CN117261943A - 基于米莉型状态机的自动驾驶预期功能安全危害识别方法 - Google Patents

基于米莉型状态机的自动驾驶预期功能安全危害识别方法 Download PDF

Info

Publication number
CN117261943A
CN117261943A CN202311534197.2A CN202311534197A CN117261943A CN 117261943 A CN117261943 A CN 117261943A CN 202311534197 A CN202311534197 A CN 202311534197A CN 117261943 A CN117261943 A CN 117261943A
Authority
CN
China
Prior art keywords
state
vehicle
control
hazard
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311534197.2A
Other languages
English (en)
Other versions
CN117261943B (zh
Inventor
李海斌
朱李斌
诸天逸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Automotive Research Center Changzhou Co ltd
Original Assignee
China Automotive Research Center Changzhou Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Automotive Research Center Changzhou Co ltd filed Critical China Automotive Research Center Changzhou Co ltd
Priority to CN202311534197.2A priority Critical patent/CN117261943B/zh
Publication of CN117261943A publication Critical patent/CN117261943A/zh
Application granted granted Critical
Publication of CN117261943B publication Critical patent/CN117261943B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0019Control system elements or transfer functions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0019Control system elements or transfer functions
    • B60W2050/0028Mathematical models, e.g. for simulation

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Traffic Control Systems (AREA)

Abstract

本发明提供一种基于米莉型状态机的自动驾驶预期功能安全危害识别方法,包括三个主要步骤:自动驾驶系统分析、建立状态机映射和危害识别;通过离散的运行环境和控制行为进行细粒度划分,全面精准的识别自动驾驶中车辆可能触发的潜在危害;基于完善充分的状态机转移逻辑和细粒度不安全行为控制集,对危害识别过程快速高效进行判断,无需高度依赖专家知识,去除传统方法的主观性;最后,对识别到的危害进一步进行危险程度评定和定损分析。针对自动驾驶领域车辆所处场景快速变化等特点,大幅减少危害识别复杂度,评价结果准确客观。

Description

基于米莉型状态机的自动驾驶预期功能安全危害识别方法
技术领域
本发明涉及汽车自动驾驶技术领域,特别是涉及一种基于米莉型状态机的自动驾驶预期功能安全危害识别方法。
背景技术
自动驾驶的预期功能安全问题主要源于“功能、性能的受限、误用”,多种环境因素的催化使危害识别与分析难度快速上升。目前普遍采用的危害识别方法主要为以下几类:故障树分析FTA、失效模式及影响分析FMEA、危险与可操作性分析HAZOP和系统理论过程分析STPA。FTA从单个潜在失效模式识别所有潜在原因,以此分析系统失误;FMEA是设计与制造过程中常用的危害识别方法,对构成产品的子系统、零件及生产过程的工序逐一分析;HAZOP相对于FTA和FMEA更简单,流程和FMEA类似,是一项探索性分析,需考虑到系统设计或操作意图的偏差,但其严重依赖专家知识,对危害识别者的自身素质提出较高要求。针对FTA、FMEA和HAZOP三种方法,STPA基于事故因果扩展模型改进,但随着L2级以上自动驾驶技术的快速发展,系统结构不断演化,传统的STPA方法由于缺少对细粒度场景的划分,不能全面识别危害;STPA方法的系统性也导致其分析过程冗长繁琐,对复杂系统的识别复杂度指数级上升,在应对复杂环境要素的车辆危害识别效率较低。
现有技术中,同济大学学报(自然科学版),2023年4月,第51卷第4期,发表的《基于状态机进行自动驾驶预期功能安全危害识别方法》一文针对自动驾驶危害和场景不可分割的特点,提出基于有限状态机的整车级预期功能安全危害识别方法,但文中存在明显漏洞:1)根据预期功能安全定义,自动驾驶系统的危害与场景不可分割,但场景并非影响危害的唯一因素,文中将两者直接关联不符合实际情况;2)文中修改过后的“不安全控制行为集”表格描述逻辑过于简单,由当前状态“0,m,n”转移到目标状态“0,m,n”的“3×3”不安全控制行为集表格实际可以简化为当前状态“0,m”转移到目标状态“0,m”的“2×2”不安全控制行为集表格,其描述的状态转移逻辑过于简单,无法准确刻画自动驾驶车辆状态变化多变的特点;3)依据其理论进行的潜在危害分析举例,因第2)点逻辑冗余问题,导致多个危害分析条例重复或无实际意义;4)文中对危害识别,但并没有出现对危害程度的进一步分析。
发明内容
本发明所要解决的技术问题是:针对现有技术中缺少危害和控制行为的关联问题、状态机状态转移过程中不安全控制行为过于简单和无法清晰有效的识别潜在预期危害并对危害进一步分析的问题。本发明提供一种基于米莉(Mealy)型状态机的自动驾驶预期功能安全危害识别方法,通过离散的运行环境和控制行为进行细粒度划分,全面精准的识别自动驾驶中车辆可能触发的潜在危害;基于完善充分的状态机转移逻辑和细粒度不安全行为控制集,对危害识别过程快速高效进行判断,无需高度依赖专家知识,去除传统方法的主观性;最后,对识别到的危害进一步进行危险程度评定和定损分析。针对自动驾驶领域车辆所处场景快速变化等特点,大幅减少危害识别复杂度,评价结果准确客观。
本发明解决其技术问题所要采用的技术方案是:一种基于米莉型状态机的自动驾驶预期功能安全危害识别方法,包括以下步骤:
S1:自动驾驶系统分析
基于细粒度描绘确定影响车辆运行状态的离散的运行环境;根据自动驾驶车辆的预期功能安全操作确定车辆所需的所有合法的控制行为;根据一种运行环境和控制行为只对应于一种车辆状态的行为规则,结合离散的运行环境和合法的控制行为建立自动驾驶车辆状态的行为规则库;
S2:建立状态机映射
基于米莉型状态机模型,建立米莉型状态机与车辆状态间的有效映射,模拟现实场景的车辆状态运行逻辑;其中,米莉型状态机模型包括当前状态S ct 、输入条件c i 和目标状态S g ,当前状态S ct 表示当前车辆所处预期内的安全状态;输入条件c i 表示当前状态所接收的输入;目标状态S g ,表示根据当前安全状态S ct 和输入条件c i 切换成的下一个预期内的安全状态,且S ct SS g S,集合S表示自动驾驶状态中车辆所有预期内的安全状态的集合;则其映射关系为:车辆当前状态对应状态机的当前状态S ct ;转移条件对应状态机的输入条件c i ,所述转移条件包括运行环境和控制行为;车辆目标状态对应状态机的目标状态S g
S3:危害识别
根据行为规则库中由运行环境和控制行为组成的转移条件与车辆状态间的状态转移逻辑,判断当前运行环境和控制行为与车辆预期状态的行为规则的冲突关系,识别自动驾驶系统的潜在危害。
进一步的,为了清楚的说明本发明的技术方案,对相关技术术语给出定义。
所述运行环境是指影响车辆运行状态的各种环境因素,则定义自动驾驶的运行环境E为多维元组:
E=(e 1,e 2,…,e n) (1)
其中,e i 表示影响车辆运行状态的各种环境因素,i=1,2,3,……nn表示离散的环境条件的个数;
所述自动驾驶车辆的预期功能安全的控制行为是指对车辆运动模式的操作控制,则定义自动驾驶的控制行B为多维元组:
B=(b 1,b 2,…,b m) (2)
其中,b i 表示对车辆的控制行为类别,i=1,2,3,……mm表示控制行为类别的个数;
所述转移条件是指车辆不同状态间切换的条件,由运行环境与控制行为两部分构成,则定义自动驾驶的转移条件C为二元组:
C=(E s B s ) (3)
其中,E s 表示转移条件C的运行环境集合,B s 表示转移条件C的控制行为集合;
根据一种运行环境和控制行为只对应于一种车辆状态的行为规则,定义自动驾驶的车辆状态S i 为转移条件C j 的集合:
S i = {C j |j∈[1,N]} (4)
其中,S i 表示第i个车辆状态,C j 表示第j个转移条件,N表示S i 状态具有的转移条件数目。
进一步的,所述运行环境包括但不限于识别是否有行人、识别是否有前车、识别是否有路沿、识别当前行驶于主路或岔路、当前预期的碰撞时间TTC中的一种或多种。
进一步的,所述自动驾驶车辆的预期功能安全操作是指对车辆运行模式的操作,包括制动操作、油门操作和转向操作;由此确定的合法的人为控制行为包括对制动操作的控制行为、对油门操作的控制行为以及对转向操作的控制行为。
其中,对制动操作的控制行为:紧急制动、平滑制动、缓慢制动、提前制动等,对油门的控制行为:油门保持、加油门、减油门等。
进一步的,步骤S3中危害识别的具体过程为:
将不安全控制行为(Unsafe Uontrol Action,UCA)分为7类:
UCA1:需提供,但未提供;UCA2:需提供,提供安全控制,但时间节点过早;UCA3:需提供,提供安全控制,但时间节点过晚;UCA4:需提供,提供安全控制,但时间节点顺序错误;UCA5:需提供,提供安全控制,提供时间节点正确,但持续太久;UCA6:需提供,提供安全控制,提供时间节点正确,但停止过早;UCA7:不需提供,但提供不安全控制。
根据车辆部分状态之间的转换会违背交通法规、驾驶经验和引发危险等,因此部分状态间存在逻辑规则约束。本发明将自车当前状态表示为S self ,目标状态S g 分为4种:保持自车状态不变S self 、转移至逻辑规则内的其他目标状态S tar 、转移至子状态S sub 和转移至逻辑规则外的其他目标状态S for ,则车辆状态转移逻辑为:
(1)保持自车状态不变S self
车辆状态保持自身状态(self state)不变,则默认已提供了时间点正确的安全控制,故仅可能出现涉及控制持续时间的UCA5和UCA6类型危害;此外,除了维持自身状态需要的控制行为b self 外,其他控制行为均可能产生UCA7类型危害;
因此,该情形下识别到危害为:维持自身状态需要的控制行为×(UCA5+UCA6)+除维持自身状态需要的控制行为外的控制行为×UCA7;
(2)转移至逻辑规则内的其他目标状态S tar
车辆状态转移至逻辑规则允许的其他目标状态(target state),目标状态的控制行为b pri 均可能出现UCA1~UCA6类型危害;此外,该行为以外的控制行为均为非必要,可能出现UCA7类型危害;
因此,该情形下识别到的危害为:目标状态所需的控制行为×(UCA1+UCA2+UCA3+UCA4+UCA5+UCA6)+目标状态不需要的控制行为×UCA7;
(3)转移至子状态S sub
车辆状态转移至子状态(sub state),与自身状态相同的控制行为b self 可能出现UCA5和UCA6类型危害,与自身状态不同的控制行为b 可能出现与(2)转移至逻辑规则外的其他目标状态S tar 相同的潜在危害;
因此,该情形下识别到的危害为:维持自身状态需要的控制行为×(UCA5+UCA6)+目标状态所需的控制行为×(UCA1+UCA2+UCA3+UCA4+UCA5+UCA6)+目标状态不需要的控制行为×UCA7;
(4)转移至逻辑规则外的其他目标状态S for
车辆状态转移至逻辑规则禁止的其他目标状态(forbidden state),车辆的所有控制行为均判定为UCA7类型危害,且上报处理;
因此,该情形下识别到的危害为:行为规则库内所有离散的控制行为×UCA7。
本发明的有益效果是:本发明提供的一种基于米莉型状态机的自动驾驶预期功能安全危害识别方法,采用基于米莉型状态机的自动驾驶预期功能安全危害识别方法直接识别子危害,有利于快速精准的评估系统潜在危害,离散环境和控制行为的细粒度对场景进行细粒度区分,全面识别危害;米莉型状态机状态映射和转移逻辑易于理解,可快速识别潜在危害;对专家知识依赖较少,评价结果较为客观;对行为控制同样离散化分析,有利于大幅减少工作复杂度的同时高效识别潜在危害;适用于自动驾驶车辆预期功能安全危害识别,但暂无定损分析。
附图说明
下面结合附图和实施例对本发明作进一步说明。
图1是本发明危害识别的流程示意图。
图2是环境条件离散化树状图。
图3是米莉型状态机示例图。
图4是米莉型状态机与车辆状态映射关系图。
图5是子状态和母状态示意图。
图6是ACC系统的米莉型状态机转换图。
具体实施方式
现在结合附图对本发明作详细的说明。此图为简化的示意图,仅以示意方式说明本发明的基本流程,因此其仅显示与本发明有关的构成。
本发明的一种基于米莉型状态机的自动驾驶预期功能安全危害识别方法,为了能够清楚的说明技术方案,给出以下相关定义:
(1)运行环境
预期功能安全问题主要来源于系统性能局限及人为误操作,分别是感知系统性能局限、决策系统性能局限、执行系统性能局限和人为误操作。运行环境的细粒度描绘便于直接建立与车辆状态的映射,使危害识别便捷高效。本发明中的运行环境是指影响车辆运行状态的各种环境因素,则定义自动驾驶的运行环境E为多维元组:
E=(e 1,e 2,…,e n) (1)
其中,e i 表示影响车辆运行状态的各种环境因素,i=1,2,3,……nn表示离散的环境条件的个数。
(2)控制行为
自动驾驶车辆的预期功能安全的控制行为是指对车辆运动模式的操作控制,如制动、加速(油门)、变道(转向)、启动等行为。由此确定的合法的人为控制行为包括对制动操作的控制行为、对油门操作的控制行为以及对转向操作的控制行为。其中,对制动操作的控制行为:紧急制动、平滑制动、缓慢制动、提前制动等,对油门的控制行为:油门保持、加油门、减油门等。
本发明不单独对控制行为本身进行安全性评价,结合车辆运行环境分析的控制行为才具有安全性评估意义,则定义自动驾驶的控制行B为多维元组:
B=(b 1,b 2,…,b m) (2)
其中,b i 表示对车辆的控制行为类别,i=1,2,3,……mm表示控制行为类别的个数。
(3)车辆状态
转移条件是指车辆不同状态间切换的条件,由运行环境与控制行为两部分构成,实际环境条件和车辆操控模式种类丰富,离散的转移条件维度较高导致转移条件数量远超车辆状态数量。本发明认为处于自动驾驶模式的车辆在特定的转移条件下仅被允许存在一种预期的车辆状态,但一种车辆状态可对应于多种不同的转移条件,如公路和小路遇路障车辆制动停车,公路和小路场景不同转移条件不同但最终车辆状态均为停车状态。
则定义自动驾驶的转移条件C为二元组:
C=(E s B s ) (3)
其中,E s 表示转移条件C的运行环境集合,B s 表示转移条件C的控制行为集合。
根据一种运行环境和控制行为只对应于一种车辆状态的行为规则,定义自动驾驶的车辆状态S i 为转移条件C j 的集合:
S i = {C j |j∈[1,N]} (4)
其中,S i 表示第i个车辆状态,C j 表示第j个转移条件,N表示S i 状态具有的转移条件数目。
(4)危害事件
预期功能安全解决系统在特定环境条件下功能不足时的非预期行为、人为误操作和环境干扰造成的非预期行为。为高效识别危害、判断车辆自动驾驶过程中的非预期行为,本发明对预期功能安全的危害事件明确定义。危害事件是使自动驾驶系统由安全状态转移至危险状态的事件。即,自动驾驶中车辆自身状态受到运行环境影响后,车辆未按预期转移到指定行驶状态的事件。
如图1所示,本发明的一种基于米莉型状态机的自动驾驶预期功能安全危害识别方法,其原理架构包括三个主要步骤:自动驾驶系统分析、建立状态机映射和危害识别。
S1:自动驾驶系统分析,基于细粒度描绘确定影响车辆运行状态的离散的运行环境;根据自动驾驶车辆的预期功能安全操作确定车辆所需的所有合法的控制行为;根据一种运行环境和控制行为只对应于一种车辆状态的行为规则,结合离散的运行环境和合法的控制行为建立自动驾驶车辆状态的行为规则库。
其中,运行环境:车辆不同运行状态对应特定的环境条件,该条件可以是空间约束、时间约束、道路状况和驾驶经验等,包括但不限于识别是否有行人、识别是否有前车、识别是否有路沿、识别当前行驶于主路或岔路、当前预期的碰撞时间TTC中的一种或多种。为保证系统工作在设计运行范围ODD(Operational design domain)内,并对全部运行环境都存在对应车辆状态的映射,采用树形图将环境条件离散化,如图2所示。不同粒度的离散化变量对应事故的危害级别不同,运行环境的离散化有助于在危害识别后解析危害的严重度。
控制行为:预期功能安全问题很大一部分来源于人为误操作,为了更符合实际情况,本发明所提米莉型状态机中的车辆状态并不仅仅受运行环境影响,车辆的控制行为也极大程度的影响车辆的运行状态,控制行为的离散化分析同环境条件的离散化可做树状图解析。
行为规则库:结合离散的运行环境和控制行为建立自动驾驶车辆的行为规则库,根据车辆所处环境和驾驶员操作行为确定车辆当前状态,一种运行环境和控制行为只对应于一种车辆状态,而一种车辆运行状态可能对应于多种运行环境和控制行为的组合。
S2:建立状态机映射
车辆状态和影响因素的对应关系同有限状态机特性相似,摩尔(moore)型状态机输出仅与当前状态有关无法贴切描述自动驾驶的车辆运行状态。为建立车辆状态和运行环境及控制行为间的有效映射,本发明引入米莉型状态机模型,此类型状态机输出不但取决于当前的输入还取决于当前的状态。
米莉型状态机模型包括当前状态S ct 、输入条件c i 和目标状态S g ,当前状态S ct 表示当前车辆所处预期内的安全状态;输入条件c i 表示当前状态所接收的输入;目标状态S g ,表示根据当前安全状态S ct 和输入条件c i 切换成的下一个预期内的安全状态,且S ct SS g S,集合S表示自动驾驶状态中车辆所有预期内的安全状态的集合,如图3所示,为一个典型的米莉型状态机示例。
如图4所示,根据米莉型状态机定义,本发明将自动驾驶的车辆状态对应于状态机的不同状态,基于米莉型状态机模型,建立米莉型状态机与车辆状态间的有效映射,模拟现实场景的车辆状态运行逻辑;除了电子电气类的功能安全故障以外,车辆预期内的下一个状态仅取决于车辆所处的当前状态和变更的运行环境及控制行为,则其映射关系为:车辆当前状态对应状态机的当前状态S ct ;转移条件对应状态机的输入条件c i ,所述转移条件包括运行环境和控制行为;车辆目标状态对应状态机的目标状态S g 。当已知车辆的当前状态和转移条件得出车辆的状态与预期状态不匹配时,即车辆进入非预期状态时可识别为危害事件,危害程度需进一步评定。
值得注意的是,部分自动驾驶情形下车辆的运行状态相似,具有较强的重合度,例如车辆静止状态车辆可以刚点火准备启动,也可以是主动避让后的制动静止,两种状态均为车辆静止,但对应运行环境和控制行为不同。为高效危害识别和分析,本发明将相似的几个状态合并为一个母状态,母状态下的几个子状态具有相似性,例如。子状态和母状态分别具有不同的状态转移逻辑,如图5所示。
S3:危害识别,根据行为规则库中由运行环境和控制行为组成的转移条件与车辆状态间的状态转移逻辑,判断当前运行环境和控制行为与车辆预期状态的行为规则的冲突关系,识别自动驾驶系统的潜在危害。
具体过程为:
将不安全控制行为(Unsafe UontrolAction,UCA)分为7类:
UCA1:需提供,但未提供;UCA2:需提供,提供安全控制,但时间节点过早;UCA3:需提供,提供安全控制,但时间节点过晚;UCA4:需提供,提供安全控制,但时间节点顺序错误;UCA5:需提供,提供安全控制,提供时间节点正确,但持续太久;UCA6:需提供,提供安全控制,提供时间节点正确,但停止过早;UCA7:不需提供,但提供不安全控制。归纳后由表1可知其递进特点。
表1 STPA传统UCA控制
STPA强调在构建不安全控制行为时,需使用“在…过程中”或“当…时”以强调环境条件的影响,但该方法存在三个问题:1)仍然过于依赖专家知识判断系统危害;2)“有上而下”的识别方法较为系统,也低效繁琐;3)针对自动驾驶中有限个且动态变化的场景,依据运行环境要素的识别尤为重要,需快速识别场景转化后可能出现的危害。
因此,本发明提出通过判断运行环境与控制行为和车辆预期状态的行为规则的冲突关系,直接识别自动驾驶系统的潜在危害。车辆部分状态之间的转换会违背交通法规、驾驶经验和引发危险等,因此部分状态间存在逻辑规则约束。本发明将自车当前状态表示为S self ,目标状态S g 分为4种:保持自车状态不变S self 、转移至逻辑规则内的其他目标状态S tar 、转移至子状态S sub 和转移至逻辑规则外的其他目标状态S for ,则车辆状态转移逻辑如表2所示:
表2车辆状态转移逻辑表
式(5)-式(8)中,U1、U2,U3,U4,U5,U6,U7分别为UCA1、UCA2,UCA3,UCA4,UCA5,UCA6,UCA7;表示第i个控制行为。
(1)保持自车状态不变S self
车辆状态保持自身状态(self state)不变,如(5)式所示,则默认已提供了时间点正确的安全控制,故仅可能出现涉及控制持续时间的UCA5和UCA6类型危害;此外,除了维持自身状态需要的控制行为b self 外,其他控制行为均可能产生UCA7类型危害。因此,该情形下识别到危害为:维持自身状态需要的控制行为×(UCA5+UCA6)+除维持自身状态需要的控制行为外的控制行为×UCA7。
(2)转移至逻辑规则内的其他目标状态S tar
车辆状态转移至逻辑规则允许的其他目标状态(target state),如(6)式所示,目标状态的控制行为b pri 均可能出现UCA1~UCA6类型危害;此外,该行为以外的控制行为均为非必要,可能出现UCA7类型危害。因此,该情形下识别到的危害为:目标状态所需的控制行为×(UCA1+UCA2+UCA3+UCA4+UCA5+UCA6)+目标状态不需要的控制行为×UCA7。
(3)转移至子状态S sub
车辆状态转移至子状态(sub state),如(7)式所示,与自身状态相同的控制行为b self 可能出现UCA5和UCA6类型危害,与自身状态的不同的控制行为b 可能出现类似(2)转移至逻辑规则外的其他目标状态S tar 相同的潜在危害;因此,该情形下识别到的危害为:维持自身状态需要的控制行为×(UCA5+UCA6)+目标状态所需的控制行为×(UCA1+UCA2+UCA3+UCA4+UCA5+UCA6)+目标状态不需要的控制行为×UCA7。
(4)转移至逻辑规则外的其他目标状态S for
车辆状态转移至逻辑规则禁止的其他目标状态(forbidden state),如(8)式所示,车辆的所有控制行为均判定为UCA7类型危害上报处理;因此,该情形下识别到的危害为:行为规则库内所有离散的控制行为×UCA7。
对识别到的危害需进一步判断其危害程度,并记录到行为规则库以供调用;使用式(5)可识别到自动驾驶车辆在预期内全部运行环境和控制行为下所可能遇到的危害,但部分识别到的危害效果为0,即不产生实际人员经济损失,因此在最后输出危害识别结果时,需将该部分结果剔除。
为更好说明本方法的有效性,本发明通过对比使用传统STPA方法和本文基于米莉型状态机的自动驾驶预期功能安全危害识别方法对某L2级车辆ACC系统进行预期功能安全危害识别,本发明中系统不涉及电子电气类的功能安全危害识别。
S1:运行环境和车辆状态分析
该车辆无需驾驶员手动操作,在开启ACC功能后汽车进入自动驾驶模式,本实验全程在封闭场地测试。车辆行驶模式:在封闭场地内先由静止状态启动,在长直道分别进行ACC模式的定速巡航、稳态跟车、前车加速、前车减速、主动避让测试。
表3中预期功能属于车辆特定状态下的预期内安全功能,分别给出离散化的5种运行环境(e1自动驾驶,e2行人识别,e3前车识别,e4路沿识别和e5车道识别)和4种控制行为(b1油门,b2制动,b3平稳油门,b4横向加速)因素,每种车辆状态对应于一组该状态下的运行环境和控制行为。
S2:米莉型状态机建模
ACC自动巡航系统具备几个典型状态如图6所示,在实际封闭道路行驶时规定其行驶逻辑服从状态转移逻辑。
6个主状态分别为:静止停车、定速巡航、稳态跟车、前车加速、前车减速、主动避让。其中静止停车、稳态跟车、主动避让三个状态都分别含有2个子状态。状态间无法随意转换,转移逻辑受行驶规则、交通法规和驾驶经验等约束,例如静止停车状态的车辆无法直接转移至主动避让状态,且启动时需检测周围环境有无行人、来车和路沿情况。
S3:危害识别及结果分析
基于表3和图6可以快速识别该L2级车辆自动驾驶ACC系统的所有潜在预期功能安全危害,本发明以处于S6主动避让母状态下的S61子状态的自动驾驶车辆为例,说明识别潜在危害的过程。
表3 ACC系统各状态说明
首先,当车辆状态向逻辑内状态转换时,举例讨论自动驾驶车辆的预期功能安全危害识别情况,所有情况如表4所示。其中S表示当前状态,ST表示目标状态,B表示控制行为。
(1)车辆向目标状态S61(E8)变换时,即车辆保持自身状态不变时,该状态控制行为是b2,由步骤S3危害识别的过程可知:
b2:该控制行为可能产生UCA5和UCA6类型错误,若是UCA5类型,提供过长时间b2(制动)行为不会产生潜在危害;若是UCA6类型,制动行为结束时间过早,减速避让中的车辆不能及时避让,将产生“与前方行人或车辆相撞”的潜在危害。
b1、b3和b4:由于这三种均不是S61状态的所需控制行为,因此不存在UCA1~UCA6类型危害,但可能因“非必要但提供”而产生UCA7类型危害。b1和b3行为均可能因油门把控问题,产生“与前方行人或车辆相撞”的潜在危害,b4行为由于提供了非必要地提供了横向加速,可能导致“车辆偏离轨道,碰撞危险”的潜在危害。
(2)车辆向目标状态S62(E9)变换时,即车辆向S6状态下的另一个子状态转换时,该状态控制行为是b2和b4,由步骤S3危害识别的过程可知:
b1和b3:若车辆未按照预期采取控制行为b2和b4,还是采用了b1或b3,那么因为车辆由于对油门的失控,将产生“与前方行人或车辆相撞”的潜在危害。
b2:车辆识别鬼探头情形后,若是UCA5类型制动时间太久的控制行为,则不会因制动不及时产生潜在危害;若是UCA6类型制动时间过短,则仍可能产生因制动不及时而产生“与前方行人或车辆相撞”的潜在危害。
b4:车辆识别鬼探头情形后,若是产生了横向加速度,即车辆“需要且实施”了控制行为,则可能产生UCA1~UCA6类型危害具体见表4。值得注意的是,若是UCA2类型,即车辆在“需要打方向盘”之前就意识到且提前打方向盘使车辆偏移避让,此种情形将不产生潜在危害;若是UCA1、UCA3、UCA4和UCA6,将分别因为“未偏转”、“偏转过晚”、“偏转错误”和“偏转不到位”产生“与前方行人或车辆相撞”的潜在危害。
(3)车辆向目标状态S31(E4)变换时,即车辆向逻辑规则允许的其他目标状态转移时,该状态需要与前车保持一定的车距稳态跟车,控制行为是b3,由步骤S3危害识别的过程可知:
b1:稳态跟车状态的车辆若“非必要但提供”b1油门行为控制,将使车辆加速并产生“与前方车辆相撞”的潜在危害。
b2:稳态跟车状态的车辆若使用b2制动的行为控制,车辆将结束跟车状态,但也不因此产生潜在危害。
b3:平稳油门的行为控制是S31(E4)状态所必须的行为控制,因此可能产生除UCA7以外的所有不安全控制行为。若是UCA1类型未提供平稳的油门控制,则跟车车距可时长时短,可能产生“车距不稳,与前车碰撞危险”的潜在危害;若是UCA2过早提供了平稳油门,则不产生危害;若是UCA3平稳油门时间过晚、UCA4平稳油门顺序错误和UCA6停止时间过早,都将产生“车距不稳,与前车碰撞危险”的潜在危害;而UCA5,不会因为其提供的平稳油门控制行为时间过长产生潜在危害。
b4:在稳态跟车的情况下若“非必要但提供”横向加速,将产生“车辆偏离车道,碰撞危险”的潜在危害。
表4处于S61状态下的车辆转移逻辑内的危害识别
/>
其次,当车辆状态向逻辑外状态转换时,举例讨论自动驾驶车辆的预期功能安全危害识别情况。
由于处于主动避让子状态S61车辆,因行驶逻辑或道路规则无法直接转换至S1静止停车启动状态S11、前车减速状态S4和前车加速状态S5,处于S61状态的车辆向转换时,根据表2逻辑直接认定转换过程中所有控制行为均为“非必要但提供”情形,即UCA7情形,具体情况如表5所示。
表5处于S61状态下的车辆转移逻辑外的危害识别
使用同样的方法,可以快速得出行驶状态S61以外的其他状态的潜在危害,利用本文所提基于米莉型状态机的自动驾驶预期功能安全危害识别方法在此ACC系统应用分析最终识别得到257项潜在危害。
本发明基于米莉型状态机的自动驾驶预期功能安全危害识别方法与传统STPA方法进行比较,通过识别不安全控制行为判断潜在的预期功能安全危害,与传统STPA方法区别如下表6所示。
表6 STPA方法和本发明所提方法对比
本发明首先,由车辆所处运行环境和可采用的控制行为确定车辆行为规则库;其次,建立米莉型状态机和车辆运行状态间映射,模拟现实场景的车辆状态运行逻辑;最后,通过识别车辆状态与其运行环境、控制行为间的冲突确定潜在危害。为验证所提方法的有效性,本发明通过对某L3级车辆自动驾驶ACC系统的预期功能安全危害识别,识别潜在危害257条,与传统STPA方法比较更为高效便捷。可用于L2级以上自动驾驶的车辆预期功能安全危害识别,识别精准高效,适用于大部分常见场景工况的车辆危害识别分析;同时也可用于无人驾驶车辆的危害识别;本发明的米莉型状态机模型思想对功能安全危害识别和分析也具有一定的指导意义。
以上述依据本发明的理想实施例为启示,通过上述的说明内容,相关的工作人员完全可以在不偏离本发明的范围内,进行多样的变更以及修改。本项发明的技术范围并不局限于说明书上的内容,必须要根据权利要求范围来确定其技术性范围。

Claims (5)

1.一种基于米莉型状态机的自动驾驶预期功能安全危害识别方法,其特征在于:包括以下步骤:
S1:自动驾驶系统分析
基于细粒度描绘确定影响车辆运行状态的离散的运行环境;根据自动驾驶车辆的预期功能安全操作确定车辆所需的所有合法的控制行为;根据一种运行环境和控制行为只对应于一种车辆状态的行为规则,结合离散的运行环境和合法的控制行为建立自动驾驶车辆状态的行为规则库;
S2:建立状态机映射
基于米莉型状态机模型,建立米莉型状态机与车辆状态间的有效映射,模拟现实场景的车辆状态运行逻辑;其中,米莉型状态机模型包括当前状态S ct 、输入条件c i 和目标状态S g ,当前状态S ct 表示当前车辆所处预期内的安全状态;输入条件c i 表示当前状态所接收的输入;目标状态S g ,表示根据当前安全状态S ct 和输入条件c i 切换成的下一个预期内的安全状态,且S ct SS g S,集合S表示自动驾驶状态中车辆所有预期内的安全状态的集合;则其映射关系为:车辆当前状态对应状态机的当前状态S ct ;转移条件对应状态机的输入条件c i ,所述转移条件包括运行环境和控制行为;车辆目标状态对应状态机的目标状态S g
S3:危害识别
根据行为规则库中由运行环境和控制行为组成的转移条件与车辆状态间的状态转移逻辑,判断当前运行环境和控制行为与车辆预期状态的行为规则的冲突关系,识别自动驾驶系统的潜在危害。
2.如权利要求1所述的基于米莉型状态机的自动驾驶预期功能安全危害识别方法,其特征在于:
所述运行环境是指影响车辆运行状态的各种环境因素,则定义自动驾驶的运行环境E为多维元组:
E=(e 1,e 2,…,e n) (1)
其中,e i 表示影响车辆运行状态的各种环境因素,i=1,2,3,……nn表示离散的环境条件的个数;
所述控制行为是指对车辆运动模式的操作控制,则定义自动驾驶的控制行B为多维元组:
B=(b 1,b 2,…,b m) (2)
其中,b i 表示对车辆的控制行为类别,i=1,2,3,……mm表示控制行为类别的个数;
所述转移条件是指车辆不同状态间切换的条件,由运行环境与控制行为两部分构成,则定义自动驾驶的转移条件C为二元组:
C=(E s B s ) (3)
其中,E s 表示转移条件C的运行环境集合,B s 表示转移条件C的控制行为集合;
根据一种运行环境和控制行为只对应于一种车辆状态的行为规则,定义自动驾驶的车辆状态S i 为转移条件C j 的集合:
S i = {C j | j∈[1,N]} (4)
其中,S i 表示第i个车辆状态,C j 表示第j个转移条件,N表示S i 状态具有的转移条件数目。
3.如权利要求2所述的基于米莉型状态机的自动驾驶预期功能安全危害识别方法,其特征在于:所述运行环境包括识别是否有行人、识别是否有前车、识别是否有路沿、识别当前行驶于主路或岔路、当前预期的碰撞时间TTC中的一种或多种。
4.如权利要求2所述的基于米莉型状态机的自动驾驶预期功能安全危害识别方法,其特征在于:所述自动驾驶车辆的预期功能安全操作是指对车辆运行模式的操作,包括制动操作、油门操作和转向操作;由此确定的合法的人为控制行为包括对制动操作的控制行为、对油门操作的控制行为以及对转向操作的控制行为。
5.如权利要求1所述的基于米莉型状态机的自动驾驶预期功能安全危害识别方法,其特征在于:步骤S3中危害识别的具体过程为:
将不安全控制行为分为7类:
UCA1:需提供,但未提供;UCA2:需提供,提供安全控制,但时间节点过早;UCA3:需提供,提供安全控制,但时间节点过晚;UCA4:需提供,提供安全控制,但时间节点顺序错误;UCA5:需提供,提供安全控制,提供时间节点正确,但持续太久;UCA6:需提供,提供安全控制,提供时间节点正确,但停止过早;UCA7:不需提供,但提供不安全控制;
根据车辆部分状态之间的转换存在逻辑规则约束,将自车当前状态表示为S self ,目标状态S g 分为4种:保持自车状态不变S self 、转移至逻辑规则内的其他目标状态S tar 、转移至子状态S sub 和转移至逻辑规则外的其他目标状态S for ,则车辆状态转移逻辑为:
(1)保持自车状态不变S self
车辆状态保持自身状态不变,则默认已提供了时间点正确的安全控制,故仅能出现涉及控制持续时间的UCA5和UCA6类型危害;此外,除了维持自身状态需要的控制行为b self 外,其他控制行为均能产生UCA7类型危害;
该情形下识别到危害为:维持自身状态需要的控制行为×(UCA5+UCA6)+除维持自身状态需要的控制行为外的控制行为×UCA7;
(2)转移至逻辑规则内的其他目标状态S tar
车辆状态转移至逻辑规则允许的其他目标状态,目标状态的控制行为b pri 均能出现UCA1~UCA6类型危害;此外,该行为以外的控制行为均为非必要,能出现UCA7类型危害;
该情形下识别到的危害为:目标状态所需的控制行为×(UCA1+UCA2+UCA3+UCA4+UCA5+UCA6)+目标状态不需要的控制行为×UCA7;
(3)转移至子状态S sub
车辆状态转移至子状态,与自身状态相同的控制行为b self 能出现UCA5和UCA6类型危害,与自身状态不同的控制行为b 能出现与(2)转移至逻辑规则外的其他目标状态S tar 相同的潜在危害;
该情形下识别到的危害为:维持自身状态需要的控制行为×(UCA5+UCA6)+目标状态所需的控制行为×(UCA1+UCA2+UCA3+UCA4+UCA5+UCA6)+目标状态不需要的控制行为×UCA7;
(4)转移至逻辑规则外的其他目标状态S for
车辆状态转移至逻辑规则禁止的其他目标状态,车辆的所有控制行为均判定为UCA7类型危害,且上报处理;
该情形下识别到的危害为:行为规则库内所有离散的控制行为×UCA7。
CN202311534197.2A 2023-11-17 2023-11-17 基于米利型状态机的自动驾驶预期功能安全危害识别方法 Active CN117261943B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311534197.2A CN117261943B (zh) 2023-11-17 2023-11-17 基于米利型状态机的自动驾驶预期功能安全危害识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311534197.2A CN117261943B (zh) 2023-11-17 2023-11-17 基于米利型状态机的自动驾驶预期功能安全危害识别方法

Publications (2)

Publication Number Publication Date
CN117261943A true CN117261943A (zh) 2023-12-22
CN117261943B CN117261943B (zh) 2024-03-01

Family

ID=89214592

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311534197.2A Active CN117261943B (zh) 2023-11-17 2023-11-17 基于米利型状态机的自动驾驶预期功能安全危害识别方法

Country Status (1)

Country Link
CN (1) CN117261943B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130018692A1 (en) * 2011-07-13 2013-01-17 Siemens Aktiengesellschaft Apparatus, method, and computer program product for scenario-based identification of complete safety-based requirements specification
CN113111501A (zh) * 2021-03-31 2021-07-13 中汽研(天津)汽车工程研究院有限公司 一种功能安全和预期功能安全融合分析方法
US20210394788A1 (en) * 2021-09-02 2021-12-23 Baidu.Com Times Technology (Beijing) Co., Ltd. Method and apparatus for detecting unexpected control state in autonomous driving system
CN113887057A (zh) * 2021-10-11 2022-01-04 安徽江淮汽车集团股份有限公司 自动驾驶决策系统触发事件构建方法
CN114348009A (zh) * 2022-01-27 2022-04-15 中国第一汽车股份有限公司 功能安全概念阶段分析方法及制动控制系统
US20220289238A1 (en) * 2021-03-12 2022-09-15 Volvo Car Corporation Vehicle, driving assistance device and method
CN116186884A (zh) * 2022-12-26 2023-05-30 国家工业信息安全发展研究中心 一种智能网联汽车功能安全与预期功能安全联动验证方法
CN116719306A (zh) * 2023-07-13 2023-09-08 中汽智联技术有限公司 自动驾驶车辆人机误用的预期功能安全危害分析方法
CN116861678A (zh) * 2023-07-12 2023-10-10 上海友道智途科技有限公司 一种自动驾驶预期功能安全触发条件生成及系统优化评估方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130018692A1 (en) * 2011-07-13 2013-01-17 Siemens Aktiengesellschaft Apparatus, method, and computer program product for scenario-based identification of complete safety-based requirements specification
US20220289238A1 (en) * 2021-03-12 2022-09-15 Volvo Car Corporation Vehicle, driving assistance device and method
CN113111501A (zh) * 2021-03-31 2021-07-13 中汽研(天津)汽车工程研究院有限公司 一种功能安全和预期功能安全融合分析方法
US20210394788A1 (en) * 2021-09-02 2021-12-23 Baidu.Com Times Technology (Beijing) Co., Ltd. Method and apparatus for detecting unexpected control state in autonomous driving system
CN113887057A (zh) * 2021-10-11 2022-01-04 安徽江淮汽车集团股份有限公司 自动驾驶决策系统触发事件构建方法
CN114348009A (zh) * 2022-01-27 2022-04-15 中国第一汽车股份有限公司 功能安全概念阶段分析方法及制动控制系统
CN116186884A (zh) * 2022-12-26 2023-05-30 国家工业信息安全发展研究中心 一种智能网联汽车功能安全与预期功能安全联动验证方法
CN116861678A (zh) * 2023-07-12 2023-10-10 上海友道智途科技有限公司 一种自动驾驶预期功能安全触发条件生成及系统优化评估方法
CN116719306A (zh) * 2023-07-13 2023-09-08 中汽智联技术有限公司 自动驾驶车辆人机误用的预期功能安全危害分析方法

Also Published As

Publication number Publication date
CN117261943B (zh) 2024-03-01

Similar Documents

Publication Publication Date Title
JP2018113015A (ja) オートノマスシステムの検証法
Nilsson et al. Safe transitions from automated to manual driving using driver controllability estimation
CN111409648B (zh) 一种驾驶行为分析方法及装置
CN111079800B (zh) 一种智能驾驶虚拟测试的加速方法及加速系统
Bagschik et al. Safety analysis based on systems theory applied to an unmanned protective vehicle
CN112987711A (zh) 自动驾驶规控算法优化方法及仿真测试装置
US20230394896A1 (en) Method and a system for testing a driver assistance system for a vehicle
CN117261943B (zh) 基于米利型状态机的自动驾驶预期功能安全危害识别方法
Koenig et al. Bridging the gap between open loop tests and statistical validation for highly automated driving
CN117242438A (zh) 用于测试车辆的驾驶员辅助系统的方法
US11354458B1 (en) Automated vehicle safety simulation using safety quotient method
Huang et al. A safety analysis and verification framework for autonomous vehicles based on the identification of triggering events
JP4382494B2 (ja) システムにおける安全性を判定し,かつその安全性を得るための装置,方法および対応するコンピュータプログラム
CN112883500A (zh) 一种基于故障注入的智能车辆系统早期功能安全评估方法
US20220358024A1 (en) Computer-implemented method for scenario-based testing and / or homologation of at least partially autonomous driving functions to be tested by means of key performance indicators (kpi)
CN113254336B (zh) 自动驾驶汽车交通法规符合性仿真测试方法及系统
Sun et al. Intelligent Vehicle Automatic Stop‐and‐Go Task Based on Humanized Learning Control Model
Ponn et al. A method for the selection of challenging driving scenarios for automated vehicles based on an objective characterization of the driving behavior
Chen et al. A System-Based Safety Assurance Framework for Human-Vehicle Interactions
Polling et al. Inferring the driver's lane change intention using context-based dynamic Bayesian networks
Tomar et al. Towards A Human-centric Design Solution for Automated Systems to Enhance Driver's Comfort and Acceptance
Yuan et al. Analysis of normal stopping behavior of drivers at urban intersections in China
WO2023016268A1 (zh) 一种车辆控制方法及装置
Zhu et al. Autonomous driving expected functional safety hazard identification method based on the Mealy state machine
Fan et al. Road to safe autonomy with data and formal reasoning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant