自动驾驶系统(ADS)的发展有望彻底变革交通运输行业,但也带来了重大的安全挑战。其中核心挑战之一是确保人类驾驶员出现可预见误用(FM)行为时,自动驾驶系统仍能保持安全状态。为应对这一挑战,本文提出一项基于驾驶模拟器的仿真测试案例研究,旨在缓解驾驶员的可预见误用行为。驾驶员的可预见误用指的是驾驶员对自动驾驶系统的预期功能产生误判,进而引发危险行为的潜在驾驶场景。预期功能安全(SOTIF)的核心目标是,避免因驾驶员可预见误用、传感器性能限制以及自动驾驶系统机器学习算法缺陷所导致的功能不足,进而引发危险行为并产生不合理风险。将预期功能安全以仿真形式应用于缓解自动驾驶系统的可预见误用问题,需完成三项核心工作:识别潜在误用场景、开展仿真测试、评估各类预防或缓解可预见误用措施的有效性。本文的主要贡献包括界定:(1)针对潜在误用场景开展仿真测试的测试要求;(2)符合预期功能安全要求、用于实施可预见误用预防或缓解措施的评估标准;(3)评估可预见误用预防或缓解措施有效性的方法。研究结论表明,本文开展了一项示例性案例研究,结合人机交互界面及驾驶员与自动驾驶系统的交互行为,剖析了导致可预见误用的各类影响因素与成因。此外,本文还设计了一套评估驾驶员可预见误用预防或缓解措施有效性的测试流程。
自动驾驶系统(ADS)是一套复杂的系统,其设计初衷是执行部分或全部原本由人类驾驶员完成的驾驶操作,包括加减速、制动、转向和导航,核心目标是提升道路安全水平,降低驾驶员的操作负荷。由于自动驾驶系统依赖感知传感器和复杂算法实现环境感知,安全问题成为其研发与应用的关键。此类系统一旦发生故障或失效,将对车辆乘员及其他道路使用者造成严重的安全危害。
可预见误用(FM)指人类驾驶员有意或无意地误用自动驾驶系统,进而引发危险驾驶场景的可能性。当驾驶员未能充分理解自动驾驶系统的能力与局限性,或做出与系统预期使用方式不符的操作时,就可能出现可预见误用行为。此外,在系统无法安全运行、或因系统故障需要驾驶员接管车辆控制权的场景下,若驾驶员未能及时接管,也会引发可预见误用。
可预见误用带来的安全挑战极具危害性,可能引发严重的交通事故和人员伤亡。因此,研发并实施有效的缓解措施,预防或降低可预见误用的风险至关重要。这要求对自动驾驶系统开展全面评估,综合考量各类驾驶场景和人为因素,包括驾驶员对系统能力与局限性的理解程度、驾驶员的职责,以及其理解并响应系统警示信息的能力。
以 2016 年特斯拉 Model S 致命交通事故为例,可清晰体现应对可预见误用问题的重要性。该事故中,驾驶员开启了自动驾驶辅助系统,该系统本应辅助完成转向、制动和加减速操作,但驾驶员未关注道路状况,且在系统需要接管时未及时掌控车辆。最终,自动驾驶辅助系统未能识别横穿道路的卡车,车辆与卡车发生碰撞,驾驶员不幸身亡。
ISO 21448是预期功能安全(SOTIF)的专用标准,该标准为识别和分析因人类驾驶员可预见误用,可能由自动驾驶系统预期功能引发的潜在危险和风险提供了指导。在本文后续内容中,将以 “系统” 代指 “自动驾驶系统”。
针对可预见误用的测试工作面临诸多挑战,一方面源于系统本身的复杂性,另一方面则是由于潜在误用场景的多样性。想要预判所有潜在的误用场景,并据此设计测试方案以有效预防或缓解此类情况,存在较大难度。此外,可预见误用测试耗时且成本高昂,需要开展大量的测试与评估工作,才能确保系统符合既定的安全要求。
仿真测试能够有效克服上述挑战:通过构建可控的测试环境,对潜在的误用场景进行系统化评估,复现现实中具有挑战性或危险性的驾驶场景。同时,仿真测试为全面评估系统的响应能力、鲁棒性,以及预防或缓解误用影响的效果,提供了一种更安全、更高效的方式。
帕特尔等人提出了一种基于仿真的测试方法,用于检测高度自动驾驶系统中驾驶员的可预见误用行为,并探讨了管理驾驶员 - 系统交互的重要性,以及人机交互界面设计对该交互过程的影响。但该研究提出的方法并未聚焦于可预见误用的缓解措施。
可预见误用的缓解,指识别系统预期功能的潜在误用行为,并采取措施将相关风险降低至可接受水平的过程。
本文的核心贡献在于,界定了一套基于仿真的测试流程,用于评估预防或缓解驾驶员可预见误用措施的有效性。具体而言,本文的主要贡献包括:
1. 界定测试要求:测试要求需明确仿真环境的各项参数,包括车辆模型、传感器模型和仿真软件。测试要求的设计需确保仿真场景能够精准还原现实驾驶场景,且能对系统在该场景下的响应进行有效评估。
2. 制定评估标准:评估标准的设计需确保各类措施能有效预防或缓解可预见误用,且不会引入新的安全隐患,也不会对车辆的预期功能产生不利影响。
3. 提出可预见误用预防 / 缓解措施的有效性评估方法:该方法需包括测试系统对潜在误用场景的响应,确保系统能够检测到此类场景并做出恰当的应对。
(一)文章结构
本文后续章节结构安排如下:第二章为研究背景,简要阐述自动驾驶系统中误用行为的类型、成因与影响因素,并结合一项示例性案例研究,介绍可预见误用的仿真测试方法;第三章提出基于仿真的应用方案,详细说明工作站的搭建方案,并界定核心的测试要求;第四章深入探讨可预见误用预防 / 缓解措施的有效性评估方法,重点介绍条件概率分析、可预见误用评估指标(FMEM),以及仿真结果的评估方式;第五章为研究结论,总结本文的核心研究成果与实践意义,并提出未来的研究方向。
(一)误用行为的类型
ISO 21448将自动驾驶系统中的误用行为分为两类:直接误用和间接误用。直接误用指能够触发系统产生危险行为的各类情形;间接误用指驾驶员的行为虽未直接引发系统的危险行为,但会降低车辆的可控性,或增加事故的严重程度。
自动驾驶系统中直接误用的典型情形包括:对系统性能过度自信、对系统能力存在误解、对系统功能缺乏了解、基于设计规范对驾驶员 - 系统交互方式做出错误假设,以及驾驶员的预期与系统实际能力不匹配。
间接误用的典型情形包括:驾驶员疲劳导致其与自动化功能的交互能力、监控能力下降;因使用移动设备或与同车人员交流产生分心;因长时间使用自动驾驶功能或在单调的驾驶环境中行驶导致注意力不集中;过度依赖自动驾驶功能,未保持对行车环境的感知。
(二)误用行为的成因与影响因素
驾驶员感知能力(DR)和驾驶员判断能力(DJ)是引发直接或间接误用场景的核心成因与影响因素。
驾驶员感知能力(DR):指驾驶员感知并解读驾驶环境的过程,包括道路状况、交通情况和周边物体。当驾驶员忽视自动驾驶系统的局限性,或对驾驶环境产生误判时,就会出现驾驶员感知能力失效的情况。
例如,驾驶员可能未意识到自动驾驶系统无法检测行人、自行车等特定物体,进而依赖系统实现避撞。若此时系统未能检测到此类物体,且驾驶员未采取恰当的应对措施,将引发危险驾驶场景。
驾驶员判断能力(DJ):指驾驶员基于驾驶环境和自动驾驶系统的能力做出决策的过程。当驾驶员基于对自动驾驶系统或驾驶环境的错误假设做出错误决策时,就会引发与驾驶员判断能力相关的可预见误用。
例如,驾驶员认为自动驾驶系统能够在暴雨、大雾等恶劣天气中正常导航,而该系统并非为此类场景设计。在上述天气条件下,系统可能无法识别道路标线或其他物体,若驾驶员未采取应对措施,将引发碰撞事故。
(三)驾驶员可预见误用的仿真测试案例研究
帕特尔等人提出了一套仿真测试实施策略,用于检测由系统发起的 “人 - 驾” 控制权切换过程中驾驶员的可预见误用行为。所谓系统发起的控制权切换,指在人类驾驶员与自动驾驶系统之间,转移部分或全部驾驶操作的责任与车辆控制权的过程及阶段。
仿真测试通过驾驶模拟器,在虚拟测试环境中复现建模的误用场景,并对测试结果进行分析,判断系统是否符合既定的安全要求。但仿真测试的效果,会受环境条件、传感器和车辆模型相关假设的限制。
帕特尔等人指出,该研究提出的策略仅用于演示可预见误用的仿真测试方法,并非用于缓解可预见误用的独特或最优措施。此外,该策略尚未经过实际应用验证,因此相关预防或缓解措施的有效性也未得到评估。
(一)识别与预期功能安全相关的误用场景
识别误用场景可参考多方面资料,包括过往经验总结、专家知识和头脑风暴结果。ISO 21448(附录 B1)为推导与预期功能安全相关的误用场景,提供了一套系统化的方法。
误用场景的识别流程始于对系统预期功能的理解,包括明确系统的设计目的、目标用户群体和运行环境。在理解系统预期功能后,下一步需识别系统的潜在误用形式,分析系统被以非预期方式使用的可能性,以及此类误用引发安全隐患的路径。
可根据潜在误用行为的严重程度和发生概率进行分类,以此优先处理对安全构成重大威胁的误用行为。在识别潜在误用行为后,需构建对应的误用场景,明确系统的误用方式、误用可能引发的后果,以及误用行为的发生概率。
最后,需对误用场景进行评估,判断其对自动驾驶系统安全性的影响,包括评估误用行为的发生概率、后果的严重程度,以及拟实施缓解措施的有效性。需注意的是,误用场景的构建不仅要考虑驾驶员的故意违规行为,还需涵盖可能导致系统非预期使用的驾驶员操作失误。
表 1 依据 ISO 21448(附录 B1)中的示例方法,参考文献推导了一则与预期功能安全相关的误用场景描述。
注:1 自动驾驶车辆在双向单车道的高速公路上开启自动驾驶功能,执行从右车道向左车道的变道操作时,驶入一段无车道标线的道路。受相机传感器性能限制,该传感器无法识别车道边界位置,自动驾驶车辆开始偏离车道,系统通过接管请求(TOR)通知驾驶员接管驾驶操作;2 驾驶员 “延迟接管” 和 / 或 “接管后转向过度 / 不足”;3 天气:晴朗;光照:日光;交通状况:车流量小;道路路面及特征:无车道标线;4 驾驶员未能及时接管车辆控制权,导致自动驾驶车辆偏离车道
(二)仿真测试的工作站搭建
本次研究搭建的工作站集成了驾驶模拟器,并配备各类硬件设备,包括罗技 G29 方向盘、踏板和变速箱,同时与仿真软件 IPG CarMaker 相集成,用于开展可预见误用的仿真测试。该驾驶模拟器为静态模拟器,支持人类驾驶员参与仿真测试。
图 1 为工作站的架构框图,展示了协同完成驾驶测试任务的各组成模块。
“基础人机交互界面子系统” 负责支持人工驾驶模式,允许驾驶员与传感器模块、控制器模块、环境模块及其他车辆模块进行交互。
IPG CarMaker 是一款用于开发和测试虚拟车辆模型的软件工具,CockpitPackage 是该软件的扩展插件,可将方向盘、离合 / 制动 / 油门踏板、换挡杆等硬件设备集成至仿真环境中。
“通信 / 信息子系统” 用于实现仿真过程的可视化,包含 IPGMovie(虚拟驾驶仿真的实时 3D 动画模块)和 Sound-Maker(3D 音频模块)等工具,同时还包括视觉模块,该模块中的仪表盘子模块可向驾驶员展示当前的驾驶模式状态,并在出现潜在风险时发出警示。
TestManager 是 IPG CarMaker 中用于仿真测试用例(TC)的软件工具,可实现测试用例的创建、执行和管理。测试用例是一套预设的操作流程,用于验证被测系统的功能。TestManager 会按顺序调用测试运行任务,执行测试用例系列(TCS),并在每个测试用例系列执行完成后生成测试报告,展示所有已执行的测试用例及测试结果。此外,TestManager 还可设置测试通过 / 失败的判定标准,以此判断测试用例系列的执行是否成功。
(三)界定仿真测试的测试要求
仿真要求在仿真测试的不同阶段均具有重要意义,因此本文将测试要求设计为清单形式,包含一系列问题,并以问题卡的形式呈现。
表 2 为本文设计的问题卡模板:问题卡右上角标注问题编号 [1,2,…,n],其后为核心问题;左下角列出问题的可选答案;右下角为该问题的说明。
表 3 为本文提出的 10 项仿真测试要求对应的问题卡。
(一)条件概率分析
本文选取条件概率分析(CPA)作为核心评估方法,旨在构建一套系统化、可量化的分析框架,探究自动驾驶系统中可预见误用的各类影响因素与成因之间的关联,重点分析错误感知(FR)和错误判断(MJ)两大核心因素。
本文选择条件概率分析方法的依据,来自姆克尔强等人的研究,该研究验证了该方法在安全关键系统评估中的适用性。
下述分析基于表 1(3.1 节)中与预期功能安全相关的误用场景,且符合表 3(3.3 节)中界定的测试要求。
错误判断(MJ):指驾驶员在接管车辆的过程中做出错误决策,可能导致转向不足、转向过度,甚至引发车道偏离(即安全隐患)的情形。
错误判断的概率将在两种条件下进行评估:
1.驾驶员未延迟接管(接管时间≤1.77 秒)且引发安全隐患(H),其数学表达式为:
2.驾驶员延迟接管(接管时间 > 1.77 秒)且引发安全隐患(H),其数学表达式为:
错误感知(FR):指驾驶员未能及时意识到需要接管车辆控制权,进而导致接管延迟,甚至引发车道偏离(即安全隐患)的情形。
错误感知的概率将在驾驶员延迟接管(接管时间 > 1.77 秒)且引发安全隐患(H) 的条件下进行评估,其数学表达式为:
为更直观地展示分析结果,本文绘制了图 2(概率树状图),呈现错误判断(MJ)与错误感知(FR)之间的关联。该图通过结构化的形式展示条件概率,有助于理解可预见误用各影响因素与成因之间的相互作用。
图2、错误判断(MJ)与错误感知(FR)的概率树状图(注:树状图顶层为错误判断的条件概率;第二层为基于接管时间是否超过 1.77 秒划分的两种场景;第三层为两种场景下是否引发安全隐患的情况;最底层为基于接管时间和安全隐患情况,得出的错误感知条件概率。)
(二)可预见误用评估指标(FMEM)
可预见误用评估指标(FMEM)将所有测试实例系统地分为四类:真阳性、假阳性、真阴性、假阴性。
本文参考文献,将用于评估自动驾驶系统识别和缓解可预见误用有效性的 FMEM 指标定义为:
指标定义:各类别具体定义如下:
· 真阳性(TP):存在安全隐患且驾驶员接管时间超过预设阈值时,自动驾驶系统准确识别并缓解可预见误用的实例。
· 假阳性(FP):无安全隐患,或驾驶员接管时间低于 / 等于预设阈值时,自动驾驶系统错误检测到可预见误用的实例。
· 真阴性(TN):无安全隐患,或驾驶员接管时间超过预设阈值时,自动驾驶系统正确判定无预见误用的实例。
· 假阴性(FN):存在安全隐患且驾驶员接管时间超过预设阈值时,自动驾驶系统未能检测到可预见误用的实例。
上述公式为自动驾驶系统的有效性计算公式,代表正确识别的实例(真阳性 + 真阴性)占所有评估实例的比例。其中,真阳性和真阴性代表系统响应与实际场景相符的实例(无论是否正确识别安全隐患);假阳性和假阴性代表系统响应与实际场景不符的实例。
(三)仿真应用的结果评估
表 4 为基于可预见误用仿真应用结果得出的示例性测试用例系列(TCS),因测试用例数量较多,本文未展示所有测试用例的仿真结果,仅通过该示例性表格演示测试结果的呈现形式。
TestManager 是 IPG CarMaker 中用于仿真测试用例(TC)的工具,支持测试用例的创建、执行和管理,并按顺序调用各测试用例,完成测试用例系列的执行。
测试用例包含多项参数,其中接管操作(TO)、延迟接管(DelTO)和安全隐患(H)为逻辑变量,取值为 0 或 1,各参数定义如下:
1. 接管操作(TO):该参数表示某一测试用例中驾驶员是否接管驾驶操作,取值 1 表示驾驶员完成接管。
2. 延迟接管(DelTO):该参数表示驾驶员是否在 1.77 秒及以上完成接管,取值 1 为延迟接管。该参数通过 “时间差 2” 计算得出,时间差 2 指系统发出接管请求的时间(固定为 7.96 秒)与实际接管时间(接管时间 2)的差值。例如,测试用例 1 中,驾驶员在 2.27 秒后完成接管,因此延迟接管参数取值 1。
3. 安全隐患(H):该参数表示某一测试用例中车辆是否发生车道偏离(即引发安全隐患),取值 1 为引发安全隐患。例如,测试用例 3、4、5 中该参数取值 1,代表车辆发生车道偏离。
4. 隐患时间 3(H t3)与时间差 3(delta T3):隐患时间 3 指某一测试用例中发生安全隐患的时间,时间差 3 指隐患时间 3 与实际接管时间(接管时间 2)的差值。例如,测试用例 3 中,隐患时间 3 为 11.1 秒,时间差 3 为 0.02 秒。
5. 方向盘角度(SWA):该参数反映驾驶员接管车辆时的转向输入,计算方式为驾驶员完成接管时(接管时间 2)的方向盘角度,与接管后瞬间最大转向输入的差值。
(四)仿真结果的分析
如测试要求表 3 的问题 10 所述,驾驶员应对包含系统限制和系统故障在内的驾驶场景的可能性,定义为 “可控性”。
本次仿真测试共执行 50 个测试用例,其中 22 个测试用例(44%)显示驾驶员具备可控性,即驾驶员接管后能够重新掌控车辆;28 个测试用例(56%)显示驾驶员不具备可控性,最终引发安全隐患。
表 5 为基于仿真结果的概率分析数据,展示了与驾驶员可控性相关的各类场景的发生概率,反映了不同驾驶条件下,错误判断(MJ)和错误感知(FR)等典型场景的发生可能性。
结合表 5 的概率条件,可计算出 4.1 节中的各项条件概率,结果如下:
错误判断(MJ)的概率:
1.驾驶员未延迟接管(TO ≤1.77 秒)且引发安全隐患(H):
这表明,在驾驶员未延迟接管且引发安全隐患的情况下,驾驶员做出错误判断的概率为 1.67 倍。
2.驾驶员延迟接管(TO >1.77 秒)且引发安全隐患(H):
这表明,在驾驶员延迟接管且引发安全隐患的情况下,驾驶员做出错误判断的概率显著降低,仅为 0.25。
错误感知(FR)的概率:在驾驶员延迟接管(TO >1.77 秒)且引发安全隐患(H)的条件下,错误感知的概率为:
这表明,在驾驶员延迟接管且引发安全隐患的情况下,驾驶员出现错误感知的概率为 100%,即该场景下驾驶员极有可能对驾驶环境产生误判。
需注意的是,上述计算得出的概率均针对特定条件,且基于本次仿真中有限的测试用例得出;该结果以 1.77 秒为接管时间阈值,若调整阈值,结果可能发生变化;此外,上述结果未考虑其他可能影响驾驶员行为的潜在因素。
本文提出了一套详细的评估策略,用于评估自动驾驶系统中可预见误用(FM)预防 / 缓解措施的有效性,核心采用条件概率分析(CPA)方法,聚焦错误感知(FR)和错误判断(MJ)两大可预见误用的核心成因与影响因素,并将该方法应用于一则与预期功能安全(SOTIF)相关的误用场景分析。
本次分析得出了不同驾驶条件下,错误判断和错误感知的条件概率,核心研究发现如下:在引发安全隐患的前提下,当驾驶员延迟接管车辆时,错误判断的概率显著降低;但在相同条件下,错误感知的概率仍处于较高水平。
尽管上述研究结果为自动驾驶系统的可预见误用评估提供了有价值的参考,但需明确的是,相关概率计算基于特定的误用场景和有限的仿真测试用例。该结果为后续深入研究奠定了基础,未来可结合实际驾驶场景进行调整与验证,同时需考虑接管时间阈值的变化,以及其他影响驾驶员行为的因素。
未来可从以下方向开展进一步研究:首先,需收集并分析实际道路驾驶数据,验证本次仿真测试的结果,在真实的驾驶环境中验证研究结论,对于准确理解可预见误用行为具有重要意义。
其次,需对接管时间阈值开展敏感性分析,探究阈值的变化对各类条件概率的影响,以获得更深入的研究结论。此外,还需全面研究驾驶员在车辆接管过程中的行为与认知过程,深入分析驾驶员疲劳、分心、驾驶经验等因素,及其对可预见误用发生概率的显著影响。
