內(nèi)容提要：本文概述了SOTIF標(biāo)準(zhǔn)中描述的SOTIF相關(guān)誤用場景以及可預(yù)見誤用(FM)的概念，并演示了為實(shí)現(xiàn)由系統(tǒng)啟動(dòng)的HD和系統(tǒng)之間的切換而產(chǎn)生的基于仿真的FM測試策略示例。

摘要

借助高級別自動(dòng)駕駛(HAD)，駕駛員可以從事與駕駛無關(guān)的任務(wù)。在系統(tǒng)出現(xiàn)失效的情況下，駕駛員應(yīng)該合理地重新獲得對自動(dòng)駕駛車輛(AV)的控制。不正確的系統(tǒng)理解可能會(huì)引起駕駛員的誤操作，并可能導(dǎo)致車輛級的危害。ISO 21448預(yù)期功能安全標(biāo)準(zhǔn)(SOTIF)將誤用定義為駕駛員以系統(tǒng)制造商不希望的方式使用系統(tǒng)。可預(yù)見的誤用(FM)意味著基于對系統(tǒng)設(shè)計(jì)和駕駛員行為的最佳理解而預(yù)期的系統(tǒng)誤用。這是提出基于仿真的FM測試的潛在動(dòng)機(jī)。關(guān)鍵挑戰(zhàn)是對SOTIF相關(guān)誤用場景進(jìn)行仿真測試。橫向?qū)Ш捷o助系統(tǒng)(TGAS)是為HAD建模的。本文中TGAS被稱為“系統(tǒng)”，駕駛員是系統(tǒng)的人工操作員。本文的重點(diǎn)是實(shí)現(xiàn)允許駕駛員與系統(tǒng)之間進(jìn)行交互的駕駛員車輛接口(DVI)。使用駕駛模擬器實(shí)施和測試派生的誤用場景，通過為駕駛員提供有關(guān)系統(tǒng)功能和狀態(tài)的明確信息，使駕駛員可以方便地感知、理解和根據(jù)信息采取行動(dòng)，從而確保系統(tǒng)的合理使用。

1.簡介

在HAD中，縱向和橫向車輛引導(dǎo)由系統(tǒng)控制。但是，當(dāng)系統(tǒng)達(dá)到其操作極限時(shí)，人類駕駛員（HD）（SAE J3016分類中稱為備用用戶）需要在合理的時(shí)間內(nèi)重新獲得駕駛控制權(quán)。每當(dāng)系統(tǒng)無法處理其運(yùn)行設(shè)計(jì)域(ODD)內(nèi)的情況時(shí)，系統(tǒng)就會(huì)發(fā)出接管請求(TOR)作為通知，指示HD立即執(zhí)行駕駛?cè)蝿?wù)。

自動(dòng)駕駛（AD）中的過渡是在HD和系統(tǒng)之間轉(zhuǎn)移責(zé)任和駕駛控制的過程和階段。轉(zhuǎn)換可以是功能的激活或停用，也可以是從一種駕駛狀態(tài)到另一種駕駛狀態(tài)的改變。根據(jù)SAE J3016分類法，當(dāng)系統(tǒng)在其ODD范圍內(nèi)運(yùn)行時(shí)，駕駛員沒有主動(dòng)角色或駕駛責(zé)任。從事與駕駛無關(guān)的任務(wù)會(huì)使駕駛員處于循環(huán)之外，這會(huì)導(dǎo)致在接管情況下返回手動(dòng)駕駛(MD)時(shí)誤用。

為確保從AD到MD的平穩(wěn)過渡，TOR必須通過精心設(shè)計(jì)的界面呈現(xiàn)。因此，必須研究駕駛員-車輛接口(DVI)設(shè)計(jì)對駕駛員與系統(tǒng)之間交互的影響，簡稱為駕駛員-系統(tǒng)交互(DSI)，以便駕駛員可以重新獲得對HAD的控制，同時(shí)阻止誤用。圖1描繪了駕駛員與系統(tǒng)的交互，以及與自動(dòng)車輛(AV)的接口方面的結(jié)合的圖形表示。SOTIF標(biāo)準(zhǔn)中的關(guān)鍵主題之一是FM，這是人機(jī)工程的重要考慮。應(yīng)該注意的是，本文側(cè)重于駕駛員的FM，并且作為測試的一部分，考慮了HAD過渡期間的人為因素，而不是相反。

圖1：駕駛員與系統(tǒng)和AV的結(jié)合：交互和界面

本文中考慮的FM因素是駕駛員的識(shí)別和判斷。因此，駕駛員的錯(cuò)誤識(shí)別和誤判是FM的原因。本文中提到的上述因素和原因在ISO 21448的信息性附錄B中被稱為人為誤用過程和引導(dǎo)詞。錯(cuò)誤識(shí)別類似于感知錯(cuò)誤，其中駕駛員對環(huán)境的感知不同于現(xiàn)實(shí)。誤判類似于決策錯(cuò)誤，駕駛員在給定情況下決定采取不正確的行動(dòng)。

本文第2節(jié)涉及與SOTIF相關(guān)的濫用場景的描述。第3節(jié)概述了實(shí)施基于仿真的FM測試的策略。第4節(jié)介紹了使用駕駛模擬器的實(shí)現(xiàn)并詳細(xì)說明了結(jié)果。最后，第5節(jié)提出了結(jié)論性意見。

2.SOTIF相關(guān)的誤用場景

SOTIF相關(guān)的誤用場景可以從獲得的知識(shí)和頭腦風(fēng)暴中推導(dǎo)出來。ISO 21448中提供了系統(tǒng)地推導(dǎo)SOTIF相關(guān)的誤用場景以支持系統(tǒng)安全分析的方法。圖2中所示的場景推導(dǎo)將駕駛員暴露在需要橫向引導(dǎo)的情況下，這種情況由高速公路環(huán)境中的自車的橫向和縱向機(jī)動(dòng)形成。本文中的自車定義為配備TGAS的AV。整個(gè)場景分為三個(gè)操作：

–從右車道變道到左車道

–從左車道超車

–從左車道變道到右車道

圖2：高速公路變道場景

表1概述了本文中考慮的衍生SOTIF相關(guān)誤用場景，符合ISO 21448附錄B中給出的示例方法。影響與FM相關(guān)的車輛級危險(xiǎn)的DSI，即車道偏離，被認(rèn)為是推導(dǎo)與SOTIF相關(guān)的誤用場景。接管定義為人類駕駛員(HD)與系統(tǒng)之間的駕駛控制權(quán)轉(zhuǎn)移。轉(zhuǎn)向不足意味著駕駛員未能為自車提供足夠的轉(zhuǎn)向輸入以跟隨車道。

表1：SOTIF相關(guān)誤用場景的描述

3.基于仿真的測試

圖3中描述的策略，按系統(tǒng)順序描述了對表1中描述的與SOTIF相關(guān)的誤用場景，執(zhí)行基于仿真的測試的步驟。根據(jù)第2節(jié)中給出的描述，場景和操作是使用IPG CarMaker建模的。TGAS通過在建模場景中提供橫向和縱向控制，來執(zhí)行自車的AD。當(dāng)系統(tǒng)達(dá)到其操作極限時(shí)，它通過發(fā)布TOR通知駕駛員。在HAD中，駕駛員在操作極限和相應(yīng)的TOR下進(jìn)行接管不是強(qiáng)制性的。預(yù)計(jì)該系統(tǒng)將保持運(yùn)行，直到駕駛員能夠重新獲得控制權(quán)。

圖3：基于仿真的測試

駕駛員可能無法在指定的接管時(shí)間內(nèi)接管駕駛控制，并且FM是預(yù)期的，將錯(cuò)誤的能力歸因于系統(tǒng)。這可能導(dǎo)致車輛偏離車道，作為車輛級危害處理。如果發(fā)生TOR，駕駛員不會(huì)接管駕駛?cè)蝿?wù)，系統(tǒng)將過渡到功能減少的AD。隨后，系統(tǒng)執(zhí)行最小風(fēng)險(xiǎn)機(jī)動(dòng)(MRM)，以將自車保持在其車道內(nèi)，并以安全的方式自動(dòng)將自車停在路邊。司機(jī)可能會(huì)被要求在MRM結(jié)束時(shí)接管。

4.實(shí)施與結(jié)果

基于仿真的測試是使用駕駛模擬器進(jìn)行的，如圖4所示，允許駕駛員在仿真測試環(huán)境中控制自車。

圖4：駕駛模擬器

駕駛模擬器配備硬件工具（Logitech G29-方向盤、踏板、變速箱）與仿真工具（IPG Car Maker）集成。使用駕駛模擬器確定駕駛員應(yīng)對包括操作限制和系統(tǒng)故障在內(nèi)的可能駕駛情況。圖5中所示的駕駛員車輛接口(DVI)旨在整合駕駛員與系統(tǒng)之間的交互。DVI設(shè)計(jì)與提供的設(shè)計(jì)指南一致。

圖5：駕駛員車輛接口(DVI)的實(shí)現(xiàn)

基于有關(guān)HAD中自動(dòng)接管請求設(shè)計(jì)的文獻(xiàn)研究，從程序、時(shí)間和模式等不同方面，TOR通過設(shè)計(jì)的DVI上的聽覺警報(bào)和視覺通知的組合來提示。HD通過按下駕駛模擬器方向盤上的按鈕來接管駕駛控制。可以想象，HD可能會(huì)參與FM，特別是如果HD確信HAD運(yùn)行實(shí)際上完美無缺，能夠采取安全的駕駛操作來防止駕駛環(huán)境中的車輛級危險(xiǎn)。

當(dāng)前實(shí)施的一個(gè)限制是使用的是靜態(tài)駕駛模擬器，其中無法體驗(yàn)運(yùn)動(dòng)觸覺。然而，實(shí)施的DVI通過向駕駛員提供同步的聽覺警報(bào)和視覺通知，以及有關(guān)系統(tǒng)功能和操作狀態(tài)的支持信息，更容易將駕駛員的工作量保持在可接受的水平。

5.結(jié)論和未來工作

當(dāng)使用高度自動(dòng)駕駛（HAD）行駛時(shí)，允許人類駕駛員(HD)從事與駕駛無關(guān)的任務(wù)。預(yù)計(jì)系統(tǒng)誤用的可能性更高。本文概述了SOTIF標(biāo)準(zhǔn)中描述的SOTIF相關(guān)誤用場景以及可預(yù)見誤用(FM)的概念，并演示了為實(shí)現(xiàn)由系統(tǒng)啟動(dòng)的HD和系統(tǒng)之間的切換而產(chǎn)生的基于仿真的FM測試策略示例。應(yīng)該注意的是，第4節(jié)中所示的實(shí)施旨在演示基于仿真的FM測試方法，而不是專門用于緩解FM的獨(dú)特或最佳措施。本文的重要性在于它通過結(jié)合DVI和DSI的概念，增加了對影響FM的因素和原因的理解，并將其應(yīng)用于與SOTIF相關(guān)的誤用場景。

基本前提是合并和管理所有驅(qū)動(dòng)程序和系統(tǒng)交互。基于仿真的測試方法被應(yīng)用于調(diào)查駕駛員導(dǎo)致FM的因素并減輕其原因。本文簡要描述了DSI和DVI的結(jié)合以解決FM，但尚未進(jìn)行評估。考慮到HAD中HD接管的各個(gè)方面，未來工作的下一步將是表征和量化DSI。分析駕駛員不當(dāng)交互的系統(tǒng)規(guī)范是一項(xiàng)頭腦風(fēng)暴任務(wù)。還有一種可能的分析方法是系統(tǒng)理論過程分析(STPA)，其目的是在沒有系統(tǒng)失效的情況下識(shí)別危害的相互作用。建議在未來的工作中通過STPA識(shí)別影響FM的因素，以及針對所描述的與SOTIF相關(guān)的誤用場景采取緩解措施以防止FM。所提出方法的應(yīng)用是展示DVI和DSI的概念，如何與FM相互關(guān)聯(lián)。可以就如何采用DVI設(shè)計(jì)、TOR呈現(xiàn)方式、驅(qū)動(dòng)器與系統(tǒng)的不當(dāng)交互來應(yīng)對可能影響HAD功能的風(fēng)險(xiǎn)挑戰(zhàn)提出建議。

培訓(xùn)課程咨詢及報(bào)名，添加牛小喀微信：NewCarRen

作者：牛喀網(wǎng)專欄作者
牛喀網(wǎng)文章，未經(jīng)授權(quán)不得轉(zhuǎn)載！