基于米莉型状态机的自动驾驶预期功能安全危害识别方法技术

本发明专利技术提供一种基于米莉型状态机的自动驾驶预期功能安全危害识别方法，包括三个主要步骤：自动驾驶系统分析

【技术实现步骤摘要】
基于米莉型状态机的自动驾驶预期功能安全危害识别方法


[0001]本专利技术涉及汽车自动驾驶
，特别是涉及一种基于米莉型状态机的自动驾驶预期功能安全危害识别方法
。

技术介绍

[0002]自动驾驶的预期功能安全问题主要源于“功能
、
性能的受限
、
误用”，多种环境因素的催化使危害识别与分析难度快速上升
。
目前普遍采用的危害识别方法主要为以下几类：故障树分析
FTA、
失效模式及影响分析
FMEA、
危险与可操作性分析
HAZOP
和系统理论过程分析
STPA。FTA
从单个潜在失效模式识别所有潜在原因，以此分析系统失误；
FMEA
是设计与制造过程中常用的危害识别方法，对构成产品的子系统
、
零件及生产过程的工序逐一分析；
HAZOP
相对于
FTA
和
FMEA
更简单，流程和
FMEA
类似，是一项探索性分析，需考虑到系统设计或操作意图的偏差，但其严重依赖专家知识，对危害识别者的自身素质提出较高要求
。
针对
FTA、FMEA
和
HAZOP
三种方法，
STPA
基于事故因果扩展模型改进，但随着
L2
级以上自动驾驶技术的快速发展，系统结构不断演化，传统的
STPA
方法由于缺少对细粒度场景的划分，不能全面识别危害；
STPA
方法的系统性也导致其分析过程冗长繁琐，对复杂系统的识别复杂度指数级上升，在应对复杂环境要素的车辆危害识别效率较低
。
[0003]现有技术中，同济大学学报（自然科学版），
2023
年4月，第
51
卷第4期，发表的
《
基于状态机进行自动驾驶预期功能安全危害识别方法
》
一文针对自动驾驶危害和场景不可分割的特点，提出基于有限状态机的整车级预期功能安全危害识别方法，但文中存在明显漏洞：1）根据预期功能安全定义，自动驾驶系统的危害与场景不可分割，但场景并非影响危害的唯一因素，文中将两者直接关联不符合实际情况；2）文中修改过后的“不安全控制行为集”表格描述逻辑过于简单，由当前状态“0
，
m
，
n”转移到目标状态“0
，
m
，
n”的“3
×
3”不安全控制行为集表格实际可以简化为当前状态“0
，
m”转移到目标状态“0
，
m”的“2
×
2”不安全控制行为集表格，其描述的状态转移逻辑过于简单，无法准确刻画自动驾驶车辆状态变化多变的特点；3）依据其理论进行的潜在危害分析举例，因第2）点逻辑冗余问题，导致多个危害分析条例重复或无实际意义；4）文中对危害识别，但并没有出现对危害程度的进一步分析
。

技术实现思路

[0004]本专利技术所要解决的技术问题是：针对现有技术中缺少危害和控制行为的关联问题
、
状态机状态转移过程中不安全控制行为过于简单和无法清晰有效的识别潜在预期危害并对危害进一步分析的问题
。
本专利技术提供一种基于米莉（
Mealy
）型状态机的自动驾驶预期功能安全危害识别方法，通过离散的运行环境和控制行为进行细粒度划分，全面精准的识别自动驾驶中车辆可能触发的潜在危害；基于完善充分的状态机转移逻辑和细粒度不安全行为控制集，对危害识别过程快速高效进行判断，无需高度依赖专家知识，去除传统方法的主观性；最后，对识别到的危害进一步进行危险程度评定和定损分析
。
针对自动驾驶领域车辆所处场景快速变化等特点，大幅减少危害识别复杂度，评价结果准确客观
。
[0005]本专利技术解决其技术问题所要采用的技术方案是：一种基于米莉型状态机的自动驾驶预期功能安全危害识别方法，包括以下步骤：
S1
：自动驾驶系统分析基于细粒度描绘确定影响车辆运行状态的离散的运行环境；根据自动驾驶车辆的预期功能安全操作确定车辆所需的所有合法的控制行为；根据一种运行环境和控制行为只对应于一种车辆状态的行为规则，结合离散的运行环境和合法的控制行为建立自动驾驶车辆状态的行为规则库；
S2
：建立状态机映射基于米莉型状态机模型，建立米莉型状态机与车辆状态间的有效映射，模拟现实场景的车辆状态运行逻辑；其中，米莉型状态机模型包括当前状态
S
ct
、
输入条件
c
i
和目标状态
S
g
，当前状态
S
ct
表示当前车辆所处预期内的安全状态；输入条件
c
i
表示当前状态所接收的输入；目标状态
S
g
，表示根据当前安全状态
S
ct
和输入条件
c
i
切换成的下一个预期内的安全状态，且
S
ct
∈S
，
S
g
∈S
，集合
S
表示自动驾驶状态中车辆所有预期内的安全状态的集合；则其映射关系为：车辆当前状态对应状态机的当前状态
S
ct
；转移条件对应状态机的输入条件
c
i
，所述转移条件包括运行环境和控制行为；车辆目标状态对应状态机的目标状态
S
g
；
S3
：危害识别根据行为规则库中由运行环境和控制行为组成的转移条件与车辆状态间的状态转移逻辑，判断当前运行环境和控制行为与车辆预期状态的行为规则的冲突关系，识别自动驾驶系统的潜在危害
。
[0006]进一步的，为了清楚的说明本专利技术的技术方案，对相关技术术语给出定义
。
[0007]所述运行环境是指影响车辆运行状态的各种环境因素，则定义自动驾驶的运行环境
E
为多维元组：
E=(e1,e2,
…
,e
n
)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)
其中，
e
i
表示影响车辆运行状态的各种环境因素，
i=1,2,3
，
……
n
；
n
表示离散的环境条件的个数；所述自动驾驶车辆的预期功能安全的控制行为是指对车辆运动模式的操作控制，则定义自动驾驶的控制行
B
为多维元组：
B=(b1,b2,
…
,b
m
)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)
其中，
b
i
表示对车辆的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于米莉型状态机的自动驾驶预期功能安全危害识别方法，其特征在于：包括以下步骤：
S1
：自动驾驶系统分析基于细粒度描绘确定影响车辆运行状态的离散的运行环境；根据自动驾驶车辆的预期功能安全操作确定车辆所需的所有合法的控制行为；根据一种运行环境和控制行为只对应于一种车辆状态的行为规则，结合离散的运行环境和合法的控制行为建立自动驾驶车辆状态的行为规则库；
S2
：建立状态机映射基于米莉型状态机模型，建立米莉型状态机与车辆状态间的有效映射，模拟现实场景的车辆状态运行逻辑；其中，米莉型状态机模型包括当前状态
S
ct
、
输入条件
c
i
和目标状态
S
g
，当前状态
S
ct
表示当前车辆所处预期内的安全状态；输入条件
c
i
表示当前状态所接收的输入；目标状态
S
g
，表示根据当前安全状态
S
ct
和输入条件
c
i
切换成的下一个预期内的安全状态，且
S
ct
∈S
，
S
g
∈S
，集合
S
表示自动驾驶状态中车辆所有预期内的安全状态的集合；则其映射关系为：车辆当前状态对应状态机的当前状态
S
ct
；转移条件对应状态机的输入条件
c
i
，所述转移条件包括运行环境和控制行为；车辆目标状态对应状态机的目标状态
S
g
；
S3
：危害识别根据行为规则库中由运行环境和控制行为组成的转移条件与车辆状态间的状态转移逻辑，判断当前运行环境和控制行为与车辆预期状态的行为规则的冲突关系，识别自动驾驶系统的潜在危害
。2.
如权利要求1所述的基于米莉型状态机的自动驾驶预期功能安全危害识别方法，其特征在于：所述运行环境是指影响车辆运行状态的各种环境因素，则定义自动驾驶的运行环境
E
为多维元组：
E=(e1,e2,
…
,e
n
)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)
其中，
e
i
表示影响车辆运行状态的各种环境因素，
i=1,2,3
，
……
n
；
n
表示离散的环境条件的个数；所述控制行为是指对车辆运动模式的操作控制，则定义自动驾驶的控制行
B
为多维元组：
B=(b1,b2,
…
,b
m
)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)
其中，
b
i
表示对车辆的控制行为类别，
i=1,2,3
，
……
m
；
m
表示控制行为类别的个数；所述转移条件是指车辆不同状态间切换的条件，由运行环境与控制行为两部分构成，则定义自动驾驶的转移条件
C
为二元组：
C=(E
s
，
B
s
)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(3)
其中，
E
s
表示转移条件
C
的运行环境集合，
B
s
表示转移条件
C
的控制行为集合；根据一种运行环境和控制行为只对应于一种车辆状态的行为规则，定义自动驾驶的车辆状态
S
i
为转移条件
C
j
的集合：
S
i = {C
j | j∈[1
，
N]}
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(4)
其中，
S
i
表示第
i
个车辆状态，
C
j
表示第
j
个转移条件，
N
表示
S
i
状态具有的转移条件数目
。
3.
如权利要求2所述的基于米莉型状态机的自动驾驶预期功能安全危害识别方法...

【专利技术属性】
技术研发人员：李海斌，朱李斌，诸天逸，
申请(专利权)人：中汽研汽车检验中心常州有限公司，
类型：发明
国别省市：