2024, Vol. 41
近年来,由于预期功能安全(Safety of the Intented Functionality,SOTIF)造成的车辆安全事故层出不穷,例如在2018年Uber发生的无人驾驶事故[1],直接造成了人员伤亡及财产损失,由于感知、决策等功能不足所导致的自动驾驶及辅助驾驶事故也反映了目前SOTIF 问题的严峻性[2]。预期功能安全问题来源于合理可预见的人为误用及系统功能局限和功能不足[3],触发条件的识别生成作为预期功能安全活动中重要的一环,对于保障系统安全性,提升系统安全需求意义重大。许多学者对ADAS系统的触发条件识别进行了相关研究。Zhao等[4]对自适应巡航系统(Adaptive Cruise Control,ACC)利用运行设计域分层逻辑及系统存在的功能局限性进行了SOTIF触发条件的识别研究,但其主要从感知层面进行了功能不足的分析,未考虑不安全控制行为的分类且未进行触发条件分类。Li等[5]以车道保持系统(Lane Keeping Assist,LKA)为例,使用系统过程理论分析方法进行触发条件生成研究,但仅从系统的控制架构角度出发识别触发条件,未考虑系统的状态转换中存在的不安全因素。Zhu等[6]从场景出发结合系统过程理论分析方法(Systems-theoretic Process Analysis,STPA)建立控制模型识别触发条件,并进行了触发条件的描述及分类,但未考虑系统的状态转换过程中存在的不安全因素。Xing等[7]将有限状态机理论与STPA方法进行结合,识别了系统状态转换过程中存在的包含触发条件的危害事件,但未考虑系统各组件交互带来的危害事件。目前还缺乏较为系统全面识别触发条件的方法,如何系统化且规范化分析、识别、描述触发条件是一个十分重要的问题。此外,触发条件的合理分类及标签化方式也需要结合到触发条件生成机制之中,便于大量触发条件的管理及应用。
鉴于以上问题,本文提出了一种融合有限状态机理论及STPA方法的触发条件生成方法,建立了一种拓展型系统控制结构,将有助于触发条件的识别及管理。
1 相关工作 1.1 安全分析方法传统的安全分析方法包括故障树分析方法(Fault Tree Analysis,FTA)、失效模式与影响分析(Failure Mode and Effects Analysis,FMEA)、危害与可操作性分析(Hazard and Operability Analysis,HAZOP)及STPA。FTA分析方法是从系统顶层风险出发,由上而下地通过构建事件链进行安全分析,然而有效地构建事件链难度较大,对于专家知识经验及系统理解较为依赖,并且FTA侧重关注功能安全问题及系统软硬件失效的问题[8],而非预期功能安全问题。FMEA分析方法假定事故的发生是以特定时间顺序发生的离散事件所造成的结果[8],从具体的系统失效或者组件故障出发,自下而上地构建智驾系统事件链进行安全分析,与FTA方法一样存在构建事件链较难的问题;同时在进行FEMA分析时,需要详细的系统设计规范,而详细全面的系统设计规范需要依赖测试。前期的测试部件及手段所覆盖的系统范围小,所以在系统开发初期无法提供详细全面的功能需求和设计规范。并且FMEA没有考虑系统的动态行为,所以FMEA对于分析功能愈加复杂的高级辅助驾驶系统(Advanced Driving Assist System,ADAS)存在局限性。HAZOP方法是一种基于系统偏差引导词的结构化和系统化分析方法,通过专家小组系统地辨识各种潜在预期功能偏差,分析各偏差的原因以识别相应的危害进行安全分析。HAZOP方法广泛应用于化工过程工业的危害分析[9],它使用引导词来帮助分析人员找出顶层损失的潜在原因,常利用HAZOP与其他安全分析方法结合,通过合理划定引导词以辅助分析人员进行结构化安全分析。其中HAZOP引导词的分类和介绍如表1所示,根据自动驾驶系统控制特征及控制行为特性进行引导词的选择。
|
表 1 HAZOP引导词及含义 Table 1 HAZOP guide words and their meanings |
STPA是一种基于系统理论事故模型与过程的安全分析方法[9]。STPA关注系统的整体结构和控制以识别可能的安全性约束、限制和控制,以避免系统失控,利用系统和控制理论从系统的控制结构出发识别出潜在不安全控制行为,进而分析出系统潜在危害源,其分析流程主要有5个步骤[10],如图1所示。第一个步骤定义分析目的及范围是为了识别损失、车辆级危害、车辆级约束和车辆级SOTIF要求,对控制系统进行建模,识别控制结构中的不安全控制行为(Unsafe Control Action, UCA),进而找到不安全控制行为发生的致因场景,最后提出改进措施并增加系统安全约束。相比于其他安全分析方法,STPA方法适用范围更广,不仅适用于系统的早期开发阶段而且适用于系统运行阶段,且有效地减少了对智驾知识及专家经验的依赖,并且STPA可以结合有限状态机理论进行系统动态行为的分析。
|
图 1 STPA分析步骤 Figure 1 Analysis steps of STPA |
本文对以上安全分析方法进行的对比总结如表2所示。鉴于以上各分析方法的适用范围及相应局限性,本文所提方法的作用对象是复杂度高、状态转换多且具有高安全性需求和开放性的ADAS系统。由于HAZOP的引导词具有辅助分析的作用,且STPA方法适用于复杂和开放性系统,在汽车设计开发早期进行触发条件识别,将有助于降低汽车研发成本,因此将选用HAZOP的引导词结合STPA分析步骤完成安全分析,以全面深入分析系统中存在的不安全控制行为。
|
|
表 2 现有安全方法对比 Table 2 Comparison of existing analytical methods |
有限状态机(Finite State Machine,FSM)是一种抽象数学模型和计算机科学概念,常用于描述对象或系统在不同状态之间转换的行为[11]。FSM由一组状态、转移以及一组规则组成,这些规则定义了如何从一个状态转移到另一个状态。通过有效地管理和控制各个功能的状态转换和行为执行,状态机模块能够确保系统的稳定性、安全性和可靠性,它是实现ADAS功能的基础模块之一。状态机的基本描述方式为状态转移图[12],如图2所示。图中有两个状态,每个状态存在其对应的进入操作、当前状态执行操作、退出操作。当系统处于某个状态中时,接收到响应的触发动作,系统将会完成一次状态转移。
|
图 2 状态转移图 Figure 2 State transition diagram |
能够构建有限状态机的系统需要满足以下3个特性[13]:(1) 有限的状态和事件;(2) 任何时刻只处于一个状态;(3) 特定条件下会进行状态迁移。
本机制的作用对象ADAS系统正好满足以上3个特性,有限状态机的实现方式主要有3种。第一种是分支逻辑法,该方法适用于条件简单、状态固定、没有新增和扩展的需求,而高级辅助驾驶系统的需求会随着应用场景的不断丰富而扩展功能和状态模式,所以该实现方式并不适用本文研究的ADAS系统。第二种实现方式是查表法,通过二维数组来表达状态机,适用于复杂状态机,执行动作比较固定和简单的场景,例如游戏中的角色状态较多,因此大多数游戏场景使用查表法具有优势。该方法的状态可读性清晰且可维护性较好,但是该方法遇到比较复杂的动作就无法通过简单的二位数组进行表示。但对于ADAS系统来说,其存在一些较复杂的运动动作,所以使用该方法具有局限性。第三种方法是状态模式方法,该法的状态模式通过将事件触发的状态转移和动作执行,拆分到不同的状态类中,来避免分支判断逻辑。ADAS系统的状态较多,且ADAS系统存在相似的车辆状态,通过该方法可以清晰展现ADAS系统各个状态及其之间的转换,并且该法的拓展性较好。缺点是状态模式会引入较多状态类,如果对于状态的颗粒度控制不好,容易产生状态爆炸的问题。为了解决这个问题,本文引入了层次状态机(Hierarchical State Machine,HSM)。各个状态通过树型层次组织起来,状态图具有层次结构,将具有相似转移逻辑的车辆状态建立子状态机,而顶层状态机表示大类车辆状态之间的转移逻辑,子状态继承顶层状态机的转移逻辑[14]。分层有限状态机的模型如图3所示,其中S1、S2、S3是顶层状态,S1下面还有S1_1及S1_2等子状态。
|
图 3 分层有限状态机模型 Figure 3 Hierarchical finite state machine model |
依据STPA分析方法及有限状态机理论,本文提出方法如图4所示,分为3个大步骤:首先明确系统组成及其功能边界,其次进行安全分析,最后是触发条件规范化生成。STPA活动过程贯穿于本文生成机制的三大步骤中,本方法得出的触发条件既可以用于系统开发设计阶段,便于系统设计开发人员给系统设定合理的安全约束,提出更多的安全目标,以满足复杂系统日益提升的安全需求。同时本机制得出的触发条件还可以应用于系统的测试验证阶段,以结合基础场景构建仿真以及实车测试场景,经场景筛选后生成测试用例,便于测试工程师进行功能的测试验证,提升系统安全性。
|
图 4 触发条件生成机制框架 Figure 4 Trigger condition generation mechanism framework |
系统组成包括ADAS系统对应的运行设计条件(Operational Design Conditions, ODC)及功能需求,ODC是指设计时确定的自动驾驶系统可以安全启动和运行的所有条件。ODC中的运行设计域(Operational Design Domain, ODD)是指一组特定的环境条件和操作情境,其中自动驾驶车辆或ADAS系统被设计和验证以运行,ODC主要包括有车辆运行环境的静态实体、环境条件、动态实体、驾驶员状态、车辆状态。系统功能需求是在系统工程和软件开发中定义和描述的ADAS系统应该如何工作的规范,它们明确了系统需要提供的功能和能力。这些需求描述了系统如何与用户、其他系统或组件互动,以满足用户的需求和期望。主要包括系统功能描述及相关输入输出、安全性要求等,其中系统功能描述里面描述了系统的功能状态及其对应转换逻辑,依据系统功能描述可以进行系统控制结构及有限状态机的构建。
2.2 安全分析安全分析的目的是为了识别系统控制结构结合有限状态机模型后的不安全控制行为,安全分析包括两个流程。
首先构建系统拓展型控制结构,该拓展型控制结构由有限状态机模型融合系统主控制结构组成;其次是依据HAZOP引导词进行不安全控制行为的识别。构建系统拓展型控制结构需要依据步骤一中系统的ODC及功能需求,同时利用第二节提到的有限状态机理论及STPA方法完成。构建ADAS系统的通用控制架构示例如图5所示。该结构概述了组件之间及状态之间的指令执行是如何进行的。其中ADAS控制器模块考虑了其内部有限状态模型,传统系统的控制结构只考虑系统组件层交互导致的不安全行为,增加ADAS有限状态机模型的拓展型控制结构的优势如下:
|
图 5 ADAS系统的通用控制架构 Figure 5 General control architecture of ADAS systems |
(1) STPA安全分析维度提升,不仅考虑系统内组件交互维度带来的不安全因素,也能从系统功能状态切换的维度进行了更全面的分析;
(2) 系统结构拓展丰富STPA分析层级,从ADAS系统级切入到组件级结构,再从组件级切入各组件内部对应子状态层级,丰富了安全分析层级;
(3) 有助于进行功能测试,有限状态机是各功能实现的载体之一,依据汽车各控制器存在不同的有限状态机模型,使用FSM构成的拓展型系统架构结合STPA方法便于在整车开发中的功能测试阶段定位系统状态机及功能逻辑的问题。
利用分层状态机模型及ADAS系统功能描述对ADAS控制器中功能状态进行划分,图5中S表示状态,C表示状态转移逻辑,而控制结构中的其他组件包括了驾驶员模型、HMI人机交互系统、传感器系统、执行器和外部环境。汽车的人机交互系统(Human-Machine Interface, HMI) 是驾驶员与汽车系统沟通的桥梁,驾驶员通过HMI系统与车内的各种界面和控制器进行有效的交互和控制。领航驾驶辅助(Navigation Driving Assist, NDA) 是一种高级驾驶辅助系统,旨在减轻驾驶员在长途驾驶中的压力,增强车辆的速度控制和跟车距离控制,并保持车辆在车道中的稳定位置。图5中外部环境模型使用PENGASUS项目提出的六层场景模型[15],并在六层的基础上添加第七层场景模型,第七层模型表示自车状态[16],以更全面描述车辆系统面临的环境,同时对生成的触发条件建立场景索引,便于测试开发人员在测试场景筛选中进行触发条件的筛选引用。
其次是识别不安全控制行为,通过分析识别系统拓展型控制结构中组件交互及状态转换过程中存在的问题,借助HAZOP引导词进行不安全控制行为的识别。依据HAZOP引导词的定义与分类,存在6种主要的不安全控制行为U1~U6,如表3所示。本文从被控对象的控制需求和控制器对需求的满足情况两方面进行分解,其中不安全行为U1、U2表示在时间上控制行为提前或者延迟作用,U3、U4表示控制量在数量上过大或者过小,U1~U4表示可能会导致系统发生危害,U5表示被控对象不需要控制但系统提供控制,U6表示被控对象需要控制但控制器未提供,U5、U6是直接可识别的不安全控制行为。
|
|
表 3 不安全控制行为分类 Table 3 Classification of Unsafe control behavior |
在步骤二的基础上,依据系统存在的功能局限及人为误用,得到潜在触发条件(Trigger Condition, TC),并将触发条件进行规范化描述及分类,流程如图6所示。分析系统的功能局限需要将ADAS系统进行分解,参考Amersbach等[17]对自动驾驶系统的功能分解,将功能分解为感知—决策—控制,且将感知再细分为感知信息获取及感知数据融合认知阶段,如图7所示 ,人为误用指的是驾驶员的错误操作。
|
图 6 UCA到触发条件生成步骤 Figure 6 The steps from UCA to trigger condition generation |
|
图 7 智驾系统功能分解框架 Figure 7 Automatic driving system function decomposition framework |
依据Zhu等[6]总结的触发条件描述方法,将得到的触发条件分为3种类型,分别为:特定环境要素的存在、环境要素的行为、多种环境要素之间的相互作用。
该文对触发条件进行了形式化描述的探索,其描述方式如图8所示。
|
图 8 触发条件规范化描述方式 Figure 8 Standardized description of trigger conditions |
其中环境要素指的是车辆运行场景的有形实体和无形信息。有形实体包括场景中的交通道路使用者路网结构等;无形信息包括通信信息、数字交通信号等。行为是指某些环境要素发出的动作。属性是环境要素的状态、特征、路权等信息。时空背景指环境要素的持续时间、空间位置以及对于环境要素的行为程度进行描述的信息。相互行为是指多个环境要素参与的情况下,它们之间的相互作用。依据中英文语法差异,本文对Zhu等[6]的工作进行了改进,三类描述方式如下所示:类型一为[<时空背景>][<属性>]<环境要素>;类型二为[<时空背景>][<属性>]<环境要素><行为>;类型三为[<时空背景>][<属性>]<环境要素1><相互行为>[<属性>] <环境要素2> 。
在完成规范化描述之后,本文对触发条件的标签化分类依据ADAS系统运行区域、触发条件关联场景层级、关联功能、暴露率进行。其中关联场景层级根据七层场景模型,关联功能依据上文中提到的功能分解。暴露率评估参照ISO26262标准[18]中定义,暴露率是指某一驾驶场景在日常驾驶中出现的时长或频率,触发条件作为场景的一部分,为此本文将基于专家经验把触发条件暴露率进行分级并评估,层级越高表明该触发条件出现概率越大。本文的暴露率评级定义如表4所示 。
|
|
表 4 暴露率评级标准 Table 4 Exposure rating criteria |
本节将把本文方法应用于集成式巡航辅助(Integrated Cruise Assistance, ICA)系统的触发条件生成中,集成式巡航辅助作为常用ADAS系统,是目前乘用车高级辅助驾驶系统中行车系统的代表,最后将现有其他触发条件生成方法与本文方法进行对比分析证明本生成机制的优势。
3.1 系统组成 3.1.1 ICA系统的功能ICA系统集成了自适应巡航及车道保持技术等功能,减轻驾驶员在行车场景下的驾驶疲劳,在前方存在清晰可识别的车道线及自车车速较高的情况下,辅助驾驶员完成自动跟车、自适应巡航、自动车道保持、智慧躲闪、拨杆变道等功能,同时辅助驾驶员在高速路、城市快速路场景中自动驾驶,减轻驾驶员负担。ICA系统可根据车辆行驶方向的交通情况为驾驶员提供车辆的纵向和横向辅助控制,纵向控制可以实现定速巡航和跟车,横向控制是根据左右侧的车道线将车辆控制在本车道中心附近。如果在行驶的过程中,系统检测到前方存在障碍物侵入本车车道,根据障碍物的侵入情况及邻近车道情况,自动进行避障,当判断到前方障碍物侵入量较小,车辆有剩余空间进行避障操作,将会在开启智慧躲闪功能,待躲闪完毕,再自动回到车道中心继续保持巡航行驶状态。在左右车道存在变道间隙的情况下,驾驶员可操作变道杆进行行驶道路的切换;车辆在单车道巡航时,遇到系统错误及车辆无法处理的问题且驾驶员未接管车辆的情况,系统状态将切换到安全停车状态,执行最小化车辆风险策略并在本车道刹车直至停止。
3.1.2 ICA系统的运行设计条件ICA系统的ODC包括静态实体、环境条件和动态实体、驾驶员状态及车辆状态等,具体举例如下:
(1) 静态实体,包括道路类型(城市快速路、主干路、高速公路(不含高速匝道))、道路几何(直线或者平曲线(曲率半径大于100 m))、车道标线(两侧车道线清晰)、道路边界(路沿、护栏、锥桶边界、隧道边界、路面草地土地形成的边界)、车道宽度(2.3~5.5 m)、交通标识(限速牌、交通信号灯)、临时设施(锥形桶、三角标、水马、施工导流标志、隔离柱、隔离桶、路拦)。
(2) 环境条件,包括天气(能见度大于200 m、晴朗天气或者降雨量小于7.6 mm/h的小雨天气、无雾霾风沙)、光照强度(大于100 lux)。
(3) 动态实体,主要指交通情况:车辆拥堵或非拥堵、交通参与者向前正常行驶或者有危险行为。
(4) 驾驶员状态,驾驶员注意力集中,目视前方,系好安全带,生命体征正常、位姿正常。
(5) 车辆状态,车速范围0~140 km/h,其他感知、决策规划、定位、人机交互功能正常。
3.2 安全分析依据ICA系统的功能规范,建立ICA系统有限状态机模型见图9,各功能状态及预期行为和场景条件如表5所示。当车道遇到外部环境变化影响时,将会导致系统状态转换,其各功能状态的状态逻辑如表6所示。依据ICA系统的ODC及其功能状态描述,结合构建有限状态机模型,得到ICA系统拓展型控制结构图如图10所示,控制行为如表7所示。
|
图 9 ICA系统控制器有限状态机模型 Figure 9 ICA system controller finite state machine model |
|
|
表 5 ICA系统状态描述 Table 5 ICA system status description |
|
|
表 6 ICA系统状态转移逻辑 Table 6 The transfer logic of ICA system states |
对不安全控制行为的识别从系统的控制结构和转移逻辑出发,本文选用C8中的制动控制行为及转移逻辑T24进行代表性研究,分析得出的不安全控制行为见表8。
|
|
表 8 C8及T24的不安全控制行为 Table 8 Unsafe control action of C8 and T24 |
以不安全控制行为UCA_05为例,结合自动驾驶系统感知、规划、控制等功能局限及人为误用层面进行触发条件的识别生成触发条件,并对触发条件进行规范化描述。一个不安全控制行为存在多个功能不足或者误操作,为有导向性的定位系统缺陷,所以加入分析层辅助判定系统每个功能层存在的潜在问题,其中每个功能不足及误用会存在多个触发条件。功能不足描述的是自车内部状态,触发条件描述的是车辆外部环境因素,两者将导致车辆出现非预期的车辆状态,进而产生车辆级危害事件,得到的触发条件如表9所示。
|
|
表 9 UCA_05识别的触发条件 Table 9 Trigger conditions identified by UCA 05 |
|
图 10 ICA系统拓展型控制结构 Figure 10 ICA system extended control structure |
|
|
表 7 ICA系统控制行为 Table 7 ICA system controlled action |
依据ICA系统的ODC运行环境,将触发条件关联功能、场景、暴露率进行标签化,场景层级按照触发条件中环境要素所处的层级进行归类,标签示例如表10所示。
|
|
表 10 触发条件标签化 Table 10 Trigger condition labeling |
通过上述应用可知,由于增加了有限状态机的结构模型,控制结构模型得到拓展,所以本文的方法相对于其他生成方法,在生成的触发条件数量上更加丰富。将本文方法与现有触发条件生成方法在UCA种类、场景层级等方面进行对比,如表11及图11所示,图中数字0表示未考虑相关因素。通过对比发现,本文的场景分级及功能分解更为细致,且考虑了系统状态转换存在的触发条件,在UCA类别及触发条件分类类别数两方面设置更为合理,且适用范围更广。
|
|
表 11 触发条件生成方法对比 Table 11 Comparison of the trigger condition generation methods |
|
图 11 触发条件生成方法对比 Figure 11 Comparison of the trigger condition generation methods |
传统基于STPA方法为主的触发条件生成方法,主要从控制结构出发识别系统的触发条件,对于控制结构的建模存在抽象层次重构不准确的问题。传统方法并未系统考虑自动驾驶系统状态转换的不安全控制因素,且对智驾系统进行功能分解的维度不足,更易忽视系统中状态交互及组件交互的问题。本文提出的方法,在各步骤指引下保持了分析过程的可追溯性,同时保证了触发条件生成的多样性,减少了分析过程中对专家经验的依赖程度。本方法将触发条件关联到七层场景模型,引入了规范化的描述方式及启发式的触发条件生成列表,并将触发条件标签化关联,促进触发条件的下游应用,例如触发条件的快速调用及管理、构建测试场景等。
4 结论与展望本文通过将ADAS控制器中存在的有限状态机模型与STPA方法中系统控制结构进行组合,生成的拓展型ADAS控制结构将有助于STPA安全分析维度的提升,细化分析层级,进而有助于对触发条件的全面识别生成。同时引入的系统化描述形式及分类方法,将有助于对生成的触发条件进行管理及调用,便于系统设计研发人员及测试验证人员对系统进行完善。通过将本方法应用在ICA系统并与其他方法进行对比,证明了本生成机制在不安全控制行为分析维度、功能分解层级、分类及规范化描述上具有一定优势,还证明了本生成机制的有效性及可行性。
本文对于当前无人驾驶及辅助驾驶系统开发中的安全分析及智驾系统的功能测试具有一定借鉴意义,同时本文也存在一些优化空间。首先,如果能够对本文生成的触发条件质量进行评估,一方面,可依据生成的触发条件质量对本生成机制进行改进完善;另一方面,质量高的触发条件将有利于在测试验证阶段中构建极端、边缘测试场景。所以接下来如何评估生成触发条件的准确性及其有效性是一个值得深入研究的问题。其次,在系统测试验证阶段,如何在触发条件与场景结合前对触发条件进行有效的筛选也会是一个值得研究的方向,这将有效降低测试场景数量,提高测试效率。
最后,目前仿真测试验证能力在不断提高,如果能将本生成触发条件的机制结合到仿真测试场景及测试用例的构建中,将有助于发现系统中存在的设计问题,提出更有效的安全要求,从而保障ADAS的安全性。
| [1] |
National Transportation Safety Board. Collision between vehicle controlled by developmental automated driving system and pedestrian[R]. Washington D C: National Transportation Safety Board, 2019.
|
| [2] |
邵文博, 李骏, 张玉新, 等. 智能汽车预期功能安全保障关键技术[J].
汽车工程, 2022, 44(9): 1289-1304.
SHAO W B, LI J, ZHANG Y X, et al. Key technologies to ensure the safety of the intended functionality for intelligent vehicles[J]. Automotive Engineering, 2022, 44(9): 1289-1304. |
| [3] |
International Organization for Standardization. ISO/FDIS 21448 road vehicles — safety of the intended functionality: ISO 21448[S]. Geneva, Switzerland: ISO, 2022.
|
| [4] |
ZHAO Q D, ZHENG T, ZHANG Y S, et al. The research on the identification of ACC SOTIF triggering conditions based on scenario analysis[C]//2022 IEEE International Conference on Real-time Computing and Robotics (RCAR) . Guiyang: IEEE, 2022: 263-266.
|
| [5] |
LI J F, ZHANG Y S, ZHAO S, et al. A research on SOTIF of LKA based on STPA[C]//2022 IEEE International Conference on Real-time Computing and Robotics (RCAR) . Guiyang: IEEE, 2022: 396-400.
|
| [6] |
ZHU Z J, PHILIPP R, HUNGAR C, et al. Systematization and identification of triggering conditions: a preliminary step for efficient testing of autonomous vehicles[C]//2022 IEEE Intelligent Vehicles Symposium (IV) . Aachen: IEEE, 2022: 798-805.
|
| [7] |
XING X Y, ZHOU T, CHEN J Y, et al. A hazard analysis approach based on STPA and finite state machine for autonomous vehicles[C]//2021 IEEE Intelligent Vehicles Symposium (IV) . Nagoya: IEEE, 2021: 150-156.
|
| [8] |
GOERGES S L, HOMMES Q D V E. System theoretic approach for determining causal factors of quality loss in complex system design[C]//International Design Engineering Technical Conferences and Computers and Information in Engineering Conference. Buffalo: American Society of Mechanical Engineers, 2014, 46407: V007T07A006.
|
| [9] |
HOMMES Q D V E. Applying system theoretical hazard analysis method to complex automotive cyber physical systems[C]//International Design Engineering Technical Conferences and Computers and Information in Engineering Conference. Chicago: American Society of Mechanical Engineers, 2012, 45066: 705-717.
|
| [10] |
MAHAJAN H S, BRADLEY T, PASRICHA S. Application of systems theoretic process analysis to a lane keeping assist system[J].
Reliability Engineering & System Safety, 2017, 167: 177-183.
|
| [11] |
LEE D, YANNAKAKIS M. Principles and methods of testing finite state machines-a survey[J].
Proceedings of the IEEE, 1996, 84(8): 1090-1123.
DOI: 10.1109/5.533956. |
| [12] |
LEE D, YANNAKAKIS M. Testing finite-state machines: state identification and verification[J].
IEEE Transactions on Computers, 1994, 43(3): 306-320.
DOI: 10.1109/12.272431. |
| [13] |
DASH N P, DASGUPTA R, CHEPADA J, et al. Event driven programming for embedded systems-a finite state machine based approach[C]//The Sixth International Conference on Systems. Mumbai: IARIA Journals, 2011: 23-28.
|
| [14] |
熊璐, 贾通, 陈君毅, 等. 基于有限状态机的预期功能安全危害识别方法[J].
同济大学学报(自然科学版), 2023, 51(4): 616-622.
XIONG L, JIA T, CHEN J Y, et al. Hazard tdentification method for safety of the intended functionality based on finite state machine[J]. Journal of Tongji University(Natural Science), 2023, 51(4): 616-622. |
| [15] |
SCHOLTES M, WESTHOFEN L, TURNER L R, et al. 6-layer model for a structured description and categorization of urban traffic and environment[J].
IEEE Access, 2021, 9: 59131-59147.
DOI: 10.1109/ACCESS.2021.3072739. |
| [16] |
WU S, WANG H, YU W, et al. A new SOTIF scenario hierarchy and its critical test case generation based on potential risk assessment[C]//2021 IEEE 1st International Conference on Digital Twins and Parallel Intelligence (DTPI) . Beijing: IEEE, 2021: 399-409.
|
| [17] |
AMERSBACH C. Functional decomposition approach-reducing the safety validation effort for highly automated driving[D]. Darmstadt: Technische Universität Darmstadt, 2020.
|
| [18] |
International Organization for Standardization. Road vehicles-functional Safety: ISO 26262[S]. Geneva, Switzerland: ISO, 2011.
|