吕颖
(中国第一汽车股份有限公司 智能网联开发院,长春 130013)
主题词:预期功能安全 智能驾驶 安全熵
SCSTSV Smart City,Smart Transportation,Smart Vehicle(智慧城市智能交通智能汽车)
HMI Human Machine Interface(人机界面)
ADAS Advanced Driver Assistance Systems(驾驶辅助系统)
HAD Highly Automated Driving(高级智能驾驶)
SOTIF Safety Of The Intended Functionality(预期功能安全)
DA Driving Assistance(驾驶辅助)
AD Automated Driving(自动驾驶)
HFACS The Human Factors Analysis and Classification System(人因分析和分类系统)
FMEDA Failure Modes,Effects,and Diagnostic Analysis(失效模式影响和诊断分析)
RGB Red,Green,Blue(色彩模式)
BEV Bird Eye View(点云的鸟瞰图)
FPN Feature Pyramid Network(特征金字塔网络)
RPNs Region Proposal Networks(局域候选网络)
PCCN Point Clound Colorization Network(点云彩色网络)
R-CNN Region-Convolutional Neural Network(区域卷积神经网络)
CRF Conditional Random Field(有条件随机场)
ANN Artificial Neural Network(人工神经网络)
CICWS Cooperative Intersection Collision Warning System(协同路口碰撞预警系统)
TCT Traffic Conflict Technique(交通冲突技术)
当前对智能驾驶汽车预期功能安全研究尚处于起步阶段,主要集中在讨论研究范畴及对内涵的理解。欧宝汽车提出了L2和L3已有的功能安全标准并不能涵盖所有的安全问题,引起产学各界对预期功能安全研究的重视[1]。ISO/PAS 21448中对预期功能安全基本实现思路及流程进行了规范[2],并在2018年的ISO/TC22/SC32/WG8功能安全工作组会议讨论了ISO 21448将引入机器学习、路径规划、人员响应HMI、先进测试方法等[3]。我国学者毛向阳等分析了预期功能安全、功能安全及信息安全的关系[4]。Mirko Conrad等也对比了功能安全与预期功能安全之间关系并在SAE 2018自动驾驶安全技术论坛作相关报告[5]。IOTG研究了预期功能安全、网络安全以及责任敏感性安全等智能驾驶不同方面的安全性考虑及相互关系[6]。ZENUITY公司通过分析ADAS与HAD的不同提出了SOTIF在两者中应用的区别[7]。HORIBA MIRA分析了SOTIF及其应对的挑战,提出了相应的需求并建立了风险评估的框架,利用SOTIF风险评估等分析了解决预期行为方面问题的预期功能安全框架[8]。
上述研究主要集中于预期功能安全的定义和描述,对其开展理论和定性定量的研究涉及很少。尚世亮和李波对比功能安全与信息安全技术的差异给出了预期功能安全的技术路线,同时对车辆电控系统预期功能安全技术进行了研究,并提出相应评估方法与改进方法[9]。BOSCH公司基于V模型两侧内容将SOTIF用于ADAS系统开发过程和自动驾驶,并利用性能故障树从标称性能角度分析DA/AD系统[10]。TNO提出了一种基于场景、数据驱动、用于构建和维护真实场景数据库的StreetWise方法,为高级驾驶辅助系统和(连接的)自动驾驶系统的开发和评估提供了真实的场景和测试用例[11]。Bev Littlewood等研究了对于安全关键软件操作测试的一些保守停止规则,提出了一些新的贝叶斯停止规则,为SOTIF适用系统的确认过程提供了一些测试方法的借鉴[12]。Scott A.Shappell等研发的HFACS系统可推导SOTIF误用情景中的人为因素分析中[13]。德州仪器公司就混合信号半导体的失效模式影响及诊断分析(FMEDA)提出了一套功能安全分析的思路[14]。蔡天富等人以耗散结构的维持与演化作为安全系统运行机制的理论基础,在探讨过程中提出了安全熵是反映安全系统本身的混乱程度的概念,并提出安全熵简单数学表达和在人-机-环境三大要素组成系统中的分析[15]。车天伟等人结合信息论有关知识引入安全熵的概念,针对访问控制模型的安全性分析与证明问题,提出了基于安全熵的量化分析方法[16]。袁黎等人为评估无信号控制路段行人过街安全性,本文考虑行人过街的不确定性及混乱性,提出安全熵概念,建立基于安全熵的无信号控制路段行人过街风险评估模型[21]。这些安全熵相关的研究可借鉴于预期功能安全的定量评估分析中。
智能汽车预期功能安全研究的另一个重要内容就是对于场景的理解。Thomason等将场景提出了一种场景树作为场景表示,其中它们将场景分解成更简单的元素并将这些元素排列成分层结构[17];Maurer从观察者的观点来看:“物理对象的空间—时间排列定义了一个场景”[18]。Geyer等人使用剧院的比喻来定义:“场景由风景,动态元素和可选的驾驶指令定义。场景从前一场景结束开始,或者在第一场景的情况下开始—具有预定义的起始场景。在这个起始场景中,定义了所有元素及其行为,并设定了自我车辆的位置”[19]。通过研究和总结前人的成果,Simon Ulbrich等人定义场景为环境的快照,包括风景(地理空间静止元素)和动态元素(移动或具有移动能力),以及所有行动者和观察者的自我表征,以及这些实体之间的关系[20]。
智能驾驶的预期功能安全问题,从智能驾驶的三个层面(图1):感知识别、决策规划、控制执行,分析产生预期功能安全问题的场景因素、算法因素和部件软硬件因素,基于SCSTSV的概念建立智能驾驶安全性预警区、识别区和防护区,提出定量度量预期功能安全的“安全熵”理论,构建安全性试验场景和试验用例。
(1)L4级的智能汽车要求扩展预期功能安全的研究内涵
目前ISO/PAS 21448标准主要是针对L2级ADAS的预期功能安全研究,聚焦于人与智能车的交互安全,随着智能驾驶系统从辅助驾驶功能朝着无人驾驶的发展,人类的角色由专业驾驶员逐渐过渡为一般非专业化乘员,最终从驾驶任务中解放。智能汽车预期功能安全的不确定性因素大大增加。因此,应从智能驾驶的“感知、决策、执行”各个层面系统性研究预期功能安全的内涵。
(2)人工智能算法给智能汽车安全带来新的不确定性
人工智能算法在汽车领域的应用极大地推动了智能驾驶的发展,但由于算法本质上是统计概率的范畴,在模型的训练与测试过程中所涉及到的样本库质量,算法选择等,不能覆盖汽车行驶的所有场景。导致系统在实际使用过程中可能在无故障的情况下出现漏检、误检,从而危害行车安全。因此,有必要在预期功能安全范畴内,对人工智能算法给智能汽车安全带来的风险进行评估。
(3)预期功能安全领域缺乏定量表示
ISO/PAS 21448标准以本车的车载系统功能为中心,从环境关联的角度研究如何提高本车预期功能安全性的问题,提出系统功能与环境关联安全的重要性,提供了一种安全分析的全局观,但尚缺乏汽车智能系统预期功能安全的定量表示。熵是衡量系统混乱程度的有效手段,本文拟引入熵反映智能汽车在某状态下智能驾驶系统的不确定性,代表智能汽车的预期功能安全概率,实现预期功能安全的定量表示。
图1 智能汽车预期功能安全
智能车是智能交通系统的重要组成部分,但车载传感器的探测范围与精度受硬件和算法的制约,同时在特定极端恶劣环境下,系统的鲁棒性也面临挑战。由此给智能驾驶感知的安全带来不确定性。目前主流的解决方法是将多种传感信息融合,依靠系统冗余从而提高整个系统的可靠性和安全性。
Chen等人首先将雷达输入的3D点云投影到前视图和鸟瞰图,然后用鸟瞰图通过卷积网络以及3D bounding-box回归之后生成低精度的3D proposal,然后将此3D proposal投影到前视图、鸟瞰图、单目图像,通过一个融合网络,最后将其通过多任务损失函数进行训练,得到车辆的三维检测[22]。Ku等人输入RGB图像以及BEV图(点云的鸟瞰图),利用FPN网络得到二者全分辨率的特征图,将两者的特征图作为RPN的输入,通过crop&resize提取两个feature map对应的feature crop,按元素取均值的操作进行融合,最后挑选出3D proposal以实现3D物体检测[23]。Banerjee等人首先通过对激光雷达和相机的外部校准,得到激光雷达点云坐标系与相机坐标系的变换矩阵,将激光雷达点云通过变换矩阵变换到相机坐标系,再投影到图像平面上,得到深度稀疏的RGB-D图像,将融合后的图像送入目标检测网络[24]。Liang等人首先分别在图像流和点云流(BEV)使用ResNet18提取特征,然后将图像特征进行多尺度融合并利用PCCN将其“投影”到BEV map上(类似于插值过程),融合了图像特征以及空间位置信息,最后与点云流特征进一步融合并实现3D检测[25]。Qi等人输入RGB-D数据,先通过Mask RCNN在RGB图像上找到2D区域建议,结合激光雷达点云,将2D边界框提升到定义该对象的3D搜索空间的视锥建议,接着,在该视锥中使用PointNet++进行3D实例分割(进一步缩小建议的3D空间),最后,利用T-Net对坐标归一,并再次使用PointNet++,回归出物体3D边界框的相关参数[26]。
Han等人通过对激光雷达点云数据投影过后的二维深度图像上采样,得到与图像像素一一对应的深度信息,将彩色图像和深度图像两个数据特征训练adaboost分类器,最后通过CRF调整输出结果[27]。Liu等人提出了一种基于共点映射的方法融合激光雷达和图像数据,其认为激光点云信息到像素信息类似于共线中的双射,通过此方法将激光雷达与图像边缘点相对应,提出了4种特征判断车辆可行驶区域,最后将结果送入贝叶斯网络得到概率图模型[28]。Xiao等人为了克服复杂多变的道路场景,天气变化和光线变化,将激光雷达点云数据与图像数据标定对齐,将两种传感器数据同时通过CRF输出对应道路区域概率,可以在较大程度上消除两种传感器带来的缺点,比如激光雷达点云数据拥有精确的3D距离信息,而缺乏图像数据的颜色、纹理、梯度等特征[29]。Xiao还通过一种新颖的鸟瞰图变换将激光雷达数据和图像数据对齐,弥补两个传感器各自的缺点,最后通过CRF给出道路区域概率[30]。
Hu等分别在激光雷达和图像数据中提取道路路面,激光雷达通过提取道路边界点和路面点,在图像数据中提取道路特征,最后将其使用概率图模型输出道路概率[31]。Couprie等提出了一种基于二维和三维视觉融合的道路检测系统,利用二维图像通过分水岭生成簇,然后对每个簇的二维和三维特征进行融合并送入人工神经网络(ANN)进行分类[32]。Dosovitskiy等提出映射雷达点到图像平面,然后分析点之间的局部空间关系,得到障碍物,并通过多自由空间检测来估计道路[33]。由此看出,目前的研究主要集中于多感知的融合算法,但对于感知的错检、漏检,以及错觉场景的风险评估研究涉及较少。
对于人-车-环境为一体的现代化道路交通,环境感知信息的不完整、高度动态变化、甚至不一致等特点,对自动驾驶车辆的认知与决策模型在准确性、实时性、鲁棒性等方面提出了严峻挑战。目前,自动驾驶汽车决策行为的研究主要包括行为决策、路径规划及行车安全三个方面,但研究内容对于影响行为决策、路径规划以及行车安全的各种因素考虑不全,对由此产生的风险概率评估不足。
在行为决策方面,卡耐基梅隆大学的BOSS使用行为推理方法进行决策,按照规定的知识及规则实时推理出相应的驾驶行为。但由于真实的交通场景中不可避免的存在不确定性,并不能完全保证决策的安全准确性。Wei J等人将传感器噪声、感知约束及周围车辆行为作为属性加以决策,使用Markov模型进行决策,增强了自动驾驶汽车在单车道内行驶的稳定性[34]。同样,Chen J等人采用多属性决策方法来选择自动驾驶汽车的最优策略[35]。
在路径规划方面,目前最常用的方法为启发式搜索算法,包括A*和Field D*等算法,这类算法通常搜索速度较快,但其求解过程不够稳定,容易出现重新规划的现象。丛岩峰提出基于预测控制理论,基于滚动的方法借助反馈进行实时规划[36]。上述算法都未考虑到车辆动力学的问题,规划出的轨迹不适合车辆行驶;且算法的普适性及实时性无法满足智能驾驶的安全需求。
在行车安全方面,大多数现有的行车安全模型都是基于车辆动力学理论来建立的,考虑了车辆状态信息和相对运动信息。这类行车安全模型忽略了“人-车-路”闭环系统各要素对行车安全的影响,无法体现影响行车安全的各因素的相互作用。我国李德毅院士等发明了一种智能车辆利用变粒度路权雷达图进行信息融合的方法,采用变粒度路权雷达图的形式,融合各类传感器的环境感知信息,并显示车辆拥有的路权空间及其变化趋势,实现辅助驾驶和无人驾驶[37]。汤传业等人提出了一种基于交规约束的无人车行驶路权规划方法,通过对道路环境图像的处理最终得到了栅格状的路权态势图,使得无人车在规则化道路中在遵守交通法规的前提下安全行驶[38]。刘健在其博士论文中提出了一种基于障碍物特性建模的路权时空态势图的构建方法,反映无人车局部环境中的碰撞风险[39]。我国学者王建强提出了“行车风险场”概念,考虑了人-车-路组成闭环系统中各交通要素对行车风险的影响,为车辆智能安全技术的研究提供了一种新的思路和方法[40]。
智能驾驶执行器是作为智能驾驶系统决策输出目标控制量的最终执行者,其执行效果直接影响无人车整体性能,它所承接的系统决策命令综合了车辆外部交通环境状与车内乘客的高不确定性,故建立执行器安全模型是实现智能驾驶的关键技术之一。目前的研究对于乘员在环的误操作以及带来的风险没有系统的评估策略和安全建模。
执行器的预期功能安全主要考虑人机交互过程中乘客的不确定性与执行器自身的响应特性。首先,多因素可造成乘客错用或者误用驾驶功能,而不同自动驾驶功能触发时乘客的接受度和响应时间直接决定了该过程中车辆行驶的安全性。且乘客的个人差异(如年龄、驾驶履历、心理负荷、操作感觉反馈、自动驾驶功能的理解程度等)在人机交互环节可能威胁车辆行驶安全。目前,控制权切换绩效的评价尚无统一的方法,但是其中一些因素已经取得了一些研究进展。Damböck等人研究了在自动驾驶过程中,通过给定一个切换任务来研究驾驶人对任务的响应实时性[41]。Zeebk等采用仿真实验分析了智能辅助驾驶系统切换时间与切换提示之间的相互影响关系,并在此基础上对不同驾驶风格驾驶人切换反应能力进行了统计分析[42]。Nilsson等通过融合驾驶人的控制能力和车辆当前状态构建由自动驾驶切换到手动驾驶的安全评估模型[43]。
在现阶段,预期功能安全的研究对象主要是L2级别的自动驾驶系统,驾驶员在环是其重要特征。对驾驶员状态的检测一般包括以下3种方法:
(1)驾驶员生理信号检测法;
(2)驾驶员面部表情检测法;
(3)驾驶员驾驶行为检测法。
如浙江大学开发了一套基于灰度积分投影的人眼快速定位法,利用图像垂直灰度和水平灰度投影曲线来确定人脸边界及人眼位置,最后确定人眼阈值进而检测驾驶人员眼睛的闭合时间及闭合频率[44];西安交通大学对基于驾驶行为的驾驶员疲劳状态进行了研究,通过分析驾驶员转向盘转角的转向特征,进行小波包的分解并建立能谱熵,对驾驶员疲劳状态和正常状态时的小波能谱熵值进行比较,以能谱熵值区分驾驶员状态[45]。
另一个角度来讲,执行器模型描述着期望指令和实际通过执行器实现的指令之间的关系,执行器的精度、响应时间、预设工况与工作状态、工作范围等许多待确定的特性参数,选取这些参数十分繁琐,郭景华把执行器建模视为灰箱辨识问题来确定执行器的数学模型。智能车在运动过程中利用车辆运动学与碰撞学对车辆运行结果进行安全评价[46]。吉德志采用蒙特卡洛方法来计算车辆间的碰撞概率,并对传统的蒙特卡洛方法加以改进以提高碰撞概率的计算速度,提出了几何蒙特卡洛和矩阵蒙特卡洛方法,实时计算车辆间的碰撞概率,完成车辆的碰撞预测[47]。Laugier C等在考虑道路几何拓扑环境的基础上,通过隐马尔可夫模型结合GPS进行碰撞识别,直观的进行碰撞风险估计[48]。Jang J A提出了一种协同路口碰撞预警系统模型CICWS(Cooperative Intersection Collision Warning System),应用固定的交通传感器在无信号路口为驾驶员实时提供预警信息[49]。文中使用交通冲突技术TCT(Traffic Conflict Technique)估计交叉口的可能碰撞,并扩展概念应用于实时信息通讯,用于识别与车辆建设相关的安全问题。
还有一些对于车辆横向控制的研究:清华大学的张德兆等针对乘用车设计了一种基于风险状态预估的弯道防侧滑超速预警系统,根据驾驶员预估时间构造风险状态预估函数,提前判断车辆进入弯道时的安全状态,并对驾驶员分级报警提示,从而使其提前对车辆进行操作,保证车辆弯道行驶的安全性[50]。Gerhard等建立车辆线性动力学模型,利用主动差速和主动侧倾控制系统设计了横摆角控制器,简单但鲁棒性强,在时变参数空间内确定车辆稳定的边界条件,通过控制车轮转向角和车辆纵向速度以避免车辆发生侧翻等危险[51]。
综上所述,预期功能安全属于智能汽车的新型发展方向,国内外研究多数停留于定义和概念阶段,尚缺乏全面系统的基础理论支撑。少数探索性研究主要针对特定技术方面,决定了预期功能安全目前存在着很大的挑战。
(1)在智能驾驶预期功能安全方面,由于安全评估必须依靠场景的支撑,需要研究智能驾驶场景的建模,驾驶碰撞是由于智能汽车的现有路权和驾驶意图的期望路权之间的冲突,研究基于路权语义的场景建模,并提出预期功能安全熵的概念,表示该智能系统的安全度。
(2)智能驾驶感知的安全建模任务中,可靠的环境感知能力对自主巡航控制、碰撞预警和路径规划起到至关重要的作用,直接影响其决策的准确性。环境感知是多种传感器数据融合后的结果,如何学习、融合多源异构传感数据,是研究感知的首要问题。在面对多态性环境和错觉场景,需建立有效的风险评估策略和干预措施。此外,如何提高感知准确率,针对漏解和误解情况构建鲁棒的概率模型,也是亟待探索的重要问题。
(3)在智能驾驶决策的安全建模方面,对行为决策及路径规划算法的安全性进行风险评估,研究道路交通法规和未知危险造成事故的可能性等因素,开展基于风险概率冲突及严重程度冲突的风险预测模型的构建,设计决策安全监测系统,同步监测及验证决策逻辑,建立基于决策层面的预期功能安全模型与计算方法。
(4)在智能驾驶执行器的安全建模方面,执行器的输入有智能系统和乘客行为,由于存在执行器响应延迟与工作范围限制,乘员对功能理解不充分状态下的功能误用以及系统触发时与乘员预期不同所产生的心理负荷等因素,对行车安全造成影响。故未来应提出综合乘客不确定因素与执行器响应特性要素,从车辆动力学失稳与运动学碰撞风险角度,建立智能驾驶执行层面的预期功能安全熵模型与计算方法。