功能安全概念阶段分析方法及制动控制系统与流程

1.本发明实施例涉及车辆开发技术领域，尤其涉及一种功能安全概念阶段分析方法及制动控制系统。


背景技术：

2.随着汽车行业的不断发展，实现车辆的完全自动驾驶成为汽车行业追求的目标。传统的车辆在车辆行驶时无法预知前方的潜在危险，从而无法提醒驾驶人员注意避让或者减低车速；无法从安全角度制定相应策略省去功能层面不可靠的功能限制策略；无法保障结构化道路自动驾驶功能安全相关请求信号通讯准确，以及无法限制制动请求的发出；在限制请求发出时无法对制动力请求进行限制。无论是高级别还是低级别的自动驾驶，都会涉及到环境感知、自主决策和实时控制。
3.自动驾驶辅助技术本身属于主动安全技术，但是其在能够有效预防危害事件发生和降低危害程度的同时，缺乏自身的有效安全机制，当主动安全技术自身发生故障时，由于多数驾驶员对系统可靠性的过分相信，将大大延长有效接管时间，从而导致更加严重的交通事故。近年来发生的一些自动驾驶交通事故，都引起了公众对自动驾驶的质疑与焦虑。因此，自动驾驶辅助技术的安全性急需得到提高。
4.电子电气系统本身无法做到绝对不发生故障，所以需要对系统进行功能安全设计，自动驾驶制动系统作为自动驾驶辅助中环境感知环节的重要组成部分，对其进行功能安全设计具有十分重要的意义。目前尚无针对其整车层面的功能安全技术的相关研究，而功能安全概念分析是对整个系统进行功能安全设计的前提，合理的概念分析有利于后续安全控制策略的制定和容错控制算法的开发。


技术实现要素：

5.本发明实施例提供功能安全概念阶段分析方法及制动控制系统，以提高制动的可靠性及自动驾驶的安全性，保证乘客以及其他交通参与者的人身及财产安全。
6.第一方面，本发明实施例提供了功能安全概念阶段分析方法，包括：
7.定义相关项，其中，所述相关项的功能描述包括决策部分和执行部分，所述决策部分包括自动驾驶控制系统中的顶层控制器，所述执行部分包括车身电子稳定系统(electronic stability program，esp)中的制动控制器，所述相关项范围包括所述自动驾驶控制系统、所述esp、供电系统、人机交互系统以及信息交互接口，所述信息交互接口包括所述自动驾驶控制系统的内部接口，以及所述自动驾驶控制系统与所述esp、所述供电系统以及所述人机交互系统之间的外部接口；
8.采用危险与可操作性(hazard and operability，hazop)分析方法，基于设定引导词对相关项的功能进行危害分析，以识别设定运行场景下的危害事件；
9.通过严重度、暴露概率以及可控性对所述危害事件进行风险评估，得到汽车安全完整性等级(automotive safety integration level，asil)；
10.根据所述asil导出安全目标，所述安全目标包括：避免车辆发生制动力控制丢失不报警，以及避免车辆发生非预期的制动；
11.根据所述安全目标导出功能安全需求。
12.第二方面，本发明实施例还提供了一种制动控制系统，该系统包括：
13.自动驾驶控制系统、车身电子稳定系统esp控制系统、供电系统以及人机交互系统；
14.所述供电系统用于为所述自动驾驶控制系统、所述esp控制系统以及所述人机交互系统供电；
15.所述人机交互系统用于用户与所述制动控制系统的信息交互；
16.所述自动驾驶控制系统用于确定自动驾驶决策；
17.所述esp控制系统用于根据所述自动驾驶决策执行自动驾驶操作；
18.其中，所述自动驾驶控制系统根据权利要求1-8任一项所述的功能安全概念阶段分析方法指导开发。
19.本发明实施例所提供的技术方案中，首先定义相关项，其中，相关项的功能描述包括决策部分和执行部分，决策部分包括自动驾驶控制系统中的顶层控制器，执行部分包括esp中的制动控制器，相关项范围包括自动驾驶控制系统、esp、供电系统、人机交互系统以及信息交互接口，信息交互接口包括自动驾驶控制系统的内部接口，以及自动驾驶控制系统与esp、供电系统以及人机交互系统之间的外部接口；采用hazop分析方法，基于设定引导词对相关项的功能进行危害分析，以识别设定运行场景下的危害事件；通过严重度、暴露概率以及可控性对危害事件进行风险评估，得到asil；根据asil导出安全目标，安全目标包括：避免车辆发生制动力控制丢失不报警，以及避免车辆发生非预期的制动；根据安全目标导出功能安全需求。本发明实施例，通过严重度、暴露概率以及可控性对危害事件进行风险评估，得到asil，然后根据asil导出安全目标，并根据安全目标导出功能安全需求，提高了自动驾驶辅助技术的安全性，有效保障乘客和其他交通参与者的生命财产安全。与现有技术相比，所采用的功能安全概念阶段分析方法，涉及环境感知、自助决策以及实时控制，能够在车辆行驶时预知前方的潜在危险，从而提醒驾驶人员注意避让或者减低车速。
附图说明
20.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
21.图1为本发明实施例一提供的一种功能安全概念阶段分析方法的流程图；
22.图2为本发明实施例二提供的一种功能安全概念阶段分析方法的流程图；
23.图3为本发明实施例二提供的一种自动驾驶控制系统中功能安全需求的流程图；
24.图4为本发明实施例三提供的一种制动控制系统的结构示意图；
25.图5为本发明实施例三提供的又一种制动控制系统的结构示意图。
具体实施方式
26.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。此外，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
27.在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。此外，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
28.本发明使用的术语“包括”及其变形是开放性包括，即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
29.实施例一
30.图1为本发明实施例一提供的一种功能安全概念阶段分析方法的流程图，本实施例可适用于对自动驾驶的制动安全进行分析的情况，该方法可以由本发明实施例中的一种制动控制系统来执行，该系统可采用软件和/或硬件的方式实现，如图1所示，该方法具体包括如下步骤：
31.s110、定义相关项，其中，相关项的功能描述包括决策部分和执行部分，决策部分包括自动驾驶控制系统中的顶层控制器，执行部分包括esp中的制动控制器。
32.其中，自动驾驶控制系统可以理解为采用先进的通信、计算机、网络和控制技术，对列车实现实时、连续控制。可实现车地间的双向数据通信，传输速率快，信息量大，后续追踪列车和控制中心可以及时获知前行列车的确切位置，使得运行管理更加灵活，控制更为有效，更加适应列车自动驾驶的需求。esp可以理解为在提升车辆的操控表现的同时，有效地防止汽车达到其动态极限时失控的系统或程序，esp能提升车辆的安全性和操控性。
33.具体的，顶层控制器安装于自动驾驶控制系统中，用于根据道路信息和前方车况信息判断碰撞风险，并将道路信息和前方车况信息传输给制动控制器。制动控制器安装于esp中，用于根据输入的道路信息、前方车辆状态信息以及碰撞时间，以确定为避免碰撞的制动减速度以及所需施加的制动力，并根据顶层控制器输入的期望制动力信号，控制esp实施制动，电机驱动液压系统，实现车辆的制动运动控制。
34.在本实施例中，首先要定义相关项。其中，相关项的功能描述包括决策部分和执行部分，决策部分包括自动驾驶控制系统中的顶层控制器，执行部分包括esp中的制动控制器。其中，定义相关项可以理解为先定义项目要实现的功能，以及实现该功能产品的使用环境、与其它产品相关的依赖性和相互影响、法规要求、系统和组件之间的接口和边界条件等等。
35.在本实施例中，相关项范围包括自动驾驶控制系统、esp、供电系统、人机交互系统以及信息交互接口，信息交互接口包括自动驾驶控制系统的内部接口，以及自动驾驶控制
系统与esp、供电系统以及人机交互系统之间的外部接口。其中，供电系统可以理解为由电源系统和输配电系统组成的产生电能并供应和输送给用电设备的系统。人机交互系统可以理解为人与计算机之间通过相互理解的交流与通信，在最大程度上为人们完成信息管理，服务和处理等功能的系统。信息交互接口可用于信息交互的传输。需要说明的是，人可以在人机交互系统的屏幕上进行操作。具体为可以通过触摸的方式进行操作，也可以通过按键的方式进行操作，本实施例在此不做限制。
36.s120、采用hazop分析方法，基于设定引导词对相关项的功能进行危害分析，以识别设定运行场景下的危害事件。
37.其中，hazop分析方法可以理解为为了避免不合理的风险，对相关项的功能进行识别和归类的方法以及定义防止和减轻相关危害的安全目标和asil等级的方法。由于重要的参数偏离了指定的设计条件所导致的危险和可操作性问题。示例性的，重要的参数可以为路径跟踪所需的方向盘转角度量，也可以为车辆的制动控制性等等，本实施例在此不做限制。
38.在本实施例中，设定引导词可以理解为预先设置的引导词，可用于对制动控制系统功能进行hazop分析。示例性的，设定引导词可以为功能丧失；也可以为错误功能多于预期，还可以为输出卡滞在固定值；本实施例在此不做限制。
39.在本实施例中，设定运行场景可以理解为预先设定的车辆运行场景。示例性的，设定运行场景可以为智能车辆在道路以及交通状况良好的条件下，沿高度结构化道路车道线自动行驶。
40.可选的，设定运行场景包括在结构化道路上沿车道自动行驶。
41.其中，结构化道路可以理解为道路边缘比较规则，路面平坦，有明显的车道线及其它人工标记的行车道路。例如可以是高速公路、城市干道等等，本实施例在此不做限制。
42.在本实施例中，在定义相关项之后，可以采用hazop分析方法，基于设定引导词对相关项的功能进行危害分析，以识别设定运行场景下的危害事件。
43.可选的，设定引导词包括：功能丧失、错误功能多于预期、错误功能少于预期以及输出卡滞在固定值。
44.其中，功能丧失的异常表现可以为失去制动能力；错误功能多于预期的功能表现可以为制动功能异常的频率或种类过多或制动力过大等；错误功能少于预期的功能表现可以为制动功能异常的频率或种类较少或制动力过小等；输出卡滞在固定值的功能表现可以为制动力卡滞在某一值不变。
45.示例性的，参考iiazop研究应用指南，考虑自动驾驶车辆在高速公路上沿车道行驶的运行场景，列举下列4条引导词对制动控制系统功能开展危害分析，并进一步分析每个功能异常表现在整车层面上可能产生的危害事件。表一为制动控制系统功能危害分析表，如下表一所示，制动控制系统功能危害分析表中包含功能、引导词、功能异常表现、运行场景、整车危害以及潜在最坏场景。
46.表一：制动控制系统功能危害分析表
[0047][0048][0049]
s130、通过严重度、暴露概率以及可控性对危害事件进行风险评估，得到asil。
[0050]
在本实施例中，严重度、暴露概率以及可控性是通过iso 26262标准所定义的。其中，严重度可以理解为对可能发生在潜在危害场景中的一个或者多个人员的伤害程度的预估。一般分为3个等级：s0—无伤害；s1—轻度和中度伤害；s2—严重的和危及生命的伤害(有可能存活)；s3—危及生命的伤害(存活不确定)，致命的伤害。暴露概率可以理解为处于某种运行场景的状态，在该运行场景下，如果发生所分析的失效模式，可能导致危害。一般分为4个等级：e0—不可能；e1—非常低的概率；e2—低概率；e3—中等概率；e4—高概率。可控性可以理解为通过所涉及人员(驾驶员，乘客或者车辆外部的邻近人员)的及时反应，也可能通过外部措施的支持，避免特定的伤害或者损伤的能力。一般分为3个等级：c0—可控；c1—简单可控；c2—般可控；c3—难以控制或者不可控。
[0051]
具体的，风险评估是为了避免不合理的风险，对相关项的功能进行识别和归类的方法以及定义防止和减轻相关危害的安全目标和asil等级的方法。
[0052]
可选的，危害事件包括车辆发生非预期的制动或制动丢失有碰撞风险。
[0053]
其中，制动可以理解为刹车，其可以使运行中的机车、车辆及其他运输工具或机械等停止或减低速度。
[0054]
在本实施例中，asil中的每一个等级定义了iso 26262中的相关项或者要素的必要的要求和安全措施，以避免不合理的风险。其中，asil分为a、b、c、d四个等级，d代表最高等级，a代表最低等级。
[0055]
在本实施例中，在采用hazop分析方法，基于设定引导词对相关项的功能进行危害分析之后，通过严重度、暴露概率以及可控性对危害事件进行风险评估，以得到asil。
[0056]
具体的，通过严重度、暴露概率以及可控性对危害事件进行风险评估，得到asil的方式可以为：首先确定设定运行场景的不同参数的情况下的严重度、暴露概率以及可控性，然后根据得到的严重度、暴露概率以及可控性，以确定asil。
[0057]
示例性的，表二为风险评估:通过严重度(e)，暴露概率(s)，可控性(c)对危害事件进行asil分析表。如下表二所示，asil分析表中包含功能、整车危害、运行场景、暴露概率
(s)以及暴露概率(s)等级理由、严重度(e)以及严重度(e)等级理由、可控性(c)以及可控性(c)等级理由、asil等级。
[0058]
表二：风险评估:通过严重度(e)，暴露概率(s)，可控性(c)对危害事件进行asil分析表
[0059][0060][0061]
s140、根据asil导出安全目标，安全目标包括：避免车辆发生制动力控制丢失不报警，以及避免车辆发生非预期的制动。
[0062]
具体的，通过严重度、暴露概率以及可控性对危害事件进行风险评估后，应为每一条危害事件确定安全目标。其中，安全目标是最高层面的安全需求，其属性包括描述、asil等级、故障容错时间、安全状态。asil等级为所覆盖的危害事件的最高等级。示例性的，危害事件为车辆发生非预期的制动，则安全目标为避免车辆发生非预期的制动；危害事件为制动丢失有碰撞风险，则安全目标为避免车辆发生制动力控制丢失不报警。
[0063]
在本实施例中，得到asil后，根据asil导出安全目标，安全目标包括：避免车辆发生制动力控制丢失不报警，以及避免车辆发生非预期的制动。
[0064]
示例性的，表三为制动控制系统的安全目标以及其相关属性值表。通过严重度、暴露概率以及可控性对危害事件进行风险评估，得到级asil后，得出制动控制系统的安全目标以及其相关属性值如下表三所示。如表三所示，制动控制系统的安全目标以及其相关属性值表中包括安全目标、安全状态、故障容错时间、asil等级。其中，安全状态时为实现安全目标所要达到的安全状态；故障容错时间可以根据实践经验获得，也可以根据总结获得，本实施例在此不做限制。
[0065]
表三：制动控制系统的安全目标以及其相关属性值表
[0066]
[0067][0068]
s150、根据安全目标导出功能安全需求fsr。
[0069]
其中，考虑制动控制系统的架构设计，将制动控制系统的功能安全目标分解至各电子电气部件，形成制动控制系统功能安全要求。
[0070]
在本实施例中，根据安全目标导出功能安全需求的方式可以为：将安全目标分解至不同的电子电气部件，形成功能安全需求(functional safety requirement，fsr)。
[0071]
本发明实施例所提供的技术方案中，首先定义相关项，其中，相关项的功能描述包括决策部分和执行部分，决策部分包括自动驾驶控制系统中的顶层控制器，执行部分包括esp中的制动控制器，相关项范围包括自动驾驶控制系统、esp、供电系统、人机交互系统以及信息交互接口，信息交互接口包括自动驾驶控制系统的内部接口，以及自动驾驶控制系统与esp、供电系统以及人机交互系统之间的外部接口；然后通过采用hazop分析方法，基于设定引导词对相关项的功能进行危害分析，以识别设定运行场景下的危害事件；通过严重度、暴露概率以及可控性对危害事件进行风险评估，得到asil；之后根据asil导出安全目标，安全目标包括：避免车辆发生制动力控制丢失不报警，以及避免车辆发生非预期的制动；最后根据安全目标导出功能安全需求。本发明实施例，通过严重度、暴露概率以及可控性对危害事件进行风险评估，得到asil，然后根据asil导出安全目标，并根据安全目标导出功能安全需求，提高了自动驾驶辅助技术的安全性，有效保障乘客和其他交通参与者的生命财产安全。与现有技术相比，所采用的功能安全概念阶段分析方法，涉及环境感知、自助决策以及实时控制，能够在车辆行驶时预知前方的潜在危险，从而提醒驾驶人员注意避让或者减低车速。
[0072]
可选的，相关项的功能描述还包括：
[0073]
顶层控制器用于在结构化道路上，根据道路信息和前方车况信息判断碰撞风险，并将道路信息和前方车况信息传输给制动控制器；制动控制器用于根据道路信息、前方车况信息以及碰撞时间，确定为避免碰撞的制动减速度以及所需施加的制动力，并根据顶层控制器输入的期望制动力信号，控制esp实施制动。
[0074]
其中，道路信息可以理解为车辆行驶过程中周围的道路信息。前方车况信息可以理解为车辆行驶过程中，前方车辆的行驶信息以及车辆状况信息等。
[0075]
具体的，顶层控制器用于在结构化道路上，根据道路信息和前方车况信息判断碰撞风险，并将道路信息和前方车况信息传输给制动控制器，制动控制器根据道路信息、前方车况信息以及碰撞时间，确定为避免碰撞的制动减速度以及所需施加的制动力，并根据顶层控制器输入的期望制动力信号，控制esp实施制动。
[0076]
可选的，功能安全概念阶段分析方法，还包括：根据安全目标导出安全状态，安全状态包括：
[0077]
通过仪表向驾驶员报警，在驾驶员接管纵向控制之前进行制动补偿；
[0078]
通过仪表向驾驶员报警，自动驾驶功能禁能，车辆滑行。
[0079]
其中，仪表可以理解为汽车仪表盘，它是反映车辆各系统工作状况的装置。常见的有燃油指示灯、清洗液指示灯、电子油门指示灯、前后雾灯指示灯及报警灯等等。
[0080]
在本实施例中，制动补偿可以理解为根据安全目标导出安全状态时，驾驶员可以通过其他方式在汽车制动的基础上，再次产生制动的一种方式。
[0081]
在本实施例中，功能安全概念阶段分析方法，还包括：根据安全目标导出安全状态，安全状态包括：通过仪表向驾驶员报警，在驾驶员接管纵向控制之前进行制动补偿；通过仪表向驾驶员报警，自动驾驶功能禁能，车辆滑行。
[0082]
实施例二
[0083]
图2为本发明实施例二提供的一种功能安全概念阶段分析方法的流程图。本实施例在上述各实施例地基础上，对通过严重度、暴露概率以及可控性对所述危害事件进行风险评估，得到asil以及根据安全目标导出功能安全需求的进一步细化。具体可以包含如下步骤：
[0084]
s210、定义相关项，其中，相关项的功能描述包括决策部分和执行部分，决策部分包括自动驾驶控制系统中的顶层控制器，执行部分包括esp中的制动控制器。
[0085]
s220、采用hazop分析方法，基于设定引导词对相关项的功能进行危害分析，以识别设定运行场景下的危害事件。
[0086]
s230、确定在设定运行场景的不同参数的情况下的严重度、暴露概率以及可控性。
[0087]
在本实施例中，在设定运行场景下，环境参数可能有多种组合，例如车道数量、障碍物数量、车辆与障碍物之间的距离和相对速度、拥堵情况等都可能不同，不同的环境参数，对应的严重度、暴露概率以及可控性也可能不同。本实施例中，在识别设定运行场景下的危害事件之后，确定在设定运行场景的不同参数的情况下的严重度、暴露概率以及可控性，以得出最高的严重度、最大的暴露概率以及最高的可控性，用于确定asil。
[0088]
s240、根据最高的严重度、最大的暴露概率以及最高的可控性，确定asil。
[0089]
其中，最高的严重度可以理解为iso 26262标准中的s2等级的严重度；最大的暴露概率可以理解为iso 26262标准中的e4等级的暴露概率；最高的可控性可以理解为iso 26262标准中的c2等级的可控性。
[0090]
在本实施例中，在确定在设定运行场景的不同参数的情况下的严重度、暴露概率以及可控性的情况下，根据最高的严重度、最大的暴露概率以及最高的可控性，可以确定asil。
[0091]
s250、根据asil导出安全目标，安全目标包括：避免车辆发生制动力控制丢失不报警，以及避免车辆发生非预期的制动。
[0092]
s260、将安全目标分解至不同的电子电气部件，形成fsr。
[0093]
在本实施例中，电子电气部件可以理解为自动驾驶控制系统、底盘控制系统以及车身电子稳定系统等中的相关电子电器部件。
[0094]
具体的，fsr包括：
[0095]
fsr001：在执行紧急制动功能时，电子控制单元(electronic control unit，ecu)能够正确监控制动控制报警模式的进入顺序；
[0096]
fsr002：保证自动制动系统(autonomous emergency braking，aeb)激活时利用摄像头前向目标和雷达前向目标信息的融合数据正确计算碰撞时间(time to contact，ttc)；
[0097]
fsr003：正确监控车辆动力学状态信号；
[0098]
fsr004：考虑aeb各增值功能项对高级驾驶辅助系统(advanced driving assistance system，adas)功能执行产生的影响；
[0099]
fsr005：正确监控车身状态信号；
[0100]
fsr006：正确监控制动加速踏板值和转向扭矩驾驶员输入；
[0101]
fsr007：正确监控esp功能开启状态信号；
[0102]
fsr008：正确监控自动驾驶控制功能使能信号；
[0103]
fsr009：正确监控驾驶员接管信号；
[0104]
fsr010：监测ecu的安全相关诊断特征和故障响应特征，以确保其正常运行；
[0105]
fsr011：ecu具有内部安全机制，以处理汽车行驶过程中的外部和内部故障；
[0106]
fsr012：保证本车与目标车辆实际相对距离的正确性；
[0107]
fsr013：保证当前车辆实际车速的正确性；
[0108]
fsr014：保证期望减速度值的正确性；
[0109]
fsr015：保证能够通过控制器局域网络(controller area network，can)传输制动指令；
[0110]
fsr016：保证ecu能够正确发送状态信息到通讯网络；
[0111]
fsr017：当驾驶员在危险情况下启动刹车或转向时，ecu应出于安全考虑停止控制并通知驾驶员；
[0112]
fsr018：ecu应考虑当前预警阶段和驾驶情况，验证计算出的制动力不超过阈值；
[0113]
fsr019：验证期望减速度控制值与车速，和车辆实际减速度与车速值的偏差处于可靠性范围；
[0114]
fsr020：保证ecu能够正确发送制动指令；
[0115]
fsr021：ecu硬件安全指标达到asil b等级，其中，所述ecu硬件安全指标包括随机硬件失效率(probabilistic metric for random hardware failures，pmhf)、单点故障指标(single-point fault metric，spfm)以及潜在故障度(latent-fault metric，lfm)；
[0116]
fsr022：监控ecu安全相关特性和故障响应特性的逻辑，以及安全相关特性的正常运行，应满足其他非安全逻辑的共存准则；
[0117]
fsr023：ecu由能够满足asil等级要求失效模式、影响及其诊断分析(failure modes effects and diagnostic analysis，fmeda)的可靠装置组成；
[0118]
fsr024：ecu应进行初始化故障检查，微控制单元mcu应具有故障处理功能模块；
[0119]
fsr025：当检测到工作故障，在限定的时间内，系统应发出警报，当驾驶员超时未接管，系统应自动退出，安全滑行，以保证驾驶员的安全；
[0120]
fsr026：保证系统供电正常，且只有在安全驾驶状态下，ecu才被允许模块断电。
[0121]
其中，ecu又称“行车电脑”、“车载电脑”等。它由mcu、存储器(rom、ram)、输入/输出
接口(i/o)、模数转换器(a/d)以及整形、驱动等大规模集成电路组成。在执行紧急制动功能时，ecu能够正确监控制动控制报警模式的进入顺序。
[0122]
在本实施例中，aeb可以理解为车辆在非自适应巡航的情况下正常行驶，如车辆遇到突发危险情况或与前车及行人距离小于安全距离时主动进行刹车(但具备这种功能的车辆并不一定能够将车辆完全刹停)避免或减少追尾等碰撞事故的发生，从而提高行车安全性的一种技术。
[0123]
在本实施中，ttc可以理解为本车会撞上前车的时间。
[0124]
在本实施例中，车辆动力学状态信号可以理解为车辆与路面的关系中的状态信号。
[0125]
具体的，adas是利用安装在车上的各式各样传感器，例如可以是毫米波雷达、激光雷达、单\双目摄像头以及卫星导航等传感器，在汽车行驶过程中随时可以感应周围的环境，收集数据，进行静态、动态物体的辨识、侦测与追踪，并结合导航地图数据，进行系统的运算与分析，从而预先让驾驶者察觉到可能发生的危险，可以有效增加汽车驾驶的舒适性和安全性。
[0126]
在本实施例中，车身状态信号可以理解为车辆行驶过程中，车身的状态信号。示例性的，车身状态信号可以为车身正常行驶的信号；还可以为车身采取紧急制动的信号等等，本实施例在此不做限制。
[0127]
在本实施例中，制动加速踏板值可以理解为汽车在制动过程中的踏板值。转向扭矩驾驶员输入可以理解为当驾驶员猛踩油门(驾驶员并不想转向)，给传动系统施加扭矩的时候，车辆自身发生跑偏现象。
[0128]
在本实施例中，can可以作为汽车环境中的微控制器通讯，在车载各电子控制装置ecu之间交换信息，形成汽车电子控制网络。例如可以是，发动机管理系统、变速箱控制器、仪表装备、电子主干系统中，均嵌入can控制装置。
[0129]
在本实施例中，ecu应考虑当前预警阶段和驾驶情况，验证计算出的制动力不超过阈值。其中，制动力可以理解为可达到的最大滚动摩擦力，因为由滚动变滑动时摩擦力会突降，即最大滚动摩擦力比滑动摩擦力大，它关系到行车安全性。阈值可以理解为预先设置的汽车制动力阈值。
[0130]
在本实施例中，验证期望减速度控制值与车速，和车辆实际减速度与车速值的偏差处于可靠性范围。其中，可靠性范围可以由实际经验获得；也可以由实验获得；本实施例在此不做限制。
[0131]
在本实施例中，pmhf可以表示在汽车运行周期中每小时平均失效概率。spfm反映了相关项通过安全机制覆盖或通过设计手段(主要为安全故障)实现的对单点故障和残余故障的鲁棒性。高的单点故障度量值意味着相关项硬件的单点故障和残余故障所占的比例低，系统可靠性更高。lfm反映了相关项通过安全机制覆盖、通过驾驶员在安全目标违背之前识别或通过设计手段(主要为安全故障)实现的对潜伏故障的鲁棒性。高的潜伏故障度量值意味着硬件的潜伏故障所占的比例低，系统可靠性更高。
[0132]
在本实施例中，ecu由能够满足asil等级要求fmeda的可靠装置组成。其中，fmeda在功能安全工作中起到很重要的作用，它对功能安全产品的失效风险、是否可诊断进行定性分析，同时也为平均失效概率和安全完整性等级的计算提供了有效的数据支撑。
[0133]
在本实施例中，ecu应进行初始化故障检查，mcu应具有故障处理功能模块。其中，mcu又称单片微型计算机或者单片机。
[0134]
在本实施例中，当检测到工作故障，在限定的时间内，系统应发出警报，当驾驶员超时未接管，系统应自动退出，安全滑行，以保证驾驶员的安全。其中，限定的时间内可以由实际经验获得；也可以根据实验获得；还可以由人工直接定义；本实施在此不做限制。
[0135]
本发明实施例所提供的技术方案中，首先定义相关项，其中，相关项的功能描述包括决策部分和执行部分，决策部分包括自动驾驶控制系统中的顶层控制器，执行部分包括esp中的制动控制器；然后采用hazop分析方法，基于设定引导词对相关项的功能进行危害分析，以识别设定运行场景下的危害事件；确定在设定运行场景的不同参数的情况下的严重度、暴露概率以及可控性；然后根据最高的严重度、最大的暴露概率以及最高的可控性，确定asil；之后根据asil导出安全目标，安全目标包括：避免车辆发生制动力控制丢失不报警，以及避免车辆发生非预期的制动，最后将安全目标分解至不同的电子电气部件，形成fsr。本发明实施例，通过根据asil导出安全目标，安全目标包括：避免车辆发生制动力控制丢失不报警，以及避免车辆发生非预期的制动，然后将安全目标分解至不同的电子电气部件，形成fsr，进一步提高了自动驾驶的安全性，保证了乘客以及其他交通参与者的人身及财产安全。
[0136]
示例性的，图3为本发明实施例二提供的一种自动驾驶控制系统中功能安全需求的流程图，包含自动驾驶控制系统、行驶车辆系统等。如图3所示，
[0137]
fsr001：在执行紧急制动功能时，ecu能够正确监控制动控制报警模式的进入顺序。
[0138]
fsr002：保证aeb激活时利用摄像头前向目标和雷达前向目标信息的融合数据正确计算碰撞估计时间(ttc)。
[0139]
fsr003：正确监控车辆动力学状态信号。
[0140]
fsr004：充分考虑制动系统各个不同增值功能项对adas功能执行产生的影响(轮缸压力控制)。
[0141]
fsr005：正确监控车身状态信号。
[0142]
fsr006：正确监控制动加速踏板值和转向扭矩驾驶员输入。
[0143]
fsr007：正确监控esp功能开启状态信号。
[0144]
fsr008：正确监控自动驾驶控制功能使能信号。
[0145]
fsr009：正确监控驾驶员接管信号。
[0146]
fsr010：应监测ecu的安全相关诊断特征和故障响应特征，以确保其正常运行。
[0147]
fsr011：ecu应具有内部安全机制，以处理汽车行驶过程中的外部和内部故障。
[0148]
fsr012：保证本车与目标车辆实际相对距离的正确性。
[0149]
fsr013：保证当前车辆实际车速的正确性。
[0150]
fsr014：保证算法计算的期望减速度值的正确性。
[0151]
fsr015：保证能够通过can通信网络传输制动指令。
[0152]
fsr016：保证ecu能够正确发送状态信息到通讯网络。
[0153]
fsr017：当驾驶员在危险情况下启动刹车或转向时，ecu应出于安全考虑停止控制并通知驾驶员。
[0154]
fsr018：ecu应考虑当前预警阶段和驾驶情况，进一步验证计算出的制动力不超过阈值。
[0155]
fsr019：验证期望减速度控制值与车速，和车辆实际减速度与车速值的偏差处于可靠性范围。
[0156]
fsr020：保证ecu能够正确发送制动指令。
[0157]
fsr021：ecu硬件安全指标达到asil b；-pmhf目标值＝t.b.d；-spfm目标值＝t.b.d；-lfm目标值＝t.b.d。
[0158]
fsr022：监控ecu安全相关特性和故障响应特性的逻辑，以及安全相关特性的正常运行，应满足其他非安全逻辑的“共存准则”。
[0159]
fsr023：ecu应由能够满足asil等级要求(fmeda)的可靠装置组成。
[0160]
fsr024：ecu应进行初始化故障检查，mcu应具有故障处理功能模块。
[0161]
fsr025：当检测到工作故障，在限定的时间内，系统应发出警报，当驾驶员超时未接管，系统应自动退出，安全滑行，以保证驾驶员的安全。
[0162]
fsr026：保证系统供电正常，且只有在安全驾驶状态下，ecu才被允许模块断电。
[0163]
实施例三
[0164]
图4为本发明实施例三提供的一种制动控制系统的结构示意图。本实施例可适用于对自动驾驶的制动安全进行分析的情况，该系统可采用软件和/或硬件的方式实现，该系统可集成在任何提供计算机的功能的设备中，如图4所示，制动控制系统，包括：自动驾驶控制系统410、esp控制系统420、供电系统430以及人机交互系统440。
[0165]
其中，供电系统430用于为自动驾驶控制系统410、esp控制系统420以及人机交互系统430供电。
[0166]
人机交互系统440用于用户与制动控制系统的信息交互。
[0167]
自动驾驶控制系统410用于确定自动驾驶决策。
[0168]
esp控制系统420用于根据自动驾驶决策执行自动驾驶操作。
[0169]
其中，自动驾驶控制系统410根据本发明任意实施例的功能安全概念阶段分析方法指导开发。
[0170]
可选的，所述制动控制系统的工作模式包括故障处理、关闭、待机、激活和退出。
[0171]
其中，工作模式为故障处理的运行条件是：系统处于掉电状态，eps系统发生影响助力功能故障。工作模式为关闭的运行条件是：系统处于上电状态，车速、挡位等条件未达到设定阈值或其他物理条件等；工作模式为待机的运行条件是：系统处于无故障状态，车速、挡位等条件达到设定阈值或其他物理条件等；工作模式为激活的运行条件是：驾驶员无转向操作以及其他物理条件等；工作模式为退出的运行条件是：驾驶员主动关闭以及其他物理条件。
[0172]
本发明实施例所提供的技术方案中，首先定义相关项，其中，相关项的功能描述包括决策部分和执行部分，决策部分包括自动驾驶控制系统中的顶层控制器，执行部分包括esp中的制动控制器，相关项范围包括自动驾驶控制系统、esp、供电系统、人机交互系统以及信息交互接口，信息交互接口包括自动驾驶控制系统的内部接口，以及自动驾驶控制系统与esp、供电系统以及人机交互系统之间的外部接口；然后通过采用hazop分析方法，基于设定引导词对相关项的功能进行危害分析，以识别设定运行场景下的危害事件；通过严重
度、暴露概率以及可控性对危害事件进行风险评估，得到asil；之后根据asil导出安全目标，安全目标包括：避免车辆发生制动力控制丢失不报警，以及避免车辆发生非预期的制动；最后根据安全目标导出功能安全需求。本发明实施例，通过严重度、暴露概率以及可控性对危害事件进行风险评估，得到asil，然后根据asil导出安全目标，并根据安全目标导出功能安全需求，提高了自动驾驶辅助技术的安全性，有效保障乘客和其他交通参与者的生命财产安全。与现有技术相比，所采用的功能安全概念阶段分析方法，涉及环境感知、自助决策以及实时控制，能够在车辆行驶时预知前方的潜在危险，从而提醒驾驶人员注意避让或者减低车速。
[0173]
示例性的，为便于更好的理解制动控制系统，图5为本发明实施例三提供的又一种制动控制系统的结构示意图。如图5所示，人机交互系统510中包括系统功能开关、车辆状态及周围环境信息以及故障报警信息；自动驾驶控制系统540包含摄像头前向目标、雷达前向目标信息的融合数据、车辆动力及车身系统的车辆信息以及自动驾驶控制单元。esp控制系统520中包含esp控制单元、电机驱动单元以及液压系统。
[0174]
注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。