0 前言

當(dāng)前對智能駕駛汽車預(yù)期功能安全研究尚處于起步階段，主要集中在討論研究范疇及對內(nèi)涵的理解。歐寶汽車提出了L2和L3已有的功能安全標(biāo)準(zhǔn)并不能涵蓋所有的安全問題，引起產(chǎn)學(xué)各界對預(yù)期功能安全研究的重視。ISO/PAS 21448中對預(yù)期功能安全基本實現(xiàn)思路及流程進行了規(guī)范，并在2018年的ISO/TC22/SC32/WG8功能安全工作組會議討論了ISO 21448將引入機器學(xué)習(xí)、路徑規(guī)劃、人員響應(yīng)HMI、先進測試方法等。我國學(xué)者毛向陽等分析了預(yù)期功能安全、功能安全及信息安全的關(guān)系。Mirko Conrad等也對比了功能安全與預(yù)期功能安全之間關(guān)系并在SAE 2018自動駕駛安全技術(shù)論壇作相關(guān)報告。IOTG研究了預(yù)期功能安全、網(wǎng)絡(luò)安全以及責(zé)任敏感性安全等智能駕駛不同方面的安全性考慮及相互關(guān)系。ZENUITY公司通過分析ADAS與HAD的不同提出了SOTIF在兩者中應(yīng)用的區(qū)別。HORIBA MIRA分析了SOTIF及其應(yīng)對的挑戰(zhàn)，提出了相應(yīng)的需求并建立了風(fēng)險評估的框架，利用SOTIF風(fēng)險評估等分析了解決預(yù)期行為方面問題的預(yù)期功能安全框架。

上述研究主要集中于預(yù)期功能安全的定義和描述，對其開展理論和定性定量的研究涉及很少。尚世亮和李波對比功能安全與信息安全技術(shù)的差異給出了預(yù)期功能安全的技術(shù)路線，同時對車輛電控系統(tǒng)預(yù)期功能安全技術(shù)進行了研究，并提出相應(yīng)評估方法與改進方法。BOSCH公司基于V模型兩側(cè)內(nèi)容將SOTIF用于ADAS系統(tǒng)開發(fā)過程和自動駕駛，并利用性能故障樹從標(biāo)稱性能角度分析DA/AD系統(tǒng)。TNO提出了一種基于場景、數(shù)據(jù)驅(qū)動、用于構(gòu)建和維護真實場景數(shù)據(jù)庫的StreetWise方法，為高級駕駛輔助系統(tǒng)和(連接的)自動駕駛系統(tǒng)的開發(fā)和評估提供了真實的場景和測試用例。Bev Littlewood等研究了對于安全關(guān)鍵軟件操作測試的一些保守停止規(guī)則，提出了一些新的貝葉斯停止規(guī)則，為SOTIF適用系統(tǒng)的確認(rèn)過程提供了一些測試方法的借鑒。Scott A.Shappell等研發(fā)的HFACS系統(tǒng)可推導(dǎo)SOTIF誤用情景中的人為因素分析中。德州儀器公司就混合信號半導(dǎo)體的失效模式影響及診斷分析（FMEDA）提出了一套功能安全分析的思路。蔡天富等人以耗散結(jié)構(gòu)的維持與演化作為安全系統(tǒng)運行機制的理論基礎(chǔ),在探討過程中提出了安全熵是反映安全系統(tǒng)本身的混亂程度的概念，并提出安全熵簡單數(shù)學(xué)表達和在人-機-環(huán)境三大要素組成系統(tǒng)中的分析。車天偉等人結(jié)合信息論有關(guān)知識引入安全熵的概念，針對訪問控制模型的安全性分析與證明問題,提出了基于安全熵的量化分析方法。袁黎等人為評估無信號控制路段行人過街安全性,本文考慮行人過街的不確定性及混亂性,提出安全熵概念,建立基于安全熵的無信號控制路段行人過街風(fēng)險評估模型。這些安全熵相關(guān)的研究可借鑒于預(yù)期功能安全的定量評估分析中。

