自上世纪70年代以来, 非线性控制系统理论获得了快速发展. 经过多年的努力, 控制学界已经在非线性控制系统的结构分析、稳定性分析、镇定设计以及非线性自适应和鲁棒控制等方面取得了突破性的研究成果^[1-3]. 随着系统自主智能性的不断提高, 保证控制系统的安全性(Safety)变得越来越重要^[4]. 现在, 非线性控制系统的安全分析与控制已经成为了当今控制领域的主流方向之一.

控制系统安全性的研究可以追溯到上世纪40年代日本学者Nagumo在不变集充要条件上的开拓性工作^[5]. 如今, 安全性的研究已经从多个角度同时开展. 当前的安全分析与控制方法主要包括模型检测(Model checking^[6-7])、可达性分析(Reachability analysis^[8-10])以及障碍函数(Barrier function^[11-14])等.

模型检测通过穷举系统所有可能发生的动态行为以检测安全性. 值得注意, 现代控制系统往往同时包含连续和离散两种动态. 连续动态的存在导致系统具有无穷多种可能的动态行为, 从而造成模型检测方法在控制系统的安全分析与控制上受到巨大的限制. 可达性分析是另一种能够有效解决连续控制系统安全分析与控制的方法. 该方法具有成熟的计算工具包^[15-16], 并已经被广泛地应用于现实中带有安全性约束的控制问题^[17-19]. 然而, 可达集计算需要在状态空间上求解哈密顿−雅可比偏微分方程, 而这个过程对于非线性系统来说通常是比较困难的.

障碍函数最早应用于优化领域^[20]. 与模型检测和可达性分析相比, 障碍函数方法可以高效地解决非线性控制系统的安全分析与控制问题, 并能够避免计算系统的状态轨迹或可达集. 在基于障碍函数的安全控制与分析框架下, 非线性系统的安全性分析可以通过障碍函数转化为凸优化问题^[11], 能够有效降低安全性分析的计算复杂度和保守性; 而对于安全控制设计, 则可以通过控制障碍函数把安全性约束嵌入到反馈控制器^[12-14], 能够有效地保证控制算法的实时性. 近年来, 在Prajna、Ames以及Xu等一批学者的共同努力下, 障碍函数已经成为了一种重要的安全分析与控制方法^[11-14], 并被广泛地应用于生命维持系统^[21]、集群机器人^[22]以及自动驾驶^[23] 等实际问题的分析和设计.

本文将对障碍函数方法在非线性控制系统的安全分析与控制上的最新成果进行综述. 我们首先回顾了基于障碍函数的安全性分析理论. 随后介绍了基于障碍函数的安全控制设计方法. 最后简要地概括了现有障碍函数方法的不足之处, 浅析其未来的研究方向.

1.   基于障碍函数的安全性分析

在这部分, 我们首先回顾基于障碍函数的非线性系统安全性分析的重要理论成果.

1.1   自治系统的安全性分析

考虑非线性自治系统

其中, $ x\in {\bf{R}}^n $为系统状态, $ f: {\bf{R}}^n\rightarrow {\bf{R}}^n $为局部利普希茨连续的向量场. 对于任意初始状态$ x_0=x(t_0) $, 记$ x(t,x_0) $为系统(1)的解. 在不引起歧义的情况下, 本文将$ x(t,x_0) $简写成$ x(t) $.

假设系统(1)的安全性约束可以通过以下集合刻画:

其中, $ h: {\bf{R}}^n\rightarrow {\bf{R}} $是一个与系统安全性相关的连续标量函数. 该函数的零水平集将不安全区域$ \chi_u $隔开, 使得$ \mathcal{S}\subseteq {\bf{R}}^n\backslash\chi_u $. 在本文的随后部分, 我们把$ \mathcal{S} $称为系统(1)的安全集.

定义 1^[12-14]. 对于系统(1), 如果状态$ x(t,x_0) $从安全集$ \mathcal{S} $出发, 即$ x_0\in \mathcal{S} $, 并始终停留在$ \mathcal{S} $中, 则称该系统是安全的.

基于障碍函数的安全性分析方法最早可见于文献[24-25]. 其基本思想是根据系统的结构信息和安全性约束构造标量函数$ h(x) $, 以检测安全集$ \mathcal{S} $的不变性. 令$ B(x)=-h(x) $. 文献[24-25]指出, 如果

则$ \mathcal{S} $是一个不变集, 即系统(1)是安全的. 在这里, $ L_fB(x) $表示$ B(x) $沿着向量场$ f $的Lie导数. 本质上, 条件(3)等价于

定理 1^[24-25]. 对于系统(1), 如果存在连续可导函数$ h: {\bf{R}}^n\rightarrow {\bf{R}} $使得(4)成立, 则该系统是安全的.

满足(4)的障碍函数$ h(x) $也被称为障碍证书(Barrier certificate, BC). 回顾经典的李雅普诺夫条件^[2]可知, $ h(x) $本质上是一种不具有正定特性的类李雅普诺夫函数. 该方法不需要穷举系统的动态行为, 并且避免了显式计算系统的状态轨迹或可达集. 此外, 满足(4)的障碍函数集合是一个凸集, 即对于任意满足(4)的障碍函数$ h_1(x) $和$ h_2(x) $以及任意的常数$ a\in[0,1] $, $ h(x)=ah_1(x)+(1-a)h_2(x) $仍然是一个满足(4)的障碍函数. 该特性意味着可以利用凸优化方法搜索障碍函数以验证系统的安全性, 能够为障碍函数的计算性综合带来巨大好处. 在文献[26], Prajna等进一步指出如果系统是安全的, 则必然存在满足BC条件(4)的标量函数$ h(x) $. 随后, 障碍函数方法获得了大量的关注. 例如, 文献[27]利用障碍函数方法验证复杂系统的时序逻辑属性, 而文献[28-31]则进一步对障碍函数的逆定理进行探索.

根据BC条件(4)可知, 状态轨迹$ x(t) $的运动方向始终指向安全集$ \mathcal{S} $的内部. 在该条件下, 即使$ x(t) $处于足够安全的位置(离不安全区域足够远), 也不可以朝着安全集$ \mathcal{S} $边缘的方向移动. 这意味着定理1的分析方法是保守的, 同时也制约了该定理在安全控制上的应用. 为了降低BC条件的保守性, 国内外众多研究人员在过去十余年进行了大量的探索. 如今, 相关研究成果大致可以分为两类.

第一类障碍函数仅在安全集$ \mathcal{S} $内部具有定义, 并随着系统状态$ x(t) $靠近$ \mathcal{S} $的边缘而趋向于无穷大, 典型例子包括倒数障碍函数(Reciprocal barrier function, RBF^{[12, 32]})、障碍李雅普诺夫函数(Barrier Lyapunov function, BLF^[33-35])等. 此类障碍函数具有以下两点不足. 首先, 当$ h(x) $随着$ x(t) $靠近安全集边缘而趋向于无穷大时, 将不可避免地造成控制幅值过大. 其次, 在外部扰动的作用下, 系统实际的初始状态可能会偏离安全集. 例如, 给定预设的初始状态$ x_{0}^d\in \mathcal{S} $, 如果系统初始化时受到环境噪声的影响从而产生初始化偏差$ \delta $, 那么实际的初始状态将变为$ x_0=x_{0}^d+\delta $. 这可能会导致$ x_0\notin \mathcal{S} $, 从而大大降低了此类障碍函数分析方法的适用性.

另一类障碍函数在状态空间具有全局定义, 并且随着状态轨迹靠近安全集边缘而趋于零. 此类障碍函数又被称为零点障碍函数(Zeroing barrier function, ZBF), 其定义最早由文献[36]提出. 随后, Xu及其合作者提出非线性版本的ZBF, 并从集合渐近稳定性的角度指出ZBF对初始状态的偏差具有鲁棒性^[13]. 以上的这些优点使得ZBF成为当今安全分析与控制领域应用最广的障碍函数.

定义 2^[13]. 对于系统(1), 如果函数$ h: {\bf{R}}^n\rightarrow {\bf{R}} $连续可微并且满足

则称该函数为系统(1)的ZBF. 这里, $ \alpha $是一个局部利普希茨连续的扩展$ {K} $类函数^①.

定理 2^[13]. 如果系统(1)具有满足(5)的ZBF, 则该系统是安全的.

由(2)可知, 当$ x(t) $处于$ \mathcal{S} $内部时, $ \alpha(h(x))>0 $. 因此, 在ZBF条件(5)下, $ x(t) $可以朝安全集$ \mathcal{S} $边缘方向运动. 此外, 由(5)可知, 当$ x(t) $处于安全集$ \mathcal{S} $的内部并且运动方向指向$ \mathcal{S} $的边缘时, 其速度上限由$ \alpha(h(x)) $决定; 当$ x(t) $运动至$ \mathcal{S} $边缘时, 该轨迹指向不安全区域方向的速度分量衰减至零, 即

这意味着状态轨迹$ x(t) $不能继续跨过安全集边缘进入不安全区域. 从这个角度上理解, ZBF条件(5)对$ x(t) $的作用相当于汽车的刹车系统.

此外, 文献[13]从集合渐近稳定的角度指出ZBF对初始状态的偏差具有鲁棒性, 其具体分析过程如下. 考虑标量函数

根据(5)可得: 1) 当$ x\in \mathcal{S} $, $ V(x)=0 $; 2) 当$ x\in {\bf{R}}^n\backslash \mathcal{S} $, $ V(x)>0 $; 3) 对于任意$ x\in {\bf{R}}^n\backslash \mathcal{S} $,

因此, $ V(x) $是一个有效的李雅普诺夫函数. 由李雅普诺夫理论^[37]可知, 系统(1)相对于安全集$ \mathcal{S} $是渐近稳定的, 即:

其中, $ \beta $为$ KL $类函数, $ |x|_{ \mathcal{S}} $表示欧几里德空间内一点$ x $到集合$ \mathcal{S} $的距离. 由$ KL $类函数性质可知: 1) 如果$ x_0\in \mathcal{S} $, 那么$ |x(t,x_0)|_ \mathcal{S}=\beta(0,t-t_0)\equiv0 $, 系统状态$ x(t) $始终停留在安全集 $ \mathcal{S} $的内部; 2) 如果$ x_0\notin \mathcal{S} $, 那么$ |x(t,x_0)|_ \mathcal{S} $随着$ t $增大而逐渐减小至零, 状态轨迹$ x(t,x_0) $最终会进入并始终保持在$ \mathcal{S} $内部. 上述性质表明ZBF对初始状态的偏差具有鲁棒性.

近年来, ZBF方法被进一步推广. 例如, 文献[38]把有限时间稳定的思想应用到安全性分析, 提出了有限时间收敛ZBF, 而文献[39]则通过引入非光滑分析技术把ZBF推广至微分包含, 去除了传统ZBF的连续可微限制. 此外, 文献[40]针对离散系统, 提出了离散时间ZBF.

1.2   输入−状态安全系统的安全性分析

我们前面讨论了无输入非线性自治系统的安全性分析, 但是实际中的非线性系统常常会受到外部扰动的影响. 为此, 我们在这里进一步讨论带有外部输入的非线性系统的安全性分析. 这类方法有助于分析外部扰动带来的不确定性对系统安全的影响. 考虑

其中, $ x\in {\bf{R}}^n $为系统状态, $ u\in {\bf{R}}^m $为输入, $ f: {\bf{R}}^n\times {\bf{R}}^m\rightarrow {\bf{R}}^n $为局部利普希茨连续函数. 在这里, $ u: {\bf{R}}_{\geq0}\rightarrow {\bf{R}}^m $可用于描述外部输入或扰动为系统所带来的不确定性. 根据惯例, 我们假设$ u(\cdot) $是可测且局部本质有界的, 并将此类函数记作$ L_\infty^m $.

输入−状态安全(Input-to-state safety, ISSf)是刻画外部输入$ u $对系统安全性影响的一种重要工具. ISSf是输入−状态稳定性(Input-to-state stability, ISS^[41])在安全性分析上所对应的概念, 其定义最早由文献[42-43]给出. 该定义要求系统状态$ x(t) $到不安全区域的最小距离随着时间$ t $的增大而增大, 存在较大保守性. 随后, 文献[44]首次从ZBF的角度重定义了ISSf. 该定义继承了ZBF分析方法的鲁棒性强、保守性低等优点.

假设系统(7)的安全性约束可以由(2) 所定义的集合$ \mathcal{S} $描述. 另外, 定义集合

其中, $ \|u\|=\sup\{|u(t)|, t\geq0\} $表示$ u $的$ L_\infty^m $范数, $ \gamma $为$ K $类函数. 比较(2)和(8)可知, 对于任意$ u\in L_\infty ^m $, $ \mathcal{S} $是$ \mathcal{C} $的一个子集. 并且, 当$ u\equiv0 $时, $ \mathcal{S}= \mathcal{C} $.

定义 3^[44]. 对于非线性系统(7), 如果状态轨迹$ x(t,x_0) $从安全集$ \mathcal{S} $出发, 即$ x_0\in \mathcal{S} $, 并始终停留在更大的集合$ \mathcal{C} $中, 则称该系统是输入−状态安全的. 这里, $ \gamma $被称为系统的ISSf增益.

根据定义3可知, ISSf意味着对于任意从安全集$ \mathcal{S} $出发的状态轨迹$ x(t,x_0) $, 由于外部输入$ u $带来的不确定性的存在, $ x(t) $可能会离开$ \mathcal{S} $, 但是始终停留在一个包含$ \mathcal{S} $的大集合$ \mathcal{C} $内部, 并且$ \mathcal{S} $和$ \mathcal{C} $的最大边缘距离为$ \gamma(\|u\|) $. 因此, 在设计系统时, 必须预留$ \gamma(\|u\|) $的安全裕度. 当系统ISSf增益$ \gamma $或外部输入的幅值$ |u| $减小时, $ \mathcal{S} $和$ \mathcal{C} $的最大边缘距离随之减小. 因此, 外部输入$ u $对系统安全性的影响就越小, 系统维持安全性的把握更大.

ISSf障碍函数(ISSf barrier function, ISSf-BF)是分析系统ISSf的有效工具, 其定义最早由文献[44]给出.

定义 4^[44]. 考虑系统(7). 如果对于任意$ x\in {\bf{R}}^n $以及$ u\in L_\infty^m $, 函数$ h: {\bf{R}}^n\rightarrow {\bf{R}} $连续可微并且满足

则称该函数为系统(1)的ISSf-BF. 这里, $ \alpha $为局部利普希茨连续的扩展$ K_\infty $类函数, $ \phi $为$ K $类函数.

最近, 文献[45]提出了另一种等价的ISSf-BF定义:

其中, $ \sigma $为扩展$ K $类函数, $ \gamma $为$ K $类函数. 不难看出, (9)和(10)可以分别视为耗散型和增益裕度型ISS李雅普诺夫函数^[41]在安全性分析上所对应的概念.

定理 3^[44-45]. 如果系统(7)具有满足(9)或(10) 的ISSf-BF, 则该系统是ISSf的, 即对于任意$ x_0\in \mathcal{S} $, $ x(t,x_0) $始终停留在(8)的集合$ \mathcal{C} $中.

近年来, ISSf-BF已经在非线性系统的安全分析与控制上发挥着重要的作用. 例如, 著名学者Krstic利用(10)定义的ISSf-BF提出了一套逆最优安全控制设计方法^[46]; 而文献[47-49]采用ISSf-BF分析事件触发采样机制对闭环系统安全性的影响.

注意到定理3要求安全约束的相对阶(Relative degree)等于1. 也就是, 对ISSf-BF候选函数$ h(x) $进行一次微分即可获得外部输入$ u $的信息^②. 然而, 大多数复杂系统并不能满足这个要求, 典型的例子包括具有输出约束的欧拉−拉格朗日系统^[50]、小车−弹簧−倒立摆系统^[51]等. 针对这个问题, 学术界已经从安全性分析^[52]和安全控制设计^[53-56]等不同的角度探索高阶约束下的外部输入$ u $对系统安全性的影响. 在安全性分析方面, 文献[52]提出了高阶的ISSf-BF. 为了给出高阶ISSf-BF (相对阶为$ r $)的定义, 令

其中, $ 1\leq k\leq r $为整数, $ \alpha_k $为扩展$ K_\infty $类函数.

定义 5^[52]. 如果$ h: {\bf{R}}^n\rightarrow {\bf{R}} $为$r $阶连续可微函数并且满足(11)及

则称该函数为系统(7)的$ r $阶ISSf-BF. 这里, $ \gamma $是一个$ K $类函数.

定理 4^[52]. 如果系统(7)具有满足(11)和(12)的$ r $阶ISSf-BF, 那么该系统是ISSf的.

1.3   障碍函数的计算方法

障碍函数安全性分析理论把系统的安全性验证问题转化为寻找障碍函数, 从而避免显式计算系统的状态轨迹或可达集. 但是, 对于一般化的非线性系统, 目前并没有普适的障碍函数构造方法.

受到非线性系统的李雅普诺夫函数计算方法^[57]的启发, Prajna等在文献[24-25]中指出, 如果系统函数$ f(x) $具有多项式结构并且安全性约束可通过多项式结构的等式/不等式描述时, 则可以利用平方和(Sum of squares, SOS)规划^[57]自动搜索满足BC条件(4)的障碍函数. 随后, Xu等进一步把SOS规划应用于自动搜索满足条件(5)的ZBF^[23]. SOS规划是一种凸优化方法, 可以有效降低自动搜索障碍函数的保守性. 该过程相对于系统维数具有多项式复杂度, 并可以通过现有的成熟软件包(如SOSTOOLS^[58-59]、SOSOPT^[60]等)完成. 上述优势使得SOS规划成为了寻找非线性系统障碍函数的主流解决方案.

对于任意的多项式$ p(x) $, 如果存在一组多项式$p_1(x), \cdots, p_m(x)$使得

则称$ p(x) $为一个具有SOS结构的多项式. 显然, 对于任意SOS多项式$ p(x) $, 其次数必定为偶数, 记为$ 2d $. 令$ \Sigma[x] $表示具有SOS多项式的集合. 根据文献[57], 检测多项式函数$ p(x) $是否具有SOS结构等价于寻找半正定实数矩阵$ Q $, 使得

其中, $ Z(x) $是由次数不大于$ d $的单项式组成的向量. 显然, 约束(13)相对于待搜索参数矩阵$ Q $具有凸性. 在控制领域, 参数矩阵$ Q $的搜索可以通过半定规划(Semidefinite program)完成^[57].

以下结果可通过文献[23-25, 36]的证明方法得到.

定理 5. 考虑系统(1). 假设$ f(x) $具有多项式结构, 并且存在多项式函数$ \rho(x) $使得

其中, $ \chi_u $为系统的不安全区域. 对于具有多项式结构的连续可导函数$ h: {\bf{R}}^n\rightarrow {\bf{R}} $以及常数$ \lambda>0 $, 如果

则$ h(x) $为系统(1)的ZBF.

为保证本文的完整性, 我们简要概述SOS规划搜索ZBF的操作过程, 具体可分为以下三步.

第一步. 选定多项式ZBF候选函数的阶数$ d $, 并将$ h(x) $参数化为

其中, $b_1(x) , \cdots,$$ b_m(x) $是一组多项式基, $ m $为待设计的整数, $a_1 , \cdots,$$ a_m>0 $是一组可以由SOS规划搜索得到的参数.

第二步. 根据$ d $的取值确定$ s_1(x) $和$ s_2(x) $的阶数, 并利用第一步的方法将$ s_1(x) $和$ s_2(x) $参数化为

其中, $ s_{i,1}(x) , \cdots,$ $ s_{i,m}(x) $为一组与$ s_i(x) $维数相同的多项式向量, $c_{i,1}, \cdots,$ $ c_{i,m} $是一组由SOS搜索得到的参数. 文献[36]指出, 为了保证(14a)和(14b)同时成立, $s_1^{\text{T}}(x)\rho(x)$和$ s_2(x)h(x) $中至少有一项的阶数不小于$ d $.

第三步. 利用SOS规划搜索满足(14a) ~ (14c)的参数$ a_{j} $和$ c_{i,j} $($ i=1,2 $; $j=1,\cdots,m)$.

1.4   组合系统的安全性分析

我们已经回顾了在系统具有多项式结构的情况下, 利用SOS规划计算障碍函数需要多项式复杂度. 这意味着随着系统的规模增大, 该计算方法将不可避免地陷入到“维数灾难”中. 由于现实中的复杂系统通常是由多个相对独立模块或子系统相互连接而成的组合系统(Compositional system)^③, 一个有效的解决思路是先利用障碍函数理论对较为简单的子系统进行单独的安全性分析, 然后通过组合系统分析工具(如, 无源性理论^[61]、小增益理论^[62] 等)从子系统的安全属性中推导出整体系统的安全性.

小增益理论是组合系统的有效分析工具. 早期小增益理论是从输入−输出角度提出的, 只针对系统增益具有线性或仿射形式的情况^[62]. 随后, 文献[63]把小增益理论推广至非线性增益形式. 到了上世纪90年代, 小增益理论在ISS框架得到进一步发展^[64-65]. 近年来, 文献[45, 52, 66-67]从ISSf-BF的角度出发, 建立了安全性分析的小增益理论. 考虑组合系统

其中, $ x_i\in {\bf{R}}^{n_i} $, $ u\in {\bf{R}}^{m_i} $ ($ i=1,2 $). 假设(15)的每一个子系统均满足ISSf-BF条件

其中, $ i=1,2 $, $ \alpha_i $和$ \phi_i $为扩展$ K_\infty $类函数, $ \gamma_i $为$ K $类函数. 根据(16)可知, $ x_i $-子系统相对于输入$ (x_{3-i}, u_i) $是ISSf的. 并且, 从$ h_{3-i}(x_{3-i}) $到$ h_i(x_i) $的ISSf增益为

其中, 记号“$ \circ $”表示函数复合运算符, Id表示单位函数, $ \rho $为任意的扩展$ K_\infty $类函数. 文献[45]指出, 在小增益条件下, 子系统的ISSf性质可以传递到组合系统(15).

