自动紧急制动系统控制模块的SOTIF量化评价 *

白先旭，左 瑜，李维汉，石 琴，李楚照，赵树廉，陈 炯

（1. 合肥工业大学，自动驾驶汽车安全技术安徽省重点实验室，合肥 230009；2. 合肥工业大学，安徽省智慧交通车路协同工程研究中心，合肥 230009；3. 合肥工业大学汽车与交通工程学院，车辆工程系自适应结构与智能系统实验室，合肥 230009；4. 清华大学车辆与运载学院，北京 100084；5. 中国汽车工程研究院股份有限公司汽车噪声振动和安全技术国家重点实验室，重庆 401122；6. 蔚来汽车有限公司，合肥 230061）

前言

我国汽车保有量逐年攀升，交通事故也随之增多。数据显示，仅2020 年就发生了244 674 起交通事故，导致61 703人死亡、250 723人受伤，直接财产损失达131 360.6 万元［1］。其中，追尾是常见的交通事故之一［2］。在大多数严重的追尾事故中，后车驾驶员通常制动不完全或未及时有效地制动［3］。在危险情况下及时制动可以减少交通事故，降低事故严重度。自动紧急制动（autonomous emergency braking，AEB）系统可以在检测到潜在的碰撞时自动制动来避免即将发生的碰撞，或在碰撞不可避免时减轻碰撞的严重程度［4-6］。

AEB 系统主要由传感器模块、决策模块和控制模块组成［7］。传感器模块检测目标车和本车的速度、加速度及其相对距离等信息，并输出给决策模块；决策模块对这些数据进行处理和计算，判断是否制动，并将预期减速度输出给控制模块。控制模块包含制动控制器和制动执行器，制动控制器根据从决策模块接收到的预期减速度控制制动压力来实现制动车辆。

搭载低速AEB 系统的汽车可将追尾事故发生率降低43%，将追尾事故中受伤的发生率降低45%［8］。然而，即使如今越来越多汽车配备了AEB系统以及其他自动驾驶辅助系统，也并不意味着驾驶的绝对安全。不确定性是预测系统输出的自然组成部分，尤其是深度学习模型［9］。由于系统自身的设计不足或性能局限，在其配备的各个元件未发生故障或失效时，也有可能导致非预期危害行为的发生［10-11］。国际标准 ISO 26262 覆盖的故障性风险造成的功能安全问题分析已无法完全满足当前系统的安全保障需求。

为解决因自身设计不足或性能局限导致的整车危害行为问题，国际标准化组织于2019 年发布了ISO/PAS 21448《道路车辆-预期功能安全（safety of the intended functionality， SOTIF）》［11］。如图1 所示，ISO/FDIS 21448 将驾驶场景分为已知安全、已知不安全，未知不安全和未知安全4 类场景［12-13］。SOTIF的目标是保持或最大化已知安全场景，同时最小化已知不安全和未知不安全场景［14］。结合AEB 系统属性，为使AEB 系统更加安全可靠，有必要对其进行SOTIF研究。

图1 SOTIF场景分类

Becker 等［15］指 出 使 用 系 统 理 论 过 程 分 析（systems-theoretic process analysis， STPA）理论可以得到与可预见误用和系统限制相关的危险场景，符合SOTIF 分析需求。2019年，Sharma［16］应用STPA 方法对AEB 系统进行了安全分析，并生成系统设计需求。ISO/FDIS 21448［12］针对AEB 系统可接受的误报率进行了定义与验证，并对AEB 系统的SOTIF 分析方法进行阐述。2021 年，Duan 等［17］提出一种结合STPA 和基于模型的系统工程的危害分析方法，该方法可以绘制符合国际标准化组织ISO 26262 和SOTIF 标准的开发过程，并在AEB 系统上验证了该方法的有效性。

AEB 系统SOTIF 相关风险的主要来源是已知不安全和未知不安全场景。来自已知不安全场景风险可通过针对场景的功能改进消除，而来自未知不安全场景的风险难以发现，也不能完全消除。为验证并确认AEB 系统在未知不安全场景的安全性，当前行业主要采用大量的里程累积测试方法，但大量的里程测试会造成研发周期和成本过高等问题，也无法从根本上减小风险。科学地评价AEB 系统 的SOTIF 性能，可以验证系统安全性及量化系统的风险大小，并为提高系统SOTIF 性能提供一个明确的方向。

然而，目前针对SOTIF 性能的评价体系很少［18］。AEB 系统的SOTIF 研究主要集中于定性分析，虽然能够分析系统的性能不足和可能导致的危害行为，但不能量化由于性能不足所导致的危害行为风险的大小与系统SOTIF 性能的优劣。美国公路安全保险协会（IIHS）［19］和欧洲新车安全评鉴协会（Euro-NCAP）［20］发布的AEB 系统评价方法主要是对不同速度下的减速程度进行评分。Ji等［21］提出增加碰撞时间、制动减速峰值和制动停止后距离等评价参数，可以更全面地评价AEB 系统的性能。这些AEB 系统评价方法侧重于对系统功能的评价，不适用于系统的预期功能安全评价。因此，对于AEB 系统的SOTIF 量化评价进行研究显得尤为重要，将有利于完善AEB 系统的SOTIF 评价体系，推动自动驾驶辅助系统的SOTIF 研究。AEB 系统控制模块根据从决策模块输入的预期减速度对制动压力进行控制，以达到控制精度和效率，是整个系统的核心模块［22］。为进行针对性分析，暂不考虑由于传感器模块和决策模块所导致的SOTIF 问题，认为二者均处于理想状态。本文中将重点对AEB 系统控制模块进行安全分析，并根据安全分析结果提出AEB 系统控制模块的SOTIF 评价指标。通过CRITIC 法确定各个指标的权重，并基于优劣解距离（technique for order preference by similarity to ideal solution， TOPSIS）法对提出的指标进行量化评价。最后，通过实车测试验证该评价方法能够正确合理地反映AEB 系统控制模块的SOTIF性能优劣。

1 AEB系统的安全分析

为得到AEB 系统在运行过程中可能存在的危害行为，在对AEB系统SOTIF研究初期，需要对AEB系统进行安全分析，识别出系统预期功能的危害，并识别出AEB 系统的不安全控制行为。这将有助于后续AEB 系统SOTIF 评价指标的确定。基于STPA的分析方法，结合ISO/PAS 21448 中SOTIF 的分析框架对AEB 系统进行安全分析。安全分析框架如图2所示，主要分析流程为：①部分定义AEB系统的分析目的；根据AEB 系统结构建立②部分的AEB 系统STPA控制架构；基于②部分所建立的控制架构，③部分在系统与部件均未失效的前提下，识别AEB 控制模块系统潜在的不安全控制行为。这些不安全控制行为是AEB系统SOTIF未知不安全场景的重要来源。

图2 安全分析框架

1.1 定义AEB系统分析目的

如图2 中①所示，定义AEB 系统分析目的主要包括4部分：定义AEB系统功能、定义AEB系统运行场景、定义AEB 系统损失和识别AEB 系统层级危害。

1.1.1 定义AEB系统功能

如图2 中①（a）所示，Sc代表AEB 系统所运行的场景，定义AEB 系统功能主要是定义系统在不同场景下应该表现出来的功能，即明确AEB 系统应该达到的性能。AEB系统的主要功能是在不同紧急程度下通过不同制动强度的主动制动来避免碰撞或减轻碰撞，弥补紧急情况下驾驶员制动过慢或制动力不足的缺陷。

1.1.2 定义AEB系统运行场景

如图2 中①（b）所示，系统并非在所有情况下都能正常工作，它的正常运行存在一个边界，这个边界为其运行场景。为明确AEB 系统能够发挥其预期功能的工作边界，需要定义AEB 系统的运行场景。在定义的运行场景内，AEB 系统应正常工作。对AEB系统的SOTIF分析均应在运行场景内进行。

图3为初步定义的AEB系统运行场景。图3（a）为前方目标车静止、慢行与急停的逻辑场景，图3（b）为目标行人横穿的逻辑场景，图3（c）和图3（d）分别为前方相临车道的车辆紧急切入和前方掉落货物的逻辑场景。在这些定义的系统运行场景中，AEB 系统应安全运行，发挥其预期功能。图中d1和d2分别为主车与前、后方目标物的纵向距离，v1、v2和v3分别为主车、前方目标物和后方目标物的速度。

图3 AEB系统运行场景

1.1.3 定义AEB系统损失

如图2 中①（c）所示，损失L 主要为利益相关者无法接受的结果。损失可能包括失去生命或人身伤害、财产损失、环境污染或利益相关者无法接受的其他损失。对于AEB 系统而言，其主要功能是让车辆避免或减轻碰撞，保护人员的安全。根据分析，AEB系统的损失定义如表1所列。其中，L-1为最重要的损失，即人员伤亡，是系统应首要避免的情况。在L-1 能避免的前提下，应尽力避免L-2 和L-3 的发生。

表1 AEB系统损失

1.1.4 识别AEB系统层级危害

如图2 中①（d）所示，危害H 指的是一种系统状态或是一系列条件，在特定的最不利环境条件下，会导致损失。要识别AEB 系统层级的危害，首先应明确该系统运行场景范围与损失。根据表1 定义的AEB系统损失和图3中AEB系统运行场景，识别了3种不同的危害，如表2所示。表2中每一项危害都对应一个到多个损失。比如当主车未与前方车辆或行人保持安全距离时（H-1），系统在一定条件下会导致L-1 和L-2 的发生。由于这些危害在一些工况下会导致系统级的损失，在系统设计时应尽量避免这些危害事件。

表2 AEB系统层级危害

这一步的主要目的是分析AEB 系统在定义的运行场景中可能存在的危害事件，在后续步骤中，将根据危害事件进一步分析系统的不安全控制行为。

1.2 建立AEB系统STPA控制架构

在系统的运行过程中由于自身性能存在不足，会导致一些不安全的控制行为，这些不安全控制行为可能会进一步引发非预期危害事件的发生，属于系统的SOTIF问题。为分析AEB系统的不安全控制行为，首先应建立AEB 系统STPA 控制架构。图2中②为建立AEB 系统的STPA 控制架构的流程，它由一个一般的控制回路开始，根据分析需求可对其进行不断细化，直至符合要求。

图4为最终建立的AEB 系统的STPA 控制架构，它是一个由反馈控制回路组成的系统模型。该控制结构的纵向分布代表控制层级，从上往下控制层级越来越低。每个个体都接收其上方直接个体的控制命令或信号，并对其下方直接个体发送控制命令和物理信号。图4 所示的控制架构图中向下的箭头都代表控制命令，向上的箭头代表反馈。传感器模块与驾驶员均可从环境中获取信息，并与AEB 系统控制模块进行交互。AEB系统控制模块根据传感器模块与驾驶员输出的信息进行决策控制，实时地输出制动压力。执行模块根据AEB 系统控制模块输出的制动压力进行制动，使车辆减速。最后汽车传感器系统又将车身的物理信息反馈给AEB 系统控制模块。

图4 AEB系统的STPA控制架构

1.3 识别不安全的控制行为

如图2 中③所示，不安全控制行为（UCA）指的是在特定情境和最坏环境下可能导致系统危险的控制行为。在系统或部件未失效的前提下，对图4 中控制模块进行不安全控制行为的识别。AEB系统决策层会输出期望减速度，该期望减速度经由控制层转换为制动压力，结合STPA不安全控制动作的识别方法，得到AEB 系统控制模块的不安全控制行为如表3所示。表3中包含8项不同的UCA，每个UCA都对应一个到多个危害。比如在给出制动命令，但未执行制动（UCA-1）的情况下，可能导致自车与前方车辆或行人距离低于安全距离（H-1），或与前方其他障碍物距离过近（H-3）。

表3 不安全控制行为

通过上述对AEB 系统控制模块的不安全控制动作识别，得到了表3 中所列的8 种不安全控制行为，这些不安全控制行为都有可能导致系统级危害的发生。因为系统与部件均未失效，所以这些不安全控制行为均来源于系统自身的性能不足，如UCA-5 和UCA-6 可能是由于控制量收敛过慢或控制算法不充分估计自身状态模型等。由这些不安全控制动作所引发的危害事件均属于SOTIF 分析与评价范畴。

2 AEB系统SOTIF量化评价方法

2.1 基于STPA安全分析的评价指标

AEB 系统控制模块自身的性能不足，在系统的运行过程中会表现为不安全的控制动作。比如在AEB系统决策模块给出制动命令并输出期望减速度后，由于控制模块制动压力控制精度局限等，会导致UCA-7 或UCA-8。又如由于控制器物理性故障和控制算法运行漏洞等，可能会导致UCA-1 或UCA-2。这些不安全控制行为，最终都会反映到整车的制动过程中，并在一些极限或未知的场景下引发非预期的危害事件，导致SOTIF 问题。为客观地评价AEB 系统控制模块的SOTIF 性能，根据分析得到的可能导致系统非预期危害事件的不安全控制动作，本文中提出以下自动紧急制动系统控制模块的SOTIF评价指标。

（1）减速度大小误差，即实际减速度第一次达到预期减速度时刻到AEB 系统激活结束时刻的减速度的误差均值：

式中：n为实际减速度第一次达到预期减速度时刻到AEB 激活结束的时间段内采样点个数；a为实际加速度大小；ap为预期加速度大小。

（2）制动时刻误差

式中：t为实际开始制动的时刻；tp为预期制动时刻。

（3）制动持续时间误差

式中：T为实际减速度持续时间；Tp为预期减速度持续时间。

（4）相对距离误差

式中：d为AEB 激活结束时与目标的实际相对距离；dp为AEB激活结束时与目标的预期相对距离。

（5）误响应包含表3 中UCA-1 和UCA-2 两种不安全控制动作，则误响应率为

式中：m为单个场景下测试的误响应次数；M为单个场景的测试次数。

在进行所有场景的测试后，对数据进行预处理，得到各个指标数据，并将前4 个指标的数据合并为数值矩阵：

式中：xij表示第i组测试第j项评价指标的数值；N为所有场景下的测试正确响应的次数。

2.2 各指标权重确定

为对AEB系统控制模块的SOTIF性能进行量化评价，在确定评价指标后进一步确定各个评价指标的权重。CRITIC 法是综合指标间的差异性与相关性来计算权重的一种赋权法［23］。相对于主观赋权法，CRITIC 法具有很强的客观性，不受决策者知识缺乏的影响。为保证量化评价的客观性，采用CRITIC 法确定各个评价指标的权重，具体计算步骤如下。

（1）数据的预处理。为减少数据的绝对数值差异，将它们统一到近似的范围内，重点关注其变化和趋势，需要对数据进行无量纲化处理。本文所选取的指标均为极小型指标，这里将其转为极大型：

式 中：max（xj）为 数 值 矩 阵X中 第j列 的 最 大 值；min（xj）为数值矩阵X中第j列的最小值。

转换后的数值矩阵为

（2）指标对比强度计算。指标对比强度用标准差来表示，标准差越大表示该指标的数值差异越大，越能反映出更多的信息，该指标本身的评价强度也就越强，应该给该指标分配更大的权重：

（3）指标冲突性计算。指标冲突性使用相关系数来表示，相关性越大，该指标就与其他指标的冲突性越小，反映出相同的信息越多，所能体现的评价内容就越有重复之处，一定程度上也就削弱了该指标的评价强度，应减小对该指标分配的权重：

式中rij表示评价指标i和j之间的相关系数。

（4）指标信息量计算。指标信息量为指标对比强度与指标冲突性的乘积，指标信息量越大，指标在整个评价体系中的作用越大，应给其分配更大的权重，记指标的信息量为Cj：

（5）客观权重计算。对指标信息量可以进一步计算各个指标的权重：

2.3 综合量化评价

TOPSIS 法的基本原理是最佳方案离正理想解的距离最短，离负理想解的距离最长。它具有评价结果可靠、计算速度快等特点［24］。当系统评价指标的实际值与预期值距离最短时其SOTIF 性能最优。因此，可以基于TOPSIS 法对系统SOTIF 性能进行量化评价。通过计算每个评价对象与正、负理想解的距离大小评价其优劣程度。具体计算步骤如下。

（1）数据正向化与标准化处理。由于选用的指标均为极小型指标，正向化处理的表达式为

标准化处理公式为

记标准化处理后的数值矩阵为Z：

（2）确定正负理想解。由于使用TOPSIS 法的评价所选用的指标均为误差指标，其理想情况下的值应都为0，故定义正理想解为

由于所有指标均为正向指标，负理想解为矩阵Z中各指标所有数据中的最小值，则负理想解为

（3）根据式（16）和式（17）得到的正负理想解，可计算各评价对象与正、负理想解的欧式距离为

（4）计算各组测试数据的分数

式中Si为第i组测试数据的得分，取值范围为60～100，Si越大，表明该测试数据与正理想解的距离越小，相应地，Si越小，表明该测试数据与负理想解的距离越小。

最后，计算单个场景下所有测试数据的综合得分：

式中Sk为单个场景下第k组测试数据的得分。

3 试验测试与评价结果分析

为验证上节中所提出的评价方法的合理性，参考Euro NCAP［20］的 AEB系统测试方法对某型智能汽车的AEB 系统在测试场地进行实车测试。如图5所示，测试设备主要为RT 系统（型号RT-Range），测试场景选用前车慢行的逻辑场景。目标车速度为20 km/h，选取主车速度分别为40、50 和60 km/h。3 个测试场景分别记为CCRm-40-20kph、CCRm-50-20kph、CCRm-60-20kph，在每个测试场景中重复测试两次。测试过程中，采集并记录所需指标的数据。

图5 实车测试设备与场景

3.1 试验数据

在每次测试过程中记录主车加速度和主车与目标车相对距离的实际值与期望值。图6 所示为测试场景CCRm-40-20kph 中的两组测试数据。从图6（a）和图6（b）可以看出，两次测试的期望加速度随时间变化曲线相近，由于控制性能有限，两组测试数据中制动加速度和相对距离的实际值和期望值在制动过程中都有一定的误差。CCRm-50-20kph 测试场景中的两次测试结果如图7 所示。图7（a）中的最大加速度表现出较大的误差，且图7（a）和图7（b）中实际加速度的响应时刻均晚于期望加速度的响应时刻。图8 为测试场景CCRm-60-20kph 中的两组测试数据，由于主车车速的增加，该测试场景中制动时间明显比图6和图7中的制动时间长，在制动结束时相对距离也表现出较大误差。

图6 CCRm-40-20kph测试场景

图7 CCRm-50-20kph测试场景

图8 CCRm-60-20kph测试场景

在得到图6、图7 和图8 中的测试数据后，对其进行数据处理，并利用式（1）～式（5）计算各指标的数值，得到的数据如表4所示。

表4 测试数据中各指标值

3.2 试验结果量化评价

根据所建立的评价方法与AEB 系统实车测试所得到的数据，对被测试车型的AEB 系统的SOTIF进行量化评价。

根据表4 中各指标的测试数据，可获得数值矩阵。首先，利用式（7）对原始数据进行预处理，即对减速度大小误差、制动时刻误差、制动持续时间误差、相对距离误差这4 个极小型指标进行正向化处理与无量纲化处理。然后，根据式（9）～式（12）确定各指标权重，如表5所示。

表5 各指标权重

利用式（13）和式（14）对原始数值矩阵进行正向化和标准化处理，获得标准化后的数值矩阵，进而通过式（16）和式（17）确定各指标的正理想值和负理想值。利用式（18）和式（19）分别计算每组测试数据与正、负理想解的欧式距离，并根据式（20）计算每组测试数据的SOTIF 评价得分，如表6 所示。最后，综合表6 中每次测试的单次得分，利用式（21）计算AEB系统控制模块在每个测试场景中的SOTIF 综合得分，结果如图9所示。

表6 测试数据的SOTIF评价得分

图9 不同场景下SOTIF综合得分

通过对试验数据的处理，表4 中列出每组测试各个指标的值，可将其转换为式（6）的数值矩阵。在得到数值矩阵后，计算各个指标的权重大小，权重代表各个指标的相对重要性。权重越大，代表该指标反映的信息量越多，评价强度越强，对AEB 系统控制模块的SOTIF 性能影响也越大。根据表5 所列结果，aσ的权重最大，代表该指标最能反映AEB 系统控制模块的SOTIF 性能。表6 中得到的各组测试数据的SOTIF 得分，可直观看出每组测试数据体现的AEB 系统控制模块SOTIF 性能的优劣，它将用于评价AEB 系统控制模块在每个场景中的SOTIF 综合性能。

对表6 中每个场景下的所有测试数据SOTIF 得分进行综合，得到如图9 所示不同场景下的AEB 系统控制模块SOTIF 综合得分。由图9 看出，在前车慢行的场景中，由于主车运行的车速不同，AEB系统控制模块的SOTIF性能表现出一定差异。

3.3 结果分析与改进建议

根据表4 所列评价指标的测试数据，在不同场景中，被测AEB 系统控制模块在减速度大小、制动时刻、制动持续时间以及与目标车相对距离的控制上均存在一定误差，这些误差会降低AEB 系统控制模块的SOTIF性能，使其在极限工况下发生非预期危害行为。此外，随着主车车速上升，主车与目标车的相对距离误差表现出增加的趋势，另外几个评价指标值在一定范围内波动，并未表现出明显的增加趋势。

如表5 所示，各评价指标的对比强度相差不大，而冲突性表现出较大的差异。其中，制动减速度误差的冲突性最大，表明该指标与其他指标的相关性最小。综合指标的对比强度与冲突性大小，分配给aσ最大的权重。说明在所有评价指标中，aσ最能反映AEB系统控制模块的SOTIF性能。

如表6 所示，在CCRm-40-20kph、CCRm-50-20kph 和CCRm-60-20kph 3 个测试场景中，测试数据与正理想解的欧式距离依次递增，与负理想解的欧氏距离依次递减。这表明主车车速越大，AEB 系统控制模块的预期功能表现越接近最劣值。结合图9 所示综合得分，被测车辆的AEB 系统控制模块在主车速度较低的场景中SOTIF 性能表现较好，随着主车速度的增加，SOTIF 性能随之变差，即风险增大。评价结果与客观事实相符，验证了所提出的评价方法的合理性和实用性。

基于以上分析，为进一步提升AEB 系统控制模块的SOTIF 性能，使系统更加安全可靠，建议从以下几个方面进行功能改进：

（1）通过优化纵向控制算法，减小制动时刻误差、减速度大小误差和制动持续时间误差，让实际加速度曲线更加接近期望加速度曲线。

（2）考虑外界环境因素，如路面附着系数，改进AEB决策算法使期望加速度曲线更合理［25］。

（3）建立系统的设计运行域，限制系统使用的速度范围，使相对距离误差在允许范围内。

4 结论

首先基于STPA 的方法对AEB 系统控制模块进行安全分析，获得了AEB 系统控制模块的不安全控制行为，这些不安全控制行为是系统SOTIF 风险的重要来源。根据安全分析的结果提出了AEB 系统控制模块的SOTIF 评价指标，并通过CRITIC 法确定各个指标的权重大小，并基于TOPSIS 法对评价指标进行SOTIF 量化评价。通过对某型智能汽车的AEB系统进行实车试验，使用提出的评价方法对采集的各指标试验数据进行SOTIF 量化评价。获得了在不同测试场景中AEB系统控制模块的SOTIF综合得分依次递减结果。评价结果表明，在前车慢行的逻辑场景中，随着主车车速增加，被测AEB 系统控制模块的SOTIF 性能降低，符合客观事实，验证了所提出的AEB系统控制模块的SOTIF评价方法的合理性和实用性。最后，根据各评价指标试验中的表现情况，建议通过改进纵向控制算法使实际加速度响应曲线更接近期望加速度曲线，或限制系统使用的速度范围，使相对距离误差在允许的范围内，或改进AEB算法使期望加速度曲线更合理的方法提高AEB 系统控制模块的SOTIF性能。