段順昌，白先旭，石琴，李維漢，何冠男

（1.安徽省智慧交通車路協(xié)同工程研究中心，合肥230009；2.合肥工業(yè)大學汽車與交通工程學院，車輛工程系自適應結(jié)構(gòu)與智能系統(tǒng)實驗室，合肥230009）

前言

我國汽車產(chǎn)業(yè)發(fā)展非常迅速，機動車保有量飛速增長，交通事故也日益凸顯，造成了嚴重的人員和財 產(chǎn) 損 失。據(jù) 世 界 衛(wèi) 生 組 織（world health organization，WHO）統(tǒng)計，每年全球約有130萬人因交通事故而死亡。值得注意的是，在所有發(fā)生的案例中，因駕駛員操作失誤或不當而引發(fā)的交通事故數(shù)目約占總數(shù)的90%。為降低居高不下的事故發(fā)生率，改善現(xiàn)有的交通環(huán)境，各國政府以及相關(guān)科研機構(gòu)都加大了對智能駕駛技術(shù)研究的投入，以在自動駕駛技術(shù)領域有所突破。且傳感器技術(shù)與自動駕駛算法水平的不斷提升，使自動駕駛技術(shù)獲得了迅猛發(fā)展，自動駕駛系統(tǒng)功能日趨完善，裝機量與滲透率不斷提高。Waymo、Tesla、Uber、華為、小鵬和蔚來等公司均能實現(xiàn)汽車的多種輔助駕駛功能，甚至實現(xiàn)了部分場景的自動駕駛。但隨著實際行駛里程的增加，自動駕駛相關(guān)事故也頻繁出現(xiàn)。2018年5月18日，美國亞利桑那州一輛配備有安全駕駛員的自動駕駛測試車輛在夜間與自行車相撞，造成騎自行車行人受傷嚴重不治身亡。根據(jù)美國國家運輸安全委（national transportation safety board，NTSB）的事故調(diào)查，事發(fā)前車輛自身的感知系統(tǒng)已經(jīng)發(fā)現(xiàn)危險并發(fā)出緊急制動請求，車載控制單元中的感知系統(tǒng)已發(fā)現(xiàn)自行車，但其決策系統(tǒng)在設計之初未考慮行人會橫穿馬路，將感知系統(tǒng)結(jié)果丟棄，并屏蔽了車輛自身的緊急制動請求。特斯拉汽車曾發(fā)生3起與白色貨車相撞的事故，事故的共同原因均是：感知系統(tǒng)在特定的光照條件下將白色車廂識別為天空，未能及時識別出危險。豐田、日產(chǎn)、沃爾沃等汽車公司曾就“幽靈剎車”問題進行產(chǎn)品召回，該現(xiàn)象產(chǎn)生是因為在特殊光照條件、角度及距離情況下車輛將道路上非障礙物識別為障礙物，激活車輛自動緊急制動（automatic emergency braking system，AEB）系統(tǒng)功能，導致車輛非預期制動行為。

從以上事故可以看出，與傳統(tǒng)車輛的安全風險相比，自動駕駛車輛所面臨的安全風險不僅來自于車輛零部件的失效，即故障性風險，還來自于自動駕駛系統(tǒng)內(nèi)部功能組件設計不足、性能局限以及組件間信息交互障礙等非故障風險，此類風險在特定場景觸發(fā)下會導致車輛發(fā)生危害行為，難以提前預見，對自動駕駛安全風險貢獻更大。此外，在產(chǎn)品設計與開發(fā)過程中，用于評估自動駕駛系統(tǒng)安全性的測試場景有限，而自動駕駛車輛在實際道路行駛過程中面臨的場景具有隨機性與未知性，場景中存在無限數(shù)量的元素組合方式，自動駕駛系統(tǒng)即使?jié)M足設計要求，仍可能存在大量無法在設計階段預見的安全風險。為應對自動駕駛車輛帶來的風險與挑戰(zhàn)，使自動駕駛系統(tǒng)安全水平達到能夠?qū)崿F(xiàn)預期功能設計的要求，將系統(tǒng)的風險控制在合理可接受范圍內(nèi)，國際標準化組織（international standardization organization，ISO）下設的功能安全工作組在2018年正式啟動全球首個自動駕駛安全國際標準ISO/PAS21448《道路車輛預期功能安全》的制定工作，設計了如圖1所示的預期功能安全（safety of the intended functionality，SOTIF）設計流程，旨在為自動駕駛汽車的安全開發(fā)過程與測試評價體系提供設計指導。ISO/PAS 21448草案規(guī)范和描述了一個基于迭代的系統(tǒng)分析流程，用于識別、分析、減少系統(tǒng)功能不足造成的危害。

自動駕駛汽車SOTIF問題是汽車行業(yè)內(nèi)的前沿課題，國內(nèi)外學者分別提出了不同的SOTIF應用方案，并將SOTIF融入到自動駕駛車輛的整個生命周期中，指導產(chǎn)品的開發(fā)設計與驗證測試流程。美國交通部以一臺廣義的L3級別駕駛輔助汽車為例，對其進行了全面的SOTIF分析，針對9類安全問題提出了126種潛在功能修改方案。Post和Davey將SOTIF框架應用于汽車系統(tǒng)的開發(fā)流程，分析了系統(tǒng)開發(fā)過程中的潛在危害與風險場景，促進了開發(fā)過程中的系統(tǒng)功能和技術(shù)改進。Abdulazim等對汽車車道保持系統(tǒng)進行了SOTIF流程分析，并提出了一種基于上下文的ML模型用于解決車道保持系統(tǒng)潛在的人車沖突風險。郭菲菲等則根據(jù)SOTIF評估準則，按照危害行為識別與風險評估、觸發(fā)事件識別與評估、系統(tǒng)功能修改、功能更新后系統(tǒng)風險評估以及修改方案確認的順序?qū)θ詣硬窜囕o助系統(tǒng)進行了SOTIF設計。李波等指出：需要從危害行為事件接受準則和總體風險接受準則兩個層面上對自動駕駛SOTIF的接受準則進行量化，該方案作為中國提案，已經(jīng)寫入到ISO/PAS 21448標準中。孫駿等在整車層面、白先旭等在控制層面分別提出了自動駕駛汽車SOTIF的量化評價方法，通過對事故觸發(fā)場景元素、控制系統(tǒng)瞬態(tài)響應、事故嚴重程度以及場景概率對自動駕駛汽車控制系統(tǒng)進行評價。

AEB系統(tǒng)作為未來實現(xiàn)汽車自動駕駛的重要組成部分，因其能夠及時檢測到危險并提醒駕駛員或自動制動而避免發(fā)生碰撞，受到了高度關(guān)注。其基本原理是通過雷達、攝像頭、激光雷達等傳感器檢測道路上的汽車、摩托車、行人和自行車等，根據(jù)相應安全模型的計算來判斷是否進行報警，或主動制動以避免或減輕碰撞。楊為等以某SUV為研究對象，并基于碰撞時間（time to collision，TTC）建立風險評估模型，提出了一種上層模糊控制和下層PID控制的分層控制策略。仿真結(jié)果表明，該控制策略能正確向行人發(fā)出碰撞預警。郭祥靖等結(jié)合駕駛員緊急制動的經(jīng)驗，利用BP神經(jīng)網(wǎng)絡算法建立不同駕駛員在不同緊急制動場景下碰撞時間的預測模型，提出了一種基于BP神經(jīng)網(wǎng)絡預測碰撞時間TTC的AEB控制策略，并仿真驗證算法的有效性。Kim等提出了一種斜坡AEB系統(tǒng)，利用卡爾曼濾波器估算坡度并計算TTC，結(jié)果表明，其TTC比傳統(tǒng)TTC更短，觸發(fā)制動更快。蘭鳳崇等根據(jù)汽車追尾事故深度調(diào)查的駕駛員緊急制動數(shù)據(jù)分析制動系統(tǒng)的制動減速度，建立了考慮碰撞時間的自動緊急制動系統(tǒng)分成控制策略，并驗證了控制策略在相對車速65 km/h以內(nèi)能夠?qū)崿F(xiàn)有效避撞。AEB系統(tǒng)性能受到傳感器、算法、控制器等多方面因素的影響。為降低AEB系統(tǒng)由控制策略缺陷導致的系統(tǒng)安全風險，提升AEB系統(tǒng)的SOTIF性能，本文中按照圖1所示的SOTIF設計流程對AEB系統(tǒng)進行SOTIF設計開發(fā)，具體工作內(nèi)容與技術(shù)貢獻為：

圖1 SOTIF設計流程

（1）識別并評估AEB系統(tǒng)控制策略的SOTIF不足可能造成的危害行為，且評估特定場景下AEB系統(tǒng)控制策略SOTIF不足造成車輛發(fā)生危害行為的觸發(fā)事件，提出相應安全目標。

（2）針對安全目標，提出一種基于細分場景的AEB系統(tǒng)控制策略。該控制策略對于前車先于自車停止的場景，采用安全距離模型；對于自車先于前車停止的場景，采用2階TTC模型。基于細分場景的AEB系統(tǒng)控制策略能夠在不同場景下引入路面附著系數(shù)，以降低AEB系統(tǒng)在控制策略層面的SOTIF不足風險。

