面向无人驾驶车辆的功能安全系统理论危害分析方法(STPA)研究毕业论文
2020-02-17 17:48:51
摘 要
无人驾驶车辆作为未来的主要发展趋势,其包含了数量更多、层次更深的电子软件系统交互应用,系统结构更加复杂,安全性要求更高,解决系统安全问题变得尤为重要,然而现在所应用传统分析技术主要适用于传统简单线性系统的安全分析,对于现代复杂系统的分析不够全面,会忽略掉一些重大的事故原因,本文在此背景基础下进行了如下三个方面的研究:
1.首先针对于传统安全分析技术进行分析与评价,指出传统分析技术在分析和减少由部件故障引起的事故方面具有一定的有效性,但由于其本身的分析理论和模型与现代复杂系统实际特性所不符,难以进行针对性的安全危险分析。
2.介绍了一种新型的危险分析技术:系统理论过程分析方法STPA(System-Theoretic Process Analysis),与故障树分析等传统的安全技术相比更加适用与有效,该方法基于系统理论与STMAP事故因果模型,可以在系统级别层次上识别复杂安全关键系统中的潜在危险原因,并提出相关安全约束以提高软件系统的安全性。
3.最后本文将STPA分析技术应用于汽车自适应巡航控制系统中,分析系统的危险控制性行为,设立相应的安全要求与安全限制条件,消除危险状况、降低危险事故发生率及其影响,验证了STPA分析技术的有效性,并通过此案例分析,展望STPA安全分析技术广泛应用于无人车自动驾驶系统中的安全监测以及相应的系统开发过程,提高软件系统的安全性,有利于建立现代安全关键系统。
关键字:STPA分析技术,传统分析技术,STAMP模型,软件安全
Abstract
As the main development trend in the future, driverless vehicles include more and deeper interactive applications of electronic software systems. The structure of the system is more complex and the security requirements are higher. It is particularly important to solve the security problems of the system. However, the traditional analysis techniques applied nowadays are mainly applicable to the security analysis of traditional simple linear systems. The analysis is not comprehensive enough for modern complex systems because they ignore some major causes of accidents. Based on this background, the following three aspects are studied in this paper:
1. Firstly, aiming at the analysis and evaluation of traditional safety analysis technology, it is pointed out that traditional analysis technology is effective in analyzing and reducing accidents caused by component failures, but it is difficult to carry out targeted safety hazard analysis because its own analysis theory and model do not conform to the actual characteristics of modern complex systems.
2. A new type of hazard analysis technology, system-Theoretic Process Analysis (STPA), is introduced, which is more applicable and effective than traditional security technologies such as fault tree analysis. Based on system theory and STMAP accident causality model, this method can identify potential hazard causes in complex safety critical systems at system level, and puts forward some suggestions. Relevant security constraints improve the security of software systems.
3. Finally, this paper applies STPA analysis technology to the automobile adaptive cruise control system, analyses the dangerous control behavior of the system, establishes the corresponding safety requirements and safety restrictions, eliminates the dangerous situation, reduces the occurrence rate of dangerous accidents and its impact, verifies the validity of STPA analysis technology, and through this case analysis, looks forward to the wide application of STPA safety analysis technology in non-existent areas. The safety monitoring and the corresponding system development process in the automatic driving system of human cars can improve the safety of the software system and help establish a modern safety critical system.
Key Words: System-Theoretic Process Analysis, Traditional Analysis Techniques, STAMP models, Software Safety
目录
摘要 I
Abstract II
第1章 绪论 1
1.1 研究背景 1
1.1.1 汽车电子系统发展的特点 1
1.1.2 汽车电子系统发展带来的挑战 2
1.1.3 现代系统软件安全挑战 4
1.2 汽车系统安全分析技术的现状 4
1.2.1 传统安全分析技术 4
1.2.2 新型的系统理论过程分析技术(STPA) 5
1.3 研究目标 6
1.4 研究基本内容 6
第2章 传统危害分析技术的介绍与评估 7
2.1 故障树分析技术FTA 7
2.1.1 介绍与概述 7
2.1.1 总体分析评价 8
2.2 事件树分析技术ETA 11
2.2.1 介绍与概述 11
2.2.1 总体分析评价 12
2.3 失效模式和影响分析技术FMEA和FMECA 13
2.3.1 介绍与概述 13
2.3.2 总体分析与评价 14
2.4 针对传统分析技术的总结评价 15
第3章 系统理论过程分析方法STPA 18
3.1 STAMP事故因果模型 18
3.2 STPA危险分析技术 19
3.2.1 分析特点与优势 19
3.2.2 分析构成与具体步骤 21
第4章 案例分析研究 24
4.1 车辆自适应巡航控制系统(ACC)的系统简介 24
4.2 STPA第0步:建立分析基础 25
4.2.1 研究案例描述 25
4.2.2 确定分析系统的事故与危险 28
4.2.3 构建ACC系统的控制结构框图 29
4.3 STPA第1步:安全分析与约束 30
4.3.1 确定危险控制行为 30
4.3.2 构建相应的安全约束 32
4.4 STPA第2步:明确原因与完善约束 36
4.4.1 确定系统过程模型变量 36
4.4.2 确定危险情景 37
4.4.3 完善相应的安全约束 42
4.5 形式化软件安全要求 44
第5章 总结和展望 46
5.1 总结 46
5.2 展望 46
参考文献 47
致谢 50
第1章 绪论
现代汽车正在使用越来越先进的由软件所控制的安全功能,例如车道保持辅助、自动紧急制动等逐渐增加的自动或半自动系统。这些系统软件不仅复杂而且规模还在不断地增大,一家制造商报告了2005年的车型平均大约有200万到300万行软件代码[1],2007-2008的车型平均大约有600万行代码[1]以及2013年的车型平均有1600万行代码[2]。
这些安全功能软件中包含了很多越来越复杂的控制行为,并且物理约束很少能够限制软件元素的复杂性。虽然这使得许多在过去不可能实现的创新功能得以实现,但额外的复杂性使得开发这些系统和执行适当的安全分析变得更加具有挑战性。NHTSA的数据显示,越来越多的软件相关问题发现得太晚了,软件相关问题经常在开发,测试后期甚至在生产期间被发现,这时当问题的解决维修代价是最为昂贵的,并且所提供的实际解决方案范围最为有限。因此汽车行业对高效安全分析技术的需求日益迫切。
传统的安全分析方法故障树分析方法FTA(Fault Tree Analysis)、故障模式与影响分析方法FMEA(Failure Mode and Effects Analysis)以及HAZOP(Hazard and Operability Analysis)是基于可靠性理论、顺序模型提出的,具体适用于传统简单线性系统的安全分析,主要分析源头的是部件的故障,但在现代的复杂系统中,事故原因不仅仅是组件的故障,还有软件要求错误、硬件错误、人工错误与环境影响,尤其是系统各个组件之间的相互作用,传统的安全分析方法并不能完全确保安全。
Leveson提出了一种基于系统控制理论的新模型STAMP(Systems-Theoretic Accident Model and Processes),它充分考虑和分析了系统各个组成部分之间的相互作用,克服了传统安全分析技术的问题,并且在STAMP模型基础上提出STPA分析技术,这是一种能够分析复杂系统并捕捉子系统之间相互影响关系的自上而下的分析方法,其基于系统理论识别系统中存在的危险,实施安全约束,提供安全限制以减轻危害,它不仅可以分析已发生的事故,还可以防止系统中可能发生的事故。
1.1 研究背景
1.1.1 汽车电子系统发展的特点
现代汽车由越来越多先进的电子功能组成,旨在增强车辆动力,提高驾驶员、乘客和行人的安全性,并提供驾驶舒适性和便利性。这些功能的示例包括:自适应巡航控制,电子节气门控制以及防抱死制动等[3]。电子产品的成本占汽车成本的百分比从20世纪70年代的5%增长到2005年的15%。随着混合动力汽车和电动汽车的推出,在不久的将来电子成本可能会增长到汽车总成本的80%[4]。
现代汽车电子系统的第一个特点软件控制,复杂的软件成为众多新型汽车电子功能的核心。今天的高级车载有大约80个微处理器,代码行数多于波音787梦想飞机或联合攻击战斗机[4]。过去机械系统主导汽车设计时,设计可能性受到物理世界的限制,如包装承载空间,热传递,噪音等,同时制造周期、设施与工艺投资的成本进一步限制了设计更新的数量和频率。对于软件来说物理世界的这些约束并不存在[5]。工程师现在可以在最后一刻添加或删除软件功能,并设计机械系统无法实现的复杂逻辑。
现代汽车电子系统的第二个特点是应用了多种分析技术进行安全分析与评测,大多数技术和解决方案都是新的并且正在迅速变化。电子和软件的生命周期比机械系统的生命周期短得多[6]。可以依靠的专家经验是有限的,并且进行概率评估的数据也是有限的。
现代汽车电子系统的第三个特点是电子系统自动化,许多新的电子设备功能可以自动化驾驶员的任务,以提高安全性并减少驾驶员的认知负荷。例如自动泊车系统,通过数据的采集与处理分析得到自动泊车策略,通过控制汽车行驶与转向等系统进行自动泊车,而驾驶员只需要控制车速。
第四个特征是相关标准与规范并不详细具体,没有系统性。大多数现有的美国乘用车安全法规和标准着重于个别车辆在发生碰撞时保护乘客和行人的能力(例如FMVSS)。直到2011年11月,才出版了汽车电气,电子和软件系统的第一个安全标准(ISO26262)[7]。对该标准的全面审查表明,虽然它迈出了解决复杂电子和软件系统挑战的第一步,但其大多数推荐实践仍然深深扎根于机械工程设计的实践中。遵循该标准并不能提供足够的安全保证,尽管它可以用来减轻制造商的法律责任[8]。
1.1.2 汽车电子系统发展带来的挑战
汽车电子系统的飞速发展不仅仅为人类带来极大的便利与好处,同时也因其发展的特点给工程设计与分析领域工作带来极大得挑战,带来的挑战总结来说如下所示:
(1)软件密集型:软件前所未有的复杂性;不能穷尽地测试所有的状态;软件错误是设计错误,而不是随机组件故障。
与硬件物体系统不同,软件在设计操作方面上极大得摆脱空间结构的束缚,具有较高的自由度。但是这种看似无限的自由和可能性的软件设计存在着一些缺陷。首先,软件的设计自由度导致了大量的代码行[4]和非常复杂的系统交互[9],它们挑战了人类的认知极限。当某些设计决策的影响无法完全理解时,可能会发生可能影响系统质量和安全的设计错误。其次,由于软件的复杂性,并非所有软件状态都可以进行详尽的测试。第三,软件不像硬件组件那样随机失败。软件错误是由于缺少或不适当的要求导致的设计错误[5]。因此,专注于硬件组件随机故障的传统可靠性工程方法,如Robust Design[10]和Design for Six Sigma[11]已不再适用。
(2)汽车上的电子和软件快速地更新和改变,使得电子系统软件故障的出现更为频繁,存在许多相关的问题有待解决。
保修数据显示,大约50%的汽车保修成本现在与电子产品及其嵌入式软件相关,使美国汽车制造商损失约350美元,欧洲每辆汽车损失约250美元[4]。其中许多问题都是麻烦未识别(TNI-Trouble not Identified)[12]。在2000年大约有382,000辆美国车辆因为与软件相关问题而召回,而2013年为1300万辆,一年后为4800万辆[13]。事实上,有些人声称高达50%的汽车保修成本与电子产品及其嵌入式软件有关[14]。
(3)车辆功能的自动化程度不断提高,代替驾驶员执行相关操作的同时,也为驾驶员带来了认知与操作上的困扰。
Billings[15]、Starter和Woods[16]认为,当技术系统变得“模式丰富”时,它会增加对操作者的认知需求,操作员很容易地出现“模式错误”。各种自动化功能高速高频率的聚集在一起产生的驾驶环境对于大多数驾驶员来说是认知性的负担与陌生,驾驶员很难有效迅速的掌握这些操作。此外,不同的原始设备制造商OEM(original equipment manufacturer)也可能在他们的车辆中以不同的方式实现这些功能,进一步混淆未经训练的驾驶员[17]。因此,设计方法必须考虑到操作者的认知能力和人类学习模式[18][19]。
(4)汽车电子软件安全相关的标准与规范不够完善,没有明确的技术手段对汽车软件系统进行检测与验证。
以上是毕业论文大纲或资料介绍,该课题完整毕业论文、开题报告、任务书、程序设计、图纸设计等资料请添加微信获取,微信号:bysjorg。
相关图片展示: