第1章AVP预期功能安全概述
1.1AVP预期功能安全研究背景及意义
现如今以智能网联汽车为载体的人工智能、5G通讯、大数据、云计算等技术,赋予了车辆前所未有的洞察力与智慧,与此同时无论汽车如何更新迭代,安全性仍应是车辆最重要的性能。传统车辆的安全性主要考虑主动安全和被动安全,对于智能网联汽车来说,其安全性主要集中在功能安全、预期功能安全(SafetyOfThe Intended Functionality,SOTIF)和信息安全三个方面。其中,预期功能安全问题来源于自动驾驶系统的性能局限、功能不足,以及合理可预见的人员误用。
随着更高阶智能网联汽车的发展,预期功能安全问题暴露度逐渐升高,诸如某品牌车辆在智驾系统操控下追尾前方作业中的工程车辆,导致车辆碰撞起火,为提高智能网联汽车的安全性,国际标准化组织(ISO/TC22/SC32/WG8)启动了ISO 214481的研究工作,ISO 21448将预期功能安全定义为“不存在功能不足相关的潜在危害行为导致的不合理的风险”。该标准将驾驶场景分为已知安全、已知不安全,未知不安全和未知安全4类场景,目标是通过保持或最大化安全场景的范围,最小化不安全场景的范围,提高智能网联汽车的安全性。
自主代客泊车系统(Automated Valet Parking,AVP)被认为是最有商业应用和量产前景的自动驾驶系统。AVP的SOTIF研究,一方面是对功能安全的补充,通过挖掘感知、决策和执行系统的性能局限及不足构建致因场景,优化测试标准,构建评价指标:另一方面是对AVP设计运行域(Operational Design Domain,ODD)、功能定义的完善,基于测试结果,迭代优化系统能力,明确功能边界,提升系统的安全性与用户满意程度。由此,本报告以AVP为载体,依托ISO 21448所述方法,完成SOTIF的分析及应用。本报告阐述了针对SOTIF的未知性,如何高效系统地识别AVP在SOTIF层面的隐患以及致因场景,同时如何通过合理的测试评价体系验证AVP在SOTIF层面的安全程度。
1.2 AVP预期功能安全研究现状
1.2.1 AVP技术研究现状
随着中国汽车市场的持续增长和消费者对泊车便利性及安全性的追求,自动泊车功能在智能驾驶汽车中的需求日益显著。调研显示,约60%的用户在泊车上存在“停车难、取车难”等痛点2。泊车过程中由于驾驶舱内视角受限,对后方和侧方的车身周围情况无法直观把控。同时,泊车过程需要进行倒车、大角度转向等操作,稍有不慎便会有磕碰产生,造成财产损失,甚至安全事故。美国密歇根大学交通研究所针对交通事故数据库和保险公司事故库统计资料的研究表明,泊车导致的事故占到各类事故的44%,其中,大约1/2到3/4的泊车碰撞是倒车造成的3】。随着城市停车资源的日益紧张,驾驶员在狭窄的停车位内停车的难度也在不断增加,自动泊车技术的出现无疑为驾驶员们带来了福音,该技术的普及与应用,一方面缓解了停车难的问题,另一方面极大地提高了停车的效率和安全性。
根据驾驶员、车辆、目标车位的位置关系,汽车制造商将泊车系统分为自动泊车辅助(Auto ParkingAssist,APA)、遥控泊车(Remote ParkingAssist,RPA)、APA是各大汽车厂家应用在汽车上最基础的泊车功能,与手动停车相比,提高了驾驶员在泊车时的安全性,能有效避免由于驾驶水平导致的交通事故4,但尚未实现全智能化,仅适合简单的泊车场景。开启APA后,驾驶员需要留在车内,按照泊车辅助系统的操作指示进行操作,直至系统自动控制方向以完成泊车。
一般来说,RPA是在APA基础上加入了与驾驶员通讯的车载蓝牙板块,提供更高级的便利性,不需要驾驶员坐在车内监控汽车的泊车过程,仅需要在车外观察,驾驶员直接通过智能手机等设备进行遥控操作即可完成泊车,它的诞生解决了停车后难以打开自车车门的尴尬场景。
相比RPA,HPA系统通过自主学习、记录用户常用停车地点及泊车行进轨迹,构建泊车环境的特征地图5,当车辆再次驶入停车场的建图范围,调用存储路线,便可行驶到车位附近并且泊入。
相比前三种泊车功能,AVP是真正意义上的自动驾驶,搭载AVP系统的车辆可以自行进入完全陌生的停车场,不需要先行学习,就能完成所有的泊车动作,并且不需要驾驶员在车上,因此AVP成为解决最后一公里自动驾驶问题的有效手段。该系统在应用场景中具备相对较高的安全性,被认为是最有商业应用和量产前景的自动驾驶场景之一6。
AVP系统是指用户在停车场指定下客点下车,通过手机APP下达泊车指令,车辆在接收到指令后可自动行驶到停车场的停车位,不需要用户操纵与监控:用户通过手机+APP下达取车指令,车辆在接收到指令后可以从停车位自动行驶到指定上客点,图1.3所示为AVP功能全流程,
用户发开启指令车辆进入停车场车辆寻找停车位车辆泊入车位停车场地图构建车辆达到指定位置车辆离开停车场车辆泊出车位用户发召唤指令
图1.3 AVP功能全流程
1.2.2 SOTIF研究现状
SOTIF是道路运行安全的关键组成,与智能网联汽车的电子电气系统和智能算法强相关。由于系统自身设计不足或性能局限,在其配备的各个元件未发生故障或失效时,也有可能导致非预期危害行为的发生,国际标准ISO2626217覆盖的故障性风险造成的功能安全问题分析已无法完全满足当前系统的安全保障需求。
因此,为解决因自身设计不足或性能局限导致的整车危害行为问题,国际标准ISO21448出台,该标准将驾驶场景分为已知安全、已知不安全,未知不安全和未知安全4类场景,而SOTIF的目标是最大化已知安全场景,同时最小化已关于自动驾驶系统SOTIF的研究,2011年Leveson提出基于系统理论过程分析方法(System Theoretic ProcessAnalysis,STPA),将SOTIF定义为一个控制问题,把危害归结为控制器和被控制过程之间的相互作用失效导致的,识别出可能导致危害发生的不安全控制行为(Unsafe Control Action,UCA)和不安全控制行为原因。
联合国自动驾驶验证方法工作组提出自动驾驶的评估测试框架,以多支柱法为核心建立可重复、客观和可循证的框架说明自动驾驶的安全性,并将预期功能安全作为重要要求之一:国际标准化组织联合多家企业发布了自动驾驶标准ISO/TR4804191,提供产品安全评估、监管和协作标准,并在其中确定预期功能安全设计流程:吴思宇等[10构建一种将关键场景设为载体,封闭验证和开放论证双闭环的测试验证框架,并综合论述关键场景构建技术,建立接受准则的量化方法:罗崎瑞等运用模糊推理,建立场景模糊等级,按照决策函数计算智能汽车预期功能安全场景的评价值:陈浩等12考虑自动驾驶车辆SOTIF场景的不同测试标定要求和侧重,提出一种基于行车安全场理论的SOTIF场景风险评估方法:白先旭等13采用STPA的方法对AEB系统控制模块进行安全分析,并建立AEB系统SOTIF评价体系。目前,AVP的SOTIF研究主要集中于定性分析,虽然能够分析系统的性能不足和可能导致的危害行为,但不能量化由于性能不足所导致的危害行为风险的大小与系统SOTIF性能的优劣。
本文来自知之小站
报告已上传知识星球,微信扫码加入立享4万+深度报告下载及1年更新。3天内不满意退出星球款项原路退回,欢迎试用。到期续费仅需5折
(如无法加入或其他事宜可联系zzxz_88@163.com)
