CN114312778A - 一种巡航控制系统的功能安全需求获取方法及装置 - Google Patents

Abstract

本发明实施例公开了一种巡航控制系统的功能安全需求获取方法。该方法包括：获取巡航控制系统的相关项信息；根据相关项信息，获取巡航控制系统的危害事件；根据严重度等级、暴露概率等级以及可控性等级，对危害事件进行风险评估，以获取危害事件的汽车安全完整性等级；根据危害事件的汽车安全完整性等级，获取巡航控制系统的安全目标；根据巡航控制系统的安全目标，获取巡航控制系统的功能安全需求。本发明实施例提供的技术方案，实现了巡航控制系统在功能安全的概念设计阶段的相关设计，为巡航控制系统的实际开发，提供了必要的功能安全需求条件，确保了巡航控制系统开发的规范性，提高了自动驾驶辅助技术的安全性能。

Description

一种巡航控制系统的功能安全需求获取方法及装置

技术领域

本发明实施例涉及车辆开发技术领域，尤其涉及一种巡航控制系统的功能安全需求获取方法及装置。

背景技术

随着汽车行业的不断发展，智能汽车成为了汽车行业最重要的研发方向，而这其中自动驾驶辅助技术成为了重要的组成部分。

自动驾驶辅助技术，虽然能够有效预防危害事件发生和降低危害程度，但其缺乏自身的有效安全机制，当其自身发生故障时，由于多数驾驶员对系统可靠性的过分相信，将大大延长有效接管时间，从而导致更加严重的交通事故。

巡航控制功能作为自动驾驶辅助中规划控制环节的重要组成部分，对其进行功能安全设计具有十分重要的意义。目前尚无针对其整车层面的功能安全技术的相关研究，而功能安全的概念分析是对巡航控制系统进行功能安全设计的前提，合理的概念设计有利于后续安全控制策略的制定和容错控制算法的开发，因此，对巡航控制系统进行功能安全的概念分析，为巡航控制系统的开发提供了安全理论基础，对于汽车安全性能的提高具有重大的意义。

发明内容

本发明实施例提供的巡航控制系统的功能安全需求获取方法，实现了巡航控制系统在功能安全的概念设计阶段的开发。

第一方面，本发明实施例提供了巡航控制系统的功能安全需求获取方法，包括：

获取巡航控制系统的相关项信息；其中，所述相关项信息包括自动驾驶系统、车身电子稳定系统、加速控制系统、供电系统和人机交互系统，以及所述自动驾驶系统、所述车身电子稳定系统、所述加速控制系统、所述供电系统和所述人机交互系统之间的信息交互接口，所述加速控制系统包括发动机电子控制单元或整车控制器；

根据所述相关项信息，获取所述巡航控制系统的危害事件；

根据严重度等级、暴露概率等级以及可控性等级，对所述危害事件进行风险评估，以获取所述危害事件的汽车安全完整性等级；

根据所述危害事件的汽车安全完整性等级，获取所述巡航控制系统的安全目标；

根据所述巡航控制系统的安全目标，获取所述巡航控制系统的功能安全需求。

第二方面，本发明实施例提供了巡航控制系统的功能安全需求获取方法，包括：

相关项信息获取模块，用于获取巡航控制系统的相关项信息；其中，所述相关项信息包括自动驾驶系统、车身电子稳定系统、加速控制系统、供电系统和人机交互系统，以及所述自动驾驶系统、所述车身电子稳定系统、所述加速控制系统、所述供电系统和所述人机交互系统之间的信息交互接口，所述加速控制系统包括发动机电子控制单元或整车控制器；

危害事件获取模块，用于根据所述相关项信息，获取所述巡航控制系统的危害事件；

安全等级获取模块，用于根据严重度等级、暴露概率等级以及可控性等级，对所述危害事件进行风险评估，以获取所述危害事件的汽车安全完整性等级；

安全目标获取模块，用于根据所述危害事件的汽车安全完整性等级，获取所述巡航控制系统的安全目标；

功能安全需求获取模块，用于根据所述巡航控制系统的安全目标，获取所述巡航控制系统的功能安全需求。

第三方面，本发明实施例还提供了一种巡航控制系统，该系统包括：自动驾驶系统、车身电子稳定系统、加速控制系统、供电系统和人机交互系统；

所述供电系统用于为所述自动驾驶系统、所述车身电子稳定系统、所述加速控制系统和所述人机交互系统供电；

所述人机交互系统用于与驾驶员进行信息交互；

所述自动驾驶系统用于获取自动驾驶决策；

所述车身电子稳定系统和所述加速控制系统，均用于根据所述自动驾驶系统发出的自动驾驶决策执行匹配的自动驾驶操作；

其中，所述巡航控制系统根据本发明任意实施例所述的巡航控制系统的功能安全需求获取方法开发完成。

第四方面，本发明实施例还提供了一种电子设备，所述电子设备包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明任意实施例所述的巡航控制系统的功能安全需求获取方法。

第五方面，本发明实施例还提供了一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时实现本发明任意实施例所述的巡航控制系统的功能安全需求获取方法。

本发明实施例提供的技术方案中，通过获取巡航控制系统的相关项信息，并根据相关项信息获取危害事件，进而根据严重度等级、暴露概率等级以及可控性等级，获取所述危害事件的汽车安全完整性等级，然后根据危害事件的汽车安全完整性等级，获取巡航控制系统的安全目标，最终获取巡航控制功能的功能安全需求，实现了巡航控制系统在功能安全的概念设计阶段的相关设计，为巡航控制系统的实际开发，提供了必要的功能安全需求条件，确保了巡航控制系统开发的规范性，提高了自动驾驶辅助技术的安全性能。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例一提供的一种巡航控制系统的功能安全需求获取方法的流程图；

图2为本发明实施例二提供的功能安全需求的获取流程图；

图3为本发明实施例三提供的一种巡航控制系统的功能安全需求获取装置的结构框图；

图4为本发明实施例四提供的一种巡航控制系统的结构示意图；

图5为本发明实施例五提供的一种电子设备的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。此外，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。此外，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

本发明使用的术语“包括”及其变形是开放性包括，即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

实施例一

图1为本发明实施例一提供的一种巡航控制系统的功能安全需求获取方法的流程图，本实施例可适用于获取巡航控制系统在功能安全的概念设计阶段的功能安全需求，该方法可以由本发明实施例中的巡航控制系统的功能安全需求获取装置来执行，该装置可以通过软件和/或硬件实现，并集成在电子设备上，该电子设备可以预先接入车辆信息数据库中，该方法具体包括如下步骤：

S110、获取巡航控制系统的相关项信息；其中，所述相关项信息包括自动驾驶系统、车身电子稳定系统、加速控制系统、供电系统和人机交互系统，以及所述自动驾驶系统、所述车身电子稳定系统、所述加速控制系统、所述供电系统和所述人机交互系统之间的信息交互接口，所述加速控制系统包括发动机电子控制单元或整车控制器。

巡航控制(Cruising Control)，是利用电子技术，在一定的车速范围内，驾驶员不需要控制加速踏板，即可确保汽车以设定的速度稳定行驶，以此省去驾驶员频繁踩油门这一人为动作而自动维持预先设定的车速，进而大大减轻驾驶员的疲劳程度，提高行驶时的稳定性、安全性、舒适性和燃料经济性。巡航控制功能的实现依赖于汽车内部多个组件的协同作业，具体涉及自动驾驶系统、车身电子稳定系统、加速控制系统、供电系统和人机交互系统，以及上述系统之间的信息交互接口(即外部接口)，以及各系统内部的信息交互接口(即内部接口)；其中，人机交互系统可以通过屏幕、物理按键或语音，获取用户输入信息；特别的，电子设备可以通过预先接入的车辆信息数据库，获取与巡航控制功能相关的系统信息。

自动驾驶系统是通过通信、计算机、网络和控制技术，对车辆进行实时的连续控制，实现车地间的双向数据通信的控制系统；车身电子稳定系统(Electronic StabilityProgram，ESP)是用于提升车辆的操控表现，同时防止汽车达到其动态极限时失控的控制系统；加速控制系统是执行加速操作的动力系统，在电动汽车中为整车控制器(VCU)，在传统的燃油汽车中为发动机电子控制单元(Electronic Control Unit，ECU)；人机交互系统用于获取驾驶员输入的目标速度信息；供电系统则为上述各系统进行供电。

具体的，巡航控制功能的实现包括决策部分和执行部分；决策部分包括自动驾驶系统中的速度控制器；执行部分包括车身电子稳定系统和加速控制系统；自动驾驶系统中的自动驾驶控制器通过人机交互系统获取驾驶员输入的目标速度信息，同时通过摄像头、雷达以及传感器，获取前方车辆的状态信息，例如，前方车速和前方车距；自动驾驶系统中的速度控制器，根据获取到的目标速度信息和前方车辆的状态信息，在自由巡航工况下，获取车辆保持目标车速需要的加速度数值，以此计算出所需施加驱动系统的目标扭矩，或者在跟车巡航工况下，结合获取到的跟车距离等级，获取防止与前方车辆发生碰撞并且保持稳定跟车距离需要附加的减速度，以此计算出所需施加车辆的制动力；上述加速度数值对应的发送给加速控制系统，减速度数值对应发送给车身电子稳定系统；车身电子稳定系统根据速度控制器发出的减速度数值，执行车辆减速操作，加速控制系统根据速度控制器发出的加速度数值，执行车辆加速操作，以此实现车辆的纵向运动控制。

S120、根据所述相关项信息，获取所述巡航控制系统的危害事件。

危害事件，是由于巡航控制系统异常，而可能产生的危险及危害因素；对于巡航控制功能的危害事件，可以基于人工智能(Artificial Intelligence，AI)技术，通过预训练完成的危害事件识别模型获取；上述危害事件识别模型可以基于汽车领域中，其它功能(例如，路径跟踪功能和制动控制功能)的相关项信息及对应的危害事件组成的训练样本训练获取；其中，相关项信息作为输入信息(即样本内容)，危害事件作为输出信息(即样本标签)；例如，将路径跟踪功能的相关项信息作为训练样本A的样本内容，其对应的危害事件可以由车辆工程师预先标注完成，并作为训练样本A的样本标签；将制动控制功能的相关项信息作为训练样本B的样本内容，其对应的危害事件同样由车辆工程师预先标注完成，并作为训练样本B的样本标签。

也可以通过向车辆工程师展示上述相关项信息，并引导车辆工程师基于危险与可操作性(Hazard and Operability，HAZOP)分析方法，针对上述相关项信息，获取车辆工程师评定的危害事件；其中，危险与可操作性(Hazard and Operability，HAZOP)分析方法，是用于定性分析的危险性评价方法，其作用在于通过分析生产运行过程中工艺状态参数的变动以及操作控制中可能出现的偏差，确定可能出现的危险及危害因素，也即危害事件；在本发明实施例中，基于HAZOP分析方法，根据巡航控制功能的相关项信息中，各个系统的结构、运行状态等参数信息，获取危害事件；还可以将巡航控制功能的相关项信息发送给危害事件识别平台，以使该平台通过人工方式或计算机方式，获取巡航控制功能的危害事件，进而获取上述平台反馈的危害事件；

可选的，在本发明实施例中，所述根据所述相关项信息，获取所述巡航控制系统的危害事件，包括：根据所述相关项信息，获取所述巡航控制功能在结构化道路上的危害事件。相同的控制功能，在不同的运行场景中，其危害程度不同，且巡航控制功能通常只在交通状况良好的运行场景下应用，因此，在本发明实施例中，可以将车辆的运行场景设定为智能车辆在道路以及交通状况良好的条件下，沿结构化道路的车道线自动行驶；其中，结构化道路为道路边缘规则、路面平坦且有明显的车道线及其它人工标记的行车道路，例如高速公路和城市干道等。

可选的，在本发明实施例中，所述危害事件包括车辆发生非预期的纵向控制或纵向力丢失有碰撞风险。对于巡航控制，即车辆行使时的纵向移动控制，如果存在非预期的纵向控制，即实际控制数值偏离了预期的控制指令时，可能导致本车与前方车辆的碰撞，同时，如果存在纵向力的丢失，即预期的控制指令无法被响应，也同样存在与前方车辆或障碍物的碰撞风险。

以上述技术方案为例中，自动驾驶车辆在结构化标准道路上沿车道行驶的运行场景为例，列举下列4条引导词对巡航控制功能展开危害分析，并获取危害事件；其中，功能丧失的异常表现为失去纵向控制能力；错误功能多于预期的异常表现为纵向力过大；错误功能少于预期的异常表现为纵向力过小；输出卡滞在固定值的异常表现可以为纵向力卡滞在某一固定值不变。

表1巡航控制系统的危害事件

S130、根据严重度等级、暴露概率等级以及可控性等级，对所述危害事件进行风险评估，以获取所述危害事件的汽车安全完整性等级。

ISO26262标准所定义的严重度、暴露概率以及可控性，如表2所示，严重度(Severity)是指巡航功能失效的情况下，对驾驶人员、环境和行人的伤害程度，具体可分为四个等级，即S0：无伤害；S1：轻度和中度伤害；S2：严重伤害(有可能存活)；S3：致命伤害(存活不确定)。暴露概率(Exposure)是危害事件在实际环境中发生的概率，具体可分为五个等级，即E0：不可能；E1:：非常低的概率；E2：低概率；E3：中等概率；E4：高概率。可控性(Controllability)是指驾驶员或其他涉险人员(包括乘客和车辆外部的临近人员)能够避免危害事件的伤害的可能性，具体可分为四个等级，即C0：可控；C1：简单可控；C2：—般可控；C3：难以控制或者不可控。

表2严重度、暴露概率以及可控性的等级

巡航控制功能的严重度等级、暴露概率等级以及可控性等级，可以在获取到危害事件后，通过获取人工标注结果的方式，即获取车辆工程师针对上述危害事件的严重度等级、暴露概率等级以及可控性等级的标注结果；进而在获取到危害事件的严重度等级、暴露概率等级以及可控性等级后，根据如表3所述的汽车安全完整性(Automotive SafetyIntegration Level，ASIL)等级表，通过查表获取巡航控制对应的汽车安全完整性等级；其中，QM为质量管理，表示依据正常的质量管理体系进行开发即可，无需涉及功能安全相关的设计，D最高等级，A为最低等级。

表3汽车安全完整性等级表

在获取到危害事件并展示后，获取车辆工程师输入的严重度等级、暴露概率等级以及可控性等级；以上述技术方案为例，如表4所示，获取到的巡航控制功能的严重度等级、暴露概率等级以及可控性等级，分别为S2、E4和C2，据此确定巡航控制系统的危害事件，对应的汽车安全完整性等级为B级。

表4巡航控制功能的风险评估结果

S140、根据所述危害事件的汽车安全完整性等级，获取所述巡航控制系统的安全目标。

在对危害事件进行风险评估，并获取到风险评估结果后，还需要确定其安全目标，以作为功能安全需求(Functional Safety Requirement，FSR)的基础；安全目标实质是为了避免危害事件的发生，因此，在获取到危害事件后，可以通过向车辆工程师展示危害事件，以及危害事件所处的汽车安全完整性等级，获取车辆工程师输入的安全目标；如表5所示，为巡航控制功能的安全目标及其属性信息；其中，安全状态是实现安全目标所要达到的安全状态。

表5巡航控制功能的安全目标

S150、根据所述巡航控制系统的安全目标，获取所述巡航控制系统的功能安全需求。

在获取到安全目标后，根据相关项信息中各个系统的电子电气部件的参数信息，将安全目标分解至各电子电气部件，以此获取巡航控制系统的功能安全要求，进而车辆工程师在进行巡航控制系统的开发时，基于上述功能安全要求，完成巡航控制系统的开发；对于功能安全需求的获取，可以基于AI技术通过预训练完成的安全需求获取模型获取；上述安全需求获取模型可以基于汽车领域中，其它功能(例如，路径跟踪功能和制动控制功能)的相关项信息、安全目标以及功能安全需求组成的训练样本训练获取；其中，相关项信息和安全目标作为输入信息(即样本内容)，功能安全需求作为输出信息(即样本标签)；还可以通过展示上述相关项信息和安全目标，引导车辆工程师在各个系统的电子电器部件下，输入匹配的功能安全需求。

本发明实施例提供的技术方案中，通过获取巡航控制系统的相关项信息，并根据相关项信息获取危害事件，进而根据严重度等级、暴露概率等级以及可控性等级，获取所述危害事件的汽车安全完整性等级，然后根据危害事件的汽车安全完整性等级，获取巡航控制系统的安全目标，最终获取巡航控制功能的功能安全需求，实现了巡航控制系统在功能安全的概念设计阶段的相关设计，为巡航控制系统的实际开发，提供了必要的功能安全需求条件，确保了巡航控制系统开发的规范性，提高了自动驾驶辅助技术的安全性能。

实施例二

本发明实施例在上述实施例的基础上，对功能安全需求进行具体化，具体的，功能安全需求可以包括如下至少一项：

FSR001：验证本车与目标车辆相对距离，以及前方车辆车速的正确性；

FSR002：验证当前获得车辆车速的正确性；

FSR003：获取制动系统的各个增值功能项对高级驾驶辅助系统(AdvancedDriving Assistance System，ADAS)功能执行产生的影响；例如，轮缸压力控制；

其中，ADAS包括安装在车上的多种传感器，例如，毫米波雷达、激光雷达、单目摄像头、双目摄像头以及卫星导航装置等。

FSR004：正确监控人机交互系统使能开关信号，以及驾驶员输入目标车速与跟车距离等级；

FSR005：正确监控影响纵向控制安全状态的车身状态信号；

其中，车身状态信号包括正常行驶信号，以及采取紧急制动时的紧急制动信号等。

FSR006：正确监控制动加速踏板值和转向扭矩输入信号；

其中，制动加速踏板值是汽车在制动过程中驾驶员输入的踏板值，转向扭矩输入信号是驾驶员操作方向盘的偏移量。

FSR007：保证电子控制单元能够正确发送状态信息到通讯网络；

FSR008：正确监控车身电子稳定系统(Electronic Stability Program，ESP)的开启状态信号；

FSR009：正确监控自动驾驶控制功能的使能信号；

FSR010：正确监控驾驶员接管信号；

FSR011：监测电子控制单元的安全相关诊断特征和故障响应特征，以确保正常运行；

FSR012：电子控制单元具有内部安全机制，以处理汽车行驶过程中的外部和内部故障；

FSR013：保证计算的目标加速度值的正确性；

FSR014：保证能够正确通过控制器局域网络(Controller Area Network，CAN)传输加速度控制指令；

其中，CAN可以作为汽车电子控制网络，例如，可以在发动机管理系统、变速箱控制器、仪表装备和电子主干系统中，均嵌入CAN控制装置。

FSR015：当驾驶员在危险情况下启动刹车或转向时，电子控制单元出于安全考虑停止控制并通知驾驶员；

FSR016：验证目标纵向力控制值处于可靠性范围，防止额外的附加力影响巡航稳定性；

FSR017：保证电子控制单元能够正确发送纵向控制指令；

FSR018：电子控制单元的硬件安全指标达到汽车安全完整性等级的B级：其中，所述硬件安全指标包括随机硬件失效率(Probabilistic Metric for random HardwareFailures，PMHF)、单点故障指标(Single-Point Fault Metric，SPFM)以及潜在故障度(Latent-Fault Metric，LFM)；

PMHF表示在汽车运行周期中每小时平均失效概率；SPFM反映了相关项通过安全机制覆盖或通过设计手段(例如，安全故障)实现的对单点故障和残余故障的鲁棒性；单点故障度量值较高，意味着相关项硬件的单点故障和残余故障所占的比例较低，系统可靠性更高；LFM反映了相关项通过安全机制覆盖、通过驾驶员在安全目标违背之前识别或通过设计手段(例如，安全故障)实现的对潜伏故障的鲁棒性。潜伏故障度量值较高，表示硬件的潜伏故障所占的比例低，系统可靠性更高。

FSR019：监控电子控制单元安全相关特性和故障响应特性的逻辑，以及安全相关特性的正常运行，满足其他非安全逻辑的要素共存的准则；

要素共存的准则(Criteria for coexistence of elements)，是将要素的功能安全需求分配到子要素过程中需要遵守的分配原则。

FSR020：电子控制单元由能够满足汽车安全完整性等级要求的失效模式、影响和诊断分析(Failure Modes Effects and Diagnostic Analysis，FMEDA)的可靠装置组成；

FMEDA用于对功能安全产品的失效风险、是否可诊断进行定性分析，同时也为平均失效概率和安全完整性等级的计算提供有效的数据支撑。

FSR021：电子控制单元进行初始化故障检查，微控制单元(MicrocontrollerUnit，MCU)具有故障处理功能模块；

FSR022：当检测到工作故障，在限定的时间内，系统发出警报，当驾驶员超时未接管，系统自动退出，安全滑行，以保证驾驶员的安全；

FSR023：保证系统供电正常，且只有在安全驾驶状态下，电子控制单元才被允许模块断电。

其中，图2是本发明实施例二提供的功能安全需求的获取流程图，包含自动驾驶系统、行驶车辆系统等。

本发明实施例提供的技术方案，获取到巡航控制系统完整的功能安全需求，实现了巡航控制系统在功能安全的概念设计阶段的相关设计，为巡航控制系统的实际开发，提供了必要的功能安全需求条件，确保了巡航控制系统开发的规范性，提高了自动驾驶辅助技术的安全性能。

实施例三

图3是本发明实施例三所提供的一种巡航控制系统的功能安全需求获取装置的结构框图，该装置具体包括：相关项信息获取模块310、危害事件获取模块320、安全等级获取模块330、安全目标获取模块340和功能安全需求获取模块350。

相关项信息获取模块310，用于获取巡航控制系统的相关项信息；其中，所述相关项信息包括自动驾驶系统、车身电子稳定系统、加速控制系统、供电系统和人机交互系统，以及所述自动驾驶系统、所述车身电子稳定系统、所述加速控制系统、所述供电系统和所述人机交互系统之间的信息交互接口，所述加速控制系统包括发动机电控单元或整车控制器；

危害事件获取模块320，用于根据所述相关项信息，获取所述巡航控制系统的危害事件；

安全等级获取模块330，用于根据严重度等级、暴露概率等级以及可控性等级，对所述危害事件进行风险评估，以获取所述危害事件的汽车安全完整性等级；

安全目标获取模块340，用于根据所述危害事件的汽车安全完整性等级，获取所述巡航控制系统的安全目标；

功能安全需求获取模块350，用于根据所述巡航控制系统的安全目标，获取所述巡航控制系统的功能安全需求。

本发明实施例提供的技术方案中，通过获取巡航控制系统的相关项信息，并根据相关项信息获取危害事件，进而根据严重度等级、暴露概率等级以及可控性等级，获取所述危害事件的汽车安全完整性等级，然后根据危害事件的汽车安全完整性等级，获取巡航控制系统的安全目标，最终获取巡航控制功能的功能安全需求，实现了巡航控制系统在功能安全的概念设计阶段的相关设计，为巡航控制系统的实际开发，提供了必要的功能安全需求条件，确保了巡航控制系统开发的规范性，提高了自动驾驶辅助技术的安全性能。

可选的，在上述技术方案的基础上，所述自动驾驶系统包括速度控制器，所述速度控制器用于根据本车的目标速度信息和前方车况信息，获取加速度数值或减速度数值；所述车身电子稳定系统用于根据所述速度控制器发出的减速度数值，执行车辆减速操作；所述加速控制系统用于根据所述速度控制器发出的加速度数值，执行车辆加速操作。

可选的，在上述技术方案的基础上，危害事件获取模块320，具体用于根据所述相关项信息，获取所述巡航控制功能在结构化道路上的危害事件。

可选的，在上述技术方案的基础上，所述危害事件包括车辆发生非预期的纵向控制或纵向力丢失有碰撞风险。

可选的，在上述技术方案的基础上，所述安全目标包括避免车辆发生制动力控制丢失不报警、避免车辆发生非预期的制动和避免车辆发生非预期的加速。

可选的，在上述技术方案的基础上，所述功能安全需求，包括如下至少一项：

验证本车与目标车辆相对距离，以及前方车辆车速的正确性；

验证当前获得车辆车速的正确性；

获取制动系统的各个增值功能项对高级驾驶辅助系统功能执行产生的影响；

正确监控人机交互系统使能开关信号，以及驾驶员输入目标车速与跟车距离等级；

正确监控影响纵向控制安全状态的车身状态信号；

正确监控制动加速踏板值和转向扭矩输入信号；

保证电子控制单元能够正确发送状态信息到通讯网络；

正确监控车身电子稳定系统的开启状态信号；

正确监控自动驾驶控制功能的使能信号；

正确监控驾驶员接管信号；

监测电子控制单元的安全相关诊断特征和故障响应特征，以确保正常运行；

电子控制单元具有内部安全机制，以处理汽车行驶过程中的外部和内部故障；

保证计算的目标加速度值的正确性；

保证能够正确通过控制器局域网络传输加速度控制指令；

当驾驶员在危险情况下启动刹车或转向时，电子控制单元出于安全考虑停止控制并通知驾驶员；

验证目标纵向力控制值处于可靠性范围，防止额外的附加力影响巡航稳定性；

保证电子控制单元能够正确发送纵向控制指令；

电子控制单元的硬件安全指标达到汽车安全完整性等级的B级：其中，所述硬件安全指标包括随机硬件失效率、单点故障指标及潜在故障度；

监控电子控制单元安全相关特性和故障响应特性的逻辑，以及安全相关特性的正常运行，应满足其他非安全逻辑的要素共存的准则；

电子控制单元由能够满足汽车安全完整性等级要求的失效模式、影响和诊断分析的可靠装置组成；

电子控制单元进行初始化故障检查，微控制单元具有故障处理功能模块；

当检测到工作故障，在限定的时间内，系统发出警报，当驾驶员超时未接管，系统自动退出，安全滑行，以保证驾驶员的安全；

保证系统供电正常，且只有在安全驾驶状态下，电子控制单元才被允许模块断电。

上述装置可执行本发明任意实施例所提供的巡航控制系统的功能安全需求获取方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明任意实施例提供的巡航控制系统的功能安全需求获取方法。

实施例四

图4为本发明实施例四提供的一种巡航控制系统的结构示意图，该系统具体包括自动驾驶系统、车身电子稳定系统、加速控制系统、供电系统和人机交互系统；

所述供电系统用于为所述自动驾驶系统、所述车身电子稳定系统、所述加速控制系统和所述人机交互系统供电；

所述人机交互系统用于与驾驶员进行信息交互；

所述自动驾驶系统用于获取自动驾驶决策；例如，上述技术方案中，速度控制器发出的加速度数值和减速度数值；

所述车身电子稳定系统和所述加速控制系统，均用于根据所述自动驾驶系统发出的自动驾驶决策执行匹配的自动驾驶操作；例如，上述技术方案中，车身电子稳定系统执行的减速操作，加速控制系统执行的加速操作。

其中，所述巡航控制系统根据本发明任意实施例公开的巡航控制系统的功能安全需求获取方法开发完成。

本发明实施例提供的技术方案中，通过上述技术方案开发完成的巡航控制系统，符合概念设计阶段的各项功能安全需求，确保了巡航控制系统开发的规范性，提高了自动驾驶辅助技术的安全性能。

实施例五

图5为本发明实施例五提供的一种电子设备的结构示意图。图5示出了适于用来实现本发明实施方式的示例性电子设备12的框图。图5显示的电子设备12仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图5所示，电子设备12以通用计算机设备的形式表现。电子设备12的组件可以包括但不限于：一个或者多个处理器或者处理单元16，存储器28，连接不同系统组件(包括存储器28和处理单元16)的总线18。

总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(ISA)总线，微通道体系结构(MAC)总线，增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。

电子设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(RAM)30和/或高速缓存存储器32。电子设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(图5未显示，通常称为“硬盘驱动器”)。尽管图5中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在例如存储器28中，这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。

电子设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信，还可与一个或者多个使得用户能与该电子设备12交互的设备通信，和/或与使得该电子设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且，电子设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器20通过总线18与电子设备12的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

处理单元16通过运行存储在存储器28中的程序，从而执行各种功能应用以及数据处理，例如实现本发明实施例所提供的巡航控制系统的功能安全需求获取方法。也即：获取巡航控制系统的相关项信息；其中，所述相关项信息包括自动驾驶系统、车身电子稳定系统、加速控制系统、供电系统和人机交互系统，以及所述自动驾驶系统、所述车身电子稳定系统、所述加速控制系统、所述供电系统和所述人机交互系统之间的信息交互接口，所述加速控制系统包括发动机电子控制单元或整车控制器；根据所述相关项信息，获取所述巡航控制系统的危害事件；根据严重度等级、暴露概率等级以及可控性等级，对所述危害事件进行风险评估，以获取所述危害事件的汽车安全完整性等级；根据所述危害事件的汽车安全完整性等级，获取所述巡航控制系统的安全目标；根据所述巡航控制系统的安全目标，获取所述巡航控制系统的功能安全需求。

实施例六

本发明实施例六还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明任意实施例所述的巡航控制系统的功能安全需求获取方法；该方法包括：

获取巡航控制系统的相关项信息；其中，所述相关项信息包括自动驾驶系统、车身电子稳定系统、加速控制系统、供电系统和人机交互系统，以及所述自动驾驶系统、所述车身电子稳定系统、所述加速控制系统、所述供电系统和所述人机交互系统之间的信息交互接口，所述加速控制系统包括发动机电子控制单元或整车控制器；

根据所述相关项信息，获取所述巡航控制系统的危害事件；

根据严重度等级、暴露概率等级以及可控性等级，对所述危害事件进行风险评估，以获取所述危害事件的汽车安全完整性等级；

根据所述危害事件的汽车安全完整性等级，获取所述巡航控制系统的安全目标；

根据所述巡航控制系统的安全目标，获取所述巡航控制系统的功能安全需求。

本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于无线、电线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。

Claims (10)

1.一种巡航控制系统的功能安全需求获取方法，其特征在于，包括：

获取巡航控制系统的相关项信息；其中，所述相关项信息包括自动驾驶系统、车身电子稳定系统、加速控制系统、供电系统和人机交互系统，以及所述自动驾驶系统、所述车身电子稳定系统、所述加速控制系统、所述供电系统和所述人机交互系统之间的信息交互接口，所述加速控制系统包括发动机电子控制单元或整车控制器；

根据所述相关项信息，获取所述巡航控制系统的危害事件；

根据严重度等级、暴露概率等级以及可控性等级，对所述危害事件进行风险评估，以获取所述危害事件的汽车安全完整性等级；

根据所述危害事件的汽车安全完整性等级，获取所述巡航控制系统的安全目标；

根据所述巡航控制系统的安全目标，获取所述巡航控制系统的功能安全需求。

2.根据权利要求1所述的方法，其特征在于，所述自动驾驶系统包括速度控制器，所述速度控制器用于根据本车的目标速度信息和前方车况信息，获取加速度数值或减速度数值；

所述车身电子稳定系统用于根据所述速度控制器发出的减速度数值，执行车辆减速操作；

所述加速控制系统用于根据所述速度控制器发出的加速度数值，执行车辆加速操作。

3.根据权利要求1所述的方法，其特征在于，所述根据所述相关项信息，获取所述巡航控制系统的危害事件，包括：

根据所述相关项信息，获取所述巡航控制功能在结构化道路上的危害事件。

4.根据权利要求1或3所述的方法，其特征在于，所述危害事件包括车辆发生非预期的纵向控制或纵向力丢失有碰撞风险。

5.根据权利要求4所述的方法，其特征在于，所述安全目标包括避免车辆发生制动力控制丢失不报警、避免车辆发生非预期的制动和避免车辆发生非预期的加速。

6.根据权利要求1所述的方法，其特征在于，所述功能安全需求，包括如下至少一项：

验证本车与目标车辆相对距离，以及前方车辆车速的正确性；

验证当前获得车辆车速的正确性；

获取制动系统的各个增值功能项对高级驾驶辅助系统功能执行产生的影响；

正确监控人机交互系统使能开关信号，以及驾驶员输入目标车速与跟车距离等级；

正确监控影响纵向控制安全状态的车身状态信号；

正确监控制动加速踏板值和转向扭矩输入信号；

保证电子控制单元能够正确发送状态信息到通讯网络；

正确监控车身电子稳定系统的开启状态信号；

正确监控自动驾驶控制功能的使能信号；

正确监控驾驶员接管信号；

监测电子控制单元的安全相关诊断特征和故障响应特征，以确保正常运行；

电子控制单元具有内部安全机制，以处理汽车行驶过程中的外部和内部故障；

保证计算的目标加速度值的正确性；

保证能够正确通过控制器局域网络传输加速度控制指令；

当驾驶员在危险情况下启动刹车或转向时，电子控制单元出于安全考虑停止控制并通知驾驶员；

验证目标纵向力控制值处于可靠性范围，防止额外的附加力影响巡航稳定性；

保证电子控制单元能够正确发送纵向控制指令；

电子控制单元的硬件安全指标达到汽车安全完整性等级的B级：其中，所述硬件安全指标包括随机硬件失效率、单点故障指标及潜在故障度；

监控电子控制单元安全相关特性和故障响应特性的逻辑，以及安全相关特性的正常运行，应满足其他非安全逻辑的要素共存的准则；

电子控制单元由能够满足汽车安全完整性等级要求的失效模式、影响和诊断分析的可靠装置组成；

电子控制单元进行初始化故障检查，微控制单元具有故障处理功能模块；

当检测到工作故障，在限定的时间内，系统发出警报，当驾驶员超时未接管，系统自动退出，安全滑行，以保证驾驶员的安全；

保证系统供电正常，且只有在安全驾驶状态下，电子控制单元才被允许模块断电。

7.一种巡航控制系统的功能安全需求获取装置，其特征在于，包括：

相关项信息获取模块，用于获取巡航控制系统的相关项信息；其中，所述相关项信息包括自动驾驶系统、车身电子稳定系统、加速控制系统、供电系统和人机交互系统，以及所述自动驾驶系统、所述车身电子稳定系统、所述加速控制系统、所述供电系统和所述人机交互系统之间的信息交互接口，所述加速控制系统包括发动机电子控制单元或整车控制器；

危害事件获取模块，用于根据所述相关项信息，获取所述巡航控制系统的危害事件；

安全等级获取模块，用于根据严重度等级、暴露概率等级以及可控性等级，对所述危害事件进行风险评估，以获取所述危害事件的汽车安全完整性等级；

安全目标获取模块，用于根据所述危害事件的汽车安全完整性等级，获取所述巡航控制系统的安全目标；

功能安全需求获取模块，用于根据所述巡航控制系统的安全目标，获取所述巡航控制系统的功能安全需求。

8.一种巡航控制系统，包括：自动驾驶系统、车身电子稳定系统、加速控制系统、供电系统和人机交互系统；

所述供电系统用于为所述自动驾驶系统、所述车身电子稳定系统、所述加速控制系统和所述人机交互系统供电；

所述人机交互系统用于与驾驶员进行信息交互；

所述自动驾驶系统用于获取自动驾驶决策；

所述车身电子稳定系统和所述加速控制系统，均用于根据所述自动驾驶系统发出的自动驾驶决策执行匹配的自动驾驶操作；

其中，所述巡航控制系统根据权利要求1-6任一项所述的巡航控制系统的功能安全需求获取方法开发完成。

9.一种电子设备，其特征在于，所述电子设备包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-6中任一所述的巡航控制系统的功能安全需求获取方法。

10.一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-6中任一所述的巡航控制系统的功能安全需求获取方法。

Images