協(xié)同汽車(chē)架構(gòu)的功能安全評(píng)估方法(下):案例研究
提示:“協(xié)同汽車(chē)架構(gòu)的功能安全評(píng)估方法”為系列文章,本篇章為“下”篇,在“上”篇中已經(jīng)重點(diǎn)描述了協(xié)同汽車(chē)架構(gòu)的功能安全評(píng)估的方法論,接下來(lái),在本篇章中我們將結(jié)合方法論進(jìn)行具體案例研究及討論。
上篇“協(xié)同汽車(chē)架構(gòu)的功能安全評(píng)估方法(上):方法論”已同期發(fā)布。
04.案例研究
本節(jié)介紹了所提出方法在協(xié)同駕駛場(chǎng)景中的應(yīng)用:車(chē)隊(duì)行駛。首先,我們描述車(chē)隊(duì)行駛場(chǎng)景和單個(gè)車(chē)輛的功能架構(gòu),這是我們提出的方法的兩個(gè)輸入。接下來(lái),我們介紹將我們的方法應(yīng)用于車(chē)隊(duì)行駛的結(jié)果及其解釋。
車(chē)隊(duì)是一種車(chē)輛列車(chē),其中手動(dòng)駕駛的車(chē)輛(稱(chēng)為領(lǐng)航車(chē))由至少一輛車(chē)輛(稱(chēng)為跟隨車(chē))自動(dòng)緊隨其后。在車(chē)隊(duì)中,車(chē)輛使用車(chē)對(duì)車(chē)(V2V)通信相互協(xié)調(diào)。車(chē)隊(duì)行駛已顯示出以下潛力:(i)降低平均油耗;(ii)提高安全性——例如,通過(guò)啟用全車(chē)隊(duì)制動(dòng)來(lái)防止追尾碰撞;(iii)通過(guò)提高平均速度和減少交通擁堵來(lái)增加交通吞吐量。在本案例研究中,車(chē)隊(duì)行駛的范圍僅限于高速公路和高速公路立交橋。
我們將提出的方法應(yīng)用于為i-CAVE項(xiàng)目開(kāi)發(fā)的協(xié)同駕駛軟件架構(gòu),該架構(gòu)部署在雷諾Twizy(一款小型電動(dòng)汽車(chē))上。該車(chē)輛配備了額外的傳感器和執(zhí)行器,包括一個(gè)完整的軟件堆棧(以下稱(chēng)為i-CAVE演示器)。i-CAVE演示器的軟件堆棧部署在實(shí)時(shí)計(jì)算機(jī)(Advantech ARK-3520P)的組合上,該計(jì)算機(jī)運(yùn)行Simulink RealTime操作系統(tǒng)和Nvidia的Drive PX2平臺(tái)。
圖4a顯示了i-CAVE演示器的簡(jiǎn)化功能架構(gòu)。為簡(jiǎn)單起見(jiàn),我們僅展示實(shí)現(xiàn)車(chē)隊(duì)行駛所必需的功能組件。箭頭表示從傳感器抽象到執(zhí)行器的數(shù)據(jù)流,而整個(gè)系統(tǒng)是一個(gè)閉環(huán)控制環(huán)。一些功能架構(gòu)組件根據(jù)其功能分組到不同的類(lèi)別中(如圖4a所示)。例如,傳感器抽象是一類(lèi)組件,包含兩種類(lèi)型的功能組件,即驅(qū)動(dòng)傳感器和環(huán)境感知傳感器。每個(gè)類(lèi)中的功能組件充當(dāng)獨(dú)立實(shí)體,并且它們之間沒(méi)有數(shù)據(jù)流。架構(gòu)的功能組件如下所述:
圖4. i-CAVE演示器的簡(jiǎn)化功能架構(gòu)以及由此衍生的隊(duì)列架構(gòu)(協(xié)同架構(gòu))
(a)傳感器抽象由硬件傳感器及其通過(guò)其軟件接口的封裝組成。兩類(lèi)傳感器在功能上有所區(qū)別:(i)驅(qū)動(dòng)傳感器,用于監(jiān)測(cè)車(chē)輛狀態(tài)和動(dòng)態(tài)屬性,如速度和慣性測(cè)量;(ii)環(huán)境感知傳感器,如雷達(dá)和GPS,用于監(jiān)測(cè)車(chē)輛的外部環(huán)境并在地圖上定位車(chē)輛。
(b)傳感器融合結(jié)合了來(lái)自不同類(lèi)型傳感器的數(shù)據(jù),以生成有關(guān)車(chē)輛及其周?chē)h(huán)境的信息。i-CAVE演示器的傳感器融合有三個(gè)功能組件:(i)主機(jī)跟蹤,結(jié)合位置和慣性測(cè)量數(shù)據(jù)來(lái)確定車(chē)輛的絕對(duì)位置;(ii)車(chē)輛狀態(tài)估計(jì)器,結(jié)合加速度信息和來(lái)自驅(qū)動(dòng)傳感器的數(shù)據(jù)來(lái)估計(jì)車(chē)輛的動(dòng)態(tài)狀態(tài);(iii)目標(biāo)跟蹤組件,結(jié)合來(lái)自雷達(dá)等環(huán)境感知傳感器的數(shù)據(jù)來(lái)檢測(cè)車(chē)輛周?chē)奈矬w和其他車(chē)輛。
(c)V2V通信在車(chē)輛和周?chē)?chē)輛之間傳遞與排成隊(duì)的驅(qū)動(dòng)相關(guān)信號(hào)。
(d)車(chē)輛控制使用有關(guān)車(chē)輛狀態(tài)、周?chē)h(huán)境和前方車(chē)輛的信息(通過(guò)V2V通信接收)生成用于車(chē)輛自動(dòng)驅(qū)動(dòng)的控制信號(hào)。手動(dòng)駕駛時(shí),此組件接收來(lái)自人類(lèi)駕駛員的驅(qū)動(dòng)命令。
(e)執(zhí)行器是用于車(chē)輛加速、轉(zhuǎn)向和制動(dòng)的硬件和相應(yīng)軟件接口,也稱(chēng)為線控驅(qū)動(dòng)接口。請(qǐng)注意,滿足非功能性需求(隊(duì)列功能之外)的組件(如安全管理組件)未顯示,因?yàn)樗鼈儾皇菍?shí)現(xiàn)隊(duì)列所需的基本功能架構(gòu)的一部分。
4.1. 推導(dǎo)車(chē)隊(duì)的FSR
以下是我們方法第一部分的步驟,如本系列文章“上”篇的圖2所示。
功能分解:我們將車(chē)隊(duì)場(chǎng)景描述(也稱(chēng)為SD)分解為五個(gè)子場(chǎng)景。
SC-1:車(chē)輛可以在最后一個(gè)跟隨者之后作為跟隨者加入車(chē)隊(duì)。
SC-2:跟隨者可以離開(kāi)車(chē)隊(duì)。
SC-3:車(chē)隊(duì)可以分成兩個(gè)車(chē)隊(duì)。
SC-4:兩個(gè)相鄰的車(chē)隊(duì)可以合并為一個(gè)車(chē)隊(duì)。
SC-5:當(dāng)領(lǐng)隊(duì)離開(kāi)車(chē)隊(duì)時(shí),第一個(gè)跟隨者將成為新的領(lǐng)隊(duì)。
當(dāng)一輛車(chē)加入另一輛車(chē)組成一個(gè)兩輛車(chē)的車(chē)隊(duì)時(shí),車(chē)隊(duì)就形成了。最終,當(dāng)一輛車(chē)離開(kāi)兩輛車(chē)的車(chē)隊(duì)時(shí),車(chē)隊(duì)解散。車(chē)隊(duì)的加入和離開(kāi)動(dòng)作由車(chē)輛駕駛員手動(dòng)執(zhí)行。
車(chē)隊(duì)行駛場(chǎng)景描述從車(chē)輛角度分為9個(gè)功能,從協(xié)同角度分為6個(gè)功能。這些功能列于表1中。
表1.從隊(duì)列行駛描述中識(shí)別出的功能危害
危害事件:接下來(lái),我們識(shí)別與這些功能相關(guān)的危害。我們使用汽車(chē)領(lǐng)域最常見(jiàn)的七個(gè)引導(dǎo)詞(不、更多、更少、以及、部分、反向和其他)來(lái)識(shí)別57種危害。例如,車(chē)隊(duì)功能 - “保持足夠安全的車(chē)距” - 加上引導(dǎo)詞“更少”會(huì)產(chǎn)生危害 - “保持的車(chē)距不夠安全” - 這可能會(huì)導(dǎo)致車(chē)隊(duì)內(nèi)部發(fā)生碰撞。表1顯示了從每個(gè)功能得出的危害數(shù)量。
這57種危害(從協(xié)同角度看26種,從車(chē)輛角度看31種)與運(yùn)行模式(從協(xié)同角度看7種,從車(chē)輛角度看6種)和運(yùn)行情況(每個(gè)角度2種)相結(jié)合時(shí),導(dǎo)致了340起危害事件,從車(chē)輛角度看140起,從協(xié)同角度看200起。請(qǐng)注意,并非每種危害、運(yùn)行模式和運(yùn)行情況的組合都是可行的,不可行的組合將不再考慮。從協(xié)同角度看的危害事件的一個(gè)例子是:“在高速公路上與另一個(gè)車(chē)隊(duì)(運(yùn)行模式)合并時(shí)保持的車(chē)距不夠安全(危害)”。
安全目標(biāo):對(duì)于每個(gè)危害事件,我們都制定了一個(gè)安全目標(biāo)來(lái)防止它。我們合并了每個(gè)角度的類(lèi)似目標(biāo),分別從車(chē)輛和協(xié)同角度獲得了14個(gè)和11個(gè)安全目標(biāo)。例如,安全目標(biāo)“無(wú)論車(chē)隊(duì)的運(yùn)行模式或運(yùn)行情況如何,都應(yīng)保持足夠安全的車(chē)輛間距離”是由56個(gè)危害事件得出的目標(biāo)組合而成的。
對(duì)于安全目標(biāo)的ASIL分配,我們假設(shè)車(chē)隊(duì)內(nèi)除領(lǐng)隊(duì)外的所有車(chē)輛在發(fā)生任何失效時(shí)都不能依靠人類(lèi)駕駛員進(jìn)行后備。對(duì)于加入或離開(kāi)車(chē)隊(duì)的車(chē)輛,在加入和離開(kāi)的過(guò)程中,我們假設(shè)在發(fā)生失效時(shí)有人類(lèi)駕駛員進(jìn)行后備。我們?cè)谂c跟隨車(chē)輛有關(guān)的場(chǎng)景中給出了可控性最低的分?jǐn)?shù)。由于領(lǐng)隊(duì)是人類(lèi)駕駛的,因此領(lǐng)隊(duì)車(chē)輛的可控性被認(rèn)為是最高的。由于我們假設(shè)了高速公路的速度范圍,因此如果車(chē)輛或車(chē)隊(duì)失效導(dǎo)致撞車(chē),則將最高級(jí)別分配給嚴(yán)重程度。我們根據(jù)場(chǎng)景(加入排、離開(kāi)排、排分離、兩個(gè)排合并和排領(lǐng)隊(duì)變更)和運(yùn)行情況(高速公路或高速公路交匯處)假設(shè)了不同的暴露水平,其中高速公路運(yùn)行場(chǎng)景中的暴露水平最高。因此,大多數(shù)安全目標(biāo)都被分配了ASIL D。
協(xié)同功能架構(gòu):圖4b顯示了簡(jiǎn)化的車(chē)隊(duì)協(xié)同功能架構(gòu),其中包含車(chē)隊(duì)功能組件以及車(chē)隊(duì)內(nèi)車(chē)輛在功能層面的工作。協(xié)同功能架構(gòu)由四位系統(tǒng)架構(gòu)師創(chuàng)建,他們是參與i-CAVE演示器開(kāi)發(fā)的機(jī)械工程師,至少擁有碩士學(xué)位,并至少擁有兩年的汽車(chē)架構(gòu)開(kāi)發(fā)經(jīng)驗(yàn)。協(xié)同功能架構(gòu)包含與車(chē)輛功能架構(gòu)相同的功能組件(見(jiàn)圖4.i-a和4.i-b),但僅使用用于完成協(xié)同功能的組件及其互連。例如,系統(tǒng)架構(gòu)師的設(shè)計(jì)選擇是將信息從領(lǐng)航者的車(chē)輛控制功能單元傳達(dá)給跟隨者,而不是在領(lǐng)航者和跟隨者之間傳達(dá)傳感器信息。因此,在領(lǐng)航者中,傳感器抽象和傳感器融合類(lèi)功能組件不用于協(xié)同駕駛功能。此外,這些功能組件不用于領(lǐng)航者自己的駕駛功能,因?yàn)轭I(lǐng)航者是手動(dòng)駕駛的。因此,在協(xié)同功能架構(gòu)中,在領(lǐng)航者塊中,這些組件未顯示為領(lǐng)航者(參見(jiàn)圖4.i-b頂部的領(lǐng)航者塊)。
安全分析:最后,通過(guò)使用故障樹(shù)分析(FTA)將安全目標(biāo)映射到功能架構(gòu)來(lái)得出FSR。FTA從車(chē)輛角度生成了16個(gè)FSR,從協(xié)同角度生成了15個(gè)FSR。即總共31個(gè)。圖5顯示了每個(gè)功能組件的FSR數(shù)量,以及表2第二列中的一些示例FSR。
圖5. 31個(gè)FSR,按相關(guān)功能組件分組。每個(gè)組的總FSR顯示在每個(gè)堆疊條形圖的末尾
4.1.1 結(jié)果解釋
在我們的案例研究中,根據(jù)ISO 26262進(jìn)行的傳統(tǒng)安全分析(車(chē)輛角度)產(chǎn)生了16個(gè)安全目標(biāo),從而產(chǎn)生了16個(gè)FSR。而擬議的安全分析擴(kuò)展產(chǎn)生了9個(gè)以上的安全目標(biāo)和15個(gè)FSR,總共產(chǎn)生了25個(gè)安全目標(biāo)和31個(gè)FSR。從車(chē)輛角度來(lái)看,F(xiàn)SR數(shù)量最多的是車(chē)輛控制組件(6個(gè)FSR),而從協(xié)同角度來(lái)看,F(xiàn)SR數(shù)量最多的是V2V通信組件(5個(gè)FSR)。另一個(gè)有趣的現(xiàn)象是,大多數(shù)FSR(31個(gè)中的17個(gè);12個(gè)來(lái)自車(chē)輛角度,5個(gè)來(lái)自協(xié)同角度)被分配了ASIL D,而只有相對(duì)較少的安全目標(biāo)(25個(gè)中的7個(gè);6個(gè)來(lái)自車(chē)輛角度,1個(gè)來(lái)自協(xié)同角度)被分配了ASIL D。安全目標(biāo)和FSR之間的ASIL差異是由于大多數(shù)功能安全需求與多個(gè)功能安全目標(biāo)相關(guān),并且FSR繼承了其相關(guān)安全目標(biāo)的最高ASIL。
與行業(yè)場(chǎng)景相比,我們的FSR數(shù)量(總共25個(gè)安全目標(biāo)中的31個(gè)FSR)較低,在行業(yè)場(chǎng)景中,類(lèi)似數(shù)量的安全目標(biāo)與100多個(gè)FSR相關(guān)。我們認(rèn)為FSR數(shù)量的減少與我們的車(chē)輛功能架構(gòu)的簡(jiǎn)單性有關(guān)。為了便于理解,Serban等人提出的參考架構(gòu)有39個(gè)功能組件,而我們的簡(jiǎn)化架構(gòu)有8個(gè)。
從兩個(gè)角度得出的FSR可能會(huì)重疊。也就是說(shuō),可以從協(xié)同和車(chē)輛角度得出相同的FSR。然而,我們的案例研究沒(méi)有導(dǎo)致任何重疊的FSR。
4.2. 檢查FSR的履行情況
以下是我們方法第二部分的步驟,如本系列文章“上”篇中圖3所示。
檢查派生FSR中是否存在沖突:我們根據(jù)FSR關(guān)聯(lián)的功能架構(gòu)組件對(duì)其進(jìn)行分組。例如,9個(gè)FSR屬于功能架構(gòu)組件車(chē)輛控制,其中3個(gè)顯示在表2中(請(qǐng)參閱第三至第五行、第一列和第二列中的詳細(xì)信息)。按關(guān)聯(lián)組件分組的FSR總數(shù)如圖5所示。在每個(gè)組中,我們比較了每對(duì)FSR的描述以識(shí)別潛在沖突。我們?cè)?個(gè)組中沒(méi)有發(fā)現(xiàn)任何沖突。
表2. 在i-CAVE演示器的技術(shù)架構(gòu)中發(fā)現(xiàn)已實(shí)現(xiàn)的FSR。藍(lán)色單元中的FSR來(lái)自協(xié)同(排隊(duì))視角,其他FSR來(lái)自車(chē)輛視角
確定實(shí)施每個(gè)FSR的安全策略:對(duì)于每個(gè)FSR,我們確定了一份適用的安全策略列表。我們選擇了以下13種安全策略,并以此為基礎(chǔ)構(gòu)建了15種最廣泛使用的安全模式:簡(jiǎn)單性、替代、健全性檢查、條件監(jiān)控、比較、多樣化冗余、復(fù)制冗余、修復(fù)、降級(jí)、投票、覆蓋、屏障和心跳。
每種安全策略都有一個(gè)目標(biāo)和范圍描述。例如,安全策略簡(jiǎn)單性的目標(biāo)是“通過(guò)保持系統(tǒng)盡可能簡(jiǎn)單來(lái)避免失效”,其描述是“簡(jiǎn)單性降低了系統(tǒng)復(fù)雜性。它包括構(gòu)建方法或削減不必要的功能和組織系統(tǒng)元素或?qū)⑺鼈兒?jiǎn)化為核心安全功能以消除危害。”。
適用于每種FSR的策略:為了確定安全策略的實(shí)施是否可以實(shí)現(xiàn)FSR,需要將安全策略的目標(biāo)和描述與FSR的描述相匹配。表2列出了FSR的示例、與之匹配的安全策略及其實(shí)施。表2還顯示,由于環(huán)境感知傳感器固有的復(fù)雜性,列出的第一個(gè)FSR與簡(jiǎn)單性策略不匹配(第3列中不存在)。
檢查技術(shù)架構(gòu)中的安全策略實(shí)施:最后,為了確定車(chē)輛架構(gòu)是否符合FSR,我們分析了i-CAVE演示器技術(shù)架構(gòu)中相關(guān)功能架構(gòu)組件的實(shí)現(xiàn)。iCAVE演示器的技術(shù)架構(gòu)是在MATLAB/Simulink中實(shí)現(xiàn)的。我們檢查了MATLAB代碼以及Simulink狀態(tài)流程圖,以識(shí)別功能架構(gòu)組件以及任何相關(guān)的安全管理系統(tǒng)。我們將這些功能架構(gòu)組件的實(shí)現(xiàn)映射到為每個(gè)FSR確定的安全策略,以評(píng)估技術(shù)架構(gòu)是否滿足每個(gè)FSR。表2顯示了技術(shù)架構(gòu)中發(fā)現(xiàn)已實(shí)現(xiàn)的FSR、從適用策略集中應(yīng)用的策略以及應(yīng)用策略的特定組合如何滿足相應(yīng)的FSR。此外,發(fā)現(xiàn)未實(shí)現(xiàn)的FSR示例是:“執(zhí)行器(軟件接口)失效不應(yīng)導(dǎo)致錯(cuò)誤的控制信號(hào)傳播到硬件執(zhí)行器”。
對(duì)于每個(gè)功能組件,圖5分別顯示了從車(chē)輛和車(chē)隊(duì)角度實(shí)現(xiàn)和未實(shí)現(xiàn)的FSR的數(shù)量。回想一下第4.1節(jié),我們從車(chē)輛和車(chē)隊(duì)角度得出了16個(gè)和15個(gè)FSR,其中大多數(shù)與車(chē)輛控制有關(guān)。在車(chē)輛視角的16個(gè)FSR中,車(chē)輛技術(shù)架構(gòu)滿足了3個(gè)FSR,其余13個(gè)FSR未滿足。同樣,對(duì)于協(xié)同視角,3個(gè)FSR已滿足,其余12個(gè)FSR未滿足。我們向i-CAVE項(xiàng)目的四位系統(tǒng)架構(gòu)師展示了我們的結(jié)果。他們確認(rèn),在i-CAVE演示器中已實(shí)現(xiàn)已滿足的FSR,未實(shí)現(xiàn)的FSR未實(shí)現(xiàn)。對(duì)于i-CAVE演示器未實(shí)現(xiàn)的25個(gè)FSR,我們提供了一份適用的安全模式列表,可作為技術(shù)架構(gòu)下一次設(shè)計(jì)迭代的起點(diǎn)。
4.2.1. 結(jié)果解釋
我們的研究表明,技術(shù)架構(gòu)僅滿足31個(gè)FSR中的6個(gè)(所有6個(gè)已實(shí)現(xiàn)的FSR列于表2中)。在我們的案例研究中,我們使用13種安全策略檢查了i-CAVE演示器中FSR是否已實(shí)現(xiàn)。策略集是根據(jù)它們?cè)?5種最廣泛使用的安全模式中的使用情況來(lái)選擇的。由于我們只考慮了13種策略,因此我們可能將一些已實(shí)現(xiàn)的FSR歸類(lèi)為未實(shí)現(xiàn)的。然而,i-CAVE項(xiàng)目的架構(gòu)師同意我們的發(fā)現(xiàn)。這表明我們的分類(lèi)是正確的。
我們使用這些安全策略進(jìn)行的評(píng)估表明,在從協(xié)同角度得出的15個(gè)FSR中,有12個(gè)未實(shí)現(xiàn)。值得注意的是,我們發(fā)現(xiàn)從車(chē)輛角度來(lái)看未實(shí)現(xiàn)的FSR幾乎與從協(xié)同角度來(lái)看一樣多。這一觀察結(jié)果的解釋與i-CAVE演示車(chē)背后的車(chē)輛能力有關(guān)。i-CAVE演示車(chē)使用雷諾Twizy,這是一款基本的雙座電動(dòng)汽車(chē)。從這個(gè)角度來(lái)看,雷諾Twizy足夠小(2338毫米×1381毫米),可以在自行車(chē)道上使用,重量輕(毛重690公斤),續(xù)航里程可達(dá)51公里。相比之下,特斯拉的入門(mén)級(jí)車(chē)型Model 3尺寸幾乎是它的兩倍,毛重是它的三倍,續(xù)航里程是它的十倍以上。因此,i-CAVE演示車(chē)的功能和組件有限。此外,演示車(chē)是一個(gè)正在進(jìn)行中的工作,由多領(lǐng)域團(tuán)隊(duì)迭代開(kāi)發(fā)。由于我們的案例研究期間未實(shí)現(xiàn)技術(shù)架構(gòu)的某些部分,因此我們的結(jié)果僅僅指出,缺失的實(shí)現(xiàn)是車(chē)輛角度中未實(shí)現(xiàn)的FSR。演示器的未來(lái)迭代可以使用此未實(shí)現(xiàn)的FSR列表(從車(chē)輛和協(xié)同角度)來(lái)改進(jìn)i-CAVE技術(shù)架構(gòu)。
總之,我們的案例研究從協(xié)同角度發(fā)現(xiàn)了未實(shí)現(xiàn)的FSR,表明所提方法的可行性和適用性。與ISO 26262流程相比,我們的案例研究結(jié)果顯示,通過(guò)提供額外的FSR,可以更好地覆蓋安全目標(biāo)。當(dāng)前用于得出FSR的安全工程方法由ISO 26262標(biāo)準(zhǔn)概述,但缺乏協(xié)同視角。它在i-CAVE項(xiàng)目的背景下提供了寶貴的見(jiàn)解。在我們的案例研究中,我們從協(xié)同的角度發(fā)現(xiàn)了15個(gè)FSR,占所有FSR的48%。但這仍然只是我們方法的一個(gè)例證。顯然,需要復(fù)制來(lái)驗(yàn)證我們方法的通用性和可擴(kuò)展性。盡管如此,我們的結(jié)果證實(shí)了現(xiàn)有的知識(shí)體系,表明當(dāng)前的安全標(biāo)準(zhǔn)從協(xié)同的角度忽略了FSR。
我們的案例研究結(jié)果表明,與ISO 26262流程相比,通過(guò)提供額外的FSR,可以更好地覆蓋安全目標(biāo)。ISO 26262標(biāo)準(zhǔn)概述了當(dāng)前得出FSR的安全工程方法,但缺乏協(xié)同視角。在我們的案例研究中,我們從協(xié)同的角度發(fā)現(xiàn)了15個(gè)FSR,占所有FSR的48%。我們的結(jié)果證實(shí)了現(xiàn)有的知識(shí)體系,表明當(dāng)前的安全標(biāo)準(zhǔn)從協(xié)同的角度缺乏FSR。
05.討論
我們從隱含假設(shè)的角度對(duì)所提出的方法進(jìn)行了更深入的探索。我們描述了我們的解決方案如何應(yīng)用于現(xiàn)實(shí)生活中的協(xié)同駕駛場(chǎng)景。下面我們討論我們方法中的隱含假設(shè)、可擴(kuò)展性、通用性和我們方法的范圍。
5.1.假設(shè)
所提出的方法借用了一些適用于單車(chē)的假設(shè),并將其應(yīng)用于協(xié)同駕駛。這些假設(shè)來(lái)自安全工程領(lǐng)域以及軟件架構(gòu)領(lǐng)域。例如,假設(shè)系統(tǒng)的適當(dāng)功能分離始終是可能的。這導(dǎo)致每個(gè)FSR都映射到一個(gè)功能組件。這種功能分離是安全工程領(lǐng)域的標(biāo)準(zhǔn)做法,至少已經(jīng)遵循了五十年。汽車(chē)領(lǐng)域的產(chǎn)品開(kāi)發(fā)標(biāo)準(zhǔn) ISO26262和汽車(chē)架構(gòu)框架也強(qiáng)調(diào)了這種分離。盡管如此,這一假設(shè)在協(xié)同駕駛中的適用性尚未確定。
同樣,我們方法的第二部分依賴于兩個(gè)假設(shè):(i)可以將功能組件映射到技術(shù)軟件架構(gòu)中的實(shí)現(xiàn);(ii)每個(gè)FSR都可以通過(guò)安全策略的組合來(lái)實(shí)現(xiàn)。我們的第一個(gè)假設(shè)來(lái)自汽車(chē)領(lǐng)域的架構(gòu)框架。關(guān)于安全策略的假設(shè)源于架構(gòu)領(lǐng)域,該領(lǐng)域?qū)踩呗砸暈樵O(shè)計(jì)原語(yǔ),架構(gòu)由設(shè)計(jì)原語(yǔ)的組合形成。像ATAM這樣的成熟架構(gòu)評(píng)估方法也依賴于這一假設(shè),盡管它們是在策略的背景下關(guān)注質(zhì)量屬性的Kazman和Bass等人。盡管如此,這一假設(shè)在汽車(chē)領(lǐng)域的適用性尚未確定。
5.2. 適用性
我們的案例研究展示了現(xiàn)實(shí)生活中協(xié)同駕駛用例的簡(jiǎn)化版本。在現(xiàn)實(shí)生活中,所提出的方法應(yīng)該在更大的范圍內(nèi)工作,并適用于具有各種實(shí)體的協(xié)同駕駛系統(tǒng)。限制方法可擴(kuò)展性和通用性的潛在因素包括系統(tǒng)的復(fù)雜性、參與系統(tǒng)的異質(zhì)性(例如,不同類(lèi)型的車(chē)輛(汽車(chē)和卡車(chē))和/或來(lái)自不同制造商的車(chē)輛)以及除參與車(chē)輛之外的實(shí)體(如云)的包含,以實(shí)現(xiàn)協(xié)同駕駛功能。
可擴(kuò)展性:我們的方法是模塊化的,這意味著它很可能擴(kuò)展到復(fù)雜的系統(tǒng)。該方法在架構(gòu)級(jí)別使用兩個(gè)抽象級(jí)別。功能架構(gòu)視圖將功能分開(kāi),使得每個(gè)組件執(zhí)行一個(gè)獨(dú)特的功能并共同執(zhí)行協(xié)同駕駛功能。這確保了協(xié)同駕駛功能的安全要求可以分配給單個(gè)車(chē)輛組件,而無(wú)需輸入其實(shí)施細(xì)節(jié)。在該方法的第二部分中,將根據(jù)其實(shí)施細(xì)節(jié)評(píng)估與一個(gè)組件相關(guān)的所有FSR。將安全需求與每個(gè)組件分開(kāi)并分別處理每個(gè)組件,確保我們的方法適用于復(fù)雜系統(tǒng)。
異質(zhì)性:功能架構(gòu)視圖充當(dāng)一個(gè)黑匣子,將功能組件及其之間的交互與它們的實(shí)現(xiàn)分開(kāi),使我們的方法與車(chē)輛類(lèi)型和品牌無(wú)關(guān)。因此,我們相信,只要提供參與實(shí)體的功能架構(gòu),我們的方法就可以評(píng)估涉及不同類(lèi)型車(chē)輛(例如,包含卡車(chē)和汽車(chē)的車(chē)隊(duì))以及不同汽車(chē)品牌(例如,包含寶馬和通用汽車(chē)的車(chē)隊(duì))的協(xié)同駕駛系統(tǒng)的安全性。
車(chē)輛以外的實(shí)體:支持協(xié)同駕駛功能的實(shí)體可以超出參與車(chē)輛。云通信就是一個(gè)例子。我們方法第一階段的協(xié)同架構(gòu)和相應(yīng)的項(xiàng)目定義是專(zhuān)門(mén)介紹的,以確保在安全分析中系統(tǒng)地考慮所有參與實(shí)現(xiàn)協(xié)同功能的實(shí)體。例如,在包括云通信的用例中,云將成為協(xié)同架構(gòu)的一部分。
故障運(yùn)行和故障安全設(shè)計(jì):我們的工作是針對(duì)協(xié)同系統(tǒng)而設(shè)計(jì)的,無(wú)論其運(yùn)行設(shè)計(jì)域如何,也無(wú)論其設(shè)計(jì)為故障運(yùn)行還是故障安全。所提出的方法對(duì)于故障運(yùn)行和故障安全系統(tǒng)都是通用的。我們的方法確保在推導(dǎo)FSR時(shí)涵蓋協(xié)同和車(chē)輛視角。
06.有效性威脅
我們提出的方法和案例研究的結(jié)果容易受到與人類(lèi)參與和技術(shù)選擇相關(guān)的威脅。下面,我們介紹了潛在的威脅以及我們減輕這些威脅的嘗試。
認(rèn)知偏差:我們提出的方法和相關(guān)案例研究的幾個(gè)步驟依賴于架構(gòu)師的專(zhuān)家意見(jiàn)。此步驟可能導(dǎo)致與人類(lèi)判斷相關(guān)的認(rèn)知偏差。為了減輕這種威脅,對(duì)于需要人類(lèi)判斷的每個(gè)步驟,我們咨詢了至少三位專(zhuān)家(除了前兩位作者),他們獨(dú)立執(zhí)行了這些步驟。例如,(i)協(xié)同功能架構(gòu)是根據(jù)車(chē)輛架構(gòu)和場(chǎng)景描述創(chuàng)建的,并與四位專(zhuān)家系統(tǒng)架構(gòu)師進(jìn)行了獨(dú)立協(xié)商(ii)兩位作者獨(dú)立檢查了FSR之間的沖突;(iii)安全目標(biāo)的有效性取決于場(chǎng)景描述對(duì)功能的分解。場(chǎng)景描述分解為功能已由第三作者驗(yàn)證,他是功能分解專(zhuān)家,在功能安全領(lǐng)域擁有超過(guò)五年的行業(yè)經(jīng)驗(yàn),并參與制定了汽車(chē)行業(yè)的功能安全標(biāo)準(zhǔn)ISO 26262和ISO 21448。
技術(shù)偏見(jiàn):為了生成FSR,我們選擇故障樹(shù)分析作為安全分析技術(shù)。其他技術(shù)(如失效模式影響分析)的選擇可能會(huì)影響結(jié)果。我們需要實(shí)證研究來(lái)檢查安全分析技術(shù)的選擇是否會(huì)導(dǎo)致結(jié)果的差異。
安全策略的選擇:在我們的案例研究中,我們使用13種安全策略檢查了i-CAVE演示器中是否滿足了FSR。安全策略的選擇基于它們?cè)?5種最廣泛使用的安全模式中的使用情況。這份安全策略清單并不完整,并且定義了我們案例研究的范圍。
07.未來(lái)工作
我們的工作是朝著協(xié)同駕駛功能安全評(píng)估方向邁出的第一步。本節(jié)介紹了未來(lái)的潛在方向。
網(wǎng)絡(luò)安全與功能安全:網(wǎng)絡(luò)安全是協(xié)同駕駛中除功能安全之外值得探索的重要方向。協(xié)同駕駛的連通性增加了潛在的攻擊面,并可能危及系統(tǒng)的功能安全。將功能安全和網(wǎng)絡(luò)安全結(jié)合起來(lái)考慮的整體方法是未來(lái)的潛在研究方向。
硬件拓?fù)洌汗δ馨踩ǔMㄟ^(guò)硬件架構(gòu)或硬件和軟件的組合來(lái)實(shí)現(xiàn)。我們方法的第二部分只關(guān)注軟件層面。擴(kuò)展方法的第二部分以解決硬件拓?fù)浜陀布c軟件組合中專(zhuān)門(mén)滿足的功能安全需求是所提出方法的合乎邏輯的下一步。
安全策略的ASIL:目前,安全策略與ASIL級(jí)別無(wú)關(guān)。這意味著,從當(dāng)前的安全策略分類(lèi)法來(lái)看,我們只能得出一種策略是否解決了FSR,而不能得出它是否在ASIL的特定級(jí)別解決了FSR。使用ASIL增強(qiáng)安全策略是未來(lái)潛在的研究方向。這將允許根據(jù)與FSR相關(guān)的風(fēng)險(xiǎn)對(duì)FSR進(jìn)行優(yōu)先排序。這也可能是邁向權(quán)衡分析的一步,其中可以根據(jù)相關(guān)風(fēng)險(xiǎn)將每個(gè)FSR與其他要求進(jìn)行權(quán)衡。
替代架構(gòu)抽象級(jí)別:目前,我們方法的第二部分,即檢查FSR的實(shí)現(xiàn)情況,使用技術(shù)架構(gòu)視圖。可以說(shuō),可以使用比技術(shù)架構(gòu)視圖更高級(jí)別的架構(gòu)抽象。我們計(jì)劃在未來(lái)對(duì)此進(jìn)行評(píng)估。
最后,我們的方法調(diào)整了現(xiàn)有的解決方案,以解決協(xié)同駕駛場(chǎng)景中的功能安全問(wèn)題。檢查未實(shí)現(xiàn)的FSR的替代方法將是一個(gè)值得探索的有趣方向。
08.結(jié)論
本系列文章研究了單個(gè)車(chē)輛的架構(gòu)是否滿足協(xié)同駕駛的功能安全要求。我們提出了一種方法來(lái)確保汽車(chē)架構(gòu)在給定場(chǎng)景下運(yùn)行在功能上是安全的。所提出的方法推導(dǎo)了協(xié)同駕駛場(chǎng)景的功能安全需求,并檢查它們是否在車(chē)輛的技術(shù)架構(gòu)中得到滿足。該方法結(jié)合了安全工程和軟件架構(gòu)領(lǐng)域的方法。我們?cè)诂F(xiàn)實(shí)生活中的學(xué)術(shù)原型上展示了我們的方法在協(xié)同駕駛場(chǎng)景(隊(duì)列行駛)中的可用性,結(jié)果發(fā)現(xiàn)了軟件架構(gòu)未滿足的功能安全需求。我們的方法受到以下觀念的啟發(fā)并強(qiáng)化了這一觀念:功能安全不應(yīng)成為汽車(chē)架構(gòu)設(shè)計(jì)中的事后考慮,而應(yīng)用于定義汽車(chē)系統(tǒng)的架構(gòu)。
END
相關(guān)文章
