CN116186884A - 一种智能网联汽车功能安全与预期功能安全联动验证方法 - Google Patents

一种智能网联汽车功能安全与预期功能安全联动验证方法 Download PDF

Info

Publication number
CN116186884A
CN116186884A CN202211682088.0A CN202211682088A CN116186884A CN 116186884 A CN116186884 A CN 116186884A CN 202211682088 A CN202211682088 A CN 202211682088A CN 116186884 A CN116186884 A CN 116186884A
Authority
CN
China
Prior art keywords
vehicle
safety
control
function
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211682088.0A
Other languages
English (en)
Inventor
孙伊凡
郝志强
刘冬
成文冬
刘虹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Yishi Intelligent Technology Co ltd
East China Normal University
China Industrial Control Systems Cyber Emergency Response Team
Original Assignee
Shanghai Yishi Intelligent Technology Co ltd
East China Normal University
China Industrial Control Systems Cyber Emergency Response Team
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Yishi Intelligent Technology Co ltd, East China Normal University, China Industrial Control Systems Cyber Emergency Response Team filed Critical Shanghai Yishi Intelligent Technology Co ltd
Priority to CN202211682088.0A priority Critical patent/CN116186884A/zh
Publication of CN116186884A publication Critical patent/CN116186884A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/10Geometric CAD
    • G06F30/15Vehicle, aircraft or watercraft design
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/20Design optimisation, verification or simulation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2119/00Details relating to the type or aim of the analysis or the optimisation
    • G06F2119/02Reliability analysis or reliability optimisation; Failure analysis, e.g. worst case scenario performance, failure mode and effects analysis [FMEA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Geometry (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Traffic Control Systems (AREA)

Abstract

本发明公开了一种智能网联汽车功能安全与预期功能安全联动验证方法,包括:提取智能网联汽车控制功能项集合,筛选得到驾驶任务相关的车身控制功能项集合F,确认潜在异常模式集合S;筛选出功能项异常行为,归纳整车级危害与事故;确认F中每个元素的完整性等级和安全目标;提取智能网联汽车控制层级的车身核心控制行为,清理得到与当前驾驶相关的控制行为集合E,确认潜在的错误模式集合K;筛选不安全控制行为,归纳整车级危害和安全约束;对不安全控制行为进行致因分析;以整车级别危害为锚点,联动功能项异常与不安全控制行为,进行联动验证。本发明结合功能安全与预期功能安全,提供了后者映射至前者的评估方法,为安全策略设计提供依据。

Description

一种智能网联汽车功能安全与预期功能安全联动验证方法
技术领域
本发明属于汽车安全技术领域,尤其涉及一种智能网联汽车功能安全与预期功能安全联动验证方法。
背景技术
随着自动驾驶技术和智能网联汽车的发展,如何保障车辆的安全始终是重中之重。复杂路面情况、多变的交通环境,针对车辆电子电器架构的功能项的功能安全逐渐无法满足需求,关注设计本身缺陷与功能局限性的预期功能安全研究应运而生。预期功能安全分析、评估与需求输出成为车辆安全重要研究方向之一。
发明内容
为了解决现有技术存在的不足,本发明的目的是提出了一种智能网联汽车功能安全与预期功能安全联动验证方法。相较预期功能安全,车辆的功能安全发展更为成熟,将车辆预期功能安全研究定义下的不安全行为映射至功能安全定义下的功能项失效,能够联动提高安全评估可用性,降低安全验证难度。
所述安全评估可用性是指评估结果的有效程度与完整程度,反应安全评估过程的可利用价值。
智能网联汽车依赖车辆电子电气架构定义下的功能项执行驾驶任务,而部分与车身控制无关的功能项不造成影响,需要根据是否与车身控制有关筛选功能项。不同功能项的错误模式会导致不同程度的整车级危害,因此需要过滤驾驶场景下的异常行为。接着,分析功能项的完整性等级与对应安全目标。针对选定的功能项,筛选并评估其不安全控制行为造成的整车危害、安全约束,分析其预期功能安全定义下的安全归因。以整车危害为锚点,得到联动验证方法模型。
本发明结合功能安全与预期功能安全,提供了后者映射至前者的评估方法,为安全策略设计提供依据。
本发明通过采取以下技术方案实现智能网联汽车预期功能安全与功能安全联动验证方法:
步骤1:提取智能网联汽车电子电气架构下控制功能项集合,清理得到与当前驾驶任务相关的车身控制功能项集合F,确认功能项的潜在异常模式集合S;
所述清理是指对智能网联汽车电子电气架构下的所有控制功能项进行筛选,剔除与当前驾驶任务无关的功能项;所述异常模式集合S内包含6个元素,分别为S1、S2、S3、S4、S5、S6;其中S1表示提供的功能项大于执行驾驶任务所需值、S2表示提供的功能项小于执行驾驶任务所需值、S3表示提供的功能项早于所需时间点、S4表示提供的功能项晚于所需时间点、S5表示未能提供所需功能、S6表示提供了不需要的功能;
步骤2:筛选出车辆功能项异常行为,归纳对应整车级危害与事故,具体步骤如下:
步骤2.1:对与当前驾驶任务相关的车身控制功能项集合F与潜在异常模式集合S作笛卡尔乘积,得到潜在异常行为功能集U:U=F×S={(Fi,Sj)|i∈[1,|F|],j∈[1,6],其中F为与当前驾驶任务相关的车身控制功能项集合,S为潜在异常模式集合,|F|代表集合F的元素个数;所述潜在异常行为功能集U是指存在有潜在异常的功能集合,该功能集中的集合元素可能会使当前驾驶任务中的车身控制产生异常;
步骤2.2:判断在驾驶场景P中异常行为功能集U中的元素是否会造成整车级别危害,判断标准为异常行为引发的车辆行为是否属于整车级危害,例如该场景下车辆主动刹车功能项失效造成车辆无法减速刹车,而主动刹车系统提供了不需要的功能使得车辆在不需要的时刻刹停、但没有实际危害,将会造成整车级别危害的异常行为归入集合R;集合R中包含的异常行为例如主动刹车功能项失效、转向系统提供了不需要的功能、动力系统提供了大于预期的功能;本步骤中所述整车级别危害指,当车辆功能项异常行为引发乘客或其他人类交通参与者受到了物理伤害,或是与交通参与者或是静态设施发生碰撞、造成物理损伤;将出现上述情况的情形视为存在整车级危害;
步骤2.3:R中第i个元素Ri造成的对应整车级危害记为Mk,结合当前驾驶场景P中静态快照和其他动态交通参与者情况,确认该危害后续引发的对应事故,单个异常行为组合可能对应多个不同的事故,将事故加入事故集合H;
本步骤所述静态快照是指车辆周围地理空间中的静态元素,包含道路位置、路面情况、障碍物和天气条件;
步骤3:确认与当前驾驶任务相关的车身控制功能项集合F中每个元素的完整性等级和安全目标,具体步骤如下:
步骤3.1:根据驾驶场景P中的静态快照、其他交通参与者与车辆物理状态的分布情况,根据步骤执行者的领域知识与现有数据库判断驾驶场景的发生可能性,本步骤使用频次作为衡量维度,即不安全行为在进入驾驶场景前或进入时已出现的可能性,发生可能性从可忽略至高可能性分为5个等级(E0可忽略、E1较低、E2低、E3中、E4高),即E0为几乎不可能发生,E4为发生的可能性较高;
步骤3.2:在驾驶场景P中,判断对于车内驾驶员而言,各整车级别危害Mj可控制程度,由完全可控至无法控制分为4个等级(C0所有驾驶员均可控、C199%的驾驶员能够接管处理,C290%的驾驶员能够接管处理,C3无法控制),等级越高,可控性越差;本步骤中认为驾驶员神志清醒且具有相应的驾驶能力,配备当地效期内的驾驶执照,能够接管自动驾驶车辆;本步骤中判别驾驶员是否具备接管处理能力,能够接管处理的比例由步骤执行者的领域知识与当地事故数据结合确定;
步骤3.3:判断事故集合H中各事故的严重程度,判断依据为事故对车内乘客与车外人类交通参与者的物理伤害程度,结合执行本步骤人员的领域知识、自车速度与事故场景,由无伤至致命分为四个等级(S0无伤、S1轻伤、S2重伤但不危及生命、S3致命伤),级别越高,伤害越严重;
本步骤中的物理伤害判断依据依从简明创伤分级AIS分级标准,其中AIS 1分对应无伤,AIS 2分与AIS 3分对应轻伤,AIS 4分对应重伤但不危及生命,AIS 5分与AIS 6分对应致命伤;
步骤3.4:根据上述三个指标(驾驶场景发生可能性、整车级别危害Mj可控制程度、事故对乘客与车外人类交通参与者的物理伤害程度),得到驾驶场景P下,第t个功能项异常Rt的安全完整性等级,并据此提出安全目标;所述安全目标指针对车辆功能项的安全要求,用于避免整车级危害,有别于技术解决方案,安全目标表述形式为功能目的;所述安全完整性等级评判标准如表1所示,遵循标准ISO 26262中的固定执行,其中QM代表质量检测、即无需提出特定安全目标,A、B、C、D依次安全完整性等级要求依次升高;对于伤害严重程度为S0或场景发生可能性为E0或可控制程度为C0的情况,由于不会造成事故或出现可能性可忽略,所以不需要出现在表1中;
表1安全完整性等级判别
Figure BDA0004016959100000031
步骤3.5:对能够造成整车级危害的功能项异常行为集合R内所有元素执行步骤3.1至3.4,即可得到与当前驾驶任务相关的车身控制功能项集合F中每个元素的安全目标。
步骤4:提取智能网联汽车控制层级的车身核心控制行为,清理得到与当前驾驶相关的控制行为集合E,确认错误模式集合K;
所述清理是指对智能网联汽车控制层级下的所有控制行为进行筛选,剔除不影响驾驶任务的行为;所述错误模式集合K包含6个元素,分别为K1、K2、K3、K4、K5、K6;其中K1表示提供了不需要的控制行为、K2表示未提供需要的控制行为、K3表示提供的控制行为早于所需时间点、K4表示提供的控制行为晚于所需时间点、K5表示提供的控制行为不满足预期所需、K6表示提供的控制行为大于预期所需;
步骤5:筛选影响驾驶任务的不安全控制行为,归纳整车级危害和安全约束,具体步骤如下:
步骤5.1:对与当前驾驶相关的控制行为集合E和错误模式集合K做笛卡尔乘积,得到潜在异常控制行为集合V:V=E×K={(Ei,Kj)|i∈[1,|E|],j∈[1,6]},其中E代表与当前驾驶任务相关的控制行为集合,K代表控制行为的错误模式集合,|E|代表集合E中元素个数;所述潜在异常控制行为集合V是指存在有潜在异常的控制行为的集合,该集合中的元素可能会使当前驾驶任务中的车身控制产生异常;
步骤5.2:判断在驾驶场景P中第i个异常控制行为Vi是否会造成整车级危害,如果会造成危害将该异常控制行为Vi归入集合W,W中第j个元素Wj对应的整车级别危害Mk;集合W中包含的异常行为例如输出过大期望速度,不输出期望速度,未提供所需横向车身控制;不同的异常控制行为可能会对应同一个整车级别危害;
判断是否存在整车级危害的标准与步骤2.2中一致;即将车辆不安全控制行为引发乘客或其他人类交通参与者受到了物理伤害,或是与交通参与者或是静态设施发生碰撞、造成物理损伤的情况视为存在整车级危害;
步骤5.3:根据当前执行的驾驶任务,当地交通法规,得到集合W中每个不安全控制行为违背的安全约束,安全约束集合记为CO;
本步骤所述安全约束指车辆安全执行当前驾驶任务时需要遵循的条件与规定;
步骤5.4:对不安全控制行为集合W中的每个元素执行步骤5.2至5.3,即可得到所有不安全控制行为造成的整车级危害与其违背的安全约束。
步骤6:对不安全控制行为进行非功能项异常相关的致因分析,具体步骤如下:
步骤6.1:以决策为时间点,将造成不安全控制行为的潜在原因分为三类,分别为CT 1(决策前未获得准确必要的环境数据)、CT 2(决策前未获得车辆自身信息)、CT 3(决策系统本身存在问题);
步骤6.2:从感知不力、硬件局限、传输失效、设计缺陷的角度,细化各个原因类别,评估造成不安全控制行为的具体预期功能原因类别;
本步骤所述感知不力包括感知层因外部环境因素无法准确获取必要的环境数据,硬件局限指车辆搭载的传感器自身存在盲区,传输失效指车辆感知系统、决策系统与执行系统之间或之中数据传输出现阻碍(如车辆传输总线出现故障),设计缺陷指系统的算法设计存在缺陷或内部参数设计不合理;
本步骤细化完成的原因类别为决策前因感知不力未能获得真实有效的环境数据,决策前因硬件局限未能获得真实有效的车辆自身信息,决策前因传输失效未能获得准确环境数据,决策前因传输失效决策系统未获得准确的车辆自身信息,决策结果因传输失效未能顺利传递至车辆执行系统,决策系统算法设计存在缺陷做出错误决策,决策系统内部参数设计不合理做出错误决策;
步骤6.3:对于不安全控制行为集合W中的元素,结合控制行为、对应的安全约束,确认造成不安全控制行为的原因类别;结合驾驶场景P物理特性与当前驾驶任务,确认造成该不安全控制行为的特定原因。
步骤7:以整车级别危害为锚点,联动功能项异常与不安全控制行为,进行联动验证,具体步骤如下:
步骤7.1:将功能项异常集合R内的元素与不安全控制行为集合W内的元素进行匹配。若特定功能项异常Rm引发的整车安全危害Mi与特定不安全控制行为Wn的整车安全危害Mj相同(i=j),即形成预期功能安全定义下的不安全控制行为Rm至车辆功能项异常Wn的一一映射;
若未能形成映射,说明当前功能项与控制行为提取下无法匹配不安全控制行为Rm与功能项异常Wn,不执行后续步骤;
步骤7.2:根据功能项异常Rm对应的事故严重程度、安全目标,结合步骤7.1中的映射结果,对应得到不安全控制行为Wn的事故严重程度与安全目标。根据步骤3.4中的完整性等级高低,对应得到不安全控制行为Wn的安全约束优先级。
至此,智能网联汽车预期功能安全的与功能安全联动验证方法执行完成。
本发明还提供了一种上述联动验证方法在评估预期功能安全定义下不安全控制行为的严重程度,提供事故层级参考,形成安全约束优先级中的应用。
本发明的有益效果包括:
本发明实现的联动验证方法适用于智能网联汽车系统设计阶段的需求分析阶段,用于评估预期功能安全定义下不安全控制行为的严重程度,提供事故层级参考,形成安全约束优先级;
相较传统仅考虑功能安全的HARA分析结果,本发明从控制行为的角度拓展了造成整车级危害的原因,从单一的车辆功能项安全拓展至非功能项异常危害,符合预期功能安全要求;相较STPA分析方法,本发明结合安全完整性等级,评估不安全控制行为的危害等级,契合需求分析阶段依循优先级进行安全策略设计的模式;
本方法通过整车级危害,综合已有安全评估方法优点,构建现有预期功能安全和功能安全联动,弥补现有分析方法的空缺。
附图说明
图1是本发明智能网联汽车功能安全与预期功能安全联动验证方法的流程示意图。
具体实施方式
结合以下具体实施例和附图,对发明作进一步的详细说明。实施本发明的过程、条件、实验方法等,除以下专门提及的内容之外,均为本领域的普遍知识和公知常识,本发明没有特别限制内容。
实例1:智能网联汽车在城市公路跟车行驶的功能安全与预期功能安全联动分析
本实例针对晴朗白天,能见度高、地面平整无积水且无风或微风,不存在眩光的情况下,智能网联汽车在平直的城市单行道上以限定车速跟随前车行驶的场景,场景的主要驾驶任务为跟随前车行驶,保持安全车距。
筛选车辆电子电气架构下的功能项得到与驾驶任务相关的功能项集合F(F1表示主动刹车系统;F2表示车道保持系统;F3表示动力系统),确认功能项潜在异常模式S(S1表示功能项大于执行驾驶任务所需值、S2表示功能项小于执行驾驶任务所需值、S3表示功能项早于所需时间点、S4表示功能项晚于所需时间点、S5表示未能提供所需功能、S6表示提供了不需要的功能);
对功能项集合F与潜在异常模式集合S作笛卡尔乘积,得到潜在异常功能集U:U=F×S={(Fi,Sj)|i∈[1,3],j∈[1,6],根据是否会造成整车级别危害分析潜在异常功能集,整车级别危害集合记为M,危害造成的事故集合记为H,结果如表2;
表2跟车行驶的功能项异常、整车级危害与事故描述
Figure BDA0004016959100000061
Figure BDA0004016959100000071
智能网联汽车在平直公路上跟车行驶的场景普遍多见,因此发生可能性判定为E4,根据车辆速度与驾驶场景,对整车级危害与造成事故进行分析,分析结果与理由如表3与表4所示:
表3跟车行驶的可控程度分析
整车级危害 可控程度 原因
M1主动刹车速度过慢 C2 大部分驾驶员能够迅速人为施加刹车力度
M2车辆刹车距离不足 C2 大部分驾驶员能够人为施加刹车力度
M3主动刹车功能失效 C3 大部分驾驶员无法处理刹车失灵的情况
M4发生横向偏航 C2 大部分驾驶员能够人为施加方向控制
M5车辆无法调整航道 C3 大部分驾驶员无法处理横向失控问题
M6车速过高 C2 大部分驾驶员可以作出人为减速反应
表4跟车行驶的事故严重程度分析
Figure BDA0004016959100000072
综合三个指标,得到功能项异常的ASIL等级,结果如表5:
表5跟车行驶功能项异常ASIL等级
Figure BDA0004016959100000073
Figure BDA0004016959100000081
根据ASIL等级,提出该场景下各功能项的安全目标:避免主动刹车系统不提供预期服务,优先级高;避免主动刹车系统少提供或晚提供预期功能,优先级较高;避免车道保持系统提供不需要的功能、少提供或早提供不需要的功能,优先级极高;避免动力系统多提供或提供了不需要的功能,优先级较高。
筛选该场景下智能网联汽车的核心控制行为E(E1输出预期速度,E2控制车身横向位移),确认功能项潜在异常模式K(K1表示提供了不需要的控制行为、K2表示未提供需要的控制行为、K3表示提供的控制行为早于所需时间点、K4表示提供的控制行为晚于所需时间点、K5表示提供的控制行为不满足预期所需、K6表示提供的控制行为大于预期所需),对E与K作笛卡尔乘积得到潜在异常控制行为集V={Ei×Kj|i∈[1,2],j∈[1,6],根据是否会造成整车级别危害分析潜在异常行为集合,分析其违背的安全规约,结果如表6;
表6跟车行驶的异常行为、整车级危害与安全规约
Figure BDA0004016959100000082
对上述不安全控制行为进行分类别的致因分析,分析结果表7:
表7跟车行驶的不安全控制行为致因分析
Figure BDA0004016959100000083
Figure BDA0004016959100000091
基于上述分析结果,通过整车级危害联动该场景下功能安全与预期功能安全,联动结果的形式化体现如表8:
表8跟车行驶的功能安全与预期功能安全分析联动
功能项异常 不安全控制行为 整车级危害
(F1,S2) (E1,K3) M1刹车速度过慢
(F1,S4) (E1,K4) M2车辆刹车距离不足
(F1,S5) (E1,K1) M3无法减速刹车
(F2,S1/S3) (E2,K2/K4/K5) M4发生横向偏航
(F2,S6) (E2,K1/K3/K6) M5车辆无法调整航道
(F3,S1/S6) (E1,K5) M6车速高于预期
根据表8的安全分析联动结果,查询表5中的ASIL等级与表6中的安全约束,即可按照等级高低对应得出安全约束的优先级;查询表2,得到预期功能安全定义下不安全控制行为所造成的事故与造成的危害。以(F1,S2)、(E1,K3)为例说明:智能网联汽车在城市公路跟车行驶的过程中,其主动刹车系统提供了少于预期所需要的功能,此功能项的异常与过早提供预期速度的异常控制行为等效,均会造成车辆刹车速度过慢的整车级危害,可能引发与前车碰撞的事故;(F1,S2)对应的ASIL等级为A,可知(E1,K3)对应的安全约束CO2优先级高。
实例2:智能网联汽车在城市十字路口右转的功能安全与预期功能安全联动分析
本实例针对城市含交通灯十字路口(不含人行横道),车辆跟随交通灯提示右转汇入车道,能见度高、地面平整无积水且无风或微风,不存在眩光的情况,主要驾驶任务为与保持与前方车辆的安全距离,保持在右转车道并安全汇入车流。
筛选车辆电子电气架构下的功能项得到与驾驶任务相关的功能项集合F(F1表示主动刹车系统;F2表示电子转向系统;F3表示动力系统),确认功能项潜在异常模式S(S1表示功能项大于执行驾驶任务所需值、S2表示功能项小于执行驾驶任务所需值、S3表示功能项早于所需时间点、S4表示功能项晚于所需时间点、S5表示功能项未能提供所需功能、S6表示功能项提供了不需要的功能);
对功能项集合F与潜在异常模式集合S作笛卡尔乘积,得到潜在异常功能集U:U=F×S={(Fi,Sj)|i∈[1,3],j∈[1,6],根据是否会造成整车级别危害分析潜在异常功能集,整车级别危害集合记为M,危害造成的事故集合记为H,结果如表9;
表9路口右转的功能项异常、整车级危害和事故描述
功能项异常 整车级危害 事故描述
(F1,S2) M1减速过慢 H1与前车发生碰撞
(F1,S4) M2减速距离不足 H1与前车发生碰撞
(F1,S5) M3无法减速刹车 H1与前车发生碰撞
(F2,S1/S4) M4以过大角度右转 H2与相向车辆剐蹭碰撞
(F2,S2/S3) M5以过小角度右转 H3路边障碍物碰撞
(F2,S6) M6逆向行驶 H2与相向车辆剐蹭碰撞
(F3,S1/S6) M7超速过弯道 H4与待汇入车道车辆追尾
智能网联汽车在城市道路路口右转的场景普遍多见,因此发生可能性判定为E4,根据车辆速度与驾驶场景,对整车级危害与造成事故进行分析,分析结果与理由如表10与表11所示:
表10路口右转的可控程度分析
Figure BDA0004016959100000101
Figure BDA0004016959100000111
表11路口右转的事故严重程度分析
Figure BDA0004016959100000112
综合三个指标,得到功能项异常的ASIL等级,结果如表12:
表12跟车行驶的功能项异常ASIL等级
功能项异常 ASIL
(F1,S2) A
(F1,S4) A
(F1,S5) B
(F2,S1/S4) B
(F2,S2/S3) A
(F2,S6) C
(F3,S1/S6) A
根据ASIL等级,提出该场景下各功能项的安全目标:避免主动刹车系统不提供预期功能,优先级高;避免主动刹车系统少提供或晚提供预期功能,优先级较高;电子转向仅在恰当时间提供所需要服务,优先级高;避免电子转向系统提供不需要的服务,优先级极高;动力系统不应提供不需要的或过多提供预期服务,优先级较高。
筛选该场景下智能网联汽车的核心控制行为E(E1输出预期速度,E2控制车身横向位移),确认功能项潜在异常模式K,对E与K作笛卡尔乘积得到潜在异常控制行为集V={Ei×Kj|i∈[1,2],j∈[1,6],根据是否会造成整车级别危害分析潜在异常行为集合,分析其违背的安全规约,结果如表13;
表13路口右转的异常行为、整车级危害与安全规约
Figure BDA0004016959100000113
Figure BDA0004016959100000121
对上述不安全控制行为进行致因分析,分析结果如表14:
表14路口右转的不安全控制行为致因分析
Figure BDA0004016959100000122
基于上述分析结果,通过整车级危害联动该场景下功能安全与预期功能安全,联动结果的形式化体现如表15:
表15跟车行驶的功能安全与预期功能安全分析联动
Figure BDA0004016959100000123
Figure BDA0004016959100000131
根据表15的安全分析联动结果,查询表12中的ASIL等级与表6中的安全约束,即可按照等级高低对应得出安全约束的优先级;查询表9,得到预期功能安全定义下不安全控制行为所造成的事故与造成的危害。以(F2,S6)、(E2,K1)为例说明:智能网联汽车在城市十字路口右转场景下,车辆电子转向系统出现异常,提供了不需要的功能,其造成的整车级危害与车辆提供了不需要的横向控制行为等效,均会造成车辆向反方向逆行,可能引发与相向车辆碰撞的事故;(F2,S6)的ASIL等级为C,可知(E2,K1)对应的安全约束优先级别极高。
本发明的保护内容不局限于以上实施例。在不背离发明构思的精神和范围下,本领域技术人员能够想到的变化和优点都被包括在本发明中,并且以所附的权利要求书为保护范围。

Claims (10)

1.一种智能网联汽车功能安全与预期功能安全联动验证方法,其特征在于,包括以下步骤:
步骤1:提取智能网联汽车电子电气架构下控制功能项集合,清理得到与当前驾驶任务相关的车身控制功能项集合F,确认功能项的潜在异常模式集合S;
步骤2:筛选出车辆功能项异常行为,归纳对应整车级危害与事故;
步骤3:确认与当前驾驶任务相关的车身控制功能项集合F中每个元素的完整性等级与安全目标;
步骤4:提取智能网联汽车控制层级的车身核心控制行为,清理得到与当前驾驶相关的控制行为集合E,确认潜在的错误模式集合K;
步骤5:筛选影响驾驶任务的不安全控制行为,归纳整车级危害和安全约束;
步骤6:对不安全控制行为进行非功能项异常相关的致因分析;
步骤7:以整车级别危害为锚点,联动功能项异常与不安全控制行为,进行联动验证。
2.如权利要求1所述的智能网联汽车功能安全与预期功能安全联动验证方法,其特征在于,步骤1中,所述清理是指对智能网联汽车电子电气架构下的所有控制功能项进行筛选,剔除与当前驾驶任务无关的功能项;所述异常模式集合S内包含6个元素,分别为S1、S2、S3、S4、S5、S6;其中S1表示提供的功能项大于执行驾驶任务所需值、S2表示提供的功能项小于执行驾驶任务所需值、S3表示提供的功能项早于所需时间点、S4表示提供的功能项晚于所需时间点、S5表示未能提供所需功能、S6表示提供了不需要的功能。
3.根据权利要求1所述的智能网联汽车功能安全与预期功能安全联动验证方法,其特征在于,步骤2进一步包括:
步骤2.1:对与当前驾驶任务相关的车身控制功能项集合F与潜在异常模式集合S作笛卡尔乘积,得到潜在异常行为功能集U:U=F×S={(Fi,Sj)|i∈[1,|F|],j∈[1,6],其中F为与当前驾驶任务相关的车身控制功能项集合,S为潜在异常模式集合,|F|代表集合f的元素个数;
步骤2.2:判断在驾驶场景P中异常行为功能集U中的元素是否会造成整车级别危害,并将会造成整车级别危害的异常行为归入集合R;当车辆功能项异常行为引发乘客或其他人类交通参与者受到了物理伤害,或是与交通参与者或是静态设施发生碰撞、造成物理损伤则视为存在整车级危害;
步骤2.3:R中第i个元素Ri造成的对应整车级危害记为Mk,结合当前驾驶场景P中静态快照和其他动态交通参与者情况,得到危害后续引发的事故,单个异常行为组合能够对应多个不同的事故,将事故加入事故集合H;所述静态快照是指车辆周围地理空间中的静态元素,包括道路位置、路面情况、障碍物和天气条件。
4.根据权利要求1所述的智能网联汽车功能安全与预期功能安全联动验证方法,其特征在于,所述步骤3中的具体步骤如下:
步骤3.1:根据驾驶场景P中的静态快照、其他交通参与者与车辆物理状态的分布情况判断驾驶场景中不安全行为在进入驾驶场景前或进入时已出现的发生可能性;发生可能性从可忽略至高可能性分为5个等级,包括:可忽略、较低、低、中、高,分别用E0、E1、E2、E3、E4表示;
步骤3.2:在驾驶场景P中,判断对于车内驾驶员而言,各整车级别危害Mj可控制程度,由完全可控至无法控制分为4个等级,包括:所有驾驶员均可控、99%的驾驶员能够接管处理、90%的驾驶员能够接管处理、无法控制,分别用C0、C1、C2、C3表示;
步骤3.3:判断事故集合H中各元素的严重程度,判断依据为事故对车内乘客与车外人类交通参与者的物理伤害程度,结合自车速度与事故场景,由无伤至致命分为四个等级,包括:无伤、轻伤、重伤但不危及生命、致命伤,分别用S0、S1、S2、S3表示;
步骤3.4:根据驾驶场景发生可能性、整车级别危害Mj可控制程度、事故对乘客与车外人类交通参与者的物理伤害程度三个指标,得到驾驶场景P下,第t个控制功能项异常Rt的安全完整性等级,并据此提出安全目标以规避风险;
步骤3.5:对能够造成整车级危害的功能项异常行为集合R内所有元素重复步骤3.1至3.4,即可得到与当前驾驶任务相关的车身控制功能项集合F中每个元素的安全目标。
5.根据权利要求1所述的智能网联汽车功能安全与预期功能安全联动验证方法,其特征在于,步骤4中,所述清理是指对智能网联汽车控制层级下的所有控制行为进行筛选,剔除不影响驾驶任务的行为;所述错误模式集合K包含6个元素,分别为K1、K2、K3、K4、K5、K6;其中K1表示提供了不需要的控制行为、K2表示未提供需要的控制行为、K3表示提供的控制行为早于所需时间点、K4表示提供的控制行为晚于所需时间点、K5表示提供的控制行为不满足预期所需、K6表示提供的控制行为大于预期所需。
6.根据权利要求1所述的智能网联汽车功能安全与预期功能安全联动验证方法,其特征在于,所述步骤5中的具体步骤如下:
步骤5.1:对与当前驾驶相关的控制行为集合E和错误模式集合K做笛卡尔乘积,得到潜在异常控制行为集合V:V=E×K={(Ei,Kj)|i∈[1,|E|],j∈[1,6]},其中E代表与当前驾驶任务相关的控制行为集合,K代表控制行为的错误模式集合,|E|代表集合E中元素个数;
步骤5.2:判断在驾驶场景P中第i个异常控制行为Vi是否会造成整车级危害,如果会造成危害将该异常控制行为Vi归入集合W,W中第j个元素Wj对应的整车级别危害Mk;不同的异常控制行为能够对应同一个整车级别危害;将车辆不安全控制行为引发乘客或其他人类交通参与者受到了物理伤害,或是与交通参与者或是静态设施发生碰撞、造成物理损伤的情况视为存在整车级危害;
步骤5.3:根据当前执行的驾驶任务,当地交通法规,得到集合W中每个不安全控制行为违背的安全约束,安全约束集合记为CO;
步骤5.4:对不安全控制行为集合W中的每个元素执行步骤5.2至5.3,即可得到所有不安全控制行为造成的整车级危害与其违背的安全约束。
7.根据权利要求1所述的智能网联汽车功能安全与预期功能安全联动验证方法,其特征在于,所述步骤6中的具体步骤如下:
步骤6.1:以决策为时间点,将造成不安全控制行为的潜在原因分为三类,分别为决策前未获得准确必要的环境数据、决策前未获得车辆自身信息、决策系统本身参数设置或决策系统算法存在问题,分别用CT1、CT2、CT3表示;
步骤6.2:从感知不力、硬件局限、传输失效、设计缺陷的角度,细化各个原因类别,指出造成不安全控制行为的具体预期功能原因类别;
步骤6.3:对于不安全控制行为集合W中的元素,结合控制行为、对应的安全约束,确认造成不安全控制行为的原因类别;结合驾驶场景P物理特性与驾驶任务,确认造成该不安全控制行为的特定原因。
8.根据权利要求7所述的智能网联汽车功能安全与预期功能安全联动验证方法,其特征在于,步骤6.2中,所述感知不力包括感知层因外部环境因素无法准确获取必要的环境数据,硬件局限指车辆搭载的传感器自身存在盲区,传输失效指车辆感知系统、决策系统与执行系统之间或之中数据传输出现阻碍,设计缺陷指系统的算法设计存在缺陷或内部参数设计不合理;
细化的原因类别包括决策前因感知不力未能获得真实有效的环境数据,决策前因硬件局限未能获得真实有效的车辆自身信息,决策前因传输失效未能获得准确环境数据,决策前因传输失效决策系统未获得准确的车辆自身信息,决策结果因传输失效未能顺利传递至车辆执行系统,决策系统算法设计存在缺陷做出错误决策,决策系统内部参数设计不合理做出错误决策。
9.根据权利要求1所述的智能网联汽车功能安全与预期功能安全联动验证方法,其特征在于,所述步骤7中的具体步骤如下:
步骤7.1:将功能项异常集合R内的元素与不安全控制行为集合W内的元素进行匹配,若特定功能项异常Rm引发的整车安全危害Mi与特定不安全控制行为Wn的整车安全危害Mj相同,即i=j,即形成预期功能安全定义下的不安全控制行为Rm至车辆功能项异常Wn的一一映射;若未能形成映射,说明当前功能项与控制行为提取下无法匹配不安全控制行为Rm与功能项异常Wn,不执行后续步骤;
步骤7.2:根据功能项异常Rm对应的事故严重程度、安全目标,结合映射结果,对应得到不安全控制行为Wn的事故严重程度与安全目标;根据完整性等级高低,对应得到不安全控制行为Wn的安全约束优先级。
10.如权利要求1-9之任一项所述的智能网联汽车功能安全与预期功能安全联动验证方法在评估预期功能安全定义下不安全控制行为的严重程度,提供事故层级参考,形成安全约束优先级中的应用。
CN202211682088.0A 2022-12-26 2022-12-26 一种智能网联汽车功能安全与预期功能安全联动验证方法 Pending CN116186884A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211682088.0A CN116186884A (zh) 2022-12-26 2022-12-26 一种智能网联汽车功能安全与预期功能安全联动验证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211682088.0A CN116186884A (zh) 2022-12-26 2022-12-26 一种智能网联汽车功能安全与预期功能安全联动验证方法

Publications (1)

Publication Number Publication Date
CN116186884A true CN116186884A (zh) 2023-05-30

Family

ID=86443367

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211682088.0A Pending CN116186884A (zh) 2022-12-26 2022-12-26 一种智能网联汽车功能安全与预期功能安全联动验证方法

Country Status (1)

Country Link
CN (1) CN116186884A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116384755A (zh) * 2023-06-02 2023-07-04 国汽(北京)智能网联汽车研究院有限公司 车路云协同驾驶安全的确定方法、装置、车辆及存储介质
CN117261943A (zh) * 2023-11-17 2023-12-22 中汽研汽车检验中心(常州)有限公司 基于米莉型状态机的自动驾驶预期功能安全危害识别方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116384755A (zh) * 2023-06-02 2023-07-04 国汽(北京)智能网联汽车研究院有限公司 车路云协同驾驶安全的确定方法、装置、车辆及存储介质
CN117261943A (zh) * 2023-11-17 2023-12-22 中汽研汽车检验中心(常州)有限公司 基于米莉型状态机的自动驾驶预期功能安全危害识别方法
CN117261943B (zh) * 2023-11-17 2024-03-01 中汽研汽车检验中心(常州)有限公司 基于米利型状态机的自动驾驶预期功能安全危害识别方法

Similar Documents

Publication Publication Date Title
CN116186884A (zh) 一种智能网联汽车功能安全与预期功能安全联动验证方法
CN113190921B (zh) 用于智能汽车驾乘性能测试的自动评价方法及系统
CN107848537A (zh) 自动驾驶辅助装置、自动驾驶辅助方法以及自动驾驶辅助程序
DE102020202627A1 (de) Anpassen einer Parametrisierung von Algorithmen für eine Sensordatenfusion
CN116957345B (zh) 用于无人驾驶系统中的数据处理方法
DE102018100899A1 (de) Bewältigung von Steinschlag auf der Windschutzscheibe
Wang et al. Causation analysis of crashes and near crashes using naturalistic driving data
CN117593891B (zh) 一种基于高速公路交通大数据的车流量分析系统及方法
CN113119945B (zh) 一种基于环境模型的汽车高级辅助驾驶系统
CN110610326A (zh) 一种基于驾驶数据的驾驶管理系统
DE102019005497A1 (de) Überholassistenzsystem für ein Kraftfahrzeug zum Bestimmen eines lateralen Abstands zu einem zu überholenden Objekt, sowie Verfahren
Ma et al. Naturalistic driving behavior analysis under typical normal cut-in scenarios
CN114973179A (zh) 一种长下坡安全防控方法、装置、电子设备及系统
CN113485102A (zh) 一种基于长短期记忆神经网络识别车辆行驶工况的方法
CN111798091A (zh) 一种基于变道持续时间的高速公路变道评分模型建立方法
Ding et al. Exploratory analysis of injury severity under different levels of driving automation (SAE Level 2-5) using multi-source data
Rahimi et al. Exploring crash causation for large truck-involved accidents: A hierarchical framework
Moghaddam et al. Crash severity modeling in urban highways using backward regression method
Zhang et al. Analysis of the Driver’s Breaking Response in the Safety Cut-in Scenario Based on Naturalistic Driving
Najm et al. Analysis of target crashes and ITS/countermeasure actions
CN118072553B (zh) 一种交通安全智能管控系统
CN115188205B (zh) 一种基于道路信息的汽车行驶工况修正方法
CN118418885B (zh) 基于智能网联汽车的事故预警系统
Wang et al. A Precrash Scenario Analysis Comparing Safety Performance across Autonomous Vehicle Driving Modes
Gu et al. Autonomous driving hazard scenario extraction and safety assessment based on crash reports and carla simulation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination