周銳　魏亞　孫佳優(yōu)

摘 要：文章通過對當(dāng)前自動駕駛安全問題的敘述分析，提出一種面向復(fù)雜特定場景的自動駕駛功能安全分析方法，闡述場景分析-危險分析-ASIL等級確認(rèn)-目標(biāo)及需求確定這一分析流程，最后選取無人礦山自動駕駛礦卡排土作業(yè)這一復(fù)雜特定場景為例進(jìn)行功能安全分析，得出適用于此場景的功能安全策略。

關(guān)鍵詞：自動駕駛 功能安全 復(fù)雜場景 無人礦山

Research on Functional Safety of Autonomous Driving for Complex and Specific Scenarios

Zhou Rui Wei Ya Sun Jiayou

Abstract：Through the narrative analysis of current autonomous driving safety issues， this paper proposes a functional safety analysis method for autonomous driving for complex and specific scenarios， and expounds the analysis process of scenario analysis-hazard analysis-ASIL level confirmation-target and demand determination. Finally， taking the complex and specific scene of self-driving mine truck dumping operation in unmanned mines as an example， the article carries out functional safety analysis， and a functional safety strategy suitable for this scene is obtained.

Key words：autonomous driving， functional safety， complex scene， unmanned mine

1 引言

從當(dāng)前情況來看，自動駕駛汽車已完成功能實現(xiàn)階段指標(biāo)，但是在安全保障方面仍存在制約其產(chǎn)業(yè)應(yīng)用的難題，尤其是在礦山、港口等率先投入產(chǎn)業(yè)化運營的復(fù)雜特定場景下，如何能夠在保障自動駕駛系統(tǒng)功能定義需求實現(xiàn)的基礎(chǔ)上，通過科學(xué)的技術(shù)手段與流程把控保障其系統(tǒng)的功能安全成為影響自動駕駛產(chǎn)業(yè)未來發(fā)展的重要科學(xué)問題。同時考慮到L3-L5級別自動駕駛系統(tǒng)和傳統(tǒng)的ADAS系統(tǒng)（L1-L2級別）在功能的要求上有很大的區(qū)別，所以也對復(fù)雜特定場景下的自動駕駛系統(tǒng)（多為L3-L5級別）的功能安全研究提出了新的挑戰(zhàn)。

2 面向復(fù)雜特定場景的自動駕駛功能安全方法

功能安全是通過技術(shù)和流程上的安全措施，在汽車的整個生命周期內(nèi)保障對由汽車的電子電器功能失效或者錯誤引起的有可能對人身照成傷害的安全風(fēng)險處在可接受的范圍之內(nèi)。[1]以下為L3-L5系統(tǒng)在功能安全領(lǐng)域所需要考慮的特別之處：

L3-L5的自動駕駛系統(tǒng)比傳統(tǒng)的ADAS系統(tǒng)所面臨的場景更加復(fù)雜。傳統(tǒng)的ADAS系統(tǒng)所需要考慮的場景往往相對單一，對駕駛員進(jìn)行輔助;而高級別的自動駕駛系統(tǒng)需要考慮到其ODD（Operational Design Domain）范圍內(nèi)的所有場景，在這些場景中，自動駕駛系統(tǒng)必須能夠完全的代替人來操控車輛。更加復(fù)雜的場景會導(dǎo)致系統(tǒng)需要考慮更多的Hazard Situation（危險狀況），相應(yīng)的產(chǎn)生更多的功能安全需求。

L3-L5自動駕駛系統(tǒng)要求車輛擁有線控系統(tǒng)。汽車線控系統(tǒng)就是將駕駛員的操縱動作經(jīng)過傳感器變成電信號，通過電纜直接傳輸?shù)綀?zhí)行機(jī)構(gòu)的一種系統(tǒng)。而線控系統(tǒng)本身就擁有很高級別的功能安全需求，要保障整個系統(tǒng)的功能安全，首先就必須保障線控系統(tǒng)的功能安全。

ECU（Electronic Control Unit）隨著自動駕駛系統(tǒng)的級別越來越高，會由分布式向集中式發(fā)展，傳統(tǒng)ADAS系統(tǒng)中各個輔助功能所需要的ECU相對獨立，系統(tǒng)之間的交互耦合度相對較低;高級別自動駕駛所需求的集中式ECU功能更加集中，系統(tǒng)復(fù)雜度和耦合度更高，無論從硬件還是軟件方面都對功能安全提出了更高的要求。

從傳統(tǒng)ADAS系統(tǒng)到高級別自動駕駛，從人類駕駛員在回路到人類駕駛員不在回路，從在操控系統(tǒng)主導(dǎo)作用到需要駕駛員緊急接管再到完全不需要介入，這也為功能安全提出了新一個層次的任務(wù)。

