自动驾驶车辆人机误用的预期功能安全危害分析方法与流程

本发明涉及自动驾驶，尤其涉及一种自动驾驶车辆人机误用的预期功能安全危害分析方法。

背景技术：

1、自动驾驶车辆的设计初衷是为了解决人类驾驶的不安全问题。然而，自动驾驶车辆也会带来新的安全问题，即预期功能安全sotif中的未知和不安全问题。sotif(预期功能安全)强调的是避免因为预期的功能表现局限、性能不足而导致不合理的风险。换句话说，车辆在所有功能没有失效的情况下，依然发生的驾驶安全问题都归类于预期功能安全。据统计，自动驾驶车辆引发的安全问题中，99％都来源于预期功能安全。

2、目前，行业尚未找到完整的解决方案，也没有一套成熟、高效率的测试体系，甚至还没有一套基础理论来解决sotif问题。自动驾驶车辆是基于场景的，安全是建立在必须把驾驶安全放在第一位的基础上，但现实是，很多驾驶者并不把驾驶安全放在首位，提供给驾驶员的相关自动驾驶车辆预期功能的信息不够明确，关键操作情况的不可控性等等，进而导致危险发生。因此，如何降低风险以确认自动驾驶预期功能的安全是sotif的挑战。

3、为了解决预期功能安全的风险问题，需要采取措施来改进预期功能的安全性，以解决系统限制所带来的危害。例如，可以通过提高传感器的性能(精度)来降低误(漏)识别的影响，完善相关预警和监控策略等。这些都是目前需要解决的问题。

技术实现思路

1、为了克服现有技术中，stpa模型对自动驾驶车辆人机误用危险场景触发条件识别方法还不完善，对车辆电子安全系统应用造成了制约的弊端，本发明提供了根据系统理论过程分析(stpa)方法建立功能车辆电子安全约束、控制结构和过程模型，考虑了人机误用危险场景触发条件因素对车辆电子安全控制结构和车辆电子安全控制系统过程模型的影响，对车辆电子安全约束、危害事件、过程控制和信息安全影响进行组合分析，将危害事件的发生看成是不安全控制的结果，而不仅仅是由组件或系统故障引起，并能识别所有不安全控制的分类并确定导致这些不安全控制发生的原因是来源于单个组件、多个组件之间的相关交互或者是车辆电子安全系统设计缺陷等，由此提高了现有stpa模型对信息安全影响因素进行分析处理效果的一种基于自动驾驶车辆人机交互过程中误用行为的预期功能安全危害分析方法。

2、本发明解决其技术问题所采用的技术方案是：

3、一种自动驾驶车辆人机误用的预期功能安全危害分析方法，其特征在于采用stpa模型作为基础，共分为四个步骤实现了stpa模型对人机误用危险场景触发条件识别的完善，步骤一：根据stpa模型建立安全约束、控制过程和过程模型；步骤二：考虑人机交互途径，划定范围，描述人机误用场景；步骤三：结合步骤一、二中对人机交互途径的划分和对人机误用场景的描述，识别因其导致的不安全控制；步骤四：对于每个人机误用的指令或行为，检查是否由控制回路的单个组件导致、或者由多个组件间的冲突或交互导致确定不安全控制的来源。

4、所述步骤一中，a)车辆电子安全约束是用来确保控制状态的，违反安全约束将导致危害事件的发生。反之，危害事件的发生一定源于某些安全约束被违反。在系统和产品设计开发过程中，安全约束被逐步精化并向下层分解。b)建立层级控制结构系统，上层的控制系统对下层进行控制，并在层级间实现安全约束的向下传递和向上反馈。通过明确控制结构，可以实现对安全约束自上而下的细化，并分配至控制组件，追溯控制命令的发出与执行，以及相应的安全约束的传递和反馈。c)建立控制系统过程模型，描述系统的运行状态、控制规则和相应的控制过程方。控制层的每一层级都需要具有相应的过程模型，以便分析不安全控制来源。控制器过程模型中可能的违反安全约束的因素包括控制指令错误、控制指令未发出、控制指令发出过早或过晚、控制指令停止过早或过晚，以及控制规则或过程方法错误引起的控制行为不当。

5、所述步骤二中，考虑人机交互途径，划定范围，描述人机误用场景，人和汽车之间的人机交互途径包括：a)控制台：驾驶员通过控制台上的按钮、开关、杠杆等设备来控制汽车的各种功能。b)仪表盘：仪表盘上的指示灯、显示屏等设备向驾驶员提供汽车的各种状态信息。c)方向盘：驾驶员通过方向盘来控制汽车的方向。d)踏板：驾驶员通过踏板来控制汽车的加速和刹车。e)语音控制：一些汽车配备了语音控制系统，驾驶员可以通过语音来控制汽车的各种功能。人机误用是指在人机交互过程中，由于人类操作者的疏忽、错误、误解、不当操作等原因，导致机器的误动作或误操作。以汽车为例，人机误用场景包括：a)驾驶员误操作：驾驶员在驾驶汽车时，因为疲劳、分心、心理压力等原因，误操作汽车，比如误踩油门、误刹车、误操作方向盘等。b)操作员误解：汽车的控制台上可能会有一些复杂的按钮、开关、杠杆等设备，如果操作员没有理解清楚这些设备的功能，就可能误操作汽车。c)设计缺陷：汽车的设计者可能没有考虑到某些使用场景，导致操作员在使用汽车时容易误操作。以上这些场景都可能导致汽车出现问题，甚至导致事故的发生。

6、所述步骤三中，不安全控制的分类包括：a)安全约束没有被正确分配，或相应的实现安全约束的控制过程方法没有被正确实现；b)安全约束被正确分配，但是控制器的执行违背了安全约束；其中在安全约束被正确分配，但是控制器执行违背了安全约束的情况包括：1)控制指令错误；2)控制指令未被发出；3)控制指令正确发出，但是指令的发出过早或过晚；4)控制指令正确发出，但是指令的停止过早或过晚；5)控制指令正确发出，但是控制规则或过程方法错误引起控制行为错误；6)控制指令正确发出，但是控制规则或过程方法错误引起控制行为未执行。

7、所述步骤四中，不安全控制的来源包括：a)控制回路的单个组件；b)控制回路的多个组件间的冲突或交互；c)系统设计的不充分或不恰当；d)环境因素干扰未被排除。

8、本发明有益效果是：本发明根据系统理论过程分析(stpa)方法建立了车辆预期功能安全约束、控制结构和过程模型；充分考虑了人机误用场景因素对车辆电子安全控制结构和车辆电子安全控制系统过程模型的影响，识别出可能导致误用的触发条件，从而及时发出警告或采取相应措施，避免潜在的危险；在人机误用的角度分析危害事件的发生，并能识别所有不安全控制(违背安全约束的控制命令)的分类并确定导致这些不安全控制发生的原因是来源于单个组件、多个组件之间的相关交互或者是车辆电子安全系统设计缺陷等。由此提高了现stpa模型对人机误用因素进行分析处理效果，进而提高了车辆电子安全系统的预期功能安全。基于上述，本发明具有好的应用前景。

技术特征：

1.一种自动驾驶车辆人机误用的预期功能安全危害分析方法，其特征在于采用stpa模型作为基础，共分为四个步骤实现了stpa模型对人机误用行为影响因素处理效果的完善，步骤一：根据stpa模型建立车辆电子安全约束、控制结构和控制系统过程模型；步骤二：考虑人机交互途径，划定范围，描述人机误用场景；步骤三：结合步骤一、二中对人机交互途径的划分和对人机误用场景的描述，识别因其导致的不安全控制；步骤四：对于每个人机误用的指令或行为，检查是否由控制回路的单个组件导致、或者由多个组件间的冲突或交互导致确定不安全控制的来源。

