1. Generic Safety Frameworks(常用的安全框架)
常用的安全框架有三种:
FTA(故障树分析)、FMEA(故障模式与影响分析)、 HAZOP(危险与可操作性分析)
1.1 FTA(Fault Trees Analyses,故障树)
故障树是一种自上而下分解问题的结构。
例如:一次碰撞的发生可能是软件问题或硬件问题;
软件问题可能是决策层、规划层、控制层等等的故障,硬件问题可能是机械结构、电子元件等等的故障;
其中机械结构又有可能是油门、挡位、制动器等等的故障。
直到不能进一步分解问题为止。
1.1.1 表示方法
下图是一个通用表示,其中方框表示较大的事件(即可再分事件),另外两个是与、或符号,圆圈表示最后的最小时间(即不可再分事件)。通常需要好几层才能表示。另外还有在《现代设计》一书中还有割集、最小割集等等定义,这里不详细阐述。
1.1.2 概论计算
概论计算的过程是自下而上的。
事件有一个发生故障就导致系统失效 → 系统失效概论 = 多个事件发生故障的概论相加
事件一起发生故障才能导致系统失效 → 系统失效概论 = 多个事件发生故障的概论相乘
1.2 FMEA(Failure Mode and Effects Analyses,故障模式与影响分析)
FMEA是一种自下而上的总结过程。
故障模式 → 从最小事件入手,假设其发生故障
影响分析 → 最小事件的故障模式给系统带来的所有可能影响
1.2.1 分析思路
(1)首先分类故障模式,分类的依据如下:
① 所导致的影响的严重性;
② 发生的频繁性;
③ 检测故障的难度。
(2)按照分类排序,优先解决排序靠前(棘手)的故障。
1.2.2 执行步骤
(1)与专家讨论,根据自动驾驶系统的等级制作FMEA表;
(2)分析整个系统,列出所有可能的故障模式;
(3)对于一个故障模式,分析其影响,打一个从0到10的严重分数S,10表示最严重;
(4)对于一个故障模式,分析其发生的频率,打一个从0到10的频率分数O,10表示发生最多;
(5)对于一个故障模式,要解决首先要能检测,因此给一个故障模式打一个从0到10的检测难度分数D,10表示最难检测;
(6)最后可以对每一个故障模式打出最后的分数,RPN = SOD。分数越高,排序越前。
1.3 HAZOP(Hazard and Operability Analysis,危险与可操作性分析)
HAZOP是FMEA的一个简化形式。
它需要的更多是想象(即非严格的科学依据),例如上面的打分,它会变成一个形容词来大致划分等级。所以大多时候是在分析的早期进行初步的分析。
2. Autonomous Safety Frameworks(自动化的安全框架)
2.1 Functional Safety(功能性安全)
功能性安全指:不存在不合理风险的情况下,系统发生故障的安全性。(也就是:车辆在常规场景中运行时,系统的安全性)
为什么要加上不存在不合理风险的条件:例如在红灯时直行进入路口,这是非常危险的,系统发生故障的概论将会大大增加(例如因为被撞击),但这并不能体现所设计的系统的真实安全性。所以应该在正常场景中去评估一个系统的安全性,称为功能性安全。
2.2 Functional Safety Process(确保功能性安全的过程)
了解即可