陳君毅，劉力豪，周堂瑞，邢星宇

（同濟(jì)大學(xué)汽車學(xué)院，上海201804）

安全是汽車的基本要求，自動(dòng)駕駛系統(tǒng)的出現(xiàn)賦予了汽車安全性新的內(nèi)涵。其中因外部環(huán)境因素、功能局限與人為誤用導(dǎo)致的安全問題屬于預(yù)期功能安全的研究范疇［1］。決策系統(tǒng)是自動(dòng)駕駛汽車的“大腦”，其功能為根據(jù)環(huán)境及自車信息，決策獲得安全舒適的駕駛行為，指導(dǎo)自動(dòng)駕駛汽車的運(yùn)動(dòng)，對(duì)于乘員人身安全有著至關(guān)重要的影響，其安全性值得深入分析。

決策系統(tǒng)是一個(gè)典型的軟件密集型系統(tǒng)，相比傳統(tǒng)的汽車電子電氣系統(tǒng)它承擔(dān)更高等級(jí)的駕駛?cè)蝿?wù)，具備更加復(fù)雜的邏輯。傳統(tǒng)安全分析方法，例如基于事件鏈或流行病學(xué)模型的分析方法認(rèn)為事故的根本原因在于系統(tǒng)中單個(gè)或多個(gè)組件的故障，難以覆蓋系統(tǒng)功能局限與環(huán)境擾動(dòng)帶來的危險(xiǎn)；且在分析邏輯復(fù)雜的軟件密集型系統(tǒng)時(shí)效率有限［2］，難以應(yīng)用在自動(dòng)駕駛決策系統(tǒng)的安全分析上。

囿于傳統(tǒng)安全分析方法的局限，近年來部分學(xué)者將以STPA方法為代表的現(xiàn)代安全分析方法引入自動(dòng)駕駛系統(tǒng)的安全性研究中。Mahajan等［3］將STPA方法應(yīng)用于車道輔助保持系統(tǒng)（lane keeping assistance，LKA），得到LKA系統(tǒng)的安全要求；Abdulkhaleq等［4］對(duì)一個(gè)使用有限狀態(tài)機(jī)的汽車自適應(yīng)巡航系統(tǒng)（adaptive cruise control，ACC）進(jìn)行了STPA分析，得到ACC系統(tǒng)的安全要求；Bagschik等［5］在德國高速公路無人駕駛保護(hù)車（僅具備跟車行駛功能）上應(yīng)用STPA方法，得到了該車的危險(xiǎn)事件；筆者在前期研究中提出了一種基于STPA的符合ISO 26262的安全分析方法，并應(yīng)用于一輛SAE L3級(jí)的自動(dòng)駕駛清掃車上［6］，導(dǎo)出了該車的功能安全要求。

上述研究使用STPA方法對(duì)自動(dòng)駕駛系統(tǒng)的安全性進(jìn)行分析，但仍有兩個(gè)關(guān)鍵問題未被解決。一是研究?jī)H進(jìn)行安全分析，止于導(dǎo)出危險(xiǎn)事件或者提出安全要求，缺乏對(duì)分析結(jié)果的進(jìn)一步應(yīng)用，也未驗(yàn)證分析結(jié)果的合理性和有效性；二是分析多按照功能展開且多數(shù)僅針對(duì)較低等級(jí)自動(dòng)駕駛功能，缺少對(duì)同時(shí)具備巡航、換道、泊車等多種功能的高級(jí)自動(dòng)駕駛決策系統(tǒng)的研究。在更高等級(jí)自動(dòng)駕駛系統(tǒng)中，系統(tǒng)復(fù)雜性的提升給分析帶來了新的挑戰(zhàn)。

針對(duì)上述問題，本文提出一種涵蓋安全分析、策略設(shè)計(jì)以及試驗(yàn)驗(yàn)證三個(gè)環(huán)節(jié)的安全性開發(fā)方法，并在一個(gè)LV4城市自動(dòng)駕駛決策系統(tǒng)的原型階段進(jìn)行了應(yīng)用。

