自动车道保持系统功能安全评估(一)

admin 2021年9月29日23:47:20评论237 views字数 2946阅读9分49秒阅读模式

本文摘自NHTSA(美国高速公路安全管理局)发布的一篇技术报告:Functional safety assessment of an automated lane centering system (Report No. DOT HS 812573)。

这篇报告对automated lane centering (ALC)自动车道中心系统做了详细的安全分析,其内容完整地阐述了危害识别、安全分析和控制策略选取的整体过程,运用了两种经典的安全分析方法HAZOP和功能FMEA,和一种比较新的系统理论过程分析方法STPA,共识别出5个整车级安全目标,47个功能安全需求和26个补充安全需求。

报告的分析过程、分析方法值得借鉴,可以作为一篇功能安全分析的指南性文件使用。

报告篇幅较多,共129页,分为两篇文章介绍,本篇介绍危害识别和安全分析,下篇介绍功能安全措施。


整个评估过程如下图所示,本篇介绍前6个部分。

自动车道保持系统功能安全评估(一)

图1 ALC安全分析及需求识别过程


1.系统定义

a.确定被分析的对象,系统的边界范围,确定哪些组件属于系统内部,它们与外部组件的交互接口;

b.系统所实现的功能;

c.系统架构图,描述系统内部各组件之间的接口,每个组件所实现的功能;

d.记录系统分析所基于的假设前提。


ALC系统用来实现车辆连续的横向控制,以保持车辆在车道中心轨迹上,它提供两个主要功能:车道保持辅助和车道偏离预警。

自动车道保持系统功能安全评估(一)

图2 ALC系统架构图

根据上图,ALC系统分为控制器、传感器、执行器,被控对象,与其它系统的接口。安全分析涵盖的组件依次是:

a.人机接口:

    启动或关闭ALC系统的开关及指示信息;

    仪表盘显示;

    司机状态检测传感器。

b.车道控制的电控系统:

    ALC控制器;

    车道检测传感器;

    车辆定位传感器。

c.组件之间的连接:线束和通信网络

d.来自于车辆其它系统的挂起或关闭ALC功能的请求

e.接入车辆传感器信息:

    滚动率、偏航率和横向加速度;

    车速;

    转向角和扭矩;

    刹车踏板位置;

    转向信号杆位置;

f. 与车辆基础系统的接口

   制动/车身稳定系统;

   主动差速器系统;

   转向系统


系统定义还说明了哪些失效不在ALC安全分析的范围内,有以下类型:

  • 非电子系统功能失效引起的危害,比如着火;

  • 传感器由于外部环境变化导致性能下降,比如光线变暗,这个属于预期功能安全分析范围;

  • 其它车载系统的失效;

  • 车辆基础系统的失效;

  • 由于维护不当引起的失效。


当以下假设条件不成立时,需要补充额外的分析:

  • ALC系统的安全运行也可能受到非由电子设备故障导致的其他故障(例如,对环境的错误感知)的影响,属于预期功能安全的分析范围;

  • ALC系统只保持车辆在行驶车道上的位置,不执行更复杂的操作,如避障或自动换车道;

  • 五级自动驾驶中的系统架构都是相同的。在更高的自动化级别(即从3级到5级),ALC功能可以纳入整个路径规划和决策算法中。然而,假设基本的系统组件(即车道检测传感器、识别车道标记、确定车道宽度和计算车辆在车道中的位置的算法)是相同的;

  • 对于某些自动车辆,该车辆可能没有人工操作员。就本报告而言,司机将作为各级自动化分析的一部分;

  • 在L1和L2驾驶级别中,ALC系统被设计为在系统确定司机没有主动参与驾驶任务(例如,在超过系统特定阈值的时间内操作没有转向输入的车辆时)进行脱离;

  • 车速由制动系统/稳定控制模块提供给ALC控制模块。某些系统架构可以从其他部件获得车速,或者可能依赖于单个车轮转速而不是计算出的车速;

  • 在危害分析或安全分析阶段,不考虑安全策略,如传感器的冗余或多样性。它们仅作为功能安全策略的一部分,并反映在安全需求中。


2.系统级损失(事故)

对于车辆系统,系统级损失即撞车。


3.识别系统级危害

通过HAZOP和STPA分别进行系统级危害的识别,HAZOP识别出5个,STPA识别出6个,HAZOP识别的系统级危害有:

ID
系统级危害
说明
H1
当ALC系统介入时,转向调整不足导致偏离车道或驶离道路
系统介入时,未提供足够的横向控制,导致车辆驶离道路,车辆驶离道路的概率取决于车辆所在地理情况
H2 当ALC系统介入时,转向调整过度导致偏离车道或驶离道路 系统会主动导致车辆驶离道路,包括由于过度纠正车辆轨迹而导致的二次车道偏离。此危害未假定对ALC系统扭矩权限的限制
H3 ALC非预期的功能丧失
意外脱离ALC系统控制状态(对操作者没有事先警告),ALC系统不再能够提供横向控制。
H4
司机和ALC系统之间不当切换
  1. 两者之间没有足够的过渡时间;

  2. ALC系统未在要求时暂停或脱离;

  3. 造成驾驶员的混淆

H5 ALC系统对其它车辆系统的影响
ALC系统未能脱离或暂停,或未能实现横向控制的请求(来自高级控制器),从而干扰其他车辆系统的操作。


STPA还识别了第6个潜在危害:“H6 没有横向控制输入”。“这种危险描述了驾驶员和车辆都没有控制车辆横向位置的情况。也可被视为H4“驾驶员与ALC系统之间的控制不当过渡”的一部分。


3.1 HAZOP方法用于危害分析

用HAZOP方法,提供了7个HAZOP引导词均应用于24个ALC系统功能。这个过程生成了一个包含153个功能失效的列表。然后评估每个失效,以确定它们是否可能导致一个车辆级危害,153个失效中的113个会导致一个或多个车辆级危害。

下面是用HAZOP方法分析”计算将车辆返回到参考路径所需的扭矩/偏航角“

自动车道保持系统功能安全评估(一)


3.2 STPA方法用于危害分析(Step 1)

在STPA中,需要确定系统的控制行为,细化系统的控制框图,确定系统内外各子系统之间交互的数据。下图看着有点复杂,在图3的基础上加上了相互之间交互的数据。


自动车道保持系统功能安全评估(一)

图3 细化的ALC系统架构图


ALC系统的6种控制行为有:

  1. 向基础系统发出控制命令,以调整车辆的横向位置。控制命令为“δ”,用于指示ALC命令的方向(代替使用“右”或“左”等术语的单独控制操作);

  2. 启动ALC系统,ALC接管人工进入控制状态;

  3. 暂停或脱离ALC系统,转换到非操作状态;

  4. 激活开关进入ALC系统;

  5. 关闭开关脱离ALC系统;

  6. ALC系统脱离到人工接管的转换过程。


未受控的控制行为引导词有:

自动车道保持系统功能安全评估(一)

将第4和第5项拆分为:过长和过短,过快和过慢,共有8个引导词。


把6个控制行为和8个引导词相组合,得到失控的控制行为导致的危害列表。

下图为调整车辆在δ方向上的横向位置的控制行为

自动车道保持系统功能安全评估(一)


通过以上分析,6个控制行为导致的危害统计如下:

自动车道保持系统功能安全评估(一)


4.确定安全目标(ASIL)

对于五种系统级危害,根据ISO26262中严重度、暴露度、可控度三个风险参数的评级,确定在不同驾驶级别下对应安全目标的ASIL等级。

自动车道保持系统功能安全评估(一)


5.确定危害致因

在原因分析中,采用了功能FMEA和STPA两种方法.


5.1 功能FMEA

功能FMEA涵盖4个ALC子系统和组件,9个接口系统。功能FMEA共识别出53个失效模式和211个潜在失效。例如:

自动车道保持系统功能安全评估(一)


5.2 STPA(step 2)

STPA step2分析系统的控制结构中的每个组件和接口,以确定该组件或接口是否可能导致在STPA步骤1中确定的UCA发生。该项目使用了一个包含26个引导词的扩展列表来识别CFs,共识别了1005个致因CF(causal factor),

例如:横向控制的不安全控制行为原因分析

自动车道保持系统功能安全评估(一)




本文始发于微信公众号(薄说安全):自动车道保持系统功能安全评估(一)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月29日23:47:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   自动车道保持系统功能安全评估(一)https://cn-sec.com/archives/370675.html

发表评论

匿名网友 填写信息