基于系統(tǒng)理論過程的無人駕駛汽車安全性分析

劉洋 陳曉靜 張萌萌

關(guān)鍵詞：無人駕駛汽 車功能安全 通信安全 STPA

1前言

由于無人駕駛汽車的功能不斷增強，其系統(tǒng)的復(fù)雜程度也在不斷提升，導(dǎo)致無人駕駛系統(tǒng)的安全性和可靠性難以得到保證。無人駕駛汽車安全問題主要包括主動安全、被動安全、功能安全和通信安全。相較于主動安全和被動安全，無人駕駛汽車的功能安全與通信安全的發(fā)展歷程較短，但其在保障汽車安全行駛的過程中又尤為重要。

2無人駕駛汽車的功能安全和通信安全

2.1功能安全

無人駕駛汽車的功能安全包括感知、決策和執(zhí)行層的安全。感知層是實現(xiàn)無人駕駛的關(guān)鍵，也是這三部分中的基礎(chǔ)：決策層對無人駕駛系統(tǒng)的作用就相當于大腦對人的作用，需要對得到的信息進行分析，規(guī)劃出一條最優(yōu)路線;執(zhí)行層主要將決策層下達的指令運用到實際中，相較于感知層和決策層，執(zhí)行層的研究相對比較成熟，如車道保持系統(tǒng)、自動泊車系統(tǒng)等。

感知層由于包含的傳感器較多，出現(xiàn)問題的可能性較大，具體歸納為以下幾點：

a.激光雷達和相機容易受到周圍環(huán)境和氣候的影響，而毫米波雷達精度較低，感知范圍小，所以感知系統(tǒng)在近距離感知周圍環(huán)境時具有局限性。

b.無人駕駛汽車對道路環(huán)境中各種道路標識的識別、道路中障礙物的信息感知、道路邊界的提取是保障汽車安全的重大因素。但由于道路環(huán)境的復(fù)雜多樣，對有限的感知系統(tǒng)提出了巨大的挑戰(zhàn)。

c.高精地圖是無人駕駛汽車安全行駛不可或缺的一部分，但是高精度地圖后續(xù)的工作量大，技術(shù)難點如信息的隱私、信息的完整程度、數(shù)據(jù)的更新、傳輸?shù)乃俣鹊葐栴}需要解決。

d.由于傳感器多而復(fù)雜，傳感器獲得的數(shù)據(jù)也會增多，但由于功耗的限制，車載計算單元的計算能力有限，不能滿足無人駕駛汽車低延時的要求。

決策層通過接受感知層傳來的信息，對信息進行融合，然后根據(jù)駕駛需求選擇一條最優(yōu)的道路，保證汽車的安全和正常行駛。決策控制系統(tǒng)作為無人駕駛系統(tǒng)的核心，各個模塊的正常工作是保證無人駕駛系統(tǒng)保持安全穩(wěn)定的必要條件。決策層有全局路徑規(guī)劃和局部路徑規(guī)劃兩種。

全局路徑規(guī)劃是在已知環(huán)境下，在事先建好的模型中，尋找一條符合從起始點到最終點可行的最優(yōu)路徑，是一種靜態(tài)規(guī)劃;局部路徑規(guī)劃是在未知環(huán)境中，根據(jù)車載傳感器對周圍環(huán)境的感知，規(guī)避道路中的障礙物之后選擇出的一條最優(yōu)道路，是一種動態(tài)規(guī)劃。影響路徑規(guī)劃的三個因素：起始位置和終點位置、障礙物以及選擇最優(yōu)化的路徑。

2.2通信安全

無人駕駛的通信安全存在以下幾個問題：

a.數(shù)據(jù)丟失。數(shù)據(jù)傳輸過程主要使用CAN總線（局域網(wǎng)控制器），但由于沒有加密機制，數(shù)據(jù)以開放文本傳輸，缺乏安全性。如果有人有意為之，很容易就會獲得大量的數(shù)據(jù)信息，在大數(shù)據(jù)平臺上分析數(shù)據(jù)、數(shù)據(jù)融合過程中會發(fā)生隱私泄露。

b.延遲過高。無人駕駛系統(tǒng)不僅內(nèi)部的電子元件之間需要進行信息的傳遞，還要與周圍的其他車輛以及路邊的基礎(chǔ)設(shè)施進行信息傳遞。因而信息量較大，容易造成信息延遲的現(xiàn)象產(chǎn)生。盡管對于某些程序短暫的延遲可能并沒有什么影響，但是對汽車的整體效率和性能將產(chǎn)生影響，嚴重時可能會引發(fā)安全危險。

c.惡意攻擊。無人駕駛汽車在行駛過程中可能會遭受到黑客攻擊，攻擊者可能竊取或更改存儲在云中的數(shù)據(jù)，從而損害數(shù)據(jù)可用性和完整性，偽造決策層下達的命令或者對平臺系統(tǒng)和應(yīng)用軟件注入病毒等，會危害車內(nèi)乘員的安全。

d.信號傳輸穩(wěn)定性差。由于無人駕駛系統(tǒng)各個電子元件的正常運行都需要網(wǎng)絡(luò)的支持，當汽車行駛時間過長，或者行駛的偏遠地區(qū)信號不佳時，系統(tǒng)可能會出現(xiàn)異常，如出現(xiàn)卡頓、死機等情況。

