自动驾驶车辆规避碰撞避障的安全验证

摘要

本文针对自动驾驶车辆的规避最小风险机动（EMRM）系统，开展了全面的危害分析、风险评估和损失评估。该规避最小风险机动系统借鉴专业驾驶员的驾驶技巧，在保持车辆稳定性以有效降低风险的同时，执行激进规避操作，旨在增强碰撞规避能力并减轻损失严重程度。自动驾驶车辆技术的最新进展表明，车辆执行高性能机动的能力日益提升。本文探讨了一套全面的安全验证流程，并确立了明确的安全目标以加强测试验证效果。研究系统地识别了潜在危害，并评估了这些危害对整体安全以及弱势道路使用者保护所构成的风险。文中提出了一种新颖的损失评估方法，重点关注缓解机动对损失严重程度的影响。此外，所提出的缓解完整性等级可用于验证最小风险机动功能。本文将一种验证方法应用于规避机动，为自动驾驶系统中更可靠的主动安全功能开发提供了支持。

一、引言

在当今快节奏的数字时代，驾驶已从一项手动操作任务演变为复杂的信息处理挑战。随着数字干扰的日益增多以及人类注意力持续时间的缩短，自动化和自动驾驶任务的难度不断加大。对于美国汽车工程师学会（SAE）3 级和 4 级自动驾驶车辆而言，规避机动作为一种最小风险机动，能够弥补人类的这些局限性，为提升整体交通和道路安全提供了一种颇具前景的解决方案。当驾驶员难以处理海量信息时，配备先进规避机动功能的自动驾驶系统可介入以降低潜在风险。这些系统借助尖端技术快速分析局势，并执行人类难以完成的机动操作，为道路安全提供了关键保障。通过整合这些先进系统，我们能够显著降低事故发生的可能性，确保车辆迅速、精准地应对危害。明确自动驾驶的局限性，可为技术改进提供方向，助力构建面向未来的安全交通系统。本文通过开展全面的安全评估，研究了规避机动如何提升自动驾驶车辆的安全性。

诸如高级紧急制动（AEB）之类的主动安全功能，在某些危害场景中无法执行最小风险机动（MRM），仅依靠制动不足以避免事故发生。最小风险机动是自动驾驶系统（ADS）的备用功能，旨在使车辆达到稳定停止状态，将风险降至最低。当美国国际标准化组织（ISO）/ 美国汽车工程师学会（SAE）3-5 级自动驾驶系统执行动态驾驶任务时，可能会出现导致该系统无法继续执行动态驾驶任务的情况。最小风险机动功能致力于通过新技术和新策略减少事故发生，提升整体交通安全性，进而改善道路安全状况。与最小风险机动类似，受专业和特技车手启发的规避机动可用于规避危害场景或减轻伤害严重程度。将规避最小风险机动（EMRM）功能整合到高级驾驶辅助系统（ADAS）或自动驾驶车辆中，需要进行全面的安全验证与确认（V&V）。

危害分析与风险评估（HARA）是汽车行业中验证高级驾驶辅助系统和自动驾驶车辆功能安全（FuSa）的关键第一步，也是一种广泛应用的方法。相关标准提供的框架有时过于笼统，针对特定功能可能需要进行定制化调整。通过采用必要的精细化分析，能够更有效地对边缘情况下的功能进行研究。图 1 展示了在城市道路场景中，一辆自动驾驶车辆高速行驶时，一名摩托车骑手突然闯入预设行驶路径的情况。这使自动驾驶车辆陷入极易发生致命事故的严重危害境地。尽管人们努力降低此类风险，但并非总能成功，甚至可能引发其他意外事故。因此，了解在何种情况下能够规避严重危害并降低损失程度至关重要。在这种场景下，规避系统可缓解局势，降低自动驾驶车辆发生致命事故的风险，不过可能会增加财产或车辆损坏的风险。因此，系统必须对局势进行评估，并选择能够最大限度减少伤害的行驶路径，无论涉及的是车辆、财产、生命还是健康安全。

图 1、该示意图展示了在城市运行设计域中，基础最小风险机动（MRM）可能无法规避或减轻损失的危害场景。先进的规避最小风险机动（EMRM）能够执行激进规避机动，以避免灾难性危害

暴露于危害场景以及降低碰撞风险或损失影响，涉及关键的决策过程，这需要高性能的信息处理能力和敏捷的响应能力。当突发紧急情况时，不可避免地需要以高于舒适驾驶的加速度行驶。因此，执行具有安全保障的规避机动可作为最小风险机动的一种形式。格莱舍尔（Gleirscher）和库格尔（Kugele）探讨了自动驾驶系统中危害的识别和缓解过程，但也承认在规避机动分析方面存在局限性。为解决规避最小风险机动的安全评估问题，本研究提出了一个框架，在危害分析与风险评估中加入损失严重程度分析，以对规避最小风险机动功能进行评估。规避最小风险机动的设计初衷是，在事故无法避免时，首先实现碰撞规避或降低严重损失的风险。本文旨在研究如何验证规避最小风险机动是否能够提升整体功能安全，进而为自动驾驶车辆开发可靠的规避机动功能提供可能。

在事故无法避免的情况下，针对规避最小风险机动功能，有必要在危害分析与风险评估中加入损失评估。传统的危害分析与风险评估会识别危害事件及相关的暴露风险。而对于规避最小风险机动功能，还需要描述导致特定损失严重程度的相关情况，并可将这些情况作为系统的损失状态进行建模和严重程度分类。此外，通过系统理论过程分析（STPA），采用结构化方法能够系统地解读危害，从而识别系统性危害。系统理论过程分析的优势与有限状态机（FSM）的独特结合，也已应用于自动驾驶车辆的安全评估。值得注意的是，这些方法均未涉及如何理解存在多种损失严重程度的安全目标，而多种损失严重程度会增加危害场景的复杂性。不过，已有研究表明，这些方法可通过定制化或组合使用来弥补这一不足。

本文提出了一种基于危害分析与风险评估框架的系统方法，用于评估边缘情况下的功能（如最小风险机动功能）。我们的创新方法在传统危害分析与风险评估的基础上增加了精细化程度，以区分严重和关键场景下可能出现的不同损失情况。这是设计和实现任何规避最小风险机动功能之前的必要步骤。规避最小风险机动技术可执行规避机动，以实现碰撞规避或降低损失严重程度。通过纳入更精细化的损失严重程度分析，所提出的方法能够以更高的分辨率评估危害事件中各种最小和最大损失严重程度水平下的风险。为确保系统能够缓解危害风险或降低损失严重程度，需要评估不同严重程度损失的风险。在这方面，该方法能够在风险评估过程中有效处理不同类型的损失严重程度。同样，所提出的方法可用于全面分析下一代自动驾驶车辆和高级驾驶辅助系统的主动安全功能，其中需要考虑潜在的生命损失或严重损害风险。本文的贡献总结如下：

1. 在传统危害分析与风险评估方法中加入损失评估，以提高严重情况下验证的精细化分辨率。

2. 提出一个更精细化的框架，用于对边缘情况设计的功能进行更高精度的分析。

3. 对规避最小风险机动功能进行全面的功能安全评估，该功能旨在降低碰撞风险或减轻损失严重程度。

本文其余部分的结构如下：第二节将阐述规避最小风险机动系统的层级结构和功能；第三节将解释本文用于验证规避最小风险机动在碰撞规避和损失缓解方面安全性的危害分析与风险评估方法，此外还将描述风险和损失等级，并通过危害场景示例提供规避最小风险机动的危害分析与风险评估，以验证规避最小风险机动的安全目标；第四节将分析规避最小风险机动功能的危害；最后，第六节对全文进行总结。

二、规避最小风险机动系统

随着自动驾驶车辆运行范围扩展到更广泛的运行设计域，其与不可预测环境的交互将增多，这使得先进主动安全功能和自主故障安全操作的研发成为必然。根据美国保险商实验室（UL）4600 标准的定义，最小风险机动是自动驾驶系统安全框架的重要组成部分，侧重于在系统失效或突发情况下，通过预设操作将风险降至最低，确保安全。受专业驾驶员所具备的激进或特技驾驶技能的启发，可控规避机动（即规避最小风险机动）被认为是自动驾驶车辆在紧急情况下，尤其是在突发危害场景中缓解甚至避免事故的有效策略。这种方法增强了最小风险机动功能，确保自动驾驶车辆在需要时能够安全、有效地执行规避机动，以降低潜在危害。

