CN111400823A - 一种智能车辆vs-lka系统功能安全概念分析方法 - Google Patents

Abstract

本发明涉及一种智能车辆VS‑LKA系统功能安全概念分析方法，该方法设定了VS‑LKA相关运行场景，确定在不同场景下的失效形式和导致的危害事件，并评估各危害事件，确定各事件的汽车安全完整性等级，以此为基础制定针对VS‑LKA的功能安全目标，并将其转换为VS‑LKA的功能安全要求与技术安全要求。通过VS‑LKA整车层功能安全概念阶段的分析，有利于后期制定对应的安全控制策略与设计相应的容错控制算法，从而达到有效保证乘客和其他交通参与者生命财产安全的目的。

Description

一种智能车辆VS-LKA系统功能安全概念分析方法

技术领域

本发明涉及一种应用于车道保持辅助的智能电动车辆视觉系统(简称VS-LKA，Vision System of Lane Keep Assist)功能安全分析技术，特别涉及针对L2级及以下的智能电动车辆自动驾驶辅助系统—VS-LKA的整车层功能安全概念分析方法。

背景技术

无论是高级别还是低级别的自动驾驶，都会涉及到环境感知、自主决策和实时控制。目前市面上使用较为广泛的感知传感器有激光雷达，毫米波雷达，视觉摄像头等，其中，视觉摄像头凭借其处理系统基础、处理效果直观、价格低廉、“一头多用”等特点受到广大消费者的青睐。视觉摄像头按照种类可分为单目摄像头、多目摄像头、鱼眼摄像头等，通过视觉摄像头，车辆能够实现车道保持辅助(LKA)、前向碰撞预警(FCW)、交通标志识别(RSR)、行人碰撞预警(PCW)、全景泊车(SVP)等多项L2级及以下的自动驾驶辅助功能。自动驾驶辅助技术本身属于主动安全技术，但是其在能够有效预防危害事件发生和降低危害程度的同时，缺乏自身的有效安全机制，当主动安全技术自身发生故障时，由于多数驾驶员对系统可靠性的过分相信，将大大延长有效接管时间，从而导致更加严重的交通事故。近年来Uber、Google、特斯拉等公司发生的自动驾驶交通事故，都引起了公众对自动驾驶的质疑与焦虑。因此，自动驾驶辅助技术的安全性急需得到提高。

电子电气系统本身无法做到绝对不发生故障，所以需要对系统进行功能安全设计，VS-LKA作为自动驾驶辅助中环境感知环节的重要组成部分，对其进行功能安全设计具有十分重要的意义。

VS-LKA属于L2级及以下的自动驾驶辅助技术，目前尚无针对其整车层面的功能安全技术的相关研究，而功能安全概念分析是对整个系统进行功能安全设计的前提，合理的概念分析有利于后续安全控制策略的制定和容错控制算法的开发，因此，对VS-LKA进行功能安全概念分析，能有效保障乘客和其他交通参与者的生命财产安全，意义重大。

发明内容

为了克服现有技术的不足，本发明旨在针对L2级及以下的自动驾驶辅助技术，提供一种应用于车道保持辅助的智能电动车辆视觉系统(VS-LKA)整车层功能安全概念分析方法。

本发明所采取的技术方案如下：一种智能车辆VS-LKA系统功能安全概念分析方法，该方法首先对VS-LKA进行功能定义，并设定VS-LKA运行场景；基于运行场景确定VS-LKA失效形式和导致的整车危害事件；然后对各危害事件进行危害分析与风险评估，确定汽车安全完整性等级；再以安全完整性等级为基础制定功能安全目标；再将功能安全目标转化为对系统的功能安全要求；最后根据功能安全要求，转换为对系统的技术安全要求；

这其中，对VS-LKA的功能定义如下：1)为车辆提供准确的前方道路信息，包括当前时刻车辆与两侧车道线的横向距离，两侧车道线长度、宽度、线型，前方道路车道线方程；2)系统辅助车辆保持在期望车道内行驶，驾驶员在线监控，并在必要时刻接管车辆。

这其中，确定VS-LKA失效形式有5种：a.视觉信号漂移，b.视觉信号缺失，c.视觉信号丧失，d.视觉信号卡顿，e.视觉信号卡死；对各失效形式的确定方法如下：

a).对于视觉信号漂移，定义表现形式为：

式中，Δd_l、Δd_r为左、右车道线的横向距离偏差，

为VS-LKA像素坐标系下左、右车道线t时刻的横向距离的滤波量测坐标，

为VS-LKA像素坐标系下左、右车道线t时刻的横向距离的状态递推坐标，ε为车道线横向距离在像素坐标系下的合理动态范围，自定义；

以左侧车道线为例，

求解过程如下：

P(t,t-1)＝φ(t)P(t-1,t-1)φ^T(t)+Q (4)

K(t)＝P(t,t-1)H^T(t)(H(t)P(t,t-1)H^T(t)+R) (5)

P(t)＝(I-K(t)H(t))P(t,t-1) (6)

式中，φ(t)为VS-LKA工作状态转移矩阵，P为VS-LKA工作协方差矩阵，Q为VS-LKA工作过程噪声，φ(t)、P和Q由VS-LKA自身工作状态和工作环境决定，通过实验获得，H为观测矩阵，R为测量噪声，H、R由VS-LKA输出数据的属性和传感器自身性能决定，K为滤波增益，由设定的滤波器计算得出，Z(t)为VS-LKA的量测值，是车道线方程各参数的输出序列，I为对应的单位矩阵，维数与P相等；

b).对于视觉信号缺失，定义表现形式为：

式中，

为VS-LKA实时探测到的对应的左、右车道线长度，x₂、x₁为正常情况下VS-LKA能够探测到的该侧车道线长度的最大和最小值，ξ为可容许的探测误差范围，自定义，

为VS-LKA像素坐标系下左、右车道线的横向距离，

为左、右车道线航向角，

为左、右车道线曲率，

为相应的曲率变化率；

c).对于视觉信号丧失，即无信号输出，定义表现形式为：

f_l(x)＝0 (10)

f_r(x)＝0 (11)

式中，f_l(x)、f_r(x)分别为左、右车道线在VS-LKA像素坐标系下的方程表达；

d).视觉信号卡顿，即a_li(t)、a_ri(t)；(i＝1,2,3)更新出现时延，定义表现形式为：

式中，

为车道线方程各参数连续变化的导数，

为车道线平滑度阈值，自定义；

e).视觉信号卡死，即a_li(t)、a_ri(t)；(i＝1,2,3)卡住不再更新，定义表现形式为：

这其中，设定VS-LKA运行场景有2种：a.干燥路面的高速公路，b.干燥路面的一、二级公路。

这其中，所述整车危害事件归纳为以下三类：

a.车辆非预期的侧向运动；

b.车辆非预期的侧向横移；

c.车辆丧失视觉感知功能。

这其中，所述功能安全目标包括：

SG1：车辆中高速行驶时，避免由于VS-LKA信号缺失使得车辆发生非预期的减速；避免由于VS-LKA卡顿使得车辆产生非预期的侧向运动；

SG2：车辆中高速行驶时，避免由于VS-LKA信号偏移使得车辆产生非预期的侧向横移；

SG3：车辆中高速行驶时，避免由于VS-LKA卡死使得车辆按照错误的感知信息行驶而产生交通事故；避免由于VS-LKA信号整体丢失使得车辆丧失视觉感知功能。

这其中，根据各危害事件所对应的安全状态，制定功能安全目标，且对各功能安全目标参考下式进行合并判定：

λ(SG_i)＝λ(S_i)+λ(C_i)+λ(E_i)+λ(f₀) (16)

式中，λ(SG_i)为功能安全目标合并权重，λ(S_i)为整车危害的严重度权重，λ(C_i)为整车危害的可控度权重，λ(E_i)为整车危害的暴露度权重，λ(f₀)为电子器件失效概率权重，下标i为各类危害事件；

根据不同的危害事件，对严重度S、暴露度E、可控度C进行相应的权重分配，对于λ(SG_i)接近的危害事件，进行相应功能安全目标的合并。

通过故障树分析，将功能安全目标分解至各电子电气部件，形成各部件功能安全要求，并合并得到VS-LKA的功能安全要求，包括如下方面：

FSR1:确保车速信号正确；

FSR2:确保转向灯工作信号正确；

FSR3:确保雨刮器工作信号正确；

FSR4:确保方向盘接触信号正确；

FSR5:确保CAN总线工作正常；

FSR6:确保ECU工作正常；

FSR7:确保VS-LKA输出正确的车道线方程、车辆与两侧车道线横向距离、车道线长度、宽度、线型；

FSR8:确保系统发生故障以后能在短时间内检测出来并输出相应的故障时间和故障代码；

FSR9:确保检测出故障时系统能发出警示并提醒驾驶员注意；

FSR10:确保系统发生可容忍故障时有冗余容错安全措施使车辆过渡到安全状态；

FSR11:确保系统发生不可容忍故障时能启动紧急制动操作；

FSR12:确保系统在故障容错时间间隔内能够将车辆过渡到安全状态。

根据功能安全要求设定技术安全要求，包括如下方面：

TSR1:设计多种车速信号传输方式，并进行信号正确性校验；

TSR2:设计多种转向灯工作信号传输方式，并进行信号正确性校验；

TSR3:设计多种雨刮器工作信号传输方式，并进行信号正确性校验；

TSR4:设计多种方向盘接触信号传输方式，并进行信号正确性校验；

TSR5:设计CAN总线能够对ECU、VS-LKA进行生命信号校验；

TSR6:设计信号监测器能够校验VS-LKA是否正确计算了当前时刻车辆与道路两侧的横向距离；

TSR7:设计信号监测器能够校验VS-LKA是否拟合了正确的前方道路车道线方程；

TSR8:设计信号监测器能够检测VS-LKA是否输出信号；

TSR9:设计状态观测器能够准确预测前方车道线走势；

TSR10:设计故障诊断模块确保系统能够及时检测故障发生并输出相应的故障代码和故障时间；

TSR11:设计容错控制措施确保系统发生可容忍错误时在一定时间内维持车辆在期望车道内行驶并不发生较大偏离；

TSR12:设计包括靠边停车、紧急制动等安全措施确保系统发生不可容忍错误时车辆能够过渡到安全状态

与现有技术相比，本发明显著特点体现在：本发明考虑智能电动车辆VS-LKA整车层面功能安全技术，从功能安全定义出发，根据功能故障和功能失效模式制定功能安全目标，通过制定VS-LKA功能安全目标，最后转化为可执行层面的技术安全要求，从执行器件的系统设计入手，对系统产品设计提供了规范，填补了相关安全技术领域的空白，保证后续安全控制策略和容错控制算法的合理设计，从而达到有效保证乘客和其他交通参与者生命财产安全的目的。

本发明的其他特征和优点将在随后的说明书中阐述，并且部分的从说明书中变得显而易见，或者通过实施本发明而了解。

附图说明

图1为智能电动车辆VS-LKA功能安全概念分析逻辑图；

图2为故障树分析逻辑图。

具体实施方法

下面结合附图和实施例对本发明进行详细的描述，本领域的技术人员应该知道，以下实施例并不是对本发明技术方案作的唯一限定，凡是在本发明技术方案精神实质下所做的任何等同变换或改动，均应视为属于本发明的保护范围。

本发明建立了一种智能电动车辆VS-LKA系统整车层面功能安全概念分析方法，是针对L2级及以下智能电动车辆自动驾驶辅助系统VS-LKA而设计，过程逻辑如图1所示。

该方法首先包括对VS-LKA进行整车功能定义，同时定义VS-LKA相关运行场景，并确定在不同场景下的失效形式和导致的危害事件；然后基于危害事件的严重度、暴露度和可控度等级，对各危害事件进行危害分析与风险评估，确定最终的汽车安全完整性等级；然后以此为基础制定功能安全目标；再根据功能安全目标将其转换为系统的功能安全要求与技术安全要求。

具体设计步骤如下：

1)VS-LKA系统功能定义：系统用于L2级及以下车道保持自动驾驶辅助技术。所以必须为车辆提供准确的前方道路信息，包括当前时刻车辆与两侧车道的横向距离，两侧车道线长度、宽度、线型，前方道路车道线方程等；系统辅助车辆保持在期望车道内行驶，驾驶员在线监控，并在必要时刻接管车辆。

需要说明的是，由于系统功能本身属于自动驾驶辅助技术，因此只有车辆驾驶环境满足以下条件时，系统功能才启用：

a.车道线清晰可见，并无其他障碍物干扰。

b.车道宽度适中，大致在2.5m至4.6m之间。

c.车辆时速不低于65km/h(一般情况下，时速在65km/h以上视为中高速)

d.车辆行驶在直道或稍微弯曲的道路上。

e.车辆未开启转向灯。

f.车辆未踩下加速或制动踏板。

g.车辆雨刮器未连续工作。

h.驾驶员双手放在方向盘上。

2)对外接口定义：系统进行功能定义之后，还需定义VS-LKA与车辆其他系统之间的外界接口，以便于为后续“危害分析与风险评估”以及“功能安全系统设计”等环节的执行提供足够的相关项信息。由于本发明涉及的VS-LKA可能与外界系统包括电源、整车控制器、车速传感器等相连，且功能安全系统设计的时候需要利用这些接口信息。综上，定义VS-LKA与外界接口包括：车速信号、控制器自身状态信号、电源信号、转向灯信号、雨刮器工作信号、方向盘接触信号等。

3)系统失效分类：定义VS-LKA常见失效模式分为以下5类：视觉信号漂移、视觉信号缺失、视觉信号丧失、视觉信号卡顿、视觉信号卡死。

a.视觉信号漂移的表现形式为：

式中，Δd_l、Δd_r为左、右车道线的横向截距偏差，

为VS-LKA像素坐标系下左、右车道线t时刻的侧向截距的滤波量测坐标，

为VS-LKA像素坐标系下左、右车道线t时刻的侧向截距的状态递推坐标，ε为车道线横向截距坐标在像素坐标系下的合理动态范围，自定义。当Δd_l或Δd_r＞ε时为视觉信号发生漂移。

其中，以左侧车道线为例，对

求解过程如下：

P(t,t-1)＝φ(t)P(t-1,t-1)φ^T(t)+Q (4)

K(t)＝P(t,t-1)H^T(t)(H(t)P(t,t-1)H^T(t)+R) (5)

P(t)＝(I-K(t)H(t))P(t,t-1) (6)

式中，φ(t)为VS-LKA工作状态转移矩阵，P为VS-LKA工作协方差矩阵，Q为VS-LKA工作过程噪声，φ(t)、P和Q由VS-LKA自身工作状态和工作环境决定，可通过实验获得理论近似值。H为观测矩阵，R为测量噪声，H、R由VS-LKA输出数据的属性和传感器自身性能决定，K为滤波增益，由设定的滤波器计算得出，Z(t)为VS-LKA的量测值，在本文中则是车道线方程各参数的输出序列，I为对应的单位矩阵，维数与P相等。

首先

经转移矩阵估计得出

再根据滤波增益K(t)和更新的协方差矩阵P(t,t-1)以及实时的测量结果Z(t)进行相应的加权融合，从而滤波更新得出

而

由上一时刻的状态经时间更新得出，不受VS-LKA工作过程的影响，因此不会受到VS-LKA故障信号的污染。

b.视觉信号缺失的表现形式如下：以左侧车道线部分缺失为例，当

表示车道线部分缺失。

式中

为VS-LKA实时探测到的车道线长度，x₂、x₁为正常情况下VS-LKA能够探测到的车道线长度的最大和最小值，ξ为可容许的探测误差范围，自定义。

为VS-LKA像素坐标系下左车道线的横向距离，

为左车道线航向角，

为左车道线曲率，

为相应的曲率变化率。

c.视觉信号丧失表现为：

f_l(x)＝0 (10)

f_r(x)＝0 (11)

式中，f_l(x)、f_r(x)分别为左、右车道线在VS-LKA像素坐标系下的方程表达。f_l(x)＝0时意味左侧视觉信号丧失，f_r(x)＝0时意味右侧视觉信号丧失。

d.视觉信号卡顿，即a_li(t)、a_ri(t)；(i＝1,2,3)更新出现时延，表现为：

式中，

为车道线方程各参数连续变化的导数，通过数据处理方式得到，

为车道线平滑度阈值，自定义。

e.视觉信号卡死，即a_li(t)、a_ri(t)；(i＝1,2,3)卡住不再更新，表现为：

4)场景定义：根据上述VS-LKA激活条件，将VS-LKA功能安全场景定义为以下两类：a.干燥路面的高级公路、b.干燥路面的一、二级公路。

5)危害分析与风险评估：通过上述分析确定智能电动车辆VS-LKA共5种失效模式以及2种运行场景，可以总结出5×2＝10种危害事件，其造成的整车层面的危害结果可以归纳为三类：

a.车辆非预期的侧向运动。

b.车辆非预期的侧向横移。

c.车辆丧失视觉感知功能。

这样归纳的原因如下：

当VS-LKA发生视觉信号卡顿、卡死时，车辆将获得时延或者固定不变的车道线方程，控制器则会依据错误的感知信息操纵车辆行驶，发生非预期的侧向运动；

当VS-LKA发生视觉信号漂移的时候，其输出的车道线方程与实际相比会存在一个稳定的横向偏移，进而导致车辆行驶上产生一个侧向横移；

当VS-LKA发生视觉信号丧失时，系统无车道线信号输出，车辆丧失视觉感知功能。

进一步对上述危害事件进行危害分析与风险评估(Hazard Analysis and RiskAssessment，HARA)。具体的，HARA分析需要参考标准ISO 26262来确定每种危害事件发生时的严重度S、暴露度E、可控度C，然后查阅汽车安全完整性等级表(Automotive SafetyIntegrity Level，ASIL)来确定每种危害事件的ASIL等级，ISO 26262标准规定ASIL等级有QM、A～D共5个等级。具体针对VS-LKA的ASIL等级确定举例如下：

针对典型驾驶场景干燥路面高速公路，当智能电动车辆VS-LKA发生视觉卡死时，对系统进行严重度S、暴露度E、可控度C分析：对于严重度S，车辆在干燥路面高速公路时，假设发生危害时车辆以80km/h相对速度行驶在稍微弯曲的道路中，由于车辆一直按照先前视觉系统记录的道路信息来进行控制，因此在直线路段向弯曲路段过渡的过程中，车辆有驶出车道并与周边车辆或高速护栏发生碰撞的风险，由于道路本身曲率较小，不会产生正面碰撞，但车辆速度较高，因此会产生较为严重的伤害(危及生命，但可以幸存)，故严重度S定义为S2级(ISO 26262只是定义了当产生危及生命但可以幸存的伤害时将严重度定义为S2级，但没有具体限定何种场景下会产生危及生命但可以幸存的伤害，所以根据实际经验可以认定车辆以80km/h速度驶出车道并与周边车辆或护栏发生碰撞时发生危及生命但是可以幸存的伤害)；同理，对于暴露度E，认为行驶在高速公路情况下VS-LKA工作时间大于10％平均运行时间，并几乎发生在每次驾驶中，故定义暴露度E为E4；对于可控度C，认为行驶在高速公路情况下VS-LKA发生视觉卡死驶出车道并与周边车辆或护栏发生碰撞，此时，虽然车辆的时速较高，VS-LKA不会发出退出工作的提示音，驾驶员反应时间会延长，但同时道路的曲率较小，且驾驶员的手一直放在方向盘上，当反应过来时能立刻控制住车辆，因此定义不少于90％乘客或则其他交通参与者通常能够避免伤害，故定义可控度C为C2。查阅汽车安全完整性等级表，可以得知干燥路面的高速公路驾驶场景下，VS-LKA视觉卡死ASIL等级为B级。

对上述其他失效形式导致的危害事件ASIL等级确定进行同理分析，最终能确定中高速行驶下智能电动车辆VS-LKA的最高ASIL等级为B级，各危害事件详细ASIL等级的确定见表1。

表1：VS-LKA危害分析与风险评估ASIL等级确定表

6)功能安全目标确定：通过上述HARA分析识别出系统失效可能导致的整车危害事件后，需要对ASIL等级为QM以上的危害事件制定相应的安全目标。按制定准侧，安全目标应能防止系统危害事件的发生或者减轻危害程度，且规定安全目标在制定的时候，可以对具有相似安全状态的危害事件进行相应合并，即被合并的危害事件可以采取相同或者相似的技术手段来实现。

综上，为了确定系统功能安全目标，首先需要确定上述所有危害的安全状态，根据安全状态来制定安全目标。由于各危害事件对应的安全状态有可能相同或相近，所以可以对各安全状态进行合并，对安全状态的合并也就意味着对安全目标的合并，进行功能安全目标合并时，可参考下式进行合并的初步判定：

λ(SG_i)＝λ(S_i)+λ(C_i)+λ(E_i)+λ(f₀) (16)

式中，λ(SG_i)为功能安全目标合并权重，λ(S_i)为整车危害的严重度权重，λ(C_i)为整车危害的可控度权重，λ(E_i)为整车危害的暴露度权重，λ(f₀)为电子器件失效概率权重，下标i为各类危害事件。通常情况下，可根据不同的失效形式所导致的危害事件，对严重度、暴露度和可控度进行相应的权重分配，对于λ(SG_i)很接近的几种危害事件，可考虑进行相应功能安全目标的合并。

举例说明，VS-LKA发生视觉丧失会使车辆丧失视觉感知功能，VS-LKA发生视觉卡死会使车辆按照错误的感知信息行驶从而产生非期望侧向运动，对于整车来说，上述两种失效形式都会使得VS-LKA完全不能使用，根据式(16)计算得出的功能安全权重值接近，因此将上述两个危害事件的安全状态都定义为，车辆减速制动并保持在既定车道内行驶，整个过程不发生碰撞，打开双闪灯并通知驾驶员接管，在FTTI时间内减速停车，保证车辆安全。故可合并上述两个危害事件为同一个安全目标(Safety Goal，SG)如下：车辆行驶在高速公路时，避免VS-LKA发生信号丧失使车辆失去视觉感知功能，避免由于VS-LKA卡死使得车辆按照错误的感知信息行驶而产生交通事故。

同理，确定其余危害事件的安全状态，并合并类似安全状态事件，形成VS-LKA功能安全目标如下：

SG1：车辆中高速行驶时，避免由于VS-LKA信号缺失使得车辆发生非预期的减速；避免由于VS-LKA卡顿使得车辆产生非预期侧向运动(能维持在车道内)。

SG1所对应的安全状态为：打开双闪灯，通知驾驶员。

SG2：车辆中高速行驶时，避免由于VS-LKA信号漂移使得车辆产生非预期侧向横移。

SG2所对应的安全状态为：打开双闪灯，通知驾驶员，车辆维持在既定车道内行驶，整个过程不发生碰撞，并在FTTI时间内减速停车。

SG3：车辆中高速行驶时，避免由于VS-LKA卡死使得车辆按照错误的感知信息行驶而产生交通事故；避免由于VS-LKA信号整体丢失使车辆丧失视觉感知功能。

SG3所对应的安全状态为：通知驾驶员接管，紧急制动，打开双闪灯车辆维持在既定车道内行驶，整个过程不发生碰撞，FTTI时间内制动停车。

7)功能安全要求确定：通过故障树分析(Fault Tree Analysis,FTA)将确定的功能安全目标分解到VS-LKA各电子电气部件中去，得到系统的功能安全要求，进一步再设计相应的技术安全要求来实现相应的功能安全要求。

按故障树分析方法，将功能安全目标分解到故障树中去，故障树分析如图2所示，并得到VS-LKA的功能安全要求(Function Safety Requirement，FSR)如下：

FSR1:确保车速信号正确；

FSR2:确保转向灯工作信号正确；

FSR3:确保雨刮器工作信号正确；

FSR4:确保方向盘接触信号正确；

FSR5:确保CAN总线工作正常；

FSR6:确保ECU工作正常；

FSR7:确保VS-LKA输出正确的车道线方程、车辆与两侧车道线横向距离、车道线长度、宽度、线型；

FSR8:系统发生故障以后能在一定时间内检测出来并输出相应的故障时间和故障代码；

FSR9:确保检测出故障时系统能发出警报并点亮故障灯，提醒驾驶员注意；

FSR10:确保发生可容忍故障时有冗余容错控制算法使车辆过渡到安全状态；

FSR11:确保系统发生严重故障时启动紧急制动操作使其进入安全状态；

FSR12:确保系统在故障容错时间间隔内将车辆过渡到安全状态；

8)技术安全要求确定：功能安全要求停留在抽象的概念设计层面，为了实现上述制定的各项功能安全要求，还需要具体设计如下系统的技术安全要求(Technology SafetyRequirement，TSR)来达到功能安全要求。

TSR1:设计多种车速信号传输方式，并进行信号正确性校验；

TSR2:设计多种转向灯工作信号传输方式，并进行信号正确性校验；

TSR3:设计多种雨刮器工作信号传输方式，并进行信号正确性校验；

TSR4:设计多种方向盘接触信号传输方式，并进行信号正确性校验；

TSR5:设计CAN总线能够对ECU、VS-LKA进行生命信号校验；

TSR6:设计信号监测器能够校验VS-LKA是否正确计算了当前时刻车辆与道路两侧的横向距离；

TSR7:设计信号监测器能够校验VS-LKA是否拟合了正确的前方道路车道线方程；

TSR8:设计信号监测器能够检测VS-LKA是否输出信号；

TSR9:设计状态观测器能够准确预测前方车道线走势；

TSR10:设计故障诊断模块确保系统能够及时检测故障发生并输出相应的故障代码和故障时间；

TSR11:设计容错控制措施确保系统发生可容忍错误时在一定时间内维持车辆在期望车道内行驶并不发生较大偏离；

TSR12:设计包括靠边停车、紧急制动等安全措施确保系统发生不可容忍错误时车辆能够过渡到安全状态。

本发明从功能安全定义出发，根据功能故障和功能失效模式制定功能安全目标，最后转化为可执行层面的技术安全要求，从执行器件的系统设计入手，为后期制定对应的安全控制策略与设计相应的容错控制算法提供了依据，解决了安全驾驶辅助问题。

Claims (8)

1.一种智能车辆VS-LKA系统功能安全概念分析方法，该方法首先对VS-LKA进行功能定义，并设定VS-LKA运行场景；基于运行场景确定VS-LKA失效形式和导致的整车危害事件；然后对各危害事件进行危害分析与风险评估，确定汽车安全完整性等级；再以安全完整性等级为基础制定功能安全目标；再将功能安全目标转化为对系统的功能安全要求；最后根据功能安全要求，转换为对系统的技术安全要求；其特征在于：

设定VS-LKA失效形式有5种：a.视觉信号漂移，b.视觉信号缺失，c.视觉信号丧失，d.视觉信号卡顿，e.视觉信号卡死；对各失效形式的确定方法如下：

a).对于视觉信号漂移，定义表现形式为：

式中，Δd_l、Δd_r为左、右车道线的横向距离偏差，

为VS-LKA像素坐标系下左、右车道线t时刻的横向距离的滤波量测坐标，

为VS-LKA像素坐标系下左、右车道线t时刻的横向距离的状态递推坐标，ε为车道线横向距离在像素坐标系下的合理动态范围，自定义；

以左侧车道线为例，

求解过程如下：

P(t,t-1)＝φ(t)P(t-1,t-1)φ^T(t)+Q (4)

K(t)＝P(t,t-1)H^T(t)(H(t)P(t,t-1)H^T(t)+R) (5)

P(t)＝(I-K(t)H(t))P(t,t-1) (6)

式中，φ(t)为VS-LKA工作状态转移矩阵，P为VS-LKA工作协方差矩阵，Q为VS-LKA工作过程噪声，φ(t)、P和Q由VS-LKA自身工作状态和工作环境决定，通过实验获得，H为观测矩阵，R为测量噪声，H、R由VS-LKA输出数据的属性和传感器自身性能决定，K为滤波增益，由设定的滤波器计算得出，Z(t)为VS-LKA的量测值，是车道线方程各参数的输出序列，I为对应的单位矩阵，维数与P相等；

b).对于视觉信号缺失，定义表现形式为：

式中，

为VS-LKA实时探测到的对应的左、右车道线长度，x₂、x₁为正常情况下VS-LKA能够探测到的该侧车道线长度的最大和最小值，ξ为可容许的探测误差范围，自定义，

为VS-LKA像素坐标系下左、右车道线的横向距离，

为左、右车道线航向角，

为左、右车道线曲率，

为相应的曲率变化率；

c).对于视觉信号丧失，即无信号输出，定义表现形式为：

f_l(x)＝0 (10)

f_r(x)＝0 (11)

式中，f_l(x)、f_r(x)分别为左、右车道线在VS-LKA像素坐标系下的方程表达；

d).视觉信号卡顿，即a_li(t)、a_ri(t)；(i＝1,2,3)更新出现时延，定义表现形式为：

式中，

为车道线方程各参数连续变化的导数，θ为车道线平滑度阈值，自定义；

e).视觉信号卡死，即a_li(t)、a_ri(t)；(i＝1,2,3)卡住不再更新，定义表现形式为：

2.根据权利要求1所述的智能车辆VS-LKA系统功能安全概念分析方法，其特征在于，

对VS-LKA的功能定义如下：1)为车辆提供准确的前方道路信息，包括当前时刻车辆与两侧车道线的横向距离，两侧车道线长度、宽度、线型，前方道路车道线方程；2)系统辅助车辆保持在期望车道内行驶，驾驶员在线监控，并在必要时刻接管车辆。

3.根据权利要求1所述的智能车辆VS-LKA系统功能安全概念分析方法，其特征在于，

设定的VS-LKA运行场景有2种：a.干燥路面的高速公路，b.干燥路面的一、二级公路。

4.根据权利要求1所述的智能车辆VS-LKA系统功能安全概念分析方法，其特征在于，所述整车危害事件，归纳为以下三类：

a.车辆非预期的侧向运动；

b.车辆非预期的侧向横移；

c.车辆丧失视觉感知功能。

5.根据权利要求1所述的智能车辆VS-LKA系统功能安全概念分析方法，其特征在于，所述功能安全目标包括：

SG1：车辆中高速行驶时，避免由于VS-LKA信号缺失使得车辆发生非预期的减速；避免由于VS-LKA卡顿使得车辆产生非预期的侧向运动；

SG2：车辆中高速行驶时，避免由于VS-LKA信号偏移使得车辆产生非预期的侧向横移；

SG3：车辆中高速行驶时，避免由于VS-LKA卡死使得车辆按照错误的感知信息行驶而产生交通事故；避免由于VS-LKA信号整体丢失使得车辆丧失视觉感知功能。

6.根据权利要求1或5所述的智能车辆VS-LKA系统功能安全概念分析方法，其特征在于，根据各危害事件所对应的安全状态，制定功能安全目标，且对各功能安全目标参考下式进行合并判定：

λ(SG_i)＝λ(S_i)+λ(C_i)+λ(E_i)+λ(f₀) (16)

式中，λ(SG_i)为功能安全目标合并权重，λ(S_i)为整车危害的严重度权重，λ(C_i)为整车危害的可控度权重，λ(E_i)为整车危害的暴露度权重，λ(f₀)为电子器件失效概率权重，下标i为各类危害事件；

根据不同的危害事件，对严重度S、暴露度E、可控度C进行相应的权重分配，对于λ(SG_i)接近的危害事件，进行相应功能安全目标的合并。

7.根据权利要求1或5或6所述的智能车辆VS-LKA系统功能安全概念分析方法，其特征在于，

通过故障树分析，将功能安全目标分解至各电子电气部件，形成各部件功能安全要求，并合并得到VS-LKA的功能安全要求，包括如下方面：

FSR1:确保车速信号正确；

FSR2:确保转向灯工作信号正确；

FSR3:确保雨刮器工作信号正确；

FSR4:确保方向盘接触信号正确；

FSR5:确保CAN总线工作正常；

FSR6:确保ECU工作正常；

FSR7:确保VS-LKA输出正确的车道线方程、车辆与两侧车道线横向距离、车道线长度、宽度、线型；

FSR8:确保系统发生故障以后能在短时间内检测出来并输出相应的故障时间和故障代码；

FSR9:确保检测出故障时系统能发出警示并提醒驾驶员注意；

FSR10:确保系统发生可容忍故障时有冗余容错安全措施使车辆过渡到安全状态；

FSR11:确保系统发生不可容忍故障时能启动紧急制动操作；

FSR12:确保系统在故障容错时间间隔内能够将车辆过渡到安全状态。

8.根据权利要求7所述的智能车辆VS-LKA系统功能安全概念分析方法其特征在于，根据功能安全要求设定技术安全要求，包括如下方面：

TSR1:设计多种车速信号传输方式，并进行信号正确性校验；

TSR2:设计多种转向灯工作信号传输方式，并进行信号正确性校验；

TSR3:设计多种雨刮器工作信号传输方式，并进行信号正确性校验；

TSR4:设计多种方向盘接触信号传输方式，并进行信号正确性校验；

TSR5:设计CAN总线能够对ECU、VS-LKA进行生命信号校验；

TSR6:设计信号监测器能够校验VS-LKA是否正确计算了当前时刻车辆与道路两侧的横向距离；

TSR7:设计信号监测器能够校验VS-LKA是否拟合了正确的前方道路车道线方程；

TSR8:设计信号监测器能够检测VS-LKA是否输出信号；

TSR9:设计状态观测器能够准确预测前方车道线走势；

TSR10:设计故障诊断模块确保系统能够及时检测故障发生并输出相应的故障代码和故障时间；

TSR11:设计容错控制措施确保系统发生可容忍错误时在一定时间内维持车辆在期望车道内行驶并不发生较大偏离；

TSR12:设计包括靠边停车、紧急制动等安全措施确保系统发生不可容忍错误时车辆能够过渡到安全状态。

Images