CN113987751A

CN113987751A - 一种方案筛选方法、装置、电子设备及存储介质

Info

Publication number: CN113987751A
Application number: CN202111138871.6A
Authority: CN
Inventors: 翁仁洪
Original assignee: Honeycomb Intelligent Steering System Jiangsu Co Ltd Baoding Branch
Current assignee: Honeycomb Intelligent Steering System Jiangsu Co Ltd Baoding Branch
Priority date: 2021-09-27
Filing date: 2021-09-27
Publication date: 2022-01-28

Abstract

本发明实施例提供了一种方案筛选方法、装置、电子设备及存储介质，方法包括:获取在预设的未知不安全场景下测试获得的每种预期功能安全SOTIF设计方案的单次平均失效概率；根据所述每种SOTIF设计方案的单次平均失效概率，获取所述每种SOTIF设计方案在所述预设的未知不安全场景下的评估值；其中，所述评估值至少包括所述SOTIF设计方案的平均失效次数、失效离散程度和总失效率中的两种；根据所述每种SOTIF设计方案的所述评估值，确定在所述预设的未知不安全场景下的目标设计方案。因此，在本发明的实施例中，计算评估值更能定量表现每种预期功能安全设计方案在未知不安全场景下的失效概率分布和置信度，从而确定SOTIF设计方案的筛选原则。

Description

一种方案筛选方法、装置、电子设备及存储介质

技术领域

本发明涉及车辆自动驾驶技术领域，特别是涉及一种方案筛选方法、装置、电子设备及存储介质。

背景技术

目前，自动驾驶车辆引发的安全问题中，99％都来源于预期功能安全，即自动驾驶车辆在所有功能没有失效的情况下，依然发生的驾驶安全问题都归类于预期功能安全。为提升自动驾驶车辆的安全性，参考自动驾驶安全国际标准ISO 21448设计了预期功能安全SOTIF设计方案。开发SOTIF设计方案是为了避免因为车辆级别的预期功能不足、电子电气系统要素的性能局限性和车辆驾驶人员的误用而引起的危害。

而对于现有的多种SOTIF设计方案中，SOTIF设计方案无法从已知和未知场景测试中确定哪一种SOTIF设计方案为最优选设计方案，从而在车辆自动驾驶中无法提供明确的车辆驾驶的预期功能信息，进而导致危险发生。

发明内容

鉴于上述问题，提出了本发明实施例，以便提供克服上述问题或者至少部分地解决上述问题的一种方案筛选方法和相应的一种方案筛选装置。

为了解决上述问题，本发明实施例公开了一种方案筛选方法，所述方法包括：

获取在预设的未知不安全场景下测试获得的每种预期功能安全SOTIF设计方案的单次平均失效概率；

根据所述每种SOTIF设计方案的单次平均失效概率，获取所述每种SOTIF设计方案在所述预设的未知不安全场景下的评估值；其中，所述评估值至少包括所述SOTIF设计方案的平均失效次数、失效离散程度和总失效率中的两种；

根据所述每种SOTIF设计方案的所述评估值，确定在所述预设的未知不安全场景下的目标设计方案。

本发明实施例包括以下优点：

在本发明的实施例中，获取在预设的未知不安全场景下测试获得的每种预期功能安全SOTIF设计方案的单次平均失效概率；根据所述每种SOTIF设计方案的单次平均失效概率，获取所述每种SOTIF设计方案在所述预设的未知不安全场景下的评估值；其中，所述评估值至少包括所述SOTIF设计方案的平均失效次数、失效离散程度和总失效率中的两种；根据所述每种SOTIF设计方案的所述评估值，确定在所述预设的未知不安全场景下的目标设计方案。在本发明的实施例中，根据计算获得的在预设未知不安全场景下每种SOTIF设计方案的评估值，更能定量表现SOTIF设计方案在预设的未知不安全场景下的失效概率分布和置信度。因此，在本发明的实施例中，比较多种SOTIF设计方案在未知场景预设未知不安全场景下的评估值之后，可以给定SOTIF设计方案成熟的筛选原则，为基于未知场景预设未知不安全场景风险状态的SOTIF设计方案提供指导准则。

因此，在本发明的实施例中，筛选出满足未知场景预设未知不安全场景风险状态的最优选SOTIF设计方案，应对在车辆级别的预期功能不足、电子电气系统要素的性能局限性和车辆驾驶人员的误用而引起的危害中，为车辆自动驾驶中提供明确的车辆驾驶的预期功能信息，从而将危害控制在合理可接受的范围内。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种方案筛选方法的示意图；

图2是本发明实施例提供的另一种方案筛选方法的示意图；

图3是本发明实施例提供的一种SOTIF设计方案的评估值的计算方法的示意图；

图4是本发明实施例提供的一种SOTIF设计方案的筛选方法的示意图；

图5是本发明实施例提供的一种方案筛选装置的结构框图；

图6是本发明实施例提供的另一种方案筛选装置的结构框图；

图7是本发明实施例提供的一种评估值获取模块的结构框图；

图8是本发明实施例提供的一种第一筛选模块的结构框图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

自动驾驶安全国际标准ISO 21448《道路车辆预期功能安全》(Road Vehicles-Safety of The Intended Functionality)立足对自动驾驶安全影响更广泛的非故障安全领域，重点关注自动驾驶汽车的行为安全，解决因自动驾驶系统设计不足或性能局限在遇到一定的触发条件(如环境干扰或人员误用)时导致的车辆行为危害。为确保自动驾驶车辆在故障、非故障情况下的安全运行提供了根本保障。

预期功能安全(Safety of The Intended Functionality SOTIF)设计方案是参考自动驾驶安全国际标准ISO 21448进行的设计。该设计方案用于将自动驾驶系统设计不足、性能局限导致的风险控制在合理可接受的范围内。

由于车辆自动驾驶场景的复杂性和随机性，自动驾驶系统存在着不确定性的安全问题。当前从安全性和已知性角度，将车辆运行场景分为已知安全场景、已知不安全场景、未知不安全场景以及未知安全场景。

其中，未知不安全场景的指的是在设计开发人员所能预想、设计的所有无人驾驶场景外，实际自动驾驶车辆在行驶生命周期中遇到的场景，且该场景的不合理风险未被消除。例如：车辆上的智能摄像头，在白天的时候分辨率很高，对捕捉动态变化的物体的精确度好；但在夜间、下雨等场景中，因未定义智能摄像头随环境变化而持续保持高分辨率，导致其分辨率显著降低，捕捉动态变化的物体的精确度显著降低，此时其提供的信息可靠度变差，因此，车辆自动驾驶系统在夜间、下雨的场景中会有不安全行为。

同时，车辆自动驾驶系统的安全风险主要来源于未知不安全场景。目前，为降低车辆自动驾驶在未知不安全场景下发生风险的概率，设计了多种SOTIF设计方案。

例如，在汽车主动安全技术AEB系统，紧急制动案例中，某种SOTIF设计方案评审此案例中系统预期功能的实施过程为：

首先确认AEB系统功能规范，本功能使用雷达扫描前方障碍物距离，如果检测到近处的障碍物，AEB系统将会触发警报，并采取紧急制动措施；

SOTIF设计方案进行相关的危害识别和风险评估，获取车辆行驶场景为交通繁忙地段；其中，潜在危害为非预期的紧急刹车，可能导致后方车辆追尾；

判断风险是否可接受，若接受则结束评审，确认这种SOTIF设计方案为此项系统功能预期的验证标准；若不接受，则重新进行危害识别和风险评估，确认潜在危害取决于车辆之间的间距，驾驶人员无法控制该危害；

根据识别的危害事件，识别触发潜在危害的事件，找出触发危害事件的原因；例如，道路上有易拉罐-或雪糕筒等异物，雷达可能识别为潜在障碍物；判断此触发危害事件的原因是否可接受，若接受则结束评审；其中，造成危害的原因是AEB系统功能局限而导致的，所以判断为不接受；

根据造成危害的原因，修改系统功能(例如，限制AEB的制动持续时间或制动力度或增加功能：限制刹车介入)，以最小化减小或阻止由于非预期紧急刹车导致的伤害；

选择设计相关的测试用例，以应对AEB系统相关的已知或未知非安全场景；

针对已知AEB场景，进行跟踪测试-仿真测试-以及耐久测试。验证这种SOTIF设计方案足够覆盖已知场景，系统和组件表现符合预期；

选择测试用例，进行整车层级测试，统计长久测试结果，以确认这种SOTIF设计方案足够覆盖已知场景，系统和组件表现符合预期；车辆功能系统和组件在真实场景中不会造成不合理风险。

同时，随着SOTIF设计地不断开发，在未知不安全场景下，可以存在多种SOTIF设计方案测试车辆系统功能的表现符合预期。目前，对于多种SOTIF设计方案的最佳方案筛选方法，是比较每种SOTIF设计方案在多次测试后的总失效概率，总失效概率最低的SOTIF设计方案即为满足未知不安全场景风险的最佳设计方案。而这种筛选方式不能定量表现SOTIF设计方案的失效概率分布和置信度。

因此，本发明提供了一种方案筛选方法、装置、电子设备及存储介质，可以定量表现每种SOTIF设计方案在预设的未知不安全场景下的失效概率分布和置信度，从而确定方案的筛选原则，为基于未知不安全场景风险状态的SOTIF设计提供指导准则。

如图1所示，为本发明实施例一种方案筛选方法的示意图。

该方法可以包括：

步骤101，获取在预设的未知不安全场景下测试获得的每种SOTIF设计方案的单次平均失效概率。

其中，单次平均失效概率，是单种SOTIF设计方案在预设的未知不安全场景下获得的多次测试的平均失效率，用总测试次数与失效次数的比值表示单次平均失效概率。

此外，获取每种SOTIF设计方案的单次平均失效概率的方式有两种：

方式一：在执行步骤101时，计算获取每种SOTIF设计方案的单次平均失效概率；

方式二：预先储存在预设的未知不安全场景下，计算获得的每种SOTIF设计方案的单次平均失效概率。在执行步骤101时，直接获取每种SOTIF设计方案对应的单次平均失效概率。

步骤102，根据每种SOTIF设计方案的单次平均失效概率，获取每种SOTIF设计方案在预设的未知不安全场景下的评估值。

其中，评估值至少包括所述SOTIF设计方案的平均失效次数、失效离散程度和总失效率中的两种。

在本发明的实施例中，平均失效次数，用于统计在预设的未知不安全场景的测试中，每种SOTIF设计方案在多次测试后的平均失效次数；失效离散程度，用于观测在预设的未知不安全场景下，测试的每种SOTIF设计方案失效次数之间的差异程度，衡量风险大小的指标；总失效概率，是在预设的未知不安全场景的测试中，每种SOTIF设计方案在多次测试后总的失效概率，用于表示多次测试后发生故障或风险的总概率。

另外，具体的根据单次平均失效概率获得上述评估值的方法有多种，可以参考后续实施例的说明。

步骤103，根据每种SOTIF设计方案的所述评估值，确定在预设的未知不安全场景下的目标设计方案。

其中，根据评估值中平均失效次数、失效离散程度和总失效率中的两种数值比较，更能定量表现SOTIF设计方案在预设的未知不安全场景下的失效概率分布和置信度，从而确定目标SOTIF设计方案的筛选原则，为基于预设的未知不安全场景风险状态的SOTIF设计提供指导准则。

由上述步骤101至103可知，在本发明的实施例中，获取在预设的未知不安全场景下测试获得的每种预期功能安全SOTIF设计方案的单次平均失效概率；根据所述每种SOTIF设计方案的单次平均失效概率，获取所述每种SOTIF设计方案在所述预设的未知不安全场景下的评估值；其中，所述评估值至少包括所述SOTIF设计方案的平均失效次数、失效离散程度和总失效率中的两种；根据所述每种SOTIF设计方案的所述评估值，确定在所述预设的未知不安全场景下的目标设计方案。在本发明的实施例中，根据计算获得的在预设未知不安全场景下每种SOTIF设计方案的评估值，更能定量表现SOTIF设计方案在预设的未知不安全场景下的失效概率分布和置信度。因此，在本发明的实施例中，比较多种SOTIF设计方案在未知场景预设未知不安全场景下的评估值之后，可以给定SOTIF设计方案成熟的筛选原则，为基于未知场景预设未知不安全场景风险状态的SOTIF设计方案提供指导准则。

在本发明另一实施例中，如图2所示，还提供了另一种方案筛选方法的示意图。

该方法可以包括：

步骤201，建立所述预设的未知不安全场景与所述每种SOTIF设计方案的单次平均失效概率的对应关系；

其中，建立对应关系的过程包括步骤H1～H4：

H1：在所述预设的未知不安全场景下，对所述每种SOTIF设计方案进行测试；

H2：获取测试中所述每种SOTIF设计方案测试失败的次数；

H3：分别计算所述测试失败的次数与第一总测试次数的比值，作为所述每种SOTIF设计方案的单次平均失效概率；

H1至H3可知，在预设未知不安全场景下，给定SOTIF设计方案的单次平均失效概率的核算原则如下表1所示。

表1单次平均失效概率的核算原则

另外，第一总测试次数即为m个测试用例，是用于测试单种SOTIF设计方案在预设的未知不安全场景下的总次数。

H4：建立所述预设的未知不安全场景与所述每种SOTIF设计方案的单次平均失效概率的对应关系。

在按照上述H3获得不同SOTIF设计方案对应的单次平均失效概率后，即可建立多种SOTIF设计方案与单次平均失效概率的对应关系表。

步骤202，根据所述对应关系，查找所述预设的未知不安全场景与所述每种SOTIF设计方案的单次平均失效概率。

在本发明的实施例中，在预设未知不安全场景下，可以直接查找每种SOTIF设计方案的单次平均失效概率。

步骤203，根据所述每种SOTIF设计方案的单次平均失效概率，获取所述每种SOTIF设计方案在所述预设的未知不安全场景下的评估值；其中，所述评估值至少包括所述SOTIF设计方案的平均失效次数、失效离散程度和总失效率中的两种；

步骤204，根据所述每种SOTIF设计方案的所述评估值，确定在所述预设的未知不安全场景下的目标设计方案。

本发明实施例中，执行步骤207至208时，可参考上述发明实施例中步骤102至103的说明。

由此可见，本发明实施例中，通过预先存储预设的未知不安全场景与每种SOTIF设计方案的单次平均失效概率的对应关系，从而在执行步骤203之前可以直接获取每种SOTIF设计方案的单次平均失效概率，提高了工作效率。

在本发明另一实施例中，如图3所示，在执行上述步骤102时，还提供了一种SOTIF设计方案的评估值的计算方法的示意图。

该方法可以包括：

步骤301，根据所述每种SOTIF设计方案在所述预设的下的第二总测试次数与所述SOTIF设计方案的所述单次平均失效概率的乘积，确定所述每种SOTIF设计方案的平均失效次数；

在本发明的实施例中，第一公式平均失效次数为：E(x)＝n×p_i

其中，n为第二总测试次数，p_i为某种SOTIF设计方案的单次平均失效概率。

另外，第二次总测试次数，是用于测试在预设的未知不安全场景下的每种SOTIF设计方案的总次数。

步骤302，根据所述每种SOTIF设计方案的平均失效次数与所述SOTIF设计方案的单次平均失效概率，确定所述每种SOTIF设计方案的失效离散程度；

在本发明的实施例中，第二公式失效离散程度为：

D(x)＝n×p_i-(1-p_i)

步骤303，根据所述每种SOTIF设计方案的第二总测试次数、出现测试失效概率的次数与所述单次平均失效概率，确定所述每种SOTIF设计方案的总失效率；

在本发明的实施例中，第三公式失效离散程度为：

其中，n为第二总测试次数，k为在预设的未知不安全场景下的每种SOTIF设计方案，在第二总测试次数中出现失效概率的次数，p_i为某种预期功能设计方案的单次平均失效概率。

在本发明另一实施例中，如图4所示，在执行上述步骤103时，还提供了一种SOTIF设计方案的筛选方法的示意图。

该方法可以包括：

步骤401，选择所述平均失效次数最少、所述失效离散程度最小的SOTIF设计方案，作为在所述预设的未知不安全场景下的第一选择设计方案；

在本发明的实施例中，某种SOTIF设计方案，在预设的未知不安全场景下计算获得的平均失效次数最少并且失效离散程度最小，则确定该种SOTIF设计方案为在预设的未知不安全场景下的第一选择设计方案。

步骤402，选择所述平均失效次数最少、所述总失效率最低的SOTIF设计方案，作为在所述预设的未知不安全场景下的第二选择设计方案；

在本发明的实施例中，某种SOTIF设计方案，在预设的未知不安全场景下计算获得的平均失效次数最少并且总失效率最低，则确定该种SOTIF设计方案为在预设的未知不安全场景下的第二选择设计方案。

步骤403，选择所述失效离散程度最小、所述总失效率最低的SOTIF设计方案，作为在所述预设的未知不安全场景下的第三选择设计方案；

在本发明的实施例中，某种SOTIF设计方案，在预设的未知不安全场景下计算获得的失效离散程度最小并且总失效率最低，则确定该种SOTIF设计方案为在预设的未知不安全场景下的第三选择设计方案。

由步骤401至403可知，在本发明的实施例中，在预设的未知不安全场景下，筛选相对最优的SOTIF设计方案比较原则为：根据顺位选择筛选设计方案，即第一选择设计方案为最优的方案；若不存在符合筛选原则的第一选择设计方案，则第二选择设计方案为最优的方案；若同时不存在第一选择方案和第二选择方案，则第三选择设计方案为最优的方案。

在本发明实施例一种方案筛选方法中，方法还包括：

所述获取所述每种SOTIF设计方案的评估值之后，更新所述SOTIF设计方案在所述预设的未知不安全场景下的所述第二总测试次数和所述出现测试失效概率的次数；

根据所述每种SOTIF设计方案的单次平均失效概率、所述第二总测试次数和所述出现测试失效概率的次数，重新计算所述每种SOTIF设计方案的评估值；

根据重新计算的所述评估值，确定是否更新所述目标设计方案。

其中，重复评审是验证多种SOTIF设计方案的筛选结果是否正确，更新在预设的未知不安全场景下的第二总测试次数与出现测试失效概率的次数，确定筛选出的SOTIF设计方案为第一选择设计方案。

在本发明实施例一种方案筛选方法中，方法还包括：

所述根据所述每种SOTIF设计方案的评估值，确定在所述预设的未知不安全场景下的目标设计方案之后，根据安全性分析方法STPA，获取所述目标设计方案对应的在所述预设的未知不安全场景下的系统缺陷。

其中，在筛选出在预设的未知不安全场景下的第一选择设计方案后，利用STPA方法进行分析，反推导出系统缺陷；另外，系统缺陷包括系统或硬件、软件元素的缺陷或者SOTIF设计的相关接口、元素等。

图5所示，为本发明实施例一种方案筛选装置500的结构框图。

该方案筛选装置500包括：

单次平均失效概率获取模块501，用于获取在预设的未知不安全场景下测试获得的每种预期功能安全SOTIF设计方案的单次平均失效概率；

评估值获取模块502，用于根据所述每种SOTIF设计方案的单次平均失效概率，获取所述每种SOTIF设计方案在预设的未知不安全场景下的评估值；其中，所述评估值至少包括所述SOTIF设计方案在预设的未知不安全场景下测试的平均失效次数、失效离散程度和总失效率中的两种；

第一筛选模块503，用于根据所述每种SOTIF设计方案在预设的未知不安全场景下的评估值，确定在所述预设的未知不安全场景下对应的目标设计方案。

在本发明另一实施例中，如图6所示，还提供了另一种方案筛选装置600的结构框图。

该方案筛选装置600包括：

对应关系建立模块601，用于建立所述预设的未知不安全场景与所述每种SOTIF设计方案的单次平均失效概率的对应关系；

所述对应关系建立模块601，包括：

测试子模块，用于在所述预设的未知不安全场景下，对所述每种预期功能安全设计方案进行测试；

失败次数获取子模块，用于获取测试中所述每种SOTIF设计方案测试失败的次数；

单次平均失效概率计算子模块，用于分别计算所述测试失败的次数与第一总测试次数的比值，作为所述每种SOTIF设计方案的单次平均失效概率；

对应关系建立子模块，用于建立所述预设的未知不安全场景与所述每种SOTIF设计方案的单次平均失效概率的对应关系。

单次平均失效概率获取模块602，用于根据所述对应关系，查找所述预设的未知不安全场景与所述每种SOTIF设计方案的单次平均失效概率；

评估值获取模块603，用于根据所述每种SOTIF设计方案的单次平均失效概率，获取所述每种SOTIF设计方案在预设的未知不安全场景下的评估值；其中，所述评估值至少包括所述SOTIF设计方案在预设的未知不安全场景下测试的平均失效次数、失效离散程度和总失效率中的两种；

第一筛选模块604，用于根据所述每种SOTIF设计方案在预设的未知不安全场景下的评估值，确定在所述预设的未知不安全场景下对应的目标设计方案。

在本发明另一实施例中，如图7所示，还提供了一种评估值获取模块700的结构框图。

该评估值获取模块700包括：

平均失效次数获取子模块701，用于根据所述每种SOTIF设计方案在所述预设的未知不安全场景下的第二总测试次数与所述SOTIF设计方案的所述单次平均失效概率的乘积，确定所述每种SOTIF设计方案的平均失效次数；

失效离散程度获取子模块702，用于根据所述每种SOTIF设计方案的平均失效次数与所述SOTIF设计方案的单次平均失效概率，确定所述每种SOTIF设计方案的失效离散程度；

总失效率获取子模块703，用于根据所述每种SOTIF设计方案的第二总测试次数、出现测试失效概率的次数与所述单次平均失效概率，确定所述每种SOTIF设计方案的总失效率。

在本发明另一实施例中，如图8所示，还提供了一种第一筛选模块800的结构框图。

该第一筛选模块800包括：

第一方案筛选子模块801，用于选择所述平均失效次数最少、所述失效离散程度最小的SOTIF设计方案，作为在所述预设的未知不安全场景下的第一选择设计方案。

第二方案筛选子模块802，用于选择所述平均失效次数最少、所述总失效率最低的SOTIF设计方案，作为在所述预设的未知不安全场景下的第二选择设计方案。

第三方案筛选子模块803，用于选择所述失效离散程度最小、所述总失效率最低的SOTIF设计方案，作为在所述预设的未知不安全场景下的第三选择设计方案。

在本发明的另一实施例中，所述筛选方法装置500，还包括：

更新模块，用于更新所述SOTIF设计方案在所述预设的未知不安全场景下的所述第二总测试次数和所述出现测试失效概率的次数；

计算模块，用于根据所述每种SOTIF设计方案的单次平均失效概率、所述第二总测试次数和所述出现测试失效概率的次数，重新计算所述每种SOTIF设计方案的评估值；

第二筛选模块，用于根据重新计算的所述评估值，确定是否更新所述目标设计方案。

在本发明的另一实施例中，所述筛选方法装置500，还包括：

系统缺陷获取模块，用于根据安全性分析方法STPA，获取所述目标设计方案对应的在所述预设的未知不安全场景下的系统缺陷。

由此可知，在本发明的实施例中，获取在预设的未知不安全场景下测试获得的每种预期功能安全SOTIF设计方案的单次平均失效概率；根据所述每种SOTIF设计方案的单次平均失效概率，获取所述每种SOTIF设计方案在所述预设的未知不安全场景下的评估值；其中，所述评估值至少包括所述SOTIF设计方案的平均失效次数、失效离散程度和总失效率中的两种；根据所述每种SOTIF设计方案的所述评估值，确定在所述预设的未知不安全场景下的目标设计方案。在本发明的实施例中，根据计算获得的在预设未知不安全场景下每种SOTIF设计方案的评估值，更能定量表现SOTIF设计方案在预设的未知不安全场景下的失效概率分布和置信度。因此，在本发明的实施例中，比较多种SOTIF设计方案在预设的未知不安全场景下的评估值之后，可以给定SOTIF设计方案成熟的筛选原则，为基于预设的未知不安全场景风险状态的SOTIF设计方案提供指导准则。

因此，在本发明的实施例中，筛选出满足预设的未知不安全场景风险状态的最优选SOTIF设计方案，应对在车辆级别的预期功能不足、电子电气系统要素的性能局限性和车辆驾驶人员的误用而引起的危害中，为车辆自动驾驶中提供明确的车辆驾驶的预期功能信息，从而将危害控制在合理可接受的范围内。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本发明实施例还提供了一种电子设备，包括：

一个或多个处理器；和其上存储有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述电子设备执行本发明实施例所述的方法。

本发明实施例还提供了一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得所述处理器执行本发明实施例所述的方法。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种方案筛选方法及装置，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种方案筛选方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述获取在预设的未知不安全场景下测试获得的每种预期功能安全SOTIF设计方案的单次平均失效概率之前，还包括：

建立所述预设的未知不安全场景与所述每种SOTIF设计方案的单次平均失效概率的对应关系；

所述获取在预设的未知不安全场景下测试获得的每种SOTIF设计方案的单次平均失效概率，包括：

根据所述对应关系，查找所述预设的未知不安全场景与所述每种SOTIF设计方案的单次平均失效概率。

3.根据权利要求2所述的方法，其特征在于，所述建立所述预设的未知不安全场景与所述每种SOTIF设计方案的单次平均失效概率的对应关系，包括：

在所述预设的未知不安全场景下，对所述每种SOTIF设计方案进行测试；

获取测试中所述每种SOTIF设计方案测试失败的次数；

分别计算所述测试失败的次数与第一总测试次数的比值，作为所述每种SOTIF设计方案的单次平均失效概率；

建立所述预设的未知不安全场景与所述每种SOTIF设计方案的单次平均失效概率的对应关系。

4.根据权利要求1所述的方法，其特征在于，所述获取所述每种SOTIF设计方案在所述预设的未知不安全场景下的评估值，包括：

根据所述每种SOTIF设计方案在所述预设的未知不安全场景下的第二总测试次数与所述SOTIF设计方案的所述单次平均失效概率的乘积，确定所述每种SOTIF设计方案的平均失效次数。

5.根据权利要求4所述的方法，其特征在于，所述获取所述每种SOTIF设计方案在预设的未知不安全场景下的评估值，包括：

根据所述每种SOTIF设计方案的平均失效次数与所述SOTIF设计方案的单次平均失效概率，确定所述每种SOTIF设计方案的失效离散程度。

6.根据权利要求5所述的方法，其特征在于，所述获取所述每种SOTIF设计方案在预设的未知不安全场景下的评估值，包括：

根据所述每种SOTIF设计方案的第二总测试次数、出现测试失效概率的次数与所述单次平均失效概率，确定所述每种SOTIF设计方案的总失效率。

7.根据权利要求1至6所述的方法，其特征在于，所述根据所述每种SOTIF设计方案的评估值，确定在所述预设的未知不安全场景下的目标设计方案，包括：

选择所述平均失效次数最少、所述失效离散程度最小的SOTIF设计方案，作为在所述预设的未知不安全场景下的第一选择设计方案。

8.根据权利要求1至6所述的方法，其特征在于，所述根据所述每种SOTIF设计方案的评估值，确定在所述预设的未知不安全场景下对应的目标设计方案，包括：

选择所述平均失效次数最少、所述总失效率最低的SOTIF设计方案，作为在所述预设的未知不安全场景下的第二选择设计方案。

9.根据权利要求1至6所述的方法，其特征在于，所述根据所述每种SOTIF设计方案的评估值，确定在所述预设的未知不安全场景下对应的目标设计方案，包括：

选择所述失效离散程度最小、所述总失效率最低的SOTIF设计方案，作为在所述预设的未知不安全场景下的第三选择设计方案。

10.根据权利要求6所述的方法，其特征在于，所述获取所述每种SOTIF设计方案的评估值之后，还包括：

更新所述SOTIF设计方案在所述预设的未知不安全场景下的所述第二总测试次数和所述出现测试失效概率的次数；

11.根据权利要求1所述的方法，其特征在于，所述根据所述每种SOTIF设计方案的评估值，确定在所述预设的未知不安全场景下的目标设计方案之后，还包括：

根据安全性分析方法STPA，获取所述目标设计方案对应的在所述预设的未知不安全场景下的系统缺陷。

12.一种方案筛选装置，其特征在于，所述装置包括：

单次平均失效概率获取模块，用于获取在预设的未知不安全场景下测试获得的每种预期功能安全SOTIF设计方案的单次平均失效概率；

评估值获取模块，用于根据所述每种SOTIF设计方案的单次平均失效概率，获取所述每种SOTIF设计方案在预设的未知不安全场景下的评估值；其中，所述评估值至少包括所述SOTIF设计方案在预设的未知不安全场景下测试的平均失效次数、失效离散程度和总失效率中的两种；

第一筛选模块，用于根据所述每种SOTIF设计方案在预设的未知不安全场景下的评估值，确定在所述预设的未知不安全场景下对应的目标设计方案。

13.一种电子设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至11中任一项所述的方案筛选方法的步骤。

14.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至11中任一项所述的方案筛选方法的步骤。