基于系统理论过程的无人驾驶汽车安全性分析
2022-03-26刘洋陈晓静张萌萌
刘洋 陈晓静 张萌萌
关键词:无人驾驶汽 车功能安全 通信安全 STPA
1前言
由于无人驾驶汽车的功能不断增强,其系统的复杂程度也在不断提升,导致无人驾驶系统的安全性和可靠性难以得到保证。无人驾驶汽车安全问题主要包括主动安全、被动安全、功能安全和通信安全。相较于主动安全和被动安全,无人驾驶汽车的功能安全与通信安全的发展历程较短,但其在保障汽车安全行驶的过程中又尤为重要。
2无人驾驶汽车的功能安全和通信安全
2.1功能安全
无人驾驶汽车的功能安全包括感知、决策和执行层的安全。感知层是实现无人驾驶的关键,也是这三部分中的基础:决策层对无人驾驶系统的作用就相当于大脑对人的作用,需要对得到的信息进行分析,规划出一条最优路线;执行层主要将决策层下达的指令运用到实际中,相较于感知层和决策层,执行层的研究相对比较成熟,如车道保持系统、自动泊车系统等。
感知层由于包含的传感器较多,出现问题的可能性较大,具体归纳为以下几点:
a.激光雷达和相机容易受到周围环境和气候的影响,而毫米波雷达精度较低,感知范围小,所以感知系统在近距离感知周围环境时具有局限性。
b.无人驾驶汽车对道路环境中各种道路标识的识别、道路中障碍物的信息感知、道路边界的提取是保障汽车安全的重大因素。但由于道路环境的复杂多样,对有限的感知系统提出了巨大的挑战。
c.高精地图是无人驾驶汽车安全行驶不可或缺的一部分,但是高精度地图后续的工作量大,技术难点如信息的隐私、信息的完整程度、数据的更新、传输的速度等问题需要解决。
d.由于传感器多而复杂,传感器获得的数据也会增多,但由于功耗的限制,车载计算单元的计算能力有限,不能满足无人驾驶汽车低延时的要求。
决策层通过接受感知层传来的信息,对信息进行融合,然后根据驾驶需求选择一条最优的道路,保证汽车的安全和正常行驶。决策控制系统作为无人驾驶系统的核心,各个模块的正常工作是保证无人驾驶系统保持安全稳定的必要条件。决策层有全局路径规划和局部路径规划两种。
全局路径规划是在已知环境下,在事先建好的模型中,寻找一条符合从起始点到最终点可行的最优路径,是一种静态规划;局部路径规划是在未知环境中,根据车载传感器对周围环境的感知,规避道路中的障碍物之后选择出的一条最优道路,是一种动态规划。影响路径规划的三个因素:起始位置和终点位置、障碍物以及选择最优化的路径。
2.2通信安全
无人驾驶的通信安全存在以下几个问题:
a.数据丢失。数据传输过程主要使用CAN总线(局域网控制器),但由于没有加密机制,数据以开放文本传输,缺乏安全性。如果有人有意为之,很容易就会获得大量的数据信息,在大数据平台上分析数据、数据融合过程中会发生隐私泄露。
b.延迟过高。无人驾驶系统不仅内部的电子元件之间需要进行信息的传递,还要与周围的其他车辆以及路边的基础设施进行信息传递。因而信息量较大,容易造成信息延迟的现象产生。尽管对于某些程序短暂的延迟可能并没有什么影响,但是对汽车的整体效率和性能将产生影响,严重时可能会引发安全危险。
c.恶意攻击。无人驾驶汽车在行驶过程中可能会遭受到黑客攻击,攻击者可能窃取或更改存储在云中的数据,从而损害数据可用性和完整性,伪造决策层下达的命令或者对平台系统和应用软件注入病毒等,会危害车内乘员的安全。
d.信号传输稳定性差。由于无人驾驶系统各个电子元件的正常运行都需要网络的支持,当汽车行驶时间过长,或者行驶的偏远地区信号不佳时,系统可能会出现异常,如出现卡顿、死机等情况。
