周銳　魏亞　孫佳優(yōu)

摘 要：文章通過對(duì)當(dāng)前自動(dòng)駕駛安全問題的敘述分析，提出一種面向復(fù)雜特定場(chǎng)景的自動(dòng)駕駛功能安全分析方法，闡述場(chǎng)景分析-危險(xiǎn)分析-ASIL等級(jí)確認(rèn)-目標(biāo)及需求確定這一分析流程，最后選取無人礦山自動(dòng)駕駛礦卡排土作業(yè)這一復(fù)雜特定場(chǎng)景為例進(jìn)行功能安全分析，得出適用于此場(chǎng)景的功能安全策略。

關(guān)鍵詞：自動(dòng)駕駛 功能安全 復(fù)雜場(chǎng)景 無人礦山

Research on Functional Safety of Autonomous Driving for Complex and Specific Scenarios

Zhou Rui Wei Ya Sun Jiayou

Abstract：Through the narrative analysis of current autonomous driving safety issues， this paper proposes a functional safety analysis method for autonomous driving for complex and specific scenarios， and expounds the analysis process of scenario analysis-hazard analysis-ASIL level confirmation-target and demand determination. Finally， taking the complex and specific scene of self-driving mine truck dumping operation in unmanned mines as an example， the article carries out functional safety analysis， and a functional safety strategy suitable for this scene is obtained.

Key words：autonomous driving， functional safety， complex scene， unmanned mine

1 引言

從當(dāng)前情況來看，自動(dòng)駕駛汽車已完成功能實(shí)現(xiàn)階段指標(biāo)，但是在安全保障方面仍存在制約其產(chǎn)業(yè)應(yīng)用的難題，尤其是在礦山、港口等率先投入產(chǎn)業(yè)化運(yùn)營的復(fù)雜特定場(chǎng)景下，如何能夠在保障自動(dòng)駕駛系統(tǒng)功能定義需求實(shí)現(xiàn)的基礎(chǔ)上，通過科學(xué)的技術(shù)手段與流程把控保障其系統(tǒng)的功能安全成為影響自動(dòng)駕駛產(chǎn)業(yè)未來發(fā)展的重要科學(xué)問題。同時(shí)考慮到L3-L5級(jí)別自動(dòng)駕駛系統(tǒng)和傳統(tǒng)的ADAS系統(tǒng)（L1-L2級(jí)別）在功能的要求上有很大的區(qū)別，所以也對(duì)復(fù)雜特定場(chǎng)景下的自動(dòng)駕駛系統(tǒng)（多為L3-L5級(jí)別）的功能安全研究提出了新的挑戰(zhàn)。

2 面向復(fù)雜特定場(chǎng)景的自動(dòng)駕駛功能安全方法

功能安全是通過技術(shù)和流程上的安全措施，在汽車的整個(gè)生命周期內(nèi)保障對(duì)由汽車的電子電器功能失效或者錯(cuò)誤引起的有可能對(duì)人身照成傷害的安全風(fēng)險(xiǎn)處在可接受的范圍之內(nèi)。[1]以下為L3-L5系統(tǒng)在功能安全領(lǐng)域所需要考慮的特別之處：

L3-L5的自動(dòng)駕駛系統(tǒng)比傳統(tǒng)的ADAS系統(tǒng)所面臨的場(chǎng)景更加復(fù)雜。傳統(tǒng)的ADAS系統(tǒng)所需要考慮的場(chǎng)景往往相對(duì)單一，對(duì)駕駛員進(jìn)行輔助;而高級(jí)別的自動(dòng)駕駛系統(tǒng)需要考慮到其ODD（Operational Design Domain）范圍內(nèi)的所有場(chǎng)景，在這些場(chǎng)景中，自動(dòng)駕駛系統(tǒng)必須能夠完全的代替人來操控車輛。更加復(fù)雜的場(chǎng)景會(huì)導(dǎo)致系統(tǒng)需要考慮更多的Hazard Situation（危險(xiǎn)狀況），相應(yīng)的產(chǎn)生更多的功能安全需求。

L3-L5自動(dòng)駕駛系統(tǒng)要求車輛擁有線控系統(tǒng)。汽車線控系統(tǒng)就是將駕駛員的操縱動(dòng)作經(jīng)過傳感器變成電信號(hào)，通過電纜直接傳輸?shù)綀?zhí)行機(jī)構(gòu)的一種系統(tǒng)。而線控系統(tǒng)本身就擁有很高級(jí)別的功能安全需求，要保障整個(gè)系統(tǒng)的功能安全，首先就必須保障線控系統(tǒng)的功能安全。

