?本文约2673字,大约需要9分钟阅读
导语:
SASETECH,Safety and Security Technology,是国内首个由汽车功能安全、信息安全专家发起组建的技术社区,致力于为汽车安全的从业者提供交流、学习、合作的中立性平台。安全是汽车的基石,安全从业者是人们生命及财产的守护者。我们希望SASETECH 打破高大上的壁垒,让更多工程师参与讨论、共同成长;让安全成为一个话题,是一个让大家讨论和思考的技术方向;让安全成为一种文化,是一个让企业和监管机构愈发重视的领域;建立安全的生态,让企业/从业者都能够有所收获、有所思考。
欢迎关注:SASETECH
前言
上一篇简要从SEC等参数初步探讨了SOTIF validation target定义的方法论,对于如何在实践中落地,ISO21448附录C中给出了AEB功能的示例。
本文将结合标准与自己的理解,说明如何根据公开交通事故统计数据确定验证AEB false positive的minimum validation distance。
总体思路
本文主要分四个步骤进行介绍:
1.识别由功能不足引起的危害事件:进行SOTIF HARA分析,初步识别SOTIF的危害事件;
2.危害事件建模与评估:对危害场景进行抽象建模,并应用仿真方式对场景复现得到关键参数;
3.分析事故数据:通过应用市场公开的事故统计数据分析得出可接受准则;
4.定义测试场景:结合功能使用场景,定义合理的测试场景组合对可接受准则进行确认。
步骤一
识别由功能不足引起的危害事件
AEB可能会因功能不足(如物体识别能力缺陷)而导致错误的紧急制动,使车辆迅速减速,导致跟随车辆追尾,也就是常提到的false positive。
通过危害事件分析得到:S>0, C>0,ISO21448 clause6中建议对此类危害事件需定义可接受准则。
图1:AEB误触发危害分析(来源ISO21448)
AEB的漏触发(false negative),由于驾驶员是车辆控制的责任主体,可控性为C0,因此不必要进行深入分析。对于L3的系统false negative是需要考虑的,也是很重要的组成部分。
Tips:TP/FP/FN/TN含义如下:
步骤二
对危害事件建模
通过step1我们发现,AEB的误触发引起的危害事件是自车与后方车辆发生碰撞,因此可以对风险场景简化如下图的跟车场景,红色车辆为自车,绿色车辆为后方跟随车辆。
Note1:以下内容仅作为方法论探讨,不作为实际项目应用的依据
图2:危害事件场景建模(来源ISO21448)
以上的场景建模,需要提取关键参数,标准给出示例如下:
a-》开始时,两辆车以相同的速度v行驶;
b-》与速度相关的后车跟随距离d具有已知的概率分布;
c-》自车的AEB紧急制动时,制动曲线遵循图3;
d-》后车设置固定驾驶员模型,包括反应时间与制动曲线,可以具有已知的概率分布也可以设置为固定值。
图3:AEB 制动曲线(来源 ISO21448)
其中V与d是有关联的变量,通常服从一定的概率分布,车速越高,跟随距离越长。可以以真实的车速与距离作为场景建模的输入,比如用配备雷达的采集车去实际路采,也可以采集部分真实数据后进行场景泛化。
将场景建模的输入输出整理如下:
表1:场景简化参数
因为对场景其他要素要求不高,可以选择在仿真环境下进行测试,通过输入上表中的输入变量数据集,观测输出结果。仿真环境如下图,可以在Matlab+CarSim环境中仿真。
图4:仿真环境示例(来源文献1)
以一组输入输出变量为子集,假设总的测试集合数量为T,其中发生碰撞的集合数量为L,则通过仿真得到:碰撞概率 R。可以一定程度代表真实道路环境下AEB误触发后碰撞的概率。
其中,碰撞概率的结果中没有区分S1,S2,S3,意味着只要发生后碰△V超过设置S1的阈值,就会被统计在L值中。
TRW有进行过相关的分析,结果见下方,这里不展开,需要深入的可以参考如下文献。
文献【1】:
FABRIS,S.,PRIDDY, J. and HARRIS, F., “Method for hazard severity assessment for the case of undemanded deceleration.”, Presented at VDA Automotive SYS Conference, Berlin,June 19/20, 2012, https://www.researchgate.net/publication/344452155_Method_for_hazard_severity_assessment_for_Method_for_hazard_severity_assessment_for_the_case_of_undemanded_deceleration_-_Simone_Fabris.
