自动驾驶与功能安全

焉知焉知·焉能不知

（一）：危害分析

智能驾驶业界现状：

SAE L0-L5定义：

L0/非L0系统基本特征：

非L0系统Hazard分析-方法论：

适用于耦合复杂控制系统的安全分析方法：STAMP

非L0系统Hazard分析-顶层Hazard：

非L0系统Hazard分析-事故实例：

2016.2.2：Denham, Buckinghamshire, UK：无法退出自动控制模式，司机致死

L2以上系统Hazard分析：

L2/L3系统的人因因素：

（二）：L2、L3、L4的要求及区别

ISO26262: HARA方法论：

S、E、C在智能驾驶中的应用类比：

环境感知失效：

环境预测失效模式：

失效率指标及评估方式：

Safety Mechanism

3-Level concept：

3-Level concept在智能驾驶的应用挑战：

- Monitoring function完整性的度量？

- 实施Monitoring 的硬件独立性？

Safety mechanism: safe state：

各级别智能驾驶的Fail-safety：