摘要
本文简要概述了 ISO 26262 和 ISO 21448 两项标准及其所定义的安全生命周期,提出了一种基于道路场景统计数据的技术需求制定方法,探讨了利用交通数据改进自动驾驶汽车安全生命周期的可能性,并简要阐述了将交通场景融入安全生命周期的实施前景。
1. 引言
自Henry Ford推出流水线生产以来,汽车行业或许正经历最为重大的变革。在过去的一百年里,工程师们一直致力于改进有人驾驶汽车;如今,行业发展方向正在转变 —— 越来越多的系统开始接管此前由人类驾驶员执行的功能,这类系统被称为驾驶辅助系统(DAS)。目前已开发并批量应用的驾驶辅助系统包括自动紧急制动系统(AEB)、车道保持辅助系统( LKA)、交通标志辅助系统(SAS) 以及其他多种系统。
然而,汽车制造商并未局限于驾驶辅助系统的研发。例如,美国特斯拉汽车公司(Tesla Motors)开发了 “自动驾驶”(Autopilot)系统(图 1A)。该公司表示,在某些情况下,该系统可完全接管车辆控制权;其他汽车制造商也在研发类似系统 。
自动驾驶技术广泛应用的主要障碍是安全问题。搭载已激活自动驾驶系统的特斯拉汽车已发生多起事故(图 1B),其他制造商的车辆(如优步(Uber)旗下车辆)也出现过类似事故。根据美国致命事故分析报告系统( FARS)的数据,已有 7 人在自动驾驶汽车事故中丧生。特斯拉汽车每行驶 100 公里的死亡人数指标高于同级别汽车的平均水平(p<0.05)。对各类事故的调查证实了自动驾驶技术存在潜在危害。
业界认为,针对自动驾驶系统与非自动驾驶系统在公共道路上运行所面临的安全威胁,其应对方法存在差异。
图 1 :激活自动驾驶系统的特斯拉 Model S 汽车
A -正常运行的“自动驾驶”系统
B-2018年1月在美国加利福尼亚州卡尔弗城发生的、由自动驾驶系统引发的与消防车碰撞事故
2. 自动驾驶系统:安全生命周期方法
用于车辆系统研发的安全方法,无法完全保护乘客、驾驶员及其他道路使用者免受自动驾驶汽车在公共道路上运行所带来的危害。ISO 26262 是车辆系统安全领域的标准,但它并未涵盖与系统组件失效无直接关联的危害。
新制定的 ISO 21448 标准《预期功能安全》则针对由环境因素引发的危害。这类环境因素包括例如光照(光照会影响基于摄像头的系统的功能);此外,该标准还涵盖了驾驶员或车辆操作者无意犯下的操作失误。ISO 26262 与 ISO 21448 的区别如图 2 所示。
图 2 :车辆系统安全保障方法
系统组件的失效模式数量是有限的,但考虑到参数化的不同变体,各类交通场景的数量却是无限的。因此,ISO 26262 中规定的方法(归纳与演绎系统分析、规范测试与验证)无法完全满足自动驾驶(AD)系统和驾驶辅助(ADAS)系统的安全需求。文献中对依据 ISO 26262 和 ISO 21448 制定的安全生命周期进行了对比,同时也给出了用于描述交通场景的 “场景” 定义。在下一部分中,我们将探讨 0 级自动驾驶系统与更高级别自动驾驶系统在危害分析方面的差异。
3. 研究方法
3.1 危害分析
根据 ISO 26262 和 ISO 21448 标准的定义,危害是潜在的风险来源。危害分析与风险评估(HARA)的目的在于识别和分类与所分析系统运行相关的危害,并确定应对这些危害所需的安全目标。
3.1.1 非自动驾驶系统
依据 ISO 26262-3 标准,非自动驾驶系统的危害分析与风险评估(HARA)按照图 3 所示的流程进行。
图 3: 非自动驾驶系统的危害分析
在该流程中,f 代表所研究系统的功能列表,M 代表功能故障(失效)列表。通过分析车辆在不同场景下出现不同类型故障时的表现,确定可能产生的负面后果;随后,根据后果的严重程度(Severity, S)、驾驶员和乘客处于可能发生该后果状态下的时间(暴露时间,Exposure, E)以及驾驶员避免该后果的能力(可控性,Controllability, C),对这些后果进行分类。接着,利用 ISO 26262-3 标准中的表格确定适用于所选场景下该失效的汽车安全完整性等级(ASIL)。分析的最终结果是一份带有相应 ASIL 等级的安全目标列表。在此过程中,场景采用自然语言描述,对严重程度(S)、暴露时间(E)和可控性(C)的分类则基于评估得出。
3.1.2 自动驾驶系统的额外考量因素
对于由组件失效引发的自动驾驶系统危害,其危害分析与风险评估(HARA)流程与非自动驾驶系统相同(见图 2)。但由于可能导致自动驾驶系统失效的事件种类更为多样,对严重程度(S)、暴露时间(E)和可控性(C)参数进行分类,以及确定统一的 ASIL 等级已不再具有实际意义。取而代之的是,需确定不同严重程度后果的发生概率,并将其与事故统计数据进行对比。若自动驾驶系统在运行过程中,严重后果的总体发生概率未上升,则认为该系统是安全的。
为确定特定负面后果的发生概率,研究采用了基于参数化场景的蒙特卡洛模拟法。
3.2 场景参数化
根据 ISO GTC 21448 标准的规定,场景定义应包含以下信息:
· 场景环境(关于周边物体的信息)
· 动态元素(其他车辆、行人、骑行者等)
· 静态元素(道路基础设施、树木等)
· 在场景执行过程中发生的动作与事件
· 定义场景安全性、驾驶质量、是否符合道路交通法规要求的目标与指标,以及其他评估因素(关键绩效指标,KPI)
场景环境中的静态元素和动态元素由数值参数确定。这些参数无法明确指定,它们具有一定的概率分布。例如,我们考虑这样一个场景:两辆汽车在直线路段上同向跟驰行驶(图 4)。该场景对于自动紧急制动系统(AEB)的设计具有重要意义。
图 4 “车辆跟驰” 场景
图 4 所示场景的具体情况如下:在直线路段上,两辆汽车以距离 d 同向、同速 v 行驶,前方车辆搭载有自动紧急制动系统(AEB)。在某一时刻 t₀,前方车辆的 AEB 系统被激活,车辆以最大负加速度(制动加速度)a 进行制动。该场景下的负面后果是,后方车辆可能会与前方车辆发生碰撞 —— 因为后方车辆的驾驶员可能无法对前方车辆速度的突然变化做出及时反应,而此类碰撞可能导致人员伤亡。
假设两辆车的最大制动加速度相同。由于驾驶员存在反应延迟,后方车辆在前方车辆开始制动后的 τ 时间才开始制动。后方车辆开始制动后,两车之间的距离可通过以下公式计算:
碰撞时间(即 d (t) 变为 0 的时刻)可通过以下公式计算:
碰撞瞬间两车的速度差 Δv = aτ。该速度差决定了碰撞过程中两辆车的驾驶员和乘客所受伤害的严重程度。
3.3 概率建模
根据交通数据,已明确驾驶员对突发场景变化的反应时间(τ)以及时间距离 dₜ = d/v 的分布情况,相应的分布如图 5 所示。
图5:模型参数的分布
假设负加速度(制动加速度)a 为恒定值,且 a = 9 m/s²。
研究采用基于马尔可夫性的蒙特卡洛模拟法,即每一组后续的随机变量都与之前的结果无关;此外,将随机变量 dₜ和 τ 视为相互独立的变量。
A. 跟驰时间距离 dₜ(中位数 = 1.2 秒,85 百分位数 = 1.6 秒)
B. 驾驶员反应时间 τ(中位数 = 0.97 秒,85 百分位数 = 1.6 秒)
(图 A、B 横坐标均为时间(秒),纵坐标为数量;图 A 时间范围为 0.5-3.5 秒,纵坐标范围为 0-600;图 B 时间范围为 0.5-3.5 秒,纵坐标范围为 0-600)。
4. 研究结果
通过建模,研究得出了初始速度与各类负面后果发生概率之间的关系。可能出现的结果包括:避免碰撞或无人员受伤的碰撞(依据 ISO 26262 分类标准,属于 S0 级)、轻度伤害(S1 级)、中度伤害(S2 级)以及重度伤害(包括致命伤害,S3 级)。建模结果以图形形式呈现于图 6 中。
图 6 :各类负面后果的发生概率(建模结果,p<0.001)
(横坐标为初始速度 v(米 / 秒),范围为 0-80;纵坐标为碰撞概率 P(%),范围为 0%-100%;图例中:No collision or S0 - 无碰撞或 S0 级伤害,S1-S1 级伤害,S2-S2 级伤害,S3-S3 级伤害)。
利用 ISO 26262-3 标准中的风险图可确定,在该场景下,所需的综合安全等级为 ASIL B 级。降低该安全等级的方法有多种:一种方法是将 AEB 系统的激活最大速度降至 20 米 / 秒;另一种方法是对系统进行改进,当搭载该系统的车辆后方存在以危害距离跟驰的车辆时,自动紧急制动(AEB)系统将停用 —— 这需要安装额外的传感器和软件组件。
上述结果描述的是有人驾驶车辆的情况,可将其作为制定自动驾驶车辆技术规范的基准。可以认为,为降低在所述场景下的人员受伤率和死亡率,自动驾驶车辆的反应时间需短于人类驾驶员。若在检测到符合所述场景的情况时,无法实现更短的反应时间,自动驾驶车辆则必须启动规避运行。而研发此类规避运行,需要考虑更多场景,并开展与本文所讨论类似的模拟分析。
5. 结论
本文提出了一种基于参数化交通场景的自动驾驶车辆控制系统需求提取方法。研究选取 “车辆跟驰” 场景(图 4)作为示例,采用跟驰时间距离 dₜ和驾驶员反应时间 τ 两个参数对该场景进行参数化处理。基于现有统计数据,为这两个参数建立了概率分布(图 5);随后通过蒙特卡洛模拟,得出了 “车辆跟驰” 场景下各类可能负面后果的发生概率(图 6)。
需指出的是,在实际情况中,参数 dₜ和 τ 似乎相互关联,且均与车速相关。例如,反应时间较长的驾驶员(如老年人)相比反应灵敏的驾驶员(如年轻的跑车驾驶员),更可能保持较长的跟驰距离;此外,当交通流量减少时,道路上车辆之间的距离通常会缩短。因此,有必要改进模拟方法,以考虑这些参数间的相关性。
本文中的场景构建、参数化处理、参数分布建立及模拟分析均使用 MathWorks MATLAB 和 Microsoft Excel 软件完成。随着所研究系统自动驾驶等级的提升,需模拟的场景数量会迅速增加。未来,有必要采用形式化或半形式化语言来描述场景,并开发一种解释器 —— 该解释器需能以适用于模拟软件的形式,自动构建所需的模型和分布。
本文由豆包软件翻译,如有不当之处请参照原文
下载请扫二维码:
