CN115220421B - 一种自动驾驶系统在环的故障树分析和验证方法及设备 - Google Patents
一种自动驾驶系统在环的故障树分析和验证方法及设备 Download PDFInfo
- Publication number
- CN115220421B CN115220421B CN202210622418.0A CN202210622418A CN115220421B CN 115220421 B CN115220421 B CN 115220421B CN 202210622418 A CN202210622418 A CN 202210622418A CN 115220421 B CN115220421 B CN 115220421B
- Authority
- CN
- China
- Prior art keywords
- event
- fault tree
- layer
- fault
- bottom event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000004458 analytical method Methods 0.000 claims abstract description 64
- 238000012795 verification Methods 0.000 claims abstract description 38
- 230000007246 mechanism Effects 0.000 claims abstract description 22
- 230000003993 interaction Effects 0.000 claims abstract description 18
- 238000004891 communication Methods 0.000 claims description 58
- 230000006870 function Effects 0.000 claims description 43
- 230000009471 action Effects 0.000 claims description 42
- 230000015654 memory Effects 0.000 claims description 18
- 230000001960 triggered effect Effects 0.000 claims description 17
- 238000004088 simulation Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 10
- 230000010365 information processing Effects 0.000 claims description 3
- 230000002452 interceptive effect Effects 0.000 claims description 2
- 238000012360 testing method Methods 0.000 abstract description 9
- 239000004285 Potassium sulphite Substances 0.000 description 12
- 230000001133 acceleration Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 239000004294 calcium hydrogen sulphite Substances 0.000 description 4
- 230000005291 magnetic effect Effects 0.000 description 4
- 239000004306 orthophenyl phenol Substances 0.000 description 4
- 239000004297 potassium metabisulphite Substances 0.000 description 4
- 239000004307 sodium orthophenyl phenol Substances 0.000 description 4
- 230000004888 barrier function Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 239000004305 biphenyl Substances 0.000 description 2
- 239000004295 calcium sulphite Substances 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000004293 potassium hydrogen sulphite Substances 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 239000004308 thiabendazole Substances 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0243—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
- G05B23/0245—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
- G05B23/0248—Causal models, e.g. fault tree; digraphs; qualitative physics
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
Abstract
本发明的目的是提供一种自动驾驶系统在环的故障树分析和验证方法及设备,本发明能够基于定义的系统架构、信号交互和功能逻辑自动地完成故障树分析,保证故障树的完整性和正确性;另外,本发明将功能安全概念分析和测试验证工作结合在一起,能够及时有效地进行功能安全相关测试,验证安全需求的有效性,并建立需求与安全机制的良好追溯性。
Description
技术领域
本发明涉及一种自动驾驶系统在环的故障树分析和验证方法及设备。
背景技术
随着人工智能技术的快速发展,自动驾驶技术也进入了快车道,汽车行业纷纷开展自动驾驶技术的相关研究,然而相比于传统汽车技术,自动驾驶技术的落地难度较高,除了技术的瓶颈,自动驾驶的安全性及如何追责也是一个问题。自动驾驶的安全性除了主动安全与被动安全外,还应包括信息安全、功能安全和预期功能安全等方面。
功能安全主要关注由于汽车上电子电气故障所导致的危害,旨在通过安全机制来将危害的风险降低至可接受范围内。为了给汽车功能安全分析提供方向,ISO组织发布了ISO 26262标准,其是IEC 61508标准在汽车上的有效应用,包含概念分析、系统设计、硬件设计、软件设计、测试验证等内容。
其中,故障树分析(FTA: Fault Tree Analysis)是ISO 26262所推荐的一种概念分析方法论,也被称为事件树分析,是一种由上至下的演绎式失效分析方法,其利用布林逻辑组合低阶事件,一层层寻找与顶事件相关的原因事件,直至找到基本原因事件,并进一步提取相应的功能安全需求。
然而,故障树分析可能涉及复杂的系统架构和功能逻辑,树的结构比较复杂,现阶段故障树分析主要由工程师完成,工作量较大且容易绘制错误。
此外,现有概念分析和测试验证工作均为独立进行,二者之间缺少关联,导致需求无法及时被验证,且追溯性较差。
发明内容
本发明涉及一种自动驾驶系统在环的故障树分析和验证方法及设备。
本发明提供一种自动驾驶系统在环的故障树分析和验证方法,包括:确定自动驾驶系统所涉及的关联件及各个关联件的交互信号;
基于自动驾驶系统所涉及的关联件及各个关联件的交互信号,确定自动驾驶系统的各个功能的实现逻辑;
基于自动驾驶系统的各个功能的实现逻辑,进行HARA分析,以提取各个功能的安全目标及其对应的信号值或执行器动作;
将每个功能的安全目标作为故障树的顶事件,将每个功能的安全目标对应的信号值或执行器动作,作为该安全目标的底事件,依次生成信号值或执行器动作的各下一层底事件,其中,信号值或执行器动作的每下一层底事件,包括:通讯错误底事件和收到错误的输入信号底事件,所述通讯错误底事件无下一层底事件;除最后一层收到错误的输入信号底事件之外,每一层收到错误的输入信号底事件包括下一层底事件;
对每一层的底事件,提取功能安全需求;
基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,以仿真验证所述功能安全需求是否正确。
进一步的,上述自动驾驶系统在环的故障树分析和验证方法中,基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,以仿真验证所述功能安全需求是否正确,包括:
基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,判断是否会引发所述故障树的顶事件,
若引发顶事件,则将该条功能安全需求、对应的一层的通讯错误底事件和安全目标均标红。
进一步的,上述自动驾驶系统在环的故障树分析和验证方法中,判断是否会引发所述故障树的顶事件之后,还包括:
若未引发顶事件,则标记对应的一层的通讯错误底事件已被安全机制覆盖。
进一步的,上述自动驾驶系统在环的故障树分析和验证方法中,若未引发顶事件,则标记对应的一层的通讯错误底事件已被安全机制覆盖之后,还包括:
记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的ACC系统版本和仿真结果。
根据本发明的另一方面,还提供一种自动驾驶系统在环的故障树分析和验证设备,其中,该设备包括:
第一模块,用于确定自动驾驶系统所涉及的关联件及各个关联件的交互信号;
第二模块,用于基于自动驾驶系统所涉及的关联件及各个关联件的交互信号,确定自动驾驶系统的各个功能的实现逻辑;
第三模块,用于基于自动驾驶系统的各个功能的实现逻辑,进行HARA分析,以提取各个功能的安全目标及其对应的信号值或执行器动作;
第四模块,用于将每个功能的安全目标作为故障树的顶事件,将每个功能的安全目标对应的信号值或执行器动作,作为该安全目标的底事件,依次生成信号值或执行器动作的各下一层底事件,其中,信号值或执行器动作的每下一层底事件,包括:通讯错误底事件和收到错误的输入信号底事件,所述通讯错误底事件无下一层底事件;除最后一层收到错误的输入信号底事件之外,每一层收到错误的输入信号底事件包括下一层底事件;
第五模块,用于对每一层的底事件,提取功能安全需求;
第六模块,用于基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,以仿真验证所述功能安全需求是否正确。
进一步的,上述自动驾驶系统在环的故障树分析和验证设备中,所述第六模块,用于基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,判断是否会引发所述故障树的顶事件,
若引发顶事件,则将该条功能安全需求、对应的一层的通讯错误底事件和安全目标均标红。
进一步的,上述自动驾驶系统在环的故障树分析和验证设备中,所述第六模块,用于若未引发顶事件,则标记对应的一层的通讯错误底事件已被安全机制覆盖。
进一步的,上述自动驾驶系统在环的故障树分析和验证设备中,所述第六模块,用于若未引发顶事件,则标记对应的一层的通讯错误底事件已被安全机制覆盖之后,还包括:记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的ACC系统版本和仿真结果。
根据本发明的另一方面,还提供一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现上述任一项所述的方法。
根据本发明的另一方面,还提供一种用于在网络设备端信息处理的设备,该设备包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该设备执行上述任一项所述的方法。
附图说明
图1是本发明一实施例的自动驾驶系统在环的故障树分析和验证方法的原理图;
图2是本发明一实施例的自动驾驶系统在环的故障树分析和验证设备的原理图;
图3是本发明一实施例的系统架构和交互信号的示意图;
图4是本发明一实施例的ACC功能的功能逻辑的示意图;
图5是本发明一实施例的故障树的示意图;
图6是本发明一实施例的自动驾驶系统在环的故障树分析和验证设备的结构图。
具体实施方式
下面结合附图对本发明作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器 (CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器 (RAM) 和/或非易失性内存等形式,如只读存储器 (ROM) 或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、 磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体 (transitory media),如调制的数据信号和载波。
如图1~6所示,本发明提供一种自动驾驶系统在环的故障树分析和验证方法,包括:步骤S1~步骤S6。
步骤S1,确定自动驾驶系统所涉及的关联件及各个关联件的交互信号;
在此,可以定义自动驾驶系统的整体架构,需要明确涉及的关联件、各个关联件的交互信号等内容,用于后续自动化的故障树分析;
例如,定义ACC系统((AdaptiveCruiseControl,汽车自适应巡航控制))的系统架构和交互信号如图3所示。
步骤S2,基于自动驾驶系统所涉及的关联件及各个关联件的交互信号,确定自动驾驶系统的各个功能的实现逻辑;
在此,在系统架构的基础上,可以进一步定义清晰自动驾驶系统的包含的功能,并明确各个功能的实现逻辑,该部分的逻辑将直接影响故障树的结构;
例如,定义ACC功能的功能逻辑如图4所示。
步骤S3,基于自动驾驶系统的各个功能的实现逻辑,进行HARA分析,以提取各个功能的安全目标及其对应的信号值或执行器动作;
在此,可以进行HARA分析(Hazard Analysis and Risk Assessment, 危害分析及风险评估),提取各个功能的安全目标及其对应的信号值或执行器动作,该部分得到的安全目标,后续将作为故障树分析的顶事件,同时也作为仿真验证的评判标准;
例如,HARA分析得到的一个安全目标为:车辆应避免非预期加速(ASIL B),对应的执行器动作为:扭矩控制器输出非预期的扭矩。
步骤S4,将每个功能的安全目标作为故障树的顶事件,将每个功能的安全目标对应的信号值或执行器动作,作为该安全目标的底事件,依次生成信号值或执行器动作的各下一层底事件,其中,信号值或执行器动作的每下一层底事件,包括:通讯错误底事件和收到错误的输入信号底事件,所述通讯错误底事件无下一层底事件;除最后一层收到错误的输入信号底事件之外,每一层收到错误的输入信号底事件包括下一层底事件;
在此,可以依据安全目标和安全目标对应的信号值或执行器动作,自动化地完成针对所有安全目标的故障树分析,其中,每个事件的底事件均包含通讯错误、收到错误的输入信号两大类,而收到错误的信号可以包含全部涉及的有用信号以保证树的完整性,最后可以输出完整的故障树;
例如,可以自动化地进行故障树分析,得到针对车辆应避免非预期加速的安全目标的故障树如图3所示;
图3中,顶事件是车辆应避免非预期加速(安全目标)E224,车辆应避免非预期加速(安全目标)E224的底事件是扭矩控制器输出非预期扭矩(执行器动作)E225,扭矩控制器输出预期扭矩(执行器动作)E225下包含4层底事件,其中,扭矩控制器输出预期扭矩(执行器动作)E225的第一层底事件分别为:扭矩控制器故障(通讯错误底事件)E226和扭矩控制器收到非预期扭矩信号(收到错误的输入信号底事件)E227;扭矩控制器输出预期扭矩(执行器动作)E225的第二层底事件即扭矩控制器收到非预期扭矩信号(收到错误的输入信号底事件)E227的底事件分别为:扭矩控制器与ACC系统通讯故障(通讯错误底事件)E228和ACC系统请求非预期扭矩(收到错误的输入信号底事件)E229;扭矩控制器输出预期扭矩(执行器动作)E225的第三层底事件即ACC系统请求非预期扭矩(收到错误的输入信号底事件)E229的底事件分别为: ACC系统通讯故障(通讯错误底事件)E230和ACC系统收到错误障碍物信息(收到错误的输入信号底事件)E231;扭矩控制器输出预期扭矩(执行器动作)E225的第四层底事件即ACC系统收到错误障碍物信息(收到错误的输入信号底事件)E231的底事件分别为: ACC系统与摄像头/雷达通讯错误(通讯错误底事件)E232和摄像头/雷达内部故障(收到错误的输入信号底事件)E233。
步骤S5,对每一层的底事件,提取功能安全需求;
在此,所述功能安全需求即每一层的底事件对应的安全解决方案;
例如,可以对每一层的底事件提取功能安全需求,例如对底事件E232提取的一条功能安全需求为:ACC系统应对摄像头/雷达的障碍物信息/类型信号增加E2E保护,如RC和CRC校验等。
步骤S6,基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,以仿真验证所述功能安全需求是否正确。
在此,在提交所有的安全需求后,可以自动化重新进行仿真验证,以确保安全需求的正确性和完整性,最后可以输出错误的功能安全需求,以及安全需求错误的安全目标。
本发明建立了自动驾驶系统在环的故障树分析方法,能够基于定义的系统架构、信号交互和功能逻辑自动地完成故障树分析,保证故障树的完整性和正确性;另外,本发明将功能安全概念分析和测试验证工作结合在一起,能够及时有效地进行功能安全相关测试,验证安全需求的有效性,并建立需求与安全机制的良好追溯性。
本发明的自动驾驶系统在环的故障树分析和验证方法一实施例中,步骤S6,基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,以仿真验证所述功能安全需求是否正确,包括:
基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,判断是否会引发所述故障树的顶事件,
若引发顶事件,则将该条功能安全需求、对应的一层的通讯错误底事件和安全目标均标红。
例如,在分析验证系统中进行仿真验证,对于该条功能安全需求,系统对摄像头/雷达的障碍物信息/类型信号注入故障模式,导致CAN报文的RC和CRC值错误,看是否会引发顶事件。若引发顶事件,则该条功能安全需求、对应的一层的通讯错误底事件和安全目标均被标红。
本发明的自动驾驶系统在环的故障树分析和验证方法一实施例中,判断是否会引发所述故障树的顶事件之后,还包括:
若未引发顶事件,则标记对应的一层的通讯错误底事件已被安全机制覆盖。
在此,通过标记对应的一层的通讯错误底事件已被安全机制覆盖,可以准确的告知通讯错误底事件对应的功能安全需求是错误的。
本发明的自动驾驶系统在环的故障树分析和验证方法一实施例中,若未引发顶事件,则标记对应的一层的通讯错误底事件已被安全机制覆盖之后,还包括:
记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的ACC系统版本和仿真结果。
在此,若未引发顶事件,在标记已被安全机制覆盖已被安全机制覆盖之外,还可以记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的ACC系统版本、仿真结果等信息,以建立良好的追溯机制。
如图2所示,根据本发明的另一方面,还提供一种自动驾驶系统在环的故障树分析和验证设备,其中,该设备包括:
第一模块,用于确定自动驾驶系统所涉及的关联件及各个关联件的交互信号;
在此,可以定义自动驾驶系统的整体架构,需要明确涉及的关联件、各个关联件的交互信号等内容,用于后续自动化的故障树分析;
例如,定义ACC系统((AdaptiveCruiseControl,汽车自适应巡航控制))的系统架构和交互信号如图3所示;
第二模块,用于基于自动驾驶系统所涉及的关联件及各个关联件的交互信号,确定自动驾驶系统的各个功能的实现逻辑;
在此,在系统架构的基础上,可以进一步定义清晰自动驾驶系统的包含的功能,并明确各个功能的实现逻辑,该部分的逻辑将直接影响故障树的结构;
例如,定义ACC功能的功能逻辑如图4所示;
第三模块,用于基于自动驾驶系统的各个功能的实现逻辑,进行HARA分析,以提取各个功能的安全目标及其对应的信号值或执行器动作;
在此,可以进行HARA分析(Hazard Analysis and Risk Assessment, 危害分析及风险评估),提取各个功能的安全目标及其对应的信号值或执行器动作,该部分得到的安全目标,后续将作为故障树分析的顶事件,同时也作为仿真验证的评判标准;
例如,HARA分析得到的一个安全目标为:车辆应避免非预期加速(ASIL B),对应的执行器动作为:扭矩控制器输出非预期的扭矩;
第四模块,用于将每个功能的安全目标作为故障树的顶事件,将每个功能的安全目标对应的信号值或执行器动作,作为该安全目标的底事件,依次生成信号值或执行器动作的各下一层底事件,其中,信号值或执行器动作的每下一层底事件,包括:通讯错误底事件和收到错误的输入信号底事件,所述通讯错误底事件无下一层底事件;除最后一层收到错误的输入信号底事件之外,每一层收到错误的输入信号底事件包括下一层底事件;
在此,可以依据安全目标和安全目标对应的信号值或执行器动作,自动化地完成针对所有安全目标的故障树分析,其中,每个事件的底事件均包含通讯错误、收到错误的输入信号两大类,而收到错误的信号可以包含全部涉及的有用信号以保证树的完整性,最后可以输出完整的故障树;
例如,可以自动化地进行故障树分析,得到针对车辆应避免非预期加速的安全目标的故障树如图3所示;
图3中,顶事件是车辆应避免非预期加速(安全目标)E224,车辆应避免非预期加速(安全目标)E224的底事件是扭矩控制器输出非预期扭矩(执行器动作)E225,扭矩控制器输出预期扭矩(执行器动作)E225下包含4层底事件,其中,扭矩控制器输出预期扭矩(执行器动作)E225的第一层底事件分别为:扭矩控制器故障(通讯错误底事件)E226和扭矩控制器收到非预期扭矩信号(收到错误的输入信号底事件)E227;扭矩控制器输出预期扭矩(执行器动作)E225的第二层底事件即扭矩控制器收到非预期扭矩信号(收到错误的输入信号底事件)E227的底事件分别为:扭矩控制器与ACC系统通讯故障(通讯错误底事件)E228和ACC系统请求非预期扭矩(收到错误的输入信号底事件)E229;扭矩控制器输出预期扭矩(执行器动作)E225的第三层底事件即ACC系统请求非预期扭矩(收到错误的输入信号底事件)E229的底事件分别为: ACC系统通讯故障(通讯错误底事件)E230和ACC系统收到错误障碍物信息(收到错误的输入信号底事件)E231;扭矩控制器输出预期扭矩(执行器动作)E225的第四层底事件即ACC系统收到错误障碍物信息(收到错误的输入信号底事件)E231的底事件分别为: ACC系统与摄像头/雷达通讯错误(通讯错误底事件)E232和摄像头/雷达内部故障(收到错误的输入信号底事件)E233;
第五模块,用于对每一层的底事件,提取功能安全需求;
在此,所述功能安全需求即每一层的通讯错误底事件对应的安全解决方案;
例如,可以对每一层的底事件提取功能安全需求,例如对底事件E232提取的一条功能安全需求为:ACC系统应对摄像头/雷达的障碍物信息/类型信号增加E2E保护,如RC和CRC校验等;
第六模块,用于基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,以仿真验证所述功能安全需求是否正确。
在此,在提交所有的安全需求后,可以自动化重新进行仿真验证,以确保安全需求的正确性和完整性,最后可以输出错误的功能安全需求,以及安全需求错误的安全目标。
本发明建立了自动驾驶系统在环的故障树分析设备,能够基于定义的系统架构、信号交互和功能逻辑自动地完成故障树分析,保证故障树的完整性和正确性;另外,本发明将功能安全概念分析和测试验证工作结合在一起,能够及时有效地进行功能安全相关测试,验证安全需求的有效性,并建立需求与安全机制的良好追溯性。
进一步的,上述自动驾驶系统在环的故障树分析和验证设备中,所述第六模块,用于基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,判断是否会引发所述故障树的顶事件,
若引发顶事件,则将该条功能安全需求、对应的一层的通讯错误底事件和安全目标均标红。
例如,在分析验证系统中进行仿真验证,对于该条功能安全需求,系统对摄像头/雷达的障碍物信息/类型信号注入故障模式,导致CAN报文的RC和CRC值错误,看是否会引发顶事件。若引发顶事件,则该条功能安全需求、对应的一层的通讯错误底事件和安全目标均被标红。
进一步的,上述自动驾驶系统在环的故障树分析和验证设备中,所述第六模块,用于若未引发顶事件,则标记对应的一层的通讯错误底事件已被安全机制覆盖。
在此,通过标记对应的一层的通讯错误底事件已被安全机制覆盖,可以准确的告知通讯错误底事件对应的功能安全需求是错误的。
进一步的,上述自动驾驶系统在环的故障树分析和验证设备中,所述第六模块,用于若未引发顶事件,则标记对应的一层的通讯错误底事件已被安全机制覆盖之后,还包括:记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的ACC系统版本和仿真结果。
在此,若未引发顶事件,在标记已被安全机制覆盖已被安全机制覆盖之外,还可以记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的ACC系统版本、仿真结果等信息,以建立良好的追溯机制。图6是本发明一实施例的自动驾驶系统在环的故障树分析和验证设备的结构图。
根据本发明的另一方面,还提供一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现上述任一项所述的方法。
根据本发明的另一方面,还提供一种用于在网络设备端信息处理的设备,该设备包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该设备执行上述任一项所述的方法。
本发明各设备实施例的详细内容具体可参见各方法实施例的对应部分,在此,不再赘述。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
需要注意的是,本发明可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本发明的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本发明的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (10)
1.一种自动驾驶系统在环的故障树分析和验证方法,其中,该方法包括:
确定自动驾驶系统所涉及的关联件及各个关联件的交互信号;
基于自动驾驶系统所涉及的关联件及各个关联件的交互信号,确定自动驾驶系统的各个功能的实现逻辑;
基于自动驾驶系统的各个功能的实现逻辑,进行HARA分析,以提取各个功能的安全目标及其对应的信号值或执行器动作;
将每个功能的安全目标作为故障树的顶事件,将每个功能的安全目标对应的信号值或执行器动作,作为该安全目标的底事件,依次生成信号值或执行器动作的各下一层底事件,其中,信号值或执行器动作的每下一层底事件,包括:通讯错误底事件和收到错误的输入信号底事件,所述通讯错误底事件无下一层底事件;除最后一层收到错误的输入信号底事件之外,每一层收到错误的输入信号底事件包括下一层底事件;
对每一层的底事件,提取功能安全需求;
基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,以仿真验证所述功能安全需求是否正确。
2.根据权利要求1所述的自动驾驶系统在环的故障树分析和验证方法,其中,基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,以仿真验证所述功能安全需求是否正确,包括:
基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,判断是否会引发所述故障树的顶事件,
若引发顶事件,则将该条功能安全需求、对应的一层的通讯错误底事件和安全目标均标红。
3.根据权利要求2所述的自动驾驶系统在环的故障树分析和验证方法,其中,判断是否会引发所述故障树的顶事件之后,还包括:
若未引发顶事件,则标记对应的一层的通讯错误底事件已被安全机制覆盖。
4.根据权利要求3所述的自动驾驶系统在环的故障树分析和验证方法,其中,若未引发顶事件,则标记对应的一层的通讯错误底事件已被安全机制覆盖之后,还包括:
记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的ACC系统版本和仿真结果。
5.一种自动驾驶系统在环的故障树分析和验证设备,其中,该设备包括:
第一模块,用于确定自动驾驶系统所涉及的关联件及各个关联件的交互信号;
第二模块,用于基于自动驾驶系统所涉及的关联件及各个关联件的交互信号,确定自动驾驶系统的各个功能的实现逻辑;
第三模块,用于基于自动驾驶系统的各个功能的实现逻辑,进行HARA分析,以提取各个功能的安全目标及其对应的信号值或执行器动作;
第四模块,用于将每个功能的安全目标作为故障树的顶事件,将每个功能的安全目标对应的信号值或执行器动作,作为该安全目标的底事件,依次生成信号值或执行器动作的各下一层底事件,其中,信号值或执行器动作的每下一层底事件,包括:通讯错误底事件和收到错误的输入信号底事件,所述通讯错误底事件无下一层底事件;除最后一层收到错误的输入信号底事件之外,每一层收到错误的输入信号底事件包括下一层底事件;
第五模块,用于对每一层的底事件,提取功能安全需求;
第六模块,用于基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,以仿真验证所述功能安全需求是否正确。
6.根据权利要求5所述的自动驾驶系统在环的故障树分析和验证设备,其中,所述第六模块,用于基于所述功能安全需求确定对应的故障模式,将所述故障模式注入所述故障树,判断是否会引发所述故障树的顶事件,
若引发顶事件,则将该条功能安全需求、对应的一层的通讯错误底事件和安全目标均标红。
7.根据权利要求6所述的自动驾驶系统在环的故障树分析和验证设备,其中,所述第六模块,用于若未引发顶事件,则标记对应的一层的通讯错误底事件已被安全机制覆盖。
8.根据权利要求7所述的自动驾驶系统在环的故障树分析和验证设备,其中,所述第六模块,用于若未引发顶事件,则标记对应的一层的通讯错误底事件已被安全机制覆盖之后,还包括:记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的ACC系统版本和仿真结果。
9.一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现权利要求1至4中任一项所述的方法。
10.一种用于在网络设备端信息处理的设备,该设备包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该设备执行权利要求1至4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210622418.0A CN115220421B (zh) | 2022-06-02 | 2022-06-02 | 一种自动驾驶系统在环的故障树分析和验证方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210622418.0A CN115220421B (zh) | 2022-06-02 | 2022-06-02 | 一种自动驾驶系统在环的故障树分析和验证方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115220421A CN115220421A (zh) | 2022-10-21 |
CN115220421B true CN115220421B (zh) | 2024-05-14 |
Family
ID=83607962
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210622418.0A Active CN115220421B (zh) | 2022-06-02 | 2022-06-02 | 一种自动驾驶系统在环的故障树分析和验证方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115220421B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1553328A (zh) * | 2003-06-08 | 2004-12-08 | 华为技术有限公司 | 基于故障树分析的系统故障定位方法及装置 |
WO2017187997A1 (ja) * | 2016-04-28 | 2017-11-02 | 日立オートモティブシステムズ株式会社 | 車両制御システム検証装置、車両制御システム、及び車両制御システム検証方法 |
CN108470193A (zh) * | 2018-03-27 | 2018-08-31 | 国网河北省电力有限公司电力科学研究院 | 电能表故障诊断方法、系统及终端设备 |
CN109885870A (zh) * | 2019-01-09 | 2019-06-14 | 同济大学 | 一种用于自动驾驶汽车预期功能安全的验证方法及系统 |
CN113415283A (zh) * | 2021-06-30 | 2021-09-21 | 东南大学 | 一种面向有条件自动驾驶的道路行驶风险评估方法 |
-
2022
- 2022-06-02 CN CN202210622418.0A patent/CN115220421B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1553328A (zh) * | 2003-06-08 | 2004-12-08 | 华为技术有限公司 | 基于故障树分析的系统故障定位方法及装置 |
WO2017187997A1 (ja) * | 2016-04-28 | 2017-11-02 | 日立オートモティブシステムズ株式会社 | 車両制御システム検証装置、車両制御システム、及び車両制御システム検証方法 |
CN108470193A (zh) * | 2018-03-27 | 2018-08-31 | 国网河北省电力有限公司电力科学研究院 | 电能表故障诊断方法、系统及终端设备 |
CN109885870A (zh) * | 2019-01-09 | 2019-06-14 | 同济大学 | 一种用于自动驾驶汽车预期功能安全的验证方法及系统 |
CN113415283A (zh) * | 2021-06-30 | 2021-09-21 | 东南大学 | 一种面向有条件自动驾驶的道路行驶风险评估方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115220421A (zh) | 2022-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20190305959A1 (en) | Announcement smart contracts to announce software release | |
US20190303541A1 (en) | Auditing smart contracts configured to manage and document software audits | |
Klück et al. | Using ontologies for test suites generation for automated and autonomous driving functions | |
US20210049715A1 (en) | Blockchain-based data procesing method, apparatus, and electronic device | |
US7996818B1 (en) | Method for testing using client specified references | |
US20150096033A1 (en) | Security Testing Using Semantic Modeling | |
CN111767226B (zh) | 一种云计算平台资源的测试方法、系统及设备 | |
CN111782551B (zh) | 针对区块链项目的测试方法、装置及计算机设备 | |
CN115220421B (zh) | 一种自动驾驶系统在环的故障树分析和验证方法及设备 | |
Felbinger et al. | Comparing two systematic approaches for testing automated driving functions | |
WO2022223434A1 (en) | System and method for verifying behavior of the autonomous vehicles | |
CN106933696A (zh) | Ecc功能验证方法 | |
Li | Safe and secure model-driven design for embedded systems | |
CN111488788A (zh) | 用于利用测试图案来检验cnn参数的完整性的方法及装置 | |
Ellison et al. | Extending AADL for security design assurance of cyber-physical systems | |
Li et al. | Complying with ISO 26262 and ISO/SAE 21434: A Safety and Security Co-Analysis Method for Intelligent Connected Vehicle | |
Kustov et al. | Three sources of blockchain technology vulnerabilities-how to deal with them? | |
Böhme et al. | Designing Proof Formats: A User's Perspective---Experience Report | |
El Mostadi et al. | Seven technical issues that may ruin your virtual tests for ADAS | |
CN111884808B (zh) | 一种防止交易跨链重放的方法、装置及电子设备 | |
CN113672514A (zh) | 测试方法、装置、服务器及存储介质 | |
CN112131582A (zh) | SELinux规则生成方法、装置和电子设备 | |
CN112435029A (zh) | 一种基于区块链的业务处理方法、装置和电子设备 | |
CN115495388B (zh) | 用于ai推理芯片的芯片验证方法、装置、设备及介质 | |
König et al. | Towards Safe Autonomous Driving: Model Checking a Behavior Planner during Development |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |