综合FuSa和SOTIF的无人驾驶扩展HARA分析方法

基于场景的危害分析和风险评估(HARA)是一种有效且现实的自动驾驶能力识别方法（例如SAE/NHTSA自动驾驶分级）。对于自动驾驶，当系统通过传感器（融合）和执行器与环境发生深度交互时，必须将危险因素从E/E系统失效行为扩展到包括网络安全在内的预期功能安全（SOTIF）。基于场景的HARA可以分析考虑功能安全(FuSa)和SOTIF的危害，但需要以系统化的方式表示它们之间的关系和相互依赖性。此外，系统理论过程分析(STPA)等强大的方法用于识别、定义和分析危害，但不能用于风险评估。因此，我们提出了一种融合FuSa和SOTIF的扩展HARA。特别的，我们考虑了(a)功能场景表示和场景选择（例如在HARA中描绘基本场景和事故场景）和(b)为每个HAD功能同时找到FuSa和SOTIF的关系和交互的方法。此外，我们通过在应用案例（横向导航辅助系统）中执行该过程来演示基于场景的扩展HARA方法。

1.简介

最近的技术趋势清楚地表明，汽车行业在开发高度自动驾驶(HAD)功能和/或ADS时将安全视为最高优先级。ADS车辆能够自主进行纵向和横向操控，或在驾驶时为驾驶员提供辅助。ADS涉及的领域不仅限于车辆的自动化能力，还包括安全应用。

因此，ADS的整体安全性成为研究的焦点。

自动驾驶的级别根据车辆的驾驶能力进行分类。汽车工程师协会（SAE）分了五个级别。例如，3级自动化(L3)要求车辆可以在有限条件下控制车辆，除非满足所有要求的条件，否则不会自主操控，这与美国国家高度公路交通安全管理局（NHTSA）的3级自动化（有限自动驾驶）相当。总的来说，整体安全是功能安全(FuSa)、预期功能安全(SOTIF)和网络安全的结合。SOTIF解决了ADS车辆的功能限制，即不存在因预期功能的功能不足以及合理可预见的人员误用而导致的危害而导致的不合理风险。FuSa保护ADS车辆的E/E失效行为。目前，行业的最新技术提供了不同的方法和流程来确保汽车安全。

为了提升ADS的鲁棒性，需要在开发的不同阶段应用多种安全方法。这里出现的问题是，这些方法是否(a)支持识别所有可能的安全边界条件，以及它们是否(b)足以确保ADS的安全。此外，如何弥补HAD功能的不足仍然是一个挑战。由于ADS的复杂性，需要开发新的方法来应用所需的方法或扩展方法。我们从ADS HARA中生成的场景数量及其可用性来看，面临着应用该方法的困难。考虑这一方面，我们的工作侧重于基于场景的HARA方法，并扩展到ADS中使用。基于车辆功能的HARA是安全开发中强制性的初步方法。它对考虑运行设计域(ODD)的ADS开发有很大影响，也支持对ADS未知不安全区域的调查。

本文提出了一种方法，使得基于场景的HARA能够通过使用车辆的基本图和事故图来实现对场景的轻松理解。

此外，通过复杂的传感器和处理算法减少了基于功能的HAZOP关键字指标的场景数量。此外，我们还结合FuSa对HAD功能认真的进行了基于场景的ADS HARA检查。作为衍生作用，它可以作为网络安全中基于场景的威胁分析的有力证据。

2.术语定义和危害理论

2.1.术语定义

安全领域中使用的词汇是特定表达所必需的。为了避免误解，本章根据当前最新的技术定义了与HARA相关的词汇。

根据ISO 26262:2018，安全是“不存在不合理的风险”，危害被定义为“由相关项的失效行为引起的潜在伤害源”，而危害事件被定义为“危害和风险的组合”。

ISO 26262:2018将HARA定义为“识别和分类相关项危害事件的方法，并规定与预防或缓解相关危害相关的安全目标和汽车安全完整性等级（ASIL），以避免不合理风险”。

