CN113673304A - 基于场景语义驱动的车载预期功能安全危害分析评估方法 - Google Patents

基于场景语义驱动的车载预期功能安全危害分析评估方法 Download PDF

Info

Publication number
CN113673304A
CN113673304A CN202110737286.1A CN202110737286A CN113673304A CN 113673304 A CN113673304 A CN 113673304A CN 202110737286 A CN202110737286 A CN 202110737286A CN 113673304 A CN113673304 A CN 113673304A
Authority
CN
China
Prior art keywords
scene
data
severity
hazard
hazards
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110737286.1A
Other languages
English (en)
Other versions
CN113673304B (zh
Inventor
刘虹
薛松
胡红星
黄惠斌
蒲戈光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Automotive Innovation Corp
Shanghai Industrial Control Safety Innovation Technology Co ltd
East China Normal University
Original Assignee
China Automotive Innovation Corp
Shanghai Industrial Control Safety Innovation Technology Co ltd
East China Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Automotive Innovation Corp, Shanghai Industrial Control Safety Innovation Technology Co ltd, East China Normal University filed Critical China Automotive Innovation Corp
Priority to CN202110737286.1A priority Critical patent/CN113673304B/zh
Publication of CN113673304A publication Critical patent/CN113673304A/zh
Application granted granted Critical
Publication of CN113673304B publication Critical patent/CN113673304B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Traffic Control Systems (AREA)

Abstract

本发明公开了一种基于场景语义驱动的车载预期功能安全危害分析评估方法,首先对自动驾驶相关场景数据进行处理和分析,可以更有效的识别出预期功能安全SOTIF相关的隐患,然后针对隐患提出了一种危害分析评估的方法,通过危险性和可操作性HAZOP方法进行危害分析,并提出根据严重度等级分配发生频率的方法进行风险评估,最后得到不可接受的危害及其安全目标和触发事件。本发明包含五个步骤,步骤一:处理场景数据,构建存在潜在风险的场景;步骤二:计算场景的概率分布,结合高风险场景识别SOTIF隐患;步骤三:通过HAZOP工具对SOTIF隐患进行危害分析;步骤四:对危害及其可能后果进行分类和评估;步骤五:找出不可接受的风险,定义其安全目标并识别触发事件。