ECU（Electronic Control Unit）隨著自動(dòng)駕駛系統(tǒng)的級(jí)別越來越高，會(huì)由分布式向集中式發(fā)展，傳統(tǒng)ADAS系統(tǒng)中各個(gè)輔助功能所需要的ECU相對(duì)獨(dú)立，系統(tǒng)之間的交互耦合度相對(duì)較低;高級(jí)別自動(dòng)駕駛所需求的集中式ECU功能更加集中，系統(tǒng)復(fù)雜度和耦合度更高，無論從硬件還是軟件方面都對(duì)功能安全提出了更高的要求。

從傳統(tǒng)ADAS系統(tǒng)到高級(jí)別自動(dòng)駕駛，從人類駕駛員在回路到人類駕駛員不在回路，從在操控系統(tǒng)主導(dǎo)作用到需要駕駛員緊急接管再到完全不需要介入，這也為功能安全提出了新一個(gè)層次的任務(wù)。

接下來研究者會(huì)按照實(shí)現(xiàn)功能安全步驟具體分析L3-L5自動(dòng)駕駛系統(tǒng)為了達(dá)到功能安全需求所需要的方法。

2.1 場(chǎng)景分析

為了得到功能安全需求，首先要對(duì)系統(tǒng)的場(chǎng)景進(jìn)行分析，得到系統(tǒng)的所會(huì)面臨的危險(xiǎn)狀況。那么如何有條理的對(duì)場(chǎng)景進(jìn)行分解和歸類，就成為達(dá)到功能安全目標(biāo)的第一步。如下圖所示，研究者借鑒德國的PEGASUS項(xiàng)目（無人駕駛汽車 - 確保道路安全項(xiàng)目）中提出的場(chǎng)景分析方法：

為了能夠遍歷在系統(tǒng)定義的ODD范圍內(nèi)的場(chǎng)景，然后分析出所有場(chǎng)景中可能包含的危險(xiǎn)狀況，需要對(duì)場(chǎng)景進(jìn)行分析。這些場(chǎng)景分析來自于以下這些方面：

來源于法律規(guī)定，標(biāo)準(zhǔn)要求，以及業(yè)內(nèi)先驗(yàn)性知識(shí)的場(chǎng)景需求，這一類場(chǎng)景的描述比較清晰，只需要簡單的對(duì)場(chǎng)景進(jìn)行分析，就能夠?qū)С鱿鄳?yīng)的危險(xiǎn)狀況。

來源于真實(shí)路況駕駛測(cè)試的場(chǎng)景。這一類場(chǎng)景由于每個(gè)自動(dòng)駕駛公司對(duì)自己的數(shù)據(jù)的保密，往往是比較難以得到的，但是該類場(chǎng)景又是做場(chǎng)景分析中最直接，最重要的部分。

來源于仿真測(cè)試的場(chǎng)景。這類場(chǎng)景的數(shù)量是最多的，通過大量的仿真可以用較小的成本得到自動(dòng)駕駛系統(tǒng)所需要面臨的危險(xiǎn)狀況。

FOT（Field Operational Test，道路運(yùn)行測(cè)試）/NDS（Naturalistic Driving Study，自然駕駛研究）。該類場(chǎng)景目前在中國尚未建立相關(guān)的數(shù)據(jù)庫。

事故分析。顯而易見，這類數(shù)據(jù)是最直接的，也是功能安全場(chǎng)景分析中最需要的。

2.2 危險(xiǎn)分析

有了場(chǎng)景分析，接下來就需要對(duì)危險(xiǎn)狀況進(jìn)行分析，對(duì)于高級(jí)別自動(dòng)駕駛的危險(xiǎn)狀況分析，F(xiàn)TA（Fault Tree Analysis，事故樹分析方法）是一種非常有效的方法。FTA是由上往下的演繹式失效分析法，利用布林邏輯組合低階事件，分析系統(tǒng)中不希望出現(xiàn)的狀態(tài)。故障樹分析主要用在安全工程以及可靠度工程的領(lǐng)域，用來了解系統(tǒng)失效的原因，并且找到最好的方式降低風(fēng)險(xiǎn)，或是確認(rèn)某一安全事故或是特定系統(tǒng)失效的發(fā)生率。[2]下圖為自動(dòng)駕駛中對(duì)于“自轉(zhuǎn)向”這一事件的FTA例子。

2.3 ASIL等級(jí)確認(rèn)

在進(jìn)行了危險(xiǎn)分析后，我們能得到相應(yīng)了危險(xiǎn)狀況（Hazard Situation），我們還需要對(duì)這些危險(xiǎn)狀況的危險(xiǎn)程度進(jìn)行評(píng)級(jí)，方便按照該等級(jí)進(jìn)行不同程度的應(yīng)對(duì)。這里需要用到ASIL等級(jí)（Automotive Safety Integrity Level，汽車安全等級(jí)）概念。為了更好的進(jìn)行解釋，這里需要引入幾個(gè)ISO26262中定義的幾個(gè)概念[4]：

Exposure（E）：是指故障發(fā)生的時(shí)長占平均時(shí)長的比例，用來表征故障發(fā)生的概率的大小，E越大則故障發(fā)生的概率越大。

Severity（S）：是指故障的嚴(yán)重程度。S值越大則故障越嚴(yán)重。

Controllability（C）：是指故障發(fā)生以后，駕駛員是否可以人為的對(duì)故障狀態(tài)加以控制。C值越大則越難以控制。

當(dāng)對(duì)每個(gè)危險(xiǎn)狀況的E，S，C值進(jìn)行定義了之后，就能夠?qū)ο到y(tǒng)特定功能的ASIL等級(jí)進(jìn)行確認(rèn)。對(duì)于高級(jí)別的自動(dòng)駕駛系統(tǒng)，E和S值的確認(rèn)相對(duì)簡單，但是由于L4，L5的自動(dòng)駕駛系統(tǒng)人類駕駛員不在回路中，所以其發(fā)送事故后基本不可控，C值的定義成為一個(gè)難點(diǎn)。按照C值的原始定義，我們可以把所有L4，L5級(jí)自動(dòng)駕駛系統(tǒng)的C等級(jí)直接設(shè)置為最高的C3。這樣做就帶來一個(gè)問題，即不同故障狀態(tài)的可控度沒有區(qū)分，這種方式直接把可控度低的危險(xiǎn)和可控度高的危險(xiǎn)作為同等可控度進(jìn)行處理，違背了ASIL等級(jí)定義的原意。

為了解決這一問題，本文提出一種新的高級(jí)別自動(dòng)駕駛的C的定義方式，即是指故障發(fā)生以后，系統(tǒng)進(jìn)入MRC（Minimal Risk Condition最后的安全措施）的可控程度。MRC是指當(dāng)系統(tǒng)所有措施都采取后依然不能繼續(xù)安全工作后所采取的最后措施，可以是“駕駛員接管”（對(duì)L3自動(dòng)駕駛），“靠邊停車，同時(shí)乘客能夠從自動(dòng)駕駛車輛中走出到安全區(qū)域”或者“遠(yuǎn)程駕駛員遙控駕駛”。使用該定義方式，我們就能夠?qū)Ω叩燃?jí)自動(dòng)駕駛系統(tǒng)的C值進(jìn)行很好的量化區(qū)分。

2.4 功能安全目標(biāo)和功能安全需求確定

當(dāng)我們對(duì)所有的危險(xiǎn)狀況確定了不同的ASIL等級(jí)后，需要對(duì)應(yīng)這些ASIL等級(jí)確定不同的功能安全目標(biāo)，ASIL等級(jí)越高，所要求的功能安全目標(biāo)越高。有了確定的功能安全目標(biāo)，就可以從中導(dǎo)出功能安全需求，把功能安全需求在和具體的硬件設(shè)計(jì)，軟件設(shè)計(jì)向結(jié)合，就能導(dǎo)出最后我們系統(tǒng)所需的軟硬件的功能安全方面的技術(shù)需求。

對(duì)于高級(jí)別自動(dòng)駕駛功能安全目標(biāo)的確定和傳統(tǒng)ADAS系統(tǒng)的區(qū)別在于高級(jí)別自動(dòng)駕駛系統(tǒng)的功能安全目標(biāo)會(huì)設(shè)置的更高。如下圖所示，傳統(tǒng)ADAS系統(tǒng)的功能安全目標(biāo)更多的強(qiáng)調(diào)Fail Safe（失效安全），即系統(tǒng)即使有特定失效下，也不會(huì)造成對(duì)人員或其他設(shè)備的傷害。而高級(jí)別自動(dòng)駕駛更加傾向于Fail Operational（失效可操作），即在其重要或主要系統(tǒng)損壞時(shí)，仍可正常完成正?；蜃罱K的重要?jiǎng)幼?。這是因?yàn)楦呒?jí)別自動(dòng)駕駛系統(tǒng)沒有了駕駛員的介入，要求功能安全的目標(biāo)也需要完成沒有人在回路中也能繼續(xù)工作（一段時(shí)間），把乘客帶到安全狀態(tài)。

當(dāng)確定了功能安全目標(biāo)后，就可以導(dǎo)出相應(yīng)的功能安全需求用于系統(tǒng)的開發(fā)，在該步驟中，傳統(tǒng)系統(tǒng)的功能安全需求方法是可以借鑒的。如下圖所示為Autosar（AUTomotive Open System ARchitecture）提出的車燈管理系統(tǒng)（L1自動(dòng)駕駛系統(tǒng)）的功能安全架構(gòu)。

同樣的，在高級(jí)別自動(dòng)駕駛系統(tǒng)中，我們從功能安全目標(biāo)中提取的功能安全需求最少要包含以下信息：

如何識(shí)別和檢測(cè)錯(cuò)誤

如何進(jìn)入Safe State（安全狀態(tài)）

Safe State的定義

如何對(duì)故障進(jìn)行冗余設(shè)置

如何進(jìn)行人機(jī)交互，告知車內(nèi)人員相應(yīng)的功能安全信息

有了功能那個(gè)安全的需求，研究者就能夠按照軟硬件開發(fā)的流程進(jìn)行系統(tǒng)開發(fā)，在此過程中還需要注意以下幾點(diǎn)：

功能安全需求也要和其他系統(tǒng)功能需求一樣進(jìn)行測(cè)試，這里可以使用故障注入的方法，即向受控實(shí)驗(yàn)向系統(tǒng)中刻意引入故障，并觀察系統(tǒng)中存在故障時(shí)的行為。

信息安全同等重要，研究者考慮功能安全需求的同時(shí)，信息安全是功能安全的基礎(chǔ)，特別是在和環(huán)境交互的V2x系統(tǒng)的信息安全，以及車內(nèi)和自動(dòng)駕駛ECU通信的車內(nèi)通信系統(tǒng)的信息安全。

3 礦區(qū)自動(dòng)駕駛功能安全分析示例

以下以礦山排土場(chǎng)無人礦卡排土場(chǎng)景為例敘述功能安全分析方法的實(shí)際應(yīng)用：

第一步是需要通過不同的情況，不同的環(huán)境確定在ODD范圍內(nèi)的場(chǎng)景。這些場(chǎng)景可以來源于法律規(guī)定、行業(yè)標(biāo)準(zhǔn)要求以及業(yè)內(nèi)先驗(yàn)性知識(shí)，也可以來源于真實(shí)路況駕駛測(cè)試或仿真測(cè)試，還有一部分是直接來源于事故數(shù)據(jù)。在本示例中可以看到排土場(chǎng)景屬于業(yè)內(nèi)先驗(yàn)知識(shí)。

第二步是尋找不同場(chǎng)景下可能發(fā)生的事故所引起的危險(xiǎn)情況（Hazard Situation）。對(duì)于示例場(chǎng)景而言存在以下可能：

① 排土過程中發(fā)生掩埋人員事故;

② 撞到行人;

③ 撞到排土場(chǎng)指揮調(diào)度人員;

④ 和有人車發(fā)生碰撞;

⑤ 和推土機(jī)發(fā)生碰撞。

第三步是確定危險(xiǎn)情況的ASIL等級(jí)。對(duì)于礦山場(chǎng)景而言，在本文2.3描述的定級(jí)基礎(chǔ)上，對(duì)于無人礦卡C值有了新的定義，故障發(fā)生以后，系統(tǒng)進(jìn)入MRC（Minimal Risk Condition最后的安全措施）的可控程度。MRC是指當(dāng)系統(tǒng)所有措施都采取后依然不能繼續(xù)安全工作后所采取的最后措施 可以是：“靠邊停車”或者“遠(yuǎn)程駕駛員遙控駕駛”。

第四步是根據(jù)ASIL等級(jí)設(shè)定不同的安全目標(biāo)，使得ASIL等級(jí)為B的危險(xiǎn)情況降低為QM。本示例中“撞到行人”的降級(jí)目標(biāo)為降低無人礦卡在排土場(chǎng)碰撞到行人的概率。

第五步是根據(jù)安全目標(biāo)進(jìn)行FTA分析導(dǎo)出安全需求。FTA分析又稱故障樹分析，是一種由上往下的演繹式失效分析法，利用布林邏輯組合低階事件，分析系統(tǒng)中不希望出現(xiàn)的狀態(tài)。在此示例中，“撞到行人”發(fā)生的一級(jí)原因是車輛是否感知到行人。若為未感知到行人，那么次級(jí)原因可能是激光雷達(dá)硬件故障或激光雷達(dá)軟件算法故障;若為感知到行人但認(rèn)為是誤檢測(cè)，那么次級(jí)原因可能是行人特征不夠明顯或是感知算法故障。以此為例進(jìn)行事故原因推演可以得到避免此事故發(fā)生的安全需求。

第六步是根據(jù)安全需求進(jìn)行軟件和硬件的設(shè)計(jì)開發(fā)。如在示例中為避免因激光雷達(dá)硬件故障而發(fā)生“撞到行人”事故，可以通過加裝備用雷達(dá)的方式做冗余處理，在主雷達(dá)硬件Diagnostic信號(hào)為True時(shí)，啟動(dòng)備用雷達(dá)再次檢測(cè);或是為避免因激光雷達(dá)軟件算法故障而發(fā)生“撞到行人”事故，可以通過使用獨(dú)立備用算法重復(fù)檢測(cè)后比較兩次檢驗(yàn)結(jié)果的方式保證安全。

4 總結(jié)

單純的功能測(cè)試并不能滿足高等級(jí)自動(dòng)駕駛的功能安全需求，而高級(jí)別的自動(dòng)駕駛相對(duì)于傳統(tǒng)的ADAS系統(tǒng)復(fù)雜度更高，面臨的場(chǎng)景更加復(fù)雜，ECU功能相對(duì)集中，對(duì)線控系統(tǒng)有較高要求，同時(shí)駕駛員在環(huán)路中的角色也完全不同，導(dǎo)致高級(jí)別自動(dòng)駕駛系統(tǒng)在功能安全方面也有了更高的挑戰(zhàn)，本文詳細(xì)分析了實(shí)現(xiàn)系統(tǒng)功能安全過程中所需要的過程，并且提出了對(duì)于高級(jí)別自動(dòng)駕駛系統(tǒng)在該過程中需要注意的問題和可以使用的方法。

本文提出的方法并非唯一，也有其他的方法論也可以對(duì)高等級(jí)自動(dòng)駕駛系統(tǒng)功能安全進(jìn)行補(bǔ)充，如Intel和Mobileye提出的RSS（Responsibility-Sensitive Safety）方法，該方法更多的考慮了和自動(dòng)駕駛車輛交互的其他車輛的信息，確認(rèn)了危險(xiǎn)狀況后，找出相應(yīng)的原因，然后來解決;還有李力、彭新宇等人基于責(zé)任敏感安全研究提出的跟蹤防碰撞策略[6]，該策略旨在保持交通安全和效率之間的良好平衡，同時(shí)還考慮到車輛和其他駕駛員的位置/速度感知/測(cè)量不可避免的不確定性。

本文章受江西省03專項(xiàng)及5G項(xiàng)目研發(fā)計(jì)劃資助（20204ABC03A13）。

參考文獻(xiàn)：

[1]ISO 26262. 汽車電子系統(tǒng)功能安全，1-2.

[2]Wikipedia. 故障樹分析法.

[3]王星煒.一種兼容功能安全和信息安全的車載網(wǎng)絡(luò)解決方案[J].中國汽車，2018（11）：22-29.

[4]ISO 26262. 汽車電子系統(tǒng)功能安全，8-10.

[5]Grave Much，Autonomous Driving-From fail safe to fail operational systems，2015.

[6]Li，Li，et al. "A situation-aware collision avoidance strategy for car-following."IEEE/CAA Journal of Automatica Sinica 5.5 （2018）：1012-1016.