图5:仿真分析结果(来源文献1)
步骤三
分析事故数据
国家道路安全部门可以提供的交通统计数据(例如,美国国家公路交通安全管理局(NHTSA)的GES数据)。交通统计需包括以下几个关键数据:
a=>现有乘用车数量(N);
b=>每辆车每年的平均行驶距离(K);
c=>每年行驶的车辆总公里数(M),M=N∙K;
d=>每年实地相关事故(追尾碰撞)的数量(A)。
Note2:事故统计数据是与AEB误触发导致危害事件类型应保持一致
Note3:以上数据可以针对功能释放的国家或地区进行统计
通过对所考虑的变量采用统计模型,增加了通过进一步分析获得的估计值的置信度。基于此信息,可以计算出人类驾驶员在两次碰撞之间行驶的平均距离B:
B:是人类驾驶员在两次碰撞之间行驶的平均距离;
M:是每年行驶的车辆总公里数;
A:是每年实地相关事故(追尾碰撞)的数量。
为了获得最坏情况估计,M取最大值,A取最小值。因此我们可以得到一个设计目标:配备AEB的车辆可以行驶至少B公里而不会造成事故,或者AEB系统功能不足导致事故的概率低于每公里1/B。
这里隐藏了一个接受准则——AEB功能引起的危害事件可能性应等于或小于由人类驾驶员引起的相同危害事件可能性,如下方公式:
基于以上信息我们如何得到validation target呢?
结合式1与式2,则可以得到AEB validation target(VT),VT=R*B,即在VT(Km)内不允许发生AEB false positive的情况。
Note4:上述方法仅为概率理论度量,用于评估在决定将产品投放市场时可容忍的风险。因此即使满足该目标,即使满足了该VT目标,也可能会发生因AEB false positive而导致的accident,因此需要field monitor strategy,进一步降低AEB false positive的概率。
Note5:VT=R*B中的基准可被视为系统验证的下限。根据交通统计数据的不确定性,可通过将B乘以因子K来校准,因此B的计算可以更新为B=K(M/A)。影响K的因素有:AEB功能可能减少交通事故的数量,进而影响A值;交通统计数据中A包括合理和非合理的制动事件,比如有些是驾驶员误操作导致的非合理事件。
步骤四
定义测试场景
我们确定validation target后,可以通过endurance run的方式对误触发率进行验证,第4步就涉及到实际道路测试如何选取场景,比如天气条件(干燥,雾,雪,雨,阴天等),道路条件(城市道路,乡村道路,高速高架等),光照(夜间,黄昏,清晨等),车速区间等等。
测试场景的选择可以通过传感器性能局限及功能特定限制的详细分析得到。然后基于选择场景进行数据采集,包含的相关驾驶场景的分布比例,ISO21448标准基于天气,速度和其他参数的实际情况给出示例如下:
图6:道路测试场景分布
以上基于交通统计的方法在应用时,标准提示需注意以下几点:
1.此方式应用L3及以上的ADS系统时需谨慎结合功能与系统架构作出具体考虑;
2.如果将AEB速度段扩展至130kph,则可接受准则会发生一些变化,因为高速度段后碰概率较低;
3.可以从系统架构考虑,如果使用多个子系统冗余控制,可通过观察每个子系统的单个MTBC(例如,基于同质或不同技术的冗余算法),优化从交通统计数据得出的MTBC;
4.在分析系统限制后设计的特定驾驶路线(route)可以减少需要收集的数据量。
总结
本文提供了一种基于交通统计的方法,首先通过仿真的方式提炼出真实场景下误制动发生后碰的概率,结合交通数据定义目标平均碰撞间隔时间(MTBC)与AEB validation target。最后对endurance run的场景进一步细化。该基准可用于AEB大规模量产前ADAS系统鲁棒性的指标设计。
END
作者简介
小南郭
某OEM 智驾功能安全工程师,负责高低速智驾功能安全开发与流程管理。4年系统功能安全开发经验,熟悉ACC/AEB/RPA/HWA/TJP等产品功能安全方案。
评审专家
张玉新/吉林大学
闻继伟/东软睿驰
曾乃雄/伟创力
往期精选
微信交流群入群
添加管理员微信
备注公司+姓名+研究领域
欢迎成为SASE会员
添加管理员企业微信
备注公司+姓名+研究领域
原价199,限时优惠59
SASETECH组织致力于推动功能安全、系统安全、网络安全、预期功能安全的业内交流和技术进步,打造全新智能网联汽车安全生态圈。欢迎加入!
原文始发于微信公众号(sasetech):特约专栏 | 浅谈SOTIF validation续——AEB validation target设计
