面向場景的自主代客泊車預期功能安全研究

中圖分類號：U467.1 文獻標志碼：A DOI：10.20104/j.cnki.1674-6546.20240294

【Abstract】Inorder to facilitateacomprehensive understanding of theAutonomous ValetParking （AVP）systemincluding its behavioral limitations，andtoensureitsafetyOfTheIntendedFunction （SOTIF），thepaperproposestheSOTFanalysis processfor AVP systems.This procedure synthesizes the ISO 21448 and the System Theory Process Analysis （STPA）method， andelaboratesonsystemsafetyand triggeringconditions，layers triggeringconditionsandcombines withfuzzycomprehensive evaluationtobuild SOTIF scenarios.Theevaluationemployscollsion distancerisk，collsion timeriskand braking decelerationriskaskeyperformance indicators.The Criteria Importance Through Intercriteria Corelation （CRITIC）and Technique for Order Preference by Similarityto Ideal Solution （TOPSIS）methodsareutilized for index weightingand evaluation.Finaly，SOTFsoresofAVPsystemsunderdferentscenarios arebtainedthroughealvehicletesting，claifing unsafe scenarios and providing targeted guidance for product optimization.

Key words： Intelligent transportation，Automated valet parking，Fuzzy comprehensive evaluation，SafetyOf TheIntended Functionality （SOTIF）

【引用格式】姜文義，高婷婷，喬永祿，等.面向場景的自主代客泊車預期功能安全研究[J].汽車工程師，2025（5）：13- 22+28. JIANGWY，GAO TT，QIAOYL，etal.Research onIntendedFunctionalitySafetyof Scenario-Oriented AutomatedValetParking[J].AutomotiveEngineer，2025（5）： 1 3 - 2 2 + 2 8

1前言

基于已知停車場靜態環境地圖，自主代客泊車（AutomatedValetParking，AVP）系統能夠快速高效地規劃出面向場景的可行路徑，成為解決自動駕駛“最后一公里問題”的有效手段。王恒凱等從市場需求、政策環境等角度對AVP系統發展趨勢進行預測，并提出建議。目前，AVP系統對車輛安全提出了諸多挑戰，具備該功能的車輛難以在任何場景下都能保證自身及周圍交通參與者的安全，這與AVP系統的預期功能安全（SafetyOfTheIntendedFunctionality，SOTIF）有關。SOTIF是ISO26262：2018《道路車輛功能安全》對自動駕駛功能安全的補充，Leveson基于系統理論過程分析（SystemTheoreticProcessAnalysis，STPA）方法，將SOTIF定義為控制問題，將危害的原因歸結為控制器和被控制過程之間的相互作用失效，識別出可能導致危害發生的不安全控制行為及其原因；張玉新等將STPA與故障樹等傳統安全分析方法進行對比，從自動駕駛功能安全、預期功能安全等維度闡述了STPA方法的優勢，提出基于STPA的綜合安全分析方法。ISO21448：2022《道路車輛預期功能安全》標準立足于對自動駕駛安全影響更廣泛的非故障安全領域，重點關注自動駕駛系統的行為安全，解決因自身設計不足或性能局限在遇到一定觸發條件時導致的危害。

AVP系統SOTIF相關風險的主要來源為已知不安全和未知不安全場景，為評估AVP系統不安全場景的預期功能安全，行業當前主要采用基于里程的評價和基于場景的評價兩類方法。主流車輛測試方法采用長里程道路測試來覆蓋更多的駕駛場景，如美國公路交通安全管理局定義了預碰撞場景，歐盟在總結真實事故場景與特征的基礎上明確了人工和自動駕駛關鍵場景，Menzel等以本體論作為基礎理論，建立了包含5個層次的高速公路具體測試場景自動生成方法，陳浩等考慮自動駕駛車輛SOTIF場景的不同測試標定要求及側重方向，提出了一種基于行車安全場理論的SOTIF場景風險評估方法，王榮等將信息熵和引力模型耦合后對自動駕駛車輛道路測試場景進行評價和分類，并采用實車測試驗證場景評價方法的合理性，中國汽車工程學會發布《自主代客泊車系統總體技術要求》團體標準，填補了國內在AVP行業標準及場景方面的空白。更多學者關注基于自動駕駛系統場景的評價方法，季中豪等2提出增加碰撞時間、制動減速度峰值和制動停止后距離等評價參數以全面評價自動緊急制動（Autonomous Emergency Braking，AEB）系統的性能，Riedmaier等[13總結了基于場景的自動駕駛安全評估方法，朱冰等4基于高斯模型對多維度邏輯場景下的測試危險參數結果進行聚類，提出危險域離散度、危險域范圍兩個評價指標并耦合形成場景危險率以實現更為全面的評價，白先旭等[15]采用STPA方法對AEB系統控制模塊進行安全分析，并建立了AEB系統SOTIF評價體系。上述研究更多集中于對自動駕駛功能的評價，相關方法雖能分析系統的性能不足和可能導致的危害行為，但不能量化由于性能不足導致的危害行為風險大小和系統SOTIF性能優劣。

