作为未来智能驾驶的发展方向，关键技术的研究取得了重大进展。然而，由于近期无人驾驶事故频发，安全性能令人担忧。为了解决安全问题，提出了一种智能驾驶安全系统。该系统针对智能汽车感知、决策和控制方面的预期问题，实时提供安全分析和监控服务模块。基于预期功能安全的概念，对驾驶场景和系统安全进行分析和评估，以提高智能驾驶的安全性，有助于智能驾驶的发展。

1.介绍

智能驾驶汽车的驾驶行为高度依赖于操作系统的稳定性、智能性、安全性。

安全风险主要来源于以下三类：

硬件安全

与传统汽车相比，智能驾驶汽车不要求驾驶员直接控制车辆，而是将部分或者是全部的控制权限交由自动控制系统。硬件架构设置是否科学合理；各无人计算控制单元和控制器的设置是否完善；无人驾驶的传感器是否完善；车辆能够快速准确地获取道路环境信息，车辆运动感知和信息融合功能在无人驾驶车辆中起着决定性作用。

软件安全

与传统汽车相比，自动驾驶汽车的开发时间较短，技术开发仍不成熟，软件系统仍需要长期的可靠性分析。例如，著名的无人驾驶汽车制造商谷歌已经在无人驾驶汽车平台上进行了9年的封闭式测试，但测试时间不够，因素也相对很简单。因此，其安全性和稳定性仍需要长期监测。

环境安全

在人工智能算法的基础上，智能驾驶汽车能够实现自动避障和完成自动驾驶在一些较为复杂的道路上。然而，无人驾驶汽车仍然需要其他的交通参与者的正确驾驶来驾驶。只有当其他驾驶员做出正确驾驶的判断时，无人驾驶汽车的测试才会相应做出正确、合理的判断。

该论文在对无人驾驶事故和安全隐患的分析基础上，提出了自动驾驶汽车的预期安全系统。该系统可以进行监督、预测和保证智能驾驶车辆的驾驶状态，从感知、决策和控制等方面提高智能驾驶的安全性。

2.系统架构

智能驾驶离不开几项关键技术。在宏观层面，智能驾驶基于环境感知、路径规划和决策控制等核心技术。

结合上一段提到的几个关键技术，智能驾驶有了真正驾驶的技术支撑，而安全技术是自动驾驶汽车能否真正在公共道路上行驶的前提。2011年发布的ISO26262《道路车辆功能安全》国际道路车辆功能安全标准，为电子控制系统故障引起的安全风险提供了系统的解决方案。

由于自动驾驶汽车可以独立于驾驶员控制车辆的部分或全部行为，任何影响其感知、决策和执行的因素都可能构成车辆危险。根据不同的风险来源和所需的安全技术，比较分析见下表。

系统功能限制

主要原因是设计开发过程中的系统功能定义不能完全满足目标市场的使用要求。对目标场景的考虑不全面，导致系统无法准确识别环境要素；功能仲裁逻辑不合理，导致系统决策错误；执行机构响应不足，导致运动控制偏离预期。

• 环境干扰

自动驾驶受到路况、周边事物、环境天气等诸多因素的影响。如何克服环境干扰，可靠地执行环境工作行车识别、驾驶决策和运动控制是确保安全驾驶的关键。预期安全系统源于预期功能安全(SOTIF)的概念，旨在为智能驾驶的感知、决策和控制系统(执行响应)设计一种安全监管系统，以克服环境干扰，改善智能驾驶系统的局限性。建议的安全系统架构如下图所示。

该安全系统预计将分为三个基本模块：感知数据的处理、决策信息的确定和执行器响应的检测。首先，基于智能车辆传感器的感觉数据，进行多传感器分析和融合，重建当前的驾驶场景。通过分析驾驶现场，安全系统可以确定每个传感器的置信度，并根据传感器的置信度为智能汽车的决策和控制提供保证。

其次，决策信息的判断主要基于“安全熵”和安全系统的定量评价。最后，执行器响应的检测相对偏向于仿真和测试。对于已知情况，可以选择软件/硬件测试和车辆测试.

3.驾驶现场和系统安全

• 驾驶现场构建

要分析驾驶场景，构建场景数据库（如下图）是一个先决条件。针对不同的典型场景，通过采集真实驾驶员的驾驶数据，形式化并分析驾驶决策。智能车辆结合场景检索与识别，在保证各项功能的前提下，可以大大提高智能驾驶的安全性。

(本文提到的驾驶场景库由交通信号、道路属性、环境属性、时间构成)

因此，提出了一种对行车场景进行定性分析作为多传感器融合基础的行车场景构建方案。定性分析方法来源于自然语言中的知识提取算法。知识提取的过程可以概括为三个步骤。第一步是识别与本体（ontology）相匹配的概念、概念实例、属性和简单值;第二步是根据内容和本体定义，将识别出的三元组元素正确组合，构建正确的知识三元组;最后一步是基于本体对抽取的事实知识的有效性和完整性进行检验，删除无效知识和不完整知识，确保添加到领域本体知识库中的知识是有效的和完整的。例如，通过获取天气信息，如今天的雨天，结合已建立的用例库，可以推断激光雷达的置信度由于环境干扰而降低。因此，在这种情况下，激光雷达的权重应该相应地减少，以确保安全。

结合以上的定性分析，对驾驶场景的定量分析也是必不可少的。利用模糊数学中的基本概念，用公式定量描述驾驶场景。

其中V1表示交通信息，即交通灯、交通标志;V2表示道路信息，如道路材料、道路起伏、道路物体信息;V3表示自然条件，如雨、雪、雾、霾、空气流量、温度、湿度等;V4表示时间。

结合定性和定量的概念，分析各个因素的影响，并根据不同因素的组合实现自主驾驶决策。目前的决策方法大多过于单一，不能完全适用于复杂的社会环境。因此，场景信息不仅可以增强智能驾驶感知系统，还可以针对不同场景提供不同的驾驶策略，从而提高智能车辆的环境适应性和驾驶稳健性。

• 拓展安全熵

近年来，熵作为一个更笼统的概念被提出，熵的应用在深度和广度上都有了进一步的发展。预期功能的安全性（SOTIF）有望成为智能驾驶的研究热点之一。因此，提出了预期安全熵的概念。它可以定义为在熵权下智能驾驶车辆的各种预期功能因素（包括感知、决策、执行器等）的不确定性的总和。

对于安全系数，其安全性 可用于指示其执行安全功能的能力。安全程度可以从熵的角度来分析。它必须有一个与安全程度相对应的安全熵来表示安全因素的不确定性、混乱性和无序性。安全程度越大，其自身的不确定性（uncertainly）、混乱（chaos）和无序（disorder）就越小。安全熵是衡量安全因子本身混沌程度的一个度量，安全熵由安全性定义

定义安全系统的熵应该由环境∩车辆的概率状态来定义。假设环境处于异常安全状态是。

因此，系统的安全熵定义为

从熵的本质意义出发，熵是一个广义的度量。两种状态混合后，熵应该是两种状态对应的熵之和，即。

因此，。

安全熵和熵的概念是安全动力学研究的基础，可以作为解释安全系统稳定性和判断安全系统是否不稳定的判据。可见，所定义的安全熵概念符合广义熵的性质，从而为安全系统的安全熵和其他领域的熵提供了桥梁。

4.未来发展

安全是汽车行业发展的永恒主题。通过分析环境和车辆因素对自动驾驶的安全影响，解释风险的来源和发生机制，并提出对策。通过充分考虑安全风险的来源，系统地实施功能安全、信息安全、SOTIF等安全技术，可以确保自动驾驶实现整体安全，相关自动驾驶汽车实现规模化应用。

提出的自动驾驶汽车的预期安全系统是基于国际上正在实施的 SOTIF 技术标准的发展。该国际技术标准是首个自动驾驶汽车安全技术标准，对自动驾驶汽车系统安全技术的开发和验证具有重要的指导意义。