内容提要：本文描述了aFAS项目中无人应急车辆开发概念阶段中功能安全概念的系统创建和表示。早期设计的不同阶段以及它们之间的依赖关系通过创建和使用的工作产品来表示，并介绍了SAE 4级应用程序的功能安全要求和安全论证结构。

摘要

合理构建系统的早期设计阶段是高效、成功的开发流程的关键。如今，安全因素（例如ISO 26262的安全生命周期）极大地影响着开发过程。早期设计以功能架构的形式表达，这是形成安全概念所必需的。因此，在早期设计阶段将任务和工作产品映射到参考流程是构建系统开发的重要部分。本文描述了aFAS项目中无人应急车辆开发概念阶段中功能安全概念的系统创建和表示。早期设计的不同阶段以及它们之间的依赖关系通过创建和使用的工作产品来表示，并介绍了SAE 4级应用程序的功能安全要求和安全论证结构。

1.简介

自动驾驶和无人驾驶的设计，显著增加了本已很高的车辆电子开发活动复杂性。无人驾驶系统的系统设计必须考虑额外的要求，特别是在没有人类驾驶员作为技术系统缺陷的后备方案时考虑的几个安全方面。因此，安全考虑对自动驾驶功能设计过程的结果具有重大影响，因为车辆级别的安全性论证是早期开发过程中的主要关注点。

根据ISO 26262标准，安全概念的形成必须分为两个单独的部分，解决不同的抽象层次：功能安全概念和技术安全概念。在功能安全概念化过程中，功能安全要求源自正在开发的系统的顶层安全目标。安全目标是作为ISO 26262危害分析和风险评估任务工作产品的一部分生成的，其中还包括为风险分类产生的每个目标的汽车安全完整性等级(ASIL)。功能安全概念旨在描述实现安全目标的安全策略。在系统设计的后期步骤中，定义了技术安全概念；它概述了功能概念的实现，并考虑了具体的技术决策或性能假设。

正如之前的工作中所介绍的，自动驾驶功能的早期设计阶段可以通过迭代参考过程来描述，如图1b所示。该过程定义了两个循环，即代表自动驾驶功能的内循环。开发的概念阶段以及包含实施和测试步骤的外循环。除了高级开发的通用里程碑之外，ISO 26262功能安全生命周期的各个阶段还可以映射到设计阶段，而无需表示各个流程步骤的严格顺序。显然，这些流程步骤是同时迭代执行的，特别是当汽车系统设计面临跨学科开发的挑战时，甚至可以在团队或公司之间进行拆分。

由内循环描述的功能概念的迭代是本文的重点。在此概念阶段可以区分的相互依赖的阶段是：项目定义（指定系统功能）、危害分析和风险评估以及功能安全概念生成。全面且一致的功能安全概念是开发系统要求并进入技术设计阶段的先决条件。

由于其在开发过程中的重要性，功能安全概念描述了已识别危害的风险缓解策略，是概念阶段的主要目标之一。本文介绍了aFAS研究项目有关安全概念生成和符号的研究结果。此外，还讨论了在自动驾驶功能的早期设计过程中确定一套合理的安全要求的系统流程结构。

首先，下一节将介绍项目背景和之前的工作。随后，第3节介绍了车辆系统功能安全概念生成的相关工作。最后，第4节讨论了研究项目aFAS背景下的安全概念生成过程。

2.项目背景

aFAS项目的目标是开发一种在高速公路路肩上实现应急车辆无人操作的系统。该系统仅允许在路肩上进行无人驾驶低速行驶，在规定的距离内跟随引导车辆。

3.相关工作

首先在安全概念化的背景下检查了无人驾驶应急车辆的外部可见行为。对于Waymo（2017）使用的定义，直接解决的安全方面是正在开发的系统的行为安全。在早期设计阶段，自动驾驶汽车的自上而下的开发可能会侧重于描述外部车辆行为的安全目标。然而，在系统设计规范期间将解决的其他安全方面，特别是功能安全机制，包含在车辆行为的抽象考虑中。因此，可以同时采用多个标准来管理汽车开发中的安全问题，特别是ISO 26262和ISO PAS 21448“预期功能的安全性”。

自动车辆安全行为的当前标准覆盖范围定义重点关注行为规划功能。作者认为，3+级系统的安全名义行为规范（SAE International，2018）目前并未包含在标准和标准创建计划中。他们提出了一个多方面的安全工程流程，该流程定义了影响联合安全论证的不同抽象层。他们的方法在生成功能安全概念之前确定传感器和算法概念，因此不会生成独立于技术实现考虑因素的概念阶段的工作产品，很少有已发布的功能安全概念基于对所需车辆行为的抽象描述来推断安全要求，此外，本文还提出了SAE 3+级系统的安全要求推导和可追溯文档的系统流程大纲。所创建的无人安保车的功能安全概念将在4.2节中讨论。

4.功能安全概念生成

可以从aFAS中功能安全概念生成的经验中推断出流程结构。安全要求分析取决于ISO 26262概念阶段的先前工作产品的信息。设计过程的关键输入如图1a所示。

项目定义和HARA任务中生成和使用的数据逐项列出，并使用箭头与后续步骤连接。如前所述，功能安全概念是概念阶段的一个重要目标，被描述为图1b所示参考流程中的内循环。

图1.概念开发阶段的功能安全概念设计

根据我们在项目中的观察，ISO 26262的项目定义在初步设计阶段是一个动态文件。虽然HARA任务可以使用早期项目定义来执行，但缺乏主要概念设计信息，但安全概念生成需要有关架构假设的全面信息。此外，在创建安全概念之前，必须有一组一致的安全目标，因为安全概念将安全目标分解为要求。以前的工作中已经描述了项目细化形式的迭代，描述了项目定义的适应，以响应HARA任务期间识别的设计冲突。

安全目标定义和功能安全概念生成之间的根本区别在于安全要求必须有实施的条件。虽然安全目标是抽象制定的，直接解决所识别的危害，但功能安全要求是根据初步的功能系统架构形成的，将正式要求分配给正在开发的系统的功能元素。因此，功能安全概念是功能概念和技术设计之间的纽带。

部署缓解策略将安全目标分解为要求。这些策略整合了源自项目定义的信息，比如系统能力和计划的安全机制。为了记录应用的策略并提高概念阶段工作产品内的可追溯性，可以使用图形符号，如下节所述（参见4.1）。

每个安全目标又分解为一个或多个安全要求，而一个单独的安全要求又可以实现多个安全目标。分配的安全要求和架构元素从链接的安全目标继承最高的ASIL，除非ASIL被分解，反映安全措施被拆分为冗余的安全要求，分配给独立的架构元素。

4.1功能安全概念符号

在安全概念创建过程中推导出的功能安全要求通常以表格形式呈现。这样可以轻松记录并适应个人需求。然而，安全概念化中考虑的因素和决策的可追溯性是有限的，并且变化可能会导致不一致。使用半正式符号以图形形式记录功能安全概念，可以说明和记录安全目标、要求和应用策略之间的联系。图形安全论证结构还可以提高可读性并避免歧义。图形表示应用通常是在安全档案中使用的论证结构。因此，在安全概念创建过程中使用图形符号可以生成初步的安全参数，这些参数可以在开发过程中进行扩展和重新评估。最终，验证和确认活动的结果可以作为图形安全论证的证据。

在aFAS项目中，我们使用了目标结构符号（GSN）作为图形安全概念文档。半形式表示法标准中定义的基本元素如图2所示。一般来说，在GSN中，陈述通过矩形表示，证据通过圆形表示。实心箭头标记自变量结构上下文中的链接，其中还可以包括平行四边形形式的策略。上下文信息、假设和理由通过椭圆形表示，并通过空箭头连接到自变量结构的其他节点。

图2.目标结构符号的要素

GSN中的安全论证模式侧重于将顶级目标分解为多个子目标。因此，在功能安全概念的背景下，该符号可用于将安全目标分解为安全要求。在开发的后期阶段，该符号也可以用于将技术需求与功能需求联系起来。

4.2 aFAS项目的功能安全理念

如上所述，正在开发的系统的HARA任务的结果是为功能安全概念生成所需的输入。危害分析过程主要依赖于项目定义中操作模式和目标行为的定义。aFAS车辆引导系统中指定的操作模式如图3a所示。

Stolte等人介绍了在无人监督的情况下操作无人安保车的HARA过程和结果。表1列出了安全目标和分配的分类。由于危害分析是在车辆引导系统的背景下进行的，所以定义的大多数安全目标仅适用于特定的运行模式。

之前的其他文献中介绍了项目定义上下文中所需的其他输入。Nolte等人阐释了如何从安全目标中系统地推论安全要求。提供了图形系统能力表示的示例。这些技能图用于将外部行为分解为功能类别，作为导出获取和分配功能安全要求的策略的输入。技能图代表了能力观点内的系统架构。因此，功能系统架构作为系统的另一种观点共享相同的功能组件。Stolte等人对功能系统架构（包括组件之间的信息流）进行了全面介绍。图3b描述了创建安全概念期间考虑的组件。

图3. aFAS系统的运行模式和功能组件

表1. aFAS项目中的安全目标和ASIL分类

实现安全目标的功能组件分为应急车辆和引导车辆，并通过无线电链路连接。针对车辆中的人机界面和无线连接提出了要求。此外，安全概念中还包括操作人员手动驾驶应急车辆到作业现场并切换为引导车辆。安保车的组成部分包括执行器子系统以及车辆引导系统的HMI、控制逻辑和环境感知。

aFAS项目中的典型安全目标源自自动应急车辆的目标行为，即始终与左侧车道线保持安全距离。高严重度和低可控度来自可能进入相邻车道的危害，考虑相邻车道中的会具有较大速差的交通流。因此，用于论证安全目标12的ASIL级别的安全目标3是安全概念的关键要素。图4显示了针对安全目标3的功能安全概念的摘录，作为分割论证结构的示例。确定了不同的策略来防止转向驱动超出规范。需求可以独立地由两种策略产生，同时也可以创建分配给制动系统的联合需求。

图4.针对安全目标3的功能安全概念摘录

图形结构允许将HARA结果的各种信息与安全目标联系起来。功能安全要求通过策略节点连接到安全目标，形成还包括假设和理由的论证结构。在GSN标准的背景下，开发概念阶段的功能安全要求也可以通过未开发的目标标识符来表示（参见图2），表明证据尚未与所做的陈述联系起来。

此外，在安全目标适用于手动和自动运行的情况下，在论证结构中开发了不同的路径。安全目标1就是一个例子，旨在防止意外和不允许的运行模式更改。在手动运行期间，通过使用主开关作为应急车辆中HMI的一部分来断开车辆引导系统与任何电源的连接，从而减轻危害。该开关可防止意外开启，并且该策略经过对操作人员所需的安全培训而得到验证。相反，在自动化运行期间，主开关不能成为防止错误模式改变的策略的一部分。因此，设计了中央控制器逻辑内对系统状态的永久监控。

所有功能安全要求、分配的组件以及相关的最高ASIL分类的详细列表可在附录中找到（附录1，关注牛喀网公众号，后台咨询下载）。

5.结论

本文讨论了在开发概念阶段确定安全要求的系统过程结构。此外，还介绍了研究项目aFAS的安全概念生成和符号的发现，包括安全论证结构的摘录和SAE 4级应用的全套安全要求。用于文档的图形形式提高了需求的易处理性和论证结构的可读性；然而，半形式化符号并不能保证安全论证的有效性。由于GSN元素包含自由文本语句，因此在继续进行系统设计的进一步步骤之前，必须对功能安全概念进行彻底验证。

所提出的安全概念在应急车辆引导系统的开发过程中已在实践中得到了证明，并在项目结束时在公共交通中得到了证明。未来，将继续讨论将安全论证结构化扩展至汽车安全案例。

详询“牛小喀”微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！