基于STPA与模糊BN的新能源汽车安全性分析方法研究

摘" 要： 随着新能源汽车自动化程度不断提高，各系统之间耦合造成的故障急剧增加，传统的安全分析方法已无法满足当前汽车复杂系统的危险性分析要求。针对新能源汽车突然失控事故存在的高危性、复杂多样的问题，提出一种基于STPA与模糊BN的新能源汽车安全性分析方法。首先，运用系统理论过程分析方法（STPA）分析新能源汽车突然失控事故，得出系统级事故及危险，构建控制反馈回路，并识别不安全控制行为；接着，根据STPA分析结果构建模糊BN，通过GeNIe软件训练数据，可视化模糊BN，得到基本事件的发生概率，并由试验仿真得出蓄电池及储能系统、电机电控和整车控制器的后验概率分别为0.70、0.17和0.16。结果表明，所提方法能有效识别系统潜在危险，发现系统薄弱环节，可为提高系统可靠性提供依据。

关键词： 新能源汽车； 安全性分析； 系统理论过程分析方法； 模糊BN； 系统级事故； 不安全控制行为

中图分类号： TN911.23⁃34" " " " " " " " " " " " 文献标识码： A" " " " " " " " " " " "文章编号： 1004⁃373X（2024）08⁃0018⁃07

Research on new energy vehicle safety analysis method based on STPA and

fuzzy Bayesian network

ZHANG Shun， ZHOU Juan

（College of Quality and Safety Engineering， China Jiliang University， Hangzhou 310018， China）

Abstract： With the increasing degree of automation of new energy vehicles， the faults caused by the coupling between various systems have increased dramatically， and the traditional safety analysis methods can no longer satisfy the current risk analysis of automobile complex systems. In allusion to the high⁃risk and high⁃complexity problems of new energy vehicles' sudden loss of control accidents， a safety analysis method for new energy vehicles based on STPA and fuzzy Bayesian network is proposed. The system theoretical process analysis （STPA） method is used to analyze the sudden loss of control accidents of new energy vehicles to derive the system⁃level accidents and dangers， construct the control feedback loop， and identify the unsafe control behaviors. A fuzzy Bayesian network is constructed according to the STPA analysis results， and the data are trained by means of GeNIe software to visualize the fuzzy Bayesian network and obtain the occurrence probability of the basic events. According to the experimental simulation the posteriori probabilities of the battery and energy storage system， the motor electronic control and the whole vehicle controller are 0.70， 0.17 and 0.16， respectively. The results show that the method can effectively identify the potential dangers of the system and get the weak links of the system， which can provide the basis for the improvement of the system reliability.

Keywords： new energy vehicles; safety analysis; system⁃theoretic process analysis method; fuzzy Bayesian network; system⁃level accidents; unsafe control behavior

0" 引" 言

目前，在碳中和、碳达峰的国内外形势下，新能源汽车的普及和利用可极大缓解能源利用和环境问题，在国家相关政策的强力推动下，我国已成为全球最大的新能源汽车市场[1⁃2]。截至2022年底，我国新能源汽车市场保持稳步增长，销量达到688.7万辆，同比增长99.1%，占全国汽车总产量的26.1%。随着多种技术应用于新能源汽车领域，传统的安全性分析方法难以适用于复杂多因素耦合的新能源汽车故障。为了保证新能源汽车各系统部件可靠的运行，探索一种更为高效的安全性分析方法成为目前亟需解决的重要技术难题[3⁃4]。

当前新能源汽车故障呈现出复杂多样的特点，涉及机械结构、三电系统、辅助系统等多种系统，传统安全性分析方法难以对新能源汽车事故进行分析[5]。STPA（Systems⁃Theoretic Process Analysis）是基于STAMP模型建立的一种系统性安全分析方法，与其他安全分析方法相比，该方法不仅能对各部件间复杂的非线性交互进行准确描述，还能全面地识别导致事故不安全行为的致因。朱明昌等采用STPA对LNG船对船过驳系统进行系统的安全性分析[6]。结果表明，STPA分析方法可充分考虑未发生故障组件之间的不安全交互。王军武等运用STPA对装配式建筑吊装施工安全进行风险分析，并构建模糊BN模型[7]。

国外学者M. Tsuji将STPA分析方法定义的模型转换为统计模型检查工具的正式模型，并用列车闸门的控制系统体现STPA分析法的有效性[8]。S. Yamaguchi将STPA分析方法与传统安全分析方法进行对比，发现运用STPA分析法可以识别更多的因果情景，并突出人、硬件和软件之间的交互关系[9]。

同时，模糊贝叶斯网络（Fuzzy Bayesian Network， FBN）在系统致因量化分析中得到广泛应用[10]。黄国忠等利用模糊贝叶斯网络模型对人、物、环境三要素展开分析，但并未考虑到多组件之间的交互，对场景分析也有一定的局限性[11]。Zuo F针对传统贝叶斯网络可靠性评价不足的特点，提出一种考虑动态性和模糊性的贝叶斯网络可靠性评价方法[12]。Qiu D针对多因素的隧道安全风险不明的情况，提出一种基于模糊贝叶斯网络的隧道安全风险综合评估方法[13]。结果表明，该方法可较为准确地评估隧道系统的整体风险水平。虽然STPA分析方法可对部件或子系统之间的非线性交互进行准确描述，并进行致因分析，但并未考虑定量分析与概率计算问题。而模糊BN具有强大的不确定性问题处理能力，在解决复杂系统多因素耦合问题时具有显著优势[14]。

针对上述研究现状，提出一种基于STPA结合模糊BN的新能源汽车安全分析性方法。首先，利用STPA识别不安全控制行为和控制缺陷，并分析导致发生问题的致因因素；然后，构建新能源汽车突然失控事故的模糊BN，分析关键故障致因，并进行故障概率计算和预测，实现对新能源汽车突然失控的全面安全性分析。

1" STPA与模糊BN原理

1.1" STPA原理

STPA是在STMAP事故致因模型基础上提出的一种具体危险分析方法，它基于系统理论和控制理论，旨在识别和分析复杂系统中潜在的安全问题[15]。相比于传统安全性分析方法，STPA更加强调系统理论，重视组件交互事件和组件故障的发生，以此来实现安全性和可靠性的分离，并通过一系列步骤找出系统出现问题的根本原因，并对复杂系统进行安全性分析与评估。图1为STPA分析流程。

尽管STPA最初源于学术理论研究，但目前已成功应用于多种领域，如航空航天、交通运输以及国防核电等。

1.2" 模糊BN原理

贝叶斯网络是一种用于描述节点变量之间的概率关系的概率推理模型[16]，其核心在于利用贝叶斯公式定义节点之间的条件概率关系，如下：

[PAB=P（A）PBAP（B）]

式中：[P（A）]和[P（B）]表示先验概率；[PAB]表示后验概率；[PBA]表示条件概率。

也可用TS（TS=0，1，2，…，n）对节点的多种状态进行表示，全概率公式如下：

[P（B）=PBA=TSPA=TS]

模糊BN在传统贝叶斯网络推理算法的基础上引入模糊数学理论，该方法对解决复杂系统中由多因素耦合引起的安全性分析具有明显优势。

2" 新能源汽车突然失控事故安全性分析

基于上述研究现状，本文提出一种基于STPA与模糊BN的新能源汽车安全性分析方法，具体安全分析流程如图2所示。安全分析主要步骤为：利用STPA识别系统级危险及事故，建立控制与反馈回路，识别不安全控制行为；构建模糊BN，利用理论推算形成多态节点故障之间的条件概率表，并计算系统故障概率和后验概率；最终进行致因分析。

2.1" 确定系统级事故及危险

新能源汽车突然失控时的系统级事故，主要涉及三种类型，如下：

1） 车辆损坏（A⁃1）：指在突然失控过程中，由于驾驶人员操作失误、车辆失控等最终导致车体或其他子系统受损；

2） 人员伤亡（A⁃2）：指在汽车处于不可控情况下，导致驾驶员、乘客乃至附近道路的行人伤亡；

3） 道路环境损坏（A⁃3）：指在汽车突然失控过程中，造成对附近道路环境的破坏行为。

系统级危险为导致系统事故的状态和条件，在特定的环境及条件下可导致多种不同类型事故的发生，具体如表1所示。

结合STPA分析方法，对系统级危险进行识别并且展开相应的分析，包括动力短时间内丢失（H⁃1）、无法启动（H⁃2）、无法制动（H⁃3）和车速受限（H⁃4）四种类型。系统级危险是导致系统级事故发生的子集，系统级危险的存在可能会引发多个系统级事故的发生，具体如表2所示。

2.2" 建立控制与反馈结构

控制结构由控制器、执行器、控制过程和传感器组成。执行器根据控制器要求控制受控对象，传感器监测执行状态并向控制器提供反馈信息。根据新能源汽车动力短时间内丢失、无法启动、无法制动、车速受限4类系统级危险来划分影响新能源汽车正常行驶安全的风险因素。将新能源汽车进行STPA模型转化，从多方面建立新能源汽车突然失控事故控制与反馈回路，如图3所示。

2.3" 识别不安全控制行为

在定义安全控制结构后，对新能源汽车的控制与反馈回路展开分析和辨识，识别不安全控制行为，寻找可能导致系统危险状态的因素。根据控制行为可能引起的危险，定义以下4类不安全控制行为，并对控制执行对象潜在的不安全控制行为进行深入研究，见表3。

2.4" 模糊BN系统概率

由于整车系统的高复杂性，以及硬件、软件、各部件之间存在较大的不确定性，基本事件不能简单地定义为二态节点（“正常”或“故障”）。例如，对于通信设备故障而言，除了“正常”和“完全故障”两种状态之外，还存在部分故障的状态。为了更准确地描述部件之间的逻辑关系，将基本事件定义为三态节点，进行定量计算，并重构条件概率表，更准确地描述部件之间的逻辑关系，体现部件的多态性和逻辑关系的不确定性。

在模糊BN中，设根节点变量为xi，存在3种状态，分别用0、1、2表示；中间节点变量为yj，也存在3种状态，用0、1、2表示；系统节点为T，状态用TS=0，1，2表示。已知各个根节点突然失控状态的发生概率为P，系统节点变量T=TS时的发生概率计算公式如下：

[PT=TS=x1，x2，…，xm，y1y2，…，ynPx1，x2，…，xm，y1，y2，…，yn，T=TS" " " " " " " " " " =π（T）PT=TSπ（T）πy1Py1πy1×…×" " " " " " " " " " " " πyiPyjπyj×…×" " " " " " " " " " " "πymPynπynPx1…Pxi…Pxm]

子节点概率计算方法如下：

[PAx1，x2，…，xm=i=1mPAxi]

式中：[PAx1，x2，…，xm]为各基本事件发生的情况下对应中间节点的发生概率。

根节点xi在状态为0、1、2的条件下，顶事件T的故障状态为TS时的概率为：

[PT=TSTS=0，1，2=PT=TS，TS=0，1，2PTS=0，1，2=x1，x2，…，xm，y1，y2，…，ynPx1，x2，…xm，y1，y2，…，yn，T=TS，TS=0，1，2PTS=0，1，2]

利用贝叶斯网络计算在顶事件处于完全故障状态下，底事件发生的后验概率为：

[Px1=1TS=1=x1，x2，…，xmPx1=1TS=1PTS=1]

2.5" 构建模糊BN拓扑模型

依据新能源汽车突然失控事故召回信息，对4种系统级危险分析可知，H⁃2、H⁃3、H⁃4发生概率相对较小。因此，本文重点针对短时间内动力丢失（H⁃1）这一典型由突然失控导致的系统级危险事件展开分析。顶事件T表示动力短时间内丢失，中间事件B表示整车控制器故障，C表示电机电控故障，D表示蓄电池及储能系统故障，基本事件X1～X11分别表示通信设备故障、TM温度传感器故障、电机转速异常、TM温度异常、MCU温度异常、交流过流、电机电控总电压低、SOC低、单体压差大、单体电压异常、蓄电池及其管理系统总电压低，构建新能源汽车突然失控的短时间动力丢失故障树，如图4所示。根据系统分层安全控制结构以及定性分析结果，将故障树转化为模糊多态贝叶斯网络模型的拓扑结构，如图5所示。

3" 算例分析

3.1" 计算模型参数

根据已建立的新能源汽车动力短时间内丢失故障树转化的贝叶斯网络模型和项目信息，选取整车控制器、电机电控以及蓄电池及储能系统作为研究对象。结合领域内专家对所提模型根节点的先验概率及各中间节点之间的条件概率，以及某车企提供的部件故障概率，得出各节点基本事件、父节点的先验概率值，见表4。

根据贝叶斯网络构建的原则，选择逻辑门转化、噪声门或专家意见采集等方法确定各节点的条件概率。以节点D（蓄电池及储能系统故障）为例，列出各父节点状态组合及对应子节点故障的条件概率，完成贝叶斯网络模型的建立。节点D模糊CPT值如表5所示。

3.2" 试验仿真分析

使用GeNIe软件，结合案例数据进行训练并修正先验概率，将11个根节点的先验概率添加到初始贝叶斯网络中，更新内部节点，确定不同状态下顶事件发生的概率。模糊BN先验概率结果如图6所示。

通过贝叶斯推理可知，新能源汽车严重突然失控的可能性为45%，轻微突然失控的可能性为90%，突然失控事故不发生的可能性为97%。基本符合新能源汽车突然失控事故发生时的各状态概率情况。

将“动力短时间内丢失”顶事件设定为“YES”，通过反向推理，计算各基本事件的后验概率，结果如图7所示。

由图7可知：“总电压低”和“SOC低”在导致车辆动力短时间内丢失中致因占比分别为27%和26%；“通信故障”和“单体电压大”在导致动力短时间内丢失致因占比均为16%。因此，“总电压低”“SOC低”“通信故障”“单体电压大”是新能源汽车突然失控事故的关键致因。由于不同故障在系统中的发生程度和重要性不同，由此可找到系统中的薄弱环节，也为改善系统的可靠性提供基础和依据。

4" 结" 论

从系统工程角度出发，对新能源汽车突然失控研究可知，在车辆行驶过程中，涉及大量人、软件、道路环境和硬件设备之间的交互和控制过程，存在许多潜在的安全性问题。本研究将新能源汽车突然失控事故作为系统性安全问题，提出一种基于STPA与模糊BN的新能源汽车安全分析方法，有以下创新点：

1） 采用STPA方法进行安全性分析。分析新能源汽车突然失控事故，形成系统级危险及事故，搭建控制与反馈回路，并识别潜在的不安全控制行为。

2） 使用模糊BN进行定量分析计算。依据STPA定性分析结果，采用BN进行多态分析与概率计算，并结合反向诊断推理，求得各基本事件在顶事件发生下的后验概率，最后展开相应的致因分析。

由于新能源汽车突然失控事故数据有限，难以获取且不易整理，后续仍需考虑在进行新能源汽车突然失控事故安全分析时，结合有限的数据来达到定量分析所需的精确性，提高定性与定量分析的可靠性与准确性。

注：本文通讯作者为周娟。

参考文献

[1] QIAO Q， ZHAO F， LIU Z， et al. Cradle⁃to⁃gate greenhouse gas emissions of battery electric and internal combustion engine vehicles in China [J]. Applied energy， 2017， 204 ： 1399⁃1411.

[2] 高鉴，童昕，贺灿飞.领先市场对中国汽车产业新能源技术转型的影响[J].北京大学学报（自然科学版），2023，59（4）：671⁃680.

[3] 付佩，兰利波，陈颖，等.面向2035的节能与新能源汽车全生命周期碳排放预测评价[J].环境科学，2023，44（4）：2365⁃2374.

[4] ZHANG X， BAI X， ZHONG H. Electric vehicle adoption in license plate⁃controlled big cities： Evidence from Beijing [J]. Journal of cleaner production， 2018， 202： 191⁃196.

[5] 孙振宇，王震坡，刘鹏，等.新能源汽车动力电池系统故障诊断研究综述[J].机械工程学报，2021，57（14）：87⁃104.

[6] 朱明昌，黄立文，谢澄，等.基于STAMP/STPA的LNG船对船过驳系统安全性分析[J].交通信息与安全，2021，39（6）：44⁃53.

[7] 王军武，潘子瑶，王靖，等.基于STPA和模糊BN的装配式建筑吊装施工安全风险分析[J].中国安全生产科学技术，2022，18（4）：12⁃19.

[8] TSUJI M， TAKAI T， KAKIMOTO K， et al. Prioritizing scenarios based on STAMP/STPA using statistical model checking [C]// 2020 IEEE International Conference on Software Testing， Verification and Validation Workshops. [S.l.]： IEEE， 2020： 124⁃132.

[9] YAMAGUCHI S， THOMAS J. A system safety approach for tomographic treatment [J]. Safety science， 2019， 118： 772⁃782.

[10] 尹晓伟，钱文学，谢里阳.基于贝叶斯网络的多状态系统可靠性建模与评估[J].机械工程学报，2009，45（2）：206⁃212.

[11] 黄国忠，姜莉文，谢志利，等.基于模糊贝叶斯网络的电动平衡车失速事故发生可能性研究[J].安全与环境学报，2018，18（6）：2081⁃2085.

[12] ZUO F， JIA M， WEN G， et al. Reliability modeling and evaluation of complex multi⁃state system based on bayesian networks considering fuzzy dynamic of faults [J]. CMES⁃computer modeling in engineering amp; sciences， 2021（11）： 20.

[13] QIU D， QU C， XUE Y， et al. A comprehensive assessment method for safety risk of gas tunnel construction based on fuzzy Bayesian network [J]. Polish journal of environmental studies， 2020， 29（6）： 115979.

[14] MAHAJAN H S， BRADLEY T， PASRICHA S. Application of systems theoretic process analysis to a lane keeping assist system [J]. Reliability engineering amp; system safety， 2017， 167： 177⁃183.

[15] LEVESON N. A new accident model for engineering safer systems [J]. Safety science， 2004（4）： 42.

[16] 陈洪转，赵爱佳，李腾蛟，等.基于故障树的复杂装备模糊贝叶斯网络推理故障诊断[J].系统工程与电子技术，2021，43（5）：1248⁃1261.

作者简介：张" 顺（1998—），男，安徽人，硕士研究生，主要研究方向为系统安全分析。

周" 娟（1979—），女，湖北人，博士，副教授，主要研究方向为质量工程。