天远韩|婷玉刘|焕松张|勇军沈|琼宝
东南大学交通学院，南京，211189，中国

**摘要**
尽管Safety-I措施可以帮助自动驾驶车辆降低风险，但它们往往引入新的次要风险。因此，当前的自动驾驶车辆（AVs）经常面临防止追尾碰撞与避免被追尾之间的困境。为了解决这个问题，本研究提出了一种Safety-II类别的稳态风险控制（SRC）策略，以确保纵向控制的安全韧性并提高在混合交通流中的适应性。该策略通过评估驾驶员的风险预防能力间接描述风险，超越了对传统交通冲突技术的依赖。它进一步利用稳态风险理论探索驾驶员对不确定性的适应机制，为自动驾驶的纵向控制引入了Safety-II范式。在此框架下，纵向轨迹基于个性化风险预测进行规划，并使用线性时变模型预测控制算法开发SRC策略。通过替换传统的Safety-I边界约束（针对状态和控制变量），SRC采用了一种高效的解析解决方案。最后，通过模拟实验（涉及前车的速度范围和紧急制动减速度等变量），并以自动紧急制动（AEB）系统作为Safety-I类别的典型实现进行比较。结果表明，虽然AEB系统的碰撞率为41.67%，但SRC策略始终能够实现安全、平稳和可靠的制动。此外，SRC有效减少了跟随人工驾驶车辆时所需的减速度，显著降低了追尾碰撞的风险并改善了混合交通流中的协调性。

**引言**
受伦理和法律要求的限制，自动驾驶车辆（AVs）必须优先考虑安全，以尽量减少交通事故的发生[1,2]。如果发生涉及AV的碰撞，不仅会导致关于责任分配的法律纠纷，还会引起公众的怀疑和批评[3]。然而，交通环境的不确定性和复杂性带来了巨大的挑战。目前，在各种情况下，AVs的碰撞风险高于人工驾驶车辆（HVs）[4,5]。在所有事故类型中，追尾碰撞是涉及AV的主要事故类型，占总事故的超过一半[6,7]。进一步的研究表明，AV被追尾的概率是HVs的三到五倍[8,9]。

为了提高AV的纵向安全性，研究人员开发了多种用于紧急情况的碰撞避免策略，常见的方法包括无碰撞路径规划和纵向紧急制动[10]。前者通过实时轨迹规划实现避障，但由于交通拥堵的约束往往无法灵活机动[11]。后者，如自动紧急制动（AEB）系统[12]，在检测到碰撞风险时自动触发车辆制动，已成为AV的几乎标准功能。这种检测和缓解风险的方法属于传统的安全管理范式，即Safety-I[13]。虽然它可以降低碰撞概率，但也存在明显的“副作用”。研究表明，AV的防御性制动行为是它们容易受到前方车辆追尾的主要原因[8,14]，而紧急制动是最常见的事故前行为[9]。

正是Safety-I范式的“副作用”使AV在防止与前车追尾与避免被后方车辆追尾之间陷入两难境地。一方面，为了避免追尾前车，自动紧急制动（AEB）系统需要保持足够的灵敏度和减速度[7]；另一方面，过于突然的制动动作可能会因后车措手不及而引发碰撞。Hollnagel认为，一个设计良好的容错系统比故障发生后的补救措施更有效[15]。如果AV能够保持足够的安全韧性，它们将能够在紧急情况下主动控制和解决危险，而不是被动激活紧急制动，从而避免产生新的次要风险。

由于Safety-I的局限性，一种更先进的安全范式——Safety-II受到了广泛关注[13,16]。与仅依赖机械手段防止事故的Safety-I不同，Safety-II侧重于维持系统的安全韧性，以确保所有组件的持续正常运行。在这方面，本研究创新地将Safety-II理念引入自动驾驶研究，并开发了一种适应复杂和动态交通条件的纵向控制策略。其目标是转变现有的被动防御控制策略，从而提高AV的安全性能和混合交通流的运行效率。

为了更好地将Safety-II理念引入AV的纵向控制系统领域，本研究回顾了Safety-II的相关研究和应用，总结了当前AV安全策略的现状和不足。Safety-II的概念由Hollnagel提出，他认为安全管理应该从防御故障和关注问题出错的方式转变为创造安全、关注事情顺利进行的方式，即从Safety-I向Safety-II的转变[13]。Safety-I被定义为“错误或事故数量最小化的状态”，强调通过消除错误和故障来确保安全。相比之下，与韧性工程内在一致的Safety-II被定义为“在预期和非预期条件下尽可能取得成功的能力”，主张通过增强系统的适应性和稳定性来维护安全[13,16]。例如，Safety-I关注疾病的治疗效果，而Safety-II旨在通过增强身体的免疫系统来维持健康。

十多年来，Safety-II吸引了安全领域的广泛关注，相关研究和应用涉及众多领域。在医疗领域，Raben等人提出了一种基于Safety-II理念的系统性领先指标识别方法，以探索医疗系统日常成功运行的关键要素，突破了传统滞后指标的局限性[17]。Patterson和Deutsch结合Safety-I和Safety-II范式，提出了一个具有双轨学习机制的医疗安全管理实践框架[18]。Sujan等人讨论了基于Safety-II范式的功能共振分析方法（FRAM）的临床性能，并强调了其在适应复杂适应系统分析逻辑方面的优势[19]。在航空领域，Zhang等人使用动态贝叶斯网络方法构建了飞机起飞姿态和飞行操作的“因果-时间”耦合模型[20]。Jia等人将FRAM在描述复杂系统功能耦合方面的优势与STPA的危险分析能力相结合，提出了一种符合Safety-II范式的民用飞机系统安全分析方法[21]。在管理领域，Provan等人讨论了一种指导适应性安全管理的模型，旨在帮助组织从“事故后问责”转变为“系统化适应性优化”[22]。Ham认为，管理层面应通过关注员工的日常成功表现，而不是仅仅因表现偏差而问责，来优化员工的动态绩效和系统安全的适应性[23]。Martins等人不仅关注建筑项目中的显性安全风险，还关注人员、流程和设备在各个环节中的成功实践和适应性操作，并提出了结合两种安全范式的应用框架[24]。Sarvari等人通过全面文献综述，提出了一种结合两种安全范式的建筑安全管理系统，涉及安全文化转型、员工教育和培训以及标准化数据收集[25]。在核能领域，Park等人基于Safety-II构建了用于核电站意外反应堆事故安全评估的定性网络模型，并分析了关键影响因素[26]。Hamer等人通过文献综述指出了核能安全中的不足，如人为因素与系统设计之间的脱节以及缺乏动态风险评估，并强调了从Safety-I向Safety-II转变的必要性[27]。

Safety-I和Safety-II之间的差异不仅体现在哲学层面，也体现在实际操作中[28]。前者通常采取有针对性的紧急响应或临时措施，这些措施仅在满足触发条件时才激活[29]，往往出于必要而使用，因此经常带来额外的次要风险。相比之下，后者需要在日常操作中持续发挥作用[30]，注重系统的安全韧性，具有预见性、全面性和主动性，更适合动态、复杂和不确定的环境[31,32]。

总之，学术界充分认识到Safety-II范式在帮助系统适应变化和抵抗压力方面的独特优势。然而，大多数现有研究仍处于宏观概念阶段，主要以案例描述和经验总结的形式进行探索和讨论。这是因为与关注特定故障场景且目标明确的Safety-I范式相比，Safety-II所涉及的“成功经验”更为复杂、模糊和隐含。因此，Safety-II范式在实践中更难实施，需要更高的专业水平，对从业者的系统认知能力提出更高要求。这进一步导致将其先进理念有效转化为可复制和可扩展的实际解决方案变得困难，限制了Safety-II范式的进一步普及。

AV的安全策略大致可以分为两个层次：安全评估和安全控制，几乎所有相关研究都属于Safety-I范式。

在安全评估方面，传统研究采用交通冲突技术，以交通冲突和事故为起点，提出了数十种替代安全措施，如碰撞时间（TTC）和避免碰撞的减速度（DRAC），旨在反映驾驶过程中的潜在风险[33]。这种研究方法是Safety-I思维的典型体现：过度强调故障而忽视日常成功的驾驶实践，导致系统安全问题的孤立和碎片化理解，最终使得安全评估变得碎片化和表面化[13,16]。以TTC为例，研究表明，只有在TTC阈值极低（TTC < 1.5秒）时，交通冲突与碰撞事件之间存在强烈相关性，而收集的数据在大多数情况下与安全无关[34,35]。值得注意的是，目前没有标准的阈值选择标准，不同研究中TTC的风险阈值从1秒到6秒不等[36,37]。然而，阈值是安全评估的基准；缺乏明确的选择标准意味着无法进行准确的定性安全分析。

在安全控制方面，当前的AV通过定义操作设计域（ODD）[38]并采用辅助安全技术[39]以及核心算法，构建了多层次的防御系统，以最大化驾驶可靠性。当驾驶状态和交互环境超出ODD边界并引发预期使用中的功能安全风险时，AV必须及时转移控制权或激活备用防御策略[40]。以纵向安全为例，现有的防御策略由风险阈值触发，如自动紧急制动（AEB）、自动紧急转向（AES）[39]和自动预制动（APB）[41]；这些都是Safety-I范式下的临时和被动预防控制措施。如前所述，尽管这些防御策略可以减少与前车的追尾碰撞，但它们大多是紧急响应措施，容易引发后方车辆的追尾等次要风险。总结来说，基于Safety-I范式的安全控制存在功能模块分散的问题，这不仅导致策略之间的过渡和连接不佳，还可能因各个环节行动响应的冲突而带来新的潜在安全风险。过去，自动驾驶技术的开发者盲目强调90%的事故是由人为错误引起的，并对人为因素持有高度批评态度[42]，然而他们忽视了人类驾驶员在大多数情况下为保障交通安全所采取的成功驾驶实践。直到发现自动驾驶车辆（AVs）的安全性能不如人类驾驶员时，人们才开始认识到人类驾驶员对交通安全的重要贡献。与通常将人类视为系统安全隐患的Safety-I不同，Safety-II将人类视为系统灵活性和韧性的宝贵资源[43]。实际上，人类驾驶员总是对驾驶安全有直观的感知，并且除非分心或疲劳，否则几乎能够敏锐地识别风险[44]。此外，人类驾驶员会不断动态调整车速以应对情境风险的变化并保持安全，而不仅仅是在风险超过可接受水平时才采取避险措施[45,46]。因此，为了进一步提高自动驾驶车辆的安全性，我们必须正视Safety-I范式的缺陷和局限性，并实现安全策略从Safety-I向Safety-II的转变。

鉴于当前自动驾驶车辆的后端碰撞率较高，本研究分析了现有的Safety-I安全管理范式的缺点和局限性，并创新地将更为先进的Safety-II理念引入自动驾驶开发中，整个研究框架如图1所示。本研究的三大主要贡献如下：(1) 基于Safety-II，通过理论和数据的结合提出了一种新的潜在风险指标，该指标采用了严格的阈值选择标准，摒弃了Safety-I范式中对交通冲突技术的依赖；(2) 基于风险稳态理论，构建了一种满足个性化需求的Safety-II范式，用于自动驾驶车辆的纵向控制，可以解释驾驶者如何在实际驾驶过程中保持交通安全；(3) 基于构建的Safety-II范式，通过模型预测控制（MPC）开发了一种稳态风险控制（SRC）算法，该算法能够在确保自身车辆行驶安全的同时有效降低被后方车辆追尾的风险。

构建Safety-II范式
风险稳态理论（RHT）认为，个体对特定活动中可接受的风险水平有相对稳定的心理预期[45]。当外部风险超出或预计超出这一阈值时，个体会采取行动来调节或维持风险在可接受的范围内。这一描述从哲学角度阐述了Safety-II范式，说明了驾驶者如何努力保持安全。

考虑安全韧性的纵向控制
Safety-II范式解释了人类驾驶员如何适应性保持安全。在此基础上，本研究开发了一种适用于Safety-II模式下自动驾驶车辆的纵向控制策略。

性能评估
在混合交通环境中，存在许多不确定性和随机因素。为了全面验证自动驾驶算法在各种情境下的适应性，通常需要进行数十亿英里的道路测试。然而，在完成全面的性能评估之前，自动驾驶车辆无法在现实环境中进行测试。因此，基于危险情景的测试已成为当前的主流方法[48]。

结论性评论
本研究设计了一种可行的Safe-Ⅱ范式，用于自动驾驶车辆（AVs）的纵向控制，并提出了一种稳态风险控制（SRC）算法。受风险稳态理论的启发，Safe-Ⅱ范式旨在通过将风险维持在预期水平来确保足够的安全韧性。在此框架内，SRC策略基于模型预测控制（MPC）设计，能够平衡安全性、效率和服务舒适性，并动态调整车辆运动。

CRediT作者贡献声明
韩天源：撰写——审阅与编辑，撰写——原始草案，方法论，数据整理，概念化
刘廷玉：数据整理，概念化
张焕松：软件开发
沈永军：资金筹集
包琼：资金筹集