CN117520032A - 安全需求指标确定及验证方法、设备、车辆和存储介质 - Google Patents

安全需求指标确定及验证方法、设备、车辆和存储介质 Download PDF

Info

Publication number
CN117520032A
CN117520032A CN202311423671.4A CN202311423671A CN117520032A CN 117520032 A CN117520032 A CN 117520032A CN 202311423671 A CN202311423671 A CN 202311423671A CN 117520032 A CN117520032 A CN 117520032A
Authority
CN
China
Prior art keywords
subsystem
scene
probability
failure rate
requirement index
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311423671.4A
Other languages
English (en)
Inventor
张玉新
俞瑞林
王子煜
吕周杭
全威
李鹏飞
赵福民
王璐瑶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Zhuoyu Technology Co ltd
Jilin University
Original Assignee
Shenzhen Zhuoyu Technology Co ltd
Jilin University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Zhuoyu Technology Co ltd, Jilin University filed Critical Shenzhen Zhuoyu Technology Co ltd
Priority to CN202311423671.4A priority Critical patent/CN117520032A/zh
Publication of CN117520032A publication Critical patent/CN117520032A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Traffic Control Systems (AREA)

Abstract

本申请公开了一种安全需求指标确定及验证方法、设备、车辆和可读存储介质,该安全需求指标确定方法包括:确定自动驾驶系统的第一安全需求指标,第一安全需求指标为自动驾驶系统对应的整车级的安全需求指标;基于自动驾驶系统中的各子系统,对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率;根据全部子系统对应的子系统失效率,确定自动驾驶系统对应的系统级的第二安全需求指标。上述安全需求指标确定方法,可以实现根据各子系统分解出全场景下的子系统失效率,避免仅计算特定场景下的失效率,同时不需要人工依赖经验进行分解,提高了自动驾驶系统的安全需求指标的适用性与准确性。