根据SOTIF（ISO PAS 21448:2019），SOTIF被定义为“不存在由于预期功能的功能不足或合理可预见的人员误用而导致危害从而带来的不合理风险”，而触发事件被定义为在某个驾驶场景中特定条件下可能导致危害事件的后续系统反应的发起者。

网络安全被定义为“为保护网络物理系统免受未经授权的访问或攻击而采取的措施”。

2.2.危害理论

基于场景的扩展HARA基于Ericson（2005）建立的危害理论，用于和HAZOP关键字方法生成事故场景。根据Ericson的说法，危害是三个部分的组合，称为危害三角形，如图1所示。

(i)有害元素(HE)：产生危害推动力的基本有害资源（例如有害能量来源）。

(ii)触发机制(IM)：导致危害发生的触发或起始事件。

(iii)目标/威胁(T/T)：容易受到伤害和/或损害/事故并预期会受到相应的损害和损失的人或物。

危害的组成部分，特别是IM，可能只会在特定的时间序列中触发危害，从而导致事故。威胁可能是由于有可能发生危害情况的人或物的资产（例如CAN、物理层、信号等）导致的。危害事件是通过单个触发事件或组合创建、并导致的潜在威胁或事故。危害和事故之间的关系如图2所示。

图1. Ericson (2005)理论的危害三角形

图2. Ericson (2005)危害理论的危害组件

3.基于场景的HARA

基于场景的HARA是ADS从功能到应用的一般评估过程。

基于场景的HARA系统地进行危害评估，支持分析特定情况下特定车辆功能的危害发生过程中的原因和影响，从而填补认知空白。

在基于场景的HARA描述中，研究了系统当前状态与交通状况（自我和其他道路使用者的位置，交通信号等）、环境（道路类型、路面、天气等）和基础设施（施工现场、隧道等）的关系。感知情况的变化随车辆和道路上其他道路使用者的某些行动和外部事件而变化。基于初始情境（感知），对最终感知与可能的危害触发事件进行形式化，并分析风险。

本文遵循FuSa和SOTIF等效的HARA方法。通过FuSa和SOTIF的结合，研究了最终意义上的场景以进行危害和风险估计。

风险因素通过严重度(S)、暴露度(E)和可控度(C)来衡量，以确定危害事件(HE)的ASIL。HE可能是由与E/E系统故障相关的失效行为和/或在特定运行情况下考虑的功能限制（SOTIF区域）引起的。

3.1.相关项定义

相关项定义的必要性是找出具有很大安全影响的系统或系统的组合，需要应用全生命周期安全活动。一个相关项实现了车辆全部功能或部分功能。比如转向、加速和减速等主要车辆功能被定义为相关项，并在基于场景的HARA中进行考虑。图3显示了辅助功能（例如ELV）和传统功能（例如ACC）的相关项。

图3.ADS中的相关项定义

4.基于场景的扩展HARA

4.1.概念

就真实世界场景而言，自动化功能的复杂性正在急剧增加，在这些场景中，具有自动化功能的车辆会出现故障或面临安全反应困难。此外，要了解场景生成的ODD，需要对HAD功能采用综合分析方法。

图4描述了根据功能安全和SOTIF（包括网络安全）从相关项到危害/威胁场景生成的HARA分析和细化的过程。

HARA的扩展方法支持对ADS的复杂性分解，并考虑到第2.2节中提到的危害理论和基于汽车功能安全的风险评估，列出了各种情况。尽管HARA的新方法不会减少验证和确认（V&V）过程，但它通过为ADS开发过程的安全文化提供有力证据，为V&V过程建立信心。

图4.FuSa和SOTIF HARA开发流程

4.2.基于场景的扩展HARA流程

危害识别方法分为两部分：(1)功能安全和(2)SOTIF（包括网络安全）。对于这两个方面，基本场景是相同的。基于功能的功能不足导致的触发事件向下传递以识别危害。图5显示了基于场景的扩展HARA的危害识别过程。SOTIF区域侧重于HAD功能中使用的或用于支持驾驶员的复杂功能（雷达、激光雷达传感器）。FuSa区域覆盖了基本的车辆操作。

图5.基于场景的扩展HARA方法

4.2.1.HAZOP方法–FuSa和SOTIF

在基础系统工程的开始，车辆级功能被表征为变道行为、横向引导等。车辆功能属性取决于驾驶情况，例如在具有不同环境条件的高速公路或城市道路上行驶。HAZOP关键字（如太早/太晚、停车太快等）在车辆级功能中考虑，系统影响通过头脑风暴、过往经验和研究的知识进行分析。

表1表示使用HAZOP关键字方法和变道操作时车辆可能出现的错误行为。E/E系统失效可能导致危害事件，需要根据感知场景评估风险。

表1展示了传统的HAZOP关键字方法用于识别车辆的错误行为。本文使用变道操作作为一个用例，该用例考虑了3级(L3)HAD功能。在基于场景的危害分析中，HAZOP关键字有助于生成评估风险的情境。

表1.基于FuSa HAZOP关键字方法的错误车辆行为

对于SOTIF，HAZOP关键字方法用于识别功能单元（复杂传感器、传感器融合、复杂算法等）的功能不足或局限。SOTIF通过外部和内部环境感知来增强ADS安全。就ADS本身在某些危害情况下的可控性而言，风险等级已经很高。毫无疑问，环境对传感器和执行器起着致命的影响。

由于感知传感器架构的复杂性，有必要从输入到逻辑到输出来研究他们的功能单元。功能单元的任何部分发生故障都可能导致危害情境。在开发之初，这种调查不仅有助于了解情况，而且有助于选择合理的传感器。表2显示了基于输出的可能引入危害事件的传感器不足。

表2.基于HAZOP关键字方法的SOTIF车辆功能不足

下一步，通过预选场景定义综合FuSa和SOTIF的场景组合。在E/E系统功能错误相关的HAZOP分析中，与事故场景无关的失效不在SOTIF的考虑范围内。如果与功能单元无关的HAZOP关键字不能对车辆功能产生影响——这意味着该功能单元不能触发任何危害事件——就不需要进一步考察。也就是说，SOTIF关键字与危害场景的触发事件相关。

初始预选方法通过从SOTIF区域收集具有影响的危害事件与FuSa一起进行ADS危害分析，并根据情景估计风险等级，从而减少了工作量。基于SOTIF触发事件和车辆功能的预选指标很容易代表HAZOP关键字方法，用于选择可能的安全关键场景。表3说明了基于HAZOP关键字的预选指标，包括触发事件(TE)和与HAZOP关键字无关(n.r)。

表3.FuSa和SOTIF基于HAZOP关键字方法的预选指标

在基于场景的HARA中，将可预见的误用视为与车辆的人为可控性相关的触发事件。为了避免网络安全方面的文本重叠，我们在文档的其余部分不谈论威胁，而只谈论顶事件(TLE)。此外，我们放弃了可能的目标，因为道路使用者无论如何都会卷入可能发生的事故。因此，我们将危害场景的定义为基线场景（基本场景）和风险（危害）的组合。

在功能单元的参与下，实现基于车辆行为的不确定性无疑是危害评估中的主要挑战。仅仅用文字描述来表达像ADS这样的复杂系统的危害事件是不够的。HAD功能受环境以及传感器、执行器性能的影响。

基于可能的危害事件创建一组功能场景，TLE场景表示为图6中的事故图像场景。

图6.基于场景的扩展HARA的事故场景

此外，还考虑了TLE所需的场景和条件中的系统影响。考虑了人类作为驾驶员和机器作为驾驶员的暴露度、严重度和可控度。此外，对于每个TLE场景，风险评估是在考虑到伤害程度、发生概率和ADS可控性（有和没有人作为驾驶员）的情况下进行的。根据功能安全的一种统计分析方法，风险可以描述为三个参数相乘的函数：危害事件的发生频率（f），在特定时间内避免严重或损坏的可控性（C），以及潜在的伤害或损害的严重性（S）。

风险因素按五个ASIL分类。这种风险越高，降低该风险和更高级别ASIL的要求就越高。QM的分类等同于“无风险”。这种分类假设通过质量管理可以充分降低风险。

此外，创建一个分层信息表将有助于根据自动化级别创建一组安全关键场景列表，并支持以系统的方法在软件中对场景进行建模。其想法是建立一种有效的方法，将TLE反映为考虑道路类型、车辆操控和环境等基本层的最终感知场景。因此，基于场景的扩展HARA通过将分层信息链接到事故场景的系统过程，在一定程度上做出贡献。

5.典型案例

在高度自动驾驶车辆的各种辅助系统中，横向引导辅助功能是其中之一，可能的用例包括驾驶时超车、防撞、高速公路或城市道路变道。基于横向引导系统的相关项有：

(i)转向

(ii)加速

(iii)减速

5.0.1.SAE L3车辆变道操控

基于场景的扩展HARA从HARA的传统方法开始，考虑基本的车辆操控功能（例如横向导航）：缓慢的从左侧车道切入。换句话说，从左车道向右车道转向速度较慢，自车速度较快，但向右车道变道的速度较慢。在本案例中，变道做为基本的车辆功能。基于车辆功能建立了SOTIF和FuSa场景组。

基于SOTIF危害影响分析将功能缺陷识别指向了雷达、相机等环境传感器。环境传感器在检测道路上的固定或移动物体方面的失效，通过SOTIF HARA进行全面分析。

使用图像传感器检测运动物体的示例分为输入（摄像机图像）、逻辑（处理单元）和输出（处理后的摄像机图像），如表4所示。

表4.SOTIF –功能描述和功能单元

环境传感器的故障和/或不足是根据第4.2.1节中提到的HAZOP关键字方法产生的。两种不同的车辆驾驶情况用图形表示（见图7）。

基于HAZOP关键字的预选指标用于查找基于HE的FuSa和SOTIF方面，如图8所示。

图8中的表格代表了可能的TLE场景，例如“A-A-t1”。第一个“A”表示车辆功能场景；第二个“A’表示SOTIF功能，列表“t1”表示一个触发事件；最后，基于场景的HARA将每个HE视为类似“AA-t1”的风险评估。

图7.基于场景的扩展HARA的基本场景

图8.基于FuSa和SOTIF的预选场景

基于HAZOP关键字方法考虑了基于可能车辆功能的TLE，并在图形（见表5）中对每个可能的偏差表达了可能的事故场景，从而使HARA易于理解。

在表5中，对TLE情景进行了解释，包括严重度的理由、暴露度的理由以及人/机器的可控性理由。在每个TLE中都考虑了机器和人的可控性以及环境触发因素。生成ASIL级别的安全目标。此外，SOTIF方面考虑了与人相关的SOTIF触发事件（见表6）。

表5.TLE的风险评估（事故场景）

表6.SOTIF触发相关性（环境和人）

6.结论

基于场景的HARA以及通过图表表示场景的扩展很直观，但执行起来很费力。

此外，目前的技术无法对系统复杂性方面的方法的充分性提供任何声明，但表明了有必要在系统开发中考虑环境方面。不可否认，在基于场景的HARA开发过程中，需要软件工具支持构建事故图像或视频。一种方法是在软件工具中构建环境并识别安全关键场景。然后，将结果用在安全设计软件（如REANA(点击了解)）中，软件的系统层次结构可用于处理系统复杂性并确保充分性。

尽管创建安全关键场景数据库是重要挑战之一，但它将在安全开发中发挥重要作用。