汽車自動緊急制動系統控制策略的預期功能安全設計*

段順昌，白先旭，石琴，李維漢，何冠男

（1.安徽省智慧交通車路協同工程研究中心，合肥230009；2.合肥工業大學汽車與交通工程學院，車輛工程系自適應結構與智能系統實驗室，合肥230009）

前言

我國汽車產業發展非常迅速，機動車保有量飛速增長，交通事故也日益凸顯，造成了嚴重的人員和財 產 損 失。據 世 界 衛 生 組 織（world health organization，WHO）統計，每年全球約有130萬人因交通事故而死亡。值得注意的是，在所有發生的案例中，因駕駛員操作失誤或不當而引發的交通事故數目約占總數的90%。為降低居高不下的事故發生率，改善現有的交通環境，各國政府以及相關科研機構都加大了對智能駕駛技術研究的投入，以在自動駕駛技術領域有所突破。且傳感器技術與自動駕駛算法水平的不斷提升，使自動駕駛技術獲得了迅猛發展，自動駕駛系統功能日趨完善，裝機量與滲透率不斷提高。Waymo、Tesla、Uber、華為、小鵬和蔚來等公司均能實現汽車的多種輔助駕駛功能，甚至實現了部分場景的自動駕駛。但隨著實際行駛里程的增加，自動駕駛相關事故也頻繁出現。2018年5月18日，美國亞利桑那州一輛配備有安全駕駛員的自動駕駛測試車輛在夜間與自行車相撞，造成騎自行車行人受傷嚴重不治身亡。根據美國國家運輸安全委（national transportation safety board，NTSB）的事故調查，事發前車輛自身的感知系統已經發現危險并發出緊急制動請求，車載控制單元中的感知系統已發現自行車，但其決策系統在設計之初未考慮行人會橫穿馬路，將感知系統結果丟棄，并屏蔽了車輛自身的緊急制動請求。特斯拉汽車曾發生3起與白色貨車相撞的事故，事故的共同原因均是：感知系統在特定的光照條件下將白色車廂識別為天空，未能及時識別出危險。豐田、日產、沃爾沃等汽車公司曾就“幽靈剎車”問題進行產品召回，該現象產生是因為在特殊光照條件、角度及距離情況下車輛將道路上非障礙物識別為障礙物，激活車輛自動緊急制動（automatic emergency braking system，AEB）系統功能，導致車輛非預期制動行為。

從以上事故可以看出，與傳統車輛的安全風險相比，自動駕駛車輛所面臨的安全風險不僅來自于車輛零部件的失效，即故障性風險，還來自于自動駕駛系統內部功能組件設計不足、性能局限以及組件間信息交互障礙等非故障風險，此類風險在特定場景觸發下會導致車輛發生危害行為，難以提前預見，對自動駕駛安全風險貢獻更大。此外，在產品設計與開發過程中，用于評估自動駕駛系統安全性的測試場景有限，而自動駕駛車輛在實際道路行駛過程中面臨的場景具有隨機性與未知性，場景中存在無限數量的元素組合方式，自動駕駛系統即使滿足設計要求，仍可能存在大量無法在設計階段預見的安全風險。為應對自動駕駛車輛帶來的風險與挑戰，使自動駕駛系統安全水平達到能夠實現預期功能設計的要求，將系統的風險控制在合理可接受范圍內，國際標準化組織（international standardization organization，ISO）下設的功能安全工作組在2018年正式啟動全球首個自動駕駛安全國際標準ISO/PAS21448《道路車輛預期功能安全》的制定工作，設計了如圖1所示的預期功能安全（safety of the intended functionality，SOTIF）設計流程，旨在為自動駕駛汽車的安全開發過程與測試評價體系提供設計指導。ISO/PAS 21448草案規范和描述了一個基于迭代的系統分析流程，用于識別、分析、減少系統功能不足造成的危害。

自動駕駛汽車SOTIF問題是汽車行業內的前沿課題，國內外學者分別提出了不同的SOTIF應用方案，并將SOTIF融入到自動駕駛車輛的整個生命周期中，指導產品的開發設計與驗證測試流程。美國交通部以一臺廣義的L3級別駕駛輔助汽車為例，對其進行了全面的SOTIF分析，針對9類安全問題提出了126種潛在功能修改方案。Post和Davey將SOTIF框架應用于汽車系統的開發流程，分析了系統開發過程中的潛在危害與風險場景，促進了開發過程中的系統功能和技術改進。Abdulazim等對汽車車道保持系統進行了SOTIF流程分析，并提出了一種基于上下文的ML模型用于解決車道保持系統潛在的人車沖突風險。郭菲菲等則根據SOTIF評估準則，按照危害行為識別與風險評估、觸發事件識別與評估、系統功能修改、功能更新后系統風險評估以及修改方案確認的順序對全自動泊車輔助系統進行了SOTIF設計。李波等指出：需要從危害行為事件接受準則和總體風險接受準則兩個層面上對自動駕駛SOTIF的接受準則進行量化，該方案作為中國提案，已經寫入到ISO/PAS 21448標準中。孫駿等在整車層面、白先旭等在控制層面分別提出了自動駕駛汽車SOTIF的量化評價方法，通過對事故觸發場景元素、控制系統瞬態響應、事故嚴重程度以及場景概率對自動駕駛汽車控制系統進行評價。

AEB系統作為未來實現汽車自動駕駛的重要組成部分，因其能夠及時檢測到危險并提醒駕駛員或自動制動而避免發生碰撞，受到了高度關注。其基本原理是通過雷達、攝像頭、激光雷達等傳感器檢測道路上的汽車、摩托車、行人和自行車等，根據相應安全模型的計算來判斷是否進行報警，或主動制動以避免或減輕碰撞。楊為等以某SUV為研究對象，并基于碰撞時間（time to collision，TTC）建立風險評估模型，提出了一種上層模糊控制和下層PID控制的分層控制策略。仿真結果表明，該控制策略能正確向行人發出碰撞預警。郭祥靖等結合駕駛員緊急制動的經驗，利用BP神經網絡算法建立不同駕駛員在不同緊急制動場景下碰撞時間的預測模型，提出了一種基于BP神經網絡預測碰撞時間TTC的AEB控制策略，并仿真驗證算法的有效性。Kim等提出了一種斜坡AEB系統，利用卡爾曼濾波器估算坡度并計算TTC，結果表明，其TTC比傳統TTC更短，觸發制動更快。蘭鳳崇等根據汽車追尾事故深度調查的駕駛員緊急制動數據分析制動系統的制動減速度，建立了考慮碰撞時間的自動緊急制動系統分成控制策略，并驗證了控制策略在相對車速65 km/h以內能夠實現有效避撞。AEB系統性能受到傳感器、算法、控制器等多方面因素的影響。為降低AEB系統由控制策略缺陷導致的系統安全風險，提升AEB系統的SOTIF性能，本文中按照圖1所示的SOTIF設計流程對AEB系統進行SOTIF設計開發，具體工作內容與技術貢獻為：

圖1 SOTIF設計流程

（1）識別并評估AEB系統控制策略的SOTIF不足可能造成的危害行為，且評估特定場景下AEB系統控制策略SOTIF不足造成車輛發生危害行為的觸發事件，提出相應安全目標。

（2）針對安全目標，提出一種基于細分場景的AEB系統控制策略。該控制策略對于前車先于自車停止的場景，采用安全距離模型；對于自車先于前車停止的場景，采用2階TTC模型。基于細分場景的AEB系統控制策略能夠在不同場景下引入路面附著系數，以降低AEB系統在控制策略層面的SOTIF不足風險。

（3）通過CarSim-MATLAB/Simulink聯合仿真對功能修改前后的AEB系統控制策略在標準測試場景與安全性未知場景下進行驗證，并對AEB系統安全接受準則進行量化。對比功能修改前后在事件接受準則和總體風險接受準則兩個層面上的系統風險水平。

1 AEB系統的危害行為與觸發事件

1.1 AEB系統功能規范與定義

標準GB/T33901—2021《乘用車自動緊急制動系統（AEBS）性能要求及試驗方法》中規定，AEB系統應具備以下功能。

（1）碰撞預警和緊急制動功能：車輛直線行駛遇到靜止、低速行駛或緊急減速的障礙物（車輛）時，車輛應以光學、觸覺及振動等模式預警，且在預警階段車速不能顯著下降，并最終不與障礙物發生碰撞。

（2）系統失效后的警告信號：當AEB系統失效時，系統應啟動常亮警告信號，直至AEB系統功能恢復。

（3）駕駛員干擾性能：系統在預警和緊急制動階段均允許駕駛員通過主動動作中斷系統工作。

（4）相鄰車道車輛誤響應性能：車輛遇到相鄰車道車輛行駛時，系統不應啟動。

（5）車道內鐵板誤響應性能：車輛行駛時遇到井蓋和限高桿等設施時，系統不應啟動。

AEB系統需要全天候全時段監測車輛前方行駛環境，在碰撞發生前提醒駕駛員，并自動啟動車輛制動系統使車輛減速，以避免或減輕碰撞。AEB系統輸入為：環境感知系統提供的障礙物信息、車載傳感器提供的自身車輛狀態信息以及駕駛員的主動操作信息。系統輸出為光學、聲音及振動等預警信息和制動系統的控制命令。對輸入輸出的假設為：傳感器輸入到系統的信息真實可信、系統輸出的指令可被執行器正確執行。AEB系統功能啟動時對車輛控制的優先級低于駕駛員，當駕駛員通過主動動作控制車輛時，功能關閉，控制權歸駕駛員。

1.2 危害行為與觸發事件的分析與評估

系統并非在所有情況下都能正常工作，它的正常運行存在一個邊界，這個邊界稱為運行場景。為明確AEB系統能夠發揮其預期的功能工作邊界，須定義AEB系統的運行場景。在定義的運行場景內，AEB系統應正常工作。對AEB系統的SOTIF分析均應在運行場景內進行。圖2所示為初步定義的AEB系統運行場景。路面平整、附著系數為，自車以速度在車道上勻速行駛，同車道前方距離遠處的目標車輛速度為。同車道后方遠處的后車以速度勻速行駛。

圖2 AEB系統運行場景

對于AEB系統而言，其主要功能是讓車輛避免或減輕碰撞，保護人員安全。AEB系統的潛在危害行為不僅會導致車輛碰撞造成人員財產損失，還會造成非人員財產損失的廣義損失。損害可根據危害嚴重程度進行層級劃分，如表1所示，從LV1到LV5，損失的嚴重程度依次增加，LV5為最嚴重的損失。

表1 AEB系統可能造成的危害評估

為避免AEB系統因SOTIF性能不足而造成的損失，首先要對AEB系統層級的危害事件進行識別，危害事件是指系統處在某種狀態或條件下，系統出現非預期的表現，造成多種級別損失。ISO/PAS 21448中為AEB系統提供了一個危害事件示例：系統在高速公路上行駛時，出現了減速度為，持續時間為的非預期緊急制動。表2所示為AEB系統在圖2所示的運行場景下的危害事件。HV1和HV3雖會引起駕乘人員不舒適，但未造成人員財產損害，對于可能引發碰撞事故的HV2和HV4類危害，在系統設計過程中應盡量避免。

表2 AEB系統的危害事件評估

為分析危害事件的來源，找出系統的潛在觸發事件，設定相應的安全目標。采用系統理論過程分析（system theoretic process analysis，STPA）方法對AEB系統進行整車級分析，建立AEB系統的STPA控制架構。圖3所示為AEB系統的STPA控制架構：AEB系統通過信息獲取系統或通過V2X（vehicle to everything）等方式實時監測車輛前方行駛環境與駕駛員的行為信息，并通過控制系統對車輛與障礙物間的碰撞風險進行評估，以便及時提醒駕駛員或啟動車輛制動系統避免碰撞發生。

觸發事件是指系統在特定場景下可能導致危害事件發生的具體不安全控制行為。在系統或部件未發生失效的前提下，對圖3中的控制系統不安全控制行為進行分析，得到AEB控制系統的觸發事件與安全目標，如表3所示。

圖3 AEB系統STPA控制架構

表3 AEB系統的HV2和HV4級觸發事件與安全目標

表3列出的AEB系統運行潛在危害的共同觸發事件是車輛前方有靜止或運動障礙，后方有跟隨車輛，車輛的安全性與路面狀態、自車行駛車速、前車行駛狀態等相關。在AEB系統運行潛在危害事件作用下，系統危害行為會帶來嚴重損失，且此類場景與觸發事件均為常見事件，系統存在嚴重設計不足與安全風險。為減少HV2與HV4類危害事件，須明確AEB系統介入時機，對系統控制策略進行改進，進而降低系統風險水平。將表3給出的安全目標進行綜合梳理，對AEB系統功能修改的安全目標為：

（1）消除或減少因路面附著系數變化導致系統介入時機變化而引發的碰撞風險。

（2）消除或減少因相對速度變化導致系統介入時機變化而引發的碰撞風險。

2 AEB系統控制策略的功能改進

根據第1節對AEB系統設計進行SOTIF分析得出的系統不足來源，確定AEB系統亟需解決的問題是：解決現有的AEB系統控制策略無法兼顧車輛安全與道路通行效率的問題，設計出既保證車輛安全又符合實際駕駛過程的合理性，且保證道路通行效率，減少系統誤警和誤觸發概率的AEB系統控制策略。

2.1 車輛制動過程分析

為合理構建汽車AEB系統的控制策略，首先對汽車的制動過程進行分析，分析常規駕駛員駕駛情況下的汽車制動過程，明確駕駛員制動過程的駕駛特性和駕駛員制動的最短制動距離以及汽車本身的極限制動能力，將駕駛員因素和車輛制動性能作為構建AEB系統控制策略的基礎。圖4所示為駕駛員制動過程中的車輛制動力和減速度響應示意圖。

圖4 駕駛員制動過程示意圖

通常情況下，如圖4所示，駕駛員在遇到緊急情況時，首先要經過大腦意識反應時間，然后經過動作響應時間t，這兩段時間合為駕駛員的反應時間=+t。駕駛員施加力在制動器上，經過后制動器空行程消除，t階段為制動器制動力增長到需求值的響應時間，這兩段時間為制動器的作用時間=+t。階段為制動器持續制動的時間。

從整個駕駛員制動過程來看，制動距離主要包括駕駛員反應時間通過的距離，制動器作用時間通過的距離和持續制動階段汽車通過的距離3個部分。

駕駛員反映時間內汽車通過的距離為

式中為車輛初速度。

在制動器起作用階段，制動器空行程消除時間內，汽車通過的距離為

在制動器制動力增長階段時間t內，制動減速度呈現一次函數的增長趨勢，斜率為，此階段汽車通過的距離s為

在制動器起作用階段時間內，汽車通過的距離為

在制動器持續制動階段時間內，制動過程為勻減速直線運動，初速度為階段減速后的速度，根據運動公式得持續制動階段汽車通過的距離為

將式（7）展開后得到為

通過對駕駛員緊急情況制動過程分析，在駕駛員制動過程中，駕駛員制動距離為駕駛員反應階段、制動器起作用階段和制動器持續作用階段3個階段汽車行駛過的距離。汽車的制動距離是指從踩下制動踏板開始到車輛完全停止過程中駛過的距離，包括制動器起作用階段和制動器持續作用階段駛過的距離，分別表示為

根據以上對駕駛員制動和汽車制動過程的分析，根據駕駛員的最短制動距離和車輛本身制動過程中的最短制動距離，得到AEB系統的最小距離邊界條件：在汽車最大制動減速度的情況下，汽車的制動距離是常規車輛行駛狀態下的極限制動能力，即為汽車的最短制動距離。為保證車輛安全，將車輛最大制動減速度下的制動距離作為汽車AEB系統主動制動功能的最小邊界條件。若AEB系統功能執行時的距離小于此邊界條件，將不能確保車輛安全，無法保證車輛行駛過程中的完全避撞。

2.2 基于細分場景的AEB系統控制策略

在車輛行駛過程中，當前方目標車輛與自車存在碰撞風險時，兩車的相對距離逐漸減小，為避免碰撞，自車需要以一定的減速度減速，直到兩車達到共速時，碰撞風險消除，即自車從判斷需要制動時刻到共速前所容許行駛的最遠距離等于前車在共速時駛過的距離與相對距離之和。假設前車行駛速度為，并以的減速度減速，自車行駛速度為，并以進行減速，為兩車相對距離。自車通過傳感器信號檢測到與前車存在碰撞風險后啟動制動系統，使自車達到相應減速度以避免碰撞。忽略信號傳遞以及控制器判斷時間，建立制動后兩車行駛距離的關系為

式中為自車從制動器制動力增長階段與制動力持續階段駛過的距離；為碰撞風險消除前前車行駛的距離；為安全距離，一般為定值。其中表示為

式中為碰撞風險消除前前車行駛的時間。

為能夠兼顧車輛安全和道路通行效率，增強制動結束后安全距離的一致性，減少系統誤警和誤觸發概率，本文中提出基于細分場景的AEB系統控制策略。對于前車比自車先停止情況，如前車靜止或前車以較大的減速度減速，此時前車比自車先停止，此時采用安全距離模型，保證自車在AEB系統最小安全邊界前減速制動，由此充分保證車輛的安全性。對于在自車達到共速前，前車仍繼續行駛的情況，比如前車勻速運動或以較小的減速度減速運動，此時采用2階TTC模型，以最大限度提高道路通行效率，同時避免與后車發生追尾事故。

（1）若=0，前車處于靜止，兩車行駛距離為

此時自車AEB系統主動制動功能的最小邊界為

式中為此時車輛在當前路面條件下的最大制動減速度，與輪胎和路面條件有關。

（2）若≠0，=0，前車處于勻速行駛狀態，兩車行駛距離關系式為

在自車減速至共速前，前車一直勻速運動。若=0，意味著兩車同向勻速行駛，兩車的預計碰撞時間為

若自車減速避免避撞，此時=，求得此時的AEB系統主動制動功能的最小邊界為

式中=-。

（3）若≠0，≠0，此時應首先判斷自車以一定減速度減速情況下哪輛車先停止，然后計算自車與前車勻減速至停止時間與以及自車最小制動時間，分別為

若＞，前車先于自車停止，兩車行駛距離關系為

為避免碰撞，自車以減速度制動至停止所需要的相對距離為

當＞時，AEB系統主動制動功能的最小邊界為

（4）若＜，自車先于前車停止，共速時刻兩車距離最近，兩車行駛距離為

此時在自車減速至共速前，前車仍繼續減速行駛，=，代入式（28）后求得此時為

式中：為開方項；=-。當＜時AEB主動制動功能的最小邊界為

綜合以上，所提出的基于細分場景的AEB系統控制策略的具體安全邊界如表4所示。

表4 基于細分場景的AEB系統安全邊界

所提出的基于細分場景的AEB控制策略，在全工況中引入了路面影響因素，由此保證車輛安全性的同時，最大限度地提升道路通行效率。對工況全面細致的劃分，能夠顯著減少系統誤警和誤觸發概率。另外，在基于細分場景的AEB系統模型基礎上，可以通過設置不同合適的實現多層預警和針對不同駕駛風格設置預警邊界，充分考慮駕乘人員的舒適性與個性化，能夠解決AEB系統在控制策略層面的SOTIF問題。

3 AEB系統控制策略的風險評估與接受準則

3.1 AEB系統功能改進驗證準則與確認準則制定

根據圖1所示的SOTIF工作流程，在對系統功能進行改進或功能規范進行修改后，需要對修改后的控制系統的安全性進行評估與驗證。根據驗證與評估階段使用的場景可將驗證階段劃分為標準測試場景驗證與安全性未知場景驗證兩個階段，標準測試場景驗證階段須驗證系統行為是否符合預期，安全性未知場景驗證階段需要對系統行為是否存在不合理風險進行驗證。在進行驗證工作前，需要對系統在標準測試場景下行為的驗證準則與系統在安全性未知場景下行為風險的確認準則進行定義。根據SOTIF中國提案中的“量化思想”，對兩個驗證階段的驗證與確認準則進行量化定義，然后使用CarSim-MATLAB/Simulink聯合仿真對功能改進前后系統在標準測試場景與安全性未知場景中行為的仿真結果進行對比分析，最后根據定義的驗證與確認準則，對是否接受系統功能改進做出最終決定。

對于車輛整體風險的接受準則，SOTIF中國提案之一的“量化思想的雙層安全接受準則”，將安全準則劃分為兩層，第一層安全接受準則對自動駕駛系統單一危害行為事件進行量化評估，第二層安全接受準則對多類危害事件進行整體安全評估。對于違背第一類安全準則的危害事件數量，若不超過第二層安全接受準則標準，仍可認為系統的總體SOTIF符合標準。

對于系統SOTIF的驗證，使用雙層完全接受準則，對系統危害行為進行量化，然后對系統總體安全風險水平進行評估，給出具體的評估分數。對系統安全接受準則進行建立的第一步是找出系統的安全行為，建立量化指標并確定安全范圍。根據國標GB/T33901—2021中對AEB提出的性能要求，建立針對AEB系統控制策略層的功能量化指標及安 全范圍，如表5所示。

表5 第一層接受準則中系統危害行為、量化指標及安全范圍

表5中EVNT開頭編號對應事件類危害行為，EVNT01產生的原因是系統SOTIF設計缺陷，存在嚴重的安全漏洞，是不可接受的危害事件，將該危害事件的加權值取最大值為500。EVNT02是系統識別到危害事件，但未能成功制止危害，其加權值取200。ACUM開頭編號對應累計類危害行為，權重系數的選取體現了SOTIF的第二層接受準則對不同類別的量化指標的重視程度，安全相關指標權重最高。

對系統安全接受準則進行建立的第二步是根據違背第一層安全準則的事件對系統整體安全風險進行評價。可通過加權代價函數對系統整體風險進行計算，代價函數為

式中：為AEB系統在某單一場景下運行的安全風險水平得分，數值越大，車輛在該場景下行為的風險越大；事件類危害行為對應表5中EVNT開頭編號，()為某一類事件危害行為的量化指標是否超出其安全范圍的安全風險系數；為該危害行為的加權系數；累計類危害行為對應表5中ACUM開頭編號，()為某一累計類危害行為的量化指標的安全風險系數；為該行為的加權系數。表中權重系數的選取體現了SOTIF的第二層接受準則對不同類別的量化指標的重視程度。

圖2給出的參數化場景中對AEB系統行為有影響的可參數化元素有：兩車距離，自車速度，前車速度，前車減速度以及路面附著系數。可以對每個參數賦值，生成AEB系統測試場景。在得到具體一些列場景后，結合車輛在該特定場景中的表現評分，其評分準則與上述標準測試場景評分準則相同，將AEB系統在一系列場景下運行的安全風險水平評分的和記為系統在系列場景下運行的綜合安全風險水平評分。

最后根據功能改進前后系統在標準測試場景與安全性未知場景下的安全風險水平評分，決定是否接受系統功能改進。接受準則由式（35）給出：

式中和分別表示功能改進后的AEB系統在單一場景下運行的安全風險水平評分和在系列場景下運行的綜合安全風險水平評分。

3.2 聯合仿真參數設定與驗證測試場景

將功能改進后的AEB系統控制策略在Simulink中建模后與CarSim進行聯合仿真。AEB系統的運行場景在CarSim中進行構建，構建SOTIF測試場景，其原則應是將非SOTIF因素排除在外，并提升構造安全性未知場景對功能改進的覆蓋率。將功能改進前后的控制策略在相同的場景下運行，評價功能改進前控制策略在不同場景下的安全性能。選擇常用的TTC控制策略與基于細分場景的AEB系統控制策略分別在標準測試場景與安全性未知場景下的仿真結果對比，TTC的安全閾值設定為1.2 s，所提控制策略的安全距離取為1 m，且制動時自車以最大減速度進行減速。

（1）汽車AEB系統的標準測試場景

參照標準GB/T 39901—2021對汽車AEB系統的測試方案，在天氣晴朗條件下，路面附著性能較好，一般取0.7，在CarSim中分別設置如表6所示的測試場景。

表6 AEB系統標準測試場景

（2）汽車AEB系統的安全性未知測試場景

相比GB/T 39901—2021中給出的測試方案，現實中汽車AEB系統遇到的場景更為復雜。圖5所示為智能網聯汽車測試評價國際聯合研究中心公布的高速公路上行駛車輛的車速特征數據。

如圖5所示，汽車在高速公路行駛的汽車平均車速達到75 km/h，遠高于GB/T 39901—2021中規定的30和50 km/h。另外，雨雪等天氣造成路面濕滑，附著系數低至0.5，低于標準測試場景下的0.7。城市中自行車和助力車等低速（10 km/h）非機動車輛造成的交通環境混亂等，對汽車AEB系統有極大考驗。AEB系統與行車安全息息相關，一旦發生安全事故就會造成嚴重的人員財產損失，有必要對車輛在一些高頻場景甚至是極端場景下的表現做出評估，具體安全性未知測試場景參數如表7所示。

圖5 車輛在高速公路的車速概率分布

表7 AEB系統安全性未知測試場景

3.3 仿真結果分析與功能改進接受

（1）標準測試場景仿真分析結果對比

按照表5已知AEB系統測試場景參數，在CarSim中搭建AEB系統避撞場景。圖6給出功能改進前后AEB系統在各個已知場景下的性能仿真結果。其中相對距離為負值表示主車與障礙車輛發生了碰撞。從圖6可以看出，AEB系統功能改進前后均能實現避撞，但功能改進前兩車最短相對距離在不同場景下差異較大，最大為4.542 m，最小為0.276 m。兩車最短相對距離較大時不利于提高道路通行效率，且易造成被后車追尾事故，較小時難以保證車輛安全，功能改進前的AEB系統對各場景的適應能力不足。功能改進后的AEB系統在各個場景下的兩車最短相對距離較為接近，保持在安全距離附近，能夠適應各種場景，保證安全性的同時增強了駕駛員對AEB系統的信心度。

圖6 標準測試場景下AEB系統性能的仿真結果

表8為功能改進前后AEB系統標準測試場景中的安全風險量化指標取值與整體安全風險水平。以CCRs場景為例，雖然功能改進前后AEB系統均正常啟動，且避免發生碰撞，但功能改進前制動結束后兩車距離4.542 m，意味著AEB系統提前1.2 s啟動，時機過早。一方面降低道路通行效率，還可能造成被后車追尾事故。另一方面可能會妨礙駕駛員正常安全駕駛，降低駕駛員對AEB系統的信心度，在此場景下的得分為62.7分。功能改進后AEB系統提前0.78 s啟動，制動結束后兩車距離為1.06 m，接近于設定安全閾值1.0 m，在此場景下得分0.02分，遠低于功能改進前。其他場景下同樣功能改進后的單一風險場景得分低于功能改進前，車輛在標準測試場景下運行的總體風險水平得分下降了129.74分。系統功能安全水平得到提升，系統功能改進可以被接受。（2）安全性未知場景仿真分析結果對比

表8 標準測試場景下功能改進前后的AEB系統風險水平

按照表7安全性未知AEB系統測試場景參數，在CarSim中搭建AEB系統避撞場景。圖7給出功能改進前后AEB系統在各未知場景下的性能仿真結果，其中相對距離為負值表示主車與障礙車輛發生了碰撞。從圖7可以看出，在所示的可能出現的不安全場景下AEB系統功能改進前均出現相對距離為負值的情況，意味著與前車發生了碰撞，避撞失敗。功能改進后的AEB系統在各個場景下均避免了與前車發生碰撞，且保持的兩車最短相對距離在安全距離附近，證實了功能改進后的AEB系統能夠應用于各種不安全場景，改進了現有AEB系統的SOTIF問題。

圖7 安全性未知測試場景下AEB系統性能的仿真結果

表9為功能改進前后AEB系統在安全性未知測試場景中的安全風險量化指標取值與整體安全風險水平。從功能改進前后的AEB系統在標準測試場景下的評分對比可以看出，無論是單一場景風險水平或總體風險水平，功能改進后的AEB系統都遠低于功能改進前，功能改進后的AEB系統在系列安全性未知場景中的綜合安全風險水平得到降低，確認車輛功能改進在安全性未知SOTIF場景中不會引入不合理風險。經過雙層接受準則對車輛總體安全風險水平進行計算可知，車輛在安全性未知場景下運行的總體風險水平下降，系統功能改進可以被接受。

表9 安全性未知場景下功能改進前后的AEB系統風險水平

4 結論

為解決現有AEB系統在控制策略層面風險的問題，提升AEB系統的SOTIF性能，根據SOTIF評估準則，針對AEB系統控制策略SOTIF問題可能造成的危害行為進行了識別與風險評估，同時對特定場景下由AEB系統控制策略SOTIF不足導致車輛發生危害行為的觸發事件進行了識別與評估，并提出了相應的安全目標。為達到安全目標，提出一種基于細分場景的AEB系統控制策略。控制策略對于前車先于自車停止的場景，采用安全距離模型；對于自車先于前車停止的場景，采用2階TTC模型。控制策略在不同場景下均引入了路面附著系數，能夠顯著降低AEB系統在控制策略層面存在的SOTIF不足風險。最后，通過CarSim-MATLAB/Simulink仿真對功能修改后的AEB系統在標準測試場景與安全性未知場景下作了驗證，并與常用的TTC策略做了對比。此外，從事件接受準則和總體風險接受準則兩個層面上對AEB系統的功能安全接受準則進行了量化，結果顯示功能修改能夠通過雙層接受準則，功能修改后的AEB系統行為符合功能預期，系統的安全水平得到提升。