朱國章，陳 楨，陳君毅Zhu Guozhang，Chen Zhen，Chen Junyi

基于HAZOP的自主泊車系統(tǒng)危險事件識別

朱國章1，陳 楨1，陳君毅2Zhu Guozhang1，Chen Zhen1，Chen Junyi2

（1. 上汽大眾汽車有限公司，上海 201805；2. 同濟大學(xué) 汽車學(xué)院，上海 201804）

自主泊車系統(tǒng)是智能汽車領(lǐng)域的研究熱點，但是目前缺乏針對該系統(tǒng)的危險識別研究，文中圍繞自主泊車系統(tǒng)危險事件的識別展開。首先，依據(jù)現(xiàn)有道路車輛安全標準，根據(jù)自主泊車系統(tǒng)功能定義建立功能圖，基于HAZOP（Hazard and Operability Analysis，危險與可操作性分析）方法，應(yīng)用引導(dǎo)詞得到系統(tǒng)可能的失效；其次，結(jié)合運行場景推導(dǎo)整車級危險事件；最后，采用ASIL（Automotive Safety Integration Level，汽車安全完整性等級）進行評估，得到高風險的危險事件。所識別的危險事件可以為功能安全要求推導(dǎo)提供輸入，完善系統(tǒng)安全分析，以提高自主泊車系統(tǒng)的安全性。

自主泊車系統(tǒng)；HAZOP；危險事件

0 引 言

近年來隨著汽車保有量不斷增加，泊車的車位數(shù)量少、空間小等問題日益凸顯；同時，泊車導(dǎo)致的事故呈逐年上升的趨勢。2006年，密歇根大學(xué)的調(diào)查研究表明，泊車所導(dǎo)致的事故占各類交通事故的比重高達44%[1]；我國車輛保險公司接到的索賠申請中，1/3是由于泊車失誤所造成[2]；駕駛員在泊車過程中，一旦出現(xiàn)疏忽就可能發(fā)生刮蹭及碰撞事故，引發(fā)矛盾糾紛甚至危及生命安全。

為了使泊車過程更安全便捷，自主泊車成為泊車技術(shù)發(fā)展的重點。目前，自主泊車系統(tǒng)仍處于研發(fā)階段，技術(shù)尚未成熟，且由于沒有人類駕駛員控制，在自主泊車系統(tǒng)發(fā)生失效后，車輛的失控導(dǎo)致的后果將更加嚴重。因此，為了避免自主泊車系統(tǒng)失效后造成人員傷害，自主泊車系統(tǒng)的安全分析必不可少。

ISO（International Organization for Standardi- zation，國際標準化組織）于2011年頒布汽車功能安全標準ISO 26262《道路車輛功能安全》，為汽車安全分析提供了指導(dǎo)，主要包括相關(guān)性定義、危害分析和風險評估以及功能安全概念3個部分，其中以危害分析和風險評估最為關(guān)鍵[3]6-12；但對于自主泊車類自主駕駛系統(tǒng)，仍缺少適用的安全分析方法。

根據(jù)以上背景，基于HAZOP（Hazard and Operability Analysis，危險與可操作性分析）方法對自主泊車系統(tǒng)進行危險事件識別，并結(jié)合風險評估得到高風險的整車級危險事件。

1 車輛危險事件識別方法

在現(xiàn)有汽車安全標準[4]中，將危險事件定義為危害與運行場景的結(jié)合，其中失效是危害的主要來源。針對失效表現(xiàn)，現(xiàn)有安全標準中提出的傳統(tǒng)安全分析方法多基于可靠性理論，以FMEA（Failure Mode and Effect Analysis，失效模式及效應(yīng)分析）及FTA（Fault Tree Analysis，失效樹分析）為主。其中FMEA自下而上分析失效及其產(chǎn)生的影響，主要針對單體設(shè)備；FTA自上而下尋找事故的直接原因，主要針對特定事故。對于自主泊車類自主駕駛系統(tǒng)，由于系統(tǒng)涉及大量軟硬件，結(jié)構(gòu)復(fù)雜，應(yīng)用這兩類方法均存在失效情況難以明確，分析任務(wù)繁重，缺乏對運行場景考慮等問題。