智能汽車預(yù)期功能安全研究的另一個重要內(nèi)容就是對于場景的理解。Thomason等將場景提出了一種場景樹作為場景表示，其中它們將場景分解成更簡單的元素并將這些元素排列成分層結(jié)構(gòu)；Maurer從觀察者的觀點來看：“物理對象的空間—時間排列定義了一個場景”。Geyer等人使用劇院的比喻來定義：“場景由風(fēng)景，動態(tài)元素和可選的駕駛指令定義。場景從前一場景結(jié)束開始，或者在場景的情況下開始—具有預(yù)定義的起始場景。在這個起始場景中，定義了所有元素及其行為，并設(shè)定了自我車輛的位置”。通過研究和總結(jié)前人的成果，Simon Ulbrich等人定義場景為環(huán)境的快照，包括風(fēng)景（地理空間靜止元素）和動態(tài)元素（移動或具有移動能力），以及所有行動者和觀察者的自我表征，以及這些實體之間的關(guān)系。

智能駕駛的預(yù)期功能安全問題，從智能駕駛的三個層面（圖1）：感知識別、決策規(guī)劃、控制執(zhí)行，分析產(chǎn)生預(yù)期功能安全問題的場景因素、算法因素和部件軟硬件因素，基于SCSTSV的概念建立智能駕駛安全性預(yù)警區(qū)、識別區(qū)和防護區(qū)，提出定量度量預(yù)期功能安全的“安全熵”理論，構(gòu)建安全性試驗場景和試驗用例。

（1）L4級的智能汽車要求擴展預(yù)期功能安全的研究內(nèi)涵

目前ISO/PAS 21448標(biāo)準(zhǔn)主要是針對L2級ADAS的預(yù)期功能安全研究，聚焦于人與智能車的交互安全，隨著智能駕駛系統(tǒng)從輔助駕駛功能朝著無人駕駛的發(fā)展，人類的角色由專業(yè)駕駛員逐漸過渡為一般非專業(yè)化乘員，終從駕駛?cè)蝿?wù)中解放。智能汽車預(yù)期功能安全的不確定性因素增加。因此，應(yīng)從智能駕駛的“感知、決策、執(zhí)行”各個層面系統(tǒng)性研究預(yù)期功能安全的內(nèi)涵。

（2）人工智能算法給智能汽車安全帶來新的不確定性

人工智能算法在汽車領(lǐng)域的應(yīng)用極大地推動了智能駕駛的發(fā)展，但由于算法本質(zhì)上是統(tǒng)計概率的范疇，在模型的訓(xùn)練與測試過程中所涉及到的樣本庫質(zhì)量，算法選擇等，不能覆蓋汽車行駛的所有場景。導(dǎo)致系統(tǒng)在實際使用過程中可能在無故障的情況下出現(xiàn)漏檢、誤檢，從而危害行車安全。因此，有必要在預(yù)期功能安全范疇內(nèi)，對人工智能算法給智能汽車安全帶來的風(fēng)險進行評估。

（3）預(yù)期功能安全領(lǐng)域缺乏定量表示

ISO/PAS 21448標(biāo)準(zhǔn)以本車的車載系統(tǒng)功能為中心，從環(huán)境關(guān)聯(lián)的角度研究如何提高本車預(yù)期功能安全性的問題，提出系統(tǒng)功能與環(huán)境關(guān)聯(lián)安全的重要性，提供了一種安全分析的全局觀，但尚缺乏汽車智能系統(tǒng)預(yù)期功能安全的定量表示。熵是衡量系統(tǒng)混亂程度的有效手段，本文擬引入熵反映智能汽車在某狀態(tài)下智能駕駛系統(tǒng)的不確定性，智能汽車的預(yù)期功能安全概率，實現(xiàn)預(yù)期功能安全的定量表示。

1 駕駛感知的安全建模

智能車是智能交通系統(tǒng)的重要組成部分，但車載傳感器的探測范圍與精度受硬件和算法的制約，同時在特定極端惡劣環(huán)境下，系統(tǒng)的魯棒性也面臨挑戰(zhàn)。由此給智能駕駛感知的安全帶來不確定性。目前主流的解決方法是將多種傳感信息融合，依靠系統(tǒng)冗余從而提高整個系統(tǒng)的可靠性和安全性。

