使用STPA方法分析自动驾驶汽车接管过程-绵羊汽车生活记录

一、摘要接收历程是指正在特定前提下央浼驾驶员接收车辆把持的情形，目前对这个历程缺乏平和剖判。为明白决这个题目，这篇作品依据ISO 21448对编制表面历程剖判（STPA）举办了扩展，将其用于接收编制的平和剖判，接收编制由驾驶员和人机界面（HMI）构成。起首，剖判编制级危急，以拟订平和管理。然后，对接收历程的把持布局举办筑模，以识别思索人工成分的担心全把持举动。末了，剖判了担心全把持举动的情由，提出了人机界面的平和央浼，以指引接收编制的策画。行使该伎俩剖判了正在紧闭区域运转的自愿驾驶车辆的接收编制，并确定了相应的平和央浼。依据问卷考察和接收测试的结果，证实该剖判伎俩合用于降低接收编制的平和性。

二、配景正在SOTIF鸿沟内，不无误的人机交互是导致危急变乱的闭键成分，而接收历程是不无误人机交互的首要开头之一。为了确保接收历程的平和，有需要对该历程举办磋议，并行使平和剖判伎俩策画人机界面（HMI）。比来相闭接收历程的磋议闭键齐集正在影响接收时代和质料，以及驾驶员接收历程心境模子的修筑。正在平和剖判伎俩方面，现有的车辆平和剖判磋议囊括打击树剖判（FTA）、打击形式和影响剖判（FMEA）、危急和可操作性剖判（HAZOP）等伎俩。然而，这些平和剖判伎俩很少行使于接收历程，由于它们并不适应。STPA伎俩可能有用地剖判出暂时被剖判编制中存正在的职员误操作成分，是被集体行使于SOTIF职员误操作规模的剖判伎俩。

三、的确剖判历程现行准则ISO 21448“道途车辆-预期效力的平和性”给出了导致危急变乱的人工成分劝导词，如表所示。

正在识别出编制中的担心全把持要领(UCA）后，可能依据这些指引词来剖判酿成这些UCA的情由，然后先导全盘的确的剖判历程。起首寻得接收历程中存正在的编制级损害，以及对应的管理（需求）

外部境况消息与车辆把持单位（VCU）的消息一块输入自愿驾驶编制（囊括感知和计划），以决策是否需求接收车辆。当需求接收操作时，接收信号发送至接收编制中的HMI。然后，HMI供给的车辆消息和接收要求以及外部境况消息发送给驾驶员。然后，驾驶员依据己方的识别和判定管制消息，以决策是否接收车辆。当驾驶员决策接收时，驾驶员发出的手动/自愿驾驶（MD/AD）切换指令发送至VCU，VCU依据驾驶员的行为先导奉行驾驶使命。当切换回自愿驾驶仪时，自愿驾驶编制把持VCU。（假设重心剖判误操作，可不成能正在图里加一个驾驶员目前的状况能否实时接收车辆，如此可能让咱们对危险对剖判加倍明确，更好分类）然后寻得五项与接收闭连的行为：C1：驾驶员先导手动驾驶/将驾驶权移交给自愿驾驶编制。C2：车辆消息行为输入发送给驾驶员，为驾驶员供给参考。C3：采纳要求由HMI发送给驾驶员。C4：外部境况消息行为输入发送给驾驶员，为驾驶员供给参考。C5：自愿驾驶编制将采纳信号发送至HMI。对付把持行为C1、C2、C3，寻得不妨爆发危急的场景

然后，从驾驶员的认知、判定和举动中思索因果成分。以C1为例，阐明损害及情由剖判历程，再以无别的格式剖判其他两个把持行为。STPA中UCA的爆发不妨分为四种情形：需求供给但未供给把持举动导致危急；供给把持举动后导致危急；供给不妨平和的把持举动但供给节点过早、过晚或顺次失误；把持举动不断太久或终止过早（仅针对不断性把持举动而非离散举动）。对付每一种情形，寻得这种情形爆发不妨导致的危急品种，并寻得的确的因果景色。然后对付每种危急，依据剖判出的的确因果场景提出平和管理和需求

随后，按影相同的程序对其余两种担心全把持要领举办了剖判，并提出了一起把持要领的具体平和央浼。对开始剖判中提出的编制级平和管理举办了细化和添加。接收编制的HMI策画听命以下具体平和央浼

作品后续还做了HMI的策画（给出HMI策画的筹办和的确结构图，接收要求的策画），并找参预者做了问卷测试和接收时代考察，因为与STPA闭连不大，不做具体先容。

通过众篇STPA作品可能看出，假设念对SOTIF鸿沟内的职员误操作举办剖判，那么驾驶员心境模子是至闭首要的，对职员误操作闭怀越众心境模子就要尽不妨的具体。我以为，可能探究能否正在心境模子中设立以布尔值示意的驾驶员的某一项反响才力的状况（如驾驶员此时能否采纳到HMI编制发送的消息、能否正在需求接收编制时获胜接收编制等），并依据状况将与职员误操作相闭的危急场景举办分类，如此可能把笼统的履历剖判化为的确，并对剖判流程举办简化。

正在作品布局上，该篇作品本来采用的是先找把持行为再找与每种把持行为相闭的编制性危急，而STPA采用的是由界说的牺牲找编制级伎俩，两者的派生闭连不雷同。正在札记中我举办了小的删改，仍旧依照STPA官方手册的顺次，即并没有把把持行为放正在编制级危急的前面。由于我感觉由把持行为导出危急不妨导致不全盘的题目，并且正在作品中也并没有看出这么做的需要性。

汽车测试网-创造于2008年，报道汽车测试时间与产物、趋向、动态等接洽邮箱 marketing#auto-testing.net (把#改成@)