中汽數(shù)據(jù)(天津)有限公司 靳志剛 王鳳嬌

載有自動(dòng)駕駛系統(tǒng)的車輛必須達(dá)到安全水平,并且不會(huì)造成任何不可容忍的風(fēng)險(xiǎn),如何設(shè)計(jì)及驗(yàn)證自動(dòng)駕駛場(chǎng)景測(cè)試用例是保證自動(dòng)駕駛安全性的一大難題。本文基于SOTIF和RSS多角度結(jié)合的方式進(jìn)行測(cè)試用例設(shè)計(jì),進(jìn)一步完善自動(dòng)駕駛測(cè)試用例場(chǎng)景及邏輯,提供驗(yàn)證成功標(biāo)準(zhǔn)參數(shù),進(jìn)而發(fā)現(xiàn)整車及系統(tǒng)組件中的功能不足并進(jìn)行改進(jìn),使智能網(wǎng)聯(lián)汽車達(dá)到合理安全水平。

0 引言

科學(xué)技術(shù)的發(fā)展與駕駛需求的不斷提升,自動(dòng)駕駛系統(tǒng)也迎來(lái)機(jī)遇,但風(fēng)險(xiǎn)也機(jī)遇并存。智能網(wǎng)聯(lián)汽車法規(guī)強(qiáng)調(diào)保障自動(dòng)化車輛的安全水平、確保智能網(wǎng)聯(lián)汽車行駛安全,以免遭受任何不可承受的風(fēng)險(xiǎn),確保在其設(shè)計(jì)運(yùn)行范圍內(nèi)下,智能網(wǎng)聯(lián)汽車不能導(dǎo)致任何可預(yù)見(jiàn)和可預(yù)防的傷亡交通事故[1]。功能安全關(guān)注的是有安全相關(guān)的失效,而SOTIF(Safety of the Intended Functionality)關(guān)注的是由于功能不足或合理可預(yù)見(jiàn)的傳感器或系統(tǒng)的性能受阻及可預(yù)期誤用,導(dǎo)致預(yù)期功能不可達(dá)。而如何確定人類對(duì)安全駕駛的概念和事故的責(zé)任劃分問(wèn)題,確保自動(dòng)駕駛車輛的安全性交通問(wèn)題,RSS(Responsibility Sensitive Safety)將駕駛常識(shí)模型化與參數(shù)化,制定邏輯可行化和應(yīng)對(duì)危險(xiǎn)傷害最小化規(guī)則,為實(shí)現(xiàn)自動(dòng)駕駛汽車的安全駕駛提供數(shù)學(xué)模型和決策控制參考參數(shù)。

1 SOTIF規(guī)范

傳統(tǒng)車輛的設(shè)計(jì)與驗(yàn)證重點(diǎn)主要是預(yù)防與減輕系統(tǒng)失效等方面,而自動(dòng)駕駛車輛為了實(shí)現(xiàn)車輛的部分或全部自動(dòng)化和智能化,設(shè)計(jì)與驗(yàn)證重點(diǎn)以運(yùn)行過(guò)程中系統(tǒng)功能和性能的行為安全。實(shí)際駕駛場(chǎng)景具有隨機(jī)性、錯(cuò)綜復(fù)雜等特點(diǎn),導(dǎo)致自動(dòng)駕駛系統(tǒng)在設(shè)計(jì)階段對(duì)安全問(wèn)題考慮不夠徹底。針對(duì)場(chǎng)景是否安全與已知方面出發(fā),將車輛駕駛場(chǎng)景劃分為已知安全場(chǎng)景(區(qū)域1)、已知不安全場(chǎng)景(區(qū)域2)、未知不安全場(chǎng)景(區(qū)域3)和未知安全場(chǎng)景(區(qū)域4)[2],如圖1所示。SOTIF規(guī)范的主要目的是縮小不安全的場(chǎng)景,保證系統(tǒng)盡可能的控制在安全范圍內(nèi)。通過(guò)對(duì)已知場(chǎng)景的再審查發(fā)現(xiàn)系統(tǒng)的不足,進(jìn)而將不安全區(qū)域2盡可能轉(zhuǎn)變?yōu)榘踩珔^(qū)域1,保證不安全風(fēng)險(xiǎn)足夠低;使用真實(shí)場(chǎng)景與隨機(jī)數(shù)據(jù)設(shè)計(jì)測(cè)試場(chǎng)景來(lái)檢測(cè)系統(tǒng)設(shè)計(jì)的不足,實(shí)現(xiàn)將未知區(qū)域3轉(zhuǎn)變?yōu)橐阎獏^(qū)域2,并通過(guò)測(cè)試用例等證明區(qū)域3已經(jīng)達(dá)到了可接收的水平[3]。SOTIF的實(shí)施過(guò)程如表1所示。

圖1 SOTIF場(chǎng)景劃分Fig.1 SOTIF scene division

表1 SOTIF的實(shí)施過(guò)程Tab.1 SOTIF implementation process

2 RSS模型

RSS(Responsibility Sensitive Safety,責(zé)任敏感安全模型)是將人類對(duì)于安全駕駛的理念和事故責(zé)任劃分轉(zhuǎn)化未數(shù)學(xué)模型和決策控制的參考參數(shù)。針對(duì)不同的駕駛場(chǎng)景,RSS模型將駕駛經(jīng)驗(yàn)和常識(shí)轉(zhuǎn)化為公式和參數(shù),定義駕駛策略的框架,明確了安全和風(fēng)險(xiǎn)的邊界,并根據(jù)邏輯與參數(shù)來(lái)劃分交通事故責(zé)任。在RSS模型下,自動(dòng)駕駛系統(tǒng)在主動(dòng)不造成交通事故的基礎(chǔ)上,將在存在駕駛員且交通事故責(zé)任不在本車的情況下將交通事故的危害減少到最低或者避免交通事故的發(fā)生,不擴(kuò)大事故。RSS主要包括如表2所示四個(gè)常識(shí)模型。

表2 RSS常識(shí)模型Tab.2 RSS common sense model

3 基于SOTIF與RSS的測(cè)試用例設(shè)計(jì)與驗(yàn)證

SOTIF方法論最關(guān)鍵的是盡可能多的識(shí)別出相應(yīng)的場(chǎng)景-相應(yīng)危害的對(duì)應(yīng)措施-驗(yàn)證與確認(rèn)策略。因此SOTIF主要將場(chǎng)景分為兩個(gè)大類,即系統(tǒng)的功能限制以及系統(tǒng)的預(yù)期合理誤用。RSS是一種形式模型,而必須符合合理性和實(shí)用性才能成為一個(gè)好的形式模型。合理性要求當(dāng)RSS模型認(rèn)為事故中自動(dòng)駕駛汽車沒(méi)有責(zé)任時(shí),它必須符合人類判斷的常識(shí)。實(shí)用性是制定出一些不會(huì)導(dǎo)致事故的駕駛規(guī)則,即便事故發(fā)生,也可以明確不是自動(dòng)駕駛車輛的責(zé)任。將RSS模型導(dǎo)入SOTIF場(chǎng)景中,既從合理性和實(shí)用性上梳理了自動(dòng)駕駛的功能邏輯,又提供參數(shù)的設(shè)置與判斷依據(jù);擴(kuò)展了測(cè)試用例的場(chǎng)景范圍,又為測(cè)試驗(yàn)證提供了驗(yàn)證依據(jù)。SOTIF與RSS結(jié)合的測(cè)試場(chǎng)景實(shí)現(xiàn)過(guò)程為:

3.1 分析系統(tǒng)性能限制

(1)SOTIF列出自動(dòng)駕駛所有的功能,并根據(jù)功能細(xì)分到傳感器-決策-執(zhí)行器,以及相關(guān)的組件。依據(jù)采用RSS模型中的四個(gè)常識(shí)模型對(duì)功能的邏輯進(jìn)行調(diào)整,以適應(yīng)駕駛的邏輯合理性。(2)SOTIF梳理各系統(tǒng)功能的限制,依據(jù)相應(yīng)的規(guī)則羅列場(chǎng)景,并結(jié)合場(chǎng)景分析出功能邊界值、極限值等參數(shù)。依據(jù)采用RSS模型中的四個(gè)常識(shí)模型進(jìn)行各個(gè)功能參數(shù)的設(shè)置,來(lái)滿足設(shè)置參數(shù)的合理性,以便更加符合人類駕駛習(xí)慣?？梢圆捎肏ARA分析方法將功能限制繪制成表格,將分析場(chǎng)景結(jié)合起來(lái),評(píng)估監(jiān)視發(fā)生的可能性,并排除不可能場(chǎng)景。

3.2 分析系統(tǒng)可預(yù)期誤用

(1)首先識(shí)別出交通參與者,如駕駛員、乘客等、盲區(qū)的行人;(2)依據(jù)引導(dǎo)詞識(shí)別誤用原因;(3)考慮駕駛員與系統(tǒng)之間的交互以及路權(quán)的問(wèn)題等;(4)考慮用例場(chǎng)景的環(huán)境,如道路條件-天氣等;最后通過(guò)以上來(lái)組合生成自動(dòng)駕駛的測(cè)試場(chǎng)景用例,如表3所示為AEB測(cè)試場(chǎng)景用例[4]。

表3 AEB測(cè)試場(chǎng)景用例Tab.3 AEB test scenario use case

4 結(jié)語(yǔ)

駕駛自動(dòng)化系統(tǒng)及應(yīng)用場(chǎng)景復(fù)雜,為確保駕駛自動(dòng)化系統(tǒng)本身具有安全執(zhí)行駕駛功能的能力,需要進(jìn)行大量的應(yīng)用場(chǎng)景測(cè)試,尤其是要考慮未知場(chǎng)景驗(yàn)證。本文在預(yù)期功能安全測(cè)試用例設(shè)計(jì)的基礎(chǔ)上,采用RSS來(lái)增加和修正一些功能邏輯和功能參數(shù),合理的設(shè)計(jì)和驗(yàn)證測(cè)試場(chǎng)景用例,使自動(dòng)駕駛系統(tǒng)進(jìn)一步滿足安全駕駛的目的。智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)蓬勃發(fā)展,安全隱患也進(jìn)一步增大,測(cè)試驗(yàn)證自動(dòng)駕駛的安全性是一項(xiàng)復(fù)雜的系統(tǒng)工程,基于功能安全與預(yù)期功能安全相關(guān)體系確立為汽車行業(yè)發(fā)展提出合理可接受的量化準(zhǔn)則[5]。

引用

[1] 劉法旺,李艷文,李國(guó)俊,等.歐美日智能網(wǎng)聯(lián)汽車準(zhǔn)入管理研究及啟示[J].汽車文摘,2021(5):1-7.

[2] 呂穎.智能駕駛汽車的預(yù)期功能安全[J].汽車文摘,2019(9):1-7.

[3] 李波,尚世亮,郭夢(mèng)鴿,等.自動(dòng)駕駛預(yù)期功能安全(SOTIF)接受準(zhǔn)則的建立[J].汽車技術(shù),2020(12):1-5.

[4] 董小飛,邵星辰,濮孝金.針對(duì)車輛AEB系統(tǒng)失效和誤作用場(chǎng)景的研究[J].質(zhì)量與標(biāo)準(zhǔn)化,2021(2):50-53.

[5] 李波,付越,王兆,等.中國(guó)功能安全(Functional Safety)和預(yù)期功能安全(SOTIF)技術(shù)和標(biāo)準(zhǔn)體系研究及進(jìn)展[J].中國(guó)汽車,2020(7):34-39.