基于故障树的自动驾驶安全需求推导（以AVP为例）

木火柴 2022年4月16日浏览：1450

来源 | 智能汽车设计

知圈 | 进“滑板底盘群”请加微yanzhi-6,备注底盘

译文

基于故障树的自动驾驶安全需求推导（以AVP为例）

原著：Valerij SchÖemann, Hermann Winner, Thomas Glock,Eric Sax等

文章翻译：阚博然

文章审核：Erik Tang, Jeff Zhao, Jacky Yu

1. 摘要

2. 相关工作（节选）

3. 方法

4. 结论与展望

5. 附录

摘要

开发安全的车辆自动化系统对于自动驾驶的商业化至关重要。全自动驾驶发布面临的主要的挑战之一是功能安全。由于存在的场景数不胜数，自动驾驶系统的复杂性呈爆炸式增长。

目前，在推导复杂自动驾驶系统的安全需求时，缺乏解决推导完整性的方法。本文提出了一种基于故障树的安全需求导出方法。可根据国际功能安全标准ISO26262，系统地由功能安全目标推导出功能安全需求。

调查表明，自动代客泊车 (AVP) 尚未形成成熟的功能安全概念。因此，该文章以自动代客泊车为例对所阐述的方法进行了说明。首先，将AVP系统应用场景拆分为若干可控的数量，以便降低分析复杂性。为了在每种情况下，都进行了危害分析和风险评估 (HARA)，导出了一系列安全目标。这方法利用基于故障树的 Sense-Plan-Act架构实现对可由安全目标导出的安全需求的大范围覆盖。感知阶段包含传感器数据的采集，并导致三个不确定性域：状态、存在和类别不确定性。规划部分包括场景解析和行动计划。从而，行驶部分可以分为五个任务。运动模块代表计划轨迹的执行，执行纵向和横向车辆运动，例如转向、换档、加速和制动。如果在感知阶段、计划阶段和执行阶段中存在一个故障事件，就会造成安全目标的违反。该方法适用于遵循指定的 Sense-Plan-Act模式的安全目标。

2012年全球15-29岁人群的主要死因是道路交通事故。 94%的碰撞事故与人为错误有关。 2015年，联合国就可持续发展的全球目标达成一致，其中“健康与幸福”目标涉及道路安全，要求到2020年，全球道路交通事故造成的死亡和受伤人数将减半。因此，需要有安全的自动驾驶系统，能在临近事故发生时进行干预，并让驾驶员免于承担责任。由此可见，功能安全是自动驾驶面临的主要挑战之一。自动驾驶功能在所有运行状态下都不能引入危害。系统应识别危险并到达车辆对其参与者没有危险的安全位置。功能安全国际标准 ISO 26262规定了设计功能安全电气和电子系统的系统性流程。 ISO 26262和其他领域的国际标准源自 IEC 61508。

来自不同领域的自动化系统有一个共同点：爆炸式的复杂性。必须测试几乎无限数量的可能场景。欧盟 (EU) 项目 ENABLE-S3 的重点是减少当今成本密集型的验证和确认过程，以建立自动化网络物理系统商业化的有效方法。为了应对安全自动化系统开发的日益复杂性，必须采用不同的方法。

自动化系统面临的一个主要挑战是开发一个功能安全的分布式系统，其中由独立的子系统承担自动化任务。这种分布式系统典型的代表就是全自动代客泊车（AVP）。AVP 是通过自动驾驶汽车和停车区域管理系统 (PAM) 之间的合作来实现的。自动驾驶汽车是无人驾驶的，被归类为 SAE 国际驾驶自动化分类的第 4 级。该用例提供了一个自动泊车程序。在之前的工作中，分析人员根据 ISO 26262 提出的基于场景的功能安全方法，并将其应用于 AVP 的安全分析。AVP 假设了以下前提条件：

1.停车管理系统和自动驾驶汽车协同管理驾驶任务。

2.通过终端（人机界面，HMI）指示自动车辆向/从PAM的交接和请求返回过程。

3.允许手动和自动操作的车辆进入停车场。

4.行人、动物、障碍物等在停车场逗留。

5.驾驶员和乘客必须在激活 AVP 之前离开自动驾驶汽车。

6.泊车系统架构可防止由于发动机运行而造成的危险。

系统所描述的约束用作将功能行为分解为场景的输入。因此，将AVP系统应用场景拆分为若干可控的数量，以降低分析复杂性。对于每种情况，都会执行危害分析和风险评估 (HARA)，从而制定了一套更完整的安全目标，如表1所示：

相关工作（节选）

现有技术表明，缺少用于分解高度复杂和自动驾驶自动化系统的方法。 FTA工作旨在克服缺乏从安全目标中得出安全要求的方法。这项工作提出了一种方法论：如何通过系统地导出符合国际标准 ISO 26262 的自动驾驶安全要求。该方法利用基于故障树的技术来实现对可能导出的安全要求的大范围覆盖。通过应用演绎方法定性地解决完整性问题。该方法应用于合作代客泊车，其安全概念在现有技术中仍然缺失。

方法

这项工作中提出的方法提供了一条从安全目标系统性地导出安全要求的途径。基于故障树的分析方法，可以确保更完整的安全要求集。顺序控制架构被称为 Sense-Plan-Act 或 Sense-Model-Plan-Act 架构。从而依次执行传感器数据采集、场景建模、规划和最终指令执行的信号处理步骤。顺序架构用于描述长期目标的实现，例如执行驾驶任务。在下文中，将介绍术语 Sense、Plan、Act 以及相应的细分。图1显示了对违反安全目标的安全分析。

感知

感知阶段包含传感器数据的采集和环境建模。根据 Dietmayer 等人的说法，检测静态和动态物体并尽可能精确地对其进行物理测量，从而得出图2中可视化的三个不确定域：

→状态不确定性： 表示物理测量变量的测量误差，特别是物体的尺寸（长、宽、高）、物体的位姿和物体的速度。

→存在不确定性： 目标是否被传感器捕获到以及是否能够映射到实际存在表征的不确定性。这主要涉及“误报”（false positive）和“漏报”。例如，紧急制动应仅在存在概率高的情况下执行。

→类别不确定性： 对目标进行分类以预测目标行为的能力的不确定性。目标的类型可能是例如行人、骑自行车的人、卡车或汽车。粒度程度取决于用例。

决策

规划部分包括场景解析和决策规划。决策阶段可以分解为五个子任务阶段，这些任务可由导航系统计算。图3给出了这五个步骤：

→任务规划： 第一步，必须规划从当前位置到目的地的任务。

→路径规划： 必须明确路线才能到达目的地。

→行为规划： 通过考虑其他交通参与者、交通规则和限制来选择一系列机动。

→机动规划： 必须执行诸如变道之类的机动。

→轨迹规划： 必须计算轨迹以执行必要的机动。

必须指定每个机动的开始和结束的时间限制以及机动轨迹的计算。

执行

“执行”意味着计划轨迹的执行。执行纵向和横向车辆动力学需要以下车辆控制输入：转向、换档、加速和制动。执行器必须完全电气化。这是通过现行的线控 X 概念实现的：线控油门、线控制动、线控换档和线控转向。因此，在相应的范围和时间内，任何对目标执行机动策略所采取的不合理转向、换档、加速和制动参数或者相应的车辆部件的损坏，都会导致执行故障。执行故障的细分如图4所示。

所呈现的结构可以进一步分解为特定于用例的安全要求。由于应用了基于故障树推理的方法，因此可以通过涵盖更完整的安全要求集来系统地得出安全要求。该方法不适用于所有衍生的安全目标，例如 C2X 通信不遵循指定的 Sense-Plan-Act 模式。

01.感知

由于没有专门针对自动驾驶安全要求的标准，因此必须考虑其他法规作为基础。状态不确定性由表3的功能安全要求FSR3.1.1-FSR3.1.3和相应的衍生功能安全要求表示。系统必须通过定位来检测目标的位置。定位精度由操作设计域WO,min的最窄部分、车辆宽度WV以及在最坏情况下可能出现在两侧的相应测量误差Werr给出。

图5表示一个自主车辆直行并接近两个物体。除了自主车辆的定位误差Werr,ego之外，还存在目标的定位误差Werr,obj。由于定位错误，自主车辆评估无碰撞区域，但实际上自主车辆会与交通参与者发生碰撞。总接受的定位误差Werr,total由下式给出：

考虑到德国的道路建设法规和交通法规，可以得出最小车道宽度WL,min=2.75m，最大车辆宽度WV,max=2.50m。尺寸确定和目标定位的总体误差应小于12.5cm，Werr,obj小于6.25cm。然而，对于AVP系统，停车场宽度WP,min=2.75m，对运营商来说是无利可图的，德国停车场规定的最小停车场宽度WP,min=2.30m（考虑不允许超大型车辆进入）。在这种情况下，可以查看2016年欧洲的平均乘用车尺寸。为每侧撤回的汽车后视镜添加10 cm的安全裕度，我们最终得到大约2米的平均车辆宽度WV,avg，因此尺寸确定和目标定位的总体误差小于Werr,total≤15cm和Werr,obj≤7.5cm。

目标只有出现在系统的传感器感知区域时才能被检测到。可以根据交通参与者的动态驾驶参数（例如速度、时间限制和减速能力）来指定避免碰撞的安全区域。必须给出一个区域的定义，在该区域中，必须对物体进行感知以避免碰撞。此外，必须识别在图6所示的已定义操作域中可能发生的机动。基于机动的停止距离的叠加表明，整个安全区是由自主车辆和目标的行进包络创建的，由它们的宽度和停止距离给出。

关于停车距离的最坏情况被定义为自动和手动操作（速度vmax）的车辆与（并且两辆车都在制动）的正面碰撞。假设两辆车同时做出反应。所需的最小传感器范围dreq理论上由直到正面碰撞的停止距离给出，可以根据以下公式计算：

因此，最坏情况约束的定义如表2所示。考虑到几乎干燥的路面和由此产生的最小减速度的相当保守的值8m/s2，自由运行时间 0.5秒，最坏情况下驾驶员反应时间1.5秒和0.5米, 我们得到 dreq,minF≥27.51m。后方碰撞的最坏情况是在自主车辆的最大允许反向速度vego=vmaxR目标车辆的物体前向速度vobj=vmaxF，并且在制动下发生碰撞。由此可以计算出所需的传感器范围为20.88m。最后，通过以最大允许的交叉口穿越速度穿过交叉口给出到侧面的感知距离的最坏情况：

我们最终得到所需的传感器感知范围dreq,minFS=dreq,minRS≥19m。如果车辆向后离开停车位，则后方所需的传感器感知区域实际上是最大的。然而，由于在许多特定情况下，前方所需的传感器感知区域是强制性的，因此如果只允许倒车和向前离开停车位，则可以显著减少后侧dreq,minRS所需的传感器感知区域。

考虑停车位长度LP,min=5m，我们可以近似dreq,minRS≥LP,min=5m。位于自主车辆所需传感器感知区域内并被覆盖的目标必须由基础设施的顶部安装传感器检测。精心设计的安全区域应根据传感器感知区域中的当前速度调整其大小。需要前后180°的整体水平 FoV视场角来检测前/后车辆区域中的移动目标。详细的功能安全要求如表3所示

02.决策

到指定目的地的导航从任务规划阶段开始实施。任务规划需要明确车辆的位置和目的地的位置。基于当前和目的地的位置，以及基于图形化的道路网络搜索算法确定路线。计算出的路线应由最新的、可访问的、连接的路段组成，并能确保车辆行驶过程遵守交通法规。功能安全要求对车道分配同样有效。需要进行诸如变道之类的机动才能到达目的地。机动和相应的轨迹应该是可行的、无碰撞的，并且在硬实时约束条件下计算。因此，硬实时被定义为“导致碰撞的系统响应时限”。必须根据机动和环境限制来定义机动的开始和结束时间节点。衍生的功能安全要求如表 4 所示。

03.执行

由于已经在文献和最先进的技术中进行了调查，因此没有对执行故障做进一步演绎分解。为完整起见，表5示例性地说明了与“执行”相关的功能安全需求。

最后，安全工程师必须控制功能安全需求是否尚未被另一个安全目标覆盖，并应继承相应安全目标的汽车安全完整性等级 (ASIL)。其余安全目标的功能安全要求见附录表 6。

结论与展望

文中提到的最先进技术已经揭示了自动驾驶在功能安全方面的挑战。除了故障之外，还必须考虑预期功能的安全性。复杂自动驾驶功能的安全需求的分解导致了完整性问题的暴露。结合案例演示，本文阐述了根据自动驾驶功能并基于故障树的演绎法推导出符合 ISO 26262 的功能安全需求的过程。此种方法可以系统地导出功能安全需求，并能针对完整性问题定性提出安全需求。该技术应用于自动代客泊车AVP的详细安全目标。功能安全需求是针对所有详细的安全目标得出的。可以为 AVP 指定最小所需的传感器感知区域，其中需要知道目标的参数，例如位姿、尺寸、速度、存在和类别。可以识别测定尺寸和目标定位的最大可接受总误差。在未来的工作中，需将功能安全要求分配给代客泊车系统架构的功能块。因此，将有针对性地分配自动车辆和停车区管理系统PAM之间的功能，并针对功能安全需求推导出额外的测试用例，以验证自动代客泊车的安全概念。