段顺昌，白先旭，石琴，李维汉，何冠男

（1.安徽省智慧交通车路协同工程研究中心，合肥230009；2.合肥工业大学汽车与交通工程学院，车辆工程系自适应结构与智能系统实验室，合肥230009）

我国汽车产业发展非常迅速，机动车保有量飞速增长，交通事故也日益凸显，造成了严重的人员和财 产 损 失。据 世 界 卫 生 组 织（world health organization，who）统计，每年全球约有130万人因交通事故而死亡。值得注意的是，在所有发生的案例中，因驾驶员操作失误或不当而引发的交通事故数目约占总数的90%。为降低居高不下的事故发生率，改善现有的交通环境，各国政府以及相关科研机构都加大了对智能驾驶技术研究的投入，以在自动驾驶技术领域有所突破。且传感器技术与自动驾驶算法水平的不断提升，使自动驾驶技术获得了迅猛发展，自动驾驶系统功能日趋完善，装机量与渗透率不断提高。waymo、tesla、uber、华为、小鹏和蔚来等公司均能实现汽车的多种辅助驾驶功能，甚至实现了部分场景的自动驾驶。但随着实际行驶里程的增加，自动驾驶相关事故也频繁出现。2018年5月18日，美国亚利桑那州一辆配备有安全驾驶员的自动驾驶测试车辆在夜间与自行车相撞，造成骑自行车行人受伤严重不治身亡。根据美国国家运输安全委（national transportation safety board，ntsb）的事故调查，事发前车辆自身的感知系统已经发现危险并发出紧急制动请求，车载控制单元中的感知系统已发现自行车，但其决策系统在设计之初未考虑行人会横穿马路，将感知系统结果丢弃，并屏蔽了车辆自身的紧急制动请求。特斯拉汽车曾发生3起与白色货车相撞的事故，事故的共同原因均是：感知系统在特定的光照条件下将白色车厢识别为天空，未能及时识别出危险。丰田、日产、沃尔沃等汽车公司曾就“幽灵刹车”问题进行产品召回，该现象产生是因为在特殊光照条件、角度及距离情况下车辆将道路上非障碍物识别为障碍物，激活车辆自动紧急制动（automatic emergency braking system，aeb）系统功能，导致车辆非预期制动行为。

从以上事故可以看出，与传统车辆的安全风险相比，自动驾驶车辆所面临的安全风险不仅来自于车辆零部件的失效，即故障性风险，还来自于自动驾驶系统内部功能组件设计不足、性能局限以及组件间信息交互障碍等非故障风险，此类风险在特定场景触发下会导致车辆发生危害行为，难以提前预见，对自动驾驶安全风险贡献更大。此外，在产品设计与开发过程中，用于评估自动驾驶系统安全性的测试场景有限，而自动驾驶车辆在实际道路行驶过程中面临的场景具有随机性与未知性，场景中存在无限数量的元素组合方式，自动驾驶系统即使满足设计要求，仍可能存在大量无法在设计阶段预见的安全风险。为应对自动驾驶车辆带来的风险与挑战，使自动驾驶系统安全水平达到能够实现预期功能设计的要求，将系统的风险控制在合理可接受范围内，国际标准化组织（international standardization organization，iso）下设的功能安全工作组在2018年正式启动全球首个自动驾驶安全国际标准iso/pas21448《道路车辆预期功能安全》的制定工作，设计了如图1所示的预期功能安全（safety of the intended functionality，sotif）设计流程，旨在为自动驾驶汽车的安全开发过程与测试评价体系提供设计指导。iso/pas 21448草案规范和描述了一个基于迭代的系统分析流程，用于识别、分析、减少系统功能不足造成的危害。

自动驾驶汽车sotif问题是汽车行业内的前沿课题，国内外学者分别提出了不同的sotif应用方案，并将sotif融入到自动驾驶车辆的整个生命周期中，指导产品的开发设计与验证测试流程。美国交通部以一台广义的l3级别驾驶辅助汽车为例，对其进行了全面的sotif分析，针对9类安全问题提出了126种潜在功能修改方案。post和davey将sotif框架应用于汽车系统的开发流程，分析了系统开发过程中的潜在危害与风险场景，促进了开发过程中的系统功能和技术改进。abdulazim等对汽车车道保持系统进行了sotif流程分析，并提出了一种基于上下文的ml模型用于解决车道保持系统潜在的人车冲突风险。郭菲菲等则根据sotif评估准则，按照危害行为识别与风险评估、触发事件识别与评估、系统功能修改、功能更新后系统风险评估以及修改方案确认的顺序对全自动泊车辅助系统进行了sotif设计。李波等指出：需要从危害行为事件接受准则和总体风险接受准则两个层面上对自动驾驶sotif的接受准则进行量化，该方案作为中国提案，已经写入到iso/pas 21448标准中。孙骏等在整车层面、白先旭等在控制层面分别提出了自动驾驶汽车sotif的量化评价方法，通过对事故触发场景元素、控制系统瞬态响应、事故严重程度以及场景概率对自动驾驶汽车控制系统进行评价。

aeb系统作为未来实现汽车自动驾驶的重要组成部分，因其能够及时检测到危险并提醒驾驶员或自动制动而避免发生碰撞，受到了高度关注。其基本原理是通过雷达、摄像头、激光雷达等传感器检测道路上的汽车、摩托车、行人和自行车等，根据相应安全模型的计算来判断是否进行报警，或主动制动以避免或减轻碰撞。杨为等以某suv为研究对象，并基于碰撞时间（time to collision，ttc）建立风险评估模型，提出了一种上层模糊控制和下层pid控制的分层控制策略。仿真结果表明，该控制策略能正确向行人发出碰撞预警。郭祥靖等结合驾驶员紧急制动的经验，利用bp神经网络算法建立不同驾驶员在不同紧急制动场景下碰撞时间的预测模型，提出了一种基于bp神经网络预测碰撞时间ttc的aeb控制策略，并仿真验证算法的有效性。kim等提出了一种斜坡aeb系统，利用卡尔曼滤波器估算坡度并计算ttc，结果表明，其ttc比传统ttc更短，触发制动更快。兰凤崇等根据汽车追尾事故深度调查的驾驶员紧急制动数据分析制动系统的制动减速度，建立了考虑碰撞时间的自动紧急制动系统分成控制策略，并验证了控制策略在相对车速65 km/h以内能够实现有效避撞。aeb系统性能受到传感器、算法、控制器等多方面因素的影响。为降低aeb系统由控制策略缺陷导致的系统安全风险，提升aeb系统的sotif性能，本文中按照图1所示的sotif设计流程对aeb系统进行sotif设计开发，具体工作内容与技术贡献为：

图1 sotif设计流程

（1）识别并评估aeb系统控制策略的sotif不足可能造成的危害行为，且评估特定场景下aeb系统控制策略sotif不足造成车辆发生危害行为的触发事件，提出相应安全目标。

（2）针对安全目标，提出一种基于细分场景的aeb系统控制策略。该控制策略对于前车先于自车停止的场景，采用安全距离模型；对于自车先于前车停止的场景，采用2阶ttc模型。基于细分场景的aeb系统控制策略能够在不同场景下引入路面附着系数，以降低aeb系统在控制策略层面的sotif不足风险。

（3）通过carsim-matlab/simu 联合仿真对功能修改前后的aeb系统控制策略在标准测试场景与安全性未知场景下进行验证，并对aeb系统安全接受准则进行量化。对比功能修改前后在事件接受准则和总体风险接受准则两个层面上的系统风险水平。

标准gb/t33901—2021《乘用车自动紧急制动系统（aebs）性能要求及试验方法》中规定，aeb系统应具备以下功能。

（1）碰撞预警和紧急制动功能：车辆直线行驶遇到静止、低速行驶或紧急减速的障碍物（车辆）时，车辆应以光学、触觉及振动等模式预警，且在预警阶段车速不能显著下降，并最终不与障碍物发生碰撞。

（2）系统失效后的警告信号：当aeb系统失效时，系统应启动常亮警告信号，直至aeb系统功能恢复。

（3）驾驶员干扰性能：系统在预警和紧急制动阶段均允许驾驶员通过主动动作中断系统工作。

（4）相邻车道车辆误响应性能：车辆遇到相邻车道车辆行驶时，系统不应启动。

（5）车道内铁板误响应性能：车辆行驶时遇到井盖和限高杆等设施时，系统不应启动。

aeb系统需要全天候全时段监测车辆前方行驶环境，在碰撞发生前提醒驾驶员，并自动启动车辆制动系统使车辆减速，以避免或减轻碰撞。aeb系统输入为：环境感知系统提供的障碍物信息、车载传感器提供的自身车辆状态信息以及驾驶员的主动操作信息。系统输出为光学、声音及振动等预警信息和制动系统的控制命令。对输入输出的假设为：传感器输入到系统的信息真实可信、系统输出的指令可被执行器正确执行。aeb系统功能启动时对车辆控制的优先级低于驾驶员，当驾驶员通过主动动作控制车辆时，功能关闭，控制权归驾驶员。

系统并非在所有情况下都能正常工作，它的正常运行存在一个边界，这个边界称为运行场景。为明确aeb系统能够发挥其预期的功能工作边界，须定义aeb系统的运行场景。在定义的运行场景内，aeb系统应正常工作。对aeb系统的sotif分析均应在运行场景内进行。图2所示为初步定义的aeb系统运行场景。路面平整、附着系数为，自车以速度在车道上匀速行驶，同车道前方距离远处的目标车辆速度为。同车道后方远处的后车以速度匀速行驶。

图2 aeb系统运行场景

对于aeb系统而言，其主要功能是让车辆避免或减轻碰撞，保护人员安全。aeb系统的潜在危害行为不仅会导致车辆碰撞造成人员财产损失，还会造成非人员财产损失的广义损失。损害可根据危害严重程度进行层级划分，如表1所示，从lv1到lv5，损失的严重程度依次增加，lv5为最严重的损失。

表1 aeb系统可能造成的危害评估

为避免aeb系统因sotif性能不足而造成的损失，首先要对aeb系统层级的危害事件进行识别，危害事件是指系统处在某种状态或条件下，系统出现非预期的表现，造成多种级别损失。iso/pas 21448中为aeb系统提供了一个危害事件示例：系统在高速公路上行驶时，出现了减速度为，持续时间为的非预期紧急制动。表2所示为aeb系统在图2所示的运行场景下的危害事件。hv1和hv3虽会引起驾乘人员不舒适，但未造成人员财产损害，对于可能引发碰撞事故的hv2和hv4类危害，在系统设计过程中应尽量避免。

表2 aeb系统的危害事件评估

为分析危害事件的来源，找出系统的潜在触发事件，设定相应的安全目标。采用系统理论过程分析（system theoretic process analysis，stpa）方法对aeb系统进行整车级分析，建立aeb系统的stpa控制架构。图3所示为aeb系统的stpa控制架构：aeb系统通过信息获取系统或通过v2x（vehicle to everything）等方式实时监测车辆前方行驶环境与驾驶员的行为信息，并通过控制系统对车辆与障碍物间的碰撞风险进行评估，以便及时提醒驾驶员或启动车辆制动系统避免碰撞发生。

触发事件是指系统在特定场景下可能导致危害事件发生的具体不安全控制行为。在系统或部件未发生失效的前提下，对图3中的控制系统不安全控制行为进行分析，得到aeb控制系统的触发事件与安全目标，如表3所示。

图3 aeb系统stpa控制架构

表3 aeb系统的hv2和hv4级触发事件与安全目标

表3列出的aeb系统运行潜在危害的共同触发事件是车辆前方有静止或运动障碍，后方有跟随车辆，车辆的安全性与路面状态、自车行驶车速、前车行驶状态等相关。在aeb系统运行潜在危害事件作用下，系统危害行为会带来严重损失，且此类场景与触发事件均为常见事件，系统存在严重设计不足与安全风险。为减少hv2与hv4类危害事件，须明确aeb系统介入时机，对系统控制策略进行改进，进而降低系统风险水平。将表3给出的安全目标进行综合梳理，对aeb系统功能修改的安全目标为：

（1）消除或减少因路面附着系数变化导致系统介入时机变化而引发的碰撞风险。

（2）消除或减少因相对速度变化导致系统介入时机变化而引发的碰撞风险。

根据第1节对aeb系统设计进行sotif分析得出的系统不足来源，确定aeb系统亟需解决的问题是：解决现有的aeb系统控制策略无法兼顾车辆安全与道路通行效率的问题，设计出既保证车辆安全又符合实际驾驶过程的合理性，且保证道路通行效率，减少系统误警和误触发概率的aeb系统控制策略。

为合理构建汽车aeb系统的控制策略，首先对汽车的制动过程进行分析，分析常规驾驶员驾驶情况下的汽车制动过程，明确驾驶员制动过程的驾驶特性和驾驶员制动的最短制动距离以及汽车本身的极限制动能力，将驾驶员因素和车辆制动性能作为构建aeb系统控制策略的基础。图4所示为驾驶员制动过程中的车辆制动力和减速度响应示意图。

图4 驾驶员制动过程示意图

通常情况下，如图4所示，驾驶员在遇到紧急情况时，首先要经过大脑意识反应时间，然后经过动作响应时间t，这两段时间合为驾驶员的反应时间=+t。驾驶员施加力在制动器上，经过后制动器空行程消除，t阶段为制动器制动力增长到需求值的响应时间，这两段时间为制动器的作用时间=+t。阶段为制动器持续制动的时间。

从整个驾驶员制动过程来看，制动距离主要包括驾驶员反应时间通过的距离，制动器作用时间通过的距离和持续制动阶段汽车通过的距离3个部分。

驾驶员反映时间内汽车通过的距离为

式中为车辆初速度。

在制动器起作用阶段，制动器空行程消除时间内，汽车通过的距离为

在制动器制动力增长阶段时间t内，制动减速度呈现一次函数的增长趋势，斜率为，此阶段汽车通过的距离s为

在制动器起作用阶段时间内，汽车通过的距离为

在制动器持续制动阶段时间内，制动过程为匀减速直线运动，初速度为阶段减速后的速度，根据运动公式得持续制动阶段汽车通过的距离为

将式（7）展开后得到为

通过对驾驶员紧急情况制动过程分析，在驾驶员制动过程中，驾驶员制动距离为驾驶员反应阶段、制动器起作用阶段和制动器持续作用阶段3个阶段汽车行驶过的距离。汽车的制动距离是指从踩下制动踏板开始到车辆完全停止过程中驶过的距离，包括制动器起作用阶段和制动器持续作用阶段驶过的距离，分别表示为

根据以上对驾驶员制动和汽车制动过程的分析，根据驾驶员的最短制动距离和车辆本身制动过程中的最短制动距离，得到aeb系统的最小距离边界条件：在汽车最大制动减速度的情况下，汽车的制动距离是常规车辆行驶状态下的极限制动能力，即为汽车的最短制动距离。为保证车辆安全，将车辆最大制动减速度下的制动距离作为汽车aeb系统主动制动功能的最小边界条件。若aeb系统功能执行时的距离小于此边界条件，将不能确保车辆安全，无法保证车辆行驶过程中的完全避撞。

在车辆行驶过程中，当前方目标车辆与自车存在碰撞风险时，两车的相对距离逐渐减小，为避免碰撞，自车需要以一定的减速度减速，直到两车达到共速时，碰撞风险消除，即自车从判断需要制动时刻到共速前所容许行驶的最远距离等于前车在共速时驶过的距离与相对距离之和。假设前车行驶速度为，并以的减速度减速，自车行驶速度为，并以进行减速，为两车相对距离。自车通过传感器信号检测到与前车存在碰撞风险后启动制动系统，使自车达到相应减速度以避免碰撞。忽略信号传递以及控制器判断时间，建立制动后两车行驶距离的关系为

式中为自车从制动器制动力增长阶段与制动力持续阶段驶过的距离；为碰撞风险消除前前车行驶的距离；为安全距离，一般为定值。其中表示为

式中为碰撞风险消除前前车行驶的时间。

为能够兼顾车辆安全和道路通行效率，增强制动结束后安全距离的一致性，减少系统误警和误触发概率，本文中提出基于细分场景的aeb系统控制策略。对于前车比自车先停止情况，如前车静止或前车以较大的减速度减速，此时前车比自车先停止，此时采用安全距离模型，保证自车在aeb系统最小安全边界前减速制动，由此充分保证车辆的安全性。对于在自车达到共速前，前车仍继续行驶的情况，比如前车匀速运动或以较小的减速度减速运动，此时采用2阶ttc模型，以最大限度提高道路通行效率，同时避免与后车发生追尾事故。

（1）若=0，前车处于静止，两车行驶距离为

此时自车aeb系统主动制动功能的最小边界为

式中为此时车辆在当前路面条件下的最大制动减速度，与轮胎和路面条件有关。

（2）若≠0，=0，前车处于匀速行驶状态，两车行驶距离关系式为

在自车减速至共速前，前车一直匀速运动。若=0，意味着两车同向匀速行驶，两车的预计碰撞时间为

若自车减速避免避撞，此时=，求得此时的aeb系统主动制动功能的最小边界为

式中=-。

（3）若≠0，≠0，此时应首先判断自车以一定减速度减速情况下哪辆车先停止，然后计算自车与前车匀减速至停止时间与以及自车最小制动时间，分别为

若＞，前车先于自车停止，两车行驶距离关系为

为避免碰撞，自车以减速度制动至停止所需要的相对距离为

当＞时，aeb系统主动制动功能的最小边界为

（4）若＜，自车先于前车停止，共速时刻两车距离最近，两车行驶距离为

此时在自车减速至共速前，前车仍继续减速行驶，=，代入式（28）后求得此时为

式中：为开方项；=-。当＜时aeb主动制动功能的最小边界为

综合以上，所提出的基于细分场景的aeb系统控制策略的具体安全边界如表4所示。

表4 基于细分场景的aeb系统安全边界

所提出的基于细分场景的aeb控制策略，在全工况中引入了路面影响因素，由此保证车辆安全性的同时，最大限度地提升道路通行效率。对工况全面细致的划分，能够显著减少系统误警和误触发概率。另外，在基于细分场景的aeb系统模型基础上，可以通过设置不同合适的实现多层预警和针对不同驾驶风格设置预警边界，充分考虑驾乘人员的舒适性与个性化，能够解决aeb系统在控制策略层面的sotif问题。

根据图1所示的sotif工作流程，在对系统功能进行改进或功能规范进行修改后，需要对修改后的控制系统的安全性进行评估与验证。根据验证与评估阶段使用的场景可将验证阶段划分为标准测试场景验证与安全性未知场景验证两个阶段，标准测试场景验证阶段须验证系统行为是否符合预期，安全性未知场景验证阶段需要对系统行为是否存在不合理风险进行验证。在进行验证工作前，需要对系统在标准测试场景下行为的验证准则与系统在安全性未知场景下行为风险的确认准则进行定义。根据sotif中国提案中的“量化思想”，对两个验证阶段的验证与确认准则进行量化定义，然后使用carsim-matlab/simu 联合仿真对功能改进前后系统在标准测试场景与安全性未知场景中行为的仿真结果进行对比分析，最后根据定义的验证与确认准则，对是否接受系统功能改进做出最终决定。

对于车辆整体风险的接受准则，sotif中国提案之一的“量化思想的双层安全接受准则”，将安全准则划分为两层，第一层安全接受准则对自动驾驶系统单一危害行为事件进行量化评估，第二层安全接受准则对多类危害事件进行整体安全评估。对于违背第一类安全准则的危害事件数量，若不超过第二层安全接受准则标准，仍可认为系统的总体sotif符合标准。

对于系统sotif的验证，使用双层完全接受准则，对系统危害行为进行量化，然后对系统总体安全风险水平进行评估，给出具体的评估分数。对系统安全接受准则进行建立的第一步是找出系统的安全行为，建立量化指标并确定安全范围。根据国标gb/t33901—2021中对aeb提出的性能要求，建立针对aeb系统控制策略层的功能量化指标及安 全范围，如表5所示。

表5 第一层接受准则中系统危害行为、量化指标及安全范围

表5中evnt开头编号对应事件类危害行为，evnt01产生的原因是系统sotif设计缺陷，存在严重的安全漏洞，是不可接受的危害事件，将该危害事件的加权值取最大值为500。evnt02是系统识别到危害事件，但未能成功制止危害，其加权值取200。acum开头编号对应累计类危害行为，权重系数的选取体现了sotif的第二层接受准则对不同类别的量化指标的重视程度，安全相关指标权重最高。

对系统安全接受准则进行建立的第二步是根据违背第一层安全准则的事件对系统整体安全风险进行评价。可通过加权代价函数对系统整体风险进行计算，代价函数为

式中：为aeb系统在某单一场景下运行的安全风险水平得分，数值越大，车辆在该场景下行为的风险越大；事件类危害行为对应表5中evnt开头编号，()为某一类事件危害行为的量化指标是否超出其安全范围的安全风险系数；为该危害行为的加权系数；累计类危害行为对应表5中acum开头编号，()为某一累计类危害行为的量化指标的安全风险系数；为该行为的加权系数。表中权重系数的选取体现了sotif的第二层接受准则对不同类别的量化指标的重视程度。

图2给出的参数化场景中对aeb系统行为有影响的可参数化元素有：两车距离，自车速度，前车速度，前车减速度以及路面附着系数。可以对每个参数赋值，生成aeb系统测试场景。在得到具体一些列场景后，结合车辆在该特定场景中的表现评分，其评分准则与上述标准测试场景评分准则相同，将aeb系统在一系列场景下运行的安全风险水平评分的和记为系统在系列场景下运行的综合安全风险水平评分。

最后根据功能改进前后系统在标准测试场景与安全性未知场景下的安全风险水平评分，决定是否接受系统功能改进。接受准则由式（35）给出：

式中和分别表示功能改进后的aeb系统在单一场景下运行的安全风险水平评分和在系列场景下运行的综合安全风险水平评分。

将功能改进后的aeb系统控制策略在simu 中建模后与carsim进行联合仿真。aeb系统的运行场景在carsim中进行构建，构建sotif测试场景，其原则应是将非sotif因素排除在外，并提升构造安全性未知场景对功能改进的覆盖率。将功能改进前后的控制策略在相同的场景下运行，评价功能改进前控制策略在不同场景下的安全性能。选择常用的ttc控制策略与基于细分场景的aeb系统控制策略分别在标准测试场景与安全性未知场景下的仿真结果对比，ttc的安全阈值设定为1.2 s，所提控制策略的安全距离取为1 m，且制动时自车以最大减速度进行减速。

（1）汽车aeb系统的标准测试场景

参照标准gb/t 39901—2021对汽车aeb系统的测试方案，在天气晴朗条件下，路面附着性能较好，一般取0.7，在carsim中分别设置如表6所示的测试场景。

表6 aeb系统标准测试场景

（2）汽车aeb系统的安全性未知测试场景

相比gb/t 39901—2021中给出的测试方案，现实中汽车aeb系统遇到的场景更为复杂。图5所示为智能网联汽车测试评价国际联合研究中心公布的高速公路上行驶车辆的车速特征数据。

如图5所示，汽车在高速公路行驶的汽车平均车速达到75 km/h，远高于gb/t 39901—2021中规定的30和50 km/h。另外，雨雪等天气造成路面湿滑，附着系数低至0.5，低于标准测试场景下的0.7。城市中自行车和助力车等低速（10 km/h）非机动车辆造成的交通环境混乱等，对汽车aeb系统有极大考验。aeb系统与行车安全息息相关，一旦发生安全事故就会造成严重的人员财产损失，有必要对车辆在一些高频场景甚至是极端场景下的表现做出评估，具体安全性未知测试场景参数如表7所示。

图5 车辆在高速公路的车速概率分布

表7 aeb系统安全性未知测试场景

（1）标准测试场景仿真分析结果对比

按照表5已知aeb系统测试场景参数，在carsim中搭建aeb系统避撞场景。图6给出功能改进前后aeb系统在各个已知场景下的性能仿真结果。其中相对距离为负值表示主车与障碍车辆发生了碰撞。从图6可以看出，aeb系统功能改进前后均能实现避撞，但功能改进前两车最短相对距离在不同场景下差异较大，最大为4.542 m，最小为0.276 m。两车最短相对距离较大时不利于提高道路通行效率，且易造成被后车追尾事故，较小时难以保证车辆安全，功能改进前的aeb系统对各场景的适应能力不足。功能改进后的aeb系统在各个场景下的两车最短相对距离较为接近，保持在安全距离附近，能够适应各种场景，保证安全性的同时增强了驾驶员对aeb系统的信心度。

图6 标准测试场景下aeb系统性能的仿真结果

表8为功能改进前后aeb系统标准测试场景中的安全风险量化指标取值与整体安全风险水平。以ccrs场景为例，虽然功能改进前后aeb系统均正常启动，且避免发生碰撞，但功能改进前制动结束后两车距离4.542 m，意味着aeb系统提前1.2 s启动，时机过早。一方面降低道路通行效率，还可能造成被后车追尾事故。另一方面可能会妨碍驾驶员正常安全驾驶，降低驾驶员对aeb系统的信心度，在此场景下的得分为62.7分。功能改进后aeb系统提前0.78 s启动，制动结束后两车距离为1.06 m，接近于设定安全阈值1.0 m，在此场景下得分0.02分，远低于功能改进前。其他场景下同样功能改进后的单一风险场景得分低于功能改进前，车辆在标准测试场景下运行的总体风险水平得分下降了129.74分。系统功能安全水平得到提升，系统功能改进可以被接受。（2）安全性未知场景仿真分析结果对比

表8 标准测试场景下功能改进前后的aeb系统风险水平

按照表7安全性未知aeb系统测试场景参数，在carsim中搭建aeb系统避撞场景。图7给出功能改进前后aeb系统在各未知场景下的性能仿真结果，其中相对距离为负值表示主车与障碍车辆发生了碰撞。从图7可以看出，在所示的可能出现的不安全场景下aeb系统功能改进前均出现相对距离为负值的情况，意味着与前车发生了碰撞，避撞失败。功能改进后的aeb系统在各个场景下均避免了与前车发生碰撞，且保持的两车最短相对距离在安全距离附近，证实了功能改进后的aeb系统能够应用于各种不安全场景，改进了现有aeb系统的sotif问题。

图7 安全性未知测试场景下aeb系统性能的仿真结果

表9为功能改进前后aeb系统在安全性未知测试场景中的安全风险量化指标取值与整体安全风险水平。从功能改进前后的aeb系统在标准测试场景下的评分对比可以看出，无论是单一场景风险水平或总体风险水平，功能改进后的aeb系统都远低于功能改进前，功能改进后的aeb系统在系列安全性未知场景中的综合安全风险水平得到降低，确认车辆功能改进在安全性未知sotif场景中不会引入不合理风险。经过双层接受准则对车辆总体安全风险水平进行计算可知，车辆在安全性未知场景下运行的总体风险水平下降，系统功能改进可以被接受。

表9 安全性未知场景下功能改进前后的aeb系统风险水平

为解决现有aeb系统在控制策略层面风险的问题，提升aeb系统的sotif性能，根据sotif评估准则，针对aeb系统控制策略sotif问题可能造成的危害行为进行了识别与风险评估，同时对特定场景下由aeb系统控制策略sotif不足导致车辆发生危害行为的触发事件进行了识别与评估，并提出了相应的安全目标。为达到安全目标，提出一种基于细分场景的aeb系统控制策略。控制策略对于前车先于自车停止的场景，采用安全距离模型；对于自车先于前车停止的场景，采用2阶ttc模型。控制策略在不同场景下均引入了路面附着系数，能够显著降低aeb系统在控制策略层面存在的sotif不足风险。最后，通过carsim-matlab/simu 仿真对功能修改后的aeb系统在标准测试场景与安全性未知场景下作了验证，并与常用的ttc策略做了对比。此外，从事件接受准则和总体风险接受准则两个层面上对aeb系统的功能安全接受准则进行了量化，结果显示功能修改能够通过双层接受准则，功能修改后的aeb系统行为符合功能预期，系统的安全水平得到提升。