APP下载

基于HAZOP的自主泊车系统危险事件识别

2020-07-15朱国章陈君毅ZhuGuozhangChenZhenChenJunyi

北京汽车 2020年3期
关键词:泊车危险阶段

朱国章,陈 桢,陈君毅Zhu Guozhang,Chen Zhen,Chen Junyi

基于HAZOP的自主泊车系统危险事件识别

朱国章1,陈 桢1,陈君毅2Zhu Guozhang1,Chen Zhen1,Chen Junyi2

(1. 上汽大众汽车有限公司,上海 201805;2. 同济大学 汽车学院,上海 201804)

自主泊车系统是智能汽车领域的研究热点,但是目前缺乏针对该系统的危险识别研究,文中围绕自主泊车系统危险事件的识别展开。首先,依据现有道路车辆安全标准,根据自主泊车系统功能定义建立功能图,基于HAZOP(Hazard and Operability Analysis,危险与可操作性分析)方法,应用引导词得到系统可能的失效;其次,结合运行场景推导整车级危险事件;最后,采用ASIL(Automotive Safety Integration Level,汽车安全完整性等级)进行评估,得到高风险的危险事件。所识别的危险事件可以为功能安全要求推导提供输入,完善系统安全分析,以提高自主泊车系统的安全性。

自主泊车系统;HAZOP;危险事件

0 引 言

近年来随着汽车保有量不断增加,泊车的车位数量少、空间小等问题日益凸显;同时,泊车导致的事故呈逐年上升的趋势。2006年,密歇根大学的调查研究表明,泊车所导致的事故占各类交通事故的比重高达44%[1];我国车辆保险公司接到的索赔申请中,1/3是由于泊车失误所造成[2];驾驶员在泊车过程中,一旦出现疏忽就可能发生刮蹭及碰撞事故,引发矛盾纠纷甚至危及生命安全。

为了使泊车过程更安全便捷,自主泊车成为泊车技术发展的重点。目前,自主泊车系统仍处于研发阶段,技术尚未成熟,且由于没有人类驾驶员控制,在自主泊车系统发生失效后,车辆的失控导致的后果将更加严重。因此,为了避免自主泊车系统失效后造成人员伤害,自主泊车系统的安全分析必不可少。

ISO(International Organization for Standardi- zation,国际标准化组织)于2011年颁布汽车功能安全标准ISO 26262《道路车辆功能安全》,为汽车安全分析提供了指导,主要包括相关性定义、危害分析和风险评估以及功能安全概念3个部分,其中以危害分析和风险评估最为关键[3]6-12;但对于自主泊车类自主驾驶系统,仍缺少适用的安全分析方法。

根据以上背景,基于HAZOP(Hazard and Operability Analysis,危险与可操作性分析)方法对自主泊车系统进行危险事件识别,并结合风险评估得到高风险的整车级危险事件。

1 车辆危险事件识别方法

在现有汽车安全标准[4]中,将危险事件定义为危害与运行场景的结合,其中失效是危害的主要来源。针对失效表现,现有安全标准中提出的传统安全分析方法多基于可靠性理论,以FMEA(Failure Mode and Effect Analysis,失效模式及效应分析)及FTA(Fault Tree Analysis,失效树分析)为主。其中FMEA自下而上分析失效及其产生的影响,主要针对单体设备;FTA自上而下寻找事故的直接原因,主要针对特定事故。对于自主泊车类自主驾驶系统,由于系统涉及大量软硬件,结构复杂,应用这两类方法均存在失效情况难以明确,分析任务繁重,缺乏对运行场景考虑等问题。

HAZOP作为一种可结构化的安全分析方法,通过系统地辨识各种潜在的与设计目的间的偏差,进而分析各偏差发生的原因并评估相应的后果。相较FMEA、FTA等方法,HAZOP能更全面地识别出给定系统的危险和设计缺陷。HAZOP已在化工生产[5]和电子科技[6]领域得到了广泛应用,形成了标准化应用导则[7]。该导则提供了分析流程和具体的用于描述对设计目的偏离的引导词。引导词是HAZOP分析的基础,用于概括出现偏差的所有情况,然而现有导则中的引导词并不完全适用于自主泊车系统,本文依据对危险事件的定义,基于HAZOP分析方法,针对自主泊车系统的具体功能,建立引导词分析系统功能失效,得到整车级危险事件。

2 自主泊车系统危险事件识别方法

自主泊车系统危险事件识别方法如图1所示,依据现有道路车辆安全标准[3]3-12,首先对于自主泊车系统功能及运行场景进行定义与描述,基于功能定义明确系统功能阶段,并构建系统功能图;然后,基于HAZOP方法,应用面向自主泊车系统的引导词和功能图得到系统功能失效,结合具体场景和功能阶段得到自主泊车系统的危险事件;最后,应用ASIL(Automotive Safety Integration Level,汽车安全完整性等级)进行风险评估,筛选出高风险的危险事件。

2.1 功能及运行场景

自主泊车系统是一种不需要驾驶员人工干预,能够依据搭载的传感器、控制器、执行器等装置,实现自主寻位、自主泊车和主动避障等行为的高级别自动驾驶操作系统,该系统在泊车过程中可以替代驾驶员进行驾驶操作[8]。针对不同的功能可将自主泊车系统的运行过程划分为多个阶段。

2.1.1 自主泊车系统功能阶段划分

自主泊车系统主要分为自主寻位、自主泊车、位姿修正和自主驶离4个功能阶段,各阶段具体任务如下:

(1)自主寻位阶段:驾驶员将车辆驶入待泊车区域后,进行短距离低速自主驾驶,可以完成直行、换道、避障等具体功能;

(2)自主泊车阶段:车辆在确定泊车位后,依据感知系统、定位系统获取的输入信息反馈至决策规划系统,并由控制系统完成泊车入位;

(3)位姿修正阶段:车辆在驶入泊车位之后,根据停放位置和车位中心的距离和角度,自行进行位姿修正,使得车辆最终停放位置处于车位的中心,符合相应的角度和距离的标准要求;

(4)自主驶离阶段:车辆在接收到驾驶员的召唤命令之后,自主驶离车位,短程自主驾驶至待泊区域,接驳乘客。

2.1.2 功能图构建

在定义自主泊车系统各个功能阶段后,需要系统详细描述各个功能,功能即驾驶任务的抽象,可以构建功能图对其进行描述。功能图应涵盖驾驶任务的各个方面,包括环境感知、自车状态感知、决策和行为执行等[9]。通过对自主泊车系统各个功能及其依赖关系进行分析,构建自主泊车系统功能图如图2所示。功能图中各项基础功能以分层的方式描述系统,功能之间用箭头相连,以表示其依赖关系。系统分为4个功能阶段,各功能阶段包含不同的决策规划功能,各决策规划功能对应特定的感知功能与执行功能,感知功能与执行功能由特定的传感器与执行器完成。

图2 自主泊车系统功能图

2.1.3 运行场景定义

现有研究中对车辆运行场景存在多种定义。HalaElrofai[10]将场景划分为主车、主动环境(交通灯状态、天气状况、其他交通参与者等)、被动环境(道路、障碍物、交通标志等布置);Geyer[11]利用戏剧术语,将场景定义为布景、动态元素和驾驶者;Simon Ulbrich[12]将场景定义为描述环境的快照,包含了风景、动态元素和观察者的自我表示,以及这些实体之间的关系。综合上述对于场景的定义划分,提出将自主泊车系统的运行场景划分为静态元素、动态元素、自车状态与全局环境。其中静态元素包括所有地理空间静止的元素,动态元素是指正在移动的元素,自车状态包括自车速度及自身转角等属性,将天气、路面等对于自主泊车系统的功能实现影响作用较小的静态元素作为全局环境进行描述。

2.2 危害分析

2.2.1 功能失效

在确定自主泊车系统的各个功能后,结合HAZOP分析方法对功能失效进行分类。HAZOP 分析的基础是引导词检查,是对系统与设计目的偏差的缜密查找过程。分析人员使用预先确定的引导词,对每种要素及其相关的特性进行分析,识别并确认会导致不利后果的偏差。引导词的作用是激发分析人员的想象性思维,使其专注于分析,提出观点并进行讨论,从而尽可能使分析完整全面[13]5。HAZOP应用导则中提出的基本引导词及其含义见表1,与时间和先后顺序(或序列)相关的引导词及其含义见表2。

表1 HAZOP基本引导词[13]5

表2 HAZOP时间相关引导词[13]5

对于自主泊车系统,潜在的危险基于感知、决策规划、执行类功能,例如感知自车状态时自车速度、自车转角等参数的识别偏差;因此,表1中部分引导词如部分、伴随等,并不适用于描述自主泊车系统功能的失效,故根据HAZOP分析应用导则中的基本引导词,并结合自主泊车系统功能的实际应用,确定引导词见表3。

表3 自主泊车危险事件引导词

使用引导词与功能图中每个功能的参数进行组合,生成可能的失效,其中主要失效包括:

(1)感知功能:感知到行人有过大的速度,感知到过小的停车位区域,感知到不存在的车速,缺漏对前方行人的感知;

(2)决策规划功能:规划直行时存在物理不可能的速度,规划路径中存在与其他车辆轨迹的冲突,规划路径时过早的转弯;

(3)执行功能:执行加速时存在过大的加速度,执行转向时存在错误的转向角,执行先减速后转向时缺漏减速过程。

2.2.2 关键元素

在明确了场景的定义后,为确定自主泊车系统运行过程中的场景,基于泊车工作原理、实际泊车情况和泊车事故情况,建立自主泊车系统场景,见表4。

表4 自主泊车场景元素

为表4中场景的每一个元素选择一个离散化级别,选择适当的离散化级别是关键的一步,过于详细的场景会使风险评估失真。主要采用二进制离散化,属性设置为有/无;全局环境中的天气和路面均分为理想和非理想,见表5。

表5 全局环境元素

2.2.3 危险事件

基于自主泊车系统功能阶段、功能失效及运行场景,推导得到危险事件并分析其可能导致的事故。在生成危险事件时,还需考虑生成事件的合理性,排除以下3类不合理的危险 事件:

(1)在该功能阶段下未执行功能,故不存在危险;

(2)失效与场景无关(如直行跟车场景中转向失效),故不存在危险;

(3)多重失效,根据ISO 26262要求,不予考虑。

综合以上分析,结合功能失效的具体场景得到整车级危险事件,如表6和图3、图4所示。示例1中,由于车辆在自主泊车阶段执行转向时转角过大,导致与停放的车辆碰撞;示例2中,由于车辆在自主驶离阶段规划路径与前方行人轨迹冲突,导致与行人碰撞。

表6 危险事件示例

图3 危险事件示例1

图4 危险事件示例2

2.3 风险评估

得到危险事件后,根据ISO 26262要求,必须对其进行风险评估,采用ASIL评级对每项危险事件从暴露率、严重度和可控性3个角度进行评估。其中暴露率指某一危险事件导致事故的场景在整个运行过程中发生的概率,根据发生的频率或持续时间的不同分为E0―E4,其中E4为最高暴露率等级;严重度指事故对人员造成伤害的严重程度,根据受伤的严重程度分为S0―S3,其中S3为最高严重度等级;可控性指危险事件发生后驾驶员(或其他交通参与者)对风险的可控制程度[3]8-10,根据测试或分析所得成功完成控制的相关人员比例分为C0―C3,其中C0等级最为可控。最后综合得到每项危险事件的ASIL等级,见表7,A为最低的安全完整性等级,D为最高安全完整性等级,QM等级表示不做要求。据此筛选出风险大并且必须采取措施避免或控制的危险事件。

因为自主泊车系统中均为无人驾驶,且不包含远程操控技术,车内无人进行控制,故危险事件可控性等级均达C3;又因为事件中的场景元素及功能失效均为泊车过程中的常见要素,故组合得到的所有危险事件的暴露概率等级均达E4;因此各危险事件的ASIL等级取决于严重度。根据SAE J2980—201526262[14],影响严重度的因素可能包括碰撞类型、相对速度、车辆尺寸、是否使用安全防护设备等。结合自主泊车系统及产生的危险事件,将相对速度作为自主泊车系统危险事件风险评估中严重度的重要依据。以表6中2项危险事件为例,其严重度及ASIL评估结果为:

(1)对于危险事件1,因自主泊车阶段车速较低,且无行人,其严重度等级为S1、综合可控性等级为C3、暴露概率等级为E4,综合得到ASIL等级为B;

(2)对于危险事件2,因车速相对较快,且可能与行人发生碰撞,其严重度为S2、综合可控性等级为C3、暴露概率等级为E4,综合得到ASIL等级为C。

表7 ASIL等级评价标准

3 总结与展望

针对自主泊车复杂系统,基于HAZOP方法进行危险事件的识别,该过程遵循现有功能安全标准,通过建立功能图描述系统功能,根据适用于自主泊车系统功能的引导词分析得到具体功能失效,并结合不同场景生成危险事件,采用ASIL评级方法对其进行风险评估。本文为基于功能安全标准的自动驾驶汽车设计及验证过程提供了方法支持,对于提高自动驾驶汽车安全性有重要意义。

该方法的局限性主要体现在风险评估阶段依旧采用传统的ASIL评级方法,难以将筛选出的高风险危险事件进一步分级,后续将继续研究基于客观指标的量化风险评估方法。

[1]王龙. 汽车自动泊车系统关键技术研究[D]. 重庆:重庆交通大学,2016.

[2]胡伟龙. 多段式平行泊车轨迹动态规划及系统控制[D]. 合肥:合肥工业大学,2016.

[3]ISO. Road Vehicle-Functional Safety:ISO 26262-3[S]. Switzerland,2011.

[4]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会. 道路车辆功能安全第3部分:概念阶段:GB∕T 34590.3—2017[S]. 北京:中国标准出版社,2017

[5]应辉.HAZOP在石油化工设计中的应用[J]. 石化技术,2019,26(10):66-67。

[6]杨振,李世军,刘忠哲. 基于HAZOP的集成电路安全生产风险评估[J].电工技术,2019(18):174-175

[7]高东,肖遥,张贝克,等.基于知识本体的HAZOP信息标准化框架[J/OL].化工进展,2020:1-11[2020-03-24].https://doi.org/10.16085/ j.issn. 1000-6613.2019-1445.

[8]左任婧. 智能汽车自主泊车系统测试用例研究[D]. 上海:同济大学,2018.

[9]RESCHKA A,BAGSCHIK G,ULBRICH S. Ability and Skill Graphs for System Modeling,Online Monitoring,and Decision Support for Vehicle Guidance Systems[C]// Intelligent Vehicles Symposium(IV). IEEE,2015.

[10]ELROFAI H ,WORM D ,CAMP O O D . Scenario Identification for Validation of Automated Driving Functions[M]//SCHULZE T,MÜLLER B,MEYER G. Advanced Microsystems for Automotive Applications. Springer International Publishing,2016.

[11]GEYER S,BALTZER M ,FRANZ B,et al. Concept and Development of a Unified Ontology for Generating Test and Use-case Catalogues for Assisted and Automated Vehicle Guidance[J]. Intelligent Transport Systems,IET,2014,8(3):183-189.

[12]SCHULDT F,ULBRICH S,MENZEL T,et al. Defining and Substantiat- ing the Terms Scene,Situation,and Scenario for Automated Driving[C]// Intelligent Transportation Systems. IEEE,2015.

[13]中国国家标准化管理委员会. 危险与可操作性分析(HAZOP分析)应用指南:GB/T 3520-2017[S]. 北京:中国标准出版社,2018.

[14]SAE.Considerations for ISO 26262 ASIL Hazard Classification:SAE J2980-2015 [S].USA,2015.

国家重点研发计划(2018YFB0105101,2018YFB 0105103)。

2020-02-20

U463.6

A

10.14175/j.issn.1002-4581.2020.03.001

1002-4581(2020)03-0001-05

猜你喜欢

泊车危险阶段
基于MATLAB的平行泊车路径规划
名师成长的四个阶段
基于CarSim的平行泊车仿真分析
假期之后,你想成为谁?
在学前教育阶段,提前抢跑,只能跑得快一时,却跑不快一生。
游乐园里欢乐多
喝水也会有危险
不同的阶段 不同的方法
拥挤的危险(三)
话“危险”