摘要

本文簡要概述了 ISO 26262 和 ISO 21448 兩項標準及其所定義的安全生命周期，提出了一種基于道路場景統計數據的技術需求制定方法，探討了利用交通數據改進自動駕駛汽車安全生命周期的可能性，并簡要闡述了將交通場景融入安全生命周期的實施前景。

1. 引言

自Henry Ford推出流水線生產以來，汽車行業或許正經歷最為重大的變革。在過去的一百年里，工程師們一直致力于改進有人駕駛汽車；如今，行業發展方向正在轉變 —— 越來越多的系統開始接管此前由人類駕駛員執行的功能，這類系統被稱為駕駛輔助系統（DAS）。目前已開發并批量應用的駕駛輔助系統包括自動緊急制動系統（AEB）、車道保持輔助系統（ LKA）、交通標志輔助系統（SAS） 以及其他多種系統。

然而，汽車制造商并未局限于駕駛輔助系統的研發。例如，美國特斯拉汽車公司（Tesla Motors）開發了 “自動駕駛”（Autopilot）系統（圖 1A）。該公司表示，在某些情況下，該系統可完全接管車輛控制權；其他汽車制造商也在研發類似系統 。

自動駕駛技術廣泛應用的主要障礙是安全問題。搭載已激活自動駕駛系統的特斯拉汽車已發生多起事故（圖 1B），其他制造商的車輛（如優步（Uber）旗下車輛）也出現過類似事故。根據美國致命事故分析報告系統（ FARS）的數據，已有 7 人在自動駕駛汽車事故中喪生。特斯拉汽車每行駛 100 公里的死亡人數指標高于同級別汽車的平均水平（p<0.05）。對各類事故的調查證實了自動駕駛技術存在潛在危害。

業界認為，針對自動駕駛系統與非自動駕駛系統在公共道路上運行所面臨的安全威脅，其應對方法存在差異。

圖 1 :激活自動駕駛系統的特斯拉 Model S 汽車 A -正常運行的“自動駕駛”系統 B-2018年1月在美國加利福尼亞州卡爾弗城發生的、由自動駕駛系統引發的與消防車碰撞事故

2. 自動駕駛系統：安全生命周期方法

用于車輛系統研發的安全方法，無法完全保護乘客、駕駛員及其他道路使用者免受自動駕駛汽車在公共道路上運行所帶來的危害。ISO 26262 是車輛系統安全領域的標準，但它并未涵蓋與系統組件失效無直接關聯的危害。

新制定的 ISO 21448 標準《預期功能安全》則針對由環境因素引發的危害。這類環境因素包括例如光照（光照會影響基于攝像頭的系統的功能）；此外，該標準還涵蓋了駕駛員或車輛操作者無意犯下的操作失誤。ISO 26262 與 ISO 21448 的區別如圖 2 所示。

圖 2 :車輛系統安全保障方法

系統組件的失效模式數量是有限的，但考慮到參數化的不同變體，各類交通場景的數量卻是無限的。因此，ISO 26262 中規定的方法（歸納與演繹系統分析、規范測試與驗證）無法完全滿足自動駕駛（AD）系統和駕駛輔助（ADAS）系統的安全需求。文獻中對依據 ISO 26262 和 ISO 21448 制定的安全生命周期進行了對比，同時也給出了用于描述交通場景的 “場景” 定義。在下一部分中，我們將探討 0 級自動駕駛系統與更高級別自動駕駛系統在危害分析方面的差異。

3. 研究方法

3.1 危害分析

根據 ISO 26262 和 ISO 21448 標準的定義，危害是潛在的風險來源。危害分析與風險評估（HARA）的目的在于識別和分類與所分析系統運行相關的危害，并確定應對這些危害所需的安全目標。

3.1.1 非自動駕駛系統

依據 ISO 26262-3 標準，非自動駕駛系統的危害分析與風險評估（HARA）按照圖 3 所示的流程進行。

圖 3: 非自動駕駛系統的危害分析

在該流程中，f 代表所研究系統的功能列表，M 代表功能故障（失效）列表。通過分析車輛在不同場景下出現不同類型故障時的表現，確定可能產生的負面后果；隨后，根據后果的嚴重程度（Severity, S）、駕駛員和乘客處于可能發生該后果狀態下的時間（暴露時間，Exposure, E）以及駕駛員避免該后果的能力（可控性，Controllability, C），對這些后果進行分類。接著，利用 ISO 26262-3 標準中的表格確定適用于所選場景下該失效的汽車安全完整性等級（ASIL）。分析的最終結果是一份帶有相應 ASIL 等級的安全目標列表。在此過程中，場景采用自然語言描述，對嚴重程度（S）、暴露時間（E）和可控性（C）的分類則基于評估得出。

3.1.2 自動駕駛系統的額外考量因素

對于由組件失效引發的自動駕駛系統危害，其危害分析與風險評估（HARA）流程與非自動駕駛系統相同（見圖 2）。但由于可能導致自動駕駛系統失效的事件種類更為多樣，對嚴重程度（S）、暴露時間（E）和可控性（C）參數進行分類，以及確定統一的 ASIL 等級已不再具有實際意義。取而代之的是，需確定不同嚴重程度后果的發生概率，并將其與事故統計數據進行對比。若自動駕駛系統在運行過程中，嚴重后果的總體發生概率未上升，則認為該系統是安全的。

為確定特定負面后果的發生概率，研究采用了基于參數化場景的蒙特卡洛模擬法。

3.2 場景參數化

根據 ISO GTC 21448 標準的規定，場景定義應包含以下信息：

· 場景環境（關于周邊物體的信息）

· 動態元素（其他車輛、行人、騎行者等）

· 靜態元素（道路基礎設施、樹木等）

· 在場景執行過程中發生的動作與事件

· 定義場景安全性、駕駛質量、是否符合道路交通法規要求的目標與指標，以及其他評估因素（關鍵績效指標，KPI）

場景環境中的靜態元素和動態元素由數值參數確定。這些參數無法明確指定，它們具有一定的概率分布。例如，我們考慮這樣一個場景：兩輛汽車在直線路段上同向跟馳行駛（圖 4）。該場景對于自動緊急制動系統（AEB）的設計具有重要意義。

圖 4 “車輛跟馳” 場景

圖 4 所示場景的具體情況如下：在直線路段上，兩輛汽車以距離 d 同向、同速 v 行駛，前方車輛搭載有自動緊急制動系統（AEB）。在某一時刻 t?，前方車輛的 AEB 系統被激活，車輛以最大負加速度（制動加速度）a 進行制動。該場景下的負面后果是，后方車輛可能會與前方車輛發生碰撞 —— 因為后方車輛的駕駛員可能無法對前方車輛速度的突然變化做出及時反應，而此類碰撞可能導致人員傷亡。

假設兩輛車的最大制動加速度相同。由于駕駛員存在反應延遲，后方車輛在前方車輛開始制動后的 τ 時間才開始制動。后方車輛開始制動后，兩車之間的距離可通過以下公式計算：

碰撞時間（即 d (t) 變為 0 的時刻）可通過以下公式計算：

碰撞瞬間兩車的速度差 Δv = aτ。該速度差決定了碰撞過程中兩輛車的駕駛員和乘客所受傷害的嚴重程度。

3.3 概率建模

根據交通數據，已明確駕駛員對突發場景變化的反應時間（τ）以及時間距離 d? = d/v 的分布情況，相應的分布如圖 5 所示。

圖5：模型參數的分布

假設負加速度（制動加速度）a 為恒定值，且 a = 9 m/s2。

研究采用基于馬爾可夫性的蒙特卡洛模擬法，即每一組后續的隨機變量都與之前的結果無關；此外，將隨機變量 d?和 τ 視為相互獨立的變量。

A. 跟馳時間距離 d?（中位數 = 1.2 秒，85 百分位數 = 1.6 秒）

B. 駕駛員反應時間 τ（中位數 = 0.97 秒，85 百分位數 = 1.6 秒）

（圖 A、B 橫坐標均為時間（秒），縱坐標為數量；圖 A 時間范圍為 0.5-3.5 秒，縱坐標范圍為 0-600；圖 B 時間范圍為 0.5-3.5 秒，縱坐標范圍為 0-600）。

4. 研究結果

通過建模，研究得出了初始速度與各類負面后果發生概率之間的關系。可能出現的結果包括：避免碰撞或無人員受傷的碰撞（依據 ISO 26262 分類標準，屬于 S0 級）、輕度傷害（S1 級）、中度傷害（S2 級）以及重度傷害（包括致命傷害，S3 級）。建模結果以圖形形式呈現于圖 6 中。

圖 6 :各類負面后果的發生概率（建模結果，p&lt;0.001）

（橫坐標為初始速度 v（米 / 秒），范圍為 0-80；縱坐標為碰撞概率 P（%），范圍為 0%-100%；圖例中：No collision or S0 - 無碰撞或 S0 級傷害，S1-S1 級傷害，S2-S2 級傷害，S3-S3 級傷害）。

利用 ISO 26262-3 標準中的風險圖可確定，在該場景下，所需的綜合安全等級為 ASIL B 級。降低該安全等級的方法有多種：一種方法是將 AEB 系統的激活最大速度降至 20 米 / 秒；另一種方法是對系統進行改進，當搭載該系統的車輛后方存在以危害距離跟馳的車輛時，自動緊急制動（AEB）系統將停用 —— 這需要安裝額外的傳感器和軟件組件。

上述結果描述的是有人駕駛車輛的情況，可將其作為制定自動駕駛車輛技術規范的基準。可以認為，為降低在所述場景下的人員受傷率和死亡率，自動駕駛車輛的反應時間需短于人類駕駛員。若在檢測到符合所述場景的情況時，無法實現更短的反應時間，自動駕駛車輛則必須啟動規避運行。而研發此類規避運行，需要考慮更多場景，并開展與本文所討論類似的模擬分析。

5. 結論

本文提出了一種基于參數化交通場景的自動駕駛車輛控制系統需求提取方法。研究選取 “車輛跟馳” 場景（圖 4）作為示例，采用跟馳時間距離 d?和駕駛員反應時間 τ 兩個參數對該場景進行參數化處理。基于現有統計數據，為這兩個參數建立了概率分布（圖 5）；隨后通過蒙特卡洛模擬，得出了 “車輛跟馳” 場景下各類可能負面后果的發生概率（圖 6）。

需指出的是，在實際情況中，參數 d?和 τ 似乎相互關聯，且均與車速相關。例如，反應時間較長的駕駛員（如老年人）相比反應靈敏的駕駛員（如年輕的跑車駕駛員），更可能保持較長的跟馳距離；此外，當交通流量減少時，道路上車輛之間的距離通常會縮短。因此，有必要改進模擬方法，以考慮這些參數間的相關性。

本文中的場景構建、參數化處理、參數分布建立及模擬分析均使用 MathWorks MATLAB 和 Microsoft Excel 軟件完成。隨著所研究系統自動駕駛等級的提升，需模擬的場景數量會迅速增加。未來，有必要采用形式化或半形式化語言來描述場景，并開發一種解釋器 —— 該解釋器需能以適用于模擬軟件的形式，自動構建所需的模型和分布。