一、AEB功能安全的核心价值与场景分析框架

AEB（Autonomous Emergency Braking）作为L2+级自动驾驶的核心功能，其安全性直接关系到用户信任与法规合规性。根据ISO 26262功能安全标准，AEB系统需在”可预见的误用”和”合理的滥用”场景下保持功能安全。场景分析需覆盖环境感知、决策控制、执行机构三大维度，形成”输入-处理-输出”的闭环验证框架。

典型场景分类可参考Euro NCAP测试规范，结合中国道路特征扩展为6大类23子场景：

1. 前向碰撞场景（占比65%）

   • 动态目标：前车急刹、变道切入
   • 静态目标：行人横穿、儿童突然跑出
   • 特殊目标：低矮障碍物（如倒地自行车）、非标准车辆（三轮车）

2. 交叉路口场景（占比20%）

   • 无保护左转：对向直行车冲突
   • 右转盲区：行人/非机动车从视觉盲区出现
   • 信号灯失效：黄灯加速通过的博弈场景

3. 弯道场景（占比10%）

   • 入弯速度过快：曲率预测误差导致制动延迟
   • 出弯障碍物：弯道末端突然出现的静止车辆

4. 夜间场景（占比3%）

   • 低光照条件：行人反光标识缺失
   • 对向远光干扰：摄像头过曝导致目标丢失

5. 恶劣天气场景（占比2%）

   • 雨雾天气：激光雷达点云衰减
   • 积雪路面：轮胎附着力突变

6. 系统失效场景（强制要求）

   • 传感器故障：摄像头遮挡、雷达串扰
   • 算法失效：深度学习模型误分类
   • 执行机构卡滞：制动助力失效

二、危害识别方法论与风险评估模型

危害识别需采用系统化分析方法，推荐使用HAZOP（危险与可操作性分析）结合STPA（系统理论过程分析）的混合方法：

1. HAZOP分析步骤

   • 定义引导词：如”无”、”过早”、”过晚”、”错误分类”
   • 构建偏差树：以”目标检测”节点为例

     目标检测偏差
     ├─ 漏检（False Negative）
     │  ├─ 行人未被识别
     │  └─ 前车突然制动未触发
     └─ 误检（False Positive）
        ├─ 道路标线误判为障碍物
        └─ 阴影误判为行人

   • 评估后果严重度（S0-S3）与发生概率（E0-E4），计算ASIL等级

2. STPA增强分析
   针对控制逻辑缺陷，构建四级控制结构：

   高层需求（避免碰撞）
   ↓
   功能需求（TTC<2.5s时触发制动）
   ↓
   设计约束（制动减速度≤0.8g）
   ↓
   物理实现（ESP液压单元响应时间<150ms）

   识别不安全控制行为（UCA），例如：

   • 错误触发：TTC计算误差导致误制动
   • 触发不足：低附着力路面制动距离不足
   • 触发过晚：系统延迟超过安全阈值

3. 风险矩阵构建
   结合场景频率与危害等级，建立三维评估模型：
   | 场景类型 | 发生频率（次/万公里） | 严重度（S） | ASIL等级 |
   |————————|———————————|——————|—————|
   | 前车急刹 | 12.5 | S3 | ASIL D |
   | 儿童突然跑出 | 0.8 | S3 | ASIL C |
   | 传感器串扰 | 0.02 | S2 | ASIL B |

三、典型危害场景深度解析与应对策略

1. 前车急刹场景的危害链

危害触发路径：

1. 前车以80km/h行驶→突然急刹至0km/h
2. 本车AEB系统TTC计算延迟150ms
3. 制动触发时剩余距离仅12m（需14m制动）
4. 发生二次碰撞

风险缓解措施：

• 感知层：采用前向毫米波雷达+摄像头融合方案，雷达TTC测量精度±0.1s
• 决策层：引入”预制动”策略，当TTC<3s时提前释放制动踏板摩擦力
• 执行层：采用线控制动系统，响应时间缩短至120ms

2. 交叉路口无保护左转场景

技术挑战：

• 多目标跟踪：需同时处理对向直行车、行人、非机动车
• 意图预测：对向车是否会让行存在不确定性

解决方案：

• 构建V2X通信增强：通过路侧单元获取对向车速度信息
• 引入博弈论模型：基于NAO（Near Accident Scenario）数据库训练决策树
• 设置安全缓冲区：当存在冲突可能时，强制停车等待3秒

3. 夜间行人检测失效场景

失效模式分析：

• 摄像头低光照性能下降：信噪比低于15dB时检测率骤降
• 红外传感器干扰：对向车大灯造成热噪声

改进方案：

• 传感器融合：采用4D毫米波雷达补充检测，其角分辨率达1°×2°
• 算法优化：引入注意力机制CNN，重点关注行人典型运动特征
• 照明增强：集成低功耗LED补光系统，仅在检测到疑似目标时激活

四、功能安全开发实践建议

1. 场景库建设：

   • 采集真实道路数据≥1000万公里，覆盖95%以上典型场景
   • 使用CARLA仿真平台构建极端场景，如”鬼探头”行人+对向远光干扰

2. 测试验证策略：

   • HIL测试：覆盖所有ASIL C/D级场景，每个场景测试次数≥1000次
   • 实车测试：在封闭测试场完成5000km等效里程验证
   • 影子模式：通过OTA收集用户实际驾驶数据，持续优化模型

3. 安全机制设计：

   • 冗余设计：采用双ECU架构，主系统失效时备用系统接管时间<50ms
   • 安全监控：设置独立的安全监控单元（SMU），实时检查传感器健康状态
   • 故障处理：定义明确的降级策略，如传感器失效时切换至保守制动模式

4. 标准合规性：

   • 符合ISO 26262 ASIL D要求，单点故障度量（SPFM）>90%
   • 满足GB/T 39901-2021《汽车自动紧急制动系统（AEBS）性能要求及试验方法》
   • 通过UN R152法规认证，获得E-mark证书

五、未来发展趋势与挑战

随着L3级自动驾驶落地，AEB系统正向”可脱手”方向发展，面临三大挑战：

1. 长尾场景覆盖：需解决0.1%概率的极端场景
2. 系统复杂度管理：传感器数量增加导致故障模式呈指数级增长
3. 人机共驾协调：避免系统过度干预与驾驶员信任冲突

建议采用”场景驱动+数据闭环”的开发模式，通过真实道路数据持续迭代算法，同时建立完善的功能安全管理体系，确保AEB系统在全生命周期内保持可靠性能。