预期功能安全月 / SOTIF
原文来自“中国智能网联汽车产业创新联盟”预期功能安全工作组授权。
“中国智能网联汽车产业创新联盟”是由工信部指导,中国汽车工程学会、中国汽车工业协会支持,既支撑政府决策、又服务行业发展的创新机构,旨在推动我国智能网联汽车产业和技术发展,是发挥跨产业、政产学研用协同创新的重要推动力量。联盟下辖的预期功能安全工作组,旨在促进预期功能安全发展,加速智能驾驶相关产品的快速落地与应用。
强降雨场景下自适应巡航控制系统的安全控制策略
Safety Control Strategy for Adaptive Cruise Control System in Heavy Rainfall Scenes
作者:Zhao Chao, Bu Dexu, Cao Lipeng, Li Keqiang, Luo Yugong
本文针对强降雨场景下毫米波雷达的目标运动非预期测量误差较大引发 ACC系统的预期功能安全问 题,提出了强降雨场景下自适应巡航控制系统的安全控制策略。首先使用双状态卡方对毫米波雷达输出的目标信 息进行检验,以确定其是否存在安全风险;接着通过卡尔曼滤波对存在安全风险的目标信息进行修正;然后将修正 的目标信息输入ACC控制器控制车辆运动状态,实现安全控制;最后通过搭建的Prescan/Simulink联合仿真平台对提出的安全控制策略进行了仿真验证。结果表明:双状态卡方检验可及时检测风险信息(检测时间偏差在1. 31 s以 内),卡尔曼滤波修正误差在3. 66m以内,有效保证了ACC系统在强降雨场景下安全稳定运行。
➡本文内容主要分为5部分(约6700字,22分钟阅读)
01.前言
自适应巡航控制(adaptive cruise control system,ACC)是重要的智能驾驶辅助功能,ACC系统的目标为通过控制驱动系统和制动系统自动调整车速实现车距保持功能。ACC可以有效减轻驾驶员疲劳强度,提升驾驶的安全性与舒适性。ACC系统功能的 实现依赖于毫米波雷达感知信息的正确性,毫米波雷达在强降雨场景下的性能局限性,可能会导致ACC系统出现速度控制错误的预期功能安全问题。
预期功能安全(safety of the intended functionality,SOTIF)的定义是没有因预期功能的功 能不足或可合理预见的人为误用导致的不合理风险。ISO 21448标准提供了实现 SOTIF所需的适用设计、验证和验证措施的指南,还有研究提供了一些风险评估和触发条件的确定方法,但是目前针对“功能改进来降低SOTIF风险”的策略的研究较少。
毫米波雷达是ACC的重要组成元件,目前的研究重点都在于改进常规工况下ACC的性能,提升毫米波雷达测量的实时性与准确性,确保目标识别与跟踪的效果,但是对于ACC系统在强降雨环境下出现的SOTIF问题考虑较少。
强降雨带来的衰减、杂波和噪声会降低毫米波雷达的最大检测范围,增大虚警概率和测量误差。雨衰减和后向散射会使目标回波功率降低、杂波功率增加。王辉考虑了大气衰减和后向散射,对地面、海面、雨和雪条件下的9. 5-95GHz之间所有常用的雷达的反射进行了一系列研究。黄际英等使用Mie理论计算了单个球形雨滴在不同温度、不同工作频率、不同尺寸情况下的衰减截面和后向散射截面,使用统计拟合的方法,得到了计算毫米波段雨介质后向散射系数的简单公式。Gourova等在雨雾隧道中进行了毫米波雷达的探测实验,对后向散射进行了理论分析。在高频与粒子数目较大的情况下,多重散射会使得降雨后向散射增强。白继玲等分析了降雨的多重散射效应,计算了由降雨的2阶散射机制造成的雨杂波回波功率。Yang等讨论了离散随机介质中2阶后向散射增强理论,基于Mie理论、蒙特卡罗模拟和后向散射增强理论,分别在35和95 GHz时分析了降雨对毫米波雷达性能的影响。此外,考虑降雨对天线噪声温度的影响,张蕊等拟合得到了由降雨的雷达体反射率反演雨衰减率的公式。Zang 等模拟了降雨场景下毫米波雷达的返回功率和接受功率信噪比的变化。李鑫的研究表明,降雨对毫米波雷达返回功率的影响会使毫米波雷达虚警概率增大,最大检测距离降低和测量误差增大。总体而言,当前研究主要集中在分析降雨对毫米波雷达性能影响分析方面,未考虑毫米波雷达的性能局限可能造成的自适应巡航控制系统的SOTIF问题,同时未涉及相应的安全风险识别和安全控制策略的研究。
本文中提出了强降雨场景下ACC系统的安全控制策略,旨在降低由强降雨导致的ACC系统性能局限的SOTIF风险。首先使用双状态χ2识别可能影响ACC性能的安全风险,将毫米波雷达观测信息输入到卡尔曼滤波器和两个状态递推器当中,通过比较卡尔曼滤波器和状态递推器的差值判断系统是否存在安全风险;其次,使用卡尔曼滤波对存在安全风险的毫米波雷达观测信息进行修正,将处理修正后的信息输入ACC上层控制器,基于PID控制得到期望加速度,下层控制器将期望加速度转化为驱动信号或制动信号对车辆进行控制;最后搭建Prescan/ Simulink联合仿真平台对所提安全控制策略进行验证。
02.毫米波雷达SOTIF问题描述
03.强降雨场景下安全控制策略设计
强降雨场景下毫米波雷达的安全控制策略架构如图1所示,分为安全风险识别和安全控制两个部分。使用双状态 χ2 检验进行风险信息的识别,使用基于卡尔曼滤波的修正策略对安全风险进行修正,进而将修正后的信息引入ACC控制器进行安全控制。
图1 安全控制策略原理图
2.1 基于双状态卡方检验的安全风险识别策略设计
强降雨场景中,毫米波雷达传播衰减、信噪比降低,会造成目标运动信息测量误差增大,使用双状态χ2检验识别毫米波雷达中出现大量噪声的情况。
定义状态向量 % 来表征前方物体的运动状态:
式中:y表示目标相对于自车的纵向位置;y 表示目标车辆相对于自车的纵向速度;a 表示相对加速度;j 表示相对加速度的导数。
前方目标运动状态的状态方程的连续时间模型表示为
式中:A为连续系统矩阵;B 为连续系统噪声驱动矩阵;ω 为过程噪声,是相对加速度的导数 j 的干扰。
通过线性离散化,前方目标运动状态的状态方程的离散时间模型为
式中:Φ 为系统状态转移矩阵;G 为系统噪声系数矩阵;T 为系统采样时间;x (k) 为k时刻的状态向量。一步预测状态量 x(k + 1|k)通过上述状态方程求得。
前方目标运动状态观测方程的离散时间模型表示为
式中:z为毫米波雷达观测向量,包含毫米波雷达的目标纵向距离和相对速度,z(k) = [y(k)y(k)]T;
H 为输出状态矩阵;v 是测量噪声。ω和v为相互独立的高斯白噪声序列。
卡尔曼滤波的一步预测协方差P(k+1|k)为
式中Q是过程噪声ω的方差。
最终卡尔曼滤波器的状态更新为
式中 R 是测量噪声 v 的方差。
卡尔曼滤波的状态估计值x(k|k) 由一步预测信息x(k|k - 1)和实际观测信息 z(k )融合得到,当系统存在功能不足、实际观测信息存在风险时,状态估计值x(k|k)也会包含风险信息。设计由先验信息递推得到的状态递推器,最终根据卡尔曼滤波状态估计值x(k|k)与状态递推器xs(k)的差值判断是否存在风险信息。由卡尔曼滤波得到x(k)后,状态递推器进行状态估计和方差递推过程:
状态递推器的递推值会随着时间的累积越来越偏离真实值,导致递推器失效,可以使用卡尔曼滤波的状态估计值定期对状态递推值进行更新。但是当发生风险时,卡尔曼滤波的状态估计值已经包含了风险信息,会污染状态递推器,导致无法检测出信号异常现象。为了减小被污染的可能,提高安全风险识别的可靠性,可以设置两个状态递推器,进行交替重置,当一个状态递推器被重置时,另外一个可以作为参考系统。
双状态卡方检验递推器的重置和使用时间如图2所示,在 Terr时刻系统信号出现了明显的异常,存在风险。
图2 双状态卡方检验递推器的重置和使用时间
即双状态卡方检验递推器的重置时间间隔大于信号异常的检测时间。若重置时间过短,即递推器被快速重置,可能在检测到信号异常信息之前已经被污染,造成漏检,无法有效进行安全风险识别;若重置时间过长,即递推器重置速度比较慢,灵敏度会降低,误差随着时间不断积累,等效为单卡方检验,容易造成虚警。双状态卡方检验算法流程图如图3所示。
图3 安全风险识别策略流程图
2.2 基于卡尔曼滤波的安全控制策略设计
基于卡尔曼滤波的安全控制策略如图4所示,如果上文所述的安全风险识别策略识别到系统存在安全风险,就使用卡尔曼滤波进行信息修正。毫米波雷达观测的运动信息经过修正之后,将修正信息输入到 ACC 的上层控制器当中,上层控制器为PID控制。
图4 安全控制策略流程图
04.仿真验证
搭建Prescan/Simulink联合仿真平台,通过在仿真过程中的毫米波雷达测量信息中人为添加噪声,模拟强降雨场景(图5),验证安全控制策略(图6)的有效性。
图5 仿真场景示意图
图6 安全控制策略模型
3.1 仿真设计
在ACC控制器前增加安全风险信息识别与修正模块,ACC控制器分为上层控制器和下层控制器两个部分。
目前大多数在降雨场景下模拟毫米波雷达测量结果都是在理想结果输出的基础上添加噪声来实现,这种模拟方式往往不能反映降雨对毫米波雷达的影响。为解决此问题,Hasirlioglu等建立了基于物理的虚拟降雨模型,使用Mie理论和雷达方程分析降雨带来的衰减和杂波的影响,模拟了降雨场景下毫米波雷达的目标返回功率和杂波功率的变化,与实车试验结果吻合度较高。因此,在本文设计仿真工况时,首先使用 Hasirlioglu等建立的基于物理的虚拟降雨模型计算强降雨场景下毫米波雷达目标返回功率和杂波功率,再结合式(1) ~式(3)计算出毫米波雷达的测量误差,最后将测量误差添加到毫米波雷达测量信息中。
参照气象学中认为降雨量大于8.1 mm/h 为大雨或暴雨,因此设置强降雨的降雨量为10 mm/h,其他仿真参数如表1所示。
表1 仿真参数设置
最终计算得到毫米波雷达接受功率信噪比SNIR为20,距离测量误差为2.91 m。根据距离测量误差结果,设置噪声注入毫米波雷达最终的输出结果中模拟强降雨造成的影响。
设置匀速、匀加速、匀减速和复杂变速4种不同的前车车速,编号分别为1、2、3、4,如图7~图10所示。
设置穿过雨区和持续降雨两种降雨情况,最终设置不同的仿真工况,如表2所示。
表2 仿真工况设计
3.2 仿真结果分析
根据表2设计的仿真工况,得到各个场景的仿真结果,如表3所示。风险时间表示在仿真场景中模拟强降雨的时间,检测时间表示安全风险识别策略检测到的ACC系统存在SOTIF风险的时间,检测时间偏差表示风险时间和检测时间之间的误差。真实距离表示有安全控制策略情况下自车与前车的实际距离,修正距离表示有安全控制策略情况下卡尔曼滤波的修正距离。修正误差表示最大的卡尔曼滤波修正距离与真实距离的误差。
表3 仿真结果
如表3所示,所提基于双状态 χ2 的安全风险识别策略能够及时有效地识别毫米波雷达测量的运动信息非预期误差导致ACC系统性能局限的SOTIF风险,检测时间偏差在 1.31s以内(工况4:检测时间为20-41.31 s,风险时间为20-40s );实施安全控制策略后,卡尔曼滤波修正信息与真实数据之间的偏差在3. 66 m以内,ACC系统可以稳定运行。无安全控制策略时,ACC系统无法稳定运行,自车可能与前车或后车发生碰撞。
工况 4(20-40 s穿过雨区、大雨、前车复杂变速)的仿真结果如图11~图14所示。flag-err 表示风险识别结果,当flag-err=0时,安全风险识别策略认为系统无风险;当 flag-err=1时,安全风险识别策略认为系统存在风险。
图11 安全风险识别结果
由图11可见,所提基于双状态χ2 的安全风险识别策略能够成功检测安全风险,即在 20-40 s之间穿过强降雨区时毫米波雷达感知的运动信息存在非预期误差,进而触发 ACC系统性能局限的SOTIF风险。图12表示实施安全控制之后的修正距离与真实距离,修正距离与真实距离最大相差1. 76 m,真实距离与修正距离差距较小,修正距离合理可信。图13和图14表示有安全控制和无安全控制时距离和速度的变化。在无安全控制策略时,从20 s开始进入雨区,毫米波雷达测量的运动信息误差较大导致 ACC系统存在SOTIF风险。自车与前车之间距离增大,自车速度增加但此时的加速度较小,无法实现跟车;在26.75 s时,前车与自车距离超出毫米波雷达最大检测距离,自车以当前车速保持定速巡航状态行驶,37.78 s时,毫米波雷达再次探测到前车,系统切换为跟车状态,自车与前车之间距离减小,自车速度减小,但此时的减速度较小,自车与前车距离持续减小,40 s后风险结束,自车逐渐实现稳定跟车。在有安全控制策略时,自车可以保持稳定跟车行驶,验证了安全控制策略的有效性。
图12 安全控制之后修正距离与真实距离
图13 有安全控制和无安全控制时的距离
图14 有安全控制和无安全控制时自车速度
工况8(20s开始持续降雨、大雨、前车复杂变速)的仿真结果如图15~图18所示。
图15 安全风险识别的结果
由图15可见,所提基于双状态χ2的安全风险识别策略能够成功检测安全风险,即在 20-60s之间持续强降雨时毫米波雷达感知的运动信息存在非预期误差,进而触发ACC系统性能局限的SOTIF风险。 图16表示实施安全控制之后的修正距离与真实距离,修正距离与真实距离最大相差3.66 m。此时降雨量较大且持续时间比较长,卡尔曼滤波修正距离和真实距离误差增大;前车速度变化复杂,设定车距与实际车距之间的误差增大,跟车效果变差,限制了安全控制策略的效果,最终的修正误差较大。但是经过修正之后观测距离变化幅度较小(如图16所示),ACC系统可以稳定运行。图17和图18表示有安全控制和无安全控制时距离和速度的变化。在无安全控制策略时,从 20 s开始持续降雨,毫米波雷达 测量的运动信息误差较大导致ACC系统存在SOTIF风险。自车与前车之间距离增大,自车速度增加但此时的加速度较小,无法实现跟车;在 26.75s时,前车与自车距离超出毫米波雷达最大检测距离,自车以当前车速保持定速巡航状态行驶,37.78s 时,毫米波雷达再次探测到前车,系统切换为跟车状态,自车与前车之间距离减小,自车速度减小,但此时的减速度较小,减速不及时导致与前车在43.73s发生碰撞。在有安全控制策略时,自车可以保持稳定跟车行驶,验证了安全控制策略的有效性。
图16 安全控制之后修正距离与真实距离
图17 有安全控制和无安全控制时距离
图18 有安全控制和无安全控制时自车速度
同时,由表3可知,在仿真工况1-3和5-7前车速度规律变化情况下,所提方法均能够实现对非预期风险的及时识别,且工况1-3穿过雨区后存在不超过1s的虚警时间。卡尔曼滤波修正信息与真实数据之间的偏差在0.9m以内,可以实现稳定跟车行驶。
仿真工况4为设定的穿过雨区、复杂变速工况。所提风险识别策略仍然可以实现对非预期风险的及时识别,但是由表3可知,穿过雨区后虚警时间为1.31s,与工况1-3相比,虚警时间变长,且修正误差增加为1.76m。虚警时间仍然在可接受范围内,可以保证风险识别效果。虽然修正误差较大,但是安全控制策略仍然可以实现稳定跟车行驶,如图14所示。仿真工况8为设定的持续降雨、复杂变速工况。所提风险识别策略仍然可以实现对非预期风险的及时识别。仿真工况8的修正误差为3.66m,修正误差较大,但是安全控制策略仍然可以实现稳定跟车行驶,如图 18所示。
因此,前车车速影响风险识别策略和风险降低策略。前车车速变化复杂会使风险结束后虚警时间变长,但是虚警时间仍然在可接受范围内,可以保证风险识别效果。前车车速变化复杂造成修正误差增大,但是安全控制策略仍然可以实现稳定跟车行驶。
05.结论
针对强降雨场景下毫米波雷达感知的运动信息存在非预期误差可能触发自适应巡航控制系统性能局限的SOTIF问题,本文中提出了一种安全控制策略。使用双状态χ2检验实时对毫米波雷达的测量信息进行安全风险检验,将毫米波雷达观测信息输入到卡尔曼滤波器和两个状态递推器当中,通过比较卡尔曼滤波器和状态递推器的差值判断系统是否存在安全风险。识别到系统存在风险时,使用卡尔曼滤波对毫米波雷达观测信息进行修正,将修正后的信息输入ACC上层控制器,基于PID控制得到期望加速度输入下层控制器,下层控制器将期望加速度转化为驱动信号或制动信号对车辆进行控制。通过搭建的Prescan/Simulink联合仿真平台对安全控制策略进行仿真验证,仿真验证结果表明:所提强降雨场景下自适应巡航控制系统安全控制策略能够实时检测由于强降雨导的SOTIF风险,并能够实时修正非预期测量误差,距离修正误差在3.66m以内,有效保证了ACC系统在强降雨场景下安全稳定运行。
参考文献
END
作者:“中国智能网联汽车产业创新联盟”
文章来源:SASETECH
推荐阅读
微软Azure机密云战略浅析
深入分析Linux kernel安全特性: 内核模块签名
预期功能安全专栏 | 智能汽车中人工智能算法应用及其安全综述
汽车安全之声 | 汽车智能化带来的安全新挑战及其应对思路
更多物联网安全,PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA技术交流群,请备注研究方向。