智能驾驶系统:测试设计案例分析文档
|
文件状态: [√] 草稿 [ ] 正式发布 [ ] 正在修改 |
|
发文件起草分工: 1. |
|
编制: |
签名: 日期: |
|
审核: |
签名: 日期: |
|
批准: |
签名: 日期: |
|
所有权声明 |
|
该文档及其所含的信息是财产。该文档及其所含信息的复制、使用及披露必须得到的书面授权。 |
对于毫米波雷达和摄像头异常状态的设定,本案例中仅仅设定一种的故障状态、一种天气以及一种攻击状态。
a) 毫米波雷达故障
测量故障导致距离偏差,故障程度包括 1 、 2 、 3 、 4 、 5 , 毫米波雷达 测量故障导致道路边沿横向距离感知的偏差的最大值如下表所示。
|
毫米波雷达 测量故障导致横向距离感知的偏差 |
|
|
故障程度 |
最大值 |
|
无 |
0 |
|
1 |
2 |
|
2 |
4 |
|
3 |
8 |
|
4 |
20 |
|
5 |
40 |
b) 摄像头故障
图像处理故障导致图像失真,图像处理故障 RGB 值包括( 1.1 , 0.9 , 1.1 )、( 1.2 , 0.8 , 1.2 )、( 1.3 , 0.7 , 1.3 )、( 1.4 , 0.6 , 1.4 )、( 1.5 , 0.5 , 1.5 ) , 图像处理故障 导致道路边沿横向距离感知的偏差的最大值以及最小值如下表所示。
|
摄像头图像处理故障导致横向距离感知的偏差 |
|
|
故障程度 |
最大值 |
|
无 |
0 |
|
1.1 , 0.9 , 1.1 |
2 |
|
1.2 , 0.8 , 1.2 |
4 |
|
1.3 , 0.7 , 1.3 |
8 |
|
1.4 , 0.6 , 1.4 |
40 |
|
1.5 , 0.5 , 1.5 |
40 |
下图为 图像处理故障导致图像失真 RGB 值为 ( 1.3 , 0.7 , 1.3 )时的图像异常表现。
在天气的设定中只是对雨天进行设置,包括小雨、中雨、大雨、暴雨、大暴雨。
a) 毫米波雷达 天气影响
毫米波雷达 在雨天下导致道路边沿横向距离感知的偏差的最大值以及最小值如下表所示。
|
毫米波雷达 在雨天下横向距离感知的偏差 |
|
|
降雨程度 |
最大值 |
|
无 |
0 |
|
小雨( 500m ) |
1 |
|
中雨( 300m ) |
1 |
|
大雨( 100m ) |
2 |
|
暴雨( 50m ) |
4 |
|
大暴雨( 10m ) |
8 |
b) 摄像头天气影响
摄像头在雨天下导致道路边沿横向距离感知的偏差的最大值以及最小值如下表所示。
|
摄像头 在雨天下横向距离感知的偏差 |
|
|
降雨程度 |
最大值 |
|
无 |
0 |
|
小雨( 500m ) |
2 |
|
中雨( 300m ) |
4 |
|
大雨( 100m ) |
8 |
|
暴雨( 50m ) |
40 |
|
大暴雨( 10m ) |
40 |
下图为摄像头在暴雨天气时的图像异常表现。
a) 毫米波雷达攻击
丢包攻击导致距离偏差,丢包攻击值包括 5% 、 10% 、 20% 、 60% 、 100% ,干扰攻击导致距离偏差, 毫米波雷达 干扰攻击导致道路边沿横向距离感知的偏差的最大值以及最小值如下表所示。
|
毫米波雷达 干扰攻击导致横向距离感知的偏差 |
||
|
攻击程度丢包 |
最小值 |
最大值 |
|
无 |
0 |
0 |
|
5% |
0 |
2 |
|
10% |
0 |
4 |
|
20% |
0 |
8 |
|
60% |
0 |
24 |
|
100% |
0 |
40 |
b) 摄像头网络攻击
干扰攻击导致图像噪点, 干扰攻击值包括 20 、 40 、 60 、 80 、 100 ,干扰攻击导致距离偏差,摄像头干扰攻击导致道路边沿横向距离感知的偏差的最大值以及最小值如下表所示。
|
摄像头 干扰攻击导致横向距离感知的偏差 |
|
|
攻击程度 |
最大值 |
|
无 |
0 |
|
20 |
2 |
|
40 |
4 |
|
60 |
8 |
|
80 |
40 |
|
100 |
40 |
下图为摄像头在干扰攻击为 80 时的图像异常表现。
传感器异常单元测试,主要围绕摄像头与毫米波雷达的技术安全要求展开,如下表所示。
|
ID |
技术安全要求 |
ASIL |
|
TSR2.1.3.1.1.1 |
实时 持续监 测 摄像头 自检信号来识别故障状态 |
D |
|
TSR2.1.3.1.1.2 |
摄像头的冗余设计与故障隔离包含冗余摄像头以及冗余通讯回路 |
B |
|
TSR2.1.3.1.1.3 |
根据主冗余摄像头故障状态来切换摄像头工作 |
D |
|
TSR2.1.3.1.1.4 |
实时评估故障状态对工作摄像头感知的影响程度 |
D |
|
TSR2.1.3.1.2.1 |
实时 感知信息进行检测 来识别摄像头的运行工作状况 |
D |
|
TSR2.1.3.1.2.2 |
实时评估运行工作状况对摄像头感知的影响程度 |
D |
|
TSR2.1.3.1.2.3 |
根据摄像头的影响程度来对多传感器感知融合权重的调整 |
D |
|
TSR2.1.3.1.3.1 |
实时持续进行(主冗余)摄像头信号正确性检验来识别网络攻击 |
C |
|
TSR2.1.3.1.3.4 |
根据主冗余摄像头攻击状态来切换摄像头工作 |
D |
|
TSR2.1.3.1.3.5 |
实时评估网络攻击状态对工作摄像头感知的影响程度 |
D |
|
ID |
技术安全要求 |
ASIL |
|
TSR2.1.3.2.1.1 |
实时 持续监 测雷达自检信号来识别故障状态 |
D |
|
TSR2.1.3.2.1.2 |
雷达 的冗余设计与故障隔离包含冗余 雷达 以及冗余通讯回路 |
B |
|
TSR2.1.3.2.1.3 |
根据主冗余雷达故障状态来切换雷达工作 |
D |
|
TSR2.1.3.2.1.4 |
实时评估故障状态对工作 雷达 感知的影响程度 |
D |
|
TSR2.1.3.2.2.1 |
实时 感知信息进行检测 来识别 雷达 的运行工作状况 |
D |
|
TSR2.1.3.2.2.2 |
实时评估运行工作状况对 雷达 感知的影响程度 |
D |
|
TSR2.1.3.2.2.3 |
根据 雷达 的影响程度来对多传感器感知融合权重的调整 |
D |
|
TSR2.1.3.2.3.1 |
实时持续进行主冗余 雷达 信号正确性检验来识别网络攻击 |
C |
|
TSR2.1.3.2.3.4 |
根据主冗余 雷达 攻击状态来切换 雷达 工作 |
D |
|
TSR2.1.3.2.3.5 |
实时评估网络攻击状态对工作 雷达 感知的影响程度 |
D |
a) 实时检测 主冗余毫米波雷达、主冗余摄像头 的 故障 状态 ;
1) 毫米波雷达 故障检测
毫米波雷达测量故障检测如下图所示,测量故障检测 包括 1 、 2 、 3 、 4 、 5 均能够正确检测出 故障以及具体故障的程度,达到实时检测毫米波雷达测量故障的功能,实现实检测毫米波雷达故障状态的技术安全要求。
2) 摄像头故障检测
摄像头图像处理故障失真检测如下图所示, 图像处理故障 RGB 值包括( 1.1 , 0.9 , 1.1 )、( 1.2 , 0.8 , 1.2 )、( 1.3 , 0.7 , 1.3 )、( 1.4 , 0.6 , 1.4 )、( 1.5 , 0.5 , 1.5 )均能够正确检测出 故障以及具体失真的程度,达到实时检测摄像头图像处理故障的功能,实现实检测摄像头故障状态的技术安全要求。
a) 实时检测主冗余毫米波雷达、主冗余摄像头所处的天气状况;
天气状况的检测由雨滴传感器获得,本案例不进行测试。
b) 实时检测主冗余毫米波雷达、主冗余摄像头的攻击状态;
1) 毫米波雷达 攻击检测
毫米波雷达丢包 攻击 检测如下图所示,丢包攻击值包括 5% 、 10% 、 20% 、 60% 、 100% 均能够正确检测出 故障以及具体丢包 攻击 的程度,达到实时检测毫米波雷 达丢包 攻击 的功能,实现实检测毫米波雷达网络攻击的技术安全要求。
2) 摄像头攻击检测
摄像头干扰攻击检测如下图所示,干扰攻击值包括 20 、 40 、 60 、 80 、 100 均能够正确检测出 故障以及具体干扰攻击的程度,达到实时检测摄像头干扰攻击的功能,实现实检测摄像头网络攻击的技术安全要求。
a) 故障下主冗余毫米波雷达、主冗余摄像头 的 切换
故障下主冗余毫米波雷达、主冗余摄像头 的 切换如下图所示,当主毫米波雷达(摄像头)故障程度大于冗余毫米波雷达(摄像头)故障程度时,可以保持冗余毫米波雷达(摄像头)工作或者切换到冗余毫米波雷达(摄像头)工作;当冗 余毫米波雷达(摄像头)故障程度大于主毫米波雷达(摄像头)故障程度时,可以保持主毫米波雷达(摄像头)工作或者切换到主毫米波雷达(摄像头)工作。实现毫米波雷达摄像头冗余设计与故障切换的技术安全要求。
b) 网络攻击下主冗余毫米波雷达、主冗余摄像头 的 切换
网络攻击下主冗余毫米波雷达、主冗余摄像头 的 切换如下图所示,当主毫米波雷达(摄像头)攻击程度大于冗余毫米波雷达(摄像头)攻击程度时,可以保持冗余毫米波雷达(摄像头)工作或者切换到冗余毫米波雷达(摄像头)工作;当冗余毫米波雷达(摄像头)攻击程度大于主毫米波雷达(摄像头)攻击程度时,可以保持主毫米波雷达(摄像头)工作或者切换到主毫米波雷达(摄像头)工作。实现毫米波雷达摄像头冗余设计与网络攻击切换的技术安全要求。
a) 故障下毫米波雷达、摄像头 的感知影响评估与感知权重调整
故障下毫米波雷达、摄像头 的感知影响评估与感知权重调整如下图所示,当毫米波雷达发生故障时,会实时的评估故障对感知的影响程度,然后根据影响程度实时的对毫米波雷达、摄像头以及 V2X 的感知信息融合权重进行动态调整;同时当摄像头发生故障时,会实时的评估故障对感知的影响程度,然后根据影响 程度实时的对毫米波雷达、摄像头以及 V2X 的感知信息融合权重进行动态调整;
实现了毫米波雷达、摄像头故障影响评估以及动态调整感知信息融合权重的技术安全要求。
b) 恶劣天气下毫米波雷达、摄像头 的感知影响评估与感知权重调整
恶劣天气下毫米波雷达、摄像头 的感知影响评估与感知权重调整如下图所示,对于不同的驾驶恶劣天气,会实时的评估天气对感知的影响程度,然后根据影响程度实时的对毫米波雷达、摄像头以及 V2X 的感知信息融合权重进行动态调整 实现了毫米波雷达、摄像头恶劣天气影响评估以及动态调整感知信息融合权重的技术安全要求。
c) 网络攻击下毫米波雷达、摄像头 的感知影响评估与感知权重调整。
网络攻击下毫米波雷达、摄像头 的感知影响评估与感知权重调整如下图所示,当毫米波雷达遭到网络攻击时,会实时的评估攻击对感知的影响程度,然后根据影响程度实时的对毫米波雷达、摄像头以及 V2X 的感知信息融合权重进行动态调整;同时当摄像头遭到网络攻击时,会实时的评估攻击对感知的影响程度,然后根据影响程度实时的对毫米波雷达、摄像头以及 V2X 的感知信息融合权重进行动态调整; 实现了毫米波雷达、摄像头故障影响评估以及动态调整感知信息融 合权重的技术安全要求。
传感器异常感知模块测试,主要围绕摄像头与毫米波雷达在感知模块的安全要求展开,如下表所示。
|
SR2.1 |
自动紧急换道系统运行期间应保证车辆能够有效感知到前方目标 |
D |
a) 确保 主(冗余)摄像头故障下感知有效
1) 实时检测主 (冗余)摄像头 的故障状态
2) 主 摄像头 故障切换到冗余 摄像头 进行感知
3) 根据 主(冗余)摄像头故障程度调整感知权重
4) 主 (冗余)摄像头故障时感知有效
确保 主(冗余)摄像头故障下感知有效的测试如下所示,可以实时准确的对主冗余摄像头的故障进行检测,然后根据主冗余摄像头的故障情况正确地切换主冗余摄像头进行工作,并且根据当前工作的摄像头的故障程度对摄像头、毫米波雷达以及 V2X 的感知权重进行实时调整,当主冗余摄像头发生故障时可以将感知到与前方目标的相对纵向距离误差控制在 1m 内,确保在系统运行期间,车辆能够有效感知到前方目标,实现感知安全要求,如果没有施加安全要求,当主冗余摄像头发生故障时,感知到与前方目标的相对纵向距离误差超过 10m ,在系统运行期间,车辆不能有效感知到前方目标,车辆无法正确进行决策导致车辆发生碰撞;
b) 确保 主(冗余)毫米波雷达故障下感知有效
1) 实时检测主 (冗余)摄像头 的故障状态
2) 主 摄像头 故障切换到冗余 摄像头 进行感知
3) 根据 主(冗余)毫米波雷达故障程度调整感知权重
4) 主 (冗余)摄像头故障时感知有效
确保 主(冗余)毫米波雷达故障下感知有效的测试如下所示,可以实时准确的对主冗余毫米波雷达的故障进行检测,然后根据主冗余毫米波雷达的故障情况正确地切换主冗余毫米波雷达进行工作,并且根据当前工作的毫米波雷达的故障程度对摄像头、毫米波雷达以及 V2X 的感知权重进行实时调整,当主冗余毫米波雷达发生故障时可以将感知到与前方目标的相对纵向距离误差控制在 1m 内,确保在系统运行期间,车辆能够有效感知到前方目标,实现感知安全要求,如果没有施加安全要求,当主冗余毫米波雷达发生故障时,感知到与前方目标的相对纵向距离误差超过 3m ,在系统运行期间,车辆不能有效感知到前方目标,车辆 无法正确进行决策导致车辆发生碰撞;
a) 确保 主(冗余)摄像头、毫米波雷达恶劣天气下感知有效
1) 实时检测主 (冗余)摄像头、毫米波雷达 的运行天气状态
2) 根据主(冗余) 摄像头、毫米波雷达 运行天气状态调整感知权重
3) 恶劣天气时 感知有效
确保 主(冗余)摄像头、毫米波雷达恶劣天气下感知有效的测试如下所示,可以实时根据当前工作的毫米波雷达、摄像头的运行工作天气对摄像头、毫米波雷达以及 V2X 的感知权重进行实时调整,当行驶在恶劣天气时可以将感知到与前方目标的相对纵向距离误差控制在 1m 内,确保在系统运行期间,车辆能够有效感知到前方目标,实现感知安全要求,如果没有施加安全要求,当行驶在恶劣天气时,感知到与前方目标的相对纵向距离误差超过 10m ,在系统运行期间,车 辆不能有效感知到前方目标,车辆无法正确进行决策导致车辆发生碰撞;
a) 确保 主(冗余)摄像头网络攻击下感知有效;
1) 实时检测主 (冗余)摄像头 的 网络攻击 状态;
2) 根据主 (冗余) 摄像头摄像头 网络攻击状态 切换 摄像头 进行感知;
3) 根据 主(冗余)摄像头网络攻击程度调整感知权重
4) 主 (冗余)摄像头遭到网络攻击时感知有效
确保 主(冗余)摄像头网络攻击下感知有效的测试如下所示,可以实时准确的对主冗余摄像头的网络攻击进行检测,然后根据主冗余摄像头的网络攻击情况正确地切换主冗余摄像头进行工作,并且根据当前工作的摄像头的网络攻击程度对摄像头、毫米波雷达以及 V2X 的感知权重进行实时调整,当主冗余摄像头遭到网络攻击时可以将感知到与前方目标的相对纵向距离误差控制在 1m 内,确保在系统运行期间,车辆能够有效感知到前方目标,实现感知安全要求,如果没有施加安全要求,当主冗余摄像头遭到网络攻击时,感知到与前方目标的相对纵向距离误差超过 10m ,在系统运行期间,车辆不能有效感知到前方目标,车辆无法正确进行决策导致车辆发生碰撞。
b) 确保 主(冗余)毫米波雷达网络攻击下感知有效;
1) 实时检测主 (冗余)毫米波雷达 的 网络攻击 状态;
2) 根据主 (冗余)毫米波雷达网络攻击状态 切换 毫米波雷达 进行感知;
3) 根据 主(冗余)毫米波雷达网络攻击程度调整感知权重
4) 主 (冗余)毫米波雷达遭到网络攻击时感知有效
确保 主(冗余)毫米波雷达网络攻击下感知有效的测试如下所示,可以实时准确的对主冗余毫米波雷达的故障进行检测,然后根据主冗余毫米波雷达的网络攻击情况正确地切换主冗余毫米波雷达进行工作,并且根据当前工作的毫米波雷达的网络攻击程度对摄像头、毫米波雷达以及 V2X 的感知权重进行实时调整,当主冗余毫米波雷达遭到网络攻击时可以将感知到与前方目标的相对纵向距离误差控制在 1m 内,确保在系统运行期间,车辆能够有效感知到前方目标,实现感知安全要求,如果没有施加安全要求,当主冗余毫米波雷达遭到网络攻击时,感知到与前方目标的相对纵向距离误差超过 3m ,在系统运行期间,车辆不能有 效感知到前方目标,车辆无法正确进行决策导致车辆发生碰撞;
传感器异常系统测试,主要围绕摄像头与毫米波雷达异常时系统的安全目标展开,如下所示,主要进行摄像头与毫米波雷达异常时系统自动紧急换道的失效可用以及失效降级测试,避免与其他障碍物品发生碰撞。
|
ID |
安全目标 |
ASIL |
安全状态 |
|
SG2 |
应避免自动紧急换道系统运行期间车辆非预期的失去主 动换道 与预警导致于其他交通参与者道路基础设施或障碍物发生碰撞 |
D |
系统通过降级或者请求驾驶员接管车辆 |
为了评估碰撞过程中的安全风险,将引入以下的碰撞风险公式来衡量行车碰撞风险,通过 即碰时间 以及碰撞的严重程度来计算:
其中
为即碰时间
,
为车辆重量
(
本测试案例中取
1000kg),
为与碰撞目标的相对速度
,
为与碰撞目标的相对航向距离
,
为碰撞类型权重(正碰为
1
,四分之三正碰为
0.9
,二分之一正碰为
0.75
,四分之一正碰为
0.5
,侧碰为
0.5
)。根据公式可知,
即碰时间
越短、相对速度越大,碰撞的风险值越大,车辆越不安全;
碰时间
越长、相对速度越小,碰撞的风险值越小,车辆越安全。
a) 场景 一 :主车以 12m/s 的速度在三车道、天气状况良好、良好道路( mu=0.85 )的城市路中间车道上行驶,主车车道前方车辆以 8m/s 的速度相对主车 17m 处行驶,左边车道前方车辆以 10m/s 的速度相对主车 5m 处行驶,右边车道无车,冗余摄像头处于工作状态突然发生故障,故障程度( 1.4 , 0.6 , 1.4 ),主摄像头正常。( 左安全 机制, 右无安全 机制)测试结果如下所示,当摄像头发 生较为 严重的故障时,对摄像头进行冗余设计与故障切换设计可以确保系统有效的感知前方目标进行正确的换道决策来避免车辆发生碰撞,系统在 TTC 为 2.1s 时进行横向换道,此时车辆达到最高碰撞风险,风险值为 364 ;当摄像头发 生较为 严重的故障时,如果没有对摄像头故障采取安全措施导致系统不能有效的感知前方目标并进行正确的换道决策来避免车辆发生正碰,系统在运行时间 3s 时与前方车辆发生碰撞,此时车辆达到最高碰撞风险,风险值为 8000 。通过对摄像头进行冗余设计与故障切换设计,当摄像头发生故障时,可以将车辆的 安全提高 22 倍并避免车辆发生碰撞。
b) 场景二:主车以 12m/s 的速度在双车道、天气状况良好、良好道路( mu=0.85 )的城市道路上行驶,主车车道前方车辆以 6m/s 的速度相对主车 20m 处行驶,右边车道无车,主摄像头处于工作状态突然遭到网络攻击,攻击程度( 100 ),冗余摄像头正常。(左冗余设计, 右无安全 机制)测试结果如下所示,当摄像头遭到严重的网络攻击时,对摄像头进行冗余设计与攻击切换设计可以确保系统有效的感知前方目标进行正确的换道决策来避免车辆发生碰撞,系统在 TTC 为 2.1s 时进行横向换道,此时车辆达到最高碰撞风险,风险值为 819 ;当 摄像头摄像头 遭到严重的网络攻击时,如果没有对摄像头失效采取安全措施导致系统不能有效的感知前方目标并进行正确的换道决策来避免车辆发生碰撞,系统在运行时间 2.5s 时与前方车辆发生正碰,此时车辆达到最高碰撞风险,风险值为 18000 。通过对摄像头进行冗余设计与攻击切换设计,当摄像头遭到网络攻击时,可以将车辆的 安全提高 22 倍并避免车辆发生碰撞。
c) 场景三:主车以 12m/s 的速度在三车道、天气状况良好、良好道路( mu=0.85 )的城市道路中间车道上行驶,主车车道前方车辆以 8m/s 的速度相对主车 15m 处行驶,右边车道前方车辆以 6m/s 的速度相对主车 20m 处行驶,左边车辆无车,主毫米波雷达处于工作状态突然遭到网络攻击,攻击程度( 60 ),冗余毫米波雷达正常。(左冗余设计, 右无安全 机制)测试结果如下所示,当毫米波雷达遭到严重的网络攻击时,对毫米波雷达进行冗余设计与攻击切换设计可以确保系统有效的感知前方目标进行正确的换道决策来避免车辆发生碰撞,系统在 TTC 为 2.1s 时进行横向换道,此时车辆达到最高碰撞风险,风险值为 364 ;当毫米波雷达遭到严重的网络攻击时,如果没有对毫米波雷达失效采取安全措施导致系统不能有效的感知前方目标并进行正确的换道决策来避免车辆发生碰撞,系统在运行时间 2.5s 时与前方车辆发生正碰,此时车辆达到最高碰撞风险,风险值为 8000 。通过对毫米波雷达进行冗余设计与攻击切换设计,当毫米波雷达遭到网络攻击时,可以将车辆的 安全提高 22 倍并避免车辆发生碰撞。
d) 场景四:主车以 12m/s 的速度在三车道、天气状况良好、良好道路( mu=0.85 )的城市路中间车道上行驶,主车车道前方车辆以 10m/s 的速度相对主车 10m 处行驶,右边车道前方车辆以 8m/s 的速度相对主车 15m 处行驶,左边车道无车,冗余毫米波雷达处于工作状态突然发生故障,故障程度 4 ,主毫米波雷达正常。( 左安全 机制, 右无安全 机制)测试结果如下,当毫米波雷达发生较为严重的故障时,对毫米波雷达进行冗余设计与故障切换设计可以确保系统有效的感知前方目标进行正确的换道决策来避免车辆发生碰撞,系统在 TTC 为 2.1s 时进行横向换道,此时车辆达到最高碰撞风险,风险值为 91 ;当毫米波雷达发生较为严重的故障时,如果没有对毫米波雷达故障采取安全措施导致系统不能有效的感知前方目标并进行正确的换道决策来避免车辆发生碰撞,系统在运行时间 2.6s 时与前方车辆发生正碰,此时车辆达到最高碰撞风险,风险值为 2000 。通过对毫米波雷达进行冗余设计与故障切换设计,当毫米波雷达发生故障时,可以将车辆的 安全提高 22 倍并避免车辆发生碰撞。
a) 场景 一 :主车以 10m/s 的速度在双车道、暴雨天气、一般道路( mu=0.65 )的城市道路上行驶,主车车道前方车辆相对主车 30m 处抛锚静止。(左融合权重调整, 右无安全 机制)测试结果如下,当运行的驾驶条件较为恶劣时,对传感器进行感知信息融合权重调整可以确保系统有效的感知前方目标进行正确的换道决策来避免车辆发生碰撞,系统在 TTC 为 2.1s 时进行横向换道,此时车辆达到最高碰撞风险,风险值为 2273 ;当运行的驾驶条件较为恶劣时,如果没有对传感器进行冗余感知信息融合采取安全措施导致系统不能有效的感知前方目标并进行正确的换道决策来避免车辆发生碰撞,系统在运行时间 2.5s 时与前方车辆发生四分之三正碰,此时车辆达到最高碰撞风险,风险值为 45000 。通过对传感器进行感知信息融合权重调整,当运行的驾驶条件较为恶劣时,可以将车辆的 安全提高 19.8 倍并避免车辆发生碰撞。
b) 场景二:主车以 12m/s 的速度在双车道、大暴雨天气、一般道路( mu=0.55 )的快速道路上行驶,主车车道前方车辆相对主车 50m 处抛锚静止。(左融合权重调整, 右无安全 机制)测试结果如下,当运行的驾驶条件较为恶劣时,对传感器进行感知信息融合权重调整可以确保系统有效的感知前方目标进行正确的换道决策来避免车辆发生碰撞,系统在 TTC 为 2.1s 时进行横向换道,此时车辆达到最高碰撞风险,风险值为 3273 ;当运行的驾驶条件较为恶劣时,如果没有对传感器进行冗余感知信息融合采取安全措施导致系统不能有效的感知前方目标并进行正确的换道决策来避免车辆发生碰撞,系统在运行时间 3.8s 时与前方车辆发生四分之一正碰,此时车辆达到最高碰撞风险,风险值为 18000 。通过对传感 器进行感知信息融合权重调整,当运行的驾驶条件较为恶劣时,可以将车辆的 安全提高 5.5 倍并避免车辆发生碰撞。
a) 场景 一 :主车以 20m/s 的速度在双车道、天气状况良好、良好道路( mu=0.85 )的快速路上行驶,主车车道前方车辆以 10m/s 的速度相对主车 20m 处行驶,主摄像头发生故障,故障程度( 1.5 , 0.5 , 1.5 ),冗余摄像头正常。( 左矛盾 协调,右矛盾)测试结果如下,当摄像头发生故障时,对摄像头信息加密与故障检测响应协调设计可以确保系统及时做出故障响应、有效的感知前方目标进行正确的换道决策来避免车辆发生碰撞,系统在 TTC 为 1.5s 时进行横向换道,此时车辆达到最高碰撞风险,风险值为 3125 ;当摄像头发生故障时,如果没有对摄像头信息加密与故障检测响应协调设计导致系统不能及时做出故障响应、有效的感知前方目标并进行正确的换道决策来避免车辆发生碰撞,系统在运行时间 1.5s 时与前方车辆发生四分之一正碰,此时车辆达到最高碰撞风险,风险值为 25000 。通过对摄像头信息加密与故障检测响应协调设计,当摄像头发生故障时,可以将车辆的 安全提高 8.0 倍并避免车辆发生碰撞。
b) 场景二:主车以 20m/s 的速度在三车道、天气状况良好、良好道路( mu=0.85 )的快速路中间车道上行驶,主车车道前方车辆以 11m/s 的速度相对主车 15m 处行驶,左边车道前方车辆以 10m/s 的速度相对主车 10m 处行驶,左边车辆无车,冗余摄像头处于工作状态突然遭到网络攻击,攻击程度( 80 ),主摄像头正常。( 左矛盾 协调,右矛盾)测试结果如下,当摄像头遭到网络攻击时,对摄像头信息加密与网络攻击检测响应协调设计可以确保系统及时做出网络攻击响应、有效的感知前方目标进行正确的换道决策来避免车辆发生碰撞,系统在 TTC 为 1.2s 时进行横向换道,此时车辆达到最高碰撞风险,风险值为 3116 ;当摄像头遭到网络攻击时,如果没有对摄像头信息加密与网络攻击检测响应协调设计导致系统不能及时做出网络攻击响应、有效的感知前方目标并进行正确的换道决策来避免车辆发生碰撞,系统在运行时间 1.1s 时与前方车辆发生四分之一正碰,此时车辆达到最高碰撞风险,风险值为 20250 。通过对摄像头信息加密与网络攻击检测响应协调设计,当摄像头遭到网络攻击时,可以将车辆的 安全提高 6.5 倍并避免车辆发生碰撞。
c) 场景三:主车以 20m/s 的速度在双车道、天气状况良好、良好道路( mu=0.85 )的快速路上行驶,主车车道前方车辆以 12m/s 的速度相对主车 14m 处行驶,右车道无车,主毫米波雷达发生故障,故障程度 5 ,冗余毫米波雷达正常。( 左矛盾 协调,右矛盾)测试结果如下,当毫米波雷达发生故障时,对毫米波雷达信息加密与故障检测响应协调设计可以确保系统及时做出故障响应、有效的感知前方目标进行正确的换道决策来避免车辆发生碰撞,系统在 TTC 为 1.2s 时进行横向换道,此时车辆达到最高碰撞风险,风险值为 2462 ;当毫米波雷达发生故障时,如果没有对毫米波雷达信息加密与故障检测响应协调设计导致系统不能及时做出故障响应、有效的感知前方目标并进行正确的换道决策来避免车辆发生碰撞, 系统在运行时间 1.1s 时与前方车辆发生四分之一正碰,此时车辆达到最高碰撞风险,风险值为 16000 。通过对毫米波雷达信息加密与故障检测响应协调设计,当毫米波雷达发生故障时,可以将车辆的 安全提高 6.5 倍并避免车辆发生碰撞。
d) 场景四:主车以 20m/s 的速度在三车道、天气状况良好、良好道路( mu=0.85 )的快速路中间车道上行驶,主车车道前方车辆以 11m/s 的速度相对主车 15m 处行驶,左边车道前方车辆以 18m/s 的速度相对主车 8m 处行驶,右边车辆无车,冗余毫米波雷达处于工作状态突然遭到网络攻击,攻击程度( 100 ),主毫米波雷达正常。( 左矛盾 协调,右矛盾)测试结果如下,当毫米波雷达遭到 网络攻击时,对毫米波雷达信息加密与网络攻击检测响应协调设计可以确保系统及时做出网络攻击响应、有效的感知前方目标进行正确的换道决策来避免车辆发生碰撞,系统在 TTC 为 1.2s 时进行横向换道,此时车辆达到最高碰撞风险,风险值为 3116 ;当毫米波雷达遭到网络攻击时,如果没有对毫米波雷达信息加密与网络攻击检测响应协调设计导致系统不能及时做出网络攻击响应、有效的感知前方目标并进行正确的换道决策来避免车辆发生碰撞,系统在运行时间 1.1s 时与前方车辆发生四分之一正碰,此时车辆达到最高碰撞风险,风险值为 20250 。通过对毫米波雷达信息加密与网络攻击检测响应协调设计,当毫米波雷达遭到网络攻击时,可以将车辆的 安全提高 6.5 倍并避免车辆发生碰撞。
a) 场景 一 :主车以 20m/s 的速度在三车道、暴雨天气、一般道路( mu=0.55 )的快速路中间车道上行驶,主车车道前方车辆以 13m/s 的速度相对主车 23m 处行驶,左边车道前方车辆以 10m/s 的速度相对主车 10m 处行驶,右边前方车辆相对主车 50m 处抛锚停止,主毫米波雷达故障(故障程度 3 ),冗余毫米波雷达失效, V2X 失效。(左降级, 右错误 转向)测试结果如下,当行驶在恶劣天气下并且部分传感器失效时,系统采取降级紧急制动措施可以确保系统在感知前方目标局限的情况下进行正确的紧急制动来避免车辆发生碰撞,系统在 TTC 为 2.1s 时进行紧急制动,此时车辆达到最高碰撞风险,风险值为 1114 ;当行驶在恶劣天气下并且部分传感器失效时,如果没有采取紧急制动降级的措施导致系统错误地进行换道决策与车辆发生碰撞,系统在运行时间 2.3s 时与前方车辆发生正碰,此时车辆达到最高碰撞风险,风险值为 162000 。通过采取降级紧急制动措施,当行驶在恶劣天气下并且部分传感器失效时,可以将车辆的 安全提高 145.4 倍并避免车辆发生碰撞。
b) 场景二:主车以 10m/s 的速度在三车道、天气状况良好、一般道路( mu=0.85 )的快速路中间车道上行驶,主车车道前方车辆以 8m/s 的速度相对主车 10m 处行驶,左边车道前方车辆以 5m/s 的速度相对主车 20m 处行驶,主毫米波雷达故障(故障程度 3 ),冗余毫米波雷达失效,主摄像头网络攻击(攻击程度 80 ),冗余毫米波雷达失效, V2X 失效。(左降级, 右错误 转向)测试结果如下,当行驶在恶劣天气下并且部分传感器失效时,系统采取降级紧急制动措施可以确保系统在感知前方目标局限的情况下进行正确的紧急制动来避免车辆发 生碰撞,系统在 TTC 为 2.0s 时进行紧急制动,此时车辆达到最高碰撞风险,风险值为 96 ;当行驶在恶劣天气下并且部分传感器失效时,如果没有采取紧急制动降级的措施导致系统错误地进行换道决策与车辆发生碰撞,系统在运行时间 3s 时与前方车辆发生正碰,相对车速为 2m/s, 此时车辆达到最高碰撞风险,风险值为 2000 。通过采取降级紧急制动措施,当行驶在恶劣天气下并且部分传感器失效时,可以将车辆的 安全提高 20.9 倍并避免车辆发生碰撞。
对于控制器模块异常状态的设定,本案例中仅仅设定一种的故障状态、一种驾驶条件以及一种攻击状态。
控制器故障导致控制输出断断续续,故障程度包括 0.95 、 0.85 、 0.75 、 0.65 、 0.55 ,控制器故障导致控制输出断断续续导致控制的偏差的最大值以及最小值如下表所示。
|
横向控制在不同故障下 导致导致 控制偏差 |
||
|
故障程度 |
最小值 |
最大值 |
|
无 |
-0.02 |
+0.02 |
|
0. 95 |
-0.01 |
+0.16 |
|
0. 85 |
-0.10 |
+0.14 |
|
0. 75 |
-0.30 |
-0.01 |
|
0. 65 |
失效 |
失效 |
|
0.5 5 |
失效 |
失效 |
下图为控制器故障程度为 0.75 时的控制器输出结果,上图为无故障时控制器的输出,下图为故障时控制器的输出;
在驾驶条件的设定中只是对路面附着系数进行设置,包括 0.75 、 0.65 、 0.55 、 0.45 、 0.35 。
横向控制在不同路面附着系下导致控制偏差的最大值以及最小值如下表所示。
|
横向控制在不同路面附着系下控制偏差 |
||
|
附着系数 |
最小值 |
最大值 |
|
0.85 |
-0.02 |
+0.02 |
|
0.75 |
-0.02 |
+0.02 |
|
0.65 |
-0.02 |
+0.02 |
|
0.55 |
-0.03 |
+0.03 |
|
0.45 |
失效 |
失效 |
|
0.35 |
失效 |
失效 |
下图为横向控制 路面附着系数 处于 0.45 时的横向控制器换道结果,上图为 附着系数 处于 0.85 时的横向控制器换道结果,下图为 附着系数 处于 0.45 时的横向控制器换道结果。
时延攻击导致横向换道控制偏差,攻击导致时延包括 30ms 、 45ms 、 60ms 、 75ms 、 90ms ,时延攻击导致横向换道控制偏差的最大值以及最小值如下表所示。
|
时延攻击下横向距离控制的偏差 |
||
|
攻击程度 |
最小值 |
最大值 |
|
0 |
-0.02 |
+0.02 |
|
30 |
-0.02 |
+0.03 |
|
45 |
-0.02 |
+0.03 |
|
60 |
-0.05 |
+0.04 |
|
75 |
失效 |
失效 |
|
90 |
失效 |
失效 |
下图为时延时控制器的输出,红色曲线为控制器时延程度为 60ms 时的控制器输出结果,蓝色曲线为无时延时控制器的输出结果。
控制器异常单元测试,主要围绕横向换道控制单元的技术安全要求展开,如下表所示。
|
TSR2.3.4.1.2 |
实时 持续监 测 MCU 的自检信号来识别横向控制单元故障状态 |
D |
|
TSR2.3.4.1.3 |
横向换道控制单元 的冗余与故障隔离设计 |
B |
|
TSR2.3.4.1.4 |
根据主冗余横向控制单元故障状态来切换横向控制单元工作 |
D |
|
TSR2.3.4.2.2 |
实时检测车辆实时状态以及外部驾驶条件 |
D |
|
TSR2.3.4.2.3 |
结合车辆动力学模型和实时路况信息,采用更合适的轨迹规划算法 |
D |
|
TSR2.3.4.2.4 |
(主冗余)横向控制单元根据车辆的实时状态和外部环境的变化,自动调整控制参数 |
D |
|
TSR2.3.4.3.2 |
实时持续检测(主冗余)横向控制单元组件进行攻击检测 |
C |
|
TSR2.3.4.3.5 |
根据主冗余横向控制单元攻击状态来切换控制单元工作 |
C |
a) 实时 持续监 测 MCU 的自检信号来识别主冗余横向控制单元的故障;
控制模块故障检测如下图所示,故障程度包括 0.95 、 0.85 、 0.75 、 0.65 、 0.55 均能够正确检测出故障以及具体故障的程度,达到实时检测控制模块故障的功能,实现 识别横向控制单元故障状态的技术安全要求。
b) 实时检测车辆实时状态以及驾驶条件;
控制模块驾驶条件 检测如下图所示,附着系数包括 0.95 、 0.85 、 0.75 、 0.65 、 0.55 均能够正确检测出驾驶条件 以及具体附着系数的大小,达到实时检测附着系数的功能,实 现检测车辆实时状态以及外部驾驶条件的技术安全要求。
c) 实时持续检测横向控制单元组件进行攻击检测;
控制模块 攻击检测如下图所示,时延程度包括 30 、 45 、 60 、 75 、 90 均能够正确检测出 攻击以及具体时延的程度,达到实时检测 控制模块 时延的功能,实持检测(主冗余)横向控制单元组件进行攻击检测的技术安全要求。
a) 横向换道控制单元的冗余与故障隔离设计;
横向换道控制单元主冗余设计如下图所示,左图为 MPC 横向换道控制单元, 右图为 PID 横向换道控制单元, MPC 横向换道控制单元与 PID 横向控制单元均能准确的跟踪规划的换道轨迹,实现横向控制单元冗余设计的技术安全要求。
1) 根据主冗余横向控制单元故障状态来切换横向控制单元工作;
2) 根据主冗余横向控制单元攻击状态来切换控制单元工作;
主冗余横向控制单元故障状态(攻击状态)来切换横向控制单元工作如下图所示,当主控制单元故障程度(攻击程度)大于冗余控制单元故障程度(攻击程度)时,切换到冗余控制单元进行控制;当冗余控制单元故障程度(攻击程度)大于主控制单元故障程度(攻击程度)时,切换到主控制单元进行控制;当主控制单元故障程度(攻击程度)等于冗余控制单元故障程度(攻击程度)时,维持当前控制单元进行控制,实现横向控制单元故障、网络攻击下的主冗余设计与切换的技术安全要求。
a) 结合车辆动力学模型和实时路况信息,采用更合适的轨迹规划算法
结合车辆动力学模型和实时路况信息,采用更合适的轨迹规划算法如下图所示,车辆规划的五次多项式轨迹随着路面状况的变化而做出调整,随着路面附着 条件的变差,规划的换道轨迹时间越长,纵向换道距离越长,从而保证低附着路面换道的安全,实现换道轨迹规划随路况信息实时调整的技术安全要求。
控制器异常控制模块测试,主要围绕横向换道控制单元在控制模块的安全要求展开,如下表所示。
|
SR2.3.4 |
自动紧急换道系统运行期间应保证车辆横向换道控制能力 |
D |
a) 确保 主(冗余)横向控制单元故障下横向换道控制有效
1) 实时检测主 (冗余) 横向控制单元的故障状态
2) 主横向控制单元故障切换到冗余控制单元进行横向控制
3) 主冗余控制单元切换不影响横向换道控制保证换道控制有效
确保 主(冗余)横向控制单元故障下控制有效的测试如下所示,可以实时准确的对主冗余横向控制单元的故障进行检测,然后根据主冗余横向控制单元的故障情况正确地切换主冗余横向控制单元进行工作,当主冗余横向控制单元发生故障时可以将横向控制误差控制在 0.1m 内,确保在系统运行期间,车辆能够有效进行横向换道控制,实现控制安全要求,如果没有施加安全要求,当主冗余横向控制单元发故障时,横向控制误差控制超过 0.5m 甚至完全失控,在系统运行期间,车辆不能有效进行横向换道控制,车辆无法正确进行换道导致车辆发生碰撞。
a) 确保 主(冗余)横向控制单元网络攻击下横向换道控制有效;
1) 实时检测主 (冗余) 横向控制单元的网络攻击状态;
2) 主( 冗余 )横向控制单元遭到网络攻击切换到冗余(主)控制单元进行 横向控制;
3) 主冗余控制单元切换不影响横向换道控制;
确保 主(冗余)横向控制单元网络攻击下控制有效的测试如下所示,可以实时准确的对主冗余横向控制单元的网络攻击进行检测,然后根据主冗余横向控制单元的网络攻击情况正确地切换主冗余横向控制单元进行工作,当主冗余横向控制单元遭到网络攻击时可以将横向控制误差控制在 0.1m 内,确保在系统运行期间,车辆能够有效进行横向换道控制,实现控制安全要求,如果没有施加安全要求,当主冗余横向控制单元遭到网络攻击时,横向控制误差控制超过 0.5m 甚至 完全失控,在系统运行期间,车辆不能有效进行横向换道控制,车辆无法正确进行换道导致车辆发生碰撞。
a) 确保 主(冗余)横向控制单元在路面条件变化下横向换道控制有效;
1) 实时检测车辆实时状态以及外部驾驶条件 ;
2) 结合车辆动力学模型和实时路况信息,采用更合适的轨迹规划算法 ;
3) 规划的轨迹使得路面条件变化维持横向换道控制能力;
确 保 主(冗余)横 向控制单元在路面条件变化下横向换道控制有效的测试如下所示,可以实时准确的根据路面附着情况正确地规划横向换道轨迹,当路面条件变化时可以规划合适的换道轨迹将横向控制误差控制在 0.1m 内,确保在系统运行期间,车辆能够有效进行横向换道控制,实现控制安全要求,如果没有施加安全要求,当路面条件变化时,无法规划合适的换道轨迹导致横向控制误差控制超过 0.5m 甚至完全失控,在系统运行期间,车辆不能有效进行横向换道控制, 车辆无法正确进行换道导致车辆发生碰撞。
控制异常系统测试,主要围绕横向换道单元异常时系统的安全目标展开,如下所示,主要进行横向换道单元异常时系统自动紧急换道的失效可用以及失效降级测试,避免与其他障碍物品发生碰撞。
|
ID |
安全目标 |
ASIL |
|
SG2 |
应避免自动紧急换道系统运行期间车辆非预期的失去主 动换道 与预警导致于其他交通参与者道路基础设施或障碍物发生碰撞 |
D |
为了评估碰撞过程中的安全风险,将引入以下的碰撞风险公式来衡量行车碰撞风险,通过 即碰时间 以及碰撞的严重程度来计算:
其中
为即碰时间
,
为车辆重量
(
本测试案例中取
1000kg),
为与碰撞目标的相对速度
,
为与碰撞目标的相对航向距离
,
为碰撞类型权重(正碰为
1
,四分之三正碰为
0.9
,二分之一正碰为
0.75
,四分之一正碰为
0.5
,侧碰为
0.5
)。根据公式可知,
即碰时间
越短、相对速度越大,碰撞的风险值越大,车辆越不安全;
碰时间
越长、相对速度越小,碰撞的风险值越小,车辆越安全。
a) 场景 一 :主车以 20m/s 的速度在三车道、良好道路( mu=0.75 )的快速路中间车道上行驶,左车道没有障碍物,主车车道前方车辆以 15m/s 的速度相对主车 25m 处行驶,右车道前方车辆以 10m/s 的速度相对主车 30m 处行驶,主横向控制单元突然发生故障,故障程度 0.55 ,冗余横向控制单元正常。(左施加安全机制主冗余设计, 右无安全措施 )测试结果如下,当横向控制单元故障时,对横向控制单元进行冗余设计与故障切换可以确保系统在横向控制单元故障的情况下进行有效的横向换道控制来避免车辆发生碰撞,系统在 TTC 为 2.1s 时进行紧急制动,此时车辆达到最高碰撞风险,风险值为 569 ;当横向控制单元故障时,如果没有对横向控制单元进行冗余设计与故障切换导致系统无法进行有效的横向换道控制将与车辆或者道路围栏发生碰撞,系统在运行时间 3.7s 时与前方道路围栏发生二分之一正碰,相对碰撞速度 20m/s ,为此时车辆达到最高碰撞风险,风险值为 150000 。通过对横向控制单元进行冗余设计与故障切换措施,当横向控制单元故障时,可以将车辆的 安全提高 263.6 倍并避免车辆发生碰撞。
b) 场景二:主车以 12m/s 的速度在双车道、良好道路( mu=0.85 )的城市道路路上行驶,主车车道前方车辆以 8m/s 的速度相对主车 20m 处行驶,主横向控制单元突然发生故障,故障程度 0.65 ,冗余横向控制单元正常。(左施加安全机制主冗余设计, 右无安全措施 )测试结果如下,当横向控制单元故障时,对横向控制单元进行冗余设计与故障切换可以确保系统在横向控制单元故障的情况下进行有效的横向换道控制来避免车辆发生碰撞,系统在 TTC 为 2.1s 时进行紧急制动,此时车辆达到最高碰撞风险,风险值为 364 ;当横向控制单元故障时,如果没有对横向控制单元进行冗余设计与故障切换导致系统无法进行有效的横向换道控制将与车辆或者道路围栏发生碰撞,系统在运行时间 3.3s 时与前方道路围栏发生二分之一正碰,相对碰撞速度 12m/s ,为此时车辆达到最高碰撞风险, 风险值为 54000 。通过对横向控制单元进行冗余设计与故障切换措施,当横向控制单元故障时,可以将车辆的 安全提高 148.3 倍并避免车辆发生碰撞。
a) 场景 一 :主车以 20m/s 的速度在三车道、良好道路( mu=0.75 )的快速路右车道上行驶,主车车道前方车辆以 15m/s 的速度相对主车 15m 处行驶,中间车道没有车,左车道前方车辆以 10m/s 的速度相对主车 30m 处行驶,前方道路有积水,路面湿滑( mu=0.45 )。(左施加安全机制, 右无安全措施 )测试结果如下,当路面状况变差时,对规划的横向换道轨迹进行调整可以确保系统在路面附着系数低的情况下进行有效的横向换道控制来避免车辆发生碰撞,系统在 TTC 为 2.4s 时进行紧急制动,此时车辆达到最高碰撞风险,风险值为 500 ;当路面状况变差时,如果没有对规划的横向换道轨迹进行调整将导致系统无法进行有效的横向换道控制与车辆或者道路围栏发生碰撞,系统在运行时间 2.8s 时与前方车辆发生侧碰,相对碰撞速度 10m/s ,为此时车辆达到最高碰撞风险,风险值为 25000 。通过对规划的横向换道轨迹进行调整措施,当路面状况变差时,可以将车辆的 安全提高 50.0 倍并避免车辆发生碰撞。
b) 场景二:主车以 20m/s 的速度在双车道、良好道路( mu=0.75 )的快速路上行驶,主车车道前方车辆相对主车 60m 处抛锚停止,旁边车道无车前 方道路 积雪覆盖,路面湿滑( mu=0.35 )。(左施加安全机制, 右无安全措施 )测试结果如下,当路面状况变差时,对规划的横向换道轨迹进行调整可以确保系统在路面附着系数低的情况下进行有效的横向换道控制来避免车辆发生碰撞,系统在 TTC 为 2.7s 时进行紧急制动,此时车辆达到最高碰撞风险,风险值为 7143 ;当路面状况变差时,如果没有对规划的横向换道轨迹进行调整将导致系统无法进行有效的横向换道控制与车辆或者道路围栏发生碰撞,系统在运行时间 2.4s 时与前方道路围栏发生二分之一正碰,相对碰撞速度 20m/s ,为此时车辆达到最高碰撞风险,风险值为 150000 。通过对规划的横向换道轨迹进行调整措施,当路面状况变差时,可以将车辆的 安全提高 21.0 倍并避免车辆发生碰撞。
a) 场景 一 :主车以 20m/s 的速度在三车道、良好道路( mu=0.75 )的快速路中间车道行驶,中间车道前方车辆以 10m/s 的速度相对主车 30m 处行驶,右车道以 8m/s 的速度相对主车 20m 处行驶 , 左车道无车,主横向控制单元遭到网络攻击( Delay=90 ),冗余横向控制单元正常。(左施加安全机制主冗余设计, 右无安全措施 )测试结果如下,当横向控制单元遭到网络攻击时,对横向控制单元进行冗余设计与攻击切换可以确保系统在横向控制单元遭到网络攻击的情况下进行有效的横向换道控制来避免车辆发生碰撞,系统在 TTC 为 2.1s 时进行紧急制 动,此时车辆达到最高碰撞风险,风险值为 2273 ;当横向控制单元遭到网络攻击时,如果没有对横向控制单元进行冗余设计与网络攻击切换导致系统无法进行有效的横向换道控制将与车辆或者道路围栏发生碰撞,系统在运行时间 1.6s 时与前方道路围栏发生侧碰,相对碰撞速度 20m/s ,为此时车辆达到最高碰撞风险,风险值为 100000 。通过对横向控制单元进行冗余设计与网络攻击切换措施,当横向控制单元遭到网络攻击时,可以将车辆的 安全提高 44.0 倍并避免车辆发生碰撞。
b) 场景二:主车以 20m/s 的速度在三车道、良好道路( mu=0.75 )的快速路中间车道行驶,中间车道前方车辆以 15m/s 的速度相对主车 20m 处行驶,左车 道前方车辆相对主车 50m 处抛锚静止 , 右车道无车,冗余工作期间横向控制单元遭到网络攻击( Delay=75 ),主横向控制单元正常。(左施加安全机制主冗余设计, 右无安全措施 )测试结果如下,当横向控制单元遭到网络攻击时,对横向控制单元进行冗余设计与攻击切换可以确保系统在横向控制单元遭到网络攻击的情况下进行有效的横向换道控制来避免车辆发生碰撞,系统在 TTC 为 2.1s 时进行紧急制动,此时车辆达到最高碰撞风险,风险值为 569 ;当横向控制单元遭到网络攻击时,如果没有对横向控制单元进行冗余设计与网络攻击切换导致系统无法进行有效的横向换道控制将与车辆或者道路围栏发生碰撞,系统在运行时间 3.9s 时与前方道路围栏发生侧碰,相对碰撞速度 5m/s ,为此时车辆达到最高碰撞风险,风险值为 6250 。通过对横向控制单元进行冗余设计与网络攻击切换措施,当横向控制单元遭到网络攻击时,可以将车辆的 安全提高 11.0 倍并避免车辆发生碰撞。
a) 场景 一 :主车以 10m/s 的速度在双车道、良好道路( mu=0.85 )的城市道路上行驶,主车车道前方车辆以 5m/s 的速度相对主车 17m 处行驶,冗余横向控制单元突然发生故障,故障程度 0.55 ,主横向控制单元失效。(左施加安全机制主冗余设计, 右无安全措施 )测试结果如下,当横向控制单元故障失效时,系统采取紧急制动避障的降级措施可以确保系统在横向控制单元故障失效情况下进行有效的紧急制动来避免车辆发生碰撞,系统在 TTC 为 1.4s 时进行紧急制动,此时车辆达到最高碰撞风险,风险值为 834 ;当横向控制单元故障失效时,如果没有采取紧急制动避障的降级措施导致系统无法进行有效的横向换道控制将与车辆或者道路围栏发生碰撞,系统在运行时间 2.4s 时与前方道路围栏发生二分之一正碰,相对碰撞速度 10m/s ,为此时车辆达到最高碰撞风险,风险值为 37500 。通过采取紧急制动避障的降级措施,当横向控制单元故障失效时,可以将车辆的 安全提高 45.0 倍并避免车辆发生碰撞。
b) 场景二:主车以 10m/s 的速度在双车道、良好道路( mu=0.75 )的城市道路上行驶,主车车道前方车辆以 5m/s 的速度相对主车 17m 处行驶,冗余横向控制单元突然遭到网络攻击( Delay=90 ),主横向控制单元失效。(左施加安全机制主冗余设计, 右无安全措施 )测试结果如下,当横向控制单元网络攻击失效时, 系统采取紧急制动避障的降级措施可以确保系统在横向控制单元网络攻击失效情况下进行有效的紧急制动来避免车辆发生碰撞,系统在 TTC 为 1.4s 时进行紧急制动,此时车辆达到最高碰撞风险,风险值为 834 ;当横向控制单元网络攻击失效时,如果没有采取紧急制动避障的降级措施导致系统无法进行有效的横向换道控制将与车辆或者道路围栏发生碰撞,系统在运行时间 2.0s 时与前方道路围栏发生侧碰,相对碰撞速度 10m/s ,为此时车辆达到最高碰撞风险,风险值为 25000 。通过采取紧急制动避障的降级措施,当横向控制单元网络攻击失效时,可以将车辆的 安全提高 30.0 倍并避免车辆发生碰撞。
c) 场景三:主车以 20m/s 的速度在双车道、一般道路( mu=0.65 )的快速路上行驶,主车车道前方车辆以 15m/s 的速度相对主车 20m 处行驶,主横向控制单元突然发生故障,故障程度 0.75 ,冗余横向控制单元失效。(左施加安全机制主冗余设计, 右无安全措施 )测试结果如下,当横向控制单元中度故障且路面状况一般失效时,系统采取紧急制动避障的降级措施可以确保系统在横向控制单元中度故障且路面状况一般失效情况下进行有效的紧急制动来避免车辆发生碰撞,系统在 TTC 为 1.5s 时进行紧急制动,此时车辆达到最高碰撞风险,风险值为 782 ;当横向控制单元中度故障且路面状况一般失效时,如果没有采取紧急制动避障的 降级措施导致系统无法进行有效的横向换道控制将与车辆或者道路围栏发生碰撞,系统在运行时间 2.6s 时与前方道路围栏发生侧碰,相对碰撞速度 20m/s ,为此时车辆达到最高碰撞风险,风险值为 100000 。通过采取紧急制动避障的降级措施,当横向控制单元中度故障且路面状况一般失效时,可以将车辆的 安全提高 127.9 倍并避免车辆发生碰撞。
c) 场景三对比:主车以 20m/s 的速度在双车道、一般道路( mu=0.65 )的快速路上行驶,主车车道前方车辆以 15m/s 的速度相对主车 20m 处行驶,主横向控制单元正常,冗余横向控制单元失效(左);主车以 20m/s 的速度在双车道、良好道路( mu=0.85 )的快速路上行驶,主车车道前方车辆以 15m/s 的速度相对 主车 20m 处行驶,主横向控制单元突然发生故障,故障程度 0.75 ,冗余横向控制单元失效(右)。测试结果如下,当横向控制单元中度故障路面状况良好时,系统能够有效的进行横向换道控制;当横向控制单元正常路面状况一般时,系统能够有效的进行横向换道控制;当横向控制单元中度故障且路面状况一般时会导致失效。如果没有综合考虑故障以及路面状况融合对横向控制的影响,行驶在状况一般的道路时,系统将会在横向控制单元中度故障错误的进行换道,导致横向换道失效与前方车辆或者围栏发生碰撞。
d) 场景四:主车以 20m/s 的速度在三车道、一般道路( mu=0.55 )的快速路中间车道行驶,中间车道前方车辆以 15m/s 的速度相对主车 20m 处行驶,右车 道以 10m/s 的速度相对主车 25m 处行驶 , 左车道无车,主横向控制单元遭到网络攻击( Delay=60 ),冗余横向控制单元失效。当横向控制单元中度网络攻击且路面状况一般失效时,系统采取紧急制动避障的降级措施可以确保系统在横向控制单元中度网络攻击且路面状况一般失效情况下进行有效的紧急制动来避免车辆发生碰撞,系统在 TTC 为 1.5s 时进行紧急制动,此时车辆达到最高碰撞风险,风险值为 782 ;当横向控制单元中度网络攻击且路面状况一般失效时,如果没有采取紧急制动避障的降级措施导致系统无法进行有效的横向换道控制将与车辆或者道路围栏发生碰撞,系统在运行时间 3.0s 时与前方道路围栏发生侧碰,相对碰撞速度 20m/s ,为此时车辆达到最高碰撞风险,风险值为 100000 。通过采取紧急制动避障的降级措施,当横向控制单元中度网络攻击且路面状况一般失效时,可以将车辆的 安全提高 127.9 倍并避免车辆发生碰撞。
5) 场景四对比:主车以 20m/s 的速度在三车道、一般道路( mu=0.55 )的快速路中间车道行驶,中间车道前方车辆以 15m/s 的速度相对主车 20m 处行驶,右车道以 10m/s 的速度相对主车 25m 处行驶 , 左车道无车,主横向控制单元正常,冗余横向控制单元网络攻击失效(左);主车以 20m/s 的速度在三车道、良好道路( mu=0.85 )的快速路中间车道行驶,中间车道前方车辆以 15m/s 的速度相对主车 20m 处行驶,右车道以 10m/s 的速度相对主车 25m 处行驶 , 左车道无车,主横向控制单元遭到网络攻击( Delay=60 ),冗余横向控制单元网络攻击失效(右)。测试结果如下,当横向控制单元中度网络攻击路面状况良好时,系统能够有效的进行横向换道控制;当横向控制单元正常路面状况一般时,系统能够有效的进行横向换道控制;当横向控制单元中度网络攻击且路面状况一般时会导致失效。如果没有综合考虑网络攻击以及路面状况融合对横向控制的影响,行驶在状况一般的道路时,系统将会在横向控制单元中度网络攻击错误的进行换道,导致横向换道失效与前方车辆或者围栏发生碰撞。
6) 场景五:主车以 20m/s 的速度在三车道、一般道路( mu=0.65 )的快速路右车道行驶,右车道前方车辆以 10m/s 的速度相对主车 40m 处行驶,左车道以 15m/s 的速度相对主车 20m 处行驶 , 中间车道无车,主横向控制单元遭到网络攻击( Delay=45 ),故障程度 0.85 冗余横向控制单元失效。当横向控制单元轻微故障以及网络攻击且路面状况一般失效时,系统采取紧急制动避障的降级措施可以确保系统在横向控制单元轻微故障以及网络攻击且路面状况一般失效情况下进行有效的紧急制动来避免车辆发生碰撞,系统在 TTC 为 2.0s 时进行紧急制动,此时车辆达到最高碰撞风险,风险值为 2381 ;当横向控制单元轻微故障以及网络攻击且路面状况一般失效时,如果没有采取紧急制动避障的降级措施导致系统无法进行有效的横向换道控制将与车辆或者道路围栏发生碰撞,系统在运行时间 3.1s 时与前方车辆发生侧碰,相对碰撞速度 5m/s ,为此时车辆达到最高碰撞风 险,风险值为 6250 。通过采取紧急制动避障的降级措施,当横向控制单元轻微故障以及网络攻击且路面状况一般失效时,可以将车辆的 安全提高 2.6 倍并避免车辆发生碰撞。
7) 场景五对比:主车以 20m/s 的速度在三车道、一般道路( mu=0.65 )的快速路右车道行驶,右车道前方车辆以 10m/s 的速度相对主车 40m 处行驶,左车道以 15m/s 的速度相对主车 20m 处行驶 , 中间车道无车,主横向控制单元正常,冗余横向控制单元失效(左);主车以 20m/s 的速度在三车道、良好道路( mu=0.85 )的快速路右车道行驶,右车道前方车辆以 10m/s 的速度相对主车 40m 处行驶,左车道以 15m/s 的速度相对主车 20m 处行驶 , 中间车道无车,主横向控制单元遭到网络攻击( Delay=45 ),冗余横向控制单元失效(中);主车以 20m/s 的速度 在三车道、良好道路( mu=0.85 )的快速路右车道行驶,右车道前方车辆以 10m/s 的速度相对主车 40m 处行驶,左车道以 15m/s 的速度相对主车 20m 处行驶 , 中间车道无车,主横向控制单元故障程度( 0.85 ),冗余横向控制单元失效(右)。测试结果如下,当横向控制单元轻微故障路面状况良好时,系统能够有效的进行横向换道控制;当横向控制单元轻微网络攻击路面状况良好时,系统能够有效的进行横向换道控制;当横向控制单元正常路面状况一般时,系统能够有效的进行横向换道控制;当横向控制单元轻微故障以及网络攻击且路面状况一般时会导致失效。如果没有综合考虑故障、网络攻击以及路面状况融合对横向控制的影响,行驶在状况一般的道路时,系统将会在横向控制单元轻微故障以及网络攻击错误的进行换道,导致横向换道失效与前方车辆或者围栏发生碰撞。