（3）通過CarSim-MATLAB/Simulink聯(lián)合仿真對功能修改前后的AEB系統(tǒng)控制策略在標準測試場景與安全性未知場景下進行驗證，并對AEB系統(tǒng)安全接受準則進行量化。對比功能修改前后在事件接受準則和總體風險接受準則兩個層面上的系統(tǒng)風險水平。

1 AEB系統(tǒng)的危害行為與觸發(fā)事件

1.1 AEB系統(tǒng)功能規(guī)范與定義

標準GB/T33901—2021《乘用車自動緊急制動系統(tǒng)（AEBS）性能要求及試驗方法》中規(guī)定，AEB系統(tǒng)應具備以下功能。

（1）碰撞預警和緊急制動功能：車輛直線行駛遇到靜止、低速行駛或緊急減速的障礙物（車輛）時，車輛應以光學、觸覺及振動等模式預警，且在預警階段車速不能顯著下降，并最終不與障礙物發(fā)生碰撞。

（2）系統(tǒng)失效后的警告信號：當AEB系統(tǒng)失效時，系統(tǒng)應啟動常亮警告信號，直至AEB系統(tǒng)功能恢復。

（3）駕駛員干擾性能：系統(tǒng)在預警和緊急制動階段均允許駕駛員通過主動動作中斷系統(tǒng)工作。

（4）相鄰車道車輛誤響應性能：車輛遇到相鄰車道車輛行駛時，系統(tǒng)不應啟動。

（5）車道內(nèi)鐵板誤響應性能：車輛行駛時遇到井蓋和限高桿等設施時，系統(tǒng)不應啟動。

AEB系統(tǒng)需要全天候全時段監(jiān)測車輛前方行駛環(huán)境，在碰撞發(fā)生前提醒駕駛員，并自動啟動車輛制動系統(tǒng)使車輛減速，以避免或減輕碰撞。AEB系統(tǒng)輸入為：環(huán)境感知系統(tǒng)提供的障礙物信息、車載傳感器提供的自身車輛狀態(tài)信息以及駕駛員的主動操作信息。系統(tǒng)輸出為光學、聲音及振動等預警信息和制動系統(tǒng)的控制命令。對輸入輸出的假設為：傳感器輸入到系統(tǒng)的信息真實可信、系統(tǒng)輸出的指令可被執(zhí)行器正確執(zhí)行。AEB系統(tǒng)功能啟動時對車輛控制的優(yōu)先級低于駕駛員，當駕駛員通過主動動作控制車輛時，功能關(guān)閉，控制權(quán)歸駕駛員。

1.2 危害行為與觸發(fā)事件的分析與評估

系統(tǒng)并非在所有情況下都能正常工作，它的正常運行存在一個邊界，這個邊界稱為運行場景。為明確AEB系統(tǒng)能夠發(fā)揮其預期的功能工作邊界，須定義AEB系統(tǒng)的運行場景。在定義的運行場景內(nèi)，AEB系統(tǒng)應正常工作。對AEB系統(tǒng)的SOTIF分析均應在運行場景內(nèi)進行。圖2所示為初步定義的AEB系統(tǒng)運行場景。路面平整、附著系數(shù)為，自車以速度在車道上勻速行駛，同車道前方距離遠處的目標車輛速度為。同車道后方遠處的后車以速度勻速行駛。

圖2 AEB系統(tǒng)運行場景

對于AEB系統(tǒng)而言，其主要功能是讓車輛避免或減輕碰撞，保護人員安全。AEB系統(tǒng)的潛在危害行為不僅會導致車輛碰撞造成人員財產(chǎn)損失，還會造成非人員財產(chǎn)損失的廣義損失。損害可根據(jù)危害嚴重程度進行層級劃分，如表1所示，從LV1到LV5，損失的嚴重程度依次增加，LV5為最嚴重的損失。

表1 AEB系統(tǒng)可能造成的危害評估

為避免AEB系統(tǒng)因SOTIF性能不足而造成的損失，首先要對AEB系統(tǒng)層級的危害事件進行識別，危害事件是指系統(tǒng)處在某種狀態(tài)或條件下，系統(tǒng)出現(xiàn)非預期的表現(xiàn)，造成多種級別損失。ISO/PAS 21448中為AEB系統(tǒng)提供了一個危害事件示例：系統(tǒng)在高速公路上行駛時，出現(xiàn)了減速度為，持續(xù)時間為的非預期緊急制動。表2所示為AEB系統(tǒng)在圖2所示的運行場景下的危害事件。HV1和HV3雖會引起駕乘人員不舒適，但未造成人員財產(chǎn)損害，對于可能引發(fā)碰撞事故的HV2和HV4類危害，在系統(tǒng)設計過程中應盡量避免。

表2 AEB系統(tǒng)的危害事件評估

為分析危害事件的來源，找出系統(tǒng)的潛在觸發(fā)事件，設定相應的安全目標。采用系統(tǒng)理論過程分析（system theoretic process analysis，STPA）方法對AEB系統(tǒng)進行整車級分析，建立AEB系統(tǒng)的STPA控制架構(gòu)。圖3所示為AEB系統(tǒng)的STPA控制架構(gòu)：AEB系統(tǒng)通過信息獲取系統(tǒng)或通過V2X（vehicle to everything）等方式實時監(jiān)測車輛前方行駛環(huán)境與駕駛員的行為信息，并通過控制系統(tǒng)對車輛與障礙物間的碰撞風險進行評估，以便及時提醒駕駛員或啟動車輛制動系統(tǒng)避免碰撞發(fā)生。

觸發(fā)事件是指系統(tǒng)在特定場景下可能導致危害事件發(fā)生的具體不安全控制行為。在系統(tǒng)或部件未發(fā)生失效的前提下，對圖3中的控制系統(tǒng)不安全控制行為進行分析，得到AEB控制系統(tǒng)的觸發(fā)事件與安全目標，如表3所示。

圖3 AEB系統(tǒng)STPA控制架構(gòu)

表3 AEB系統(tǒng)的HV2和HV4級觸發(fā)事件與安全目標

表3列出的AEB系統(tǒng)運行潛在危害的共同觸發(fā)事件是車輛前方有靜止或運動障礙，后方有跟隨車輛，車輛的安全性與路面狀態(tài)、自車行駛車速、前車行駛狀態(tài)等相關(guān)。在AEB系統(tǒng)運行潛在危害事件作用下，系統(tǒng)危害行為會帶來嚴重損失，且此類場景與觸發(fā)事件均為常見事件，系統(tǒng)存在嚴重設計不足與安全風險。為減少HV2與HV4類危害事件，須明確AEB系統(tǒng)介入時機，對系統(tǒng)控制策略進行改進，進而降低系統(tǒng)風險水平。將表3給出的安全目標進行綜合梳理，對AEB系統(tǒng)功能修改的安全目標為：

（1）消除或減少因路面附著系數(shù)變化導致系統(tǒng)介入時機變化而引發(fā)的碰撞風險。

（2）消除或減少因相對速度變化導致系統(tǒng)介入時機變化而引發(fā)的碰撞風險。

2 AEB系統(tǒng)控制策略的功能改進

根據(jù)第1節(jié)對AEB系統(tǒng)設計進行SOTIF分析得出的系統(tǒng)不足來源，確定AEB系統(tǒng)亟需解決的問題是：解決現(xiàn)有的AEB系統(tǒng)控制策略無法兼顧車輛安全與道路通行效率的問題，設計出既保證車輛安全又符合實際駕駛過程的合理性，且保證道路通行效率，減少系統(tǒng)誤警和誤觸發(fā)概率的AEB系統(tǒng)控制策略。

2.1 車輛制動過程分析

為合理構(gòu)建汽車AEB系統(tǒng)的控制策略，首先對汽車的制動過程進行分析，分析常規(guī)駕駛員駕駛情況下的汽車制動過程，明確駕駛員制動過程的駕駛特性和駕駛員制動的最短制動距離以及汽車本身的極限制動能力，將駕駛員因素和車輛制動性能作為構(gòu)建AEB系統(tǒng)控制策略的基礎。圖4所示為駕駛員制動過程中的車輛制動力和減速度響應示意圖。

圖4 駕駛員制動過程示意圖

通常情況下，如圖4所示，駕駛員在遇到緊急情況時，首先要經(jīng)過大腦意識反應時間，然后經(jīng)過動作響應時間t，這兩段時間合為駕駛員的反應時間=+t。駕駛員施加力在制動器上，經(jīng)過后制動器空行程消除，t階段為制動器制動力增長到需求值的響應時間，這兩段時間為制動器的作用時間=+t。階段為制動器持續(xù)制動的時間。

