卡车列队行驶系统-Hazard分析概念

智驾社
关注

汽车运输公司不断努力通过提高安全和运营效率以及减少燃料消耗来提高其生产力。减少空气动力阻力的方法之一是减少车辆之间的跟随距离。然而,为实现高燃油效率而进行足够紧密的跟踪,会引起对安全的影响问题。例如,在依靠人类驾驶员作为列队行驶的概念中,如果列队行驶的领先车辆(LVs)突然刹车,系统因某些故障而将控制权移交给驾驶员,那么列队行驶车辆中的人类驾驶员可能没有足够的反应时间来避免向前碰撞。行业利益相关者正在开发使用电子和气动控制、摄像头、毫米波雷达、激光雷达、车对车通信和其他传感器的系统,在概念上,使跟随的车辆能够与领先的车辆同步刹车和/或转向,从而克服了人类反应时间的一些限制。这个概念被称为 "列队行驶"。遵循正式的危险和安全分析方法可以帮助识别与这个概念相关的潜在风险,以及可以解决这些风险的潜在缓解方法。

卡车列队行驶是使用各种通信和传感器技术将两辆或更多的卡车 "虚拟"(或电子)连接起来,以及缩小列队行驶单位之间的跟随距离。列队行驶的价值是,在高速公路上,列队行驶中的卡车的空气动力学得到改善。在本研究确定和涉及的概念中,列队行驶的卡车司机驾驶LV,设定列队行驶的行驶路线并监督其运行。后面车辆(FV)的速度被自动控制,以保持车辆之间的间隔;然而,FV的司机仍然完全负责监测速度和间隔。

本项目的目的是通过使用既定的危险和安全分析技术,提供对正在开发的重型卡车列队行驶系统概念及其潜在安全影响的理解。

首先,进行了市场评估,以总结技术的现状并确定重型卡车列队行驶系统的概念。市场评估表明,关于重型卡车列队行驶系统的设计和操作的公共信息很少。一些系统有高层次的方框图和简短的组件清单;然而,关于这些系统如何启动、形成和解散列队行驶的信息并不充分。虽然这些信息很可能存在,但它是专有的,而且可能正在开发中,不一定可以公开。尽管缺乏关于系统操作的细节,但这些系统中的许多系统都有一个类似的高级架构,是所有系统共同的。正如预期的那样,市场评估证实没有公开的关于重型卡车列队行驶系统的危害或安全分析发表。

在市场评估之后,两个 "参考 "或原型的列队行驶系统概念被开发出来,以代表一系列的性能能力和操作概念,分别成为危险和安全分析的重点。这些系统被称为2-车辆SAE L1级别(2V L1)和3-车辆SAE L2级别(3V L2)。2VL1系统概念被定义为一个双车排,每个车排由一个牵引车-半挂车组合组成,每辆车上都有一个司机。FV自动控制其速度,以保持与LV的紧密跟踪距离。FV中的驾驶员负责在排队的时候进行转向。该排有车辆间的通信,这有利于协调行动,使车辆间的差距最小。这种能力对应于SAE驾驶自动化1级(来自SAE J30161)。3VL2系统的概念是类似的;然而,有三个单一的牵引车-半挂车。此外,该系统有速度和转向控制,这相当于SAE驾驶自动化L2等级。这两个概念2都被认为是高级驾驶辅助系统(ADAS)的类型,并依赖于排队单位中完全和持续关注的司机。

在定义了这些概念级排查系统后,进行了危险分析和风险评估。在这项任务中,确定、分析和评估了潜在危险事件的清单。作为危险分析的一部分,制定了一份适用于代表性重型卡车列队行驶概念(2VL1和3VL2)的全面危险清单。这份清单是根据研究小组的排车经验和专业知识,以及ATA、CVSA和SAE国际标准委员会成员的贡献而制定的。在ISO 26262标准的指导下,对每个危险进行了评估,该标准为评估每个危险的严重程度、暴露概率和可控性提供了一个框架。对每个危险提出了潜在的设计、操作、维护和安全缓解措施,并对研究小组考虑的参考系统(2VL1和3VL2)评估了它们对已确定风险的影响(如第一章所述)。

最后,进行了故障树和预期功能安全(SOTIF,Concept Draw. (n.d.)的分析。故障树分析(FTA)是对危险分析的补充,它用自上而下的方法分析危险,以确定可能导致不期望的系统状态的较低层次的危险和故障。通过FTA(SAE国际,2019),确定了两个与安全相关的关键路径事件:排队中实施的碰撞缓解系统(CMS)的故障和训练不足的用户对排队系统的操作,对前一任务中的关键危险进行了FTA。CMS未能与参与排队的车辆保持安全的跟车距离(即排队的低速车与非排队车辆之间或排队的低速车与前方物体之间)被评估为排队系统中最安全的设计元素。内容管理系统与车辆集成,并直接与发动机管理系统(EMS)以及制动系统接口。在上述系统中,如果整合不充分或其中一个部件出现故障,就意味着发生碰撞的重大风险。幸运的是,CMS可以通过验证和确认(V&V)进行广泛的测试,以证明该系统在设计的使用中被正确地整合。

列队行驶系统的培训和操作不充分是通过FTA确定的另一个关键路径事件。在确定了系统功能和驾驶员责任之间的关系后,驾驶员的表现对所考虑的排班概念的安全的关键性被放大了。以下事件被确定为潜在危险情况的例子,可能是由于驾驶员培训不足和/或一个或多个列队行驶车辆的驾驶员参与度不高而导致的:未能识别切入或潜在切入,未能在合格条件下脱离排队,分心驾驶,驾驶员注意力不集中,以及其他未遵循的操作程序。人们认识到,分心驾驶、驾驶员注意力不集中、不遵守操作规程、驾驶员培训不足等也适用于非列队行驶的卡车运输。

与CMS的故障不同的是,测试司机(人)的错误和实施适当的安全缓解措施要困难得多。在SAE驾驶自动化L1级和L2级的系统中,人类驾驶员应始终保持全神贯注,并随时准备在系统可能不再按预期运行的情况下恢复控制,或不发出警告。与电子机械CMS的故障模式的离散数量相比,驾驶员必须面对的环境因素和使用场景的数量几乎是无限的。人在回路中的系统需要安全缓解措施,如培训和操作程序,完全取决于人的遵守。

FTA是一种定量分析,考虑到不同列队行驶系统制造商所使用的系统设计和部件的差异。使用系统设计中的部件的实际故障率可以用来确定整个系统的故障率。概率数据,如系统经历某种情况或操作条件的频率,可用于计算整个系统的故障率。

SOTIF分析是针对每个排车系统功能进行的,以确定排车时维持安全的关键功能。这种安全分析方法评估了由于预期行为的性能限制或用户合理的可预见的误用所引起的危险而不存在不合理的风险。

SOTIF分析以ISO 21448《道路车辆--预定功能的安全》标准为指导。对一个有代表性的排队系统进行SOTIF分析的一个挑战是没有一个实际的功能系统规范。由于这些是假设的概念系统,关于系统的功能和特定组件之间的关系的细节必须根据团队对排车的了解和公开的信息来生成。研究小组使用工程判断来模拟一个真实世界的系统,以达到本研究的目的。假设列队行驶系统集成商或制造商在开始SOTIF活动之前就有这些文件。本报告中概述的方法可以作为执行SOTIF的基线。

试图确定已知的不安全条件,作为建立验证任务范例清单的基线。系统集成商需要进一步开发验证用例方案,在真实世界环境中测试系统,以识别未知的不安全情况。这些意外情况的识别会增加已知不安全状况的清单。这就重新开始了SOTIF分析过程,系统集成商随后确定功能修改,以减少SOTIF风险,并创造新的已知不安全条件,在验证中测试。这种反馈循环提高了列队行驶系统的安全性和可靠性。

声明: 本文由入驻OFweek维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。
侵权投诉

下载OFweek,一手掌握高科技全行业资讯

还不是OFweek会员,马上注册
打开app,查看更多精彩资讯 >
  • 长按识别二维码
  • 进入OFweek阅读全文
长按图片进行保存