Description

基于场景语义驱动的车载预期功能安全危害分析评估方法
技术领域
本发明属于自动驾驶预期功能安全技术领域,涉及一种基于场景语义驱动的自动驾驶预期功能安全危害分析和评估方法。
背景技术
随着汽车自动驾驶技术的发展,以及L3及更高级别自动驾驶汽车的落地需要,自动驾驶安全除了信息安全和功能安全外还需关注预期功能安全(SOTIF)。SOTIF是近年来引起国内外专家兴趣的自动驾驶安全种类,和功能安全不同,SOTIF不考虑由电子电气系统故障引起的风险,是功能安全的补充。SOTIF的相关风险主要由预期功能的不足或者人为合理可预见的误用两部分原因导致的。
目前,SOTIF在国内外的研究处于起步阶段,2019年ISO组织召开会议初步制定了SOTIF标准ISO/PAS 21448,提出了预期功能安全的概念,ISO/PAS 21448中对SOTIF的定义和流程进行了基本的描述,但是没有提出具体的SOTIF分析方法和步骤,相关的文章专利等也没有针对SOTIF的危害分析的方法流程进行设计。
发明内容
为了解决现有技术存在的不足,本发明的目的是提供一种基于场景语义驱动的车载预期功能安全危害分析和评估方法,主要针对预期功能安全分析中的两个难点,即如何更有效的从场景中识别出SOTIF风险、如何针对预期功能安全问题进行风险评估。针对这两个问题,本发明首先通过构建高风险场景并计算出现事故概率以更有效识别出SOTIF风险,然后设计了一种危害分析和风险评估的方法,最后输出风险不可接受的危害、后果、相关危险场景以及安全目标。
本发明提出了一种基于场景语义驱动的车载预期功能安全危害分析和评估方法,具体包括以下四个步骤:
步骤一:处理场景数据,构建存在潜在风险的场景。选择产生事故或具有风险的自动驾驶相关场景数据,进行数据整理、数据完善、场景要素标注、场景分类、场景聚类步骤,最终构建得到新的具有潜在风险的自动驾驶场景;
步骤二:计算场景的概率分布,结合高风险场景识别预期功能安全SOTIF隐患。计算步骤一中构建得到的场景的概率分布,概率高的场景说明其具有更高的潜在风险,根据高风险的场景结合传感器相关技术资料、已知的SOTIF相关功能局限等,识别出SOTIF相关的潜在风险隐患;所述功能局限包括天气因素对传感器的影响、车辆感知系统对环境的误识别、车辆决策逻辑不合理、车辆执行器响应不足等;
步骤三:对SOTIF风险进行危害分析。根据步骤二分析得出的SOTIF相关潜在风险隐患,使用危险性和可操作性HAZOP对其进行危害分析,得到相应的危害以及危害可能造成的不同事故,以及事故带来的不同后果;
步骤四:对危害及其可能后果进行分类和评估。对严重度S分为若干个级别,所述严重度S的划分可以参考ISO 26262中严重度的级别,并针对每个严重度级别,参考各种数据人为分析,制定其最低的可接受发生频率,严重度级别越高,可接受的发生频率越低;所述参考的数据包括相关政策法规、交通数据、专家的数据分析、以往测试数据等;对步骤三得到的危害及其后果进行风险评估,得到严重度S、可控性C和暴露率E;并结合可控性C和暴露率E评估危害造成后果的可能发生频率,将其分配到相应严重度级别中;
步骤五:找出不可接受的风险,定义其安全目标并识别触发事件。对于步骤四中超出最低可接受发生频率的严重度级别,找出对应的危害,判定为风险不可接受,并定义其安全目标、识别相应的触发事件;所述安全目标是指避免相应危害的措施,和可接受发生频率的目标水平,以保证对应严重度等级的风险达到可接受水平。安全目标需要制定相应措施和可接受风险的目标,最终目标应满足对应严重度等级低于可接受发生频率。
步骤一中,场景数据的收集来源包括各个国家公司的开源场景数据集,自然驾驶数据、事故数据、路测监控数据、驾驶员考试数据等真实数据,自动驾驶汽车封闭测试场地的测试数据,自动驾驶仿真工具的仿真测试数据,专家总结的相关场景数据要素等;所述专家总结的场景数据要素包括标准法规测试数据、ISO/PAS 21448中总结的场景环境要素、车辆测试经验总结等。
步骤一中,在构建具有风险的自动驾驶场景的过程中,需要经过数据整理、数据完善、场景要素标注、场景分类、场景聚类五个步骤;
所述数据整理包括筛选不同来源的数据、清除冗余数据,整理数据、生成场景数据集;
所述数据完善即通过计算获得不能直接收集的数据信息,包括碰撞时间TTC、制动时间TTB、车头时距TH等,得到完整数据信息;
所述场景要素标注即通过语义分析的方法标注场景中的关键信息,所述关键信息包括其他车辆、行人、非机动车、道路标志牌等;
所述场景分类即根据危害分析的需求,将场景通过不同的标签分类,所述标签类别包括目标车辆速度、临近车辆位置和速度、碰撞时间TTC等;
所述场景聚类即根据K-Means聚类算法对逻辑场景进行聚类;在聚类过程中,根据原场景记录的参数确定逻辑场景的参数;所述参数包括碰撞时间TTC、本车速度、切入车辆速度、车距、制动时间。
步骤二中,所述计算场景的概率分布,首先根据步骤一中所述场景聚类过程得到的逻辑场景参数,整理得到逻辑场景参数的频率分布,所述逻辑场景参数可视为非离散型的随机变量;然后根据逻辑场景参数的频率分布得到N个样本点x1,x2,...,xn;最后通过对随机变量进行核密度估计得到其概率分布,所述核密度估计的计算方式为:核密度
Figure BDA0003140368570000031
Figure BDA0003140368570000032
其中K为核函数,需要满足∫K(x)dx=1,h为平滑参数,决定x邻域的取值范围[x-h,x+h];X表示核密度中的自变量,代表随机变量的参数值,h决定邻域的范围大小,根据邻域内的样本点估计x点处的函数值。
步骤二中,概率分布和要选择的参数范围不固定,此处没有具体的数值要求,指根据概率分布选择合适的参数范围,在此范围内概率最高。即计算得到场景的概率分布后,根据场景参数的概率分布选择合适的参数区间大小,在所述固定参数区间大小内选择概率最高的参数范围,得到具有潜在风险的驾驶场景(比一般场景更具有风险性的场景),并结合传感器供应商提供的数据、传感器技术报告、已知的传感器局限、ISO/PAS 21448中附录F提供的场景影响因素表等,识别和分析出SOTIF相关的安全隐患作为步骤二的输出,主要包括不同传感器局限性在特定驾驶场景中带来的风险;所述与SOTIF相关的安全隐患包括天气因素造成的镜头畸变、鬼反射、图像失真等。
步骤三中,对SOTIF风险进行危害分析,采取危险性和可操作性(HAZOP)的分析方法,步骤二中识别出的SOTIF相关风险作为输入,通过引导词描述与预期功能设计不一致的地方,包括提出问题、划分功能单元、分析偏差、定义引导词、分析原因及后果等步骤,最终输出HAZOP分析汇总表,所述汇总表中包括但不局限于SOTIF风险、引导词、危害、偏差原因、可能导致的后果、应对措施等内容。
步骤四中,首先对危害及其后果的严重度S、可控性C和暴露率E分别定义不同的级别,并针对不同等级的严重度S1,S2,S3,……,结合相关政策法规、交通数据、专家的数据分析、以往测试数据等制定不同等级严重度S的最低可接受发生频率
Figure BDA0003140368570000033
得到严重度-可接受发生频率的对应图。
步骤四中,所述对危害及其后果进行分类,每个危害H1,H2,...,Hn都有对应的发生概率
Figure BDA0003140368570000034
同一个危害由于驾驶速度、场景环境不同可能造成不同的后果,针对这些后果根据严重度级别评估其严重度S、可控性C和暴露率E,从而得到危害导致的不同严重度的后果
Figure BDA0003140368570000035
表示危害i导致的严重度为Sj的后果。
步骤四中,所述对危害及其后果的分类和评估,对每一种后果可以根据其可控性C和暴露率E,通过评估函数
Figure BDA0003140368570000041
评估其发生概率在对应危害中的占比,评估函数需要综合同一危害可能导致的所有后果的可控性C和暴露率E,从而得到每一种后果的发生概率
Figure BDA0003140368570000042
表示危害i导致严重度为Sj后果的发生概率,并根据后果的严重度S,将发生概率分配到不同严重度级别的可接受发生频率中。对于每个不同的严重度级别,最终的期望需要满足公式:
Figure BDA0003140368570000043
即对于每一个严重度级别Sj,所有分配到Sj的可接受发生频率总和低于其最低可接受发生频率
Figure BDA0003140368570000047
n为分配到严重度级别Sj的后果总数。
步骤五中,首先需要确定风险不可接受的危害,根据步骤四中的分类和评估,对于
Figure BDA0003140368570000044
的严重度类别Sj,认定为该严重度类别的风险不可接受,找到为Sj分配发生概率的对应的危害,认定这些危害风险不可接受,并识别该危害及对应后果的危险场景、触发事件、以及定义安全目标和可接受标准。对于
Figure BDA0003140368570000045
的严重度类别Sj,其定义的可接受发生频率进一步限制在
Figure BDA0003140368570000046
本发明的有益效果包括:针对自动驾驶预期功能安全的两个难点,即如何有效识别出SOTIF风险、如何针对SOTIF风险进行分析和评估,设计了基于场景语义驱动的车载预期功能安全危害分析和评估方法。其中首先通过处理不同来源的自动驾驶数据构建危险驾驶场景,并计算场景的概率分布来获取具有较高风险的驾驶场景,从而可以更有效的识别出更多的SOTIF风险;并区别于功能安全传统的危害分析和风险评估方法,针对SOTIF设计了更适合的危害分析和评估方法,其中对SOTIF风险的危害分析采用HAZOP方法得到SOTIF危害分析汇总表,风险评估采用根据严重度等级分配发生频率的方法,可以综合评估每个危害是否可接受,最终得到风险不可接受的危害及其相关危险场景、后果、触发事件和安全目标,以方便后续对自动驾驶功能进行SOTIF相关的功能改进和验证工作。传统功能安全的风险评估通过严重度、暴露率和可控性定义危害的汽车安全完整性等级(ASIL),最终输出每个危害的安全目标和ASIL;由于预期功能安全是功能安全的补充考虑,SOTIF风险的识别相对更难,SOTIF危害需要评估可接受性,所以功能安全的危害分析评估方法不完全适用于预期功能安全;本发明所述的方法从场景语义展开、识别SOTIF风险,改进了功能安全的危害分析评估方法、评估危害是否可接受,既可以有效的识别出SOTIF风险,又可以针对SOTIF找出风险不可接受的危害,并定义其安全目标、触发事件和相关场景。
附图说明
图1是本发明危害分析和评估的流程图。
图2是本发明根据不同严重度级别定义可接受发生频率的示例图。
图3是本发明危害及后果分类和评估的示例图。
具体实施方式
结合以下具体实施例和附图,对发明作进一步的详细说明。实施本发明的过程、条件、实验方法等,除以下专门提及的内容之外,均为本领域的普遍知识和公知常识,本发明没有特别限制内容。
本发明提供了一种基于场景语义驱动的车载预期功能安全危害分析和评估方法,图1中所示,所述基于场景语义驱动的车载预期功能安全危害分析和评估方法分为五个步骤:
步骤一:处理场景数据,构建存在潜在风险的场景。选择产生事故或具有风险的自动驾驶相关场景数据,进行数据整理、数据完善、场景要素标注、场景分类、场景聚类步骤,最终得到新的具有潜在风险的自动驾驶场景;
步骤二:计算场景的概率分布,结合高风险场景识别SOTIF隐患。计算步骤一中得到场景的概率分布,概率高的场景说明其具有更高的潜在风险,根据高风险的场景结合传感器相关技术资料、已知的SOTIF相关功能局限等、识别出SOTIF相关的潜在风险隐患;所述功能局限包括天气因素对传感器的影响、车辆感知系统对环境的误识别、车辆决策逻辑不合理、车辆执行器响应不足等;
步骤三:对SOTIF风险进行危害分析。根据步骤二分析得出的SOTIF相关潜在风险隐患,使用危险性和可操作性HAZOP对其进行危害分析,得到相应的危害以及危害可能造成的不同事故,以及事故带来的不同后果;
步骤四:对危害及其可能后果进行分类和评估。对严重度S分为若干个级别,所述严重度S的划分可以参考ISO 26262中严重度的级别,并针对每个严重度级别,参考各种数据人为分析,制定其最低的可接受发生频率,严重度级别越高,可接受的发生频率越低;所述参考的数据包括相关政策法规、交通数据、专家的数据分析、以往测试数据等;对步骤三得到的危害及其后果进行风险评估,得到严重度S、可控性C和暴露率E;并结合可控性C和暴露率E评估危害造成后果的可能发生频率,将其分配到相应严重度级别中;
步骤五:找出不可接受的风险,定义其安全目标并识别触发事件。对于步骤四中超出最低可接受发生频率的严重度级别,找出对应的危害,判定为风险不可接受,并定义其安全目标、识别相应的触发事件;所述安全目标是指避免相应危害的措施,和可接受发生频率的目标水平,以保证对应严重度等级的风险达到可接受水平。安全目标需要制定相应措施和可接受风险的目标,最终目标应满足对应严重度等级低于可接受发生频率。
图1中所示,步骤一中,收集场景数据,所述场景数据的来源包括各个国家公司的开源场景数据集;自然驾驶数据、事故数据、路测监控数据、驾驶员考试数据等真实数据;自动驾驶汽车封闭测试场地的测试数据;自动驾驶仿真工具的仿真测试数据;专家总结的相关场景数据要素等;所述专家总结的场景数据要素包括标准法规测试数据、ISO/PAS 21448中总结的场景环境要素、车辆测试经验总结等。
图1中所示,步骤一中,通过数据整理、数据完善、场景要素标注、场景分类、场景聚类五个步骤,构建出若干具有风险的自动驾驶场景。
其中所述数据整理包括筛选不同来源的数据、清除冗余数据,整理数据、生成场景数据集;
所述数据完善需要通过计算获得不能直接收集的数据信息,包括碰撞时间TTC、制动时间TTB、车头时距TH等,得到完整数据信息;
所述场景要素标注需要通过语义分析的方法标注场景中的关键信息,所述关键信息包括其他车辆、行人、非机动车、道路标志牌等;
所述场景分类需要根据危害分析的需求,将场景通过不同的标签分类,所述标签类别包括目标车辆速度、临近车辆位置和速度、碰撞时间TTC等;
所述场景聚类需要根据K-Means聚类算法对逻辑场景进行聚类;在聚类过程中,根据原场景记录的参数确定逻辑场景的参数;所述参数包括碰撞时间TTC、本车速度、切入车辆速度、车距、制动时间。
在步骤一所述数据收集和场景构建的过程中,可以通过例如CARLA的自动驾驶仿真工具对场景和数据进行记录,方便管理、保存和测试;最终得到的场景应包含光线、天气、道路类型、交通标志、目标车辆和周围车辆的物理属性,行人、非机动车等其他道路参与者。
图1中所示,步骤二中,所述计算场景的概率分布,首先根据步骤一中所述场景聚类过程得到的逻辑场景参数,整理得到逻辑场景参数的频率分布,所述逻辑场景参数可视为非离散型的随机变量;然后根据逻辑场景参数的频率分布得到N个样本点x1,x2,...,xn;最后通过对随机变量进行核密度估计得到其概率分布,所述核密度估计的计算方式为:核密度
Figure BDA0003140368570000061
Figure BDA0003140368570000062
其中K为核函数,需要满足∫K(x)dx=1,h为平滑参数,决定x邻域的取值范围[x-h,x+h]。
图1中所示,步骤二中,计算得到场景的概率分布后,根据场景参数的概率分布选择合适的参数区间大小,在所述固定参数区间大小内选择概率最高的参数范围,得到具有潜在风险的驾驶场景,并结合传感器供应商提供的数据、传感器技术报告、已知的传感器局限、ISO/PAS 21448中附录F提供的场景影响因素表等,识别和分析出SOTIF相关的安全隐患作为步骤二的输出,主要包括不同传感器局限性在特定驾驶场景中带来的风险;所述与SOTIF相关的安全隐患例如天气因素造成的镜头畸变、鬼反射、图像失真等。
图1中所示,步骤三中,对SOTIF风险进行危害分析,采取危险性和可操作性(HAZOP)的分析方法,步骤二中识别出的SOTIF相关风险作为输入,通过引导词描述与预期功能设计不一致的地方,包括提出问题、划分功能单元、分析偏差、定义引导词、分析原因及后果等步骤,最终输出HAZOP分析汇总表,所述汇总表中包括但不局限于SOTIF风险、引导词、危害、偏差原因、可能导致的后果、应对措施等内容。
图1中所示,步骤四中,首先对危害及其后果的严重度S、可控性C和暴露率E分别定义不同的级别,并针对不同等级的严重度S1,S2,S3,……,结合相关政策法规、交通数据、专家的数据分析、以往测试数据等制定不同等级严重度S的最低可接受发生频率
Figure BDA0003140368570000071
得到严重度-可接受发生频率的对应图。
图1中所示,步骤四中,所述对危害及其后果进行分类,每个危害H1,H2,...,Hn都有对应的发生概率
Figure BDA0003140368570000072
同一个危害由于驾驶速度、场景环境不同可能造成不同的后果,针对这些后果根据前面定义的严重度级别评估其严重度S、可控性C和暴露率E,从而得到危害导致的不同严重度的后果
Figure BDA0003140368570000073
表示危害i导致的严重度为Sj的后果。
图1中所示,步骤四中,所述对危害及其后果的分类和评估,对每一种后果可以根据其可控性C和暴露率E,通过评估函数
Figure BDA0003140368570000074
评估其发生概率在对应危害中的占比,评估函数需要综合同一危害可能导致的所有后果的可控性C和暴露率E,从而得到每一种后果的发生概率
Figure BDA0003140368570000075
表示危害i导致严重度为Sj后果的发生概率,并根据后果的严重度S,将发生概率分配到前面定义的不同严重度级别的可接受发生频率中。对于每个不同的严重度级别,最终的目标需要满足公式:
Figure BDA0003140368570000076
即对于每一个严重度级别Sj,所有分配到Sj的可接受发生频率总和低于其最低可接受发生频率
Figure BDA00031403685700000710
n为分配到严重度级别Sj的后果总数。
图1中所示,步骤五中,首先需要确定风险不可接受的危害,根据步骤四中的分类和评估,对于
Figure BDA0003140368570000077
的严重度类别Sj,认定为该严重度类别的风险不可接受,找到为Sj分配发生概率的对应的危害,对于分配占比较高的危害认定为其风险不可接受,并识别该危害及对应后果的危险场景、触发事件、以及定义安全目标和可接受标准。对于
Figure BDA0003140368570000078
的严重度类别Sj,其定义的可接受发生频率进一步限制在
Figure BDA0003140368570000079
实施例
图1中所示,所述基于场景语义驱动的车载预期功能安全危害分析和评估方法分为五个步骤:
步骤一:处理场景数据,构建存在潜在风险的场景。选择产生事故或具有风险的自动驾驶相关场景数据,进行数据整理、数据完善、场景要素标注、场景分类、场景聚类步骤,最终得到新的具有潜在风险的自动驾驶场景;
步骤二:计算场景的概率分布,结合高风险场景识别SOTIF隐患。计算步骤一中得到场景的概率分布,概率高的场景说明其具有更高的潜在风险,根据高风险的场景结合传感器相关技术资料、已知的SOTIF相关功能局限等、识别出SOTIF相关的潜在风险隐患;所述功能局限包括天气因素对传感器的影响、车辆感知系统对环境的误识别、车辆决策逻辑不合理、车辆执行器响应不足等;
步骤三:对SOTIF风险进行危害分析。根据步骤二分析得出的SOTIF相关潜在风险隐患,使用危险性和可操作性HAZOP对其进行危害分析,得到相应的危害以及危害可能造成的不同事故,以及事故带来的不同后果;
步骤四:对危害及其可能后果进行分类和评估。对严重度S分为若干个级别,所述严重度S的划分可以参考ISO 26262中严重度的级别,并针对每个严重度级别,参考各种数据人为分析,制定其最低的可接受发生频率,严重度级别越高,可接受的发生频率越低;对步骤三得到的危害及其后果进行风险评估,得到严重度S、可控性C和暴露率E;并结合可控性C和暴露率E评估危害造成后果的可能发生频率,将其分配到相应严重度级别中;
步骤五:找出不可接受的风险,定义其安全目标并识别触发事件。对于步骤四中超出最低可接受发生频率的严重度级别,找出对应的危害,判定为风险不可接受,并定义其安全目标、识别相应的触发事件;所述安全目标是指避免相应危害的措施,和可接受发生频率的目标水平,以保证对应严重度等级的风险达到可接受水平。
图1中所示,步骤一中,收集场景数据,所述场景数据的来源包括各个国家公司的开源场景数据集;自然驾驶数据、事故数据、路测监控数据、驾驶员考试数据等真实数据;自动驾驶汽车封闭测试场地的测试数据;自动驾驶仿真工具的仿真测试数据;专家总结的相关场景数据要素等;所述专家总结的场景数据要素包括标准法规测试数据、ISO/PAS 21448中总结的场景环境要素、车辆测试经验总结等。
图1中所示,步骤一中,通过数据整理、数据完善、场景要素标注、场景分类、场景聚类五个步骤,构建出若干具有风险的自动驾驶场景。
其中,所述数据整理包括筛选不同来源的数据、清除冗余数据,整理数据、生成场景数据集;
所述数据完善计算不能直接收集的数据信息,包括碰撞时间TTC、制动时间TTB、车头时距TH等,得到完整数据信息;所述场景要素标注通过语义分析的方法标注场景中的关键信息,所述关键信息包括其他车辆、行人、非机动车、道路标志牌等;
所述场景分类根据危害分析的需求,将场景通过不同的标签分类,所述标签类别包括目标车辆速度、临近车辆位置和速度、碰撞时间TTC等;
所述场景聚类根据K-Means聚类算法对逻辑场景进行聚类;在聚类过程中,根据原场景记录的参数确定逻辑场景的参数;所述参数包括碰撞时间TTC、本车速度、切入车辆速度、车距、制动时间。
在步骤一所述数据收集和场景构建的过程中,通过CARLA自动驾驶仿真工具对场景和数据进行记录,方便管理、保存和测试;最终得到的场景包含光线、天气、道路类型、交通标志、目标车辆和周围车辆的物理属性,行人、非机动车等其他道路参与者。
图1中所示,步骤二中,所述计算场景的概率分布,首先根据步骤一中所述场景聚类过程得到的逻辑场景参数,整理得到逻辑场景参数的频率分布,所述逻辑场景参数可视为非离散型的随机变量;然后根据逻辑场景参数的频率分布得到N个样本点x1,x2,...,xn;最后通过对随机变量进行核密度估计得到其概率分布,所述核密度估计的计算方式为:核密度
Figure BDA0003140368570000091
Figure BDA0003140368570000092
其中K为核函数,需要满足∫K(x)dx=1,h为平滑参数,决定x邻域的取值范围[x-h,x+h]。
图1中所示,步骤二中,计算得到场景的概率分布后,根据场景参数的概率分布选择合适的参数区间大小,在所述固定参数区间大小内选择概率最高的参数范围,得到具有潜在风险的驾驶场景,并结合传感器供应商提供的数据、传感器技术报告、已知的传感器局限、ISO/PAS 21448中附录F提供的场景影响因素表等,识别和分析出SOTIF相关的安全隐患作为步骤二的输出,主要包括不同传感器局限性在特定驾驶场景中带来的风险;所述与SOTIF相关的安全隐患例如天气因素造成的镜头畸变、鬼反射、图像失真等,例如识别出在雨天、雾天等不良天气下,摄像头会产生噪声污染。
图1中所示,步骤三中,对SOTIF风险进行危害分析,采取危险性和可操作性(HAZOP)的分析方法,步骤二中识别出的SOTIF相关风险作为输入,通过引导词描述与预期功能设计不一致的地方,包括提出问题、划分功能单元、分析偏差、定义引导词、分析原因及后果等步骤,最终输出HAZOP分析汇总表,所述汇总表中包括但不局限于SOTIF风险、引导词、危害、偏差原因、可能导致的后果、应对措施等内容。例如,针对不良天气下摄像头产生噪声污染这一SOTIF风险进行危害分析,得到自动紧急制动系统(AEB)可能会错误识别前方物体的危害,可能导致不必要的制动并引发后面车辆追尾。
图1中所示,步骤四中,首先对危害及其后果的严重度S、可控性C和暴露率E分别定义不同的级别,并针对不同等级的严重度S1,S2,S3,……,结合相关政策法规、交通数据、专家的数据分析、以往测试数据等制定不同等级严重度的最低可接受发生频率
Figure BDA0003140368570000101
得到严重度-可接受发生频率的对应图。如图2所示,严重度可以分为没有人员伤害(S1)、人员轻度或中度伤害(S2)、人员重度伤害(S3)、几乎无生存希望(S4)四个等级,严重度等级越高,可接受发生频率越低。
图1中所示,步骤四中,所述对危害及其后果进行分类,每个危害H1,H2,...,Hn都有对应的发生概率
Figure BDA0003140368570000102
同一个危害由于驾驶速度、场景环境不同可能造成不同的后果,针对这些后果根据前面定义的严重度级别评估其严重度S、可控性C和暴露率E,从而得到危害导致的不同严重度的后果
Figure BDA0003140368570000103
表示危害i导致的严重度为Sj的后果。如图3所示,同一种SOTIF隐患带来不同的危害H1、H2、H3;同一个危害可能导致不同的后果,H1导致严重度为S1、S2的后果,H2导致严重度为S2、S3的后果、H3导致严重度为S2、S3、S4的后果。例如不良天气下摄像头产生噪声污染,可能带来AEB系统误识别、AEB系统漏识别等危害,AEB系统的错误识别可以根据目标车辆的速度、与后方车辆的距离区分出不同严重度的后果。
图1中所示,步骤四中,所述对危害及其后果的分类和评估,对每一种后果可以根据其可控性C和暴露率E,通过评估函数
Figure BDA0003140368570000104
评估其发生概率在对应危害中的占比,评估函数需要综合同一危害可能导致的所有后果的可控性C和暴露率E,从而得到每一种后果的发生概率
Figure BDA0003140368570000105
表示危害i导致严重度为Sj后果的发生概率,并根据后果的严重度s,将发生概率分配到前面定义的不同严重度级别的可接受发生频率中。对于每个不同的严重度级别,最终的目标需要满足公式:
Figure BDA0003140368570000106
即对于每一个严重度级别Sj,所有分配到Sj的可接受发生频率总和低于其最低可接受发生频率
Figure BDA0003140368570000107
如图3所示,一个SOTIF隐患可以带来总计三种危害、七种不同的后果,分配到四种严重度级别中,并对步骤二中识别出的所有SOTIF隐患进行相同的工作,最后根据是否超过最低可接受发生频率以及分配关系,确定风险不可接受的危害。
图1中所示,步骤五中,首先需要确定风险不可接受的危害,根据步骤四中的分类和评估,对于
Figure BDA0003140368570000108
的严重度类别Sj,认定为该严重度类别的风险不可接受,找到为Sj分配发生概率的对应的危害,认定这些危害风险不可接受,并识别该危害及对应后果的危险场景、触发事件、以及定义安全目标和可接受标准。对于
Figure BDA0003140368570000111
的严重度类别Sj,其定义的可接受发生频率进一步限制在
Figure BDA0003140368570000112
本发明的保护内容不局限于以上实施例。在不背离发明构思的精神和范围下,本领域技术人员能够想到的变化和优点都被包括在本发明中,并且以所附的权利要求书为保护范围。

Claims (10)

1.一种基于场景语义驱动的车载预期功能安全危害分析评估方法,其特征在于,包括以下步骤:
步骤一:处理场景数据,构建存在潜在风险的场景:选择产生事故或具有风险的自动驾驶场景数据,进行数据整理、数据完善、场景要素标注、场景分类、场景聚类步骤,最终构建得到新的具有潜在风险的自动驾驶场景;
步骤二:计算场景的概率分布,结合高风险场景识别预期功能安全SOTIF隐患:计算步骤一中构建得到的场景的概率分布,概率高的场景说明其具有更高的潜在风险,根据高风险的场景结合传感器相关技术资料、已知的SOTIF相关功能局限,识别出SOTIF相关的潜在风险隐患;所述功能局限包括天气因素对传感器的影响、车辆感知系统对环境的误识别、车辆决策逻辑不合理、车辆执行器响应不足;
步骤三:对SOTIF风险进行危害分析:根据步骤二分析得出的SOTIF相关潜在风险隐患,使用危险性和可操作性HAZOP对其进行危害分析,得到相应的危害以及危害可能造成的不同事故,以及事故带来的不同后果;
步骤四:对危害及其可能后果进行分类和评估:对严重度S参考ISO 26262中严重度的级别划分为若干个级别,并针对每个严重度级别,制定其最低的可接受发生频率,严重度级别越高,可接受的发生频率越低;对步骤三得到的危害及其后果进行风险评估,得到严重度S、可控性C和暴露率E;并结合可控性C和暴露率E评估危害造成后果的可能发生频率,将其分配到相应严重度级别中;
步骤五:找出不可接受的风险,定义其安全目标并识别触发事件:对于步骤四中超出最低可接受发生频率的严重度级别,找出对应的危害,判定为风险不可接受,并定义其安全目标、识别相应的触发事件;所述安全目标是指避免相应危害的措施,和可接受发生频率的目标水平,以保证对应严重度等级的风险达到可接受水平。
2.根据权利要求1所述的基于场景语义驱动的车载预期功能安全危害分析评估方法,其特征在于,步骤一中,所述场景数据的收集来源包括各个国家公司的开源场景数据集,真实的自然驾驶数据、事故数据、路测监控数据、驾驶员考试数据,自动驾驶汽车封闭测试场地的测试数据,自动驾驶仿真工具的仿真测试数据,专家总结的相关场景数据要素;所述专家总结的场景数据要素包括标准法规测试数据、ISO/PAS 21448中总结的场景环境要素、车辆测试经验总结。
3.根据权利要求1所述的基于场景语义驱动的车载预期功能安全危害分析评估方法,其特征在于,步骤一中,在构建具有风险的自动驾驶场景的过程中,需要经过数据整理、数据完善、场景要素标注、场景分类、场景聚类五个步骤;
所述数据整理包括筛选不同来源的数据、清除冗余数据,整理数据、生成场景数据集;
所述数据完善即通过计算获得不能直接收集的数据信息,包括碰撞时间TTC、制动时间TTB、车头时距TH,得到完整数据信息;
所述场景要素标注即通过语义分析的方法标注场景中的关键信息,所述关键信息包括其他车辆、行人、非机动车、道路标志牌;
所述场景分类即根据危害分析的需求,将场景通过不同的标签分类,所述标签类别包括目标车辆速度、临近车辆位置和速度、碰撞时间TTC;
所述场景聚类即根据K-Means聚类算法对逻辑场景进行聚类;在聚类过程中,根据原场景记录的参数确定逻辑场景的参数。
4.根据权利要求1所述的基于场景语义驱动的车载预期功能安全危害分析评估方法,其特征在于,步骤二中,所述计算场景的概率分布,首先根据步骤一中所述场景聚类过程得到的逻辑场景参数,整理得到逻辑场景参数的频率分布,所述逻辑场景参数视为非离散型的随机变量;然后根据逻辑场景参数的频率分布得到N个样本点x1,x2,…,xn;最后通过对随机变量进行核密度估计得到其概率分布,所述核密度估计的计算方式为:核密度
Figure FDA0003140368560000021
Figure FDA0003140368560000022
其中K为核函数,需要满足∫K(x)dx=1,h为平滑参数,决定x邻域的取值范围[x-h,x+h]。
5.根据权利要求1所述的基于场景语义驱动的车载预期功能安全危害分析评估方法,其特征在于,步骤二中,计算得到场景的概率分布后,根据场景参数的概率分布选择合适的参数区间大小,在所述固定参数区间大小内选择概率最高的参数范围,得到具有潜在风险的驾驶场景,并结合传感器供应商提供的数据、传感器技术报告、已知的传感器局限、ISO/PAS21448中附录F提供的场景影响因素表,识别和分析出SOTIF相关的安全隐患作为步骤二的输出,包括不同传感器局限性在特定驾驶场景中带来的风险;所述与SOTIF相关的安全隐患包括天气因素造成的镜头畸变、鬼反射、图像失真。
6.根据权利要求1所述的基于场景语义驱动的车载预期功能安全危害分析评估方法,其特征在于,步骤三中,对SOTIF风险进行危害分析,采取危险性和可操作性HAZOP的分析方法,将步骤二中识别出的SOTIF相关风险作为输入,通过引导词描述与预期功能设计不一致的地方,包括提出问题、划分功能单元、分析偏差、定义引导词、分析原因及后果步骤,最终输出HAZOP分析汇总表,所述汇总表中的内容包括SOTIF风险、引导词、危害、偏差原因、可能导致的后果、应对措施。
7.根据权利要求1所述的基于场景语义驱动的车载预期功能安全危害分析评估方法,其特征在于,步骤四中,首先对危害及其后果包括的严重度S、可控性C和暴露率E分别定义不同的级别,并针对不同等级的严重度S结合相关政策法规、交通数据、专家的数据分析、以往测试数据制定不同等级严重度的最低可接受发生频率fs,得到严重度-可接受发生频率的对应图。
8.根据权利要求1所述的基于场景语义驱动的车载预期功能安全危害分析评估方法,其特征在于,步骤四中,所述对危害及其后果进行分类,每个危害H都有对应的发生概率fH;同一个危害由于驾驶速度、场景环境不同可能造成不同的后果,针对不同的后果根据严重度级别评估其严重度S、可控性C和暴露率E,从而得到危害导致的不同严重度的后果
Figure FDA0003140368560000031
表示危害i导致的严重度为Sj的后果。
9.根据权利要求1所述的基于场景语义驱动的车载预期功能安全危害分析评估方法,其特征在于,步骤四中,所述对危害及其后果的分类和评估,对每一种后果可以根据其可控性C和暴露率E,通过评估函数
Figure FDA0003140368560000032
评估其发生概率在对应危害中的占比,评估函数需要综合同一危害可能导致的所有后果的可控性C和暴露率E,从而得到每一种后果的发生概率
Figure FDA0003140368560000033
表示危害i导致严重度为Sj后果的发生概率,并根据后果的严重度S,将发生概率分配到严重度可接受发生频率中;对于每个不同的严重度级别,最终的期望需要满足公式:
Figure FDA0003140368560000034
即对于每一个严重度级别Sj,所有分配到Sj的可接受发生频率总和低于其最低可接受发生频率
Figure FDA0003140368560000038
n为分配到严重度级别Sj的后果总数。
10.根据权利要求1所述的基于场景语义驱动的车载预期功能安全危害分析评估方法,其特征在于,步骤五中,首先需要确定风险不可接受的危害,根据步骤四中的分类和评估,对于
Figure FDA0003140368560000035
的严重度类别Sj,认定为该严重度类别的风险不可接受,找到为Sj分配发生概率的对应的危害,认定这些危害风险不可接受,并识别该危害及对应后果的危险场景、触发事件、以及定义安全目标和可接受标准;对于
Figure FDA0003140368560000036
的严重度类别Sj,其定义的可接受发生频率进一步限制在
Figure FDA0003140368560000037
CN202110737286.1A 2021-06-30 2021-06-30 基于场景语义驱动的车载预期功能安全危害分析评估方法 Active CN113673304B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110737286.1A CN113673304B (zh) 2021-06-30 2021-06-30 基于场景语义驱动的车载预期功能安全危害分析评估方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110737286.1A CN113673304B (zh) 2021-06-30 2021-06-30 基于场景语义驱动的车载预期功能安全危害分析评估方法

Publications (2)

Publication Number Publication Date
CN113673304A true CN113673304A (zh) 2021-11-19
CN113673304B CN113673304B (zh) 2023-08-11

Family

ID=78538426

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110737286.1A Active CN113673304B (zh) 2021-06-30 2021-06-30 基于场景语义驱动的车载预期功能安全危害分析评估方法

Country Status (1)

Country Link
CN (1) CN113673304B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338129A (zh) * 2021-12-24 2022-04-12 中汽创智科技有限公司 一种报文异常检测方法、装置、设备及介质
CN115384530A (zh) * 2022-09-30 2022-11-25 重庆长安汽车股份有限公司 高级辅助驾驶预期功能安全分析方法、装置、设备及介质
CN115903742A (zh) * 2022-11-23 2023-04-04 吉林大学 基于功能安全的智能车辆系统故障分类方法
WO2023141913A1 (zh) * 2022-01-28 2023-08-03 华为技术有限公司 一种风险处理的方法以及相关装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012098820A (ja) * 2010-10-29 2012-05-24 Techno Management Solutions:Kk プロセスリスクアセスメント支援装置
CN110930005A (zh) * 2019-11-14 2020-03-27 华东师范大学 基于零日漏洞的自动驾驶预期功能安全危害评估方法
CN112418711A (zh) * 2020-12-07 2021-02-26 安徽江淮汽车集团股份有限公司 车辆预期功能危害评估方法、设备、存储介质及装置
CN112612288A (zh) * 2020-12-29 2021-04-06 清华大学苏州汽车研究院(相城) 一种用于自动驾驶车辆误/漏识别的预期功能安全风险评估方法
CN112651132A (zh) * 2020-12-29 2021-04-13 清华大学苏州汽车研究院(相城) 一种用于自动驾驶车辆误操作的预期功能安全风险评估方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012098820A (ja) * 2010-10-29 2012-05-24 Techno Management Solutions:Kk プロセスリスクアセスメント支援装置
CN110930005A (zh) * 2019-11-14 2020-03-27 华东师范大学 基于零日漏洞的自动驾驶预期功能安全危害评估方法
CN112418711A (zh) * 2020-12-07 2021-02-26 安徽江淮汽车集团股份有限公司 车辆预期功能危害评估方法、设备、存储介质及装置
CN112612288A (zh) * 2020-12-29 2021-04-06 清华大学苏州汽车研究院(相城) 一种用于自动驾驶车辆误/漏识别的预期功能安全风险评估方法
CN112651132A (zh) * 2020-12-29 2021-04-13 清华大学苏州汽车研究院(相城) 一种用于自动驾驶车辆误操作的预期功能安全风险评估方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李葛亮;莫志刚;刘亚妮;吕远斌;: "轨道交通车辆系统的危害分析与风险评估", 机车电传动, no. 04 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338129A (zh) * 2021-12-24 2022-04-12 中汽创智科技有限公司 一种报文异常检测方法、装置、设备及介质
CN114338129B (zh) * 2021-12-24 2023-10-31 中汽创智科技有限公司 一种报文异常检测方法、装置、设备及介质
WO2023141913A1 (zh) * 2022-01-28 2023-08-03 华为技术有限公司 一种风险处理的方法以及相关装置
CN115384530A (zh) * 2022-09-30 2022-11-25 重庆长安汽车股份有限公司 高级辅助驾驶预期功能安全分析方法、装置、设备及介质
CN115903742A (zh) * 2022-11-23 2023-04-04 吉林大学 基于功能安全的智能车辆系统故障分类方法

Also Published As

Publication number Publication date
CN113673304B (zh) 2023-08-11

Similar Documents

Publication Publication Date Title
CN113673304A (zh) 基于场景语义驱动的车载预期功能安全危害分析评估方法
WO2018103313A1 (zh) 发生交通事故的风险预测方法、装置及系统
CN110222596B (zh) 一种基于视觉的驾驶员行为分析防作弊方法
CN111629181B (zh) 消防生命通道监控系统及方法
Ponn et al. Identification of challenging highway-scenarios for the safety validation of automated vehicles based on real driving data
Gao et al. Predicting hazardous driving events using multi-modal deep learning based on video motion profile and kinematics data
Fang et al. Driver risk assessment using traffic violation and accident data by machine learning approaches
CN114926824A (zh) 一种不良驾驶行为判别方法
CN116645646A (zh) 一种用于停车异常检测预警方法及系统
Adanu et al. An analysis of the effects of crash factors and precrash actions on side impact crashes at unsignalized intersections
El Mallahi et al. Prediction of traffic accidents using random forest model
Yang et al. Dynamic safety estimation of airport pick-up area based on video trajectory data
CN114841483A (zh) 一种物流货运车辆的安全监控方法及系统
CN111222587A (zh) 基于特征融合的失证人员危险驾驶行为预测方法及系统
Huang et al. Objective and subjective analysis to quantify influence factors of driving risk
Yardy et al. Detecting malicious driving with machine learning
CN116596307A (zh) 一种基于公交运营安全数据构建驾驶员安全画像模型的方法
CN112633163B (zh) 一种基于机器学习算法实现非法运营车辆检测的检测方法
Yang et al. Analysis of first responder-involved traffic incidents by mining news reports
Torres Investigating traffic crashes involving autonomous vehicles
CN116997890A (zh) 生成未知不安全场景、改进自动交通工具、计算机系统
Ess et al. Estimating the potential of a warning system preventing road accidents at pedestrian crossings
Blache et al. How to Rationalise the Sampling of Test-Scenarios in Automated Driving Based on Criticality Metrics?
Murray et al. Predicting truck crash involvement: Developing a commercial driver behavior model and requisite enforcement countermeasures
Murray et al. Automated Identification of Vehicular Accidents from Acoustic Signals Using Artificial Neural Networks.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant