摘要
借助高级别自动驾驶(HAD),驾驶员可以从事与驾驶无关的任务。在系统出现失效的情况下,驾驶员应该合理地重新获得对自动驾驶车辆(AV)的控制。不正确的系统理解可能会引起驾驶员的误操作,并可能导致车辆级的危害。ISO 21448预期功能安全标准(SOTIF)将误用定义为驾驶员以系统制造商不希望的方式使用系统。可预见的误用(FM)意味着基于对系统设计和驾驶员行为的最佳理解而预期的系统误用。这是提出基于仿真的FM测试的潜在动机。关键挑战是对SOTIF相关误用场景进行仿真测试。横向导航辅助系统(TGAS)是为HAD建模的。本文中TGAS被称为“系统”,驾驶员是系统的人工操作员。本文的重点是实现允许驾驶员与系统之间进行交互的驾驶员车辆接口(DVI)。使用驾驶模拟器实施和测试派生的误用场景,通过为驾驶员提供有关系统功能和状态的明确信息,使驾驶员可以方便地感知、理解和根据信息采取行动,从而确保系统的合理使用。
1.简介
在HAD中,纵向和横向车辆引导由系统控制。但是,当系统达到其操作极限时,人类驾驶员(HD)(SAE J3016分类中称为备用用户)需要在合理的时间内重新获得驾驶控制权。每当系统无法处理其运行设计域(ODD)内的情况时,系统就会发出接管请求(TOR)作为通知,指示HD立即执行驾驶任务。
自动驾驶(AD)中的过渡是在HD和系统之间转移责任和驾驶控制的过程和阶段。转换可以是功能的激活或停用,也可以是从一种驾驶状态到另一种驾驶状态的改变。根据SAE J3016分类法,当系统在其ODD范围内运行时,驾驶员没有主动角色或驾驶责任。从事与驾驶无关的任务会使驾驶员处于循环之外,这会导致在接管情况下返回手动驾驶(MD)时误用。
为确保从AD到MD的平稳过渡,TOR必须通过精心设计的界面呈现。因此,必须研究驾驶员-车辆接口(DVI)设计对驾驶员与系统之间交互的影响,简称为驾驶员-系统交互(DSI),以便驾驶员可以重新获得对HAD的控制,同时阻止误用。图1描绘了驾驶员与系统的交互,以及与自动车辆(AV)的接口方面的结合的图形表示。SOTIF标准中的关键主题之一是FM,这是人机工程的重要考虑。应该注意的是,本文侧重于驾驶员的FM,并且作为测试的一部分,考虑了HAD过渡期间的人为因素,而不是相反。
图1:驾驶员与系统和AV的结合:交互和界面
本文中考虑的FM因素是驾驶员的识别和判断。因此,驾驶员的错误识别和误判是FM的原因。本文中提到的上述因素和原因在ISO 21448的信息性附录B中被称为人为误用过程和引导词。错误识别类似于感知错误,其中驾驶员对环境的感知不同于现实。误判类似于决策错误,驾驶员在给定情况下决定采取不正确的行动。
本文第2节涉及与SOTIF相关的滥用场景的描述。第3节概述了实施基于仿真的FM测试的策略。第4节介绍了使用驾驶模拟器的实现并详细说明了结果。最后,第5节提出了结论性意见。
2.SOTIF相关的误用场景
SOTIF相关的误用场景可以从获得的知识和头脑风暴中推导出来。ISO 21448中提供了系统地推导SOTIF相关的误用场景以支持系统安全分析的方法。图2中所示的场景推导将驾驶员暴露在需要横向引导的情况下,这种情况由高速公路环境中的自车的横向和纵向机动形成。本文中的自车定义为配备TGAS的AV。整个场景分为三个操作:
–从右车道变道到左车道
–从左车道超车
–从左车道变道到右车道
图2:高速公路变道场景
表1概述了本文中考虑的衍生SOTIF相关误用场景,符合ISO 21448附录B中给出的示例方法。影响与FM相关的车辆级危险的DSI,即车道偏离,被认为是推导与SOTIF相关的误用场景。接管定义为人类驾驶员(HD)与系统之间的驾驶控制权转移。转向不足意味着驾驶员未能为自车提供足够的转向输入以跟随车道。
表1:SOTIF相关误用场景的描述
3.基于仿真的测试
图3中描述的策略,按系统顺序描述了对表1中描述的与SOTIF相关的误用场景,执行基于仿真的测试的步骤。根据第2节中给出的描述,场景和操作是使用IPG CarMaker建模的。TGAS通过在建模场景中提供横向和纵向控制,来执行自车的AD。当系统达到其操作极限时,它通过发布TOR通知驾驶员。在HAD中,驾驶员在操作极限和相应的TOR下进行接管不是强制性的。预计该系统将保持运行,直到驾驶员能够重新获得控制权。
图3:基于仿真的测试
驾驶员可能无法在指定的接管时间内接管驾驶控制,并且FM是预期的,将错误的能力归因于系统。这可能导致车辆偏离车道,作为车辆级危害处理。如果发生TOR,驾驶员不会接管驾驶任务,系统将过渡到功能减少的AD。随后,系统执行最小风险机动(MRM),以将自车保持在其车道内,并以安全的方式自动将自车停在路边。司机可能会被要求在MRM结束时接管。
4.实施与结果
基于仿真的测试是使用驾驶模拟器进行的,如图4所示,允许驾驶员在仿真测试环境中控制自车。
图4:驾驶模拟器
驾驶模拟器配备硬件工具(Logitech G29-方向盘、踏板、变速箱)与仿真工具(IPG Car Maker)集成。使用驾驶模拟器确定驾驶员应对包括操作限制和系统故障在内的可能驾驶情况。图5中所示的驾驶员车辆接口(DVI)旨在整合驾驶员与系统之间的交互。DVI设计与提供的设计指南一致。
图5:驾驶员车辆接口(DVI)的实现
基于有关HAD中自动接管请求设计的文献研究,从程序、时间和模式等不同方面,TOR通过设计的DVI上的听觉警报和视觉通知的组合来提示。HD通过按下驾驶模拟器方向盘上的按钮来接管驾驶控制。可以想象,HD可能会参与FM,特别是如果HD确信HAD运行实际上完美无缺,能够采取安全的驾驶操作来防止驾驶环境中的车辆级危险。
当前实施的一个限制是使用的是静态驾驶模拟器,其中无法体验运动触觉。然而,实施的DVI通过向驾驶员提供同步的听觉警报和视觉通知,以及有关系统功能和操作状态的支持信息,更容易将驾驶员的工作量保持在可接受的水平。
5.结论和未来工作
当使用高度自动驾驶(HAD)行驶时,允许人类驾驶员(HD)从事与驾驶无关的任务。预计系统误用的可能性更高。本文概述了SOTIF标准中描述的SOTIF相关误用场景以及可预见误用(FM)的概念,并演示了为实现由系统启动的HD和系统之间的切换而产生的基于仿真的FM测试策略示例。应该注意的是,第4节中所示的实施旨在演示基于仿真的FM测试方法,而不是专门用于缓解FM的独特或最佳措施。本文的重要性在于它通过结合DVI和DSI的概念,增加了对影响FM的因素和原因的理解,并将其应用于与SOTIF相关的误用场景。
基本前提是合并和管理所有驱动程序和系统交互。基于仿真的测试方法被应用于调查驾驶员导致FM的因素并减轻其原因。本文简要描述了DSI和DVI的结合以解决FM,但尚未进行评估。考虑到HAD中HD接管的各个方面,未来工作的下一步将是表征和量化DSI。分析驾驶员不当交互的系统规范是一项头脑风暴任务。还有一种可能的分析方法是系统理论过程分析(STPA),其目的是在没有系统失效的情况下识别危害的相互作用。建议在未来的工作中通过STPA识别影响FM的因素,以及针对所描述的与SOTIF相关的误用场景采取缓解措施以防止FM。所提出方法的应用是展示DVI和DSI的概念,如何与FM相互关联。可以就如何采用DVI设计、TOR呈现方式、驱动器与系统的不当交互来应对可能影响HAD功能的风险挑战提出建议。