Description

安全需求指标确定及验证方法、设备、车辆和存储介质
技术领域
本申请涉及车辆安全领域,尤其涉及一种安全需求指标确定及验证方法、设备、车辆和可读存储介质。
背景技术
随着先进的电子、通信及信息技术的快速发展,面向智能化、网联化的新一代汽车技术革新正在世界范围内展开,如何通过合理的保障技术改善功能安全、预期功能安全、信息安全尤为重要。
在自动驾驶系统进行软硬件开发前,需要对软硬件开发部门提出各个组件的安全需求。目前,在预期功能安全开发中,工程师会根据多种安全分析方法,如故障树分析法,因果链分析法等,寻找自动驾驶系统的性能局限和触发条件,并基于此提出预期功能安全需求。但传统的安全分析方法仅考虑某一部件在特定场景下的失效率,而无法计算其它场景的失效率,分析得到的安全需求指标适用性较差。并且,目前的预期功能安全需求通常是工程师分析出的定性安全需求,具体的量化指标都由工程师经验确定,导致分析得到的安全需求指标的准确性不高,会影响自动驾驶系统开发过程的可靠性。
因此,如何提高自动驾驶系统的安全需求指标的适用性与准确性成为亟需解决的问题。
发明内容
本申请提供了一种安全需求指标确定及验证方法、设备、车辆和可读存储介质,解决了相关技术仅计算特定场景下的失效率导致得到的安全需求指标的适用性较差以及依赖经验进行指标分解导致得到的安全需求指标的准确性较低的问题。
第一方面,本申请提供了一种安全需求指标确定方法,所述方法包括:
确定自动驾驶系统的第一安全需求指标,所述第一安全需求指标为所述自动驾驶系统对应的整车级的安全需求指标;基于所述自动驾驶系统中的各子系统,对所述第一安全需求指标进行指标分解,得到每个所述子系统对应的子系统失效率;根据全部所述子系统对应的子系统失效率,确定所述自动驾驶系统对应的系统级的第二安全需求指标。
上述安全需求指标确定方法,通过基于自动驾驶系统中的各子系统对整车级的第一安全需求指标进行指标分解,得到自动驾驶系统的系统级的第二安全需求指标,可以实现根据各子系统分解出全场景下的子系统失效率,避免仅计算特定场景下的失效率,同时不需要人工依赖经验进行分解,提高了自动驾驶系统的安全需求指标的适用性与准确性。
第二方面,本申请还提供了一种安全需求指标验证方法,所述安全需求指标验证方法包括:
确定自动驾驶系统中的待测试子系统,获取所述待测试子系统对应的安全需求指标;根据所述安全需求指标中的第一场景参数生成测试场景;在所述测试场景下对所述待测试子系统进行测试,并确定所述待测试子系统对应的故障发生信息;根据所述故障发生信息,确定所述待测试子系统的指标验证结果。
上述安全需求指标验证方法,通过根据安全需求指标中的第一场景参数生成测试场景,在测试场景下对待测试子系统进行测试,并确定待测试子系统对应的故障发生信息,可以实现验证待测试子系统是否满足安全需求,提高了自动驾驶系统在安全需求指标下的可靠性与安全性。
第三方面,本申请还提供了一种计算机设备,所述计算机设备包括存储器和处理器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现如上述的安全需求指标确定方法或安全需求指标验证方法。
第四方面,本申请还提供了一种车辆,所述车辆包括存储器和处理器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现如上述的安全需求指标确定方法或安全需求指标验证方法。
第五方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时使所述处理器实现如上述的安全需求指标确定方法或安全需求指标验证方法。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种计算机设备的结构示意性框图;
图2是本申请实施例提供的一种车辆的结构示意性框图;
图3是本申请实施例提供的一种安全需求指标确定方法的示意性流程图;
图4是本申请实施例提供的一种确定第一安全需求指标的子步骤的示意性流程图;
图5是本申请实施例提供的一种对第一安全需求指标进行指标分解的子步骤的示意性流程图;
图6是本申请实施例提供的一种确定危险场景概率的子步骤的示意性流程图;
图7是本申请实施例提供的一种潜在危险场景的交互示意图;
图8是本申请实施例提供的一种危险场景概率的示意图;
图9是本申请实施例提供的一种安全需求指标验证方法的示意性流程图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
附图中所示的流程图仅是示例说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解、组合或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
本申请的实施例提供了一种安全需求指标确定及验证方法、设备、车辆和可读存储介质。
在一些实施例中,本申请实施例提供的安全需求指标确定及验证方法可以应用于计算机设备中,计算机设备可以通过基于自动驾驶系统中的各子系统对整车级的第一安全需求指标进行指标分解,得到自动驾驶系统的系统级的第二安全需求指标,可以实现根据各子系统分解出全场景下的子系统失效率,避免仅计算特定场景下的失效率,同时不需要人工依赖经验进行分解,提高了自动驾驶系统的安全需求指标的适用性与准确性。
需要说明的是,在本申请实施例中,安全需求指标是指满足预期功能安全要求的安全指标。其中,功能安全主要负责保障整车电子电气的安全指标符合ISO26262标准要求,预期功能安全则需要考虑由于预期功能不足或人为误用导致的安全指标符合ISO21448标准要求。
示例性的,计算机设备可以是服务器,也可以是终端。在本申请实施例中,计算机设备可以是独立的电子设备,也可以是部署于车辆的电子设备。其中,服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑和台式电脑等电子设备。
请参阅图1,图1是本申请实施例提供的一种计算机设备100的结构示意性框图。在图1中,计算机设备100包括处理器1001和存储器1002,其中,处理器1001和存储器1002通过总线连接,该总线比如为集成电路(Inter-integrated Circuit,I2C)总线等任意适用的总线。
其中,存储器1002可以包括存储介质和内存储器。存储介质可以是易失性存储介质,也可以是非易失性存储介质。存储介质可存储操作系统和计算机程序。该计算机程序包括程序指令,该程序指令被执行时,可使得处理器1001执行本申请实施例中任意一项安全需求指标确定方法或安全需求指标验证方法。
处理器1001用于提供计算和控制能力,支撑整个计算机设备100的运行。
其中,处理器1001可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等类型的处理器。通用处理器可以是微处理器或者,通用处理器也可以是任何常规的处理器等。
其中,处理器1001用于运行存储在存储器1002中的计算机程序,并在执行计算机程序时实现如下步骤:
确定自动驾驶系统的第一安全需求指标,第一安全需求指标为自动驾驶系统对应的整车级的安全需求指标;基于自动驾驶系统中的各子系统,对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率;根据全部子系统对应的子系统失效率,确定自动驾驶系统对应的系统级的第二安全需求指标。
在一个实施例中,第一安全需求指标包括整车级失效率;处理器1001在实现确定自动驾驶系统的第一安全需求指标时,用于实现:
获取自动驾驶系统在预设的每个运行时长内出现风险事件的期望值以及风险事件对应的损失值;根据每个运行时长内的期望值以及损失值,确定每个运行时长内的风险事件频率;根据每个运行时长内的风险事件频率,确定整车级失效率。
在一个实施例中,处理器1001在实现基于自动驾驶系统中的各子系统,对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率时,用于实现:
确定自动驾驶系统中的各子系统对应的危险场景概率;根据每个子系统对应的危险场景概率对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率。
在一个实施例中,第一安全需求指标包括整车级失效率;处理器1001在实现根据每个子系统对应的危险场景概率对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率时,用于实现:
依次将每个子系统确定为当前子系统;确定当前子系统在不同失效模式下出现的性能局限;确定当前子系统在出现性能局限时发生不可控操作的第一概率与导致严重伤害的第二概率;根据整车级失效率、当前子系统对应的危险场景概率、第一概率以及第二概率进行计算,得到当前子系统对应的子系统失效率。
在一个实施例中,第一安全需求指标包括整车级失效率;处理器1001在实现根据每个子系统对应的危险场景概率对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率时,用于实现:
