编者按:针对安好性的测试与验证是主动驾驶汽车技巧兴盛的要害合节,亟需体例的、可以笼盖预期功效安好的主动驾驶汽车安好阐述手法,为测试验证办事供给输入。同
编者按:针对安好性的测试与验证是主动驾驶汽车技巧兴盛的要害合节,亟需体例的、可以笼盖预期功效安好的主动驾驶汽车安好阐述手法,为测试验证办事供给输入。同济大学智能汽车探求所团队正在主动驾驶汽车安好性探求中,盘绕预期功效安好中心,勾结现有准绳,发展了网罗风险识别、危险评估和安好战术打算正在内的探求办事。本文即先容了前期探求中所提出的主动驾驶汽车安好阐述手法,该手法契合ISO 26262准绳中划定的观点阶段安好阐述流程,基于体例表面历程阐述(STPA)手法,从限度的角度睁开阐述,笼盖功效安好和预期功效安好题目,并行使于某主动驾驶车辆前进行了安好阐述,提出了安好请求。
摘要:基于体例表面历程阐述(STPA)手法,正在现有道途车辆功效安好准绳框架下,提出一种面向主动驾驶汽车的安好阐述手法,该手法同时实用于阐述功效安好和预期功效安好的题目,从体例角度开拔,将安好题目视为限度题目,找到体例限度历程中存正在的潜正在风险,并勾结源由阐述,最终提出功效安好请求。欺骗该手法对某开采阶段的SAE L3级主动驾驶汽车举办安好阐述,提出了相应的功效安好请求,并验证了所提手法的可行性和有用性。1、序论安好性阐述与验证是汽车开采历程中的要紧合节。按照风险泉源的差别,主动驾驶汽车的安好题目可分为功效安好、预期功效安好和音讯安好。国际准绳化机合(International Organization for Standardization,ISO)发布的ISO 26262《道途车辆功效安好》为汽车全人命周期内的功效安好打算供给了引导。2019岁首宣布的ISO/PAS21448《道途车辆预期功效安好》则添加了主动驾驶体例的安好打算引导。
Nancy Leveson于2011年提出基于体例表面的体例表面历程阐述(Systems-Theoretic Process Analysis,STPA)手法,将安好视为限度题目,宗旨是识别出那些或者导致风险发作的不宽裕的限度,通过安好束缚使危险下降到可采纳的水准。近年来,探求职员先河测试行使STPA对主动驾驶汽车举办安好阐述,开头验证了STPA手法用于主动驾驶汽车安好阐述的可行性。然而现有探求阐述对象众为某一体例或功效较为简单的初级别主动驾驶汽车,看待丰富的SAE L3级及以上的主动驾驶汽车,STPA举办安好阐述的实用性另有待验证。
基于以上后台,本文提出一种正在现有准绳框架下,基于STPA的主动驾驶汽车安好阐述手法,并正在某SAE L3级主动驾驶汽车前进行了行使实行。
STPA阐述从详细事项开拔,推导获得体例级安好束缚,即为避免或减微风险带来的蹂躏,对体例行动安好性提出的请求。从限度构造识别担心全限度行动是该手法的中心。本文提出基于STPA的主动驾驶汽车安好阐述手法,详细流程如图1所示。
第2~6步:迫害阐述和危险评估,最先基于已有音讯,设置体例限度构造,梳理各功效的限度行动;其次,基于必定的输入条款,识别担心全限度行动;然后,将担心全限度行动与详细运转场景相勾结,获得整车级风险事务,并欺骗准绳中汽车安好完备性等第(Automotive Safety Integration Level,ASIL)对每项风险事务从走漏率、主要度和可控性3个角度举办评估,获得危险较高的风险事务;终末,为避免以优势险事务,提出整车级安好宗旨。
第7步:功效安好观点推导,为告终整车级安好宗旨,提出功效安好请求。将请求分为a,b两个别,最先阐述百般担心全限度行动的源由,然后勾结各功效的安好宗旨,获得详细的针对子体例或软、硬件的功效安好请求。
本文所阐述的主动驾驶汽车分为有人驾驶和主动驾驶两种形式,全程装备驾驶员。基于打算宗旨,显然车辆主动驾驶形式下的功效和对应场景因素如表1所示。
设置体例限度构造后,勾结详细限度音讯,可获得车辆各功效的ICU详细限度行动及相应的输入、输出,结果如表2所示。
针对以上各详细限度行动,阐述识别担心全限度行动。担心全限度行动基础分类如表3所示。分为须要被控时不供给限度U1,不须要被控时供给限度U2,以及被控对象须要限度时供给限度时的3类担心全限度行动:差错的限度供给时代U3、差错的限度连接时代U4和差错的限度信号U5。
体例的担心全限度行动将会导致车辆非预期行动,正在特定运转场景下导致风险事务。由图2可知,ICU按照境遇传感器、定位体例等的详细输入决断其限度行动,而这些体例的输入即对应必定的境遇条款。按照表2中各限度行动触发输入条款,可能获得详细运转场景,勾结各功效担心全限度行动,进而获得整车级风险事务。
开采团队对该车正在众种工况下举办了共100余次测试,测试历程中由主动驾驶体例导致的风险共显现26次。通过阐述风险发作场景及体例形态,26次风险事务对应5类担心全限度行动的比比方图3所示。
勾结详细测试结果,对应风险事务H4,测试中显现车辆检测到阻塞物并告捷先河避障绕行后,因为失落阻塞物音讯而直接经营途径回原车道行驶,导致与阻塞物碰撞的状况。而看待风险事务H5,测试中显现车辆正在遇纸箱等大型阻塞物举办避障时与阻塞物发作剐蹭的状况。以上结果验证了风险事务阐述的合理性和有用性。
按照ISO 26262,采用ASIL对每项风险事务从走漏率、主要度和可控性角度举办评估,据此可能筛选出危险大、务必选取法子避免或限度的风险事务。
因为车辆正在运转历程中,行人、阻塞物和其他车辆显现的或者性都较高,各项风险事务正在这些场景下均有或者导致事项,故全豹事务的走漏率评级均取最高E4;因为车辆主动驾驶时打算速率慢(主动驾驶形式下行驶速率不领先20 km/h),纵使发作事项,也不会对合系职员形成较主要蹂躏,故各项风险事务主要度最高为S1;同样因为车辆速率慢,且车上有驾驶员随时查看周遭境遇和车辆形态,风险事务发作后驾驶员有较长反合时间来选取法子,故各项风险事务可控性最高为C2。由此,各项风险事务ASIL评级最高为A级,可能为合座安好危险较低。
注:本文危险评估以告终完备的安好阐述为目标,仍采用古板的基于专家评议的评估手法。后续将发展面向主动驾驶汽车的量化危险评估手法探求。
为了避免或减轻车辆风险事务形成事项或蹂躏,提出对应的整车级安好宗旨。本文将安好宗旨表述为某一功效的目标,即正在某一条款下,车辆应当告终的对应功效,并到达必定效率,详细安好宗旨举例睹表5。
为告终以上安好宗旨,本文提出通过勾结对担心全限度行动的源由阐述获得详细的功效安好请求。按照各激励源由,可能提出越发有针对性的功效安好请求。本文以表2中避障功效为例,针对ICU避障功效限度行动,详细涌现以上各次序的阐述结果,如表5所示。
及时检测车辆前哨必定隔断,有且仅有正在有阻塞物且GPS信号褂讪状况下,实时经营并实行绕行避障,转弯绕行时确保车辆与阻塞物有足够隔断;
及时监测传感器、ICU输出信号,以及ICU运转境遇和电池电量,分外时指示驾驶员并主动限度车辆减速泊车。
归纳体例各功效阐述中担心全限度行动的源由可能觉察,因为ICU是集成正在开采平台上的简单硬件,其失效导致的风险事务正在现有缺乏监控模块的体例构造下是难避免。于是,本文还提出了对各传感器和ICU输出信号以及ICU运转境遇及时监测的功效安好请求。同时,新增体例拘束模块及时采纳阐述各输入、输出信号形态,确保当ICU或传感器输出分外时,直接限度车辆减速泊车,指示驾驶员并测试重启驾驶脑。以上新增模块及其相应输入、输出如图4所示,基于此可对所阐述车辆限度构造举办厘正。
正在识别风险事务的历程中还可能觉察,因为车辆各功效涉及的运转场景或者显现反复的状况,为避免某一场景下众功效触发惹起风险,还需思索众种功效的优先级题目。
硬件功效安好请求:ICU应有足够的硬件设备、适宜的运转境遇并安稳安设;ICU应有充溢且褂讪的供电。
软件功效安好请求:仅正在划定区域、条款下启动某一功效;减速泊车有最高优先级;保护各行驶形式下与途沿、车道线、轨迹点的隔断和偏差以及避障形式下与阻塞物的安好隔断;及时显示GPS信号形态,并正在GPS信号弱时指示驾驶员。
新增监测和体例拘束模块:及时监控各传感器和ICU的输出,分外状况实时指示驾驶员并限度车辆减速泊车;及时监控ICU运转温度,分外状况指示驾驶员并限度车辆减速泊车,同时测试重启驾驶脑;及时监控车辆形态,网罗电池电量,电量低于20%时实时指示驾驶员。
本文提出一种勾结STPA手法与现有安好准绳流程的主动驾驶汽车安好阐述手法,基于担心全限度行动识别风险事务,进而推导获得功效安好请求。该手法正在L3级主动驾驶汽车上的行使实行证明,其可能同时阐述功效安好和预期功效安好题目,提出网罗硬件、软件和体例模块厘正等3方面功效安好请求,验证了该手法举办上等级主动驾驶汽车安好阐述的可行性和有用性。后续探求将针对该手法面向功效切换和过渡历程中的安好危险举办扩展。
后续探求布置:正在本文根底上,针对STPA手法无法显露完备车辆形态的题目,团队进一步对其举办了扩展,提出告终合形态机的STPA手法,从而更体例地识别风险事务,并举办了实车试验。后续还将盘绕预期功效安好中心,睁开以下三方面的探求办事:
正在体例范围性方面,发展基于试验的传感器影响身分阐述手法,基于ODD的传感器本能范围测试用例天生手法,和基于场景阐述的决议经营体例功效范围测试用例天生手法探求办事;
邮箱:/div
汽车测试网-创始于2008年,报道汽车测试技巧与产物、趋向、动态等 干系邮箱 marketing#auto-testing.net (把#改成@)
微信扫一扫打赏
支付宝扫一扫打赏
