CN117519647A - 基于分层级的安全需求指标确定及验证方法、设备和介质 - Google Patents
基于分层级的安全需求指标确定及验证方法、设备和介质 Download PDFInfo
- Publication number
- CN117519647A CN117519647A CN202311424255.6A CN202311424255A CN117519647A CN 117519647 A CN117519647 A CN 117519647A CN 202311424255 A CN202311424255 A CN 202311424255A CN 117519647 A CN117519647 A CN 117519647A
- Authority
- CN
- China
- Prior art keywords
- requirement index
- index
- safety requirement
- level
- whole vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 77
- 238000012795 verification Methods 0.000 title claims description 46
- 238000000354 decomposition reaction Methods 0.000 claims abstract description 41
- 230000006870 function Effects 0.000 claims description 72
- 238000004458 analytical method Methods 0.000 claims description 71
- 238000012502 risk assessment Methods 0.000 claims description 46
- 238000010586 diagram Methods 0.000 claims description 43
- 238000004590 computer program Methods 0.000 claims description 24
- 238000005259 measurement Methods 0.000 claims description 17
- 238000013461 design Methods 0.000 claims description 6
- 230000008447 perception Effects 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 description 11
- 238000011161 development Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000005286 illumination Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000009467 reduction Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 239000000428 dust Substances 0.000 description 2
- 238000011058 failure modes and effects analysis Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000009661 fatigue test Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/10—Requirements analysis; Specification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Educational Administration (AREA)
- Development Economics (AREA)
- Game Theory and Decision Science (AREA)
- Software Systems (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Traffic Control Systems (AREA)
Abstract
本申请公开了一种基于分层级的安全需求指标确定及验证方法、设备、车辆和存储介质,该安全需求指标确定方法包括:确定自动驾驶系统的初始整车级安全需求指标;基于自动驾驶系统中的各子系统,对初始整车级安全需求指标进行指标分解,得到自动驾驶系统的系统级安全需求指标;基于自动驾驶系统中的各组件,对系统级安全需求指标进行指标分解,得到自动驾驶系统的组件级安全需求指标。上述安全需求指标确定方法,可以实现分解出符合预期功能安全的系统级安全需求指标和组件级安全需求指标,使得分解得到的安全需求指标可以直接应用于项目实例,提高了自动驾驶系统的安全需求指标的适用性。
Description
技术领域
本申请涉及车辆安全领域,尤其涉及一种基于分层级的安全需求指标确定及验证方法、设备、车辆和可读存储介质。
背景技术
随着先进的电子、通信及信息技术的快速发展,面向智能化、网联化的新一代汽车技术革新正在世界范围内展开,如何通过合理的保障技术改善功能安全、预期功能安全、信息安全尤为重要。
在自动驾驶系统进行软硬件开发前,需要对软硬件开发部门提出各个组件的预期功能安全(Safety Of The Intended Functionality,SOTIF)。目前,在预期功能安全开发中,工程师会根据多种安全分析方法,如故障树分析法,因果链分析法等,寻找自动驾驶系统的性能局限和触发条件,并基于此提出预期功能安全的安全需求指标。现有的自动驾驶相关标准,虽然对安全需求指标的分析流程作了规定,并对提及的方法也附有解释,但是并未对安全需求指标做出量化分解,导致设计的安全需求指标不适合直接用于项目实例开发,降低了自动驾驶系统的安全需求指标的适用性。
因此,如何提高自动驾驶系统的安全需求指标的适用性成为亟需解决的问题。
发明内容
本申请提供了一种基于分层级的安全需求指标确定及验证方法、设备、车辆和可读存储介质,解决了相关技术设计的安全需求指标不适合直接用于项目实例开发的问题。
第一方面,本申请提供了一种基于分层级的安全需求指标确定方法,所述方法包括:
确定自动驾驶系统的第一安全需求指标,所述第一安全需求指标为所述自动驾驶系统对应的整车级的安全需求指标;基于所述自动驾驶系统中的各子系统,对所述第一安全需求指标进行指标分解,得到每个所述子系统对应的子系统失效率;根据全部所述子系统对应的子系统失效率,确定所述自动驾驶系统对应的系统级的第二安全需求指标。
上述基于分层级的安全需求指标确定方法,通过设定初始整车级安全需求指标,根据各子系统对初始整车级安全需求指标分解出系统级安全需求指标,再根据各组件分解出组件级安全需求指标,实现分解出符合预期功能安全的系统级安全需求指标和组件级安全需求指标,使得分解得到的安全需求指标可以直接应用于项目实例,提高了自动驾驶系统的安全需求指标的适用性。
第二方面,本申请还提供了一种安全需求指标验证方法,所述安全需求指标验证方法包括:
获取自动驾驶系统对应的初始整车级安全需求指标、系统级安全需求指标和组件级安全需求指标;根据所述系统级安全需求指标与所述组件级安全需求指标,确定所述自动驾驶系统待验证的目标整车级安全需求指标;根据所述初始整车级安全需求指标对所述目标整车级安全需求指标进行安全验证;若所述目标整车级安全需求指标通过安全验证,则确定所述自动驾驶系统满足安全需求。
上述安全需求指标验证方法,通过根据系统级安全需求指标与组件级安全需求指标确定待验证的目标整车级安全需求指标,并根据初始整车级安全需求指标对目标整车级安全需求指标进行安全验证,由于组件级安全需求指标构成目标整车级安全需求指标,因此通过验证目标整车级安全需求指标是否满足安全需求,可以实现间接验证组件级安全需求识别是否满足安全需求,可以提高自动驾驶系统在安全需求指标下的可靠性。
第三方面,本申请还提供了一种计算机设备,所述计算机设备包括存储器和处理器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现如上述的基于分层级的安全需求指标确定方法或安全需求指标验证方法。
第四方面,本申请还提供了一种车辆,所述车辆包括存储器和处理器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现如上述的基于分层级的安全需求指标确定方法或安全需求指标验证方法。
第五方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时使所述处理器实现如上述的基于分层级的安全需求指标确定方法或安全需求指标验证方法。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种计算机设备的结构示意性框图;
图2是本申请实施例提供的一种车辆的结构示意性框图;
图3是本申请实施例提供的一种基于分层级的安全需求指标确定方法的示意性流程图;
图4是本申请实施例提供的一种对初始整车级安全需求指标进行指标分解的子步骤的示意性流程图;
图5是本申请实施例提供的一种系统级事件序列图的示意图;
图6是本申请实施例提供的一种基于系统级事件序列图进行指标分解的子步骤的示意性流程图;
图7是本申请实施例提供的一种对系统级安全需求指标进行指标分解的子步骤的示意性流程图;
图8是本申请实施例提供的一种定位系统的软硬件架构图;
图9是本申请实施例提供的一种故障树分析图;
图10是本申请实施例提供的另一种故障树分析图;
图11是本申请实施例提供的一种安全需求指标验证方法的示意性流程图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
附图中所示的流程图仅是示例说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解、组合或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
随着科学技术的发展以及人工智能技术的应用,自动驾驶技术得到了快速的发展和广泛的应用。基于车辆的驾驶自动化水平,现有的SAE J3016标准将驾驶自动化划分为6个等级,也即是L0-L5等级,分别为无驾驶自动化(No Automation,L0)、驾驶辅助(DriverAssistance,L1)、部分驾驶自动化(Partial Automation,L2)、有条件驾驶自动化(Conditional Automation,L3)、高度驾驶自动化(High Automation,L4)和完全驾驶自动化(Full Automation,L5)。随着驾驶自动化等级的不断提高,在驾驶活动中,人的参与程度越来越低。这对自动驾驶系统的安全性提出巨大挑战,如何能够保证自动驾驶系统比普通驾驶员驾驶更加安全,对此自动驾驶功能安全及预期功能安全研究人员做了大量工作。
其中,功能安全主要负责保障整车电子电气的安全指标符合ISO26262标准要求,预期功能安全则需要考虑由于预期功能不足或人为误用导致的安全指标符合ISO21448标准要求。
目前,自动驾驶预期功能安全分析工作主要基于ISO21448、ISO26262等标准,常用的分析方法包括系统理论过程分析(System-Thertic Process Analysis,STPA)、故障模式与影响分析(Failure Mode and Effects Analysis,FMEA)、故障树分析(Fault TreeAnalysis,FTA)和事件树分析(Event Tree Analysis,ETA)等。自动驾驶的相关标准,虽然对预期功能安全的分析流程作了规定,并对提及的方法也附有解释,但是缺乏能够从整车安全需求指标到系统级安全需求指标,再到组件级安全需求指标的完整分析框架,对于安全需求指标的分析也无法做出量化分解,因此,现有的整车安全需求指标并不能适合直接用于项目开发,降低了自动驾驶系统的安全需求指标的适用性。
为此,本申请实施例提供了一种基于分层级的安全需求指标确定及验证方法、设备、车辆和可读存储介质,可以通过设定初始整车级安全需求指标,根据各子系统对初始整车级安全需求指标分解出系统级安全需求指标,再根据各组件分解出组件级安全需求指标,实现分解出符合预期功能安全的系统级安全需求指标和组件级安全需求指标,使得分解得到的安全需求指标可以直接应用于项目实例,提高了自动驾驶系统的安全需求指标的适用性。
此外,本申请实施例中的基于分层级的安全需求指标确定方法不需要由工程师分析出定性安全需求以及由工程师经验确定具体的量化指标,可以有效提高指标分解的效率,以及提高自动驾驶系统的安全需求指标的准确性。
需要说明的是,在本申请实施例中,安全需求指标是指满足预期功能安全要求的安全指标。
在一些实施例中,本申请实施例中提供的基于分层级的安全需求指标确定及验证方法可以应用于计算机设备。
示例性的,计算机设备可以是服务器,也可以是终端。在本申请实施例中,计算机设备可以是独立的电子设备,也可以是部署于车辆的电子设备。其中,服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑和台式电脑等电子设备。
请参阅图1,图1是本申请实施例提供的一种计算机设备100的结构示意性框图。在图1中,计算机设备100包括处理器1001和存储器1002,其中,处理器1001和存储器1002通过总线连接,该总线比如为集成电路(Inter-integrated Circuit,I2C)总线等任意适用的总线。
其中,存储器1002可以包括存储介质和内存储器。存储介质可以是易失性存储介质,也可以是非易失性存储介质。存储介质可存储操作系统和计算机程序。该计算机程序包括程序指令,该程序指令被执行时,可使得处理器1001执行本申请实施例中任意一项基于分层级的安全需求指标确定方法或安全需求指标验证方法。
处理器1001用于提供计算和控制能力,支撑整个计算机设备100的运行。
其中,处理器1001可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等类型的处理器。通用处理器可以是微处理器或者,通用处理器也可以是任何常规的处理器等。
其中,处理器1001用于运行存储在存储器1002中的计算机程序,并在执行计算机程序时实现如下步骤:
确定自动驾驶系统的初始整车级安全需求指标,初始整车级安全需求指标为自动驾驶系统能够满足预期功能安全的预设指标;基于自动驾驶系统中的各子系统,对初始整车级安全需求指标进行指标分解,得到自动驾驶系统的系统级安全需求指标;基于自动驾驶系统中的各组件,对系统级安全需求指标进行指标分解,得到自动驾驶系统的组件级安全需求指标。
在一个实施例中,处理器1001在实现确定自动驾驶系统的初始整车级安全需求指标时,用于实现:
获取车辆在预设的操作设计域内运行的真实驾驶数据;对真实驾驶数据进行危害事件统计,获得车辆的危害事件发生数据;基于预设的安全裕度,根据危害事件发生数据,确定初始整车级安全需求指标。
在一个实施例中,处理器1001在实现基于自动驾驶系统中的各子系统,对初始整车级安全需求指标进行指标分解,得到自动驾驶系统的系统级安全需求指标时,用于实现:
依次将自动驾驶系统对应的至少一个功能场景确定为当前功能场景;基于当前功能场景,对初始整车级安全需求指标进行风险评估以及整车功能分析,得到当前功能场景对应的风险评估结果和整车功能安全需求指标;获取自动驾驶系统在当前功能场景下的系统级事件序列图;基于系统级事件序列图,根据当前功能场景对应的风险评估结果和整车功能安全需求指标进行指标分解,得到每个子系统在当前功能场景下的系统级安全需求指标。
在一个实施例中,处理器1001在实现基于当前功能场景,对初始整车级安全需求指标进行风险评估以及整车功能分析,得到当前功能场景对应的风险评估结果和整车功能安全需求指标时,用于实现:
对当前功能场景中的可控性、严重度以及场景元素进行风险评估,获得当前功能场景对应的风险评估结果;根据当前功能场景对应的风险评估结果,确定当前功能场景对应的剩余风险验收指标;根据当前功能场景对应的剩余风险验收指标,确定当前功能场景对应的整车功能安全需求指标,其中,整车功能安全需求指标小于或等同于剩余风险验收指标。
在一个实施例中,自动驾驶系统的子系统为定位系统、感知系统、规划系统和控制系统;处理器1001在实现基于系统级事件序列图,根据当前功能场景对应的风险评估结果和整车功能安全需求指标进行指标分解,得到每个子系统在当前功能场景下的系统级安全需求指标时,用于实现:
根据当前功能场景对应的风险评估结果,确定系统级事件序列图中的初始事件;根据当前功能场景对应的整车功能安全需求指标,确定初始事件的整车功能安全需求指标;基于系统级事件序列图中的每个子系统发生危害事件的概率,对初始事件的整车功能安全需求指标进行指标分解,得到各子系统对应的危害事件发生概率;根据每个子系统对应的危害事件发生概率,确定每个子系统在当前功能场景下的系统级安全需求指标。
在一个实施例中,处理器1001在实现根据当前功能场景对应的风险评估结果,确定系统级事件序列图中的初始事件时,用于实现:
从当前功能场景对应的风险评估结果中,获取整车危害事件;根据整车危害事件,确定发生危害前的事件;根据发生危害前的事件,确定初始事件。
在一个实施例中,自动驾驶系统的系统级安全需求指标包括每个子系统对应的危害事件发生概率;处理器1001在实现基于自动驾驶系统中的各组件,对系统级安全需求指标进行指标分解,得到自动驾驶系统的组件级安全需求指标时,用于实现:
依次将每个子系统确定为当前子系统;确定当前子系统对应的目标故障树分析图,目标故障树分析图包括导致当前子系统发生危害事件的组件对应的触发条件;根据组件对应的触发条件对当前子系统对应的危害事件发生概率进行分解,得到当前子系统对应的组件级安全需求指标。
在一个实施例中,处理器1001在实现确定当前子系统对应的目标故障树分析图时,用于实现:
获取当前子系统对应的初始故障树分析图;基于贝叶斯网络,对初始故障树分析图进行场景元素叠加,得到场景元素叠加后的初始故障树分析图;根据场景元素叠加后的初始故障树分析图,确定目标故障树分析图。
在一个实施例中,处理器1001用于实现:
获取自动驾驶系统对应的初始整车级安全需求指标、系统级安全需求指标和组件级安全需求指标;根据系统级安全需求指标与组件级安全需求指标,确定自动驾驶系统待验证的目标整车级安全需求指标;根据初始整车级安全需求指标对目标整车级安全需求指标进行安全验证;若目标整车级安全需求指标通过安全验证,则确定自动驾驶系统满足安全需求。
在一个实施例中,组件级安全需求指标包括第j个功能场景下的第i个子系统满足第k个触发条件的第一概率、第j个功能场景下的第i个子系统满足第k个触发条件时,组件发生性能局限的第二概率;系统级安全需求指标包括组件满足触发条件时,第j个功能场景下的第i个子系统的危害事件发生概率;处理器1001在实现根据系统级安全需求指标与组件级安全需求指标,确定自动驾驶系统待验证的目标整车级安全需求指标时,用于实现:
根据第一概率、第二概率以及危害事件发生概率进行计算,得到每个功能场景下的整车功能安全需求指标;根据全部功能场景下的整车功能安全需求指标,确定目标整车级安全需求指标。
在一个实施例中,处理器1001还用于实现:
从所述自动驾驶系统对应的功能场景数据库,获取第j个所述功能场景下的第i个所述子系统对应的位置、航向以及速度;根据所述位置对应的圆概率误差、所述航向对应的圆概率误差以及所述速度对应的圆概率误差,确定第j个所述功能场景下的第i个所述子系统的危害事件发生概率。
在一个实施例中,目标整车级安全需求指标包括多个功能场景对应的整车功能安全需求指标,初始整车级安全需求指标包括每个功能场景对应的剩余风险验收指标;处理器1001在实现根据初始整车级安全需求指标对目标整车级安全需求指标进行安全验证时,用于实现:
将每个功能场景对应的整车功能安全需求指标与剩余风险验收指标进行对比;若全部功能场景对应的整车功能安全需求指标均小于或等于相应的剩余风险验收指标,则确定目标整车级安全需求指标通过安全验证。
在另一些实施例中,本申请实施例提供的基于分层级的安全需求指标确定及验证方法还可以应用于车辆中,车辆可以通过设定初始整车级安全需求指标,根据各子系统对初始整车级安全需求指标分解出系统级安全需求指标,再根据各组件分解出组件级安全需求指标,实现分解出符合预期功能安全的系统级安全需求指标和组件级安全需求指标,使得分解得到的安全需求指标可以直接应用于项目实例,提高了自动驾驶系统的安全需求指标的适用性。
示例性的,车辆可以是具有自动驾驶系统(Autonomous Vehicle System,ADS)的车辆。其中,自动驾驶系统是指由硬件和软件组成的能够持续执行全部动态驾驶任务的系统,不考虑是否有运行工况的限制。比如,自动驾驶系统是指由硬件和软件组成的能够持续执行部分或者全部动态驾驶任务(Dynamic Driving Task)的系统。
请参阅图2,图2是本申请实施例提供的一种车辆200的结构示意性框图。在图2中,车辆200包括处理器2001和存储器2002,其中,处理器2001和存储器2002通过总线连接,该总线比如为集成电路(Inter-integrated Circuit,I2C)总线等任意适用的总线。
其中,存储器2002可以包括存储介质和内存储器。存储介质可以是易失性存储介质,也可以是非易失性存储介质。存储介质可存储操作系统和计算机程序。该计算机程序包括程序指令,该程序指令被执行时,可使得处理器2001执行本申请实施例中任意一项基于分层级的安全需求指标确定方法或安全需求指标验证方法。
处理器2001用于提供计算和控制能力,支撑整个车辆200的运行。
其中,处理器2001可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等类型的处理器。通用处理器可以是微处理器或者,通用处理器也可以是任何常规的处理器等。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。请参阅图3,图3是本申请实施例提供的一种基于分层级的安全需求指标确定方法的示意性流程图。如图3所示,该基于分层级的安全需求指标确定方法可以包括步骤S10至步骤S30。
步骤S10、确定自动驾驶系统的初始整车级安全需求指标,初始整车级安全需求指标为自动驾驶系统能够满足预期功能安全的预设指标。
示例性的,可以确定自动驾驶系统的初始整车级安全需求指标,其中,初始整车级安全需求指标为自动驾驶系统能够满足预期功能安全的预设指标。
需要说明的是,在本申请实施例中,可以先从自然驾驶数据库采集普通驾驶员的真实驾驶数据,根据真实驾驶数据统计普通驾驶员在驾驶车辆过程中发生碰撞、追尾等危害事件的频率,最后根据普通驾驶员在驾驶车辆过程中发生危害事件的频率来设定一个初始整车级安全需求指标。以下将对如何确定初始整车级安全需求指标作详细说明。
在一些实施例中,确定自动驾驶系统的初始整车级安全需求指标,可以包括:获取车辆在预设的操作设计域内运行的真实驾驶数据;对真实驾驶数据进行危害事件统计,获得车辆的危害事件发生数据;基于预设的安全裕度,根据危害事件发生数据,确定初始整车级安全需求指标。
示例性的,可以从自然驾驶数据库获取车辆在预设的操作设计域(OperationalDesign Domain,ODD)内运行的真实驾驶数据,对真实驾驶数据进行危害事件统计,获得车辆的危害事件发生数据。其中,运行设计域在自动驾驶中扮演着重要角色,一般包括:地理位置、道路类型、速度范围、天气和时间等。
示例性的,危害事件发生数据可以包括普通驾驶员在驾驶车辆过程中发生碰撞、追尾等危害事件的频率、发生危害事件之间的距离,等等。例如,危害事件发生数据如下:
D基准=发生危害事件之间的距离,F基准=每公里发生危害事件的频率(事件/公里)。
示例性的,可以基于预设的安全裕度,根据危害事件发生数据,确定初始整车级安全需求指标。其中,预设的安全裕度可以根据实际情况设定,具体数值在此不作限定。在本申请实施例中,根据期望在相同的ODD内运行时,自动驾驶系统比普通人类驾驶员更安全的要求,提出自动驾驶系统应满足50%的安全裕度。例如,D基准-SF=D基准×150%,F基准-SF=F基准×150%。
例如,将增加安全裕度后的危害事件发生数据,确定为初始整车级安全需求指标。其中,初始整车级安全需求指标可以表示为λ:每X公里发生一次危害事件,或者每公里发生危害事件的频率为X(事件/公里)。
上述实施例,通过基于预设的安全裕度,根据危害事件发生数据确定初始整车级安全需求指标,可以确保自动驾驶系统比普通人类驾驶员具有更安全的指标,提高了初始整车级安全需求指标的可靠性与安全性。
步骤S20、基于自动驾驶系统中的各子系统,对初始整车级安全需求指标进行指标分解,得到自动驾驶系统的系统级安全需求指标。
示例性的,自动驾驶系统可以包括定位系统、感知系统、规划系统和控制系统等子系统。可以基于定位系统、感知系统、规划系统和控制系统,对初始整车级安全需求指标进行指标分解,得到自动驾驶系统的系统级安全需求指标。
在一些实施例中,可以基于不同的功能场景对初始整车级安全需求指标进行指标分解,得到每个子系统在各功能场景下的系统级安全需求指标。其中,可以根据不同的整车功能和运行场景进行组合,得到功能场景。例如,整车功能可以包括跟车功能、变道功能以及停车功能,等等;运行场景可以包括元素园区行驶、自车安全员、白天晴朗等等。功能场景可以包括但不限于车道内无法跟随前车减速、车道内跟随前车减速过快、外部车辆或障碍物侵入车道时,自车制动丢失,等等。以下将以跟车功能为例,说明如何对初始整车级安全需求指标进行指标分解。
请参阅图4,图4是本申请实施例提供的一种对初始整车级安全需求指标进行指标分解的子步骤的示意性流程图。如图4所示,步骤S20可以包括步骤S201至步骤S204。
步骤S201、依次将自动驾驶系统对应的至少一个功能场景确定为当前功能场景。
示例性的,可以依次将自动驾驶系统对应的至少一个功能场景确定为当前功能场景。例如,可以将自动驾驶系统中的车道内无法跟随前车减速这一功能场景确定为当前功能场景。
步骤S202、基于当前功能场景,对初始整车级安全需求指标进行风险评估以及整车功能分析,得到当前功能场景对应的风险评估结果和整车功能安全需求指标。
在本申请实施例中,可以对初始整车级安全需求指标进行危害分析和风险评估(Hazard Analysis and Risk Assessment,HARA)。需要说明的是,危害分析和风险评估的目的是识别相关项中因故障而引起的危害并对危害进行归类,并制定防止危害事件发生或减轻危害程度的安全目标,以避免不合理的风险。其中,危害分析是指分析各种潜在危害和事故对车辆和乘客的影响。风险评估是指识别和评估不同功能场景下的可控性、严重度以及场景元素,得到风险评估结果。
在一些实施例中,基于当前功能场景,对初始整车级安全需求指标进行风险评估以及整车功能分析,得到当前功能场景对应的风险评估结果和整车功能安全需求指标,可以包括:对当前功能场景中的可控性、严重度以及场景元素进行风险评估,获得当前功能场景对应的风险评估结果;根据当前功能场景对应的风险评估结果,确定当前功能场景对应的剩余风险验收指标;根据当前功能场景对应的剩余风险验收指标,确定当前功能场景对应的整车功能安全需求指标,其中,整车功能安全需求指标小于或等同于剩余风险验收指标。
需要说明的是,剩余风险验收指标是指对危害行为或危害事件的接受标准。其中,剩余风险验收指标的具体计算过程,可以参见ISO21448标准要求中的计算过程,在此不作赘述。
示例性的,当前功能场景对应的风险评估结果和剩余风险验收指标,如表1所示:
表1
示例性的,如表1所示,当前功能场景对应的剩余风险验收指标为每73000公里发生1起危险碰撞。
示例性的,根据当前功能场景对应的剩余风险验收指标,确定当前功能场景对应的整车功能安全需求指标。其中,整车功能安全需求指标小于或等同于剩余风险验收指标,例如,当剩余风险验收指标为每73000公里发生1起危险碰撞时,整车功能安全需求指标为每73000公里发生1起危险碰撞。
示例性的,整车功能安全需求指标可以表示为λMF00j,MF00j表示第j个功能场景。其中,所有功能场景下的整车功能安全需求指标λMF00j之和不超过初始整车级安全需求指标λ,即
上述实施例,通过基于不同的功能场景对初始整车级安全需求指标进行风险评估以及整车功能分析,可以得到不同的当前功能场景对应的风险评估结果和整车功能安全需求指标,后续可以根据不同的当前功能场景对应的风险评估结果和整车功能安全需求指标进行指标分解,得到每个子系统在不同的功能场景下的系统级安全需求指标。
步骤S203、获取自动驾驶系统在当前功能场景下的系统级事件序列图。
示例性的,可以获取自动驾驶系统在当前功能场景下的系统级事件序列图(EvenSequence Diagram,ESD)。需要说明的是,ESD是一种对关联事件顺序进行描述的可视化图形方法。在本申请实施例中,可以采用ESD描述车辆在不同功能场景下的系统级事件序列。
请参阅图5,图5是本申请实施例提供的一种系统级事件序列图的示意图。如图5所示,系统级事件序列图可以包括定位系统、感知系统、规划系统和控制系统各自是否需要做出操作以及无法做出相应操作可能会引发危害事件的概率。
步骤S204、基于系统级事件序列图,根据当前功能场景对应的风险评估结果和整车功能安全需求指标进行指标分解,得到每个子系统在当前功能场景下的系统级安全需求指标。
示例性的,在获取自动驾驶系统在当前功能场景下的系统级事件序列图之后,可以基于系统级事件序列图,根据当前功能场景对应的风险评估结果和整车功能安全需求指标进行指标分解,得到每个子系统在当前功能场景下的系统级安全需求指标。以下将对如何基于系统级事件序列图进行指标分解作详细说明。
请参阅图6,图6是本申请实施例提供的一种基于系统级事件序列图进行指标分解的子步骤的示意性流程图。如图6所示,步骤S204可以包括步骤S2041至步骤S2044。
步骤S2041、根据当前功能场景对应的风险评估结果,确定系统级事件序列图中的初始事件。
示例性的,可以根据根据当前功能场景对应的风险评估结果,确定系统级事件序列图中的初始事件。
在一些实施例中,根据当前功能场景对应的风险评估结果,确定系统级事件序列图中的初始事件,可以包括:从当前功能场景对应的风险评估结果中,获取整车危害事件;根据整车危害事件,确定发生危害前的事件;根据发生危害前的事件,确定初始事件。
示例性的,在表1中,对于车道内无法跟随前车减速这一功能场景,可以获取整车危害事件,例如,车道内无法跟随前车减速。然后,根据整车危害事件进行时间回溯分析,得到发生危害前的事件,例如,车辆停止车道内。最后,将发生危害前的事件,确定初始事件,例如,初始事件为车辆停止车道内。
步骤S2042、根据当前功能场景对应的整车功能安全需求指标,确定初始事件的整车功能安全需求指标。
示例性的,在确定系统级事件序列图中的初始事件之后,可以根据当前功能场景对应的整车功能安全需求指标,确定初始事件的整车功能安全需求指标。例如,可以将当前功能场景对应的整车功能安全需求指标,确定为初始事件的整车功能安全需求指标。
步骤S2043、基于系统级事件序列图中的每个子系统发生危害事件的概率,对初始事件的整车功能安全需求指标进行指标分解,得到各子系统对应的危害事件发生概率。
示例性的,如图5所示,基于系统级事件序列图中的每个子系统发生危害事件的概率,对初始事件的整车功能安全需求指标进行指标分解的步骤如下:可以先确定定位系统是否能够准确知道自身位姿,若该判断为否,则可能引发整车危害事件的概率为PE1,即定位系统的危害事件发生概率为PE1;感知系统若无法及时检测出前方停车减速,可能引发整车危害事件的概率为PE2,即感知系统的危害事件发生概率为PE2;若决策系统若无法做出安全决策操作,可能引发整车危害事件的概率为PE3,即决策系统的危害事件发生概率为PE3;若控制系统若无法做出安全决策操作,可能引发整车危害事件的概率为PE4,即控制系统的危害事件发生概率为PE4。若所有的子系统都能做出相应的操作,则所有子系统均正常。
其中,各子系统对应的危害事件发生概率与初始事件的整车功能安全需求指标之间的关系如下:
在公式(2)中,定位系统、感知系统、规划系统和控制系统对应的危害事件发生概率之和小于或等于初始事件的整车功能安全需求指标λMF001。其中,λMF001表示第1个功能场景下的整车功能安全需求指标,即车道内无法跟随前车减速这一功能场景下的整车功能安全需求指标。
步骤S2044、根据每个子系统对应的危害事件发生概率,确定每个子系统在当前功能场景下的系统级安全需求指标。
示例性的,在得到各子系统对应的危害事件发生概率之后,可以根据每个子系统对应的危害事件发生概率,确定每个子系统在当前功能场景下的系统级安全需求指标。例如,可以将每个子系统对应的危害事件发生概率,确定为每个子系统在当前功能场景下的系统级安全需求指标。其中,系统级安全需求指标可以表示为PEi。
上述实施例,通过基于系统级事件序列图,根据当前功能场景对应的风险评估结果和整车功能安全需求指标进行指标分解,可以得到每个子系统在不同功能场景下的系统级安全需求指标。
步骤S30、基于自动驾驶系统中的各组件,对系统级安全需求指标进行指标分解,得到自动驾驶系统的组件级安全需求指标。
在一些实施例中,在对初始整车级安全需求指标进行指标分解,得到自动驾驶系统的系统级安全需求指标之后,可以基于自动驾驶系统中的各组件,对系统级安全需求指标进行指标分解,得到自动驾驶系统的组件级安全需求指标。
示例性的,组件可以是自动驾驶系统中的各子系统的组件。例如,可以基于定位系统中的组件,对定位系统对应的系统级安全需求指标进行指标分解,得到定位系统对应的组件级安全需求指标。又例如,可以基于感知系统中的组件,对感知系统对应的系统级安全需求指标进行指标分解,得到感知系统对应的组件级安全需求指标。
请参阅图7,图7是本申请实施例提供的一种对系统级安全需求指标进行指标分解的子步骤的示意性流程图。如图7所示,步骤S30可以包括步骤S301至步骤S303。
步骤S301、依次将每个子系统确定为当前子系统。
示例性的,可以依次将每个子系统确定为当前子系统。在本申请实施例中,将以定位系统为例,说明如何根据定位系统的组件对定位系统对应的系统级安全需求指标进行指标分解。
步骤S302、确定当前子系统对应的目标故障树分析图,目标故障树分析图包括导致当前子系统发生危害事件的组件对应的触发条件。
需要说明的是,故障树分析是一种将系统风险与事件以树状结构表示的方法,用于分析系统的可靠性与安全性。在本申请实施例中,可以利用故障树分析图,结合各子系统已知软件和硬件架构,分别将定位系统、感知系统、规划系统和控制系统对应的系统级安全需求指标分解到导致系统级危害发生的软硬件,从而得到组件级安全需求指标。以下将以定位系统为例,根据定位系统已知的软件和硬件架构,采用故障树分析图将定位系统的系统级安全需求指标分解到组件级安全需求指标。
请参阅图8,图8是本申请实施例提供的一种定位系统的软硬件架构图。如图8所示,定位系统中的硬件组件可以包括但不限于激光雷达、单目相机、差分定位(Real-timekinematic,RTK)、惯性测量单元(Inertial Measurement Unit,IMU)、轮速计WHEEL,等等;定位系统中的软件组件可以包括但不限于激光定位、语义定位、组合定位、航迹推算、惯性导航定位(Inertial Navigation System,INS),等等。
示例性的,可以获取定位系统对应的目标故障树分析图,目标故障树分析图包括导致当前子系统发生危害事件的组件对应的触发条件。
其中,触发条件可以包括以下至少一项:激光雷达硬件故障,摄像机硬件故障,惯性测量单元硬件故障,轮速计硬件故障,差分定位硬件故障,时间戳故障,航迹推算故障,激光定位故障,语义定位故障,组合定位故障。可以理解的是,触发条件是指导致组件发生性能局限(Performance Limitation,PL)的条件。
请参阅图9,图9是本申请实施例提供的一种故障树分析图。如图9所示,图9是跟车功能-自车定位系统失效导致丢失制动发生追尾的危害事件的故障树分析图,发生危害事件的原因可以分为全局定位检测失效和局部定位检测失效两种情况。其中,全局定位检测失效和局部定位检测失效可以进一步从传感器硬件性能不足和融合算法性能局限两种情况进行分析。其中,从全局定位检测失效的角度来看,导致当前子系统发生危害事件的组件对应的触发条件可以包括激光雷达硬件故障、摄像机硬件故障、惯性测量单元硬件故障、轮速计硬件故障、差分定位硬件故障、时间戳故障、航迹推算故障、激光定位故障、语义定位故障以及组合定位故障等等。从局部定位检测失效的角度来看,导致当前子系统发生危害事件的组件对应的触发条件可以包括激光雷达硬件故障、惯性测量单元硬件故障、航迹推算故障以及激光定位故障。
其中,激光雷达硬件故障的类型(图中未示出)可以分为:激光雷达受天气影响,导致激光原始点云噪声大,雨雾扬尘等天气。摄像机硬件故障的类型可以分为:摄像头畸变过大,导致标定物误匹配,摄像头固定不牢固,导致与标定物误匹配,摄像头受光照影响,导致标定物误匹配、明暗交替(隧道口),强光直射(阳光、测速闪光灯、反光等),背光行驶,夜晚光照强度低。惯性测量单元硬件故障的类型可以分为:惯性测量单元结果未输出,惯性测量单元结果初始化失败,惯性测量单元结果跳变超过阈值,惯性测量单元结果的帧率过低。轮速计硬件故障的类型可以分为:轮速结果打滑,轮速结果延时,轮速结果卡顿,轮速结果跳变。差分定位硬件故障的类型可以分为:受建筑物遮挡,导致RTK结果未及时收到,如隧道、闸口等区域。时间戳故障的类型可以分为:惯性测量单元结果时间戳跳变,惯性测量单元结果时间戳相差过大,惯性测量单元结果时间戳回退,惯性测量单元结果时间戳不刷新。航迹推算故障的类型可以分为:INS结果无fixed解,INS假fixed,定位偏差过大。激光定位故障的类型可以分为:激光定位误匹配,雨雾扬尘等天气,影响激光雷达识别效果。语义定位故障的类型可以分为:语义定位误匹配,光照强度不适宜,影响相机识别效果。组合定位故障的类型可以分为:多融合定位结果不收敛,组合定位结果偏差过大。
在一些实施例中,确定当前子系统对应的目标故障树分析图,包括:获取当前子系统对应的初始故障树分析图;基于贝叶斯网络,对初始故障树分析图进行场景元素叠加,得到场景元素叠加后的初始故障树分析图;根据场景元素叠加后的初始故障树分析图,确定目标故障树分析图。
需要说明的是,本申请实施例在进行故障树分析时,考虑到场景中元素的复杂性,可以使用贝叶斯网络来简化故障树分析图中的场景,同时由于有些场景元素也是导致组件发生性能局限的触发条件,因此引入贝叶斯网络,可以生成不同的危险场景,同时可以简化计算,便于计算组件级安全需求指标。
示例性的,对于定位系统,可以获取定位系统对应的初始故障树分析图,然后基于贝叶斯网络,对初始故障树分析图进行场景元素叠加,得到场景元素叠加后的初始故障树分析图。
其中,场景元素可以是车辆元素还可以是车辆元素之外的其它元素,例如道路元素、交通基础设施、环境、数字信息等元素。
请参阅图10,图10是本申请实施例提供的另一种故障树分析图。如图10所示,可以利用贝叶斯网络,对初始故障树分析图进行场景元素叠加,得到场景元素叠加后的初始故障树分析图。例如,不同程度雨雾天气场景元素的出现概率分别为:无雨雾天气为60%、小雨雾为30%、中雨雾为10%,不同程度光照强度出现概率分别为:暗光为10%、正常光照为80%、强光为10%。由于强光和中雨引发的相机性能局限,其触发条件的概率PTC为触发条件的场景元素强光及中雨叠加出现的概率,发生强光事件或中雨事件是两个独立事件,假定其发生概率分别为:强光P(A)=10%,中雨P(B)=10%,则相机发生性能局限的触发条件的概率为PTC=P(A∩B)=P(A)×P(B)=1%。通过贝叶斯公式进行计算,就可以将天气场景元素叠加到触发条件的计算中,简化计算过程,不再需要在HARA分析中对天气场景元素进行单独分析。
上述实施例,通过基于贝叶斯网络对初始故障树分析图进行场景元素叠加,可以生成不同的危险场景,提高了场景的多样性,同时可以简化计算,便于计算组件级安全需求指标。
步骤S303、根据组件对应的触发条件对当前子系统对应的危害事件发生概率进行分解,得到当前子系统对应的组件级安全需求指标。
示例性的,在获得导致当前子系统发生危害事件的组件对应的触发条件之后,可以根据组件对应的触发条件对当前子系统对应的危害事件发生概率进行分解,得到当前子系统对应的组件级安全需求指标。
其中,组件级安全需求指标包括:第j个功能场景下的当前子系统满足第k个触发条件的第一概率,以及第j个功能场景下的当前子系统满足第k个触发条件时,组件发生性能局限的第二概率。
示例性的,对于定位系统,在根据组件对应的触发条件对当前子系统对应的危害事件发生概率进行分解时,可以根据贝叶斯公式进行分解:
在公式(3)中,PTC,k表示在车道内无法跟随前车减速的功能场景下的定位系统满足第k个触发条件的第一概率,PPL|TC,k表示在车道内无法跟随前车减速的功能场景下的定位系统满足第k个触发条件时,组件发生性能局限的第二概率,PTC表示场景元素的出现概率。
上述实施例,通过设定初始整车级安全需求指标,根据各子系统对初始整车级安全需求指标分解出系统级安全需求指标,再根据各组件分解出组件级安全需求指标,实现分解出符合预期功能安全的系统级安全需求指标和组件级安全需求指标,使得分解得到的安全需求指标可以直接应用于项目实例,提高了自动驾驶系统的安全需求指标的适用性。
在本申请实施例中,在得到系统级安全需求指标与组件级安全需求指标之后,还需要对系统级安全需求指标与组件级安全需求指标进行验证,以确定自动驾驶系统的整车级安全需求指标是否满足预期功能安全的安全需求。以下将对验证安全需求指标作详细说明。
请参阅图10,图10是本申请实施例提供的一种安全需求指标验证方法的示意性流程图。如图10所示,该安全需求指标验证方法可以包括步骤S401至步骤S403。
步骤S401、获取自动驾驶系统对应的初始整车级安全需求指标、系统级安全需求指标和组件级安全需求指标。
示例性的,可以获取自动驾驶系统的初始整车级安全需求指标λ,以及通过指标分解得到的系统级安全需求指标PEi以及组件级安全需求指标(PTC,k,PPL|TC,k)。其中,初始整车级安全需求指标λ、系统级安全需求指标PEi和组件级安全需求指标(PTC,k,PPL|TC,k),可以根据上述实施例中的基于分层级的安全需求指标确定方法得到,在此不作赘述。
步骤S402、根据系统级安全需求指标与组件级安全需求指标,确定自动驾驶系统待验证的目标整车级安全需求指标。
示例性的,可以将上述公式(1)、公式(2)以及公式(3)进行归纳,建立起整车级安全需求指标与系统级安全需求指标以及组件级安全需求指标之间的关系:
在公式(4)中,PTC,k,i,j表示第j个功能场景下的第i个子系统满足第k个触发条件的第一概率,PPL|TC,k,i,j表示第j个功能场景下的第i个子系统满足第k个触发条件时,组件发生性能局限的第二概率。PEi,j|PL表示系统级安全需求指标包括组件满足触发条件时,第j个功能场景下的第i个子系统的危害事件发生概率。
在一些实施例中,根据系统级安全需求指标与组件级安全需求指标,确定自动驾驶系统待验证的目标整车级安全需求指标,可以包括:根据第一概率、第二概率以及危害事件发生概率进行计算,得到每个功能场景下的整车功能安全需求指标;根据全部功能场景下的整车功能安全需求指标,确定目标整车级安全需求指标。
示例性的,可以将第一概率、第二概率以及危害事件发生概率代入公式(4)进行计算,得到每个功能场景下的整车功能安全需求指标,即公式(4)中的然后,将根据全部功能场景下的整车功能安全需求指标,确定为目标整车级安全需求指标。
需要说明的是,在本申请实施例中,由于触发条件基本由极端天气和恶劣环境等场景构成,因此可以通过对运营场景数据进行分析得到触发条件发生的第一概率PTC,k,i,j,可以通过对组件进行相应触发条件发生时的疲劳测试得到组件发生性能局限的第二概率PPL|TC,k,i,j。而组件满足触发条件时,第j个功能场景下的第i个子系统的危害事件发生概率PEi,j|PL,通常是由于组件的精度不足导致发生危害事件,因此可以建立组件的精度与危害事件发生概率PEi,j|PL之间的数学关系,进而可以根据组件的精度确定危害事件发生概率PEi,j|PL。以下将以定位系统为例,说明如何根据组件的精度确定定位系统的组件满足触发条件时,定位系统的危害事件发生概率PEi,j|PL。
在一些实施例中,从自动驾驶系统对应的功能场景数据库,获取第j个功能场景下的第i个子系统对应的位置、航向以及速度;根据位置对应的圆概率误差、航向对应的圆概率误差以及速度对应的圆概率误差,确定第j个功能场景下的第i个子系统的危害事件发生概率。
在定位系统中,定位相关的危害事件是由于定位精度不足所导致。定位精度可以采用圆概率误差CEP(Circular Error Probable)作为衡量指标,即以天线真实位置为圆心,偏离圆心特定值为半径,利用多次测量得到的二维定位离散分布结果来度量误差。在触发条件出现的工作场景下,自车定位精度可以利用位置、航向、速度各自的圆概率误差来评价,其中,定位精度越低,定位系统的危害事件发生概率越大。因此,在本申请实施例中,在计算定位系统的危害事件发生概率时,可以将位置、航向、速度各自的圆概率误差为评价指标,基于功能场景数据库中的具体数据,找出导致定位系统的发生危害事件的边界圆概率误差,然后用整体减去边界圆概率误差就可得到定位系统在触发条件出现时的危害事件发生概率。
示例性的,危害事件发生概率PEi,j|PL,可以通过下式公式计算:
PEi,j|PL=1-CEP边 (5)
在公式(5)中,CEP边表示边界圆概率误差。
示例性的,在根据位置对应的圆概率误差、航向对应的圆概率误差以及速度对应的圆概率误差,确定第j个功能场景下的第i个子系统的危害事件发生概率时,可以先根据位置对应的圆概率误差、航向对应的圆概率误差以及速度对应的圆概率误差,确定边界圆概率误差CEP边,再将边界圆概率误差CEP边代入上述公式(5)中,计算得到危害事件发生概率PEi,j|PL。
在一些实施例中,可以选用当前功能场景下位置、航向、速度中对危害事件的发生影响最直接的指标来确定边界圆概率误差CEP边。例如,若位置对危害事件的发生影响最直接,则可以将位置对应的圆概率误差确定为边界圆概率误差CEP边。又例如,若速度对危害事件的发生影响最直接,则可以将速度对应的圆概率误差确定为边界圆概率误差CEP边。
在另一些实施例中,可以基于预设的权重计算公式,对位置对应的圆概率误差、航向对应的圆概率误差以及速度对应的圆概率误差进行加权取平均值,得到边界圆概率误差CEP边。其中,各指标对应的权重可以根据实际情况设定,具体数值在此不作限定。
上述实施例,通过根据位置对应的圆概率误差、航向对应的圆概率误差以及速度对应的圆概率误差确定第j个功能场景下的第i个子系统的危害事件发生概率,可以实现根据影响定位精度的各项指标确定危害事件发生概率,提高了确定危害事件发生概率的准确度。
示例性的,在根据第一概率、第二概率以及危害事件发生概率进行计算,得到每个功能场景下的整车功能安全需求指标之后,可以根据全部功能场景下的整车功能安全需求指标,确定目标整车级安全需求指标。例如,可以将全部功能场景下的整车功能安全需求指标,确定为目标整车级安全需求指标。其中,目标整车级安全需求指标可以表示为
步骤S403、根据初始整车级安全需求指标对目标整车级安全需求指标进行安全验证。
需要说明的是,由于目标整车级安全需求指标包括多个功能场景对应的整车功能安全需求指标,初始整车级安全需求指标包括每个功能场景对应的剩余风险验收指标,因此,可以通过将目标整车级安全需求指标中的每个个功能场景对应的整车功能安全需求指标与初始整车级安全需求指标中的相应功能场景对应的剩余风险验收指标进行比对,以确定相应的功能场景对应的正常功能安全需求指标是否通过安全验证。
在一些实施例中,根据初始整车级安全需求指标对目标整车级安全需求指标进行安全验证,可以包括:将每个功能场景对应的整车功能安全需求指标与剩余风险验收指标进行对比;若全部功能场景对应的整车功能安全需求指标均小于或等于相应的剩余风险验收指标,则确定目标整车级安全需求指标通过安全验证。
例如,对于功能场景“车道内无法跟随前车减速”,可以将功能场景“车道内无法跟随前车减速”对应的整车功能安全需求指标与功能场景“车道内无法跟随前车减速”对应的剩余风险验收指标进行对比,判断功能场景“车道内无法跟随前车减速”对应的整车功能安全需求指标是否小于或等于相应的剩余风险验收指标。又例如,对于功能场景“车道内跟随前车减速过快”,可以将功能场景“车道内跟随前车减速过快”对应的整车功能安全需求指标与功能场景“车道内跟随前车减速过快”对应的剩余风险验收指标进行对比,判断功能场景“车道内跟随前车减速过快”对应的整车功能安全需求指标是否小于或等于相应的剩余风险验收指标。
示例性的,若全部功能场景对应的整车功能安全需求指标均小于或等于相应的剩余风险验收指标,则确定目标整车级安全需求指标通过安全验证。
可以理解的是,由于整车功能安全需求指标是由组件级安全需求指标与系统级安全需求指标构成的,因此当整车功能安全需求指标均小于或等于相应的剩余风险验收指标时,说明组件级安全需求指标与系统级安全需求指标都是合理的,符合预期功能安全。而自动驾驶系统的目标整车级安全需求指标是由全部功能场景对应的整车功能安全需求指标构成,当全部功能场景对应的整车功能安全需求指标都小于或等于相应的剩余风险验收指标时,说明目标整车级安全需求指标也是合理的,符合预期功能安全。
步骤S404、若目标整车级安全需求指标通过安全验证,则确定自动驾驶系统满足安全需求。
示例性的,在根据初始整车级安全需求指标对目标整车级安全需求指标进行安全验证之后,若目标整车级安全需求指标通过安全验证,则确定自动驾驶系统满足安全需求。
上述实施例,通过根据系统级安全需求指标与组件级安全需求指标确定待验证的目标整车级安全需求指标,并根据初始整车级安全需求指标对目标整车级安全需求指标进行安全验证,由于组件级安全需求指标构成目标整车级安全需求指标,因此通过验证目标整车级安全需求指标是否满足安全需求,可以实现间接验证组件级安全需求识别是否满足安全需求,可以提高自动驾驶系统在安全需求指标下的可靠性。
本申请的实施例中还提供一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序中包括程序指令,处理器执行程序指令,实现本申请实施例提供的任意一项基于分层级的安全需求指标确定方法或安全需求指标验证方法。
例如,该计算机程序被处理器加载,可以执行如下步骤:
确定自动驾驶系统的初始整车级安全需求指标,初始整车级安全需求指标为自动驾驶系统能够满足预期功能安全的预设指标;基于自动驾驶系统中的各子系统,对初始整车级安全需求指标进行指标分解,得到自动驾驶系统的系统级安全需求指标;基于自动驾驶系统中的各组件,对系统级安全需求指标进行指标分解,得到自动驾驶系统的组件级安全需求指标。
又例如,该计算机程序被处理器加载,可以执行如下步骤:
获取自动驾驶系统对应的初始整车级安全需求指标、系统级安全需求指标和组件级安全需求指标;根据系统级安全需求指标与组件级安全需求指标,确定自动驾驶系统待验证的目标整车级安全需求指标;根据初始整车级安全需求指标对目标整车级安全需求指标进行安全验证;若目标整车级安全需求指标通过安全验证,则确定自动驾驶系统满足安全需求。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
其中,计算机可读存储介质可以是前述实施例的计算机设备或车辆的内部存储单元,例如计算机设备或车辆的硬盘或内存。计算机可读存储介质也可以是计算机设备或车辆的外部存储设备,例如计算机设备或车辆上配备的插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字卡(Secure Digital,SD),闪存卡(Flash Card)等。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (17)
1.一种基于分层级的安全需求指标确定方法,其特征在于,所述方法包括:
确定自动驾驶系统的初始整车级安全需求指标,所述初始整车级安全需求指标为所述自动驾驶系统能够满足预期功能安全的预设指标;
基于所述自动驾驶系统中的各子系统,对所述初始整车级安全需求指标进行指标分解,得到所述自动驾驶系统的系统级安全需求指标;
基于所述自动驾驶系统中的各组件,对所述系统级安全需求指标进行指标分解,得到所述自动驾驶系统的组件级安全需求指标。
2.根据权利要求1所述的基于分层级的安全需求指标确定方法,其特征在于,所述确定自动驾驶系统的初始整车级安全需求指标,包括:
获取车辆在预设的操作设计域内运行的真实驾驶数据;
对所述真实驾驶数据进行危害事件统计,获得所述车辆的危害事件发生数据;
基于预设的安全裕度,根据所述危害事件发生数据,确定所述初始整车级安全需求指标。
3.根据权利要求1所述的基于分层级的安全需求指标确定方法,其特征在于,所述基于所述自动驾驶系统中的各子系统,对所述初始整车级安全需求指标进行指标分解,得到所述自动驾驶系统的系统级安全需求指标,包括:
依次将所述自动驾驶系统对应的至少一个功能场景确定为当前功能场景;
基于所述当前功能场景,对所述初始整车级安全需求指标进行风险评估以及整车功能分析,得到所述当前功能场景对应的风险评估结果和整车功能安全需求指标;
获取所述自动驾驶系统在所述当前功能场景下的系统级事件序列图;
基于所述系统级事件序列图,根据所述当前功能场景对应的风险评估结果和整车功能安全需求指标进行指标分解,得到每个所述子系统在所述当前功能场景下的系统级安全需求指标。
4.根据权利要求3所述的基于分层级的安全需求指标确定方法,其特征在于,所述基于所述当前功能场景,对所述初始整车级安全需求指标进行风险评估以及整车功能分析,得到所述当前功能场景对应的风险评估结果和整车功能安全需求指标,包括:
对所述当前功能场景中的可控性、严重度以及场景元素进行风险评估,获得所述当前功能场景对应的风险评估结果;
根据所述当前功能场景对应的风险评估结果,确定所述当前功能场景对应的剩余风险验收指标;
根据所述当前功能场景对应的剩余风险验收指标,确定所述当前功能场景对应的整车功能安全需求指标,其中,所述整车功能安全需求指标小于或等同于所述剩余风险验收指标。
5.根据权利要求3所述的基于分层级的安全需求指标确定方法,其特征在于,所述自动驾驶系统的子系统为定位系统、感知系统、规划系统和控制系统;
所述基于所述系统级事件序列图,根据所述当前功能场景对应的风险评估结果和整车功能安全需求指标进行指标分解,得到每个所述子系统在所述当前功能场景下的系统级安全需求指标,包括:
根据所述当前功能场景对应的风险评估结果,确定所述系统级事件序列图中的初始事件;
根据所述当前功能场景对应的整车功能安全需求指标,确定所述初始事件的整车功能安全需求指标;
基于所述系统级事件序列图中的每个所述子系统发生危害事件的概率,对所述初始事件的整车功能安全需求指标进行指标分解,得到各所述子系统对应的危害事件发生概率;
根据每个所述子系统对应的危害事件发生概率,确定每个所述子系统在所述当前功能场景下的系统级安全需求指标。
6.根据权利要求5所述的基于分层级的安全需求指标确定方法,其特征在于,所述根据所述当前功能场景对应的风险评估结果,确定所述系统级事件序列图中的初始事件,包括:
从所述当前功能场景对应的风险评估结果中,获取整车危害事件;
根据所述整车危害事件,确定发生危害前的事件;
根据所述发生危害前的事件,确定所述初始事件。
7.根据权利要求1所述的基于分层级的安全需求指标确定方法,其特征在于,所述自动驾驶系统的系统级安全需求指标包括每个所述子系统对应的危害事件发生概率;
所述基于所述自动驾驶系统中的各组件,对所述系统级安全需求指标进行指标分解,得到所述自动驾驶系统的组件级安全需求指标,包括:
依次将每个所述子系统确定为当前子系统;
确定所述当前子系统对应的目标故障树分析图,所述目标故障树分析图包括导致所述当前子系统发生危害事件的组件对应的触发条件;
根据所述组件对应的触发条件对所述当前子系统对应的危害事件发生概率进行分解,得到所述当前子系统对应的组件级安全需求指标。
8.根据权利要求7所述的基于分层级的安全需求指标确定方法,其特征在于,所述组件级安全需求指标包括:第j个功能场景下的所述当前子系统满足第k个触发条件的第一概率,以及第j个所述功能场景下的所述当前子系统满足第k个所述触发条件时,组件发生性能局限的第二概率。
9.根据权利要求7或8所述的基于分层级的安全需求指标确定方法,其特征在于,所述触发条件包括以下至少一项:激光雷达硬件故障,摄像机硬件故障,惯性测量单元硬件故障,轮速计硬件故障,差分定位硬件故障,时间戳故障,航迹推算故障,激光定位故障,语义定位故障,组合定位故障。
10.根据权利要求7所述的基于分层级的安全需求指标确定方法,其特征在于,所述确定所述当前子系统对应的目标故障树分析图,包括:
获取所述当前子系统对应的初始故障树分析图;
基于贝叶斯网络,对所述初始故障树分析图进行场景元素叠加,得到场景元素叠加后的初始故障树分析图;
根据所述场景元素叠加后的初始故障树分析图,确定所述目标故障树分析图。
11.一种安全需求指标验证方法,其特征在于,所述验证方法包括:
获取自动驾驶系统对应的初始整车级安全需求指标、系统级安全需求指标和组件级安全需求指标,所述初始整车级安全需求指标、所述系统级安全需求指标以及所述组件级安全需求指标为根据权利要求1至10任意一项所述的基于分层级的安全需求指标确定方法得到;
根据所述系统级安全需求指标与所述组件级安全需求指标,确定所述自动驾驶系统待验证的目标整车级安全需求指标;
根据所述初始整车级安全需求指标对所述目标整车级安全需求指标进行安全验证;
若所述目标整车级安全需求指标通过安全验证,则确定所述自动驾驶系统满足安全需求。
12.根据权利要求11所述的安全需求指标验证方法,其特征在于,所述组件级安全需求指标包括第j个功能场景下的第i个子系统满足第k个触发条件的第一概率、第j个所述功能场景下的第i个所述子系统满足第k个所述触发条件时,组件发生性能局限的第二概率;所述系统级安全需求指标包括所述组件满足触发条件时,第j个所述功能场景下的第i个所述子系统的危害事件发生概率;
所述根据所述系统级安全需求指标与所述组件级安全需求指标,确定所述自动驾驶系统待验证的目标整车级安全需求指标,包括:
根据所述第一概率、所述第二概率以及所述危害事件发生概率进行计算,得到每个所述功能场景下的整车功能安全需求指标;
根据全部所述功能场景下的整车功能安全需求指标,确定所述目标整车级安全需求指标。
13.根据权利要求12所述的安全需求指标验证方法,其特征在于,所述方法还包括:
从所述自动驾驶系统对应的功能场景数据库,获取第j个所述功能场景下的第i个所述子系统对应的位置、航向以及速度;
根据所述位置对应的圆概率误差、所述航向对应的圆概率误差以及所述速度对应的圆概率误差,确定第j个所述功能场景下的第i个所述子系统的危害事件发生概率。
14.根据权利要求12所述的安全需求指标验证方法,其特征在于,所述目标整车级安全需求指标包括多个功能场景对应的整车功能安全需求指标,所述初始整车级安全需求指标包括每个所述功能场景对应的剩余风险验收指标;
所述根据所述初始整车级安全需求指标对所述目标整车级安全需求指标进行安全验证,包括:
将每个所述功能场景对应的整车功能安全需求指标与剩余风险验收指标进行对比;
若全部所述功能场景对应的整车功能安全需求指标均小于或等于相应的剩余风险验收指标,则确定所述目标整车级安全需求指标通过安全验证。
15.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现:
如权利要求1至10任一项所述的基于分层级的安全需求指标确定方法,或
如权利要求11至14任一项所述的安全需求指标验证方法。
16.一种车辆,其特征在于,所述车辆包括处理器和存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现:
如权利要求1至10任一项所述的基于分层级的安全需求指标确定方法,或
如权利要求11至14任一项所述的安全需求指标验证方法。
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时使所述处理器实现:
如权利要求1至10任一项所述的基于分层级的安全需求指标确定方法,或
如权利要求11至14任一项所述的安全需求指标验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311424255.6A CN117519647A (zh) | 2023-10-30 | 2023-10-30 | 基于分层级的安全需求指标确定及验证方法、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311424255.6A CN117519647A (zh) | 2023-10-30 | 2023-10-30 | 基于分层级的安全需求指标确定及验证方法、设备和介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117519647A true CN117519647A (zh) | 2024-02-06 |
Family
ID=89748639
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311424255.6A Pending CN117519647A (zh) | 2023-10-30 | 2023-10-30 | 基于分层级的安全需求指标确定及验证方法、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117519647A (zh) |
-
2023
- 2023-10-30 CN CN202311424255.6A patent/CN117519647A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111240328B (zh) | 一种车辆行驶安全监控方法、装置和无人驾驶车辆 | |
| Singh et al. | Autonomous cars: Recent developments, challenges, and possible solutions | |
| US20190155291A1 (en) | Methods and systems for automated driving system simulation, validation, and implementation | |
| US20180267538A1 (en) | Log-Based Vehicle Control System Verification | |
| CN113223317B (zh) | 一种更新地图的方法、装置和设备 | |
| US20180300620A1 (en) | Foliage Detection Training Systems And Methods | |
| US11587366B1 (en) | Systems and methods for selecting locations to validate automated vehicle data transmission | |
| EP3511740B1 (en) | Method, system, and computer program product for determining a blockage of a sensor of a plurality of sensors of an ego vehicle | |
| US11260876B2 (en) | Inter-vehicle sensor validation using senso-fusion network | |
| CN114274972A (zh) | 自主驾驶环境中的场景识别 | |
| EP3971864A1 (en) | Risk estimation in autonomous driving environments | |
| Nakamura et al. | Defining reasonably foreseeable parameter ranges using real-world traffic data for scenario-based safety assessment of automated vehicles | |
| CN112016625A (zh) | 车辆异常检测方法、装置、电子设备及存储介质 | |
| CN115195749A (zh) | 车辆制动方法、装置、电子设备及存储介质 | |
| CN114475656A (zh) | 行驶轨迹预测方法、装置、电子设备以及存储介质 | |
| Schwalb | Analysis of safety of the intended use (sotif) | |
| CN116583891A (zh) | 用于车辆核查和验证的危急场景识别 | |
| CN117519647A (zh) | 基于分层级的安全需求指标确定及验证方法、设备和介质 | |
| CN111563046B (zh) | 用于生成信息的方法和装置 | |
| CN114323693A (zh) | 车路云感知系统的测试方法、装置、设备及存储介质 | |
| CN113962107A (zh) | 对行驶路段仿真的方法、装置、电子设备及存储介质 | |
| CN115269371A (zh) | 用于自动驾驶系统的路径规划系统开发的平台 | |
| CN117730289A (zh) | 测试方法及装置 | |
| CN113486628A (zh) | 一种交通规则到机器语言的转换方法及系统 | |
| US11851073B2 (en) | Fault isolation and mitigation upon lane marking misdetection on roadways |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |