厲健峰 孔德寶 呂穎 呂錚 趙小紅

（1.中國(guó)第一汽車(chē)股份有限公司智能網(wǎng)聯(lián)開(kāi)發(fā)院，長(zhǎng)春130013；2.汽車(chē)振動(dòng)噪聲與安全控制綜合技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，長(zhǎng)春130013）

主題詞：自動(dòng)駕駛 決策系統(tǒng) 安全驗(yàn)證 責(zé)任敏感安全

縮略語(yǔ)

ADS Automated Driving System

RSS Responsibility Sensitive Safety

LTE-V Long Term Evolution-Vehicle

V2V Vehicle To Vehicle

ACC Adaptive Cruise Control

APB Automatic Preventive Braking

AEB Automatic Emergency Braking

ADAS Advanced Driving Assistant Systems

MTL Metric Temporal Logic

MPC Model Predictive Control

STL Signal Temporal Logic

RNN Recurrent Neural Network

1 前言

近十年，自動(dòng)駕駛系統(tǒng)(Automated Driving System,ADS)的研究表明，ADS能增加出行的便利性、安全性和舒適性，吸引了學(xué)術(shù)界和工業(yè)界的極大興趣[1]。先進(jìn)傳感、智能決策和魯棒車(chē)輛控制等關(guān)鍵技術(shù)的進(jìn)步加速了自動(dòng)駕駛的發(fā)展[2]。雖然已經(jīng)取得了重大進(jìn)展，但該行業(yè)仍處于運(yùn)輸革命的初級(jí)階段，需要克服的困難很多[3]。

自動(dòng)駕駛系統(tǒng)安全性是自動(dòng)駕駛汽車(chē)走向量產(chǎn)的一大挑戰(zhàn)[4]?，F(xiàn)有的自動(dòng)駕駛汽車(chē)安全性驗(yàn)證方法通常基于行駛里程、接管次數(shù)、虛擬仿真和場(chǎng)景測(cè)試[5]。這些方法在實(shí)際的應(yīng)用中都呈現(xiàn)出各自的不足與局限，難以滿足未來(lái)海量、多維場(chǎng)景下高度自動(dòng)駕駛汽車(chē)安全驗(yàn)證的有效性、合理性與實(shí)用性[6]。

Mobileye提出了責(zé)任敏感安全（Responsibility Sensitive Safety,RSS）模型[7]，旨在成為開(kāi)放的在線安全認(rèn)證標(biāo)準(zhǔn)。該模型基于安全規(guī)則實(shí)時(shí)校驗(yàn)車(chē)輛當(dāng)前的安全態(tài)勢(shì)，限制本車(chē)可能導(dǎo)致事故的行為，明晰發(fā)生事故時(shí)的責(zé)任主體，RSS由IEEE P2846工作組進(jìn)一步開(kāi)發(fā)[8]。

本文第2章，介紹自動(dòng)駕駛系統(tǒng)安全性驗(yàn)證的相關(guān)方法，指出了應(yīng)用責(zé)任敏感安全模型的優(yōu)勢(shì)。第3章，簡(jiǎn)要介紹責(zé)任敏感安全模型概念，現(xiàn)有的系統(tǒng)集成方案，已有研究中對(duì)該模型進(jìn)行的改進(jìn)，以及該模型本身對(duì)于感知系統(tǒng)的依賴。第4章，介紹應(yīng)用責(zé)任敏感安全概念的研究嘗試。第5章，給出責(zé)任敏感安全模型現(xiàn)狀的總結(jié)以及未來(lái)研究的展望。

2 全球自動(dòng)駕駛實(shí)測(cè)里程與接管統(tǒng)計(jì)

目前，在工業(yè)界廣泛采用的評(píng)估自動(dòng)駕駛車(chē)輛決策系統(tǒng)安全性的4種方法分別是：道路實(shí)測(cè)、人工接管次數(shù)、仿真和基于場(chǎng)景的測(cè)試。

2.1 道路實(shí)測(cè)

道路實(shí)測(cè)方法是基于統(tǒng)計(jì)的觀點(diǎn)，試圖證明自動(dòng)駕駛車(chē)輛在統(tǒng)計(jì)上比人類(lèi)司機(jī)更好。要獲得足夠的統(tǒng)計(jì)證據(jù)來(lái)證明所聲稱的錯(cuò)誤概率(即做出不安全駕駛決策的機(jī)會(huì))已經(jīng)滿足，就需要行駛大量的里程。文獻(xiàn)[7]推導(dǎo)并證明了為達(dá)到事故率為10-9/h，需要483×108km（300億英里）的道路實(shí)測(cè)里程，且每次系統(tǒng)程序升級(jí)后需要再次進(jìn)行測(cè)試。表1為截止到2020年11月各公司的自動(dòng)駕駛系統(tǒng)實(shí)測(cè)里程，遠(yuǎn)未達(dá)到需要的里程。此外，在實(shí)測(cè)的過(guò)程中產(chǎn)生的駕駛里程對(duì)于自動(dòng)駕駛系統(tǒng)來(lái)說(shuō)很可能是低效的，簡(jiǎn)單場(chǎng)景下的安全行駛并不能作為安全評(píng)價(jià)的依據(jù)。

表1 各公司實(shí)測(cè)里程與每次接管的里程[4]

2.2 人工接管次數(shù)

另1種方法為統(tǒng)計(jì)人工接管次數(shù)。人工接管被定義為由于自動(dòng)駕駛系統(tǒng)做出了不安全的決策導(dǎo)致即將發(fā)生事故，而人類(lèi)駕駛員不得不干預(yù)操作的情景。接管次數(shù)統(tǒng)計(jì)了更頻繁發(fā)生的“即將導(dǎo)致事故”。該方法的問(wèn)題與道路實(shí)測(cè)的方式是相同的，即實(shí)測(cè)中“簡(jiǎn)單”和“有挑戰(zhàn)性”的場(chǎng)景分布是未知的。此外，“即將導(dǎo)致事故”與“真正的事故”在困難的工況下是否一致是未知的。表1統(tǒng)計(jì)了各公司在道路實(shí)測(cè)過(guò)程中平均每次接管的里程。

2.3 仿真

仿真的方法可以極大地提升道路實(shí)測(cè)的速度。其出發(fā)點(diǎn)在于構(gòu)建1個(gè)虛擬的自動(dòng)駕駛系統(tǒng)運(yùn)行環(huán)境，在算力足夠的條件下，可以在10 s內(nèi)運(yùn)行161×108km（100億英里），以此來(lái)快速地達(dá)到目標(biāo)測(cè)試?yán)锍?。目前，已?jīng)有多家商業(yè)化的仿真平臺(tái)[6]，包括Apollo（百度）、Carcraft（Waymo）、Carla、Carsim、PreScan等。仿真驗(yàn)證的問(wèn)題在于如何驗(yàn)證仿真器可以完全可信地代表真實(shí)世界。2種在真實(shí)世界中有著不同事故可能性的駕駛策略，可能由于仿真器中未建模的1種特性而在仿真器中測(cè)試得到的事故率一致。即使證明了仿真器可以反映某一駕駛策略的真實(shí)性，也不能保證可以反映另一種駕駛策略的真實(shí)性。

2.4 基于場(chǎng)景的測(cè)試

基于場(chǎng)景的測(cè)試的出發(fā)點(diǎn)是只要窮舉在真實(shí)世界中存在的駕駛場(chǎng)景，然后將自動(dòng)駕駛系統(tǒng)在這些場(chǎng)景下進(jìn)行測(cè)試，就可以認(rèn)為自動(dòng)駕駛可以安全的做出駕駛決策[9]。這種方法的基本假設(shè)是只要自動(dòng)駕駛系統(tǒng)可以通過(guò)這些選取出來(lái)的駕駛場(chǎng)景，那么它就可以通過(guò)所有類(lèi)似的場(chǎng)景。問(wèn)題在于系統(tǒng)可以通過(guò)擬合來(lái)通過(guò)這些測(cè)試，這會(huì)導(dǎo)致自動(dòng)駕駛系統(tǒng)在測(cè)試了的場(chǎng)景上表現(xiàn)優(yōu)異，而在未測(cè)試的場(chǎng)景上表現(xiàn)較差。

以上安全性驗(yàn)證方法在實(shí)際的應(yīng)用中都遇到了一定的困難。而責(zé)任敏感安全模型作為1個(gè)形式化的安全模型，它基于安全規(guī)則實(shí)時(shí)校驗(yàn)車(chē)輛當(dāng)前的安全態(tài)勢(shì)，限制本車(chē)可能導(dǎo)致事故的行為，保障本車(chē)永遠(yuǎn)不會(huì)導(dǎo)致事故的發(fā)生。當(dāng)所有車(chē)輛都遵循該模型時(shí)，交通事故將永遠(yuǎn)不會(huì)發(fā)生。在37個(gè)典型的事故場(chǎng)景下對(duì)責(zé)任敏感安全模型進(jìn)行了理論測(cè)試，這些場(chǎng)景覆蓋了99.4%的美國(guó)國(guó)家公路交通安全管理局(NHTSA)事故場(chǎng)景[10]。結(jié)果表明，責(zé)任敏感安全模型可以有效地保持車(chē)輛的安全狀態(tài)[11]。

3 責(zé)任敏感安全模型

3.1 RSS簡(jiǎn)要介紹

責(zé)任敏感安全模型包括了以下5條關(guān)鍵的規(guī)則[7]：

（1）不要從后部撞上其它車(chē)；

（2）不要魯莽地插入前車(chē)；

（3）路權(quán)是給定的不是搶來(lái)的；

（4）對(duì)視野受限的區(qū)域要格外小心；

（5）如果可以避免一起事故而不引發(fā)新的事故，那么一定要這樣做。

這些規(guī)則通過(guò)參數(shù)化的數(shù)學(xué)方程描述，通過(guò)它們可以決定自動(dòng)駕駛車(chē)輛是否安全。如果不安全，RSS提供對(duì)執(zhí)行器執(zhí)行指令的限制，這會(huì)把自動(dòng)駕駛車(chē)輛帶回到安全的狀態(tài)。因此，責(zé)任敏感安全模型在自動(dòng)駕駛的技術(shù)棧內(nèi)可以被用作1個(gè)獨(dú)立的安全層（圖1）。

圖1 RSS在ADS規(guī)劃中作為獨(dú)立安全層的集成示例[13]

以規(guī)則1為例來(lái)詳細(xì)說(shuō)明。規(guī)則1指出車(chē)輛應(yīng)該與其它車(chē)輛保持1個(gè)安全的縱向距離dsafe，以此來(lái)使自己有能力應(yīng)對(duì)前車(chē)突然的緊急制動(dòng)（圖2右車(chē)所示）。因此需要保證dsafe≥dmin，dmin為后車(chē)反應(yīng)和制動(dòng)的距離總和，如式（1）所示。

圖2 縱向后車(chē)反應(yīng)和制動(dòng)距離總和d min[13]

式中，ρ代表后車(chē)的反應(yīng)時(shí)間，amax為后車(chē)在反應(yīng)時(shí)間內(nèi)的最大加速度，βmin為反應(yīng)時(shí)間之后后車(chē)必須實(shí)施的最小減速度，Vr為后車(chē)當(dāng)前的速度。同樣，vf為前車(chē)的速度，βmax為前車(chē)制動(dòng)產(chǎn)生的最大減速度。最后，[x]+定義為max[0，x]。

如果自動(dòng)駕駛車(chē)輛進(jìn)入了危險(xiǎn)情況，例如：違反了前面提到的規(guī)則之一，責(zé)任敏感安全模型會(huì)提供1個(gè)“適當(dāng)反應(yīng)”。這是對(duì)執(zhí)行器控制指令的限制，它會(huì)將自動(dòng)駕駛車(chē)輛帶回到安全的狀態(tài)。在縱向的例子中，這表明2車(chē)之間的距離小于dmin，責(zé)任敏感安全模型會(huì)要求后車(chē)以至少為βmin的減速度減速，來(lái)避免本車(chē)造成事故。

處理的整個(gè)過(guò)程如圖1所示，Extract Situation代表從傳感子系統(tǒng)中抽取周?chē)熊?chē)輛的信息，Check Situation按照前面提到的規(guī)則進(jìn)行檢查，Proper Re?sponse計(jì)算在危險(xiǎn)的情況下執(zhí)行器指令的限制。

3.2 RSS基本實(shí)現(xiàn)

圖3 RSS C++庫(kù)集成進(jìn)ADS系統(tǒng)[12]

該庫(kù)僅實(shí)現(xiàn)了文獻(xiàn)[7]中定義的1個(gè)子集，包括了多車(chē)道的縱側(cè)向安全距離與適當(dāng)反應(yīng)定義，不同路型及不同路權(quán)的交叉路口縱側(cè)向適當(dāng)反應(yīng)的定義，非結(jié)構(gòu)化道路與行人[7]。Gassmann[12]等開(kāi)發(fā)的開(kāi)源標(biāo)準(zhǔn)C++庫(kù)并未實(shí)現(xiàn)視野受限、無(wú)側(cè)向沖突的交叉路口、縱側(cè)向的補(bǔ)償反應(yīng)。

文獻(xiàn)[12]展示了將該庫(kù)集成到百度Apollo技術(shù)棧及仿真器中的1個(gè)示例，圖4為其集成示意圖。該示例直接將RSS模塊集成到了自動(dòng)駕駛系統(tǒng)的規(guī)劃子模塊中，接收來(lái)自Apollo的環(huán)境信息，轉(zhuǎn)換為RSS世界模型的格式，執(zhí)行RSS檢查，最后產(chǎn)生的RSS適當(dāng)反應(yīng)輸入到Apollo的規(guī)劃子系統(tǒng)中做進(jìn)一步解釋。

此外，在文獻(xiàn)[13]中，Gassmann等將RSS集成到了CARLA[14]的仿真環(huán)境中。圖5為集成的架構(gòu)示意圖，分為RSS傳感器與RSS限制器2個(gè)部分。RSS傳感器部分可以像CARLA的其它傳感器一樣與車(chē)輛連接，產(chǎn)生RSS適當(dāng)反應(yīng)及加速度限制信息，而本身不對(duì)車(chē)輛的控制產(chǎn)生影響。當(dāng)需要執(zhí)行RSS限制的時(shí)候，可以實(shí)例化RSS限制器，按照RSS的限制值對(duì)客戶端產(chǎn)生的車(chē)輛控制指令進(jìn)行限制。

圖5 RSS集成進(jìn)CARLA仿真環(huán)境架構(gòu)[13]

3.3 RSS改進(jìn)

3.3.1 參數(shù)優(yōu)化調(diào)整

RSS安全距離定義的數(shù)學(xué)模型中有多個(gè)需要預(yù)設(shè)值的參數(shù)，主要包括了反應(yīng)時(shí)間、前車(chē)的最大制動(dòng)減速度、后車(chē)的最大加速度和最小減速度值。這些參數(shù)值的大小直接影響到是否能保證本車(chē)的安全性，是否能保證足夠的通行效率。絕對(duì)的安全性會(huì)導(dǎo)致極大的安全距離，從而使通行效率降到極低。因此參數(shù)的設(shè)定是對(duì)安全性與有效性的平衡。

Rodionova等[15]提出了1種評(píng)估自動(dòng)駕駛系統(tǒng)安全模型性能的方法，利用了MTL規(guī)約作為安全的尺度。基于該方法Rodionova等在CARLA仿真環(huán)境中形成了評(píng)估RSS安全性的管道，評(píng)估了不同參數(shù)組合下RSS的安全性與有效性。結(jié)果表明，保持安全邊界的同時(shí)穩(wěn)定的駕駛行為可以達(dá)到最高的有效性。

動(dòng)態(tài)地改變參數(shù)設(shè)定是另外1種平衡安全性與有效性的方法。Oboril等[16]提出了1種在RSS內(nèi)部考慮駕駛場(chǎng)景風(fēng)險(xiǎn)的動(dòng)態(tài)參數(shù)調(diào)整方法，在交通密度增加的同時(shí)顯著降低安全裕度，同時(shí)保證了安全風(fēng)險(xiǎn)在限定的范圍內(nèi)，達(dá)到了安全性與有效性的平衡，圖6為該方法的集成示意圖。

圖6 RSS動(dòng)態(tài)參數(shù)調(diào)整系統(tǒng)集成示意[16]

此外，在特定的應(yīng)用中，采用特有的參數(shù)設(shè)定也是平衡安全性與有效性的1種方式。Li等[17]在基于LTE-V的V2V通信的跟車(chē)工況下，分析了信息包傳送的時(shí)間，發(fā)現(xiàn)其與距離和交通密度呈近似線性的關(guān)系。在RSS的反應(yīng)時(shí)間參數(shù)設(shè)定中考慮了不確定性以及它與距離和交通密度的關(guān)系，深度定制化了該參數(shù)值。理論及仿真實(shí)驗(yàn)表明該改進(jìn)的RSS安全策略的有效性。

金屬性接地短路指線路發(fā)生接地時(shí)，短路電阻數(shù)值很小，可以簡(jiǎn)化為直接接地，如圖1.1。最常見(jiàn)的有經(jīng)弧光電阻接地。金屬性短路接地故障點(diǎn)的邊界條件為：UA=0；IB=0；IC=0（以A相短路接地為例）。

3.3.2 策略調(diào)整

在RSS的定義中，在結(jié)構(gòu)化道路上的安全距離是基于車(chē)道坐標(biāo)系定義的，在非結(jié)構(gòu)化的道路上的安全距離是基于行駛軌跡定義的。而且適當(dāng)反應(yīng)的定義只是基于制動(dòng)操作。這樣的設(shè)定在某些應(yīng)用中會(huì)出現(xiàn)沖突并造成車(chē)通行效率降低。因此，在一些研究中對(duì)相應(yīng)策略做出調(diào)整，在達(dá)到保障安全的條件下提高通行效率。

Iaco等[18]指出安全的適當(dāng)反應(yīng)可以是制動(dòng)減速，也可以是切換到相鄰的車(chē)道上。在RSS的框架內(nèi)將轉(zhuǎn)向干預(yù)也視為1個(gè)有效的適當(dāng)反應(yīng)，可以實(shí)現(xiàn)更小的跟車(chē)距離，提高有效性。

Khayatian等[19]將RSS模型應(yīng)用到網(wǎng)聯(lián)自動(dòng)駕駛車(chē)輛的運(yùn)動(dòng)規(guī)劃中時(shí)發(fā)現(xiàn)，基于車(chē)道坐標(biāo)系定義的RSS模型無(wú)法在復(fù)雜的交通場(chǎng)景下（如：環(huán)島）保證安全，而且也無(wú)法解決死鎖的問(wèn)題。因此，提出了基于軌跡形式化的RSS模型，很好地保證了復(fù)雜場(chǎng)景下的安全，死鎖的問(wèn)題也被解決，通行的效率得到了提高。

3.4 RSS對(duì)感知系統(tǒng)的依賴

自動(dòng)駕駛系統(tǒng)的感知不確定性是普遍問(wèn)題。RSS進(jìn)行安全檢查的前提是擁有對(duì)周?chē)h(huán)境的語(yǔ)義理解，包括本車(chē)的運(yùn)動(dòng)信息、周?chē)h(huán)境的高精地圖、其他動(dòng)態(tài)目標(biāo)的運(yùn)動(dòng)信息，這需要通過(guò)自動(dòng)駕駛系統(tǒng)的感知子系統(tǒng)獲取。而目前感知子系統(tǒng)大多依賴深度學(xué)習(xí)算法，其安全性并沒(méi)有通用的安全層來(lái)保證。因此為保證RSS正常工作，需要特定的安全保障措施。

Buerkle等[20]提出了1種基于動(dòng)態(tài)占用網(wǎng)格的監(jiān)視/恢復(fù)方法。該方法可以發(fā)現(xiàn)感知系統(tǒng)的失效，并且成功地從錯(cuò)誤中恢復(fù)，提供給RSS一個(gè)正確的世界模型。

Salay等[21]提出通過(guò)使用感知不確定性的信息，建立1個(gè)與RSS相結(jié)合的形式化感知模型，以減輕誤識(shí)別的影響。這種方法將不確定性表達(dá)為不精確的感知，并在RSS中將動(dòng)作限制在給定感知不確定性的情況下支持安全的行為。

