劉洋 陳曉靜 張萌萌

關(guān)鍵詞：無(wú)人駕駛汽 車功能安全 通信安全 STPA

1前言

由于無(wú)人駕駛汽車的功能不斷增強(qiáng)，其系統(tǒng)的復(fù)雜程度也在不斷提升，導(dǎo)致無(wú)人駕駛系統(tǒng)的安全性和可靠性難以得到保證。無(wú)人駕駛汽車安全問(wèn)題主要包括主動(dòng)安全、被動(dòng)安全、功能安全和通信安全。相較于主動(dòng)安全和被動(dòng)安全，無(wú)人駕駛汽車的功能安全與通信安全的發(fā)展歷程較短，但其在保障汽車安全行駛的過(guò)程中又尤為重要。

2無(wú)人駕駛汽車的功能安全和通信安全

2.1功能安全

無(wú)人駕駛汽車的功能安全包括感知、決策和執(zhí)行層的安全。感知層是實(shí)現(xiàn)無(wú)人駕駛的關(guān)鍵，也是這三部分中的基礎(chǔ)：決策層對(duì)無(wú)人駕駛系統(tǒng)的作用就相當(dāng)于大腦對(duì)人的作用，需要對(duì)得到的信息進(jìn)行分析，規(guī)劃出一條最優(yōu)路線;執(zhí)行層主要將決策層下達(dá)的指令運(yùn)用到實(shí)際中，相較于感知層和決策層，執(zhí)行層的研究相對(duì)比較成熟，如車道保持系統(tǒng)、自動(dòng)泊車系統(tǒng)等。

感知層由于包含的傳感器較多，出現(xiàn)問(wèn)題的可能性較大，具體歸納為以下幾點(diǎn)：

a.激光雷達(dá)和相機(jī)容易受到周圍環(huán)境和氣候的影響，而毫米波雷達(dá)精度較低，感知范圍小，所以感知系統(tǒng)在近距離感知周圍環(huán)境時(shí)具有局限性。

b.無(wú)人駕駛汽車對(duì)道路環(huán)境中各種道路標(biāo)識(shí)的識(shí)別、道路中障礙物的信息感知、道路邊界的提取是保障汽車安全的重大因素。但由于道路環(huán)境的復(fù)雜多樣，對(duì)有限的感知系統(tǒng)提出了巨大的挑戰(zhàn)。

c.高精地圖是無(wú)人駕駛汽車安全行駛不可或缺的一部分，但是高精度地圖后續(xù)的工作量大，技術(shù)難點(diǎn)如信息的隱私、信息的完整程度、數(shù)據(jù)的更新、傳輸?shù)乃俣鹊葐?wèn)題需要解決。

d.由于傳感器多而復(fù)雜，傳感器獲得的數(shù)據(jù)也會(huì)增多，但由于功耗的限制，車載計(jì)算單元的計(jì)算能力有限，不能滿足無(wú)人駕駛汽車低延時(shí)的要求。

決策層通過(guò)接受感知層傳來(lái)的信息，對(duì)信息進(jìn)行融合，然后根據(jù)駕駛需求選擇一條最優(yōu)的道路，保證汽車的安全和正常行駛。決策控制系統(tǒng)作為無(wú)人駕駛系統(tǒng)的核心，各個(gè)模塊的正常工作是保證無(wú)人駕駛系統(tǒng)保持安全穩(wěn)定的必要條件。決策層有全局路徑規(guī)劃和局部路徑規(guī)劃兩種。

全局路徑規(guī)劃是在已知環(huán)境下，在事先建好的模型中，尋找一條符合從起始點(diǎn)到最終點(diǎn)可行的最優(yōu)路徑，是一種靜態(tài)規(guī)劃;局部路徑規(guī)劃是在未知環(huán)境中，根據(jù)車載傳感器對(duì)周圍環(huán)境的感知，規(guī)避道路中的障礙物之后選擇出的一條最優(yōu)道路，是一種動(dòng)態(tài)規(guī)劃。影響路徑規(guī)劃的三個(gè)因素：起始位置和終點(diǎn)位置、障礙物以及選擇最優(yōu)化的路徑。

2.2通信安全

無(wú)人駕駛的通信安全存在以下幾個(gè)問(wèn)題：

a.數(shù)據(jù)丟失。數(shù)據(jù)傳輸過(guò)程主要使用CAN總線（局域網(wǎng)控制器），但由于沒(méi)有加密機(jī)制，數(shù)據(jù)以開(kāi)放文本傳輸，缺乏安全性。如果有人有意為之，很容易就會(huì)獲得大量的數(shù)據(jù)信息，在大數(shù)據(jù)平臺(tái)上分析數(shù)據(jù)、數(shù)據(jù)融合過(guò)程中會(huì)發(fā)生隱私泄露。

b.延遲過(guò)高。無(wú)人駕駛系統(tǒng)不僅內(nèi)部的電子元件之間需要進(jìn)行信息的傳遞，還要與周圍的其他車輛以及路邊的基礎(chǔ)設(shè)施進(jìn)行信息傳遞。因而信息量較大，容易造成信息延遲的現(xiàn)象產(chǎn)生。盡管對(duì)于某些程序短暫的延遲可能并沒(méi)有什么影響，但是對(duì)汽車的整體效率和性能將產(chǎn)生影響，嚴(yán)重時(shí)可能會(huì)引發(fā)安全危險(xiǎn)。

c.惡意攻擊。無(wú)人駕駛汽車在行駛過(guò)程中可能會(huì)遭受到黑客攻擊，攻擊者可能竊取或更改存儲(chǔ)在云中的數(shù)據(jù)，從而損害數(shù)據(jù)可用性和完整性，偽造決策層下達(dá)的命令或者對(duì)平臺(tái)系統(tǒng)和應(yīng)用軟件注入病毒等，會(huì)危害車內(nèi)乘員的安全。

d.信號(hào)傳輸穩(wěn)定性差。由于無(wú)人駕駛系統(tǒng)各個(gè)電子元件的正常運(yùn)行都需要網(wǎng)絡(luò)的支持，當(dāng)汽車行駛時(shí)間過(guò)長(zhǎng)，或者行駛的偏遠(yuǎn)地區(qū)信號(hào)不佳時(shí)，系統(tǒng)可能會(huì)出現(xiàn)異常，如出現(xiàn)卡頓、死機(jī)等情況。

3基于系統(tǒng)理論過(guò)程的無(wú)人駕駛汽車安全性分析

系統(tǒng)理論過(guò)程分析方法從具體事故出發(fā)，找到引起系統(tǒng)產(chǎn)生故障的原因，尋找安全約束，為減少甚至避免事故的產(chǎn)生提出了安全要求。該方法以控制結(jié)構(gòu)識(shí)別不安全控制行為作為核心，更多地考慮各組成部件之間的相互影響，該方法能夠更全面、更準(zhǔn)確地將系統(tǒng)中的安全誘因找出來(lái)，對(duì)提高系統(tǒng)的安全性具有更為積極的意義。

STPA主要有五個(gè)步驟：定義分析的目的、建立控制結(jié)構(gòu)、識(shí)別不安全的控制行為、識(shí)別致因場(chǎng)景和安全要求。

3.1定義分析目的

STPA首先定義分析的目的，即要確定分析的對(duì)象，要明確需要避免的損失，導(dǎo)致?lián)p失產(chǎn)生的原因，以及如何避免該原因的發(fā)生。

3.1.1定義損失

損失是與物體所有者或者與其相關(guān)的受益者由于遭受不可能的過(guò)程，而使人身安全和財(cái)產(chǎn)安全得到損害的現(xiàn)象。與無(wú)人駕駛汽車相關(guān)的受益者有駕駛員、車上的乘客、路上的行人等。損失記為L(zhǎng) （Losses）.如表1所示。

3.1.2識(shí)別系統(tǒng)級(jí)危險(xiǎn)

系統(tǒng)級(jí)危險(xiǎn)指在特定的不利條件下，可能導(dǎo)致?lián)p失的一種狀態(tài)，記為D （Danger），如表2所示。

3.1.3確定系統(tǒng)級(jí)安全約束

系統(tǒng)級(jí)安全約束是系統(tǒng)為了防止危險(xiǎn)產(chǎn)生，避免損失所需滿足的條件，記為SC（System-Ievel Constraints），如表3所示。

