未来自动驾驶系统功能安全模型拆解分析

　　目前基于量产开发的主流自动驾驶功能分为如下四类：
　　1）L3级交通拥堵自动驾驶系统TJP：该系统要求具有驾驶执照的警惕常规驾驶员，仅在结构上分开的道路上行驶，与其他道路相比，行人或骑自行车的人通常更少，最高时速60 km / h，需要有前导车辆，没有变道，没有建筑工地，仅在白天，没有雨，温度高于冰点。
　　2）L3级高速路自动驾驶系统HWP：具有驾驶执照的警惕常规驾驶员，仅在结构隔离的道路上行驶，最大速度为130 km / h，无需前导车辆，变道，建筑工地，晚上在白天，适度降雨和下雪。
　　3）L4城市自动驾驶系统（UCS）：无警惕的常规驾驶员，无能力驾驶，无需驾驶执照，最高时速70 km / h，带安全驾驶员的大型ODD，无安全驾驶员的有限ODD，必要时允许遥距操作。
　　4）L4自动代客停车系统（AVPS）：供车辆客户和车队操作选件，在经认证的停车结构或区域内进行无人驾驶运动（无需保持警惕的常规驾驶员，无需驾驶执照），最大时速10 km / h，ODD专注于街边停车位和后勤区，可扩展使用基础设施（基础设施不是强制性的，但可以远程操作）。
　　与驾驶过程相比，自动驾驶可以在大多数情况下提高性能。但是，它不能完全消除事故或崩溃的风险。避免不合理的风险的主要措施是主张可接受的安全水平。其证据是基于前摄性和反应性驾驶行为的应用，在合理可行的情况下尽可能＂避免＂实际发生的撞车事故，以及避免与道路使用者相关的特征风险。这些判断通常基于定性和定量评估的结合，以及对良好工程实践和现有标准的理解。可以说，采用现有标准和最新技术将使得产品更安全。
　　积极的风险平衡是可接受的安全水平的一个主要指标。可以从交通事故统计数据中得出用于建立正向风险平衡的证据，以定义可接受的标准。重要的是，验证目标值必须基于预期目标市场的保守交通事故统计数据，涵盖交通繁忙和挑战性交通场景。不同的验证目标值可能适用于不同的市场。从长远来看，最先进的自动驾驶系统将反映在交通事故统计中，并将不断提高新的自动驾驶系统的验证目标值。
　　本文的目标是提出一种解决自动车辆带来的风险的通用方法。此通用方法可以作为安全自动驾驶的基准，但不包含完整且安全的特定产品。预期功能的安全性，功能安全性和网络安全性如何一起工作，以及如何将它们组合在一起以创建一个可靠的系统。
　　自动驾驶的安全分析能力推导
　　自动驾驶系统具有一组基本的系统属性，此处将这些属性指定为功能。这些功能分为故障安全功能（FS）和故障降级功能（FD）。故障安全功能可提供并实现客户价值，但是它们还可以使系统在发生故障时达到最小风险状态。故障安全功能可能会中断，因为其不可用时的安全相关性较低，也可能被故障降级功能所覆盖。
　　在系统正常运行期间，可以使用机器人技术和自动驾驶控制中经典的软件架构 — ＂感知-规划-决策执行＂设计范式来理解系统运行。在此模型中，感测、规划、控制以及制动和稳定性执行策略为自动驾驶系统提供了与实现无关的一般视图。如下图展示了这种常用模型：
　　该模型中显示的感知端详细阐述了包含如下几个分类信息：
　　1）V2x：包括V2V、V2I、V2P等；
　　2）环境感知传感器：Radar、Camera、Lidar等；
　　3）先验环境感知：HD-Map；
　　4）车辆状态：车身信息（如速度、加速度、横摆率、转向角等）；
　　5）驾驶员状态：疲劳、注意力状态等；
　　6）交通规则、人机交互接口；
　　功能目标分解——故障安全功能
　　基于自动驾驶系统功能对感知，规划和决策的基本功能分配，可以为自动驾驶车辆合理安全且与要素分配相关功能安全需求，如下图所示。
　　基于如上图所示实现的功能降级能力模型，我们可以进一步实现自动驾驶功能目标分解，以便从系统层面上对自动驾驶进行相关安全分析。
　　FS_1：车辆定位
　　该系统能够确定其相对于ODD的位置。车辆能够确定它是否在特定于位置的ODD之内或之外。根据项目定义，可能需要确定ODD的确切位置，该位置包括感知的相关邻近信息。
　　位置信息可用于选择正确的车道（例如进行转弯）或知道适用哪些当地交通规则。除此之外，如果自动驾驶系统的预期用途受到限制，则确保自动驾驶系统仅在指定的系统限制内运行。因此，重要的是要使用来自传感器融合算法的环境信息来充分定位自动驾驶车辆。为了实现适当的定位，可能需要在定位范围上，利用自动驾驶车载感知性能之外的其他先验信息进行补充（例如，通过地图信息，将检测到的事件引用到唯一的坐标系中）。此外，充分考虑来自自车的信息，以预测自动驾驶汽车是否将超过ODD限制，这也是激活自动驾驶系统的前提条件，可以防止驾驶员滥用ODD之外的自动驾驶系统。
　　FS_2：静态和动态对象感知
　　自动驾驶系统需要其功能行为的所有实体都可以被感知，并在预处理后提供正确且有效的信息。分析功能安全的最高优先级放在具有相关碰撞风险的实体上，样本实体包括动态对象（例如其他道路用户和相应运动的特征），静态实例（例如道路边界，交通指引和通信信号）和障碍物。
　　FS_3：对象行为预测
　　相关环境模型由预测的未来状态进行扩展，目的是创建环境预测，解释相关对象的意图，以便形成预测未来运动的基础。
　　FS_2输出的当前世界模型可能不足以作为安全合法地制定FS_4的输入。因为它不仅反映当前世界模型而且还反映预测未来状态的世界模型，以便生成对动态驾驶情况或＂场景＂的完整描述。还应该考虑到其他动态物体和障碍物的意图，包括那些被部分遮挡的物体和障碍物，作为预测未来运动的基础。此外，目前的环境条件（例如低路面摩擦和降低的传感器性能（例如，雾，薄雾，大雨））也已纳入预测范围。根据项目定义，甚至V2X都可以用于获取有关周围物体的信息（例如代客停车系统）。
　　FS_4：创建无碰撞且合法的驾驶规划
　　为确保无碰撞和合法的驾驶政策，功能安全分析中需要考虑遵守以下规定：
　　- 与其他物体保持安全的横向和纵向距离；
　　- 无论何时何地，在自动驾驶车辆行驶时均遵守所有适用的交通规则；
　　- 考虑可能的遮挡物体、其他道路使用者或动物的潜在区域；
　　- 在不清楚的情况下，不给予通行权；
　　- 如果可以避免撞车而又不危及其他道路使用者，则必要时可能会违反交通规则，以免造成伤害或挽救生命；
　　- 考虑其他道路使用者和自动驾驶汽车的不足和不确定性。
　　FS_5：正确制定和执行驾驶规划
　　根据行驶计划生成用于横向和纵向控制的相应驱动信号。一旦驾驶计划创建了无碰撞且合法的驾驶计划，运动控制和运动执行器也可以考虑当前的自我运动情况，以将驱动计划元素的轨迹转换为车辆运动执行器的物理运动（例如，转向，制动或动力总成）
　　FS_6：与其他道路使用者进行交流和互动
　　对于与安全相关的用例以及设置的设计运行范围ODD，自动驾驶汽车会与其他道路使用者进行通信和交互。自动驾驶车辆以可预测的方式（例如，在没有提前启用转向指示器的情况下不改变车道，在接近车道合并点前进行有效的并道）进行自主驾驶。与手动驾驶相似，通讯方式包括视觉指示器，有时还包括声音指示器。V2X或其他类型的交互也可以是一种通信方式。
　　FS_7：确定是否未达到指定的标称性能
　　自动驾驶系统的任何元素，可能单独或与其他元素组合，都会导致不良行为。因此，可以通过适当的机制来检测系统的不良标称性能或违反ODD条件的情况。同时涵盖了对检测到的不良行为将如何反应。影响标称性能的典型因素表示如下：
　　— 有害的人为因素，包括可预见的滥用和操纵；
　　— 预期功能的偏差；
　　— 技术局限性；
　　— 环境条件;
　　— 系统性和随机性故障。
　　当降级因素与安全性没有直接关系时，系统可能具备恢复到标称性能的能力。实现所有的标称性能要素是必要的，但也不足以确保系统安全运行。这就需要有足够的监视器来检测元素或系统级别上定义的性能极限，并有足够的时间来确保安全的反应。
　　功能目标分解——故障降级功能
　　FD_1：确保驾驶员的可操控性
　　根据SAE J3016：2018的自动化级别和用例定义，驾驶员的控制级别会有所不同，因此可以确保驾驶员对车辆的可控性。驾驶员的角色取决于自动驾驶系统的预期SAE水平。在SAE L3自动驾驶系统中，驾驶员可以将注意力从驾驶任务上移开。在这种情况下，系统负责维持车辆控制，以允许驾驶员进行重新调整，以便可以专注于驾驶任务，并在迫切需要系统接管请求时重新获得态势感知能力。因此，自动驾驶系统需要连续监视驾驶员是否可能分心或模式混乱。
　　同时，对于装有SAE L4自动驾驶系统和手动驾驶模式的车辆，还需要监视可能的模式混乱。在没有手动驾驶模式的情况下，SAE L4自动驾驶系统中驾驶员的可控制性可能受限于用户在使用紧急停车功能时执行器的能力，识别到危险或意识到ODD边界时导致的退出。当系统在进行远程控制时，驾驶员可以是所讨论车辆的所有外部实体。为了确保本地或远程驾驶员的可控性，ADS模式管理器感测到车辆驾驶员（传统驾驶员或远程驾驶员）希望控制车辆时需要对此做出反应。这个过程说明驾驶员对车辆的操作应该是最高优先级别。
　　FD_2：实时检测到系统的降级状态
　　确保检测到故障降级能力可能不可用，如果降级后的风险减缓策略取决于导致降级的原因，则需要首先确定降级原因。
　　FD_3：确保安全模式转换和运行模式识别
　　正确执行驾驶模式转换，并在必要时由相应的车辆驾驶员进行接管控制。重要的是，参与的驾驶员应了解当前的驾驶模式以及由此产生的责任。例如，仅当在ODD内时才允许激活自动驾驶模式。车辆操作员再次控制或滥用该系统后将其停用，它将在离开ODD之前停用。
　　安全模式转换由ADS模式管理器执行，该管理器收集决定是否更改模式所需的所有必要信息。这包括来自监视器的有关电气、电子和软件故障，性能问题、车辆和车辆操作员状态的信息。收集所有必要信息之后的第二步是在模式之间进行安全切换。仅当自动驾驶系统检测到驾驶员重新回到控制车辆控制功能的回路中时，亦或者车辆处于安全状态时，才允许停用ADS。
　　FD_4：通过降级应对标称性能不足和其他故障
　　由于可能没有可用的标称性功能和其他故障（例如基于硬件故障），因此在规定的时间内降低系统性能非常重要。
　　如上图定义了系统对标称性能不足的反应，即使发生故障，系统也可以正常反应。该任务由ADS模式管理器执行。它由监视器触发，并为相应的触发器启动定义反应效果。根据故障的严重程度，这可能会影响几个要素或几乎影响整个自动驾驶系统。总而言之，一项艰巨的任务是决定要选择哪种降级以及可能发生的所有不同故障的组合。
　　FD_5：在故障降级模式下降低系统性能
　　该安全分析定义了在故障降级模式下发生故障时的反应。
　　如上图通过由ADS模式管理器和其他输入（可能包含降级的约束，例如，减小的感知范围）确定的目标MRC给出的结果，驾驶规划能够生成无冲突且合法的车辆运动，从而以减少的系统实现相应的MRC 性能。降低的系统性能能力涵盖从自动驾驶系统某些功能丧失到要求安全停止自动驾驶的需求。同时，它还包括有关通过人机交互HMI执行模式更改的驾驶员信息（如接管请求）。这里要说明的是，导致舒适度降低的故障不包括在范围内。
　　FD_6：在减少的系统约束内执行ODD功能适配
　　具有ODD功能适应性的自动驾驶系统操作可以作为具有较多限制的标称性功能而驾驶员被激活，期间可以根据不同的驾驶场景进行多种功能适配。也可以定义了新的限制条件，以调整功能安全。如果合适，安全的功能调整可以是具有确定时间范围的永久操作，以进行其他所需的驾驶反应。
　　下表中的选择矩阵是一个用于演示派生功能的完整性状态描述，可以为自动驾驶过程提供可追溯性的分析证据，且此类表格需要针对具体的开发项目进行调整。
　　如下表所示，安全评估的原则可追溯到所有功能，这源自对产品开发中负责提供必要的预期，并通过进行验证和能力确认提供证据，然后由评估小组进行审查，从而开发出用于验证自动驾驶系统方法的全部逻辑和原理。
　　最小风险条件和策略的功能安全分析
　　最小风险操作（MRM）是系统在最小风险条件（MRC）之间转换车辆的能力， MRM是到达MRC的紧急操作。MRC和MRM的概念是在考虑车辆安全性的基础上得出的，并根据ISO 26262系列的原则定义为在发生故障的情况下风险等级可承受的工作模式。其扩展的定义中还包括故障降级模式和车辆操作员的接管过程。最终MRC指的是允许完全停用自动驾驶系统的条件状态，例如，车辆停顿或驾驶员已接管驾驶。如下图展示了这一原理。
　　MRM的目的是将车辆转移到最低风险状态，由于自动化系统的复杂性和影响风险的条件，可以连续进行多个MRC和MRM。当并非所有故障安全功能都可用时，系统将处于故障降级模式，而其余的故障降级功能将通过适当的最小风险策略操作达到最小风险条件。
　　故障降级模式是一个有时间限制的操作域，在该域中，需要尽可能降低其发生频率。故障降级模式的可接受时间取决于当前系统中的剩余功能。功能安全分析的概念是尽可能的减少可能造成伤害的频率，以保证降低自动驾驶系统所需的安全完整性等级。下表定义了MRM允许安全过渡的条件。
　　使用下表中的MRM列表，潜在故障模式反映在整个系统中。重要的是应用相关安全标准中的几种分析方法（例如FMEA或FTA之类的故障分析技术，针对系统的预期用途及其滥用的分析）。此类分析措施可以为每个组件定义所有所需的安全状态，并表征这些安全状态如何启用集成系统的MRC和MRM。
　　ADS模式管理器完成了在手动和不同自动驾驶模式之间安全切换的任务。为了激活自动驾驶模式，需要获得所有信息来检查是否满足所有先决条件，例如ODD（例如，自动驾驶汽车是否处于正确的道路类型上，请检查天气状况）。所需信息可以从后端传输到车辆，可以直接进行测量，计算或从统计中得出。
　　有很多原因要求停用自动驾驶系统。这些包括来自车辆操作员或监视器的请求，或由于无法使用ODD或监视器而导致的请求。如果感觉到这类请求或原因，则可以作为相关的MRC为目标。可以基于车辆状态、用户状态、监视器来记录改变驾驶模式的原因。例如，由车辆状态引起的停用请求可以是燃油表，轮胎压力或其他车辆系统。由用户状态引起的示例包括安全带状态或车辆操作员注意。根据来自一个或多个监视器的信息，ADS模式管理器决定是启动ODD功能适配还是发出MRM到达MRC。但是，这些示例与特定的带驱动系统密切相关。
　　检查自动驾驶车辆是在ODD内还是在ODD之外是一项复杂的任务，因为ODD定义涵盖了广泛的要求。能够感知所有这些因素对于激活和停用至关重要。下表列出了错误检测时可能发生的所有错误类型组合：
　　ODD检测结果中只有假阳性组合与安全有关，即当实际上车辆在ODD内，而错误的检测到在外时，只会导致错误的停用系统，但这个过程是安全的。反之，ODD之外的自动驾驶操作的行为和后果不够安全，因为既未对其进行设计也未对其进行验证。因此，关键的设计要素是要采取适当的安全措施，以确保安全地检测ODD区域和限制。
　　总结
　　本文设计自动驾驶的一般方法是基于其功能安全性的原理。它们来自上述正风险平衡和避免不合理风险的考虑。这些原则为得出总体基线要求和各种自动驾驶功能所需的活动提供了基础。自动驾驶的功能安全性和网络安全性原则分为三类，每组都有一个共同的共同影响领域。
　　第一组名为＂自动车辆及相关方面＂，是针对车辆层面的总体方面，包括自动驾驶系统和人为因素。但是，这些方面对于实现整体安全和网络安全至关重要。这涵盖了技术功能以及与过程相关的方面。
　　第二组名为＂自动驾驶系统＂的原理侧重于系统的主要技术方面。这些原则构成了与自动驾驶系统本身的安全和网络安全有关的功能。
　　第三类被称为＂人为因素＂，涉及ADS和用户之间所有安全交互方面。这包括用户角色，用户与ADS之间的角色明确划分以及双向接管方案。
　　本文旨在重点介绍与开发、生产、操作和维护自动驾驶系统相关的功能安全和网络安全方面，这些方面的结合可为道路上的安全产品提供支持。提出的策略为自动驾驶汽车的功能安全设计和网络安全设计奠定了基础。作者 | Aimee，出品 | 焉知