摘要
随着车辆中新增的电气电子部件不断增多,车辆本身的缺陷被视为引发交通事故的最大风险因素。因此,车辆的研发一直遵循 ISO 26262(国际功能安全标准),该标准主要聚焦于电气电子部件系统的功能缺陷安全性评估。然而,未来随着自动驾驶技术的应用,即便是不存在功能缺陷的车辆,也必须应对由异常因素或外部因素可能引发的危害交通状况。SOTIF(预期功能安全)正是为防范此类异常或外部因素而提出的概念。SOTIF 的核心目标是通过识别已知因素(Known factors)和不安全因素(Unsafe factors),尽可能减少未知且不安全的因素(Unknown & Unsafe factors)。本研究借助西门子公司(SIEMENS)推出的一款自动驾驶仿真软件 Prescan,对 IGLAD(全球交通事故数据协调计划)中的交通事故档案进行场景建模。基于仿真结果,对不安全档案(Unsafe cases)与安全档案(Safe cases)进行分类和分析,进而提炼出不安全因素。
1、引言
以往,人们认为车辆本身的缺陷是导致交通事故的最主要风险因素,因此车辆的研发依据 ISO 26262 这一国际标准展开,该标准专注于汽车功能安全领域中电气电子部件系统的功能缺陷安全性评估。然而,未来随着自动驾驶技术或 ADAS(高级驾驶辅助系统)技术在车辆上的搭载,即便车辆不存在功能缺陷,也需应对可能由异常因素或外部因素引发的危害情况,为此,SOTIF(预期功能安全)这一概念应运而生并被纳入考量。
SOTIF 的主要目的是识别我们已知的因素(Known factor)和危险因素(Unsafe factor),从而为可能影响自动驾驶车辆安全性的危险场景做好防范准备。例如,假设一辆完全不存在功能缺陷的车辆搭载了 AEBS(高级紧急制动系统),若前方车辆因不可抗拒的情况突然停车,即便 AEBS 在功能上毫无瑕疵,也可能无法正常发挥作用,进而导致事故发生。
在这种情况下,我们能够预想到的 “前方车辆突然停车” 这一情况可被称为 “已知因素(Known factor)”,而由于该情况可能引发事故,所以又可将其称为 “不安全因素(Unsafe factor)”。(2)归根结底,由于无法考虑到所有可能的情况,因此如图 2 所示,应逐步减少图 1 中 Area 3 所对应的 “未知且不安全的因素(Unknown & Unsafe factor)”,以此将因考虑不周而产生的不安全场景(而非技术层面的局限)降至最低。
图 1、SOTIF(预期功能安全)示意图
图 2、SOTIF 的目标示意图
近年来,随着对自动驾驶车辆投入应用的期待日益提升,国内外关于 SOTIF 的相关研究也在积极推进。(3)美国汽车工程师学会(SAE)将自动驾驶技术的应用水平划分为 0 至 5 级。其中,针对无需驾驶员介入即可实现充分行驶的 3 级及以上高级别自动驾驶车辆,有关 SOTIF 标准化及测评的研究已逐步开展。(5)目前,已开展的研究包括自动驾驶车辆 SOTIF 的形式化建模与结果分析,(6)以及通过模型来呈现系统功能与运行方式,并利用 SOTIF 对系统安全性进行评估的方法研究等。
然而,大多数研究并未全面考虑所有危险场景,(7)而仅是基于特定场景下的实际交通事故数据构建场景,并对结果进行分析。在部分综合考虑多种场景的研究中,采用的是基于事故数据的统计分析方法,而非代入 ADAS 及自动驾驶算法与传感器特性后得出的结果。此外,大部分研究均基于一个前提假设,即除了本车(研究对象车辆)之外,其他行驶的周边车辆均未搭载自动驾驶系统。由此可见,目前尚未拥有足以实现 SOTIF 目标的完善数据库(DB)。因此,为推进 SOTIF 标准的制定,我们认为有必要优先开展相关研究:通过能够反映实际行驶环境及多种行驶场景的仿真,对安全因素(Safe factor)与不安全因素(Unsafe factor)进行区分。