接下來研究者會按照實現(xiàn)功能安全步驟具體分析L3-L5自動駕駛系統(tǒng)為了達(dá)到功能安全需求所需要的方法。

2.1 場景分析

為了得到功能安全需求，首先要對系統(tǒng)的場景進(jìn)行分析，得到系統(tǒng)的所會面臨的危險狀況。那么如何有條理的對場景進(jìn)行分解和歸類，就成為達(dá)到功能安全目標(biāo)的第一步。如下圖所示，研究者借鑒德國的PEGASUS項目（無人駕駛汽車 - 確保道路安全項目）中提出的場景分析方法：

為了能夠遍歷在系統(tǒng)定義的ODD范圍內(nèi)的場景，然后分析出所有場景中可能包含的危險狀況，需要對場景進(jìn)行分析。這些場景分析來自于以下這些方面：

來源于法律規(guī)定，標(biāo)準(zhǔn)要求，以及業(yè)內(nèi)先驗性知識的場景需求，這一類場景的描述比較清晰，只需要簡單的對場景進(jìn)行分析，就能夠?qū)С鱿鄳?yīng)的危險狀況。

來源于真實路況駕駛測試的場景。這一類場景由于每個自動駕駛公司對自己的數(shù)據(jù)的保密，往往是比較難以得到的，但是該類場景又是做場景分析中最直接，最重要的部分。

來源于仿真測試的場景。這類場景的數(shù)量是最多的，通過大量的仿真可以用較小的成本得到自動駕駛系統(tǒng)所需要面臨的危險狀況。

FOT（Field Operational Test，道路運行測試）/NDS（Naturalistic Driving Study，自然駕駛研究）。該類場景目前在中國尚未建立相關(guān)的數(shù)據(jù)庫。

事故分析。顯而易見，這類數(shù)據(jù)是最直接的，也是功能安全場景分析中最需要的。

2.2 危險分析

有了場景分析，接下來就需要對危險狀況進(jìn)行分析，對于高級別自動駕駛的危險狀況分析，F(xiàn)TA（Fault Tree Analysis，事故樹分析方法）是一種非常有效的方法。FTA是由上往下的演繹式失效分析法，利用布林邏輯組合低階事件，分析系統(tǒng)中不希望出現(xiàn)的狀態(tài)。故障樹分析主要用在安全工程以及可靠度工程的領(lǐng)域，用來了解系統(tǒng)失效的原因，并且找到最好的方式降低風(fēng)險，或是確認(rèn)某一安全事故或是特定系統(tǒng)失效的發(fā)生率。[2]下圖為自動駕駛中對于“自轉(zhuǎn)向”這一事件的FTA例子。

2.3 ASIL等級確認(rèn)

在進(jìn)行了危險分析后，我們能得到相應(yīng)了危險狀況（Hazard Situation），我們還需要對這些危險狀況的危險程度進(jìn)行評級，方便按照該等級進(jìn)行不同程度的應(yīng)對。這里需要用到ASIL等級（Automotive Safety Integrity Level，汽車安全等級）概念。為了更好的進(jìn)行解釋，這里需要引入幾個ISO26262中定義的幾個概念[4]：

Exposure（E）：是指故障發(fā)生的時長占平均時長的比例，用來表征故障發(fā)生的概率的大小，E越大則故障發(fā)生的概率越大。

Severity（S）：是指故障的嚴(yán)重程度。S值越大則故障越嚴(yán)重。

Controllability（C）：是指故障發(fā)生以后，駕駛員是否可以人為的對故障狀態(tài)加以控制。C值越大則越難以控制。

當(dāng)對每個危險狀況的E，S，C值進(jìn)行定義了之后，就能夠?qū)ο到y(tǒng)特定功能的ASIL等級進(jìn)行確認(rèn)。對于高級別的自動駕駛系統(tǒng)，E和S值的確認(rèn)相對簡單，但是由于L4，L5的自動駕駛系統(tǒng)人類駕駛員不在回路中，所以其發(fā)送事故后基本不可控，C值的定義成為一個難點。按照C值的原始定義，我們可以把所有L4，L5級自動駕駛系統(tǒng)的C等級直接設(shè)置為最高的C3。這樣做就帶來一個問題，即不同故障狀態(tài)的可控度沒有區(qū)分，這種方式直接把可控度低的危險和可控度高的危險作為同等可控度進(jìn)行處理，違背了ASIL等級定義的原意。

為了解決這一問題，本文提出一種新的高級別自動駕駛的C的定義方式，即是指故障發(fā)生以后，系統(tǒng)進(jìn)入MRC（Minimal Risk Condition最后的安全措施）的可控程度。MRC是指當(dāng)系統(tǒng)所有措施都采取后依然不能繼續(xù)安全工作后所采取的最后措施，可以是“駕駛員接管”（對L3自動駕駛），“靠邊停車，同時乘客能夠從自動駕駛車輛中走出到安全區(qū)域”或者“遠(yuǎn)程駕駛員遙控駕駛”。使用該定義方式，我們就能夠?qū)Ω叩燃壸詣玉{駛系統(tǒng)的C值進(jìn)行很好的量化區(qū)分。

2.4 功能安全目標(biāo)和功能安全需求確定

當(dāng)我們對所有的危險狀況確定了不同的ASIL等級后，需要對應(yīng)這些ASIL等級確定不同的功能安全目標(biāo)，ASIL等級越高，所要求的功能安全目標(biāo)越高。有了確定的功能安全目標(biāo)，就可以從中導(dǎo)出功能安全需求，把功能安全需求在和具體的硬件設(shè)計，軟件設(shè)計向結(jié)合，就能導(dǎo)出最后我們系統(tǒng)所需的軟硬件的功能安全方面的技術(shù)需求。

對于高級別自動駕駛功能安全目標(biāo)的確定和傳統(tǒng)ADAS系統(tǒng)的區(qū)別在于高級別自動駕駛系統(tǒng)的功能安全目標(biāo)會設(shè)置的更高。如下圖所示，傳統(tǒng)ADAS系統(tǒng)的功能安全目標(biāo)更多的強(qiáng)調(diào)Fail Safe（失效安全），即系統(tǒng)即使有特定失效下，也不會造成對人員或其他設(shè)備的傷害。而高級別自動駕駛更加傾向于Fail Operational（失效可操作），即在其重要或主要系統(tǒng)損壞時，仍可正常完成正常或最終的重要動作。這是因為高級別自動駕駛系統(tǒng)沒有了駕駛員的介入，要求功能安全的目標(biāo)也需要完成沒有人在回路中也能繼續(xù)工作（一段時間），把乘客帶到安全狀態(tài)。

當(dāng)確定了功能安全目標(biāo)后，就可以導(dǎo)出相應(yīng)的功能安全需求用于系統(tǒng)的開發(fā)，在該步驟中，傳統(tǒng)系統(tǒng)的功能安全需求方法是可以借鑒的。如下圖所示為Autosar（AUTomotive Open System ARchitecture）提出的車燈管理系統(tǒng)（L1自動駕駛系統(tǒng)）的功能安全架構(gòu)。

同樣的，在高級別自動駕駛系統(tǒng)中，我們從功能安全目標(biāo)中提取的功能安全需求最少要包含以下信息：

如何識別和檢測錯誤

如何進(jìn)入Safe State（安全狀態(tài)）

Safe State的定義

如何對故障進(jìn)行冗余設(shè)置

如何進(jìn)行人機(jī)交互，告知車內(nèi)人員相應(yīng)的功能安全信息

有了功能那個安全的需求，研究者就能夠按照軟硬件開發(fā)的流程進(jìn)行系統(tǒng)開發(fā)，在此過程中還需要注意以下幾點：

功能安全需求也要和其他系統(tǒng)功能需求一樣進(jìn)行測試，這里可以使用故障注入的方法，即向受控實驗向系統(tǒng)中刻意引入故障，并觀察系統(tǒng)中存在故障時的行為。

信息安全同等重要，研究者考慮功能安全需求的同時，信息安全是功能安全的基礎(chǔ)，特別是在和環(huán)境交互的V2x系統(tǒng)的信息安全，以及車內(nèi)和自動駕駛ECU通信的車內(nèi)通信系統(tǒng)的信息安全。

3 礦區(qū)自動駕駛功能安全分析示例

以下以礦山排土場無人礦卡排土場景為例敘述功能安全分析方法的實際應(yīng)用：

第一步是需要通過不同的情況，不同的環(huán)境確定在ODD范圍內(nèi)的場景。這些場景可以來源于法律規(guī)定、行業(yè)標(biāo)準(zhǔn)要求以及業(yè)內(nèi)先驗性知識，也可以來源于真實路況駕駛測試或仿真測試，還有一部分是直接來源于事故數(shù)據(jù)。在本示例中可以看到排土場景屬于業(yè)內(nèi)先驗知識。

第二步是尋找不同場景下可能發(fā)生的事故所引起的危險情況（Hazard Situation）。對于示例場景而言存在以下可能：

① 排土過程中發(fā)生掩埋人員事故;

② 撞到行人;

③ 撞到排土場指揮調(diào)度人員;

④ 和有人車發(fā)生碰撞;

⑤ 和推土機(jī)發(fā)生碰撞。

第三步是確定危險情況的ASIL等級。對于礦山場景而言，在本文2.3描述的定級基礎(chǔ)上，對于無人礦卡C值有了新的定義，故障發(fā)生以后，系統(tǒng)進(jìn)入MRC（Minimal Risk Condition最后的安全措施）的可控程度。MRC是指當(dāng)系統(tǒng)所有措施都采取后依然不能繼續(xù)安全工作后所采取的最后措施 可以是：“靠邊停車”或者“遠(yuǎn)程駕駛員遙控駕駛”。

第四步是根據(jù)ASIL等級設(shè)定不同的安全目標(biāo)，使得ASIL等級為B的危險情況降低為QM。本示例中“撞到行人”的降級目標(biāo)為降低無人礦卡在排土場碰撞到行人的概率。

第五步是根據(jù)安全目標(biāo)進(jìn)行FTA分析導(dǎo)出安全需求。FTA分析又稱故障樹分析，是一種由上往下的演繹式失效分析法，利用布林邏輯組合低階事件，分析系統(tǒng)中不希望出現(xiàn)的狀態(tài)。在此示例中，“撞到行人”發(fā)生的一級原因是車輛是否感知到行人。若為未感知到行人，那么次級原因可能是激光雷達(dá)硬件故障或激光雷達(dá)軟件算法故障;若為感知到行人但認(rèn)為是誤檢測，那么次級原因可能是行人特征不夠明顯或是感知算法故障。以此為例進(jìn)行事故原因推演可以得到避免此事故發(fā)生的安全需求。

第六步是根據(jù)安全需求進(jìn)行軟件和硬件的設(shè)計開發(fā)。如在示例中為避免因激光雷達(dá)硬件故障而發(fā)生“撞到行人”事故，可以通過加裝備用雷達(dá)的方式做冗余處理，在主雷達(dá)硬件Diagnostic信號為True時，啟動備用雷達(dá)再次檢測;或是為避免因激光雷達(dá)軟件算法故障而發(fā)生“撞到行人”事故，可以通過使用獨立備用算法重復(fù)檢測后比較兩次檢驗結(jié)果的方式保證安全。

4 總結(jié)

單純的功能測試并不能滿足高等級自動駕駛的功能安全需求，而高級別的自動駕駛相對于傳統(tǒng)的ADAS系統(tǒng)復(fù)雜度更高，面臨的場景更加復(fù)雜，ECU功能相對集中，對線控系統(tǒng)有較高要求，同時駕駛員在環(huán)路中的角色也完全不同，導(dǎo)致高級別自動駕駛系統(tǒng)在功能安全方面也有了更高的挑戰(zhàn)，本文詳細(xì)分析了實現(xiàn)系統(tǒng)功能安全過程中所需要的過程，并且提出了對于高級別自動駕駛系統(tǒng)在該過程中需要注意的問題和可以使用的方法。

本文提出的方法并非唯一，也有其他的方法論也可以對高等級自動駕駛系統(tǒng)功能安全進(jìn)行補(bǔ)充，如Intel和Mobileye提出的RSS（Responsibility-Sensitive Safety）方法，該方法更多的考慮了和自動駕駛車輛交互的其他車輛的信息，確認(rèn)了危險狀況后，找出相應(yīng)的原因，然后來解決;還有李力、彭新宇等人基于責(zé)任敏感安全研究提出的跟蹤防碰撞策略[6]，該策略旨在保持交通安全和效率之間的良好平衡，同時還考慮到車輛和其他駕駛員的位置/速度感知/測量不可避免的不確定性。

本文章受江西省03專項及5G項目研發(fā)計劃資助（20204ABC03A13）。

參考文獻(xiàn)：

[1]ISO 26262. 汽車電子系統(tǒng)功能安全，1-2.

[2]Wikipedia. 故障樹分析法.

[3]王星煒.一種兼容功能安全和信息安全的車載網(wǎng)絡(luò)解決方案[J].中國汽車，2018（11）：22-29.

[4]ISO 26262. 汽車電子系統(tǒng)功能安全，8-10.

[5]Grave Much，Autonomous Driving-From fail safe to fail operational systems，2015.

[6]Li，Li，et al. "A situation-aware collision avoidance strategy for car-following."IEEE/CAA Journal of Automatica Sinica 5.5 （2018）：1012-1016.