SASETECH
建立安全生态圈,成为汽车安全的布道者
进入主页添加星标,第一时间获得消息⭐
原创
驾驶员的关注力与智能驾驶系统关联性探讨
在高阶智能驾驶发展历程中,驾驶员状态监控系统应如何设计才是安全的?从国家层面定义了《加强组合驾驶辅助准入与召回管理》的要求提到“保障驾驶员始终执行相应的动态驾驶任务和对系统的安全可控” “对于行车辅助控制功能,系统具备评估驾驶员持续参与驾驶任务的必要技术措施,检测驾驶员是否脱离驾驶任务,保障驾驶员始终执行相应的动态驾驶任务。”“产品可在任何时候向驾驶员提供安全干预或退出系统的方式。在系统失效、达到系统边界等情况下,考虑驾驶员的反应时间,降低碰撞风险,保持驾驶员对系统的可控性。”“驾驶员状态监测的技术措施:运动控制脱离、视觉脱离、其他”。
这些定义均未对具体怎么设计、用哪些部件组合设计等进行设计定义,故而,灵活性是足够了,就是争议性也存在了,各家企业都可以对自己的设计方案表示自我认可和具有可解释性。
➡本文主要内容(约2400字,13分钟阅读,先收藏⭐后阅读)
01.
当前常规的技术措施的现状
驾驶员状态监测系统从R79中已定义的方向盘脱手报警检测技术就已经是最基本的方案之一,到后续出现的DMS驾驶员脱眼报警监测出现,应用2种组合进行设计,是一种常用方式。从功能的常用组合上,争议最多的是:
问题1:驾驶员没脱手的情况下,DMS分神是否需要报警?
要。因为眼睛和驾驶员的手势不是一回事,看不见又怎么可能知道风险和控制方向盘呢。
问题2:驾驶员脱手的报警时间有R79可参考, DMS分神的报警时间应该如何定义呢?
严谨的设计可以保留Euro-NCAP的同等要求,不大于3秒。因为分神时间里系统相当于仅依靠ADAS系统进行了驾驶的安全控制,若在此期间遇上cornercase的情况,确实无法修正车辆。但实际因为有了ADAS的辅助,并且越智能,越认为可以加长报警时间。但建议最长也不能大于5秒。
问题3:驾驶员脱手和脱眼报警的功能如果坏了,而无法检测,要考虑吗?即是否需要功能安全的对应设计?
需要。本处的设计有多种分配和组合方法,首先从总的安全目标分解来看,故障检测归属于功能安全,功能没能正确的识别到驾驶员情况表现性能不佳属于SOTIF。然后,驾驶员自身发生这种不能执行动态驾驶任务的概率取决于驾驶员的自身情况。即,对于严谨驾驶员,从不分神,百分百的集中精神 开车,那就实际并不影响。故,本问题由第2点进行详细论证。
问题4:驾驶员脱手检测在智能驾驶高阶功能中是否还有意义?有了脱眼检测是需要的,那手一直放着也很累,是否可以取消脱手检测?
根据驾驶员从手自由状态回位到方向盘上,并可以感知到车辆状态情况而做出相应的控制的这段时间的要求进行明确。故,本问题由第3点进行详细论证。
02.
关于DMS的产品设计需求的论证
通过对驾驶员状态监控设计需要的解答,相应提出详细的技术方案设计要求论证,分如下五步进行说明:
第一步:论证驾驶员的分神和疲劳的发生概率分布?
引用 “Effects of partially automated driving on the development of driver sleepiness“一文中,在瑞典的一条高速公路上对 89名司机(36名女性和53名男性)参与了这项研究警觉和昏昏欲睡的司机进行现场实验,得出:部分自动化对白天(完全睡眠后)的疲劳影响不大,部分自动化导致夜间嗜睡增加(睡眠不足)。疲劳状态通常在高度自动驾驶后的 20-40 分钟内达到,50 分钟后,这会影响接管性能。在另一项模拟器研究中,20 名参与者在六车道高速公路上行驶 42.5 分钟,发现在部分自动驾驶期间,在瞳孔直径减小、眨眼频率增加、眨眼持续时间延长和走神增加方面存在被动疲劳的迹象。
本处按50分钟疲劳一次的发生概率同等到里程上,假设按100km/h的速度,得出约80km发生一次。
第二步:论证智能驾驶中的需驾驶员干预的场景的发生概率分布?
这里的驾驶员干预的场景就是可能产生风险的未按安全行驶的要求自动化进行的部分,也可以对应到接管率,按市场上各产品的接管率水平来看,有早期的100km接管一次,到1000km接管一次,取决于各企业产品的开发智能化能力。对此,不同ADAS功能需要让用户有明确的接管频率认知,方可进行合理的风险规避需要的严谨对应要求。本处为考虑疲劳的发生配合更高阶的智能驾驶,假定取1000km发生一次。
第三步:论证功能安全的整体安全目标分解关系如何?
按总体的驾驶员不可接管车辆为ASILC或D(S2/3、E3/4、C3),因为每天开车是有可能发生的,假设按ASID进行总体安全目标设计,分解主要因素有2个:1)智能驾驶的控制能力达ASILB;2)驾驶员的监测应急处理能力达ASILB;取这二者“与”可以满足总体安全目标。
第四步:论证SOTIF的风险是否可接受?
按如上第一和第二步分析数据情况,将智能驾驶的系统控制能力和驾驶员的监测应急处理能力简化假设为2个独立事件,2者组合发生才会产生危害,那么,危害的发生概率为(1/80)*(1/1000),总体得到1.25*10-5,这个发生概率需要有DMS的报警加持才能进行风险接受。按ASILD的组合概率,要求DMS性能指标满足(1*10-8)/(1.25*10-5),约为1*10-3,即,在10000次检测疲劳或分神情况下,需要少于10次的没检测到而不能正确的报警输出。
第五步:论证功能安全是否需要ASIL等级对应DMS设计?
按如上的概率论,若产品能达到假设数据,是不需要等级的,但有失效检测要求,即,要求小于1*10-3的故障诊断不到而不能正确的报警输出。但若是100km就需要驾驶员接管一次的风险发生情况的智能驾驶系统,DMS相应要提升,同理进行相应的功能安全等级设计。
03.
关于Hands on的产品设计需求的论证
通过对高阶智能驾驶功能(适用L2及以下功能)的发展,尽管脱手监控已经不足以解决驾驶员注意力不在控制车辆的问题,但对于接管时间方面,脱手监测有论证是否需要应用的基本条件,对于可控性在横向的幅度控制上,因受限于通过性的增大必要横向响应能力的要求,不能被约束而影响ADAS全程控制车辆通过性的用户体验要求,又因横向若出现非预期的ADAS控制动作,驾驶员应对修正车辆的执行能力而要求最小的危害规避操纵时间是固定的,带来大多数场景不能从脱手状态下抢控车辆,而需要保留hands on的驾驶员监测。
蛟龙潜海| 作者
闻继伟 | 审核
免责声明:如涉及侵权请及时与我们联系反馈,我们会在第一时间做更正声明或做删除处理。文章版权及解释权归原作者及发布单位所有,如需转载或引用本文的任何内容,请注明出处。
END
近期热门
AI课程火热报名中
往 期 精 选
JOIN US
长期招募
杭州
— 高级信息安全工程师
欢迎将个人简历发送至邮箱:
double.ma@sasetime.com
SASETECH是国内首个由汽车安全专家发起组建的技术社区,致力于为汽车安全的从业者提供交流、学习、合作的中立性平台。
SASETECH
扫码联系管理员加入交流群→