3基于系統(tǒng)理論過程的無人駕駛汽車安全性分析

系統(tǒng)理論過程分析方法從具體事故出發(fā)，找到引起系統(tǒng)產(chǎn)生故障的原因，尋找安全約束，為減少甚至避免事故的產(chǎn)生提出了安全要求。該方法以控制結(jié)構(gòu)識別不安全控制行為作為核心，更多地考慮各組成部件之間的相互影響，該方法能夠更全面、更準確地將系統(tǒng)中的安全誘因找出來，對提高系統(tǒng)的安全性具有更為積極的意義。

STPA主要有五個步驟：定義分析的目的、建立控制結(jié)構(gòu)、識別不安全的控制行為、識別致因場景和安全要求。

3.1定義分析目的

STPA首先定義分析的目的，即要確定分析的對象，要明確需要避免的損失，導(dǎo)致?lián)p失產(chǎn)生的原因，以及如何避免該原因的發(fā)生。

3.1.1定義損失

損失是與物體所有者或者與其相關(guān)的受益者由于遭受不可能的過程，而使人身安全和財產(chǎn)安全得到損害的現(xiàn)象。與無人駕駛汽車相關(guān)的受益者有駕駛員、車上的乘客、路上的行人等。損失記為L （Losses）.如表1所示。

3.1.2識別系統(tǒng)級危險

系統(tǒng)級危險指在特定的不利條件下，可能導(dǎo)致?lián)p失的一種狀態(tài)，記為D （Danger），如表2所示。

3.1.3確定系統(tǒng)級安全約束

系統(tǒng)級安全約束是系統(tǒng)為了防止危險產(chǎn)生，避免損失所需滿足的條件，記為SC（System-Ievel Constraints），如表3所示。

3.2建立控制結(jié)構(gòu)

無人駕駛汽車是在感知、決策、執(zhí)行以及通信網(wǎng)絡(luò)的支持下保持正常行駛的。無人駕駛系統(tǒng)的控制結(jié)構(gòu)，如圖1所示。

通過感知、決策、控制執(zhí)行以及通信網(wǎng)絡(luò)的共同合作，無人駕駛汽車保持汽車的正常行駛。無人駕駛汽車的感知系統(tǒng)通過各類傳感器獲得環(huán)境信息、車輛定位、路邊的交通信號以及車輛的狀態(tài)信息，然后進行信息處理，將獲得的信息傳遞給決策層。決策層根據(jù)感知層傳來的信息加上駕駛員的駕駛意圖來規(guī)劃預(yù)期目標和預(yù)期速度。除此之外，決策層還需要對發(fā)生的突發(fā)狀況進行處理。無人駕駛汽車的控制執(zhí)行層根據(jù)決策層下達的命令來控制汽車的速度和方向，并對行駛的路線進行跟蹤，最終反饋給決策層。各組成部件之間環(huán)環(huán)相扣，互通信息，協(xié)調(diào)合作。

3.3識別不安全行為

不安全行為是汽車在特定情況下或最糟糕的環(huán)境中產(chǎn)生的控制行為，使汽車在特定情境下發(fā)生危險。由無人駕駛汽車的控制結(jié)構(gòu)圖，我們針對汽車避讓障礙物提出了幾種不安全的控制行為（見表4），記為UCA （UnsafeControl Action）。

3.4提出安全要求

通過對無人駕駛汽車躲避障礙物的不安全控制行為以及致因場景進行分析，提出以下安全要求：

a.提高位置傳感器的精度。由于無人駕駛汽車需要高精度的定位，一些傳感器如GPS、慣性導(dǎo)航等，需要結(jié)合高精地圖對汽車進行定位，但是由于我國的道路情況復(fù)雜，并且繪制高精地圖后續(xù)工作量較大，因此工作難度較大，這是我們急需解決的問題。

b.提高計算速度，和精度。決策層需要整合大量數(shù)據(jù)信息，在這個過程中要提高計算速度、精度。

c.提高網(wǎng)絡(luò)安全和信息傳輸速度。系統(tǒng)與其他車輛以及路邊設(shè)施進行信息交互時，要加強加密技術(shù)，在最壞的情況下仍需要保證信息系統(tǒng)的正常運行;要提高信息傳輸速度，防止信息延遲，確保信息及時有效，避免發(fā)生事故。

d.加強人、車、路、后臺聯(lián)網(wǎng)技術(shù)的研究。將人、車、路有機結(jié)合在一個全方位的綜合系統(tǒng)中，進而方便整合現(xiàn)有的交通資源，實時監(jiān)控車輛的駕駛狀態(tài)和行車環(huán)境，為駕駛員提供必要的行車安全輔助判斷信息和緊急預(yù)警提示信息。

4結(jié)語

本文基于系統(tǒng)理論過程分析方法研究無人駕駛汽車的通信安全和功能安全，分析車輛在行駛過程中可能出現(xiàn)的各種不安全誘因以及產(chǎn)生的各種不良后果。最后根據(jù)分析結(jié)果提出一系列相應(yīng)的安全要求，來保障無人駕駛汽車的安全行駛。