呂穎

（中國第一汽車股份有限公司 智能網聯(lián)開發(fā)院，長春 130013）

主題詞：預期功能安全 智能駕駛 安全熵

縮略語

SCSTSV Smart City,Smart Transportation,Smart Vehicle（智慧城市智能交通智能汽車）

HMI Human Machine Interface(人機界面)

ADAS Advanced Driver Assistance Systems（駕駛輔助系統(tǒng)）

HAD Highly Automated Driving（高級智能駕駛）

SOTIF Safety Of The Intended Functionality（預期功能安全）

DA Driving Assistance（駕駛輔助）

AD Automated Driving（自動駕駛）

HFACS The Human Factors Analysis and Classification System（人因分析和分類系統(tǒng)）

FMEDA Failure Modes,Effects,and Diagnostic Analysis（失效模式影響和診斷分析）

RGB Red,Green,Blue(色彩模式)

BEV Bird Eye View(點云的鳥瞰圖)

FPN Feature Pyramid Network(特征金字塔網絡)

RPNs Region Proposal Networks(局域候選網絡)

PCCN Point Clound Colorization Network(點云彩色網絡)

R-CNN Region-Convolutional Neural Network（區(qū)域卷積神經網絡）

CRF Conditional Random Field（有條件隨機場）

ANN Artificial Neural Network（人工神經網絡）

CICWS Cooperative Intersection Collision Warning System（協(xié)同路口碰撞預警系統(tǒng)）

TCT Traffic Conflict Technique（交通沖突技術）

0 前言

當前對智能駕駛汽車預期功能安全研究尚處于起步階段，主要集中在討論研究范疇及對內涵的理解。歐寶汽車提出了L2和L3已有的功能安全標準并不能涵蓋所有的安全問題，引起產學各界對預期功能安全研究的重視[1]。ISO/PAS 21448中對預期功能安全基本實現(xiàn)思路及流程進行了規(guī)范[2]，并在2018年的ISO/TC22/SC32/WG8功能安全工作組會議討論了ISO 21448將引入機器學習、路徑規(guī)劃、人員響應HMI、先進測試方法等[3]。我國學者毛向陽等分析了預期功能安全、功能安全及信息安全的關系[4]。Mirko Conrad等也對比了功能安全與預期功能安全之間關系并在SAE 2018自動駕駛安全技術論壇作相關報告[5]。IOTG研究了預期功能安全、網絡安全以及責任敏感性安全等智能駕駛不同方面的安全性考慮及相互關系[6]。ZENUITY公司通過分析ADAS與HAD的不同提出了SOTIF在兩者中應用的區(qū)別[7]。HORIBA MIRA分析了SOTIF及其應對的挑戰(zhàn)，提出了相應的需求并建立了風險評估的框架，利用SOTIF風險評估等分析了解決預期行為方面問題的預期功能安全框架[8]。

上述研究主要集中于預期功能安全的定義和描述，對其開展理論和定性定量的研究涉及很少。尚世亮和李波對比功能安全與信息安全技術的差異給出了預期功能安全的技術路線，同時對車輛電控系統(tǒng)預期功能安全技術進行了研究，并提出相應評估方法與改進方法[9]。BOSCH公司基于V模型兩側內容將SOTIF用于ADAS系統(tǒng)開發(fā)過程和自動駕駛，并利用性能故障樹從標稱性能角度分析DA/AD系統(tǒng)[10]。TNO提出了一種基于場景、數據驅動、用于構建和維護真實場景數據庫的StreetWise方法，為高級駕駛輔助系統(tǒng)和(連接的)自動駕駛系統(tǒng)的開發(fā)和評估提供了真實的場景和測試用例[11]。Bev Littlewood等研究了對于安全關鍵軟件操作測試的一些保守停止規(guī)則，提出了一些新的貝葉斯停止規(guī)則，為SOTIF適用系統(tǒng)的確認過程提供了一些測試方法的借鑒[12]。Scott A.Shappell等研發(fā)的HFACS系統(tǒng)可推導SOTIF誤用情景中的人為因素分析中[13]。德州儀器公司就混合信號半導體的失效模式影響及診斷分析（FMEDA）提出了一套功能安全分析的思路[14]。蔡天富等人以耗散結構的維持與演化作為安全系統(tǒng)運行機制的理論基礎,在探討過程中提出了安全熵是反映安全系統(tǒng)本身的混亂程度的概念，并提出安全熵簡單數學表達和在人-機-環(huán)境三大要素組成系統(tǒng)中的分析[15]。車天偉等人結合信息論有關知識引入安全熵的概念，針對訪問控制模型的安全性分析與證明問題,提出了基于安全熵的量化分析方法[16]。袁黎等人為評估無信號控制路段行人過街安全性,本文考慮行人過街的不確定性及混亂性,提出安全熵概念,建立基于安全熵的無信號控制路段行人過街風險評估模型[21]。這些安全熵相關的研究可借鑒于預期功能安全的定量評估分析中。

智能汽車預期功能安全研究的另一個重要內容就是對于場景的理解。Thomason等將場景提出了一種場景樹作為場景表示，其中它們將場景分解成更簡單的元素并將這些元素排列成分層結構[17]；Maurer從觀察者的觀點來看：“物理對象的空間—時間排列定義了一個場景”[18]。Geyer等人使用劇院的比喻來定義：“場景由風景，動態(tài)元素和可選的駕駛指令定義。場景從前一場景結束開始，或者在第一場景的情況下開始—具有預定義的起始場景。在這個起始場景中，定義了所有元素及其行為，并設定了自我車輛的位置”[19]。通過研究和總結前人的成果，Simon Ulbrich等人定義場景為環(huán)境的快照，包括風景（地理空間靜止元素）和動態(tài)元素（移動或具有移動能力），以及所有行動者和觀察者的自我表征，以及這些實體之間的關系[20]。

智能駕駛的預期功能安全問題，從智能駕駛的三個層面（圖1）：感知識別、決策規(guī)劃、控制執(zhí)行，分析產生預期功能安全問題的場景因素、算法因素和部件軟硬件因素，基于SCSTSV的概念建立智能駕駛安全性預警區(qū)、識別區(qū)和防護區(qū)，提出定量度量預期功能安全的“安全熵”理論，構建安全性試驗場景和試驗用例。

（1）L4級的智能汽車要求擴展預期功能安全的研究內涵

目前ISO/PAS 21448標準主要是針對L2級ADAS的預期功能安全研究，聚焦于人與智能車的交互安全，隨著智能駕駛系統(tǒng)從輔助駕駛功能朝著無人駕駛的發(fā)展，人類的角色由專業(yè)駕駛員逐漸過渡為一般非專業(yè)化乘員，最終從駕駛任務中解放。智能汽車預期功能安全的不確定性因素大大增加。因此，應從智能駕駛的“感知、決策、執(zhí)行”各個層面系統(tǒng)性研究預期功能安全的內涵。

（2）人工智能算法給智能汽車安全帶來新的不確定性

人工智能算法在汽車領域的應用極大地推動了智能駕駛的發(fā)展，但由于算法本質上是統(tǒng)計概率的范疇，在模型的訓練與測試過程中所涉及到的樣本庫質量，算法選擇等，不能覆蓋汽車行駛的所有場景。導致系統(tǒng)在實際使用過程中可能在無故障的情況下出現(xiàn)漏檢、誤檢，從而危害行車安全。因此，有必要在預期功能安全范疇內，對人工智能算法給智能汽車安全帶來的風險進行評估。