规避最小风险机动的主要目标是设计一个危害响应系统，确保在存在严重损失风险的危害场景中，减轻损失严重程度。图 2 展示了规避最小风险机动功能的完整功能列表。在识别到危害场景后，系统将进行损失评估；然后根据评估结果，执行规避最小风险机动的决策制定和控制规划；最后，将控制指令应用于系统。

图 2、规避最小风险机动（EMRM）系统的层级流程图

（一）危害识别与实时风险预测

危害识别是指系统地识别自动驾驶车辆运行环境中潜在的危害源，例如突发障碍物或系统失效。实时风险预测利用先进的传感器数据和预测算法，对这些危害进行评估和预判，使车辆能够主动做出明智决策，以规避或缓解风险。这种组合确保自动驾驶系统能够动态适应不断变化的环境条件，提升整体安全性和可靠性。该系统假设车辆结合传感器、感知和预测技术，以实现对执行器的优化控制。这包括利用激光雷达（LIDAR）、雷达、超声波传感器和摄像头，进行全面的目标检测和环境建模。

先进的事件检测摄像头已证实，在公共道路上实时识别危害是可行的。车载高性能处理单元能够运行实时安全关键软件，处理数据并控制负责转向、制动和加速的执行器。尽管我们承认传感器和子系统存在一定的失效概率，但这些组件的预期功能安全（SOTIF）不在本讨论范围内。此外，配备车对车（V2V）和车对基础设施（V2I）通信模块的车辆，为通过交换安全相关信息提升安全性，可能面临网络安全入侵挑战，这一问题也不在本文讨论范围内。

（二）损失风险预测

损失严重程度预测通过使规避最小风险机动系统能够优先处理风险、有效分配资源并设计更具针对性的安全控制措施，增强了危害分析与风险评估的有效性。通过估算故障可能造成的影响，规避最小风险机动系统可以集中精力缓解潜在的最严重损失，确保安全措施的高效利用，更有效地解决关键安全问题。这种方法与系统理论过程分析框架中强调的防止不可接受损失的理念相一致，通过将工作重点放在最需要的地方，改进了整体安全验证流程。

（三）规避机动的规划与控制

近期的研究表明，车辆具有卓越的灵活性和性能，规避最小风险机动在提升自动驾驶车辆碰撞和危害规避安全性方面具有巨大潜力。然而，尽管这些研究论文表明规避机动有可能提升整体车辆安全性，但确保规避最小风险机动在现实世界中的功能安全至关重要。因此，风险缓解功能的主要目标必须是降低事故发生的概率或减轻伤害，而非单纯的规避驾驶。事实上，任何最小风险机动功能都必须保证，无论在何时、何地以何种方式使用，都能实现风险和损失的缓解。图 2 展示了配备规避最小风险机动的自动驾驶车辆的高层框架。设计合理的规避最小风险机动功能的关键环节在于，识别车辆是否处于危害场景，并估算与该场景相关的损失风险。

识别危害场景，并针对灾难性和严重类型的危害启动规避最小风险机动；预测与危害场景相关的各种严重程度的损失风险；将预测和感知信息输入到规避最小风险机动的决策制定和规划中；应用规避最小风险机动规划动作的控制指令。

在实车测试之前，必须对规避最小风险机动功能进行全面的安全评估。以往的研究表明，通过了解车辆动力学、轮胎与道路的相互作用以及对环境的精准感知，能够安全地执行高性能机动。研究结果表明，这些技术有潜力作为未来自动驾驶车辆的先进安全功能，尤其是在紧急危害场景中。尽管目前尚未明确所有需要规避最小风险机动介入的危害场景，但通过危害分析与风险评估，能够列出潜在风险，为该功能的早期验证提供支持。同样，在实际应用中，并非所有潜在风险都能通过危害分析与风险评估识别出来，但为了验证目的，有必要列出这些风险。

（四）系统边界

规避最小风险机动的主要目标是创建一个危害响应系统，确保在存在重大损失风险的潜在危害场景中，降低损失严重程度。这需要将分析方法、数据驱动方法和机器学习模型与概率预测分析相结合，以确保通过规避机动能够实现风险缓解。为实现这些目标，需要实时感知和场景分析、高速规划以及稳健的控制方法。为了有效评估损失风险，需要分别并整合研究规避最小风险机动、最小风险机动和正常自动驾驶的性能。这种独立分析有助于可行性研究，即利用规避最小风险机动对危害场景做出响应，以降低损失严重程度。

基于这些假设和定义，能够对常规最小风险机动和规避最小风险机动进行安全评估。然而，只有在存在任何不可逆损失风险的情况下，才应执行规避最小风险机动。一旦识别到危害状态，可激活最小风险机动模块以实现规避或缓解。由于与常规最小风险机动相比，规避最小风险机动的性能具有不可预测性，因此仅应在高风险、严重损失场景中执行规避最小风险机动，即常规最小风险机动失效且非规避最小风险机动无法避免损失的情况。因此，需要明确危害等级、损失类型、风险类别以及与危害场景相关的物理限制，以确定规避最小风险机动的有效性。

三、危害分析与风险评估的定义和流程

本节简要介绍了本文基于所采用的危害分析与风险评估方法，用于验证规避最小风险机动在碰撞规避和损失缓解方面的安全性。在开发任何新的自动驾驶车辆功能之前，都需要进行全面的危害分析与风险评估。这确保在进行成本高昂的集成和部署阶段之前，安全目标是可验证的。然后，必须通过严格的测试和分析来验证已确认的安全目标。尽管需要进行大量的仿真和实车测试，以确保规避最小风险机动在各种条件下正常运行，但初步风险评估对于列出风险并识别边缘场景至关重要，这有助于制定更高效的验证和测试策略。在这种情况下，在该功能投入实际运行之前，必须提供完整的验证与确认报告。尽管并非所有可行的系统状态都是已知的，但这种初步分析被广泛认可，可用于识别潜在风险。尽管在实践中，通过危害分析与风险评估无法识别所有潜在风险，但在设计过程的早期阶段，这对于非正式验证是必要的。

（一）危害分析与风险评估分类法

在本小节中，基于国际标准化组织（ISO）26262 标准，概述了一种改进的危害分析与风险评估分类法，以更好地分析最小风险机动功能。这种调整使我们能够专门评估自动驾驶车辆中执行最小风险机动或规避最小风险机动相关的独特风险和安全措施。在此，我们使用三个关键概念来评估和排序风险，包括危害、暴露度和可控性。

危害：可能导致不可接受损失情况的危害源。表 1 列出了危害类型，分为灾难性、严重、轻微和无影响四类。通过算法系统识别危害源、分析并规避危害场景，对于确保自动化和自动驾驶车辆的安全性和可靠性至关重要。

表 1、危害类型及描述

暴露度：车辆处于特定危害事件可能发生的运行场景中的概率。暴露度分为多个类别，代表不同的发生概率，如表 2 所示。

表 2、暴露度等级及概率和描述

可控性：最小风险机动避免特定危害事件或在事件发生后缓解后果的能力。如表 3 所示，自动驾驶车辆中最小风险机动系统的可控性分为四个等级：可控制、简单、中等和困难。每个等级反映了最小风险机动系统管理与危害事件相关的伤害风险的能力。

表 3、最小风险机动系统的可控性等级

（二）系统定义

所提出的方法通过强调对所评估对象进行全面而简洁的定义，增强了国际标准化组织（ISO）26262 标准中概述的危害分析与风险评估的初始步骤。该定义侧重于规避最小风险机动的自主功能，旨在使危害分析具有可操作性和针对性，同时避免因过多功能或子功能带来不必要的复杂性。在对象定义中，我们假设感知、预测、控制、规划和车辆完整性具有高度可靠性，以用于功能分析。

功能提取：明确对象定义后，在特技驾驶专家的协助下识别功能。然后创建详细的场景列表，评估这些场景与对象要求的相关性，并确保它们反映最新的发展，以降低疏忽风险。这些场景经过精心分类，涵盖各种运行条件。

故障推导：提取功能后，下一步是识别潜在故障。此阶段需要评估不同类型故障与每个功能的相关性及其对系统的影响。至关重要的是，并非所有故障类型都适用于所有功能，因此需要采用选择性评估方法。

（三）危害场景

识别故障后，需迅速确定相关危害，重点关注从运行角度来看可能造成伤害的危害，同时考虑最坏情况。重点分析由故障导致的、规避最小风险机动功能可感知的行为，包括弱势道路使用者的行为预测。对每个故障进行检查，以揭示城市运行设计域中不同路面条件下所有可能的危害场景。目的是明确规避最小风险机动中的故障如何转化为可观察到的、可能更危害的车辆行为。该分析将整合到汽车架构表示中，详细说明运行场景、危害、危害事件和安全目标，为开发阶段的对象优化提供支持。

（四）风险评估

根据国际标准化组织（ISO）26262 标准，风险被定义为伤害发生的概率与伤害严重程度的组合。该评估有助于确定所需的汽车安全完整性等级（ASIL），以确保实施适当的安全措施来缓解已识别的风险。最后一步是通过汽车安全完整性等级评估规避最小风险机动作为潜在风险缓解策略的可行性和有效性。该评估包括分析规避最小风险机动功能预防或缓解已识别风险的能力，确保所实施的策略能够显著降低危害状态下损失的可能性和影响。此步骤确定安全措施的充分性，并确保执行规避最小风险机动后系统的风险水平处于可接受范围内。通过对任何危害场景的严重程度、暴露度和可控性采用定性测量，可以确定汽车安全完整性等级，并制定可测试的安全目标。

（五）安全目标定义

在本研究中，安全目标是由该领域的人类专家明确定义的可测量陈述，旨在将风险缓解到可接受水平。然而，生成式人工智能（AI）工具或人工智能副驾驶正被整合到标准框架中，这可用于未来的研究。例如，在自动驾驶车辆的紧急靠边停车功能中，安全目标可能是防止意外加速。这包括识别可能发生意外加速的场景，评估这些场景的风险和严重程度，并实施控制措施，如冗余制动系统和对加速输入的持续监控，以缓解风险。

四、危害分析与风险评估在规避最小风险机动中的应用

本节将第三节中阐述的危害分析与风险评估流程应用于第二节中介绍的规避最小风险机动功能。本节将从系统定义开始，对规避最小风险机动进行全面的危害分析与风险评估。第三节解释了通用的危害分析与风险评估流程和分类法，同时针对规避最小风险机动分析对定义进行了轻微调整。

（一）规避最小风险机动系统的功能和故障

如表 4 所示，基于第二节中介绍的规避最小风险机动功能，列出了规避最小风险机动系统的四项功能作为对象定义。每个功能项都分配了特定的功能 ID（FID）。可以从任何功能中提取故障，并通过故障 ID（MFID）进行识别。规避最小风险机动的 "故障提取" 涉及识别和分析规避最小风险机动系统内的潜在故障。潜在的规避最小风险机动故障是从系统定义和功能中提取的。特定的功能 ID 和故障 ID 有助于将危害或风险追溯到对象定义和产品功能。此过程旨在确定特定的故障场景，以增强规避最小风险机动的设计，提高其在自动驾驶车辆运行过程中缓解严重风险的可靠性和有效性。

表 4、基于危害分析与风险评估方法的规避最小风险机动系统定义、功能和故障

（二）危害场景列表

基于故障识别危害场景。分析传感器错误、算法故障或功能问题等故障。每个危害场景都可以通过危害 ID（HID）进行识别，并可以使用表中显示的根代码追溯到故障和功能。考虑城市运行设计域（ODDs），以了解每个场景在复杂情况下可能带来的各种风险。这种系统方法确保了一套全面的危害场景，以进行有效的风险评估。在危害场景步骤中，严重程度衡量损失的严重程度，暴露度评估特定危害可能发生的频率。可控性评估规避最小风险机动避免或缓解危害的能力，下文将通过示例进行说明。

示例 1：在表 1 中，危害场景 H6 是指由于将轻微危害错误预测为涉及严重损失，规避最小风险机动执行了导致激进动作的操作。

暴露度：自动驾驶车辆很少遇到这种故障和潜在危害，仅在特定且罕见的条件下发生（E0）。

可控性：如果规避最小风险机动执行错误，嵌入式避障系统将有效防止事故发生，但由于激进的机动，车辆的可控性较低（C2）。

（三）汽车安全完整性等级结果

决定特定系统汽车安全完整性等级要求的三个因素是：严重程度、暴露度和可控性。严重程度评估如果系统发生故障，对驾驶员、乘客或附近行人和车辆可能造成的安全后果，如表 1 所示。暴露度衡量与所分析的故障模式相关的危害运行场景的发生可能性，如表 2 所示。可控性评估相关人员通过及时反应避免伤害的能力，如表 3 所示。使用国际标准化组织（ISO）26262 汽车安全完整性等级查找表，某些场景属于质量管理（QM）范畴，这意味着它们不需要汽车安全完整性等级，但仍应通过适当的质量控制流程或额外的安全评估进行管理，以完成危害分析与风险评估。

