基于ISO 21448和STPA方法的自动驾驶安全性和可靠性设计

摘要

目前，电控系统在汽车中的应用越来越多。这极大地增加了车辆设计的复杂性，并导致系统的故障增加，由于故障引起的安全问题正在成为一个新的挑战。基于与电气/电子/可编程电子产品的功能安全相关的IEC 61508标准，针对汽车行业的ISO 26262标准2011年首次制定，并于2018年发布了修订版。ISO 26262覆盖了系统故障引起的失效，ISO 21448被提议用于处理因周围环境变化等导致的意外故障。ISO 26262规定了整个生命周期的安全相关要求。功能安全分析包括FTA（故障树分析）、FMEA（故障模式和影响分析）和HAZOP（危害和可操作性）。这些分析在处理由复杂的相互关系引起的故障或错误方面存在局限性，因为它假设影响风险的故障或错误是由特定组件引起的。为了克服这个限制，有必要应用STPA（系统理论过程分析）技术。

1.简介

最近，电气/电子控制系统的使用不仅在汽车行业而且在各种行业中都在增加。这种电气/电子控制系统的使用增加，极大地增加了系统设计的复杂性，这导致系统故障增加，并且由于这种故障引起的社会安全问题正在成为一个课题。

1.1背景和必要性

1985年发生的辐射医疗器械Therac-25事故，就是故障导致事故的一个例子，汽车行业也不例外。就像2009年日本丰田事故一样，控制系统的软件出现问题，导致事故发生。在汽车行业，汽车功能安全国际标准“ISO 26262–道路车辆功能安全”是在IEC 61508国际标准的基础上于2011年制定的，后于2018年修订补充发行第2版。ISO 26262的目的是防止系统和组件故障引起的风险，并提高功能安全性和可靠性。然而，即使系统或组件没有缺陷，也可能会发生危险情况。例如，图像传感器没有故障，但可能会因照度的突然变化而失去识别功能。因此，可能会发生故障，也可能存在意想不到的风险。为了解决这个问题，提出了一个名为“ISO/PAS 21448–SOTIF–预期功能安全”的新功能安全标准。

ISO 26262提出了贯穿整个生命周期的安全相关要求。具有代表性的风险分析技术包括FTA（故障树分析）、FMEA（故障模式与影响分析）和HAZOP（危害与可操作性）。这种分析方法是一个事件链模型，它是一种由于组件的连续错误而发生事故的理论。这些分析技术将特定组件的故障视为风险。然而，随着近年来系统变得越来越复杂，由于组件故障以及复杂的相互关系或外部环境因素，处理故障或错误的能力越来越有限。为了处理现代复杂系统之间相互作用引起的错误，Leveson在STAMP（系统理论事故模型和过程）模型的基础上提出了STPA（系统理论过程分析）方法。STPA技术通过系统组件的交互识别UCA（不安全控制操作）来识别风险。