适用于智能驾驶的预期安全系统架构

摘要

关键技术是未来智能驾驶的发展方向，其研究已取得了重大进展。然而，由于近期发生的无人驾驶事故，人们对安全性能产生了担忧。为了解决这个安全问题，提出了一个用于智能驾驶的安全系统。该系统通过智能汽车感知、决策和控制模块，为潜在问题提供实时的安全分析和监控服务。基于预期功能的安全性概念，对驾驶场景和系统安全性进行分析和评价提高智能驾驶的安全性，这可能有助于智能驾驶的发展。
I.简介
进入21世纪，智能驾驶汽车的快速发展为提高道路交通安全、缓解拥堵带来了巨大的社会效益。作为未来汽车的发展方向，自动驾驶汽车的研究和开发已经取得了重大突破。其巨大的商业利益和广阔的应用前景，赢得了发达国家的支持和认可。
然而，任何技术的成熟应用都必须经历一个漫长而艰巨的发展过程，自动驾驶也是如此。在美国，发生了人类历史上第一起无人驾驶汽车致死事件。美国当地时间3月18日晚，在亚利桑那州坦佩市郊区，Uber无人驾驶测试车与一名正在过马路的中年妇女相撞。这起事故导致该妇女不幸死亡。这次事故的意义和影响远远超出其事故本身。美国当地时间5月7日，警方公布了Uber无人驾驶测试车辆致死事件的最新调查结果，确认无人驾驶车辆检测到行人的存在，但没有采取任何制动措施。
智能汽车的驾驶行为高度依赖于操作系统的稳定性、智能化和安全性。安全风险的主要来源有以下三类：
A.硬件安全
与传统汽车相比，智能驾驶汽车不需要司机直接控制汽车，而是将部分或整车控制权交给自动控制系统。硬件架构设置是否科学合理；各无人计算控制单元及控制器设置是否完善；无人驾驶汽车的传感器能否快速准确地获取道路环境信息，车辆运动传感和信息融合功能对无人驾驶汽车的驾驶起着决定性的作用。
B.软件安全
与传统汽车相比，自动驾驶汽车的开发时间较短，技术发展还不成熟，软件系统还需要长期的可靠性分析。例如，著名的无人驾驶汽车制造商谷歌对无人驾驶汽车平台进行了长达9年的封闭测试，但测试时间并不充分，因素也相对简单。因此，其安全性和稳定性仍然需要长期监测。
C.环境安全
基于人工智能算法，智能驾驶汽车可以实现自动避开障碍物，在道路比较复杂的情况下完成自动驾驶。但是，无人驾驶汽车在进行驾驶决策时，仍然需要其他参与者的正确驾驶判断。只有当其他驾驶员做出正确驾驶的判断时，无人驾驶汽车的驾驶测试才会相应地做出正确合理的判断。
基于以上对无人驾驶事故和安全隐患的分析，本文提出了一个自主车辆的预期安全系统。该系统能够对智能驾驶车辆的行驶状态进行监控、预测和保障，从感知、决策和控制等方面提高智能驾驶的安全性。
II.系统架构
智能驾驶离不开几个关键技术。在宏观层面上，智能驾驶以环境感知、路径规划和决策控制等核心技术为基础。
综合前文介绍的关键技术，智能驾驶为真实驾驶提供了技术支撑，而安全技术是自动驾驶汽车能否真正在公共道路上行驶的前提。2011年发布的ISO26262《道路车辆功能安全》国际标准为道路车辆功能安全提供了一个系统的解决方案，以解决电子控制系统故障造成的安全风险。
由于自动驾驶汽车可以脱离驾驶员，控制车辆的部分或全部行为，任何影响其感知、决策和执行的因素都可能构成车辆危险。根据不同的风险来源和所需的安全技术，比较分析结果见表1。

表1 智能驾驶车辆的危险因素及所需的安全技术
系统功能的局限性
主要原因是在设计和开发期间对系统功能的定义不能完全涵盖目标市场的使用需求。
对目标场景的考虑不全面，导致系统不能准确识别环境要素；功能仲裁逻辑不合理，导致系统决策错误；执行器响应不充分，导致运动控制偏离预期。
环境干扰
自动驾驶会受到很多因素的影响，比如路况、周围事物和环境天气。如何克服环境干扰，可靠地进行环境识别、驾驶决策和运动控制是确保安全驾驶的关键。
预期安全系统源于预期功能安全(SOTIF)的概念，旨在为智能驾驶的感知、决策和控制系统(执行器响应)设计一种安全监管系统，克服环境干扰，改善智能驾驶系统的局限性。拟议的安全系统架构如图所示。

图1 智能驾驶拟用安全系统的架构
该安全系统预计将被分为三个基本模块:感知数据的处理、决策信息的确定和执行器响应的检测。首先，基于智能汽车各传感器的感知数据，进行多传感器分析与融合，重构当前驾驶场景。安全系统通过对驾驶场景的分析，确定各个传感器的置信度，为智能汽车的决策和控制提供依据。
其次，对决策信息的判断主要基于“安全熵”和对系统安全的定量评价。最后，执行器响应的检测相对偏向于模拟和测试。可针对已知情况选择软件在环/硬件在环测试和车辆测试。
III.驾驶场景和系统安全
A.驶场景的构建
要对驾驶场景进行分析，首先要建立如图2所示的场景数据库。针对不同的典型场景，通过收集人类驾驶员的驾驶数据，可公式化驾驶决策并进行分析。结合场景检索与场景识别，智能车辆可以在保证各种功能的前提下，大大提高智能驾驶的安全性。

图2 场景数据库的组成和构建
因此，本文提出一种驾驶场景构建方法，通过将场景的定性分析作为多传感器融合的基础。定性分析的方法来源于自然语言中的知识提取算法。知识提取的过程可以归纳为三个步骤。第一步是识别与本体相匹配的概念、概念实例、属性和简单值；第二步是根据内容和本体定义正确组合识别的三要素，构建正确的知识三要素；最后一步是根据本体对提取的事实知识进行有效性和完整性检验，删除无效的知识和不完整的知识，确保添加到领域本体知识库的知识是有效的、完整的。例如，通过获取天气信息，例如今天有雨，结合已建立的用例库，可以推断出，由于环境干扰，激光雷达的置信度会降低。因此，在这种情况下，应相应减少激光雷达的权重以确保安全。
与上述定性分析相结合，对驾驶场景的定量分析也必不可少。可以利用模糊数学的基本概念，用公式来定量描述驾驶场景。
S = S(V1 ,V2 ,V3 ,V4)
其中V1 代表交通信息，即红绿灯和交通标志， V2 代表道路信息，如道路材料、道路起伏、路侧物体信息，V3 代表自然条件，如雨、雪、雾、霾、气流、温度、湿度，V4 代表时间。
结合定性和定量的概念，分析各个要素的影响，根据不同要素的组合实现自动驾驶决策。目前的决策方法大多过于单一，无法完全适用于复杂的社会环境。因此，场景信息不仅可以增强智能驾驶的感知系统，还可以针对不同场景提供不同的驾驶策略，从而提高智能汽车的环境适应性和驾驶稳健性。
B.预期安全熵
近年来，熵作为一个普遍概念被提出，熵的应用在深度和广度上有了进一步发展。预期功能安全性(SOTIF)有望成为智能驾驶的研究热点之一。为此，提出了预期安全熵的概念。安全熵可以定义为智能驾驶车辆的各种预期功能因素（包括感知、决策、执行器等）在熵权下的不确定性之和。
对于一个安全因素xi, 安全性P(xi)可以用来表示其执行安全功能的能力。安全程度可以从熵的角度进行分析。必须有一个与安全程度相对应的安全熵，来表示安全系数的不确定性、混沌性和无序性。当安全程度越大，其自身的不确定性、混乱性和无序性就越小。安全熵是安全因素本身混乱程度的度量，安全熵由P(xi)定义。
S(xi) = log 1/ P(xi) = - log P(xi) (i =1, 2, …, n )
安全系统的熵的定义应该由环境∩车辆的概率状态来决定。假设环境处于异常安全状态为P(车辆|环境)。
因此，系统的安全熵S(X)被定义为：S(X) = log 1/ P(车辆|环境)= -log P(车辆|环境)
从熵的本质意义出发，熵是一个广义的测度。两种状态混合后，熵应该是两种状态对应的熵之和，即S=S1+S2。因此，S(环境∩车辆)= S(环境)+ S(车辆)。
安全熵和熵的概念是安全动力学研究的基础，可以作为解释安全系统稳定性的标准，也可用以判断安全系统是否稳定。可以看出，安全熵的定义概念与广义熵的性质一致，从而为安全系统的安全熵和其他领域的熵之间提供了一座桥梁。
IV.未来发展

安全是汽车工业发展的永恒主题。通过分析环境因素和车辆因素对自动驾驶的安全影响，阐述了风险的来源和发生机理，并提出了应对措施。通过充分考虑安全风险的来源，系统地实施功能安全、信息安全、SOTIF等安全技术，可以保证自动驾驶实现整体安全，相关的自动驾驶汽车也可以实现大规模应用。

本文提出的自动驾驶汽车的预期安全系统，是基于国际上正在进行的SOTIF技术标准的发展。该国际技术标准是首个针对自主车辆的安全技术标准，对自动驾驶车辆系统安全技术的开发和验证具有重要的指导意义。

参考文献：

[1]F. Q. Pan, Z. Wang, H.T. PAN and L. X. Zhang, “Cause analysis and responsibility division of driverles car acidents,” Technology & Economy in Areas of Communications, vol. 20, no. 6, pp. 6-20, November 2018

[2]J. D. Liu, “Behind the accident, the road left unmanned is still very long,” Robot Industry , vol. 3, pp. 111-118, 2018

[3]A. Yikeremu, “Analysis of problems in the development of driverless car technology,” Automobile&Parts, no.29, pp. 50-51, 2018

[4]ISO 26262: Automotive Safety Integrity Level, November 2011

[5]S. L. Shang, B. Li, “Research on expected functional safety technology of vehicle electronic control system,” China Standardization, vol. 481, pp. 58-62, 2016

[6]T. F. Cai and J.L. Zhang, “Discussion on operational mechanism of safety system —degree of safety and entropy of safety,” China Safety Science Journal, vol. 16, no.3, pp.4-7, March 2006

[7]H. Y. Che, “Automatic knowledge ectraction from the Chinese nature language web documents and knowledge consolidation,” Jilin University, 2008