一种用于自动驾驶汽车预期功能安全的验证方法及系统与流程

本发明涉及自动驾驶汽车制造
技术领域：
，尤其是涉及一种用于自动驾驶汽车预期功能安全的验证方法及系统。
背景技术：
：对于自动驾驶汽车这一复杂系统，其整体功能的实现依赖于多种传感器、控制器、执行器和复杂软件算法的协调工作。这使得自动驾驶汽车除传统汽车由于电子电气系统故障导致的功能安全问题外，还面临无故障失效情况下，由于传感器等硬件性能局限或者人为误操作导致的预期功能安全问题。因此，自动驾驶汽车功能开发过程中提出了对预期功能安全的分析评估需求。国际标准化组织iso于2011年正式颁布了汽车功能安全标准iso26262，该标准为汽车从研发到报废整个安全生命周期内的功能安全设计提供了指导。2015年起，iso启动了汽车预期功能安全标准的研究制定工作，以作为功能安全标准的扩展补充。然而，现有功能安全标准中所提安全分析方法无法覆盖预期功能安全问题，而预期功能安全标准仍在讨论和制定阶段，因此面对自动驾驶汽车对预期功能安全的相关需求，现有标准和应用中缺乏具体的，可执行的分析与验证方法。技术实现要素：本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种用于自动驾驶汽车预期功能安全的验证方法及系统，目的在于为自动驾驶汽车预期功能安全设计提供安全分析支持和后期验证方法。本发明的目的可以通过以下技术方案来实现：步骤一，构建汽车控制结构，确定危险事件列表并导出对应触发事件。对自动驾驶汽车进行功能分析和定义，明确自动驾驶汽车的功能架构和使用环境，使用系统理论过程分析(systems-theoreticprocessanalysis,stpa)方法，构建自动驾驶汽车功能控制结构，确定各项功能所有潜在危险事件清单，并导出危险事件对应触发事件以及触发事件概率；步骤二，确定危险事件的相关等级并筛选分类。确定危险事件的汽车安全完整性等级(automotivesafetyintegrationlevel,asil)，筛选掉asil评级中与危险不相关的事件(asilqm)，确定asil评级高于qm的危险事件清单；步骤三，确定触发事件的接受度。根据每项危险事件的asil评级和对应触发事件概率，确定对应的触发事件容忍度或错误率目标；步骤四，验证触发事件是否满足预设的接受度。复现触发事件并对自动驾驶车辆进行测试，验证触发事件的容忍度或错误率是否达到步骤三中所设定目标。进一步地，步骤一中的功能控制结构是用以表示自动驾驶车辆技术架构的框图，由各级控制器、执行器、传感器以及控制指令组成，功能控制结构是对自动驾驶汽车的抽象表达，是本发明预期功能安全评估的基础。进一步地，步骤一中危险事件指自动驾驶汽车在特定场景下的非预期行为，该非预期行为可能导致事故的发生；触发事件指导致自动驾驶汽车发生非预期行为的具体事件。进一步地，步骤一中触发事件由事件类型、事件要素集合、要素组合形式、要素属性、要素属性值典型范围描述。进一步地，步骤二中危险事件的asil评级参考iso26262标准，从暴露率、严重度和可控性三个角度进行评估。进一步的，步骤三中触发事件容忍度指自动驾驶系统正常工作能够承受的触发事件要素属性值的极限值与参考值之比，基础值基于知识和数据得到的要素属性得到，即引发功能不足和局限的临界值。进一步地，步骤三中错误率目标指自动驾驶系统在特定触发事件作用下发生非预期行为的要求频率值。本发明还提供一种基于自动驾驶车辆预期功能安全的分析与验证系统，其包括：第一平台，用以识别自动驾驶车辆的危险事件，导出对应触发事件以及触发事件概率；第二平台，用于确定危险事件的asil等级，并根据每项危险事件的asil评级和对应触发事件概率，确定对应的触发事件容忍度或错误率目标；第三平台，用于复现触发事件并对自动驾驶车辆进行测试，验证触发事件的容忍度或错误率是否达到所设定目标。进一步地，所述第一平台包括第一数据库、第二数据库、第三数据库及第一处理器，第一数据库用于存储自动驾驶车辆功能架构和使用环境信息，第二数据库用于存储自动驾驶汽车所有危险事件对应的触发事件及触发事件概率，第一处理器根据自动驾驶汽车功能架构和使用环境信息构建功能控制结构并识别所有危险事件，对应的触发事件以及触发事件概率，第三数据库用于存储识别到的危险事件清单以及对应的触发事件及触发事件概率。进一步地，所述第二平台包括第四数据库及第二处理器，第二处理器根据asil对识别到的危险事件评级并筛选保留asil评级高于qm的危险事件，并根据每项危险事件的asil评级和对应触发事件概率，计算触发事件容忍度或错误率目标；第四数据库用于存储识别到的危险事件所对应的触发事件容忍度或错误率。进一步地，所述第三平台包括虚拟测试平台，硬件在环测试平台以及整车封闭测试场地。与现有技术相比，本发明具有以下优点：(1)提供了量化的、可验证的评估要求，本发明中验证系统包括：第一平台，用以识别自动驾驶车辆的危险事件，导出对应触发事件以及触发事件概率；第二平台，用于确定危险事件的asil等级，并根据每项危险事件的asil评级和对应触发事件概率，确定对应的触发事件容忍度或错误率目标；第三平台，用于复现触发事件并对自动驾驶车辆进行测试，验证触发事件的容忍度或错误率是否达到所设定目标。(2)满足自动驾驶汽车功能的开发中对预期功能安全的评估需求，本发明中方法包括基于对象车辆的系统框架，确定危险事件和触发事件；危险事件评估与筛选；确定触发事件的接受度；以及验证触发事件是否满足预设的接受度。(3)本发明中方法和系统可操作性强，易于在产品的实际开发过程中应用实现。附图说明图1是本发明提供的自动驾驶汽车预期功能安全评估的验证方法流程示意图；图2是本发明提供的基于自动驾驶车辆预期功能安全评估的验证系统框图；图3是本发明实施例1所述自动驾驶清扫车避障功能控制结构图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。实施例本发明所述自动驾驶汽车预期功能安全的评估方法，适用于各类应用场景的自动驾驶汽车，包括sael3及以上的自动驾驶汽车。本实施例中，所评估对象为一sael3级自动驾驶车辆，定义为av1，具体评估步骤如下：s1-1：根据av1功能定义和系统架构，应用stpa方法构建av1的功能控制结构图，本实施例以av1避障功能为例具体展开，其避障功能相关控制结构如图3所示；s1-2：确定av1避障功能所有潜在危险事件清单，并导出危险事件对应触发事件以及触发事件概率；步骤s1-1中av1的功能定义和系统架构一般由上一步开发工作得到，在本实施例中，av1的主要功能是在半封闭园区内进行全自动道路清扫，能够自主规划行驶路线，并在行驶过程中识别区分障碍物和行人，实现主动避让。其中避障功能为在自动驾驶过程中，识别障碍物，并依据车辆与障碍物距离规划避障路线完成自主绕行避让。如图3所示，自动驾驶模式下，自动驾驶控制单元接收来自环境传感器和定位系统的环境位置信息以及来自车辆控制单元的车辆状态信息，结合提前上传的地图信息，通过计算分析确定车辆目标功能，规划行驶路径并向车辆控制单元发送控制指令，车辆控制单元据此控制车辆执行机构完成相应动作，车上驾驶员可随时接管清扫车。步骤s1-2中，通过分析图3所示各模块间的控制指令和反馈信息，确定av1的各项功能所有潜在危险事件清单。触发事件是引发特定危险事件的av1运行环境因素或av1系统内部因素，各类危险事件的触发事件以及触发事件的出现概率是经过大量实验获得的，典型触发事件发生概率如表1所示。表1典型触发事件发生概率本实施例中av1的避障功能危险事件清单及其触发事件及触发事件概率如表2所示。表2av1避障功能危险事件清单s2：确定表2所示危险事件的asil等级：he1asilbhe2asilahe3asilbhe4asilbhe5asilbs3：根据s2中确定的危险事件asil等级，以及表2中各触发事件的发生概率，确定触发事件容忍度或错误率目标，如表3所示。表3av1沿路沿行驶功能触发事件容忍度编号触发事件发生概率asil等级容忍度错误率目标te1障碍物反射面积过小中等b70％-te2其他车辆雷达干扰极低a-10-6te3障碍物形状不规则较高b-10-8te4传感器感知范围不足极低b75％-te5gps定位漂移中等b-5×10-7s3中触发事件容忍度或错误率目标基于车辆相关信息计算得到的表4确定。表4触发事件容忍度或错误率目标查询表s4：在虚拟测试环境或真实环境下复现触发事件，并对自动驾驶车辆进行测试，验证触发事件的容忍度或错误率是否达到s3中所设定目标。本发明还提供了一种自动驾驶车辆预期功能安全的分析与验证系统。在本发明的另一实施例中，评估对象定义为av2的行人识别功能。第一平台用以识别av2行人识别相关的危险事件，导出对应触发事件以及触发事件概率。进一步的，第一数据库用于存储av2功能架构和使用环境信息，第二数据库用于存储自动驾驶汽车所有危险事件对应的触发事件及触发事件概率，第一处理器根据av2架构和使用环境信息构建功能控制结构并识别所有危险事件，对应的触发事件以及触发事件概率，第三数据库用于存储识别到的av2的所有危险事件清单以及对应的触发事件及触发事件概率。例如，车辆前方有行人未鸣笛减速这一危险事件，其中一个触发事件为传感器识别行人错误，概率极小。第二平台用于确定由第一平台识别到的危险事件的asil等级，并根据每项危险事件的asil评级和对应触发事件概率，确定对应的触发事件容忍度或错误率目标。进一步的，第二处理器根据asil对第三数据库中危险事件评级并筛选保留asil评级高于qm的危险事件，并根据每项危险事件的asil评级和对应触发事件概率，计算触发事件容忍度或错误率目标。第四数据库用于存储第二处理器所得结果。针对以上危险事件和触发事件，通过平台分析得到其asil等级为c级，容忍度为75％。第三平台用于复现第四数据库中触发事件并对自动驾驶车辆进行测试，验证触发事件的容忍度或错误率是否达到设定目标。本实施例中选择在整车封闭测试场中进行测试，通过设置假人作为行人识别的目标，经过反复测试，发现av2存在前方有假人减速却不鸣笛情况，即传感器将行人识别为其他障碍物，但概率极小，且由于车辆仍会减速制动，容忍度达到75％的设定值。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本
技术领域：
的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。当前第1页12