本文針對車輛AVP系統SOTIF的量化問題，首先，結合ISO21448：2022和STPA方法提出AVP系統SOTIF分析流程，進行系統安全與觸發條件分析，其次，將觸發條件分層，形成AVP系統SOTIF場景靜態要素和動態要素，建立AVP系統SOTIF場景模型，明確場景模糊等級，應用模糊綜合評價模型抽取AVP系統SOTIF不安全場景，最后，構建包含碰撞距離風險、碰撞時間風險及制動減速度風險的評價指標，利用基于指標相關性的指標權重確定方法（CriteriaImportance Through Intercriteria Correlation，CRITIC）和優劣解距離法（TechniqueforOrderPreferencebySimilaritytoIdealSolution，TOPSIS）綜合量化評價指標，并通過實車測試更全面地了解AVP系統的性能特點和安全風險。

2AVP系統預期功能安全分析

2.1 分析流程

本文結合ISO21448：2022和STPA方法提出一種AVP系統SOTIF分析流程，如圖1所示。

2.2基于STPA方法的預期功能安全分析

2.2.1AVP系統功能定義

AVP系統集合感知、決策、控制、執行、交互多個子系統配合完成系列動態任務，其結構如圖2所示。

AVP系統可實現用戶在停車場指定下客點下車后，通過手機應用程序下達泊車指令，車輛無需用戶操縱和監控即可自動行駛到停車場開始泊車，AVP功能流程如圖3所示。

2.2.2 AVP系統觸發條件識別

AVP系統的主要功能是實現全自動代客泊車，泊車過程中可能發生車輛與人員、周圍車輛、障礙物碰撞等情況，因此，定義AVP系統損失如表1所示。

危害指的是一種系統狀態或一系列條件，在特定的最不利環境條件下，會導致事故、造成損失。危害應包括系統、不安全條件及導致的損失等內容，由此定義AVP系統整車級危害如表2所示，并將危害與AVP系統的損失關聯。

為避免AVP系統出現SOTIF問題，建立控制結構模型，如圖4所示。

根據STPA的4個預定義分類，提出4類不恰當的控制類型：沒有提供所需的控制行為，或者提供了控制行為卻沒有被很好地實施；提供了錯誤的或不安全的控制行為；控制行為出現在錯誤的時間（過早或過晚）；正確的控制行為停止得過早或持續過久。由此識別出AVP系統不安全控制行為（UnsafeControlAction，UCA），如表3所示。

表3中每個UCA都可能對應單個或多個觸發條件，觸發條件的產生主要來源于軟、硬件設備的性能局限，因此可從感知、定位、決策及控制系統維度進行分析，從傳感器特征、環境條件、光照條件、目標物特征4個方面細化感知系統（PerceptionSystem，PeS）、定位系統（PositioningSystem，PoS）、決策系統（Decision-makingSystem，DeS）及控制系統（ControlSystem，CS）可能的觸發條件。感知系統包括視覺傳感器（VisualSensor，V）、激光雷達（LiDAR，L）、毫米波雷達（Millimeter-waveRadar，M）及超聲波雷達（UltrasonicRadar，U），64個AVP整車級危害的誘因（其中31個為重復誘因）如表4所示。

3AVP系統預期功能安全場景構建

3.1 場景模型

基于STPA方法開展AVP系統預期功能安全分析，識別出導致系統危害事件發生的觸發條件，并將與場景相關的觸發條件進行分層，如圖5所示。

觸發條件分層中的靜態要素和動態要素指標為：

式中： 為天氣情況， 為光照情況， 為溫度情況， 為交通情況， 為交通參與者。

根據以上5個指標建立安全場景判據：若天氣情況好、光照情況好、溫度情況好、交通情況好、無交通參與者，場景非常安全；若天氣情況好、光照情況好、交通情況好、交通參與者均靜止，場景很安全；若天氣情況好、溫度情況好、交通情況好、光照條件較差、交通參與者為動態車輛，場景安全；若光照情況、交通情況均比較差時，交通參與者為動態行人，場景不安全。

將以上場景轉換為評價集合：

式中： 分別為場景非常安全、場景很安全、場景安全和場景不安全。

根據專家經驗法確定5個場景要素的權重：

3.2場景庫構建

式中： 分別為天氣情況、光照情況、溫度情況、交通情況和交通參與者的權重。

綜合評判后某場景從 U 到 V 的模糊關系如下：

式中： 為某場景從 U 到 V 的模糊關系矩陣， 為U×V 上每個有序對的指定隸屬度。

場景評價涉及多個指標、屬性權重及要素間的耦合關系，是多要素決策問題。現實場景各方面要素信息具有復雜性和不確定性，各要素不是剛性可測的值，智能汽車的感知系統往往無法得到各要素的安全閾值，導致最終判斷失誤，造成預期功能不足。相比之下，人類駕駛員能夠憑借其豐富的感知能力，運用語氣算子對接收到的信息要素進行模糊化處理，作出更為貼切的評價與決策。因此，本文采用專家經驗法選取駕駛經驗豐富的駕駛員對場景要素打分，如表5所示，從而解決在判斷與決策復雜信息因素時可能遇到的局限性，提升評價的準確性和實用性。

以標準場景為基礎，以駕駛場景為依托，以事故場景為預期，以失效場景為補充，搭建AVP系統場景庫，提升場景的可測試性。駕駛場景中的特征要素如表6所示，場景數量統計如表7所示。

3.3 場景抽取

對場景庫所有場景進行安全評價，因不可能枚舉所有典型場景，僅按順序選取各階段2個評分最低的場景作為典型場景，如表8所示。

場景模型計算可知，上述10個場景的安全評價值均不超過0.034，屬于場景不安全集合，用于后續AVP預期功能安全的評價。

4AVP系統預期功能安全量化評價

4.1 AVP系統評價指標

AVP系統不安全控制行為的產生源于AVP系統在執行車輛動態任務過程時是否能夠保證自車與周圍交通參與者在橫向與縱向維度處于安全狀態，及時響應環境的變化，以及提供的控制行為是否符合預期設計。本文從碰撞距離風險、碰撞時間風險和制動減速度風險3個維度設計AVP系統評價指標。

碰撞距離風險通過計算當前時刻自車與周圍交通參與者的縱、橫向相對距離和縱、橫向安全距離（指反應時間內車輛行駛的距離），判斷自車的碰撞風險：

式中： 分別為橫、縱向安全距離， 為反應時間， 分別為橫、縱向行駛速度， 分別為自車與目標車的橫、縱向距離， 分別為自車橫、縱向碰撞風險。

碰撞時間（TimeToCollision，TTC）風險能夠檢測自車與同車道距離最近交通參與者的縱向碰撞時距及存在橫向速度時相應方向的非同車道距離最近交通參與者的橫向碰撞時距。TTC越大，表明自車與周圍交通參與者距離越遠，碰撞風險越小。具體公式為：

式中： 分別為橫、縱向碰撞時間， 分別為其他交通參與者的橫、縱坐標， 分別為自車的橫、縱坐標， 分別為其他交通參與者的橫、縱向速度， 分別為自車的橫、縱向速度， L 為交通參與者長度與自車長度之和的 1 / 2 ， w 為車道寬度。

碰撞時間 取兩者中的最小值：

制動減速度風險關注不同條件下當前時刻自車需要的制動減速度，保證車輛在碰撞發生前完全靜止或與周圍交通參與者保持相對靜止。因此，以車輛在每個階段減速度的變化率作為評價指標：

式中： 分別為橫、縱向減速度變化率， 分別為某階段開始和結束時的縱向減速度， 分別為某階段開始和結束時的橫向減速度。

4.2 指標權重確定

CRITIC法是一種客觀賦權方法，兼顧指標變異性大小和指標間的相關性，完全基于數據自身的客觀屬性進行權重確定，可避免主觀判斷的影響。

假設有 n 個待評價樣本 項評價指標，形成原始指標數據矩陣：

式中： 為第 j 項評價指標的沖突性， 為評價指標 i 和j之間的相關系數。

第 j 項評價指標的信息量 是指標波動性與指標沖突性的乘積，指標信息量越大，指標在整個評價體系中的作用越大，應為其分配更大的權重：

第 ? j 個指標的客觀權重 為：

4.3 SOTIF量化評價

選取TOPSIS法進行SOTIF量化評價，AVP系統的評價指標均為正向指標，正向指標歸一化處理為：

標準化處理表達式為：

式中： 為第 i 組測試第 j 項評價指標的數值。

本文構建的評價指標均為正向指標，歸一化處理后為：

式中： 分別為數值矩陣 X 中第 j 列的最大值、最小值。

轉換后的數值矩陣為：

標準差用于表征AVP系統各評價指標取值的差異波動情況，標準差越大，表示該指標本身的評價強度越強，指標權重也越大：

式中： 為轉換后的數值矩陣中 n 個數值的平均值， 為第 j 項評價指標的波動性。

相關系數用于表征指標間的相關性，相關性越強，所能體現的評價內容的重復性就越強，一定程度上削弱了該指標的評價強度：

標準化數值矩陣表達式為：

正理想解為矩陣 Z 中各指標所有數據中的最大值：

負理想解為矩陣 z 中各指標所有數據中的最小值：

各評價對象與正、負理想解的歐式距離分別為：

最后，計算各組測試數據的分數：

式中： 為第 i 組測試數據的得分，取值范圍為60～100。

越大，表明該測試數據與正理想解的距離越小， 越小，表明該測試數據與負理想解的距離越小。

5 場地測試分析

5.1 試驗前期準備

通過開展實車試驗，搭建測試環境、采集并分析試驗數據，驗證場景構建方法和評價方法的合理性。測試車輛選用搭載AVP系統的某智能網聯汽車，在測試車輛上安裝英泰斯特數據采集器、高精度慣性導航系統、攝像頭等設備，試驗場地選擇某地下停車場，交通參與者行人選擇成年假人和兒童假人。測試車輛及設備如圖6所示。

5.2試驗數據采集

試驗數據主要采集自車橫縱坐標、橫向速度、縱向速度、橫向加速度、縱向加速度、AVP系統狀態等，測試車輛在 的車速下開啟AVP系統，試驗場景如圖7所示，試驗數據示例如圖8所示。

5.3 試驗結果分析

AVP系統實車測試數據如表9所示，在此基礎上對某智能網聯汽車AVP系統SOTIF進行量化評價。

由表9可獲得數值矩陣，利用式（18）對各指標值進行歸一化處理，根據式（19）～式（23）確定各指標權重，如表10所示。

利用式（24）～式（26）對原始數值矩陣進行正向化和標準化處理，獲得標準化后的數值矩陣，通過式（27）和式（28）確定各指標的正理想值和負理想值。利用式（29）和式（30）分別計算每組測試數據與正、負理想解的歐氏距離，根據式（31）計算每組測試數據的SOTIF評價得分，如表11所示。

由表11可直觀看出該車AVP各階段SOTIF的性能表現：入場-1、巡航-1、泊入車位-1和泊出車位- 2 場景得分較低，原因在于該車對彎道巡航與坡道巡航的耦合控制及對兩側存在車輛時的橫向控制較差，以及未識別或識別兒童過晚；入場-2、巡航-2、泊出車位-1場景得分較高，原因在于該車對彎道、坡道、路口巡航單獨控制較好，并能較容易地識別成年行人。

綜上，將評價結果與客觀表現進行對比，發現兩者基本一致，充分驗證了本文所提出的評價方法的有效性。因此，可以在AVP系統SOTIF場景下對該系統進行準確且合理的評價。

6 結束語

本文結合ISO21448和STPA方法設計AVP系統SOTIF分析流程，對AVP系統進行安全分析，定義損失與危害，識別出不安全控制行為，分析導致危害發生的觸發條件，并將觸發條件分為靜態要素和動態要素，應用模糊綜合評價模型構建AVP系統場景，抽取預期功能安全場景，最后，構建考慮碰撞距離風險、碰撞時間風險和制動減速度風險的安全評價指標，利用CRITIC法確定各指標的權重，采用TOPSIS法對評價指標進行SOTIF量化。

通過實車測試對各指標試驗數據進行SOTIF量化評價，獲得了在不同場景中AVP系統各階段的SOTIF得分。評價結果表明，該車AVP系統對彎道、坡道、路口巡航單獨控制較好，并能較容易地識別成年行人，但對彎道和坡道的耦合控制、兩側均存在車輛時的橫向控制能力較差，且對兒童識別能力較弱。

因此，建議該車型進一步優化橫向控制算法和感知系統對兒童的識別，強化AVP系統的SOTIF性能。此外，面對未來更復雜的測試場景，需進一步耦合更多的場景要素以構建更豐富的預期功能安全場景。

參考文獻

[1]王恒凱，杜建宇，厲健峰，等.自動代客泊車技術發展現 狀及趨勢分析[J].汽車文摘，2022（1）：52-56. WANGHK，DUJY，LIJF，etal.Analysis of theCurrent Situation and Future Trends of Automated Valet Parking Technology[J].AutomotiveDigest，2022（1）：52-56.

[2]ISO.Road Vehicles-Functional Safety： ISO 26262：2018 [S/OL]. （20218-12）[2024-10-15]. https：//www.iso.org/obp/ ui/en/#iso：std：iso：26262：-1：ed-2：v1：en.

[3]LEVESON N G.Engineering a Safer World：Systems Thinking Applied to Safety[M].Cambridge，Massachusetts，

[4] 張玉新，呂周杭，張淼，等.系統理論過程分析在自動駕 駛安全分析中的應用綜述[J].汽車文摘，2024（8）：17-25. ZHANG Y X， LU Z H， ZHANG M，et al. A Review on Application of Systems Theoretic Process Analysisin Automated Driving Safety Analysis[J].Automotive Digest， 2024（8）： 17-25.

[5]ISO.Road Vehicles—Safety of the Intended Functionality： ISO 21448：2022[S/0L]. （2022-06）[2024-10-15] https：// www.iso.org/standard/77490.html.

[6]WASSIMGN，DAVIDL S.Definition ofa Pre-Crash Scenario Typology for Vehicle Safety Research[C]// 20th International Technical Conference on the Enhanced Safety of Vehicles （ESV）.Lyon，France： ESV，2017.

[7]WILLEMSEN D， SCHMEITZ A，FUSCO M. Enabling Safe Multi-Brand Platooning for Europe[R].Den Haag， Netherlands： European Commission， 2018.

[8]MENZEL T， BAGSCHIK G，MAURER M. Scenarios for Development，Test and Validation of Automated Vehicles [C]//2018IEEEIntelligentVehiclesSymposium. Changshu， China：IEEE，2018：1821-1827.

[9] 陳浩，王紅，李維漢，等.基于行車安全場理論的預期功 能安全場景風險評估[J].汽車工程，2022，44（11）：1636- 1646. CHEN H， WANG H， LI W H， et al. Risk Assessment of Safetyof the Intended Functionality Scenes Based on Driving Safety Field Theory[J]. Automotive Engineering， 2022，44（11）： 1636-1646.

[10]王榮，孫亞夫，宋娟.自動駕駛車輛道路測試場景評價方 法與試驗驗證[J].汽車工程，2021，43（4）：620-628. WANG R，SUN YF，SONG J.Evaluation Method and Test Verification of Road Test Scenes for Autonomous Vehicles[J]. Automotive Engineering，2021，43（4）：620- 628.

[11]中國汽車工程學會.自主代客泊車系統總體技術要求： T/CSAE 156—2020[S/0L]. （2020-11-26） [2024-10-15]. https：//old-csae.sae-china.org/b132.html. China Society of Automotive Engineers.General Technical Requirements of Automated Valeted Parking Systems： T/ CSAE 156—2020[S/0L]. （2020-11-26） [2024-10-15]. https：//old-csae.sae-china.org/b132.html.

[12]季中豪，周景巖，楊天棟，等.基于實車測試的AEB系統 測試評價方法研究[J].汽車技術，2020（5）：13-20. JI ZH，ZHOUJY，YANGTD，etal.Research on Test and Evaluation Method of AEB System Based onVehicle Test[J].Automobile Technology，2020（5）：13-20.

[13] RIEDMAIER S，PONN T，LUDWIG D，et al. Survey on Scenario-Based SafetyAssessmentofAutomatedVehicles[J]. IEEE Access，2020（8）： 87456-87477.

[14]朱冰，張培興，趙健.面向多維度邏輯場景的自動駕駛安 全性聚類評價方法[J].汽車工程，2020，42（11）：1458- 1 4 6 3 + 1 5 0 5 ZHUB，ZHANGPX，ZHAOJ.A ClusteringEvaluation Methodfor Autonomous DrivingSafetyin MultiDimensional Logical Scenarios[J]. Automotive Engineering，2020，42（11）：1458-1463+1505.

[15]白先旭，左瑜，李維漢，等.自動緊急制動系統控制模塊的SOTIF量化評價[J].汽車工程，2023，45（9）：1655-1665.BAI XX， ZUO Y，LIWH， etal.Quantitative Evaluation ofSOTIF for Control Module of AEBS[J]. AutomotiveEngineering，2023，45（9）：1655-1665.

（責任編輯斛畔）修改稿收到日期為2024年10月15日。