周逢軍，韓冰，趙憲華，周娜娜，許媛，魏國亮

(1.北京理工大學前沿技術研究院，山東濟南 250357；2.北京理工新源信息科技有限公司，北京 100081；3.北京理工大學，北京 100081)

0 引言

隨著萬物互聯時代的到來，智能網聯技術在智能交通領域得到應用。智能網聯系統是車與車、車與人、車與路、車與云(平臺)之間，按照約定的體系架構及其通信協議和數據交互標準，進行通信和信息交換的信息基礎設施。智能網聯系統的安全運行，依賴于其系統內部各子系統的安全及各子系統之間的互操作安全。因此，設計安全可靠的智能網聯系統架構至關重要。

1 汽車安全相關標準

汽車安全有關的標準主要有汽車功能安全標準ISO 26262、尚未發(fā)布的汽車信息安全標準ISO 21434以及預期功能安全標準ISO 21448。其中，ISO 26262標準主要針對汽車電子系統功能安全，通過危害分析和風險評估(Hazard Analysis & Risk Assessment，HARA)，得到功能安全需求等級，通過產品設計開發(fā)、查證及確認等能力成熟度模型流程，使得所開發(fā)產品的功能安全符合所需汽車安全完整性等級[1]。ISO 21434主要從風險評估管理、產品開發(fā)、運行/維護、流程審核等4個方面來保障汽車信息安全工作的開展。目標是通過該標準設計、生產、測試的產品具備一定信息安全防護能力[2]。ISO21448旨在為避免因自動駕駛汽車整車及系統的非失效、預期功能局限、合理可預見的誤用所引起的安全風險，從整車層面、系統層面、軟硬件層面及不同系統組件層面如感知、決策、執(zhí)行提供了針對預期功能的風險識別、分析和設計方法[3]。

2 安全分析方法

常用的安全分析方法有故障樹分析法(Fault Tree Analysis,FTA)、失效模式與影響分析(Failure Mode and Effects Analysis，FMEA)和危害與可操作性分析(HAZard and Operability，HAZOP)等。FTA是由上往下的演繹式失效分析法，通常采用邏輯分析的手段，既可進行定性分析也可用于定量分析，主要用在安全工程以及可靠度工程的領域[4]。FMEA又稱為失效模式與后果分析、失效模式與效應分析、故障模式與后果分析或故障模式與效應分析等，是一種操作規(guī)程，旨在對系統范圍內潛在的失效模式加以分析，以便按照嚴重程度加以分類，或者確定失效對于該系統的影響。FMEA廣泛應用于制造業(yè)產品生命周期的各個階段[5]。HAZOP是為了識別及評估在制程上可能產生的問題，結構化及系統化的檢視流程及作業(yè)的方法，是一種以引導詞(guide-word)配合制程參數(如溫度、壓力等)為基礎的定性危害分析技術，一般會由多部門組成的團隊頭腦風暴，透過多次的會議來進行[6]。

3 STPA方法

3.1 簡介

系統理論過程分析(Systems-Theoretic Processes Analysis，STPA)是由LEVESON在2004年提出的一種現代安全分析方法，它是基于系統工程原理和控制理論進行危害識別和安全約束設計[7]。傳統的危害分析方法FTA和FMEA均是基于可靠性理論去分析一個或多個部件失效所造成的危害。與這些傳統方法不同的是，STPA除了可以分析由部件設計缺陷或者部件之間不安全的交互所造成的事故，還可以用于消除或減輕系統早期設計階段的潛在危害。STPA已經廣泛應用于不同領域，如信息安全[8]、早期概念分析[9]、軟件安全[10]、人員控制安全等[11]。

3.2 分析步驟

STPA安全分析流程主要分為4個步驟[7]，如圖1所示。

(1)定義安全分析目的

第一步是明確安全分析目的，比如確定防止安全損失的目的，是用于傳統的安全分析如防止人身傷亡還是用于信息安全、隱私、財產、性能等其他特性以及如何劃分具體系統的邊界等諸如此類的基礎問題，在這一步都應得到解決。

(2)控制架構建模

第二步是建立系統模型，該系統模型在STPA中稱為控制架構?？刂萍軜嬘梢幌盗蟹答伩刂骗h(huán)路組成，可以從中獲取功能交互關系。系統控制架構一般從非常抽象的層面開始，以便獲取更多的系統細節(jié)進行迭代優(yōu)化。對于智能網聯汽車系統而言，架構建模需要綜合考慮系統內各組成子系統或部件之間的交互安全性。

(3)識別非安全控制行為

第三步是分析控制架構中的非安全控制行為，確定他們是如何導致在第一步中所定義的損失。這些非安全控制行為可用于創(chuàng)建系統功能安全需求和系統約束。

(4)辨識損失場景

第四步是辨識系統中非安全控制行為發(fā)生的原因，并據此創(chuàng)建對應場景解釋：從反饋不正確、需求不充分、設計失誤、組件失效以及導致非安全控制行為等方面導致安全損失的原因；正常輸入安全的控制行為，執(zhí)行系統未執(zhí)行或正確的執(zhí)行而導致安全損失的原因。

4 智能網聯汽車系統架構特點

智能網聯汽車涉及到多個專業(yè)技術領域和應用領域，其產業(yè)已從2018年“三跨”的“芯片模組+終端+車企”發(fā)展到2020年“新四跨”的“芯片模組+終端+車企+CA平臺”，產業(yè)化進程也進一步加快。常見的智能網聯汽車系統架構分層如圖2所示，物理層面上，智能網聯汽車系統架構可以分為四層：交通設備層、車輛智能系統和對外接口層、車輛網絡控制層及車輛部件執(zhí)行層。從功能角度出發(fā)，智能網聯汽車系統分為感知層、決策層、控制層和執(zhí)行層，各層涉及到的設備或部件如表1所示，各層之間相互協調分工，其交互安全性極為重要。

圖2 智能網聯汽車系統架構分層

表1 智能網聯汽車系統功能分層組成

5 智能網聯汽車系統安全分析

5.1 分析方法

文中將STPA危害分析方法用于前向碰撞預警(Forward Collision Warning,FCW)系統早期設計開發(fā)中。FCW是指主車在車道上行駛，與在正前方同一車道的遠車存在追尾碰撞危險時，FCW 應用將對主車駕駛員(自動駕駛系統)進行預警[12]。主車駕駛員或自動駕駛系統根據預警做出決策，控制系統根據控制決策向執(zhí)行系統發(fā)送控制指令，執(zhí)行系統根據控制指令執(zhí)行加、減速、轉向等動作。文中綜合考慮FCW系統和自動/輔助駕駛系統及底層執(zhí)行系統之間的交互安全性。

使用STPA方法，需要從系統、控制流程、功能需求、安全約束及安全需求等方面去規(guī)范整個流程。因此，以FCW系統的現有架構、信息、文檔資料作為STPA分析的基礎。整個STPA分析方法可分為6個步驟：(1)研究系統架構、目標、組件、需求、功能和組件交互關系；(2)提煉系統安全需求和安全約束；(3)識別在不可接受范圍內的潛在事故、系統損失，確定系統的危害程度；(4)畫出系統功能控制框圖；(5)將STPA步驟(2)和(3)作用在系統控制框圖上；(6)進一步精煉所得到的系統安全和約束。

5.2 結果討論

通過STPA對FCW系統的分析，得到以下結論：

(1)影響整車功能安全的事故類型主要有兩種：一是在FCW系統處于激活狀態(tài)時，主車與前車發(fā)生碰撞；二是當主車的FCW系統探測到前方有靜置車輛時，后車與主車發(fā)生碰撞。

(2)系統級危害主要有兩類：一是主車FCW未遵守主車和前車之間的安全距離；二是主車FCW錯誤估計前車距離和速度。

(3)如圖3所示，通過FCW系統安全分析控制流程架構，可分析FCW各個子系統之間的交互安全性。

圖3 FCW系統安全分析控制流程架構

(4)子系統之間非安全控制動作可分為四類，以全球衛(wèi)星導航系統(Global Navigation Satellite System，GNSS)數據為例，第一類是沒有提供數據，如GNSS沒有提供定位數據；第二類是提供錯誤數據，如GNSS提供錯誤的定位信息;第三類是提供數據的時間序列錯誤，如GNSS提供的定位信息時間不同步，造成主車和前車根據定位信息計算出的車距與實際車距不符，導致實際車距超出安全距離范圍未報警或者安全車距下的誤報警;第四類是GNSS提供的信息太短或長時間未更新，在這種條件下，FCW不能有效利用GNSS的數據計算主車和前車的車距，導致車距計算錯誤造成誤報警或者發(fā)生碰撞。

(5)安全需求：安全需求分析對應于ISO 26262中功能安全要求分析過程。使用STPA時，每個非安全控制動作將轉換成在子系統或部件上的安全需求。如(4)中所述第一類非安全動作轉化成安全需求就是GNSS必須傳遞給FCW系統正確的定位信息。

(6)分析安全影響因素：分析安全影響因素可以幫助開發(fā)者定義功能安全危害等級和制定安全應對措施和方法。通過構造形成事故或安全隱患的場景，進一步細化圖3中的每個部件或子系統的過程模型。比如，當主車在高速公路上行駛時，前方無障礙物(如靜置車輛或慢行車)，制動系統卻執(zhí)行了制動命令。假定其他控制系統均正常工作，則表明該非安全控制動作是因FCW系統中使用了不正確的過程模型。通過進一步分析，得出潛在影響安全的因素有：GNSS失效、天線接收裝置失效、制動狀態(tài)反饋失效，制動反饋延遲等。得到基本安全需求是：FCW系統必須確保能準確接收到周圍車輛發(fā)送的信息和GNSS信息；解決措施是：通過加裝額外的傳感器用來探測前車或者后車距離，以保證在FCW系統失效的情況下，主車可以準確判斷前后車距。

5.3 使用建議

在STPA使用過程中，為了評估每個模型變量和控制循環(huán)是否會導致非安全動作，需要投入大量的時間、精力以及過程模型控制的專業(yè)知識，而STPA并未提供系統方法解決此類問題，比如如何去檢查控制算法的完整性。因此，STPA需要一種系統性的方法去標示過程模型變量、控制動作及危害之間的關系。另外，用STPA分析系統控制循環(huán)中的多個控制器時，仍存在一定的局限性，比如FCW系統涉及多個控制器模塊之間的交互，例如制動系統模塊和動力單元控制模塊(控制發(fā)動機或者電動機)兩者協同控制車速時，兩者都會接收來自制動控制模塊的車速信息。而在早期安全設計開發(fā)過程中，這3個控制模塊之間的動作交互關系的細節(jié)信息并不清晰。

6 結束語

文中探討了STPA在汽車領域的應用。STPA是一種強大且有效的技術，通過識別一系列潛在事故場景，包括設計失誤、軟件缺陷、組件互操作事故以及人為失誤等方面，實現對汽車領域安全相關系統的事故和潛在不安全因素的分析和評估。下一步重點考慮將有限狀態(tài)機的方法融合到STPA分析方法中，通過有限狀態(tài)機提取控制器狀態(tài)和控制動作之間的準確而恰當的關系，提高整個安全分析的效率。