1、 自動駕駛安全模型研究 目錄 第一章 自動駕駛安全模型概述.1 1.1 引言.1 1.2 自動駕駛安全模型的定義.2 第二章 自動駕駛安全模型應用.4 2.1 安全行為約束.4 2.2 安全行為驗證.4 2.3 安全評估指標.5 第三章 自動駕駛安全模型介紹.6 3.1 Last Point to Steer.6 3.2 Safety Zone.7 3.3 RSS(Responsibility-Sensitive Safety).8 3.4 SFF(Safety Force Field).11 3.5 FSM(Fuzzy Safety Model).12 3.6 STD(Safety Time

2、 Domain).18 3.7 CC-driver(Careful and Competent Human Driver).23 3.8 中國成熟駕駛模型.26 第四章 自動駕駛安全模型展望.29 參考文獻.30 自動駕駛安全模型研究 1 第一章第一章 自動駕駛安全模型自動駕駛安全模型概述概述 1.1 引言引言 在全球范圍內，交通事故每年約造成 100 多萬人傷亡1。研究2顯示人為過失占所有交通事故原因的 75%，這一數字在美國超過 90%。人類駕駛員在駕駛汽車時存在各種各樣的安全問題。例如，跟車距離太近導致追尾，未考慮后方來車危險變道等。為了一定程度上提醒并糾正人類駕駛員的的錯誤行為，當前越

3、來越多的汽車上配備了先進駕駛輔助系統(Advanced Driving Assistance System,ADAS)。先進駕駛輔助系統根據車上傳感器探測到的目標信息進行安全性評估。當安全性低于閾值時駕駛員依舊未注意到風險或未執行安全處置措施時，先進駕駛輔助系統會發出風險提醒，必要時會輔助制動或轉向以避免碰撞。例如應急輔助系統中的前方碰撞預警(Forward Collision Warning,FCW)、變道碰撞預警(Lane Change Warning,LCW)及自動緊急制動(Autonomous Emergency Braking,AEB)等。隨著技術的發展，駕駛自動化等級也在不斷提高。

4、自動駕駛系統(Autonomous Driving System,ADS)在其設計運行條件(Operational Design Condition,ODC)內將代替人類駕駛員持續地執行全部動態駕駛任務。但也同樣暴露出了不容忽視的安全問題。例如，當前部分自動駕駛系統對異形障礙物等目標的感知距離與識別能力不足，或者對鄰車切入等危險場景的安全性評估和決策規劃不夠準確，這都容易導致交通事故的發生。安全永遠是自動駕駛技術的必選項與首選項，是無論付出多少代價都需要滿足的必要條件。如何保證自動駕駛汽車的安全性也成為監管機構、自動駕駛廠商、用戶及社會民眾最為關心的問題之一。自動駕駛安全模型對自動駕駛系統的安

5、全性保障具有十分積極的作用，在自動駕駛系統的安全評估及行為約束等方面都有著廣泛的應用。越來越多的車企、研究機構及自動駕駛供應商等都在安全模型領域投入了大量研究。安全模型也開始出現在自動駕駛相關法規及標準中，并為自動駕駛事故或風險避免性能的衡量提供了參考。一個安全有效、科學合規的安全模型能夠用于評估或約束自動駕駛系統駕駛行為的安全性及合規性。自動駕駛安全模型研究 2 1.2 自動駕駛安全模型自動駕駛安全模型的定義的定義 1.2.1 FRAV 對對自動駕駛安全模型的定義自動駕駛安全模型的定義 聯合國世界車輛法規協調論壇(UN/WP.29)自動駕駛與網聯車輛工作組(GRVA)自動駕駛功能要求(FRA

6、V)非正式工作組旨在提供自動駕駛系統安全性驗證的技術要求及相應驗證方法的指南5。其中，定義了自動駕駛系統事故規避性能要求的推導方法。盡管自動駕駛系統可通過防御性駕駛以遠離沖突與碰撞，但沖突與碰撞有可能是由于其他道路參與者的不合理行為導致的，在此情形下，自動駕駛系統也需要做出正確的規避動作以盡可能的減少傷害。那么一個重要的問題是在何種情況下避免碰撞是可能的？為此，引入安全模型，用以區分必須避免的碰撞和僅需要緩解的碰撞。其目的并不是規定自動駕駛系統在任何給定的危急情況下的特定行為，而僅是在碰撞結果層面對自動駕駛系統提出要求。FRAV 對安全模型的定義為對于任何給定的情況，都會有一個依賴于部分場景變

7、量的函數，輸出一個布爾值“true”或“false”，用來表示是否需要避免碰撞或沖突；反之亦然，表示緩解措施是否可接受。安全模型定義的具體公式如下：0;1=(1,2,)0;1=1 (1,2,)例如，UN-R157 法規中規定了在一定的場景假設前提下，自動駕駛系統能夠避免碰撞的鄰車切入場景的參數范圍。按照 FRAV 中對安全模型的定義，該要求可以被看成是一個安全模型。該安全模型定義了在什么樣的鄰車切入場景下，自動駕駛系統需要避免碰撞。具體模型公式定義如下：=1(/(2 6/2)+0.35)0 1.2.2 本文對本文對自動駕駛安全模型的定義自動駕駛安全模型的定義 FRAV 對安全模型的定義更多是從

8、自動駕駛系統安全評估的角度，給出了安全模型的定義，當然這也是安全模型最重要的應用之一。實際上安全模型的應用自動駕駛安全模型研究 3 更加廣泛，下面通過梳理自動駕駛的安全需求，給出安全模型的一個更加全面的定義。自動駕駛汽車在執行動態駕駛任務時，與他車的行為交互是不安全因素的主要來源之一。在與他車的行為交互中想要保證安全，首先需要與他車保持一個安全合理的距離，若自動駕駛系統預測模塊預測到將有碰撞發生時，預留的安全距離能讓自動駕駛汽車有時間余量執行安全處置措施以避免碰撞的發生。其次，在車輛行為交互中，路權沖突也是影響行車安全與效率的重要因素。自動駕駛汽車需要充分理解路權優先級，并且解決路權沖突時的路

9、權歸屬問題，在保證安全的前提下同時保證通行效率。另外，遵守交通規則是保證行車安全的有效手段，自動駕駛汽車需要遵守交通規則，如遵守交通信號燈及交通標志、合理運用轉向指示燈等。最后，自動駕駛汽車在未來可能還需要有對潛在風險的評估能力。例如在前方公交車站有靜止公交車開啟左轉燈時適當減速或者變道，避免與相鄰車道大車長時間并排行駛等，這些對潛在風險的評估能力可以一定程度上減少發生碰撞的概率。通過上述對自動駕駛安全需求的梳理，以下給出了自動駕駛安全模型的定義。自動駕駛安全模型，是一種定義明確的、指標定量的、規則可解釋的數學模型，可用于模型化涉及自動駕駛汽車安全性相關的安全距離、路權歸屬、交通規則、風險評估

10、等方面。自動駕駛安全模型研究 4 第第二二章章 自動駕駛安全模型自動駕駛安全模型應用應用 自動駕駛安全模型可在自動駕駛系統設計階段提供安全指導，作為安全行為約束；可在驗證階段作為安全指標，評估自動駕駛安全性；也可在運行階段用于安全驗證，時刻防護自動駕駛行為安全。下面將分別安全行為約束、安全行為驗證及安全評估指標三個方面分別闡述其應用。2.1 安全行為約束安全行為約束 傳統的自動駕駛系統一般會包括感知、決策、規劃、控制等模塊。其中，規劃可以看成一個優化問題。一般地，一個優化問題的核心分為兩部分：目標函數與約束條件。例如，有些傳統規劃優化問題的目標函數包括駕駛過程中的舒適性、節能性和可靠性等；約束

11、條件包括碰撞規避、交通規則、車輛動力學限制及規劃任務的始末運動狀態等。規劃優化問題的最終目的即為尋找一條最優的軌跡，在不違反約束條件的前提下，最小化目標函數。安全模型可以作為約束條件之一，實時參與自動駕駛的規劃，從而使得規劃出的軌跡除了滿足碰撞避免、交通規則和車輛動力學限制等條件，還滿足安全模型定義的約束，如圖 2.1 所示。其簡化的公式表示如下：minimize ()subject to 其中，為目標函數，為軌跡。圖 2.1.帶有安全模型約束的規劃模塊示意圖 2.2 安全行為安全行為驗證驗證 安全模型還可以被單獨設計為一個模塊，獨立于規劃模塊之外，對實時規劃的輸出結果進行安全性驗證，如圖 2

12、.2 所示。例如，若不滿足安全模型要求，則規劃模塊重新規劃軌跡，或由安全模型模塊直接輸出符合安全模型的規劃軌跡。另外，還可以由規劃模塊輸出多個規劃軌跡，由安全模型模塊選擇其中最為符合自動駕駛安全模型研究 5 安全模型的一個規劃軌跡輸出給控制模塊。圖 2.2.用于安全行為驗證的獨立安全模型模塊示意圖 2.3 安全評估指標安全評估指標 安全模型最為廣泛的應用是作為自動駕駛系統測試驗證的安全性衡量指標?？蓪ψ詣玉{駛系統輸出的軌跡、行為或碰撞結果等進行安全性驗證，驗證上述各種輸出是否符合安全模型要求，如圖 2.3 所示。圖 2.3.作為安全評估指標的安全模型示意圖 自動駕駛安全模型研究 6 第第三三章

13、章 自動駕駛安全模型自動駕駛安全模型介紹介紹 3.1 Last Point to Steer Last Point to Steer 模型5主要聚焦跟車場景。該模型通過假設特定的轉向軌跡，可以計算出車輛能夠通過轉向避免與前車碰撞所需的最小距離。根據上述距離，可計算出若車輛無法通過轉向避免碰撞時，即與前車的距離小于上述距離時，是否可以通過制動來避免碰撞。如果最終無法避免碰撞，則計算發生碰撞時的相對車速。如圖 3.1-1 所示，若自車按照圖中紅線所示軌跡轉向，即在轉向過程中保持橫向加速度不變，那么自車在轉向過程中的橫向偏移計算公式如下：()=122=0=其中，為自車最大橫向加速度，為自車轉向使得自

14、車右邊緣與前車左邊緣重合時所需時間，若自車橫向偏移量為，那么=2 圖 3.1-1.Last Point to Steer 模型假設轉向軌跡類型一及參數圖 除上述轉向軌跡外，若自車按照圖 3.1-2 中紅線所示軌跡轉向，該轉向軌跡中當自車右邊緣與前車左邊緣重合時，自車速度方向與轉向之前保持一致。此時自車轉向使得自車右邊緣與前車左邊緣重合時所需時間的計算公式如下：,=2 Ego VehicleOther Vehicle自動駕駛安全模型研究 7 圖 3.1-2.Last Point to Steer 模型假設轉向軌跡類型二及參數圖 以上述自車轉向所需時間為基線，額外考慮自車制動時延，以此作為自車執行

15、制動的觸發時間，其計算公式如下：,=+12 其中，為自車制動時延。若自車執行制動的觸發時間大于或等于自車減速至與前車同速的時間，則該場景能夠避免碰撞，計算公式如下：,02 ()其中，,0為自車與前車的相對速度，為自車制動減速度，符號為負。若自車執行制動的觸發時間小于自車減速至與前車同速的時間，則該場景無法避免碰撞，碰撞時的相對速度計算公式如下：,=,02 2 ,0()3.2 Safety Zone Safety Zone 模型5主要聚焦弱勢交通參與者橫穿場景。該模型在自車左右邊緣外部擴展一段空間距離作為安全空間，并計算弱勢交通參與者進入安全空間的時間。當弱勢交通參與者進入安全空間，即到達安全空

16、間邊界時，車輛將開始執行制動以避免或緩解碰撞。若最終無法避免碰撞，則可計算出車輛發生碰撞時的車速。如圖 3.2 所示，若自車與行人按照其各自初始速度行駛，會在碰撞點發生碰撞，那么此時預碰撞時間計算公式如下：=Ego VehicleOther Vehicle自動駕駛安全模型研究 8 其中，為自車與預碰撞點的距離，為行人與預碰撞點的距離，為自車速度，為行人速度。圖 3.2.Safety Zone 模型適用場景及模型參數圖 自車靠近行人方向的一側會留有一定的安全空間，當行人行走至安全空間邊緣時，自車會執行制動操作以避免碰撞，行人行走至安全空間邊緣所需時間的計算公式如下：,=+其中，為預碰撞點與行人橫

17、穿方向的自車邊緣之間的距離，為自車預留的安全空間的距離。以上述行人行走至安全空間邊緣所需時間為基線，額外考慮自車制動時延，以此作為自車執行制動的觸發時間，其計算公式如下：,=,+12 其中，為自車制動時延。在上述時間內，自車制動后達到的最終車速的計算公式如下：=2 2 ,其中，為道路附著系數，=9.8m/s2。3.3 RSS(Responsibility-Sensitive Safety)RSS 模型7,8是一種旨在保證自動駕駛系統安全性的數學模型，模型的關注重點落在如何定義自動駕駛汽車與他車之間的橫縱向安全距離，以及如何定義道路優先權的歸屬。Ego VehiclePoint of Colli

18、sion自動駕駛安全模型研究 9 3.3.1 RSS 模型模型定義的定義的縱向安全距離縱向安全距離 RSS 模型的安全距離包括縱向安全距離和橫向安全距離?？v向安全距離主要關注同向行駛場景下的縱向安全距離及對向行駛場景下的縱向安全距離。同向行駛場景下的縱向安全距離考慮了前方車輛以最大減速度減速，自車在系統反應時間內以最大加速度加速，然后以最小減速度減速，在此情況下保證兩輛車不相撞的距離即為同向行駛場景下的縱向安全距離。計算公式如下：=+12,2+(+,)22,22,+其中，為自車速度，為前車速度，為自車反應時間，,為自車最大前進加速度，,為自車最小制動減速度，,為前車最大制動減速度。上述公式計算

19、出的即為自車作為后車，需要與前車保持的最小縱向安全距離，如圖 3.3-1 所示。圖 3.3-1.RSS 模型中同向行駛場景下的縱向安全距離示意圖 對向行駛場景下的縱向安全距離考慮了前方車輛以最大減速度減速，自車在系統反應時間內以最大加速度加速，然后以最小減速度減速，在此情況下保證兩輛車不相撞的距離即為同向行駛場景下的縱向安全距離。計算公式如下：=1+1,2+1,22,+|2|+2,2+2,22,其中，1為自車初始速度，1,=1+,為自車在反應時間內，以最大前進加速度,加速后的速度，2為對向來車初始速度，符號與1相反，2,=|2|+,，為對向來車在反應時間內，以最大前進加速度,加速后的速度，,為

20、自車最小制動減速度，,為對向來車最小合理制動減速度。上述公式計算出的即為自車與對向來車保持的自動駕駛安全模型研究 10 最小縱向安全距離，如圖 3.3-2 所示。在圖 3.3-2 所示場景中，由于自車為借道超車方，對向來車行駛在其正確車道內，故對向來車的制動減速度,一般小于自車制動減速度,，即自車需要采取更大的制動減速度以避免與對向來車產生安全風險。圖 3.3-2.RSS 模型中對向行駛場景下的縱向安全距離示意圖 3.3.2 RSS 模型模型定義的定義的橫向安全距離橫向安全距離 橫向安全距離主要關注兩車相向靠近場景，考慮自車與相鄰車輛在反應時間內均以最大加速度加速，然后以最小減速度減速，在此情

21、況下保證兩輛車不相撞的距離即為橫向安全距離。計算公式如下：=+1+1,2+1,22,(2+2,2 2,22,)+其中，1為自車初始橫向速度，1,=1+,為自車在反應時間內，以最大橫向加速度,加速后的橫向速度，2為鄰車初始橫向速度，符號與1相反，2,=2,，為鄰車在反應時間內，以最大橫向加速度,加速后的橫向速度，,為自車與鄰車最小制動橫向減速度。上述公式計算出的即為自車與鄰車保持的最小橫向安全距離，如圖 3.3-4 所示。圖 3.3-4.RSS 模型中橫向安全距離示意圖 自動駕駛安全模型研究 11 3.4 SFF(Safety Force Field)SFF模型9定義了自車與其他交通參與者在將來

22、一段時間內所占用的時空軌跡，通過避免自車與其他交通參與者時空軌跡重疊，從而保證自車安全。上述時空軌跡也被其稱為“安全力場”，重疊的“安全力場”意味著出現了潛在風險，通過對不同“安全力場”彼此之間排斥力的方向執行安全處置措施(如制動、轉向等)，避免自車與其他交通參與者的碰撞。3.4.1 SFF 模型定義的模型定義的安全程序安全程序及及聲明集合聲明集合 SFF 模型首先提出了車輛的安全程序(Safety Procedure)的概念，安全程序定義為車輛為了避免碰撞所采取的制動等安全處置措施。對應于安全程序的制動被稱為安全制動，其制動減速度一般小于車輛的最大減速度。在安全程序的基礎上，SFF 模型提出

23、了聲明集合(Claimed Sets)的概念，聲明集合定義為車輛或其他交通參與者采取上述安全程序或最大安全處置能力時將占據的時空位置集合。如圖3.4-1 所示，若不考慮車輛的橫向移動，只考慮車輛的縱向移動，淺綠色區域為車輛進行勻速直線運動時占用的時空位置集合，深綠色區域為車輛執行安全程序時占用的時空位置集合，黃色區域為車輛執行最大安全處置能力(如以最大制動減速度制動)時占用的時空位置集合，深綠色與黃色區域所占用的時空位置集合的并集即為車輛的聲明集合。圖 3.4-1.SFF 模型縱向聲明集合示意圖 貫穿 SFF 模型的核心概念為所有交通參與者都需要盡可能避免或最小化與其他交通參與者聲明集合的交集

24、。在交通參與者的聲明集合相交之前或相交時，所有交通參與者都應采取其安全程序。如圖 3.4-2 所示，對于兩車相向行駛的場自動駕駛安全模型研究 12 景，兩車的聲明集合即將存在交集時，兩車采取安全程序能恰好使得兩車制動至靜止時不發生碰撞。對于兩車同向行駛的跟車場景，后車的聲明集合不能與前車的聲明集合重疊，這樣一旦前車制動，后車正確執行安全程序，則后車不會與前車發生碰撞。圖 3.4-2.對向及同向行駛場景下多個交通參與者的聲明集合示意圖 3.4.2 SFF 模型定義的模型定義的安全力場安全力場 SFF 模型本質上不再區分橫縱向安全距離，而是將橫縱向統一以聲明集合的形式綜合考慮。不同車輛的聲明集合應

25、保持互不重疊。若有重疊，則被認為有碰撞風險。若有碰撞風險，則應使得聲明集合相互遠離，遠離方向即為聲明集合作為“安全力場”的“排斥力”方向。該排斥力的方向意味著車輛為了避免潛在碰撞所需要做的安全措施，如制動、轉向等。如圖 3.4-3 所示，鄰車切入自車所在車道，兩者聲明集合存在重疊，存在碰撞風險，兩車應以重疊區域處的排斥力方向做出安全處置措施，這樣能最大程度的避免碰撞。圖 3.4-3.SFF 模型聲明集合重疊區域排斥力二維投影示意圖 3.5 FSM(Fuzzy Safety Model)FSM 模型，又稱 FSSM(Fuzzy Surrogate Safety Metrics)模型10,11。大

26、多數的安全模型對車輛安全狀態的評估僅有“安全狀態”與“不安全狀態”。如 RSS 模型，當兩車距離大于或等于 RSS 模型定義的安全距離時為“安全狀態”，小于 RSS模型定義的安全距離時為“不安全狀態”。而 FSM 模型認為“安全狀態”與“不安全狀態”之間不應該是跳變的，而是漸變的。因此 FSM 模型根據車輛的安全自動駕駛安全模型研究 13 程度劃分為三種狀態，分別為“安全狀態”、“不安全狀態”及位于兩者之間的“Fuzzy 狀態”。當車輛處于“安全狀態”時，FSM 模型的輸出為 0；當車輛處于“不安全狀態”時，FSM 模型的輸出為 1；當車輛處于“安全狀態”與“不安全狀態”之間的“Fuzzy 狀

27、態”時，FSM 模型以線性函數計算不安全的程度，輸出0-1 之間的值，如圖 3.5-1 所示。圖 3.5-1.FSM 模型中“安全狀態”、“不安全狀態”及“Fuzzy 狀態”示意圖 FSM 模型將安全距離分解為縱向安全距離和橫向安全距離。只有當縱向安全距離與橫向安全距離均不滿足安全要求，自車才會做出制動等安全措施。如圖3.5-2 所示，FSM 模型首先判斷他車是否與自車同車道，若他車與自車同車道，則只需檢查縱向是否安全；否則，先檢查橫向是否安全，再檢查縱向是否安全。圖 3.5-2.FSM 模型橫向與縱向安全距離判定流程圖 3.5.1 FSM 模型定義的模型定義的橫向安全距離橫向安全距離 對于橫

28、向安全距離，當鄰車橫向侵入至自車行駛軌跡的時間小于自車在縱向超越鄰車的時間時，FSM 模型認為此時是安全的，否則是不安全的，計算公式如自動駕駛安全模型研究 14 下。例如，在鄰車低速切入場景下，若 FSM 模型計算出的橫向侵入時間大于自車超越鄰車的時間，即自車超越鄰車后，鄰車才完成切入，該情形被認為是安全的，否則是不安全的。|,|+,+0.1 其中，為兩車橫向距離，為兩車縱向距離，和分別為自車與他車的長度，,為自車縱向速度，,與,分別為他車橫向與縱向速度，0.1 為預留的時間余量。3.5.2 FSM 模型定義的模型定義的縱向安全距離縱向安全距離 對于縱向安全距離，FSM 模型定義了縱向上的最大

29、不安全距離及最小安全距離，如圖 3.5-3 所示。當兩車縱向距離大于最小安全距離時，定義兩車為安全狀態，模型輸出值為 0，此時自車無需任何操作；當兩車縱向距離小于最大不安全距離時，定義兩車為不安全狀態，模型輸出 1，此時自車需要以最大能力減速；當兩車縱向距離小于最小安全距離且大于最大不安全距離時，定義兩車為 Fuzzy狀態，模型輸出 0-1 的值，此時按比例值減速。圖 3.5-3.FSM 縱向最大不安全距離及最小安全距離示意圖 在確定縱向最小安全距離時，FSM 模型同樣有前車時時刻刻緊急制動的假設。與 RSS 模型不同的是，FSM 模型并沒有假設自車在反應時間內做加速這種不合理且小概率的行為，

30、而是假設保持勻速行駛。另外，FSM 模型根據場景的危險程度將縱向安全距離的衡量指標分為主動模糊替代安全度量(Proactive Fuzzy Surrogate Safety Metric,PFS)和臨界模糊替代安全度量(Critical Fuzzy Surrogate Safety Metric,CFS)。3.5.3 FSM 模型定義的模型定義的 PFS 指標指標 PFS 的定義邏輯為假設前車突然制動，存在碰撞風險，后車為避免碰撞所預留的安全距離，如圖 3.5-4 所示。在此基礎上，PFS 最小安全距離定義為前車以自動駕駛安全模型研究 15 最大制動減速度制動時，后車以舒適減速度減速至停止，最

31、終依然與前車保留一定安全距離余量。PFS 最大不安全距離定義為前車以最大制動減速度制動時，后車以最大減速度減速至停止，最終與前車沒有發生碰撞。圖 3.5-4.PFS 安全距離的定義邏輯示意圖 PFS 的計算公式如下：()=11 1 其中，為兩車之間的實際距離，1為當兩車均減速至靜止后的安全距離余量，PFS 最小安全距離與 PFS 最大不安全距離計算公式如下:=,+,22,22,=,+,22,22,其中，為自車的反應時間，,為自車縱向速度，,為他車縱向速度，,為自車舒適減速度，,為自車最大減速度，,為他車最大減速度。3.5.4 FSM 模型定義的模型定義的 CFS 指標指標 CFS 的定義邏輯為

32、即使前車不制動，按照前車和后車此時的速度，存在碰撞風險，后車避免碰撞所預留的安全距離，如圖 3.5-5 所示。在此基礎上，CFS 最小安全距離定義為后車在反應時間內速度降至前車速度時兩車距離變化量，或后車以舒適減速度減速至前車速度時兩車距離變化量。CFS 最大不安全距離定義為自動駕駛安全模型研究 16 后車在反應時間內速度降至前車速度時兩車距離變化量，或后車以最大減速度減速至前車速度時兩車距離變化量。圖 3.5-5.CFS 安全距離的定義邏輯示意圖 CFS 的計算公式如下：()=10 ,=(,)22,+(,)22,其中，=(,),=,+=(,+,2,)其中，為自車加速度；為修正后的自車加速度，

33、默認自車不會以大于,的減速度制動；,自車在反應時間內按照修正后的加速度加速后的期望速度；為自車與他車在反應時間后期望的距離變化量。自動駕駛安全模型研究 17 3.5.5 FSM 模型的模型的 PFS 及及 CFS 指標確定制動減速度指標確定制動減速度 計算出 PFS 和 CFS 的值后，就可以按照 PFS 和 CFS 的值確定自車是否需要制動，以及需要制動時的制動力度。當場景危險程度低時，按照 PFS 計算的制動比例，并結合舒適的減速度制動；當場景危險程度高時，按照 CFS 計算的制動比例，并結合最大的減速度制動。計算公式如下：=(,)0 ,=0 當 CFS=0 時，證明當前時刻沒有直接的碰撞

34、風險，以 PFS 進行比例制動。當 PFS=0 時，后車無需制動；當 PFS=0-1 時，如 0.2，后車按照舒適減速度的20%(例如 0.6 m/s2)制動；當 PFS=1 時，按照舒適減速度的值(例如 3 m/s2)制動。當 CFS=0-1 時，如 0.2，按照舒適減速度與最大減速度 20%位置處的減速度值(例如 3.6 m/s2)制動。當 CFS=1 時，按照最大減速度的值(例如 6 m/s2)制動。通過前述 FSM 模型的安全與不安全判斷邏輯，以及對應的控制策略，可以利用仿真測試確定 FSM 的避免碰撞能力，如圖 3.5-6 所示。圖中展示了自車速度為 90km/h，切入車輛為 40k

35、m/h 的場景下，FSM 模型在不同切入距離及切入橫向速度下的避免碰撞能力。其中，黑色叉號標記(以表示)為 FSM 模型無法避免碰撞的鄰車切入場景參數，在其余場景參數下 FSM 可以避免碰撞。根據 FSM 模型中 PFS 及 CFS 的值，可以確定自動駕駛系統測試場景的難度。如綠色點處的 PFS 0.85 至 CFS 0.9，表示困難測試場景。圖 3.5-6.鄰車切入場景下 FSM 模型避免碰撞能力圖 自動駕駛安全模型研究 18 3.6 STD(Safety Time Domain)STD 模型針對自動駕駛系統在時間域定義統一的安全模型，來模型化安全距離、路權歸屬、交通規則、風險評估、安全處置

36、行為等安全相關概念。該模型利用多種基于時間差的衡量指標，用以指導和評估自動駕駛汽車的安全距離、路權歸屬、交通規則及風險評估等方面。安全時間域模型具有度量統一、評估簡單等優點，更符合自動駕駛的機器邏輯與認知。3.6.1 STD 模型中的安全模型模型中的安全模型 STD 模型中的安全模型根據自動駕駛汽車的規劃軌跡及其對周圍目標物的預測軌跡，計算兩條軌跡在空間重疊區域處的時間差。自動駕駛汽車需要保證上述時間差的值不屬于危險時差區間，以避免潛在的碰撞風險。自動駕駛汽車距離空間位置重疊區域的時間越短，時間差的絕對值越小，潛在的碰撞風險就越高。自動駕駛汽車及目標的軌跡定義為空間位置間信息與其對應的時間信息

37、的集合:(,)|()=,。其中，f 為自動駕駛汽車及目標時間到空間位置的映射函數，為位置點集合。交叉區域定義為不同軌跡的相同空間位置點的集合=1 2，其中1和2分別為目標1和2的軌跡的空間位置集合。如果目標1和2的軌跡不存在交叉區域，即=，意味著目標1和2不會出現在相同的空間位置，目標1和2之間沒有潛在碰撞風險。交叉區域的時間差集合即為交叉區域內相同空間位置點所對應的時間差值的集合，對于目標1來說，交叉區域的時間差集合如下：:|=1 2,1(1)=,2(2)=,其中1和2分別為目標1和2的時間到空間位置的映射函數，為目標1和2的軌跡的交叉區域。危險時差區間是衡量存在交叉區域的不同軌跡是否存在潛

38、在碰撞風險的標尺。若交叉區域的時間差集合中的任一時間差均不屬于危險時差區間，即,，其中=1,2為危險時差區間，則軌跡雖然存在交叉區域，但是沒有潛在碰撞的風險。若交叉區域的時間差集合中存在時間差屬于危險時差區間，即 ,，則軌跡存在潛在碰撞的風險。自動駕駛安全模型研究 19 假設預定義的危險時差區間為-2,2秒，自車與目標車的軌跡存在交叉區域，以紅色虛線圓標識。如圖 3.6-1 中左圖所示，自車在交叉區域內的時間取值為 6秒，目標車在交叉區域內的時間取值為 3 秒。站在自車的角度，交叉區域內的時間差為=3 6=3 ，故自車沒有潛在碰撞風險。如圖 3.6-1 中右圖所示，=3 4=1 ，故自車存在潛

39、在碰撞風險。圖 3.6-1.STD 模型中的安全模型示意圖 3.6.2 STD 模型中的路權模型模型中的路權模型 通行優先級是指道路層面或車輛行為層面的法定讓行順序。例如，轉彎車輛應讓行直行車輛，均為直行時的讓右原則等。道路通行權是指車輛層面的實際的通行權。例如，當沒有車輛直行或直行車輛還有很久才到路口時，轉彎車輛有道路通行權，可以先行通過路口。STD 模型中的路權模型結合了法規中的通行優先級和實際場景中的道路通行權。在到達時間先后的基礎上，具有較高通行優先級的車輛，會有額外的時間差余量，真正地將遵守法規與保證通行效率結合起來。假設目標1的通行優先級高于目標2。目標1和2的時間域軌跡在交叉路口

40、處存在交叉區域，且交叉區域的時間差集合為。若 ,=1 2，則目標1具有道路通行權。否則目標2具有道路通行權。其中，其中1和2分別為目標1和2將要到達沖突區域的時間，0為預定義的優先級時差。一般地，取值以不影響路權優先級更高的車輛正常通行為基準。假設自車左轉，目標車直行。直行車輛的通行優先級高于左轉車輛。預定義的優先級時差=3。如圖 3.6-2 中左圖所示，在交叉區域處的通行優先級高的目標車與通行優先級低的自車的時間差如下：自動駕駛安全模型研究 20 =5 4=1 自車將為目標車輛預留足夠的時間余量，不會妨礙目標車輛的正常行駛。故此時通行優先級較低的自車有道路通行權，可以先行通過路口。圖 3.6

41、-2.不同道路通行權歸屬情形示意圖 在自動駕駛汽車的安全評測中，自動駕駛汽車需要同時滿足安全與路權的要求?；谏鲜霭踩Ｐ秃吐窓嗄Ｐ?，可以給出在路權沖突場景下的安全與路權驗證方法。如圖 3.6-3 所示，自車與目標車的軌跡交叉區域處的時間差既要滿足安全要求，做到安全讓行，也要滿足路權要求，做到合規先行?？梢园l現，合規先行的門限的絕對值要比安全讓行的門限的絕對值更大。這是合理的，路權優先級更低的車輛想要先行要給優先級更高的車輛預留更多的時間余量，以不能妨礙優先級更高車輛的正常行駛。圖 3.6-3.安全讓行與合規先行驗證方法圖 如圖 3.6-4 所示，假設危險時差區間為=T1,T2=2,2，假設目

42、標車自動駕駛安全模型研究 21 輛的通行優先級比自車更高,并且=3。如圖 3.6-4 中的左圖所示，自車與目標車在軌跡交叉區域處的時間差=1 4=3 ，故自車的先行是合規的。圖 3.6-4.安全讓行與合規先行場景示意圖 3.6.3 STD 模型中的風險評估模型模型中的風險評估模型 實際交通場景下，自車所處環境是否有風險性，不僅來源于自車和他車的風險評估，他車與他車之間的潛在風險同樣會影響自車的行車安全。例如，前車與鄰車的潛在碰撞會極大的增加后車的危險程度，一個謹慎且熟練的人類駕駛員會識別到類似的潛在風險，即防御性駕駛，通過降低車速盡量避免潛在的碰撞。STD模型中的風險評估模型分別計算自車與他車

43、，及他車與他車之間軌跡交叉點處的時間差和距離潛在碰撞區域的時間，分別評估他車直接對自車的風險影響，及他車與他車的交互行為間接對自車的風險影響，再將多個風險疊加，作為自車時間域中風險性的最終評估值。風險性指標函數受影響于時間差、距離潛在碰撞區域的時間及自車安全處置時間。時間差越接近 0，距離潛在碰撞區域的時間越小，風險程度越高，如圖 3.6-5 所示。圖 3.6-5.STD 風險評估模型示意圖 自動駕駛安全模型研究 22 若自車與他車存在屬于危險時差區間的軌跡交叉點，則自車當前及未來時間上的風險程度計算方法如下：()=()222,其中，()=，為風險程度最大值；為危險時差閾值絕對值；。為自車與他

44、車軌跡交叉點處的時間差絕對值，即時間差越小，該值越大；為自車當前位置距離風險點的時間；與自車的安全處置時間有關，能力越強，越小。若他車與他車存在屬于危險時差區間的軌跡交叉點。且該風險對自車會產生影響，則自車當前及未來時間上的風險程度計算方法如下：()=()222,其中，(1)=1，為風險程度最大值；為危險時差閾值絕對值；1為他車與他車軌跡交叉點處的時間差絕對值，即時間差越小，該值越大；(2)=2 為風險程度因子；2為自車軌跡與他車造成的危險區域的時間差絕對值，即時間差越小，該值越大，他車造成的危險區域可以為危險所在車道及其兩側相鄰車道對應的區域；為自車當前距離風險點的時間；與自車的安全處置時間

45、有關，能力越強，越小。既有他車對自車的直接風險影響，又有他車和他車的風險對自車的間接風險影響，風險性指標可以相互疊加，如圖 3.6-6 所示。圖 3.6-6.復雜場景下直接風險與間接風險疊加示意圖 自動駕駛安全模型研究 23 3.7 CC-driver(Careful and Competent Human Driver)CC-driver 模型5,6定義了熟練且謹慎的人類駕駛員的緊急制動模型。該緊急制動模型刻畫了人類駕駛員在遇到緊急場景，如鄰車緊急切入，前車緊急切出遇靜止車和前車緊急制動等場景時，為避免發生碰撞而采取的緊急制動行為。人類駕駛員在遇到緊急場景時的踩加速踏板與制動踏板的行為邏輯包

46、括在風險點出現后人類駕駛員會對風險進行評估，并決定制動；決定制動后，駕駛員將腳從加速踏板移開，并轉移到制動踏板上；隨后駕駛員踩下制動踏板進行制動，如圖 3.7-1 所示。圖 3.7-1.CC-driver 模型參考人類駕駛員的緊急制動行為邏輯示意圖 3.7.1 CC-driver 模型模型參數及取值參數及取值 CC-driver 模型參考人類駕駛員的緊急制動行為邏輯，分析人類駕駛員感知、決策、執行階段加速踏板與制動踏板的開合狀態，以及在每個狀態下車輛的制動減速度變化，從而構建以車輛制動減速度為主要參數的模型。在風險點出現后人類駕駛員會對風險進行評估，并決定制動，在此過程中加速踏板開合角度保持不

47、變，制動踏板開合角度為 0，制動減速度為 0；決定制動后，駕駛員將腳從加速踏板移開，并轉移到制動踏板上，在此過程中加速踏板開合角度先減小至 0，隨后有一小段時間空隙，這是駕駛員腳在踏板間轉移導致的，制動踏板開合角度為0，制動減速度為 0；隨后駕駛員踩下制動踏板進行制動，在此過程中制動踏板角度先變大，再保持不變，制動減速度由 0 線性增大，再保持最大減速度不變。通過上述分析，CC-driver 模型選取了五個關鍵參數，分別是風險出現時間自動駕駛安全模型研究 24 點、風險評估時間、評估完成至開始制動時間、制動至最大減速度時間及最大減速度，如圖 3.7-2 所示。其中風險出現時間點為場景中風險開始

48、出現的時刻；風險評估時間為風險開始出現至人類駕駛員風險評估完成的時間；評估完成至開始制動時間為人類駕駛員風險評估完成至車輛制動減速度開始出現的時間；制動至最大減速度時間為車輛制動減速度從 0 開始增加至最大減速度的時間；最大減速度為人類駕駛員或其結合車輛 AEB 系統最終達到的最大減速度的值。圖 3.7-2.CC-driver 模型制動過程中加速踏板、制動踏板及減速度變化圖 基于上述模型，依照日本駕駛員的行為數據統計了 CC-driver 模型的關鍵參數。參數具體統計值參見表 3.7。對于鄰車切入及前車切出遇靜止車場景，風險出現時間點為目標車橫向偏移 0.375m；對于前車緊急制動場景，風險出

49、現時間點為前車制動減速度達到 5m/s 以及 2s 的跟車時距。風險評估時間為 0.4s。評估完成至開始制動時間為 0.75s。制動至最大減速度時間為 0.6s。僅依靠人類駕駛員踩制動踏板最終達到的最大減速度取值為 0.774g；若結合車輛 AEB 系統，最終達到的最大減速度取值為 0.85g。表 3.7 CC-driver 模型參數表 自動駕駛安全模型研究 25 3.7.2 CC-driver 模型模型碰撞碰撞可避免水平可避免水平 以鄰車切入場景為例，CC-driver 模型可以描述為以下內容，風險出現點為鄰車偏離車道中心線 0.375m 的時刻，如果此時切入車輛與自車的縱向 TTC 小于2

50、s，人類駕駛員會有 0.4s 的風險評估時間和 0.75s 的制動時延。緊接著，人類駕駛員將以 0.6s 制動至 0.774g 的最大減速度，如圖 3.7-3 所示。圖 3.7-3 切入場景中 CC-driver 模型示意圖 根據 CC-driver 模型，可以確定其在遇到緊急場景時可以避免碰撞的能力。如圖 3.7-4 所示，該圖中描述了自車與切入車在不同車速條件下，隨著橫向速度和切入距離的變化，CC-driver 模型能夠避免碰撞的參數集合(綠色點集表示)，以及無法避免碰撞的參數集合(紅色和橙色點集表示)。圖 3.7-4 切入場景中 CC-driver 模型避免碰撞能力圖 CC-driver

51、 模型中的風險評估時間及評估完成至開始制動時間在統計上雖然較為精細，但如何定義風險評估的結束時間點并不容易，并且在這兩部分時間內，車輛基本都處于相同的勻速狀態，區分這兩部分時間對確定模型避免碰撞能力的意義不明顯。自動駕駛安全模型研究 26 3.8 中國成熟駕駛模型中國成熟駕駛模型 全國汽車標準化技術委員會于 2022 年成立面向智能網聯汽車的成熟駕駛模型標準化需求研究項目，并于 2023 年 11 月發布面向智能網聯汽車的成熟駕駛模型白皮書12。白皮書中定義了中國成熟駕駛員的緊急制動模型及緊急轉向模型，并基于中國駕駛員行為對模型參數進行了標定。3.8.1 中國成熟駕駛模型中國成熟駕駛模型中的緊

52、急制動模型中的緊急制動模型 中國成熟駕駛員的緊急制動模型對 CC-driver 模型進行了簡化，將制動模型分為三個區：自由行駛區、勻速區及制動生效區。在自由行駛區，駕駛員按照駕駛需求進行駕駛；在風險出現時間點后，進入勻速行駛區，駕駛員進行風險評估、決策反應、腳部遷移及開始踩踏板；在制動生效區，車輛產生明顯的制動效果，制動效能快速提升后達到最大制動減速度。同樣的，在模型標定參數方面，中國成熟駕駛員的緊急制動模型參數包括風險出現時間點、決策響應時間、制動效能提升時間及最大制動減速度。與 CC-driver 模型相比，將其風險評估時間及評估完成至開始制動時間合二為一，以決策響應時間統一度量，原因為在

53、該時間段內，車輛基本都處于相同的勻速狀態，且從風險出現點到制動開始時間點的時間更容易精準測量。具體緊急制動模型如圖 3.8-1 所示。圖 3.8-1 中國成熟駕駛員的緊急制動模型圖 中國成熟駕駛員的緊急制動模型的決策響應時間由仿真試驗標定，確保在駕駛員無心理預期的前提下獲取真實的決策響應時間。模型的制動效能提升時間與最大制動減速度取值由實車試驗標定，確保數據取值精確可靠。共有 53 名駕駛員參與實驗，取其平均值作為最終結果。具體參數參見表 3.8。自動駕駛安全模型研究 27 表 3.8 中國成熟駕駛員的緊急制動模型參數表 3.8.2 中國成熟駕駛模型中的緊急轉向模型中國成熟駕駛模型中的緊急轉向

54、模型 人類駕駛員在遇到緊急場景時，除了采取制動行為避免碰撞外，還有可能采取轉向動作避險。所以有必要對人類駕駛員在緊急場景下的轉向模型進行研究。中國成熟駕駛員的緊急轉向模型包括自由行駛區、直線行駛區及正弦轉向區。在自由行駛區，駕駛員按照駕駛需求進行駕駛；在風險出現時間點后，仍處于直線行駛狀態，駕駛員進行風險評估、決策反應、手部開始握緊并開始轉動方向盤；在正弦轉向區，反向盤以正弦方式進行轉動。在模型標定參數方面，中國成熟駕駛員的緊急轉向模型參數包括風險出現時間點、決策響應時間、方向盤回正時間及方向盤最大轉角。具體緊急轉向模型如圖 3.8-2 所示。圖 3.8-2 中國成熟駕駛員的緊急轉向模型圖 3

55、.8.3 中國成熟駕駛員中國成熟駕駛員模型模型碰撞碰撞可避免水平可避免水平 中國成熟駕駛員模型可應用于確定自動駕駛功能仿真試驗方法中的場景參數取值。以中國成熟駕駛員的緊急制動模型為例，通過對鄰車切入場景關鍵參數進行全集泛化，并將上述場景與緊急制動模型實現至仿真平臺中，最終得到中國成熟駕駛員的緊急制動模型在上述場景下的碰撞可避免的參數取值范圍，如圖3.8-3 所示。自動駕駛安全模型研究 28 圖 3.8-3 中國成熟駕駛員的緊急制動模型避撞可避免參數確定方法 在上述切入場景下，中國成熟駕駛員緊急制動模型能夠避免碰撞的參數取值范圍如藍點所示，無法避免碰撞的參數取值范圍如紅點所示。其中，紅點區域附近

56、的藍點對應參數取值為危險場景的參數取值。遍歷不同的自車速度及切入車輛車速，可確定不同車速下的中國成熟駕駛員緊急制動模型能夠避免碰撞的參數取值范圍，如圖 3.8-4 所示。圖 3.8-4 不同車速下中國成熟駕駛員的緊急制動模型避撞可避免參數范圍 自動駕駛安全模型研究 29 第第四四章章 自動駕駛安全模型展望自動駕駛安全模型展望 隨著自動駕駛技術的不斷發展和相關法規標準的不斷完善，L3 級及以上的自動駕駛汽車將逐漸出現在道路上。自動駕駛系統的安全性如何保障，安全性能如何證明是需要重點考慮的問題。自動駕駛安全模型在保障及證明自動駕駛系統安全性等方面都發揮著積極的作用。自動駕駛安全模型可以作為自動駕駛

57、系統安全性能證明的參考。通過上文對當前自動駕駛安全模型的分析發現，當前自動駕駛安全模型設計方法及邏輯不相同，模型參數及取值不統一，以此確定的自動駕駛系統安全性證明方法也將不同。因此有以下幾點展望。首先，繼續深入研究自動駕駛安全模型及其應用場景，保證模型符合定義明確、指標定量、規則可解釋等要求。充分論證安全模型的必要性，并考慮模型在不同場景下的適配性及參數的合理性。其次，需要考慮及確定自動駕駛安全模型的應用方法。例如，可以標準化統一的安全模型；或者在保證安全模型的合理性被充分證明后，可以利用不同的安全模型，證明自動駕駛系統能力達到所選取的安全模型所對應的安全性。如何評估及證明安全模型的合理性也是

58、需要進一步研究的內容。最后，需要考慮自動駕駛安全模型的局限性。自動駕駛安全模型一般無法覆蓋所有的自動駕駛安全場景，自動駕駛測試本身也無法窮舉所有的場景進行測試。如何明確自動駕駛安全模型的適用范圍，以及如何挑選關鍵場景進行測試也是需要進一步研究的內容。自動駕駛安全模型研究 30 參考文獻參考文獻 1.Navet,N.,Simonot-Lion,F.Automotive embedded systems handbook.CRC press,2017.2.Chen S,Leng Y,Labi S.A deep learning algorithm for simulating autonomous

59、 driving considering prior knowledge and temporal information.ComputerAided Civil and Infrastructure Engineering,35(4):305-321,2020.3.SAE J3016_201806,Taxonomy and definitions for terms related driving automation system for on-road motor vehicles,2018.https:/www.sae.org/standards/content/j3016_20180

60、6/.4.ECE/TRANS/WP.29,Framework document on automated/autonomous vehicles,2019.https:/unece.org/DAM/trans/doc/2019/wp29/WP29-177-19e.pdf.5.ECE/TRANS/FRAV,Approach to derive verifiable performance requirements for accident avoidance,2023.https:/wiki.unece.org/pages/worddav/preview.action?fileName=FRAV

61、-42-04.pdf&pageId=215680066 6.ECE/TRANS,UN Regulation No.157-automated lane keeping systems(ALKS),2021.https:/unece.org/transport/documents/2021/03/standards/un-regulation-no-157-automated-lane-keeping-systems-alks.7.Shalev-Shwartz S,Shammah S,Shashua A.On a formal model of safe and scalable self-dr

62、iving cars.arXiv preprint arXiv:1708.06374,2017.8.Shashua A,Shalev-Shwartz S,Shammah S.Implementing the rss model on nhtsa pre-crash scenarios.tech.rep,2018.https:/ 9.Nist r D,Lee H L,Ng J,et al.An introduction to the safety force field.NVIDIA White Paper,2019.https:/ 10.Mattas K,Makridis M,Botzoris

63、 G,et al.Fuzzy surrogate safety metrics.2019 6th International Conference on Models and Technologies for Intelligent Transportation Systems(MT-ITS),IEEE:1-11,2019.11.Mattas K,Ciuffo B.Fuzzy-logic based performance model for motorway traffic scenarios.EC JRC,2021.https:/wiki.unece.org/pages/worddav/preview.action?fileName=FRAV-12-06.pdf&pageId=123668202 12.全國汽車標準化技術委員會,面向智能網聯汽車的成熟駕駛模型白皮書,2023.http:/