[发明专利]一种用于自动驾驶汽车预期功能安全的验证方法及系统

说明书

本发明涉及一种用于自动驾驶汽车预期功能安全的验证方法及系统，所述方法包括基于对象车辆的系统框架，确定危险事件和触发事件；危险事件评估与筛选；确定触发事件的接受度；以及验证触发事件是否满足预设的接受度，所述系统包括：第一平台，用以识别自动驾驶车辆的危险事件，导出对应触发事件以及触发事件概率；第二平台，用于确定危险事件的ASIL等级，并根据ASIL评级和对应触发事件概率，确定对应的触发事件容忍度或错误率目标；第三平台，用于复现触发事件并对自动驾驶车辆进行测试，验证触发事件是否达到所设定目标，本发明满足了自动驾驶汽车功能开发中对预期功能安全评估的需求；提供了量化的、可验证的评估要求；且可操作性强。

技术领域

本发明涉及自动驾驶汽车制造技术领域，尤其是涉及一种用于自动驾驶汽车预期功能安全的验证方法及系统。

背景技术

对于自动驾驶汽车这一复杂系统，其整体功能的实现依赖于多种传感器、控制器、执行器和复杂软件算法的协调工作。这使得自动驾驶汽车除传统汽车由于电子电气系统故障导致的功能安全问题外，还面临无故障失效情况下，由于传感器等硬件性能局限或者人为误操作导致的预期功能安全问题。因此，自动驾驶汽车功能开发过程中提出了对预期功能安全的分析评估需求。

国际标准化组织ISO于2011年正式颁布了汽车功能安全标准ISO 26262，该标准为汽车从研发到报废整个安全生命周期内的功能安全设计提供了指导。2015年起，ISO启动了汽车预期功能安全标准的研究制定工作，以作为功能安全标准的扩展补充。然而，现有功能安全标准中所提安全分析方法无法覆盖预期功能安全问题，而预期功能安全标准仍在讨论和制定阶段，因此面对自动驾驶汽车对预期功能安全的相关需求，现有标准和应用中缺乏具体的，可执行的分析与验证方法。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种用于自动驾驶汽车预期功能安全的验证方法及系统，目的在于为自动驾驶汽车预期功能安全设计提供安全分析支持和后期验证方法。

本发明的目的可以通过以下技术方案来实现：

步骤一，构建汽车控制结构，确定危险事件列表并导出对应触发事件。对自动驾驶汽车进行功能分析和定义，明确自动驾驶汽车的功能架构和使用环境，使用系统理论过程分析(Systems-Theoretic Process Analysis,STPA)方法，构建自动驾驶汽车功能控制结构，确定各项功能所有潜在危险事件清单，并导出危险事件对应触发事件以及触发事件概率；

步骤二，确定危险事件的相关等级并筛选分类。确定危险事件的汽车安全完整性等级(Automotive Safety Integration Level,ASIL)，筛选掉ASIL评级中与危险不相关的事件(ASIL QM)，确定ASIL评级高于QM的危险事件清单；

步骤三，确定触发事件的接受度。根据每项危险事件的ASIL评级和对应触发事件概率，确定对应的触发事件容忍度或错误率目标；

步骤四，验证触发事件是否满足预设的接受度。复现触发事件并对自动驾驶车辆进行测试，验证触发事件的容忍度或错误率是否达到步骤三中所设定目标。

进一步地，步骤一中的功能控制结构是用以表示自动驾驶车辆技术架构的框图，由各级控制器、执行器、传感器以及控制指令组成，功能控制结构是对自动驾驶汽车的抽象表达，是本发明预期功能安全评估的基础。

进一步地，步骤一中危险事件指自动驾驶汽车在特定场景下的非预期行为，该非预期行为可能导致事故的发生；触发事件指导致自动驾驶汽车发生非预期行为的具体事件。

进一步地，步骤一中触发事件由事件类型、事件要素集合、要素组合形式、要素属性、要素属性值典型范围描述。

进一步地，步骤二中危险事件的ASIL评级参考ISO 26262标准，从暴露率、严重度和可控性三个角度进行评估。