用于智能驾驶系统的功能安全的设计方法和智能驾驶系统与流程

本发明涉及智能驾驶系统领域，具体涉及一种智能驾驶系统的设计方法和一种由该方法设计的智能驾驶系统。

背景技术：

1、在车辆行业中，为了有效降低由车辆的电子/电气系统失效产生的道路交通风险，功能安全的概念在2011年被提出。功能安全的目的是从电子/电气系统的随机性失效和系统性失效两个方面入手，提高车辆的电子/电气系统的安全性。

2、安全性一直是道路交通领域中的重点考虑对象。与功能安全的概念相对应的是，车辆中的常规子系统(诸如制动系统、转向系统、动力总成等)的功能安全设计日趋完善，从而可以确保整车的安全性。

3、车辆行业的发展趋势是智能驾驶。智能驾驶的范围包括辅助驾驶到完全自动驾驶。智能驾驶技术极大地提高了驾乘人员的舒适性和驾驶操作的便利性。然而，随着智能驾驶技术的发展，车辆中的电子/电气系统的软硬件规模和复杂程度都在急剧增加，导致失效可能性也随之增大，给功能安全设计带来极大挑战。

4、功能安全设计中的重要概念是asil(automotive safety integrity level)，即，车辆安全完整性等级。asil是由iso 26262标准定义的道路车辆功能安全的风险分类系统。在iso 26262中，功能安全的定义为：不存在由于电子/电气系统的功能异常表现引起的危险而导致的不合理风险。iso 26262定义了四种功能安全等级：asil a、asil b、asil c和asil d。其中asil a代表最低程度的功能安全等级，asil d代表最高程度的功能安全等级。asil的等级由严重度(s)、暴露率(e)和可控性(c)三个因素共同决定。

5、由于智能驾驶系统的感知装置和控制装置的软硬件规模和复杂程度都很高，因此目前很难达到高级别的功能安全(asil c甚至asil d)。按照通常的功能安全理论，整个智能驾驶系统的功能安全等级也受到限制。

6、综上所述，期望提供一种用于智能驾驶系统的功能安全的设计方法，使得在感知装置和控制装置难以做到asil c或asil d的情况下，整个智能驾驶系统的整车层面的功能安全等级依然可以达到asil c或d。

技术实现思路

1、本发明提出一种用于智能驾驶系统的功能安全的设计方法，所述功能安全设计方法可以在感知和控制装置并未达到高等级asil的情况下，使得整个智能驾驶系统的整车层面的功能安全等级达到高等级asil。

2、本发明公开了一种用于智能驾驶系统的功能安全的设计方法，其中，所述设计方法包括以下步骤：s201：根据功能失效的可控程度，将智能驾驶系统所在的车辆的整车层面的功能失效划分为第一部分和第二部分，其中，所述第一部分的功能失效的可控程度与所述第二部分的功能失效的可控程度不同；s202：对所述第一部分和所述第二部分分别进行整车层面的危害分析与风险评估，以确定所述第一部分和所述第二部分的功能安全目标及对应的车辆安全完整性等级；s203：将所述第一部分的功能安全目标分解到所述智能驾驶系统的感知装置、控制装置和执行装置中，以由所述感知装置、所述控制装置和所述执行装置共同继承所述第一部分的功能安全目标的车辆安全完整性等级；s204：将所述第二部分的功能安全目标分解到所述智能驾驶系统的感知装置、控制装置和执行装置，以由所述执行装置继承第二部分的功能安全目标的高级别的车辆安全完整性等级；以及s205：将所述第一部分和所述第二部分的功能安全目标的车辆安全完整性等级整合，使得由所述执行装置继承的车辆安全完整性的级别高于由所述感知装置和所述控制装置继承的车辆安全完整性的级别。

3、根据可选的实施方式，步骤s201包括：借助于预设的参数值对所述可控程度进行量化；将低于所述参数值的所述可控程度划分为所述第一部分，并且将不低于所述参数值的所述可控程度划分为所述第二部分，或者，将不高于所述参数值的所述可控程度划分为所述第一部分，并且将高于所述参数值的所述可控程度划分为所述第二部分。

4、根据可选的实施方式，所述第一部分的车辆安全完整性等级与所述第二部分的车辆安全完整性等级不同。

5、根据可选的实施方式，步骤s204包括：所述执行装置不执行所述控制装置在所述第二部分发出的指令，使得所述功能安全目标的车辆安全完整性等级达到高级别。

6、根据可选的实施方式，所述功能失效包括转向功能失效、制动功能失效和泊车功能失效；所述转向功能失效的可控程度借助于横向位移阈值dt进行量化；所述制动功能失效的可控程度借助于减速度阈值at进行量化；所述泊车功能失效的可控程度借助于车速阈值vt进行量化。

7、根据可选的实施方式，所述转向功能失效包括第一转向功能失效部分和第二转向功能失效部分；以及所述第一转向功能失效部分的车辆安全完整性等级低于所述第二转向功能失效部分的车辆安全完整性等级。

8、根据可选的实施方式，所述第一转向功能失效部分包括一定时间内车辆横向位移小于所述横向位移阈值dt的非预期的转向，并且所述第二转向功能失效部分包括一定时间内车辆横向位移大于等于所述横向位移阈值dt的非预期的转向；或者所述第一转向功能失效部分包括一定时间内车辆横向位移小于等于所述横向位移阈值dt的非预期的转向，并且所述第二转向功能失效部分包括一定时间内车辆横向位移大于所述横向位移阈值dt的非预期的转向。

9、根据可选的实施方式，所述横向位移阈值dt借助于车道宽度w1和车身宽度w2确定，并且满足dt＝(w1-w2)/2。

10、根据可选的实施方式，所述制动功能失效包括第一制动功能失效部分和第二制动功能失效部分；以及所述第一制动功能失效部分的车辆安全完整性等级低于所述第二制动功能失效部分的车辆安全完整性等级。

11、根据可选的实施方式，所述第一制动功能失效部分包括减速度小于所述减速度阈值at的非预期介入的制动，并且所述第二制动功能失效部分包括减速度大于等于所述减速度阈值at的非预期介入的制动；或者所述第一制动功能失效部分包括减速度小于等于所述减速度阈值at的非预期介入的制动，并且所述第二制动功能失效部分包括减速度大于所述减速度阈值at的非预期介入的制动。

12、根据可选的实施方式，所述泊车功能失效包括第一泊车功能失效部分和第二泊车功能失效部分；以及所述第一泊车功能失效部分的车辆安全完整性等级低于所述第二泊车功能失效部分的车辆安全完整性等级。

13、根据可选的实施方式，所述第一泊车功能失效部分包括泊车速度小于所述车速阈值vt的漏识别行人的失效模式，并且所述第二泊车功能失效部分包括泊车速度大于等于所述车速阈值vt的漏识别行人的失效模式；或者所述第一泊车功能失效部分包括泊车速度小于等于所述车速阈值vt的漏识别行人的失效模式，并且所述第二泊车功能失效部分包括泊车速度大于所述车速阈值vt的漏识别行人的失效模式。

14、根据可选的实施方式，所述感知装置包括用于获取场景环境信息的一个或多个传感器；所述传感器包括摄像头、毫米波雷达、激光雷达、超声波雷达、卫星定位系统或惯性导航器件；所述控制装置包括用于完成驾驶路径规划和车辆运动控制的集成式智能驾驶域控制装置或多个分布式的智能驾驶域控制装置的组合；所述执行装置包括转向系统、制动系统或动力系统。

15、本发明还公开了一种智能驾驶系统，包括：感知装置，其包括用于获取场景环境信息的一个或多个传感器；控制装置，其包括用于完成驾驶路径规划和车辆运动控制的集成式智能驾驶域控制装置或多个分布式的智能驾驶域控制装置的组合；执行装置，其包括转向系统、制动系统、动力系统、灯光系统和人机交互系统中的一个或多个。所述智能驾驶系统配置为执行根据本文所述的设计方法，使得所述智能驾驶系统在整车层面上的车辆安全完整性等级等于所述感知装置、所述控制装置和所述执行装置的车辆安全完整性等级中的最高者。

16、本发明还公开了一种车辆，其包括根据本文所述的智能驾驶系统。

17、利用本发明的用于智能驾驶系统的功能安全的设计方法，在感知装置和控制装置以当前技术条件难以达到高等级asil的情况下，通过将整车层面的功能失效合理地分解，使得高等级要求的功能安全目标由智能驾驶系统中可以达到高等级要求的功能安全的装置继承，而低等级要求的功能安全目标由智能驾驶系统中难以达到高等级的功能安全的装置继承。这样，整个智能驾驶系统的整车层面功能依然可以达到高等级要求的功能安全目标，保障智能驾驶的安全性。