日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測(cè)試網(wǎng)

  • 公眾號(hào)

    • 汽車測(cè)試網(wǎng)

    • 在線課堂

    • 電車測(cè)試

基于系統(tǒng)理論過(guò)程分析的自動(dòng)駕駛汽車安全分析方法研究

2020-01-14 23:16:29·  來(lái)源:同濟(jì)智能汽車研究所  
 
編者按:針對(duì)安全性的測(cè)試與驗(yàn)證是自動(dòng)駕駛汽車技術(shù)發(fā)展的關(guān)鍵環(huán)節(jié),亟需系統(tǒng)的、能夠覆蓋預(yù)期功能安全的自動(dòng)駕駛汽車安全分析方法,為測(cè)試驗(yàn)證工作提供輸入。同
編者按:針對(duì)安全性的測(cè)試與驗(yàn)證是自動(dòng)駕駛汽車技術(shù)發(fā)展的關(guān)鍵環(huán)節(jié),亟需系統(tǒng)的、能夠覆蓋預(yù)期功能安全的自動(dòng)駕駛汽車安全分析方法,為測(cè)試驗(yàn)證工作提供輸入。同濟(jì)大學(xué)智能汽車研究所團(tuán)隊(duì)在自動(dòng)駕駛汽車安全性研究中,圍繞預(yù)期功能安全主題,結(jié)合現(xiàn)有標(biāo)準(zhǔn),開(kāi)展了包括危險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和安全策略設(shè)計(jì)在內(nèi)的研究工作。本文即介紹了前期研究中所提出的自動(dòng)駕駛汽車安全分析方法,該方法符合ISO 26262標(biāo)準(zhǔn)中規(guī)定的概念階段安全分析流程,基于系統(tǒng)理論過(guò)程分析(STPA)方法,從控制的角度展開(kāi)分析,覆蓋功能安全和預(yù)期功能安全問(wèn)題,并應(yīng)用于某自動(dòng)駕駛車輛上進(jìn)行了安全分析,提出了安全要求。
 
本文發(fā)表于《汽車技術(shù)》2019年第12期。
 
作者:同濟(jì)大學(xué)智能汽車研究所:陳君毅,周堂瑞,邢星宇,熊璐。  
 
摘要:基于系統(tǒng)理論過(guò)程分析(STPA)方法,在現(xiàn)有道路車輛功能安全標(biāo)準(zhǔn)框架下,提出一種面向自動(dòng)駕駛汽車的安全分析方法,該方法同時(shí)適用于分析功能安全和預(yù)期功能安全的問(wèn)題,從系統(tǒng)角度出發(fā),將安全問(wèn)題視為控制問(wèn)題,找到系統(tǒng)控制過(guò)程中存在的潛在危險(xiǎn),并結(jié)合原因分析,最終提出功能安全要求。利用該方法對(duì)某開(kāi)發(fā)階段的SAE L3級(jí)自動(dòng)駕駛汽車進(jìn)行安全分析,提出了相應(yīng)的功能安全要求,并驗(yàn)證了所提方法的可行性和有效性。
 
1、前言
 
安全性分析與驗(yàn)證是汽車開(kāi)發(fā)過(guò)程中的重要環(huán)節(jié)。依據(jù)危險(xiǎn)來(lái)源的不同,自動(dòng)駕駛汽車的安全問(wèn)題可分為功能安全、預(yù)期功能安全和信息安全。國(guó)際標(biāo)準(zhǔn)化組織(International Organization for Standardization,ISO)頒布的ISO 26262《道路車輛功能安全》為汽車全生命周期內(nèi)的功能安全設(shè)計(jì)提供了指導(dǎo)。2019年初公布的ISO/PAS21448《道路車輛預(yù)期功能安全》則補(bǔ)充了自動(dòng)駕駛系統(tǒng)的安全設(shè)計(jì)指導(dǎo)。
 
Nancy Leveson于2011年提出基于系統(tǒng)理論的系統(tǒng)理論過(guò)程分析(Systems-Theoretic Process Analysis,STPA)方法,將安全視為控制問(wèn)題,目標(biāo)是識(shí)別出那些可能導(dǎo)致危險(xiǎn)發(fā)生的不充分的控制,通過(guò)安全約束使風(fēng)險(xiǎn)降低到可接受的程度。近年來(lái),研究人員開(kāi)始嘗試應(yīng)用STPA對(duì)自動(dòng)駕駛汽車進(jìn)行安全分析,初步驗(yàn)證了STPA方法用于自動(dòng)駕駛汽車安全分析的可行性。然而現(xiàn)有研究分析對(duì)象多為某一系統(tǒng)或功能較為單一的低級(jí)別自動(dòng)駕駛汽車,對(duì)于復(fù)雜的SAE L3級(jí)及以上的自動(dòng)駕駛汽車,STPA進(jìn)行安全分析的適用性還有待驗(yàn)證。
基于以上背景,本文提出一種在現(xiàn)有標(biāo)準(zhǔn)框架下,基于STPA的自動(dòng)駕駛汽車安全分析方法,并在某SAE L3級(jí)自動(dòng)駕駛汽車上進(jìn)行了應(yīng)用實(shí)踐。
 
2、基于STPA的安全分析方法
 
STPA分析從具體事故出發(fā),推導(dǎo)得到系統(tǒng)級(jí)安全約束,即為避免或減輕危險(xiǎn)帶來(lái)的傷害,對(duì)系統(tǒng)行為安全性提出的要求。從控制結(jié)構(gòu)識(shí)別不安全控制行為是該方法的核心。本文提出基于STPA的自動(dòng)駕駛汽車安全分析方法,具體流程如圖1所示。
圖1 基于STPA的安全分析方法
該方法分為3個(gè)流程,共7個(gè)步驟,各步驟具體任務(wù)為:
  • 第1步:相關(guān)項(xiàng)定義,明確分析對(duì)象的具體功能及其運(yùn)行場(chǎng)景,作為后續(xù)工作的基礎(chǔ)。
  • 第2~6步:危害分析和風(fēng)險(xiǎn)評(píng)估,首先基于已有信息,建立系統(tǒng)控制結(jié)構(gòu),梳理各功能的控制行為;其次,基于一定的輸入條件,識(shí)別不安全控制行為;然后,將不安全控制行為與具體運(yùn)行場(chǎng)景相結(jié)合,得到整車級(jí)危險(xiǎn)事件,并利用標(biāo)準(zhǔn)中汽車安全完整性等級(jí)(Automotive Safety Integration Level,ASIL)對(duì)每項(xiàng)危險(xiǎn)事件從暴露率、嚴(yán)重度和可控性3個(gè)角度進(jìn)行評(píng)估,得到風(fēng)險(xiǎn)較高的危險(xiǎn)事件;最后,為避免以上危險(xiǎn)事件,提出整車級(jí)安全目標(biāo)。
  • 第7步:功能安全概念推導(dǎo),為實(shí)現(xiàn)整車級(jí)安全目標(biāo),提出功能安全要求。將要求分為a,b兩部分,首先分析各種不安全控制行為的原因,然后結(jié)合各功能的安全目標(biāo),得到具體的針對(duì)子系統(tǒng)或軟、硬件的功能安全要求。
3、自動(dòng)駕駛汽車安全分析
 
將本文提出的自動(dòng)駕駛車輛安全分析方法應(yīng)用于某SAE L3級(jí)自動(dòng)駕駛車輛。
3.1 明確功能及運(yùn)行場(chǎng)景
本文所分析的自動(dòng)駕駛汽車分為有人駕駛和自動(dòng)駕駛兩種模式,全程配備駕駛員?;谠O(shè)計(jì)目標(biāo),明確車輛自動(dòng)駕駛模式下的功能和對(duì)應(yīng)場(chǎng)景要素如表1所示。
表1 車輛自動(dòng)駕駛模式下功能及運(yùn)行場(chǎng)景
3.2 建立整車系統(tǒng)控制結(jié)構(gòu)
基于以上具體功能,建立車輛控制結(jié)構(gòu),如圖2所示。
圖2 所分析自動(dòng)駕駛汽車控制結(jié)構(gòu)
建立系統(tǒng)控制結(jié)構(gòu)后,結(jié)合具體控制信息,可得到車輛各功能的ICU具體控制行為及相應(yīng)的輸入、輸出,結(jié)果如表2所示。
表2 所分析自動(dòng)駕駛汽車各功能ICU控制行為及對(duì)應(yīng)輸入輸出
3.3 識(shí)別不安全控制行為
針對(duì)以上各具體控制行為,分析識(shí)別不安全控制行為。不安全控制行為基本分類如表3所示。分為需要被控時(shí)不提供控制U1,不需要被控時(shí)提供控制U2,以及被控對(duì)象需要控制時(shí)提供控制時(shí)的3類不安全控制行為:錯(cuò)誤的控制提供時(shí)間U3、錯(cuò)誤的控制持續(xù)時(shí)間U4和錯(cuò)誤的控制信號(hào)U5。
表3 不安全控制行為分類
3.4 識(shí)別危險(xiǎn)事件
系統(tǒng)的不安全控制行為將會(huì)導(dǎo)致車輛非預(yù)期行為,在特定運(yùn)行場(chǎng)景下導(dǎo)致危險(xiǎn)事件。由圖2可知,ICU依據(jù)環(huán)境傳感器、定位系統(tǒng)等的具體輸入決定其控制行為,而這些系統(tǒng)的輸入即對(duì)應(yīng)一定的環(huán)境條件。依據(jù)表2中各控制行為觸發(fā)輸入條件,可以得到具體運(yùn)行場(chǎng)景,結(jié)合各功能不安全控制行為,進(jìn)而得到整車級(jí)危險(xiǎn)事件。
開(kāi)發(fā)團(tuán)隊(duì)對(duì)該車在多種工況下進(jìn)行了共100余次測(cè)試,測(cè)試過(guò)程中由自動(dòng)駕駛系統(tǒng)導(dǎo)致的危險(xiǎn)共出現(xiàn)26次。通過(guò)分析危險(xiǎn)發(fā)生場(chǎng)景及系統(tǒng)狀態(tài),26次危險(xiǎn)事件對(duì)應(yīng)5類不安全控制行為的比例如圖3所示。
圖3 測(cè)試過(guò)程中各類不安全控制行為對(duì)應(yīng)危險(xiǎn)事件占比
以車輛避障功能為例,分析得到5類不安全控制行為對(duì)應(yīng)危險(xiǎn)事件如表4所示。
表4 不安全控制行為對(duì)應(yīng)危險(xiǎn)事件
結(jié)合具體測(cè)試結(jié)果,對(duì)應(yīng)危險(xiǎn)事件H4,測(cè)試中出現(xiàn)車輛檢測(cè)到障礙物并成功開(kāi)始避障繞行后,由于失去障礙物信息而直接規(guī)劃路徑回原車道行駛,導(dǎo)致與障礙物碰撞的情況。而對(duì)于危險(xiǎn)事件H5,測(cè)試中出現(xiàn)車輛在遇紙箱等大型障礙物進(jìn)行避障時(shí)與障礙物發(fā)生剮蹭的情況。以上結(jié)果驗(yàn)證了危險(xiǎn)事件分析的合理性和有效性。
3.5 對(duì)危險(xiǎn)事件進(jìn)行風(fēng)險(xiǎn)評(píng)估
依據(jù)ISO 26262,采用ASIL對(duì)每項(xiàng)危險(xiǎn)事件從暴露率、嚴(yán)重度和可控性角度進(jìn)行評(píng)估,據(jù)此可以篩選出風(fēng)險(xiǎn)大、必須采取措施避免或控制的危險(xiǎn)事件。
由于車輛在運(yùn)行過(guò)程中,行人、障礙物和其他車輛出現(xiàn)的可能性都較高,各項(xiàng)危險(xiǎn)事件在這些場(chǎng)景下均有可能導(dǎo)致事故,故所有事件的暴露率評(píng)級(jí)均取最高E4;由于車輛自動(dòng)駕駛時(shí)設(shè)計(jì)速度慢(自動(dòng)駕駛模式下行駛速度不超過(guò)20 km/h),即使發(fā)生事故,也不會(huì)對(duì)相關(guān)人員造成較嚴(yán)重傷害,故各項(xiàng)危險(xiǎn)事件嚴(yán)重度最高為S1;同樣由于車輛速度慢,且車上有駕駛員隨時(shí)觀察周圍環(huán)境和車輛狀態(tài),危險(xiǎn)事件發(fā)生后駕駛員有較長(zhǎng)反應(yīng)時(shí)間來(lái)采取措施,故各項(xiàng)危險(xiǎn)事件可控性最高為C2。由此,各項(xiàng)危險(xiǎn)事件ASIL評(píng)級(jí)最高為A級(jí),可認(rèn)為整體安全風(fēng)險(xiǎn)較低。
注:本文風(fēng)險(xiǎn)評(píng)估以實(shí)現(xiàn)完整的安全分析為目的,仍采用傳統(tǒng)的基于專家評(píng)價(jià)的評(píng)估方法。后續(xù)將開(kāi)展面向自動(dòng)駕駛汽車的量化風(fēng)險(xiǎn)評(píng)估方法研究。
3.6 得到安全目標(biāo)
為了避免或減輕車輛危險(xiǎn)事件造成事故或傷害,提出對(duì)應(yīng)的整車級(jí)安全目標(biāo)。本文將安全目標(biāo)表述為某一功能的目的,即在某一條件下,車輛應(yīng)該實(shí)現(xiàn)的對(duì)應(yīng)功能,并達(dá)到一定效果,具體安全目標(biāo)舉例見(jiàn)表5。
3.7 提出功能安全要求
為實(shí)現(xiàn)以上安全目標(biāo),本文提出通過(guò)結(jié)合對(duì)不安全控制行為的原因分析得到具體的功能安全要求。依據(jù)各引發(fā)原因,可以提出更加有針對(duì)性的功能安全要求。本文以表2中避障功能為例,針對(duì)ICU避障功能控制行為,具體展示以上各步驟的分析結(jié)果,如表5所示。
表5 避障功能安全分析
基于分析所得不安全控制行為及其原因,提出ICU避障功能相關(guān)功能安全要求如下:
  • 足夠的硬件配置和計(jì)算資源,ICU運(yùn)行環(huán)境適宜,且有充足、穩(wěn)定的供電;
  • 實(shí)時(shí)檢測(cè)車輛前方一定距離,有且僅有在有障礙物且GPS信號(hào)穩(wěn)定情況下,及時(shí)規(guī)劃并執(zhí)行繞行避障,轉(zhuǎn)彎繞行時(shí)確保車輛與障礙物有足夠距離;
  • 避障過(guò)程中實(shí)時(shí)檢測(cè)并保持車輛與障礙物的安全距離,完全繞過(guò)障礙物后車輛才可回到原車道行駛;
  • GPS信號(hào)不穩(wěn)定時(shí),不得規(guī)劃執(zhí)行避障操作,且需提醒駕駛員;
  • 實(shí)時(shí)監(jiān)測(cè)傳感器、ICU輸出信號(hào),以及ICU運(yùn)行環(huán)境和電池電量,異常時(shí)提醒駕駛員并主動(dòng)控制車輛減速停車。
綜合系統(tǒng)各功能分析中不安全控制行為的原因可以發(fā)現(xiàn),由于ICU是集成在開(kāi)發(fā)平臺(tái)上的單一硬件,其失效導(dǎo)致的危險(xiǎn)事件在現(xiàn)有缺少監(jiān)控模塊的系統(tǒng)結(jié)構(gòu)下是難避免。因此,本文還提出了對(duì)各傳感器和ICU輸出信號(hào)以及ICU運(yùn)行環(huán)境實(shí)時(shí)監(jiān)測(cè)的功能安全要求。同時(shí),新增系統(tǒng)管理模塊實(shí)時(shí)接收分析各輸入、輸出信號(hào)狀態(tài),確保當(dāng)ICU或傳感器輸出異常時(shí),直接控制車輛減速停車,提醒駕駛員并嘗試重啟駕駛腦。以上新增模塊及其相應(yīng)輸入、輸出如圖4所示,基于此可對(duì)所分析車輛控制結(jié)構(gòu)進(jìn)行改進(jìn)。
圖4 新增模塊及相應(yīng)輸入輸出
在識(shí)別危險(xiǎn)事件的過(guò)程中還可以發(fā)現(xiàn),由于車輛各功能涉及的運(yùn)行場(chǎng)景可能出現(xiàn)重復(fù)的情況,為避免某一場(chǎng)景下多功能觸發(fā)引起危險(xiǎn),還需考慮多種功能的優(yōu)先級(jí)問(wèn)題。
匯總所有分析結(jié)果,本文共提出3方面功能安全要求:
  • 硬件功能安全要求:ICU應(yīng)有足夠的硬件配置、適宜的運(yùn)行環(huán)境并穩(wěn)固安裝;ICU應(yīng)有充足且穩(wěn)定的供電。
  • 軟件功能安全要求:僅在規(guī)定區(qū)域、條件下啟動(dòng)某一功能;減速停車有最高優(yōu)先級(jí);保障各行駛模式下與路沿、車道線、軌跡點(diǎn)的距離和誤差以及避障模式下與障礙物的安全距離;實(shí)時(shí)顯示GPS信號(hào)狀態(tài),并在GPS信號(hào)弱時(shí)提醒駕駛員。
  • 新增監(jiān)測(cè)和系統(tǒng)管理模塊:實(shí)時(shí)監(jiān)控各傳感器和ICU的輸出,異常情況及時(shí)提醒駕駛員并控制車輛減速停車;實(shí)時(shí)監(jiān)控ICU運(yùn)行溫度,異常情況提醒駕駛員并控制車輛減速停車,同時(shí)嘗試重啟駕駛腦;實(shí)時(shí)監(jiān)控車輛狀態(tài),包括電池電量,電量低于20%時(shí)及時(shí)提醒駕駛員。
4、結(jié)語(yǔ)
 
本文提出一種結(jié)合STPA方法與現(xiàn)有安全標(biāo)準(zhǔn)流程的自動(dòng)駕駛汽車安全分析方法,基于不安全控制行為識(shí)別危險(xiǎn)事件,進(jìn)而推導(dǎo)得到功能安全要求。該方法在L3級(jí)自動(dòng)駕駛汽車上的應(yīng)用實(shí)踐表明,其可以同時(shí)分析功能安全和預(yù)期功能安全問(wèn)題,提出包括硬件、軟件和系統(tǒng)模塊改進(jìn)等3方面功能安全要求,驗(yàn)證了該方法進(jìn)行高等級(jí)自動(dòng)駕駛汽車安全分析的可行性和有效性。后續(xù)研究將針對(duì)該方法面向功能切換和過(guò)渡過(guò)程中的安全風(fēng)險(xiǎn)進(jìn)行擴(kuò)展。
后續(xù)研究計(jì)劃:在本文基礎(chǔ)上,針對(duì)STPA方法無(wú)法體現(xiàn)完整車輛狀態(tài)的問(wèn)題,團(tuán)隊(duì)進(jìn)一步對(duì)其進(jìn)行了擴(kuò)展,提出了結(jié)合狀態(tài)機(jī)的STPA方法,從而更系統(tǒng)地識(shí)別危險(xiǎn)事件,并進(jìn)行了實(shí)車試驗(yàn)。后續(xù)還將圍繞預(yù)期功能安全主題,展開(kāi)以下三方面的研究工作:  
  • 在系統(tǒng)局限性方面,開(kāi)展基于試驗(yàn)的傳感器影響因素分析方法,基于ODD的傳感器性能局限測(cè)試用例生成方法,和基于場(chǎng)景分析的決策規(guī)劃系統(tǒng)功能局限測(cè)試用例生成方法研究工作;
  • 在危險(xiǎn)識(shí)別方面,開(kāi)展自動(dòng)化迭代的自動(dòng)駕駛汽車危險(xiǎn)識(shí)別方法研究工作;
  • 在風(fēng)險(xiǎn)評(píng)估方面,開(kāi)展以可控性為主的面向自動(dòng)駕駛汽車的危險(xiǎn)事件量化風(fēng)險(xiǎn)評(píng)估方法的研究工作。
 
聯(lián)系人:李老師  
電話:021-69589225
郵箱:11666104@#edu.cn
分享到:
 
反對(duì) 0 舉報(bào) 0 收藏 0 評(píng)論 0
滬ICP備11026917號(hào)-25