3基于系统理论过程的无人驾驶汽车安全性分析
系统理论过程分析方法从具体事故出发,找到引起系统产生故障的原因,寻找安全约束,为减少甚至避免事故的产生提出了安全要求。该方法以控制结构识别不安全控制行为作为核心,更多地考虑各组成部件之间的相互影响,该方法能够更全面、更准确地将系统中的安全诱因找出来,对提高系统的安全性具有更为积极的意义。
STPA主要有五个步骤:定义分析的目的、建立控制结构、识别不安全的控制行为、识别致因场景和安全要求。
3.1定义分析目的
STPA首先定义分析的目的,即要确定分析的对象,要明确需要避免的损失,导致损失产生的原因,以及如何避免该原因的发生。
3.1.1定义损失
损失是与物体所有者或者与其相关的受益者由于遭受不可能的过程,而使人身安全和财产安全得到损害的现象。与无人驾驶汽车相关的受益者有驾驶员、车上的乘客、路上的行人等。损失记为L (Losses).如表1所示。
3.1.2识别系统级危险
系统级危险指在特定的不利条件下,可能导致损失的一种状态,记为D (Danger),如表2所示。
3.1.3确定系统级安全约束
系统级安全约束是系统为了防止危险产生,避免损失所需满足的条件,记为SC(System-Ievel Constraints),如表3所示。
3.2建立控制结构
无人驾驶汽车是在感知、决策、执行以及通信网络的支持下保持正常行驶的。无人驾驶系统的控制结构,如图1所示。
通过感知、决策、控制执行以及通信网络的共同合作,无人驾驶汽车保持汽车的正常行驶。无人驾驶汽车的感知系统通过各类传感器获得环境信息、车辆定位、路边的交通信号以及车辆的状态信息,然后进行信息处理,将获得的信息传递给决策层。决策层根据感知层传来的信息加上驾驶员的驾驶意图来规划预期目标和预期速度。除此之外,决策层还需要对发生的突发状况进行处理。无人驾驶汽车的控制执行层根据决策层下达的命令来控制汽车的速度和方向,并对行驶的路线进行跟踪,最终反馈给决策层。各组成部件之间环环相扣,互通信息,协调合作。
3.3识别不安全行为
不安全行为是汽车在特定情况下或最糟糕的环境中产生的控制行为,使汽车在特定情境下发生危险。由无人驾驶汽车的控制结构图,我们针对汽车避让障碍物提出了几种不安全的控制行为(见表4),记为UCA (UnsafeControl Action)。
3.4提出安全要求
通过对无人驾驶汽车躲避障碍物的不安全控制行为以及致因场景进行分析,提出以下安全要求:
a.提高位置传感器的精度。由于无人驾驶汽车需要高精度的定位,一些传感器如GPS、惯性导航等,需要结合高精地图对汽车进行定位,但是由于我国的道路情况复杂,并且绘制高精地图后续工作量较大,因此工作难度较大,这是我们急需解决的问题。
b.提高计算速度,和精度。决策层需要整合大量数据信息,在这个过程中要提高计算速度、精度。
c.提高网络安全和信息传输速度。系统与其他车辆以及路边设施进行信息交互时,要加强加密技术,在最坏的情况下仍需要保证信息系统的正常运行;要提高信息传输速度,防止信息延遲,确保信息及时有效,避免发生事故。
d.加强人、车、路、后台联网技术的研究。将人、车、路有机结合在一个全方位的综合系统中,进而方便整合现有的交通资源,实时监控车辆的驾驶状态和行车环境,为驾驶员提供必要的行车安全辅助判断信息和紧急预警提示信息。
4结语
本文基于系统理论过程分析方法研究无人驾驶汽车的通信安全和功能安全,分析车辆在行驶过程中可能出现的各种不安全诱因以及产生的各种不良后果。最后根据分析结果提出一系列相应的安全要求,来保障无人驾驶汽车的安全行驶。