首页 > 汽车技术 > 正文

使用STPA方法分析自动驾驶汽车接管过程

2022-03-08 12:12:02·  来源:轩辕实验室  
 
一、摘要 接管过程是指在特定条件下要求驾驶员接管车辆控制的情况,目前对这个过程缺乏安全分析。为了解决这个问题,这篇文章根据ISO 21448对系统理论过程分析(

一、摘要   接管过程是指在特定条件下要求驾驶员接管车辆控制的情况,目前对这个过程缺乏安全分析。为了解决这个问题,这篇文章根据ISO 21448对系统理论过程分析(STPA)进行了扩展,将其用于接管系统的安全分析,接管系统由驾驶员和人机界面(HMI)组成。首先,分析系统级危险,以制定安全约束。然后,对接管过程的控制结构进行建模,以识别考虑人为因素的不安全控制行为。最后,分析了不安全控制行为的原因,提出了人机界面的安全要求,以指导接管系统的设计。应用该方法分析了在封闭区域运行的自动驾驶车辆的接管系统,并确定了相应的安全要求。根据问卷调查和接管测试的结果,证明该分析方法适用于提高接管系统的安全性。

二、背景   在SOTIF范围内,不正确的人机交互是导致危险事件的主要因素,而接管过程是不正确人机交互的重要来源之一。为了确保接管过程的安全,有必要对该过程进行研究,并使用安全分析方法设计人机界面(HMI)。最近有关接管过程的研究主要集中在影响接管时间和质量,以及驾驶员接管过程心理模型的构建。在安全分析方法方面,现有的车辆安全分析研究包括故障树分析(FTA)、故障模式和影响分析(FMEA)、危险和可操作性分析(HAZOP)等方法。然而,这些安全分析方法很少应用于接管过程,因为它们并不合适。STPA方法可以有效地分析出当前被分析系统中存在的人员误操作因素,是被普遍应用于SOTIF人员误操作领域的分析方法。

三、具体分析过程   现行标准ISO 21448“道路车辆-预期功能的安全性”给出了导致危险事件的人为因素引导词,如表所示。

图片

在识别出系统中的不安全控制措施(UCA)后,可以根据这些指导词来分析造成这些UCA的原因,然后开始整个具体的分析过程。   首先找出接管过程中存在的系统级危害,以及对应的约束(需求)

图片


   然后给出一个面向接管的控制结构,如图:

图片


   外部环境信息与车辆控制单元(VCU)的信息一起输入自动驾驶系统(包括感知和决策),以决定是否需要接管车辆。当需要接管操作时,接管信号发送至接管系统中的HMI。然后,HMI提供的车辆信息和接管请求以及外部环境信息发送给驾驶员。然后,驾驶员根据自己的识别和判断处理信息,以决定是否接管车辆。当驾驶员决定接管时,驾驶员发出的手动/自动驾驶(MD/AD)切换指令发送至VCU,VCU根据驾驶员的动作开始执行驾驶任务。当切换回自动驾驶仪时,自动驾驶系统控制VCU。(如果重点分析误操作,可不可以在图里加一个驾驶员目前的状态能否及时接管车辆,这样可以让我们对风险对分析更加清晰,更好分类)然后找出五项与接管相关的动作:C1:驾驶员开始手动驾驶/将驾驶权移交给自动驾驶系统。C2:车辆信息作为输入发送给驾驶员,为驾驶员提供参考。C3:接收请求由HMI发送给驾驶员。C4:外部环境信息作为输入发送给驾驶员,为驾驶员提供参考。C5:自动驾驶系统将接收信号发送至HMI。    对于控制动作C1、C2、C3,找出可能发生危险的场景 

图片

    然后,从驾驶员的认知、判断和行为中考虑因果因素。以C1为例,说明危害及原因分析过程,再以相同的方式分析其他两个控制动作。STPA中UCA的发生可能分为四种情况:需要提供但未提供控制行为导致危险;提供控制行为后导致危险;提供可能安全的控制行为但提供节点过早、过晚或顺序错误;控制行为持续太久或停止过早(仅针对持续性控制行为而非离散行为)。对于每一种情况,找出这种情况发生可能导致的危险种类,并找出具体的因果情景。然后对于每种危险,根据分析出的具体因果场景提出安全约束和需求
 

图片

      

图片

    随后,按照相同的步骤对另外两种不安全控制措施进行了分析,并提出了所有控制措施的详细安全要求。对初步分析中提出的系统级安全约束进行了细化和补充。接管系统的HMI设计遵循以下详细安全要求 

图片


   文章后续还做了HMI的设计(给出HMI设计的规划和具体布局图,接管请求的设计),并找参与者做了问卷测试和接管时间调查,由于与STPA关系不大,不做详细介绍。

四、收获

通过多篇STPA文章可以看出,如果想对SOTIF范围内的人员误操作进行分析,那么驾驶员心理模型是至关重要的,对人员误操作关注越多心理模型就要尽可能的详细。我认为,可以探究能否在心理模型中设置以布尔值表示的驾驶员的某一项反应能力的状态(如驾驶员此时能否接收到HMI系统发送的信息、能否在需要接管系统时成功接管系统等),并根据状态将与人员误操作有关的危险场景进行分类,这样可以把抽象的经验分析化为具体,并对分析流程进行简化。

在文章结构上,该篇文章其实采用的是先找控制动作再找与每种控制动作有关的系统性危险,而STPA采用的是由定义的损失找系统级方法,两者的派生关系不一样。在笔记中我进行了小的修改,还是遵照STPA官方手册的顺序,即并没有把控制动作放在系统级危险的前面。因为我觉得由控制动作导出危险可能导致不全面的问题,而且在文章中也并没有看出这么做的必要性。


分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25