Tunable Input-to-State Safety with Input Constraints

本文提出了一种将一般紧输入约束整合到可调输入状态安全（TISSf）框架中的新方法，通过几何视角和支撑函数推导出确保输入兼容性与递归可行性的解析条件，并设计了基于线性规划的离线参数选择策略，从而在满足执行器限制的同时保证系统的安全性与鲁棒性。

要点

这篇论文解决了一个非常实际且棘手的问题：当我们在给自动驾驶汽车（或其他机器人）设计“安全刹车系统”时，如何既保证它在有干扰（比如路面颠簸、传感器误差）的情况下绝对安全，又不会让它的“脚”（执行器/油门刹车）累到抽筋或者超出物理极限？

为了让你轻松理解，我们可以把这篇论文的核心思想比作**“给一位谨慎的司机制定一套完美的驾驶规则”**。

1. 背景：那个“过于谨慎”的司机

想象一下，你有一辆自动驾驶汽车，它装有一个超级安全的系统，叫TISSf（可调输入 - 状态安全性）。

• 它的作用：就像一位极度谨慎的司机。如果前面有车，它会提前减速；如果路面有点滑（干扰），它会减得更早、更狠，以确保绝对撞不上。
• 它的问题：这位司机有时候太谨慎了，或者太“灵活”了。
  • 太灵活：如果参数没调好，它可能会为了躲避一个虚拟的障碍物，突然猛踩刹车，导致刹车片过热甚至失灵（超出了输入约束，即物理极限）。
  • 太保守：如果为了安全把参数调得太死，它可能还没到障碍物就停下了，导致交通堵塞，效率极低。

以前的方法通常是：先让司机随便开，开完了再检查“哎呀，刚才刹车踩太狠了，下次轻点”。但这就像**“亡羊补牢”**，如果第一次就撞车了怎么办？

2. 核心创新：在“设计图纸”阶段就定好规矩

这篇论文提出了一种新方法，不再等车开起来再检查，而是在设计阶段就告诉司机：“你的刹车和油门有物理极限（比如最大只能踩 15 公斤力），你的安全规则必须在这个极限内生效。”

作者用了一个很巧妙的数学工具叫**“支撑函数”**（Support Function）。

• 通俗比喻：想象你的刹车和油门能达到的极限是一个**“安全盒子”（比如一个正方体）。而那个“谨慎司机”的安全规则，就像是一面“看不见的墙”**（半空间）。
• 以前的做法：司机随便画这面墙，结果墙画得太靠后，把整个“安全盒子”都挡在外面了，司机想刹车却无处着力（数学上叫“交集为空”）。
• 这篇论文的做法：作者推导出了一个**“最低门槛”。他们告诉设计师：“只要你的安全墙（参数）画在这个门槛之上**，它就一定能和‘安全盒子’有交集。”
  • 这意味着：只要按照这个规则设计，无论车开到哪，司机永远都有合法的刹车或油门可以踩，既安全又不超限。

3. 具体怎么做？（三步走）

作者把这个复杂的数学问题变成了三个简单的步骤：

1. 画地图（几何视角）：
   他们把“安全规则”和“物理极限”画在同一个坐标系里。发现只要调整一个**“调节旋钮”**（论文里叫 $\epsilon$ 函数），就能移动那面“安全墙”的位置。

   • 比喻：就像调节投影仪的焦距，让投影出的安全区域刚好落在你的操作台上。

2. 定规矩（寻找可行域）：
   他们计算出了这个“调节旋钮”的最小值。只要旋钮拧得比这个最小值大，安全墙就不会把操作台挡死。

   • 比喻：就像告诉司机：“你的刹车力度调节旋钮，绝对不能拧到红色区域以下，否则你就没刹车可用了。”

3. 批量测试（离线采样）：
   因为车可能开在任何地方，不可能测试每一寸路面。作者用了一种**“覆盖采样”**策略。

   • 比喻：就像在地图上撒了一把豆子（采样点）。只要保证在每一颗豆子上，司机的刹车都够用，而且考虑到豆子之间的空隙（数学上的平滑性），就能保证整张地图上司机都安全。
   • 最后，他们用一个简单的线性规划（LP）（一种像填表格一样的数学计算）就能算出最佳的旋钮参数。

4. 实际效果：连排车的“跟车大师”

为了验证，作者用了一个**“连排车（CCC）”**的例子。

• 场景：你开着一辆车，前面有一辆车。前面那辆车突然急刹车。
• 对比实验：
  • 旧方法（随意调参）：要么刹车太猛，超出物理极限（刹车失灵风险）；要么为了安全离得太远，导致后面堵车。
  • 新方法（本文算法）：
    • 安全：无论前面怎么急刹，它都能稳稳停住，不撞车。
    • 合规：它的刹车力度永远在物理极限内，不会“踩爆”刹车。
    • 高效：它离前车更近，反应更快，交通更顺畅。

总结

这篇论文就像给自动驾驶系统请了一位**“精明的工程师”。
这位工程师不再让系统“先开再说，不行再改”，而是在出发前就计算好**：

“在这个物理极限下，无论路况多差，只要我把安全规则调整到这个特定的范围，我就能既绝对安全，又不越界，还能开得顺畅。”

这就解决了以前“安全”和“物理限制”打架的难题，让自动驾驶在现实世界中变得更可靠、更实用。

技术摘要

这是一篇关于**带输入约束的可调输入 - 状态安全性（Tunable Input-to-State Safety, TISSf）**的学术论文总结。该论文由 Ming Li、Jin Chen 和 Dimos V. Dimarogonas 撰写，旨在解决现有 TISSf 框架中调谐函数设计与执行器输入约束不兼容的问题。

以下是该论文的详细技术总结：

1. 研究背景与问题 (Problem)

• 背景：控制障碍函数（CBF）是安全关键控制的核心工具，但在存在扰动（如模型不确定性、外部干扰）时，标准 CBF 的安全性保证可能失效。输入 - 状态安全性（ISSf）及其扩展形式可调输入 - 状态安全性（TISSf）通过引入调谐函数（tuning function）$\varepsilon(h(x))$，在保持鲁棒性的同时调节安全保守性。
• 核心问题：现有的 TISSf 框架（如文献 [12]）通常仅关注调节安全保守性，而未显式考虑执行器的物理限制（输入约束）。
  • 调谐函数若设计不当（例如取值过小），会导致 TISSf 条件定义的允许输入半空间与实际的输入约束集（如执行器饱和限幅）不相交（即 $\Pi_\varepsilon(x) \cap U = \emptyset$）。
  • 这会导致基于二次规划（QP）的安全滤波器在运行时不可行（infeasible），从而破坏安全性保证。
  • 现有方法通常依赖试错法（trial-and-error）或事后饱和（a posteriori saturation），缺乏理论上的兼容性保证。

2. 方法论 (Methodology)

论文提出了一种构造性框架，将输入约束的兼容性要求转化为调谐函数的设计目标，而非事后验证。

A. 基于支撑函数（Support Function）的兼容性表征

• 几何视角：TISSf 条件在输入空间中定义了一个状态依赖的半空间 $\Pi_\varepsilon(x)$。输入约束集 $U$ 是紧凸集。兼容性要求这两个集合的交集非空。
• 关键推导：利用支撑函数 $\sigma_U(d(x)) = \max_{u \in U} d(x)^\top u$，论文推导出了保证兼容性的精确下界条件：
  $$\varepsilon(h(x)) \geq \frac{\|d(x)\|_2^2}{c(x) + \sigma_U(d(x))}$$
  其中 $c(x)$ 和 $d(x)$ 是 CBF 的李导数相关项。该条件将输入约束转化为对调谐函数 $\varepsilon(\cdot)$ 的显式下界约束。
• 适用范围：该框架适用于一般紧凸输入集，并专门推导了范数有界、多面体和**箱型（Box）**约束的具体解析形式。

B. 参数化调谐与离线设计

• 参数化形式：采用指数形式 $\varepsilon(h(x)) = \epsilon_0 e^{\lambda h(x)}$，其中 $\epsilon_0, \lambda$ 为设计参数。
• 线性化约束：通过对数变换，将非线性的兼容性条件转化为关于参数 $(\ln \epsilon_0, \lambda)$ 的仿射不等式：
  $$\ln \epsilon_0 + \lambda h(x) \geq \eta(x)$$
  其中 $\eta(x)$ 由系统状态和输入集几何性质决定。
• 覆盖采样策略（Covering-based Sampling）：
  • 由于安全集 $C$ 是连续的，直接验证所有点不可行。
  • 利用 $\kappa$-覆盖（$\kappa$-covering）概念，在安全集上采样一组点 $\{x_i\}$。
  • 结合 Lipschitz 连续性分析，将无限维的函数空间约束转化为有限个采样点的**线性规划（LP）**问题。
  • LP 公式：在满足采样点约束及 Lipschitz 鲁棒边界的前提下，最小化目标函数（如 $\ln \epsilon_0 + \rho \lambda$），以找到最优参数对。

C. 在线控制器合成

• 一旦离线确定了满足兼容性条件的参数，在线控制通过求解一个QP 安全滤波器实现：
  • 目标：最小化与标称控制器的偏差。
  • 约束：同时满足 TISSf 条件（使用设计好的 $\varepsilon$）和输入约束 $u \in U$。
• 理论保证：由于参数设计阶段已确保 $\Pi_\varepsilon(x) \cap U \neq \emptyset$，该 QP 问题在安全集内具有递归可行性（Recursive Feasibility）。

3. 主要贡献 (Key Contributions)

1. 兼容性表征：首次利用支撑函数建立了 TISSf 与一般紧输入约束之间的精确兼容性条件，导出了调谐函数的显式下界。
2. 构造性设计框架：提出了一种从“事后验证”转向“事前设计”的方法，确保调谐函数在满足鲁棒安全性的同时，天然兼容输入约束。
3. 可处理的离线合成算法：针对参数化调谐函数，提出了一种基于覆盖采样和线性规划（LP）的离线参数选择方法，将无限维问题转化为有限维凸优化问题。
4. 通用性与扩展性：该方法适用于范数、多面体和箱型等多种常见输入约束形式，并保证了 QP 安全滤波器的递归可行性。

4. 实验结果 (Results)

论文通过**互联巡航控制（Connected Cruise Control, CCC）**案例进行了验证，对比了四种策略：

1. Proposed (LP-QP)：本文提出的方法。
2. TISSf (Baseline)：文献 [12] 的原始方法（手动调参）。
3. TISSf (Sat)：对控制量进行饱和处理。
4. TISSf (Trial)：通过试错法调整参数。

关键发现：

• 安全性：所有方法在扰动下均保持了鲁棒安全性（$h(x) + \zeta > 0$）。
• 输入约束：Baseline 方法在瞬态过程中多次违反输入约束；Sat 方法虽然满足约束但导致响应迟缓；Trial 方法表现尚可但缺乏理论保证。
• 性能：本文提出的 Proposed (LP-QP) 方法在严格遵守输入约束的前提下，实现了最小的车间距（即最高的通行效率）和最快的速度跟踪，且未出现输入越界。
• 结论：该方法成功解决了 TISSf 在输入约束下的兼容性问题，实现了安全性、鲁棒性和执行器限制的平衡。

5. 意义与影响 (Significance)

• 理论突破：填补了鲁棒安全控制理论中“调谐函数设计”与“执行器物理限制”之间的空白，为安全关键系统（如自动驾驶、机器人）提供了严格的理论保证。
• 工程价值：提供了一种系统化的、可计算的离线设计流程（LP），使得工程师无需依赖耗时的试错法即可设计出既安全又符合硬件限制的控制律。
• 未来方向：该方法为在复杂约束环境下部署基于 CBF 的控制器提供了通用范式，特别适用于对安全性要求极高且执行器受限的工业场景。

总结：这篇论文通过引入支撑函数几何分析和覆盖采样策略，成功将输入约束内化为 TISSf 调谐函数的设计约束，提出了一种“由设计保证兼容性”的框架，显著提升了鲁棒安全控制在实际受限系统中的可行性和性能。