一種車輛功能安全風險評估方法及車輛功能設計方法與流程

2023-04-28 23:35:56

1.本發明涉及汽車安全功能領域，尤其涉及一種車輛功能安全風險評估方法及車輛功能設計方法。


背景技術：

2.在汽車安全功能領域，為了避免來自汽車系統性失效和隨機硬體失效的風險，需要通過危害分析、風險評估和汽車安全完整性等級(asil等級)來識別汽車相關項中因故障而引起的危害，以制定防止危害事件發生或減輕危害程度的安全目標。
3.其中，汽車安全完整性等級(asil等級)直接影響產品開發技術難度和成本。嚴重度等級是asil等級的一個重要影響因素，因此定量定性地確定嚴重度等級十分重要。目前，現有技術對於嚴重度值定量計算沒有給出明確方法，例如，申請號為202110818881.8的中國專利提供了一種預期功能安全量化嚴重度和可控度的方法，其收集了各個場景下發生事故的嚴重度和可控度；建立控制系統預期功能安全相關的邏輯場景並生成測試用例；對測試例進行仿真測試；計算控制系統在該用例測試中的量化評價分數。該專利採用事故嚴重度與事故概率相結合的方法計算輸出參數性能及評價指標的權重；對預期功能安全已知場景進行分析，可以分析出更多未知場景；但是未能對功能安全嚴重度進行單獨定量計算。
4.目前，在現有技術中，對嚴重度等級的確定一般通過是主觀評價，沒有真實數據支撐，從而導致確定的汽車安全完整性等級(asil等級)過高或過低，使得在設計汽車的電子電器部件時，可能會造成汽車安全功能不足或者過當設計則增加成本。
5.以上背景技術內容的公開僅用於輔助理解本發明的構思及技術方案，其並不必然屬於本專利申請的現有技術，也不必然會給出技術教導；在沒有明確的證據表明上述內容在本專利申請的申請日之前已經公開的情況下，上述背景技術不應當用於評價本技術的新穎性和創造性。


技術實現要素：

6.本發明的目的是提供一種車輛功能安全風險評估方法，能夠定性定量地確定嚴重度等級，以及更準確地確定汽車安全完整性等級。
7.為達到上述目的，本發明採用的技術方案如下：
8.一種車輛功能安全風險評估方法，通過定量分析嚴重度以對車輛功能安全進行風險評估，包括以下步驟：
9.確定待評估的車輛功能，及為該車輛功能設定功能參數，所述功能參數包括目標車輛自身參數、外部環境參數的類型及其對應的取值範圍；
10.在所述功能參數的設定範圍內，生成多條測試例，每條測試例包括外部環境中與所述目標車輛發生碰撞的碰撞物，以及發生碰撞時所述目標車輛、碰撞物的速度及相對方位信息；
11.對各條測試例計算所述目標車輛與碰撞物的碰撞速度，以及按照預設的規則確定
各條測試例的暴露概率；
12.根據預設的映射關係，查找與所述碰撞速度相關聯的嚴重度信息；
13.結合所述暴露概率信息及所述嚴重度信息，評估所述車輛功能安全的風險等級。
14.進一步地，承前所述的任一技術方案或多個技術方案的組合，通過以下方式計算所述目標車輛與碰撞物的碰撞速度：
15.按照統一的標準為每個測試例中的目標車輛和碰撞物確定碰撞方向；
16.根據所述目標車輛、碰撞物在碰撞點處的速度，各自計算所述目標車輛、碰撞物在所述碰撞方向上的速度分量；
17.計算所述目標車輛、碰撞物在碰撞方向上的速度分量之間的速度差值，作為所述碰撞速度，其中，若所述速度分量的方向與所述碰撞方向相反，則該速度分量為負值。
18.進一步地，承前所述的任一技術方案或多個技術方案的組合，所述碰撞方向包括相互垂直的橫向碰撞方向和縱向碰撞方向，通過以下方式確定碰撞方向：
19.以所述目標車輛在碰撞點處的矢量速度的方向作為縱向碰撞方向或縱向碰撞方向的反方向；
20.或者，若所述碰撞物為運動狀態，則以所述碰撞物在碰撞點處的矢量速度的方向作為縱向碰撞方向的反方向或縱向碰撞方向；
21.或者，若所述碰撞物為靜止狀態，則以所述碰撞物或目標車輛在所述碰撞點處的切線方向為橫向碰撞方向，所述切線方向的垂直方向作為縱向碰撞方向。
22.進一步地，承前所述的任一技術方案或多個技術方案的組合，所述車輛功能為自動駕駛領航，其功能參數包括目標車輛的直道行駛速度、與前車距離、他車的直道行駛速度、目標車輛的剎車加速度、目標車輛的換道偏轉角度、目標車輛的換道行駛速度、彎道曲率、目標車輛的彎道行駛速度、他車的彎道行駛速度、路邊護欄與目標車輛的路寬方向距離、路面摩擦係數、被撞物的防撞係數中的部分或全部，各個功能參數的取值範圍符合交通法規；
23.不同的測試例包括不同的功能參數組合，和/或具有不同取值的同一功能參數組合。
24.進一步地，承前所述的任一技術方案或多個技術方案的組合，所述車輛功能為自動泊車，其功能參數包括目標車輛在泊車過程中的速度、轉彎角度、剎車加速度、泊車位長寬尺寸、監測障礙物的距離、障礙物的運動速度、被撞物的防撞係數中的部分或全部，各個功能參數的取值範圍符合交通法規；
25.不同的測試例包括不同的功能參數組合，和/或具有不同取值的同一功能參數組合。
26.進一步地，承前所述的任一技術方案或多個技術方案的組合，劃分不同的嚴重度等級，並按照不同的碰撞類型和角度，為所述嚴重度等級設定對應的碰撞速度範圍；
27.根據事件發生頻率來劃分暴露概率等級；
28.並預設所述車輛功能安全的風險等級與暴露概率等級、嚴重度等級的映射關係；
29.預估測試例的情況在一駕駛員身上發生的概率，以確定該測試例的暴露概率等級；根據測試例中的碰撞速度匹配其對應的嚴重度等級；
30.通過查找映射關係，匹配該測試例的暴露概率等級、嚴重度等級所對應的車輛功
能安全的風險等級。
31.進一步地，承前所述的任一技術方案或多個技術方案的組合，還包括對各條測試例預估可控度，按照駕駛員針對測試例的情況採取措施以避免碰撞的控制率來確定對應的可控度等級；
32.所述車輛功能安全的風險等級被配置為與暴露概率等級、嚴重度等級、可控度等級具有映射關係的汽車安全完整性等級；
33.根據測試例中的碰撞速度對應的嚴重度等級、該測試例的暴露概率等級和可控度等級，匹配對應的汽車安全完整性等級。
34.進一步地，承前所述的任一技術方案或多個技術方案的組合，預設嚴重度係數和暴露概率係數；
35.所述暴露概率信息被定義為暴露概率數值與暴露概率係數的乘積值，所述嚴重度信息被定義為嚴重度係數與所述碰撞速度的乘積值，通過以下公式計算車輛功能安全的風險值：
36.s
risk
＝k1×sexpose
+k2×vcollision
，其中，s
risk
為車輛功能安全的風險值，k1為暴露概率係數，s
expose
為暴露概率數值，k2為嚴重度係數，v
collision
為碰撞速度；
37.以及根據預設的車輛功能安全的風險值與風險等級的映射關係，匹配所述車輛功能安全的風險值計算結果對應的風險等級。
38.進一步地，承前所述的任一技術方案或多個技術方案的組合，得到多條測試例對應的車輛功能安全的風險等級後，以其中風險程度最高的風險等級作為待評估的車輛功能的風險等級的最終評估結果；
39.或者，若其中風險程度最高的風險等級數量超過預設的數量閾值，則以此風險等級作為待評估的車輛功能的風險等級的最終評估結果。
40.根據本發明的另一方面，提供了一種車輛功能設計方法，包括以下步驟：
41.基於待設計的車輛功能設定初始本車軟硬體參數；
42.基於所述的車輛功能安全風險評估方法，對待設計的車輛功能安全進行風險評估，得到該車輛功能的風險等級；
43.根據該車輛功能的風險等級對所述初始本車軟硬體參數分配asil等級，並按照被分配的asil等級對所述初始本車軟硬體的設計進行開發。
44.本發明提供的技術方案帶來的有益效果如下：
45.a.本發明針對每一種待評估的車輛功能，確定多種測試例，並且提供了適用於直道、彎道各條測試例的目標車輛與碰撞物的碰撞類型及碰撞速度確定方法，並建立碰撞速度與嚴重度等級的映射關係，能夠實現定性定量的確定嚴重度等級；
46.b.本發明提出了一種具體的通過嚴重度等級、暴露概率等級和可控度等級來確定汽車安全完整性等級的方法，其中，基於碰撞速度定量確定各測試例的嚴重度等級，根據測試例的情況發生在同一駕駛員身上的估算概率劃分暴露概率等級，按照駕駛員針對測試例的情況採取措施以避免碰撞的控制率確定的可控度等級，遍歷完所有測試例，以其中風險程度最高的風險等級作為待評估的車輛功能的汽車安全完整性等級的最終評估結果，該方法能夠實現更準確地確定汽車安全完整性等級；
47.c.本發明提出了一種基於嚴重度信息和暴露概率信息定量計算車輛功能安全的
風險值的方法，根據預設的車輛功能安全的風險值與風險等級的映射關係，匹配所述車輛功能安全的風險值計算結果對應的風險等級，該方法能夠實現更準確地車輛功能安全的風險等級。
附圖說明
48.為了更清楚地說明本技術實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本技術中記載的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。
49.圖1為本發明的一個示例性實施例提供的一種車輛功能安全風險評估方法的流程圖；
50.圖2為本發明的一個示例性實施例提供的第一個測試例模型示意圖；
51.圖3為本發明的一個示例性實施例提供的第二個測試例模型示意圖；
52.圖4為本發明的一個示例性實施例提供的一種車輛功能設計方法的流程圖。
具體實施方式
53.為了使本技術領域的人員更好地理解本發明方案，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分的實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都應當屬於本發明保護的範圍。
54.需要說明的是，本發明的說明書和權利要求書及上述附圖中的術語「第一」、「第二」等是用於區別類似的對象，而不必用於描述特定的順序或先後次序。應該理解這樣使用的數據在適當情況下可以互換，以便這裡描述的本發明的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外，術語「包括」和「具有」以及他們的任何變形，意圖在於覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、裝置、產品或設備不必限於清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其他步驟或單元。
55.安全是道路車輛發展的關鍵問題之一。隨著技術日益複雜、軟體和機電一體化應用不斷增加，來自系統性失效和隨機硬體失效(這些被視為功能安全範圍)的風險逐漸增加。汽車功能的開發和集成將強化對功能安全的需求，並且要求提供滿足功能安全目標的證明。因此，需要通過危害分析和風險評估來識別相關項中因故障而引起的危害並對危害進行歸類，制定防止危害事件發生或減輕危害程度的安全目標，以避免不合理的風險。
56.iso 26262系列標準通過提供適當的要求和流程來避免來自系統性失效和隨機硬體失效的風險。iso 26262系列標準是以iec 61508系列標準為基礎，為滿足道路車輛上e/e系統的特定需求而編寫。該標準適用於由電子、電氣和軟體組件組成的安全相關系統在安全生命周期內的所有活動。
57.危害分析、風險評估和汽車安全完整性等級(asil等級)的確定用於確定相關項的安全目標以避免不合理的風險。為此，根據相關項中潛在的危害事件，對相關項進行評估。
通過對危害事件進行系統性的評估確定安全目標及分配給它們的汽車安全完整性等級(asil等級)。asil等級是通過對影響因子(嚴重度、暴露概率和可控性)的預估確定的，影響因子的確定基於相關項的功能行為，因而不一定需要知道相關項的設計細節。
58.在現有技術中，對嚴重度等級的確定一般通過是主觀評價，沒有真實數據支撐，從而導致確定的asil等級過高或過低，使得在設計汽車的電子電器部件時，可能會造成汽車安全功能不足或者過當設計則增加成本。針對這一問題，本發明提出了一種車輛功能安全風險評估方法，通過定量分析嚴重度以對車輛功能安全進行風險評估，確定車輛功能安全的風險等級。
59.在本發明的一個實施例中，參見圖1，提出了一種確定汽車安全完整性等級(asil等級)的方法，建立暴露概率等級、嚴重度等級、可控度等級與汽車安全完整性等級的映射關係，基於所述映射關係，確定暴露概率等級、嚴重度等級和可控度等級即可確定汽車安全完整性等級。
60.首先，確定待評估的車輛功能，及為該車輛功能設定功能參數，所述功能參數包括目標車輛自身參數、外部環境參數的類型及其對應的取值範圍，各個功能參數的取值範圍符合交通法規。所述車輛功能至少包括自動駕駛領航和自動泊車。針對所述自動駕駛領航，其功能參數包括目標車輛的直道行駛速度、與前車距離、他車的直道行駛速度、目標車輛的剎車加速度、目標車輛的換道偏轉角度、目標車輛的換道行駛速度、彎道曲率、目標車輛的彎道行駛速度、他車的彎道行駛速度、路邊護欄與目標車輛的路寬方向距離、路面摩擦係數、被撞物的防撞係數中的部分或全部。針對自動泊車，其功能參數包括目標車輛在泊車過程中的速度、轉彎角度、剎車加速度、泊車位長寬尺寸、監測障礙物的距離、障礙物的運動速度、被撞物的防撞係數中的部分或全部。
61.在所述功能參數的設定範圍內，生成多條測試例，每條測試例包括外部環境中與所述目標車輛發生碰撞的碰撞物，以及發生碰撞時所述目標車輛、碰撞物的速度及相對方位信息。不同的測試例包括不同的功能參數組合，和/或具有不同取值的同一功能參數組合。例如針對車輛功能自動駕駛領航可以生產多種測試例。例如，在一些測試例中，碰撞物為他車，因故障導致目標車輛與他車發生追尾，則功能參數包括目標車輛的速度和他車的速度；在具體的一個測試例中目標車輛的速度為100km/h，他車速度為120km/h，在另一個具體地測試例中目標車輛的速度為120km/h，他車速度為80km/h。在另外一些測試例中，碰撞物為他車，因故障導致目標車輛在換道時與他車發生側撞，則功能參數包括目標車輛的速度、他車的速度以及目標車輛的換道偏轉角度；同樣，基於目標車輛的速度、他車的速度以及目標車輛的換道偏轉角度的取值不同可以對應生成多種具體的測試例。在另外一些測試例中，碰撞物為路邊護欄，則功能參數包括目標車輛的速度、路邊護欄與目標車輛的路寬方向距離和路面摩擦係數等，並且各個功能參數也可以基於交通法規確定不同的取值，進而對應生成多種具體的測試例。再比如，針對自動泊車的車輛功能，在一些測試例中，碰撞物為一運動的障礙物(如他車或行人)，則功能參數為目標車輛在泊車過程中的速度、轉彎角度、剎車加速度、監測障礙物的距離和障礙物的運動速度的組合，其中監測障礙物的距離為目標實時監測的目標車輛與障礙物的距離，是影響自動泊車功能安全的一個重要因素；同樣，該功能參數組合具有多種取值可能，一種取值對應一個具體的測試例。在具體應用中，可以基於確定的車輛功能類型、該車輛功能的功能參數組合以及該功能參數組合中各個參
數的取值範圍，通過電腦程式自動生產多種具體的測試例。
62.對各條測試例計算所述目標車輛與碰撞物的碰撞速度，具體通過以下方式計算所述目標車輛與碰撞物的碰撞速度。
63.按照統一的標準為每個測試例中的目標車輛和碰撞物確定碰撞方向，所述碰撞方向包括相互垂直的橫向碰撞方向和縱向碰撞方向，確定碰撞方向的方法有多種，具體可以以所述目標車輛在碰撞點處的矢量速度的方向作為縱向碰撞方向或縱向碰撞方向的反方向；或者，若所述碰撞物為運動狀態，則以所述碰撞物在碰撞點處的矢量速度的方向作為縱向碰撞方向的反方向或縱向碰撞方向；或者，若所述碰撞物為靜止狀態，則以所述碰撞物或目標車輛在所述碰撞點處的切線方向作為橫向碰撞方向，以切線方向的垂直方向作為縱向碰撞方向。
64.在所述目標車輛與碰撞物所在的平面內，以碰撞點為原點，以碰撞方向為軸，建立坐標系。具體地，可以建立一平面直角坐標系，其中，碰撞點為原點，碰撞方向為x軸，碰撞方向的垂直方向為y軸。在本實施例中以碰撞方向為軸是為了簡化計算，還有其他一些建立坐標系的方式，例如，以目標車輛的行駛方向(不同於碰撞方向)為軸，也是可行的。基於建立的坐標系，根據所述目標車輛、碰撞物在碰撞點處的速度，各自計算所述目標車輛、碰撞物在所述碰撞方向上的速度分量。
65.進一步地，計算所述目標車輛、碰撞物在碰撞方向上的速度分量之間的速度差值，作為所述碰撞速度，其中，若所述速度分量的方向與所述碰撞方向相反，則該速度分量為負值。即所述速度分量均為矢量，所述目標車輛、碰撞物在碰撞方向上的速度分量之間的速度差值涉及速度方向。
66.嚴重度等級影響著汽車安全完整性等級(asil等級)，而asil等級直接影響產品開發技術難度和成本，所以定性定量地確定嚴重度十分重要，在本實施例中，基於iso 26262系列標準將嚴重度劃分為不同的等級，並按照不同的碰撞方向和角度，為所述嚴重度等級設定對應的碰撞速度範圍；並根據預設的映射關係，查找與所述碰撞速度相關聯的嚴重度信息。
67.在iso 26262系列標準中，參見表1，提供了對嚴重度等級的評定方法，iso26262及《gb/t34590》對於每一個危害事件，應基於確定的理由來預估潛在傷害的嚴重度。應根據表1為嚴重度指定一個s0、s1、s2或s3的嚴重度等級。例如，表2提供了指定為嚴重度等級的一些具體示例。
68.表1：嚴重度等級
[0069][0070]
表2：嚴重度等級舉例
[0071][0072]
參見表3，《sae-j2980》針對嚴重度進行定量描述，給出了在三種碰撞類型(front、back、side)下碰撞速度的取值範圍與嚴重度等級之間的對應關係。
[0073]
表3
[0074][0075]
在本發明的一個具體實施例中，針對目標車輛發生前向碰撞的情況(目標車輛的車頭碰撞其他物體)，若碰撞速度小於6km/h，則為s0嚴重等級；若碰撞速度小於等於30km/h且大於6km/h，則為s1嚴重等級；若碰撞速度小於等於64km/h且大於30km/h，則為s2嚴重等級；若碰撞速度大於64km/h，則為s3嚴重等級。針對目標車輛發生後向碰撞的情況(被其他物體追尾)，若碰撞速度小於6km/h，則為s0嚴重等級；若碰撞速度小於等於30km/h且大於6km/h，則為s1嚴重等級；若碰撞速度小於等於50km/h且大於30km/h，則為s2嚴重等級；若碰撞速度大於55km/h，則為s3嚴重等級。針對目標車輛發生側向碰撞的情況，即碰撞速度(或其分量)垂直於被撞物或目標車輛本身，若橫向碰撞速度小於等於3km/h，則為s0嚴重等級；若橫向碰撞速度小於等於20km/h且大於3km/h，則為s1嚴重等級；若橫向碰撞速度小於等於40km/h且大於20km/h，則為s2嚴重等級；若橫向碰撞速度大於等於40km/h，則為s3嚴重等
級。
[0076]
以下通過兩個具體測試例說明碰撞速度的計算以及嚴重度等級的確定。
[0077]
參見圖2，在本發明的一個具體測試例中，碰撞物為與目標車輛相向行駛的他車，以他車速度方向為碰撞方向，他車車速為60km/h，目標車輛的車速為-80km/h，則兩車碰撞時的碰撞速度為兩車的速度之差即140km/h。對照上述的依據碰撞速度範圍確定嚴重度等級的方法，可以得出此場景下嚴重度為s3(目標車輛發生前向碰撞且碰撞速度140km/h大於64km/h，所以確定嚴重度等級為s3)。
[0078]
參見圖3，在本發明的另一個具體測試例中，碰撞物為與目標車輛同在彎道上行駛的他車，確定碰撞時他車的速度方向為碰撞方向，他車速度為20km/h，目標車輛的速度為-30km/h，目標車輛的碰撞角度為60
°
。以碰撞點為原點，他車行駛方向即其車身長度方向為x軸建立x-y平面直角坐標系，則利用以下三角函數計算目標車輛的橫向碰撞速度為-30*cos 60＝-15；
[0079]
計算目標車輛的縱向速度x：x2+152＝302[0080]
基於目標車輛與他車速度方向相反，通過計算可得目標車輛的縱向速度約為-25.98km/h。
[0081]
得出目標車輛的在y軸方向的橫向碰撞速度為15km/h，再通過勾股定理可得出本車在x軸方向的縱向碰撞速度為-25.98km/h；他車的縱向碰撞速度為20km/h，橫向碰撞速度為0。通過計算目標車輛與他車的橫向速度分量差值以及縱向速度分量差值，可以得到橫向碰撞速度為45.98km/h，縱向碰撞速度為20km/h，對照表3對應的該具體實施例確定嚴重度等級，可以得出此場景下嚴重度為s3(目標車輛發生前向碰撞且碰撞速度為45.98km/h，介於30km/h與64km/h之間，所以確定嚴重度等級為s3)。
[0082]
而參照側向(side)碰撞類型的標準，由於橫向碰撞速度15km/h介於3km/h與20km/h之間，則確定嚴重度等級為s1。
[0083]
在圖3所示的碰撞測試例中，front碰撞類型對應的嚴重度等級為s3，side碰撞類型對應的嚴重度等級為s1，選其中嚴重度等級高的作為綜合嚴重度等級。
[0084]
進一步地，在本實施例中，根據事件發生頻率來劃分暴露概率等級，在本發明的一個實施例中，將暴露概率對應的等級劃分為e0、e1、e2、e3和e4等級，其中，若對於絕大多數駕駛員而言，每十年發生的頻率低於一次的，則相應暴露概率的等級為e0等級；若對於絕大多數駕駛員而言，每年發生的頻率低於一次的，則暴露概率對應的等級為e1；若對於絕大多數駕駛員而言，每年發生數次(比如低於10次)的，則暴露概率對應的等級為e2；若對於大多數駕駛員而言，每月發生一次或更頻繁的，則暴露概率對應的等級為e3；若平均而言，幾乎每次開車都會發生，則暴露概率對應的等級為e4。
[0085]
在本實施例中，例如，在其中一個具體測試例中，車輛功能為高速領航駕駛，駕駛員駕駛目標車輛以120km/h速度行駛和行駛速度為100km/h的前車發生追尾，則評估這樣的情況對於一個駕駛員在一年內會發生的次數為約2次，因此，確定該測試例對應的暴露概率等級為e2；又例如，在另外一個具體測試例中，車輛功能為高速領航駕駛，駕駛員駕駛目標車輛以100km/h速度行駛和行駛速度為80km/h的對車發生相向碰撞，評估下來在高速公路發生如此高速相向碰撞的次數應該約1次/數年，則確定該測試例對應的暴露概率等級確定為e1；再比如發生海嘯時與路標障礙物等發生碰撞的頻率小於1次/10年，則確定其對應的
暴露概率等級為e0。本段提供的三個測試例僅用於說明所述暴露概率等級的劃分方法，並不以此限定所述暴露概率等級的劃分方法的具體保護範圍。
[0086]
進一步地，在本實施例中，還包括對各條測試例預估可控度，按照駕駛員針對測試例的情況採取措施以避免碰撞的控制率來確定對應的可控度等級。在本發明的一個實施例中，將可控度等級劃分為c1、c2和c3等級，其中，可控度等級c1的標準為99％以上的駕駛員能夠控制避免事故，可控度等級c2的標準為90％以上且小於99％的駕駛員能夠控制避免事故，可控度等級c3(難以控制或不可控)的標準為小於90％的駕駛員能夠控制避免事故。本測試例僅用於說明所述可控度等級的一種劃分方法，並不以此限定可控度等級劃分方法的具體保護範圍。
[0087]
在本實施例中，結合所述嚴重度信息、所述暴露概率信息和所述可控度信息，評估所述車輛功能安全的風險等級。具體為，根據測試例中的碰撞速度對應的嚴重度等級、該測試例的暴露概率等級和可控度等級，匹配對應的汽車安全完整性等級(asil等級)。參見表4，提供了所述嚴重度等級、暴露概率等級和可控度等級與汽車安全完整性等級的映射關係。例如，在一具體測試例中，碰撞速度對應的嚴重度等級為s2、該測試例的暴露概率等級為e3，以及其可控度等級為c2，則確定該測試例對應的汽車安全完整性等級為a。
[0088]
表4
[0089][0090]
在本實施例中，針對每種車輛功能生成多條測試例，確定各個測試例對應的所述嚴重度等級、暴露概率等級和可控度等級，基於表4提供的所述嚴重度等級、暴露概率等級和可控度等級與汽車安全完整性等級的映射關係，進而確定各個測試例對應的汽車安全完整性等級(asil等級)，以其中風險程度最高的風險等級作為待評估的車輛功能的汽車安全完整性等級(asil等級)的最終評估結果；或者，為風險程度最高的風險等級設置一個數量閾值，若其中風險程度最高的風險等級數量超過預設的數量閾值，則以此風險等級作為待評估的車輛功能的風險等級的最終評估結果，比如，針對10000個測試例，設定數量閾值為5，若風險等級最高為s3，但是其對應的測試例數量為4個，則確定最終評估結果為s2等級；若數量達到5個或5個以上，則確定最終評估結果為s3等級。
[0091]
需要說明的是，本發明提供的車輛功能安全風險評估方法，並不限定以所述嚴重
度等級、暴露概率等級和可控度等級確定所述汽車安全完整性等級(asil等級)這一種方法。還包括基於所述嚴重度等級、暴露概率等級和可控度等級中的一種或多種確定車輛功能安全的風險等級的其他方法。
[0092]
在本發明的另一實施例中，提供了另外一種確定車輛功能安全的風險等級的方法。與上述實施例不同的是，在本實施例中，不考慮所述可控度等級，即不考慮駕駛員針對測試例的情況採取措施以避免碰撞的控制率，例如在無人駕駛中，沒有駕駛員的操作，因此也不存在所述可控度等級。在本實施例中，與上述實施例相同，根據測試例的情況發生在同一駕駛員身上的估算概率，劃分暴露概率對應的等級；並預設所述車輛功能安全的風險等級與暴露概率等級、嚴重度等級的映射關係；根據測試例中的碰撞速度匹配其對應的嚴重度等級，結合該測試例的暴露概率等級，匹配對應的車輛功能安全的風險等級。
[0093]
除了如表4所示的劃分等級來確定風險等級，還可以計算分值來確定風險等級作為待評估的車輛功能的風險等級的最終評估結果。在本實施例中，還提出了基於所述暴露概率等級和嚴重度等級定性定量地確定車輛功能安全的風險等級的方法。具體包括以下步驟：
[0094]
預設嚴重度係數和暴露概率係數；並根據具體設定的嚴重度係數和暴露概率系統來確定
[0095]
所述暴露概率信息被定義為暴露概率數值與暴露概率係數的乘積值，所述嚴重度信息被定義為嚴重度係數與所述碰撞速度的乘積值，通過以下公式計算所述車輛功能安全的風險值：
[0096]srisk
＝k1×sexpose
+k2×vcollision
，其中，s
risk
為車輛功能安全的風險值，k1為暴露概率係數，s
expose
為暴露概率數值，k2為嚴重度係數，v
collision
為碰撞速度；其中，碰撞速度v
collision
為上述實施例中的橫向/縱向碰撞速度，所述嚴重度係數k2與所述暴露概率數值乘積在所述車輛功能安全的風險值中的權重在合理的範圍內；所述暴露概率數值s
expose
可以參考上述暴露概率等級e1-e4的標準，比如對應e1等級的暴露概率數值s
expose
為0.001，對應e2等級的暴露概率數值s
expose
為0.05，對應e3等級的暴露概率數值s
expose
為0.2，對應e4等級的暴露概率數值s
expose
為0.5，同樣的，所述暴露概率係數k1與所述暴露概率數值乘積在所述車輛功能安全的風險值中的權重在合理的範圍內；這裡所說的合理的範圍是指嚴重度係數k2和暴露概率係數k1的取值使得碰撞速度v
collision
和暴露概率數值s
expose
的變化均衡地改變車輛功能安全的風險值s
risk
的結果，因此，本實施例中嚴重度係數k2取小於1的小數，暴露概率係數k1取大於1的整數，比如，針對以上暴露概率數值的實施例，設置k1＝500，k2＝0.1。
[0097]
針對各條測試例，分別計算得到其相應的所述車輛功能安全的風險值計算結果，根據預設的車輛功能安全的風險值與風險等級的映射關係，具體可以將車輛功能安全的風險值的範圍劃分為與風險等級對應的若干子區間範圍，匹配所述車輛功能安全的風險值計算結果對應的風險等級。
[0098]
本發明的實施例提供了一種車輛功能設計方法，參見圖4，包括以下步驟：
[0099]
基於待設計的車輛功能設定初始本車軟硬體參數。例如，針對高速領航功能，所述初始本車軟硬體參數包括方向盤的響應時間、通訊信號的強度、剎車系統軟硬體(包括機械結構)的響應時間和距離監測模塊的精度和響應時間、傳遞時間等；針對自動泊車功能，所述初始本車軟硬體參數距離監測模塊的檢測精度、距離監測模塊到驅動系統的傳遞時間、
驅動系統的響應時間、通訊信號的強弱以及制動系統的響應時間等。
[0100]
基於上述的輛功能安全風險評估方法，對待設計的車輛功能安全進行風險評估，得到該車輛功能的風險等級；然後根據該車輛功能的風險等級對所述初始本車軟硬體參數分配asil等級，並按照被分配的asil等級對所述初始本車軟硬體的設計進行開發。
[0101]
需要說明的是，在本文中，諸如第一和第二等之類的關係術語僅僅用來將一個實體或者操作與另一個實體或操作區分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關係或者順序。而且，術語「包括」、「包含」或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句「包括一個
……」
限定的要素，並不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。
[0102]
以上所述僅是本技術的具體實施方式，應當指出，對於本技術領域的普通技術人員來說，在不脫離本技術原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也應視為本技術的保護範圍。