2026年高精定位系统预期功能安全v模型白皮书.pdf

高精定位系统预期功能安全高精定位系统预期功能安全V V模型模型白皮书白皮书发布版发布版中国智能网联汽车产业创新联盟中国智能网联汽车产业创新联盟预期功能安全工作组预期功能安全工作组定位系统任务小组定位系统任务小组2026年1月I表 0-1 参与单位及分工参与单位参与单位具体分工具体分工中国汽车工程研究院股份有限公司（牵头单位）1.负责项目整体统筹、评审、修订、最终定稿；2.负责整体技术拆解；3.负责第 4 章、第 5 章、第 6 章内容编写及修订。千寻位置网络有限公司（牵头单位）1.负责整体技术拆解；2.负责第 1 章、第 2 章、第 3 章、第 4 章内容编写及修订。博世汽车部件苏州有限公司1.负责整体技术拆解；2.负责第 3 章、第 4 章、第 6 章、附录 A 内容编写及修订。大众酷翼(北京)科技有限公司负责第 3 章内容编写及修订。大众汽车（中国）投资有限公司负责第 3 章内容编写及修订。德赛西威汽车电子股份有限公司负责第 4 章、附录 B 内容编写及修订。思博伦通信科技(北京)有限公司负责第 4 章内容编写及修订。上海交通大学负责第 5 章、附录 D 内容编写及修订。导远电子科技有限公司负责第 3 章内容编写及修订。中测慧通(上海)智能科技有限公司负责附录 C 内容编写及修订。本白皮书主要编写人员：本白皮书主要编写人员：周丽铃、杨文豪、马天翔、雷剑梅、柴腾飞、邓棋文、桂智敏、王亚飞、廖剑雄、杨建辉、邹涛、陈睿、谢姜陵、马慧、李泽星、王红、刘杰、杨鑫、杨靖、周礼II目录目录第 1 章 引言.11.1 背景与意义.11.2 目标与范围.21.2.1 研究目标.21.2.2 研究范围.2第 2 章 高精定位系统技术基础.42.1 完好性定义.42.1.1 目标完好性风险.42.1.2 目标完好性验证基础定义.52.2 系统与接口定义.62.2.1 输入信号规范.72.2.2 输出信号要求.72.2.3 接口协议.82.3 关键技术.82.3.1 误差建模及补偿.82.3.2 完好性监测.82.3.3 异常隔离与恢复.92.4 未来技术方向和挑战.9第 3 章 V 模型左侧开发流程.103.1 整车危害分析和 SOTIF 分解.103.1.1 整车危害分析与残余风险估计.103.1.2 整车到高精定位系统的 SOTIF 分解.113.2 定位系统相关项定义.123.2.1 功能描述.123.2.2 性能边界与运行设计域.123.2.3 核心指标.133.3 潜在预期功能不足与触发条件分析.173.3.1 定位系统典型场景.173.3.2 定位系统边界场景.19III3.4 原因树分析.203.4.1 危害场景原因分解.213.4.2 原因树安全措施.223.4.3 原因树量化计算和分解方式.233.4.4 量化验证指标闭环.243.5 定位系统预期功能安全需求.243.5.1 定位算法安全需求.243.5.2 定位传感器安全需求.253.6 定位系统预期功能安全概念.283.6.1 定位算法安全概念.283.6.2 定位传感器安全概念.29第 4 章 V 模型右侧验证流程.324.1 验证与确认计划.324.2 已知危害场景验证.334.2.1 基于场景的仿真测试.334.2.2 已知场景的实车验证.364.3 未知危害场景验证.364.3.1 面向残余风险的大规模路测.364.3.2 基于极值理论的风险量化.384.3.3 数据闭环与安全迭代.394.4 验证总结与安全发布.42第 5 章 标准体系的构建.435.1 基于卫星的绝对定位技术标准化建议.435.2 基于感知的相对定位技术标准化建议.45第 6 章 战略展望：行动路线与未来演化.486.1 技术发展趋势.486.2 行业发展趋势.50附录 A 参考文献.52附录 B 回灌测试案例.53附录 C 单元测试.57C.1 软件单元验证流程.57IVC.2 软件单元静态测试.57C.3 软件单元动态测试.59C.4 软件测试结果.61附录 D 基于车载感知融合的高精度定位技术.62D.1 技术背景.62D.2 感知与组合导航融合原理.62D.3 技术应用场景与前景.63V名词表名词表序号缩写中文全称1ADS自动驾驶系统2ADAS先进辅助驾驶系统3AL告警门限4ASIL汽车安全完整性等级（功能安全等级）5API应用程序编辑接口6BDS北斗导航系统7CEP圆概率误差8CI/CD持续集成/持续部署9CTA原因树10DOP精度因子11FTA故障树12GBAS星基增强系统13GNSS全球导航卫星系统14GPS全球定位系统15HMI危险误导性信息16IMU惯性测量单元17INS惯性导航系统18MiL模型在环（测试）19NOA领航辅助驾驶20ODD运行设计域21OTA空中下载技术22PDF概率密度函数23PE位置误差/定位误差24PL保护等级25PPP-RTK精密单点定位增强26PTP高精度时间同步协议27RAIM接收机自主完好性监测28RTK实时动态定位29SBAS地基增强系统30SiL软件在环（测试）31SLAM即时定位与地图构建32SOTIF预期功能安全33SQM信号质量监测34TIR目标完好性风险35TTA告警冗余时间36V2X车联网37VC验证分类表1第第 1 1 章章 引言引言1.11.1背景与意义背景与意义随着先进辅助驾驶系统先进辅助驾驶系统（ADAS，AdvancedDriverAssistanceSystems）、自动驾自动驾驶系统驶系统（ADS，AutomatedDrivingSystems）与车路协同车路协同（V2X，Vehicle-to-Everything）技术的快速发展，高精定位系统已成为车辆环境感知、决策规划与精准控制的核心底层基础设施。当前，L3 及以上级别自动驾驶对定位系统的依赖从辅助参考升级为安全核心，该系统通过融合全球导航卫星系统全球导航卫星系统（GNSS，GlobalNavigationSatelliteSystem）、惯性测量单元惯性测量单元（IMU，InertialMeasurementUnit）、实时动态载波相位差实时动态载波相位差分增强服务分增强服务（DAS，DifferentialAugmentationService）、轮速传感器及即时定位与地即时定位与地图构建图构建（SLAM，Simultaneous Localization and Mapping）等多源数据，可实现厘米级至分米级的动态定位精度，为自动驾驶提供稳定可靠的时空基准。图 1.1 预期功能安全示意图然而，高精定位系统的复杂性及其在高速领航辅助驾驶高速领航辅助驾驶（NOA，Navigate onAutopilot）、城区复杂路口通行等安全关键场景中的深度应用，对系统功能安全性提出了更高要求。例如，在车道级导航场景中，定位误差或信号失效可能引发严重安全风险。此外，车路协同系统依赖“车-路-云”实时交互，要求定位数据不仅具2备高精度，还需满足低时延、高可用性与强鲁棒性的核心需求。在此背景下，预期功能安全预期功能安全（SOTIF，SafetyoftheIntendedFunctionality）V 模型成为高精定位系统设计的关键准则（如图 1.1 所示）。依据国家标准 GB/T43267-2023 道路车辆 预期功能安全（技术内容等效参考 ISO21448），系统需通过覆盖需求定义、危害分析、验证确认及运行监控等环节的全生命周期管理，降低因系统性能局限、环境误用等因素带来的风险。高精定位系统的预期功能安全需覆盖从传感器硬件（如 GNSS 接收机、IMU）到融合算法、从数据链路到服务端协同的全链路可靠性保障。1.21.2目标与范围目标与范围1.2.11.2.1研究目标研究目标本研究旨在构建高精定位系统预期功能安全的标准化框架，基于 V 模型开发流程实现技术研发与行业实践的深度融合，具体目标包括：技术定义与安全需求映射：明确高精定位系统核心组件（如 GNSS/北斗单频/多频接收机、高精度 IMU、差分服务接口）及其性能边界，定义多源数据融合算法（如松耦合/紧耦合组合导航）的预期功能安全目标；针对智能驾驶与V2X 场景（如混合交通流、隧道遮挡、多路径干扰），建立定位失效模式库与风险量化模型，保障系统在复杂环境下的功能鲁棒性。全生命周期安全流程构建：基于GB/T 43267-2023 道路车辆 预期功能安全，提出覆盖“设计-开发-验证-运营”的 V 模型管理流程。在需求阶段纳入场景驱动的危害分析，在验证阶段结合仿真测试与实车路测（如卫星信号模拟器、IMU 零偏补偿验证）；强化数据安全与网络安全要求，提升差分服务链路、车端定位终端的抗干扰与抗欺骗能力。标准化与产业协同推进：推动北斗高精定位技术国产化替代与生态建设，支持单北斗或多星座兼容方案，降低对单一系统的依赖性；联合车企、高精差分数据服务商、定位硬件供应商、测试设备供应商等产业链主体，形成统一的技术规范与测试标准。1.2.21.2.2研究范围研究范围本研究聚焦高精定位系统在智能网联汽车与智慧交通领域的应用，具体范围3界定如下：技术范畴：涵盖 GNSS/IMU 融合定位、差分增强服务、多传感器冗余设计等核心技术；安全范畴：包括预期功能安全分析、故障注入测试、运行阶段监控与 OTA升级等关键环节；标准适配：符合 GB/T43267-2023 道路车辆 预期功能安全 与 ISO21448SafetyoftheIntendedFunctionality 要求，兼容汽车网络安全规范 ISO21434Roadvehicles Cybersecurity engineering。通过本研究的开展，为行业提供可落地的安全开发指南，加速高精定位技术在辅助驾驶、自动驾驶与智慧交通中的规模化、安全化应用。4第第 2 2 章章高精定位系统技术基础高精定位系统技术基础2.12.1 完好性定义完好性定义基于 GNSS 的高精定位系统预期功能安全核心通过完好性（Integrity）实现。完好性是衡量定位系统可信赖程度的关键指标，定义为“定位误差超出预设安全边界时，系统未能及时发出有效告警的概率”，其核心作用是确保用户及时知晓定位结果的可信度，从而采取降级、停车等安全措施。完好性性能的核心要素包括：保护等级保护等级（PL，ProtectionLevel）：由定位系统实时计算的高置信度统计边界值，代表系统声称的最大可能位置误差。其计算基于当前卫星几何构型（DOP值）、观测噪声（伪距/载波相位噪声）、完好性风险分配、传感器误差特性等因素的严密建模，定义了围绕定位解算结果的“保护区域”。系统保证在该区域内定位结果具有极高可靠性。PL 可分为水平保护等级水平保护等级（HPL，HorizontalProtection Level）、垂直保护等级垂直保护等级（VPL，Vertical Protection Level），需求方还可要求输出车速和姿态角的保护等级车速和姿态角的保护等级（APL，Attitude Protection Level）。告警门限告警门限（AL，AlertLimit）：预先设定的与应用场景安全需求紧密相关的最大允许位置误差阈值，定义了定位误差绝对不能超越的边界（否则可能导致车辆偏离车道、列车出轨等危险），其值由具体应用的安全操作空间决定。位置误差位置误差（PE，PositionError）：用户实际位置与 GNSS 系统解算位置之间的真实偏差，客观存在但运行时通常未知（需通过更精确的参考系统测量）。完好性监控的核心目标是确保 PE 绝大多数情况下不超过 PL，并在 PE 超过 AL时及时发出告警。2.1.12.1.1目标完好性风险目标完好性风险完好性风险的核心量化指标为目标完好性风险（TIR，TargetIntegrityRisk），定义为“特定运行时间内（通常以每小时为单位），允许发生的危险误导性信危险误导性信息息（HMI，Hazardously Misleading Information）事件的最大概率”。HMI 事件需同时满足以下两个条件：a.实际位置误差（PE）超出告警门限（AL），即PEAL；5b.系统未能在告警时间要求内发出有效告警，即错误维持PLAL的状态。因此，TIR 可表示为：P(HMI)=P(PEALPLAL)TIR（式2-1）式中，P(HMI)为系统残余风险。例如，航空精密进近等生命安全应用中，TIR 通常设定为 1106/h（平均每 100 万小时运行中最多允许发生 1 次未告警的超限错误）；而自动驾驶场景中，在具备其他充分冗余传感器的前提下，可根据感知模块的风险分配原则对 TIR 值进一步拆分。2.1.22.1.2目标完好性验证基础定义目标完好性验证基础定义证明高精定位系统（GNSS+IMU+轮速）满足特定 TIR 要求，需结合理论分析、蒙特卡洛仿真与实测数据分析，具体如下：理论分析：建立严格的数学模型，推导 PL 计算公式，确保其充分包络所有预期误差源，并证明模型假设下 P(PEPL)分配给 PL 的风险预算。蒙特卡洛仿真：模拟海量随机场景（包括不同卫星构型、大气条件、接收机噪声等），统计 HMI 事件的实际发生频率，验证其是否低于预设 TIR 值。实测数据分析与斯坦福图斯坦福图（Stanford Diagram）验证：斯坦福图是利用真实与仿真运行环境（覆盖不同地域、时间、天气条件、卫星故障等）的 GNSS 解算结果数据和精确参考位置进行验证的核心工具。以 PE 为横坐标（X 轴）、PL 为纵坐标（Y 轴），将每个测量样本点绘制在二维图上，其六个区域的划分及含义如下（如图 2.1 所示）：1安全运行区：PEPLAL，系统处于安全且可用的理想状态；2误报事件区：PEALPL，过度安全设计导致非预期报警，系统总体安全但牺牲部分可用性；3正确告警区：AL PE PL，系统识别到危害并触发告警，总体安全；4正确告警但存在误导区：AL PL PE，安全机制不充分但触发告警，无直接危险；5危险误导事件区：PL AL PE，系统未识别危害且未告警，存在严重安全风险；6误导事件区：PL PE 0 且可控性（C）0 的整车危害行为，作为潜在的 SOTIF 相关危害进行初筛。随后，需依据预设的风险接受准则（如风险矩阵），筛选出需要进一步开展 SOTIF 分析的场景。表 3.1 2010 年至 2020 年交通事故数据统计表年份年份民用汽车拥有量（万辆）公路营运汽车拥有量（万辆）汽车拥有量a（万辆）交通事故总量（万起）20107801.831133.328935.15390.620119356.321263.7510620.07422.4201210933.091339.8912272.98472.7201312670.141504.7314174.87598.7201414598.111537.9316136.04676201516284.451473.1217757.57741.9201618574.541435.7720010.31864.3201720906.671450.2222356.89841.9201823231.231435.4824666.711025.6201925376.381165.4926541.871247.3202027340.921171.5428512.461297.4注：汽车拥有量=民用汽车拥有量+公路营运汽车拥有量。通过前期的筛选，对于每个认为和 SOTIF 相关的场景，都需要对于其残余风险进行估计，具体评估方法遵从这一原则，即整车发生的风险的概率小于相同成熟驾驶员发生的风险概率。因此，对于整车风险的上限估计可以转换为对于成熟11驾驶员风险水平的估计。这一估计可以依据如表3.1所示交通事故数据进行推导，依据 GB/T43267 附录 C 中基于交通事故统计的风险估算方法，作为确定整车级目标风险值的依据之一。最终的合理可接受风险水平需结合具体功能、ODD、社会接受度等因素综合判定。为示例起见，下文假设整车级目标风险值为 10-4/h。3.1.23.1.2整车到高精定位系统的整车到高精定位系统的 SOTIF 分解分解整车到高精定位系统的 SOTIF 分解可以大致按照演绎法从整车到部件级分解的思路进行，如下图 3.1 所示，可由上面导出的整车风险分解推导出不同部件的风险。图 3.1 整车风险分解对于采用高精地图的智能驾驶系统来说，高精定位系统本身是环境模型中重要的一部分，对于高精定位系统的需求应该致力于使得高精定位系统满足环境模型整体的安全需求。这里假设高精定位系统独立承担环境模型的安全需求，下面的示例分解给高精定位系统和环境感知传感器估计相同的风险水平，即假设高精定位系统可以独立承担环境模型分配下的风险。因此，我们可以依据如下公式对于整车风险进行分解vehicle=perception/localization+planning/control+actuator（式3-1）依据以上分析和不同厂家的经验，可以估算规划控制和执行模块的风险水平，进而来推导出独立承担环境模型安全需求的高精定位模块的风险水平。通常可以认为环境模型、决策规划、执行部件承担来自整车的风险权重不同，作为一种示例性的分解方法，参考行业部分实践，可假设环境感知（含定位）、决策规划和执行模块的风险分配权重比例为 6：3：1。实际项目中，该比例需根据具体系统架12构、技术能力、冗余设计等因素进行详细论证和确认。则我们可以带入权重进一步得出对于高精定位模块的风险水平如下，即高精定位模块需要承担 60%整车风险。perception/localization=0.6vehicle（式3-2）举例：假设整车安全目标 TIR 为 110-4/h，则定位的可设定为 610-5/h，保守取值为 110-5/h。3.23.2 定位系统定位系统相关项定义相关项定义在预期功能安全（SOTIF）流程中，明确“相关项”的定义是后续所有分析、设计和验证活动的基石。本章节旨在界定本文件所聚焦的高精度组合导航定位系统，阐明其核心功能、性能边界以及在整车自动驾驶系统中的角色。通过清晰地定义其功能、性能指标及运行设计域，为后续的危害分析、风险量化、安全需求导出及验证评价建立统一且精确的基准。3.2.13.2.1功能描述功能描述本相关项指高精度组合导航定位系统，其核心功能是通过融合全球导航卫星系统（GNSS）、惯性测量单元（IMU）、轮速计等多源传感器信息，为 L2 级及以上自动驾驶车辆实时提供全局、连续、高精度的车辆位姿（位置、速度、航向）信息。该系统作为车辆环境感知模型的关键组成部分，为决策规划模块提供不可或缺的时空基准，是实现车道级定位、路径跟踪及安全避障等高级别自动驾驶功能的基础使能模块。3.2.23.2.2性能边界与运行设计域性能边界与运行设计域该系统的性能并非在所有条件下均一，其表现高度依赖于外部环境与自身状态。其设计运行域设计运行域（ODD，Operation Design Domain）及性能边界定义如下：3.2.2.1 性能边界性能边界系统性能呈现梯度变化。在理想条件下（如开阔天空），应能达到其基线性能（如厘米级定位精度、高完好性）。在信号受扰或遮挡的挑战性环境下，其性能可接受合理降级（如精度下降、完好性风险增高），但必须维持在预先定义的安全边界之内，并具备完好的状态指示与告警能力。在超出 ODD 或发生严重故13障时，系统应进入安全状态。3.2.2.2 运行设计域（运行设计域（ODD）该系统设计运行的环境条件包括：地理区域：覆盖有 GNSS 信号及差分增强服务（如 RTK/PPP）的中国主要道路网区域。道路类型：包括高速公路、城市道路、乡村道路等铺装路面。环境条件：a.信号条件：从开阔天空到城市峡谷、隧道、林荫道等导致 GNSS 信号不同程度衰减或中断的场景。b.气候条件：允许在雨、雪、雾等一般恶劣天气下工作，但需考虑其对卫星信号和感知传感器（若融合）的影响。c.电磁环境：允许存在常规的民用电磁干扰，但需排除强恶意干扰或欺骗场景（此部分通常列为性能局限并需其他措施缓解）。动态范围：涵盖目标车辆在法定限速内的所有常规驾驶机动（加速、制动、转弯）。3.2.33.2.3核心指标核心指标为量化评估系统在上述 ODD 内的性能，定义了以下三类核心指标，其具体要求详见后续章节：定位精度：衡量系统输出位置、速度、航向与真实值之间偏差的统计指标（如圆概率误差圆概率误差），是系统基础性能的体现。系统完好性：衡量系统在定位误差超出安全限值时，能否及时、可靠地向用户发出告警的能力。它是安全性的核心量化指标，与告警门限（AL）、目标完好性风险（TIR）、保护等级（PL）等参数紧密相关。系统可用率：基于完好性的可用率，指在 ODD 内，系统能够提供既满足精度要求又满足完好性要求的有效定位输出的时间比例。3.2.3.1 精度要求精度要求卫星定位对于信号遮挡非常敏感，车辆在实际道路行驶中搜星数量及信号质量等一直变化，为更好定义及适配评价要求，对实际常见定位场景根据信号遮挡14程度进行分类，划分为开阔环境、轻度遮挡、严重遮挡、完全遮挡。轻度遮挡环境定义：通常指卫星信号受较少遮挡的场景，包含一般低矮楼旁及短暂遮挡场景；严重遮挡环境定义：通常指卫星信号受较多遮挡的场景，包含一般高楼及高架下等遮挡场景；完全遮挡指无 GNSS 信号情况，包含隧道，地下车库等场景。卫星定位坐标包含精度和维度，坐标位置偏差映射到定位精度主要包含水平横向、水平纵向定位精度，测速精度及航向角精度。以下不同精度要求仅供采用高精度定位的辅助驾驶或自动驾驶方案作为参考，实际定位精度需基于用户对运行设计域 及用户 ADAS 系统性能需求协商对应具体数值。1）定位精度车载组合导航系统的定位精度采用圆概率误差圆概率误差（CEP，CircularErrorProbable）作为衡量指标，即以天线真实位置为圆心，偏离圆心概率为特定值（常用值为 68%，95%）的二维定位结果离散分布的度量。组合导航系统的定位精度评价指标应包含载体坐标系下的水平横向定位误差、水平纵向定位误差及垂直方向定位误差，不同遮挡程度的场景指标要求如表 3.2 所示。表 3.2 不同场景下定位误差要求场景分类场景分类水平横向误差水平横向误差水平纵向误差水平纵向误差垂直方向误差垂直方向误差CEP68CEP95CEP68CEP95CEP68CEP95开阔环境0.2m0.3m0.2m0.3m0.3m0.5m轻度遮挡0.3m0.5m0.3m0.5m0.5m0.8m严重遮挡N/AN/AN/AN/AN/AN/A完全遮挡2m3.5m1m2m1m2m注：完全遮挡场景指从其他场景驶入完全隧道场景，定位误差 15 秒内应满足定位误差要求。2）测速精度车载组合导航系统的测速精度衡量指标为系统输出速度值与真实值之间误差的特定概率统计值。组合导航系统的测速精度评价指标应包含水平速度误差和垂直速度误差，不同遮挡程度的场景指标要求如表 3.3 所示。15表 3.3 不同场景下测速误差要求场景分类场景分类水平速度误差水平速度误差垂直速度误差垂直速度误差CEP68CEP95CEP68CEP95开阔环境0.1m/s0.2m/s0.1m/s0.2m/s轻度遮挡0.2m/s0.3m/s0.2m/s0.3m/s严重遮挡N/AN/AN/AN/A完全遮挡0.5m/s1m/s0.5m/s1m/s注：完全遮挡场景指从其他场景驶入完全隧道场景，定位误差 15 秒内应满足测速误差要求。3）航向角精度车载组合导航系统的航向角精度衡量指标为系统输出航向角与真实值之间误差的特定概率统计值。组合导航系统的航向角误差，不同遮挡程度的场景指标要求如表 3.4 所示。表 3.4 不同场景下航向角误差要求场景分类场景分类航向角误差航向角误差CEP68CEP95开阔环境0.10.2轻度遮挡0.150.3严重遮挡N/AN/A完全遮挡0.5AL)(PL AL)80%N/AN/A中位卫星可见比例 2 80%50%N/AN/A低位卫星可见比例 3 30%N/AN/AN/A总卫星可见比例N/AN/A30%30%单颗可见卫星最低信噪比38 dB38 dB38 dB38 dB卫星角度示意如图 3.3 所示：1 高位卫星指高度角大于 60的卫星。2 中位卫星指高度角大于 30且小于等于 60的卫星。3 低位卫星指高度角大于 10且小于等于 30的卫星。注 1：测试时，应依据星历数据对采集数据进行回放，通过星历判断车辆在特定时间和地点可见的不同高度的期望卫星数，结合采集到的实际可见卫星数，得出。注 2：主机厂应根据接收机性能和星座使用情况，定义不同场景下的可见卫星个数、平均信噪比、信号强度衰减程度、DOP 增长系数、信号强度波动系数等指标。19图 3.3 卫星角度示意图3.3.23.3.2定位系统边界场景定位系统边界场景除划分的定位系统典型场景以外，应考虑定位系统预期功能安全的边界场景（corner case）。边界场景应包含环境相关场景以及可预见人为误用场景。边界场景触发源不仅限于信号传输端，根据触发源的不同，还应包含组成定位系统的卫星端、定位终端以及纠偏服务端等。为系统性分析定位系统的预期功能安全边界场景，对定位系统硬件链路中潜在的不安全行为进行了识别，系统理论过程分析(STPA，Systems-TheoreticProcessAnalysis)可作为参考分析方法。在此基础上，通过原因树分析原因树分析（CTA，CauseTreeAnalysis，将在 3.4 节中进行详细介绍）对已识别的初步风险进行溯源。同时，结合现有车辆在真实道路环境的长期应用数据和经验，整理出覆盖各类触发源、信号类型和触发条件的组合导航定位系统预期功能安全的边界场景清单，详见表3.8。20表 3.8 边界场景及触发条件分析触发源触发源输入信号类型输入信号类型触发条件触发条件影响场景影响场景信号传输端GNSS 卫星信号多路径反射/周跳大面积水域多路径反射/周跳复杂城市道路对流层异常恶劣天气暴雨暴雪、台风、雷暴电离层闪烁、延迟电离层效应对流层延迟对流层效应卫星端卫星钟差卫星端故障/性能不足天线相位中心偏差/缠绕卫星端故障/性能不足卫星硬件延迟卫星端故障/性能不足卫星轨道误差卫星端故障/性能不足卫星载波/伪距播发故障卫星端故障/性能不足定位终端接收机钟差，相位中心偏差，硬件延迟等接收机性能不足IMU 传感器信号惯导传感器温漂极端温度环境惯导传感器振动颠簸路面轮速信号低摩擦力导致的打滑结冰，水滑，泥泞道路轮胎半径变化轮胎磨损，胎压不足纠偏服务端差分改正数信号网络信号延迟，断续网络信号差无网络环境网络信号差无差分服务无人区3.43.4 原因树分析原因树分析原因树分析是预期功能安全方法论的核心工具，旨在系统化分解高精度定位系统的潜在危害事件根源及对应的预期功能安全措施。其核心作用包括：危害事件量化分解危害事件量化分解：将顶层危害事件（如位置误差大于告警门限大于保护等级）逐层拆解至可量化的底层危害场景和安全措施的组合，残余风险之和不应大于目标完好性风险指标。设计验证闭环设计验证闭环：输出可追溯的预期功能安全需求，指导测试用例生成与验证21目标制定。3.4.13.4.1危害场景原因分解危害场景原因分解组合导航的预期功能安全的危害场景原因分解主要从输入信号类型中的GNSS、差分数据、惯导系统展开。3.4.1.1 GNSS 相关危害场景相关危害场景遮挡：因长时间高架下、隧道内行驶等情况造成卫星信号全部或部分缺失，导致 GNSS 定位性能下降或无法定位。多径效应：因城市峡谷、隔音板、树木等因素造成接收到的部分卫星信号非直射信号，导致伪距测量误差。卫星周跳：因接收机信号短暂中断造成的载波相位整周计数跳变，导致较大的短期卫星定位误差电离层活跃：因电离层活跃因素造成的卫星信号不稳定，导致 GNSS 定位性能下降。干扰和欺骗：因故意（如恶意攻击、信号屏蔽器）或非故意（例如高压电缆）的因素造成的卫星信号失真，导致定位发生偏移或无法定位。3.4.1.2 差分数据相关危害场景差分数据相关危害场景差分延迟：因网络中断或网络延迟等原因造成的差分数据龄期过大，导致 GNSS定位性能下降。基站失真：因差分基站受人为或自然原因遭受破坏造成差分数据不准确，导致GNSS 定位性能下降，该场景通常由差分数据服务商负责监测。3.4.1.3 惯导系统相关危害场景惯导系统相关危害场景振动误差：因车辆高频机械振动引发惯性测量单元谐振造成加速度和角加速度误差增大，累计误差可能导致递推算法定位失真。温漂和零偏：因温度梯度引发惯性测量单元的零偏误差和比例因子误差，累计误差可能导致递推算法定位失真，该场景可由 IMU 标定有效抑制。脉冲噪声：因轮毂磁性污染物或电磁干扰引发脉冲式跳变，造成速度积分误差累积，导致递推算法定位失真。223.4.23.4.2原因树安全措施原因树安全措施组合导航的预期功能安全的危害场景安全措施主要从输入信号类型中的GNSS、差分数据、惯导系统展开。3.4.2.1 GNSS 相关安全措施相关安全措施GNSS 容错：通过载波相位周跳实时检测算法识别 GNSS 时延和周跳，确保定位结果及时由递推算法接替。多径抑制：采用多频接收机和圆极化天线降低多径信号对观测量的影响，算法层面可通过多频相位偏移比对和信号质量检测等方式发现并剔除或降权可能发生多次反射的信号。抗欺骗/抗干扰：多频多星座的冗余设计可以有效抵抗大部分欺骗和干扰场景，除此之外，天线阵列、自适应时域滤波、频域滤波/陷波、信号增强等手段可以进一步降低干扰对定位系统的危害，而信号一致性校验、功率监测、地基增强监测、网络辅助定位、加密认证等技术则可以协助识别和消除欺骗信号。以上手段主要用于解决攻击信号强度较低、攻击频带较窄、攻击星座较局限的欺骗和干扰信号。较强的恶意欺骗和干扰信号目前仍未有稳妥的解决措施，主要更多依赖惯导系统进行校验和递推。民用抗 GNSS 欺骗和干扰的能力仍在发展阶段。3.4.2.2 差分数据相关安全措施差分数据相关安全措施差分龄期校验：差分数据播发端在生成差分数据的同时应生成对应差分数据的时间，GNSS 定位算法在使用差分数据前可通过差分数据的龄期校验，避免使用过时的差分数据，若最新的差分数据已超过最大允许差分龄期，则 GNSS 算法应进行预期功能安全降级处理。差分质量因子：由播发端生成，根据区域可用基站数量、基站卫星信号质量、站间相互校准等要素，生成区域差分信号的可信度评估值，确保差分数据的完好性。3.4.2.3 惯导系统相关安全措施惯导系统相关安全措施振动补偿：从物理层面可通过振动抑制支架等方式降低振动发生的情况，从算法层面可以通过轮速融合校验、GNSS 交叉校验等方式对振动产生的误差进行实时补偿。除此之外，在振动累计误差较大的车辆静止情况，可通过零速更新算23法对振动误差进行有效抑制。温漂及零偏抑制：通过全温标定、转台标定等方式可以生成参数标定表，对温漂及零偏等误差源进行补偿。此外，定位算法亦可根据 GNSS 和 IMU 之间的相互校验实现在线标定，进一步实时精进标定误差值。轮速脉冲噪声过滤：通过自适应卡尔曼滤波、多轮速传感器交叉验证、惯性导航系统一致性校验等方式可有效过滤轮速脉冲噪声；此外，在低速场景下，因为轮速传感器反应可能不及时，应当适当降低轮速脉冲在位置计算的权重。3.4.33.4.3原因树量化计算和分解方式原因树量化计算和分解方式图 3.4 所示原因树分析始于总体的目标完好性风险，并向下分解为危害事件，危害事件应由危险场景和对应的安全机制组成。对于“与”门，上层事件发生概率应为下层事件的发生概率之乘积；对于“或”门，上层事件发生概率应为下层事件发生概况之和。*注：需证明基带安全机制 ABA 与定位算法安全机制 ABB 相互独立图 3.4 原因树分析示意图以图 3.4 为例，假设危害事件 A 的残余风险为PAAPABAPABB，如 310-6/h，危害事件 B 的残余风险为PBAAPBAB+PBBAPBBB如 1.910-6/h，就假设上层应用分24配的目标完好性风险为 110-n/h 如 110-5/h，则所有危害事件 A 和 B 的残余风险之和 aaabaabb+baabab+bbabbb 应符合目标完好性风险指标，即应小于 110-n/h。通过 3.4.4 节所述的测试验证策略（大规模路测、仿真等），旨在获取足获取足够的证据够的证据，以证明所有已识别危害的残余风险与未被识别以证明所有已识别危害的残余风险与未被识别（未知未知）危害的残余风危害的残余风险之和，能够满足系统整体的目标风险指标要求。险之和，能够满足系统整体的目标风险指标要求。3.4.43.4.4量化验证指标闭环量化验证指标闭环应通过基于路测场景提取的仿真测试验证安全机制的漏检率是否符合预期；并通过大规模路测验证危险场景的发生几率，路测应同时用于识别未知危害场景并统计未知危害场景残余风险。若测试结果推导出的总残余风险大于目标完好性风险，则需要对高精定位系统各环节进行优化，并重新进行回放测试。目标完好性风险应纳入连续性、精度及可用性的多维度验证框架，确保高精度定位系统在预期功能安全目标与定位性能间达成最优均衡。3.53.5 定位系统预期功能安全需求定位系统预期功能安全需求3.5.13.5.1定位算法安全需求定位算法安全需求本节定义高精度定位系统的核心算法安全需求，确保在 SOTIF 框架下实现危害可控性与性能可用性的协同优化。3.5.1.1 顶层危害事件定义顶层危害事件定义顶层危害事件和目标完好性风险应作为高精定位算法的预期功能安全顶层需求输入。应基于上层需求或预期功能安全目标定义顶层危害事件，保护等级应作为危害事件的基本评判依据。上层需求可决定是否引入告警门限值，以及告警门限值是否随场景发生变化。不引入告警门限可避免因状态机复杂度引发的次生风险，顶层危害事件简化为位置误差大于保护等级，但定位算法的完好性实现难度将进一步提高。目标完好性风险同样需上层需求定义。定位算法应根据定位传感器性能假设，对目标完好性风险的可实现性进行评估。253.5.1.2 输出接口规范输出接口规范预期功能安全输出接口应至少包含定位结果、完好性标志位、保护等级，其中：定位结果通常包含经度、纬度、海拔高度、水平速度、垂向速度、航迹角、航向角、滚角、俯仰角等信息，并包含对应输出维度的精度（通常为精度，68%置信度）。定位完好性标志位为预期功能安全指示符，该指示符可为下游应用指示当前定位解是否符合整体预期功能安全目标。保护等级为各轴向的最大可能误差，除非另有要求，则保护等级的输出维度应与定位结果的输出维度一致。3.5.1.3 基于场景的安全机制及漏检率需求基于场景的安全机制及漏检率需求根据 3.3节潜在预期功能不足和触发条件分析和3.4 节原因树分析的量化分析结果，应考虑可能引入功能不足的危害场景设计预期功能安全机制，并对预期功能安全的漏检率进行量化约束，设计漏检率时应同步考虑定位结果的整体可用率。根据 3.4.3 节原因树量化计算和分解方式的残余风险量化分析结果，应对未知危害场景的总体残余风险进行指标化约束。预期功能安全同样需约束响应时间，即危害场景发生开始到安全机制生效的时间间隔（参考功能安全故障容忍时间间隔）和预期功能安全机制总体资源占用量。3.5.23.5.2定位传感器安全需求定位传感器安全需求本节定义高精度定位系统对传感器提出的安全需求，通过环境耦合失效模型将传统可靠性需求扩展至功能安全场景，并提供需求维度的参考。3.5.2.1 IMU 传感器传感器组合导航定位系统利用 IMU 惯性传感器测量输出的车辆六轴的加速度和角速度信息，进行惯性推算得出车辆位置（变化）、姿态（变化）、速度、航向角等信息，后者是车辆组合驾驶辅助功能及其他相关车辆功能的输入信息。因此IMU 惯性传感器作为车辆安全相关系统的零部件，其功能不足可能间接导致车26辆危害事件的发生，例如角速度偏差过大导致非预期侧向运动，或者位置偏差过大导致人机提醒不足（即将离开 ODD 时未及时提示接管）。由于 IMU 传感器本身的构造及测量原理，除了本身设计生产制造过程以及元器件随机失效可能导致的性能偏差以外，某些特定的工作环境场景也可能造成IMU 输出性能