自动驾驶中的传感器技术70——Navigation（7）

本文系统介绍车载GNSS-完好性(Integrity)

1、GNSS的完好性

完好性是指 GNSS 在提供定位、导航、授时（PNT）服务时，能够在误差超过预设安全阈值（告警限值，AL）时，及时向用户发出警报的能力。其核心指标包括：

• 完整性风险（Integrity Risk，IR）‍：在单位时间内出现误导信息的概率，定位误差超限而未报警的概率。

• 告警时间（Time To Alert，TTA）‍：误差突破 AL（警报限值）后必须发出的最长期限。

• 保护限（Protection Level，PL）‍：基于观测误差统计得到的置信区间，用于与 AL 比较判断是否安全，用于量化容忍误差的安全阈值

2、功能安全对完好性的需求

按 ISO 26262（功能安全）和 ISO 21448（预期功能安全）划分 ASIL/B‑D 等级，明确 GNSS 完好性在系统安全预算中的容错要求

• 设定行业常用的完整性风险上限 10⁻⁶ /h（对应 ASIL‑D 级别）

• 当监测到风险超过阈值时，立即向上层 ADAS/ADS 发送完整性失效告警，触发安全降级（如转入 L2‑L3 受限模式）

Ref：功能安全性与完整性对汽车定位解决方案的重要性_易车

3、完好性提升

• RAIM（Receiver Autonomous Integrity Monitoring）和其进阶版 ARAIM，利用冗余观测检测卫星、信号或接收机故障

• 多频、多星座冗余提升观测数，降低误差概率

• 多路径、信号强度、伪距残差等阈值过滤

• SBAS/GBAS（如 EGNOS、MSAS、北斗 BDS‑SBAS）提供实时差分校正与完整性信息

• RTK/PPP+网络基准站（如 FOCALPOINT、Swift）实现厘米级定位并输出完整性风险（≤10⁻⁶ /h）

• 将 GNSS 与 IMU、车轮速计、摄像头、LiDAR 等传感器进行卡尔曼/因子图融合，利用惯导在 GNSS 暂失或完整性受损时保持定位连续性

• 实际落地的技术路径叉验证，若 GNSS 完好性报警则自动切换至 GNSS‑INS 或纯感知定位

Ref：GNSS自主完好性監測技術精解：RAIM與ARAIM原理、實現挑戰與驗證

4、实际落地的技术路径

硬件层

• 采用多频（L1/L2/L5）多星座（GPS、GLONASS、BeiDou、Galileo）GNSS 接收机，具备内置 RAIM/ARAIM 功能。

• 配置高性能 IMU 与车速计，实现 GNSS‑INS 紧耦合。

软件层

• 在定位引擎中实现 RAIM/ARAIM，实时计算完整性风险并输出 PL/AL。

• 接入 RTK/PPP 差分服务（如 FOCALPOINT Skylark、Swift Starling），获取厘米级校正并同步完整性参数。

• 融合感知层（摄像头、LiDAR）进行位置校验，若 GNSS 完好性报警则切换至感知‑惯导定位。

系统层

• 按 ISO 26262/21448 进行安全需求分配，定义 GNSS 完好性失效时的安全策略（如降级至 L2‑L3、触发紧急制动）。

• 实施完整性监测日志与远程诊断，支持 OTA 更新改进算法。

验证层

• 通过 HIL/SIL 场景库（城市峡谷、隧道、强电磁干扰）验证完整性风险 ≤10⁻⁶ /h。

• 实车路测累计 10⁶ km 以上，统计完整性失效次数，确保符合安全目标。

小结

• 硬件冗余（多频多星座）+ 算法冗余（RAIM/ARAIM）

• 外部增强（SBAS/GBAS、RTK/PPP）提供实时完整性信息

• 传感器融合（GNSS‑INS‑感知）实现失效切换

• 标准化安全流程（ISO 26262、ISO 21448）确保风险量化与安全降级

• 严格验证（HIL/SIL、实车路测）验证完整性风险满足 10⁻⁶ /h 级别