白先旭，左 瑜，李維漢，石 琴，李楚照，趙樹廉，陳 炯

（1. 合肥工業(yè)大學(xué)，自動駕駛汽車安全技術(shù)安徽省重點實驗室，合肥 230009；2. 合肥工業(yè)大學(xué)，安徽省智慧交通車路協(xié)同工程研究中心，合肥 230009；3. 合肥工業(yè)大學(xué)汽車與交通工程學(xué)院，車輛工程系自適應(yīng)結(jié)構(gòu)與智能系統(tǒng)實驗室，合肥 230009；4. 清華大學(xué)車輛與運載學(xué)院，北京 100084；5. 中國汽車工程研究院股份有限公司汽車噪聲振動和安全技術(shù)國家重點實驗室，重慶 401122；6. 蔚來汽車有限公司，合肥 230061）

前言

我國汽車保有量逐年攀升，交通事故也隨之增多。數(shù)據(jù)顯示，僅2020 年就發(fā)生了244 674 起交通事故，導(dǎo)致61 703人死亡、250 723人受傷，直接財產(chǎn)損失達131 360.6 萬元［1］。其中，追尾是常見的交通事故之一［2］。在大多數(shù)嚴(yán)重的追尾事故中，后車駕駛員通常制動不完全或未及時有效地制動［3］。在危險情況下及時制動可以減少交通事故，降低事故嚴(yán)重度。自動緊急制動（autonomous emergency braking，AEB）系統(tǒng)可以在檢測到潛在的碰撞時自動制動來避免即將發(fā)生的碰撞，或在碰撞不可避免時減輕碰撞的嚴(yán)重程度［4-6］。

AEB 系統(tǒng)主要由傳感器模塊、決策模塊和控制模塊組成［7］。傳感器模塊檢測目標(biāo)車和本車的速度、加速度及其相對距離等信息，并輸出給決策模塊；決策模塊對這些數(shù)據(jù)進行處理和計算，判斷是否制動，并將預(yù)期減速度輸出給控制模塊?？刂颇K包含制動控制器和制動執(zhí)行器，制動控制器根據(jù)從決策模塊接收到的預(yù)期減速度控制制動壓力來實現(xiàn)制動車輛。

搭載低速AEB 系統(tǒng)的汽車可將追尾事故發(fā)生率降低43%，將追尾事故中受傷的發(fā)生率降低45%［8］。然而，即使如今越來越多汽車配備了AEB系統(tǒng)以及其他自動駕駛輔助系統(tǒng)，也并不意味著駕駛的絕對安全。不確定性是預(yù)測系統(tǒng)輸出的自然組成部分，尤其是深度學(xué)習(xí)模型［9］。由于系統(tǒng)自身的設(shè)計不足或性能局限，在其配備的各個元件未發(fā)生故障或失效時，也有可能導(dǎo)致非預(yù)期危害行為的發(fā)生［10-11］。國際標(biāo)準(zhǔn) ISO 26262 覆蓋的故障性風(fēng)險造成的功能安全問題分析已無法完全滿足當(dāng)前系統(tǒng)的安全保障需求。

為解決因自身設(shè)計不足或性能局限導(dǎo)致的整車危害行為問題，國際標(biāo)準(zhǔn)化組織于2019 年發(fā)布了ISO/PAS 21448《道路車輛-預(yù)期功能安全（safety of the intended functionality， SOTIF）》［11］。如圖1 所示，ISO/FDIS 21448 將駕駛場景分為已知安全、已知不安全，未知不安全和未知安全4 類場景［12-13］。SOTIF的目標(biāo)是保持或最大化已知安全場景，同時最小化已知不安全和未知不安全場景［14］。結(jié)合AEB 系統(tǒng)屬性，為使AEB 系統(tǒng)更加安全可靠，有必要對其進行SOTIF研究。

圖1 SOTIF場景分類

Becker 等［15］指 出 使 用 系 統(tǒng) 理 論 過 程 分 析（systems-theoretic process analysis， STPA）理論可以得到與可預(yù)見誤用和系統(tǒng)限制相關(guān)的危險場景，符合SOTIF 分析需求。2019年，Sharma［16］應(yīng)用STPA 方法對AEB 系統(tǒng)進行了安全分析，并生成系統(tǒng)設(shè)計需求。ISO/FDIS 21448［12］針對AEB 系統(tǒng)可接受的誤報率進行了定義與驗證，并對AEB 系統(tǒng)的SOTIF 分析方法進行闡述。2021 年，Duan 等［17］提出一種結(jié)合STPA 和基于模型的系統(tǒng)工程的危害分析方法，該方法可以繪制符合國際標(biāo)準(zhǔn)化組織ISO 26262 和SOTIF 標(biāo)準(zhǔn)的開發(fā)過程，并在AEB 系統(tǒng)上驗證了該方法的有效性。

AEB 系統(tǒng)SOTIF 相關(guān)風(fēng)險的主要來源是已知不安全和未知不安全場景。來自已知不安全場景風(fēng)險可通過針對場景的功能改進消除，而來自未知不安全場景的風(fēng)險難以發(fā)現(xiàn)，也不能完全消除。為驗證并確認AEB 系統(tǒng)在未知不安全場景的安全性，當(dāng)前行業(yè)主要采用大量的里程累積測試方法，但大量的里程測試會造成研發(fā)周期和成本過高等問題，也無法從根本上減小風(fēng)險?？茖W(xué)地評價AEB 系統(tǒng) 的SOTIF 性能，可以驗證系統(tǒng)安全性及量化系統(tǒng)的風(fēng)險大小，并為提高系統(tǒng)SOTIF 性能提供一個明確的方向。

然而，目前針對SOTIF 性能的評價體系很少［18］。AEB 系統(tǒng)的SOTIF 研究主要集中于定性分析，雖然能夠分析系統(tǒng)的性能不足和可能導(dǎo)致的危害行為，但不能量化由于性能不足所導(dǎo)致的危害行為風(fēng)險的大小與系統(tǒng)SOTIF 性能的優(yōu)劣。美國公路安全保險協(xié)會（IIHS）［19］和歐洲新車安全評鑒協(xié)會（Euro-NCAP）［20］發(fā)布的AEB 系統(tǒng)評價方法主要是對不同速度下的減速程度進行評分。Ji等［21］提出增加碰撞時間、制動減速峰值和制動停止后距離等評價參數(shù)，可以更全面地評價AEB 系統(tǒng)的性能。這些AEB 系統(tǒng)評價方法側(cè)重于對系統(tǒng)功能的評價，不適用于系統(tǒng)的預(yù)期功能安全評價。因此，對于AEB 系統(tǒng)的SOTIF 量化評價進行研究顯得尤為重要，將有利于完善AEB 系統(tǒng)的SOTIF 評價體系，推動自動駕駛輔助系統(tǒng)的SOTIF 研究。AEB 系統(tǒng)控制模塊根據(jù)從決策模塊輸入的預(yù)期減速度對制動壓力進行控制，以達到控制精度和效率，是整個系統(tǒng)的核心模塊［22］。為進行針對性分析，暫不考慮由于傳感器模塊和決策模塊所導(dǎo)致的SOTIF 問題，認為二者均處于理想狀態(tài)。本文中將重點對AEB 系統(tǒng)控制模塊進行安全分析，并根據(jù)安全分析結(jié)果提出AEB 系統(tǒng)控制模塊的SOTIF 評價指標(biāo)。通過CRITIC 法確定各個指標(biāo)的權(quán)重，并基于優(yōu)劣解距離（technique for order preference by similarity to ideal solution， TOPSIS）法對提出的指標(biāo)進行量化評價。最后，通過實車測試驗證該評價方法能夠正確合理地反映AEB 系統(tǒng)控制模塊的SOTIF性能優(yōu)劣。

1 AEB系統(tǒng)的安全分析

為得到AEB 系統(tǒng)在運行過程中可能存在的危害行為，在對AEB系統(tǒng)SOTIF研究初期，需要對AEB系統(tǒng)進行安全分析，識別出系統(tǒng)預(yù)期功能的危害，并識別出AEB 系統(tǒng)的不安全控制行為。這將有助于后續(xù)AEB 系統(tǒng)SOTIF 評價指標(biāo)的確定?；赟TPA的分析方法，結(jié)合ISO/PAS 21448 中SOTIF 的分析框架對AEB 系統(tǒng)進行安全分析。安全分析框架如圖2所示，主要分析流程為：①部分定義AEB系統(tǒng)的分析目的；根據(jù)AEB 系統(tǒng)結(jié)構(gòu)建立②部分的AEB 系統(tǒng)STPA控制架構(gòu)；基于②部分所建立的控制架構(gòu)，③部分在系統(tǒng)與部件均未失效的前提下，識別AEB 控制模塊系統(tǒng)潛在的不安全控制行為。這些不安全控制行為是AEB系統(tǒng)SOTIF未知不安全場景的重要來源。

圖2 安全分析框架

1.1 定義AEB系統(tǒng)分析目的

如圖2 中①所示，定義AEB 系統(tǒng)分析目的主要包括4部分：定義AEB系統(tǒng)功能、定義AEB系統(tǒng)運行場景、定義AEB 系統(tǒng)損失和識別AEB 系統(tǒng)層級危害。

1.1.1 定義AEB系統(tǒng)功能

如圖2 中①（a）所示，Sc代表AEB 系統(tǒng)所運行的場景，定義AEB 系統(tǒng)功能主要是定義系統(tǒng)在不同場景下應(yīng)該表現(xiàn)出來的功能，即明確AEB 系統(tǒng)應(yīng)該達到的性能。AEB系統(tǒng)的主要功能是在不同緊急程度下通過不同制動強度的主動制動來避免碰撞或減輕碰撞，彌補緊急情況下駕駛員制動過慢或制動力不足的缺陷。

1.1.2 定義AEB系統(tǒng)運行場景

如圖2 中①（b）所示，系統(tǒng)并非在所有情況下都能正常工作，它的正常運行存在一個邊界，這個邊界為其運行場景。為明確AEB 系統(tǒng)能夠發(fā)揮其預(yù)期功能的工作邊界，需要定義AEB 系統(tǒng)的運行場景。在定義的運行場景內(nèi)，AEB 系統(tǒng)應(yīng)正常工作。對AEB系統(tǒng)的SOTIF分析均應(yīng)在運行場景內(nèi)進行。

圖3為初步定義的AEB系統(tǒng)運行場景。圖3（a）為前方目標(biāo)車靜止、慢行與急停的邏輯場景，圖3（b）為目標(biāo)行人橫穿的邏輯場景，圖3（c）和圖3（d）分別為前方相臨車道的車輛緊急切入和前方掉落貨物的邏輯場景。在這些定義的系統(tǒng)運行場景中，AEB 系統(tǒng)應(yīng)安全運行，發(fā)揮其預(yù)期功能。圖中d1和d2分別為主車與前、后方目標(biāo)物的縱向距離，v1、v2和v3分別為主車、前方目標(biāo)物和后方目標(biāo)物的速度。

圖3 AEB系統(tǒng)運行場景

1.1.3 定義AEB系統(tǒng)損失

如圖2 中①（c）所示，損失L 主要為利益相關(guān)者無法接受的結(jié)果。損失可能包括失去生命或人身傷害、財產(chǎn)損失、環(huán)境污染或利益相關(guān)者無法接受的其他損失。對于AEB 系統(tǒng)而言，其主要功能是讓車輛避免或減輕碰撞，保護人員的安全。根據(jù)分析，AEB系統(tǒng)的損失定義如表1所列。其中，L-1為最重要的損失，即人員傷亡，是系統(tǒng)應(yīng)首要避免的情況。在L-1 能避免的前提下，應(yīng)盡力避免L-2 和L-3 的發(fā)生。

表1 AEB系統(tǒng)損失

1.1.4 識別AEB系統(tǒng)層級危害

如圖2 中①（d）所示，危害H 指的是一種系統(tǒng)狀態(tài)或是一系列條件，在特定的最不利環(huán)境條件下，會導(dǎo)致?lián)p失。要識別AEB 系統(tǒng)層級的危害，首先應(yīng)明確該系統(tǒng)運行場景范圍與損失。根據(jù)表1 定義的AEB系統(tǒng)損失和圖3中AEB系統(tǒng)運行場景，識別了3種不同的危害，如表2所示。表2中每一項危害都對應(yīng)一個到多個損失。比如當(dāng)主車未與前方車輛或行人保持安全距離時（H-1），系統(tǒng)在一定條件下會導(dǎo)致L-1 和L-2 的發(fā)生。由于這些危害在一些工況下會導(dǎo)致系統(tǒng)級的損失，在系統(tǒng)設(shè)計時應(yīng)盡量避免這些危害事件。

表2 AEB系統(tǒng)層級危害

這一步的主要目的是分析AEB 系統(tǒng)在定義的運行場景中可能存在的危害事件，在后續(xù)步驟中，將根據(jù)危害事件進一步分析系統(tǒng)的不安全控制行為。

1.2 建立AEB系統(tǒng)STPA控制架構(gòu)

在系統(tǒng)的運行過程中由于自身性能存在不足，會導(dǎo)致一些不安全的控制行為，這些不安全控制行為可能會進一步引發(fā)非預(yù)期危害事件的發(fā)生，屬于系統(tǒng)的SOTIF問題。為分析AEB系統(tǒng)的不安全控制行為，首先應(yīng)建立AEB 系統(tǒng)STPA 控制架構(gòu)。圖2中②為建立AEB 系統(tǒng)的STPA 控制架構(gòu)的流程，它由一個一般的控制回路開始，根據(jù)分析需求可對其進行不斷細化，直至符合要求。

圖4為最終建立的AEB 系統(tǒng)的STPA 控制架構(gòu)，它是一個由反饋控制回路組成的系統(tǒng)模型。該控制結(jié)構(gòu)的縱向分布代表控制層級，從上往下控制層級越來越低。每個個體都接收其上方直接個體的控制命令或信號，并對其下方直接個體發(fā)送控制命令和物理信號。圖4 所示的控制架構(gòu)圖中向下的箭頭都代表控制命令，向上的箭頭代表反饋。傳感器模塊與駕駛員均可從環(huán)境中獲取信息，并與AEB 系統(tǒng)控制模塊進行交互。AEB系統(tǒng)控制模塊根據(jù)傳感器模塊與駕駛員輸出的信息進行決策控制，實時地輸出制動壓力。執(zhí)行模塊根據(jù)AEB 系統(tǒng)控制模塊輸出的制動壓力進行制動，使車輛減速。最后汽車傳感器系統(tǒng)又將車身的物理信息反饋給AEB 系統(tǒng)控制模塊。

圖4 AEB系統(tǒng)的STPA控制架構(gòu)

1.3 識別不安全的控制行為

如圖2 中③所示，不安全控制行為（UCA）指的是在特定情境和最壞環(huán)境下可能導(dǎo)致系統(tǒng)危險的控制行為。在系統(tǒng)或部件未失效的前提下，對圖4 中控制模塊進行不安全控制行為的識別。AEB系統(tǒng)決策層會輸出期望減速度，該期望減速度經(jīng)由控制層轉(zhuǎn)換為制動壓力，結(jié)合STPA不安全控制動作的識別方法，得到AEB 系統(tǒng)控制模塊的不安全控制行為如表3所示。表3中包含8項不同的UCA，每個UCA都對應(yīng)一個到多個危害。比如在給出制動命令，但未執(zhí)行制動（UCA-1）的情況下，可能導(dǎo)致自車與前方車輛或行人距離低于安全距離（H-1），或與前方其他障礙物距離過近（H-3）。

表3 不安全控制行為

通過上述對AEB 系統(tǒng)控制模塊的不安全控制動作識別，得到了表3 中所列的8 種不安全控制行為，這些不安全控制行為都有可能導(dǎo)致系統(tǒng)級危害的發(fā)生。因為系統(tǒng)與部件均未失效，所以這些不安全控制行為均來源于系統(tǒng)自身的性能不足，如UCA-5 和UCA-6 可能是由于控制量收斂過慢或控制算法不充分估計自身狀態(tài)模型等。由這些不安全控制動作所引發(fā)的危害事件均屬于SOTIF 分析與評價范疇。

2 AEB系統(tǒng)SOTIF量化評價方法

2.1 基于STPA安全分析的評價指標(biāo)

AEB 系統(tǒng)控制模塊自身的性能不足，在系統(tǒng)的運行過程中會表現(xiàn)為不安全的控制動作。比如在AEB系統(tǒng)決策模塊給出制動命令并輸出期望減速度后，由于控制模塊制動壓力控制精度局限等，會導(dǎo)致UCA-7 或UCA-8。又如由于控制器物理性故障和控制算法運行漏洞等，可能會導(dǎo)致UCA-1 或UCA-2。這些不安全控制行為，最終都會反映到整車的制動過程中，并在一些極限或未知的場景下引發(fā)非預(yù)期的危害事件，導(dǎo)致SOTIF 問題。為客觀地評價AEB 系統(tǒng)控制模塊的SOTIF 性能，根據(jù)分析得到的可能導(dǎo)致系統(tǒng)非預(yù)期危害事件的不安全控制動作，本文中提出以下自動緊急制動系統(tǒng)控制模塊的SOTIF評價指標(biāo)。

（1）減速度大小誤差，即實際減速度第一次達到預(yù)期減速度時刻到AEB 系統(tǒng)激活結(jié)束時刻的減速度的誤差均值：

式中：n為實際減速度第一次達到預(yù)期減速度時刻到AEB 激活結(jié)束的時間段內(nèi)采樣點個數(shù)；a為實際加速度大?。籥p為預(yù)期加速度大小。

（2）制動時刻誤差

式中：t為實際開始制動的時刻；tp為預(yù)期制動時刻。

（3）制動持續(xù)時間誤差

式中：T為實際減速度持續(xù)時間；Tp為預(yù)期減速度持續(xù)時間。

（4）相對距離誤差

式中：d為AEB 激活結(jié)束時與目標(biāo)的實際相對距離；dp為AEB激活結(jié)束時與目標(biāo)的預(yù)期相對距離。

（5）誤響應(yīng)包含表3 中UCA-1 和UCA-2 兩種不安全控制動作，則誤響應(yīng)率為

式中：m為單個場景下測試的誤響應(yīng)次數(shù)；M為單個場景的測試次數(shù)。

在進行所有場景的測試后，對數(shù)據(jù)進行預(yù)處理，得到各個指標(biāo)數(shù)據(jù)，并將前4 個指標(biāo)的數(shù)據(jù)合并為數(shù)值矩陣：

式中：xij表示第i組測試第j項評價指標(biāo)的數(shù)值；N為所有場景下的測試正確響應(yīng)的次數(shù)。

2.2 各指標(biāo)權(quán)重確定

為對AEB系統(tǒng)控制模塊的SOTIF性能進行量化評價，在確定評價指標(biāo)后進一步確定各個評價指標(biāo)的權(quán)重。CRITIC 法是綜合指標(biāo)間的差異性與相關(guān)性來計算權(quán)重的一種賦權(quán)法［23］。相對于主觀賦權(quán)法，CRITIC 法具有很強的客觀性，不受決策者知識缺乏的影響。為保證量化評價的客觀性，采用CRITIC 法確定各個評價指標(biāo)的權(quán)重，具體計算步驟如下。

（1）數(shù)據(jù)的預(yù)處理。為減少數(shù)據(jù)的絕對數(shù)值差異，將它們統(tǒng)一到近似的范圍內(nèi)，重點關(guān)注其變化和趨勢，需要對數(shù)據(jù)進行無量綱化處理。本文所選取的指標(biāo)均為極小型指標(biāo)，這里將其轉(zhuǎn)為極大型：

式 中：max（xj）為 數(shù) 值 矩 陣X中 第j列 的 最 大 值；min（xj）為數(shù)值矩陣X中第j列的最小值。

轉(zhuǎn)換后的數(shù)值矩陣為

（2）指標(biāo)對比強度計算。指標(biāo)對比強度用標(biāo)準(zhǔn)差來表示，標(biāo)準(zhǔn)差越大表示該指標(biāo)的數(shù)值差異越大，越能反映出更多的信息，該指標(biāo)本身的評價強度也就越強，應(yīng)該給該指標(biāo)分配更大的權(quán)重：

（3）指標(biāo)沖突性計算。指標(biāo)沖突性使用相關(guān)系數(shù)來表示，相關(guān)性越大，該指標(biāo)就與其他指標(biāo)的沖突性越小，反映出相同的信息越多，所能體現(xiàn)的評價內(nèi)容就越有重復(fù)之處，一定程度上也就削弱了該指標(biāo)的評價強度，應(yīng)減小對該指標(biāo)分配的權(quán)重：

式中rij表示評價指標(biāo)i和j之間的相關(guān)系數(shù)。

（4）指標(biāo)信息量計算。指標(biāo)信息量為指標(biāo)對比強度與指標(biāo)沖突性的乘積，指標(biāo)信息量越大，指標(biāo)在整個評價體系中的作用越大，應(yīng)給其分配更大的權(quán)重，記指標(biāo)的信息量為Cj：

（5）客觀權(quán)重計算。對指標(biāo)信息量可以進一步計算各個指標(biāo)的權(quán)重：

2.3 綜合量化評價

TOPSIS 法的基本原理是最佳方案離正理想解的距離最短，離負理想解的距離最長。它具有評價結(jié)果可靠、計算速度快等特點［24］。當(dāng)系統(tǒng)評價指標(biāo)的實際值與預(yù)期值距離最短時其SOTIF 性能最優(yōu)。因此，可以基于TOPSIS 法對系統(tǒng)SOTIF 性能進行量化評價。通過計算每個評價對象與正、負理想解的距離大小評價其優(yōu)劣程度。具體計算步驟如下。

（1）數(shù)據(jù)正向化與標(biāo)準(zhǔn)化處理。由于選用的指標(biāo)均為極小型指標(biāo)，正向化處理的表達式為

標(biāo)準(zhǔn)化處理公式為

記標(biāo)準(zhǔn)化處理后的數(shù)值矩陣為Z：

（2）確定正負理想解。由于使用TOPSIS 法的評價所選用的指標(biāo)均為誤差指標(biāo)，其理想情況下的值應(yīng)都為0，故定義正理想解為

由于所有指標(biāo)均為正向指標(biāo)，負理想解為矩陣Z中各指標(biāo)所有數(shù)據(jù)中的最小值，則負理想解為

（3）根據(jù)式（16）和式（17）得到的正負理想解，可計算各評價對象與正、負理想解的歐式距離為

（4）計算各組測試數(shù)據(jù)的分?jǐn)?shù)

式中Si為第i組測試數(shù)據(jù)的得分，取值范圍為60～100，Si越大，表明該測試數(shù)據(jù)與正理想解的距離越小，相應(yīng)地，Si越小，表明該測試數(shù)據(jù)與負理想解的距離越小。

最后，計算單個場景下所有測試數(shù)據(jù)的綜合得分：

式中Sk為單個場景下第k組測試數(shù)據(jù)的得分。

3 試驗測試與評價結(jié)果分析

為驗證上節(jié)中所提出的評價方法的合理性，參考Euro NCAP［20］的 AEB系統(tǒng)測試方法對某型智能汽車的AEB 系統(tǒng)在測試場地進行實車測試。如圖5所示，測試設(shè)備主要為RT 系統(tǒng)（型號RT-Range），測試場景選用前車慢行的邏輯場景。目標(biāo)車速度為20 km/h，選取主車速度分別為40、50 和60 km/h。3 個測試場景分別記為CCRm-40-20kph、CCRm-50-20kph、CCRm-60-20kph，在每個測試場景中重復(fù)測試兩次。測試過程中，采集并記錄所需指標(biāo)的數(shù)據(jù)。

圖5 實車測試設(shè)備與場景

3.1 試驗數(shù)據(jù)

在每次測試過程中記錄主車加速度和主車與目標(biāo)車相對距離的實際值與期望值。圖6 所示為測試場景CCRm-40-20kph 中的兩組測試數(shù)據(jù)。從圖6（a）和圖6（b）可以看出，兩次測試的期望加速度隨時間變化曲線相近，由于控制性能有限，兩組測試數(shù)據(jù)中制動加速度和相對距離的實際值和期望值在制動過程中都有一定的誤差。CCRm-50-20kph 測試場景中的兩次測試結(jié)果如圖7 所示。圖7（a）中的最大加速度表現(xiàn)出較大的誤差，且圖7（a）和圖7（b）中實際加速度的響應(yīng)時刻均晚于期望加速度的響應(yīng)時刻。圖8 為測試場景CCRm-60-20kph 中的兩組測試數(shù)據(jù)，由于主車車速的增加，該測試場景中制動時間明顯比圖6和圖7中的制動時間長，在制動結(jié)束時相對距離也表現(xiàn)出較大誤差。

圖6 CCRm-40-20kph測試場景

圖7 CCRm-50-20kph測試場景

圖8 CCRm-60-20kph測試場景

在得到圖6、圖7 和圖8 中的測試數(shù)據(jù)后，對其進行數(shù)據(jù)處理，并利用式（1）～式（5）計算各指標(biāo)的數(shù)值，得到的數(shù)據(jù)如表4所示。

表4 測試數(shù)據(jù)中各指標(biāo)值

3.2 試驗結(jié)果量化評價

根據(jù)所建立的評價方法與AEB 系統(tǒng)實車測試所得到的數(shù)據(jù)，對被測試車型的AEB 系統(tǒng)的SOTIF進行量化評價。

根據(jù)表4 中各指標(biāo)的測試數(shù)據(jù)，可獲得數(shù)值矩陣。首先，利用式（7）對原始數(shù)據(jù)進行預(yù)處理，即對減速度大小誤差、制動時刻誤差、制動持續(xù)時間誤差、相對距離誤差這4 個極小型指標(biāo)進行正向化處理與無量綱化處理。然后，根據(jù)式（9）～式（12）確定各指標(biāo)權(quán)重，如表5所示。

表5 各指標(biāo)權(quán)重

利用式（13）和式（14）對原始數(shù)值矩陣進行正向化和標(biāo)準(zhǔn)化處理，獲得標(biāo)準(zhǔn)化后的數(shù)值矩陣，進而通過式（16）和式（17）確定各指標(biāo)的正理想值和負理想值。利用式（18）和式（19）分別計算每組測試數(shù)據(jù)與正、負理想解的歐式距離，并根據(jù)式（20）計算每組測試數(shù)據(jù)的SOTIF 評價得分，如表6 所示。最后，綜合表6 中每次測試的單次得分，利用式（21）計算AEB系統(tǒng)控制模塊在每個測試場景中的SOTIF 綜合得分，結(jié)果如圖9所示。

表6 測試數(shù)據(jù)的SOTIF評價得分

圖9 不同場景下SOTIF綜合得分

通過對試驗數(shù)據(jù)的處理，表4 中列出每組測試各個指標(biāo)的值，可將其轉(zhuǎn)換為式（6）的數(shù)值矩陣。在得到數(shù)值矩陣后，計算各個指標(biāo)的權(quán)重大小，權(quán)重代表各個指標(biāo)的相對重要性。權(quán)重越大，代表該指標(biāo)反映的信息量越多，評價強度越強，對AEB 系統(tǒng)控制模塊的SOTIF 性能影響也越大。根據(jù)表5 所列結(jié)果，aσ的權(quán)重最大，代表該指標(biāo)最能反映AEB 系統(tǒng)控制模塊的SOTIF 性能。表6 中得到的各組測試數(shù)據(jù)的SOTIF 得分，可直觀看出每組測試數(shù)據(jù)體現(xiàn)的AEB 系統(tǒng)控制模塊SOTIF 性能的優(yōu)劣，它將用于評價AEB 系統(tǒng)控制模塊在每個場景中的SOTIF 綜合性能。

對表6 中每個場景下的所有測試數(shù)據(jù)SOTIF 得分進行綜合，得到如圖9 所示不同場景下的AEB 系統(tǒng)控制模塊SOTIF 綜合得分。由圖9 看出，在前車慢行的場景中，由于主車運行的車速不同，AEB系統(tǒng)控制模塊的SOTIF性能表現(xiàn)出一定差異。

3.3 結(jié)果分析與改進建議

根據(jù)表4 所列評價指標(biāo)的測試數(shù)據(jù)，在不同場景中，被測AEB 系統(tǒng)控制模塊在減速度大小、制動時刻、制動持續(xù)時間以及與目標(biāo)車相對距離的控制上均存在一定誤差，這些誤差會降低AEB 系統(tǒng)控制模塊的SOTIF性能，使其在極限工況下發(fā)生非預(yù)期危害行為。此外，隨著主車車速上升，主車與目標(biāo)車的相對距離誤差表現(xiàn)出增加的趨勢，另外幾個評價指標(biāo)值在一定范圍內(nèi)波動，并未表現(xiàn)出明顯的增加趨勢。

如表5 所示，各評價指標(biāo)的對比強度相差不大，而沖突性表現(xiàn)出較大的差異。其中，制動減速度誤差的沖突性最大，表明該指標(biāo)與其他指標(biāo)的相關(guān)性最小。綜合指標(biāo)的對比強度與沖突性大小，分配給aσ最大的權(quán)重。說明在所有評價指標(biāo)中，aσ最能反映AEB系統(tǒng)控制模塊的SOTIF性能。

如表6 所示，在CCRm-40-20kph、CCRm-50-20kph 和CCRm-60-20kph 3 個測試場景中，測試數(shù)據(jù)與正理想解的歐式距離依次遞增，與負理想解的歐氏距離依次遞減。這表明主車車速越大，AEB 系統(tǒng)控制模塊的預(yù)期功能表現(xiàn)越接近最劣值。結(jié)合圖9 所示綜合得分，被測車輛的AEB 系統(tǒng)控制模塊在主車速度較低的場景中SOTIF 性能表現(xiàn)較好，隨著主車速度的增加，SOTIF 性能隨之變差，即風(fēng)險增大。評價結(jié)果與客觀事實相符，驗證了所提出的評價方法的合理性和實用性。

基于以上分析，為進一步提升AEB 系統(tǒng)控制模塊的SOTIF 性能，使系統(tǒng)更加安全可靠，建議從以下幾個方面進行功能改進：

（1）通過優(yōu)化縱向控制算法，減小制動時刻誤差、減速度大小誤差和制動持續(xù)時間誤差，讓實際加速度曲線更加接近期望加速度曲線。

（2）考慮外界環(huán)境因素，如路面附著系數(shù)，改進AEB決策算法使期望加速度曲線更合理［25］。

（3）建立系統(tǒng)的設(shè)計運行域，限制系統(tǒng)使用的速度范圍，使相對距離誤差在允許范圍內(nèi)。

4 結(jié)論

首先基于STPA 的方法對AEB 系統(tǒng)控制模塊進行安全分析，獲得了AEB 系統(tǒng)控制模塊的不安全控制行為，這些不安全控制行為是系統(tǒng)SOTIF 風(fēng)險的重要來源。根據(jù)安全分析的結(jié)果提出了AEB 系統(tǒng)控制模塊的SOTIF 評價指標(biāo)，并通過CRITIC 法確定各個指標(biāo)的權(quán)重大小，并基于TOPSIS 法對評價指標(biāo)進行SOTIF 量化評價。通過對某型智能汽車的AEB系統(tǒng)進行實車試驗，使用提出的評價方法對采集的各指標(biāo)試驗數(shù)據(jù)進行SOTIF 量化評價。獲得了在不同測試場景中AEB系統(tǒng)控制模塊的SOTIF綜合得分依次遞減結(jié)果。評價結(jié)果表明，在前車慢行的邏輯場景中，隨著主車車速增加，被測AEB 系統(tǒng)控制模塊的SOTIF 性能降低，符合客觀事實，驗證了所提出的AEB系統(tǒng)控制模塊的SOTIF評價方法的合理性和實用性。最后，根據(jù)各評價指標(biāo)試驗中的表現(xiàn)情況，建議通過改進縱向控制算法使實際加速度響應(yīng)曲線更接近期望加速度曲線，或限制系統(tǒng)使用的速度范圍，使相對距離誤差在允許的范圍內(nèi)，或改進AEB算法使期望加速度曲線更合理的方法提高AEB 系統(tǒng)控制模塊的SOTIF性能。