陳君毅，劉力豪，周堂瑞，邢星宇

（同濟大學汽車學院，上海201804）

安全是汽車的基本要求，自動駕駛系統(tǒng)的出現(xiàn)賦予了汽車安全性新的內(nèi)涵。其中因外部環(huán)境因素、功能局限與人為誤用導致的安全問題屬于預期功能安全的研究范疇［1］。決策系統(tǒng)是自動駕駛汽車的“大腦”，其功能為根據(jù)環(huán)境及自車信息，決策獲得安全舒適的駕駛行為，指導自動駕駛汽車的運動，對于乘員人身安全有著至關重要的影響，其安全性值得深入分析。

決策系統(tǒng)是一個典型的軟件密集型系統(tǒng)，相比傳統(tǒng)的汽車電子電氣系統(tǒng)它承擔更高等級的駕駛任務，具備更加復雜的邏輯。傳統(tǒng)安全分析方法，例如基于事件鏈或流行病學模型的分析方法認為事故的根本原因在于系統(tǒng)中單個或多個組件的故障，難以覆蓋系統(tǒng)功能局限與環(huán)境擾動帶來的危險；且在分析邏輯復雜的軟件密集型系統(tǒng)時效率有限［2］，難以應用在自動駕駛決策系統(tǒng)的安全分析上。

囿于傳統(tǒng)安全分析方法的局限，近年來部分學者將以STPA方法為代表的現(xiàn)代安全分析方法引入自動駕駛系統(tǒng)的安全性研究中。Mahajan等［3］將STPA方法應用于車道輔助保持系統(tǒng)（lane keeping assistance，LKA），得到LKA系統(tǒng)的安全要求；Abdulkhaleq等［4］對一個使用有限狀態(tài)機的汽車自適應巡航系統(tǒng)（adaptive cruise control，ACC）進行了STPA分析，得到ACC系統(tǒng)的安全要求；Bagschik等［5］在德國高速公路無人駕駛保護車（僅具備跟車行駛功能）上應用STPA方法，得到了該車的危險事件；筆者在前期研究中提出了一種基于STPA的符合ISO 26262的安全分析方法，并應用于一輛SAE L3級的自動駕駛清掃車上［6］，導出了該車的功能安全要求。

上述研究使用STPA方法對自動駕駛系統(tǒng)的安全性進行分析，但仍有兩個關鍵問題未被解決。一是研究僅進行安全分析，止于導出危險事件或者提出安全要求，缺乏對分析結果的進一步應用，也未驗證分析結果的合理性和有效性；二是分析多按照功能展開且多數(shù)僅針對較低等級自動駕駛功能，缺少對同時具備巡航、換道、泊車等多種功能的高級自動駕駛決策系統(tǒng)的研究。在更高等級自動駕駛系統(tǒng)中，系統(tǒng)復雜性的提升給分析帶來了新的挑戰(zhàn)。

針對上述問題，本文提出一種涵蓋安全分析、策略設計以及試驗驗證三個環(huán)節(jié)的安全性開發(fā)方法，并在一個LV4城市自動駕駛決策系統(tǒng)的原型階段進行了應用。

1 自動駕駛決策系統(tǒng)安全性開發(fā)方法

現(xiàn)有安全標準［1，7］要求在自動駕駛系統(tǒng)開發(fā)過程中開展安全分析。對于高等級自動駕駛系統(tǒng)，由于運行場景和內(nèi)部邏輯的復雜化，采用整體分析的視角將導致難以利用系統(tǒng)內(nèi)部結構有效信息。而典型架構的自動駕駛系統(tǒng)的感知認知、決策規(guī)劃和控制執(zhí)行模塊解耦度高，且根據(jù)各模塊的不同特點適合采取不同的分析方式。基于Leveson［8-9］提出的STPA方法，結合高等級自動駕駛決策系統(tǒng)的特點，本文提出一種面向自動駕駛決策系統(tǒng)的安全性開發(fā)方法，如圖1所示。

該方法以系統(tǒng)本身的功能作為分析起點，結合分析對象的具體程序構建控制結構圖和過程模型；并基于分析結果增加了策略設計以及試驗驗證步驟，形成自動駕駛決策系統(tǒng)安全性開發(fā)的迭代閉環(huán)。方法共包含8個步驟：

（1）建立系統(tǒng)控制結構。根據(jù)系統(tǒng)功能定義建立整車的控制結構，從決策系統(tǒng)的原型程序中提取過程模型；

（2）確定安全關鍵控制行為（control action，CA）。在整車控制結構中確定與事故直接相關的控制指令；

（3）識別不安全控制行為（unsafe control action，UCA）。考察各安全關鍵控制行為的錯誤模式，識別系統(tǒng)的不安全控制行為；

圖1 本文所提出的安全性開發(fā)方法Fig.1 Proposed safety development method

（4）分析不安全控制行為原因。原因可以逐級往前推理，對決策規(guī)劃系統(tǒng)而言，可以推理到感知結果；

（5）識別潛在危險事件；

（6）試驗驗證危險事件；

（7）設計安全策略（safety strategy，SS）。針對經(jīng)驗證有效的危險事件，通過改進原系統(tǒng)或者限制使用場景的方式，使安全性約束（safety constraint，SC）重新得到保證；

（8）試驗驗證安全策略。

以上8個步驟最終所得的有效安全策略在系統(tǒng)中經(jīng)過實現(xiàn)，為一輪完整的安全迭代過程。在系統(tǒng)經(jīng)過修改后，可進行重新分析和回歸測試，通過多次迭代，使得整體系統(tǒng)風險降低至可接受水平。

2 自動駕駛決策系統(tǒng)安全分析

所提出的安全性開發(fā)方法在一個L4級城市自動駕駛決策系統(tǒng)［10］的原型階段進行了應用。該決策系統(tǒng)基于有限狀態(tài)機構建，并在MATLAB/Simulink中完成了原型實現(xiàn)，涵蓋4個子功能：①沿全局路徑的循跡，包括無前車的定速巡航和有前車的跟車巡航；②主動換道，在巡航通行效率過低時會考慮進行主動變道；③路口通行，通過交通信號燈控制的路口；④自主泊車，在路邊停車位進行垂直車位泊車或者平行車位泊車。

2.1 建立系統(tǒng)控制結構

根據(jù)上述系統(tǒng)功能定義確定整車控制結構，如圖2所示。城市自動駕駛系統(tǒng)可建立包含5個層次的控制結構，分別為：感知層、決策層、控制層、執(zhí)行層和環(huán)境層。環(huán)境層元素的信息通過傳感器被感知層獲取，經(jīng)過處理獲得決策層所需的輸入；決策層綜合環(huán)境和自車信息，決策出車輛下一時刻應該采取的動作，即期望速度和期望位置；控制層接收決策層的輸出，將其轉化為底層控制指令供車輛執(zhí)行機構使用；執(zhí)行層是整車的物理實體，直接與環(huán)境層交互。

圖2 整車控制結構圖Fig.2 Control structure of autonomous vehicles

本文城市自動駕駛決策系統(tǒng)使用狀態(tài)機（finite state automata，F(xiàn)SA）構建，從其Simulink程序中提取核心狀態(tài)機模型，反映系統(tǒng)在決策過程中的控制邏輯；并結合功能定義構建決策系統(tǒng)的過程模型，如圖3所示。

2.2 確定安全關鍵控制行為

圖3 決策系統(tǒng)狀態(tài)機過程模型Fig.3 FSA-based process model of the decisionmaking system

從整車控制結構圖中確定安全關鍵控制行為，即直接與事故相關的控制信號或指令。依據(jù)是否直接與現(xiàn)實世界交互這一條件，控制結構圖中的5個層級可以分為物理層和邏輯層。物理層包括執(zhí)行層和環(huán)境層，位于控制結構圖的底部；邏輯層包括感知層、決策層和控制層，位于控制結構圖的上游。事故（人身安全、財產(chǎn)損失）發(fā)生在物理層中，因此邏輯層對物理層施加的控制行為，是自動駕駛決策系統(tǒng)對現(xiàn)實世界造成影響的途徑。如果邏輯層對物理層施加了錯誤的控制行為，則可能導致事故發(fā)生。這一路徑上傳遞的控制行為即安全關鍵控制行為。對自動駕駛決策系統(tǒng)而言，它包括了期望速度（A1）和期望位置（A2）兩個控制行為，記為集合A。

2.3 識別不安全控制行為

通過考察安全關鍵控制行為的錯誤模式，識別不安全控制行為。在STPA通用分類方法［9］的基礎上提出了以下8種錯誤模式，用M表示它們的集合：

（1）M1需要提供控制信號，但未提供；

（2）M2不需要提供控制信號，但提供；

（3）M3提供了正確的控制信號，但時機過早；

（4）M4提供了正確的控制信號，但時機過晚；

（5）M5提供的控制信號持續(xù)時間過長；

（6）M6提供的控制信號持續(xù)時間過短；

（7）M7提供的控制信號數(shù)值過大；

（8）M8提供的控制信號數(shù)值過??；

值得注意的是，這些錯誤模式并非所有情況下都會導致危險。例如，在跟車時即使提供較小的期望速度，也不會導致自車與目標車發(fā)生碰撞，只是導致行駛效率變低。所以需要對不同運行情況作分別分析。對城市自動駕駛決策系統(tǒng)而言，可以用功能狀態(tài)指代這些不同的運行情況。從狀態(tài)機過程模型中可提取出以下9個功能狀態(tài)，分別為：定速巡航（S1），跟車巡航（S2），換道（S3），換道后保持（S4），交通信號燈處理（S5），路口中決策（S6），尋找車位（S7），平行泊車（S8）和垂直泊車（S9）。用S表示功能狀態(tài)的集合。

作集合A、M和S的笛卡爾積，可得到潛在不安全控制行為集，記為Up，即

STPA方法要求分析人員依據(jù)經(jīng)驗對潛在不安全控制行為進行篩選，排除在特定情況下不成立的選項。篩選過程可表示為式（2），其中f(·)代表了篩選規(guī)則，F(xiàn)表示用于過濾的布爾矩陣，最終結果記為U。這樣，識別不安全控制行為的問題轉化成構建過濾矩陣的問題。

以自主泊車功能（S7、S8、S9）為例，說明不安全控制行為識別的過程。尋找車位時（S7），車輛保持勻速沿道路前進，通過超聲波雷達掃描庫位深度，判斷泊車是否可行并辨別庫位類型，決策系統(tǒng)應該輸出恒定為2 m·s-1的速度和0位置（與全局路徑偏移為0）；尋位成功后，自車根據(jù)庫位類型選擇垂直（S8）或平行方式（S9）泊入庫內(nèi)，決策系統(tǒng)輸出2 m·s-1的速度以及軌跡規(guī)劃器決定的位置。根據(jù)上述分析，建立過濾矩陣如表1所示，矩陣元素取值為1或0，分別表示該位置的潛在不安全控制行為是否應納入考慮。例如，（A1，M1，S7）尋找車位時，需要提供期望速度但未提供，會導致車輛停在原地，任務無法完成，但不會導致事故發(fā)生，所以過濾矩陣中對應位置的值為0，該潛在不安全控制行為不被考慮。

表1 自主泊車功能的不安全控制行為Tab.1 UCAs of the auto-parking function

對于完整系統(tǒng)，共分析獲得70個不安全控制行為。各功能狀態(tài)的不安全控制行為數(shù)目如表2所示。

表2 各功能狀態(tài)的不安全控制行為數(shù)目Tab.2 UCA Numbers of each function state

2.4 分析不安全控制行為原因

考察控制結構中決策層的信息流，可知其最終輸出結果取決于三個方面：決策系統(tǒng)自身、感知層輸入的環(huán)境信息和感知層輸入的定位導航信息。因此不安全控制行為的原因可被歸納為以下三個類別，記為CR（category of reason）：

（1）CR1決策系統(tǒng)未獲得正確的環(huán)境信息：感知層未提供給決策層正確的環(huán)境信息；或者提供了正確的信息，但傳輸途徑出現(xiàn)問題。結果表現(xiàn)為決策系統(tǒng)不能正確獲取周圍障礙物與交通參與者的信息；

（2）CR2決策系統(tǒng)未獲得正確的車輛狀態(tài)：感知層未提供給決策層正確的車輛狀態(tài)信息；或者提供了正確的信息，但傳輸途徑出現(xiàn)問題。結果表現(xiàn)為決策系統(tǒng)不能正確獲取自車的位置與速度信息；

（3）CR3決策系統(tǒng)自身存在安全缺陷，包括：CR3.1狀態(tài)轉移條件設置出錯或判斷出錯，結果表現(xiàn)為決策系統(tǒng)轉移到了與實際任務不符合的狀態(tài)；CR3.2轉移條件過于敏感引起狀態(tài)震蕩，表現(xiàn)為決策系統(tǒng)在兩個或多個狀態(tài)之間反復切換，不能正常輸出控制指令；CR3.3處于正確的狀態(tài)，但計算出了錯誤的結果。由決策系統(tǒng)參數(shù)設置有誤或算法設計缺陷造成；CR3.4設計時缺少必須狀態(tài)，導致決策系統(tǒng)不具備處理相關危險的能力；CR3.5決策系統(tǒng)計算得到了正確的輸出，但輸出通道上存在干擾、時延等問題，導致最終輸出的期望速度和期望位置信號與計算結果不一致。

結合所得無人駕駛決策系統(tǒng)自主泊車功能的不安全控制行為，最終分析得到了10個原因，它們各自所屬的類別，以及和不安全控制行為之間的關系如表3所示。

表3 自主泊車功能的不安全控制行為原因Tab.3 Reasons of UCAs of the auto-parking function

2.5 識別潛在危險事件

根據(jù)分析獲得的不安全控制行為及其原因構建潛在危險事件。將事故定義為車輛與行人、車輛或者障礙物發(fā)生碰撞，造成人身安全或財產(chǎn)損失，系統(tǒng)危險為導致事故發(fā)生的宏觀車輛行為，由不安全控制行為引發(fā)。危險事件被定義為因為不安全控制行為原因R，造成系統(tǒng)危險H，與環(huán)境中元素發(fā)生事故D，可以使用如（Ri，Hj，Dk）的有序元組進行形式化描述。對該城市自動駕駛決策系統(tǒng)可推導出以下系統(tǒng)危險，并提出對應的安全性約束C，如表4所示。表中還展示了事故、系統(tǒng)危險、不安全控制行為以及不安全控制行為原因之間的追溯關系，根據(jù)定義即可構建得到系統(tǒng)的危險事件。

表4 自主泊車功能事故、系統(tǒng)危險、安全性約束Tab.4 Accidents,hazards,and safety constraints of the auto-parking function

2.6 試驗驗證危險事件

以危險事件（R9，H8，D3）為例，說明危險事件的驗證步驟。危險事件為因決策系統(tǒng)缺少緊急制動狀態(tài)，導致泊車過程中車輛未避讓闖入庫位的行人，發(fā)生碰撞。使用PreScan聯(lián)合MATLAB/Simulink的仿真平臺進行了驗證，試驗場景如圖4所示。自車為黑色車，將泊入中間平行庫位，在車輛開始泊車后，有一行人走入庫位中。

圖4 自主泊車工況典型危險試驗場景Fig.4 Testing Scenario of the auto-parking function

安全性分析指出，由于自車在完成庫位檢測開始倒車入庫后，其行為被確定，不再受外界環(huán)境影響，也不具備緊急制動機制。如果此時有行人進入車位，自車不會避讓。盡管此時車速較低，但仍然可能發(fā)生碰撞。通過仿真環(huán)境對安全分析結果進行驗證，試驗結果表明，自車最終會與行人發(fā)生碰撞，碰撞過程如圖5所示。

3 安全策略設計及驗證

3.1 設計安全策略

對經(jīng)過驗證的危險事件，可以針對性設計安全策略，以使安全性約束重新得到保障。安全策略的設計可從正向和反向兩個方面進行。正向為提升系統(tǒng)本身的能力，修復其錯誤，使系統(tǒng)在原本的潛在危險場景下不發(fā)生事故；反向為限制系統(tǒng)的運行場景，通過要求、標準或法規(guī)禁止系統(tǒng)在原本的潛在危險場景下運行，達到避免事故的目標。從正向和反向兩個角度考慮，本文對分析得到的危險事件提出了以下的安全策略，如表5所示。

圖5 自主泊車工況典型危險事件下的事故過程Fig.5 Process of the accident during auto-parking

本文以安全策略SS8在泊車規(guī)劃模塊中增加緊急制動狀態(tài)為例進行說明。該安全策略的作用為，在車輛泊車過程中，實時檢測庫位中是否存在闖入的行人或車輛等動態(tài)物體，如果存在且碰撞檢測標志為真，則轉移到緊急制動狀態(tài)，輸出0值期望速度，以避免碰撞發(fā)生。搭載安全策略后的泊車狀態(tài)機程序如圖6所示，其中淺色區(qū)域內(nèi)即為添加的緊急制動狀態(tài)。當碰撞檢測標志“CrashCheck”為真時，保存工作現(xiàn)場并從泊車狀態(tài)轉移到緊急制動狀態(tài)，輸出0期望速度；當“CrashCheck”為假時，退出緊急制動狀態(tài)，恢復工作現(xiàn)場，繼續(xù)完成泊車。

3.2 試驗驗證安全策略

在與2.6節(jié)中相同的危險場景下，對實現(xiàn)了上述安全策略的系統(tǒng)進行了驗證試驗。自車安全完成泊車任務，圖7展示了試驗過程中自車的泊車過程。在搭載安全策略前后的試驗中，還記錄了自車和行人的運動學信息，包括位置、速度、航向角等。

表5 自主泊車功能的安全策略Tab.5 Safety Strategy of the auto-parking function

圖6 添加緊急制動狀態(tài)后的泊車狀態(tài)機程序Fig.6 FSA of the auto-parking function with AEB state

圖8展示了泊車過程中自車速度以及自車與行人相對距離的變化。在34.1 s時搭載安全策略前后的自車均完成了第一次泊車規(guī)劃，速度降低至0。未搭載安全策略的車輛隨即重新加速執(zhí)行第二次泊車規(guī)劃，而未注意避讓后方闖入庫位的行人，導致最終在36.4 s時發(fā)生碰撞（相對距離為0）；搭載安全策略后的車輛檢測到行人，在34 s～38 s間保持速度為0、安全距離大于2 m，等待行人通過。

以上測試結果表明，搭載安全策略后車輛及時避讓，避免了與行人發(fā)生碰撞，提出的安全策略有效避免了事故發(fā)生。

圖7 實現(xiàn)安全策略后的自主泊車全過程Fig.7 Process of auto-parking with the safety strategy implemented

圖8 搭載安全策略前后泊車過程中的自車速度和相對距離Fig.8 Speed and relative distance during autoparking

4 總結與展望

針對自動駕駛決策系統(tǒng)的安全性問題，提出了一種基于STPA的安全性開發(fā)方法。該方法涵蓋安全分析、策略設計和測試驗證三個環(huán)節(jié)，形成完整的安全性開發(fā)迭代閉環(huán)。所提出的方法在一個城市自動駕駛決策系統(tǒng)的原型開發(fā)階段中進行了實踐。針對決策系統(tǒng)的特點，使用狀態(tài)機構建過程模型，建立了包含了4個功能模塊、9個功能狀態(tài)的控制結構，分析獲得了8個錯誤模式下的70個不安全控制行為。針對其中3個泊車相關的功能狀態(tài)，分析得到了10個不安全控制行為原因和8個系統(tǒng)危險，提出了9個安全策略。以在泊車規(guī)劃模塊中增加緊急制動狀態(tài)這一安全策略為例，進行了系統(tǒng)改進，通過模型在環(huán)仿真的方式對實現(xiàn)安全策略前后的系統(tǒng)進行了對照試驗。試驗結果表明，分析得到的危險事件確實發(fā)生，設計的安全策略提高了泊車過程的安全性。

此外，該研究也存在一定的局限性，將在后續(xù)的研究中完善：①安全分析過程中不安全控制行為的篩選依賴分析人員的工程經(jīng)驗或領域知識，后續(xù)將進一步研究知識與客觀指標相結合的篩選方法；②分析過程中使用自然語言，不同分析人員得出的分析結果難以達到完全一致，后續(xù)將研究使用計算機技術和形式化語言進行分析的方法；③安全分析在定性的層面進行，后續(xù)將根據(jù)定性安全分析的結果進一步研究定量安全分析方法。

作者貢獻聲明：

陳君毅：研究命題的提出與構思，論文修訂

劉力豪：安全分析，策略設計和仿真試驗，論文撰寫

周堂瑞：安全分析，論文修訂

邢星宇：策略設計，數(shù)據(jù)整理，論文修訂