自主代客泊车系统预期功能安全测试方法研究白皮书
AI智能总结
白皮书 SOTIF-自主代客泊车系统任务组CAICV-智能网联汽车预期功能安全工作组2025年10月 目录 第1章AVP预期功能安全概述.........................................2AVP预期功能安全研究背景及意义................................2AVP预期功能安全研究现状......................................3研究内容......................................................7第2章AVP功能定义及风险识别与危害分析.............................9AVP系统定义..................................................9风险识别与危害分析...........................................18第3章AVP预期功能安全场景搭建研究................................36AVP场景分析.................................................36场景库构建...................................................53SOTIF场景设计...............................................59第4章AVP系统预期功能安全测试体系研究............................77测试方法.....................................................77模拟仿真测试.................................................91封闭场地测试................................................100开放停车场测试..............................................108第5章AVP系统预期功能安全评价体系研究...........................114AVP系统预期功能安全评价接受准则............................114评价体系研究................................................114附录A不安全控制行为识别列表....................................130附录B潜在危险事件列表...........................................132附录C致因场景列表..............................................143参考文献..........................................................151 第1章AVP预期功能安全概述 AVP预期功能安全研究背景及意义 现如今以智能网联汽车为载体的人工智能、5G通讯、大数据、云计算等技术,赋予了车辆前所未有的洞察力与智慧,与此同时无论汽车如何更新迭代,安全性仍应是车辆最重要的性能。传统车辆的安全性主要考虑主动安全和被动安全,对于智能网联汽车来说,其安全性主要集中在功能安全、预期功能安全(SafetyOf The IntendedFunctionality,SOTIF)和信息安全三个方面。其中,预期功能安全问题来源于自动驾驶系统的性能局限、功能不足,以及合理可预见的人员误用。 随着更高阶智能网联汽车的发展,预期功能安全问题暴露度逐渐升高,诸如某品牌车辆在智驾系统操控下追尾前方作业中的工程车辆,导致车辆碰撞起火,此类因智驾系统引发的交通事故已为众矢之的,见图1.1-图1.2。 为提高智能网联汽车的安全性,国际标准化组织(ISO/TC22/SC32/WG8)启动了ISO 21448[1]的研究工作,ISO 21448将预期功能安全定义为“不存在功能不足相关的潜在危害行为导致的不合理的风险”。该标准将驾驶场景分为已知安全、已知不安全,未知不安全和未知安全4类场景,目标是通过保持或最大化安全场景的范围,最小化不安全场景的范围,提高智能网联汽车的安全性。 自主代客泊车系统(Automated Valet Parking,AVP)被认为是最有商业应用和量产前景的自动驾驶系统。AVP的SOTIF研究,一方面是对功能安全的补充,通过挖掘感知、决策和执行系统的性能局限及不足构建致因场景,优化测试标准,构建评价指标;另一方面是对AVP设计运行域(Operational Design Domain,ODD)、功能定义的完善,基于测试结果,迭代优化系统能力,明确功能边界,提升系统的安全性与用户满意程度。 由此,本报告以AVP为载体,依托ISO 21448所述方法,完成SOTIF的分析及应用。本报告阐述了针对SOTIF的未知性,如何高效系统地识别AVP在SOTIF层面的隐患以及致因场景,同时如何通过合理的测试评价体系验证AVP在SOTIF层面的安全程度。 AVP预期功能安全研究现状 1.2.1AVP技术研究现状 随着中国汽车市场的持续增长和消费者对泊车便利性及安全性的追求,自动泊车功能在智能驾驶汽车中的需求日益显著。调研显示,约60%的用户在泊车上存在“停车难、取车难”等痛点[2]。泊车过程中由于驾驶舱内视角受限,对后方和侧方的车身周围情况无法直观把控。同时,泊车过程需要进行倒车、大角度转向等操作,稍有不慎便会有磕碰产生,造成财产损失,甚至安全事故。美国密歇根大学交通研究所针对交通事故数据库和保险公司事故库统计资料的研究表明,泊车导致的事故占到各类事故的44%,其中,大约1/2到3/4的泊车碰撞是倒车造成的[3]。随着城市停车资源的日益紧张,驾驶员在狭窄的停车位内停车的难度也在不断增加,自动泊车技术的出现无疑为驾驶员们带来了福音,该技术的普及与应用,一方面缓解了停车难的问题,另一方面极大地提高了停车的效率和安全性。 根据驾驶员、车辆、目标车位的位置关系,汽车制造商将泊车系统分为自动泊车辅助(Auto Parking Assist,APA)、遥控泊车(Remote Parking Assist,RPA)、记忆泊车(Home-zone Parking Assist,HPA)和自主代客泊车(Automated ValetParking,AVP)四类,详见表1.1。 APA是各大汽车厂家应用在汽车上最基础的泊车功能,与手动停车相比,提高了驾驶员在泊车时的安全性,能有效避免由于驾驶水平导致的交通事故[4],但尚未实现全智能化,仅适合简单的泊车场景。开启APA后,驾驶员需要留在车 内,按照泊车辅助系统的操作指示进行操作,直至系统自动控制方向以完成泊车。 一般来说,RPA是在APA基础上加入了与驾驶员通讯的车载蓝牙板块,提供更高级的便利性,不需要驾驶员坐在车内监控汽车的泊车过程,仅需要在车外观察,驾驶员直接通过智能手机等设备进行遥控操作即可完成泊车,它的诞生解决了停车后难以打开自车车门的尴尬场景。 相比RPA,HPA系统通过自主学习、记录用户常用停车地点及泊车行进轨迹,构建泊车环境的特征地图[5],当车辆再次驶入停车场的建图范围,调用存储路线,便可行驶到车位附近并且泊入。 相比前三种泊车功能,AVP是真正意义上的自动驾驶,搭载AVP系统的车辆可以自行进入完全陌生的停车场,不需要先行学习,就能完成所有的泊车动作,并且不需要驾驶员在车上,因此AVP成为解决最后一公里自动驾驶问题的有效手段。该系统在应用场景中具备相对较高的安全性,被认为是最有商业应用和量产前景的自动驾驶场景之一[6]。 AVP系统是指用户在停车场指定下客点下车,通过手机APP下达泊车指令,车辆在接收到指令后可自动行驶到停车场的停车位,不需要用户操纵与监控;用户通过手机+APP下达取车指令,车辆在接收到指令后可以从停车位自动行驶到指定上客点,图1.3所示为AVP功能全流程, 1.2.2SOTIF研究现状 SOTIF是道路运行安全的关键组成,与智能网联汽车的电子电气系统和智能算法强相关。由于系统自身设计不足或性能局限,在其配备的各个元件未发生故障或失效时,也有可能导致非预期危害行为的发生,国际标准ISO 26262[7]覆盖的故障性风险造成的功能安全问题分析已无法完全满足当前系统的安全保障需求。 因此,为解决因自身设计不足或性能局限导致的整车危害行为问题,国际标 准ISO 21448出台,该标准将驾驶场景分为已知安全、已知不安全,未知不安全和未知安全4类场景,而SOTIF的目标是最大化已知安全场景,同时最小化已知不安全和未知不安全场景如图1.4所示。 关于自动驾驶系统SOTIF的研究,2011年Leveson[8]提出基于系统理论过程分析方法(System Theoretic Process Analysis,STPA),将SOTIF定义为一个控制问题,把危害归结为控制器和被控制过程之间的相互作用失效导致的,识别出可能导致危害发生的不安全控制行为(UnsafeControl Action,UCA)和不安全控制行为原因。 联合国自动驾驶验证方法工作组提出自动驾驶的评估测试框架,以多支柱法为核心建立可重复、客观和可循证的框架说明自动驾驶的安全性,并将预期功能安全作为重要要求之一;国际标准化组织联合多家企业发布了自动驾驶标准ISO/TR 4804[9],提供产品安全评估、监管和协作标准,并在其中确定预期功能安全设计流程;吴思宇等[10]构建一种将关键场景设为载体,封闭验证和开放论证双闭环的测试验证框架,并综合论述关键场景构建技术,建立接受准则的量化方法;罗崎瑞等[11]运用模糊推理,建立场景模糊等级,按照决策函数计算智能汽车预期功能安全场景的评价值;陈浩等[12]考虑自动驾驶车辆SOTIF场景的不同测试标定要求和侧重,提出一种基于行车安全场理论的SOTIF场景风险评估方法;白先旭等[13]采用STPA的方法对AEB系统控制模块进行安全分析,并建立AEB系统SOTIF评价体系。目前,AVP的SOTIF研究主要集中于定性分析,虽然能够分析系统的性能不足和可能导致的危害行为,但不能量化由于性能不足所导致的危害行为风险的大小与系统SOTIF性能的优劣。 1.2.3AVP-SOTIF标准研究现状 由于AVP系统接口方案不统一、车辆与停车场匹配度低等行业共性问题,AVP技术的落地应用面临诸多挑战,因此,建设自主代客泊车标准体系,有利于打通企业壁垒,建立统一的安全技术要求,推动自主代客泊车的广泛应用。 国际标准ISO 21448于2022年6月发布,旨在解决因预期功能不足或合理预见的人员误操作而造成的车辆危害行为,立足对自动驾驶安全影响更广泛的非故障安全领域,重点关注自动驾驶汽车的行为安全,解决因自身设计不足或性能局限在遇到一定的触发条件(如环境干扰或人员误用)时导致的整车行为危害。 AVP国际标准的出台,反映了国际先进水平,具有技术的先进性、完整性和实用性。通过采用国际标准,企业能及时了解国际上先进的生产技术,有利于确定科技攻关方向,提高产品质量和技术水平。国际标准ISO 23374[14]于2023年7月发布,针对AVP系统框架及功能要求、通信接口进行介绍,该标准规定了L4级自动驾驶AVP系统框架、车辆自主运行功能的要求、对车辆管理功能的要求、停车设施环境的要求、整个系统运行的要求及车辆运行的测试场景。 AVP团体标准的出台,一方面对产品的质量提出了更高的要求,规范行业秩序,促进技术创新和品牌形象塑造,提升产品的市场竞争力;另一方面,更加关注消费者的权益,能够提升消费者对产品的信任度和满意度,增强市场
