面向復雜特定場景的自動駕駛功能安全研究

周銳 魏亞 孫佳優

1.青島慧拓智能機器有限公司 山東省青島市 266000 2.深圳慧拓無限科技有限公司 廣東省深圳市 518000

1 引言

從當前情況來看，自動駕駛汽車已完成功能實現階段指標，但是在安全保障方面仍存在制約其產業應用的難題，尤其是在礦山、港口等率先投入產業化運營的復雜特定場景下，如何能夠在保障自動駕駛系統功能定義需求實現的基礎上，通過科學的技術手段與流程把控保障其系統的功能安全成為影響自動駕駛產業未來發展的重要科學問題。同時考慮到L3-L5 級別自動駕駛系統和傳統的ADAS 系統（L1-L2 級別）在功能的要求上有很大的區別，所以也對復雜特定場景下的自動駕駛系統（多為L3-L5 級別）的功能安全研究提出了新的挑戰。

2 面向復雜特定場景的自動駕駛功能安全方法

功能安全是通過技術和流程上的安全措施，在汽車的整個生命周期內保障對由汽車的電子電器功能失效或者錯誤引起的有可能對人身照成傷害的安全風險處在可接受的范圍之內。以下為L3-L5 系統在功能安全領域所需要考慮的特別之處：

● L3-L5 的自動駕駛系統比傳統的ADAS 系統所面臨的場景更加復雜。傳統的ADAS 系統所需要考慮的場景往往相對單一，對駕駛員進行輔助；而高級別的自動駕駛系統需要考慮到其ODD（Operational Design Domain）范圍內的所有場景，在這些場景中，自動駕駛系統必須能夠完全的代替人來操控車輛。更加復雜的場景會導致系統需要考慮更多的Hazard Situation（危險狀況），相應的產生更多的功能安全需求。

● L3-L5 自動駕駛系統要求車輛擁有線控系統。汽車線控系統就是將駕駛員的操縱動作經過傳感器變成電信號，通過電纜直接傳輸到執行機構的一種系統。而線控系統本身就擁有很高級別的功能安全需求，要保障整個系統的功能安全，首先就必須保障線控系統的功能安全。

● ECU（Electronic Control Unit）隨著自動駕駛系統的級別越來越高，會由分布式向集中式發展，傳統ADAS 系統中各個輔助功能所需要的ECU 相對獨立，系統之間的交互耦合度相對較低；高級別自動駕駛所需求的集中式ECU 功能更加集中，系統復雜度和耦合度更高，無論從硬件還是軟件方面都對功能安全提出了更高的要求。

● 從傳統ADAS 系統到高級別自動駕駛，從人類駕駛員在回路到人類駕駛員不在回路，從在操控系統主導作用到需要駕駛員緊急接管再到完全不需要介入，這也為功能安全提出了新一個層次的任務。

接下來研究者會按照實現功能安全步驟具體分析L3-L5 自動駕駛系統為了達到功能安全需求所需要的方法。

2.1 場景分析

為了得到功能安全需求，首先要對系統的場景進行分析，得到系統的所會面臨的危險狀況。那么如何有條理的對場景進行分解和歸類，就成為達到功能安全目標的第一步。如下圖所示，研究者借鑒德國的PEGASUS 項目（無人駕駛汽車 -確保道路安全項目）中提出的場景分析方法：

圖1 Pegasus 場景庫整體架構

為了能夠遍歷在系統定義的ODD 范圍內的場景，然后分析出所有場景中可能包含的危險狀況，需要對場景進行分析。這些場景分析來自于以下這些方面：

● 來源于法律規定，標準要求，以及業內先驗性知識的場景需求，這一類場景的描述比較清晰，只需要簡單的對場景進行分析，就能夠導出相應的危險狀況。

● 來源于真實路況駕駛測試的場景。這一類場景由于每個自動駕駛公司對自己的數據的保密，往往是比較難以得到的，但是該類場景又是做場景分析中最直接，最重要的部分。

● 來源于仿真測試的場景。這類場景的數量是最多的，通過大量的仿真可以用較小的成本得到自動駕駛系統所需要面臨的危險狀況。

● FOT（Field Operational Test，道路運行測試）/NDS（Naturalistic Driving Study，自然駕駛研究）。該類場景目前在中國尚未建立相關的數據庫。

● 事故分析。顯而易見，這類數據是最直接的，也是功能安全場景分析中最需要的。

2.2 危險分析

有了場景分析，接下來就需要對危險狀況進行分析，對于高級別自動駕駛的危險狀況分析，FTA（Fault Tree Analysis，事故樹分析方法）是一種非常有效的方法。FTA 是由上往下的演繹式失效分析法，利用布林邏輯組合低階事件，分析系統中不希望出現的狀態。故障樹分析主要用在安全工程以及可靠度工程的領域，用來了解系統失效的原因，并且找到最好的方式降低風險，或是確認某一安全事故或是特定系統失效的發生率。下圖為自動駕駛中對于“自轉向”這一事件的FTA 例子。

圖2 自動駕駛系統自轉向FTA 分析[3]

2.3 ASIL 等級確認

在進行了危險分析后，我們能得到相應了危險狀況（Hazard Situation），我們還需要對這些危險狀況的危險程度進行評級，方便按照該等級進行不同程度的應對。這里需要用到ASIL 等級（Automotive Safety Integrity Level，汽車安全等級）概念。為了更好的進行解釋，這里需要引入幾個ISO26262 中定義的幾個概念：

Exposure（E）：是指故障發生的時長占平均時長的比例，用來表征故障發生的概率的大小，E 越大則故障發生的概率越大。

Severity（S）：是指故障的嚴重程度。S 值越大則故障越嚴重。

Controllability（C）：是指故障發生以后，駕駛員是否可以人為的對故障狀態加以控制。C 值越大則越難以控制。

當對每個危險狀況的E，S，C 值進行定義了之后，就能夠對系統特定功能的ASIL 等級進行確認。對于高級別的自動駕駛系統，E 和S 值的確認相對簡單，但是由于L4，L5 的自動駕駛系統人類駕駛員不在回路中，所以其發送事故后基本不可控，C 值的定義成為一個難點。按照C 值的原始定義，我們可以把所有L4，L5 級自動駕駛系統的C 等級直接設置為最高的C3。這樣做就帶來一個問題，即不同故障狀態的可控度沒有區分，這種方式直接把可控度低的危險和可控度高的危險作為同等可控度進行處理，違背了ASIL 等級定義的原意。

為了解決這一問題，本文提出一種新的高級別自動駕駛的C 的定義方式，即是指故障發生以后，系統進入MRC（Minimal Risk Condition 最后的安全措施）的可控程度。MRC 是指當系統所有措施都采取后依然不能繼續安全工作后所采取的最后措施，可以是“駕駛員接管”（對L3 自動駕駛），“靠邊停車，同時乘客能夠從自動駕駛車輛中走出到安全區域”或者“遠程駕駛員遙控駕駛”。使用該定義方式，我們就能夠對高等級自動駕駛系統的C 值進行很好的量化區分。

表1 ASIL 等級定義

2.4 功能安全目標和功能安全需求確定

當我們對所有的危險狀況確定了不同的ASIL 等級后，需要對應這些ASIL 等級確定不同的功能安全目標，ASIL 等級越高，所要求的功能安全目標越高。有了確定的功能安全目標，就可以從中導出功能安全需求，把功能安全需求在和具體的硬件設計，軟件設計向結合，就能導出最后我們系統所需的軟硬件的功能安全方面的技術需求。

對于高級別自動駕駛功能安全目標的確定和傳統ADAS 系統的區別在于高級別自動駕駛系統的功能安全目標會設置的更高。如下圖所示，傳統ADAS 系統的功能安全目標更多的強調Fail Safe（失效安全），即系統即使有特定失效下，也不會造成對人員或其他設備的傷害。而高級別自動駕駛更加傾向于Fail Operational（失效可操作），即在其重要或主要系統損壞時，仍可正常完成正常或最終的重要動作。這是因為高級別自動駕駛系統沒有了駕駛員的介入，要求功能安全的目標也需要完成沒有人在回路中也能繼續工作（一段時間），把乘客帶到安全狀態。

圖3 高等級自動駕駛功能安全目標[5]

當確定了功能安全目標后，就可以導出相應的功能安全需求用于系統的開發，在該步驟中，傳統系統的功能安全需求方法是可以借鑒的。如下圖所示為Autosar（AUTomotive Open System ARchitecture）提出的車燈管理系統（L1自動駕駛系統）的功能安全架構。

圖4 車燈管理系統功能安全構架

同樣的，在高級別自動駕駛系統中，我們從功能安全目標中提取的功能安全需求最少要包含以下信息：

● 如何識別和檢測錯誤

● 如何進入Safe State（安全狀態）

● Safe State 的定義

● 如何對故障進行冗余設置

● 如何進行人機交互，告知車內人員相應的功能安全信息

有了功能那個安全的需求，研究者就能夠按照軟硬件開發的流程進行系統開發，在此過程中還需要注意以下幾點：

● 功能安全需求也要和其他系統功能需求一樣進行測試，這里可以使用故障注入的方法，即向受控實驗向系統中刻意引入故障，并觀察系統中存在故障時的行為。

● 信息安全同等重要，研究者考慮功能安全需求的同時，信息安全是功能安全的基礎，特別是在和環境交互的V2x 系統的信息安全，以及車內和自動駕駛ECU通信的車內通信系統的信息安全。

3 礦區自動駕駛功能安全分析示例

以下以礦山排土場無人礦卡排土場景為例敘述功能安全分析方法的實際應用：

第一步是需要通過不同的情況，不同的環境確定在ODD 范圍內的場景。這些場景可以來源于法律規定、行業標準要求以及業內先驗性知識，也可以來源于真實路況駕駛測試或仿真測試，還有一部分是直接來源于事故數據。在本示例中可以看到排土場景屬于業內先驗知識。

第二步是尋找不同場景下可能發生的事故所引起的危險情況（Hazard Situation）。對于示例場景而言存在以下可能：

①排土過程中發生掩埋人員事故；

② 撞到行人；

③撞到排土場指揮調度人員；

④ 和有人車發生碰撞；

⑤ 和推土機發生碰撞。

第三步是確定危險情況的ASIL 等級。對于礦山場景而言，在本文2.3 描述的定級基礎上，對于無人礦卡C 值有了新的定義，故障發生以后，系統進入MRC（Minimal Risk Condition 最后的安全措施）的可控程度。MRC 是指當系統所有措施都采取后依然不能繼續安全工作后所采取的最后措施 可以是：“靠邊停車”或者“遠程駕駛員遙控駕駛”。

表2 “撞到行人”ASIL 等級確定

第四步是根據ASIL 等級設定不同的安全目標，使得ASIL 等級為B 的危險情況降低為QM。本示例中“撞到行人”的降級目標為降低無人礦卡在排土場碰撞到行人的概率。

第五步是根據安全目標進行FTA 分析導出安全需求。FTA 分析又稱故障樹分析，是一種由上往下的演繹式失效分析法，利用布林邏輯組合低階事件，分析系統中不希望出現的狀態。在此示例中，“撞到行人”發生的一級原因是車輛是否感知到行人。若為未感知到行人，那么次級原因可能是激光雷達硬件故障或激光雷達軟件算法故障；若為感知到行人但認為是誤檢測，那么次級原因可能是行人特征不夠明顯或是感知算法故障。以此為例進行事故原因推演可以得到避免此事故發生的安全需求。

第六步是根據安全需求進行軟件和硬件的設計開發。如在示例中為避免因激光雷達硬件故障而發生“撞到行人”事故，可以通過加裝備用雷達的方式做冗余處理，在主雷達硬件Diagnostic 信號為True 時，啟動備用雷達再次檢測；或是為避免因激光雷達軟件算法故障而發生“撞到行人”事故，可以通過使用獨立備用算法重復檢測后比較兩次檢驗結果的方式保證安全。

4 總結

單純的功能測試并不能滿足高等級自動駕駛的功能安全需求，而高級別的自動駕駛相對于傳統的ADAS 系統復雜度更高，面臨的場景更加復雜，ECU 功能相對集中，對線控系統有較高要求，同時駕駛員在環路中的角色也完全不同，導致高級別自動駕駛系統在功能安全方面也有了更高的挑戰，本文詳細分析了實現系統功能安全過程中所需要的過程，并且提出了對于高級別自動駕駛系統在該過程中需要注意的問題和可以使用的方法。

本文提出的方法并非唯一，也有其他的方法論也可以對高等級自動駕駛系統功能安全進行補充，如Intel 和Mobileye 提出的RSS（Responsibility-Sensitive Safety）方法，該方法更多的考慮了和自動駕駛車輛交互的其他車輛的信息，確認了危險狀況后，找出相應的原因，然后來解決；還有李力、彭新宇等人基于責任敏感安全研究提出的跟蹤防碰撞策略,該策略旨在保持交通安全和效率之間的良好平衡，同時還考慮到車輛和其他駕駛員的位置/ 速度感知/ 測量不可避免的不確定性。