预期功能安全专栏 | 汽车自动紧急制动系统控制策略的预期功能安全设计 - 极术社区

预期功能安全月 / SOTIF

原文来自“中国智能网联汽车产业创新联盟”预期功能安全工作组授权。

“中国智能网联汽车产业创新联盟”是由工信部指导，中国汽车工程学会、中国汽车工业协会支持，既支撑政府决策、又服务行业发展的创新机构，旨在推动我国智能网联汽车产业和技术发展，是发挥跨产业、政产学研用协同创新的重要推动力量。联盟下辖的预期功能安全工作组，旨在促进预期功能安全发展，加速智能驾驶相关产品的快速落地与应用。

汽车自动紧急制动系统控制策略的预期

功能安全设计

The Design of the Safety of the Intended Functionality of the Control Strategies for Vehicle Automatic Emergency Braking System

作者：段顺昌, 白先旭, 石琴, 李维汉, 何冠男

自动驾驶车辆所面临的安全风险不仅来自于功能安全和信息安全不足，还来自于自动驾驶系统内部的预期功能安全（safety of the intended functionality，SOTIF）不足的风险。自动紧急制动（automatic emergency braking，AEB）系统作为自动驾驶系统的重要组成部分，在控制策略层面存在SOTIF不足的风险。采用系统理论过程分析的方法对AEB系统进行安全分析，找出可能引发危害的触发事件并提出相应的安全目标。针对安全目标，提出一种基于细分场景的AEB系统控制策略。在CarSimMATLAB/Si-mulink 环境下对所提出的AEB系统控制策略进行验证。结果表明，在事件接受准则和总体风险接受准则两个层面上功能修改后的系统风险水平均显著降低，系统的安全水平明显提升。

关键词：预期功能安全；AEB；控制策略；风险评估

我国汽车产业发展非常迅速，机动车保有量飞速增长，交通事故也日益凸显，造成了严重的人员和财产损失［1］。据世界卫生组织（world health organization，WHO）统计，每年全球约有 130 万人因交通事故而死亡［2］。值得注意的是，在所有发生的案例中，因驾驶员操作失误或不当而引发的交通事故数目约占总数的90%。为降低居高不下的事故发生率，改善现有的交通环境，各国政府以及相关科研机构都加大了对智能驾驶技术研究的投入，以在自动驾驶技术领域有所突破。且传感器技术与自动驾驶算法水平的不断提升，使自动驾驶技术获得了迅猛发展，自动驾驶系统功能日趋完善，装机量与渗透率不断提高。Waymo、Tesla、Uber、华为、小鹏和蔚来等公司均能实现汽车的多种辅助驾驶功能，甚至实现了部分场景的自动驾驶。但随着实际行驶里程的增加，自动驾驶相关事故也频繁出现。2018 年 5月18日，美国亚利桑那州一辆配备有安全驾驶员的自动驾驶测试车辆在夜间与自行车相撞，造成骑自行车行人受伤严重不治身亡。根据美国国家运输安全委（national transportation safety board，NTSB）的事故调查［3］，事发前车辆自身的感知系统已经发现危险并发出紧急制动请求，车载控制单元中的感知系统已发现自行车，但其决策系统在设计之初未考虑行人会横穿马路，将感知系统结果丢弃，并屏蔽了车辆自身的紧急制动请求。特斯拉汽车曾发生3起与白色货车相撞的事故，事故的共同原因均是：感知系统在特定的光照条件下将白色车厢识别为天空［4］，未能及时识别出危险。丰田、日产、沃尔沃等汽车公司曾就“幽灵刹车”问题进行产品召回，该现象产生是因为在特殊光照条件、角度及距离情况下车辆将道路上非障碍物识别为障碍物，激活车辆自动紧急制动（automatic emergency braking system，AEB）系统功能，导致车辆非预期制动行为［5］。

从以上事故可以看出，与传统车辆的安全风险相比，自动驾驶车辆所面临的安全风险不仅来自于车辆零部件的失效，即故障性风险，还来自于自动驾驶系统内部功能组件设计不足、性能局限以及组件间信息交互障碍等非故障风险，此类风险在特定场景触发下会导致车辆发生危害行为，难以提前预见，对自动驾驶安全风险贡献更大［6］。此外，在产品设计与开发过程中，用于评估自动驾驶系统安全性的测试场景有限，而自动驾驶车辆在实际道路行驶过程中面临的场景具有随机性与未知性，场景中存在无限数量的元素组合方式，自动驾驶系统即使满足设计要求，仍可能存在大量无法在设计阶段预见的安全风险。为应对自动驾驶车辆带来的风险与挑战，使自动驾驶系统安全水平达到能够实现预期功能设计的要求，将系统的风险控制在合理可接受范围内，国际标准化组织（international standardization organization，ISO）下设的功能安全工作组在 2018年正式启动全球首个自动驾驶安全国际标准 ISO/PAS21448《道路车辆预期功能安全》［7］的制定工作，设计了如图 1 所示的预期功能安全（safety of the intended functionality，SOTIF）设计流程，旨在为自动驾驶汽车的安全开发过程与测试评价体系提供设计指导。ISO/PAS 21448 草案规范和描述了一个基于迭代的系统分析流程，用于识别、分析、减少系统功能不足造成的危害［8］。

图1 SOTIF设计流程

自动驾驶汽车SOTIF问题是汽车行业内的前沿课题，国内外学者分别提出了不同的 SOTIF 应用方案，并将 SOTIF 融入到自动驾驶车辆的整个生命周期中，指导产品的开发设计与验证测试流程。美国交通部以一台广义的 L3级别驾驶辅助汽车为例，对其进行了全面的 SOTIF 分析，针对 9 类安全问题提出了126种潜在功能修改方案［9］。Post和Davey［10］将SOTIF 框架应用于汽车系统的开发流程，分析了系统开发过程中的潜在危害与风险场景，促进了开发过程中的系统功能和技术改进。Abdulazim 等［11］对汽车车道保持系统进行了 SOTIF 流程分析，并提出了一种基于上下文的 ML模型用于解决车道保持系统潜在的人车冲突风险。郭菲菲等［12］则根据 SOTIF评估准则，按照危害行为识别与风险评估、触发事件识别与评估、系统功能修改、功能更新后系统风险评估以及修改方案确认的顺序对全自动泊车辅助系统进行了 SOTIF 设计。李波等［13］指出：需要从危害行为事件接受准则和总体风险接受准则两个层面上对自动驾驶 SOTIF 的接受准则进行量化，该方案作为中国提案，已经写入到ISO/PAS 21448标准中。孙骏等［14］在整车层面、白先旭等［15］在控制层面分别提出了自动驾驶汽车 SOTIF 的量化评价方法，通过对事故触发场景元素、控制系统瞬态响应、事故严重程度以及场景概率对自动驾驶汽车控制系统进行评价。

AEB系统作为未来实现汽车自动驾驶的重要组成部分，因其能够及时检测到危险并提醒驾驶员或自动制动而避免发生碰撞［16］，受到了高度关注。其基本原理是通过雷达、摄像头、激光雷达等传感器检测道路上的汽车、摩托车、行人和自行车等，根据相应安全模型的计算来判断是否进行报警，或主动制动以避免或减轻碰撞［17］。杨为等［18］以某 SUV 为研究对象，并基于碰撞时间（time to collision，TTC）建立风险评估模型，提出了一种上层模糊控制和下层PID 控制的分层控制策略。仿真结果表明，该控制策略能正确向行人发出碰撞预警。郭祥靖等［19］结合驾驶员紧急制动的经验，利用BP神经网络算法建立不同驾驶员在不同紧急制动场景下碰撞时间的预测模型，提出了一种基于 BP 神经网络预测碰撞时间TTC 的 AEB 控制策略，并仿真验证算法的有效性。Kim 等［20］提出了一种斜坡 AEB 系统，利用卡尔曼滤波器估算坡度并计算TTC，结果表明，其TTC 比传统TTC 更短，触发制动更快。兰凤崇等［21］根据汽车追尾事故深度调查的驾驶员紧急制动数据分析制动系统的制动减速度，建立了考虑碰撞时间的自动紧急制动系统分成控制策略，并验证了控制策略在相对车速 65 km/h 以内能够实现有效避撞。AEB 系统性能受到传感器、算法、控制器等多方面因素的影响。为降低 AEB 系统由控制策略缺陷导致的系统安全风险，提升 AEB 系统的 SOTIF性能，本文中按照图 1所示的SOTIF设计流程对AEB系统进行SOTIF设计开发，具体工作内容与技术贡献为：

（1）识别并评估 AEB 系统控制策略的 SOTIF 不足可能造成的危害行为，且评估特定场景下 AEB系统控制策略SOTIF不足造成车辆发生危害行为的触发事件，提出相应安全目标。

（2）针对安全目标，提出一种基于细分场景的AEB系统控制策略。该控制策略对于前车先于自车停止的场景，采用安全距离模型；对于自车先于前车停止的场景，采用2 阶TTC模型。基于细分场景的AEB系统控制策略能够在不同场景下引入路面附着系数，以降低AEB系统在控制策略层面的SOTIF不足风险。

（3）通过 CarSim-MATLAB/Simulink 联合仿真对功能修改前后的AEB系统控制策略在标准测试场景与安全性未知场景下进行验证，并对AEB系统安全接受准则进行量化。对比功能修改前后在事件接受准则和总体风险接受准则两个层面上的系统风险水平。

01. AEB系统的危害行为与触发事件

1.1 AEB系统功能规范与定义

标准 GB/T33901—2021《乘用车自动紧急制动系统（AEBS）性能要求及试验方法》中规定［22］，AEB系统应具备以下功能。

（1）碰撞预警和紧急制动功能：车辆直线行驶遇到静止、低速行驶或紧急减速的障碍物（车辆）时，车辆应以光学、触觉及振动等模式预警，且在预警阶段车速不能显著下降，并最终不与障碍物发生碰撞。

（2）系统失效后的警告信号：当 AEB 系统失效时，系统应启动常亮警告信号，直至 AEB 系统功能恢复。

（3）驾驶员干扰性能：系统在预警和紧急制动阶段均允许驾驶员通过主动动作中断系统工作。

（4）相邻车道车辆误响应性能：车辆遇到相邻车道车辆行驶时，系统不应启动。

（5）车道内铁板误响应性能：车辆行驶时遇到井盖和限高杆等设施时，系统不应启动。

AEB系统需要全天候全时段监测车辆前方行驶环境，在碰撞发生前提醒驾驶员，并自动启动车辆制动系统使车辆减速，以避免或减轻碰撞。AEB 系统输入为：环境感知系统提供的障碍物信息、车载传感器提供的自身车辆状态信息以及驾驶员的主动操作信息。系统输出为光学、声音及振动等预警信息和制动系统的控制命令。对输入输出的假设为：传感器输入到系统的信息真实可信、系统输出的指令可被执行器正确执行。AEB系统功能启动时对车辆控制的优先级低于驾驶员，当驾驶员通过主动动作控制车辆时，功能关闭，控制权归驾驶员。

1.2 危害行为与触发事件的分析与评估

系统并非在所有情况下都能正常工作，它的正常运行存在一个边界，这个边界称为运行场景。为明确 AEB系统能够发挥其预期的功能工作边界，须定义 AEB系统的运行场景。在定义的运行场景内，AEB系统应正常工作。对AEB系统的SOTIF分析均应在运行场景内进行。图2所示为初步定义的AEB系统运行场景。路面平整、附着系数为μ，自车以vego速度在车道上匀速行驶，同车道前方距离 dr远处的目标车辆速度为 vobj。同车道后方 dr2 远处的后车以速度vrea匀速行驶。

图2 AEB系统运行场景

对于 AEB 系统而言，其主要功能是让车辆避免或减轻碰撞，保护人员安全。AEB 系统的潜在危害行为不仅会导致车辆碰撞造成人员财产损失，还会造成非人员财产损失的广义损失。损害可根据危害严重程度进行层级划分，如表1所示，从LV1到LV5，损失的严重程度依次增加，LV5为最严重的损失。

表1 AEB系统可能造成的危害评估

为避免AEB系统因SOTIF性能不足而造成的损失，首先要对 AEB 系统层级的危害事件进行识别，危害事件是指系统处在某种状态或条件下，系统出现非预期的表现，造成多种级别损失。ISO/PAS21448 中为 AEB 系统提供了一个危害事件示例：系统在高速公路上行驶时，出现了减速度为 x，持续时间为 y的非预期紧急制动。表 2所示为 AEB 系统在图2所示的运行场景下的危害事件。HV1和HV3虽会引起驾乘人员不舒适，但未造成人员财产损害，对于可能引发碰撞事故的HV2和HV4类危害，在系统设计过程中应尽量避免。

表2 AEB系统的危害事件评估

为分析危害事件的来源，找出系统的潜在触发事件，设定相应的安全目标。采用系统理论过程分析（system theoretic process analysis，STPA）方法对AEB 系统进行整车级分析，建立 AEB 系统的 STPA控制架构。图3所示为AEB系统的STPA控制架构：AEB 系统通过信息获取系统或通过 V2X（vehicle to everything）等方式实时监测车辆前方行驶环境与驾驶员的行为信息，并通过控制系统对车辆与障碍物间的碰撞风险进行评估，以便及时提醒驾驶员或启动车辆制动系统避免碰撞发生。

触发事件是指系统在特定场景下可能导致危害事件发生的具体不安全控制行为。在系统或部件未发生失效的前提下，对图 3 中的控制系统不安全控制行为进行分析，得到 AEB控制系统的触发事件与安全目标，如表3所示。

图3 AEB系统STPA控制架构

表3 AEB系统的HV2和HV4级触发事件与安全目标

表3列出的AEB系统运行潜在危害的共同触发事件是车辆前方有静止或运动障碍，后方有跟随车辆，车辆的安全性与路面状态、自车行驶车速、前车行驶状态等相关。在 AEB 系统运行潜在危害事件作用下，系统危害行为会带来严重损失，且此类场景与触发事件均为常见事件，系统存在严重设计不足与安全风险。为减少HV2与HV4类危害事件，须明确 AEB 系统介入时机，对系统控制策略进行改进，进而降低系统风险水平。将表3给出的安全目标进行综合梳理，对AEB系统功能修改的安全目标为：

（1）消除或减少因路面附着系数变化导致系统介入时机变化而引发的碰撞风险。

（2）消除或减少因相对速度变化导致系统介入时机变化而引发的碰撞风险。

02. AEB系统控制策略的功能改进

根据第 1节对 AEB系统设计进行 SOTIF分析得出的系统不足来源，确定 AEB系统亟需解决的问题是：解决现有的 AEB系统控制策略无法兼顾车辆安全与道路通行效率的问题，设计出既保证车辆安全又符合实际驾驶过程的合理性，且保证道路通行效率，减少系统误警和误触发概率的 AEB 系统控制策略。

2.1 车辆制动过程分析

为合理构建汽车 AEB 系统的控制策略，首先对汽车的制动过程进行分析，分析常规驾驶员驾驶情况下的汽车制动过程，明确驾驶员制动过程的驾驶特性和驾驶员制动的最短制动距离以及汽车本身的极限制动能力，将驾驶员因素和车辆制动性能作为构建AEB系统控制策略的基础。图4所示为驾驶员制动过程中的车辆制动力和减速度响应示意图。

图4 驾驶员制动过程示意图

根据以上对驾驶员制动和汽车制动过程的分析，根据驾驶员的最短制动距离和车辆本身制动过程中的最短制动距离，得到 AEB系统的最小距离边界条件：在汽车最大制动减速度的情况下，汽车的制动距离 sv 是常规车辆行驶状态下的极限制动能力，即为汽车的最短制动距离。为保证车辆安全，将车辆最大制动减速度下的制动距离sv作为汽车AEB系统主动制动功能的最小边界条件。若 AEB 系统功能执行时的距离小于此边界条件，将不能确保车辆安全，无法保证车辆行驶过程中的完全避撞。

2.2 基于细分场景的AEB系统控制策略

在车辆行驶过程中，当前方目标车辆与自车存在碰撞风险时，两车的相对距离逐渐减小，为避免碰撞，自车需要以一定的减速度减速，直到两车达到共速时，碰撞风险消除，即自车从判断需要制动时刻到共速前所容许行驶的最远距离等于前车在共速时驶过的距离与相对距离之和。假设前车行驶速度为vobj，并以 aobj 的减速度减速，自车行驶速度为vego，并以aego进行减速，dr为两车相对距离。自车通过传感器信号检测到与前车存在碰撞风险后启动制动系统，使自车达到相应减速度以避免碰撞。忽略信号传递以及控制器判断时间，建立制动后两车行驶距离的关系为

综合以上，所提出的基于细分场景的 AEB 系统控制策略的具体安全边界如表4所示。

表4 基于细分场景的AEB系统安全边界

所提出的基于细分场景的 AEB 控制策略，在全工况中引入了路面影响因素，由此保证车辆安全性的同时，最大限度地提升道路通行效率。对工况全面细致的划分，能够显著减少系统误警和误触发概率。另外，在基于细分场景的 AEB 系统模型基础上，可以通过设置不同合适的aego实现多层预警和针对不同驾驶风格设置预警边界，充分考虑驾乘人员的舒适性与个性化，能够解决AEB系统在控制策略层面的SOTIF问题。

03. AEB系统控制策略的风险评估与接受准则

3.1 AEB系统功能改进验证准则与确认准则制定

根据图 1 所示的 SOTIF 工作流程，在对系统功能进行改进或功能规范进行修改后，需要对修改后的控制系统的安全性进行评估与验证。根据验证与评估阶段使用的场景可将验证阶段划分为标准测试场景验证与安全性未知场景验证两个阶段，标准测试场景验证阶段须验证系统行为是否符合预期，安全性未知场景验证阶段需要对系统行为是否存在不合理风险进行验证。在进行验证工作前，需要对系统在标准测试场景下行为的验证准则与系统在安全性未知场景下行为风险的确认准则进行定义。根据SOTIF中国提案中的“量化思想”［6］，对两个验证阶段的验证与确认准则进行量化定义，然后使CarSimMATLAB/Simulink 联合仿真对功能改进前系统在标准测试场景与安全性未知场景中行为的仿真结果进行对比分析，最后根据定义的验证与确认准则，对是否接受系统功能改进做出最终决定。

对于车辆整体风险的接受准则，SOTIF 中国提案之一的“量化思想的双层安全接受准则”［6］，将安全准则划分为两层，第一层安全接受准则对自动驾驶系统单一危害行为事件进行量化评估，第二层安全接受准则对多类危害事件进行整体安全评估。对于违背第一类安全准则的危害事件数量，若不超过第二层安全接受准则标准，仍可认为系统的总体SOTIF符合标准。

对于系统 SOTIF 的验证，使用双层完全接受准则，对系统危害行为进行量化，然后对系统总体安全风险水平进行评估，给出具体的评估分数。对系统安全接受准则进行建立的第一步是找出系统的安全行为，建立量化指标并确定安全范围。根据国标GB/T33901—2021［22］中对 AEB 提出的性能要求，建立针对 AEB 系统控制策略层的功能量化指标及安全范围，如表5所示。

表5 第一层接受准则中系统危害行为、量化指标及安全范围

表 5 中 EVNT 开头编号对应事件类危害行为，EVNT01产生的原因是系统SOTIF设计缺陷，存在严重的安全漏洞，是不可接受的危害事件，将该危害事件的加权值取最大值为 500。EVNT02 是系统识别到危害事件，但未能成功制止危害，其加权值取200。ACUM开头编号对应累计类危害行为，权重系数的选取体现了SOTIF的第二层接受准则对不同类别的量化指标的重视程度，安全相关指标权重最高。

对系统安全接受准则进行建立的第二步是根据违背第一层安全准则的事件对系统整体安全风险进行评价。可通过加权代价函数对系统整体风险进行计算，代价函数为

3.2 将功能改进后的联合仿真参数设定与验证测试场景

将功能改进后的AEB系统控制策略在 Simulink中建模后与 CarSim 进行联合仿真。AEB 系统的运行场景在CarSim中进行构建，构建SOTIF测试场景，其原则应是将非 SOTIF 因素排除在外，并提升构造安全性未知场景对功能改进的覆盖率。将功能改进前后的控制策略在相同的场景下运行，评价功能改进前控制策略在不同场景下的安全性能。选择常用的 TTC 控制策略［25］与基于细分场景的 AEB 系统控制策略分别在标准测试场景与安全性未知场景下的仿真结果对比，TTC 的安全阈值设定为 1. 2 s，所提控制策略的安全距离 d0 取为 1 m，且制动时自车以最大减速度进行减速。

（1）汽车AEB系统的标准测试场景

参照标准 GB/T 39901—2021［22］对汽车 AEB 系统的测试方案，在天气晴朗条件下，路面附着性能较好，一般μ取 0.7，在CarSim中分别设置如表 6 所示的测试场景。

表6 AEB系统标准测试场景

（2）汽车AEB系统的安全性未知测试场景

相比 GB/T 39901—2021 中给出的测试方案，现实中汽车AEB系统遇到的场景更为复杂。图5所示为智能网联汽车测试评价国际联合研究中心公布的高速公路上行驶车辆的车速特征数据［26］。

图5 车辆在高速公路的车速概率分布

如图 5 所示，汽车在高速公路行驶的汽车平均车速达到75 km/h，远高于GB/T 39901—2021中规定的 30和 50 km/h。另外，雨雪等天气造成路面湿滑，附着系数低至 0. 5，低于标准测试场景下的 0. 7。城市中自行车和助力车等低速（10 km/h）非机动车辆造成的交通环境混乱等，对汽车 AEB系统有极大考验。AEB 系统与行车安全息息相关，一旦发生安全事故就会造成严重的人员财产损失，有必要对车辆在一些高频场景甚至是极端场景下的表现做出评估，具体安全性未知测试场景参数如表7所示。

表7 AEB系统安全性未知测试场景

3.3 仿真结果分析与功能改进接受

（1）标准测试场景仿真分析结果对比

按照表5已知AEB系统测试场景参数，在CarSim中搭建AEB系统避撞场景。图6给出功能改进前后 AEB 系统在各个已知场景下的性能仿真结果。其中相对距离为负值表示主车与障碍车辆发生了碰撞。从图 6 可以看出，AEB 系统功能改进前后均能实现避撞，但功能改进前两车最短相对距离在不同场景下差异较大，最大为 4.542 m，最小为0.276 m。两车最短相对距离较大时不利于提高道路通行效率，且易造成被后车追尾事故，较小时难以保证车辆安全，功能改进前的 AEB系统对各场景的适应能力不足。功能改进后的 AEB 系统在各个场景下的两车最短相对距离较为接近，保持在安全距离d0附近，能够适应各种场景，保证安全性的同时增强了驾驶员对AEB系统的信心度。

图6 标准测试场景下AEB系统性能的仿真结果

表8为功能改进前后AEB系统标准测试场景中的安全风险量化指标取值与整体安全风险水平。以CCRs场景为例，虽然功能改进前后AEB系统均正常启动，且避免发生碰撞，但功能改进前制动结束后两车距离 4.542 m，意味着 AEB 系统提前 1.2 s 启动，时机过早。一方面降低道路通行效率，还可能造成被后车追尾事故。另一方面可能会妨碍驾驶员正常安全驾驶，降低驾驶员对 AEB 系统的信心度，在此场景下的得分为 62.7 分。功能改进后 AEB 系统提前0.78 s启动，制动结束后两车距离为1.06 m，接近于设定安全阈值1.0 m，在此场景下得分0.02分，远低于功能改进前。其他场景下同样功能改进后的单一风险场景得分低于功能改进前，车辆在标准测试场景下运行的总体风险水平得分下降了 129.74分。系统功能安全水平得到提升，系统功能改进可以被接受。

表8 标准测试场景下功能改进前后的AEB系统风险水平

（2）安全性未知场景仿真分析结果对比

按照表7安全性未知 AEB 系统测试场景参数，在CarSim中搭建AEB系统避撞场景。图7给出功能改进前后 AEB系统在各未知场景下的性能仿真结果，其中相对距离为负值表示主车与障碍车辆发生了碰撞。从图7可以看出，在所示的可能出现的不安全场景下AEB系统功能改进前均出现相对距离为负值的情况，意味着与前车发生了碰撞，避撞失败。功能改进后的 AEB系统在各个场景下均避免了与前车发生碰撞，且保持的两车最短相对距离在安全距离 d0附近，证实了功能改进后的 AEB 系统能够应用于各种不安全场景，改进了现有 AEB系统的SOTIF问题。

图7 安全性未知测试场景下AEB系统性能的仿真结果

表9为功能改进前后AEB系统在安全性未知测试场景中的安全风险量化指标取值与整体安全风险水平。从功能改进前后的 AEB 系统在标准测试场景下的评分对比可以看出，无论是单一场景风险水平或总体风险水平，功能改进后的 AEB系统都远低于功能改进前，功能改进后的 AEB系统在系列安全性未知场景中的综合安全风险水平得到降低，确认车辆功能改进在安全性未知SOTIF 场景中不会引入不合理风险。经过双层接受准则对车辆总体安全风险水平进行计算可知，车辆在安全性未知场景下运行的总体风险水平下降，系统功能改进可以被接受。

表9 安全性未知场景下功能改进前后的AEB系统风险水平

04. 结论

为解决现有 AEB 系统在控制策略层面风险的问题，提升AEB系统的SOTIF性能，根据SOTIF评估准则，针对 AEB 系统控制策略 SOTIF 问题可能造成的危害行为进行了识别与风险评估，同时对特定场景下由AEB系统控制策略SOTIF不足导致车辆发生危害行为的触发事件进行了识别与评估，并提出了相应的安全目标。为达到安全目标，提出一种基于细分场景的 AEB 系统控制策略。控制策略对于前车先于自车停止的场景，采用安全距离模型；对于自车先于前车停止的场景，采用 2 阶 TTC 模型。控制策略在不同场景下均引入了路面附着系数，能够显著降低AEB系统在控制策略层面存在的SOTIF不足风险。最后，通过 CarSim-MATLAB/Simulink 仿真对功能修改后的 AEB 系统在标准测试场景与安全性未知场景下作了验证，并与常用的 TTC 策略做了对比。此外，从事件接受准则和总体风险接受准则两个层面上对 AEB 系统的功能安全接受准则进行了量化，结果显示功能修改能够通过双层接受准则，功能修改后的 AEB系统行为符合功能预期，系统的安全水平得到提升。

参考文献