1 自動(dòng)駕駛決策系統(tǒng)安全性開發(fā)方法

現(xiàn)有安全標(biāo)準(zhǔn)［1，7］要求在自動(dòng)駕駛系統(tǒng)開發(fā)過程中開展安全分析。對(duì)于高等級(jí)自動(dòng)駕駛系統(tǒng)，由于運(yùn)行場(chǎng)景和內(nèi)部邏輯的復(fù)雜化，采用整體分析的視角將導(dǎo)致難以利用系統(tǒng)內(nèi)部結(jié)構(gòu)有效信息。而典型架構(gòu)的自動(dòng)駕駛系統(tǒng)的感知認(rèn)知、決策規(guī)劃和控制執(zhí)行模塊解耦度高，且根據(jù)各模塊的不同特點(diǎn)適合采取不同的分析方式。基于Leveson［8-9］提出的STPA方法，結(jié)合高等級(jí)自動(dòng)駕駛決策系統(tǒng)的特點(diǎn)，本文提出一種面向自動(dòng)駕駛決策系統(tǒng)的安全性開發(fā)方法，如圖1所示。

該方法以系統(tǒng)本身的功能作為分析起點(diǎn)，結(jié)合分析對(duì)象的具體程序構(gòu)建控制結(jié)構(gòu)圖和過程模型；并基于分析結(jié)果增加了策略設(shè)計(jì)以及試驗(yàn)驗(yàn)證步驟，形成自動(dòng)駕駛決策系統(tǒng)安全性開發(fā)的迭代閉環(huán)。方法共包含8個(gè)步驟：

（1）建立系統(tǒng)控制結(jié)構(gòu)。根據(jù)系統(tǒng)功能定義建立整車的控制結(jié)構(gòu)，從決策系統(tǒng)的原型程序中提取過程模型；

（2）確定安全關(guān)鍵控制行為（control action，CA）。在整車控制結(jié)構(gòu)中確定與事故直接相關(guān)的控制指令；

（3）識(shí)別不安全控制行為（unsafe control action，UCA）?？疾旄靼踩P(guān)鍵控制行為的錯(cuò)誤模式，識(shí)別系統(tǒng)的不安全控制行為；

圖1 本文所提出的安全性開發(fā)方法Fig.1 Proposed safety development method

（4）分析不安全控制行為原因。原因可以逐級(jí)往前推理，對(duì)決策規(guī)劃系統(tǒng)而言，可以推理到感知結(jié)果；

（5）識(shí)別潛在危險(xiǎn)事件；

（6）試驗(yàn)驗(yàn)證危險(xiǎn)事件；

（7）設(shè)計(jì)安全策略（safety strategy，SS）。針對(duì)經(jīng)驗(yàn)證有效的危險(xiǎn)事件，通過改進(jìn)原系統(tǒng)或者限制使用場(chǎng)景的方式，使安全性約束（safety constraint，SC）重新得到保證；

（8）試驗(yàn)驗(yàn)證安全策略。

以上8個(gè)步驟最終所得的有效安全策略在系統(tǒng)中經(jīng)過實(shí)現(xiàn)，為一輪完整的安全迭代過程。在系統(tǒng)經(jīng)過修改后，可進(jìn)行重新分析和回歸測(cè)試，通過多次迭代，使得整體系統(tǒng)風(fēng)險(xiǎn)降低至可接受水平。

2 自動(dòng)駕駛決策系統(tǒng)安全分析

所提出的安全性開發(fā)方法在一個(gè)L4級(jí)城市自動(dòng)駕駛決策系統(tǒng)［10］的原型階段進(jìn)行了應(yīng)用。該決策系統(tǒng)基于有限狀態(tài)機(jī)構(gòu)建，并在MATLAB/Simulink中完成了原型實(shí)現(xiàn)，涵蓋4個(gè)子功能：①沿全局路徑的循跡，包括無前車的定速巡航和有前車的跟車巡航；②主動(dòng)換道，在巡航通行效率過低時(shí)會(huì)考慮進(jìn)行主動(dòng)變道；③路口通行，通過交通信號(hào)燈控制的路口；④自主泊車，在路邊停車位進(jìn)行垂直車位泊車或者平行車位泊車。

