日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機站
  • 小程序

    汽車測試網

  • 公眾號

    • 汽車測試網

    • 在線課堂

    • 電車測試

首頁 > 汽車技術 > 正文

基于系統(tǒng)理論過程分析的自動駕駛汽車安全分析方法研究

2020-01-14 23:16:29·  來源:同濟智能汽車研究所  
 
編者按:針對安全性的測試與驗證是自動駕駛汽車技術發(fā)展的關鍵環(huán)節(jié),亟需系統(tǒng)的、能夠覆蓋預期功能安全的自動駕駛汽車安全分析方法,為測試驗證工作提供輸入。同
編者按:針對安全性的測試與驗證是自動駕駛汽車技術發(fā)展的關鍵環(huán)節(jié),亟需系統(tǒng)的、能夠覆蓋預期功能安全的自動駕駛汽車安全分析方法,為測試驗證工作提供輸入。同濟大學智能汽車研究所團隊在自動駕駛汽車安全性研究中,圍繞預期功能安全主題,結合現(xiàn)有標準,開展了包括危險識別、風險評估和安全策略設計在內的研究工作。本文即介紹了前期研究中所提出的自動駕駛汽車安全分析方法,該方法符合ISO 26262標準中規(guī)定的概念階段安全分析流程,基于系統(tǒng)理論過程分析(STPA)方法,從控制的角度展開分析,覆蓋功能安全和預期功能安全問題,并應用于某自動駕駛車輛上進行了安全分析,提出了安全要求。
 
本文發(fā)表于《汽車技術》2019年第12期。
 
作者:同濟大學智能汽車研究所:陳君毅,周堂瑞,邢星宇,熊璐。  
 
摘要:基于系統(tǒng)理論過程分析(STPA)方法,在現(xiàn)有道路車輛功能安全標準框架下,提出一種面向自動駕駛汽車的安全分析方法,該方法同時適用于分析功能安全和預期功能安全的問題,從系統(tǒng)角度出發(fā),將安全問題視為控制問題,找到系統(tǒng)控制過程中存在的潛在危險,并結合原因分析,最終提出功能安全要求。利用該方法對某開發(fā)階段的SAE L3級自動駕駛汽車進行安全分析,提出了相應的功能安全要求,并驗證了所提方法的可行性和有效性。
 
1、前言
 
安全性分析與驗證是汽車開發(fā)過程中的重要環(huán)節(jié)。依據危險來源的不同,自動駕駛汽車的安全問題可分為功能安全、預期功能安全和信息安全。國際標準化組織(International Organization for Standardization,ISO)頒布的ISO 26262《道路車輛功能安全》為汽車全生命周期內的功能安全設計提供了指導。2019年初公布的ISO/PAS21448《道路車輛預期功能安全》則補充了自動駕駛系統(tǒng)的安全設計指導。
 
Nancy Leveson于2011年提出基于系統(tǒng)理論的系統(tǒng)理論過程分析(Systems-Theoretic Process Analysis,STPA)方法,將安全視為控制問題,目標是識別出那些可能導致危險發(fā)生的不充分的控制,通過安全約束使風險降低到可接受的程度。近年來,研究人員開始嘗試應用STPA對自動駕駛汽車進行安全分析,初步驗證了STPA方法用于自動駕駛汽車安全分析的可行性。然而現(xiàn)有研究分析對象多為某一系統(tǒng)或功能較為單一的低級別自動駕駛汽車,對于復雜的SAE L3級及以上的自動駕駛汽車,STPA進行安全分析的適用性還有待驗證。
基于以上背景,本文提出一種在現(xiàn)有標準框架下,基于STPA的自動駕駛汽車安全分析方法,并在某SAE L3級自動駕駛汽車上進行了應用實踐。
 
2、基于STPA的安全分析方法
 
STPA分析從具體事故出發(fā),推導得到系統(tǒng)級安全約束,即為避免或減輕危險帶來的傷害,對系統(tǒng)行為安全性提出的要求。從控制結構識別不安全控制行為是該方法的核心。本文提出基于STPA的自動駕駛汽車安全分析方法,具體流程如圖1所示。
圖1 基于STPA的安全分析方法
該方法分為3個流程,共7個步驟,各步驟具體任務為:
  • 第1步:相關項定義,明確分析對象的具體功能及其運行場景,作為后續(xù)工作的基礎。
  • 第2~6步:危害分析和風險評估,首先基于已有信息,建立系統(tǒng)控制結構,梳理各功能的控制行為;其次,基于一定的輸入條件,識別不安全控制行為;然后,將不安全控制行為與具體運行場景相結合,得到整車級危險事件,并利用標準中汽車安全完整性等級(Automotive Safety Integration Level,ASIL)對每項危險事件從暴露率、嚴重度和可控性3個角度進行評估,得到風險較高的危險事件;最后,為避免以上危險事件,提出整車級安全目標。
  • 第7步:功能安全概念推導,為實現(xiàn)整車級安全目標,提出功能安全要求。將要求分為a,b兩部分,首先分析各種不安全控制行為的原因,然后結合各功能的安全目標,得到具體的針對子系統(tǒng)或軟、硬件的功能安全要求。
3、自動駕駛汽車安全分析
 
將本文提出的自動駕駛車輛安全分析方法應用于某SAE L3級自動駕駛車輛。
3.1 明確功能及運行場景
本文所分析的自動駕駛汽車分為有人駕駛和自動駕駛兩種模式,全程配備駕駛員。基于設計目標,明確車輛自動駕駛模式下的功能和對應場景要素如表1所示。
表1 車輛自動駕駛模式下功能及運行場景
3.2 建立整車系統(tǒng)控制結構
基于以上具體功能,建立車輛控制結構,如圖2所示。
圖2 所分析自動駕駛汽車控制結構
建立系統(tǒng)控制結構后,結合具體控制信息,可得到車輛各功能的ICU具體控制行為及相應的輸入、輸出,結果如表2所示。
表2 所分析自動駕駛汽車各功能ICU控制行為及對應輸入輸出
3.3 識別不安全控制行為
針對以上各具體控制行為,分析識別不安全控制行為。不安全控制行為基本分類如表3所示。分為需要被控時不提供控制U1,不需要被控時提供控制U2,以及被控對象需要控制時提供控制時的3類不安全控制行為:錯誤的控制提供時間U3、錯誤的控制持續(xù)時間U4和錯誤的控制信號U5。
表3 不安全控制行為分類
3.4 識別危險事件
系統(tǒng)的不安全控制行為將會導致車輛非預期行為,在特定運行場景下導致危險事件。由圖2可知,ICU依據環(huán)境傳感器、定位系統(tǒng)等的具體輸入決定其控制行為,而這些系統(tǒng)的輸入即對應一定的環(huán)境條件。依據表2中各控制行為觸發(fā)輸入條件,可以得到具體運行場景,結合各功能不安全控制行為,進而得到整車級危險事件。
開發(fā)團隊對該車在多種工況下進行了共100余次測試,測試過程中由自動駕駛系統(tǒng)導致的危險共出現(xiàn)26次。通過分析危險發(fā)生場景及系統(tǒng)狀態(tài),26次危險事件對應5類不安全控制行為的比例如圖3所示。
圖3 測試過程中各類不安全控制行為對應危險事件占比
以車輛避障功能為例,分析得到5類不安全控制行為對應危險事件如表4所示。
表4 不安全控制行為對應危險事件
結合具體測試結果,對應危險事件H4,測試中出現(xiàn)車輛檢測到障礙物并成功開始避障繞行后,由于失去障礙物信息而直接規(guī)劃路徑回原車道行駛,導致與障礙物碰撞的情況。而對于危險事件H5,測試中出現(xiàn)車輛在遇紙箱等大型障礙物進行避障時與障礙物發(fā)生剮蹭的情況。以上結果驗證了危險事件分析的合理性和有效性。
3.5 對危險事件進行風險評估
依據ISO 26262,采用ASIL對每項危險事件從暴露率、嚴重度和可控性角度進行評估,據此可以篩選出風險大、必須采取措施避免或控制的危險事件。
由于車輛在運行過程中,行人、障礙物和其他車輛出現(xiàn)的可能性都較高,各項危險事件在這些場景下均有可能導致事故,故所有事件的暴露率評級均取最高E4;由于車輛自動駕駛時設計速度慢(自動駕駛模式下行駛速度不超過20 km/h),即使發(fā)生事故,也不會對相關人員造成較嚴重傷害,故各項危險事件嚴重度最高為S1;同樣由于車輛速度慢,且車上有駕駛員隨時觀察周圍環(huán)境和車輛狀態(tài),危險事件發(fā)生后駕駛員有較長反應時間來采取措施,故各項危險事件可控性最高為C2。由此,各項危險事件ASIL評級最高為A級,可認為整體安全風險較低。
注:本文風險評估以實現(xiàn)完整的安全分析為目的,仍采用傳統(tǒng)的基于專家評價的評估方法。后續(xù)將開展面向自動駕駛汽車的量化風險評估方法研究。
3.6 得到安全目標
為了避免或減輕車輛危險事件造成事故或傷害,提出對應的整車級安全目標。本文將安全目標表述為某一功能的目的,即在某一條件下,車輛應該實現(xiàn)的對應功能,并達到一定效果,具體安全目標舉例見表5。
3.7 提出功能安全要求
為實現(xiàn)以上安全目標,本文提出通過結合對不安全控制行為的原因分析得到具體的功能安全要求。依據各引發(fā)原因,可以提出更加有針對性的功能安全要求。本文以表2中避障功能為例,針對ICU避障功能控制行為,具體展示以上各步驟的分析結果,如表5所示。
表5 避障功能安全分析
基于分析所得不安全控制行為及其原因,提出ICU避障功能相關功能安全要求如下:
  • 足夠的硬件配置和計算資源,ICU運行環(huán)境適宜,且有充足、穩(wěn)定的供電;
  • 實時檢測車輛前方一定距離,有且僅有在有障礙物且GPS信號穩(wěn)定情況下,及時規(guī)劃并執(zhí)行繞行避障,轉彎繞行時確保車輛與障礙物有足夠距離;
  • 避障過程中實時檢測并保持車輛與障礙物的安全距離,完全繞過障礙物后車輛才可回到原車道行駛;
  • GPS信號不穩(wěn)定時,不得規(guī)劃執(zhí)行避障操作,且需提醒駕駛員;
  • 實時監(jiān)測傳感器、ICU輸出信號,以及ICU運行環(huán)境和電池電量,異常時提醒駕駛員并主動控制車輛減速停車。
綜合系統(tǒng)各功能分析中不安全控制行為的原因可以發(fā)現(xiàn),由于ICU是集成在開發(fā)平臺上的單一硬件,其失效導致的危險事件在現(xiàn)有缺少監(jiān)控模塊的系統(tǒng)結構下是難避免。因此,本文還提出了對各傳感器和ICU輸出信號以及ICU運行環(huán)境實時監(jiān)測的功能安全要求。同時,新增系統(tǒng)管理模塊實時接收分析各輸入、輸出信號狀態(tài),確保當ICU或傳感器輸出異常時,直接控制車輛減速停車,提醒駕駛員并嘗試重啟駕駛腦。以上新增模塊及其相應輸入、輸出如圖4所示,基于此可對所分析車輛控制結構進行改進。
圖4 新增模塊及相應輸入輸出
在識別危險事件的過程中還可以發(fā)現(xiàn),由于車輛各功能涉及的運行場景可能出現(xiàn)重復的情況,為避免某一場景下多功能觸發(fā)引起危險,還需考慮多種功能的優(yōu)先級問題。
匯總所有分析結果,本文共提出3方面功能安全要求:
  • 硬件功能安全要求:ICU應有足夠的硬件配置、適宜的運行環(huán)境并穩(wěn)固安裝;ICU應有充足且穩(wěn)定的供電。
  • 軟件功能安全要求:僅在規(guī)定區(qū)域、條件下啟動某一功能;減速停車有最高優(yōu)先級;保障各行駛模式下與路沿、車道線、軌跡點的距離和誤差以及避障模式下與障礙物的安全距離;實時顯示GPS信號狀態(tài),并在GPS信號弱時提醒駕駛員。
  • 新增監(jiān)測和系統(tǒng)管理模塊:實時監(jiān)控各傳感器和ICU的輸出,異常情況及時提醒駕駛員并控制車輛減速停車;實時監(jiān)控ICU運行溫度,異常情況提醒駕駛員并控制車輛減速停車,同時嘗試重啟駕駛腦;實時監(jiān)控車輛狀態(tài),包括電池電量,電量低于20%時及時提醒駕駛員。
4、結語
 
本文提出一種結合STPA方法與現(xiàn)有安全標準流程的自動駕駛汽車安全分析方法,基于不安全控制行為識別危險事件,進而推導得到功能安全要求。該方法在L3級自動駕駛汽車上的應用實踐表明,其可以同時分析功能安全和預期功能安全問題,提出包括硬件、軟件和系統(tǒng)模塊改進等3方面功能安全要求,驗證了該方法進行高等級自動駕駛汽車安全分析的可行性和有效性。后續(xù)研究將針對該方法面向功能切換和過渡過程中的安全風險進行擴展。
后續(xù)研究計劃:在本文基礎上,針對STPA方法無法體現(xiàn)完整車輛狀態(tài)的問題,團隊進一步對其進行了擴展,提出了結合狀態(tài)機的STPA方法,從而更系統(tǒng)地識別危險事件,并進行了實車試驗。后續(xù)還將圍繞預期功能安全主題,展開以下三方面的研究工作:  
  • 在系統(tǒng)局限性方面,開展基于試驗的傳感器影響因素分析方法,基于ODD的傳感器性能局限測試用例生成方法,和基于場景分析的決策規(guī)劃系統(tǒng)功能局限測試用例生成方法研究工作;
  • 在危險識別方面,開展自動化迭代的自動駕駛汽車危險識別方法研究工作;
  • 在風險評估方面,開展以可控性為主的面向自動駕駛汽車的危險事件量化風險評估方法的研究工作。
 
聯(lián)系人:李老師  
電話:021-69589225
郵箱:11666104@#edu.cn
分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25