2.根据权利要求1所述的自动驾驶车辆人机误用的预期功能安全危害分析方法，其特征在于步骤一中，a)车辆电子安全约束是用来确保控制状态的，违反安全约束将导致危害事件的发生。反之，危害事件的发生一定源于某些安全约束被违反。在系统和产品设计开发过程中，安全约束被逐步精化并向下层分解。b)建立层级控制结构系统，上层的控制系统对下层进行控制，并在层级间实现安全约束的向下传递和向上反馈。通过明确控制结构，可以实现对安全约束自上而下的细化，并分配至控制组件，追溯控制命令的发出与执行，以及相应的安全约束的传递和反馈。c)建立控制系统过程模型，描述系统的运行状态、控制规则和相应的控制过程方。控制层的每一层级都需要具有相应的过程模型，以便分析不安全控制来源。控制器过程模型中可能的违反安全约束的因素包括控制指令错误、控制指令未发出、控制指令发出过早或过晚、控制指令停止过早或过晚，以及控制规则或过程方法错误引起的控制行为不当。

3.根据权利要求1所述的自动驾驶车辆人机误用的预期功能安全危害分析方法，其特征在于步骤二中，考虑人机交互途径，划定范围，描述人机误用场景，人和汽车之间的人机交互途径包括：a)控制台：驾驶员通过控制台上的按钮、开关、杠杆等设备来控制汽车的各种功能。b)仪表盘：仪表盘上的指示灯、显示屏等设备向驾驶员提供汽车的各种状态信息。c)方向盘：驾驶员通过方向盘来控制汽车的方向。d)踏板：驾驶员通过踏板来控制汽车的加速和刹车。e)语音控制：一些汽车配备了语音控制系统，驾驶员可以通过语音来控制汽车的各种功能。人机误用是指在人机交互过程中，由于人类操作者的疏忽、错误、误解、不当操作等原因，导致机器的误动作或误操作。以汽车为例，人机误用场景包括：a)驾驶员误操作：驾驶员在驾驶汽车时，因为疲劳、分心、心理压力等原因，误操作汽车，比如误踩油门、误刹车、误操作方向盘等。b)操作员误解：汽车的控制台上可能会有一些复杂的按钮、开关、杠杆等设备，如果操作员没有理解清楚这些设备的功能，就可能误操作汽车。c)设计缺陷：汽车的设计者可能没有考虑到某些使用场景，导致操作员在使用汽车时容易误操作。以上这些场景都可能导致汽车出现问题，甚至导致事故的发生。

4.根据权利要求1所述的自动驾驶车辆人机误用的预期功能安全危害分析方法，其特征在于步骤三中，不安全控制的分类包括：a)安全约束没有被正确分配，或相应的实现安全约束的控制过程方法没有被正确实现；b)安全约束被正确分配，但是控制器的执行违背了安全约束；其中在安全约束被正确分配，但是控制器执行违背了安全约束的情况包括：1)控制指令错误；2)控制指令未被发出；3)控制指令正确发出，但是指令的发出过早或过晚；4)控制指令正确发出，但是指令的停止过早或过晚；5)控制指令正确发出，但是控制规则或过程方法错误引起控制行为错误；6)控制指令正确发出，但是控制规则或过程方法错误引起控制行为未执行。

5.根据权利要求1所述的自动驾驶车辆人机误用的预期功能安全危害分析方法，其特征在于步骤四中，不安全控制的来源包括：a)控制回路的单个组件；b)控制回路的多个组件间的冲突或交互；c)系统设计的不充分或不恰当；d)环境因素干扰未被排除。

技术总结
本发明提供一种自动驾驶车辆人机误用的预期功能安全危害分析方法，涉及自动驾驶技术领域。本发明采用STPA模型作为基础，根据STPA模型建立安全约束、控制结构和过程模型；考虑人机误用行为对控制结构和过程模型的影响；对所有可能的情况进行组合分析，识别所有不安全控制的分类；确定不安全控制的来源。本发明将危害事件的发生看成是不安全控制的结果，而不仅仅是由组件或系统故障引起，并能识别所有不安全控制的分类并确定导致这些不安全控制发生的原因是来源于单个组件、多个组件之间的相关交互或者是车辆电子安全系统设计缺陷。

技术研发人员：赵瑞文,王海均,杨京利,张亚楠,马超,苏丹祺
受保护的技术使用者：中汽智联技术有限公司
技术研发日：
技术公布日：2024/1/15