2.1 建立系統(tǒng)控制結(jié)構(gòu)

根據(jù)上述系統(tǒng)功能定義確定整車控制結(jié)構(gòu)，如圖2所示。城市自動(dòng)駕駛系統(tǒng)可建立包含5個(gè)層次的控制結(jié)構(gòu)，分別為：感知層、決策層、控制層、執(zhí)行層和環(huán)境層。環(huán)境層元素的信息通過傳感器被感知層獲取，經(jīng)過處理獲得決策層所需的輸入；決策層綜合環(huán)境和自車信息，決策出車輛下一時(shí)刻應(yīng)該采取的動(dòng)作，即期望速度和期望位置；控制層接收決策層的輸出，將其轉(zhuǎn)化為底層控制指令供車輛執(zhí)行機(jī)構(gòu)使用；執(zhí)行層是整車的物理實(shí)體，直接與環(huán)境層交互。

圖2 整車控制結(jié)構(gòu)圖Fig.2 Control structure of autonomous vehicles

本文城市自動(dòng)駕駛決策系統(tǒng)使用狀態(tài)機(jī)（finite state automata，F(xiàn)SA）構(gòu)建，從其Simulink程序中提取核心狀態(tài)機(jī)模型，反映系統(tǒng)在決策過程中的控制邏輯；并結(jié)合功能定義構(gòu)建決策系統(tǒng)的過程模型，如圖3所示。

2.2 確定安全關(guān)鍵控制行為

圖3 決策系統(tǒng)狀態(tài)機(jī)過程模型Fig.3 FSA-based process model of the decisionmaking system

從整車控制結(jié)構(gòu)圖中確定安全關(guān)鍵控制行為，即直接與事故相關(guān)的控制信號(hào)或指令。依據(jù)是否直接與現(xiàn)實(shí)世界交互這一條件，控制結(jié)構(gòu)圖中的5個(gè)層級(jí)可以分為物理層和邏輯層。物理層包括執(zhí)行層和環(huán)境層，位于控制結(jié)構(gòu)圖的底部；邏輯層包括感知層、決策層和控制層，位于控制結(jié)構(gòu)圖的上游。事故（人身安全、財(cái)產(chǎn)損失）發(fā)生在物理層中，因此邏輯層對(duì)物理層施加的控制行為，是自動(dòng)駕駛決策系統(tǒng)對(duì)現(xiàn)實(shí)世界造成影響的途徑。如果邏輯層對(duì)物理層施加了錯(cuò)誤的控制行為，則可能導(dǎo)致事故發(fā)生。這一路徑上傳遞的控制行為即安全關(guān)鍵控制行為。對(duì)自動(dòng)駕駛決策系統(tǒng)而言，它包括了期望速度（A1）和期望位置（A2）兩個(gè)控制行為，記為集合A。

2.3 識(shí)別不安全控制行為

通過考察安全關(guān)鍵控制行為的錯(cuò)誤模式，識(shí)別不安全控制行為。在STPA通用分類方法［9］的基礎(chǔ)上提出了以下8種錯(cuò)誤模式，用M表示它們的集合：

（1）M1需要提供控制信號(hào)，但未提供；

（2）M2不需要提供控制信號(hào)，但提供；

（3）M3提供了正確的控制信號(hào)，但時(shí)機(jī)過早；

（4）M4提供了正確的控制信號(hào)，但時(shí)機(jī)過晚；

（5）M5提供的控制信號(hào)持續(xù)時(shí)間過長(zhǎng)；

（6）M6提供的控制信號(hào)持續(xù)時(shí)間過短；

（7）M7提供的控制信號(hào)數(shù)值過大；

（8）M8提供的控制信號(hào)數(shù)值過?。?/p>

值得注意的是，這些錯(cuò)誤模式并非所有情況下都會(huì)導(dǎo)致危險(xiǎn)。例如，在跟車時(shí)即使提供較小的期望速度，也不會(huì)導(dǎo)致自車與目標(biāo)車發(fā)生碰撞，只是導(dǎo)致行駛效率變低。所以需要對(duì)不同運(yùn)行情況作分別分析。對(duì)城市自動(dòng)駕駛決策系統(tǒng)而言，可以用功能狀態(tài)指代這些不同的運(yùn)行情況。從狀態(tài)機(jī)過程模型中可提取出以下9個(gè)功能狀態(tài)，分別為：定速巡航（S1），跟車巡航（S2），換道（S3），換道后保持（S4），交通信號(hào)燈處理（S5），路口中決策（S6），尋找車位（S7），平行泊車（S8）和垂直泊車（S9）。用S表示功能狀態(tài)的集合。

作集合A、M和S的笛卡爾積，可得到潛在不安全控制行為集，記為Up，即

STPA方法要求分析人員依據(jù)經(jīng)驗(yàn)對(duì)潛在不安全控制行為進(jìn)行篩選，排除在特定情況下不成立的選項(xiàng)。篩選過程可表示為式（2），其中f(·)代表了篩選規(guī)則，F(xiàn)表示用于過濾的布爾矩陣，最終結(jié)果記為U。這樣，識(shí)別不安全控制行為的問題轉(zhuǎn)化成構(gòu)建過濾矩陣的問題。

以自主泊車功能（S7、S8、S9）為例，說明不安全控制行為識(shí)別的過程。尋找車位時(shí)（S7），車輛保持勻速沿道路前進(jìn)，通過超聲波雷達(dá)掃描庫位深度，判斷泊車是否可行并辨別庫位類型，決策系統(tǒng)應(yīng)該輸出恒定為2 m·s-1的速度和0位置（與全局路徑偏移為0）；尋位成功后，自車根據(jù)庫位類型選擇垂直（S8）或平行方式（S9）泊入庫內(nèi)，決策系統(tǒng)輸出2 m·s-1的速度以及軌跡規(guī)劃器決定的位置。根據(jù)上述分析，建立過濾矩陣如表1所示，矩陣元素取值為1或0，分別表示該位置的潛在不安全控制行為是否應(yīng)納入考慮。例如，（A1，M1，S7）尋找車位時(shí)，需要提供期望速度但未提供，會(huì)導(dǎo)致車輛停在原地，任務(wù)無法完成，但不會(huì)導(dǎo)致事故發(fā)生，所以過濾矩陣中對(duì)應(yīng)位置的值為0，該潛在不安全控制行為不被考慮。

表1 自主泊車功能的不安全控制行為Tab.1 UCAs of the auto-parking function

對(duì)于完整系統(tǒng)，共分析獲得70個(gè)不安全控制行為。各功能狀態(tài)的不安全控制行為數(shù)目如表2所示。

表2 各功能狀態(tài)的不安全控制行為數(shù)目Tab.2 UCA Numbers of each function state

2.4 分析不安全控制行為原因

考察控制結(jié)構(gòu)中決策層的信息流，可知其最終輸出結(jié)果取決于三個(gè)方面：決策系統(tǒng)自身、感知層輸入的環(huán)境信息和感知層輸入的定位導(dǎo)航信息。因此不安全控制行為的原因可被歸納為以下三個(gè)類別，記為CR（category of reason）：

（1）CR1決策系統(tǒng)未獲得正確的環(huán)境信息：感知層未提供給決策層正確的環(huán)境信息；或者提供了正確的信息，但傳輸途徑出現(xiàn)問題。結(jié)果表現(xiàn)為決策系統(tǒng)不能正確獲取周圍障礙物與交通參與者的信息；

（2）CR2決策系統(tǒng)未獲得正確的車輛狀態(tài)：感知層未提供給決策層正確的車輛狀態(tài)信息；或者提供了正確的信息，但傳輸途徑出現(xiàn)問題。結(jié)果表現(xiàn)為決策系統(tǒng)不能正確獲取自車的位置與速度信息；

（3）CR3決策系統(tǒng)自身存在安全缺陷，包括：CR3.1狀態(tài)轉(zhuǎn)移條件設(shè)置出錯(cuò)或判斷出錯(cuò)，結(jié)果表現(xiàn)為決策系統(tǒng)轉(zhuǎn)移到了與實(shí)際任務(wù)不符合的狀態(tài)；CR3.2轉(zhuǎn)移條件過于敏感引起狀態(tài)震蕩，表現(xiàn)為決策系統(tǒng)在兩個(gè)或多個(gè)狀態(tài)之間反復(fù)切換，不能正常輸出控制指令；CR3.3處于正確的狀態(tài)，但計(jì)算出了錯(cuò)誤的結(jié)果。由決策系統(tǒng)參數(shù)設(shè)置有誤或算法設(shè)計(jì)缺陷造成；CR3.4設(shè)計(jì)時(shí)缺少必須狀態(tài)，導(dǎo)致決策系統(tǒng)不具備處理相關(guān)危險(xiǎn)的能力；CR3.5決策系統(tǒng)計(jì)算得到了正確的輸出，但輸出通道上存在干擾、時(shí)延等問題，導(dǎo)致最終輸出的期望速度和期望位置信號(hào)與計(jì)算結(jié)果不一致。

結(jié)合所得無人駕駛決策系統(tǒng)自主泊車功能的不安全控制行為，最終分析得到了10個(gè)原因，它們各自所屬的類別，以及和不安全控制行為之間的關(guān)系如表3所示。

表3 自主泊車功能的不安全控制行為原因Tab.3 Reasons of UCAs of the auto-parking function

2.5 識(shí)別潛在危險(xiǎn)事件

根據(jù)分析獲得的不安全控制行為及其原因構(gòu)建潛在危險(xiǎn)事件。將事故定義為車輛與行人、車輛或者障礙物發(fā)生碰撞，造成人身安全或財(cái)產(chǎn)損失，系統(tǒng)危險(xiǎn)為導(dǎo)致事故發(fā)生的宏觀車輛行為，由不安全控制行為引發(fā)。危險(xiǎn)事件被定義為因?yàn)椴话踩刂菩袨樵騌，造成系統(tǒng)危險(xiǎn)H，與環(huán)境中元素發(fā)生事故D，可以使用如（Ri，Hj，Dk）的有序元組進(jìn)行形式化描述。對(duì)該城市自動(dòng)駕駛決策系統(tǒng)可推導(dǎo)出以下系統(tǒng)危險(xiǎn)，并提出對(duì)應(yīng)的安全性約束C，如表4所示。表中還展示了事故、系統(tǒng)危險(xiǎn)、不安全控制行為以及不安全控制行為原因之間的追溯關(guān)系，根據(jù)定義即可構(gòu)建得到系統(tǒng)的危險(xiǎn)事件。

表4 自主泊車功能事故、系統(tǒng)危險(xiǎn)、安全性約束Tab.4 Accidents,hazards,and safety constraints of the auto-parking function

2.6 試驗(yàn)驗(yàn)證危險(xiǎn)事件

以危險(xiǎn)事件（R9，H8，D3）為例，說明危險(xiǎn)事件的驗(yàn)證步驟。危險(xiǎn)事件為因決策系統(tǒng)缺少緊急制動(dòng)狀態(tài)，導(dǎo)致泊車過程中車輛未避讓闖入庫位的行人，發(fā)生碰撞。使用PreScan聯(lián)合MATLAB/Simulink的仿真平臺(tái)進(jìn)行了驗(yàn)證，試驗(yàn)場(chǎng)景如圖4所示。自車為黑色車，將泊入中間平行庫位，在車輛開始泊車后，有一行人走入庫位中。

圖4 自主泊車工況典型危險(xiǎn)試驗(yàn)場(chǎng)景Fig.4 Testing Scenario of the auto-parking function

安全性分析指出，由于自車在完成庫位檢測(cè)開始倒車入庫后，其行為被確定，不再受外界環(huán)境影響，也不具備緊急制動(dòng)機(jī)制。如果此時(shí)有行人進(jìn)入車位，自車不會(huì)避讓。盡管此時(shí)車速較低，但仍然可能發(fā)生碰撞。通過仿真環(huán)境對(duì)安全分析結(jié)果進(jìn)行驗(yàn)證，試驗(yàn)結(jié)果表明，自車最終會(huì)與行人發(fā)生碰撞，碰撞過程如圖5所示。

3 安全策略設(shè)計(jì)及驗(yàn)證

3.1 設(shè)計(jì)安全策略

對(duì)經(jīng)過驗(yàn)證的危險(xiǎn)事件，可以針對(duì)性設(shè)計(jì)安全策略，以使安全性約束重新得到保障。安全策略的設(shè)計(jì)可從正向和反向兩個(gè)方面進(jìn)行。正向?yàn)樘嵘到y(tǒng)本身的能力，修復(fù)其錯(cuò)誤，使系統(tǒng)在原本的潛在危險(xiǎn)場(chǎng)景下不發(fā)生事故；反向?yàn)橄拗葡到y(tǒng)的運(yùn)行場(chǎng)景，通過要求、標(biāo)準(zhǔn)或法規(guī)禁止系統(tǒng)在原本的潛在危險(xiǎn)場(chǎng)景下運(yùn)行，達(dá)到避免事故的目標(biāo)。從正向和反向兩個(gè)角度考慮，本文對(duì)分析得到的危險(xiǎn)事件提出了以下的安全策略，如表5所示。

圖5 自主泊車工況典型危險(xiǎn)事件下的事故過程Fig.5 Process of the accident during auto-parking

本文以安全策略SS8在泊車規(guī)劃模塊中增加緊急制動(dòng)狀態(tài)為例進(jìn)行說明。該安全策略的作用為，在車輛泊車過程中，實(shí)時(shí)檢測(cè)庫位中是否存在闖入的行人或車輛等動(dòng)態(tài)物體，如果存在且碰撞檢測(cè)標(biāo)志為真，則轉(zhuǎn)移到緊急制動(dòng)狀態(tài)，輸出0值期望速度，以避免碰撞發(fā)生。搭載安全策略后的泊車狀態(tài)機(jī)程序如圖6所示，其中淺色區(qū)域內(nèi)即為添加的緊急制動(dòng)狀態(tài)。當(dāng)碰撞檢測(cè)標(biāo)志“CrashCheck”為真時(shí)，保存工作現(xiàn)場(chǎng)并從泊車狀態(tài)轉(zhuǎn)移到緊急制動(dòng)狀態(tài)，輸出0期望速度；當(dāng)“CrashCheck”為假時(shí)，退出緊急制動(dòng)狀態(tài)，恢復(fù)工作現(xiàn)場(chǎng)，繼續(xù)完成泊車。

3.2 試驗(yàn)驗(yàn)證安全策略

在與2.6節(jié)中相同的危險(xiǎn)場(chǎng)景下，對(duì)實(shí)現(xiàn)了上述安全策略的系統(tǒng)進(jìn)行了驗(yàn)證試驗(yàn)。自車安全完成泊車任務(wù)，圖7展示了試驗(yàn)過程中自車的泊車過程。在搭載安全策略前后的試驗(yàn)中，還記錄了自車和行人的運(yùn)動(dòng)學(xué)信息，包括位置、速度、航向角等。

表5 自主泊車功能的安全策略Tab.5 Safety Strategy of the auto-parking function

圖6 添加緊急制動(dòng)狀態(tài)后的泊車狀態(tài)機(jī)程序Fig.6 FSA of the auto-parking function with AEB state

圖8展示了泊車過程中自車速度以及自車與行人相對(duì)距離的變化。在34.1 s時(shí)搭載安全策略前后的自車均完成了第一次泊車規(guī)劃，速度降低至0。未搭載安全策略的車輛隨即重新加速執(zhí)行第二次泊車規(guī)劃，而未注意避讓后方闖入庫位的行人，導(dǎo)致最終在36.4 s時(shí)發(fā)生碰撞（相對(duì)距離為0）；搭載安全策略后的車輛檢測(cè)到行人，在34 s～38 s間保持速度為0、安全距離大于2 m，等待行人通過。

以上測(cè)試結(jié)果表明，搭載安全策略后車輛及時(shí)避讓，避免了與行人發(fā)生碰撞，提出的安全策略有效避免了事故發(fā)生。

圖7 實(shí)現(xiàn)安全策略后的自主泊車全過程Fig.7 Process of auto-parking with the safety strategy implemented

圖8 搭載安全策略前后泊車過程中的自車速度和相對(duì)距離Fig.8 Speed and relative distance during autoparking

4 總結(jié)與展望

針對(duì)自動(dòng)駕駛決策系統(tǒng)的安全性問題，提出了一種基于STPA的安全性開發(fā)方法。該方法涵蓋安全分析、策略設(shè)計(jì)和測(cè)試驗(yàn)證三個(gè)環(huán)節(jié)，形成完整的安全性開發(fā)迭代閉環(huán)。所提出的方法在一個(gè)城市自動(dòng)駕駛決策系統(tǒng)的原型開發(fā)階段中進(jìn)行了實(shí)踐。針對(duì)決策系統(tǒng)的特點(diǎn)，使用狀態(tài)機(jī)構(gòu)建過程模型，建立了包含了4個(gè)功能模塊、9個(gè)功能狀態(tài)的控制結(jié)構(gòu)，分析獲得了8個(gè)錯(cuò)誤模式下的70個(gè)不安全控制行為。針對(duì)其中3個(gè)泊車相關(guān)的功能狀態(tài)，分析得到了10個(gè)不安全控制行為原因和8個(gè)系統(tǒng)危險(xiǎn)，提出了9個(gè)安全策略。以在泊車規(guī)劃模塊中增加緊急制動(dòng)狀態(tài)這一安全策略為例，進(jìn)行了系統(tǒng)改進(jìn)，通過模型在環(huán)仿真的方式對(duì)實(shí)現(xiàn)安全策略前后的系統(tǒng)進(jìn)行了對(duì)照試驗(yàn)。試驗(yàn)結(jié)果表明，分析得到的危險(xiǎn)事件確實(shí)發(fā)生，設(shè)計(jì)的安全策略提高了泊車過程的安全性。

此外，該研究也存在一定的局限性，將在后續(xù)的研究中完善：①安全分析過程中不安全控制行為的篩選依賴分析人員的工程經(jīng)驗(yàn)或領(lǐng)域知識(shí)，后續(xù)將進(jìn)一步研究知識(shí)與客觀指標(biāo)相結(jié)合的篩選方法；②分析過程中使用自然語言，不同分析人員得出的分析結(jié)果難以達(dá)到完全一致，后續(xù)將研究使用計(jì)算機(jī)技術(shù)和形式化語言進(jìn)行分析的方法；③安全分析在定性的層面進(jìn)行，后續(xù)將根據(jù)定性安全分析的結(jié)果進(jìn)一步研究定量安全分析方法。

作者貢獻(xiàn)聲明：

陳君毅：研究命題的提出與構(gòu)思，論文修訂

劉力豪：安全分析，策略設(shè)計(jì)和仿真試驗(yàn)，論文撰寫

周堂瑞：安全分析，論文修訂

邢星宇：策略設(shè)計(jì)，數(shù)據(jù)整理，論文修訂