HAZOP作為一種可結(jié)構(gòu)化的安全分析方法，通過系統(tǒng)地辨識各種潛在的與設(shè)計目的間的偏差，進而分析各偏差發(fā)生的原因并評估相應(yīng)的后果。相較FMEA、FTA等方法，HAZOP能更全面地識別出給定系統(tǒng)的危險和設(shè)計缺陷。HAZOP已在化工生產(chǎn)[5]和電子科技[6]領(lǐng)域得到了廣泛應(yīng)用，形成了標準化應(yīng)用導(dǎo)則[7]。該導(dǎo)則提供了分析流程和具體的用于描述對設(shè)計目的偏離的引導(dǎo)詞。引導(dǎo)詞是HAZOP分析的基礎(chǔ)，用于概括出現(xiàn)偏差的所有情況，然而現(xiàn)有導(dǎo)則中的引導(dǎo)詞并不完全適用于自主泊車系統(tǒng)，本文依據(jù)對危險事件的定義，基于HAZOP分析方法，針對自主泊車系統(tǒng)的具體功能，建立引導(dǎo)詞分析系統(tǒng)功能失效，得到整車級危險事件。

2 自主泊車系統(tǒng)危險事件識別方法

自主泊車系統(tǒng)危險事件識別方法如圖1所示，依據(jù)現(xiàn)有道路車輛安全標準[3]3-12，首先對于自主泊車系統(tǒng)功能及運行場景進行定義與描述，基于功能定義明確系統(tǒng)功能階段，并構(gòu)建系統(tǒng)功能圖；然后，基于HAZOP方法，應(yīng)用面向自主泊車系統(tǒng)的引導(dǎo)詞和功能圖得到系統(tǒng)功能失效，結(jié)合具體場景和功能階段得到自主泊車系統(tǒng)的危險事件；最后，應(yīng)用ASIL（Automotive Safety Integration Level，汽車安全完整性等級）進行風險評估，篩選出高風險的危險事件。

2.1 功能及運行場景

自主泊車系統(tǒng)是一種不需要駕駛員人工干預(yù)，能夠依據(jù)搭載的傳感器、控制器、執(zhí)行器等裝置，實現(xiàn)自主尋位、自主泊車和主動避障等行為的高級別自動駕駛操作系統(tǒng)，該系統(tǒng)在泊車過程中可以替代駕駛員進行駕駛操作[8]。針對不同的功能可將自主泊車系統(tǒng)的運行過程劃分為多個階段。

2.1.1 自主泊車系統(tǒng)功能階段劃分

自主泊車系統(tǒng)主要分為自主尋位、自主泊車、位姿修正和自主駛離4個功能階段，各階段具體任務(wù)如下：

（1）自主尋位階段：駕駛員將車輛駛?cè)氪窜噮^(qū)域后，進行短距離低速自主駕駛，可以完成直行、換道、避障等具體功能；

（2）自主泊車階段：車輛在確定泊車位后，依據(jù)感知系統(tǒng)、定位系統(tǒng)獲取的輸入信息反饋至決策規(guī)劃系統(tǒng)，并由控制系統(tǒng)完成泊車入位；

（3）位姿修正階段：車輛在駛?cè)氩窜囄恢螅鶕?jù)停放位置和車位中心的距離和角度，自行進行位姿修正，使得車輛最終停放位置處于車位的中心，符合相應(yīng)的角度和距離的標準要求；

（4）自主駛離階段：車輛在接收到駕駛員的召喚命令之后，自主駛離車位，短程自主駕駛至待泊區(qū)域，接駁乘客。

2.1.2 功能圖構(gòu)建

在定義自主泊車系統(tǒng)各個功能階段后，需要系統(tǒng)詳細描述各個功能，功能即駕駛?cè)蝿?wù)的抽象，可以構(gòu)建功能圖對其進行描述。功能圖應(yīng)涵蓋駕駛?cè)蝿?wù)的各個方面，包括環(huán)境感知、自車狀態(tài)感知、決策和行為執(zhí)行等[9]。通過對自主泊車系統(tǒng)各個功能及其依賴關(guān)系進行分析，構(gòu)建自主泊車系統(tǒng)功能圖如圖2所示。功能圖中各項基礎(chǔ)功能以分層的方式描述系統(tǒng)，功能之間用箭頭相連，以表示其依賴關(guān)系。系統(tǒng)分為4個功能階段，各功能階段包含不同的決策規(guī)劃功能，各決策規(guī)劃功能對應(yīng)特定的感知功能與執(zhí)行功能，感知功能與執(zhí)行功能由特定的傳感器與執(zhí)行器完成。

圖2 自主泊車系統(tǒng)功能圖

2.1.3 運行場景定義

現(xiàn)有研究中對車輛運行場景存在多種定義。HalaElrofai[10]將場景劃分為主車、主動環(huán)境（交通燈狀態(tài)、天氣狀況、其他交通參與者等）、被動環(huán)境（道路、障礙物、交通標志等布置）；Geyer[11]利用戲劇術(shù)語，將場景定義為布景、動態(tài)元素和駕駛者；Simon Ulbrich[12]將場景定義為描述環(huán)境的快照，包含了風景、動態(tài)元素和觀察者的自我表示，以及這些實體之間的關(guān)系。綜合上述對于場景的定義劃分，提出將自主泊車系統(tǒng)的運行場景劃分為靜態(tài)元素、動態(tài)元素、自車狀態(tài)與全局環(huán)境。其中靜態(tài)元素包括所有地理空間靜止的元素，動態(tài)元素是指正在移動的元素，自車狀態(tài)包括自車速度及自身轉(zhuǎn)角等屬性，將天氣、路面等對于自主泊車系統(tǒng)的功能實現(xiàn)影響作用較小的靜態(tài)元素作為全局環(huán)境進行描述。

2.2 危害分析

2.2.1 功能失效

在確定自主泊車系統(tǒng)的各個功能后，結(jié)合HAZOP分析方法對功能失效進行分類。HAZOP 分析的基礎(chǔ)是引導(dǎo)詞檢查，是對系統(tǒng)與設(shè)計目的偏差的縝密查找過程。分析人員使用預(yù)先確定的引導(dǎo)詞，對每種要素及其相關(guān)的特性進行分析，識別并確認會導(dǎo)致不利后果的偏差。引導(dǎo)詞的作用是激發(fā)分析人員的想象性思維，使其專注于分析，提出觀點并進行討論，從而盡可能使分析完整全面[13]5。HAZOP應(yīng)用導(dǎo)則中提出的基本引導(dǎo)詞及其含義見表1，與時間和先后順序（或序列）相關(guān)的引導(dǎo)詞及其含義見表2。

表1 HAZOP基本引導(dǎo)詞[13]5

表2 HAZOP時間相關(guān)引導(dǎo)詞[13]5

對于自主泊車系統(tǒng)，潛在的危險基于感知、決策規(guī)劃、執(zhí)行類功能，例如感知自車狀態(tài)時自車速度、自車轉(zhuǎn)角等參數(shù)的識別偏差；因此，表1中部分引導(dǎo)詞如部分、伴隨等，并不適用于描述自主泊車系統(tǒng)功能的失效，故根據(jù)HAZOP分析應(yīng)用導(dǎo)則中的基本引導(dǎo)詞，并結(jié)合自主泊車系統(tǒng)功能的實際應(yīng)用，確定引導(dǎo)詞見表3。

表3 自主泊車危險事件引導(dǎo)詞

使用引導(dǎo)詞與功能圖中每個功能的參數(shù)進行組合，生成可能的失效，其中主要失效包括：

（1）感知功能：感知到行人有過大的速度，感知到過小的停車位區(qū)域，感知到不存在的車速，缺漏對前方行人的感知；

（2）決策規(guī)劃功能：規(guī)劃直行時存在物理不可能的速度，規(guī)劃路徑中存在與其他車輛軌跡的沖突，規(guī)劃路徑時過早的轉(zhuǎn)彎；

（3）執(zhí)行功能：執(zhí)行加速時存在過大的加速度，執(zhí)行轉(zhuǎn)向時存在錯誤的轉(zhuǎn)向角，執(zhí)行先減速后轉(zhuǎn)向時缺漏減速過程。

2.2.2 關(guān)鍵元素

在明確了場景的定義后，為確定自主泊車系統(tǒng)運行過程中的場景，基于泊車工作原理、實際泊車情況和泊車事故情況，建立自主泊車系統(tǒng)場景，見表4。

表4 自主泊車場景元素

為表4中場景的每一個元素選擇一個離散化級別，選擇適當?shù)碾x散化級別是關(guān)鍵的一步，過于詳細的場景會使風險評估失真。主要采用二進制離散化，屬性設(shè)置為有/無；全局環(huán)境中的天氣和路面均分為理想和非理想，見表5。

表5 全局環(huán)境元素

2.2.3 危險事件

基于自主泊車系統(tǒng)功能階段、功能失效及運行場景，推導(dǎo)得到危險事件并分析其可能導(dǎo)致的事故。在生成危險事件時，還需考慮生成事件的合理性，排除以下3類不合理的危險 事件：

（1）在該功能階段下未執(zhí)行功能，故不存在危險；

（2）失效與場景無關(guān)（如直行跟車場景中轉(zhuǎn)向失效），故不存在危險；

（3）多重失效，根據(jù)ISO 26262要求，不予考慮。

綜合以上分析，結(jié)合功能失效的具體場景得到整車級危險事件，如表6和圖3、圖4所示。示例1中，由于車輛在自主泊車階段執(zhí)行轉(zhuǎn)向時轉(zhuǎn)角過大，導(dǎo)致與停放的車輛碰撞；示例2中，由于車輛在自主駛離階段規(guī)劃路徑與前方行人軌跡沖突，導(dǎo)致與行人碰撞。

表6 危險事件示例

圖3 危險事件示例1

圖4 危險事件示例2

2.3 風險評估

得到危險事件后，根據(jù)ISO 26262要求，必須對其進行風險評估，采用ASIL評級對每項危險事件從暴露率、嚴重度和可控性3個角度進行評估。其中暴露率指某一危險事件導(dǎo)致事故的場景在整個運行過程中發(fā)生的概率，根據(jù)發(fā)生的頻率或持續(xù)時間的不同分為E0―E4，其中E4為最高暴露率等級；嚴重度指事故對人員造成傷害的嚴重程度，根據(jù)受傷的嚴重程度分為S0―S3，其中S3為最高嚴重度等級；可控性指危險事件發(fā)生后駕駛員（或其他交通參與者）對風險的可控制程度[3]8-10，根據(jù)測試或分析所得成功完成控制的相關(guān)人員比例分為C0―C3，其中C0等級最為可控。最后綜合得到每項危險事件的ASIL等級，見表7，A為最低的安全完整性等級，D為最高安全完整性等級，QM等級表示不做要求。據(jù)此篩選出風險大并且必須采取措施避免或控制的危險事件。

因為自主泊車系統(tǒng)中均為無人駕駛，且不包含遠程操控技術(shù)，車內(nèi)無人進行控制，故危險事件可控性等級均達C3；又因為事件中的場景元素及功能失效均為泊車過程中的常見要素，故組合得到的所有危險事件的暴露概率等級均達E4；因此各危險事件的ASIL等級取決于嚴重度。根據(jù)SAE J2980—201526262[14]，影響嚴重度的因素可能包括碰撞類型、相對速度、車輛尺寸、是否使用安全防護設(shè)備等。結(jié)合自主泊車系統(tǒng)及產(chǎn)生的危險事件，將相對速度作為自主泊車系統(tǒng)危險事件風險評估中嚴重度的重要依據(jù)。以表6中2項危險事件為例，其嚴重度及ASIL評估結(jié)果為：

（1）對于危險事件1，因自主泊車階段車速較低，且無行人，其嚴重度等級為S1、綜合可控性等級為C3、暴露概率等級為E4，綜合得到ASIL等級為B；

（2）對于危險事件2，因車速相對較快，且可能與行人發(fā)生碰撞，其嚴重度為S2、綜合可控性等級為C3、暴露概率等級為E4，綜合得到ASIL等級為C。

表7 ASIL等級評價標準

3 總結(jié)與展望

針對自主泊車復(fù)雜系統(tǒng)，基于HAZOP方法進行危險事件的識別，該過程遵循現(xiàn)有功能安全標準，通過建立功能圖描述系統(tǒng)功能，根據(jù)適用于自主泊車系統(tǒng)功能的引導(dǎo)詞分析得到具體功能失效，并結(jié)合不同場景生成危險事件，采用ASIL評級方法對其進行風險評估。本文為基于功能安全標準的自動駕駛汽車設(shè)計及驗證過程提供了方法支持，對于提高自動駕駛汽車安全性有重要意義。

該方法的局限性主要體現(xiàn)在風險評估階段依舊采用傳統(tǒng)的ASIL評級方法，難以將篩選出的高風險危險事件進一步分級，后續(xù)將繼續(xù)研究基于客觀指標的量化風險評估方法。

[1]王龍. 汽車自動泊車系統(tǒng)關(guān)鍵技術(shù)研究[D]. 重慶：重慶交通大學(xué)，2016.

[2]胡偉龍. 多段式平行泊車軌跡動態(tài)規(guī)劃及系統(tǒng)控制[D]. 合肥：合肥工業(yè)大學(xué)，2016.

[3]ISO. Road Vehicle-Functional Safety：ISO 26262-3[S]. Switzerland，2011.

[4]中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會. 道路車輛功能安全第3部分：概念階段：GB∕T 34590.3—2017[S]. 北京：中國標準出版社，2017

[5]應(yīng)輝.HAZOP在石油化工設(shè)計中的應(yīng)用[J]. 石化技術(shù)，2019，26（10）：66-67。

[6]楊振，李世軍，劉忠哲. 基于HAZOP的集成電路安全生產(chǎn)風險評估[J].電工技術(shù)，2019（18）：174-175

[7]高東，肖遙，張貝克，等.基于知識本體的HAZOP信息標準化框架[J/OL].化工進展，2020：1-11[2020-03-24].https：//doi.org/10.16085/ j.issn. 1000-6613.2019-1445.

[8]左任婧. 智能汽車自主泊車系統(tǒng)測試用例研究[D]. 上海：同濟大學(xué)，2018.

[9]RESCHKA A，BAGSCHIK G，ULBRICH S. Ability and Skill Graphs for System Modeling，Online Monitoring，and Decision Support for Vehicle Guidance Systems[C]// Intelligent Vehicles Symposium（IV）. IEEE，2015.

[10]ELROFAI H ，WORM D ，CAMP O O D . Scenario Identification for Validation of Automated Driving Functions[M]//SCHULZE T，MüLLER B，MEYER G. Advanced Microsystems for Automotive Applications. Springer International Publishing，2016.

[11]GEYER S，BALTZER M ，F(xiàn)RANZ B，et al. Concept and Development of a Unified Ontology for Generating Test and Use-case Catalogues for Assisted and Automated Vehicle Guidance[J]. Intelligent Transport Systems，IET，2014，8（3）：183-189.

[12]SCHULDT F，ULBRICH S，MENZEL T，et al. Defining and Substantiat- ing the Terms Scene，Situation，and Scenario for Automated Driving[C]// Intelligent Transportation Systems. IEEE，2015.

[13]中國國家標準化管理委員會. 危險與可操作性分析（HAZOP分析）應(yīng)用指南：GB/T 3520-2017[S]. 北京：中國標準出版社，2018.

[14]SAE.Considerations for ISO 26262 ASIL Hazard Classification：SAE J2980-2015 [S].USA，2015.

國家重點研發(fā)計劃（2018YFB0105101，2018YFB 0105103）。

2020-02-20

U463.6

A

10.14175/j.issn.1002-4581.2020.03.001

1002-4581（2020）03-0001-05