城市導航輔助駕駛的路口通行安全策略

摘要：隨著智能駕駛技術的發展，城市導航輔助駕駛（UNOA）已成為智能駕駛技術新的研發熱點。面對各項用戶體驗場景的優化開發，UNOA智能駕駛區域的覆蓋度不斷拓展，其安全策略的開發成為新的技術關隘，特別是面向紅綠燈路口的通行策略，以及與弱勢交通參與者的混行策略是UNOA的安全設計挑戰。對場景的機器駕駛到人工駕駛的接管可控性進行研究，提出低成本解決方案設計的核心技術要點，并通過安全測試驗證，提出了全鏈路安全設計技術方案，以期為UNOA的安全策略開發提供技術參考。

關鍵詞：智能駕駛；功能安全；城市導航輔助駕駛；可控性

0 前言

在城市導航輔助駕駛（UNOA）這個全新的智能駕駛功能領域，其可預知的安全問題在各種事故的追蹤報道下愈發受到人們的關注和重視，因此基于安全技術的研究成為智能駕駛或自動駕駛必不可少的一環。然而，在提升用戶體驗和控制開發成本的雙重壓力下，安全技術開發的落實與技術分析過程往往因缺乏宣傳賣點而被忽略。本文以UNOA路口通行場景的功能安全開發為例，對智能駕駛安全策略開發展開研究，并提出解決方案，以期為智能駕駛安全領域專項特征點的安全解讀提供參考。

1 場景分析和安全驗證需求

為了明確分析UNOA路口場景的安全設計要求，需要對相關安全設計進行評估，該安全評估可通過嚴重度（S值）、暴露度（E值）、可控性（C值）分析，得出汽車安全完整性等級（ASIL），形成危害分析和風險評估（HARA），詳見表1。其中，S值、E值、C值的評估來源于GB/T 34590.3—2022 《道路車輛 功能安全 第3部分：概念階段》和SAEJ 2980—2018 《危險分類的注意事項》等標準。由表1可得，對應到路口通行場景的應用，雖然ASIL的功能安全等級為C級，但是單個制動或轉向的執行部件均達不到C級要求，因此需要通過冗余系統來實現安全目標，但這也將面臨各項應用場景及成本的挑戰。

為了解決這些方案設計的認同性問題，對駕駛員C值的要求進行專項論證，以期從實際測試中明確理論需求是否存在可降低的空間，尋找駕駛員在通過路口[1]時是否具有可控制性，以及能否通過及時發現制動丟失進行接管以規避風險，進而實現成本均衡或方案優化來滿足安全設計的要求。為此，提出可控性測試驗證要求，見表2。根據該實際測試要求進行試驗樣本安排和測試資源組織。

1. 1 測試資源

1. 1. 1 仿真及車輛資源

測試需要基于車輛的載體，并結合實際的仿真場景，使測試具有可信度，試驗的環境和設備如圖1所示。

1. 1. 2 測試數據采集

測試數據采集通過數據采集設備Vector CANoe和仿真環境數據記錄儀完成，經整車診斷接口連接，可在測試過程中實時觀察數據變化情況。車內被測人員的實時反應情況由車輛內分析員進行視頻記錄和日志文件記錄，并進行數據對應分析，確保與駕駛員的動作保持一致。

1. 1. 3 測試人員

邀請不同性別、年齡、駕齡、具有輔助駕駛經驗的駕駛員23名，同時需要準備數據記錄人員1名（負責整車數據錄制及視頻記錄）。其中，男性與女性的人數比例為3∶2。

1. 2 測試過程和數據

通過對測試數據的分析，發現0.4g的制動下存在不可控的接管風險。因此，以此工況進行分析匯總示例，將12個產生碰撞的數據進行分析（見表3），從而為C值定義的合理性提供依據。

1. 3 測試結果分析

在測試樣本中，有12個與路口的行人產生碰撞，碰撞時的相對車速最大為35.7 km/h，駕駛員制動的反應時間最大為2.3 s。由此可知，這與功能安全定義的駕駛員可控性的要求相差甚遠。按照小于90%的駕駛員能控制規避風險為C3，測試結果不滿足駕駛員的可控性要求（約50%的駕駛員產生了碰撞），故可控性等級為C3。本驗證結果為達到ASIL C要求提供了良好的技術數據支撐。隨后，對0.3g、0.5g和0.7g的測試工況進行論證，同樣出現了大于50%的碰撞行人情況，這更明確了該數據樣本量在可控性方面數值結果的置信度。

經技術評估，由于影響因素太多，無法使UNOA的路口通行情況總不出現大于0.3g的減速度范圍的應用。因為隨著環境和場景的變化，制動要求難以保障可預見性的提前減速，而且在跟車行駛時，無法約束前車不進行制動。

2 安全策略的設計

從縱向控制的設計鏈路進行分析，可以得出，輔助駕駛控制器以達到ASIL C的控制估算進行開發，共有2種推薦方案。一種是架構冗余設計，另一種是以增補駕駛員制動響應時間的方式進行低成本設計方案。

本文以增補駕駛員制動響應時間的低成本方案進行詳細的安全策略設計，具體包括以下4個方面：

（1） 感知模塊分解。將感知模塊基于特征識別進行分解，拆分為一個ASIL B的感知模塊和一個ASIL A的感知模塊。由于市場上單個傳感鏈路產品超過ASIL B的數量極少，按現有技術方案，能最大限度節省材料成本。

（2） 規劃決策軟件模塊開發。按照ASIL C的要求開發規劃決策的軟件模塊。首先，確認路口定義的特征點，并圈定范圍車輛位置范圍；其次，進行減速度的處理模塊，以確定當前的減速度是需要增補制動，還是處于駕駛員原本就可以自己接管踩剎車的情況。根據距離與位置情況[2]，分別進行1.7～2.3 s（根據實車標定）的制動增補時間。

（3） 降級補償時間響應模塊設計。設計降級補償時間響應模塊，根據駕駛員實際制動踩下的情況進行適時退出時間的處理。對于反應快、能及時接管車輛的駕駛員，實際不會有感覺；對于當前實際目標已退出，確實需要解除制動的駕駛員，可以通過油門超控來安全快速通過路口。

（4） 執行控制模塊開發。基于當前電機響應設計平臺產品均最高AISL B的情況，對執行控制模塊進行冗余方案開發，從而使整體安全目標滿足ASIL C。安全架構如圖2所示。

由本設計的安全架構可知，單域控滿足ASIL C的設計需求的關鍵模塊在于：

（1） 感知和定位模塊結合，得出路口范圍圈的有效值（如圖3所示），從而在該有效值內若啟用制動，進行增補的安全機制有效。

（2） 減速度觸發值評估[3]，得出大于0.2g以上的減速度均進行安全降級機制增補的設計條件，且增補時間按照測試得出的最長2.3 s進行保險設計，或取1.7 s進行高覆蓋范圍的常規安全設計，以兼顧用戶體驗。選擇0.2g以上為門限值是依賴于駕駛員的感知能力和緊急性，若小于此值，基本說明接近于滑行值，通常在遠距或極低速才出現的控制，駕駛員可以常規可控。

（3） 降級補償時間響應，進行執行控制層的前端安全輸入的請求不會丟失的保障性設計，使之達到ASIL C的最低要求。在制動距離人員混行風險高的區域進行感知出錯的預防性時間增補，若真的丟失目標為漏識別目標，駕駛員有足夠的反應時間應對接管制動的動作。

3 結語

通過對UNOA的路口通行安全策略的分析和論證，將功能安全的軟件架構開發和方案規避與風險情況都進行了剖析，為行業在這個方面的研究提供了一個實例參考，也為功能安全目標設計和安全架構過程應用在輔助駕駛系統中進行了有效探索。安全開發需要行業共同努力，更是對評估駕駛員解決風險的實際有效性和合理性的方法創建研究基礎。

參考文獻

[1] 耿亞萍.自動駕駛車輛縱向速度控制策略及仿真[J].汽車與新動力，2024，7（2）：23-27.

[2] 唐陽山，夏道華.不同駕駛員反應時間對汽車防撞安全距離的影響研究[J].科學技術與工程，2016（1）：250-254.

[3] 張智勇，黃軼，任福田.減速跟車狀態后車司機反應時間研究[J].北京工業大學學報，2009， 35（9）：1220-1224.