Analysis of Functional Insufficiencies and Triggering Conditions to Improve the SOTIF of an MPC-based Trajectory Planner

📄 arXiv: 2407.21569v2 📥 PDF

作者: Mirko Conrad, Georg Schildbach

分类: eess.SY, cs.RO, cs.SE, eess.SP

发布日期: 2024-07-31 (更新: 2024-08-01)

备注: Extended Version

期刊: Control Engineering Practice, vol. 164, 2025

DOI: 10.1016/j.conengprac.2025.106461

💡 一句话要点

针对MPC轨迹规划器的SOTIF分析与改进,提升自动驾驶安全性

🎯 匹配领域: 支柱一:机器人控制 (Robot Control)

关键词: SOTIF 模型预测控制 MPC 轨迹规划 功能安全 自动驾驶 ISO21448

📋 核心要点

  1. 传统功能安全方法在应对复杂MPC算法时面临挑战,需要新的SOTIF方法来保障自动驾驶安全。
  2. 论文提出了一种针对MPC轨迹规划器的SOTIF分析方法,并结合ISO21448标准识别功能不足和触发条件。
  3. 通过上下文无关开发SOTIF相关要素,并基于识别的FI和TC优化安全概念,提升MPC轨迹规划器的安全性。

📝 摘要(中文)

过去十年,自动驾驶技术取得了显著进展,车辆控制算法的复杂性也随之增加。模型预测控制(MPC)作为一种流行的车辆运动规划和控制方法,得到了广泛应用。然而,安全问题限制了其应用,传统的ISO26262功能安全(FS)标准已达到极限。因此,车辆预期功能安全(SOTIF)成为关注焦点,其标准ISO21448于2022年发布。由于SOTIF经验不足,工业界和研究界缺乏案例研究。本文旨在做出两项主要贡献:(1)针对通用MPC轨迹规划器进行SOTIF分析;(2)解释并具体应用ISO21448中的通用程序,以确定功能不足(FI)和触发条件(TC)。本文的创新之处包括SOTIF相关要素的上下文无关开发方法(SOTIF-EooC),MPC轨迹规划器的重要FI和TC汇编,以及基于已识别FI和TC的优化安全概念。

🔬 方法详解

问题定义:论文旨在解决在自动驾驶系统中,基于模型预测控制(MPC)的轨迹规划器在实际应用中面临的安全问题。传统的ISO26262功能安全标准难以覆盖MPC算法的复杂性和不确定性,导致潜在的功能不足(FI)和触发条件(TC)难以被有效识别和处理,从而影响自动驾驶系统的安全性。

核心思路:论文的核心思路是采用车辆预期功能安全(SOTIF)标准ISO21448,对MPC轨迹规划器进行全面的安全分析。通过识别MPC算法中潜在的功能不足和触发条件,并基于这些信息设计优化的安全概念,从而提高MPC轨迹规划器的安全性和可靠性。论文还提出了SOTIF相关要素的上下文无关开发方法(SOTIF-EooC),以便更灵活地进行安全分析和设计。

技术框架:论文的技术框架主要包括以下几个阶段:1) 对通用的MPC轨迹规划器进行建模和分析;2) 依据ISO21448标准,系统地识别MPC轨迹规划器中潜在的功能不足(FI)和触发条件(TC);3) 提出一种SOTIF相关要素的上下文无关开发方法(SOTIF-EooC),用于更灵活地进行安全分析和设计;4) 基于已识别的FI和TC,设计优化的安全概念,包括安全机制和缓解措施,以降低风险;5) 对提出的方法和安全概念进行验证和评估。

关键创新:论文的关键创新点在于:1) 针对MPC轨迹规划器,系统地应用了SOTIF标准ISO21448,并提供了具体的FI和TC分析结果,为其他研究者和工程师提供了参考;2) 提出了SOTIF相关要素的上下文无关开发方法(SOTIF-EooC),使得安全分析和设计更加灵活和高效;3) 基于已识别的FI和TC,设计了优化的安全概念,并验证了其有效性。与现有方法相比,该论文更注重对MPC算法内在安全问题的分析和解决,而不是仅仅依赖于外部的安全机制。

关键设计:论文的关键设计包括:1) 详细定义了MPC轨迹规划器的功能和性能指标,为后续的FI和TC识别提供了基础;2) 采用系统化的方法,例如故障树分析(FTA)和失效模式与影响分析(FMEA),来识别潜在的FI和TC;3) 设计了针对特定FI和TC的安全机制,例如冗余传感器、安全监控器和故障恢复策略;4) 提出了SOTIF-EooC方法,允许在不同的开发阶段和上下文中重用SOTIF相关要素,提高了开发效率。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

论文的主要亮点在于对MPC轨迹规划器进行了全面的SOTIF分析,并提供了具体的FI和TC列表。此外,提出的SOTIF-EooC方法能够有效提高安全分析的效率。虽然论文没有提供具体的性能数据,但其提出的安全概念和缓解措施有望显著提升MPC轨迹规划器的安全性。

🎯 应用场景

该研究成果可应用于自动驾驶汽车、无人驾驶车辆、高级驾驶辅助系统(ADAS)等领域,提升车辆在复杂环境下的安全性和可靠性。通过识别和缓解MPC轨迹规划器的功能不足和触发条件,可以有效降低事故风险,加速自动驾驶技术的商业化进程,并为相关安全标准的制定提供参考。

📄 摘要(原文)

Automated and autonomous driving has made a significant technological leap over the past decade. In this process, the complexity of algorithms used for vehicle control has grown significantly. Model Predictive Control (MPC) is a prominent example, which has gained enormous popularity and is now widely used for vehicle motion planning and control. However, safety concerns constrain its practical application, especially since traditional procedures of functional safety (FS), with its universal standard ISO26262, reach their limits. Concomitantly, the new aspect of safety-of-the-intended-function (SOTIF) has moved into the center of attention, whose standard, ISO21448, has only been released in 2022. Thus, experience with SOTIF is low and few case studies are available in industry and research. Hence this paper aims to make two main contributions: (1) an analysis of the SOTIF for a generic MPC-based trajectory planner and (2) an interpretation and concrete application of the generic procedures described in ISO21448 for determining functional insufficiencies (FIs) and triggering conditions (TCs). Particular novelties of the paper include an approach for the out-of-context development of SOTIF-related elements (SOTIF-EooC), a compilation of important FIs and TCs for a MPC-based trajectory planner, and an optimized safety concept based on the identified FIs and TCs for the MPC-based trajectory planner.