依次将每个子系统确定为当前子系统;获取当前子系统对应的场景参数;根据当前子系统对应的危险场景概率以及场景参数,对整车级失效率进行分解,得到当前子系统对应的子系统失效率。
在一个实施例中,场景参数包括当前车辆与其它车辆之间的纵向距离以及横向距离、当前车辆的第一速度、其它车辆的第二速度;处理器1001在实现根据当前子系统对应的危险场景概率以及场景参数,对整车级失效率进行分解,得到当前子系统对应的子系统失效率时,用于实现:
根据整车级失效率、当前子系统对应的危险场景概率、纵向距离、横向距离、第一速度以及第二速度进行计算,得到当前子系统对应的子系统失效率。
在一个实施例中,场景参数包括当前车辆与其它车辆之间的纵向距离;处理器1001在实现根据当前子系统对应的危险场景概率以及场景参数,对整车级失效率进行分解,得到当前子系统对应的子系统失效率时,用于实现:
根据整车级失效率、当前子系统对应的危险场景概率以及纵向距离进行计算,得到当前子系统对应的子系统失效率。
在一个实施例中,子系统为感知系统;处理器1001在实现确定自动驾驶系统中的各子系统对应的危险场景概率时,用于实现:
获取感知系统在至少一个潜在危险场景下的场景参数和感知失效信息,感知失效信息包括失效类型和失效参数;确定全部潜在危险场景中的当前车辆对应的第一预期行为模型以及其它车辆对应的第二预期行为模型;基于第一预期行为模型与第二预期行为模型,根据场景参数、失效类型以及失效参数在每个潜在危险场景下进行仿真,获得危险场景,危险场景为在仿真环境下发生危险的潜在危险场景;根据自动驾驶系统的运行场景数据库对危险场景进行概率计算,获得感知系统对应的危险场景概率。
在一个实施例中,处理器1001在实现根据自动驾驶系统的运行场景数据库对危险场景进行概率计算,获得感知系统对应的危险场景概率时,用于实现:
从运行场景数据库中提取行驶总里程以及危险场景对应的第一行驶里程;根据第一行驶里程与行驶总里程进行计算,得到危险场景概率。
在一个实施例中,处理器1001还用于实现:
确定自动驾驶系统中的待测试子系统,获取待测试子系统对应的安全需求指标;根据安全需求指标中的第一场景参数生成测试场景;在测试场景下对待测试子系统进行测试,并确定待测试子系统对应的故障发生信息;根据故障发生信息,确定待测试子系统的指标验证结果。
在一个实施例中,处理器1001在实现根据安全需求指标中的第一场景参数生成测试场景时,用于实现:
获取运行场景数据库中的第二场景参数对应的概率密度曲线,第二场景参数为运行数据库中除第一场景参数外的场景参数;根据第二场景参数的概率密度曲线进行参数采集,获得第二场景参数对应的参数值;根据第一场景参数对应的参数值与第二场景参数对应的参数值,构建测试场景。
在一个实施例中,处理器1001在实现获取运行场景数据库中的第二场景参数对应的概率密度曲线之前,还用于实现:
从运行场景数据库中提取第二场景参数对应的参数值;根据第二场景参数对应的参数值的出现概率,构建第二场景参数的概率密度曲线。
在一个实施例中,处理器1001在实现确定待测试子系统对应的故障发生信息时,用于实现:
获取待测试子系统在测试场景下未出现失效模式的累计时长以及出现失效模式的失效类型;根据预设的置信度与累计时长进行计算,得到失效类型对应的故障率;根据失效类型与故障率,确定故障发生信息。
在另一些实施例中,本申请实施例提供的安全需求指标确定及验证方法还可以应用于车辆中,车辆可以通过基于自动驾驶系统中的各子系统对整车级的第一安全需求指标进行指标分解,得到自动驾驶系统的系统级的第二安全需求指标,可以实现根据各子系统分解出全场景下的子系统失效率,避免仅计算特定场景下的失效率,同时不需要人工依赖经验进行分解,提高了自动驾驶系统的安全需求指标的适用性与准确性。
示例性的,车辆可以是具有自动驾驶系统(Autonomous Vehicle System,ADS)的车辆,也可以是不具有自动驾驶系统的车辆。其中,自动驾驶系统是指由硬件和软件组成的能够持续执行全部动态驾驶任务的系统,不考虑是否有运行工况的限制。比如,自动驾驶系统是指由硬件和软件组成的能够持续执行部分或者全部动态驾驶任务(Dynamic DrivingTask)的系统。
请参阅图2,图2是本申请实施例提供的一种车辆200的结构示意性框图。在图2中,车辆200包括处理器2001和存储器2002,其中,处理器2001和存储器2002通过总线连接,该总线比如为集成电路(Inter-integrated Circuit,I2C)总线等任意适用的总线。
其中,存储器2002可以包括存储介质和内存储器。存储介质可以是易失性存储介质,也可以是非易失性存储介质。存储介质可存储操作系统和计算机程序。该计算机程序包括程序指令,该程序指令被执行时,可使得处理器2001执行本申请实施例中任意一项安全需求指标确定方法或安全需求指标验证方法。
处理器2001用于提供计算和控制能力,支撑整个车辆200的运行。
其中,处理器2001可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等类型的处理器。通用处理器可以是微处理器或者,通用处理器也可以是任何常规的处理器等。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。请参阅图3,图3是本申请实施例提供的一种安全需求指标确定方法的示意性流程图。如图3所示,该安全需求指标确定方法可以包括步骤S101至步骤S103。
步骤S101、确定自动驾驶系统的第一安全需求指标,第一安全需求指标为自动驾驶系统对应的整车级的安全需求指标。
需要说明的是,第一安全需求指标是指自动驾驶系统的整车级的安全需求指标。例如,安全需求指标可以是:要求自动驾驶系统在预设公里数内不发生事故,或要求自动驾驶系统在预设的运行时间内的事故率小于预设的事故率或发生风险事件的风险事件频率小于预设频率,等等。第二安全需求指标是自动驾驶系统中的各子系统的安全需求指标,根据子系统的性能局限(Performance Limitation,PL)的不同,对应的安全需求指标的形式也不同。
示例性的,第一安全需求指标包括整车级失效率。在本申请实施例中,为了便于说明,可以采用整车级失效率来表示第一安全需求指标。其中,整车级失效率可以表示为λsys。以下将对如何确定第一安全需求指标作详细说明。
请参阅图4,图4是本申请实施例提供的一种确定第一安全需求指标的子步骤的示意性流程图。如图4所示,步骤S101中确定自动驾驶系统的第一安全需求指标可以包括步骤S1011至步骤S1013。
步骤S1011、获取自动驾驶系统在预设的每个运行时长内出现风险事件的期望值以及风险事件对应的损失值。
示例性的,可以获取自动驾驶系统在预设的每个运行时长内出现风险事件的期望值以及风险事件对应的损失值。
其中,预设的运行时长可以根据实际情况设定,具体数值在此不作限定。
需要说明的是,自动驾驶系统引起的风险的常见方式是采用每个运行时间内出现风险的期望值来表示。其中,期望值的公式如下:
在公式(1)中,Risk为期望值;Fj为风险事件;为每个运行时长内出现风险事件Fj的风险事件频率;/>为风险事件Fj对应的损失值。其中,损失值可以包括财产损失、人事安全损失等等。
示例性的,可以统计自动驾驶系统在预设的每个运行时长内出现风险事件的期望值以及风险事件对应的损失值。
步骤S1012、根据每个运行时长内的期望值以及损失值,确定每个运行时长内的风险事件频率。
示例性的,在获取自动驾驶系统在预设的每个运行时长内出现风险事件的期望值以及风险事件对应的损失值之后,可以根据每个运行时长内的期望值以及损失值,确定每个运行时长内的风险事件频率。例如,可以通过上述期望值的公式,根据每个运行时长内的期望值Risk以及损失值计算出每个运行时长内的风险事件频率/>其中,具体的计算过程,在此不作限定。
步骤S1013、根据每个运行时长内的风险事件频率,确定整车级失效率。
示例性的,在确定每个运行时长内的风险事件频率之后,可以根据每个运行时长内的风险事件频率,确定整车级失效率。例如,可以将每个运行时长内的风险事件频率确定为整车级失效率λsys,即/>
上述实施例,通过根据自动驾驶系统在预设的每个运行时长内出现风险事件的期望值以及风险事件对应的损失值,确定每个运行时长内的风险事件频率,可以实现将每个运行时长内的风险事件频率,确定为整车级失效率。
步骤S102、基于自动驾驶系统中的各子系统,对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率。
在一些实施例中,在确定自动驾驶系统的第一安全需求指标之后,可以基于自动驾驶系统中的各子系统,对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率。以下将对第一安全需求指标进行指标分解作详细说明。
需要说明的是,自动驾驶系统需要设置风险接受标准,作为自动驾驶系统的可接受的故障率。可接受的故障率在本申请实施例中称为目标安全水平,可以用表示。当时,自动驾驶系统需要满足/>时,自动驾驶系统为风险可接受。由于需要大量的测试,仅通过现场测试来证明自动驾驶系统符合可接受的风险(即/>)是很难做到的,因此需要通过系统可靠性理论和危险分析技术来估计和预测自动驾驶系统的故障率,并设计出具有可接受的低故障率的自动驾驶系统。系统可靠性理论以其子功能或组件来描述一个系统,并根据子功能的故障率和依赖性来估计系统的故障率,并且在子功能层面,故障率通常比在系统层面更容易评估,因此对于自动驾驶系统来说,可以通过系统分解来充分描述系统功能。以下将从自动驾驶系统的子系统角度来分解第一安全需求指标。
在一些实施例中,自动驾驶系统可以包括感知系统、规划系统和控制系统;整车级失效率为感知系统的第一安全故障率、规划系统的第二安全故障率以及控制系统的第三安全故障率之和。
需要说明的是,在本申请实施例中,自动驾驶系统可以包括感知系统、规划系统和控制系统等子系统。感知系统代表环境传感器,可以通过传感器检测到的传感数据生成环境模型;规划系统用于路径规划,控制系统用于执行规划的路径。由于感知系统、规划系统和控制系统中至少有一个系统以安全相关的方式失效(即发生安全相关的错误,导致事故),那么自动驾驶系统就会失效,因此可以将整车级失效率分解为各子系统对应的安全故障率。
示例性的,可以将整车级失效率λsys分解为各子系统对应的安全故障率,可以通过以下公式进行分解:
λsys≈λperplanact(2)
在公式(2)中,λper为感知系统的第一安全故障率,λplan为规划系统的第二安全故障率,λact为控制系统的第三安全故障率。需要说明的是,由于不同子系统之间的故障是相互排斥的,因此,感知系统的第一安全故障率λper、规划系统的第二安全故障率λplan以及控制系统λact的第三安全故障率之和,近似等于整车级失效率λsys
示例性的,自动驾驶系统的安全验证相当于证明:
通过公式(3),自动驾驶系统的安全验证可以单独考虑感知系统的第一安全故障率λper、规划系统的第二安全故障率λplan、控制系统的第三安全故障率λact。其中,当感知系统中的安全关键性错误可以与规划系统中的安全关键性错误分开时,证明感知系统的可靠性相当于证明一个可接受的第一安全故障率λper。由于规划系统的安全路径规划可以通过形式化证明和仿真来实现,控制系统可以遵循ISO 26262来涉及足够安全的电子电气系统,因此在本申请实施例中,将着重估计感知系统的第一安全故障率λper
请参阅图5,图5是本申请实施例提供的一种对第一安全需求指标进行指标分解的子步骤的示意性流程图。如图5所示,步骤S102中根据每个子系统对应的危险场景概率对第一安全需求指标进行指标分解可以包括步骤S1021和步骤S1022。
步骤S1021、确定自动驾驶系统中的各子系统对应的危险场景概率。
在一些实施例中,子系统为感知系统,子系统对应的子系统失效率为感知系统对应的第一安全故障率。示例性的,子系统对应的子系统失效率可以表示为λper
需要说明的是,在本申请实施例中,将以子系统为感知系统为例,说明如何进行指标分解。考虑到自动驾驶系统的多样性,可以选择在感知系统中最广泛存在、与安全最相关的子系统:多目标追踪(Multiple Objects Tracking,MOT)系统作为分析对象。当然,也可以选择其它类型的感知系统作为分析对象,在此不作限定。
示例性的,MOT系统可以包括三种不同的失效模式的性能局限PL,其中,失效模式分别是存在不确定性、状态不确定性和分类不确定性。需要说明的是,存在不确定性,描述了是否检测到现有对象(FN)和是否错误指示不存在的幽灵对象(FP)的不确定性。状态不确定性,描述了物理测量量(例如尺寸、位置和速度)的不确定性。分类不确定性是指对象正确语义分配的不确定性。
在本申请实施例中,可以根据不同失效模式的性能局限PL,结合自动驾驶系统的运行场景,设计的安全需求形式如下:
存在不确定性:现有对象(FN)与幽灵对象(FP)在自动驾驶系统的全部运行场景中都会直接导致碰撞事件。由于现有对象(FN)与幽灵对象(FP)的发生可被看作离散事件,待分解的安全需求形式为:在A场景下,MOT系统出现现有对象(FN)或幽灵对象(FP)的概率不超过B。
状态不确定性:与存在不确定性不同,物理测量不准确会在自动驾驶系统运行全过程发生。但仅有持续时间较长的,且误差过大的情况下,才会导致碰撞事件,待分解的安全需求形式为:在A场景下,MOT系统对目标物的B物理量的测量误差不得超过C。
分类不确定性:分类不确定性通常不会直接导致碰撞事件,分类不确定性通常会转化成状态不确定性而导致碰撞,因此不单独考虑。
在一些实施例中,可以统计自动驾驶系统中的各子系统对应的危险场景概率。示例性的,在不考虑规划系统与控制系统的情况下,可以统计感知系统对应的危险场景概率。例如,可以统计MOT系统对应的危险场景概率。其中,危险场景概率为子系统出现性能局限导致发生危险事件的场景对应的概率,即MOT系统出现性能局限导致发生危险事件的场景对应的概率。
示例性的,危险场景概率可以表示为pE|PL,j,k,其中,j表示第j个子系统,当只考虑MOT系统时,j为1;k表示第k个性能局限PL。
步骤S1022、根据每个子系统对应的危险场景概率对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率。
示例性的,在确定自动驾驶系统中的各子系统对应的危险场景概率之后,可以根据每个子系统对应的危险场景概率对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率。
其中,子系统失效率为子系统出现性能局限的概率或子系统在不同失效模式下出现性能局限的概率,
在一些实施例中,根据每个子系统对应的危险场景概率对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率,可以包括:依次将每个子系统确定为当前子系统;确定当前子系统在不同失效模式下出现的性能局限;确定当前子系统在出现性能局限时发生不可控操作的第一概率与导致严重伤害的第二概率;根据整车级失效率、当前子系统对应的危险场景概率、第一概率以及第二概率进行计算,得到当前子系统对应的子系统失效率。
示例性的,当感知系统中只有一个MOT系统时,当前子系统为MOT系统。
示例性的,对第一安全需求指标进行指标分解,如以下公式所示:
在公式(4)中,λ表示整车级失效率;pPL,j,k表示第j个子系统中出现第k个性能局限PL的概率,即子系统失效率;pC|E表示在出现性能局限PL时发生不可控操作的第一概率;pS|C表示在发生不可控操作时导致严重伤害的第二概率;N为PL的总数。
示例性的,可以将整车级失效率λ、当前子系统对应的危险场景概率pE|PL,j,k、第一概率pC|E以及第二概率pS|C代入公式(4)进行计算,可以得到当前子系统对应的子系统失效率pPL,j,k
上述实施例,通过根据整车级失效率、当前子系统对应的危险场景概率、第一概率以及第二概率进行计算,可以得到当前子系统对应的子系统失效率,可以实现根据危险场景概率、第一概率以及第二概率对整车级失效率进行分解,得到各子系统在全场景下的子系统失效率,避免仅计算特定场景下的失效率,同时不需要人工依赖经验进行分解,提高了自动驾驶系统的安全需求指标的适用性与准确性。
需要说明的是,在本申请实施例中,除了根据危险场景概率、出现性能局限时发生不可控操作的第一概率以及在发生不可控操作时导致严重伤害的第二概率对第一安全需求指标进行指标分解,还可以根据危险场景概率和场景参数对第一安全需求指标进行指标分解。以下将详细说明如何根据危险场景概率和场景参数对第一安全需求指标进行指标分解。
在另一些实施例中,根据每个子系统对应的危险场景概率对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率,可以包括:依次将每个子系统确定为当前子系统;获取当前子系统对应的场景参数;根据当前子系统对应的危险场景概率以及场景参数,对整车级失效率进行分解,得到当前子系统对应的子系统失效率。
示例性的,可以获取当前子系统对应的场景参数,场景参数用于区分不同的场景。场景参数可以包括当前车辆与其它车辆之间的纵向距离D-lon以及横向距离D-lat、当前车辆的第一速度Vego、其它车辆的第二速度Vobj。其中,其它车辆可以是在当前车辆前方的车辆。
上述实施例,通过获取当前子系统对应的场景参数,并根据当前子系统对应的危险场景概率以及场景参数对整车级失效率进行分解,可以实现分解出各种场景参数下的子系统失效率,避免仅计算特定场景下的失效率,同时不需要人工依赖经验进行分解,提高了自动驾驶系统的安全需求指标的适用性与准确性。
在一些实施例中,根据当前子系统对应的危险场景概率以及场景参数,对整车级失效率进行分解,得到当前子系统对应的子系统失效率,可以包括:根据整车级失效率、当前子系统对应的危险场景概率、纵向距离、横向距离、第一速度以及第二速度进行计算,得到当前子系统对应的子系统失效率。
需要说明的是,对于上述公式(4),由于第一概率pC|E和第二概率pS|C的值可以参考ISO 21448进行给定,因此公式(4)可以写为:
在公式(5)中,λ′表示整车级失效率;a,b,c,d分别为当前车辆与其它车辆之间的纵向距离D-lon,当前车辆与其它车辆之间的横向距离D-lat,当前车辆的第一速度Vego,其它车辆的第二速度Vobj。
示例性的,可以将整车级失效率λ′、当前子系统对应的危险场景概率pE|PL,j,k、纵向距离D-lon、横向距离D-lat、第一速度Vego以及第二速度Vobj代入公式(5)进行计算,可以得到当前子系统对应的子系统失效率。此时,子系统失效率可以表示为pa,b,c,d,PL,j,k
上述实施例,通过根据整车级失效率、当前子系统对应的危险场景概率、纵向距离、横向距离、第一速度以及第二速度进行计算,可以实现根据各种场景参数对整车级失效率进行分解,得到各子系统在全场景下的子系统失效率,避免仅计算特定场景下的失效率,同时不需要人工依赖经验进行分解,提高了自动驾驶系统的安全需求指标的适用性与准确性。
需要说明的是,由于场景参数包括4个参数,因此,最细的危险场景可以划分为:当前车辆以第一速度Vego直行,在距当前车辆[X,Y]区间内的同车道前方有行驶的第二速度为Vobj的车辆。通过细化危险场景,对于后续迭代后的自动驾驶系统的性能更新,便于调整危险场景概率,避免出现自动驾驶系统的性能更新后导致自动驾驶系统的安全需求指标无法适用的情况。
在大多数情况下,对于感知系统提出的安全需求指标对速度不敏感,而是对距离更加敏感。在本申请实施例中,可以不对危险场景划分过细。例如,不划分速度和横向距离,即仅考虑场景参数中的当前车辆与其它车辆之间的纵向距离D-lon。
在另一些实施例中,场景参数可以包括当前车辆与其它车辆之间的纵向距离;根据当前子系统对应的危险场景概率以及场景参数,对整车级失效率进行分解,得到当前子系统对应的子系统失效率,可以包括:根据整车级失效率、当前子系统对应的危险场景概率以及纵向距离进行计算,得到当前子系统对应的子系统失效率。
示例性的,在不考虑速度与横向距离的情况下,对于上述公式(5),可以写为:
在公式(6)中,λ″表示整车级失效率;pE|a,PL,j,k表示危险场景概率;pa,PL,j,k表示子系统失效率。
示例性的,可以将整车级失效率λ″、当前子系统对应的危险场景概率pE|a,PL,j,k以及纵向距离D-lon代入公式(6)进行计算,可以得到当前子系统对应的子系统失效率pa,PL,j,k
上述实施例,通过根据整车级失效率、当前子系统对应的危险场景概率以及纵向距离进行计算,可以实现根据危险场景概率和纵向距离进行指标分解,简化了分解过程,并且侧重于根据纵向距离这一因素对安全需求指标的影响,可以提高指标分解的效率以及提高安全需求指标的适用性。
步骤S103、根据全部子系统对应的子系统失效率,确定自动驾驶系统对应的系统级的第二安全需求指标。
在一些实施例中,在得到每个子系统对应的子系统失效率之后,可以根据全部子系统对应的子系统失效率,确定自动驾驶系统对应的系统级的第二安全需求指标。
示例性的,当子系统为感知系统中的MOT系统时,可以将MOT系统对应的子系统失效率,确定为自动驾驶系统对应的系统级的第二安全需求指标。其中,第二安全需求指标可以表示为pPL,j,k,也可以表示为pa,b,c,d,PL,j,k,还可以表示为pa,PL,j,k。可以理解的是,第二安全需求指标的形式可以有多种。
上述实施例,通过将全部子系统对应的子系统失效率,确定为自动驾驶系统对应的系统级的第二安全需求指标,可以避免仅计算特定场景下的失效率,同时不需要人工依赖经验进行分解,提高了自动驾驶系统的安全需求指标的适用性与准确性。
请参阅图6,图6是本申请实施例提供的一种确定危险场景概率的子步骤的示意性流程图。如图6所示,步骤S1021中确定自动驾驶系统中的各子系统对应的危险场景概率可以包括步骤S201至步骤S204。
步骤S201、获取感知系统在至少一个潜在危险场景下的场景参数和感知失效信息,感知失效信息包括失效类型和失效参数。
需要说明的是,在本申请实施例中,为了获取危险场景概率,需要先在仿真平台上找出所有的危险场景。对于潜在危险场景,需要考虑感知系统的不同失效类型和失效参数,将对应的失效类型以及失效参数输入预期行为模型进行仿真,由预期行为模型找出无法避免危险(例如,无法避免碰撞)的场景,即危险场景。可以理解的是,潜在危险场景是指有可能发生危险的场景。
请参阅图7,图7是本申请实施例提供的一种潜在危险场景的交互示意图。如图7所示,潜在危险场景的参数设计,可以基于当前车辆ego与周围的8辆车辆的交互场景进行参数设计。其中,在不考虑当前车辆ego连续变道的情况下,左侧邻车道和右侧邻车道的性质相同,在本申请中不作区分。
示例性的,可以获取感知系统在至少一个潜在危险场景下的场景参数和感知失效信息,其中,感知失效信息可以包括失效类型和失效参数。
例如,场景参数可以包括当前车辆与其它车辆之间的纵向距离以及横向距离、当前车辆的第一速度、其它车辆的第二速度。感知失效信息如下表1所示:
表1
如表1所示,感知-融合、感知-预测为多目标追踪模块,fs(freespace)表示可行驶区域模块。失效类型可以包括但不限于位置误差、漏检、误检、速度误差、预测方向错误等等。失效参数可以包括但不限于持续时间、位置误差大小、速度误差大小等等。
上述实施例,通过获取感知系统在至少一个潜在危险场景下的场景参数、失效类型以及失效参数,后续可以根据场景参数、失效类型以及失效参数在每个潜在危险场景下进行仿真,可以准确地确定危险场景,进而提高了危险场景概率的准确性。
步骤S202、确定全部潜在危险场景中的当前车辆对应的第一预期行为模型以及其它车辆对应的第二预期行为模型。
示例性的,在获取感知系统在至少一个潜在危险场景下的场景参数和感知失效信息之后,可以确定全部潜在危险场景中的当前车辆对应的第一预期行为模型以及其它车辆对应的第二预期行为模型。
其中,第一预测行为模型可以是自动驾驶系统中的决策规划系统,用于根据输入的感知失效信息,预测自动驾驶系统在不同场景下的行为。第二预期行为模型可以是责任敏感安全模型(Responsibility Sensitive Safety,RSS)模型,用于预测它车的行为。
在一些实施例中,第一预期行为模型的性能参数值小于自动驾驶系统的性能参数值。
示例性的,性能差数值可以是处理的潜在危险场景的数量。例如,当第一预期行为模型能够处理的潜在危险场景的数量小于自动驾驶系统能够处理的潜在危险场景的数量时,确认第一预期行为模型的性能参数值小于自动驾驶系统的性能参数值。
需要说明的是,通过设置第一预期行为模型的性能参数值小于自动驾驶系统的性能参数值,可以避免第一预期行为模型能够处理的场景,而自动驾驶系统无法处理,导致自动驾驶系统遗漏危险场景的问题。
步骤S203、基于第一预期行为模型与第二预期行为模型,根据场景参数、失效类型以及失效参数在每个潜在危险场景下进行仿真,获得危险场景,危险场景为在仿真环境下发生危险的潜在危险场景。
在一些实施例中,在确定全部潜在危险场景中的当前车辆对应的第一预期行为模型以及其它车辆对应的第二预期行为模型之后,可以基于第一预期行为模型与第二预期行为模型,根据场景参数、失效类型以及失效参数在每个潜在危险场景下进行仿真,获得危险场景,其中,危险场景为在仿真环境下发生危险的潜在危险场景。
示例性的,可以依次将每个潜在危险场景确定为当前潜在危险场景,将当前潜在危险场景对应的场景参数、失效类型以及失效参数输入第一预期行为模型进行当前潜在危险场景下的仿真,以及将当前潜在危险场景对应的场景参数、失效类型以及失效参数输入第二预期行为模型进行当前潜在危险场景下的仿真,得到危险场景。例如,可以将第一预期行为模型在仿真环境下发生危险的潜在危险场景,确定为危险场景。其中,具体的仿真过程,在此不作限定。
步骤S204、根据自动驾驶系统的运行场景数据库对危险场景进行概率计算,获得感知系统对应的危险场景概率。
示例性的,在获得危险场景之后,可以根据自动驾驶系统的运行场景数据库对危险场景进行概率计算,获得感知系统对应的危险场景概率。
需要说明的是,运行场景数据库可以包括多种运行场景、每种运行场景对应的行驶里程以及全部运行场景对应的行驶总里程。其中,运行场景可以包括安全场景、危险场景等等。
在一些实施例中,根据自动驾驶系统的运行场景数据库对危险场景进行概率计算,获得感知系统对应的危险场景概率,可以包括:从运行场景数据库中提取行驶总里程以及危险场景对应的第一行驶里程;根据第一行驶里程与行驶总里程进行计算,得到危险场景概率。
示例性的,可以将第一行驶里程与行驶总里程进行相除,得到危险场景概率。
请参阅图8,图8是本申请实施例提供的一种危险场景概率的示意图。图8为漏检0s和漏检1s的危险场景概率,其中,横轴Dhw Range表示纵向距离,纵轴Scene Probability表示危险场景概率。当纵向距离较小时,漏检0s的危险场景概率和漏检1s的危险场景概率相差不大,随着纵向距离的增大,漏检0s的危险场景概率和漏检1s的危险场景概率之间的差别越来越大。但当纵向距离大于某个阈值(例如,255m)时,漏检0s的危险场景概率和漏检1s的危险场景概率之间的差别减小。
上述实施例,通过根据自动驾驶系统的运行场景数据库对危险场景进行概率计算,可以获得感知系统对应的危险场景概率,进而可以根据感知系统对应的危险场景概率对第一安全需求指标进行指标分解,实现根据危险场景概率动态调整第二安全需求指标,提高了第二安全需求指标的适用。
需要说明的是,在本申请实施例中,在对整车级的第一安全需求指标进行分解,得到自动驾驶系统对应的系统级的第二安全需求指标之后,还可以对第二安全需求指标进行指标验证,以确定自动驾驶系统是否满足安全需求。以下将对第二安全需求指标进行指标验证作详细说明。
请参阅图9,图9是本申请实施例提供的一种安全需求指标验证方法的示意性流程图。如图9所示,该安全需求指标验证方法可以包括步骤S301至步骤S304。
步骤S301、确定自动驾驶系统中的待测试子系统,获取待测试子系统对应的安全需求指标。
在一些实施例中,可以确定自动驾驶系统中的待测试子系统,并获取待测试子系统对应的安全需求指标。示例性的,待测试系统可以是感知系统,例如,MOT系统。
示例性的,可以获取MOT系统对应的安全需求指标,例如,子系统失效率pa,b,c,d,PL,j,k。其中,子系统失效率pa,b,c,d,PL,j,k可以包括纵向距离、横向距离、第一速度以及第二速度等第一场景参数。
步骤S302、根据安全需求指标中的第一场景参数生成测试场景。
示例性的,在获取待测试子系统对应的安全需求指标之后,可以根据安全需求指标中的第一场景参数生成测试场景。例如,可以根据纵向距离、横向距离、第一速度以及第二速度等第一场景参数生成测试场景。以下将对如何生成测试场景作详细说明。
在一些实施例中,根据安全需求指标中的第一场景参数生成测试场景,可以包括:获取运行场景数据库中的第二场景参数对应的概率密度曲线,第二场景参数为运行数据库中除第一场景参数外的场景参数;根据第二场景参数的概率密度曲线进行参数采集,获得第二场景参数对应的参数值;根据第一场景参数对应的参数值与第二场景参数对应的参数值,构建测试场景。
需要说明的是,在本申请实施例中,由于对整车级的第一安全需求指标进行分解得到的第二安全需求指标仅包含对车辆元素的场景参数,并不包括车辆元素之外的其它元素,例如道路元素、交通基础设施、环境、数字信息等元素。为了确保第二安全需求指标的有效性,在验证过程中,需要增加其它元素,并且自动驾驶系统同样满足安全需求。
示例性的,可以获取运行场景数据库中的第二场景参数对应的概率密度曲线。第二场景参数为运行数据库中除第一场景参数外的场景参数,例如,第二场景参数可以是道路元素、交通基础设施、环境、数字信息等元素对应的场景参数。
其中,概率密度曲线是根据第二场景参数对应的参数值的出现概率构建的。需要说明的是,每个第二场景参数有多个不同的参数值,出现概率是指某个参数值在第二场景参数的全部参数值中出现的概率。在本申请实施例中,可以预先构建第二场景参数的概率密度曲线。
在一些实施例中,获取运行场景数据库中的第二场景参数对应的概率密度曲线之前,还可以包括:从运行场景数据库中提取第二场景参数对应的参数值;根据第二场景参数对应的参数值的出现概率,构建第二场景参数的概率密度曲线。
示例性的,对于某个第二场景参数,若该第二场景参数有A、B、C三个不同的参数值,其中,参数值A出现的频次为5,参数值B出现的频次为2参数值C出现的频次为3,则可以确定参数值A的出现概率为50%,参数值B的出现概率为20%,参数值C的出现概率为30%。此次类推,可以确定每个第二场景参数对应的参数值的出现概率。然后,根据全部第二场景参数对应的参数值的出现概率,构建概率密度曲线。
上述实施例,通过根据第二场景参数对应的参数值的出现概率,构建第二场景参数的概率密度曲线,后续可以根据第二场景参数对应的概率密度曲线随机采样得到第二场景参数的参数值,并与第一场景参数的参数值共同构建测试场景,确保测试场景从概率的角度上与自动驾驶系统的真实运行场景等效,可以提高了后续测试的可靠性与真实性。
示例性的,可以根据第二场景参数的概率密度曲线随机进行参数采集,获得第二场景参数对应的参数值;然后,根据第一场景参数对应的参数值与第二场景参数对应的参数值,构建测试场景。其中,构建测试场景的具体过程,可以参见相关技术,在此不作限定。
上述实施例中,通过根据第二场景参数的概率密度曲线进行参数采集,并根据第一场景参数对应的参数值与采集得到的第二场景参数对应的参数值共同构建测试场景,可以使得测试场景不仅包含车辆元素的场景参数,还可以包含其它元素的场景参数,确保测试场景从概率的角度上与自动驾驶系统的真实运行场景等效,从而可以提高后续测试的可靠性与真实性。
步骤S303、在测试场景下对待测试子系统进行测试,并确定待测试子系统对应的故障发生信息。
示例性的,在根据第一场景参数对应的参数值与第二场景参数对应的参数值,构建测试场景之后,可以在测试场景下对待测试子系统进行测试,并确定待测试子系统对应的故障发生信息。例如,可以在测试场景下对MOT系统进行测试,并确定MOT系统对应的故障发生信息。
示例性的,测试可以包括仿真测试、试验场地测试、真实道路测试等等。例如,可以在测试场景下对MOT系统进行仿真测试。其中,仿真测试的具体过程,在此不作赘述。
在一些实施例中,确定待测试子系统对应的故障发生信息,可以包括:获取待测试子系统在测试场景下未出现失效模式的累计时长以及出现失效模式的失效类型;根据预设的置信度与累计时长进行计算,得到失效类型对应的故障率;根据失效类型与故障率,确定故障发生信息。
示例性的,在测试场景下对待测试子系统进行测试之后,可以确定待测试子系统对应的故障发生信息。其中,故障发生信息可以包括失效类型与故障率,故障率可以通过以下公式进行计算:
在公式(7)中,C表示预设的置信度;λ为待测试子系统出现失效模式的故障率;n为待测试子系统未出现失效模式的累计时长。其中,预设的置信度可以根据实际情况设定,具体数值在此不作限定。
示例性的,可以将预设的置信度C与累计时长n代入上述公式(7)进行计算,可以得到故障率λ。例如,在测试的累计时长为500h时,待测试子系统出现漏检,若置信度C为70%,则可以计算得到漏检的故障率为2.4*10^-3。此时,对应的故障发生信息为待测试子系统发生漏检的故障率为2.4*10^-3。
上述实施例,通过获取待测试子系统在测试场景下未出现失效模式的累计时长以及出现失效模式的失效类型,并根据预设的置信度与累计时长进行计算得到失效类型对应的故障率,可以实现将失效类型与故障率确定为故障发生信息。
步骤S304、根据故障发生信息,确定待测试子系统的指标验证结果。
在一些实施例中,在确定待测试子系统对应的故障发生信息之后,可以根据故障发生信息,确定待测试子系统的指标验证结果。示例性的,可以将故障发生信息,确定为待测试子系统的指标验证结果。例如,当故障发生信息为待测试子系统发生漏检的故障率为2.4*10^-3时,指标验证结果为待测试子系统发生漏检的故障率为2.4*10^-3。又例如,当故障发生信息为待测试子系统发生误检的故障率为1.5*10^-3时,指标验证结果为待测试子系统发生误检的故障率为1.5*10^-3。
上述实施例中,通过在测试场景下对待测试子系统进行测试,确定待测试子系统对应的故障发生信息,并将故障发生信息确定为指标验证结果,可以实现验证待测试子系统是否满足安全需求,提高了自动驾驶系统在安全需求指标下的可靠性与安全性。
本申请的实施例中还提供一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序中包括程序指令,处理器执行程序指令,实现本申请实施例提供的任意一项安全需求指标确定方法或安全需求指标验证方法。
例如,该计算机程序被处理器加载,可以执行如下步骤:
确定自动驾驶系统的第一安全需求指标,第一安全需求指标为自动驾驶系统对应的整车级的安全需求指标;基于自动驾驶系统中的各子系统,对第一安全需求指标进行指标分解,得到每个子系统对应的子系统失效率;根据全部子系统对应的子系统失效率,确定自动驾驶系统对应的系统级的第二安全需求指标。
又例如,该计算机程序被处理器加载,可以执行如下步骤:
确定自动驾驶系统中的待测试子系统,获取待测试子系统对应的安全需求指标;根据安全需求指标中的第一场景参数生成测试场景;在测试场景下对待测试子系统进行测试,并确定待测试子系统对应的故障发生信息;根据故障发生信息,确定待测试子系统的指标验证结果。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
其中,计算机可读存储介质可以是前述实施例的计算机设备或车辆的内部存储单元,例如计算机设备或车辆的硬盘或内存。计算机可读存储介质也可以是计算机设备或车辆的外部存储设备,例如计算机设备或车辆上配备的插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字卡(Secure Digital,SD),闪存卡(Flash Card)等。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (20)

1.一种安全需求指标确定方法,其特征在于,所述方法包括:
确定自动驾驶系统的第一安全需求指标,所述第一安全需求指标为所述自动驾驶系统对应的整车级的安全需求指标;
基于所述自动驾驶系统中的各子系统,对所述第一安全需求指标进行指标分解,得到每个所述子系统对应的子系统失效率;
根据全部所述子系统对应的子系统失效率,确定所述自动驾驶系统对应的系统级的第二安全需求指标。
2.根据权利要求1所述的安全需求指标确定方法,其特征在于,所述第一安全需求指标包括整车级失效率;所述确定自动驾驶系统的第一安全需求指标,包括:
获取所述自动驾驶系统在预设的每个运行时长内出现风险事件的期望值以及所述风险事件对应的损失值;
根据每个所述运行时长内的期望值以及损失值,确定每个所述运行时长内的风险事件频率;
根据每个所述运行时长内的风险事件频率,确定所述整车级失效率。
3.根据权利要求2所述的安全需求指标确定方法,其特征在于,所述自动驾驶系统包括感知系统、规划系统和控制系统;所述整车级失效率为所述感知系统的第一安全故障率、所述规划系统的第二安全故障率以及所述控制系统的第三安全故障率之和。
4.根据权利要求1所述的安全需求指标确定方法,其特征在于,所述基于所述自动驾驶系统中的各子系统,对所述第一安全需求指标进行指标分解,得到每个所述子系统对应的子系统失效率,包括:
确定所述自动驾驶系统中的各子系统对应的危险场景概率;
根据每个所述子系统对应的危险场景概率对所述第一安全需求指标进行指标分解,得到每个所述子系统对应的子系统失效率。
5.根据权利要求4所述的安全需求指标确定方法,其特征在于,所述第一安全需求指标包括整车级失效率;所述根据每个所述子系统对应的危险场景概率对所述第一安全需求指标进行指标分解,得到每个所述子系统对应的子系统失效率,包括:
依次将每个所述子系统确定为当前子系统;
确定所述当前子系统在不同失效模式下出现的性能局限;
确定所述当前子系统在出现性能局限时发生不可控操作的第一概率与导致严重伤害的第二概率;
根据所述整车级失效率、所述当前子系统对应的所述危险场景概率、所述第一概率以及所述第二概率进行计算,得到所述当前子系统对应的子系统失效率。
6.根据权利要求4所述的安全需求指标确定方法,其特征在于,所述第一安全需求指标包括整车级失效率;所述根据每个所述子系统对应的危险场景概率对所述第一安全需求指标进行指标分解,得到每个所述子系统对应的子系统失效率,包括:
依次将每个所述子系统确定为当前子系统;
获取所述当前子系统对应的场景参数;
根据所述当前子系统对应的所述危险场景概率以及所述场景参数,对所述整车级失效率进行分解,得到所述当前子系统对应的子系统失效率。
7.根据权利要求6所述的安全需求指标确定方法,其特征在于,所述场景参数包括当前车辆与其它车辆之间的纵向距离以及横向距离、所述当前车辆的第一速度、所述其它车辆的第二速度;
所述根据所述当前子系统对应的所述危险场景概率以及所述场景参数,对所述整车级失效率进行分解,得到所述当前子系统对应的子系统失效率,包括:
根据所述整车级失效率、所述当前子系统对应的所述危险场景概率、所述纵向距离、所述横向距离、所述第一速度以及所述第二速度进行计算,得到所述当前子系统对应的子系统失效率。
8.根据权利要求6所述的安全需求指标确定方法,其特征在于,所述场景参数包括当前车辆与其它车辆之间的纵向距离;
所述根据所述当前子系统对应的所述危险场景概率以及所述场景参数,对所述整车级失效率进行分解,得到所述当前子系统对应的子系统失效率,包括:
根据所述整车级失效率、所述当前子系统对应的所述危险场景概率以及所述纵向距离进行计算,得到所述当前子系统对应的子系统失效率。
9.根据权利要求4-8中任意一项所述的安全需求指标确定方法,其特征在于,所述子系统失效率为所述子系统出现性能局限的概率或所述子系统在不同失效模式下出现性能局限的概率,所述危险场景概率为所述子系统出现性能局限导致发生危险事件的场景对应的概率。
10.根据权利要求4-8中任意一项所述的安全需求指标确定方法,其特征在于,所述子系统为感知系统,所述子系统对应的子系统失效率为所述感知系统对应的第一安全故障率。
11.根据权利要求4所述的安全需求指标确定方法,其特征在于,所述子系统为感知系统;所述确定所述自动驾驶系统中的各子系统对应的危险场景概率,包括:
获取所述感知系统在至少一个潜在危险场景下的场景参数和感知失效信息,所述感知失效信息包括失效类型和失效参数;
确定全部所述潜在危险场景中的当前车辆对应的第一预期行为模型以及其它车辆对应的第二预期行为模型;
基于所述第一预期行为模型与所述第二预期行为模型,根据所述场景参数、所述失效类型以及所述失效参数在每个所述潜在危险场景下进行仿真,获得危险场景,所述危险场景为在仿真环境下发生危险的潜在危险场景;
根据所述自动驾驶系统的运行场景数据库对所述危险场景进行概率计算,获得所述感知系统对应的危险场景概率。
12.根据权利要求11所述的安全需求指标确定方法,其特征在于,所述根据所述自动驾驶系统的运行场景数据库对所述危险场景进行概率计算,获得所述感知系统对应的危险场景概率,包括:
从所述运行场景数据库中提取行驶总里程以及所述危险场景对应的第一行驶里程;
根据所述第一行驶里程与所述行驶总里程进行计算,得到所述危险场景概率。
13.根据权利要求11所述的安全需求指标确定方法,其特征在于,所述第一预期行为模型的性能参数值小于所述自动驾驶系统的性能参数值。
14.一种安全需求指标验证方法,其特征在于,所述安全需求指标为根据权利要求1-13任意一项所述的安全需求指标确定方法得到,所述验证方法包括:
确定自动驾驶系统中的待测试子系统,获取所述待测试子系统对应的安全需求指标;
根据所述安全需求指标中的第一场景参数生成测试场景;
在所述测试场景下对所述待测试子系统进行测试,并确定所述待测试子系统对应的故障发生信息;
根据所述故障发生信息,确定所述待测试子系统的指标验证结果。
15.根据权利要求14所述的安全需求指标验证方法,其特征在于,所述根据所述安全需求指标中的第一场景参数生成测试场景,包括:
获取运行场景数据库中的第二场景参数对应的概率密度曲线,所述第二场景参数为所述运行数据库中除所述第一场景参数外的场景参数;
根据所述第二场景参数的概率密度曲线进行参数采集,获得所述第二场景参数对应的参数值;
根据所述第一场景参数对应的参数值与所述第二场景参数对应的参数值,构建所述测试场景。
16.根据权利要求15所述的安全需求指标验证方法,其特征在于,所述获取运行场景数据库中的第二场景参数对应的概率密度曲线之前,还包括:
从所述运行场景数据库中提取所述第二场景参数对应的参数值;
根据所述第二场景参数对应的参数值的出现概率,构建所述第二场景参数的概率密度曲线。
17.根据权利要求14所述的安全需求指标验证方法,其特征在于,所述确定所述待测试子系统对应的故障发生信息,包括:
获取所述待测试子系统在所述测试场景下未出现失效模式的累计时长以及出现失效模式的失效类型;
根据预设的置信度与所述累计时长进行计算,得到所述失效类型对应的故障率;
根据所述失效类型与所述故障率,确定所述故障发生信息。
18.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现:
如权利要求1至13任一项所述的安全需求指标确定方法,或
如权利要求14至17任一项所述的安全需求指标验证方法。
19.一种车辆,其特征在于,所述车辆包括处理器和存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现:
如权利要求1至13任一项所述的安全需求指标确定方法,或
如权利要求14至17任一项所述的安全需求指标验证方法。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时使所述处理器实现:
如权利要求1至13任一项所述的安全需求指标确定方法,或
如权利要求14至17任一项所述的安全需求指标验证方法。
CN202311423671.4A 2023-10-30 2023-10-30 安全需求指标确定及验证方法、设备、车辆和存储介质 Pending CN117520032A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311423671.4A CN117520032A (zh) 2023-10-30 2023-10-30 安全需求指标确定及验证方法、设备、车辆和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311423671.4A CN117520032A (zh) 2023-10-30 2023-10-30 安全需求指标确定及验证方法、设备、车辆和存储介质

Publications (1)

Publication Number Publication Date
CN117520032A true CN117520032A (zh) 2024-02-06

Family

ID=89759768

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311423671.4A Pending CN117520032A (zh) 2023-10-30 2023-10-30 安全需求指标确定及验证方法、设备、车辆和存储介质

Country Status (1)

Country Link
CN (1) CN117520032A (zh)

Similar Documents

Publication Publication Date Title
Leitner-Fischer et al. Probabilistic fault tree synthesis using causality computation
CN112579464A (zh) 自动驾驶算法的校验方法、装置、设备以及存储介质
CN111103866B (zh) 一种基于预期功能安全的自适应巡航开发与测试方法
CN112327806B (zh) 自动驾驶的测试方法、装置、电子设备和存储介质
CN113536611B (zh) 基于离散仿真的自主式交通系统架构正确性的检查方法
CN113190977A (zh) 自动驾驶车辆的事故责任分析方法及装置
CN113935143A (zh) 通过自主车辆的增加的严重性等级估计碰撞概率
CN114301938A (zh) 车路协同车辆事件确定方法、相关装置及计算机程序产品
CN114692295A (zh) 车辆性能边界的确定方法、装置、终端设备及存储介质
CN117520032A (zh) 安全需求指标确定及验证方法、设备、车辆和存储介质
US20230347933A1 (en) Method for validating a control software for a robotic device
CN115140075B (zh) 车辆预期功能安全的量化评估方法、装置、设备及介质
CN113868875B (zh) 测试场景自动生成方法、装置、设备和存储介质
KR101675986B1 (ko) 전장용 소프트웨어 안전성 분석 방법 및 장치
CN113987751A (zh) 一种方案筛选方法、装置、电子设备及存储介质
Song et al. A scenario distribution model for effective and efficient testing of autonomous driving systems
KR20170140752A (ko) 전장용 소프트웨어 안전성 분석 방법 및 장치
CN113895449A (zh) 一种前向目标的确定方法、装置及电子设备
Kaiser et al. An AEBS use case for model-based system design integrating safety analyses and simulation
CN113268428A (zh) 车队管理系统的测试方法、系统、存储介质和电子装置
CN114651190A (zh) 用于批准使用检测车辆的环境中的物体的传感器系统的方法、设备和计算机程序
Åsljung et al. Validation of collision frequency estimation using extreme value theory
CN115629595B (zh) 基于数据回注极限切入场景的测试方法及装置
US20240190464A1 (en) Computer-implemented method and system for verifying a software-based behavior planner of an automated driving function
CN114155705B (zh) 一种车辆阻碍交通行为评估方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination