高精定位系统预期功能安全v模型白皮书

高精定位系统预期功能安全V模型中国智能网联汽车产业创新联盟预期功能安全工作组·定位系统任务小组2026年1月I表0-1参与单位及分工参与单位具体分工中国汽车工程研究院股份有限公司（牵头单位）1.负责项目整体统筹、评审、修订、最终定稿；千寻位置网络有限公司（牵头单位）博世汽车部件苏州有限公司大众酷翼(北京)科技有限公司大众汽车（中国）投资有限公司德赛西威汽车电子股份有限公司思博伦通信科技(北京)有限公司负责第4章内容编写及修订。上海交通大学导远电子科技有限公司中测慧通(上海)智能科技有限公司本白皮书主要编写人员：周丽铃、杨文豪、马天翔、雷剑梅、柴腾飞、邓棋文、桂智敏、王亚飞、廖剑雄、杨建辉、邹涛、陈睿、谢姜陵、马慧、李泽星、王红、刘杰、杨鑫、杨靖、周礼 2 2 2 4 4 4 5 6 7 7 8 8 8 8 9 9 V序号缩写中文全称1ADS自动驾驶系统2ADAS先进辅助驾驶系统3AL告警门限4ASIL汽车安全完整性等级（功能安全等级）5API应用程序编辑接口6BDS北斗导航系统7CEP圆概率误差8CI/CD持续集成/持续部署9CTA原因树DOP精度因子FTA故障树GBAS星基增强系统GNSS全球导航卫星系统GPS全球定位系统HMI危险误导性信息IMU惯性测量单元INS惯性导航系统MiL模型在环（测试）NOA领航辅助驾驶20ODD运行设计域21OTA空中下载技术22PDF概率密度函数23PE位置误差/定位误差24PL保护等级25PPP-RTK精密单点定位增强26PTP高精度时间同步协议27RAIM接收机自主完好性监测28RTK实时动态定位29SBAS地基增强系统30软件在环（测试）31SLAM即时定位与地图构建32SOTIF预期功能安全33SQM信号质量监测34TIR目标完好性风险35TTA告警冗余时间36V2X车联网37VC验证分类表1随着先进辅助驾驶系统（ADAS，AdvancedDriverAssistanceSystems）、自动驾技术的快速发展，高精定位系统已成为车辆环境感知、决策规划与精准控制的核心底层基础设施。当前，L3及以上级别自动驾驶对定位系统的依赖从‘辅助参考’升级为‘安全核心’，该系统通过融合全球导航卫星系统（GNSS，GlobalNavigationSatelliteSystem）、惯性测量单元（IMU，InertialMeasurementUnit）、实时动态载波相位差分增强服务（DAS，DifferentialAugmentationService）、轮速传感器及即时定位与地图构建（SLAM，SimultaneousLocalizationandMapping）等多源数据，可实现厘米级至分米级的动态定位精度，为自动驾驶提供稳定可靠的时空基准。然而，高精定位系统的复杂性及其在高速领航辅助驾驶（NOA，NavigateonAutopilot）、城区复杂路口通行等安全关键场景中的深度应用，对系统功能安全性提出了更高要求。例如，在车道级导航场景中，定位误差或信号失效可能引发严重安全风险。此外，车路协同系统依赖“车-路-云”实时交互，要求定位数据不仅具2备高精度，还需满足低时延、高可用性与强鲁棒性的核心需求。在此背景下，预期功能安全（SOTIF，SafetyoftheIntendedFunctionality）V模型成为高精定位系统设计的关键准则（如图1.1所示）。依据国家标准《GB/T43267-2023道路车辆预期功能安全》（技术内容等效参考ISO21448系统需通过覆盖需求定义、危害分析、验证确认及运行监控等环节的全生命周期管理，降低因系统性能局限、环境误用等因素带来的风险。高精定位系统的预期功能安全需覆盖从传感器硬件（如GNSS接收机、IMU）到融合算法、从数据链路到服务端协同的全链路可靠性保障。本研究旨在构建高精定位系统预期功能安全的标准化框架，基于V模型开发流程实现技术研发与行业实践的深度融合，具体目标包括：险量化模型，保障系统在复杂环境下的功能全生命周期安全流程构建：基于《GB/T43267-2023道路车辆预期功能安号模拟器、IMU零偏补偿验证）；强化数据安全与3安全范畴：包括预期功能安全分析、故障注入测试、运行阶段监控与OTAvehicles–Cybersecurityengineer4完好性是衡量定位系统可信赖程度的关键指标，定义为“定位误差超出预设安）：因素的严密建模，定义了围绕定位解算结果的域内定位结果具有极高可靠性。PL可分为水平保护等级（HPL，Horizontal），），），），5），仿真运行环境（覆盖不同地域、时间、天气条件、卫星故障等）的）：5危险误导事件区：PL<AL<PE，系统未识别危害且未告警，存在严重6误导事件区：PL<PE<AL，安全机制不充分但实际误差较低，无直接6注：实测数据采集需满足以下要求：①覆盖开阔、轻度遮挡、严重遮挡、完全遮挡四类典型场景，累计里程不低于10万公里；②真值系统精度需比被测系统高一个数量级（如被测系统精度为厘米级，真值系统需达到毫米）；如图2.1所示，区域①~③为绝对安全区域，应确保尽可能多样本落在该区事件的统计验证，才能有足够的置信度证明GNSS定位系统在特定应用场景下7IMU数据：提供六轴角速度和加速度原始数据，如角速度零偏稳定性≤现短时高频率相对定位补偿，缓解GNSS信号遮可选输入信号：环境感知辅助数据（如激光雷达点云、摄像头视觉特征），），8软件接口：遵循AUTOSARAP/CP标准，定义定位服务API（Application紧耦合：将GNSS原始观测量（伪距、载波相位）及差分数据直接与IMU等算法对GNSS和INS数据进行权重分配，输出融合解算结果。优势为大幅提电离层延迟：采用双频/多频GNSS接收机，通过频间室标定，结合卡尔曼滤波融合进行在线实时补偿，有效控制IMU零偏、温漂、9告警门限定义：基于上层智驾对SOTIF安全指标的需求拆解，定义保护水快速识别GNSS跳变、IMU饱和、数据延迟等的异常源。分析整车相关危害行为导致的后果，从而帮助判定是否是SOTIF相关需要进一作为潜在的SOTIF相关危害进行初筛。随后，需依据预设的风险接受准则（如），整车到高精定位系统的SOTIF分解可以大致按照演绎法从整车到部件级分解的思路进行，如下图3.1所示，可由上面导出的整车风险分解推导出不λvehicle=λperception/localization+λplanning/control+λactuator（式3-1）步得出对于高精定位模块的风险水平如下，即高精定位模块需要承担60%整车λperception/localization=0.6∙λvehicle（式3-2）在预期功能安全（SOTIF）流程中，明确“相），等遮挡场景；完全遮挡指无GNSS信号情况，包含隧道，地下车库等场景。不同遮挡程度的场景指标要求如表3.2所示。N/AN/AN/AN/AN/AN/A车载组合导航系统的测速精度衡量指标为系统输出速度值与真实值之间误垂直速度误差，不同遮挡程度的场景指标要求如表3.3所示。N/AN/AN/AN/A车载组合导航系统的航向角精度衡量指标为系统输出航向角与真实值之间要求如表3.4所示。N/AN/ATIR指出现HMI事件的漏检率，即PE超过告警门限AL却没有被检测出来的水平横向保护门限，水平纵向保护门限以及垂直保护门限。TIRwindow指在一），图3.2所示。保护门限PL为实时定位误差估计值，作为定位误差的监控器，无具系统的完好性风险TIR和对应的告警门限AL可参考如下表3.5内的指标要求，车载组合导航系统的可用率指基于完好性的可用率，即在系统设计域ODD体定位结果的比例，不同遮挡程度的场景指标要求如表3.6所示。），驶员的可控性（Controllability）。此外，为提高评估质量，可引入置道>80%N/AN/A中位卫星可见比例2>80%>50%N/AN/A>30%N/AN/AN/AN/AN/A>30%≤30%38dB38dB38dB38dB卫星角度示意如图3.3所示：（cornercase）。边界场景应包含环境相关场景以及可预见人为误用场景。边界号类型和触发条件的组合导航定位系统预期功能安全的边界场景清单，详见表组合导航的预期功能安全的危害场景原因分解主要从输入信号类型中的遮挡：因长时间高架下、隧道内行驶等情况造成卫星信号全部或部分缺失，导致GNSS定位性能下降或无法定位。多径效应：因城市峡谷、隔音板、树木等因素造成接收到的部分卫星信号非直射信号，导致伪距测量误差。卫星周跳：因接收机信号短暂中断造成的载波相位整周计数跳变，导致较大的短期卫星定位误差电离层活跃：因电离层活跃因素造成的卫星信号不稳定，导致GNSS定位性能下降。干扰和欺骗：因故意（如恶意攻击、信号屏蔽器）或非故意（例如高压电缆）的因素造成的卫星信号失真，导致定位发生偏移或无法定位。差分延迟：因网络中断或网络延迟等原因造成的差分数据龄期过大，导致GNSS定位性能下降。基站失真：因差分基站受人为或自然原因遭受破坏造成差分数据不准确，导致GNSS定位性能下降，该场景通常由差分数据服务商负责监测。振动误差：因车辆高频机械振动引发惯性测量单元谐振造成加速度和角加速度误差增大，累计误差可能导致递推算法定位失真。温漂和零偏：因温度梯度引发惯性测量单元的零偏误差和比例因子误差，累计误差可能导致递推算法定位失真，该场景可由IMU标定有效抑制。脉冲噪声：因轮毂磁性污染物或电磁干扰引发脉冲式跳变，造成速度积分误差累积，导致递推算法定位失真。组合导航的预期功能安全的危害场景安全措施主要从输入信号类型中的法层面可通过多频相位偏移比对和信号质量检测等方式发现并剔除或降权可能抗欺骗/抗干扰：多频多星座的冗余设计可以有效抵抗大部分欺骗和干扰场图3.4所示原因树分析始于总体的目标完好性风险，并向下分解为危害事本节定义高精度定位系统的核心算法安全需求，确保在SOTIF框架下实现顶层危害事件和目标完好性风险应作为高精定位算法的预期功能安全顶层组合导航定位系统利用IMU惯性传感器测量输出的车辆六轴的加速度和角等信息，后者是车辆组合驾驶辅助功能及其他相关车辆功能的输入信息。因此IMU惯性传感器作为车辆安全相关系统的零部件，其功能不足可能间接导致车IMU输出性能与设计值发生较大变化以至于影响组合导航定位系统的精度和完b.颠簸路面导致的振动IMU传感器除了在其设计运行条件下实现规定的精度要求，在以上各类异b.陀螺仪三轴角速度零偏漂移警告标志位d.陀螺仪三轴角速度灵敏度误差g.陀螺仪三轴角速度信号噪声超出警h.加速度计三轴加速度零偏跳变警告标志位j.加速度计三轴加速度零偏误差警告标志位k.加速度计三轴加速度灵敏度误差警告标志位m.加速度计三轴加速度信号卡滞超时n.加速度计三轴加速度信号噪声超出警告标志位GNSS卫星定位系统依据卫星信号接收机提供的多系统多频点卫星观测量j.热启动首次定位速度应＜2sb.玻璃幕墙、树荫、水面等多路径效应干扰h.快速动态变化，如剧烈振动、转弯、急加速j.供电不稳定，如纹波过大、电压过低k.天线线路过短或过长，增益不匹配等原因，导致噪声过大本节定义定位算法的安全架构设计原则与实现路径，确保SOTIF要求可追安全状态-危害上报：定位算法输入数据总体质量较差，或不符合功能安全安全状态-危害静默：定位算法输入数据总体质量极差，或有关键信号源缺定位算法预期功能安全概念应包含全部预期功能安全机制和应确保设计阶段考虑到各类异常场景，评估对IMU传感器a.IMU传感器在生产下线后应进行全温标定以确保其全温零偏符合设计g.卫星信号接收机可配置双天线系统进行信号输出警告标志位，避免低质量或受干扰的卫星信号造成GNSS定位结果偏差过卫星信号接收机应实时监控射频通道跟踪的卫星信号以及基带内部产生的观测应针对异常场景进行测试验证，统计不同场景下IMU性d.卫星信号接收机应进行抗干扰和e.卫星信号接收机应进行复杂遮挡环境下的信号质量测试g.卫星信号接收机应进行快速动态变化环境下的b.GNSS拒止环境，即能见度条件差和多路径对仿真测试输出影响最大的三个组件是IMU、GNSS差分数据和GNSS接如图4.1所示，通过这种基于蒙特卡洛方法的故障注入方法，各种挑战性的—电离层（TravellingIon—等离子气泡（Ionosphere/Plas—对流层异常（IrregularTro方法的故障可以注入到IMU数据、GNSS差分数据和GNSS信号中，这些都是基于车辆动力学仿真环境和GNSS模拟器的输出。