Chen等人首先將雷達輸入的3D點云投影到前視圖和鳥瞰圖，然后用鳥瞰圖通過卷積網(wǎng)絡(luò)以及3D bounding-box回歸之后生成低精度的3D proposal，然后將此3D proposal投影到前視圖、鳥瞰圖、單目圖像，通過一個融合網(wǎng)絡(luò)，將其通過多任務(wù)損失函數(shù)進行訓(xùn)練，得到車輛的三維檢測。Ku等人輸入RGB圖像以及BEV圖(點云的鳥瞰圖)，利用FPN網(wǎng)絡(luò)得到二者全分辨率的特征圖，將兩者的特征圖作為RPN的輸入，通過crop&resize提取兩個feature map對應(yīng)的feature crop，按元素取均值的操作進行融合，挑選出3D proposal以實現(xiàn)3D物體檢測。Banerjee等人首先通過對激光雷達和相機的外部校準(zhǔn)，得到激光雷達點云坐標(biāo)系與相機坐標(biāo)系的變換矩陣，將激光雷達點云通過變換矩陣變換到相機坐標(biāo)系，再投影到圖像平面上，得到深度稀疏的RGB-D圖像，將融合后的圖像送入目標(biāo)檢測網(wǎng)絡(luò)。Liang等人首先分別在圖像流和點云流(BEV)使用ResNet18提取特征，然后將圖像特征進行多尺度融合并利用PCCN將其“投影”到BEV map上(類似于插值過程)，融合了圖像特征以及空間位置信息，與點云流特征進一步融合并實現(xiàn)3D檢測。Qi等人輸入RGB-D數(shù)據(jù)，先通過Mask RCNN在RGB圖像上找到2D區(qū)域建議，結(jié)合激光雷達點云，將2D邊界框提升到定義該對象的3D搜索空間的視錐建議，接著，在該視錐中使用PointNet++進行3D實例分割（進一步縮小建議的3D空間），，利用T-Net對坐標(biāo)歸一，并再次使用PointNet++，回歸出物體3D邊界框的相關(guān)參數(shù)。

Han等人通過對激光雷達點云數(shù)據(jù)投影過后的二維深度圖像上采樣，得到與圖像像素一一對應(yīng)的深度信息，將彩色圖像和深度圖像兩個數(shù)據(jù)特征訓(xùn)練adaboost分類器，通過CRF調(diào)整輸出結(jié)果。Liu等人提出了一種基于共點映射的方法融合激光雷達和圖像數(shù)據(jù)，其認(rèn)為激光點云信息到像素信息類似于共線中的雙射，通過此方法將激光雷達與圖像邊緣點相對應(yīng)，提出了4種特征判斷車輛可行駛區(qū)域，將結(jié)果送入貝葉斯網(wǎng)絡(luò)得到概率圖模型。Xiao等人為了克服復(fù)雜多變的道路場景，天氣變化和光線變化，將激光雷達點云數(shù)據(jù)與圖像數(shù)據(jù)標(biāo)定對齊，將兩種傳感器數(shù)據(jù)同時通過CRF輸出對應(yīng)道路區(qū)域概率，可以在較大程度上消除兩種傳感器帶來的缺點，比如激光雷達點云數(shù)據(jù)擁有精確的3D距離信息，而缺乏圖像數(shù)據(jù)的顏色、紋理、梯度等特征。Xiao還通過一種新穎的鳥瞰圖變換將激光雷達數(shù)據(jù)和圖像數(shù)據(jù)對齊，彌補兩個傳感器各自的缺點，通過CRF給出道路區(qū)域概率。

Hu等分別在激光雷達和圖像數(shù)據(jù)中提取道路路面，激光雷達通過提取道路邊界點和路面點，在圖像數(shù)據(jù)中提取道路特征，將其使用概率圖模型輸出道路概率。Couprie等提出了一種基于二維和三維視覺融合的道路檢測系統(tǒng)，利用二維圖像通過分水嶺生成簇，然后對每個簇的二維和三維特征進行融合并送入人工神經(jīng)網(wǎng)絡(luò)（ANN）進行分類。Dosovitskiy等提出映射雷達點到圖像平面，然后分析點之間的局部空間關(guān)系，得到障礙物，并通過多自由空間檢測來估計道路。由此看出，目前的研究主要集中于多感知的融合算法，但對于感知的錯檢、漏檢，以及錯覺場景的風(fēng)險評估研究涉及較少。

2 智能駕駛決策的安全建模

對于人-車-環(huán)境為一體的現(xiàn)代化道路交通，環(huán)境感知信息的不完整、高度動態(tài)變化、甚至不一致等特點，對自動駕駛車輛的認(rèn)知與決策模型在準(zhǔn)確性、實時性、魯棒性等方面提出了嚴(yán)峻挑戰(zhàn)。目前，自動駕駛汽車決策行為的研究主要包括行為決策、路徑規(guī)劃及行車安全三個方面，但研究內(nèi)容對于影響行為決策、路徑規(guī)劃以及行車安全的各種因素考慮不全，對由此產(chǎn)生的風(fēng)險概率評估不足。

在行為決策方面，卡耐基梅隆大學(xué)的BOSS使用行為推理方法進行決策，按照規(guī)定的知識及規(guī)則實時推理出相應(yīng)的駕駛行為。但由于真實的交通場景中不可避免的存在不確定性，并不能完全保證決策的安全準(zhǔn)確性。Wei J等人將傳感器噪聲、感知約束及周圍車輛行為作為屬性加以決策，使用Markov模型進行決策，增強了自動駕駛汽車在單車道內(nèi)行駛的穩(wěn)定性。同樣，Chen J等人采用多屬性決策方法來選擇自動駕駛汽車的策略。

在路徑規(guī)劃方面，目前常用的方法為啟發(fā)式搜索算法，包括A*和Field D*等算法，這類算法通常搜索速度較快，但其求解過程不夠穩(wěn)定，容易出現(xiàn)重新規(guī)劃的現(xiàn)象。叢巖峰提出基于預(yù)測控制理論，基于滾動的方法借助反饋進行實時規(guī)劃。上述算法都未考慮到車輛動力學(xué)的問題，規(guī)劃出的軌跡不適合車輛行駛；且算法的普適性及實時性無法滿足智能駕駛的安全需求。

在行車安全方面，大多數(shù)現(xiàn)有的行車安全模型都是基于車輛動力學(xué)理論來建立的，考慮了車輛狀態(tài)信息和相對運動信息。這類行車安全模型忽略了“人-車-路”閉環(huán)系統(tǒng)各要素對行車安全的影響，無法體現(xiàn)影響行車安全的各因素的相互作用。我國李德毅院士等發(fā)明了一種智能車輛利用變粒度路權(quán)雷達圖進行信息融合的方法，采用變粒度路權(quán)雷達圖的形式，融合各類傳感器的環(huán)境感知信息，并顯示車輛擁有的路權(quán)空間及其變化趨勢，實現(xiàn)輔助駕駛和無人駕駛。湯傳業(yè)等人提出了一種基于交規(guī)約束的無人車行駛路權(quán)規(guī)劃方法，通過對道路環(huán)境圖像的處理終得到了柵格狀的路權(quán)態(tài)勢圖，使得無人車在規(guī)則化道路中在遵守交通法規(guī)的前提下安全行駛。劉健在其博士論文中提出了一種基于障礙物特性建模的路權(quán)時空態(tài)勢圖的構(gòu)建方法，反映無人車局部環(huán)境中的碰撞風(fēng)險。我國學(xué)者王建強提出了“行車風(fēng)險場”概念，考慮了人-車-路組成閉環(huán)系統(tǒng)中各交通要素對行車風(fēng)險的影響，為車輛智能安全技術(shù)的研究提供了一種新的思路和方法。

3 智能駕駛執(zhí)行器的安全建模

智能駕駛執(zhí)行器是作為智能駕駛系統(tǒng)決策輸出目標(biāo)控制量的終執(zhí)行者，其執(zhí)行效果直接影響無人車整體性能，它所承接的系統(tǒng)決策命令綜合了車輛外部交通環(huán)境狀與車內(nèi)乘客的高不確定性，故建立執(zhí)行器安全模型是實現(xiàn)智能駕駛的關(guān)鍵技術(shù)之一。目前的研究對于乘員在環(huán)的誤操作以及帶來的風(fēng)險沒有系統(tǒng)的評估策略和安全建模。

執(zhí)行器的預(yù)期功能安全主要考慮人機交互過程中乘客的不確定性與執(zhí)行器自身的響應(yīng)特性。首先，多因素可造成乘客錯用或者誤用駕駛功能，而不同自動駕駛功能觸發(fā)時乘客的接受度和響應(yīng)時間直接決定了該過程中車輛行駛的安全性。且乘客的個人差異（如年齡、駕駛履歷、心理負(fù)荷、操作感覺反饋、自動駕駛功能的理解程度等）在人機交互環(huán)節(jié)可能威脅車輛行駛安全。目前，控制權(quán)切換績效的評價尚無統(tǒng)一的方法，但是其中一些因素已經(jīng)取得了一些研究進展。Damb?ck等人研究了在自動駕駛過程中，通過給定一個切換任務(wù)來研究駕駛?cè)藢θ蝿?wù)的響應(yīng)實時性。Zeebk等采用仿真實驗分析了智能輔助駕駛系統(tǒng)切換時間與切換提示之間的相互影響關(guān)系，并在此基礎(chǔ)上對不同駕駛風(fēng)格駕駛?cè)饲袚Q反應(yīng)能力進行了統(tǒng)計分析。Nilsson等通過融合駕駛?cè)说目刂颇芰蛙囕v當(dāng)前狀態(tài)構(gòu)建由自動駕駛切換到手動駕駛的安全評估模型。

在現(xiàn)階段，預(yù)期功能安全的研究對象主要是L2級別的自動駕駛系統(tǒng)，駕駛員在環(huán)是其重要特征。對駕駛員狀態(tài)的檢測一般包括以下3種方法：

（1）駕駛員生理信號檢測法；

（2）駕駛員面部表情檢測法；

（3）駕駛員駕駛行為檢測法。

如浙江大學(xué)開發(fā)了一套基于灰度積分投影的人眼快速定位法，利用圖像垂直灰度和水平灰度投影曲線來確定人臉邊界及人眼位置，確定人眼閾值進而檢測駕駛?cè)藛T眼睛的閉合時間及閉合頻率；西安交通大學(xué)對基于駕駛行為的駕駛員疲勞狀態(tài)進行了研究，通過分析駕駛員轉(zhuǎn)向盤轉(zhuǎn)角的轉(zhuǎn)向特征，進行小波包的分解并建立能譜熵，對駕駛員疲勞狀態(tài)和正常狀態(tài)時的小波能譜熵值進行比較，以能譜熵值區(qū)分駕駛員狀態(tài)。

另一個角度來講，執(zhí)行器模型描述著期望指令和實際通過執(zhí)行器實現(xiàn)的指令之間的關(guān)系，執(zhí)行器的精度、響應(yīng)時間、預(yù)設(shè)工況與工作狀態(tài)、工作范圍等許多待確定的特性參數(shù)，選取這些參數(shù)十分繁瑣，郭景華把執(zhí)行器建模視為灰箱辨識問題來確定執(zhí)行器的數(shù)學(xué)模型。智能車在運動過程中利用車輛運動學(xué)與碰撞學(xué)對車輛運行結(jié)果進行安全評價。吉德志采用蒙特卡洛方法來計算車輛間的碰撞概率，并對傳統(tǒng)的蒙特卡洛方法加以改進以提高碰撞概率的計算速度，提出了幾何蒙特卡洛和矩陣蒙特卡洛方法，實時計算車輛間的碰撞概率，完成車輛的碰撞預(yù)測。Laugier C等在考慮道路幾何拓?fù)洵h(huán)境的基礎(chǔ)上，通過隱馬爾可夫模型結(jié)合GPS進行碰撞識別，直觀的進行碰撞風(fēng)險估計。Jang J A提出了一種協(xié)同路口碰撞預(yù)警系統(tǒng)模型CICWS（Cooperative Intersection Collision Warning System），應(yīng)用固定的交通傳感器在無信號路口為駕駛員實時提供預(yù)警信息。文中使用交通技術(shù)TCT（Traffic Conflict Technique）估計交叉口的可能碰撞，并擴展概念應(yīng)用于實時信息通訊，用于識別與車輛建設(shè)相關(guān)的安全問題。

還有一些對于車輛橫向控制的研究：清華大學(xué)的張德兆等針對乘用車設(shè)計了一種基于風(fēng)險狀態(tài)預(yù)估的彎道防側(cè)滑超速預(yù)警系統(tǒng)，根據(jù)駕駛員預(yù)估時間構(gòu)造風(fēng)險狀態(tài)預(yù)估函數(shù)，提前判斷車輛進入彎道時的安全狀態(tài)，并對駕駛員分級報警提示，從而使其提前對車輛進行操作，保證車輛彎道行駛的安全性。Gerhard等建立車輛線性動力學(xué)模型，利用主動差速和主動側(cè)傾控制系統(tǒng)設(shè)計了橫擺角控制器，簡單但魯棒性強，在時變參數(shù)空間內(nèi)確定車輛穩(wěn)定的邊界條件，通過控制車輪轉(zhuǎn)向角和車輛縱向速度以避免車輛發(fā)生側(cè)翻等危險。

4 結(jié)束語

綜上所述，預(yù)期功能安全屬于智能汽車的新型發(fā)展方向，國內(nèi)外研究多數(shù)停留于定義和概念階段，尚缺乏系統(tǒng)的基礎(chǔ)理論支撐。少數(shù)探索性研究主要針對特定技術(shù)方面，決定了預(yù)期功能安全目前存在著很大的挑戰(zhàn)。

（1）在智能駕駛預(yù)期功能安全方面，由于安全評估必須依靠場景的支撐，需要研究智能駕駛場景的建模，駕駛碰撞是由于智能汽車的現(xiàn)有路權(quán)和駕駛意圖的期望路權(quán)之間的，研究基于路權(quán)語義的場景建模，并提出預(yù)期功能安全熵的概念，表示該智能系統(tǒng)的安全度。

（2）智能駕駛感知的安全建模任務(wù)中，可靠的環(huán)境感知能力對自主巡航控制、碰撞預(yù)警和路徑規(guī)劃起到至關(guān)重要的作用，直接影響其決策的準(zhǔn)確性。環(huán)境感知是多種傳感器數(shù)據(jù)融合后的結(jié)果，如何學(xué)習(xí)、融合多源異構(gòu)傳感數(shù)據(jù)，是研究感知的首要問題。在面對多態(tài)性環(huán)境和錯覺場景，需建立有效的風(fēng)險評估策略和干預(yù)措施。此外，如何提高感知準(zhǔn)確率，針對漏解和誤解情況構(gòu)建魯棒的概率模型，也是亟待探索的重要問題。

（3）在智能駕駛決策的安全建模方面，對行為決策及路徑規(guī)劃算法的安全性進行風(fēng)險評估,研究道路交通法規(guī)和未知危險造成事故的可能性等因素，開展基于風(fēng)險概率及嚴(yán)重程度的風(fēng)險預(yù)測模型的構(gòu)建，設(shè)計決策安全監(jiān)測系統(tǒng)，同步監(jiān)測及驗證決策邏輯，建立基于決策層面的預(yù)期功能安全模型與計算方法。

（4）在智能駕駛執(zhí)行器的安全建模方面，執(zhí)行器的輸入有智能系統(tǒng)和乘客行為，由于存在執(zhí)行器響應(yīng)延遲與工作范圍限制，乘員對功能理解不充分狀態(tài)下的功能誤用以及系統(tǒng)觸發(fā)時與乘員預(yù)期不同所產(chǎn)生的心理負(fù)荷等因素，對行車安全造成影響。故未來應(yīng)提出綜合乘客不確定因素與執(zhí)行器響應(yīng)特性要素，從車輛動力學(xué)失穩(wěn)與運動學(xué)碰撞風(fēng)險角度，建立智能駕駛執(zhí)行層面的預(yù)期功能安全熵模型與計算方法。