亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        一種基于STPA的智能網(wǎng)聯(lián)汽車系統(tǒng)安全分析方法

        2021-07-29 07:11:50周逢軍韓冰趙憲華周娜娜許媛魏國亮
        汽車零部件 2021年7期
        關(guān)鍵詞:危害汽車功能

        周逢軍,韓冰,趙憲華,周娜娜,許媛,魏國亮

        (1.北京理工大學(xué)前沿技術(shù)研究院,山東濟南 250357;2.北京理工新源信息科技有限公司,北京 100081;3.北京理工大學(xué),北京 100081)

        0 引言

        隨著萬物互聯(lián)時代的到來,智能網(wǎng)聯(lián)技術(shù)在智能交通領(lǐng)域得到應(yīng)用。智能網(wǎng)聯(lián)系統(tǒng)是車與車、車與人、車與路、車與云(平臺)之間,按照約定的體系架構(gòu)及其通信協(xié)議和數(shù)據(jù)交互標(biāo)準(zhǔn),進(jìn)行通信和信息交換的信息基礎(chǔ)設(shè)施。智能網(wǎng)聯(lián)系統(tǒng)的安全運行,依賴于其系統(tǒng)內(nèi)部各子系統(tǒng)的安全及各子系統(tǒng)之間的互操作安全。因此,設(shè)計安全可靠的智能網(wǎng)聯(lián)系統(tǒng)架構(gòu)至關(guān)重要。

        1 汽車安全相關(guān)標(biāo)準(zhǔn)

        汽車安全有關(guān)的標(biāo)準(zhǔn)主要有汽車功能安全標(biāo)準(zhǔn)ISO 26262、尚未發(fā)布的汽車信息安全標(biāo)準(zhǔn)ISO 21434以及預(yù)期功能安全標(biāo)準(zhǔn)ISO 21448。其中,ISO 26262標(biāo)準(zhǔn)主要針對汽車電子系統(tǒng)功能安全,通過危害分析和風(fēng)險評估(Hazard Analysis & Risk Assessment,HARA),得到功能安全需求等級,通過產(chǎn)品設(shè)計開發(fā)、查證及確認(rèn)等能力成熟度模型流程,使得所開發(fā)產(chǎn)品的功能安全符合所需汽車安全完整性等級[1]。ISO 21434主要從風(fēng)險評估管理、產(chǎn)品開發(fā)、運行/維護(hù)、流程審核等4個方面來保障汽車信息安全工作的開展。目標(biāo)是通過該標(biāo)準(zhǔn)設(shè)計、生產(chǎn)、測試的產(chǎn)品具備一定信息安全防護(hù)能力[2]。ISO21448旨在為避免因自動駕駛汽車整車及系統(tǒng)的非失效、預(yù)期功能局限、合理可預(yù)見的誤用所引起的安全風(fēng)險,從整車層面、系統(tǒng)層面、軟硬件層面及不同系統(tǒng)組件層面如感知、決策、執(zhí)行提供了針對預(yù)期功能的風(fēng)險識別、分析和設(shè)計方法[3]。

        2 安全分析方法

        常用的安全分析方法有故障樹分析法(Fault Tree Analysis,FTA)、失效模式與影響分析(Failure Mode and Effects Analysis,F(xiàn)MEA)和危害與可操作性分析(HAZard and Operability,HAZOP)等。FTA是由上往下的演繹式失效分析法,通常采用邏輯分析的手段,既可進(jìn)行定性分析也可用于定量分析,主要用在安全工程以及可靠度工程的領(lǐng)域[4]。FMEA又稱為失效模式與后果分析、失效模式與效應(yīng)分析、故障模式與后果分析或故障模式與效應(yīng)分析等,是一種操作規(guī)程,旨在對系統(tǒng)范圍內(nèi)潛在的失效模式加以分析,以便按照嚴(yán)重程度加以分類,或者確定失效對于該系統(tǒng)的影響。FMEA廣泛應(yīng)用于制造業(yè)產(chǎn)品生命周期的各個階段[5]。HAZOP是為了識別及評估在制程上可能產(chǎn)生的問題,結(jié)構(gòu)化及系統(tǒng)化的檢視流程及作業(yè)的方法,是一種以引導(dǎo)詞(guide-word)配合制程參數(shù)(如溫度、壓力等)為基礎(chǔ)的定性危害分析技術(shù),一般會由多部門組成的團(tuán)隊頭腦風(fēng)暴,透過多次的會議來進(jìn)行[6]。

        3 STPA方法

        3.1 簡介

        系統(tǒng)理論過程分析(Systems-Theoretic Processes Analysis,STPA)是由LEVESON在2004年提出的一種現(xiàn)代安全分析方法,它是基于系統(tǒng)工程原理和控制理論進(jìn)行危害識別和安全約束設(shè)計[7]。傳統(tǒng)的危害分析方法FTA和FMEA均是基于可靠性理論去分析一個或多個部件失效所造成的危害。與這些傳統(tǒng)方法不同的是,STPA除了可以分析由部件設(shè)計缺陷或者部件之間不安全的交互所造成的事故,還可以用于消除或減輕系統(tǒng)早期設(shè)計階段的潛在危害。STPA已經(jīng)廣泛應(yīng)用于不同領(lǐng)域,如信息安全[8]、早期概念分析[9]、軟件安全[10]、人員控制安全等[11]。

        3.2 分析步驟

        STPA安全分析流程主要分為4個步驟[7],如圖1所示。

        (1)定義安全分析目的

        第一步是明確安全分析目的,比如確定防止安全損失的目的,是用于傳統(tǒng)的安全分析如防止人身傷亡還是用于信息安全、隱私、財產(chǎn)、性能等其他特性以及如何劃分具體系統(tǒng)的邊界等諸如此類的基礎(chǔ)問題,在這一步都應(yīng)得到解決。

        (2)控制架構(gòu)建模

        第二步是建立系統(tǒng)模型,該系統(tǒng)模型在STPA中稱為控制架構(gòu)??刂萍軜?gòu)由一系列反饋控制環(huán)路組成,可以從中獲取功能交互關(guān)系。系統(tǒng)控制架構(gòu)一般從非常抽象的層面開始,以便獲取更多的系統(tǒng)細(xì)節(jié)進(jìn)行迭代優(yōu)化。對于智能網(wǎng)聯(lián)汽車系統(tǒng)而言,架構(gòu)建模需要綜合考慮系統(tǒng)內(nèi)各組成子系統(tǒng)或部件之間的交互安全性。

        (3)識別非安全控制行為

        第三步是分析控制架構(gòu)中的非安全控制行為,確定他們是如何導(dǎo)致在第一步中所定義的損失。這些非安全控制行為可用于創(chuàng)建系統(tǒng)功能安全需求和系統(tǒng)約束。

        (4)辨識損失場景

        第四步是辨識系統(tǒng)中非安全控制行為發(fā)生的原因,并據(jù)此創(chuàng)建對應(yīng)場景解釋:從反饋不正確、需求不充分、設(shè)計失誤、組件失效以及導(dǎo)致非安全控制行為等方面導(dǎo)致安全損失的原因;正常輸入安全的控制行為,執(zhí)行系統(tǒng)未執(zhí)行或正確的執(zhí)行而導(dǎo)致安全損失的原因。

        4 智能網(wǎng)聯(lián)汽車系統(tǒng)架構(gòu)特點

        智能網(wǎng)聯(lián)汽車涉及到多個專業(yè)技術(shù)領(lǐng)域和應(yīng)用領(lǐng)域,其產(chǎn)業(yè)已從2018年“三跨”的“芯片模組+終端+車企”發(fā)展到2020年“新四跨”的“芯片模組+終端+車企+CA平臺”,產(chǎn)業(yè)化進(jìn)程也進(jìn)一步加快。常見的智能網(wǎng)聯(lián)汽車系統(tǒng)架構(gòu)分層如圖2所示,物理層面上,智能網(wǎng)聯(lián)汽車系統(tǒng)架構(gòu)可以分為四層:交通設(shè)備層、車輛智能系統(tǒng)和對外接口層、車輛網(wǎng)絡(luò)控制層及車輛部件執(zhí)行層。從功能角度出發(fā),智能網(wǎng)聯(lián)汽車系統(tǒng)分為感知層、決策層、控制層和執(zhí)行層,各層涉及到的設(shè)備或部件如表1所示,各層之間相互協(xié)調(diào)分工,其交互安全性極為重要。

        圖2 智能網(wǎng)聯(lián)汽車系統(tǒng)架構(gòu)分層

        表1 智能網(wǎng)聯(lián)汽車系統(tǒng)功能分層組成

        5 智能網(wǎng)聯(lián)汽車系統(tǒng)安全分析

        5.1 分析方法

        文中將STPA危害分析方法用于前向碰撞預(yù)警(Forward Collision Warning,FCW)系統(tǒng)早期設(shè)計開發(fā)中。FCW是指主車在車道上行駛,與在正前方同一車道的遠(yuǎn)車存在追尾碰撞危險時,F(xiàn)CW 應(yīng)用將對主車駕駛員(自動駕駛系統(tǒng))進(jìn)行預(yù)警[12]。主車駕駛員或自動駕駛系統(tǒng)根據(jù)預(yù)警做出決策,控制系統(tǒng)根據(jù)控制決策向執(zhí)行系統(tǒng)發(fā)送控制指令,執(zhí)行系統(tǒng)根據(jù)控制指令執(zhí)行加、減速、轉(zhuǎn)向等動作。文中綜合考慮FCW系統(tǒng)和自動/輔助駕駛系統(tǒng)及底層執(zhí)行系統(tǒng)之間的交互安全性。

        使用STPA方法,需要從系統(tǒng)、控制流程、功能需求、安全約束及安全需求等方面去規(guī)范整個流程。因此,以FCW系統(tǒng)的現(xiàn)有架構(gòu)、信息、文檔資料作為STPA分析的基礎(chǔ)。整個STPA分析方法可分為6個步驟:(1)研究系統(tǒng)架構(gòu)、目標(biāo)、組件、需求、功能和組件交互關(guān)系;(2)提煉系統(tǒng)安全需求和安全約束;(3)識別在不可接受范圍內(nèi)的潛在事故、系統(tǒng)損失,確定系統(tǒng)的危害程度;(4)畫出系統(tǒng)功能控制框圖;(5)將STPA步驟(2)和(3)作用在系統(tǒng)控制框圖上;(6)進(jìn)一步精煉所得到的系統(tǒng)安全和約束。

        5.2 結(jié)果討論

        通過STPA對FCW系統(tǒng)的分析,得到以下結(jié)論:

        (1)影響整車功能安全的事故類型主要有兩種:一是在FCW系統(tǒng)處于激活狀態(tài)時,主車與前車發(fā)生碰撞;二是當(dāng)主車的FCW系統(tǒng)探測到前方有靜置車輛時,后車與主車發(fā)生碰撞。

        (2)系統(tǒng)級危害主要有兩類:一是主車FCW未遵守主車和前車之間的安全距離;二是主車FCW錯誤估計前車距離和速度。

        (3)如圖3所示,通過FCW系統(tǒng)安全分析控制流程架構(gòu),可分析FCW各個子系統(tǒng)之間的交互安全性。

        圖3 FCW系統(tǒng)安全分析控制流程架構(gòu)

        (4)子系統(tǒng)之間非安全控制動作可分為四類,以全球衛(wèi)星導(dǎo)航系統(tǒng)(Global Navigation Satellite System,GNSS)數(shù)據(jù)為例,第一類是沒有提供數(shù)據(jù),如GNSS沒有提供定位數(shù)據(jù);第二類是提供錯誤數(shù)據(jù),如GNSS提供錯誤的定位信息;第三類是提供數(shù)據(jù)的時間序列錯誤,如GNSS提供的定位信息時間不同步,造成主車和前車根據(jù)定位信息計算出的車距與實際車距不符,導(dǎo)致實際車距超出安全距離范圍未報警或者安全車距下的誤報警;第四類是GNSS提供的信息太短或長時間未更新,在這種條件下,F(xiàn)CW不能有效利用GNSS的數(shù)據(jù)計算主車和前車的車距,導(dǎo)致車距計算錯誤造成誤報警或者發(fā)生碰撞。

        (5)安全需求:安全需求分析對應(yīng)于ISO 26262中功能安全要求分析過程。使用STPA時,每個非安全控制動作將轉(zhuǎn)換成在子系統(tǒng)或部件上的安全需求。如(4)中所述第一類非安全動作轉(zhuǎn)化成安全需求就是GNSS必須傳遞給FCW系統(tǒng)正確的定位信息。

        (6)分析安全影響因素:分析安全影響因素可以幫助開發(fā)者定義功能安全危害等級和制定安全應(yīng)對措施和方法。通過構(gòu)造形成事故或安全隱患的場景,進(jìn)一步細(xì)化圖3中的每個部件或子系統(tǒng)的過程模型。比如,當(dāng)主車在高速公路上行駛時,前方無障礙物(如靜置車輛或慢行車),制動系統(tǒng)卻執(zhí)行了制動命令。假定其他控制系統(tǒng)均正常工作,則表明該非安全控制動作是因FCW系統(tǒng)中使用了不正確的過程模型。通過進(jìn)一步分析,得出潛在影響安全的因素有:GNSS失效、天線接收裝置失效、制動狀態(tài)反饋失效,制動反饋延遲等。得到基本安全需求是:FCW系統(tǒng)必須確保能準(zhǔn)確接收到周圍車輛發(fā)送的信息和GNSS信息;解決措施是:通過加裝額外的傳感器用來探測前車或者后車距離,以保證在FCW系統(tǒng)失效的情況下,主車可以準(zhǔn)確判斷前后車距。

        5.3 使用建議

        在STPA使用過程中,為了評估每個模型變量和控制循環(huán)是否會導(dǎo)致非安全動作,需要投入大量的時間、精力以及過程模型控制的專業(yè)知識,而STPA并未提供系統(tǒng)方法解決此類問題,比如如何去檢查控制算法的完整性。因此,STPA需要一種系統(tǒng)性的方法去標(biāo)示過程模型變量、控制動作及危害之間的關(guān)系。另外,用STPA分析系統(tǒng)控制循環(huán)中的多個控制器時,仍存在一定的局限性,比如FCW系統(tǒng)涉及多個控制器模塊之間的交互,例如制動系統(tǒng)模塊和動力單元控制模塊(控制發(fā)動機或者電動機)兩者協(xié)同控制車速時,兩者都會接收來自制動控制模塊的車速信息。而在早期安全設(shè)計開發(fā)過程中,這3個控制模塊之間的動作交互關(guān)系的細(xì)節(jié)信息并不清晰。

        6 結(jié)束語

        文中探討了STPA在汽車領(lǐng)域的應(yīng)用。STPA是一種強大且有效的技術(shù),通過識別一系列潛在事故場景,包括設(shè)計失誤、軟件缺陷、組件互操作事故以及人為失誤等方面,實現(xiàn)對汽車領(lǐng)域安全相關(guān)系統(tǒng)的事故和潛在不安全因素的分析和評估。下一步重點考慮將有限狀態(tài)機的方法融合到STPA分析方法中,通過有限狀態(tài)機提取控制器狀態(tài)和控制動作之間的準(zhǔn)確而恰當(dāng)?shù)年P(guān)系,提高整個安全分析的效率。

        猜你喜歡
        危害汽車功能
        也談詩的“功能”
        中華詩詞(2022年6期)2022-12-31 06:41:24
        降低燒烤帶來的危害
        藥+酒 危害大
        海峽姐妹(2020年12期)2021-01-18 05:53:26
        汽車的“出賣”
        關(guān)于非首都功能疏解的幾點思考
        “久坐”的危害有多大你知道嗎?
        民生周刊(2016年9期)2016-05-21 12:11:19
        汽車們的喜怒哀樂
        3D 打印汽車等
        決策探索(2014年21期)2014-11-25 12:29:50
        中西醫(yī)結(jié)合治療甲狀腺功能亢進(jìn)癥31例
        辨證施護(hù)在輕度認(rèn)知功能損害中的應(yīng)用
        亚洲成人福利在线视频| 欧美韩国精品另类综合| 亚洲国产精品第一区二区三区| 无色码中文字幕一本久道久| a级国产乱理伦片| 99久久国产综合精品麻豆| 国产美女高潮流白浆在线观看| 女同性恋看女女av吗| 99久久99久久精品国产片| 日本一区二区三区光视频| 国产丝袜美女一区二区三区| 76少妇精品导航| 久久精品国产精品亚洲艾| 日韩中文字幕不卡在线| 国产免费爽爽视频在线观看| 精品国产一区二区三区免费 | 国产一二三四2021精字窝| 成年无码av片完整版| 女同性恋精品一区二区三区| av国产免费在线播放| 国产播放隔着超薄丝袜进入| 正在播放国产对白孕妇作爱| 亚洲AV秘 无码一区二区久久| 麻豆久久91精品国产| 亚洲欧美乱综合图片区小说区| 欧洲亚洲综合| 亚洲av男人免费久久| 色综合天天综合欧美综合| 亚洲精品综合一区二区三| 亚洲VR永久无码一区| 国产剧情av麻豆香蕉精品| 亚洲春色在线视频| 激情五月天伊人久久| 男女性生活视频免费网站| 人人妻人人澡人人爽超污| 亚洲欧美精品伊人久久| 精品国产又大又黄又粗av| 日韩在线观看入口一二三四| 超薄丝袜足j好爽在线观看| 久久国产乱子精品免费女| 亚洲国产区中文在线观看|