地图匹配定位的预期功能安全分析方法技术

本公开提供的地图匹配定位的预期功能安全分析方法，包括：首先依据HARA流程建立正向分析路径；然后利用正向分析结果中不可接受的整车级危害事件作为逆向分析的部分初始条件，建立正逆分析关联；其次依据STPA方法建立逆向分析路径，进而从逆向分析结果中提炼新增SOTIF危害事件模型，并输入至HARA分析的风险评估阶段中，实现对新增SOTIF危害事件模型的回环校验；最后对所有达到风险等级阈值的整车级危害事件，将其对应的触发条件作为危害场景下的有效触发条件，构成预期功能安全的分析结果。本公开能够更加完备且可靠地分析出有效触发条件，降低非故障情况下，地图匹配定位系统因功能不满足预期而导致的车辆轨迹跟踪安全风险。风险。风险。

【技术实现步骤摘要】
地图匹配定位的预期功能安全分析方法


[0001]本公开涉及自动驾驶汽车的预期功能安全
，具体涉及地图匹配定位的预期功能安全分析方法。

技术介绍

[0002]自动驾驶汽车出现的安全事故表明，当前功能安全所关注的电控系统故障所导致的整车危害，已经无法覆盖自动驾驶汽车在复杂、未知场景运行时，因设计不足或性能局限(统称为功能不足)，使得电控系统在一定触发条件下(如环境干扰或人为误用)导致的整车危害。基于此现状，预期功能安全(Safety OfThe Intended Functionality,SOTIF)的研究开始逐步发展，业界认为自动驾驶各个关键技术的预期功能安全研究是保证整车安全性的必由之路。与此同时，基于地图的特征匹配定位作为自动驾驶的关键基础技术之一，是国内外研究的热点，但其预期功能安全鲜有研究，相关
相对空白。
[0003]经调研，地图匹配定位系统的功能不足问题体现在“地图与现实环境的不匹配”，具体可分为：环境特征重复、环境特征干扰、环境特征变更三个方面。针对此功能不足。现有研究大多局限于匹配定位对场景适应能力的提升，比如：如何保证恶劣天气、高动态、少特征条件下的定位精度，通常从算法软件改进方面与传感器硬件配置方面来解决所面临的问题。然而在真实环境中，危害场景的数量、触发条件的形式难以完全挖掘，若仅针对已出现的危害场景进行针对性处理，将使定位功能在实际应用中仍面临巨大的未知风险。
[0004]基于此，需要在定位功能设计之初，尽可能挖掘其在预设定的环境中运行时会面临的危害场景与触发条件，以减少实际运行时的未知风险。虽然ISO 21448标准给出了SOTIF分析的总体思想以解决此类问题，但针对地图匹配定位的预期功能安全，缺乏系统性的分析方案。

技术实现思路

[0005]本公开旨在至少在一定程度上解决相关技术中的技术问题之一。
[0006]为此，本公开实施例提供的可获取更为全面有效的危害场景与触发条件的地图匹配定位的预期功能安全分析方法，包括：
[0007]正向分析：设定地图匹配定位的危害场景及危害场景中的触发条件，分析危害场景中的触发条件所导致的整车级危害，并评估其风险等级，由危害场景、触发条件和整车级危害、整车级危害事件建立SOTIF危害事件模型；
[0008]正逆分析结合：设定风险等级阈值，将风险等级大于风险等级阈值的整车级危害事件作为不可接受的整车级危害事件；识别车辆运行场景下自动驾驶事故的潜在损害，并分析导致该潜在损害的新增整车级危害事件，将不可接受的整车级危害事件与新增整车级危害事件融合，得到融合后的整车级危害事件；
[0009]逆向分析：根据融合后的整车级危害事件分析得到不安全控制行为，由该不安全控制行为识别出致因场景；
[0010]回环校验：根据逆向分析识别出的致因场景提炼新增危害场景与新增触发条件，由新增危害场景、新增触发条件和融合后的整车级危害事件建立新增SOTIF危害事件模型，评估融合后的整车级危害事件风险等级，确定该整车级危害事件是否不可接受；
[0011]将所有达到风险等级阈值的整车级危害事件所对应的触发条件作为危害场景下的有效触发条件，构成地图匹配定位预期功能安全的分析结果。
[0012]在一些实施例中，建立的所述SOTIF危害事件模型为：
[0013][0014]其中表示“形成”，
→
表示“导致”，s
I
和t
I
分别为定义的初始危害场景和初始触发条件，i
C
为正向分析得到的感知部件级功能不足，i
S
为正向分析得到的定位系统级输出不足，b
V
为正向分析得到的整车级危害行为，h
V
为正向分析得到的整车级危害，s0为运行场景，e
V
为正向分析得到的整车级危害事件，h
H
为造成的损害。
[0015]在一些实施例中，设定风险等级阈值为0。
[0016]在一些实施例中，按照下式设定各个整车级危害事件的风险等级ε：
[0017]ε＝f(x，y，z)
[0018]其中，f(
·
)为风险等级ε与根据运行场景s
O
出现的概率评估的暴露概率E
x
、根据整车级危害事件e
V
是否可控评估的可控性C
y
、根据损害h
H
评估的严重度S
z
的等级x，y，z之间的函数关系；
[0019]将风险等级ε＞0的整车级危害作为不可接受的整车级危害。
[0020]在一些实施例中，所述不可接受的整车级危害事件ue
V
与所述潜在损害导致的新增整车级危害事件其融合过程为剔除相同的整车级危害事件，仅保留不同的整车级危害事件。
[0021]在一些实施例中，逆向分析采用的路径为：
[0022][0023]其中，
←
代表“归因于”，U代表“融合”，cs
R
为致因场景，uca
R
为不安全控制行为，e
V
为不可接受的整车级危害事件，为新增整车级危害事件，为需要避免的损害。
[0024]在一些实施例中，所述回环校验包括：
[0025]从逆向分析的结果的致因场景中分别提炼定位系统输出不足感知部件级功能不足和触发条件t
R
，提炼过程表述为：，提炼过程表述为：代表“提炼”，
‑
代表“剔除”，t
I
为定义的初始触发条件，将触发条件t
R
中与正向分析结果一致的触发条件舍弃，触发条件t
R
中剩余的触发条件作为新增触发条件综合逆向分析中的场景信息，提炼出危害场景s
R
，其中与新增触发条件对应的场景为新增危害场景
[0026]基于逆向分析提炼出的上述信息，建立新增SOTIF危害事件模型，将其注入到正向分析的“风险评估”阶段，评估其中的整车级危害事件的风险等级ε
R
，明确其是否不可接受，从而实现对新增SOTIF危害事件模型的回环校验。
[0027]在一些实施例中，所述危害场景下的有效触发条件包括由初始触发条件得到的有效触发条件et
I
和由新增触发条件得到的有效触发条件et
A
。
[0028]本公开实施例提供的图匹配定位的预期功能安全分析方法，具有以下特点及有益效果：
[0029]本公开实施例提供的地图匹配定位的预期功能安全分析方法，基于系统工程理论，利用正逆结合与回环校验手段，将正向分析、逆向分析结合，以获得更为全面有效的危害场景与触发条件。相比现有通用架构，本架构充分利用了正向分析方法充分利用专家经验的优势，和逆向分析方法提高分析完备性的优势。通过不可接受的整车级危害事件建立正逆分析关联，提取逆向分析结果建立新增SOTIF危害事件模型进行回环校验。从而更本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种地图匹配定位的预期功能安全分析方法，其特征在于，包括：正向分析：设定地图匹配定位的危害场景及危害场景中的触发条件，分析危害场景中的触发条件所导致的整车级危害，并评估其风险等级，由危害场景、触发条件、整车级危害和整车级危害事件建立SOTIF危害事件模型；正逆分析结合：设定风险等级阈值，将风险等级大于风险等级阈值的整车级危害事件作为不可接受的整车级危害事件，识别车辆运行场景下自动驾驶事故的潜在损害，并分析导致该潜在损害的新增整车级危害事件，将不可接受的整车级危害事件与新增整车级危害事件融合得到融合后的整车级危害事件；逆向分析：根据融合后的整车级危害事件分析得出不安全控制行为，由该不安全控制行为识别出致因场景；回环校验：根据逆向分析识别出的致因场景，提炼新增危害场景与新增触发条件，由新增危害场景、新增触发条件和融合后的整车级危害事件建立新增SOTIF危害事件模型，评估该融合后的整车级危害事件风险等级，确定该整车级危害事件是否不可接受；将所有达到风险等级阈值的整车级危害事件所对应的触发条件，作为危害场景下的有效触发条件，构成地图匹配定位预期功能安全的分析结果。2.根据权利要求1所述的预期功能安全分析方法，其特征在于，设定风险等级阈值为0。3.根据权利要求1所述的预期功能安全分析方法，其特征在于，按照下式设定各个整车级危害事件的风险等级ε：ε＝f(x,y,z)其中，f(
·
)为风险等级ε与根据运行场景出现的概率评估的暴露概率E
x
、根据整车级危害事件是否可控评估的可控性C
y
、根据造成的损害评估的严重度S
z
...

【专利技术属性】
技术研发人员：罗禹贡，王永胜，邹澳一，曹礼鹏，彭武林，赵超，王博，胡耘浩，
申请(专利权)人：清华大学，
类型：发明
国别省市：