（3）預期功能安全領域缺乏定量表示

ISO/PAS 21448標準以本車的車載系統(tǒng)功能為中心，從環(huán)境關聯(lián)的角度研究如何提高本車預期功能安全性的問題，提出系統(tǒng)功能與環(huán)境關聯(lián)安全的重要性，提供了一種安全分析的全局觀，但尚缺乏汽車智能系統(tǒng)預期功能安全的定量表示。熵是衡量系統(tǒng)混亂程度的有效手段，本文擬引入熵反映智能汽車在某狀態(tài)下智能駕駛系統(tǒng)的不確定性，代表智能汽車的預期功能安全概率，實現(xiàn)預期功能安全的定量表示。

圖1 智能汽車預期功能安全

1 駕駛感知的安全建模

智能車是智能交通系統(tǒng)的重要組成部分，但車載傳感器的探測范圍與精度受硬件和算法的制約，同時在特定極端惡劣環(huán)境下，系統(tǒng)的魯棒性也面臨挑戰(zhàn)。由此給智能駕駛感知的安全帶來不確定性。目前主流的解決方法是將多種傳感信息融合，依靠系統(tǒng)冗余從而提高整個系統(tǒng)的可靠性和安全性。

Chen等人首先將雷達輸入的3D點云投影到前視圖和鳥瞰圖，然后用鳥瞰圖通過卷積網絡以及3D bounding-box回歸之后生成低精度的3D proposal，然后將此3D proposal投影到前視圖、鳥瞰圖、單目圖像，通過一個融合網絡，最后將其通過多任務損失函數進行訓練，得到車輛的三維檢測[22]。Ku等人輸入RGB圖像以及BEV圖(點云的鳥瞰圖)，利用FPN網絡得到二者全分辨率的特征圖，將兩者的特征圖作為RPN的輸入，通過crop&resize提取兩個feature map對應的feature crop，按元素取均值的操作進行融合，最后挑選出3D proposal以實現(xiàn)3D物體檢測[23]。Banerjee等人首先通過對激光雷達和相機的外部校準，得到激光雷達點云坐標系與相機坐標系的變換矩陣，將激光雷達點云通過變換矩陣變換到相機坐標系，再投影到圖像平面上，得到深度稀疏的RGB-D圖像，將融合后的圖像送入目標檢測網絡[24]。Liang等人首先分別在圖像流和點云流(BEV)使用ResNet18提取特征，然后將圖像特征進行多尺度融合并利用PCCN將其“投影”到BEV map上(類似于插值過程)，融合了圖像特征以及空間位置信息，最后與點云流特征進一步融合并實現(xiàn)3D檢測[25]。Qi等人輸入RGB-D數據，先通過Mask RCNN在RGB圖像上找到2D區(qū)域建議，結合激光雷達點云，將2D邊界框提升到定義該對象的3D搜索空間的視錐建議，接著，在該視錐中使用PointNet++進行3D實例分割（進一步縮小建議的3D空間），最后，利用T-Net對坐標歸一，并再次使用PointNet++，回歸出物體3D邊界框的相關參數[26]。

Han等人通過對激光雷達點云數據投影過后的二維深度圖像上采樣，得到與圖像像素一一對應的深度信息，將彩色圖像和深度圖像兩個數據特征訓練adaboost分類器，最后通過CRF調整輸出結果[27]。Liu等人提出了一種基于共點映射的方法融合激光雷達和圖像數據，其認為激光點云信息到像素信息類似于共線中的雙射，通過此方法將激光雷達與圖像邊緣點相對應，提出了4種特征判斷車輛可行駛區(qū)域，最后將結果送入貝葉斯網絡得到概率圖模型[28]。Xiao等人為了克服復雜多變的道路場景，天氣變化和光線變化，將激光雷達點云數據與圖像數據標定對齊，將兩種傳感器數據同時通過CRF輸出對應道路區(qū)域概率，可以在較大程度上消除兩種傳感器帶來的缺點，比如激光雷達點云數據擁有精確的3D距離信息，而缺乏圖像數據的顏色、紋理、梯度等特征[29]。Xiao還通過一種新穎的鳥瞰圖變換將激光雷達數據和圖像數據對齊，彌補兩個傳感器各自的缺點，最后通過CRF給出道路區(qū)域概率[30]。

Hu等分別在激光雷達和圖像數據中提取道路路面，激光雷達通過提取道路邊界點和路面點，在圖像數據中提取道路特征，最后將其使用概率圖模型輸出道路概率[31]。Couprie等提出了一種基于二維和三維視覺融合的道路檢測系統(tǒng)，利用二維圖像通過分水嶺生成簇，然后對每個簇的二維和三維特征進行融合并送入人工神經網絡（ANN）進行分類[32]。Dosovitskiy等提出映射雷達點到圖像平面，然后分析點之間的局部空間關系，得到障礙物，并通過多自由空間檢測來估計道路[33]。由此看出，目前的研究主要集中于多感知的融合算法，但對于感知的錯檢、漏檢，以及錯覺場景的風險評估研究涉及較少。

2 智能駕駛決策的安全建模

對于人-車-環(huán)境為一體的現(xiàn)代化道路交通，環(huán)境感知信息的不完整、高度動態(tài)變化、甚至不一致等特點，對自動駕駛車輛的認知與決策模型在準確性、實時性、魯棒性等方面提出了嚴峻挑戰(zhàn)。目前，自動駕駛汽車決策行為的研究主要包括行為決策、路徑規(guī)劃及行車安全三個方面，但研究內容對于影響行為決策、路徑規(guī)劃以及行車安全的各種因素考慮不全，對由此產生的風險概率評估不足。

在行為決策方面，卡耐基梅隆大學的BOSS使用行為推理方法進行決策，按照規(guī)定的知識及規(guī)則實時推理出相應的駕駛行為。但由于真實的交通場景中不可避免的存在不確定性，并不能完全保證決策的安全準確性。Wei J等人將傳感器噪聲、感知約束及周圍車輛行為作為屬性加以決策，使用Markov模型進行決策，增強了自動駕駛汽車在單車道內行駛的穩(wěn)定性[34]。同樣，Chen J等人采用多屬性決策方法來選擇自動駕駛汽車的最優(yōu)策略[35]。

在路徑規(guī)劃方面，目前最常用的方法為啟發(fā)式搜索算法，包括A*和Field D*等算法，這類算法通常搜索速度較快，但其求解過程不夠穩(wěn)定，容易出現(xiàn)重新規(guī)劃的現(xiàn)象。叢巖峰提出基于預測控制理論，基于滾動的方法借助反饋進行實時規(guī)劃[36]。上述算法都未考慮到車輛動力學的問題，規(guī)劃出的軌跡不適合車輛行駛；且算法的普適性及實時性無法滿足智能駕駛的安全需求。

在行車安全方面，大多數現(xiàn)有的行車安全模型都是基于車輛動力學理論來建立的，考慮了車輛狀態(tài)信息和相對運動信息。這類行車安全模型忽略了“人-車-路”閉環(huán)系統(tǒng)各要素對行車安全的影響，無法體現(xiàn)影響行車安全的各因素的相互作用。我國李德毅院士等發(fā)明了一種智能車輛利用變粒度路權雷達圖進行信息融合的方法，采用變粒度路權雷達圖的形式，融合各類傳感器的環(huán)境感知信息，并顯示車輛擁有的路權空間及其變化趨勢，實現(xiàn)輔助駕駛和無人駕駛[37]。湯傳業(yè)等人提出了一種基于交規(guī)約束的無人車行駛路權規(guī)劃方法，通過對道路環(huán)境圖像的處理最終得到了柵格狀的路權態(tài)勢圖，使得無人車在規(guī)則化道路中在遵守交通法規(guī)的前提下安全行駛[38]。劉健在其博士論文中提出了一種基于障礙物特性建模的路權時空態(tài)勢圖的構建方法，反映無人車局部環(huán)境中的碰撞風險[39]。我國學者王建強提出了“行車風險場”概念，考慮了人-車-路組成閉環(huán)系統(tǒng)中各交通要素對行車風險的影響，為車輛智能安全技術的研究提供了一種新的思路和方法[40]。

3 智能駕駛執(zhí)行器的安全建模

智能駕駛執(zhí)行器是作為智能駕駛系統(tǒng)決策輸出目標控制量的最終執(zhí)行者，其執(zhí)行效果直接影響無人車整體性能，它所承接的系統(tǒng)決策命令綜合了車輛外部交通環(huán)境狀與車內乘客的高不確定性，故建立執(zhí)行器安全模型是實現(xiàn)智能駕駛的關鍵技術之一。目前的研究對于乘員在環(huán)的誤操作以及帶來的風險沒有系統(tǒng)的評估策略和安全建模。

執(zhí)行器的預期功能安全主要考慮人機交互過程中乘客的不確定性與執(zhí)行器自身的響應特性。首先，多因素可造成乘客錯用或者誤用駕駛功能，而不同自動駕駛功能觸發(fā)時乘客的接受度和響應時間直接決定了該過程中車輛行駛的安全性。且乘客的個人差異（如年齡、駕駛履歷、心理負荷、操作感覺反饋、自動駕駛功能的理解程度等）在人機交互環(huán)節(jié)可能威脅車輛行駛安全。目前，控制權切換績效的評價尚無統(tǒng)一的方法，但是其中一些因素已經取得了一些研究進展。Damb?ck等人研究了在自動駕駛過程中，通過給定一個切換任務來研究駕駛人對任務的響應實時性[41]。Zeebk等采用仿真實驗分析了智能輔助駕駛系統(tǒng)切換時間與切換提示之間的相互影響關系，并在此基礎上對不同駕駛風格駕駛人切換反應能力進行了統(tǒng)計分析[42]。Nilsson等通過融合駕駛人的控制能力和車輛當前狀態(tài)構建由自動駕駛切換到手動駕駛的安全評估模型[43]。

在現(xiàn)階段，預期功能安全的研究對象主要是L2級別的自動駕駛系統(tǒng)，駕駛員在環(huán)是其重要特征。對駕駛員狀態(tài)的檢測一般包括以下3種方法：

（1）駕駛員生理信號檢測法；

（2）駕駛員面部表情檢測法；

（3）駕駛員駕駛行為檢測法。

如浙江大學開發(fā)了一套基于灰度積分投影的人眼快速定位法，利用圖像垂直灰度和水平灰度投影曲線來確定人臉邊界及人眼位置，最后確定人眼閾值進而檢測駕駛人員眼睛的閉合時間及閉合頻率[44]；西安交通大學對基于駕駛行為的駕駛員疲勞狀態(tài)進行了研究，通過分析駕駛員轉向盤轉角的轉向特征，進行小波包的分解并建立能譜熵，對駕駛員疲勞狀態(tài)和正常狀態(tài)時的小波能譜熵值進行比較，以能譜熵值區(qū)分駕駛員狀態(tài)[45]。

另一個角度來講，執(zhí)行器模型描述著期望指令和實際通過執(zhí)行器實現(xiàn)的指令之間的關系，執(zhí)行器的精度、響應時間、預設工況與工作狀態(tài)、工作范圍等許多待確定的特性參數，選取這些參數十分繁瑣，郭景華把執(zhí)行器建模視為灰箱辨識問題來確定執(zhí)行器的數學模型。智能車在運動過程中利用車輛運動學與碰撞學對車輛運行結果進行安全評價[46]。吉德志采用蒙特卡洛方法來計算車輛間的碰撞概率，并對傳統(tǒng)的蒙特卡洛方法加以改進以提高碰撞概率的計算速度，提出了幾何蒙特卡洛和矩陣蒙特卡洛方法，實時計算車輛間的碰撞概率，完成車輛的碰撞預測[47]。Laugier C等在考慮道路幾何拓撲環(huán)境的基礎上，通過隱馬爾可夫模型結合GPS進行碰撞識別，直觀的進行碰撞風險估計[48]。Jang J A提出了一種協(xié)同路口碰撞預警系統(tǒng)模型CICWS（Cooperative Intersection Collision Warning System），應用固定的交通傳感器在無信號路口為駕駛員實時提供預警信息[49]。文中使用交通沖突技術TCT（Traffic Conflict Technique）估計交叉口的可能碰撞，并擴展概念應用于實時信息通訊，用于識別與車輛建設相關的安全問題。

還有一些對于車輛橫向控制的研究：清華大學的張德兆等針對乘用車設計了一種基于風險狀態(tài)預估的彎道防側滑超速預警系統(tǒng)，根據駕駛員預估時間構造風險狀態(tài)預估函數，提前判斷車輛進入彎道時的安全狀態(tài)，并對駕駛員分級報警提示，從而使其提前對車輛進行操作，保證車輛彎道行駛的安全性[50]。Gerhard等建立車輛線性動力學模型，利用主動差速和主動側傾控制系統(tǒng)設計了橫擺角控制器，簡單但魯棒性強，在時變參數空間內確定車輛穩(wěn)定的邊界條件，通過控制車輪轉向角和車輛縱向速度以避免車輛發(fā)生側翻等危險[51]。

4 結束語

綜上所述，預期功能安全屬于智能汽車的新型發(fā)展方向，國內外研究多數停留于定義和概念階段，尚缺乏全面系統(tǒng)的基礎理論支撐。少數探索性研究主要針對特定技術方面，決定了預期功能安全目前存在著很大的挑戰(zhàn)。

（1）在智能駕駛預期功能安全方面，由于安全評估必須依靠場景的支撐，需要研究智能駕駛場景的建模，駕駛碰撞是由于智能汽車的現(xiàn)有路權和駕駛意圖的期望路權之間的沖突，研究基于路權語義的場景建模，并提出預期功能安全熵的概念，表示該智能系統(tǒng)的安全度。

（2）智能駕駛感知的安全建模任務中，可靠的環(huán)境感知能力對自主巡航控制、碰撞預警和路徑規(guī)劃起到至關重要的作用，直接影響其決策的準確性。環(huán)境感知是多種傳感器數據融合后的結果，如何學習、融合多源異構傳感數據，是研究感知的首要問題。在面對多態(tài)性環(huán)境和錯覺場景，需建立有效的風險評估策略和干預措施。此外，如何提高感知準確率，針對漏解和誤解情況構建魯棒的概率模型，也是亟待探索的重要問題。

（3）在智能駕駛決策的安全建模方面，對行為決策及路徑規(guī)劃算法的安全性進行風險評估,研究道路交通法規(guī)和未知危險造成事故的可能性等因素，開展基于風險概率沖突及嚴重程度沖突的風險預測模型的構建，設計決策安全監(jiān)測系統(tǒng)，同步監(jiān)測及驗證決策邏輯，建立基于決策層面的預期功能安全模型與計算方法。

（4）在智能駕駛執(zhí)行器的安全建模方面，執(zhí)行器的輸入有智能系統(tǒng)和乘客行為，由于存在執(zhí)行器響應延遲與工作范圍限制，乘員對功能理解不充分狀態(tài)下的功能誤用以及系統(tǒng)觸發(fā)時與乘員預期不同所產生的心理負荷等因素，對行車安全造成影響。故未來應提出綜合乘客不確定因素與執(zhí)行器響應特性要素，從車輛動力學失穩(wěn)與運動學碰撞風險角度，建立智能駕駛執(zhí)行層面的預期功能安全熵模型與計算方法。