基于贝叶斯网络的自动驾驶感知系统预期功能安全的分析研究

姜建满 范贤根 崔玉顺

1.安徽职业技术学院 安徽省合肥市 230000 2.安徽江淮汽车集团股份有限公司 安徽省合肥市 230000

1 引言

特斯拉感知算法未检测出白色卡车车厢的致死事故；Uber 决策系统失误，碰撞违规穿越马路行人的交通事故等，一度将自动驾驶车辆的安全问题推向行业的研究热点。与传统车辆的不同，自动驾驶车辆会发生在电子电器系统没有发生故障的情况下，出现非预期的行为，即预期功能安全的问题。自动驾驶车辆在极端天气（雨、雪、雾、风等）、光照条件等多种因素均会导致感知系统感知能力不足，如恶劣的环境会造成数据造成增大、传感器视野受限等。ISO21448 道路车辆——预期功能安全标准中将触发条件定义为导致自动驾驶系统后续出现危害行为的特定场景条件。

然而，现有关于自动驾驶预期功能安全的研究分析多为定性分析某一系统或者某一功能的低级别自动驾驶车辆；关于触发条件的分析是基于整车级的危害映射到感知-决策-执行的性能缺陷，从性能缺陷再映射到触发条件，缺乏正向地系统地对导致自动驾驶车辆出现非预期行为的触发条件进行建模和计算。本文提出一种自动驾驶感知系统预期功能安全触发条件的建模方法，通过对自动驾驶感知系统触发事件链贝叶斯网络的计算，预测自动驾驶非预期功能安全是否发生。

2 自动驾驶感知系统功能不足和性能局限性分析

首先，根据可能引起自动驾驶预期功能安全的感知系统功能不足和性能局限，构建雨、雪、雾；光线不足和视觉盲区触发事件链的贝叶斯网络。

根据系统工程理论，将引起自动驾驶感知系统预期功能安全的触发条件看作一个各种要素相互联系作用形成的系统，与触发条件相关的各要素可以划分为：输入要素、状态要素和输出要素。输入要素指影响自动驾驶感知系统预期功能安全的外部因素的集合，主要道路结构、交通设施、临时事件、参与者、环境信息和自车状态。状态要素用于描述触发条件在演化过程中的性质和特征，包括以上六层模型的属性及属性之间的关联关系。输出要素表示触发条件引发的后果，包括感知过程方面如原始数据的失真、缺失以及噪声等；认知过程方面如未识别出目标物、目标物分类错误及参数误差等。

从输入、状态和输出三个层面描述可能导致自动驾驶预期功能安全的触发变量，作为贝叶斯网络变量，并建立贝叶斯网络，然后按照三者之间的关联关系将三个贝叶斯网络进行合并，形成雨、雪、雾；光线不足和视觉盲区事件链贝叶斯网络。雨、雪、雾；光线不足和视觉盲区三个子事件贝叶斯网络的变量描述见下表1 所示，其中黑体字体表示子事件的共有事件关联变量，斜体字表示共有损失输出变量。

表1 自动驾驶感知系统贝叶斯网络中的变量

上表可以看出，雨、雪、雾和光线不足的共有事件关联变量为={}，共有损失输出变量集合为={、、、}，光线不足贝叶斯网络和视觉盲区贝叶斯网络的共有事件关联变量为={}，共有损失变量合集为={、、}，将指派给雨、雪、雾贝叶斯网络，指派给光线不足网络，以与为连接点将雨、雪、雾；光线不足和视觉盲区三个贝叶斯网络关联；以和为连接点合并雨、雪、雾；光线不足和视觉盲区事件损失输出后，整体损失输出为LO={lo、lo、lo}形成雨、雪、雾；光线不足和视觉盲区事件链的贝叶斯网络。

3 自动驾驶感知系统触发条件的贝叶斯网络构建

分析自动驾驶感知系统外部环境条件雨、雪、雾；光线不足和视觉盲区事件链贝叶斯网络的条件概率。

（1）输入对状态的影响。子事件雨、雪、雾关联子事件光线不足，对于的任一状态变量S∈S，若直接与输入变量相连接，则发生概率如下：

（2）状态对状态的影响。对于子事件中任一状态变量S∈S，若不受输入变量影响，则发生概率如下：

（3）状态对输出的影响。，，，…S，为有关联关系的影响自动驾驶感知系统预期功能安全触发事件，，，…EN的状态变量集合，O为触发事件EN的输出变量集合，则对任一事件EN中任一输出变量O∈O，有下列概率关系：

EN的输出变量集合O包含两部分，一部分成为其他事件的输入变量，另一部分为子事件EN的损失输出变量，若同时又是其他事件的共有损失输出变量，则可以作为触发事件链贝叶斯网络的整体损失输出变量集合LO中的变量。

LO={lo｜1 ≤≤}为触发事件链贝叶斯网络的整体损失输出，LO O且满足下列概率关系：

其中，lo表示触发事件链对外部环境的第类损失的整体损失输出，表示关联合并的子事件贝叶斯网络的个数。

4 感知系统预期功能安全触发事件链的贝叶斯网络推理

最后，进行自动驾驶感知系统预期功能安全触发事件链的贝叶斯网络推理，预测触发条件事件链模型下自动驾驶非预期功能安全是否发生。

设触发事件链贝叶斯网络中输入变量集I和状态变量集S中部分状态变量为证据变量，S中其余的状态变量和输出变量O为目标变量，根据证据变量的取值，可以计算目标变量各种取值的后验概率。

根据证据变量的取值信息计算其他目标变量的取值概率。

依据公式（1）、（2）与（S｜，，…）判断该触发事件是否发生，若发生则继续计算其他状态变量的取值概率，并根据公式（3）计算输出变量的取值概率，否则停止计算，从而得到触发事件链贝叶斯网络中各目标变量的后验概率。

汇总各触发事件的状态与输出

根据上述步骤得到的后验概率，将状态变量S取值为1 的概率大于取值为0 的概率的各子事件的状态变量集合，，…S，及其损失变量输出变量，，…LO，中的变量进行汇总。

触发事件链的状态是其链上各子事件状态变量的集合，其概率分布为：

根据可能引起自动驾驶感知系统预期功能安全的触发条件事件链的状态变量集合，整体损失输出变量集合的取值概率，可预测与初始触发条件相关联的其他触发条件的关键状态及触发条件事件链给自动驾驶车辆带来的非预期功能安全。

5 结语

文中提出一种自动驾驶感知系统预期功能安全触发条件的建模方法，通过对自动驾驶感知系统触发事件链贝叶斯网络的计算，预测自动驾驶非预期功能安全是否发生。首先，统一抽象自动驾驶感知系统预期功能安全触发事件链模型，根据预期功能安全触发条件内部各要素间关联关系建立输入、状态和输出三层结构；其次，构建触发条件事件链贝叶斯网络，确定网络中各变量的先验概率和条件概率集合；最后，明确触发条件事件链间的关联模式，形成自动驾驶感知系统触发事件链贝叶斯网络结构，对触发条件引发的可能导致自动驾驶非预期功能安全的连锁反应过程进行预测和分析。