可结合多路径误差包络进行分析。多路径导致的GNSS观测值误差，其大小会可通过仿真分析多路径引发的测量误差对传感器融合解算结果可能产生的影响。超出安全关键定位误差阈值为了验证这一假设，可以使用仿真-以射线追踪仿真波暗室环境里，用“GNSS模拟器+车辆动力学”闭环仿定位系统输出结果与SOTIF需求的差异，验证高精定位系统的误差不会超出安能的ODD，以避免后续的预期功能安全算过程中，可以进行基线采集（例如，正常工况下每天记录里程以及HMI事件次），大规模路测中车辆传感器配置需同量产方案一致并需要配置精度更高的真（例如，带有车顶箱或拖车驾驶）的场景，以考虑影响组合导航定位系统不同来确保统计分析的置信度如75%，而由于直接通过物理测试验证极低的TIR值），图4.3基于实车路试的SOTIF验证的主要步骤将概率密度函数（PDF，Probabilit分布两侧长尾端的HMI概率。图4.3展示了构成基于实车路试的SOTIF验证的b.数据评估，重点关注传感器融合位置误差和保护水平行为，界事件影响以得出系统达到SOTIF安全目标的论证。可以通过从不同角度分析一种是非常常见的GNSS误差源，即多路径误差，它是GNSS信号在建筑以使用仿真来分析由于多路径导致的测量误差对传感器融合解决方案的可能影已知及新发现危害场景时，是否符合预设的SOTIF安全指标。若验证未通过，收集的数据量多几个量级。例如，为了实证地验证的TIR，可能需要远远超过100,000小时的测试和仿真数据才能应用常见的描述性方法a.有限的测试驾驶数据集应代表传感器的统计行为；b.所选的统计预测方法应适当并与系统行为兼容；于实车测试的数据库和评估过程中标记出的临界事件等）或泛化场景下的原始第二层次的回灌技术的核心在于重现自动驾驶车辆在真实世界中的行驶场通过采集并标注好高精定位系统预期功能安全关注的特殊场景下的多源融有风险。这种由性能局限而非系统故障引发的内生不确定性，正是SOTIF所要失效机理分析、多维动态评价与闭环验证流程的完整SOTIF治理框架。这旨在性能测试，更能服务于失效模式的归因分析。这套图谱将成为SOTIF风险评估定位安全的系统性决定其无法依赖单一企业突破，需建立“政策引导-企业视觉/激光雷达等感知传感器的规模化应用，正在重构自动驾驶定位的“安全冗余范式”——从“依赖绝对坐标”升级为“相对感知为主+绝对基准为辅”嵌合的运动状态约束。未来的高安全定位系统，其强大之处并非在于两者择一，的底层机理，解构其不确定性来源，并在此基础上，设计一套横跨两个技术域、标准化工作的最高阶目标是构建一个支撑SOTIF的因果知识库。这需要深AI驱动的认知融合；在冗余维度上，从多传感器备份走向与车载感知环境深度予了理解传感器不确定性、预测性能边界的初级智能。AI算法正从两个层面重此外，在信号处理层，AI算法能够从严重劣化的信号中提取有效特征，显著提c.低轨卫星补充覆盖：编织弹性定位能力的“空间安全网”d.基于车载感知融合的高精度定位：实现环境自洽的“可信进化”全体系的基石。归因到系统降级或最小风险状态（MRM）的联合应对流程。唯有通过这种制度/navipedia/index.php/IntegriAutomotiveUserNeedsandRequirements.Geneva:InternationalOrganiz），1）回灌平台关键技术如图B.2所示整个回灌过程中回灌引擎对整体的数据流转起到了控制调度到回灌pod中，将原始回灌输入数据经过时间戳对齐后转换成Ros环境可以执2）平台架构技术介绍Docker服务主要由Docker引擎提供，帮助开发者在轻量级容器中自动部署DockerHub：Docker的官方镜像仓库，提供了大量的镜像供用户下载和使用。用户也可以将自己的镜像推送到DockerHub上共享。DockerCompose：一个用于定义和运行多容器Docker应用程序的工具。通过YAML文件来配置应用程序的服务，然后使用一个命令来启动并运行所有服如图B.3所示在微服务架构中，每个服务都被打包如图B.4所示Kuber