基于SOTIF 的車道保持輔助系統架構設計

高瑞芳

（河南科技職業大學汽車工程學院，河南 周口 466000）

0 引言

在汽車智能化、電子化、電氣自動化的時代，自動駕駛技術快速發展，但存在不安全因素，導致故障，這些故障源于車輛電子電氣系統的不斷復雜化。系統的復雜程度就決定了系統可能出現問題的概率，傳感器和執行器及控制算法在無故障時，其態勢感知能力（Situational Awareness）在一些工況下有可能威脅安全[1]。那么看來，其安全風險不僅來自系統的功能故障，也有一部分來自系統的功能性局限或駕駛員誤操作而產生的非失效風險。為彌補這種需求，國際標準化組織在ISO 26262《道路車輛 功能安全》（Road vehicles—Functional safety）[2]的基礎上，于2015 年啟動了用于指導自動駕駛車輛非失效安全技術開發的ISO/PAS 21448《道路車輛 預期功能安全》（Road vehicles—Safety of the intended functionality）[3]的制定。在ISO 26262 中提出功能安全這個概念，其目的在于減少不合理危害事故的發生，且這些事故是由電子電氣系統故障導致的[4]，但如果設備沒有發生故障而僅僅是功能受限，那就不屬于功能安全的范疇。即使系統沒有發生故障，仍然會因為當前技術的局限性而導致不能被接受的危害。目前，人們的主要關注熱點是自動駕駛系統中的感知系統以及執行系統可能存在的功能不足，各系統中算法的缺陷問題，人機交互界面操作失誤等安全問題，這些問題會給駕乘人員以及交通參與者帶來健康和財產威脅。

2020 年6 月，聯合國歐洲經濟委員會（UNECE）頒布了第一個L2 級以上的《ALKS 車道自動保持系統條例》，是有關LKAS 的許可法規[5]。在該法規中明確指出LKAS 必須將功能安全標準放在第一位。因此，對功能安全問題進行全面細致的研究，確保自動駕駛系統的設計符合預期功能安全的標準，是推動駕駛技術發展的關鍵一步。

1 SOTIF概述

預期功能安全（SOTIF）所強調的是把由于預期功能性能限制所造成的不合理風險避免掉[6]。“功能性能限制”一般表現在三個方面：傳感器感知限制導致對駕駛場景的錯誤識別（包括對駕駛員誤操作的漏識別）；深度學習不足導致錯誤決策控制（包括對駕駛員誤操作的誤響應）；執行器功能限制導致與理想目標偏離。SOTIF 解決問題的基本思路是：首先運用安全分析方法將危險場景識別出來，然后根據危險場景制定應對策略，再對此場景進行仿真驗證或實車測試，最后根據實驗結果再次優化。從源頭提升自動駕駛汽車安全水平，對自動駕駛技術的開發具有縮短測試里程、節省開發費用、加快開發速度等重要的指導意義。對于高級駕駛輔助系統ADAS（Advanced Driving Assistance System, ADAS）[7]，安全性更為重要。對于很多車輛都具備的車道保持輔助系統（Lane Keeping Assist System, LKAS），在使用過程中仍然存在功能局限，且人性化、智能化水平不足，功能局限所帶來的不安全因素是應在設計過程中避免的，以降低后期使用過程中故障發生的概率，提高可靠性，快速推進自動駕駛技術的發展。

ISO/PAS 21448 在基于ISO 26262 的架構設計中增加了與SOTIF 相關的危險識別與評估、識別和評估危險觸發事故、通過修改功能或限制改進系統設計以降低SOTIF 風險、SOTIF 驗證和驗證設計的充分性。并增加了場景的識別，ISO/PAS 21448 將場景分為4 個區域，分別是：已知安全場景1、已知不安全場景2、未知不安全場景3 和未知安全場景4[8]。由此可以看出，區域1 和4 是沒有風險的，區域2 和3 有風險，那么區域2 和3 是SOTIF 需要考慮的領域。要想有效避免風險，對場景進行識別和分類是首先要做的，將已知和未知的安全場景和觸發安全問題的場景確定出來。在SOTIF 的方法論中，主要目的是使區域1 盡量最大化，區域2 最小化，增大已知和未知安全場景，減少不必要的危害場景[9]。SOTIF 流程關于區域1、2、3 以及相關場景的目標是：區域1 擴大或維持不變，同時縮小區域2、3，這樣可以保持或提高安全性；區域2 有技術措施的區域被縮小到一個較小的可接受范圍，統計顯著性水平必須與技術措施的相對影響相一致。通過對潛在風險的評估，在需要的時候要采取措施將危險情況轉移到區域1；區域3 盡可能地最小化當前區域，縮小到可接受的范圍（每個檢測到的危險情況都轉移到區域2）。具體情景類別轉變如圖1所示。

圖1 ISO/PAS 21448 活動產生的情景類別的演變

圖2 展示了改進預期功能以確保其安全的流程圖，該過程以5 功能和系統規范的定義為首，6 是將潛在的（包括預期功能可能存在的）危險事故識別出來。若證明危險事故未使系統發生危險，則無需改進。如果被證明會引起危險，則7 對潛在危險觸發事故，如在某些環境條件下對某些物體的錯誤檢測或駕駛員的誤用進行分析。6 和7 涉及SOTIF 的不同方面，6 僅考慮其對安全的影響，未將潛在風險的原因考慮在內，7 則是對潛在風險進行因果分析。所以說6 的目的是評估可能引起的危險事件并制定驗證各確認的目標。8 是通過應用用例改良或限制來降低由此產生的風險，并通過9、10、11驗證和確認。9是運用驗證和確認策略證明剩余風險低于接受水平。在10、11的分析中導出對應的驗證和確定的測試用例。最后，12根據測試和驗證的結果評估剩余風險，如果風險不可接受，則需要重復8，即對用例進行進一步的功能改進或限制。此類驗證和確認策略可以包括模型在環（MIL）、軟件在環（SIL）、硬件在環（HIL）、測試跟蹤實驗、專用分析、長期耐久性測試或其他方法[3]。該流程考慮的出現非預期行為的原因可能與傳感器性能、算法處理、觸發及其對正在開發的功能的實現緊密相關。因此，該流程適用于車輛、系統和部件級別。類似地，功能性整體系統架構的選擇成為確保SOTIF的主要焦點，并為確保整體能力，在早期和整個功能開發生命周期中采取適當的行動。可通過該流程進行系統的設計、潛在危險的識別、功能的改進和完善、風險的降低等，提高車輛或系統的可靠性并降低失效風險。

圖2 SOTIF流程圖

2 LKAS功能定義

LKAS 是高級駕駛輔助系統[10]的重要組成，它在危險情況下警告或幫助駕駛員避免事故。車道保持輔助系統是通過傳感器獲取車輛的位置信息、車道線信息以及車輛狀態信息，實時將車輛所在位置與車道線的位置進行對比分析，當車輛即將偏離或偏離車道線時，LKAS 會采取相關措施發出警告或糾正車輛的偏離運動狀態。LKAS 屬于車輛主動安全系統，為車輛提供橫向輔助控制。

1）目標。環境感知層、決策規劃層和控制執行層組成了自動駕駛系統。車道保持輔助系統是自動駕駛系統的重要成員之一，也是實現全自動駕駛的關鍵要素。系統通過傳感器將車道線、車輛狀態等相關信息傳遞到控制中心，通過信息判斷車輛是否在目標車道內，若不在目標車道內，則由車道保持輔助系統發出指令主動控制車輛駛回原車道[11]。該系統是能夠主動檢測車輛橫向偏差并協調轉向系統控制的系統，可以實現車輛糾偏，提高駕駛安全性。車道保持輔助系統主要由信息采集單元、電子控制單元和執行單元組成。LKAS的具體配置如表1所示。

表1 LKAS的具體配置

2）功能描述。信息采集單元由車輛傳感器組成，應能夠在允許的使用范圍內檢測道路目標、交通標識、可行駛區域的分割以及車輛狀態[12]。目標檢測應盡早完成，以便車輛能夠安全地執行后續任務。攝像頭傳感器是目前車輛上不可或缺的感知部件并且是L3 等級以上常用的傳感器，通過時刻采集圖片，經過分析得出障礙物以及車道線信息，并在自動駕駛系統上配備不同功能的感知傳感器。毫米波雷達可以穿透任何壞天氣，且能夠24 h 持續工作，具有這樣的優點使其成為自動駕駛車輛上必備的主要傳感器。毫米波雷達的主要功用是實現車輛檢測障礙物和駕駛環境識別。毫米波雷達工作在毫米波段，它通過天線發射毫米波并接收反射的目標信號，通過反射時間、毫米波頻率的變化及相位差可快速準確地獲得車體與其他物體各種信息，然后由中央處理器（ECU）進行信息處理和決策控制。方向盤轉角傳感器和橫縱向加速度傳感器是LKAS 對車輛狀態檢測的重要傳感器，可以感知車輛當前是否處于加速狀態以及橫向穩定性和當前方向盤轉角的大小，從而便于控制指令的下發。感知系統的主要目標是將所有傳感器測量值合并為周圍世界的一致表示。除了表示所有已知的障礙之外，感知系統還需要為許多用例提供未知的概念。感知系統使用來自路面的測量值和其他線索（如檢測到的障礙物的位置）來確定自由空間。由上述功能定義可知，當LKAS 實現功能時，其過程可以描述為：信息采集單元采集車輛狀態以及駕駛環境信息，并將信息傳遞給電子控制單元，由控制單元進行解析計算然后下發控制指令，由車輛的執行單元實現車輛的轉向、制動、加速等運動，如此循環，完成動態駕駛任務[13]。電子控制單元是自動駕駛控制的關鍵部件，將傳感器或其他裝置的輸入信號接收后并將其進行轉化，轉化為ECU 能夠接收的信號，然后ECU 發出指令控制執行器。基于這個功能定義，實現電子控制單元功能的過程描述為：電子控制單元根據信息采集單元所傳遞的信息，包括感知傳感器和車輛動態傳感器傳遞的信息，感知算法進行解讀，獲得車輛的狀態信息以及駕駛環境和車道線信息，通過這些信息進行決策規劃如何實施行動，并將決策規劃傳遞給控制算法，通過控制算法下發控制指令。執行單元是車輛的基礎系統，包括傳動系統、轉向系統和制動系統，實現車輛的前進、后退、轉向、加速、減速、制動等。執行單元通過電子控制單元下發的控制指令實現對車輛的加速、轉向或制動控制。

3）可能的功能局限。感知系統中主要元件是攝像頭傳感器，通常安裝在前視擋風玻璃上，從擋風玻璃后面朝前設置。通過時刻提供圖像，記錄車道標記，并且檢測車輛在車道上的位置。系統架構可以使用單攝像機（單視）或雙攝像機（立體）。單視攝像機可以提供目標檢測，但通常不支持可靠地確定到目標的距離。立體攝像機可以更可靠地確定到物體的距離。典型相機限制的示例包括低能見度條件、低對比度、視野限制、缺少車道標記或地標。毫米波雷達可能存在的功能限制是在雨、霧、雨夾雪等高濕度環境下其功能會衰退，以及強大器件植入降低了毫米波雷達的探測范圍。與微波相比，對密集灌木叢的穿透力較低、能力較差。方向盤轉角傳感器一般是根據光電編碼來確定角度的，由于機械振動等原因，發射裝置或接收裝置可能會出現錯位或角度偏差，使接收裝置無法可靠地產生電信號，還會受到場所的各式各樣的電磁干擾，干擾光電檢測裝置，使光電檢測裝置的輸出波形失真，導致系統故障或引起生產事故。橫縱向加速度傳感器可能存在的功能限制是微機械式傳感器可能會隨著時間的增加而出現磨損、接觸不良、測量不準確等問題。

3 基于SOTIF的LKAS架構

系統設計時，應將在功能和系統規范中列出的與預期功能安全相關的算法或元素的性能限制考慮進去，并在需要時采取措施，以降低對整個系統的影響。具體而言，設計包括考慮系統限制，這些限制可能導致高置信度報告錯誤而影響子系統輸出值（設計可能忽略低置信度值），并可能導致未知危險行為的發生。限制的示例有錯誤的分類、測量、跟蹤、檢測、目標選擇、運動估計等。最后確定的系統架構應將單個組件、技術和系統的限制考慮進來，從而保障系統的可靠性。將SOTIF 集成到功能和系統規范中，減小區域2 和區域3 的大小，提高整個系統的可靠性可以通過將區域1 的面積增大的方式。區域3 僅當與原始系統設計相關的對策不完整或不適用于新用例時，測試才用于檢測新問題。在進行設計的時候只有將這些系統和部件的限制考慮在內，才能更好地提高系統的預期功能安全的能力。

基于LKAS 系統組成的功能限制，將感知系統中的組成增多，將攝像頭傳感器和毫米波雷達集成，彌補彼此的短處，并通過顯示裝置將控制模塊的具體工作狀態展示出來，即可及時關注LKAS 的控制狀態。并設置LKAS 功能開關，一旦出現問題可強制關閉LKAS，提高控制算法的可靠性，從而可以減少事故的發生。基于這些問題的考慮進行LKAS架構設計。

根據上述的功能定義、系統描述以及典型限制，并確保將SOTIF 考慮在內，避免在使用過程中非預期功能限制的出現，增大已知或未知安全區域，從而優化LKAS 的功能架構，提高功能的可靠性以及魯棒性。具體架構如圖3 所示。

圖3 LKAS架構

4 結語

根據SOTIF 羅列并進行考慮，并將可能存在的性能局限考慮在內，從而將預期功能安全中的場景全面地考慮在內，可以更有效地避免安全事故的發生，全面提升高級輔助駕駛系統的可靠性及安全性。