5 服務品質6.6 銷售支持開發實施需求分析及設計定義集成測試及設計驗證預研究概念設計詳細設計設計驗證SOP認證與生產準備*圖:整車開發流程圖示75|自動 駕 駛 卡車量 產白皮書整車開發的質量管控采用了“質量閥門評審”的管理方式，由嬴徹科技和 OEM 質量團隊根據項目的具體情況設置閥門交付內容及評審節點，并隨項目主計劃按

120、節點邀請雙方項目指導委員會進行閥門評審，以保證嬴徹科技自動駕駛系統滿足車規前裝量產的要求，同時保證整車開發階段性目標的達成。過程中基于閥門評審要素和通過標準，組織各專業組按照項目計劃節點管理要求，完成閥門交付物的編制、評審、歸檔等工作。預研究預研究概念設計概念設計詳細設計詳細設計設計驗證產品設計驗證產線驗證SOP認證與生產準備概念門：1.項目建議書2.概念評審3.自動駕駛系統方案評估4.制造策略商品合同門：1.技術及特性達成（如自動駕駛特性）2.整車試驗問題優化及關閉方案3.制造達成方案4.質量評價及質量目標狀態5.整車特性達成（如自動駕駛功性能）商品定義門：1.市場定位及競爭力分析2.整車詳

121、細方案評審3.制造方案4.功性能達成情況5.標定項及檢測規范要求SOP 門：1.設計開發2.生產準備3.質量達成4.服務準備5.銷售計劃4.4生產準備流程生產準備作為整車量產開發項目的一項重要內容貫穿整個項目的各階段。在項目初期便需要開始進行方案策劃，并隨項目的進展一同開展制造方案實施，驗證及驗收確認等工作。生產準備工作的質量最終影響項目的成本、周期以及商品質量目標的達成。自動駕駛技術量產同其他新技術的應用一樣，不僅對于開發端，對于制造端同樣面臨著全新而又復雜的挑戰。*圖:生產準備工作概述*圖:質量閥圖示（各質量門僅列舉部分評審項）制造工藝可行性評估、方案草案制造周期草案制造投資預案試制驗證工

122、藝 SE 問題100%關閉產線建造、調試產線作業、檢查等工藝 文件產線人員培訓產線試裝、爬坡策劃產線驗證工裝、工藝問題關閉工藝 SE 分析、及問題跟蹤RPS 定義、GD&T 圖、力矩清單電檢及下線檢測規范產線建造方案工藝 SE 可行性評估76|自動 駕 駛 卡車量 產白皮書自動駕駛重卡整車量產項目并不需要新建整車產線，但需對 OEM 已有產線進行升級與改造，主要包括兩方面工作：新增智能部件（包括傳感器、ADCU、線控系統等）的裝配工藝，對現有產線的整車制造工藝順序、生產工藝文件及工裝設備進行新增或調整。工藝環節關鍵質量特性的管控是自動駕駛量產的重要前提，直接影響到量產車輛制造質量，并進一步影響

123、自動駕駛系統的安全、舒適性和穩定性：硬件安裝精度控制：自動駕駛感知部件的高精度探測要求有賴于整車尺寸鏈的嚴格控制，這要求核心車身部件均需 100%電子檢測以保障部件尺寸、安裝角度及平整度，確保車輛在長期運行過程中依然可以保障傳感器相對于整車的位置精度；線控底盤標定及檢測：要求高精度的轉向及制動系統的標定和調校，保障車輛在自動駕駛狀態下的動力學性能；整車裝配下線后，需針對自動駕駛系統，實施特定的檢測、調試和標定工藝，從而實現自動駕駛系統產品的高精度裝配、系統性調試及質量檢測。傳感器及定位系統的動靜態標定：確保各傳感器及定位系統輸出信號的準確性；自動駕駛功性能的動靜態檢測：保障車輛在出廠狀態下具備

124、完整的自動駕駛功性能，并得到測試確認。以嬴徹科技與主機廠聯合開發的智能重卡量產項目為例，雙方聯合構建的自動駕駛生產工藝方案及工藝要求為自動駕駛系統的前裝量產奠定了堅實的制造技術基礎。傳統重卡標準檢查項智能重卡定制檢查項*圖:自動駕駛整車下線調試檢測過程示意77|自動 駕 駛 卡車量 產白皮書嬴徹科技與主機廠伙伴在實現首個自動駕駛卡車量產開發的過程中，經歷了不同階段的量產準備工作，隨著自身技術和產品的不斷完善及與量產合作伙伴的深入合作，逐步完成了全棧自研車規級產品的穩定交付，實現了與整車制造的融合及工藝定制化升級，建立了穩定的規?；慨a交付能力，為智能重卡市場及物流行業提供持續的產品供應?？傃b工

125、藝與調試總裝產線建設新增生產線安裝工位，調整生產工序聯合匯編自動駕駛制造工藝及質檢文件定向開發產線端自動駕駛故障診斷功能聯合匯編自動駕駛測試案例及調檢項目實施整車全扭矩控制、整車懸架調平等工藝要求增設整車調試檢測流程建設自動駕駛感知部件標定場地建設冗余轉向及冗余制動標定工位建設智能駕駛測試跑道方案樣例類 型零部件生產及品控進行設計及生產圖紙尺寸的公差收嚴增設零部件檢測工位及電子檢測工具嬴徹科技與主機廠聯合開發智能駕駛項目產線準備方案示例78|自動 駕 駛 卡車量 產白皮書4.5測試驗證自動駕駛車輛安全可靠地投入實際運營前，既要確保其功能和性能滿足設計要求，又要確保車輛可以滿足全國各地高強度的運

126、輸任務考驗。這些量產要求給自動駕駛的測試驗證帶來了諸多挑戰：海量測試場景的覆蓋 深度學習算法的驗證 功能安全和環境耐久帶來的嚴苛測試要求為了應對這些挑戰，保證自動駕駛車輛的安全可靠，必須構建一套完整的測試驗證體系，從軟硬件、系統、車輛各層面進行充分的驗證。嬴徹科技的智能重卡量產測試驗證體系基于 V 模型與敏捷開發流程進行了創新性拓展，對需求與交付物做到“可追溯”、“可解釋”、“可評估”。嬴徹科技的測試驗證體系包括基于云平臺的自動駕駛場景庫和 5 個具體的測試實施步驟：仿真測試：包括 SIL（Software In Loop，軟件在環）、HIL（Hardware In Loop，硬件在環）和 D

