具体实施方式
概述
对于汽车系统,系统的预期功能安全(SOTIF)的验证(参见ISO/PAS 21448:2019“道路交通工具—预期功能安全”)需要证明交通工具可以依赖该系统运行而不会在指定的时间量内发生故障。SOTIF与汽车功能安全分析(FUSA)不同,FUSA处理整体部件故障并主要关注硬件可靠性。与FUSA相比,SOTIF致力于量化系统功能在不太理想的内部和外部条件下操作(无论是否失效)时的弱点。从定义上讲,FUSA不能用于验证交通工具架构是否满足SOTIF度量;SOTIF需要不同类型的分析。
SOTIF考虑交通工具的功能架构的部件如何执行,包括何时偏离或违反正常操作行为、考虑不确定性,而FUSA仅考虑部件将如何失效。例如,传感器的FUSA可以定义传感器是否检测到对象。另一方面,传感器的SOTIF可以定义传感器是否检测到对象,包括介于中间(in-between)(例如,检测到对象但检测到对象处于不正确的距离处)的概率。介于中间的每种概率可对系统的功能产生不同的影响;FUSA无法考虑这些介于中间的概率。
对于给定的违反可能存在严重程度,这也无法被FUSA捕获,但对于SOTIF而言是必需的。继续前面的示例,传感器可具有不同水平的距离不正确性(例如,以小的距离误差检测到对象相对于以大的距离误差检测到对象),这可能会不同地影响系统的功能(例如,一米距离误差比十米距离误差更不可能导致危险)。大多数FUSA考虑两个潜在的结果,故障或没有故障,这对于SOTIF来说不是一个充分的假设。外部因素(在本文称为“触发条件”)可影响系统的功能。外部因素可在FUSA中被忽略;然而,为了证明SOTIF,这些触发条件通常是故障的主要原因,因此在功能分析中对其进行考虑是很重要的。
违反可由“触发条件”引起;违反同样由于不确定性和系统固有的弱点(例如,软件的弱点)而发生;即使没有外部触发条件,这也可导致性能偏差。在下面的示例中,考虑了外部“触发条件”以及系统中的可导致违反的固有弱点(即使没有外部触发条件)。内部因素(例如,在没有触发条件的情况下)可同样影响系统的功能,因此也值得考虑。最后,SOTIF可需要系统部件的性能要求被满足的证据。在不了解触发条件如何影响部件的性能的情况下,SOTIF无法推断出潜在的弱点,这对于设计缓解(design mitigation)可能很重要。
已执行将贝叶斯网络应用于FUSA的高级工作;然而,这些基于故障树的贝叶斯网络是从用于执行FUSA的故障树导出的,因此继承了FUSA的局限性(即FUSA与SOTIF不同)。这些基于故障树的贝叶斯网络只能表示两种操作条件(例如,故障或无故障),而不能同时考虑介于中间的概率。基于故障树的贝叶斯网络可以使用逻辑“与(AND)”门以及逻辑“或(OR)”门表示依赖性(dependency)。虽然这适用于硬件故障,这是基于故障树的网络的设计目的,但绝对逻辑并没有考虑软件中对于预期行为的违反,诸如来自父软件事件的、以非预期的方式影响子事件行为的不同结果。基于故障树的贝叶斯网络的离散逻辑无法考虑非预期的行为,诸如,尽管接收到正确的输入仍可能发生的系统故障、或即使输入至少部分地错误也可能发生的系统成功。
基于故障树的贝叶斯网络可能不分析多种场景或操作条件下的性能。为了执行SOTIF分析,在特定用例下的危险率和系统性能被分析。在没有用于为SOTIF分析指定操作条件的选项的情况下,基于故障树的贝叶斯网络无法根据标称系统性能准确估计违反。在基于故障树的贝叶斯网络中,操作条件以及对操作条件的变化的系统响应过于简化,而无法用于SOTIF分析。被建模的内部和外部操作条件可能仅涵盖验证系统的SOTIF所需的一小部分场景。验证SOTIF需要对系统进行更现实的分析,这种更现实的分析考虑系统中的非预期行为以及包括不存在硬件故障的情况下的操作条件。
与对系统设计的这些其他方法相比,本文档描述了通过构建对功能架构的性能建模的贝叶斯网络来在SOTIF标准下分析该功能架构。贝叶斯网络用于对系统进行建模,以用于通过量化系统性能中固有的不确定性来对进行SOTIF分析。推荐使用贝叶斯网络来对每个块中发生的故障事件之间的因果关系进行建模,其中使用条件概率来量化这种因果关系的不确定性。该模型实现了使用概率推断来定量地验证系统设计满足SOTIF目标危险率,或使用定量数据指导设计改进,直到改进的设计满足SOTIF目标危险率为止。这些改进影响系统的设计,并且通过分析这些改进对系统的SOTIF危险率的改变,这些改进是可验证的。
贝叶斯网络对功能架构的块与有时可导致可能的危险的触发条件之间的关系进行建模,以及对块与由不确定性引起的任何危险之间的关系进行建模。某些故障的根本原因可能是不确定的或未定义的,系统中的这种“不确定性”可以被类似地视为触发条件。内部和外部因素以及触发条件的存在与否同样地可影响系统的功能。每个功能块在贝叶斯网络中被建模为具有不止两个状态,而不仅仅是二元状态(就像利用基于故障树的贝叶斯网络一样);这允许所描述的贝叶斯网络更准确地对功能架构的实际性能进行建模。基于针对功能架构中的某些违反或不确定性收集的概率数据并进一步基于针对其他事项估计的概率数据而被构建,贝叶斯网络执行推断以计算危险发生率。可以通过将危险发生率设置为期望值(例如,10-9)并通过推断、研究如何通过改变为功能架构104的不同部件做出的性能假设,来确定用于要求驱动的改进性能的方法,功能架构104可被设计为实现期望的危险率值。可以针对许多不同的系统配置和用例预测危险发生率,以证明是否将达到SOTIF标准。
如本文所用,术语“假设”是指功能架构或其块的性能属性;假设系统的设计将被更新,以匹配在利用贝叶斯网络的估计期间使用的假设,以使得更新的系统或更新的设计实际上将实现目标危险发生率,如由模型所预测的。短语“假设的改变”意味着架构的要求改变,以便满足目标危险率。更具体地说,这种“要求改变”是对功能架构中的至少一个块的性能要求改变。
示例计算环境
图1示出了示例环境100,系统被配置成用于在该示例环境100中分析汽车系统功能架构的SOTIF。环境100包括配备有基于交通工具的系统的交通工具102或交通工具模型,诸如自主、半自主、或操作者(驾驶汽车,例如机器、人),这些基于交通工具的系统一起形成功能架构104,该功能架构104在条件124下操作。条件124可以包括道路条件(例如,干燥、潮湿、不平坦)、天气条件(例如,小雨或大雨、雪、雾)、或可能影响SOTIF的危险发生率的系统因素的其他环境(例如,地理位置、交通工具速度、交通工具方向、一天中的时间、一年中的时间)。
功能架构104包括融合模块108。融合模块108将从交通工具102的激光雷达传感器的激光雷达接口106-1获得的数据与从交通工具102的相机的相机接口106-2获得的数据组合,以检测交通工具102附近区域中的对象。例如,在交通工具102前方是停止的交通工具130(例如,停在交通灯处)、以及在交通工具102前方切入在交通工具102与停止的交通工具130之间的第三交通工具140。融合模块108可以检测到对象、错误地检测到对象、错误地未检测到对象、或未检测到对象。融合模块108可以检测到对象但确定出距对象的不准确位置或距离。除了融合模块108、激光雷达接口106-1或相机接口106-2之外,交通工具102可以具有许多其他功能块作为功能架构104的一部分。功能架构104可以处于任何细节水平,诸如,高水平或低水平。例如,功能架构104的“块”可以表示整个模块,诸如激光雷达跟踪器,或者它可以是激光雷达跟踪器内的子模块(例如,点云聚类元素)。这种灵活性允许这些技术执行SOTIF分析,该SOTIF分析适应用于构建贝叶斯网络的数据中的细节,如后面所描述的。
环境100的设计系统112能够通过贝叶斯网络的构建在SOTIF标准下分析功能架构104。设计系统112可以与功能架构104共享链接110,通过该链接110交换关于功能架构104的信息(例如,数据)。
设计系统112包括处理器114、计算机可读存储介质116、和SOTIF模块118。SOTIF模块118可以至少部分地在硬件中实现。SOTIF模块118可以包括软件,例如存储在计算机可读存储介质116上并由处理器114执行的指令。SOTIF模块118构建一系列贝叶斯网络,包括贝叶斯网络120。由SOTIF模块118构建的贝叶斯网络120被配置成用于针对不同的用例确定功能架构104的危险发生率。在图1的示例中,贝叶斯网络120是为涉及停止的交通工具130和第三交通工具140的用例构建的。
SOTIF模块118输出SOTIF数据122。SOTIF数据122包括对功能架构104的危险发生率的指示。例如,概率、浮点值、或具有或不具有与概率值相关联的偏差的、指示功能架构104的长期性能的其他数据。基于SOTIF数据122,关于功能架构104的性能的假设可以被改变为(例如,融合模块108、激光雷达接口106-1、相机接口106-2)提高危险发生率。例如,用户(例如,设计工程师)可以向设计系统112的用户接口提供输入,该输入使得SOTIF模块118改变由贝叶斯网络120做出的关于功能模块104的行为的假设(例如,条件概率表)
贝叶斯网络120可以用具有表示违反概率的条件概率表的节点来表示功能架构104的一部分。条件概率表可以指示节点的可能操作状态和以每个可能操作状态结束的概率。如果可以改进功能架构104的设计,则可以改变贝叶斯网络120以考虑对功能架构104的性能改进,例如,通过降低条件概率表中的一个或多个危险状态的概率(在功能架构104的块发生故障或发生违反的情况下),或通过提高条件概率表中的一个或多个非危险状态的概率(在功能架构104的块定期执行而没有违反或故障、或此类违反或故障发生频率较低的情况下)。
贝叶斯网络120可以通过推断来确定为提高性能而做出的改变是否会对危险发生率产生预期的影响。可以通过在对贝叶斯网络120的基本假设(例如,违反的发生概率)进行修改之后,对贝叶斯网络120执行进一步推断,来轻松地重新计算危险发生率,这考虑了功能架构的性能改进。这些基本假设或相应的发生概率基于父节点的相应发生概率或结果,或受父节点的相应发生概率或结果的影响。例如,对于与该父节点相关联的每个可能的触发条件或事件(例如,雨、雪、雾)组,激光雷达功能节点不仅具有一个发生概率,而且具有多个发生概率。在本文档中,发生概率是在特定用例期间发生违反的概率。贝叶斯网络120对功能架构104内的这些关系和依赖性进行建模以针对特定用例推断功能架构104的危险发生率。
通过定义,贝叶斯网络120是有向无环图(directed acyclic graph)。贝叶斯网络120的每个节点对应于功能架构104中的不同块。贝叶斯网络120中两个节点之间的每个有向边对应于两个功能块之间的条件依赖性。每个子块被连接至至少一个父块;子块由于违反或不确定性而具有以多个不同状态结束的相应概率,包括相应的故障概率,这可能单独发生或取决于其父块中的一个或多个的结果或条件而发生。每个功能块可以表示不同的抽象水平;意思是在一个示例中块可以表示激光雷达,而在另一示例中,可以将激光雷达的各种子部件或模块分解为激光雷达聚类、激光雷达分类、前景提取等。
例如,贝叶斯网络120可以包括与融合模块108相对应的节点。该节点可以是与激光雷达接口106-1相对应的第一父节点的子节点,也可以是与相机接口106-2相对应的第二父节点的子节点。融合模块108故障的概率取决于接口106-1和106-2中的任一个故障或以各种状态之一结束的条件,正如子节点故障的概率可取决于其父节点中的一个或两个的条件或它们相应的状态。
基于为功能架构104的每个块收集或估计的概率数据被构建,贝叶斯网络120可用于标识功能架构104的区域,在该区域中,可靠性的改进可导致危险发生率的更大整体改进,这导致功能架构104的性能和安全性的改进。响应于更新功能架构104的概率数据以复制期望的性能,贝叶斯网络120可以通过进一步推断来确定功能架构104的新的危险发生率。新的危险发生率证明了在性能改进的情况下功能架构104的新设计是否针对特定用例实现了目标危险发生率。通过推断或自动化脚本,可以重新运行贝叶斯网络120以测试多组性能要求,其中每个贝叶斯网络120相比于每个其他贝叶斯网络120与不同的性能要求组相关联,所有性能要求组都将满足目标危险率。这为系统设计者提供了灵活性,以防功能架构104的一个模块或部件不能满足性能要求,随后我们可以选择允许它们满足稍低的性能要求,同时增加其他性能要求以仍然满足目标危险率。
像贝叶斯网络120这样的多个贝叶斯网络可以由SOTIF模块118构建,每个贝叶斯网络都针对不同的用例产生。通过使用多个贝叶斯网络运行的连续或并行推断,可以为不同的用例中的每一个确定功能架构104的危险发生率,以便在总体上证明功能架构104是否跨多个不同的用例达到目标危险发生率。
示例SOTIF模块架构
图2示出了作为图1中所示的SOTIF模块118的一个示例的SOTIF模块118-1。SOTIF模块118-1包括贝叶斯网络120-1到120-n,其中“n”是任何整数。
贝叶斯网络120-1至120-1中的每一个是贝叶斯网络120的示例。SOTIF模块118-1将贝叶斯网络120-1至120-n构建为一系列贝叶斯网络,其中该系列中的每个贝叶斯网络针对特定用例确定功能架构104的危险发生率。贝叶斯网络120-1至120-n可以被组合,各自形成公共贝叶斯网络的子集。取决于特定用例,可以选择性地启用公共贝叶斯网络(例如,贝叶斯网络120-1至120-n)的每个部分。即,贝叶斯网络120-1和120-n可以在涉及两个传感器接口的第一场景期间被启用,并且贝叶斯网络120-1和120-n中只有一个而不是两个可以在第二场景中被启用,在该第二场景中,仅涉及两个传感器接口中的一个。在其他示例中,贝叶斯网络120-1至120-n相似甚至相同,除了它们的条件概率表之外,它们的条件概率表反映了不同的值以指示不同场景的条件或指示试图降低危险发生率的不同性能改进。在一些情况下,可以通过将条件概率表归零到贝叶斯网络120-1至120-n的禁用部分的节点,来选择性地禁用个体贝叶斯网络120-1至120-n。贝叶斯网络120-1至120-n中的每一个都与不同的用例相关联并且被唯一地配置成:计算针对该特定用例将发生违反安全目标的危险的概率。例如,贝叶斯网络120-1为SOTIF标准的第一用例确定SOTIF数据122,并且贝叶斯网络120-2为SOTIF标准的不同用例确定SOTIF数据122。第一用例可以是图1所示的用例,其中第三交通工具140在交通工具102和停止的交通工具130之间移动。第二用例可以类似于第一用例,例如,第三交通工具140可以从交通工具102和停止的交通工具130之间移出并进入相邻车道。通过构建并且考虑多个贝叶斯网络120-1至120-n,可以针对广泛的用例确定交通工具102的功能架构104的总体危险发生率。可以标识对功能架构104中的块的修改,该修改可以在广泛的用例范围内改善危险率。
明确地说,SOTIF模块118-1不构建用于执行功能安全分析的贝叶斯网络120-1至120-n。在如由其他系统(包括基于故障树的贝叶斯网络)做出的执行功能安全分析与使用贝叶斯网络120-1至120-n执行的SOTIF分析之间存在明显区别。功能安全分析关注确定响应于“二进制”硬件故障(例如,故障、无故障)而发生的情况,其中此故障对所有用例或场景产生同等影响。SOTIF模块118-1和贝叶斯网络120-1至120-n针对特定用例或场景响应于算法弱点或故障(例如,故障、部分故障、部分无故障、无故障)确定性能下降。SOTIF模块118-1在与贝叶斯网络120-1至120-n相关联的用例水平(例如,特定道路交通工具驾驶场景)上分析功能架构104。SOTIF模块118-1标识功能架构104中的性能弱点,所述性能弱点取决于在那些用例期间发生的算法故障的概率。
通过“推断”,贝叶斯网络120-1至120-n计算功能架构104的危险发生率,每一个贝叶斯网络针对不同的用例。更详细地考虑贝叶斯网络120-1。在给定贝叶斯网络120-1所遵循的功能架构104的现有性能假设或测量性能集合的情况下,贝叶斯网络120-1针对与贝叶斯网络120-1相关联的特定用例估计危险发生率。功能架构104的每个功能块的介于中间状态的概率关系由贝叶斯网络120-1表示;还表示了功能架构104的每个功能块肯定导致可能的违反并最终导致危险事件的贡献。
故障模式和影响分析(FMEA)引擎210在功能架构104上执行FMEA,以在贝叶斯网络120-1至120-n中的每一个内建立违反安全目标(VSG)的故障模式与环境100中的导致VSG的触发条件之间的链接。FMEA引擎210关注所有故障(例如,包括假阳性和假阴性状态、距离误差),而不是只关注真正的故障模式,如FMEA在FUSA下被执行的情况。
触发条件T1到T7在图2中被示出并且可以从触发条件目录220中导出,包括统计数据(例如,概率和暴露(exposure))。标识与多个用例中的每一个相关的触发条件,这包括标识已知要发生与功能架构104相关联的危险的关键用例。触发条件可以表示外部信号,诸如天气事件。触发条件也可以表示内部事件,诸如系统不确定性,该内部事件可以导致故障条件或事件链中的故障事件。例如,即使在没有故障的情况下,也可以以一定程度的确定性预测软件会失效,尽管失效的根源可能是未知的。
贝叶斯网络120-1至120-n对于对功能架构的性能的不确定性进行建模是有用的,这比基于故障树的分析更有优势。例如,当贝叶斯网络120-1至120-n的假设基于不准确的数据或没有高置信度的数据时,SOTIF数据122可以包括危险发生率和危险发生率的偏差。在这种情况下,SOTIF数据122可以报告具有偏差的危险发生率,其表示在两个阈值(例如,正百分比和负百分比)之间的准确度范围,这对于设计系统是有用的。
FMEA引擎210向贝叶斯网络120-1至120-n中的每一个提供事件链,在图2中被显示为事件“E1”和“E2”。链中的任何事件都会导致VSG。诸如“未能检测到对象”之类的VSG可以包括“未能利用激光雷达接口106-1检测到对象”和“未能利用相机接口106-2检测到对象”作为导致VSG的两个可能事件E1和E2。
FMEA引擎210进一步为贝叶斯网络120-1至120-n中的每一个产生导致上述事件链中的每个事件E1和E2的基本事件链。基本事件链包括基本事件“BE1”、“BE2”、“BE3”和“BE4”。这些基本事件可以是常规事件或违反事件,其中功能架构104的块偏离正常行为但没有故障,以及功能架构104故障的真实故障事件。例如,激光雷达接口106-1在事件E1中检测失败,取决于是基本事件BE1还是基本事件BE2发生。基本事件BE1可能发生在对象的视线被遮挡时(例如,当空气中含有水汽时,当空气中含有大量灰尘或沙子时)。如果对象和背景具有使得激光雷达接口106-1无法区分对象的类似的反射属性,则基本事件BE2可发生。类似于激光雷达接口106-1,相机接口106-2在事件E2中检测失败,取决于是基本事件BE3还是基本事件BE4发生。与基本事件BE1及其对激光雷达接口106-1的影响类似,当对象的视线被遮挡时,可发生基本事件BE3。如果相机接口106-2由于可见光的过饱和或欠饱和(例如,在明亮或黑暗的情况下)而未能检测到对象,则基本事件BE4可发生。
基本事件BE1到BE4中的每一个具有相应的发生概率P1到P4。事件E1发生的概率取决于基本事件BE1发生的概率P1、基本事件BE2发生的概率P2等。
概率P1到P4至少部分地取决于触发条件T1到T7。触发条件T1到T7中的任一个可以与道路条件、天气条件、或环境100中影响功能架构104的性能的其他变量相对应。作为天气条件,触发条件T1至T7可以包括雨、雾、雪、冰雹、风、灰尘、或其他气象条件。这些天气状况可具有不同的程度或强度,例如,发生在浓雾下或发生在小雨期间。触发条件T1到T7可以包括道路条件,例如,当交通工具102在人行道(pavement)上时发生或当交通工具102在混凝土、泥土、砾石、沙子、或其他类型的路面上时发生。道路状况可以指示道路表面是干的还是湿的。触发条件T1至T8的其他示例包括可影响SOTIF的危险发生率的环境或交通工具事件(例如,地理位置的变化、高度或海拔的变化、大气压力的变化、温度的变化、一天或一年中的时间的变化、能见度的变化(包括日照量或夜灯量)、速度的变化)。
与基于故障树的贝叶斯网络不同,贝叶斯网络120-1至120-n可以可选地将功能块表示为具有不止两个状态,这使得贝叶斯网络120-1至120-n能够考虑不同的条件,这些不同的条件可以对交通工具102或功能架构104的整体危险率造成不同的影响。例如,如果激光雷达接口106-1未能准确地确定距对象的距离,则即使激光雷达接口106-1检测到对象,融合模块108也会发生故障。系统的整体危险率可根据激光雷达接口106-1是否准确检测到对象、或者(即使检测到对象)激光雷达接口106-1是否准确检测到对象的距离,而有所不同。如果激光雷达接口106-1检测到对象,但以一米的误差检测到对象处于一距离处,那么不准确的距离检测不太可能影响融合模块108的整体性能。然而,如果激光雷达接口106-1以十米或更大的不准确性确定距离,那么不准确的距离检测可能会影响融合模块108和功能架构104的整体性能。贝叶斯网络120-1至120-n允许每个功能块(例如融合模块108)被分配以两个或更多个状态(包括诸如以上所描述的介于中间的状态之类的介于中间的状态)中的每一个状态结束的唯一概率,在该中间状态中,对象被检测到但以不准确的距离被检测到,该不准确的距离足以导致功能架构104的故障。
标称要求和关于功能架构104的性能的假设由要求引擎230定义。通过考虑交通工具102在针对每个特定用例的“理想”条件下操作来确定标称要求。标称要求的示例包括根据朝向对象的接近速度来检测对象的最小距离(例如,一百米)。此外,功能架构104的每个功能块可以具有独特的一组块级(block-level)假设,该组块级假设通过块可以以其结束的各种事件或状态的条件概率来传达,例如,所述各种事件或状态根据用例而改变。例如,传感器可以以一准确度检测到对象,该准确度取决于正被建模的用例;要求引擎230可以定制在贝叶斯网络120-1至120-n中做出的假设,这些假设是关于从视场被部分遮挡的用例到视场未被遮挡或完全阻挡的另一用例的传感器的性能。要求引擎230确定功能架构104的块的假设并将它们作为更新的假设(例如,更新的条件概率表)输入到贝叶斯网络120-1至120-n中的每一个,使得每个贝叶斯网络准确地对功能架构104的行为进行建模。要求引擎230可以使SOTIF模块118-1生成贝叶斯网络120-1至120-n,以基于标称要求和关于性能的假设对功能架构104进行建模。
要求引擎230可以为功能架构104的每个块确定条件概率表并且将条件概率表中的每一个发送到贝叶斯网络120-1中的每一个。条件概率表可以包括该节点处的可能结果列表,以及每个可能结果在特定用例中发生的概率。例如,参见表1和表2,它们分别表示事件E1的一般概率表和该一般概率表的为融合模块108定制的版本。应该理解,表是数据结构的一个示例,它可以包含与功能架构中每个节点、其潜在操作状态、以及每个操作状态在特定用例中发生的概率有关的信息。其他示例数据结构包括:树、图、列表等。
表1
表2
从表1可以看出,事件E1有条件地依赖于基本事件BE1和基本事件BE2,这些基本事件中的每一个具有可能的状态和以每个状态结束的概率。例如,基本事件BE1的状态包括:真、假、真但不应该是真、以及假但不应该是假。同样,基本事件BE2包括可能的状态:真、假、真但不应该是真、以及假但不应该是假。基本事件BE1和BE2的可能状态中的每一个包括概率P(状态)。事件E1有条件地依赖于基本事件BE1和BE2,所述基本事件BE1和BE2以上述状态中的任一状态结束。
在表2的前四行中指示融合模块108具有“良好检测”的概率。表2中标题行之后的这四行对应于表1中标题行之后的前四行。
由贝叶斯网络120-1至120-n生成的SOTIF数据122可以用作反馈以改进要求引擎230。换言之,如果在给定关于性能的现有假设的情况下,SOTIF数据122指示不太可能满足功能架构104的目标危险发生率,则要求引擎230导出新的性能假设,以使得功能架构104的特定部分可被重新设计,以改善危险发生率。
贝叶斯网络120-1至120-n通过考虑归因于被建模的每个块的假设来对功能架构104的性能进行建模。贝叶斯网络120-1至120-n总体上估计功能架构104故障的概率,包括故障的概率的偏差;这证明了在由要求引擎230驱动的关于性能的假设的情况下,是否可以利用功能架构104实现期望的目标危险率以满足SOTIF标准。通过基于SOTIF数据122改变贝叶斯网络120-1至120-n,贝叶斯网络120-1至120-n可以对功能架构104如何执行进行建模。
要求引擎230可以迭代地研究对功能架构104的一个或多个功能块的不同性能增强,如果进行这些性能增强,将总体上改善功能架构104的危险发生率。例如,功能架构104可以由贝叶斯网络120-1至120-n建模到任何粒度。即,功能架构104的每个节点或部件可以被分解成许多或很少的离散逻辑子部件,包括下至抽象的源代码或机器代码水平。这允许在功能架构104处尝试和测试性能增益;通过对贝叶斯网络120-1至120-n的基本假设(例如,条件概率表、节点内关系)的推断和迭代更改,可以重新计算理论危险发生率,直到达到SOTIF标准的SOTIF数据122和目标危险发生率为止。
贝叶斯网络120-1至120-n可以预测由要求引擎230驱动的变化是否将对总体性能以及预测的改进量(如以危险发生率的可量化的降低量来测量的)产生积极影响。要求引擎230可以被配置成用于:调整(tune)贝叶斯网络120-1至120-n所遵循的假设,直到功能架构104的整体性能被SOTIF数据122证明满足或超过一个或多个不同用例的目标危险发生率为止。
贝叶斯网络120-1至120-n中的每一个针对在SOTIF标准的特定用例期间违反安全目标,输出作为SOTIF数据122的一部分的功能架构104的概率、以及该概率的对应偏差。例如,贝叶斯网络120-1至120-n的VSG可以是融合模块108未能检测到对象、或检测到对象但以一距离误差检测到对象(例如,检测到对象处于不准确的距离处)。为了确定功能架构104是否满足交通工具102的SOTIF,跨多个不同用例确定VSG的危险发生率。SOTIF模块118-1包括用于不同用例的贝叶斯网络120-1至120-n中的每一个。SOTIF模块118-1的贝叶斯网络120-1至120-n中的每一个从一个用例到下一个用例不同地(即使只是轻微的)分析功能架构104,以准确预测功能架构将如何跨所有不同用例执行。
特别是当与基于故障树的方法并列时,贝叶斯网络120-1至120-n提供额外的好处,因为它们使功能架构104能够用不完整的数据被建模。例如,参数学习模块240(例如,期望最大化算法)可以估计系统的功能架构的功能块的未知概率。参数学习模块240可被调整以确定融合模块108、激光雷达接口106-1、相机接口106-2、或功能架构104整体的概率。在执行时,参数学习模块240最终得出功能架构104的未知概率的最可能的概率值。也就是说,在给定参数学习模块240的基于从具有功能架构104和其中的部件的知识的其他来源获得的专家信息来导出未知概率的能力的情况下,可以以现实的方式为贝叶斯网络120-1至120-n估计功能架构104中的块处于特定状态或介于中间的状态的未知概率。除了专家信息之外,参数学习(例如,EM算法)还利用测量数据。对于某些罕见事件(例如,激光雷达在雨中、伴有轻雾、道路结冰),测量信息可能很少,或者这些罕见事件的可测量数据量可能有限;参数学习可以基于有限量的可测量的可用数据来预测或估计这些罕见事件的测量信息可以是什么(例如概率)。参数学习还可以将不确定性引入贝叶斯网络120-1至120-n,这可以与危险发生率一起报告。
示例方法
图3示出了用于推断图1中的汽车系统的功能架构的危险发生率的示例方法。图4示出了用于推断图1中的汽车系统的功能架构的危险发生率的另一示例方法。方法300和400各自被示为以操作被示出或描述的顺序或组合(但不限于操作被示出或描述的顺序或组合)执行的一组操作(或动作)。此外,可以重复、组合或重组操作中的任何操作以提供其他方法。在以下讨论的部分中,可以参考图1的环境100以及图1和图2中详述的实体,仅出于示例对它们作出参考。该技术不限于由一个实体或多个实体执行。
为了满足SOTIF要求,确定目标危险发生率(例如,每数十亿距离或操作交通工具102所花费的时间单位发生一次)。在图3和图4中,考虑涉及交通工具102和功能架构104的以下用例:一辆汽车移动到交通工具102与另一交通工具之间的交通车道中,该另一交通工具在该交通车道中停在前面。交通工具102想要避免的危险是追尾该汽车。这种危险发生的可能性取决于交通工具102的制动系统及时使交通工具102停止的概率。对于该用例,可以假设融合模块108需要以最小距离检测交通工具102前方的两辆汽车,该最小距离取决于朝向最近汽车的接近速度。交通工具102的制动系统未能被及时激活的概率取决于激光雷达接口106-1或相机接口106-2未能检测到对象的概率、或激光雷达接口106-1或相机接口106-2未能确定距对象的准确距离的概率,这两者中的任一者可导致追尾汽车的危险条件。
在302处,计算在特定用例中汽车系统的功能架构的标称要求。例如,及时检测到对象以使交通工具102停止是标称要求的示例。
在304处,确定对标称要求的可能违反。例如,FMEA引擎210可以执行故障模式事件分析以研究分配的安全目标可如何被功能架构104违反,以便确定可能违反或基本事件的链。FEMA引擎210可以提供模拟或分析工具、用户接口、或它们的组合,以研究功能架构104的算法如何执行。FMEA引擎210标识基本事件相对于标称要求发生的概率(例如,FMEA引擎210确定在雨中一百米距离处相机接口106-2的假阳性率)。可以经由用户输入(例如,利用专家知识)、故障注入分析、或虚拟模拟来调整FMEA引擎210。借助触发条件目录220,可以确定这些基本事件的发生率或概率。触发条件的示例包括导致交通工具系统偏离其标称(理想)行为的任何外部条件。例如,传感器可能无法在某些大雨条件或在某些湿气浓度下检测到对象。类似地,当在某些干燥条件下没有对象存在时,传感器可能会错误地检测到对象。未能检测到对象表示假阴性,而错误地检测到对象则为假阳性。
在306处,确定特定用例期间可能违反的相应发生概率。例如,由SOTIF模块118-1确定每个触发条件的相应发生概率,所述每个触发条件可以导致可能的违反,以及例如,在没有任何触发条件的情况下,由于功能架构104中的不确定性导致的违反。根据可导致可能违反的每个触发条件或不确定性的相应发生概率,SOTIF模块118-1确定可能违反的相应发生概率。
与为FUSA构建的模型的重要区别包括贝叶斯网络120-1至120-n对于对功能架构104的性能中的不确定性进行建模是有用的,这是优于基于故障树的分析的额外益处。当贝叶斯网络120-1至120-n的假设基于不准确数据或没有高置信度的数据时,SOTIF数据122可包括概率或危险发生率的偏差。在这种情况下,SOTIF数据122可以以从正阈值到负阈值的准确度范围报告危险发生率,这对于设计系统是有帮助的。换句话说,即使无法达到目标危险发生率,基于相对于危险发生率的偏差量了解系统与实现目标的接近程度可有助于对功能架构104进行设计更改完善。附加地,这个“准确度范围”的这个偏差量可以指导设计策略,该设计策略向目标危险率增加裕度,以便考虑由不准确数据导致的计算误差。这使得设计系统以超过具有计算裕度的SOTIF目标危险率成为可能,从而使得即使在一个或多个条件概率表中具有不准确的数据,仍然可以验证最终设计将以可量化的置信度满足原始SOTIF目标(假设计算的SOTIF性能超过原始SOTIF目标危险率一裕度,该裕度超过“准确度范围”)。利用内置的误差裕度,系统可以被设计为尽可能安全并超过目标危险率。即使在存在可能误差裕度的情况下,也可以证明SOTIF目标危险率是否被证明能够达到。
在308处,构建贝叶斯网络。贝叶斯网络120包括多个节点,该节点具有一个或多个有向边,该有向边在两个节点之间传递信息,多个节点中的每一个节点与功能架构的不同块相对应并且具有从可能违反的相应发生概率导出的条件概率表。贝叶斯网络的每个节点可以与功能架构104的块相对应,而每个节点的变量将是通过FMEA标识的基本事件和对应的概率。
一些违反事件可能很少见,并且发生概率可能是未知的。即使没有专家知识或模拟数据,也可以使用参数学习算法来确定这些未知的发生概率。例如,使用参数学习算法以确定可能违反中的具有未知的相应发生概率的特定可能违反的相应发生概率,从而解析贝叶斯网络中的条件概率表中的至少一个。以此方式,此过程适用于部分数据和完美数据两者。参数学习算法(诸如期望最大化(EM)算法)可用于执行最大似然估计,以在部分数据的情况下寻找贝叶斯网络中的未知概率分布。
在310处,利用贝叶斯网络执行推断,以估计在特定用例中功能架构的危险发生率。例如,贝叶斯网络120-1至120-n在推断模式下被执行并生成SOTIF数据122。
在312处,为功能架构定义满足针对特定用例的预期功能安全标准的目标危险发生率。为了满足SOTIF要求,确定目标危险发生率(例如,每数十亿距离或操作交通工具102所花费的时间单位发生一次)。作为一个示例用例:一辆汽车切入交通工具102和另一交通工具之间的交通车道,该另一交通工具在该交通车道中停在前面。交通工具102想要避免的危险是追尾该汽车。这种危险发生的可能性取决于制动系统及时使交通工具停止的概率。并且对于该用例,可以假设融合模块108需要以最小距离检测交通工具102前方的两辆汽车,该最小距离取决于朝向最近汽车的接近速度。制动系统被及时激活的概率取决于激光雷达接口106-1或相机接口106-2未能检测到对象的概率、或激光雷达接口106-1或相机接口106-2未能确定距对象的准确距离的概率,这两者中的任一者可导致追尾汽车的危险条件。
在314处,确定导致估计的危险发生率满足目标危险发生率的对功能架构的改变。可以为功能架构104定义满足针对特定用例的SOTIF标准的目标危险发生率。可以确定对关于功能架构104的性能的假设的改变,该改变导致对危险发生率的估计满足功能架构的目标危险发生率。例如,为了改进在雨中或灰尘中的性能,融合模块108可能需要更快地操作以处理两倍于以前的数据,以降低当粒子(例如,水或灰尘)干扰传感器时未能检测到对象的概率。可以基于对功能架构104的性能要求的这些改变而修改贝叶斯网络120-1至120-n。从使用贝叶斯网络重新运行推断,可以重新估计功能架构104的危险发生率。例如,从314,该过程可以返回到308以修改包括融合模块节点的条件概率表的贝叶斯网络,以反映对性能要求所做的改进。例如,如果当前激光雷达检测率在雨中一百米处为80%,并且该激光雷达可以被改进为在雨中以90%进行操作,则贝叶斯网络一旦被修改以考虑这种改进,就可以快速重新运行推断,以确定系统性能的可量化的改进量。
使用被配置用于以这种方式进行SOTIF分析的贝叶斯网络,允许通过设计功能架构104以遵循关于违反和违反的发生率的更严格的假设,来靶向(target)功能架构104故障的目标概率和故障的概率偏差。换言之,如果功能架构104的设计者调整内置于贝叶斯网络中的块级要求或假设,则贝叶斯网络可以重新计算和量化由这些变化导致的任何性能增益,包括通过计算偏差量来进行所述重新计算和量化。这可以通过运行脚本为条件概率表插入新值来自动完成。另一种方法可以包括使用参数学习算法来估计允许功能架构104满足SOTIF标准的最大故障概率。最终结果将不是一个,而是可以满足SOTIF标准的多组潜在性能要求。例如,如果在下雨的情况下,激光雷达具有97%的对象检测率,并且相机具有97%的检测率,那么我们的系统可满足SOTIF标准。然而,如果激光雷达具有99%的对象检测率,并且相机具有93%的检测率,那么它也可满足SOTIF标准。当功能架构104的个体块通过设计改进时,对它们的性能进行建模的贝叶斯网络也被修改以反映更新的条件概率表。
因为SOTIF模块118被配置成用于针对多个用例确定危险发生率,所以可以通过将每个用例危险率按其危险发生率相对于其暴露率或该用例发生的频率的分数相加,来计算总体危险率(或“总危险率”)。以这种方式,可以通过将针对多个用例中的每个用例部分地基于该用例的暴露率计算的相应危险发生率相加,来定量地导出总系统危险率。这假设任何未知的危险率相对于“已知”的总体危险率都非常小或可以忽略不计。或者换句话说,也会存在一些无法考虑的未知危险,但对于这种不确定性,假设“未知危险”发生率相对于已知违反的危险发生率非常小。SOTIF模块118可以量化已知的危险率并且通过标识系统弱点和触发条件的详尽过程将未知的危险量化为小集合。SOTIF模块118甚至在生产或测试之前实现功能架构的系统级验证。可以在设计阶段在功能模块之间进行权衡(例如,改善一个或多个节点的概率以进行一些权衡并改进检测率以使系统达到性能要求),以在生产时和使用期间达到SOTIF标准。可以根据该分析标识对整体性能最不利的特定模块,并对该特定模块进行改进或替换。例如,无论是大雨还是小雨在系统中造成危险,都可以确定功能架构104中用于解决或减轻雨水的位置。在执行时,SOTIF模块118可以在SOTIF数据122中指示最不利的一个或多个部分。例如,SOTIF数据122可以使得能够从贝叶斯网络120标识功能架构104的一部分,该部分在特定用例中比功能架构104的其他部分对功能架构104的性能更不利。可以部署设计工程资源来改进功能架构104的部分(例如,块、部件、模块),这将导致对功能架构104的危险发生率的最大整体改进。
在402处,为汽车系统的功能架构定义目标危险发生率。目标危险发生率满足特定用例的预期功能安全标准。例如,第三交通工具140从交通工具102的前方移出,以显示在前方停止的交通工具130。在404处,确定可以在特定用例期间发生的每个触发条件以及可以在特定用例期间发生的每个触发条件的相应发生概率。例如,小雨的发生几率为15%,大雨的发生几率为10%。
在406处,至少部分地基于在特定用例期间可能发生的每个触发条件来标识在特定用例期间对功能架构的可能危险。例如,交通工具102和停止的交通工具130之间的碰撞是高严重性的危险。即使没有触发条件,假阳性、假阴性和其他危险仍然可能发生。确定可能的危险包括:考虑即使在没有外部触发条件的情况下也可能发生的故障条件。
在408处,基于可能的危险,标识功能架构的安全目标。例如,安全目标可以是避免与停止的交通工具130碰撞,但不利用交通工具102执行极端制动并且不转向离开停止的交通工具130的路径。
在410处,基于安全目标,计算功能架构的标称要求。例如,考虑场景的事实来确定标称要求。这些事实可以包括:交通工具制动曲线、交通工具速度、检测到对象和开始制动之间的时间延迟。这些事实可导致在距停止的交通工具130特定距离处检测到停止的交通工具130的标称要求。
在412处,基于标称要求,定量地确定对标称要求的可能违反。例如,由于雨、雪、喷水或雾,检测停止的交通工具130可能由于未能检测到对象、错误地检测到对象、或以不准确的距离检测到停止的交通工具130而偏离理想性能。
在414处,确定可能违反中除至少一个可能违反之外的所有可能违反的相应发生概率。例如,负责开发激光雷达接口106-1并在雨中测试其性能的工程团队可以提供激光雷达接口106-1在雨中失效的概率或估计。
在416处,构建贝叶斯网络。贝叶斯网络包括多个节点,该节点具有一个或多个有向边,该有向边在父节点和子节点之间传递信息。多个节点中的每一个与功能架构的不同块相对应,并且具有条件概率表,该条件概率表包括针对可能违反中除至少一个可能违反之外的所有可能违反的相应发生概率。例如,激光雷达接口106-1可以是节点。它的父触发条件可以是雨、雪和雾。激光雷达接口106-1可以具有属于融合模块108的子节点。激光雷达接口106-1可以具有变量:未检测、假阳性或“鬼对象”、不正确的距离测量、以及这些变量在给定“完美”天气、雨、雪和雾的情况下发生的概率。
在418处,使用参数学习算法或基于专家判断的其他信息以确定可能违反中至少一个可能违反的相应发生概率和相应发生概率的偏差,从而解析贝叶斯网络中的每个相应条件概率表。例如,由于缺少雪条件而无法模拟激光雷达接口106-1的性能可导致必须估计性能或执行期望最大化分析以估计未知概率。
在418处,通过解析条件概率表中的每一个,可以用贝叶斯网络执行推断以估计功能架构的危险发生率和危险发生率的对应偏差。例如,贝叶斯网络输出与停止的交通工具130发生追尾碰撞的概率和追尾碰撞概率的偏差,诸如,在正量与负量之间的值范围。
估计值可能是不切实际的;SOTIF模块118-1或用户可以调整由参数学习算法确定的概率以被认为即使是在扩展的性能要求的情况下也可实现的。在420处,确定导致危险发生率满足目标危险发生率的对功能架构的改变。例如,可以确定可以通过使得激光雷达或相机能够在恶劣天气下更好地执行来改进功能架构104的性能。对贝叶斯网络120-1至120-n所遵循的功能架构104的假设的各种改变可以在不必测试或等待真实世界的道路条件的情况下进行尝试。例如,可以做出融合模块108在恶劣天气下更好地执行的假设。这些假设可以被传递下去,作为施加给融合模块108、激光雷达接口106-1或相机接口106-2的更严格的要求。这可能需要编写新的软件,该新的软件使融合模块108能够实现更窄的规范。通过在对贝叶斯网络120-1至120-n进行更新已经改变基本假设以反映对融合模块108的改进之后运行推断,可以快速且有效地确定是否满足SOTIF标准。
示例触发发生
图5示出了针对图1中的汽车系统的功能架构的各种触发条件及其对应的发生率。SOTIF模块118可以为图5所示的每个触发条件T1到T5确定相应的发生概率。触发条件T1到T5中的每一个由SOTIF模块118确定以引起可能违反。触发条件T1至T5的示例包括:道路条件、天气条件、或交通工具条件,诸如交通工具方向和速度。如图5所示,能够导致可能违反的触发条件可能具有不同的强度,并且根据强度具有相应的概率。
还示出了不确定性或“无触发条件”T6及其对激光雷达106-1的状态的影响。父节点故障和触发条件并不总是功能架构中节点故障的原因。即使节点具有来自其父节点的完美输入条件,并且不存在触发条件T1到T5(例如,完美的天气和光照),传感器融合模块108仍然可能失效,即使只有很小的概率(例如,<0.01%)。触发条件通常是导致假阳性或假阴性的主要因素,但并非总是如此并且T6对此进行了描绘。
图5只是示出不确定性或“无触发条件”T6的一种方式。在一些示例中,以不同的方式处理不确定性。例如,可以修改条件概率表以包括这种不确定性。参见表2,在第一行中;尽管激光雷达接口106-1和和相机接口106-2两者都进行了良好检测,但融合模块108-1仍然具有0.1%的不确定性,因为在这种场景中的概率仅99.0%,而99.0%小于100.00%。激光雷达接口106-1被示为遵循性能假设502-1,性能假设502-1包括从良好检测状态的可能违反。性能假设502-1(例如,条件概率表、节点内依赖性)可由要求引擎230修改,以确定改进激光雷达接口106-1是否可能对总体危险发生率有任何改进。在一些情况下,修改功能架构104的另一部分可能更好,并且要求引擎230可以重新配置贝叶斯网络120-1至120-n以达到满足SOTIF标准的一个或多个配置。
示例贝叶斯网络架构
图6示出了为图1中的汽车系统的功能架构构建的示例贝叶斯网络的一部分。图6是在来自图2的贝叶斯网络120-1的背景下被描述的,其中仅示出了贝叶斯网络120-1的一部分600。
贝叶斯网络120-1包括多个节点602-1到602-3。节点602-1和602-2中的每一个向表示VSG的节点602-3反馈。与融合模块108-1相关联的VSG有条件地依赖于与激光雷达接口106-1相关联的事件E1和与相机接口106-2相关联的事件E2。第一有向边604-1提供基于节点602-1的假设502-1(例如,条件概率表)的依赖性信息,以用于解析节点602-3的假设502-3(例如,条件概率表)。第二有向边604-2提供基于节点602-2的假设502-2(例如,条件概率表)的依赖性信息,也用于解析节点602-3的假设502-3。
诸如贝叶斯网络120-1之类的贝叶斯网络使得能够在SOTIF下分析功能架构。贝叶斯网络对给定触发条件情况下功能架构的性能进行建模,所述触发条件导致至少一些可能的危险。基于估计的概率数据或收集的概率数据被构建,贝叶斯网络使用条件概率来量化系统性能的不确定性,该条件概率表示功能架构的模块或部件之间的因果关系。这允许贝叶斯网络执行推断和其他概率算法来计算功能架构的整体危险率以及标识功能架构中的弱点。可以针对许多不同的系统配置和用例估计危险发生率,以证明是否实现了SOTIF。
附加示例
在以下部分中,提供了附加示例。
示例1.一种方法,所述方法包括:计算在特定用例下针对汽车系统的功能架构的标称要求;确定对标称要求的可能违反;确定特定用例期间的可能违反的相应发生概率;构建包括多个节点的贝叶斯网络,该节点具有一个或多个有向边,该有向边在两个节点之间传送信息,多个节点中的每一个具有从可能违反的相应发生概率导出的条件概率表;以及利用贝叶斯网络执行推断,以估计在特定用例下功能架构的危险发生率。
示例2.在前示例中的任一项的方法,进一步包括:使用参数学习算法以确定可能违反中的具有未知的相应发生概率的特定可能违反的相应发生概率和相应发生概率的相应偏差,从而解析贝叶斯网络中的至少一个条件概率表。
示例3.在前示例中的任一项的方法,进一步包括:确定能导致可能违反的每个触发条件的相应发生概率;以及基于能导致可能违反的每个触发条件的相应发生概率,确定可能违反的相应发生概率。
示例4.在前示例中的任一项的方法,其中,能导致可能违反的每个触发条件包括以下各项中的至少一项:道路条件、天气条件、交通工具条件、或功能架构的不确定性。
示例5.在前示例中的任一项的方法,其中,贝叶斯网络包括:来自多个节点的第一节点,该第一节点与功能架构的传感器融合模块相对应;来自多个节点的第二节点,该第二节点与功能架构的传感器的接口相对应;并且一个或多个有向边中的第一有向边提供基于第二节点的条件概率表的依赖性信息,以用于解析第一节点的条件概率表。
示例6.在前示例中的任一项的方法,其中,贝叶斯网络进一步包括:来自多个节点的第三节点,该第三节点与功能架构的另一传感器的接口相对应;并且一个或多个有向边中的第二有向边提供基于第三节点的条件概率表的附加依赖性信息,以用于解析第一节点的条件概率表。
示例7.在前示例中的任一项的方法,进一步包括:为功能架构定义满足针对特定用例的预期功能安全标准的目标危险发生率;确定对功能架构的假设的改变,该改变导致对危险发生率的估计满足功能架构的目标危险发生率;基于对假设的改变修改贝叶斯网络;以及通过利用贝叶斯网络进行的推断,基于对假设的改变,重新估计在特定用例下功能架构的危险发生率。
示例8.在前示例中的任一项的方法,其中,特定用例是多个用例中的第一用例,该方法进一步包括:针对多个用例中的每一个计算功能架构的相应标称要求;确定对多个用例中的每一个用例的相应标称要求的可能违反;确定多个用例中的每一个用例期间的可能违反的相应发生概率和相应发生概率的相应偏差;基于可能违反的相应发生概率,为多个用例中的每一个构建相应的贝叶斯网络;以及利用多个用例中的每一个用例的相应贝叶斯网络执行推断,以估计在多个用例中的每一个用例下功能架构的危险发生率。
示例9.在前示例中的任一项的方法,进一步包括:利用多个用例中的每一个用例的相应贝叶斯网络执行推断,以标识功能架构中的最有可能导致特定危险或对危险发生率最不利的一部分。
示例10.一种系统,该系统包括处理器,该处理器被配置成用于:基于汽车系统的功能架构的安全目标,计算给定特定用例情况下功能架构的标称要求;定性地确定对标称要求的可能违反;确定可能违反中的至少一些可能违反的相应发生概率和相应发生概率的相应偏差;构建包括多个节点的贝叶斯网络,该节点具有一个或多个有向边,多个节点中的每个节点具有条件概率表,该条件概率表从针对可能违反中的至少一些可能违反确定的相应发生概率和相应发生概率的相应偏差中导出;通过估计条件概率表中的任何未知的概率,来解析贝叶斯网络中的至少一个条件概率表;以及利用贝叶斯网络执行推断,以估计在特定用例下功能架构的危险发生率。
示例11.在前示例中的任一个的系统,其中,处理器被进一步配置成用于:对于特定用例,标识对功能架构的可能危险;并基于可能危险确定汽车系统的功能架构的安全目标。
示例12.在前示例中的任一个的系统,其中,处理器被进一步配置成用于:为功能架构定义满足针对特定用例的预期功能安全标准的目标危险发生率;并且确定对功能架构的假设的改变,该改变导致对功能架构的危险发生率的估计满足功能架构的目标危险发生率;基于对假设的改变修改贝叶斯网络;并且利用贝叶斯网络重新运行推断,以基于对假设的改变重新估计在特定用例下功能架构的危险发生率。
示例13.在前示例中的任一个的系统,其中,处理器被配置成用于:通过使用参数学习算法估计条件概率表中的任何未知概率,来解析贝叶斯网络中的至少一个条件概率表。
示例14.在前示例中的任一个的系统,其中,汽车系统包括具有固有不确定性或弱点的交通工具的硬件,并且功能架构包括被配置成用于在交通工具的硬件上执行的软件模块。
示例15.在前示例中的任一个的系统,其中,处理器被进一步配置成用于:通过以下方式确定可能违反中的至少一些可能违反的相应发生概率:确定能导致可能违反中的至少一些可能违反的每个触发条件的相应发生概率;并且,基于能导致可能违反中的至少一些可能违反的每个触发条件的相应发生概率,确定可能违反中的至少一些可能违反的相应发生概率。
示例16.在前示例中的任一个的系统,其中,能导致可能违反的每个触发条件包括以下各项中的至少一项:道路条件、天气条件、交通工具条件、或功能架构的不确定性。
示例17.在前示例中的任一个的系统,其中,处理器被进一步配置成用于:根据贝叶斯网络标识功能架构中的在特定用例下对功能架构的性能更不利的一部分。
示例18.在前示例中的任一项的系统,其中,贝叶斯网络包括:来自多个节点的第一节点,该第一节点与功能架构的传感器融合模块相对应;来自多个节点的第二节点,该第二节点与功能架构的传感器的接口相对应;并且一个或多个有向边中的第一有向边提供基于第二节点的条件概率表的依赖性信息,以用于解析第一节点的条件概率表。
示例19.在前示例中的任一项的系统,其中,贝叶斯网络进一步包括:来自多个节点的第三节点,该第三节点与功能架构的另一传感器的接口相对应;并且一个或多个有向边中的第二有向边提供基于第三节点的条件概率表的附加依赖性信息,以用于解析第一节点的条件概率表。
示例20.一种系统,包括:用于为汽车系统的功能架构定义满足针对特定用例的预期功能安全标准的目标危险发生率的装置;用于确定能在特定用例期间发生的每个触发条件以及能在特定用例期间发生的每个触发条件的相应发生概率的装置;用于基于能在特定用例期间发生的每个触发条件,标识在特定用例期间对功能架构的可能危险的装置;用于基于可能危险标识功能架构的安全目标的装置;用于基于安全目标计算功能架构的标称要求的装置;用于定性地确定对标称要求的可能违反的装置;用于确定可能违反中除至少一个可能违反之外的所有可能违反的相应发生概率的装置;用于构建贝叶斯网络的装置,该贝叶斯网络包括多个节点,该节点具有一个或多个有向边,该有向边在父节点与子节点之间传递信息,多个节点中的每一个节点具有条件概率表,该条件概率表包括可能违反中除至少一个可能违反之外的所有可能违反的相应发生概率;用于使用参数学习算法以确定来自可能违反的至少一个可能违反的相应发生概率,从而解析贝叶斯网络中的每个相应条件概率表的装置;用于使用贝叶斯网络来执行推断以估计功能架构的危险发生率和危险发生率的偏差的装置;以及用于确定导致危险发生率和危险发生率的偏差满足目标危险发生率的对功能架构的改变的装置。
示例21.在前示例中的任一项的系统,进一步包括:用于使用贝叶斯网络执行推断以标识功能架构中的最有可能导致特定危险或对危险发生率最不利的一部分的装置。
示例22.在前示例中的任一项的系统,进一步包括:用于通过将针对多个用例中的每个用例部分地基于该用例的暴露率计算的相应危险发生率相加,来定量地导出总系统危险率的装置。
示例23.在前示例中的任一项的系统,进一步包括:用于将不确定性并入贝叶斯网络的装置;以及用于报告具有基于不确定性确定的上限和下限范围的危险发生率的装置。
结论
虽然在前述描述中描述并且在附图中示出了本公开的各种实施例,但应当理解,本公开不限于此,而是可以在接下来的权利要求的范围内以各种方式实施为实践。根据前述描述,将显而易见的是,可以做出各种更改而不偏离由接下来的权利要求所限定的本公开的精神和范围。
除非上下文另有明确规定,否则对“或”以及在语法上相关术语的使用指示无限制的非排他性替代物。如本文所使用的,引述一列项目中的“至少一者”的短语是指这些项目的任何组合,包括单个成员。作为示例,“a、b或c中的至少一者”旨在涵盖:a、b、c、a-b、a-c、b-c、和a-b-c,以及具有多个相同元素的任何组合(例如,a-a、a-a-a、a-a-b、a-a-c、a-b-b、a-c-c、b-b、b-b-b、b-b-c、c-c、和c-c-c,或者a、b和c的任何其他排序)。