從整個駕駛員制動過程來看，制動距離主要包括駕駛員反應時間通過的距離，制動器作用時間通過的距離和持續(xù)制動階段汽車通過的距離3個部分。

駕駛員反映時間內(nèi)汽車通過的距離為

式中為車輛初速度。

在制動器起作用階段，制動器空行程消除時間內(nèi)，汽車通過的距離為

在制動器制動力增長階段時間t內(nèi)，制動減速度呈現(xiàn)一次函數(shù)的增長趨勢，斜率為，此階段汽車通過的距離s為

在制動器起作用階段時間內(nèi)，汽車通過的距離為

在制動器持續(xù)制動階段時間內(nèi)，制動過程為勻減速直線運動，初速度為階段減速后的速度，根據(jù)運動公式得持續(xù)制動階段汽車通過的距離為

將式（7）展開后得到為

通過對駕駛員緊急情況制動過程分析，在駕駛員制動過程中，駕駛員制動距離為駕駛員反應階段、制動器起作用階段和制動器持續(xù)作用階段3個階段汽車行駛過的距離。汽車的制動距離是指從踩下制動踏板開始到車輛完全停止過程中駛過的距離，包括制動器起作用階段和制動器持續(xù)作用階段駛過的距離，分別表示為

根據(jù)以上對駕駛員制動和汽車制動過程的分析，根據(jù)駕駛員的最短制動距離和車輛本身制動過程中的最短制動距離，得到AEB系統(tǒng)的最小距離邊界條件：在汽車最大制動減速度的情況下，汽車的制動距離是常規(guī)車輛行駛狀態(tài)下的極限制動能力，即為汽車的最短制動距離。為保證車輛安全，將車輛最大制動減速度下的制動距離作為汽車AEB系統(tǒng)主動制動功能的最小邊界條件。若AEB系統(tǒng)功能執(zhí)行時的距離小于此邊界條件，將不能確保車輛安全，無法保證車輛行駛過程中的完全避撞。

2.2 基于細分場景的AEB系統(tǒng)控制策略

在車輛行駛過程中，當前方目標車輛與自車存在碰撞風險時，兩車的相對距離逐漸減小，為避免碰撞，自車需要以一定的減速度減速，直到兩車達到共速時，碰撞風險消除，即自車從判斷需要制動時刻到共速前所容許行駛的最遠距離等于前車在共速時駛過的距離與相對距離之和。假設前車行駛速度為，并以的減速度減速，自車行駛速度為，并以進行減速，為兩車相對距離。自車通過傳感器信號檢測到與前車存在碰撞風險后啟動制動系統(tǒng)，使自車達到相應減速度以避免碰撞。忽略信號傳遞以及控制器判斷時間，建立制動后兩車行駛距離的關(guān)系為

式中為自車從制動器制動力增長階段與制動力持續(xù)階段駛過的距離；為碰撞風險消除前前車行駛的距離；為安全距離，一般為定值。其中表示為

式中為碰撞風險消除前前車行駛的時間。

為能夠兼顧車輛安全和道路通行效率，增強制動結(jié)束后安全距離的一致性，減少系統(tǒng)誤警和誤觸發(fā)概率，本文中提出基于細分場景的AEB系統(tǒng)控制策略。對于前車比自車先停止情況，如前車靜止或前車以較大的減速度減速，此時前車比自車先停止，此時采用安全距離模型，保證自車在AEB系統(tǒng)最小安全邊界前減速制動，由此充分保證車輛的安全性。對于在自車達到共速前，前車仍繼續(xù)行駛的情況，比如前車勻速運動或以較小的減速度減速運動，此時采用2階TTC模型，以最大限度提高道路通行效率，同時避免與后車發(fā)生追尾事故。

（1）若=0，前車處于靜止，兩車行駛距離為

此時自車AEB系統(tǒng)主動制動功能的最小邊界為

式中為此時車輛在當前路面條件下的最大制動減速度，與輪胎和路面條件有關(guān)。

（2）若≠0，=0，前車處于勻速行駛狀態(tài)，兩車行駛距離關(guān)系式為

在自車減速至共速前，前車一直勻速運動。若=0，意味著兩車同向勻速行駛，兩車的預計碰撞時間為

若自車減速避免避撞，此時=，求得此時的AEB系統(tǒng)主動制動功能的最小邊界為

式中=-。

（3）若≠0，≠0，此時應首先判斷自車以一定減速度減速情況下哪輛車先停止，然后計算自車與前車勻減速至停止時間與以及自車最小制動時間，分別為

若＞，前車先于自車停止，兩車行駛距離關(guān)系為

為避免碰撞，自車以減速度制動至停止所需要的相對距離為

當＞時，AEB系統(tǒng)主動制動功能的最小邊界為

（4）若＜，自車先于前車停止，共速時刻兩車距離最近，兩車行駛距離為

此時在自車減速至共速前，前車仍繼續(xù)減速行駛，=，代入式（28）后求得此時為

式中：為開方項；=-。當＜時AEB主動制動功能的最小邊界為

綜合以上，所提出的基于細分場景的AEB系統(tǒng)控制策略的具體安全邊界如表4所示。

表4 基于細分場景的AEB系統(tǒng)安全邊界

所提出的基于細分場景的AEB控制策略，在全工況中引入了路面影響因素，由此保證車輛安全性的同時，最大限度地提升道路通行效率。對工況全面細致的劃分，能夠顯著減少系統(tǒng)誤警和誤觸發(fā)概率。另外，在基于細分場景的AEB系統(tǒng)模型基礎上，可以通過設置不同合適的實現(xiàn)多層預警和針對不同駕駛風格設置預警邊界，充分考慮駕乘人員的舒適性與個性化，能夠解決AEB系統(tǒng)在控制策略層面的SOTIF問題。

3 AEB系統(tǒng)控制策略的風險評估與接受準則

3.1 AEB系統(tǒng)功能改進驗證準則與確認準則制定

根據(jù)圖1所示的SOTIF工作流程，在對系統(tǒng)功能進行改進或功能規(guī)范進行修改后，需要對修改后的控制系統(tǒng)的安全性進行評估與驗證。根據(jù)驗證與評估階段使用的場景可將驗證階段劃分為標準測試場景驗證與安全性未知場景驗證兩個階段，標準測試場景驗證階段須驗證系統(tǒng)行為是否符合預期，安全性未知場景驗證階段需要對系統(tǒng)行為是否存在不合理風險進行驗證。在進行驗證工作前，需要對系統(tǒng)在標準測試場景下行為的驗證準則與系統(tǒng)在安全性未知場景下行為風險的確認準則進行定義。根據(jù)SOTIF中國提案中的“量化思想”，對兩個驗證階段的驗證與確認準則進行量化定義，然后使用CarSim-MATLAB/Simulink聯(lián)合仿真對功能改進前后系統(tǒng)在標準測試場景與安全性未知場景中行為的仿真結(jié)果進行對比分析，最后根據(jù)定義的驗證與確認準則，對是否接受系統(tǒng)功能改進做出最終決定。

對于車輛整體風險的接受準則，SOTIF中國提案之一的“量化思想的雙層安全接受準則”，將安全準則劃分為兩層，第一層安全接受準則對自動駕駛系統(tǒng)單一危害行為事件進行量化評估，第二層安全接受準則對多類危害事件進行整體安全評估。對于違背第一類安全準則的危害事件數(shù)量，若不超過第二層安全接受準則標準，仍可認為系統(tǒng)的總體SOTIF符合標準。

對于系統(tǒng)SOTIF的驗證，使用雙層完全接受準則，對系統(tǒng)危害行為進行量化，然后對系統(tǒng)總體安全風險水平進行評估，給出具體的評估分數(shù)。對系統(tǒng)安全接受準則進行建立的第一步是找出系統(tǒng)的安全行為，建立量化指標并確定安全范圍。根據(jù)國標GB/T33901—2021中對AEB提出的性能要求，建立針對AEB系統(tǒng)控制策略層的功能量化指標及安 全范圍，如表5所示。

表5 第一層接受準則中系統(tǒng)危害行為、量化指標及安全范圍

表5中EVNT開頭編號對應事件類危害行為，EVNT01產(chǎn)生的原因是系統(tǒng)SOTIF設計缺陷，存在嚴重的安全漏洞，是不可接受的危害事件，將該危害事件的加權(quán)值取最大值為500。EVNT02是系統(tǒng)識別到危害事件，但未能成功制止危害，其加權(quán)值取200。ACUM開頭編號對應累計類危害行為，權(quán)重系數(shù)的選取體現(xiàn)了SOTIF的第二層接受準則對不同類別的量化指標的重視程度，安全相關(guān)指標權(quán)重最高。

對系統(tǒng)安全接受準則進行建立的第二步是根據(jù)違背第一層安全準則的事件對系統(tǒng)整體安全風險進行評價。可通過加權(quán)代價函數(shù)對系統(tǒng)整體風險進行計算，代價函數(shù)為

式中：為AEB系統(tǒng)在某單一場景下運行的安全風險水平得分，數(shù)值越大，車輛在該場景下行為的風險越大；事件類危害行為對應表5中EVNT開頭編號，()為某一類事件危害行為的量化指標是否超出其安全范圍的安全風險系數(shù)；為該危害行為的加權(quán)系數(shù)；累計類危害行為對應表5中ACUM開頭編號，()為某一累計類危害行為的量化指標的安全風險系數(shù)；為該行為的加權(quán)系數(shù)。表中權(quán)重系數(shù)的選取體現(xiàn)了SOTIF的第二層接受準則對不同類別的量化指標的重視程度。

圖2給出的參數(shù)化場景中對AEB系統(tǒng)行為有影響的可參數(shù)化元素有：兩車距離，自車速度，前車速度，前車減速度以及路面附著系數(shù)。可以對每個參數(shù)賦值，生成AEB系統(tǒng)測試場景。在得到具體一些列場景后，結(jié)合車輛在該特定場景中的表現(xiàn)評分，其評分準則與上述標準測試場景評分準則相同，將AEB系統(tǒng)在一系列場景下運行的安全風險水平評分的和記為系統(tǒng)在系列場景下運行的綜合安全風險水平評分。

最后根據(jù)功能改進前后系統(tǒng)在標準測試場景與安全性未知場景下的安全風險水平評分，決定是否接受系統(tǒng)功能改進。接受準則由式（35）給出：

式中和分別表示功能改進后的AEB系統(tǒng)在單一場景下運行的安全風險水平評分和在系列場景下運行的綜合安全風險水平評分。

3.2 聯(lián)合仿真參數(shù)設定與驗證測試場景

將功能改進后的AEB系統(tǒng)控制策略在Simulink中建模后與CarSim進行聯(lián)合仿真。AEB系統(tǒng)的運行場景在CarSim中進行構(gòu)建，構(gòu)建SOTIF測試場景，其原則應是將非SOTIF因素排除在外，并提升構(gòu)造安全性未知場景對功能改進的覆蓋率。將功能改進前后的控制策略在相同的場景下運行，評價功能改進前控制策略在不同場景下的安全性能。選擇常用的TTC控制策略與基于細分場景的AEB系統(tǒng)控制策略分別在標準測試場景與安全性未知場景下的仿真結(jié)果對比，TTC的安全閾值設定為1.2 s，所提控制策略的安全距離取為1 m，且制動時自車以最大減速度進行減速。

（1）汽車AEB系統(tǒng)的標準測試場景

參照標準GB/T 39901—2021對汽車AEB系統(tǒng)的測試方案，在天氣晴朗條件下，路面附著性能較好，一般取0.7，在CarSim中分別設置如表6所示的測試場景。

表6 AEB系統(tǒng)標準測試場景

（2）汽車AEB系統(tǒng)的安全性未知測試場景

相比GB/T 39901—2021中給出的測試方案，現(xiàn)實中汽車AEB系統(tǒng)遇到的場景更為復雜。圖5所示為智能網(wǎng)聯(lián)汽車測試評價國際聯(lián)合研究中心公布的高速公路上行駛車輛的車速特征數(shù)據(jù)。

如圖5所示，汽車在高速公路行駛的汽車平均車速達到75 km/h，遠高于GB/T 39901—2021中規(guī)定的30和50 km/h。另外，雨雪等天氣造成路面濕滑，附著系數(shù)低至0.5，低于標準測試場景下的0.7。城市中自行車和助力車等低速（10 km/h）非機動車輛造成的交通環(huán)境混亂等，對汽車AEB系統(tǒng)有極大考驗。AEB系統(tǒng)與行車安全息息相關(guān)，一旦發(fā)生安全事故就會造成嚴重的人員財產(chǎn)損失，有必要對車輛在一些高頻場景甚至是極端場景下的表現(xiàn)做出評估，具體安全性未知測試場景參數(shù)如表7所示。

圖5 車輛在高速公路的車速概率分布

表7 AEB系統(tǒng)安全性未知測試場景

3.3 仿真結(jié)果分析與功能改進接受

（1）標準測試場景仿真分析結(jié)果對比

按照表5已知AEB系統(tǒng)測試場景參數(shù)，在CarSim中搭建AEB系統(tǒng)避撞場景。圖6給出功能改進前后AEB系統(tǒng)在各個已知場景下的性能仿真結(jié)果。其中相對距離為負值表示主車與障礙車輛發(fā)生了碰撞。從圖6可以看出，AEB系統(tǒng)功能改進前后均能實現(xiàn)避撞，但功能改進前兩車最短相對距離在不同場景下差異較大，最大為4.542 m，最小為0.276 m。兩車最短相對距離較大時不利于提高道路通行效率，且易造成被后車追尾事故，較小時難以保證車輛安全，功能改進前的AEB系統(tǒng)對各場景的適應能力不足。功能改進后的AEB系統(tǒng)在各個場景下的兩車最短相對距離較為接近，保持在安全距離附近，能夠適應各種場景，保證安全性的同時增強了駕駛員對AEB系統(tǒng)的信心度。

圖6 標準測試場景下AEB系統(tǒng)性能的仿真結(jié)果

表8為功能改進前后AEB系統(tǒng)標準測試場景中的安全風險量化指標取值與整體安全風險水平。以CCRs場景為例，雖然功能改進前后AEB系統(tǒng)均正常啟動，且避免發(fā)生碰撞，但功能改進前制動結(jié)束后兩車距離4.542 m，意味著AEB系統(tǒng)提前1.2 s啟動，時機過早。一方面降低道路通行效率，還可能造成被后車追尾事故。另一方面可能會妨礙駕駛員正常安全駕駛，降低駕駛員對AEB系統(tǒng)的信心度，在此場景下的得分為62.7分。功能改進后AEB系統(tǒng)提前0.78 s啟動，制動結(jié)束后兩車距離為1.06 m，接近于設定安全閾值1.0 m，在此場景下得分0.02分，遠低于功能改進前。其他場景下同樣功能改進后的單一風險場景得分低于功能改進前，車輛在標準測試場景下運行的總體風險水平得分下降了129.74分。系統(tǒng)功能安全水平得到提升，系統(tǒng)功能改進可以被接受。（2）安全性未知場景仿真分析結(jié)果對比

表8 標準測試場景下功能改進前后的AEB系統(tǒng)風險水平

按照表7安全性未知AEB系統(tǒng)測試場景參數(shù)，在CarSim中搭建AEB系統(tǒng)避撞場景。圖7給出功能改進前后AEB系統(tǒng)在各未知場景下的性能仿真結(jié)果，其中相對距離為負值表示主車與障礙車輛發(fā)生了碰撞。從圖7可以看出，在所示的可能出現(xiàn)的不安全場景下AEB系統(tǒng)功能改進前均出現(xiàn)相對距離為負值的情況，意味著與前車發(fā)生了碰撞，避撞失敗。功能改進后的AEB系統(tǒng)在各個場景下均避免了與前車發(fā)生碰撞，且保持的兩車最短相對距離在安全距離附近，證實了功能改進后的AEB系統(tǒng)能夠應用于各種不安全場景，改進了現(xiàn)有AEB系統(tǒng)的SOTIF問題。

圖7 安全性未知測試場景下AEB系統(tǒng)性能的仿真結(jié)果

表9為功能改進前后AEB系統(tǒng)在安全性未知測試場景中的安全風險量化指標取值與整體安全風險水平。從功能改進前后的AEB系統(tǒng)在標準測試場景下的評分對比可以看出，無論是單一場景風險水平或總體風險水平，功能改進后的AEB系統(tǒng)都遠低于功能改進前，功能改進后的AEB系統(tǒng)在系列安全性未知場景中的綜合安全風險水平得到降低，確認車輛功能改進在安全性未知SOTIF場景中不會引入不合理風險。經(jīng)過雙層接受準則對車輛總體安全風險水平進行計算可知，車輛在安全性未知場景下運行的總體風險水平下降，系統(tǒng)功能改進可以被接受。

表9 安全性未知場景下功能改進前后的AEB系統(tǒng)風險水平

4 結(jié)論

為解決現(xiàn)有AEB系統(tǒng)在控制策略層面風險的問題，提升AEB系統(tǒng)的SOTIF性能，根據(jù)SOTIF評估準則，針對AEB系統(tǒng)控制策略SOTIF問題可能造成的危害行為進行了識別與風險評估，同時對特定場景下由AEB系統(tǒng)控制策略SOTIF不足導致車輛發(fā)生危害行為的觸發(fā)事件進行了識別與評估，并提出了相應的安全目標。為達到安全目標，提出一種基于細分場景的AEB系統(tǒng)控制策略?？刂撇呗詫τ谇败囅扔谧攒囃Ｖ沟膱鼍?，采用安全距離模型；對于自車先于前車停止的場景，采用2階TTC模型。控制策略在不同場景下均引入了路面附著系數(shù)，能夠顯著降低AEB系統(tǒng)在控制策略層面存在的SOTIF不足風險。最后，通過CarSim-MATLAB/Simulink仿真對功能修改后的AEB系統(tǒng)在標準測試場景與安全性未知場景下作了驗證，并與常用的TTC策略做了對比。此外，從事件接受準則和總體風險接受準則兩個層面上對AEB系統(tǒng)的功能安全接受準則進行了量化，結(jié)果顯示功能修改能夠通過雙層接受準則，功能修改后的AEB系統(tǒng)行為符合功能預期，系統(tǒng)的安全水平得到提升。