127、IL（Driver In Loop，駕駛員在環）。實 車 測 試：包 括 LST（Large Scale Test On Proving Ground，封閉場地測試）和 ORT（Open Road Test，開放道路測試）。在嬴徹科技的測試驗證體系中，軟硬件必須全部通過5個測試步驟才能允許投放到量產運營的車輛中。*圖：嬴徹科技-測試驗證體系79|自動 駕 駛 卡車量 產白皮書自動駕駛場景庫場景庫是自動駕駛測試體系的紐帶，也是核心資產。充分挖掘場景數據，并高效利用這些數據是開發與測試的關鍵。嬴徹科技的自動駕駛場景庫由功能定義場景、數據驅動場景、公用庫、執行與評估 4 個模塊組成（如下圖所示）。其

128、中：功能定義場景與數據驅動場景是嬴徹科技基于場景的不同來源進行的分類，這有利于場景的多維分析。公用庫基于統一的場景標準格式，提供場景地圖和虛擬車輛等核心元素，并設置了預覽功能。公用庫顯著地提升了場景設計的效率，也有利于場景的泛化。執行與評估模塊與特定的仿真平臺建立連接，高效帶動了整個場景的運轉，通過高效的協同機制，促進開發與測試的迭代優化。嬴徹科技場景庫中的功能定義場景是基于產品定位和系統需求設計的虛擬場景，也稱為基于知識分析的場景。功能定義場景模塊具備從“功能場景”到“邏輯場景”再到“具體場景”的設計能力。頂層的“功能場景”是基于抽象化語義定義的場景，包括“基礎功能場景”、“法規標準場景”、

129、“功能安全場景”、“預期功能安全場景”、“事故場景”、“極端情況場景（Corner Case）”共 6 大類，數量在 1000 個左右。中間層的“邏輯場景”基于標準協議設置了完整的參數空間，定義了明確的動作類型，數量在 1 萬個左右。底層的“具體場景”是可以加載到具體仿真平臺的可執行文件，由“邏輯場景”泛化而來，數量在 10萬個以上?！熬唧w場景”可基于不同的測試計劃生成“場景集”，服務于不同的測試任務。嬴徹科技場景庫中的數據驅動場景是指量產投入商業運營的車輛采集的海量真實場景。通過對采集得到的海量數據進行自動化語義分析，為原始數據加入結構化語義標簽。嬴徹科技基于 600 萬公里運營數據，積累了

130、超過 200 萬個真實片段場景，對其中高價值場景，賦予了 7 大類一級標簽、200 多個二級標簽，生成了面向自動駕駛各環節的 70 個場景子集?；谝恢碌恼Z義標簽，“數據驅動場景”能夠反向補充“功能定義場景”，該能力提升了嬴徹科技自動駕駛場景庫的廣度和精度，使測試獲得極高的覆蓋率。*圖：嬴徹科技-自動駕駛場景庫80|自動 駕 駛 卡車量 產白皮書基于仿真的測試嬴徹科技采用 SIL、HIL、DIL 三級仿真方案，分別面向軟件、硬件、系統功能進行驗證。從“高置信度”、“高覆蓋率”、“高自動化”三個維度提升仿真的能力。SIL（Software In Loop，軟件在環）：嬴徹科技 SIL 平臺充分利

131、用場景庫中海量數據，可獲得較高的測試覆蓋率。自主開發的高保真仿真引擎，具備與實車高度相似的一致性，可順利完成從問題復現，到診斷、驗證、回歸測試的完整迭代閉環。分布式的云端部署方式，擁有高達數萬主車并行仿真能力。SIL 仿真平臺中集成了 200多個度量指標（Metrics），能夠對單個任務內的數千個場景，從 200 多個維度進行全面的效果評估。*圖：SIL 仿真測試過程 HIL（Hardware In Loop，硬件在環）：自動駕駛系統的 HIL 系統由仿真器、傳感器模型、車輛動力學模型、數據轉換器、實時處理系統組成。HIL 系統可以快速地實現自動化測試，并能靈活注入故障，完成功能安全測試和壓力

132、測試任務。嬴徹科技的 HIL 系統在多個方面進行了創新設計，力求獲得高置信度的傳感器仿真數據、高精度的車輛動力學模型和高覆蓋率的測試場景。在傳感器仿真上，基于合作伙伴的特定型號開發了攝像頭、激光雷達、毫米波雷達和 GNSS的物理模型并加入了噪聲?；诤献骰锇榈闹匦涂ㄜ囬_發了多自由度車輛動力學模型，模型物理屬性與實車保持高度一致。在場景設計上，采用高精度地圖作為底圖設計動態交通流。嬴徹科技的 HIL 系統與 SIL、DIL 共用了云端場景庫，海量的測試場景提升了測試的覆蓋率。*圖：嬴徹科技 HIL 系統框架81|自動 駕 駛 卡車量 產白皮書 LST（Large Scale Test On Pr

133、oving Ground，封閉場地測試）:封閉道路的 LST 測試主要基于干線物流高速 ODD 以及商業運營重點關注指標來設計測試場景。從 3500 個測試場景中進行針對性提取，并結合隧道、匝道、上下坡和多車道等道路環境，設計不同目標和駕駛行為。測試評判標準從安全性、經濟性和功能完整性進行充分評估，對涉及安全類的問題零容忍，保證所有后續釋放到公開道路的軟件符合設計預期，且在公開道路上遇到的小概率場景上做到100%安全。ORT（Open Road Test，開放道路測試）:開放道路的 ORT 測試在 LST 之后執行。每一版本軟件釋放公開道路后，單車首先要在固定路線進行小范圍壓測，對測試結果從自

134、動駕駛系統功性能表現及 20 多項指標上進行多方位評價。所有指標和性能相比上一周期版本指標需在有明顯優化，且無安全類風險事故發生的前提下，釋放到更大范圍商業運營路線上做 ORT 測試。此時完全按照干線物流客戶的載重、單日里程、行進軌跡等要求全面復制運輸過程，從時效、油耗、系統穩定性上再次進行評估。上述所有指標及表現在滿足要求后，釋放到量產車輛，保證正式交付版本的安全、高效、可信賴?；趯嵻嚨臏y試嬴徹科技與合作伙伴聯合開發量產的智能重卡，嚴格遵循汽車及零部件的相關試驗標準。所有的自動駕駛相關零部件都需要經歷嚴苛的振動、高低溫沖擊、鹽霧、電磁干擾等諸多環境耐受度試驗。同時整車層面也需要經歷高溫耐久

135、、低溫耐久、加速耐久等多項實車測試，確保車輛滿足 120150 萬公里的耐久要求。除了以上量產標準化測試以外，量產智能重卡的測試驗證體系結合干線物流 ODD 及自動駕駛功性能要求，完整建立了封閉道路的 LST（封閉場地測試）和開放道路的 ORT（開放道路測試）來進行驗證。DIL（Driver In Loop，駕駛員在環）:人機共駕是自動駕駛行業必須認真對待的課題。嬴徹科技自主開發了一套功能完整的 DIL 系統來研究并解決這一難題。為了獲得較高的駕駛沉浸感，嬴徹科技 DIL 系統采用了與實車高度一致的內艙設計，同時在人機交互系統上提供視覺、聽覺、觸覺多維接口。為了便于模擬真實的場景，DIL 系統

136、的靜態路網完全基于實采高精度圖創建，并疊加可動態設置的交通流模型。嬴徹科技的 DIL 系統是行業內首個嵌入了真實自動駕駛域控制器（ADCU）和 HMI（Human Machine Interface）控制器的駕駛員在環系統，使這套系統既滿足研究需求，同時又具備了高置信度的自動駕駛功能測試能力。*圖：嬴徹科技 DIL 系統的外艙（左）與內艙（右）82|自動 駕 駛 卡車量 產白皮書CHAPTER 3嬴徹科技安全方法論與實踐第三章83|自動 駕 駛 卡車量 產白皮書嬴徹科技自創立伊始，即將安全文化植入企業的DNA。嬴徹科技認為，對自動駕駛系統最重要的要求就是具備足夠的可靠性和安全性（包含 Safe

137、ty 和Security）?！鞍踩哂谝磺小钡睦砟钬灤┯谫鴱乜萍籍a品從研發到量產的整個周期。公司要求每個嬴徹科技人都堅持風險控制和安全保障，充分實施經為保證自動駕駛系統和智能重卡的安全性，嬴徹科技建立了明確的設計開發步驟：首先，對配備自動駕駛系統的智能重卡提出了明確的功能安全設計目標和 Fail-Operational（系統發生故障時仍能使用）要求。長期檢驗的安全方法論。同時，嬴徹科技對于當前自動駕駛系統在安全方面所面臨的諸多挑戰有清晰認識。力求在量產過程中持續改良現有方法，務實探尋新的解決方案。然后，將這兩項最高目標具體化為流程安全、核心系統安全和整車安全三個維度的子目標。最后，將安全目標分

138、解成各個子系統和零部件的安全需求，并基于重卡和自動駕駛的技術現狀，分階段付諸實踐。12安全理念：安全高于一切安全開發準則84|自動 駕 駛 卡車量 產白皮書一輛具備自動駕駛功能的重卡必須具備高度的可信任性（Trustworthiness）。車規級是汽車行業最基本的要求。從安全的角度，自動駕駛智能重卡需要滿足明確的功能安全設計目標和 Fail-Operational要求。車規級要求是指智能重卡要在機械、電氣、電磁兼容性、環境耐久等方面要符合其使用環境所要求的最低技術指標。車規級要求包括環境要求，振動和沖擊等機械方面的要求，以及可靠性和一致性要求等。滿足功能安全設計目標是指整車必須達到一定安全級別

139、的安全目標。如整車須避免非預期的加速這一安全目標是 ASIL D 級別的。其中ASIL D 表示汽車安全完整性等級達到汽車功能安全領域的最高標準，意味著整車系統的隨機硬件失效概率指標低于 10-8每小時，單點故障指標等于或高于 99%，潛伏故障指標等于或高于 90%。Fail-Operational 是指發生故障后，整車安全相關的功能還能繼續運行，主要用來保障系統失效后的安全性。通過滿足以上幾方面的設計需求，嬴徹科技與主機廠伙伴聯合開發的智能重卡，不僅具備豐富的舒適性功能，更重要的是具備高度的可靠性和安全性。2.2整車安全 功能安全流程：嬴徹科技堅持正向研發，嚴格按照 ISO 26262 AS

140、IL D 的流程要求實施智能重卡的功能安全開發，并要求該流程體系通過認證。預期功能安全流程：按照 ISO 21448 的流程實施預期功能安全開發，并最大程度上實現其與功能安全流程的融合。網絡安全流程：在網絡安全開發工作中，遵循ISO/SAE 21434 的流程要求，并以通過流程認證為目標。支持性流程（Supporting Process）：功能安全和網絡安全流程的實施，離不開組織架構配合和項目執行中的支持性流程，包括問題管理、上升（Escalation）、持續改進和決策機制等配套流程體系。2.1流程安全85|自動 駕 駛 卡車量 產白皮書基于整車層面的安全目標，在自動駕駛功能實現鏈路上的各個核

141、心系統，將各自承接特定等級的安全需求和 Fail-Operational 要求。自動駕駛系統：為滿足從整車層面所繼承的功能安全等級和 Fail-Operational 要求，傳感器、域控制器、算法、軟件等組成部分都需承擔從整車層分配下來的功能安全等級要求。傳感器的安全需求可分為功能安全部分和預期功能安全部分。從功能安全角度來說，每個傳感器都需要按照各自的功能，滿足從頂層分配的功能安全等級要求，同時在單個傳感器失效時，保持總體功能可用。從預期功能安全角度來說，傳感器的選用和布置應該根據其特性，做到相互補充和加強，以提升整個系統的性能。自動駕駛域控制器 ADCU 需要從硬件角度滿足所承擔的安全等級

142、要求的指標，如隨機硬件失效概率度量指標等。ADCU 所提供的基礎功能，如存儲、網絡通信、供電、時間同步等，都需達到上層設計所需的功能安全等級。Fail-Operational 的需求同樣適用于 ADCU，并且十分重要。系統軟件需要按照所需的單點故障指標和潛伏故障指標等要求，對發生的故障進行診斷，并在檢測到系統故障時確保車輛安全，并支持安全員的及時接管。同時，系統軟件還要能夠檢測外部攻擊，確保系統的穩定運行。自動駕駛算法同樣需要符合所分配的安全需求。從功能安全角度，包括算法的架構設計、開發過程、所用開發工具、軟件發布等各個環節都應符合對應功能安全等級的具體要求，確保算法的輸出安全可靠。從預期功能

143、安全的角度，算法的能力需涵蓋 ODD 范圍內各種典型場景，并盡量提高極端情況（Corner Case）的覆蓋度，制定應對措施，提高產品安全性。線控底盤：智能重卡采用的線控底盤中的轉向、制動等執行器單元都需要有主、輔至少兩套控制系統，其中轉向、制動和動力系統各自作為一個整體負責承擔 ASIL D 級別的安全目標。主系統和冗余系統可以存在一些合理的安全分解，從而降低對單個零件的要求。每個執行器單元都應滿足各自的功能安全需求，同時主、輔系統相互配合，合理切換。電子電氣架構：E/E 架構中自動駕駛域控制器、智能網聯域控制器、車身域控制器，須各自承擔從整車層分配下來的特定功能安全等級要求。各控制器之間的

144、信號交互須按照功能安全要求進行通信保護，滿足數據完整性要求。各子系統的供電也需滿足所分配的功能安全等級和 Fail-Operational 要求。網絡安全：自動駕駛智能重卡需要確保其免受網絡安全攻擊。嬴徹科技在網絡安全方面的開發目標可以總結為兩點：第一，能夠保護智能重卡抵御各類潛在的網絡攻擊風險；第二，能夠保證各類數據采集、使用和存儲的合規性。人機交互系統：人機共駕階段，人機交互在自動駕駛任務中不僅比重很大，而且跟安全息息相關。嬴徹科技要求人機交互系統的設計能提升安全員對自動駕駛能力的信任。人機交互系統從功能上須具備可用性，即需要提供人機共駕任務中必需的交互信息，避免提醒過度或提醒不足。人機交

145、互系統能準確監控安全員的狀態，安全協調人工駕駛和自動駕駛之間的切換。人機交互系統系統中各個零部件都需滿足特定的功能安全等級。從預期功能安全角度，系統所提供的交互模式要易于理解和操作，有效減少安全員可能的誤用。2.3核心系統安全86|自動 駕 駛 卡車量 產白皮書為滿足智能重卡的第一設計要求安全，嬴徹科技從流程到技術實現，從整車到核心系統，均進行了非常體系化的開發實踐，也在一些行業尚無成熟解決方案的問題上持續進行探索。3安全開發實踐嬴徹科技的功能安全開發流程全面涵蓋整車和零部件開發，并于 2021 年通過 ISO 26262 ASIL D 認證。在整個組織架構和項目層面，嬴徹科技嚴格遵循 ISO

146、 26262 的相關要求進行功能安全設計和開發，涵蓋概念設計、系統開發、軟硬件開發、測試驗證和生產等產品全生命周期。針對深度學習算法和Linux 操作系統不符合功能安全要求的現狀，嬴徹科技主要在模塊化架構設計、軟件單元安全鑒定、算法冗余、針對深度學習和 Linux 操作系統的測試驗證等方面進行強化。嬴徹科 技根據 ISO 21448 進 行完整的 SOTIF 開發，并促進 SOTIF 和功能安全開發流程的融合。嬴徹科技從系統改進、請求安全員接管和人機交互優化等角度提出了一系列 SOTIF 安全需求。經過有針對性的測試和驗證，提高了系統和功能的能力邊界值，減少了安全員可能的誤操作，確保搭載嬴徹科

147、技自動駕駛系統的智能重卡具備高度的可信任性（Trustworthiness）。嬴徹科技依據 ISO/SAE-21434 開發方法論，建立了涵蓋產品定義、研發設計和生產運營的全生命周期閉環的信息安全方案，并正在進行ISO/SAE 21434 道路車輛-信息安全工程 管理體系認證。在公司和項目層面，嬴徹科技建立了完善的支持性流程，并配備了相應的工具，在量產項目中將其付諸實施。其中，問題管理流程支持問題發現、報告、分析、解決和關閉的全過程。針對本層級無法解決3.1安全流程實施ODD 內萬余種場景的安全分析涵蓋概念、系統、軟件、硬件的安全設計和需求，相互可追溯完善的設計和需求評審嚴格的代碼審查綜合運用

148、 SIL、HIL、DIL 和實車等多種測試方法安全至上的文化以安全為核心的組織架構設計功能安全能力建設質量管理體系根據項目進行安全開發管理嚴格的生產和質量把控流程規范的運營、操作、維護和報廢流程，易于使用、維護和升級詳盡而專業的安全員培訓體系*圖：嬴徹科技-功能安全流程實踐87|自動 駕 駛 卡車量 產白皮書考慮到商用車相對惡劣的使用環境和更長的壽命要求，嬴徹科技對各核心零部件建立了一套詳盡的測試標準。這套標準與商用車通用國標 GB/T28046的要求相比更為嚴格。此外，嬴徹科技結合自動駕駛的特性，針對實際場景，拓展了多項功能、性能測試內容。結合上述完整的硬件車規要求和驗證體系，嬴徹科技從機械

149、、電氣、電磁兼容性、環境耐久等方面對各零部件和整車進行了嚴格測試。歷經 EV、DV 和 PV等各個階段，使得智能重卡所采用的硬件套裝全都符合車規級要求，包括 ADCU、傳感器、天線、網關以及底盤子系統等。3.2車規級達標實踐的問題，會根據上升（Escalation）機制，逐層上報，直到問題被有效地討論、決策和解決。對于安全相關的決策，會根據影響范圍和嚴重程度，由相關專家和管理團隊進行決策。在公司層面成立了安全委員會，負責對重大安全事項做最后決策。另外，公司根據項目實踐經驗，持續改進公司的各項流程和管理策略，優化公司的安全開發工作。目前，自動駕駛行業針對未知的不安全場景尚無公認的場景庫和應對措施

150、。嬴徹科技在分析理解大量實車運行場景的基礎上，不斷探索提高仿真的真實性和有效性，從而利用仿真覆蓋更多的場景。另外，在評估自動駕駛系統的安全性方面，行業還非常缺乏明確、完整和統一的標準。嬴徹科技認為，平均每次接管的行駛里程間隔 MPD 只是評價自動駕駛能力的指標之一，但不是證明其安全性的充分條件。嬴徹科技基于測試樣車和快速增多的量產車的大量運行實踐，不斷開發各種安全度量指標（Metric），逐步建立和完善卡車自動駕駛系統的安全評估體系。嬴徹科技的自動駕駛系統，從硬件上已基本達到Fail-Operational 要求，并在核心部件和軟件模塊上實現了從頂層分配下來的功能安全需求。目前正在針對更多的具

151、體場景持續完善相應的安全策略。在功能定義上，根據觸發原因和風險等級不同，嬴徹科技設計的多級應急（Fallback）策略，支持不同時間間隔的安全員接管，并且在緊急情況下可以自動安全停車，從而滿足 Fail-Operational 要求。嬴徹科技的自動駕駛系統采用激光雷達+毫米波雷達+攝像頭的多種類型、冗余設計的傳感器配置，實現全車 360環境感知覆蓋。感知算法支持多路傳感器冗余輸入。各傳感器分別按照所需的功能安全等級來選型和開發。在單個傳感器發生故障的情況下，整個感知系統可以維持安全行駛所需的基本功能。各傳感器相互彌補短板，保證整個感知系統在ODD 范圍內應對各種場景都有足夠的性能。嬴徹科技自研

152、的自動駕駛域控制器 ADCU 是行業首個全冗余、高算力、車規級自動駕駛域控制器。它采用 CPU+SoC 的方案，充分利用 CPU 的高性能和SoC 的高安全等級。安全相關的軟件、算法運行在符合功能安全要求的芯片上。ADCU 實現了電源管理、系統診斷、失效處理恢復、時間同步等安全相關3.3自動駕駛系統安全實踐88|自動 駕 駛 卡車量 產白皮書嬴徹科技與主機廠伙伴聯合開發量產的智能重卡的底盤是行業首個全冗余線控底盤，支持 10 秒以上安全運行，并可實現安全停車。其中，線控制動系統具備三重冗余設計，主系統失效時，兩套冗余系統可按照設定的策略依次接管。線控轉向系統有一套主轉向和一套冗余轉向組成，為重

153、卡業內首創，同樣可在主轉向發生故障的情況下由冗余轉向系統接管。針對整車層面的防止非預期減速和非預期轉向等安全目標，嬴徹科技在自動駕駛系統中開發了部分針對線控底盤的故障診斷和響應機制，保證行車安全。當前，供應商伙伴提供的部分底盤子系統（如轉向系統）的功能安全開發只滿足了嬴徹科技提出的一部分安全需求。嬴徹科技通過自動駕駛系統加強監控來補足安全性，但這尚不是最高效的手段，正在聯合供應商伙伴進行相關子系統的補充開發，令其達到功能安全的要求。同時，推動供應商啟動研發完全符合自動駕駛和功能安全要求的新一代線控底盤子系統。3.4線控底盤安全實踐的功能和監控。同時，A/B 面的設計可以在一套系統失效的情況下，

154、冗余系統在設計時間內及時接管，實現 Fail-Operational。軟件和算法從故障診斷、故障響應、性能強化三個方面進行安全開發，支持 5 大類超過 2000 項實時故障監控。一旦檢測到故障，系統立即觸發對應等級的 Fallback 機制，并在有需要時執行主備控制系統的熱切換。嬴徹科技獨創的 ISC（Inceptio Safety Checker）安全校驗可同時覆蓋功能安全和預期功能安全，識別因系統故障或性能不足所引發的安全風險。一旦識別到碰撞風險，系統將通過人機交互系統通知安全員，并在必要條件下執行安全停車。當前，自動駕駛系統中采用的部分硬件和軟件不完全符合功能安全要求，例如，部分芯片不符

155、合功能安全要求，深度學習算法的安全驗證還沒有行業統一的方案，等等。嬴徹科技正在持續不懈地解決這些行業新問題，并在過程中與產業伙伴緊密合作。此外，如何平衡自動駕駛的安全性和舒適性，尚處于探索過程中。在當前技術條件下，如果為了更智能的功能和更高的自動駕駛占比，而放松一些安全限制，就會增大自動駕駛車輛的安全風險。如果因為探測到安全風險而頻繁觸發 Fallback，那么自動駕駛功能的可用性和安全員體驗就會打折扣。嬴徹科技在不斷優化系統的性能邊界和安全策略，力求在保證安全的前提下，盡可能提升系統的可用性和安全員體驗。嬴徹科技與主機廠伙伴對商用車行業的整車電子電氣架構進行了大量的重新設計和優化，成為行業首

156、個域集中式、全冗余、多通訊鏈路、具備整車 OTA能力的架構。另外，嬴徹科技通過仿真臺架和實車測試充分驗證各子系統集成后的配合情況，測試確認功能要求和性能要求的達成度；并通過故障注入測3.5電子電氣架構安全實踐89|自動 駕 駛 卡車量 產白皮書嬴徹科技針對智能重卡設計了全方位網絡安全方案，涵蓋云、管、車端入口、車內網絡等?？蓱獙Χ喾N商用車應用場景攻擊，全面保障自動駕駛系統的密碼安全、數據安全、通信安全和系統安全。例如，對 ADCU 硬件設置 HSM（Hardware Security Module）、SHE（Secure Hardware Extension）等特定的安全硬件，可以對數據進行加

157、密、解密、密鑰在智能重卡的人機交互系統研發方面，嬴徹科技與主機廠伙伴進行了大量合作，綜合運用多模態、全冗余交互，提高系統的安全性。將安全相關的信息和提醒，通過聽覺、視覺、觸覺等多種模式以及不同屏幕傳遞給安全員，確保提醒充分。在設計方面，根據交互的類型和請求接管的原因、危險和緊急程度等，嬴徹科技制定了不同的接管優先級。在內容方面，嬴徹科技的人機交互系統通過多種可視化信息增強安全員對自動駕駛系統的信任度。在預期功能安全方面的實踐方面，尤其關注防止可預見的安全員誤操作，一方面，嬴徹科技不斷優化安存儲、簽名驗證等操作。通過實施數據機密性保護、完整性保護等機制，對系統和應用敏感數據（如密鑰、密碼等）進行

158、保護，防止系統、應用和用戶因未經授權的訪問而導致的敏感數據的盜竊和損壞等安全或隱私風險，為自動駕駛重卡的運營構建安全的環境。全員狀態監控和提醒策略，提升對安全員狀態識別的準確度。另一方面，通過優化不同模態提醒的組合方式，逐步實現人機交互系統的易用和好用，即易于理解、易于使用、不存在過度設計和防止誤用，增強安全員對于自動駕駛系統的信心。在如何設計一套優秀的人機交互系統方面，嬴徹科技結合人因工程研究和設計的經驗，正在實踐中繼續探索優化。3.6網絡安全安全實踐3.7人機交互系統安全實踐試、回歸測試等方法，測試確認功功能要求和性能要求的達成度，安全目標是否達成。相對于乘用車領域主流的電子電氣架構和技術

159、指標，商用車的電子電氣架構在功能安全方面的成熟度要低很多。因此，嬴徹科技與主機廠伙伴合作進行的大量重新開發，保證了當前量產車型電子電氣架構的安全性。同時，嬴徹科技在聯合主機廠伙伴進行正向研發，目標是在下一代智能重卡的電子電氣架構中完全滿足自動駕駛和功能安全的要求。90|自動 駕 駛 卡車量 產白皮書在智能重卡和自動駕駛系統的量產開發實踐中，我們深刻體會到自動駕駛系統的安全開發任重道遠，有一系列的行業性質的全新挑戰有待解決，例如：如何保證 ODD 內極端場景的覆蓋：目前自動駕駛全行業正在大量累積數據，用數據驅動算法迭代。但是，對于自動駕駛而言，需要覆蓋的ODD 范圍是復雜且多變的，多個維度的 O

160、DD要素往往以矩陣式的關系交織組合在一起，造成了場景的指數增長。針對更高階的 L4 自動駕駛，面對充分覆蓋 ODD 場景所形成的組合爆炸（Combinatorial Explosion），現有的數據采集模式和測試方法難以滿足要求?；诜抡婧蛿祿鰪姷募夹g會被越來越多的應用。深度學習模型的不可解釋性和不可預測性：深度學習是一個基于統計學的人工智能技術。對于自動駕駛這樣極其復雜的場景，其泛化能力比較差，對于極端情況（Corner Case）的結果有不確定性，這對傳統的安全分析機制提出了4行業性挑戰挑戰。業界也充分認識到這一個問題并嘗試解決，比如添加一套基于規則的校驗機制，以及新的方法論（SOTIF

161、）。這些措施有效性尚待在實踐中的驗證。自動駕駛操作系統的功能安全合規：自動駕駛系統要求操作系統具備實時性，滿足功能安全、信息安全等要求，而 Linux 操作系統并不滿足這些要求。行業的應對方式是在 Linux 內核上進行二次開發，或將 Linux 與符合安全要求的操作系統（如 QNX）搭配使用，但這些方式都比較碎片化、效率低、開發成本高?；旧?，致力于通過安全認證的車規 Linux 都還處在開發過程中。嬴徹科技正在自己的量產項目中積極探索解決方案，更希望與行業伙伴加強合作，加速推動這些問題的解決。91|自動 駕 駛 卡車量 產白皮書CHAPTER 4 展望未來：自我演化，走向無人駕駛第四章92

162、|自動 駕 駛 卡車量 產白皮書嬴徹科技通過 3 年多的努力，實現了 L3 能力級別智能重卡的量產落地。為了進一步實現 L4 級別的自動駕駛重卡量產落地，還需實現三個跨越：更好的 ODD 覆蓋率，應對各類突發的動態場景。由于不再依賴安全員，在特定路段內，需要系統可以自主應對各類潛在動態事件。比如，可以應對雨雪霧等低能見度極端天氣，響應臨時限速標牌，自主繞行臨時施工隔離路段，響應交警的人工指揮，主動避讓各類異物等。這就要求，靜態 ODD（與地圖類的道路結構相關）覆蓋率需由當前的 99.8%提升至 100%，動態ODD（與天氣、臨時施工、交警指揮等相關）覆蓋率需由當前的 95%提升至 99.99%

163、。MPD 上若干數量級的提升?；趯︻^部快遞快運公司的訪談，當前人工駕駛條件下，賠付成本超過 5 萬元人民幣的百萬公里事故率為 0.11次。這意味著，有顯著事故的 MPD 范圍在 100萬公里-1000 萬公里?？梢灶A見，在全無人駕駛場景下，人們對事故的容忍度將大幅度降低。假設容忍度降低 10 倍，相應 MPD 的要求范圍將會在 1000 公里-1 億公里。更 強 的 Fallback 控 制 能 力。首先 通 過 穩 定性及冗余系統設計優化，將 Fallback 頻次降至 極 低 水平。同 時 升 級 MRC（Minimal Risk Condition，最小風險狀態）能力，使車輛具備自主在

164、應急車道安全?？?，跛行回家甚至遠程駕駛的能力。為了實現上述目標，自動駕駛重卡及系統需要在以下四方面提升：算法迭代升級，以應對更高的 MPD 及 ODD 要求。這個對自動駕駛技術提出了極高的要求，我們下面會展開詳細討論。持續改進和升級冗余系統設計，優化功性能及穩定性表現，包括傳感器、ADCU 和線控底盤系統。為了滿足 L4 級自動駕駛產品的更高要求，線控底盤系統的主系統與冗余系統應是高度集成一體化的設計，可以支持故障時毫秒級的無縫切換，同時在功能、性能方面與主系統完全相同，并且可長時間工作。在傳感器和 ADCU 方面，也需要做到在任何單一部件故障情況下，仍可支持繼續自動駕駛。在穩定性方面，通過當

165、前產品投放運營后的磨礪和實戰檢驗，不斷提升硬件系統和整車層面的系統穩定性，將系統Fallback 頻次降到無人駕駛可接受水平。升級 MRC 機制，確保在各類極小概率的 ODD場景及失效模式下，系統依舊可以支持自主行駛到預設的安全地帶停車。在確保安全的同時，避免對社會交通產生影響。開發遠程駕駛系統：依托于 5G 網絡“高帶寬、低時延”的特性，將車載攝像頭、雷達等傳感器采集到的車輛周圍場景信息傳輸到虛擬駕駛艙，在偶發場景下 MRC 停車后通過安全員遠程控制，實現避障繞行恢復運行能力。展望未來：自我演化，走向無人駕駛93|自動 駕 駛 卡車量 產白皮書嬴徹科技通過 L3 能力級別智能重卡的量產實踐，

166、在硬件平臺和系統架構方面均建立了堅實的發展基礎。接下來，將繼續提升數據資產、核心算法和算力。隨著量產里程的不斷積累和產業在核心零部件上的不斷升級，我們的系統將向 L4 級不斷逼近。2021 年 12 月，嬴徹科技已經成功完成了 L4 級方案驗證。L4 級驗證方案大量復用當前 L3 能力級別智能重卡量產車型：感知方面，將兩臺遠程激光雷達和一臺工業 PC加裝到 L3 能力級別智能重卡量產車上，工業PC 只用于所加裝激光雷達的檢測計算。加裝激光雷達的檢測結果作為額外信息，輸入到嬴徹科技已量產的 L3 能力級別自動駕駛系統。規劃控制方面，對規劃算法進行了升級，以處理施工等復雜場景，但算法整體依然運行在

167、量產系統上。為了加強安全預防措施，增加了遠程控制功能。除此之外，對量產自動駕駛系統和整車沒有做任何改變。我們在封閉高速公路上成功實現了完全無人駕駛的測試驗證。整個行程是完全自主的，沒有任何人為干預。為了對 L4 進行全面驗證，全程模擬了國內最豐富、高難度和真實的場景和交通流：道路結構：高速公路長 24 公里，包含多種坡度的上下坡道、大曲率彎道、長隧道、橋梁、出入高速匝道和收費站等典型高速道路結構。交通場景：自動跟車、車道保持、自動變道、施工車輛及場景識別、自動避讓、自動跟停及駛入收費站等典型場景。L4 級的技術驗證令人振奮，這證明了嬴徹科技已量產的自動駕駛軟硬件架構和整車面向 L4 具備高度的

168、可擴展性。當然，從驗證到批量生產還有很長的路要走，需要更多突破性的技術進步，才有可能真正實現無人化。嬴徹科技的 L4 級別無人駕駛研發與探索*圖：嬴徹科技-L4 能力級智能重卡驗證方案94|自動 駕 駛 卡車量 產白皮書自我演進，走向無人駕駛為了實現千萬級別的 MPD，需要在冗余系統、硬件性能、算法能力等方面同步改善。根據目前對商用車產業的了解，預計 2024 年左右，商用車頭部供應商將會發布滿足 L4 級要求的高度集成、自冗余的線控底盤產品，L4 級卡車開發執行器層面的瓶頸問題將得到解決。隨著自動駕駛行業內相關傳感器成熟度的不斷提高，自動駕駛域控制器（ADCU）算力的快速提升，預計到 202

169、5 年左右，激光雷達、毫米波雷達等傳感器的有效檢測距離都將提升至 300 米，ADCU 算力可達2000TOPS 以上。因此我們認為冗余及硬件領域將不會成為 L4 技術路線上的瓶頸。主要的挑戰將集中在軟件算法層面，需克服如下三方面的技術障礙：獲得監督學習所需的人工標注數據，代價巨大?？紤]到測試和驗證自動駕駛系統的安全性需要數億甚至數十億公里的駕駛數據，而傳統的基于監督學習的自動駕駛系統高度依靠人工篩選和標注數據，很難擴大到所需的數據規模?；谝巹t的建模和決策系統無法應對復雜交通場景。在十字路口等復雜場景，對交通參與者的意圖、交互、甚至博弈進行建模，即所謂的行為建模，超出了當前主流基于規則的建模

170、和決策系統的能力。傳統自動駕駛系統架構遭遇瓶頸。傳統架構基于經典的機器人框架，該框架將整個自動駕駛過程劃分為感知、規劃和控制等幾個子模塊。信息以單向形式從傳感器到執行器流轉，無法捕捉自動駕駛車輛與其周圍環境之間的雙向相互作用。整個自動駕駛行業都在大力解決這些瓶頸。自動化數據挖掘、半自動化數據標注正在逐步走向應用。數據驅動的決策和規劃方法也在被融入現有的基于規則的框架之中，感知和預測的邊界正被打破?；谶@些趨勢，我們大膽設想一種全新的自動駕駛架構，該架構可以拆除自動駕駛系統子模塊之間人為設計的邊界，并將其替換為端到端的深度神經網絡。*圖：基于端到端神經網絡的下一代自動駕駛系統95|自動 駕 駛

171、卡車量 產白皮書與以前簡單地將傳感器輸入與車輛執行器連接的方法不同，我們端到端的網絡輸入為傳感器輸入，輸出是軌跡安全包線，經典控制算法可以根據軌跡要求和車輛狀態自適應地控制車輛。我們認為經典控制方法仍然非常適合軌跡跟蹤，并具有可以保證誤差范圍和安全裕度的優勢。我們受到最近兩項技術進步的啟發：首先是深度強化學習在駕駛游戲中的應用。通過強化學習的 AI Agent 可以在超逼真的賽車游戲中超越專業玩家的表現，已經獲得證明。第二是神經輻射場 NeRF（Nerual Radiance Fields）。NeRF 提供了一種超逼真的方式，可從視頻輸入合成新視圖，而無需手動操作。與目前基于 CG（Compu

172、ter Graphics）的模擬器相比，NeRF 可以以極低的成本提供和真實世界幾乎無法區分的逼真圖像。我們相信行業正處于開發終極駕駛模擬器的風口浪尖，可以實現直接從傳感器輸入中學習駕駛策略。通過基于 NeRF 的模擬器，可以使用強化學習的技術來訓練深度神經網絡，只需定義一個獎勵函數（比如安全、高效和舒適），便可獲得良好的駕駛行為。這種端到端框架提供了一個關鍵優勢，即它是無監督的。它不需要手動標記數據，只需要來自真實場景的數據。這些數據由自動駕駛或手動駕駛車輛捕獲。駕駛環境的基本表示，以及所有交通參與者的交互影響，都是從數據中隱式學習的，而不是由經驗豐富的開發人員手工制作的。因此，它的擴展性可

173、以擁抱現實世界駕駛中的極端復雜性。實現這一目標面臨許多挑戰，預計未來還需要多年的研發。主要挑戰有三項：訓練難度：當一個大型深度學習網絡所代表的空間幾乎不受限制時，如何有效地訓練它？安全保證：如何保證這個系統可以滿足自動駕駛的安全要求？這個問題會因為深度學習的大量使用變得尤為突出。和傳統的基于規則或者模型的方法相比，深度學習的網絡沒有很好的解釋性，結果沒有辦法進行誤差分析，因此，傳統安全設計的方法論有待突破。樣本質量：如何確保樣本在一個自演化系統里不被不合規的行為（如超速）污染？*圖：訓練端到端的自動駕駛深度學習網絡：利用基于 NeRF 的仿真器可以通過強化學習的手段自主學習駕駛策略96|自動

174、駕 駛 卡車量 產白皮書盡管面臨挑戰，自動駕駛必須從目前的監督方法轉向弱監督或無監督方法，以滿足現實世界交通中完全自動駕駛的最嚴格要求。最近在視圖合成、模擬和深度強化學習方面的技術進步使我們相信，一個自我進化和可擴展的自主自動駕駛量產方案必將可以實現！該項突破是自動駕駛領域的重大突破，適用于所有車輛。嬴徹科技在無監督自動駕駛系統的演進中具備優勢。公路卡車運輸可以首先從我們的端到端結構中受益，因為路線是點對點的。受限制的運營路線和不太復雜的流量，使網絡的訓練相對簡單。嬴徹科技利用高保真卡車動態模型開發了獨特的仿真環境。同時，嬴徹科技正在開發基于 NeRF 的渲染引擎來支持動態流量，打破了目前 N

175、eRF 僅適用于靜態環境的限制。預計到 2025 年，嬴徹科技的端到端系統將開始在車隊上得到驗證。屆時自動駕駛能力將快速增長，邁向全無人駕駛！97|自動 駕 駛 卡車量 產白皮書ABSADADCUAPIASILAUTOSARBEVBIOSBSFCCANCEPSCVEDDTDFADIADILDMIPSDMSEBSECC制動防抱死系統自動駕駛自動駕駛域控制器應用編程接口汽車安全完整性等級汽車開放系統架構鳥瞰視角基本輸入輸出系統燃油消耗率圖控制器局域網絡管柱式電動助力轉向公共漏洞和暴露動態駕駛任務相關性失效分析開發接口協議駕駛員在環測試測量處理器運算能力的最常見基準程序之一駕駛員監控系統電子制動系統

176、糾錯碼Antilock Brake SystemAutonomous DrivingAutonomus Driving Control UnitApplication Programming InterfaceAutomotive Safety Integration LevelAutomotive Open System ArchitectureBirds Eye ViewBasic Input/Output SystemBrake-Specific Fuel ConsumptionController Area NetworkColumn Electric Power SteeringCo

177、mmon Vulnerabilities&Exposures Dynamic Driving TaskDependent Failure AnalysisDevelopment Interface AgreementDriver In LoopDhrystone Millions of InstructionsPer SecondDriver Management SystemElectronic Brake Systems Error Correcting Code附錄：英文縮略語及含義英文全稱中文釋義98|自動 駕 駛 卡車量 產白皮書ECUEEAEHPSETBFEADFHTIFMEAFo

178、VFSRFTAGNNHARAHILHMIHODHPSHSMHSRIRSISOISPISPECLCCElectronic Control UnitElectrical/Electronic ArchitectureElectronic Hydraulic Power SteeringElectronic Trailer BrakeFuel Efficient Autonomous DrivingFault Handling Time IntervalFailure Mode and Effects AnalysisField of ViewFunctional Safety Requiremen

179、tFault Tree AnalysisGraph Neural NetworkHazard Analysis and Risk AssessmentHardware In LoopHuman Machine InterfaceHands Off DetectHydraulic Power SteeringHardware Security ModuleHardware Safety RequirementInceptio Robotics SystemInternational Organization for StandardizationImage Signal ProcessingIn

180、ceptio Standard Performance Evaluation CodeLane Centering Control電子控制器汽車電子電氣架構電子液壓助力轉向電子掛車制動節油自動駕駛算法故障處理時間間隔失效模式與影響分析視野范圍功能安全需求故障樹分析圖神經網絡危害分析與風險評估硬件在環測試人機界面方向盤手握監測液壓助力轉向硬件安全模組硬件安全需求嬴徹科技機器人系統國際標準化組織圖像信號處理嬴徹科技標準性能評測程序集車道居中控制英文全稱中文釋義99|自動 駕 駛 卡車量 產白皮書LINLLLLSTLSTMmAPMCALMPDMRCNHTSAODDOEMORTOSOTAPCBPCCP

181、CIePFMEAPMHFPnGPPAPRIPULocal Interconnect NetworkLife Long LearningLarge Scale TestLong Short-Term MemoryMean Average PrecisionMicroController Abstraction LayerMileage Per DisengagementMinimal Risk ConditionNational Highway Traffic Safety AdministrationOperational Design DomainOriginal Equipment Man

182、ufacturerOpen Road TestOperating SystemOver The AirPrinted Circuit BoardPredictive Cruise ControlPeripheral Component Interconnect ExpressProcess Failure Mode and Effects AnalysisProbabilistic Metric for Random Hardware FailurePulse and GlideProduction Part Approval ProcessActive Learning via Region

183、 Impurity and Prediction Uncertainty本地互聯網絡持續學習封閉場地測試長短期記憶全類平均正確率微控制器抽象層每次人工接管的行駛里程間隔最小風險狀態美國高速公路安全管理局運行設計域主機廠開放道路測試操作系統在線升級印制電路板預測性巡航控制一種高速串行計算機擴展總線標準過程失效模式和影響分析硬件隨機失效度量指標脈沖加速滑行的駕駛策略生產件批準程序基于區域不純度和預測不確定性的主動學習英文全稱中文釋義100|自動 駕 駛 卡車量 產白皮書英文全稱中文釋義RTOSSAESESSHESILSMSSOASoCSOPSOTIFSPISSRTCOTOPSTSRXBRReal-

184、Time Operating SystemSociety of Automotive EngineersSmart Emergency SwitchSecure Hardware ExtensionSoftware In LoopSafety&Security Management SystemService-Oriented ArchitectureSystem on ChipStart Of ProductionSafety of the Intended FunctionalitySerial Peripheral InterfaceSoftware Safety RequirementTotal Cost of OwnershipTera Operations Per SecondTechnical Safety RequirementExternal Brake Request實時操作系統美國汽車工程師學會冗余電源控制器安全硬件擴展軟件在環測試安全管理系統面向服務的架構單片系統批量生產預期功能安全串行外設接口軟件安全需求全生命周期成本代表處理器每秒鐘可進行一萬億次操作技術安全需求外部制動請求