P1_M3_L3 Safety Frameworks for Self Driving（自动驾驶安全框架）

Content

1. Generic Safety Frameworks（常用的安全框架）
- 1.1 FTA（Fault Trees Analyses，故障树）
- - 1.1.1 表示方法
  - 1.1.2 概论计算
- 1.2 FMEA（Failure Mode and Effects Analyses，故障模式与影响分析）
- - 1.2.1 分析思路
  - 1.2.2 执行步骤
- 1.3 HAZOP（Hazard and Operability Analysis，危险与可操作性分析）
2. Autonomous Safety Frameworks（自动化的安全框架）
- 2.1 Functional Safety（功能性安全）
- 2.2 Functional Safety Process（确保功能性安全的过程）
- 2.2 SOTIF（Safety of the Intended Functionality，预期功能的安全性）

1. Generic Safety Frameworks（常用的安全框架）

常用的安全框架有三种：
FTA（故障树分析）、FMEA（故障模式与影响分析）、 HAZOP（危险与可操作性分析）

1.1 FTA（Fault Trees Analyses，故障树）

故障树是一种自上而下分解问题的结构。
例如：一次碰撞的发生可能是软件问题或硬件问题；
软件问题可能是决策层、规划层、控制层等等的故障，硬件问题可能是机械结构、电子元件等等的故障；
其中机械结构又有可能是油门、挡位、制动器等等的故障。
直到不能进一步分解问题为止。

1.1.1 表示方法

下图是一个通用表示，其中方框表示较大的事件（即可再分事件），另外两个是与、或符号，圆圈表示最后的最小时间（即不可再分事件）。通常需要好几层才能表示。另外还有在《现代设计》一书中还有割集、最小割集等等定义，这里不详细阐述。

1.1.2 概论计算

概论计算的过程是自下而上的。

事件有一个发生故障就导致系统失效 → 系统失效概论 = 多个事件发生故障的概论相加
事件一起发生故障才能导致系统失效 → 系统失效概论 = 多个事件发生故障的概论相乘

1.2 FMEA（Failure Mode and Effects Analyses，故障模式与影响分析）

FMEA是一种自下而上的总结过程。
故障模式 → 从最小事件入手，假设其发生故障
影响分析 → 最小事件的故障模式给系统带来的所有可能影响

1.2.1 分析思路

（1）首先分类故障模式，分类的依据如下：
① 所导致的影响的严重性；
② 发生的频繁性；
③ 检测故障的难度。

（2）按照分类排序，优先解决排序靠前（棘手）的故障。

1.2.2 执行步骤

（1）与专家讨论，根据自动驾驶系统的等级制作FMEA表；
（2）分析整个系统，列出所有可能的故障模式；
（3）对于一个故障模式，分析其影响，打一个从0到10的严重分数S，10表示最严重；
（4）对于一个故障模式，分析其发生的频率，打一个从0到10的频率分数O，10表示发生最多；
（5）对于一个故障模式，要解决首先要能检测，因此给一个故障模式打一个从0到10的检测难度分数D，10表示最难检测；
（6）最后可以对每一个故障模式打出最后的分数，RPN = SOD。分数越高，排序越前。

1.3 HAZOP（Hazard and Operability Analysis，危险与可操作性分析）

HAZOP是FMEA的一个简化形式。
它需要的更多是想象（即非严格的科学依据），例如上面的打分，它会变成一个形容词来大致划分等级。所以大多时候是在分析的早期进行初步的分析。

2. Autonomous Safety Frameworks（自动化的安全框架）

2.1 Functional Safety（功能性安全）

功能性安全指：不存在不合理风险的情况下，系统发生故障的安全性。（也就是：车辆在常规场景中运行时，系统的安全性）

为什么要加上不存在不合理风险的条件：例如在红灯时直行进入路口，这是非常危险的，系统发生故障的概论将会大大增加（例如因为被撞击），但这并不能体现所设计的系统的真实安全性。所以应该在正常场景中去评估一个系统的安全性，称为功能性安全。

2.2 Functional Safety Process（确保功能性安全的过程）

了解即可

2.2 SOTIF（Safety of the Intended Functionality，预期功能的安全性）