综合FuSa和SOTIF的无人驾驶扩展HARA分析方法

基于场景的危害分析和风险评估(HARA)是一种有效且现实的自动驾驶能力识别方法（例如SAE/NHTSA自动驾驶分级）。对于自动驾驶，当系统通过传感器（融合）和执行器与环境发生深度交互时，必须将危险因素从E/E系统失效行为扩展到包括网络安全在内的预期功能安全（SOTIF）。基于场景的HARA可以分析考虑功能安全(FuSa)和SOTIF的危害，但需要以系统化的方式表示它们之间的关系和相互依赖性。此外，系统理论过程分析(STPA)等强大的方法用于识别、定义和分析危害，但不能用于风险评估。因此，我们提出了一种融合FuSa和SOTIF的扩展HARA。特别的，我们考虑了(a)功能场景表示和场景选择（例如在HARA中描绘基本场景和事故场景）和(b)为每个HAD功能同时找到FuSa和SOTIF的关系和交互的方法。此外，我们通过在应用案例（横向导航辅助系统）中执行该过程来演示基于场景的扩展HARA方法。

1.简介

最近的技术趋势清楚地表明，汽车行业在开发高度自动驾驶(HAD)功能和/或ADS时将安全视为最高优先级。ADS车辆能够自主进行纵向和横向操控，或在驾驶时为驾驶员提供辅助。ADS涉及的领域不仅限于车辆的自动化能力，还包括安全应用。

因此，ADS的整体安全性成为研究的焦点。

自动驾驶的级别根据车辆的驾驶能力进行分类。汽车工程师协会（SAE）分了五个级别。例如，3级自动化(L3)要求车辆可以在有限条件下控制车辆，除非满足所有要求的条件，否则不会自主操控，这与美国国家高度公路交通安全管理局（NHTSA）的3级自动化（有限自动驾驶）相当。总的来说，整体安全是功能安全(FuSa)、预期功能安全(SOTIF)和网络安全的结合。SOTIF解决了ADS车辆的功能限制，即不存在因预期功能的功能不足以及合理可预见的人员误用而导致的危害而导致的不合理风险。FuSa保护ADS车辆的E/E失效行为。目前，行业的最新技术提供了不同的方法和流程来确保汽车安全。

为了提升ADS的鲁棒性，需要在开发的不同阶段应用多种安全方法。这里出现的问题是，这些方法是否(a)支持识别所有可能的安全边界条件，以及它们是否(b)足以确保ADS的安全。此外，如何弥补HAD功能的不足仍然是一个挑战。由于ADS的复杂性，需要开发新的方法来应用所需的方法或扩展方法。我们从ADS HARA中生成的场景数量及其可用性来看，面临着应用该方法的困难。考虑这一方面，我们的工作侧重于基于场景的HARA方法，并扩展到ADS中使用。基于车辆功能的HARA是安全开发中强制性的初步方法。它对考虑运行设计域(ODD)的ADS开发有很大影响，也支持对ADS未知不安全区域的调查。

本文提出了一种方法，使得基于场景的HARA能够通过使用车辆的基本图和事故图来实现对场景的轻松理解。

此外，通过复杂的传感器和处理算法减少了基于功能的HAZOP关键字指标的场景数量。此外，我们还结合FuSa对HAD功能认真的进行了基于场景的ADS HARA检查。作为衍生作用，它可以作为网络安全中基于场景的威胁分析的有力证据。

2.术语定义和危害理论

2.1.术语定义

安全领域中使用的词汇是特定表达所必需的。为了避免误解，本章根据当前最新的技术定义了与HARA相关的词汇。

根据ISO 26262:2018，安全是“不存在不合理的风险”，危害被定义为“由相关项的失效行为引起的潜在伤害源”，而危害事件被定义为“危害和风险的组合”。

ISO 26262:2018将HARA定义为“识别和分类相关项危害事件的方法，并规定与预防或缓解相关危害相关的安全目标和汽车安全完整性等级（ASIL），以避免不合理风险”。

根据SOTIF（ISO PAS 21448:2019），SOTIF被定义为“不存在由于预期功能的功能不足或合理可预见的人员误用而导致危害从而带来的不合理风险”，而触发事件被定义为在某个驾驶场景中特定条件下可能导致危害事件的后续系统反应的发起者。

网络安全被定义为“为保护网