基于系統理論過程分析的自動駕駛汽車安全分析方法研究＊

陳君毅 周堂瑞 邢星宇 熊璐

（同濟大學，上海 201804）

1 前言

安全性分析與驗證是汽車開發過程中的重要環節。依據危險來源的不同，自動駕駛汽車的安全問題可分為功能安全、預期功能安全和信息安全[1]。國際標準化組織（International Organization for Standardization，ISO）頒布的ISO 26262《道路車輛功能安全》[2]為汽車全生命周期內的功能安全設計提供了指導。2019年初公布的ISO/PAS 21448《道路車輛預期功能安全》[3]則補充了自動駕駛系統的安全設計指導[4]。

根據現有安全標準，汽車開發概念階段中危害分析和風險評估最為關鍵，需要系統地對車輛潛在風險進行識別和評估。傳統安全分析方法中，故障樹分析（Fault Tree Analysis，FTA）和失效模式及效應分析（Failure Mode and Effect Analysis，FMEA）關注具體的軟、硬件失效或故障[5]，無法涵蓋預期功能安全領域的問題。危險與可操作性分析（Hazard and Operability Analysis，HAZOP）基于對偏離設計目的的偏差分析識別危險，其導則[6]提供了標準流程和引導詞，然而現有引導詞并不完全適用于自動駕駛系統[7]，且缺乏系統的引導詞生成方法，導致HAZOP 在自動駕駛汽車安全分析上欠缺可行性。

Nancy Leveson[8]于2011 年提出基于系統理論的系統理論過程分析（Systems-Theoretic Process Analysis，STPA）方法，將安全視為控制問題，目標是識別出那些可能導致危險發生的不充分的控制，通過安全約束使風險降低到可接受的程度[9]。該方法同時考慮了軟、硬件失效以及性能局限等非失效引起的危險，因此覆蓋了功能安全和預期功能安全兩個領域。近年來，研究人員[10-13]開始嘗試應用STPA 對自動駕駛汽車進行安全分析，初步驗證了STPA方法用于自動駕駛汽車安全分析的可行性。然而現有研究分析對象多為某一系統[10-11]或功能較為單一的低級別自動駕駛汽車[12-13]，對于復雜的SAE L3級及以上的自動駕駛汽車，STPA進行安全分析的適用性還有待驗證。同時，由于STPA 方法與標準流程并非完全一致，如何改進STPA 方法使之能滿足現有標準流程要求，目前仍缺少相關探討和具體實踐。

基于以上背景，本文提出一種在現有標準框架下，基于STPA 的自動駕駛汽車安全分析方法，并在某SAE L3級自動駕駛清掃車上進行了應用實踐。

2 基于STPA的安全分析方法

STPA 分析從具體事故出發，推導得到系統級安全約束，即為避免或減輕危險帶來的傷害，對系統行為安全性提出的要求。從控制結構識別不安全控制行為是該方法的核心。依據現有功能安全標準，汽車開發概念階段的最終輸出是基于一定安全目標提出的功能安全要求。

STPA分析流程[8]和汽車開發概念階段主要流程[2]見圖1，通過對比以上兩個分析流程，STPA 方法中基于系統控制結構的分析為標準流程中的危險事件識別提供了具體的方法，且對于不安全控制行為的原因分析可以為后期功能安全要求的導出提供依據。因此，本文提出基于STPA 的自動駕駛汽車安全分析方法，具體流程如圖1所示。

圖1 基于STPA的安全分析方法

該方法分為3 個流程，共7 個步驟，各步驟具體任務為：

a.第1步：相關項定義，明確分析對象的具體功能及其運行場景，作為后續工作的基礎。

b.第2～6 步：危害分析和風險評估。首先基于已有信息，建立系統控制結構，梳理各功能的控制行為；其次，基于一定的輸入條件，識別不安全控制行為；然后，將不安全控制行為與具體運行場景相結合，得到整車級危險事件，并利用標準中汽車安全完整性等級（Automotive Safety Integration Level，ASIL）對每項危險事件從暴露率、嚴重度和可控性3 個角度進行評估，得到風險較高的危險事件；最后，為避免以上危險事件，提出整車級安全目標。

c.第7步：功能安全概念推導，為實現整車級安全目標，提出功能安全要求。將要求分為a、b 兩部分，首先分析各種不安全控制行為的原因，然后結合各功能的安全目標，得到具體的針對子系統或軟、硬件的功能安全要求。

與ISO 26262一致，在系統和軟、硬件后續開發過程中，基于該安全分析方法得到的功能安全要求，可以分配于不同的組件，以得到具體的可實現的技術安全要求，并為后續測試驗證提供理論依據。

3 自動駕駛汽車安全分析

將本文提出的自動駕駛車輛安全分析方法應用于某開發中的SAE L3級自動駕駛清掃車。

3.1 明確功能及運行場景

本文所分析的自動駕駛清掃車分為有人駕駛和自動駕駛兩種模式，全程配備駕駛員。其自動駕駛模式下的設計目標為在封閉園區內主動規劃路線行駛，并在行駛過程中識別障礙物和行人，實現主動避讓。基于以上設計目標，明確清掃車自動駕駛模式下的功能和對應場景要素如表1 所示。由于清掃路面功能不涉及安全問題，后續分析中不再討論。

3.2 建立整車系統控制結構

基于以上具體功能，建立清掃車的控制結構，如圖2 所示。由于自動駕駛控制單元（Intelligent Control Unit，ICU）是清掃車實現其自動駕駛功能的核心，且清掃車無多傳感器融合算法，故ICU是本次安全分析的重點。本文后續即以圍繞清掃車ICU 的分析為示例展開敘述，環境傳感器和執行機構部分不展開討論。

建立系統控制結構后，結合具體控制信息，可得到清掃車各功能的ICU 具體控制行為及相應的輸入、輸出，結果如表2所示。

表1 清掃車自動駕駛模式下功能及運行場景

圖2 自動駕駛清掃車控制結構

表2 清掃車各功能ICU控制行為及對應輸入輸出

3.3 識別不安全控制行為

針對以上各具體控制行為，分析識別不安全控制行為。不安全控制行為基本分類[8]如表3所示。其中被控對象需要控制時提供控制還存在3類不安全控制行為，即錯誤的控制提供時間U3、錯誤的控制持續時間U4和錯誤的控制信號U5。

表3 不安全控制行為分類

此外，不安全控制行為是在一定輸入條件下的，而這些輸入條件即對應一定的環境條件。根據表2 和表3，可得到清掃車ICU各功能的不安全控制行為。

3.4 識別危險事件

系統的不安全控制行為將會導致車輛非預期行為，在特定運行場景下導致危險事件。由圖2 可知，ICU依據環境傳感器、定位系統等的具體輸入決定其控制行為，而這些系統的輸入即對應一定的環境條件。依據表2中各控制行為觸發輸入條件，可以得到具體運行場景，結合各功能不安全控制行為，進而得到整車級危險事件。

開發團隊對清掃車在包括彎道、直道及不同障礙物類型等多種工況下進行了共100余次測試，測試過程中由自動駕駛系統導致的危險共出現26次。通過分析危險發生場景及系統狀態，26次危險事件對應5類不安全控制行為的數量及比例如表4所示。結合該測試結果，可以對本文方法所提出的危險事件的有效性與合理性進行驗證。

表4 測試過程中各類不安全控制行為對應危險事件數量

以自動駕駛清掃車避障功能為例，分析得到5類不安全控制行為對應危險事件如表5所示。

表5 避障功能危險事件及對應不安全控制行為

結合具體測試結果，對應危險事件H4，測試中出現清掃車檢測到障礙物并成功開始避障繞行后，由于失去障礙物信息而直接規劃路徑回原車道行駛，導致與障礙物碰撞的情況，如圖3所示。而對于危險事件H5，測試中出現清掃車在遇紙箱等大型障礙物進行避障時與障礙物發生剮蹭的情況，如圖4所示。以上結果驗證了危險事件分析的合理性和有效性。

3.5 對危險事件進行風險評估

依據ISO 26262，采用ASIL對每項危險事件從暴露率、嚴重度和可控性角度進行評估，據此可以篩選出風險大、必須采取措施避免或控制的危險事件。

圖3 清掃車避障未完成情況柵格地圖

圖4 清掃車避障過程中與障礙物發生剮蹭

由于清掃車在運行過程中，行人、障礙物和其他車輛出現的可能性都較高，各危險事件在這些場景下均有可能導致事故，故所有事件的暴露率評級均取最高E4；由于清掃車自動駕駛時設計速度慢（自動駕駛模式下行駛速度不超過20 km/h），即使發生事故，也不會對相關人員造成較嚴重傷害，故各危險事件嚴重度最高為S1；同樣由于清掃車速度慢，且車上有駕駛員隨時觀察周圍環境和清掃車狀態，危險事件發生后駕駛員有較長反應時間來采取措施，故各危險事件可控性最高為C2。由此，清掃車各危險事件ASIL評級最高為A級，可認為整體安全風險較低。對于ASIL等級為QM的危險事件，后續分析中不再考慮。

3.6 得到安全目標

為了避免或減輕車輛危險事件造成事故或傷害，提出對應的整車級安全目標。本文將安全目標表述為某一功能的目的，即在某一條件下，車輛應該實現的對應功能，并達到一定效果。對于以上分析得到的清掃車各危險事件，推導得到自動駕駛模式下的相應安全目標。

3.7 提出功能安全要求

為實現以上安全目標，本文提出通過結合對不安全控制行為的原因分析得到具體的功能安全要求。原因分析既可以從系統結構和控制原理展開，也可以結合實際測試進行。對于自動駕駛汽車的不同不安全控制行為，其引發原因有一定的相似性，主要包括：硬件失效等造成的信號丟失、時延等；算法計算出錯造成輸出錯誤的控制指令；環境干擾導致傳感器錯誤識別等。其中，硬件失效和算法計算錯誤屬于功能安全問題，而環境干擾則屬于預期功能安全問題。依據各引發原因，可以提出更加有針對性的功能安全要求。

本文以表2 中清掃車避障功能為例，針對ICU 避障功能控制行為，具體展示以上各步驟的分析結果，如表6所示。

表6 避障功能安全分析

綜合清掃車系統各功能分析中不安全控制行為的原因可以發現，由于ICU是集成在開發平臺上的單一硬件，其失效導致的危險事件在現有缺少監控模塊的系統結構下是難避免。因此，本文還提出了對各傳感器和ICU 輸出信號以及ICU 運行環境實時監測的功能安全要求。對于清掃車所用ICU而言，運行環境中溫度對其影響最大。為此，需引入溫度傳感器對ICU進行實時監測，以在溫度異常時系統及時感知并采取提醒或降低功耗等措施。同時，新增系統管理模塊實時接收分析各輸入、輸出信號狀態，確保當ICU或傳感器輸出異常時，直接控制清掃車減速停車，提醒駕駛員并嘗試重啟駕駛腦。該模塊是獨立于ICU的單獨硬件，其控制指令相對ICU有更高優先級。以上新增模塊及其相應輸入、輸出如圖5所示，基于此可對清掃車控制結構進行改進。

圖5 新增模塊及相應輸入、輸出

在識別危險事件的過程中還可以發現，由于清掃車各功能涉及的運行場景可能出現重復的情況，為避免某一場景下多功能觸發引起危險，還需考慮多種功能的優先級問題，例如，當清掃車前方同時有障礙物和行人時，ICU應控制車輛停車鳴笛以警示、避讓行人而非繼續規劃避障繞行道路。

匯總所有分析結果，本文共提出3方面功能安全要求：

a.硬件功能安全要求：ICU應有足夠的硬件配置、適宜的運行環境并穩固安裝；ICU應有充足且穩定的供電。

b.軟件功能安全要求：僅在規定區域、條件下啟動某一功能；減速停車有最高優先級；保障各行駛模式下與路沿、車道線、軌跡點的距離和誤差以及避障模式下與障礙物的安全距離；實時顯示GPS 信號狀態，并在GPS信號弱時提醒駕駛員。

c.新增監測和系統管理模塊：實時監控各傳感器和ICU的輸出，異常情況（電壓、電流異常，以及無輸出或卡死、輸出延遲等）及時提醒駕駛員并控制車輛減速停車；實時監控ICU運行溫度，異常情況提醒駕駛員并控制車輛減速停車，同時嘗試重啟駕駛腦；實時監控車輛狀態，包括電池電量，電量低于20%時及時提醒駕駛員。

4 結束語

本文提出一種結合STPA方法與現有安全標準流程的自動駕駛汽車安全分析方法，基于不安全控制行為識別危險事件，進而推導得到功能安全要求。該方法在自動駕駛清掃車上的應用實踐表明，該方法可以同時分析功能安全和預期功能安全問題，提出包括硬件、軟件和系統模塊改進等3方面功能安全要求，驗證了該方法進行高等級自動駕駛汽車安全分析的可行性和有效性。

本文在應用STPA 方法進行不安全控制行為分析時，由于控制行為集中體現為速度和轉角控制，無法體現循跡、避障在內的多種功能的具體差異，僅簡單涉及了多功能之間的優先級問題。后續研究將展開分析各功能切換和過渡過程中的安全風險。