本文通过使用STPA确定了可能存在的驾驶员-车辆交互不充分后,提出了相应的要求,以避免不安全行为,从而预防危险。对于复杂系统,安全评估已经从理解“系统如何工作”转变为“系统如何产生故障”。重点介绍在“创建系统控制结构(对控制过程建模)”中设计的通用控制回路模型。
其中由控制算法做出的控制动作影响当前受控过程,然后受控过程中最新的信息又会反馈给过程建模,影响控制算法的下一步决策;在第四部分确定损失场景、对应原因和要求时,对于本文分析的人机交互领域提出了一个用于识别损失场景的人-控制器模型如图:
此处,将STPA分析方法的过程信念模型与人类做出判断的过程相结合,对于不安全控制动作提出了三个问题:
-
为什么驾驶员要选择当前的控制动作(原因)
-
驾驶员对当前系统/环境的认知是什么
-
驾驶员是如何得到当前的认知的
文章是如何使用STPA分析人机交互的安全性的?
A.列出损失表格与车辆级危险列表
B. 建立控制系统,如图:
C. 分析的重点是安全驾驶员和BBW系统之间的相互作用
重点考虑控制结构的三种控制动作,包括踩下制动踏板,打开和关闭位于BBW系统内的电子驻车制动器(EPB)。
踩下制动踏板上的一些UCA如表格所示。
D. 在鉴别损失场景和要求中,文章举了具体的例子来说明该过程。
例如对于UCA-1,当汽车进入需要以较低速度行驶的区域且ADS系统没有开启,驾驶员没有踩刹车。首先需要了解驾驶员选择该控制动作的原因:
-
C-1:安全驾驶员因其驾驶技能而不踩下制动踏板。
-
C-2:安全驾驶员决定不踩下制动踏板,因为他必须遵守规则。
-
C-3:安全驾驶员决定不踩下制动踏板,因为他了解车辆系统。
对于上述每一个原因,驾驶员了解或知悉什么?(对于C 3)
-
B-3.1:安全驾驶员认为车辆速度仍然低于标称速度。
-
B-3.2:安全驾驶员认为标称速度没有变化。
-
B-3.3:安全驾驶员认为ADS正在运行,并会自动减速。
驾驶员是如何获得他当前的了解或认为的?(对于B 3.3)
-
CF-3.3.1:HMI上的ADS状态显示不正确。
-
CF-3.3.2:HMI上的ADS状态未正确更新。
-
CF-3.3.3:ADS开关按钮执行多种功能,使驾驶员感到困惑。
下图显示了处理因果因素时驾驶员的心理模型:
为了避免CF-3.3.2的后果,提出两点要求:
-
ADS被禁用时立即通知驾驶员(预防)
-
ADS使用状态未正确显示在HMI上时,马上显示警告信息通知驾驶员(检测)
第二个UCA当前速度仍然过高,安全驾驶员踩下制动踏板的力度不足,无法在前方急转弯处操纵,分析如下:
-
C-1:由于驾驶技术原因,安全驾驶员未充分踩下制动踏板。
-
C-2:安全驾驶员没有踩下足够的制动踏板,因为他必须遵守规则。
-
C-3:由于安全驾驶员对车辆系统的了解,他没有充分踩下制动踏板。
对于上述每一个原因,驾驶员了解或认为什么?(对于C 3)
-
B-3.1:安全驾驶员认为车辆已经达到急转弯的安全速度。
-
B-3.2:安全驾驶员认为转弯没有那么急。
-
B-3.3:安全驾驶员认为ADS正在运行,这有助于减速。
驾驶员是如何获得他当前的了解或认为的?(B 3.2):
-
CF-3.2.1:车内导航地图显示的道路结构不正确。
-
CF-3.2.2:车内导航地图未正确更新。
-
CF-3.2.3:车身设计增加了驾驶员对周围环境的安全盲点。
下图显示了处理因果因素时驾驶员的心理模型(CF-3.2.1)。
由于盲点,安全驾驶员不知道前方道路有急弯。由于车内地图是前方道路结构安全驾驶员收到的唯一信息,他相信它,尽管它错误地显示了前方的平滑弯道。因此,驾驶员没有将制动踏板踩得足够深,导致车辆处于不安全状态。为了避免(CF-3.2.1)的后果,提出以下两项要求:
-
车内导航地图应始终与现实道路同步。(R-1)(预防)
-
当实际道路和地图不匹配时,HMI应通知驾驶员。(R-2)(检测)
UCA-5:当车辆接近急转弯时,安全驾驶员踩下制动踏板太晚,且当前速度仍然太快,无法进行安全操纵。(H-2,3)。与前两个示例类似,我们首先了解人工操作员选择CA的原因:
-
C-1:由于驾驶技术,安全驾驶员踩下制动踏板太晚。
-
C-2:安全驾驶员踩下制动踏板太晚,因为他必须按照程序操作。
-
C-3:安全驾驶员踩下制动踏板太晚,因为他了解车辆系统。
对于上述每一个原因,驾驶员了解或认为什么?(C-2):
-
B-2.1:安全驾驶员认为有关何时踩下制动踏板的程序是正确的(可能是不正确的)。
-
B-2.2:安全驾驶员认为他正确地遵循了踩下制动踏板的程序。
驾驶员是如何获得他当前的了解或认为的?(B-2.2):
-
CF-2.2.1:安全驾驶员对程序的理解不正确。
-
CF-2.2.2:该程序过于复杂,安全驾驶员在踩下制动踏板之前无法理解或正确记住。
下图显示了处理因果因素时安全驾驶员的心理模型(CF-2.2.2)。
安全驾驶员意识到前方道路有急弯——安全驾驶员也知道该程序涵盖了此类情况。但是,由于程序的复杂性以及驾驶员错误地认为应始终按照程序踩下制动踏板,因此踩下制动踏板太迟。由于该程序是安全驾驶员必须遵守的唯一“命令”来源,因此在对BBW系统采取任何控制措施之前,他必须遵守该程序,而不管他需要花多少时间来理解或记忆。因此,安全驾驶员没有在正确的时间踩下制动踏板,导致车辆处于不安全状态。为了避免(CF-2.2.2)的后果,提出以下两项要求:
-
预防要求(CF-2.2.2):关于何时以及如何踩下制动踏板的程序应简单明了。(R-1)
-
检测要求(CF-2.2.2):如果程序过于复杂,安全驾驶员应尝试停车,而不是花时间理解程序。(R-2)
几点收获:
-
继续掌握STPA分析方法,按照STPA四步顺序分析后,对每个STPA分析结果(系统级别的风险、违反该分享的控制动作、出现该控制动作的原因、因果因素、对系统的要求)分配编号并建立追溯图,这样大大提高了系统的可维护性和可发展性
-
建立因果因素模型,文中第二部分第四步将STPA分析方法的过程信念模型与要分析的方向相结合,在建立控制模型中也是如此,很有借鉴意义。
当前的STPA方法仍然依赖于手动输入以识别UCA,因此分析的质量和覆盖范围取决于分析员的知识和经验,需要进一步的工作来确定识别过程。初步认为STPA提出的要求也可作为ISO21448的一部分,STPA可进一步扩展用于测试的目的。
来源:轩辕实验室