（四）安全目标提取

国际标准化组织（ISO）26262 标准中的安全目标提取涉及从全面的危害分析和风险评估中识别顶层安全目标。这是必要的，因为这些安全目标构成了设计和实施安全措施的基础，这些安全措施旨在缓解或消除潜在危害，确保系统满足必要的安全完整性等级，并符合功能安全标准。我们提取了以下项目作为自动驾驶车辆中规避最小风险机动功能的安全目标：

1. 规避最小风险机动系统应及时评估局势并做出决策。

2. 规避最小风险机动系统能够应对严重和灾难性的危害场景。

3. 规避最小风险机动系统应降低此类场景中的损失严重程度。

4. 规避最小风险机动系统可能能够规避危害。

在 12 个危害场景中，只有 3 个不属于严重危害，即 H2、H4 和 H6，在这些场景中可能会错误地执行激进机动。然而，这些场景的暴露度较低，发生严重损失的概率仍然较低。因此，需要对其余危害场景进行进一步分析，即使它们的汽车安全完整性等级为 A 或属于质量管理范畴，这是因为这些场景的暴露度非常低，而最小风险机动是为边缘情况和罕见事件设计的。必须制定安全目标，这是实现预期 "安全设计" 的必要条件，也是危害分析与风险评估的输出。由于这些危害场景的暴露度非常低，我们无法使用汽车安全完整性等级通过标准的危害分析与风险评估框架来最终确定我们的安全目标，以进行规避最小风险机动分析。最小风险机动系统的安全目标是使车辆达到最小风险状态。同时，激进驾驶被认为是高风险机动。在使用高风险机动以降低严重伤害风险之间进行权衡的决策，可以表述为具有以下目标（定义为安全目标）的约束优化控制问题。

五、损失评估

本节介绍了损失严重程度评估，将其作为危害分析与风险评估的重要补充，用于规避最小风险机动系统的安全验证。与传统的危害分析与风险评估不同，这种方法定义了新的评估变量，以评估不同损失严重程度下的风险，尤其是在边缘情况的最小风险机动中。通过考虑各种影响，确保风险得到缓解或潜在损失最小化，提供更详细和全面的风险分析。第四节四部分讨论的安全目标意味着，规避最小风险机动系统应缓解严重和灾难性危害场景中的潜在损失。鉴于此类高风险场景的暴露概率较低，汽车安全完整性等级不足以发现剩余风险。本节定义了一种新的评估策略，以验证规避最小风险机动系统的设计是否能够降低损失严重程度。通过纳入机动信心、规避复杂性和缓解有效性的新定义，评估每个场景中的这些因素对于评估规避最小风险机动系统的功能至关重要。本节讨论了各种类型的车辆驾驶员（从人类驾驶员到配备规避最小风险机动系统的 4 级自动驾驶车辆）在每个场景中最大限度减少潜在损害的方法。通过使用定义的参数比较预期性能，可以验证规避最小风险机动是否能够提升整体车辆和道路安全。

（一）损失定义

损失是指实际发生的不良结果或损害，而危害是可能导致损失的前兆条件或状态。系统理论过程分析（STPA）方法使用基于运行设计域的精细化损失等级列表进行评估。受系统理论过程分析方法的启发，提取的损失等级表用于评估第二节中概述的规避最小风险机动系统的损失缓解效果。由于规避最小风险机动系统仅适用于严重和灾难性危害场景，本节不讨论损失较轻的情况。为了评估规避最小风险机动系统的损失缓解效果，需要以下定义。

1. 伤害或损失严重程度等级：基于严重程度对伤害或损失进行分类，对于分析在无法控制的灾难性危害场景中，规避最小风险机动降低事故整体影响和减轻伤害严重程度的可能性至关重要。

定义 1（损失严重程度）：损失或伤害严重程度是根据危害场景对人员身体伤害或健康损害的潜在后果来定义的。严重程度等级对事件可能造成的伤害程度进行分类。

不同严重程度的损失列表通常包括根据其对安全、运行和任务目标的影响分类的潜在负面结果。这些损失范围从轻微的用户不满（如因高加速度动作导致的轻微不适）到严重后果（包括人员重伤或死亡）。通过根据严重程度对这些损失进行分类，并结合使用规避最小风险机动进行缓解的可能性，同时评估每种损失的发生概率，可以有效评估规避最小风险机动对自动驾驶车辆运行安全性的整体影响。

定义 2（损失状态）：损失状态是指在危害场景中发生事故后出现的任何不可接受的状态。

损失状态包括任何不期望出现的情况。因此，根据严重程度对损失进行分类，对于了解在高风险危害场景中，规避最小风险机动是否能够降低严重损失的风险至关重要。

（二）损失评估参数

自动驾驶车辆中规避最小风险机动的安全目标是明确界定可衡量的目标，旨在将高严重程度损失风险降至较低严重程度损失水平。例如，在自动驾驶车辆规避摩托车骑手的场景中，安全目标是防止与摩托车发生意外碰撞，并且不会对相同或更高严重程度的损失造成更高或类似的风险。这包括识别可能发生其他损失的场景，评估这些场景的风险和严重程度，并实施控制措施，如冗余系统和对感知和执行输入的持续监控，以有效缓解风险。

1. 机动性：机动性是指车辆以及规划和控制系统有效执行安全激进机动的能力。这包括物理和功能方面，以及在危害场景中检测和执行此类动作以规避危害或减轻损失的信心水平。与以人类驾驶员为基准相比，结果表明，年轻驾驶员在应对危害时表现出更强的机动性，因为他们的检测和决策时间更快。具体而言，老年驾驶员（55 至 69 岁）需要 403 毫秒才能检测到视频中的危害，605 毫秒才能决定规避机动。相比之下，年轻驾驶员（20 至 25 岁）只需 220 毫秒即可检测到危害，388 毫秒即可选择规避动作。这表明，规避最小风险机动的设计目标是超越年轻驾驶员的表现，而年轻驾驶员的表现被视为有效且快速规避危害的基准。因此，机动性能力分为三个不同等级。

可规避性：可规避性是指危害场景发生后能够有效规避或缓解的可能性。可规避性概率范围分为可规避（A1）、具有挑战性（A2）和不可避免（A3）。这些因素可能包括道路条件、场景中的弱势道路使用者因素以及自车相对于弱势道路使用者的状态等参数。

可缓解性：可缓解性是指如果缓解机动成功，有效降低事故损失等级和影响的可能性。其中可缓解性是根据损失降低概率（Prob (M)）和损失降低等级（LLR）计算的，可缓解性可通过以下公式计算：

其中，场景的基准损失是指没有规避最小风险机动干预的自动驾驶车辆或普通驾驶员造成的损失。这可以通过该场景下的严重程度（S）、概率（P）、暴露度（E）和损失严重程度（L）的乘积计算得出：

示例 2：在危害场景中，自动驾驶车辆遇到摩托车骑手突然驶入其行驶路径，车辆必须迅速决定是留在车道内并冒着与摩托车碰撞的风险，还是转向并越过双实线以避开骑手，这可能会增加与相邻车道另一辆车发生碰撞的几率，如图 3 所示。自动驾驶车辆选择转向，通过优先考虑更脆弱的摩托车骑手的安全来减轻整体损失，尽管这种机动引入了与另一辆车发生侧擦的较小风险。这一决策反映了自动驾驶车辆在原本不可避免的场景中最大限度减少伤害的能力，表明该场景是可缓解的。图像上的数字显示了车辆执行规避机动的步骤：1）自动驾驶车辆越过双实线；2）自动驾驶车辆阻挡迎面而来的车辆，迫使它们改变行驶路径；3）自动驾驶车辆在对向车道行驶 39 秒；4）自动驾驶车辆驶回正确车道。

图 3、自动驾驶车辆（AV）跨越双实线，以缓解与弱势道路使用者（摩托车骑手）发生潜在碰撞的风险，从而降低潜在损失。

a）取自社交媒体视频的图像，显示一辆自动驾驶车辆正在跨越双实线且未立即返回原车道；b）同一场景下，自动驾驶车辆为避免潜在碰撞而执行规避机动的示意图

（三）损失评估

损失评估流程作为规避最小风险机动系统安全验证的最后一部分，基于第五节二部分的定义，评估缓解损失所需的驾驶技能、成功缓解的概率以及损失发生后的影响。该过程根据规避机动的有效性评估危害的管理效果，最终确定与在严重危害场景中使用规避最小风险机动系统相关的潜在后果和整体风险水平。在12 个危害场景中，有 7 个属于质量管理范畴，这些场景发生严重损失的可能性显著。需要进一步进行损失评估，以验证熟练的规避机动是否能够降低损失概率或影响。每个严重危害的损失降低评估和缓解概要。需要注意的是，由于分析仅针对灾难性和严重危害，运行设计域适用于高速行驶场景以及关键道路和复杂场景，类似于图 1。

安全目标：表5 展示了汽车安全完整性等级为质量管理的危害场景的损失评估。该表包括规避最小风险机动系统的严重程度缓解完整性等级（SMIL）映射场景。规避最小风险机动系统将能够在严重程度缓解完整性等级较高的场景中实现损失缓解，而在严重程度缓解完整性等级较低的场景中，损失缓解的可能性将降低。在某些场景中，规避最小风险机动很可能会失败，为这些场景设计规避最小风险机动系统是不合理的。规避最小风险机动系统的安全目标是仅在损失缓解成功概率非常高的情况下启动激进机动，确保机动稳定且潜在损失可规避。严重程度缓解完整性等级 B 和 D 被视为使用规避最小风险机动的可接受场景，而 H5 和 H6 不适合使用规避最小风险机动。

表 5 、汽车安全完整性等级为质量管理的危害场景的损失评估

（四）系统和环境因素的影响

传感器和感知：传感器数据和感知模块对危害检测有显著影响。高分辨率激光雷达、雷达和摄像头提高了感知能力，高速高精度感知模块提供了及时准确的信息，从而通过实现早期检测和先发制人的机动降低了危害发生的概率（P'）。例如，感知算法利用传感器和摄像头数据检测车辆路径中的行人，从而能够进行紧急转向或可控侧滑，降低碰撞可能性。显然，这些系统的任何不准确都会大幅增加风险水平，因此在传感器和感知架构中强烈建议采用冗余设计。

预测和决策：预测模型、规划算法和控制器会影响系统规避危害场景的可控性。然而，车辆的机械完整性（如轮胎、制动器和电池状态）会影响机动的成功与否，进而影响风险水平。对感知警报的快速准确响应（可能通过预测模型和决策系统得到增强）可以进一步降低风险。预测和决策模型的任何不准确都会大幅增加风险水平。

环境和交通：环境条件（如天气和路面）会影响机动性，进而影响危害的暴露度（E'）和严重程度（S'）。恶劣条件（如下雨、下雪或大雾）会增加这些因素，而有利条件则会降低这些因素，从而增强规避最小风险机动的有效性。恶劣的环境条件通常会导致更高的严重程度和暴露度，因为在机动过程中失去控制的可能性会增加。此外，车辆速度、交通密度和车辆状况等动态因素也起着至关重要的作用。更高的速度和更密集的交通会提高严重程度和暴露度，需要快速精准的规避最小风险机动。

六、结论

本文提出了一种新的自动驾驶车辆规避最小风险机动功能安全验证方法。规避最小风险机动系统旨在处理高风险、低概率场景。为了验证规避最小风险机动系统的安全性，必须在分析危害风险的同时分析潜在损失。该方法的公式以及针对先进规避最小风险机动的详细案例研究，突出了其安全目标。通过借鉴专业赛车和特技驾驶的机动技能，结合机器学习技术和正式的安全控制方法，该安全验证方法有效地评估了在复杂危害中使用规避机动的安全目标，在严重场景中提供了强大的碰撞规避能力。所提出的框架可作为规避最小风险机动系统进一步安全分析和验证的基准。我们未来的工作将涉及将这些方法应用于现实世界场景，并完善安全指标。本研究主要关注外部实体和危害。然而，乘员自身的安全是危害分析的重要组成部分。作为未来的研究方向，我们将通过考虑内部和外部危害来增强该框架，以提供全面的风险管理策略。未来的工作还包括采用美国电气和电子工程师协会（IEEE）P3332 和 IEEE P2817 进行系统级危害分析。