3.2建立控制結(jié)構(gòu)

無(wú)人駕駛汽車是在感知、決策、執(zhí)行以及通信網(wǎng)絡(luò)的支持下保持正常行駛的。無(wú)人駕駛系統(tǒng)的控制結(jié)構(gòu)，如圖1所示。

通過(guò)感知、決策、控制執(zhí)行以及通信網(wǎng)絡(luò)的共同合作，無(wú)人駕駛汽車保持汽車的正常行駛。無(wú)人駕駛汽車的感知系統(tǒng)通過(guò)各類傳感器獲得環(huán)境信息、車輛定位、路邊的交通信號(hào)以及車輛的狀態(tài)信息，然后進(jìn)行信息處理，將獲得的信息傳遞給決策層。決策層根據(jù)感知層傳來(lái)的信息加上駕駛員的駕駛意圖來(lái)規(guī)劃預(yù)期目標(biāo)和預(yù)期速度。除此之外，決策層還需要對(duì)發(fā)生的突發(fā)狀況進(jìn)行處理。無(wú)人駕駛汽車的控制執(zhí)行層根據(jù)決策層下達(dá)的命令來(lái)控制汽車的速度和方向，并對(duì)行駛的路線進(jìn)行跟蹤，最終反饋給決策層。各組成部件之間環(huán)環(huán)相扣，互通信息，協(xié)調(diào)合作。

3.3識(shí)別不安全行為

不安全行為是汽車在特定情況下或最糟糕的環(huán)境中產(chǎn)生的控制行為，使汽車在特定情境下發(fā)生危險(xiǎn)。由無(wú)人駕駛汽車的控制結(jié)構(gòu)圖，我們針對(duì)汽車避讓障礙物提出了幾種不安全的控制行為（見(jiàn)表4），記為UCA （UnsafeControl Action）。

3.4提出安全要求

通過(guò)對(duì)無(wú)人駕駛汽車躲避障礙物的不安全控制行為以及致因場(chǎng)景進(jìn)行分析，提出以下安全要求：

a.提高位置傳感器的精度。由于無(wú)人駕駛汽車需要高精度的定位，一些傳感器如GPS、慣性導(dǎo)航等，需要結(jié)合高精地圖對(duì)汽車進(jìn)行定位，但是由于我國(guó)的道路情況復(fù)雜，并且繪制高精地圖后續(xù)工作量較大，因此工作難度較大，這是我們急需解決的問(wèn)題。

b.提高計(jì)算速度，和精度。決策層需要整合大量數(shù)據(jù)信息，在這個(gè)過(guò)程中要提高計(jì)算速度、精度。

c.提高網(wǎng)絡(luò)安全和信息傳輸速度。系統(tǒng)與其他車輛以及路邊設(shè)施進(jìn)行信息交互時(shí)，要加強(qiáng)加密技術(shù)，在最壞的情況下仍需要保證信息系統(tǒng)的正常運(yùn)行;要提高信息傳輸速度，防止信息延遲，確保信息及時(shí)有效，避免發(fā)生事故。

d.加強(qiáng)人、車、路、后臺(tái)聯(lián)網(wǎng)技術(shù)的研究。將人、車、路有機(jī)結(jié)合在一個(gè)全方位的綜合系統(tǒng)中，進(jìn)而方便整合現(xiàn)有的交通資源，實(shí)時(shí)監(jiān)控車輛的駕駛狀態(tài)和行車環(huán)境，為駕駛員提供必要的行車安全輔助判斷信息和緊急預(yù)警提示信息。

4結(jié)語(yǔ)

本文基于系統(tǒng)理論過(guò)程分析方法研究無(wú)人駕駛汽車的通信安全和功能安全，分析車輛在行駛過(guò)程中可能出現(xiàn)的各種不安全誘因以及產(chǎn)生的各種不良后果。最后根據(jù)分析結(jié)果提出一系列相應(yīng)的安全要求，來(lái)保障無(wú)人駕駛汽車的安全行駛。