CN110386153A - 基于系统理论危害分析的车道保持辅助系统安全分析方法 - Google Patents

Abstract

本发明提出一种基于系统理论危害分析的车道保持辅助系统安全分析方法，属于无人驾驶技术安全工程领域。包括：(1)建立车道保持辅助系统的分层控制结构，(2)基于分层控制结构识别不安全的控制行为，获得最终的安全约束如下：SC₁：如果启动了正确的转向指示器，也就是偏差方向与转向指示器方向相同，车道保持辅助系统不得执行纠正措施；SC₂：如当车辆在没有正确使用转向指示器的情况下切换车道时，车道保持辅助系统应警告驾驶员，并提供纠正措施；SC₃：如果驾驶员没有响应警告标志且车辆继续驶出车道，车道保持辅助系统应提供纠正措施。本发明比以往的安全分析方法故障覆盖面积更广，分析更全面，对于现代复杂的安全苛求系统具有更好的分析结果。

Description

基于系统理论危害分析的车道保持辅助系统安全分析方法

技术领域

本发明属于无人驾驶技术安全工程领域，涉及一种基于系统理论危害分析的车道保持辅助(Lane Keeping Assistant，简称LKA)系统的安全分析方法。

背景技术

近年来，无人驾驶技术发展迅速，随着无人驾驶系统应用广泛，系统复杂程度越来越高，子系统之间的交互也越来越多，安全问题成为了备受关注的主要问题。安全分析方法可以通过建立事故模型，对系统进行安全分析，得到可能发生的事故和危险，并对可能发生危险的环节提出安全要求，以提高无人驾驶系统的安全性。

在传统的分析方法中，认为事件的发生是链状的，适用于传统的机械系统，通常认为事故的发生是由于组件的故障问题，然而当代的新型系统是更为复杂的电子电气系统，导致事故的原因通常不是组件的故障，而是非故障组件之间的不安全交互作用和功能性不足而导致的事故。传统安全分析思路难以深入到系统内部发现交互过程中可能引发的安全风险，无法解决由技术、组织、管理等因素造成的故障问题，对于新型系统的故障描述并不准确，这是由于传统的分析方法简化了人为和组织因素，而假定事故是由于组件故障或失效造成的，因此对于新型系统难以达到有效的分析。

随着系统复杂程度提高，软件密集程度升高，软件和算法的漏洞对系统安全影响也随之变大，这些问题在现在的安全分析中不能忽视。所以为了改善传统分析方法中的缺陷，要从交互过程组件的内部行为等方向出发。系统理论危害分析是一种基于系统理论的安全分析，将安全分析问题视为一个控制问题，将简单的链状分析变为复杂的网状分析，覆盖的故障更加全面，通过安全约束规范各个子系统的行为，用信息反馈描述系统运行中的前后环境，弥补了传统安全分析方法的不足。

系统理论危害分析作为一种新型的分析方法，最早应用在对安全性能要求极高的航天航空系统中，由于良好的分析效果，逐步应用在列控系统的安全分析中。近几年，无人驾驶技术兴起，国外将这种技术应用在无人驾驶系统级的分析当中，也有一些研究对自适应巡航系统进行了初步的分析。

汽车辅助驾驶系统作为一个典型的安全苛求系统，十分适用于系统理论危害分析方法，车道保持辅助系统作为汽车辅助驾驶系统中重要的子系统，安全性能备受瞩目。但系统理论危害分析方法在无人驾驶中的车道保持辅助系统方面暂时鲜有研究。

发明内容

为了提高车道保持辅助系统的安全性，将系统的安全提升到可接受范围内，本发明提出了一种基于系统理论危害分析的车道保持辅助系统安全分析方法，将车道保持辅助系统的安全问题视为控制问题，建立车道保持辅助系统的分层控制结构图，并基于分层控制结构图识别不安全的控制行为，获得安全约束，以应用于车道辅助保持系统的设计中。

本发明用软件STAMP Workbench对系统理论危害分析的车道保持辅助系统的安全分析过程进行辅助分析，并应用SMV符号模型验证器对模型进行验证。本发明的基于系统理论危害分析的车道保持辅助系统安全分析方法，包括：

(1)建立车道保持辅助系统的分层控制结构，包括：将车道保持辅助系统作为控制器，电子辅助转向系统作为执行器，车辆为被控对象；将驾驶员与控制器通过用户操作界面联系起来；驾驶员通过用户操作界面和对外界环境的观察对执行器进行控制；传感器获取车辆状态，输出车辆扭矩、转角和车道相对位置给控制器；驾驶员和控制器都能对执行器输入转矩和转角进行控制；当汽车偏离轨道但驾驶员没有反应时，执行器对方向盘输入一个力矩使方向盘震动提醒驾驶员车辆已经偏离轨道；

为驾驶员建立过程模型，包括：车辆与轨道的相对位置关系，偏离或正常；车道保持辅助系统的状态，开启或关闭；转向灯的状态，开启或关闭；驾驶员的状态，有能力驾驶或无能力驾驶；

为车道保持辅助系统建立过程模型，包括：车道保持辅助系统的状态，开启或关闭；电子辅助转向系统状态，开启或关闭；转向灯状态，开启或关闭；驾驶员的状态，有能力驾驶或无能力驾驶。

(2)基于分层控制结构识别不安全的控制行为，获得最终的安全约束如下：

SC₁：如果启动了正确的转向指示器，也就是偏差方向与转向指示器方向相同，车道保持辅助系统不得执行纠正措施；

SC₂：如当车辆在没有正确使用转向指示器的情况下切换车道时，车道保持辅助系统应警告驾驶员，并提供纠正措施；

SC₃：如果驾驶员没有响应警告标志且车辆继续驶出车道，车道保持辅助系统应提供纠正措施。

与现有技术相比，本发明方法比以往的安全分析方法故障覆盖面积更广，分析更全面，对于现代复杂的安全苛求系统具有更好的分析结果。安全分析过程中得到的分层控制结构模型可以为之后的车道辅助保持系统的安全分析作为一个基础模型参考，最终所得到的安全约束可以应用到车道辅助保持系统中，对于安全性进行进一步的提升。同时，本发明还利用模型验证工具验证模型使模型可靠性更高，也可以作为参考改进模型存在的缺陷。

附图说明

图1为系统理论危害分析方法的一个流程示意图；

图2为本发明实施例中进行车道保持辅助系统安全分析的流程图；

图3为本发明步骤1中确定的系统级的事故、危险以及系统安全约束的结果示意图；

图4为本发明中建立的车道保持辅助系统的分层控制结构示意图。

具体实施方案

为了便于本领域普通技术人员理解和实施本发明，下面结合附图和实施例对本发明作进一步的详细和深入描述。

如图1所示，系统理论危害分析的输入是系统说明和设计模型，在本发明的应用场景中是车道保持辅助系统的说明和设计模型，分析过程主要是通过初步确定事故、危险和安全约束，搭建分层控制结构，识别其中的不安全控制行为，根据不安全控制行为确定不安全控制行为是如何发生的，分析危险情景，细化安全约束，从而提升车道保持辅助系统的安全性能。

本发明针对车道保持辅助系统的安全分析的过程，如图1系统理论危害分析一样，同时，本发明还将最终得到的安全约束形式化为时序逻辑语句，应用SMV符号模型验证器验证模型的正确性，本发明下面描述的整个过程如图2所示，下面分为六个步骤来说明。

步骤一、确定车道保持辅助系统的系统级事故、危险以及初步确定系统安全约束，并对其分别进行编号。本发明实施例中，确定的事故用A₁、A₂、A₃表示；危险用H₁、H₂、H₃表示；安全约束用SC₁、SC₂、SC₃表示。其中事故是由于对过程中的行为安全约束执行力不足造成的；危害是一种系统状态或一组条件，连同一组特定的最坏的环境条件，将导致事故；安全约束是防止系统造成损失(事故)的措施。普遍关注的事故一般涉及到人身伤害、车辆损失、道路损失。确定的事故、危险和安全约束的结果如下所示：

A₁：人员受伤或者死亡

A₂：汽车受损

A₃：路面设施受损

H₁：汽车偏离车道方向与转向灯方向不符[A₁、A₂、A₃]

H₂：汽车没有打转向灯时偏离车道[A₁、A₂、A₃]

H₃：汽车获得了不期望的转矩[A₁、A₂、A₃]

SC₁：当车辆在转向指示器与偏离方向不符的情况下切换车道时，车道保持辅助系统应警告驾驶员

SC₂：如当车辆在没有使用转向指示器的情况下切换车道时，车道保持辅助系统应警告驾驶员

SC₃：如果驾驶员没有响应警告标志且车辆继续驶出车道，车道保持辅助系统应提供纠正措施。

将上述的系统级事故、危险以及初步确定的安全约束经过STAMP Workbench的整合，结果如图3所示，表中的每一行是一个“事故—危险—安全约束”的表述，将事故、危险与安全约束对应起来。

步骤二、将安全分析问题视为控制问题，建立系统分层控制结构图，并建立过程模型。过程模型中包含不同的控制对象及状态。

如图4所示，为本发明建立的分层控制结构，其中涉及的对象有外界环境、驾驶员、电子辅助转向系统、车道保持辅助系统、车辆和传感器。分层控制结构中，将车道保持辅助系统视为控制器，电子辅助转向系统EPS作为执行器，车辆为被控对象，传感器包括相机和扭矩传感器，驾驶员与车辆保持辅助系统通过用户操作界面联系起来，通过用户操作界面和对外界环境的观察获取信息进行控制。驾驶员可以对执行器-电子辅助转向系统，输入转矩和转角进行控制，车道保持辅助系统也可以对电子辅助转向系统输入转矩和转角进行控制，当汽车偏离轨道但驾驶员没有反应时，电子辅助转向系统会对方向盘输入一个很小的力矩使方向盘震动提醒驾驶员车辆已经偏离轨道。传感器将获得的扭矩、转角、车道相对位置输入车道保持辅助系统。为驾驶员和车道保持辅助系统建立过程模型。驾驶员的过程模型包括：车辆与轨道的相对位置关系，是偏离还是正常；车道保持辅助系统的状态，是开还是关；转向灯的状态，是开启还是关闭；以及驾驶员的状态，是有能力还是无能力驾驶。车道保持辅助系统的过程模型包括：车道保持辅助系统的状态，是开启还是关闭；电子辅助转向系统状态，是开启还是关闭；转向灯状态，是开启还是关闭；以及驾驶员的状态，是有能力驾驶还是无能力驾驶。

通过分层控制结构图不仅能够明确各个组件之间的控制关系，也可以清晰地得到组件之间的交互作用。由此可以分析出非故障组件之间的不安全交互行为。

步骤三、根据步骤二建立的系统分层结构图进行识别不安全的控制行为，不安全控制行为一般包含以下几种情况：

a)要求控制行为时没有执行控制；

b)执行了没有要求的要求控制行为；

c)执行控制行为的开始时间过早或过晚；

d)执行控制行为的时间过长或过短。

在车辆保持辅助系统中，控制行为为“对电子辅助转向系统输入转矩、转向角命令”，根据以上四种可能会出现不安全控制行为情况，经过分析后共得出了五种不安全控制行为，分别以UCA₁、UCA₂、…、UCA₅来表示。五种不安全控制情况分别如下所示：

UCA₁：检测到汽车偏离车道时，且转向灯未开启时，控制器没有提供转矩和转向角命令；

UCA₂：控制器在没有收到转向指令时提供了转矩和转向角；

UCA₃：控制器提供了与转向灯提醒相反的转矩和转向角；

UCA₄：检测到汽车偏离车道一段时间后，控制器才发出转矩和转向角指令；

UCA₅：检测到汽车偏离轨道后，控制器持续发出转向指令。

步骤四、根据得到的不安全控制行为，确定不安全控制行为是怎样发生的，即致因，分析危险情景，细化安全约束。

车道辅助保持系统作为无人驾驶辅助系统的子系统之一，结构较为复杂，可能发生不安全控制行为的情形也较为复杂，分析危险情形时可以从以下几个方面考虑。

1)硬件问题：对组件设计或者操作失误导致，无法正确执行控制信息。在本发明涉及的系统中可以从执行器电子辅助转向系统、转向灯、扭矩传感器和相机等组件的硬件故障考虑。

2)软件问题：设计标准和实施中的缺陷，无法产生正确指令。现有系统越来越依赖于软件，软件的集成度越来越高，软件之间的关联性越来越强，也使软件成为系统安全的关键所在。

3)组件之间的交互故障：工作原理相似的独立工作组件，运行性能在相同的环境下同时运行都会受到影响，几个组件往往会同时失效。

4)操作失误：人为的原因导致，主要包括操作差错、指挥错误、判断错误或者没有判断、情绪问题所导致或者身体原因所导致的问题。

5)外部问题：安全控制结构接受有误或外部干扰过于强烈导致，例如雨雪天气难以识别车道线。

细化的安全约束如下：

SC₁：如果启动了正确的转向指示器(如果偏差方向与转向指示器方向相同)，LKA系统不得执行纠正措施；

SC₂：如当车辆在没有正确使用转向指示器的情况下切换车道时，车道保持辅助系统应警告驾驶员，并提供纠正措施；

SC₃：如果驾驶员没有响应警告标志且车辆继续驶出车道，车道保持辅助系统应提供纠正措施。

步骤四中细化的安全约束，是在步骤一中的安全约束的基础上，增加安全约束涵盖的情况，进行了更加详细的描述。细化的安全约束中，纠正措施是指执行控制行为，对电子辅助转向系统输入转矩、转向角命令。

步骤五、将得到的细化的安全约束进行形式化表达，表达成时序逻辑语序，以便进行下一步模型验证。

为了将安全约束转化为形式化的表达方式，首先，将得到的安全约束写为非形式化的文本形式，以“SC₂：如当车辆在没有正确使用转向指示器的情况下切换车道时，车道保持辅助系统应警告驾驶员，并提供纠正措施；”为例，其次，将非形式化的文本形式通过控制流语句(IF-THEN,Wait-Until,Wait-For,Do-Until)描述为形式化的语句,则SC₂被描述为：

IF Read_IndicatorStatus(wrong)and Read_Lanestatus(Deviation)THEN LKA(active)and LKA(warning)and EPS(warning)

最后，将这句话转化成线性时序逻辑语句的规定形式：

SC₂：□Read_IndicatorStatus(wrong)∧Read_Lanestatus(Deviation)→LKA(active)∧LKA(warning)∧EPS(warning)

根据以上形式化的表达方式，可以得到另外两个安全约束的线性时序逻辑语句：

SC₁：□Read_IndicatorStatus(correct)∧Read_Lanestatus(In lane)→LKA(inactive)

SC₃：□EPS(warning)∧LKA(warning)∧Read_Lanestatus(Deviation)→LKA(active)

其中，各种符号及缩写的含义如下所示：

□：IF；

∧：and；

→：THEN；

IndicatorStatus(correct/wrong)：转向灯状态(正确/错误)；

Lanestatus(Deviation/In lane)：车道线状态(偏离/在车道上)；

EPS(warning)：电子辅助转向系统(警告)

LKA(active/inactive/warning)：车道保持辅助系统(启动/休眠/警告)。

步骤六、得到形式化表达后，将所得到的安全约束添加到SMV的规范模型中，应用SMV符号模型验证器对车道保持辅助系统的模型进行验证。

将在步骤五中得到的以线性时序逻辑语句表达的安全约束应用以下语句写入模型，并进行形式化验证。

SPEC AG(IndicatorStatus＝wrong&Lanestatus＝Deviation)->AG(LKA＝

warning&set_Torque.position_Torque>0&EPS＝warning)

SPEC AG(IndicatorStatus＝correct&Lanestatus＝In lane)->

AG(set_Torque.position_Torque＝0)

SPEC AG(EPS＝warning)&LKA＝warning&Lanestatus＝Deviation)->

AG(set_Torque.position_Torque>0)

生成相应的测试用例，形式化验证，校验软件代码级验证。

经过SMV符号模型验证器验证后可得该三条安全约束符合车道保持辅助系统的模型，所以该分析结果有效。

本发明利用系统理论危害分析方法对车道保持辅助系统的安全进行分析研究，建立了车道保持辅助系统的分层控制结构图，其中包含了过程模型，并且为其他无人驾驶系统应用系统理论危害分析提供了参考，其中本发明最终所得到的安全约束可以应用在车道保持辅助系统的安全分析和设计中。

Claims (2)

1.一种基于系统理论危害分析的车道保持辅助系统安全分析方法，将车道保持辅助系统的安全问题视为控制问题，建立车道保持辅助系统的分层控制结构，并基于分层控制结构识别不安全的控制行为，获得安全约束，以用于车道辅助保持系统的设计中；其特征在于，所述方法包括：

(1)建立车道保持辅助系统的分层控制结构，包括：将车道保持辅助系统作为控制器，电子辅助转向系统作为执行器，车辆为被控对象；将驾驶员与控制器通过用户操作界面联系起来；驾驶员通过用户操作界面和对外界环境的观察对执行器进行控制；传感器获取车辆状态，输出车辆扭矩、转角和车道相对位置给控制器；驾驶员和控制器都能对执行器输入转矩和转角进行控制；当汽车偏离轨道但驾驶员没有反应时，执行器对方向盘输入一个力矩使方向盘震动提醒驾驶员车辆已经偏离轨道；

为驾驶员建立过程模型，包括：车辆与轨道的相对位置关系，偏离或正常；车道保持辅助系统的状态，开启或关闭；转向灯的状态，开启或关闭；驾驶员的状态，有能力驾驶或无能力驾驶；

为车道保持辅助系统建立过程模型，包括：车道保持辅助系统的状态，开启或关闭；电子辅助转向系统状态，开启或关闭；转向灯状态，开启或关闭；驾驶员的状态，有能力驾驶或无能力驾驶；

(2)基于分层控制结构识别不安全的控制行为，获得最终的安全约束，编号为SC₁～SC₃，分别如下：

SC₁：如果启动了正确的转向指示器，也就是偏差方向与转向指示器方向相同，车道保持辅助系统不得执行纠正措施；

SC₂：如当车辆在没有正确使用转向指示器的情况下切换车道时，车道保持辅助系统应警告驾驶员，并提供纠正措施；

SC₃：如果驾驶员没有响应警告标志且车辆继续驶出车道，车道保持辅助系统应提供纠正措施。

2.根据权利要求1所述的方法，其特征在于，所述的基于分层控制结构识别不安全的控制行为，有五种，编号为UCA₁～UCA₅，分别如下：

UCA₁：检测到汽车偏离车道时，且转向灯未开启时，控制器没有提供转矩和转向角命令；

UCA₂：控制器在没有收到转向指令时提供了转矩和转向角；

UCA₃：控制器提供了与转向灯提醒相反的转矩和转向角；

UCA₄：检测到汽车偏离车道一段时间后，控制器才发出转矩和转向角指令；

UCA₅：检测到汽车偏离轨道后，控制器持续发出转向指令。