基于故障樹的自動駕駛安全需求推導（以AVP為例）

木火柴

2022年4月16日 16:00

來源 | 智能汽車設計

知圈 | 進“滑板底盤群”請加微yanzhi-6,備注底盤

譯文

基于故障樹的自動駕駛安全需求推導（以AVP為例）

原著：Valerij Sch?emann, Hermann Winner, Thomas Glock,Eric Sax等

文章翻譯：闞博然

文章審核：Erik Tang, Jeff Zhao, Jacky Yu

1. 摘要

2. 相關工作（節選）

3. 方法

4. 結論與展望

5. 附錄

摘要

開發安全的車輛自動化系統對于自動駕駛的商業化至關重要。全自動駕駛發布面臨的主要的挑戰之一是功能安全。由于存在的場景數不勝數，自動駕駛系統的復雜性呈爆炸式增長。

目前，在推導復雜自動駕駛系統的安全需求時，缺乏解決推導完整性的方法。本文提出了一種基于故障樹的安全需求導出方法。可根據國際功能安全標準ISO26262，系統地由功能安全目標推導出功能安全需求。

調查表明，自動代客泊車 (AVP) 尚未形成成熟的功能安全概念。因此，該文章以自動代客泊車為例對所闡述的方法進行了說明。首先，將AVP系統應用場景拆分為若干可控的數量，以便降低分析復雜性。為了在每種情況下，都進行了危害分析和風險評估 (HARA)，導出了一系列安全目標。這方法利用基于故障樹的 Sense-Plan-Act架構實現對可由安全目標導出的安全需求的大范圍覆蓋。感知階段包含傳感器數據的采集，并導致三個不確定性域：狀態、存在和類別不確定性。規劃部分包括場景解析和行動計劃。從而，行駛部分可以分為五個任務。運動模塊代表計劃軌跡的執行，執行縱向和橫向車輛運動，例如轉向、換檔、加速和制動。如果在感知階段、計劃階段和執行階段中存在一個故障事件，就會造成安全目標的違反。該方法適用于遵循指定的 Sense-Plan-Act模式的安全目標。

2012年全球15-29歲人群的主要死因是道路交通事故。 94%的碰撞事故與人為錯誤有關。 2015年，聯合國就可持續發展的全球目標達成一致，其中“健康與幸福”目標涉及道路安全，要求到2020年，全球道路交通事故造成的死亡和受傷人數將減半。因此，需要有安全的自動駕駛系統，能在臨近事故發生時進行干預，并讓駕駛員免于承擔責任。由此可見，功能安全是自動駕駛面臨的主要挑戰之一。自動駕駛功能在所有運行狀態下都不能引入危害。系統應識別危險并到達車輛對其參與者沒有危險的安全位置。功能安全國際標準 ISO 26262規定了設計功能安全電氣和電子系統的系統性流程。 ISO 26262和其他領域的國際標準源自 IEC 61508。

來自不同領域的自動化系統有一個共同點：爆炸式的復雜性。必須測試幾乎無限數量的可能場景。歐盟 (EU) 項目 ENABLE-S3 的重點是減少當今成本密集型的驗證和確認過程，以建立自動化網絡物理系統商業化的有效方法。為了應對安全自動化系統開發的日益復雜性，必須采用不同的方法。

自動化系統面臨的一個主要挑戰是開發一個功能安全的分布式系統，其中由獨立的子系統承擔自動化任務。這種分布式系統典型的代表就是全自動代客泊車（AVP）。AVP 是通過自動駕駛汽車和停車區域管理系統 (PAM) 之間的合作來實現的。自動駕駛汽車是無人駕駛的，被歸類為 SAE 國際駕駛自動化分類的第 4 級。該用例提供了一個自動泊車程序。在之前的工作中，分析人員根據 ISO 26262 提出的基于場景的功能安全方法，并將其應用于 AVP 的安全分析。AVP 假設了以下前提條件：

1.停車管理系統和自動駕駛汽車協同管理駕駛任務。

2.通過終端（人機界面，HMI）指示自動車輛向/從PAM的交接和請求返回過程。

3.允許手動和自動操作的車輛進入停車場。

4.行人、動物、障礙物等在停車場逗留。

5.駕駛員和乘客必須在激活 AVP 之前離開自動駕駛汽車。

6.泊車系統架構可防止由于發動機運行而造成的危險。

系統所描述的約束用作將功能行為分解為場景的輸入。因此，將AVP系統應用場景拆分為若干可控的數量，以降低分析復雜性。對于每種情況，都會執行危害分析和風險評估 (HARA)，從而制定了一套更完整的安全目標，如表1所示：

相關工作（節選）

現有技術表明，缺少用于分解高度復雜和自動駕駛自動化系統的方法。 FTA工作旨在克服缺乏從安全目標中得出安全要求的方法。這項工作提出了一種方法論：如何通過系統地導出符合國際標準 ISO 26262 的自動駕駛安全要求。該方法利用基于故障樹的技術來實現對可能導出的安全要求的大范圍覆蓋。通過應用演繹方法定性地解決完整性問題。該方法應用于合作代客泊車，其安全概念在現有技術中仍然缺失。

方法

這項工作中提出的方法提供了一條從安全目標系統性地導出安全要求的途徑。基于故障樹的分析方法，可以確保更完整的安全要求集。順序控制架構被稱為 Sense-Plan-Act 或 Sense-Model-Plan-Act 架構。從而依次執行傳感器數據采集、場景建模、規劃和最終指令執行的信號處理步驟。順序架構用于描述長期目標的實現，例如執行駕駛任務。在下文中，將介紹術語 Sense、Plan、Act 以及相應的細分。圖1顯示了對違反安全目標的安全分析。

感知

感知階段包含傳感器數據的采集和環境建模。根據 Dietmayer 等人的說法，檢測靜態和動態物體并盡可能精確地對其進行物理測量，從而得出圖2中可視化的三個不確定域：

→狀態不確定性： 表示物理測量變量的測量誤差，特別是物體的尺寸（長、寬、高）、物體的位姿和物體的速度。

→存在不確定性： 目標是否被傳感器捕獲到以及是否能夠映射到實際存在表征的不確定性。這主要涉及“誤報”（false positive）和“漏報”。例如，緊急制動應僅在存在概率高的情況下執行。

→類別不確定性： 對目標進行分類以預測目標行為的能力的不確定性。目標的類型可能是例如行人、騎自行車的人、卡車或汽車。粒度程度取決于用例。

決策

規劃部分包括場景解析和決策規劃。決策階段可以分解為五個子任務階段，這些任務可由導航系統計算。圖3給出了這五個步驟：

→任務規劃： 第一步，必須規劃從當前位置到目的地的任務。

→路徑規劃： 必須明確路線才能到達目的地。

→行為規劃： 通過考慮其他交通參與者、交通規則和限制來選擇一系列機動。

→機動規劃： 必須執行諸如變道之類的機動。

→軌跡規劃： 必須計算軌跡以執行必要的機動。

必須指定每個機動的開始和結束的時間限制以及機動軌跡的計算。

執行

“執行”意味著計劃軌跡的執行。執行縱向和橫向車輛動力學需要以下車輛控制輸入：轉向、換檔、加速和制動。執行器必須完全電氣化。這是通過現行的線控 X 概念實現的：線控油門、線控制動、線控換檔和線控轉向。因此，在相應的范圍和時間內，任何對目標執行機動策略所采取的不合理轉向、換檔、加速和制動參數或者相應的車輛部件的損壞，都會導致執行故障。執行故障的細分如圖4所示。

所呈現的結構可以進一步分解為特定于用例的安全要求。由于應用了基于故障樹推理的方法，因此可以通過涵蓋更完整的安全要求集來系統地得出安全要求。該方法不適用于所有衍生的安全目標，例如 C2X 通信不遵循指定的 Sense-Plan-Act 模式。

01.感知

由于沒有專門針對自動駕駛安全要求的標準，因此必須考慮其他法規作為基礎。狀態不確定性由表3的功能安全要求FSR3.1.1-FSR3.1.3和相應的衍生功能安全要求表示。系統必須通過定位來檢測目標的位置。定位精度由操作設計域WO,min的最窄部分、車輛寬度WV以及在最壞情況下可能出現在兩側的相應測量誤差Werr給出。

圖5表示一個自主車輛直行并接近兩個物體。除了自主車輛的定位誤差Werr,ego之外，還存在目標的定位誤差Werr,obj。由于定位錯誤，自主車輛評估無碰撞區域，但實際上自主車輛會與交通參與者發生碰撞。總接受的定位誤差Werr,total由下式給出：

考慮到德國的道路建設法規和交通法規，可以得出最小車道寬度WL,min=2.75m，最大車輛寬度WV,max=2.50m。尺寸確定和目標定位的總體誤差應小于12.5cm，Werr,obj小于6.25cm。然而，對于AVP系統，停車場寬度WP,min=2.75m，對運營商來說是無利可圖的，德國停車場規定的最小停車場寬度WP,min=2.30m（考慮不允許超大型車輛進入）。在這種情況下，可以查看2016年歐洲的平均乘用車尺寸。為每側撤回的汽車后視鏡添加10 cm的安全裕度，我們最終得到大約2米的平均車輛寬度WV,avg，因此尺寸確定和目標定位的總體誤差小于Werr,total≤15cm和Werr,obj≤7.5cm。

目標只有出現在系統的傳感器感知區域時才能被檢測到。可以根據交通參與者的動態駕駛參數（例如速度、時間限制和減速能力）來指定避免碰撞的安全區域。必須給出一個區域的定義，在該區域中，必須對物體進行感知以避免碰撞。此外，必須識別在圖6所示的已定義操作域中可能發生的機動。基于機動的停止距離的疊加表明，整個安全區是由自主車輛和目標的行進包絡創建的，由它們的寬度和停止距離給出。

關于停車距離的最壞情況被定義為自動和手動操作（速度vmax）的車輛與（并且兩輛車都在制動）的正面碰撞。假設兩輛車同時做出反應。所需的最小傳感器范圍dreq理論上由直到正面碰撞的停止距離給出，可以根據以下公式計算：

因此，最壞情況約束的定義如表2所示。考慮到幾乎干燥的路面和由此產生的最小減速度的相當保守的值8m/s2，自由運行時間 0.5秒，最壞情況下駕駛員反應時間1.5秒和0.5米, 我們得到 dreq,minF≥27.51m。后方碰撞的最壞情況是在自主車輛的最大允許反向速度vego=vmaxR目標車輛的物體前向速度vobj=vmaxF，并且在制動下發生碰撞。由此可以計算出所需的傳感器范圍為20.88m。最后，通過以最大允許的交叉口穿越速度穿過交叉口給出到側面的感知距離的最壞情況：

我們最終得到所需的傳感器感知范圍dreq,minFS=dreq,minRS≥19m。如果車輛向后離開停車位，則后方所需的傳感器感知區域實際上是最大的。然而，由于在許多特定情況下，前方所需的傳感器感知區域是強制性的，因此如果只允許倒車和向前離開停車位，則可以顯著減少后側dreq,minRS所需的傳感器感知區域。

考慮停車位長度LP,min=5m，我們可以近似dreq,minRS≥LP,min=5m。位于自主車輛所需傳感器感知區域內并被覆蓋的目標必須由基礎設施的頂部安裝傳感器檢測。精心設計的安全區域應根據傳感器感知區域中的當前速度調整其大小。需要前后180°的整體水平 FoV視場角來檢測前/后車輛區域中的移動目標。詳細的功能安全要求如表3所示

02.決策

到指定目的地的導航從任務規劃階段開始實施。任務規劃需要明確車輛的位置和目的地的位置。基于當前和目的地的位置，以及基于圖形化的道路網絡搜索算法確定路線。計算出的路線應由最新的、可訪問的、連接的路段組成，并能確保車輛行駛過程遵守交通法規。功能安全要求對車道分配同樣有效。需要進行諸如變道之類的機動才能到達目的地。機動和相應的軌跡應該是可行的、無碰撞的，并且在硬實時約束條件下計算。因此，硬實時被定義為“導致碰撞的系統響應時限”。必須根據機動和環境限制來定義機動的開始和結束時間節點。衍生的功能安全要求如表 4 所示。

03.執行

由于已經在文獻和最先進的技術中進行了調查，因此沒有對執行故障做進一步演繹分解。為完整起見，表5示例性地說明了與“執行”相關的功能安全需求。

最后，安全工程師必須控制功能安全需求是否尚未被另一個安全目標覆蓋，并應繼承相應安全目標的汽車安全完整性等級 (ASIL)。其余安全目標的功能安全要求見附錄表 6。

結論與展望

文中提到的最先進技術已經揭示了自動駕駛在功能安全方面的挑戰。除了故障之外，還必須考慮預期功能的安全性。復雜自動駕駛功能的安全需求的分解導致了完整性問題的暴露。結合案例演示，本文闡述了根據自動駕駛功能并基于故障樹的演繹法推導出符合 ISO 26262 的功能安全需求的過程。此種方法可以系統地導出功能安全需求，并能針對完整性問題定性提出安全需求。該技術應用于自動代客泊車AVP的詳細安全目標。功能安全需求是針對所有詳細的安全目標得出的。可以為 AVP 指定最小所需的傳感器感知區域，其中需要知道目標的參數，例如位姿、尺寸、速度、存在和類別。可以識別測定尺寸和目標定位的最大可接受總誤差。在未來的工作中，需將功能安全要求分配給代客泊車系統架構的功能塊。因此，將有針對性地分配自動車輛和停車區管理系統PAM之間的功能，并針對功能安全需求推導出額外的測試用例，以驗證自動代客泊車的安全概念。