无人驾驶车辆近年来飞速发展，其主要通过传感器感知外界环境，传导控制变量于电子控制单元，控制单元根据预定算法对变量进行处理，发出执行操作信号到执行机构，实现自动驾驶功能，其功能的实现离不开各组件之间交互联系，如软件与软件、系统、设备、传感器以及人交互。无人车上包含有多种具有多输入，多输出和非线性特征的控制软件系统，并且随着软件与技术快速革新，系统的组织结构不断变化。

自动驾驶作为未来的主要发展趋势，，系统结构更加复杂，安全性要求更高，作为新兴技术产业，尚未普及到广大群众，其安全问题在实践应用中受到广泛关注。传统的安全分析方法FTA（Fault TreeAnalysis）、FMEA（Failure Mode and Effects Analysis）以及HAZOP（Hazard and Operability Analysis）是基于可靠性理论、顺序模型以及流行病模型提出的，具体适用于传统简单线性系统的安全分析，主要分析源头的是部件故障，在今天的复杂系统中，事故的原因不仅是组件的故障，还有软件要求错误、硬件错误、人工错误与环境影响，尤其是系统各个组件之间的相互作用，因此，传统的安全分析方法并不能完全确保安全

2004年，Leveson提出了一种基于系统控制理论的新模型，即STAMP（Systems-Theoretic Accident Modeland Processes）模型，它充分考虑和分析了系统各个组成部分之间的相互作用，克服了传统安全分析技术的问题。STPA是基于STAMP模型提出的一种能够分析复杂系统并捕捉子系统之间相互影响关系的自上而下的分析方法，其基于系统理论识别系统中存在的危险，实施安全约束，提供安全限制以减轻危害，它不仅可以分析已发生的事故，还可以防止系统中可能发生的事故。

驾驶员辅助系统作为典型的自动驾驶系统中的安全关键系统，其更适合基于系统控制理论STPA（Systems-TheoreticProcess Analysis）方法进行分析，本文通过具体因公STPA安全分析方法对无人驾驶车辆的ACC辅助驾驶系统进行安全分析，针对危险控制行为提出系统安全要求与安全约束，验证STPA方法的便捷性与其对于负责系统安全分析的可适性。

2. 研究的基本内容与方案

研究基本内容：

依靠可靠性理论的传统安全分析方法应用场景与局限性，基于系统控制理论的STPA安全分析方法与传统分析方法相比而言的优势，STPA分析方法的具体执行步骤。

明确ACC自适应巡航系统的基本功能与工作状态，通过STPA系统理论过程分析方法对ACC系统进行分析，定义系统的危险控制行为情况（所需安全行为未执行、危险性行为执行、所需安全行为提供时间点过早过晚或顺序颠倒、所需的持续性安全行为停止过早或持续时间过长），基于以上定义得到软件安全要求，描绘ACC系统的控制结构（包含必要的信息），利于对系统级别交互的理解。对控制结构中各种控制功能进行STPA进行分析，识别危险行为（UCAs），将其转变成为安全行为限制，明确引发危险行为以及安全控制行为没有执行的方式与原因，并将其因素转变成为系统组件的安全要求。

研究目标：

通过对传统分析方法与STPA安全分析方法的研究比较，确定STPA方法应用于现代负责安全系统的合适性与可靠性，并通过将STPA安全分析方法应用于辅助驾驶系统中的ACC功能，分析得到ACC系统的不安全控制行为，设立相应的安全要求与安全限制条件，消除危险状况、降低危险事故发生率及其影响。通过ACC系统的案例分析，展望STPA安全分析方法广泛应用于无人车自动驾驶系统中的安全监测以及相应的系统开发过程，提高软件系统的安全性，有利于建立现代安全关键系统

拟采用的技术方案及措施：

通过应用STPA安全分析方法进行ACC系统的安全分析，具体通过控制系统框图结构、危险控制行为与系统安全行为约束表格等来进行。如下图1与表1所示：