定理 6^[45]. 假设系统(15)的子系统均满足(16), 则该系统也是ISSf的, 如果以下小增益条件成立:

例 1. 考虑串联系统

显然, (19)是(15)的特例. 假设$ x_1 $-子系统的ISSf-BF满足(16), $ x_2 $-子系统的ISSf-BF满足

不难发现, 当$ \phi_2(s)\equiv0 $时, 小增益条件(18)恒成立. 因此, 根据定理6可得, 串联系统(19)是ISSf的.

最近, 国内外研究人员从不同的角度对安全性分析的小增益定理进行了更深入的探索. 例如, 文献[66]针对更复杂网络化系统的安全性分析提出了回路小增益定理; 而文献[67]则利用离散小增益定理对具有复杂时序逻辑约束的大规模系统进行安全性验证, 以降低传统方法的计算复杂度. 另外, 定理6只针对于具有低阶安全性约束. 然而, 实际中的控制系统并不是总能满足该要求, 典型例子包括小车−弹簧−倒立摆系统^[51]等. 针对该问题, 文献[52]进一步提出高阶安全性约束的小增益定理, 并指出组合系统的ISSf-BF具有ZBF一样的鲁棒性. 假设系统(15)的安全性约束可以由以下高阶ISSf-BF刻画:

其中, $ \alpha_{i,k} $和$ \phi_i $为扩展$ K_\infty $类函数, $ \gamma_i $为$ K $类函数. 在高阶ISSf-BF条件(20)的意义下, 我们可以确定$ x_i $-子系统的ISSf增益为

其中, $ \sigma $为任意的扩展$ K_\infty $类函数. 文献[52]指出, 如果系统(15)的ISSf增益$ \hat\phi_1 $和$ \hat\phi_2 $满足小增益条件(18), 则该系统仍然是ISSf.

1.5   时序逻辑约束下的安全性验证

上面介绍的安全性验证方法只考虑了底层物理动态的安全性约束. 为了提高对复杂系统分析和综合的效率, 人们会在系统设计中引入逻辑推理. 这时, 控制系统可以看作由上层逻辑和底层动力学两部分组成, 其安全性也需要在上述两个层面上得到保证. 也就是, 系统的安全运行需要在底层满足元器件的物理约束(例如, 电机扭矩不能过大), 并且在上层也要满足预设的时序逻辑约束(例如, 系统需要按照正确的顺序完成一系列任务)^[68]. 在这种情况下, 控制系统将会表现出复杂的混杂行为, 对其安全性进行有效分析是当今学术界正在探索的重要方向之一.

线性时序逻辑(Linear temporal logic, LTL^[69])是一种能够描述控制系统动力学特性的形式化语言. LTL语言由逻辑运算符和时序运算符组成, 其句法规则可以写成如下的形式:

这里, $ p $为原子命题, $ \phi $, $ \phi_1 $和$ \phi_2 $为LTL公式, $ \wedge $和$ \neg $分别表示逻辑运算符“与”和“非”, $ \text{O} $和$ \text{U} $分别表示时序运算符“next”和“until”. 对于具有LTL约束的离散控制系统, 国内外学者已经借助模型检测技术建立了许多有效的安全性分析方法^[70]; 而对于连续控制系统, 传统的解决思路是先对原系统进行抽象化处理得到离散的标签转移系统(Labeled transition system, LTS), 然后利用模型检测工具验证这一个LTS是否满足预设的LTL约束, 以判断原系统是否能够安全运行. 值得注意, 上述抽象化得到的LTS大小随着原系统的维数增大而指数增长^[6], 极大地制约了模型检测方法应用. 目前, 国内外学者正从多个方面对无抽象化的安全性分析技术进行探索.

障碍函数是一种具有广阔前景的无抽象化安全性分析技术. 文献[26]首先指出, 控制系统常见的“always”和“eventually”时序约束下的安全性验证问题均可分别通过障碍函数转化为凸优化问题. 随后, 文献[27]进一步针对LTL约束下的安全性分析问题, 结合自动机理论和障碍函数提出了一套无抽象的验证方法. 该方法首先利用自动机理论把复杂的LTL约束拆分成一系列简单的安全性约束, 并进一步利用障碍函数方法验证系统是否满足这些简单的安全性约束. 值得注意, 虽然该方法避免了抽象化过程, 但是其计算障碍函数过程的复杂度仍受限于系统维数以及LTL规约长度. 并且, 虽然该方法具有可靠性, 但却不具有完备性. 也就是, 如果该方法检测到系统满足LTL约束$ \phi $, 则该结果为真; 但是, 如果没有检测到系统满足LTL约束$ \phi $, 则不能说明系统一定不能满足此约束.

2.   基于障碍函数的安全控制

我们在前面简要综述了基于障碍函数的安全性分析理论成果. 值得注意, 实际的自主智能控制系统并不是总能满足安全性约束. 在这种情况下, 借助反馈控制的手段来保证闭环系统的安全性就显得尤为重要. 在这里, 我们将介绍基于障碍函数的安全控制设计方法. 考虑非线性仿射控制系统

其中, $ x\in {\bf{R}}^n $为系统状态, $ u\in {\bf{R}}^m $为控制输入, $ f: {\bf{R}}^n\rightarrow {\bf{R}}^n $和$ g: {\bf{R}}^n\rightarrow {\bf{R}}^n\times {\bf{R}}^m $为局部利普希茨连续的向量场. 假设系统(21) 的安全性约束可由(2)中的集合$ \mathcal{S} $描述.

2.1   控制障碍函数

值得注意, 安全性分析中的障碍函数理论成果仅能用于无控制输入非线性系统的安全性分析, 并不能直接用于安全控制设计. 为此, 文献[71]受到控制李雅普诺夫函数(Control Lyaupnov function, CLF^[72-73])的启发, 提出了控制障碍函数(Control barrier function, CBF). 这个概念是障碍函数安全控制理论的核心. 通过CBF, 我们可以建立系统安全性约束和控制输入的直接联系. 基于文献[13-14]在障碍函数理论作出的突破性贡献, CBF方法也被推广到ZBF. 由于ZBF是当前应用最广泛的障碍函数, 所以在不引起歧义的情况下, CBF通常指代的就是零点控制障碍函数(Zeroing control barrier function).

定义 6^[13-14]. 对于非线性控制系统(21), 如果函数$ h: {\bf{R}}^{n} \rightarrow {\bf{R}} $连续可微且满足

则称该函数为系统(21)的CBF. 在这里, $ \alpha $是一个局部利普希茨连续的扩展$ K $类函数.

显然, 如果$ L_fh(x)\neq0 $, 则$ h(x) $必然是一个有效的CBF. 定义集合

不难发现, 如果$ h(x) $是开环系统(21)的CBF, 则对于任意反馈律$ k(x)\in K_{cbf}(x) $, $ h(x) $同时也是闭环系统$ \dot{x}=f(x)+g(x)k(x) $的ZBF. CBF的优势在于能够给出反馈控制$ u $的可选范围, 而不需要求出$ u $的显式表达式. 这个特点有利于将安全性约束通过CBF嵌入到反馈律中.

定理 7^[13-14]. 对于控制系统(21), 如果$ h(x) $是一个有效的CBF, 则任意的局部利普希茨反馈律$ k(x)\in K_{cbf}(x) $均可保证由(21)和$ u=k(x) $组成的闭环系统是安全的.

可以看出, 上述CBF需要满足$ L_gh(x)\neq0 $, 才能保证$ K_{cbf}(x) $是一个非空集合. 这类CBF又被称作具有相对阶1.

由于控制系统本身的复杂性, 现实中的安全性约束通常不能被这种一阶CBF刻画. 近年来, 学术界对高阶CBF进行了深入的探索. 例如, 文献[74]受到非线性控制中著名的反步设计方法^[75]启发, 提出了一种高阶CBF的构造方法. 这种构造方法的实现难度较大, 并且容易造成系统状态在靠近安全集边缘的时候控制幅值过大. 针对上述方法的不足, 文献[53]从线性控制理论的角度出发, 提出了另一种指数型的高阶CBF构造方法. 随后, 文献[54-56]先后提出了时变版本和非线性版本的高阶CBF. 由于篇幅有限, 本文仅介绍指数型的高阶CBF. 为引入这个概念, 假设标量函数$ h: {\bf{R}}^n\rightarrow {\bf{R}} $具有相对阶$ r $, 即对于任意$ x\in {\bf{R}}^n $, $L_gh(x)=L_gL_fh(x)=\cdots= L_g^{r-2}h(x)=0$且$ L_gL_f^{r-1}h(x)\neq0 $. 令

定义 7^[53]. 对于控制系统(21), 如果存在常数$ a_1,\cdots,a_r $使得

并且特征方程

的所有特征根均小于零, 则称$ h(x) $为具有相对阶$ r $的CBF. 这里, $ \lambda=[a_1,\cdots,a_r]^ \text{T} $.

令$ p_1,\cdots,p_r $为特征方程(25)的根. 定义

以及集合

这里, $ k=1,\cdots,r $. 显然, $ \mathcal{S}_0= \mathcal{S} $, 并且 $ \bigcap_{k=0}^r \mathcal{S}_k\subseteq \mathcal{S} $. 令

该集合可以理解为在$ r $阶CBF意义下的控制信号可选范围. 由于$ L_gL_f^{r-1}h(x)\neq0 $, $ K_{hocbf}(x) $必然是一个非空集合.

定理 8^[53]. 对于控制系统(21), 如果$ h(x) $是一个有效的$ r $阶CBF并且初始状态满足$ x_0\in\bigcap_{k=0}^r \mathcal{S}_k $, 则任意局部利普希茨$ k(x)\in K_{hocbf}(x) $均可保证由(21)和$ u=k(x) $组成的闭环系统是安全的.

2.2   CLF和CBF的统一设计方案

值得注意, CBF方法只能保证系统不违反安全性约束, 而实际中的控制系统往往还需要在不违反安全性约束的前提下实现控制目标(如镇定、跟踪等). 在CBF的安全控制框架中, 系统的控制目标通常由CLF刻画. 然而, 在实际应用中, 由于系统控制通道往往是给定的, 如何将CLF和CBF所刻画的反馈信息统一整合到同一个控制器是安全控制的关键, 并且也是一直困扰着障碍函数安全控制方法的难题. 到目前为止, 学术界所采用的统一设计方案可大致分为三种.

第一种是文献[33-35]所采用的BLF方法. 在该方法中, CLF和CBF被整合到同一个名为BLF的标量函数中. BLF继承了李雅普诺夫函数的正定性质, 能够结合非线性控制中著名的反步设计技术^[75]以解决复杂高阶系统的安全控制问题. 但是, BLF方法需要被控对象同时具有CLF和CBF. 这一个要求对于某些控制问题来说是苛刻的. 例如, 在自适应巡航问题^[12-14]中, 如果后方车辆所需要调节到的目标速度大于前方车辆的速度, CLF和CBF约束将无法同时满足.

第二种是文献[71, 76]所采用的切换控制方案. 该方法通过监控系统状态到不安全区域的距离, 对CLF和CBF所确定的候选控制器进行切换. 值得注意, 两个不同的控制器切换会引起控制信号跳变、控制输入幅值过大等现象. 控制信号的跳变将会降低闭环系统的控制品质. 并且, 由于控制系统的执行部件往往具有饱和约束, 控制幅值过大将会导致执行器无法将等量的控制信号传递到被控对象, 从而造成系统违反安全性约束.

第三种是文献[12]提出的二次规划(Quadratic program, QP)方案. 该方法可以将CLF和CBF所刻画的反馈信息进行有效整合, 得到一个局部利普希茨连续的反馈控制器, 能够解决控制目标和安全性约束存在冲突时的矛盾关系, 并且可以避免控制信号跳变. 此外, 与传统的模型预测控制方法^[77-78]相比, CLF-CBF-QP具有更高的实时性, 近年来已经被广泛地应用于机器人控制^{[22, 79-80]}、无人机控制^[81-83]以及自动驾驶^{[12, 23, 84]} 等领域.

由于第三种方法具有众多优点, 并且是当前障碍函数安全控制领域研究最多的方法, 我们在这里将详细地介绍其基本思路. 假设系统(21)的控制目标可以由以下CLF描述:

其中, $ V: {\bf{R}}^n\rightarrow {\bf{R}}_{\geq0} $为正定、连续可微且径向无界的标量函数, $ \sigma $为$ K $类函数. 文献[12]指出, 可通过以下QP把CLF和CBF描述的反馈信息整合到同一个控制器:

在该QP问题中, CLF和CBF分别被当作软约束和硬约束. 当$ x(t) $在安全集$ \mathcal{S} $内部时, $L_gh(x)\neq 0$, 因此总存在$ u $满足CLF-CBF-QP中的CBF约束. 并且, 由于松弛变量$ \delta $的存在, CLF约束始终能够满足. 综上所述, CLF-CBF-QP始终存在可行解. 如果CLF描述的控制目标和CBF描述的安全性约束不冲突, 那么闭环系统将会在不违反安全性约束的情况下, 实现控制目标; 否则, 闭环系统将牺牲控制目标以保证系统不违反安全性约束. 根据文献[13], 如果$ L_gh(x)\neq0 $, 则CLF-CBF-QP具有闭式解

其中,

在这里,

定理 9^[13]. 对于非线性控制系统(21), 如果$ V: {\bf{R}}^n\rightarrow {\bf{R}}_{\geq0} $是一个局部利普希茨连续的CLF, $ h: {\bf{R}}^n\rightarrow {\bf{R}} $是一个局部利普希茨连续的CBF并满足$ L_gh(x)\neq0 $, 则$ u^*(x) $和$ \delta^*(x) $也是局部利普希茨连续的.

特别地, 如果反馈律$ u=k(x) $具有显式表达式, 则可以通过以下QP将CBF描述的安全性约束嵌入到闭环系统:

在这个意义下, CBF可看作是一个能够将违反安全性的控制输入过滤掉的“滤波器”, 而$ u^*(x) $则是被CBF筛选后最接近$ k(x) $的安全控制输入.

现在, 我们以自适应巡航控制为例简要介绍CLF-CBF-QP安全控制框架的应用.

例 2^[12-14]. 假设汽车的动态可以由以下微分方程描述:

这里, $ m $为汽车的质量(kg), $ v $为汽车的速度(m/s), $ u $为车轮的牵引力(N), $ F_r $为空气阻力(N)并满足

其中, $ f_0 $, $ f_1 $及$ f_2 $为实验测得的常数. 假设汽车在行驶的过程中, 前方有另一辆汽车以$ v_0 $的速度匀速行驶. 此时, 两车之间的距离可描述为

自适应巡航控制的目标是控制$ u $从而将车速$ v $调节至预设的速度$ v_d $, 并且避免与前方车辆发生碰撞. 显然, (28)是一个能控的系统. 因此, 在不考虑安全性约束的情况下, 必然存在反馈律$ u=k(x) $使得$ v(t)\rightarrow v_d $. 注意到安全性约束$ D\geq0 $的相对阶为2, 即需要对$ D(t) $进行二阶微分才能得到控制输入$ u $. 为了解决这个问题, 引入以下约束:

根据文献[12], (29)成立意味着$ D(t)\geq0 $. 考虑CBF候选函数$ h=D-1.8v $. 不难发现, $ h(x) $是一个有效的CBF. 因此, 如果

具有可行解, 则$ u=u^* $可以解决上述自适应巡航控制问题. 这里, $\psi_1=v_0-v+F_r/(2m)+\lambda h$, $\psi_1=1/(2m)$, 其中$ \lambda>0 $是待设计参数.

2.3   多约束下的QP可行性

上面讨论的CLF-CBF-QP只含有单个CBF约束. 然而, 现实中的控制系统常常需要同时满足多个安全性约束, 例如无人驾驶汽车需要同时满足不超速、车道间距保持、避障等安全约束. 在这种情况下, 通常需要引入多个CBF才能完整地刻画所有安全性约束. 然而, 当多个CBF同时耦合在同一个CLF-CBF-QP的时候, 将可能导致该QP问题不存在可行解.

通过布尔逻辑运算符把多个CBF进行组合是一个有效的思路. 例如, 文献[85]通过max/min运算符对多机器人系统的安全性约束进行布尔组合, 使得机器人编队能够完成预设的协同任务. 针对布尔逻辑组合带来的非光滑特性, 文献[86]进一步提出了一套非光滑障碍函数的分析方法. 然而, 非光滑分析是一个较为复杂的过程. 为了解决这个问题, 文献[87]利用max/min函数的光滑逼近, 提出了另一种组合CBF构造方法, 以避免复杂的非光滑分析过程.

分析多个CBF的控制共享属性(Control-sharing property)是另一种保证QP可行性的有效方法^[54]. 这种方法的本质思想是检测多个CBF所划定的控制输入可选范围是否存在交集. 考虑CBF

及其划定的控制输入可选范围

其中, $ i=1,\cdots,q $. 文献[54]指出, 如果$ \bigcap_{i=1}^qK_{cbf_i}(x) $不为空集, 则以下QP问题具有可行解:

特别地, 对于两个CBF的特殊情况, 文献[54]给出了以下控制共享的充要条件, 并指出相关结果可以推广至多个CBF.

定理 10^[54]. 假设系统(21)具有CBF $ h_1: $ ${\bf{R}}^n\rightarrow {\bf{R}}$和$h_2: {\bf{R}}^n\rightarrow {\bf{R}}$. 如果以下任意一个条件成立, 则$ K_{cbf_1}(x)\bigcap K_{cbf_2}(x)\neq\emptyset $:

1) $ \text{sign}(L_gh_1(x)) \text{sign}(L_gh_2(x))=1 $;

2) 当$ L_gh_1(x)>0 $且$ L_gh_2(x)<0 $时,

3) 当$ L_gh_1(x)<0 $且$ L_gh_2(x)>0 $时,

值得注意, 上述方法牺牲了安全集的范围以换取CLF-CBF-QP的可行性, 在某种程度上具有保守性. 尽管学术界对CLF-CBF-QP可行性问题已经进行了相当多的探索, 但目前仍未出现突破性的进展.

2.4   复杂时序逻辑规约下的安全控制

随着系统结构和任务要求的复杂性提高, 利用上层逻辑和下层动力学相结合的系统设计思想正得到越来越多的认可. 时序逻辑是刻画控制系统复杂动态行为的有效工具, 并已经被广泛应用于控制系统安全性的研究上^[88]. 然而, 上层时序逻辑约束与底层动力学特性的耦合使得系统成为了混杂系统, 相关的分析和设计理论至今还很欠缺. 因此, 基于该思路的非线性系统安全控制设计仍处于探索阶段, 亟待进一步发展.

近年来, 控制领域的研究者已经开始从模型预测控制^[77-78]、非线性优化^[89]以及CBF-QP^{[87, 90-91]} 等不同的角度进行了许多的研究. CBF-QP方法的主要思路是利用CBF建立上层的时序逻辑约束以及控制系统的动力学特性和反馈控制器的联系, 并通过QP确定最终的控制输入. 对于现实中广泛存在的非线性仿射控制系统, CBF施加在控制器的约束是线性的. 因此, CBF-QP拥有比模型预测控制和非线性优化方法更高的求解效率和实时性, 并逐渐获得越来越多学者的关注.

在CBF-QP角度, 目前刻画系统动态行为的工具主要包括LTL语言和信号时序逻辑语言(Signal temporal logic, STL^[92])两种. 在LTL方面, 由于障碍函数方法已经在LTL约束下的安全性分析取得重大突破^[27], 相关的理论成果已经被用于大规模网络化系统^[67]、多智能体系统^[93]、随机系统^[94]以及机器人^[95]等带有LTL约束的非线性系统安全控制设计. 与LTL相比, 由于STL句法规则带有时间变量, 其结构更加复杂, 相关的安全控制研究进展也较为缓慢. 文献[87]指出, STL中的时序运算符“always”、“eventually”以及“until”所刻画的约束信息均可以通过CBF-QP传递到控制器, 并给出了对应的CBF构造方法. 随后, 文献[91]进一步引入事件触发机制, 给出了STL约束下机器人集群的安全控制方法.

3.   总结与展望

本文简要介绍了基于障碍函数方法的非线性系统安全分析与控制的理论成果. 与现有的安全分析与控制技术相比, 障碍函数方法具有计算高效、鲁棒性强、无需穷举系统行为、能够有效地兼顾控制目标和安全性等优点.

虽然障碍函数已被广泛研究, 但是由于该方法在非线性系统安全分析与控制中起步相对较晚, 目前仍有许多尚待解决的问题. 首先, 构造障碍函数依旧是一个难题. 虽然某些特殊结构的系统(如多项式系统等)已经有了解决方案, 但是对于更一般化的非线性系统, 如何寻找最优的障碍函数仍需要进一步探索. 其次, CLF-CBF-QP可行性是障碍函数安全控制方法的关键. 虽然在单个CBF约束的情况下可以引入松弛变量保证其可行性, 但是在多个CBF约束下, 不同的CBF可能存在冲突从而导致CLF-CBF-QP不存在可行解. 在这种情况下, 如何权衡不同CBF的优先级以保证CLF-CBF-QP的可行性依旧是一个难题. 另外, 为了实现闭环系统的自主性和智能性, 现代控制系统有时需要满足上层单元给定的时序逻辑约束, 而传统控制理论往往只关注鲁棒性、稳定性等底层的动力学或者控制特性. 到目前为止, 对逻辑和物理动态混杂的非线性控制系统的安全分析与控制研究还比较欠缺. 如何将时序逻辑与障碍函数进行多方位融合以提高实际非线性系统的安全控制效率也是未来系统安全性研究的关键.