基于SOTIF 的车道保持辅助系统架构设计

2023-07-12高瑞芳

南方农机 2023年14期

高瑞芳

（河南科技职业大学汽车工程学院，河南周口 466000）

0 引言

在汽车智能化、电子化、电气自动化的时代，自动驾驶技术快速发展，但存在不安全因素，导致故障，这些故障源于车辆电子电气系统的不断复杂化。系统的复杂程度就决定了系统可能出现问题的概率，传感器和执行器及控制算法在无故障时，其态势感知能力（Situational Awareness）在一些工况下有可能威胁安全[1]。那么看来，其安全风险不仅来自系统的功能故障，也有一部分来自系统的功能性局限或驾驶员误操作而产生的非失效风险。为弥补这种需求，国际标准化组织在ISO 26262《道路车辆功能安全》（Road vehicles—Functional safety）[2]的基础上，于2015 年启动了用于指导自动驾驶车辆非失效安全技术开发的ISO/PAS 21448《道路车辆预期功能安全》（Road vehicles—Safety of the intended functionality）[3]的制定。在ISO 26262 中提出功能安全这个概念，其目的在于减少不合理危害事故的发生，且这些事故是由电子电气系统故障导致的[4]，但如果设备没有发生故障而仅仅是功能受限，那就不属于功能安全的范畴。即使系统没有发生故障，仍然会因为当前技术的局限性而导致不能被接受的危害。目前，人们的主要关注热点是自动驾驶系统中的感知系统以及执行系统可能存在的功能不足，各系统中算法的缺陷问题，人机交互界面操作失误等安全问题，这些问题会给驾乘人员以及交通参与者带来健康和财产威胁。

2020 年6 月，联合国欧洲经济委员会（UNECE）颁布了第一个L2 级以上的《ALKS 车道自动保持系统条例》，是有关LKAS 的许可法规[5]。在该法规中明确指出LKAS 必须将功能安全标准放在第一位。因此，对功能安全问题进行全面细致的研究，确保自动驾驶系统的设计符合预期功能安全的标准，是推动驾驶技术发展的关键一步。

1 SOTIF概述

预期功能安全（SOTIF）所强调的是把由于预期功能性能限制所造成的不合理风险避免掉[6]。“功能性能限制”一般表现在三个方面：传感器感知限制导致对驾驶场景的错误识别（包括对驾驶员误操作的漏识别）；深度学习不足导致错误决策控制（包括对驾驶员误操作的误响应）；执行器功能限制导致与理想目标偏离。SOTIF 解决问题的基本思路是：首先运用安全分析方法将危险场景识别出来，然后根据危险场景制定应对策略，再对此场景进行仿真验证或实车测试，最后根据实验结果再次优化。从源头提升自动驾驶汽车安全水平，对自动驾驶技术的开发具有缩短测试里程、节省开发费用、加快开发速度等重要的指导意义。对于高级驾驶辅助系统ADAS（Advanced Driving Assistance System, ADAS）[7]，安全性更为重要。对于很多车辆都具备的车道保持辅助系统（Lane Keeping Assist System, LKAS），在使用过程中仍然存在功能局限，且人性化、智能化水平不足，功能局限所带来的不安全因素是应在设计过程中避免的，以降低后期使用过程中故障发生的概率，提高可靠性，快速推进自动驾驶技术的发展。

ISO/PAS 21448 在基于ISO 26262 的架构设计中增加了与SOTIF 相关的危险识别与评估、识别和评估危险触发事故、通过修改功能或限制改进系统设计以降低SOTIF 风险、SOTIF 验证和验证设计的充分性。并增加了场景的识别，ISO/PAS 21448 将场景分为4 个区域，分别是：已知安全场景1、已知不安全场景2、未知不安全场景3 和未知安全场景4[8]。由此可以看出，区域1 和4 是没有风险的，区域2 和3 有风险，那么区域2 和3 是SOTIF 需要考虑的领域。要想有效避免风险，对场景进行识别和分类是首先要做的，将已知和未知的安全场景和触发安全问题的场景确定出来。在SOTIF 的方法论中，主要目的是使区域1 尽量最大化，区域2 最小化，增大已知和未知安全场景，减少不必要的危害场景[9]。SOTIF 流程关于区域1、2、3 以及相关场景的目标是：区域1 扩大或维持不变，同时缩小区域2、3，这样可以保持或提高安全性；区域2 有技术措施的区域被缩小到一个较小的可接受范围，统计显著性水平必须与技术措施的相对影响相一致。通过对潜在风险的评估，在需要的时候要采取措施将危险情况转移到区域1；区域3 尽可能地最小化当前区域，缩小到可接受的范围（每个检测到的危险情况都转移到区域2）。具体情景类别转变如图1所示。

图1 ISO/PAS 21448 活动产生的情景类别的演变

图2 展示了改进预期功能以确保其安全的流程图，该过程以5 功能和系统规范的定义为首，6 是将潜在的（包括预期功能可能存在的）危险事故识别出来。若证明危险事故未使系统发生危险，则无需改进。如果被证明会引起危险，则7 对潜在危险触发事故，如在某些环境条件下对某些物体的错误检测或驾驶员的误用进行分析。6 和7 涉及SOTIF 的不同方面，6 仅考虑其对安全的影响，未将潜在风险的原因考虑在内，7 则是对潜在风险进行因果分析。所以说6 的目的是评估可能引起的危险事件并制定验证各确认的目标。8 是通过应用用例改良或限制来降低由此产生的风险，并通过9、10、11验证和确认。9是运用验证和确认策略证明剩余风险低于接受水平。在10、11的分析中导出对应的验证和确定的测试用例。最后，12根据测试和验证的结果评估剩余风险，如果风险不可接受，则需要重复8，即对用例进行进一步的功能改进或限制。此类验证和确认策略可以包括模型在环（MIL）、软件在环（SIL）、硬件在环（HIL）、测试跟踪实验、专用分析、长期耐久性测试或其他方法[3]。该流程考虑的出现非预期行为的原因可能与传感器性能、算法处理、触发及其对正在开发的功能的实现紧密相关。因此，该流程适用于车辆、系统和部件级别。类似地，功能性整体系统架构的选择成为确保SOTIF的主要焦点，并为确保整体能力，在早期和整个功能开发生命周期中采取适当的行动。可通过该流程进行系统的设计、潜在危险的识别、功能的改进和完善、风险的降低等，提高车辆或系统的可靠性并降低失效风险。

图2 SOTIF流程图

2 LKAS功能定义

LKAS 是高级驾驶辅助系统[10]的重要组成，它在危险情况下警告或帮助驾驶员避免事故。车道保持辅助系统是通过传感器获取车辆的位置信息、车道线信息以及车辆状态信息，实时将车辆所在位置与车道线的位置进行对比分析，当车辆即将偏离或偏离车道线时，LKAS 会采取相关措施发出警告或纠正车辆的偏离运动状态。LKAS 属于车辆主动安全系统，为车辆提供横向辅助控制。

1）目标。环境感知层、决策规划层和控制执行层组成了自动驾驶系统。车道保持辅助系统是自动驾驶系统的重要成员之一，也是实现全自动驾驶的关键要素。系统通过传感器将车道线、车辆状态等相关信息传递到控制中心，通过信息判断车辆是否在目标车道内，若不在目标车道内，则由车道保持辅助系统发出指令主动控制车辆驶回原车道[11]。该系统是能够主动检测车辆横向偏差并协调转向系统控制的系统，可以实现车辆纠偏，提高驾驶安全性。车道保持辅助系统主要由信息采集单元、电子控制单元和执行单元组成。LKAS的具体配置如表1所示。

表1 LKAS的具体配置

2）功能描述。信息采集单元由车辆传感器组成，应能够在允许的使用范围内检测道路目标、交通标识、可行驶区域的分割以及车辆状态[12]。目标检测应尽早完成，以便车辆能够安全地执行后续任务。摄像头传感器是目前车辆上不可或缺的感知部件并且是L3 等级以上常用的传感器，通过时刻采集图片，经过分析得出障碍物以及车道线信息，并在自动驾驶系统上配备不同功能的感知传感器。毫米波雷达可以穿透任何坏天气，且能够24 h 持续工作，具有这样的优点使其成为自动驾驶车辆上必备的主要传感器。毫米波雷达的主要功用是实现车辆检测障碍物和驾驶环境识别。毫米波雷达工作在毫米波段，它通过天线发射毫米波并接收反射的目标信号，通过反射时间、毫米波频率的变化及相位差可快速准确地获得车体与其他物体各种信息，然后由中央处理器（ECU）进行信息处理和决策控制。方向盘转角传感器和横纵向加速度传感器是LKAS 对车辆状态检测的重要传感器，可以感知车辆当前是否处于加速状态以及横向稳定性和当前方向盘转角的大小，从而便于控制指令的下发。感知系统的主要目标是将所有传感器测量值合并为周围世界的一致表示。除了表示所有已知的障碍之外，感知系统还需要为许多用例提供未知的概念。感知系统使用来自路面的测量值和其他线索（如检测到的障碍物的位置）来确定自由空间。由上述功能定义可知，当LKAS 实现功能时，其过程可以描述为：信息采集单元采集车辆状态以及驾驶环境信息，并将信息传递给电子控制单元，由控制单元进行解析计算然后下发控制指令，由车辆的执行单元实现车辆的转向、制动、加速等运动，如此循环，完成动态驾驶任务[13]。电子控制单元是自动驾驶控制的关键部件，将传感器或其他装置的输入信号接收后并将其进行转化，转化为ECU 能够接收的信号，然后ECU 发出指令控制执行器。基于这个功能定义，实现电子控制单元功能的过程描述为：电子控制单元根据信息采集单元所传递的信息，包括感知传感器和车辆动态传感器传递的信息，感知算法进行解读，获得车辆的状态信息以及驾驶环境和车道线信息，通过这些信息进行决策规划如何实施行动，并将决策规划传递给控制算法，通过控制算法下发控制指令。执行单元是车辆的基础系统，包括传动系统、转向系统和制动系统，实现车辆的前进、后退、转向、加速、减速、制动等。执行单元通过电子控制单元下发的控制指令实现对车辆的加速、转向或制动控制。

3）可能的功能局限。感知系统中主要元件是摄像头传感器，通常安装在前视挡风玻璃上，从挡风玻璃后面朝前设置。通过时刻提供图像，记录车道标记，并且检测车辆在车道上的位置。系统架构可以使用单摄像机（单视）或双摄像机（立体）。单视摄像机可以提供目标检测，但通常不支持可靠地确定到目标的距离。立体摄像机可以更可靠地确定到物体的距离。典型相机限制的示例包括低能见度条件、低对比度、视野限制、缺少车道标记或地标。毫米波雷达可能存在的功能限制是在雨、雾、雨夹雪等高湿度环境下其功能会衰退，以及强大器件植入降低了毫米波雷达的探测范围。与微波相比，对密集灌木丛的穿透力较低、能力较差。方向盘转角传感器一般是根据光电编码来确定角度的，由于机械振动等原因，发射装置或接收装置可能会出现错位或角度偏差，使接收装置无法可靠地产生电信号，还会受到场所的各式各样的电磁干扰，干扰光电检测装置，使光电检测装置的输出波形失真，导致系统故障或引起生产事故。横纵向加速度传感器可能存在的功能限制是微机械式传感器可能会随着时间的增加而出现磨损、接触不良、测量不准确等问题。

3 基于SOTIF的LKAS架构

系统设计时，应将在功能和系统规范中列出的与预期功能安全相关的算法或元素的性能限制考虑进去，并在需要时采取措施，以降低对整个系统的影响。具体而言，设计包括考虑系统限制，这些限制可能导致高置信度报告错误而影响子系统输出值（设计可能忽略低置信度值），并可能导致未知危险行为的发生。限制的示例有错误的分类、测量、跟踪、检测、目标选择、运动估计等。最后确定的系统架构应将单个组件、技术和系统的限制考虑进来，从而保障系统的可靠性。将SOTIF 集成到功能和系统规范中，减小区域2 和区域3 的大小，提高整个系统的可靠性可以通过将区域1 的面积增大的方式。区域3 仅当与原始系统设计相关的对策不完整或不适用于新用例时，测试才用于检测新问题。在进行设计的时候只有将这些系统和部件的限制考虑在内，才能更好地提高系统的预期功能安全的能力。

基于LKAS 系统组成的功能限制，将感知系统中的组成增多，将摄像头传感器和毫米波雷达集成，弥补彼此的短处，并通过显示装置将控制模块的具体工作状态展示出来，即可及时关注LKAS 的控制状态。并设置LKAS 功能开关，一旦出现问题可强制关闭LKAS，提高控制算法的可靠性，从而可以减少事故的发生。基于这些问题的考虑进行LKAS架构设计。

根据上述的功能定义、系统描述以及典型限制，并确保将SOTIF 考虑在内，避免在使用过程中非预期功能限制的出现，增大已知或未知安全区域，从而优化LKAS 的功能架构，提高功能的可靠性以及鲁棒性。具体架构如图3 所示。