内容提要：在本文中，通过ISO/PAS 21448标准涵盖的场景，介绍了一种克服编队行驶中可能发生的意外情况的方法。特别是利用编队运行模拟器VENTOS，确认了本文提出的方法可以达到安全编队运行的目标。

摘要

多辆自动驾驶汽车编队行驶是未来高速公路交通系统的关键技术。考虑到这种编队行驶中各种场景下可能发生的安全性问题比单车自动驾驶更困难。新标准ISO/PAS 21448已经颁布，可以指导在编队行驶的各种安全风险因素中提高自动驾驶车辆的安全性以防止意外运行。在本文中，通过ISO/PAS 21448标准涵盖的场景，介绍了一种克服编队行驶中可能发生的意外情况的方法。特别是利用编队运行模拟器VENTOS，确认了本文提出的方法可以达到安全编队运行的目标。

1.简介

在不久的将来，许多自动驾驶汽车将实现商业化并上路行驶。许多公司都在努力开发与自动驾驶相关的技术，与此同时，对编队驾驶的研究也在积极进行。编队驾驶是多辆自动驾驶汽车编组行驶的技术，是未来高速公路自动化技术的重要轴心。编队行驶技术通过V2V（Vehicle to Vehicle）通信相互交换驾驶信息，具有增加道路交通量、降低能源消耗、减少污染物排放等多种优势。

根据未来道路环境的变化，正在制定各种标准以确保安全。ISO 26262于2011年发布，是指导车辆功能安全的标准，2019年1月发布的ISO/PAS 21448、SOTIF（Safety of the Intended Functionality）标准提出了减少ISO 26262标准中未涉及的性能约束、环境影响等可能产生的风险的方法。在本文中，根据ISO/PAS 21448标准中提出的威胁因素，定义了编队行驶中的危险场景，并在此基础上增加了安全的编队行驶安全对策，生成了安全场景。通过使用编队运行模拟器VENTOS（VEhicular NeTwork Open模拟器）模拟危险场景和安全场景，确认了编队运行的安全性。

2.相关研究调查与分析

2.1 ISO/PAS 21448标准

ISO/PAS 21448标准制定的目的是将车辆自动驾驶情况下可能发生的已知危险（Known Unsafe）情况和未知危险（Unknown Unsafe）情况转换为已知安全（Known Safe）情况，以提高安全性。为了达到这一目的，ISO/PAS 21448标准中提出的SOTIF活动如下：

（1）从功能和系统规范中识别SOTIF相关风险并评估风险

（2）识别和评估风险情景中的触发事件

（3）定义验证和确认方法

（4）SOTIF风险因素验证

（5）设置发布（Release）方法和条件

（6）修改功能以降低风险并反映需求说明

2.2 VENTOS模拟器

VENTOS是美国加州大学戴维斯分校研究小组为模拟编队行驶而开发的开源模拟器，由道路行驶模拟器SUMO和网络模拟器OMNET++结合而成。

利用VENTOS，可以模拟使用V2V通信执行加入、分离、脱离等编队策略的编队运行。但没有考虑行驶过程中可能发生的威胁因素。

2.3先行研究

与ISO/PAS 21448标准和编队行驶安全相关的研究越来越活跃。有研究人员从SOTIF的角度研究了处理风险情景识别的集成体系，还有研究人员提出了ISO 26262标准和ISO/PAS 21448标准的集成方案，以跟踪要求并生成安全方案。此外，另有研究人员还提出了通过缓解通信延迟来改善编队行驶安全性的方法（参考资料1，关注牛喀网微信公众号，后台咨询下载）。

3.编队行驶方案

出于本研究的目的，ISO/PAS 21448标准中考虑的由驾驶员故障和周围环境引起的风险场景定义如下。

3.1场景定义

如图（图1）所示，五辆自动驾驶汽车在高速公路A路线上列队行驶。

（图1）模拟地图和车辆群

组成编队的五辆车具有不同的减速性能，其组成如下《表1》所示。

<表1>编队的车辆配置

编队车辆V.3的司机突然想去另一个目的地。但通往相关目的地的出口仅在前方200米处。驾驶员判断正常程序来不及改变车辆路线，擅自启动紧急手动驾驶模式以备不时之需。获得车辆控制权的驾驶员变道，向路径B行驶。此车辆V.3的行为在<表2>中定义。不久之后，编队领头的车辆检测到前方发生故障的车辆并刹车停止。

<表2> 车辆V.3行为的仿真时间定义

3.2 危险场景的执行结果和分析

使用VENTOS模拟器对3.1节中定义的场景进行了模拟，结果显示，在沿着编队领头车辆的编队后续车辆停止的过程中，车辆V.4与车辆V.2相撞。模拟场景如（图2）所示，说明如下。

（图2）危险场景：模拟时间场景

（A）五辆车在编队中行驶。车辆V.3具有较低的制动性能，因此比其他车辆具有更大的安全距离。

（B）车辆V.3启动紧急手动驾驶模式，脱离编队驶向路径B。

（C）车辆V.4由速度决定算法加速，以保持一定的前方车辆间隔。

（D）在编队领头车辆的前方出现因故障而停止的车辆。

（E）车辆V.4没有充分减速，与车辆V.2相撞（用白色圆圈表示）。

（图3）危险场景：车速和前方车辆间距

在（图3）的图表中，可以确认风险场景中每辆车的移动。可以看出，车辆V.2和车辆V.4的速度由于在68.4秒发生的碰撞而变为0m/s。在前车距离图上，车辆V.3的前车间距为-1m，这意味着由于在40.1秒时变道而没有前车。

3.3在危险情况下应用SOTIF活动

对于3.1节中定义的风险场景，应用基于ISO/PAS 21448标准的SOTIF活动时：

(1)危险源辨识与风险评估：在编队行驶过程中，未经授权的离开车辆导致的错误信息交换降低了编队的安全性，从而导致碰撞。碰撞可能具有非常高的风险。

(2)触发事件的识别：尽管编队成员在突然转换为手动驾驶后未经授权离开，但编队组成没有改变。

(3) V&V方法的定义：找出碰撞原因并制定解决碰撞的安全措施。然后，当应用既定对策时，测试是否可以防止碰撞。

(4)SOTIF验证：通过测试，检查所采用的安全措施的残余风险，评估是否达到可接受的水平。

(5)设置“发布”（Release）条件：如果在编队成员未经授权的情况下改变编队组成，则SOTIF活动将终止，可以防止碰撞。

(6)修改功能和反映规范：将通过SOTIF活动获得的安全措施应用到编队中，并反映在系统规范中，将危险场景转化为安全场景。

3.4分析危险情况的原因并制定安全对策

在危险情况下，车辆V.4和车辆V.2的碰撞原因通过速度决策算法的分析得到了确认。确认的碰撞原因如下：

编队车辆将自己的速度、通过车辆自身传感器获得的前方车辆间距，以及通过V2V通信获得的前方车辆当前速度、当前加速度、最大减速性能用于自己的速度决策算法。车辆V.4在车辆V.3脱离的情况下，在通信到达距离内继续接收车辆V.3的信息，并将其视为自己前方车辆的信息，反映在自己的速度决策算法中。在随后发生的制动情况下，车辆V.4的实际前方车辆是车辆V.2，但基于车辆V.3的制动性能来决定制动时机，结果发现具有更高制动性能的车辆V.2比车辆V.4的预期停止得更快，发生了碰撞。

这种紧急手动驾驶模式导致的擅自离开编队，可能会错误地使用编队组成车辆相互之间传递的信息，从而损害行驶编队的稳定性，并引发意想不到的危险情况。因此，在系统需求明细中，需要对编队擅自离开的情况下的编队配置变化的认知和编队配置信息的更新。为了消除或尽量减少这种危险性，基于上述已确认的原因，我们设计了以下安全对策。

安全对策1：如果司机切换到紧急手动驾驶模式并脱离编队，则使用V2V通信将脱离事实转交给其他编队车辆。如果发生脱离编队的车辆，编队领头车辆将通知剩余的编队车辆更新编队配置信息。

安全对策2：在编队行驶中，如果自己的前方编队车辆启动了紧急手动驾驶模式，为应对突发情况，增加前方车辆间隔。另外，将使用车辆自身的传感器获取的速度信息用于自己的速度决策算法，而不是通过V2V通信接收到的前方车辆的速度信息。

将上述两种安全对策应用到编队行驶方案中，进行了提高安全性的SOTIF活动，进而修改并实现了VENTOS模拟器的源代码。

4.结果分析与评价

4.1安全方案的实施结果和分析

实施安全对策后，按照3.1节中定义的方案，使用VENTOS模拟器进行模拟，结果安全对策起到了适当的作用，可以防止在危险情况下发生的碰撞事故。模拟场景如（图4）所示，说明如下。

（图4）安全场景：模拟时间场景

（F）车辆V.3改变车道后，编队配置信息更新。

（G）车辆V.3驶向路径B，车辆V.4加速以缩小前方车辆间距。

（H）再次稳定地编队行驶。

（I）在前方故障车辆发现后的制动情况下，所有车辆安全停止。

（图5）安全场景：在车速和前方车辆间距（图5）的图表中，可以查看安全场景中各车辆的运动。实现的安全算法发挥了适当的作用，实现了稳定的编队运行。特别是在37秒时，车辆V.3启动了紧急手动驾驶模式，车辆V.4通过V2V通信一经识别，就可以看到安全对策2先发制人地减速，确保安全距离。

4.2评估安全方案的结果

由于应用于安全场景的安全措施排除了碰撞原因，并为编队的异常出发做好了准备，因此可以评估该场景中的残余风险已不存在。由于这满足SOTIF活动中定义的终止标准，因此它反映在需求规范中以实现安全列队行驶的目标。

也就是说，最初的风险情景是未知的风险情景，经过原因分析后转换为已知的风险情景，最终通过SOTIF活动转换为已知的安全情景。

5.结论及未来研究

本文定义了自动驾驶车辆编队行驶过程中发生的威胁因素导致的场景，并对威胁因素采取安全对策，进行了确保编队行驶安全性的研究。

特别是，作为编队行驶的威胁因素，设定了ISO/PAS 21448标准中提出的驾驶员误操作及周边环境因素，定义了风险情景。另外，通过对该场景中发生的威胁因素的安全对策设计及系统应用，将风险场景转换为安全场景。通过使用VENTOS编队行驶模拟器模拟上述过程，确认安全对策设计得当，可以从相关威胁因素中实现安全的编队行驶。本文的这些研究结果将有助于开发安全的编队行驶技术，使其免受各种危险情况的影响。

在未来的研究中，我们将研究在编队行驶环境中同时出现多个威胁因素时，如何为应对威胁因素赋予优先级，以及如何在实时约束内快速应对威胁。

详询“牛小喀”微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！