本研究为筛选出具有代表性的交通事故类型并进行仿真,以 IGLAD(全球交通事故数据协调计划)的 Codebook(数据手册)为依据构建场景。此外,在当前已商业化应用的 ADAS 功能中,选取与行驶安全性关联最为紧密的 AEBS(高级紧急制动系统),将其应用于所构建的场景中,并对仿真结果展开分析。考虑到未来大多数车辆都将搭载自动驾驶系统,本研究不仅在本车中应用 AEBS,还在对方车辆(周边其他车辆)中也应用相同的 AEBS,进而对比分析对方车辆是否搭载自动驾驶系统会对事故结果产生怎样的影响。
2、交通事故仿真场景建模
2.1 交通事故档案筛选
IGLAD 截至 2019 年已收集了全球范围内约 7050 起交通事故档案,并依据 IGLAD Codebook 将这些档案划分为 7 种典型类型(Type 1 - Type 7)。本研究中用于仿真的档案详情如下表 1 所示。
表 1、 IGLAD 交通事故档案统计
属于 Type 1 的 29 起 “车辆失控事故(Loss of control accident)” 档案,其事故原因源于本车自身缺陷,因此未纳入本研究的考量范围。
表 2 中列出的 273 起档案虽属于 “优先车道进入场景”,但由于该场景对自动驾驶安全性并无影响,因此未考虑优先车道相关情况,且其场景与 221、222 号档案一致,故同样将其排除。214 号档案对应的场景是 “等待对方车辆完全通过后再行驶”,该场景同样不影响自动驾驶安全性。诸如上述不影响自动驾驶安全性的场景,以及倒车场景(713 号档案)、交通信号系统场景(623 号档案)等不属于常规行驶场景的特殊档案,均未纳入本研究。最终,成功应用 AEBS 并完成仿真的场景共计 176 个。
表 2、用于场景建模的典型档案
2.2 场景详细建模
2.2.1 场景定义
在 IGLAD Codebook 中,对各个档案的描述存在模糊的标准,不同人从不同角度解读可能会得出不同结论。例如,如图 3 所示,当有 3 辆车在行驶且有 1 名行人在行走时,Codebook 中并未精确描述本车、对方车辆与行人的位置、车辆速度、道路坡度以及车道数量等信息,仅大致呈现了行驶路线和事故类型。因此,为获取具有可靠性的仿真结果,需要为每个场景设定统一的适用标准。
图 3、 IGLAD Codebook 中的 435 号档案示意图
本研究以城市道路行驶为基准构建场景,因此对本车、对方车辆、自行车、行人等移动物体(Actor)的速度按表 3 进行定义。
表 3、各移动物体(Actor)的速度
韩国警察厅于 2016 年为减少城市区域的交通事故,制定了 “安全速度 5030” 政策。该政策综合考虑交通拥堵等因素,建议城市区域的安全行驶速度范围为 30 km/h 至 50 km/h,本研究中将该范围的最大值 50 km/h(换算为 13.889 m/s)设定为本车的行驶速度。对于对方车辆,其速度分别设定为比本车低 10 km/h 和 15 km/h;(10)对于自行车,由于其在交叉路口人行横道处的平均通行速度为 18 km/h(换算为 5 m/s),因此将自行车速度设定为 5 m/s;(11)对于行人,参考普通人在人行横道上的行走速度,将其设定为 1.5 m/s。此外,考虑到车辆在曲线道路上保持与直线行驶相同速度并不符合实际情况,因此新增了一项减速条件:当车辆的航向角变化量(yaw_rate)达到 ±30 度 / 秒及以上或以下时,车辆速度降至 5 m/s。
图 4、在 Prescan 中对 IGLAD 412 号档案进行场景建模的示意图
本研究首先假设仅本车搭载 AEBS 功能,并以此为基础构建场景:在设定速度下行驶时,若本车完全未配备 AEBS 这类 ADAS 功能,那么本车与目标物体(包括其他车辆、自行车、行人等)必然会发生碰撞事故。在获取所有事故场景的仿真结果后,进一步在相同场景中为对方车辆也搭载 AEBS 功能,以此验证对方车辆是否搭载 AEBS 会使仿真结果与仅本车搭载 AEBS 时产生差异。
图 4 为使用 Prescan 对 IGLAD 412 号档案进行仿真的结果界面。在该场景中,本车右侧车道有后续车辆在行驶,左侧车道有车辆停靠。在此情况下,即便被停靠车辆遮挡的行人突然进入本车行驶路线,由于本车搭载的 AEBS 正常工作,最终并未发生事故。但若本车的 AEBS 未启动,则必然会引发事故。
2.2.2 传感器与 ADAS 算法
每个场景中所应用的传感器和 ADAS 算法,均是对 Prescan 软件自带的演示模型(DEMO)进行修改后得到的结果。本研究中,使用了 Prescan 中模拟雷达(RADAR)传感器的 TIS(技术无关传感器),不过根据使用需求,也可选用摄像头(CAMERA)、激光雷达(LIDAR)等其他类型的传感器。此外,本研究在仿真中应用的 ADAS 功能为 AEBS,但除 AEBS 外,也可应用自适应巡航控制(ACC)、车道保持辅助系统(LKAS)等其他 ADAS 算法进行仿真。
在传感器配置方面,如图 5 所示,共应用了 2 个 TIS:其中 1 个为远程雷达(Long Range RADAR),可探测前方 150 米范围内的物体;另 1 个为近程雷达(Short Range RADAR),可探测前方 30 米范围内的物体。
图 5、TIS 1 与 TIS 2 的配置设置示意图
图 6 为在 MATLAB/SIMULINK 软件中最终完成的 AEBS 模型。由于 Prescan 可在 MATLAB/SIMULINK 环境中运行,因此能够利用传感器采集到的周边环境信息构建控制算法。
图 6 、AEBS 算法模型示意图
该 AEBS 的工作条件依据碰撞时间(TTC)进行划分,具体划分标准如下表 4 所示。TTC 指的是本车与对方车辆发生碰撞前剩余的时间,其计算方式为:本车与对方车辆之间的相对距离除以两者的相对速度。如表 4 所示,AEBS 的工作条件划分依据为 TTC 值,而控制变量则为制动压力(Braking pressure)。
表 4 、AEBS 工作条件
图 7 记录了搭载 AEBS 的车辆在行驶过程中速度和加速度的变化情况。该场景设定为:本车行驶速度高于前方车辆,两车之间的距离逐渐缩短。仿真结果显示,AEBS 在行驶开始后 8 秒发出警报(Warning),在行驶开始后 9 秒启动部分制动(Partial Braking)。根据表 4 可知,警报(Warning)对应的 TTC 值与部分制动(Partial Braking)对应的 TTC 值相差 1 秒,而仿真中两者的时间间隔也恰好为 1 秒,这表明 AEBS 正常工作,仿真结果具有合理性。
图 7、 AEBS 速度变化曲线
2.2.3 事故有无判定
在判定交通事故是否发生时,可根据事故发生时乘客及行人的受伤程度、车辆的损坏程度,将事故划分为轻微事故、严重事故等不同等级。但在本研究中,只要本车与其他任何物体(Object)发生接触,即被视为存在不安全因素,该场景被归类为不安全档案(Unsafe case)。
本研究采用 Prescan 软件中的碰撞检测功能(Collision detection)来判定事故是否发生。如图 8 所示,在正常行驶(无碰撞)状态下,该功能输出值为 0;当本车与其他物体发生接触(碰撞)时,输出值变为 1。Prescan 会为每个物体(Object)分配唯一的 ID 编号(ID number),通过碰撞检测功能识别到的 ID 编号,能够确定与本车发生接触的具体物体。
图 8、 Prescan 的碰撞检测功能示意图
3、结果与分析
3.1 仿真结果
本研究的目标是为推进 SOTIF 标准制定开展前期工作 —— 构建数据库(DB)。具体而言,通过在仿真中反映实际行驶环境及多种行驶场景,依据仿真结果区分安全因素(Safe factor)与不安全因素(Unsafe factor)。研究过程中,筛选 IGLAD 中的典型事故类型,明确其标准并进行仿真,仿真结果总结如下:
在应用 AEBS 的 176 个场景仿真中,有 91 个场景发生了事故。各细分场景的仿真结果如下:
分析表 5 可知,在 176 个场景中,82 个场景为无交叉路口(Junction)的单车道场景,94 个场景为包含环岛、道路合流点等的交叉路口场景。若将每种场景中发生事故的比例定义为事故率(AR),则单车道(Single road)场景的事故率为 45.1%,交叉路口场景的事故率为 57.4%。这一结果表明,交叉路口场景的事故率比单车道场景高出约 12.3%,因此交叉路口场景可能属于不安全因素(Unsafe factor)。
表 5、不同道路类型的仿真结果
表 6 展示了不同行驶类型的仿真结果。其中,直线行驶(Straight)场景有 94 个,包含左转 / 右转及车道变更的曲线行驶(Curve)场景有 82 个。直线行驶场景的事故率为 44.6%,曲线行驶场景的事故率为 58.5%。同理,曲线行驶场景的事故率比直线行驶场景高出约 14.2%,因此曲线行驶场景也可能属于不安全因素(Unsafe factor)。
表 6、不同行驶类型的仿真结果
综上,在本研究所设定的车辆参数、移动物体(Actor)速度、传感器特性及 AEBS 算法条件下,可推测交叉路口场景和曲线行驶场景属于不安全因素(Unsafe Factor)。
3.2 本车与对方车辆同时应用 AEBS 的结果
图 9 对比展示了对方车辆是否应用 AEBS 对仿真结果产生的影响。左侧图为 303 号档案的仿真结果:本车在右转过程中,与对方车辆发生了碰撞。与之相对,当对方车辆也搭载 AEBS 时,对方车辆能够探测到本车并停车,因此如右侧图所示,未发生事故。
由此可见,即便在相同场景下进行仿真,对方车辆是否应用 AEBS 也会导致仿真结果出现差异。因此,考虑到未来自动驾驶车辆的占比将不断提升,我们认为在研究中也应纳入 “自动驾驶车辆对自动驾驶车辆” 的交互场景。
图 9、对方车辆应用 AEBS 与否的仿真结果对比
4、结论
通过本研究,完成了用于推进 SOTIF 标准制定的基础数据库(DB)构建。该数据库中纳入了不同行驶场景的相关档案,并结合传感器特性与行驶环境进行建模,从而能够更准确地判断仿真结果。然而,目前应用 AEBS 的场景数量仍不足以清晰地区分安全因素(Safe factor)与不安全因素(Unsafe factor)。此外,在判定安全因素与不安全因素的标准方面,也存在模糊之处。因此,为改进当前较为依赖主观判断的判定方式,我们认为有必要开展相关研究,建立一套系统化的不安全因素(Unsafe factor)提取方法。在后续研究中,计划通过分阶段调整可能影响行驶安全性的车辆位置、速度、相对距离等参数,进一步扩充数据库。
随着 SOTIF 数据库的不断扩充,在算法开发阶段未能考虑到的档案(CASE)将被逐步发现。此外,在实车测试前,通过对大量场景进行仿真,能够提前排除实车测试中可能存在的风险因素。最终,有望按照 SOTIF 的目标,确保自动驾驶车辆的安全性。
本文借助软件翻译,如有不当之处请参照原文
下载请扫二维码:
