自动车道保持系统功能安全评估（一）

本文摘自NHTSA（美国高速公路安全管理局）发布的一篇技术报告：Functional safety assessment of an automated lane centering system (Report No. DOT HS 812573)。

这篇报告对automated lane centering (ALC)自动车道中心系统做了详细的安全分析，其内容完整地阐述了危害识别、安全分析和控制策略选取的整体过程，运用了两种经典的安全分析方法HAZOP和功能FMEA，和一种比较新的系统理论过程分析方法STPA，共识别出5个整车级安全目标，47个功能安全需求和26个补充安全需求。

报告的分析过程、分析方法值得借鉴，可以作为一篇功能安全分析的指南性文件使用。

报告篇幅较多，共129页，分为两篇文章介绍，本篇介绍危害识别和安全分析，下篇介绍功能安全措施。

整个评估过程如下图所示，本篇介绍前6个部分。

图1 ALC安全分析及需求识别过程

1.系统定义

a.确定被分析的对象，系统的边界范围，确定哪些组件属于系统内部，它们与外部组件的交互接口；

b.系统所实现的功能；

c.系统架构图，描述系统内部各组件之间的接口，每个组件所实现的功能；

d.记录系统分析所基于的假设前提。

ALC系统用来实现车辆连续的横向控制，以保持车辆在车道中心轨迹上，它提供两个主要功能：车道保持辅助和车道偏离预警。

图2 ALC系统架构图

根据上图，ALC系统分为控制器、传感器、执行器，被控对象，与其它系统的接口。安全分析涵盖的组件依次是：

a.人机接口：

    启动或关闭ALC系统的开关及指示信息；

    仪表盘显示；

    司机状态检测传感器。

b.车道控制的电控系统：

    ALC控制器；

    车道检测传感器；

    车辆定位传感器。

c.组件之间的连接：线束和通信网络

d.来自于车辆其它系统的挂起或关闭ALC功能的请求

e.接入车辆传感器信息：

    滚动率、偏航率和横向加速度;

    车速；

    转向角和扭矩；

    刹车踏板位置；

    转向信号杆位置；

f. 与车辆基础系统的接口

   制动/车身稳定系统；

   主动差速器系统；

   转向系统

系统定义还说明了哪些失效不在ALC安全分析的范围内，有以下类型：

• 非电子系统功能失效引起的危害，比如着火；
  

• 传感器由于外部环境变化导致性能下降，比如光线变暗，这个属于预期功能安全分析范围；
  

• 其它车载系统的失效；
  

• 车辆基础系统的失效；
  

• 由于维护不当引起的失效。

当以下假设条件不成立时，需要补充额外的分析：

• ALC系统的安全运行也可能受到非由电子设备故障导致的其他故障（例如，对环境的错误感知）的影响，属于预期功能安全的分析范围；

• ALC系统只保持车辆在行驶车道上的位置，不执行更复杂的操作，如避障或自动换车道；

• 五级自动驾驶中的系统架构都是相同的。在更高的自动化级别（即从3级到5级），ALC功能可以纳入整个路径规划和决策算法中。然而，假设基本的系统组件（即车道检测传感器、识别车道标记、确定车道宽度和计算车辆在车道中的位置的算法）是相同的；

• 对于某些自动车辆，该车辆可能没有人工操作员。就本报告而言，司机将作为各级自动化分析的一部分；

• 在L1和L2驾驶级别中，ALC系统被设计为在系统确定司机没有主动参与驾驶任务（例如，在超过系统特定阈值的时间内操作没有转向输入的车辆时）进行脱离；

• 车速由制动系统/稳定控制模块提供给ALC控制模块。某些系统架构可以从其他部件获得车速，或者可能依赖于单个车轮转速而不是计算出的车速；

• 在危害分析或安全分析阶段，不考虑安全策略，如传感器的冗余或多样性。它们仅作为功能安全策略的一部分，并反映在安全需求中。

2.系统级损失（事故）

对于车辆系统，系统级损失即撞车。

3.识别系统级危害

通过HAZOP和STPA分别进行系统级危害的识别，HAZOP识别出5个，STPA识别出6个，HAZOP识别的系统级危害有：

STPA还识别了第6个潜在危害：“H6 没有横向控制输入”。“这种危险描述了驾驶员和车辆都没有控制车辆横向位置的情况。也可被视为H4“驾驶员与ALC系统之间的控制不当过渡”的一部分。

3.1 HAZOP方法用于危害分析

用HAZOP方法，提供了7个HAZOP引导词均应用于24个ALC系统功能。这个过程生成了一个包含153个功能失效的列表。然后评估每个失效，以确定它们是否可能导致一个车辆级危害，153个失效中的113个会导致一个或多个车辆级危害。

下面是用HAZOP方法分析”计算将车辆返回到参考路径所需的扭矩/偏航角“

3.2 STPA方法用于危害分析（Step 1）

在STPA中，需要确定系统的控制行为，细化系统的控制框图，确定系统内外各子系统之间交互的数据。下图看着有点复杂，在图3的基础上加上了相互之间交互的数据。

图3 细化的ALC系统架构图

ALC系统的6种控制行为有：

1. 向基础系统发出控制命令，以调整车辆的横向位置。控制命令为“δ”，用于指示ALC命令的方向（代替使用“右”或“左”等术语的单独控制操作）；

2. 启动ALC系统，ALC接管人工进入控制状态；
   

3. 暂停或脱离ALC系统，转换到非操作状态；
   

4. 激活开关进入ALC系统；
   

5. 关闭开关脱离ALC系统；
   

6. ALC系统脱离到人工接管的转换过程。

7. 
   

未受控的控制行为引导词有：

将第4和第5项拆分为：过长和过短，过快和过慢，共有8个引导词。

把6个控制行为和8个引导词相组合，得到失控的控制行为导致的危害列表。

下图为调整车辆在δ方向上的横向位置的控制行为

通过以上分析，6个控制行为导致的危害统计如下：

4.确定安全目标（ASIL）

对于五种系统级危害，根据ISO26262中严重度、暴露度、可控度三个风险参数的评级，确定在不同驾驶级别下对应安全目标的ASIL等级。

5.确定危害致因

在原因分析中，采用了功能FMEA和STPA两种方法.

5.1 功能FMEA

功能FMEA涵盖4个ALC子系统和组件，9个接口系统。功能FMEA共识别出53个失效模式和211个潜在失效。例如：

5.2 STPA（step 2）

STPA step2分析系统的控制结构中的每个组件和接口，以确定该组件或接口是否可能导致在STPA步骤1中确定的UCA发生。该项目使用了一个包含26个引导词的扩展列表来识别CFs，共识别了1005个致因CF（causal factor），

例如：一种横向控制的不安全控制行为原因分析

本文始发于微信公众号（薄说安全）：自动车道保持系统功能安全评估（一）