4 RSS應(yīng)用

盡管完整的RSS在實(shí)際中應(yīng)用還面臨著諸多問(wèn)題，但是在某些特定的場(chǎng)景下借用RSS中的特性實(shí)現(xiàn)現(xiàn)有系統(tǒng)改進(jìn)的應(yīng)用越來(lái)越多。這些應(yīng)用可以分為以下3類(lèi)：跟車(chē)場(chǎng)景、車(chē)道變換場(chǎng)景和將RSS作為場(chǎng)景是否安全的評(píng)判標(biāo)準(zhǔn)。

4.1 跟車(chē)場(chǎng)景

跟車(chē)場(chǎng)景是L2級(jí)自動(dòng)駕駛中最為普遍的場(chǎng)景。在傳統(tǒng)的ACC系統(tǒng)中集成RSS后可以提高原有系統(tǒng)的安全性。

Tran等[22]用部分可觀測(cè)馬爾可夫決策過(guò)程來(lái)優(yōu)化ACC系統(tǒng)的駕駛策略，最后在自適應(yīng)MPC控制下實(shí)現(xiàn)了RSS。

Chai等[23]針對(duì)在ACC中集成RSS導(dǎo)致跟車(chē)距離過(guò)大的問(wèn)題提出了包含觸發(fā)條件的RSS。定義了3種不同的跟車(chē)距離，分別對(duì)應(yīng)著3種不同的情況：原RSS定義情況；在RSS基礎(chǔ)上考慮后車(chē)在反應(yīng)時(shí)間內(nèi)不加速；在前1種情況的基礎(chǔ)上考慮后車(chē)在反應(yīng)時(shí)間之后以最大減速度制動(dòng)。此外，還定義了2個(gè)觸發(fā)器，以在3種情況之間切換。試驗(yàn)結(jié)果表明，該方法顯著降低了跟車(chē)距離。

Li等[24]提出了態(tài)勢(shì)已知的跟車(chē)避撞策略，將跟車(chē)的工況分為了3種狀態(tài)，分別是跟車(chē)狀態(tài)（前后2車(chē)速度接近）、遠(yuǎn)離狀態(tài)（后車(chē)遠(yuǎn)離前車(chē)）、接近狀態(tài)（后車(chē)接近前車(chē)）。分別對(duì)應(yīng)了不同的最小安全距離公式。此外還考慮了感知的不確定性，通過(guò)增加安全系數(shù)進(jìn)行了形式化。理論分析與試驗(yàn)表明，該策略在保證安全的前提下提升了有效性。

Shwartz等[25]提出了1套全新的APB系統(tǒng)，它在現(xiàn)有的ACC、AEB硬件基礎(chǔ)上融合了RSS，在車(chē)輛進(jìn)入不安全的狀態(tài)時(shí)，提前執(zhí)行輕微的制動(dòng)動(dòng)作，保證車(chē)輛永遠(yuǎn)處于安全狀態(tài)。該系統(tǒng)相比于AEB系統(tǒng)可以顯著提升舒適性，從根本上避免AEB誤觸發(fā)的情況，理論證明該系統(tǒng)可以進(jìn)一步降低事故率。

4.2 車(chē)道變換場(chǎng)景

車(chē)道變換場(chǎng)景也是L2自動(dòng)駕駛系統(tǒng)的典型場(chǎng)景。Naumann等[26]提出了1種安全平穩(wěn)地車(chē)道變換策略，提出了3種插入間隔，圖7為其車(chē)道變換策略的決策流程圖。

圖7 融合RSS的車(chē)道變換決策流程[26]

Zhao等[11]提出了形式化的基于談判的車(chē)道變換策略，平衡了安全性與效率。基于交流的形式化車(chē)道變換策略，解決了路權(quán)的分配，將車(chē)道變換的過(guò)程分為3個(gè)階段，形式化了每個(gè)階段的安全條件。

4.3 場(chǎng)景安全評(píng)判標(biāo)準(zhǔn)

在為自動(dòng)駕駛系統(tǒng)場(chǎng)景測(cè)試創(chuàng)建場(chǎng)景的應(yīng)用中，RSS可以作為場(chǎng)景是否安全的評(píng)判標(biāo)準(zhǔn)。

Hekmatnejad等[27]將RSS模型形式化為STL，基于此來(lái)驗(yàn)證和測(cè)試自動(dòng)駕駛系統(tǒng)。此外，Hekmatnejad等還在文獻(xiàn)[28]中提出了基于仿真的駕駛測(cè)試數(shù)據(jù)篩選與分類(lèi)的方法，用來(lái)訓(xùn)練和測(cè)試控制器，使用RSS規(guī)則作為限定規(guī)約，過(guò)濾掉不滿足RSS假設(shè)的隨機(jī)測(cè)試，剩余的測(cè)試覆蓋了控制器不能安全反應(yīng)的場(chǎng)景。Karunakaran等[29]提出了偏向于最壞場(chǎng)景的自動(dòng)駕駛系統(tǒng)測(cè)試驗(yàn)證過(guò)程。訓(xùn)練出1個(gè)深度強(qiáng)化學(xué)習(xí)模型，來(lái)產(chǎn)生壞的駕駛場(chǎng)景。強(qiáng)化學(xué)習(xí)模型以RSS為尺度來(lái)產(chǎn)生出回報(bào)，逐步地訓(xùn)練使得模型輸出的場(chǎng)景越來(lái)越壞。Karunakaran在文獻(xiàn)[30]中提出了利用RNN作為深度學(xué)習(xí)模型來(lái)產(chǎn)生最壞場(chǎng)景的方法。Yu等[31]在駕駛員的駕駛能力評(píng)估應(yīng)用中，提出了基于RSS的駕駛能力指示器，以此來(lái)評(píng)估駕駛員的駕駛能力。

5 結(jié)論

自動(dòng)駕駛系統(tǒng)安全性是自動(dòng)駕駛汽車(chē)走向量產(chǎn)的一大挑戰(zhàn)?，F(xiàn)有的方法在實(shí)際的應(yīng)用中都表現(xiàn)出自身的不足與局限。責(zé)任敏感安全模型作為1種實(shí)時(shí)的驗(yàn)證方法，在線地檢查車(chē)輛決策決策系統(tǒng)產(chǎn)生的控制指令是否違反了安全邊界，將不安全的執(zhí)行限制在安全邊界內(nèi)（圖8）。當(dāng)所有的車(chē)輛都遵循該模型時(shí)，可以顯式地證明永遠(yuǎn)不會(huì)導(dǎo)致事故的發(fā)生。

圖8 責(zé)任敏感安全模型

然而，目前僅實(shí)現(xiàn)了責(zé)任敏感安全模型的1個(gè)子集，模型中非常重要的視野受限、補(bǔ)償反應(yīng)特性并未實(shí)現(xiàn)；模型的參數(shù)不可變化，無(wú)法針對(duì)交通態(tài)勢(shì)做出相應(yīng)的調(diào)整。此外，模型策略的制訂被認(rèn)為過(guò)于保守，會(huì)導(dǎo)致交通效率的下降。該模型依賴完美的世界模型，因?yàn)樽詣?dòng)駕駛感知子系統(tǒng)的安全性是責(zé)任敏感安全的基礎(chǔ)。

盡管責(zé)任敏感安全模型作為自動(dòng)駕駛系統(tǒng)的安全層的應(yīng)用目前面臨著諸多問(wèn)題，但是將責(zé)任敏感安全的概念融合到ADAS系統(tǒng)中的應(yīng)用越來(lái)越多，這顯著地提高了傳統(tǒng)ADAS系統(tǒng)的安全性以及通行效率。責(zé)任敏感安全模型還可以作為1種場(chǎng)景安全性的評(píng)價(jià)標(biāo)準(zhǔn)，以此來(lái)篩選出自動(dòng)駕駛系統(tǒng)不能安全行駛的場(chǎng)景，進(jìn)行針對(duì)性地訓(xùn)練。

未來(lái)責(zé)任敏感安全模型的研究需要集中在以下3方面：（1）模型實(shí)現(xiàn)中集成視野受限、補(bǔ)償反應(yīng)特性；（2）參數(shù)與策略的動(dòng)態(tài)優(yōu)化調(diào)整；（3）安全冗余可自修復(fù)的感知子系統(tǒng)。