一、摘要   接管過程是指在特定條件下要求駕駛員接管車輛控制的情況，目前對這個過程缺乏安全分析。為了解決這個問題，這篇文章根據(jù)ISO 21448對系統(tǒng)理論過程分析（STPA）進行了擴展，將其用于接管系統(tǒng)的安全分析，接管系統(tǒng)由駕駛員和人機界面（HMI）組成。首先，分析系統(tǒng)級危險，以制定安全約束。然后，對接管過程的控制結(jié)構(gòu)進行建模，以識別考慮人為因素的不安全控制行為。最后，分析了不安全控制行為的原因，提出了人機界面的安全要求，以指導接管系統(tǒng)的設計。應用該方法分析了在封閉區(qū)域運行的自動駕駛車輛的接管系統(tǒng)，并確定了相應的安全要求。根據(jù)問卷調(diào)查和接管測試的結(jié)果，證明該分析方法適用于提高接管系統(tǒng)的安全性。

二、背景   在SOTIF范圍內(nèi)，不正確的人機交互是導致危險事件的主要因素，而接管過程是不正確人機交互的重要來源之一。為了確保接管過程的安全，有必要對該過程進行研究，并使用安全分析方法設計人機界面（HMI）。最近有關(guān)接管過程的研究主要集中在影響接管時間和質(zhì)量，以及駕駛員接管過程心理模型的構(gòu)建。在安全分析方法方面，現(xiàn)有的車輛安全分析研究包括故障樹分析（FTA）、故障模式和影響分析（FMEA）、危險和可操作性分析（HAZOP）等方法。然而，這些安全分析方法很少應用于接管過程，因為它們并不合適。STPA方法可以有效地分析出當前被分析系統(tǒng)中存在的人員誤操作因素，是被普遍應用于SOTIF人員誤操作領(lǐng)域的分析方法。

三、具體分析過程   現(xiàn)行標準ISO 21448“道路車輛-預期功能的安全性”給出了導致危險事件的人為因素引導詞，如表所示。

在識別出系統(tǒng)中的不安全控制措施(UCA）后，可以根據(jù)這些指導詞來分析造成這些UCA的原因，然后開始整個具體的分析過程。   首先找出接管過程中存在的系統(tǒng)級危害，以及對應的約束（需求）

   然后給出一個面向接管的控制結(jié)構(gòu)，如圖：

   外部環(huán)境信息與車輛控制單元（VCU）的信息一起輸入自動駕駛系統(tǒng)（包括感知和決策），以決定是否需要接管車輛。當需要接管操作時，接管信號發(fā)送至接管系統(tǒng)中的HMI。然后，HMI提供的車輛信息和接管請求以及外部環(huán)境信息發(fā)送給駕駛員。然后，駕駛員根據(jù)自己的識別和判斷處理信息，以決定是否接管車輛。當駕駛員決定接管時，駕駛員發(fā)出的手動/自動駕駛（MD/AD）切換指令發(fā)送至VCU，VCU根據(jù)駕駛員的動作開始執(zhí)行駕駛?cè)蝿?。當切換回自動駕駛儀時，自動駕駛系統(tǒng)控制VCU。（如果重點分析誤操作，可不可以在圖里加一個駕駛員目前的狀態(tài)能否及時接管車輛，這樣可以讓我們對風險對分析更加清晰，更好分類）然后找出五項與接管相關(guān)的動作：C1：駕駛員開始手動駕駛/將駕駛權(quán)移交給自動駕駛系統(tǒng)。C2：車輛信息作為輸入發(fā)送給駕駛員，為駕駛員提供參考。C3：接收請求由HMI發(fā)送給駕駛員。C4：外部環(huán)境信息作為輸入發(fā)送給駕駛員，為駕駛員提供參考。C5：自動駕駛系統(tǒng)將接收信號發(fā)送至HMI。    對于控制動作C1、C2、C3，找出可能發(fā)生危險的場景 

    然后，從駕駛員的認知、判斷和行為中考慮因果因素。以C1為例，說明危害及原因分析過程，再以相同的方式分析其他兩個控制動作。STPA中UCA的發(fā)生可能分為四種情況：需要提供但未提供控制行為導致危險；提供控制行為后導致危險；提供可能安全的控制行為但提供節(jié)點過早、過晚或順序錯誤；控制行為持續(xù)太久或停止過早（僅針對持續(xù)性控制行為而非離散行為）。對于每一種情況，找出這種情況發(fā)生可能導致的危險種類，并找出具體的因果情景。然后對于每種危險，根據(jù)分析出的具體因果場景提出安全約束和需求
 

    隨后，按照相同的步驟對另外兩種不安全控制措施進行了分析，并提出了所有控制措施的詳細安全要求。對初步分析中提出的系統(tǒng)級安全約束進行了細化和補充。接管系統(tǒng)的HMI設計遵循以下詳細安全要求 

   文章后續(xù)還做了HMI的設計（給出HMI設計的規(guī)劃和具體布局圖，接管請求的設計），并找參與者做了問卷測試和接管時間調(diào)查，由于與STPA關(guān)系不大，不做詳細介紹。

四、收獲

通過多篇STPA文章可以看出，如果想對SOTIF范圍內(nèi)的人員誤操作進行分析，那么駕駛員心理模型是至關(guān)重要的，對人員誤操作關(guān)注越多心理模型就要盡可能的詳細。我認為，可以探究能否在心理模型中設置以布爾值表示的駕駛員的某一項反應能力的狀態(tài)（如駕駛員此時能否接收到HMI系統(tǒng)發(fā)送的信息、能否在需要接管系統(tǒng)時成功接管系統(tǒng)等），并根據(jù)狀態(tài)將與人員誤操作有關(guān)的危險場景進行分類，這樣可以把抽象的經(jīng)驗分析化為具體，并對分析流程進行簡化。

在文章結(jié)構(gòu)上，該篇文章其實采用的是先找控制動作再找與每種控制動作有關(guān)的系統(tǒng)性危險，而STPA采用的是由定義的損失找系統(tǒng)級方法，兩者的派生關(guān)系不一樣。在筆記中我進行了小的修改，還是遵照STPA官方手冊的順序，即并沒有把控制動作放在系統(tǒng)級危險的前面。因為我覺得由控制動作導出危險可能導致不全面的問題，而且在文章中也并沒有看出這么做的必要性。