一种无人集卡安全完整性等级评估方法与流程

1.本技术涉及无人集卡领域，具体来说，涉及无人集卡安全完整性等级评估领域。


背景技术：

2.随着科技的进步，无人驾驶技术逐渐走入大众的视线。目前，虽然离无人驾驶应用到公共道路上运行的乘用车上还具有一定距离，但将l4级（高度自动驾驶）自动驾驶车辆应用于一些限定园区中已经成为现实，如港口、码头的无人集卡（无人驾驶集装箱卡车）。
3.无人集卡一方面需要完成高度自动驾驶，另一方面需要与港口、码头的起重机、龙门吊等设备合作，以完成集装箱的装卸工作。因此，无人集卡需要由众多的电气设备配合才能支撑上述功能。然而，随着汽车电气设备增多，在提升车辆性能的同时也提升了整车的故障风险。
4.iso 26262标准中提出了asil（automotive safety integration level）汽车安全完整性等级的概念，可以对失效（故障）后带来的风险进行评估和量化以达到安全目标。在产品概念设计阶段对系统进行危害分析和风险评估，识别出系统的危害，如果系统的安全风险越大，对应的安全要求级别就越高，其具有的asil的等级也越高。虽然iso 26262-2018能够有效解决车辆全生命周期中由电气故障带来的危害，但是，其危害性（严重度）更多的是强调危害发生时对人的危害，根据人员伤亡情况确认危害性的大小，其不能适用于无人集卡中。原因在于，无人集卡在港口实际运营过程中，首先车辆实际可能发生事故的类型中，与堆场集装箱相撞、与桥吊相撞、冲出海面等没有人员参与的事故概率更大，所以发生事故时对人员是没有伤害的；另外，即便有人员参与到了事故中，由于工作人员接受的安全培训以及一些安全措施，人员是有能力避开危险的。上述两种情况时若沿用传统的asil的方法，则评估出的危害性为低，安全完整性等级基本也为低。这会使得评估符合iso标准的功能安全要求，但显然对于无人集卡而言，该车辆还是处于危险之中的。这样的结果对于车辆开发公司和港口车辆运营使用公司是无法接受的。由此可见，iso 26262的标准应用在无人集卡上并未取得显著成果，部分与人不相关但严重影响车辆、集装箱等资产安全的危害应用功能安全的分析方法无法避免。
5.现有技术中还没有一套完善的针对无人集卡的安全完整性评估和有效指导无人集卡开发的方法。一套如何合理的评估关于无人集卡的安全完整性并有效指导无人集卡开发的方法是很重要的。
6.上述问题成为亟需解决的问题。


技术实现要素：

7.本技术的目的在于克服现有技术的不足，提供一种针对无人集卡的安全完整性等级评估方法，通过对严重度等级重新定义，结合功能安全标准中e、c的取值定义，来适应asil等级评估标准在无人集卡中的应用，得到了一套更适用于无人集卡这种特殊车辆的车辆安全完整性等级asil的评估标准，解决了无人集卡发生事故时，由于评估标准的不合理
导致asil等级为qm无法有效指导开发的问题，且本发明中提出了一套无人集卡车辆asil等级评估方法，可以更合理的评估无人集卡车辆安全完整性等级，利于指导车辆概念设计阶段的研发及车辆安全性能的测试验证，提升了无人集卡的安全性。
8.本技术的目的是通过以下技术方案来实现的：本技术提出一种无人集卡安全完整性等级评估方法，包括：确定可能使所述无人集卡发生潜在危害的失效事件和失效时的运营场景；基于所述失效事件和运营场景，评估在所述失效事件发生时所述无人集卡的严重度等级、暴露率等级、可控性等级；基于所述严重度等级、暴露率等级、可控性等级，判断所述无人集卡的安全完整性等级；其中，所述严重度等级根据所述失效事件发生时是否导致事故以及所述事故对车辆、环境中物体的影响程度来划分。
9.本技术通过重新定义严重度等级，将严重度等级与失效事件造成的车辆、环境中物体的损失/伤害程度挂钩，获得了适应无人集卡安全完整性评估的方法。
10.可选地，所述严重度等级包括：s0、s1、s2、s3；s0表示失效事件发生时，未导致事故发生；s1表示失效事件发生后，车辆或环境中物体轻微受伤；s2表示失效事件发生后，事故导致车辆或环境中的物体需简单维修后才能继续工作；s3表示失效事件发生后，事故导致车辆或环境中的物体需要大幅度维修，或，车辆或环境中的物体报废。
11.本技术通过重新定义严重度等级，获得了适应无人集卡安全完整性评估的方法，具体地，根据故障（失效）是否导致事故、导致事故的严重度，来将严重度等级分为四个等级：s0、s1、s2、s3，解决了无人集卡发生事故时，由于评估标准的不合理导致asil等级无法有效指导开发的问题，同时利于指导车辆概念设计阶段的研发及车辆安全性能的测试验证，提升了无人集卡的安全性。
12.可选地，所述基于所述严重度等级、暴露率等级、可控性等级，判断所述无人集卡的安全完整性等级，包括：根据计算得到的所述严重度等级对应的第一数值s、所述暴露率等级对应的第二数值e和所述可控性等级对应的第三数值c，获取所述安全完整性等级对应的数值，根据所述安全完整性等级对应的数值获得最终的安全完整性等级。
13.本技术中，严重度等级、暴露率等级、可控性等级均可对应具体数值，通过数值来评估和表示各个等级，当上述三个等级的数值确定后，根据上述三个数值来计算无人集卡的安全完整性等级。
14.可选地，所述根据所述安全完整性等级对应的数值获得最终的安全完整性等级，包括：当（s e c）《=第一阈值时，或，当s*e*c=0时，所述无人集卡安全完整性等级为第一等级；当（s e c）=第二阈值时，所述无人集卡安全完整性等级为第二等级；
当（s e c）=第三阈值时，所述无人集卡安全完整性等级为第三等级；当（s e c）=第四阈值时，所述无人集卡安全完整性等级为第四等级；当（s e c）=第五阈值时，所述无人集卡安全完整性等级为第五等级；其中，所述第一阈值、第二阈值、第三阈值、第四阈值、第五阈值依次递增；所述第一等级、第二等级、第三等级、第四等级、第五等级的级别依次升高。
15.本技术进一步提出了如何利用严重度等级、暴露率等级和可控性等级对应的数值来评估无人集卡安全完整性等级的方法，基于三个数值之和与一定阈值比较，最终确定安全完整性等级。该方法科学、合理，通过简单计算和判断，即可获得适用于无人集卡的评估方法。安全完整性等级越高表明系统的安全风险越大，对功能安全的要求越高。
16.可选地，所述暴露率等级包括：e0、e1、e2、e3、e4；其中，e0表示不可能，e1表示极低概率；e2表示低概率；e3表示中等概率；e4表示高概率。暴露率等级（probability of exposure）可以表示风险出现时，人员或者财产可能受到影响的概率。具体的概率例如可以是，极低概率表示受到影响的概率小于0.01%，低概率表示受到影响概率介于极低概率的阈值与1%之间；中等概率表示受到影响概率介于1%-10%之间；高概率表示受到影响概率大于10%。当然地，实际中各个等级的概率对应的阈值各个厂商之间可能存在差异。
17.可选地，可控性等级包括：c0、c1、c2、c3；其中，c0表示可控；c1表示简单可控；c2表示一般可控；c3表示难以控制或不可控。
18.本技术中，可控性（controllability）表示避免伤害的能力水平。例如，可以是，c0表示通常来说是可控的，即，即使发生了一些失效，但是不会影响车辆运行或不会引起事故；c1表示通常来说至少99%的交通参与者可避免造成伤害；c2表示90%-99%的交通参与者可避免造成伤害；c3表示低于90%的交通参与者能避免造成伤害。当然地，实际中，上述概率或等级的划分各个厂商之间可能略有不同。
19.可选地，所述失效事件包括电气功能失效。随着车辆自动化程度的提高，车载的电气设备在数量上越来越多，功能上越来越复杂，电气功能失效成为车辆设计中不容忽视的项。对电气功能失效在特定场景下进行安全完整性评估，是提升无人集卡安全性的必然。
20.可选地，评估所述严重度等级包括：p1：判断失效事件发生时，是否可能导致事故；若否，则所述严重度等级为s0；若是，则进入p2；p2：判断在不进行维修的情况下是否影响车辆继续运营或环境中物体继续使用；若否，则所述严重度等级为s1；若是，则进入p3；p3：判断所需的维修是否复杂，若是，则所述严重度等级为s3，若否，则进入p4；p4：判断维修成本情况或判断所需更换的零部件是否涉及高成本零部件，若维修成本大于预设值或所需更换的零部件涉及高成本零部件，则所述严重度等级为s3，否则，所述严重度等级为s2。
21.本技术针对无人集卡的应用场景，针对性的提出了一种简化的严重度等级的判定方法，该方法流程简单，易于判断，可通用于所有无人集卡安全完整性等级评估中。
22.可选地，在p1中，若判定所述严重度等级为s0，则所述安全完整性等级为第一等级；
在p2中，若判定所述严重度等级为s1，则所述安全完整性等级为第三等级；在p3中，若判定所述严重度等级为s3，则所述安全完整性等级为第五等级；在p4中，若判定所述严重度等级为s2，则所述安全完整性等级为第四等级，若判定所述严重度等级为s3，则所述安全完整性等级为第五等级。
23.由于在无人集卡运营过程中，在其正常使用场景中，其最高暴露率都可达到e4水平；在故障发生时，由于无人集卡非驾驶员操作，平台操控存在网络延时及通讯可靠性，安全员手柄接管不会全程跟着一辆车，所以车辆发生事故的可控性较差，最高可控性水平都可以达到c3水平，基于此，可直接根据严重度等级来评判整车的安全完整性等级，简单方便。
24.可选地，根据维修时间和/或参与维修人数和/或是否更换零部件来判断所需的维修是否复杂。
25.本技术还提出了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被执行时实现前述的无人集卡安全完整性等级评估方法。
26.本技术的有益效果为：（1）提出了针对无人集卡的安全完整性等级的评估方法，通过选择合适的严重度等级评估标准，可以更合理的评估无人集卡车辆安全完整性等级，利于指导车辆概念设计阶段的研发及车辆安全性能的测试验证；（2）有效解决无人集卡车辆在发生事故时，由于现场没有人的参与导致的asil等级评估不准确，在设计开发过程中不能有效指导开发的问题；（3）有效的解决了车辆发生事故设计阶段考虑不合理的情况，提高了无人集卡车辆的安全性，帮助降低无人集卡车辆发生电气功能失效时导致的事故概率及损失。
附图说明
27.图1是本技术一实施例提供的无人集卡的安全完整性等级评估方法；图2是本技术一实施例提供的严重度等级表；图3是本技术一实施例提供的暴露率等级表；图4是本技术一实施例提供的可控性等级表；图5是本技术一实施例提供的asil等级评估表；图6是本技术另一实施例提供的无人集卡的安全完整性等级评估方法。
具体实施方式
28.下面结合具体实施例进一步详细描述本技术的技术方案，但本技术的保护范围不局限于以下所述。
29.如图1，本技术一实施例提供一种无人集卡安全完整性等级评估方法，其包括：确定可能使所述无人集卡发生潜在危害的失效事件和失效时的运营场景；基于所述失效事件和运营场景，评估在所述失效事件发生时所述无人集卡的严重度等级、暴露率等级、可控性等级；基于所述严重度等级、暴露率等级、可控性等级，判断所述无人集卡的安全完整性等级；其中，所述严重度等级根据所述失效事件发生时是否导致事故以及所述事故对车辆、环
境中物体的影响程度来划分。
30.其中，车辆表示所述无人集卡本身，环境中物体表示无人集卡以外的物体，其可能受无人集卡的失效事件的影响，包括如环境中集装箱、桥吊、轮胎吊、其他车辆等。另外，需要说明的是，本技术所述的失效事件，也可认为是故障。
31.可选地，所述严重度等级包括：s0、s1、s2、s3；s0表示失效事件发生时，未导致事故发生；s1表示失效事件发生后，车辆或环境中物体轻微受伤；s2表示失效事件发生后，事故导致车辆或环境中的物体需简单维修后才能继续工作；s3表示失效事件发生后，车辆或环境中的物体需要大幅度维修，或，车辆或环境中的物体报废。其中，s3时，车辆或环境中物体达到了严重损坏甚至报废的程度。
32.需要说明的是，本技术的无人集卡安全完整性等级评估即无人集卡asil安全完整性等级（automotive safety integration level-汽车安全完整性等级）评估，定义安全完整性等级是为了对失效后带来的风险进行评估和量化以达到安全目标。其等级的制定主要受三个因素的影响：s（severity）严重度、e（probability of exposure）暴露率、c（controllability）可控性。e与c的取值定义可以与iso 26262功能安全标准中的定义保持一致。例如，暴露率可以表示风险出现时，人员或者财产可能受到影响的概率。可控性（controllability）表示避免伤害的能力水平。
33.本技术针对无人集卡，重新定义了严重度s，参见图2，所述asil等级的影响因素s共分为s0、s1、s2、s3四个等级。其中s0表示故障发生时，无任何事故发生，如在开阔的直线道路上行驶，车辆速度短暂失控但并未发生任何事故；s1表示故障发生后，车辆或环境中的物体（如集装箱、桥吊、轮胎吊等）仅轻微受伤（如发生轻微擦伤），不影响车辆继续运营及环境中的物体继续使用的，如车辆在堆场区域低速运行时，由于定位短暂的偏差导致车辆与集装箱发生擦碰；s2表示故障发生后，事故导致车辆或环境中的物体无法继续直接使用，需要经过简单维修后才能继续工作，如事故导致传感器位置偏移，需要重新校准传感器位置或导致摄像头、毫米波雷达等成本较低的传感器损坏需要更换等；s3表示故障发生后，事故导致车辆或环境中的物体严重损坏，需要经过复杂的维修后才能继续使用的，如车速过快时与物体发生撞击，车辆大面积损坏或超声波雷达、惯导等成本较高的传感器、控制器损坏或车辆冲进海面等。
34.本技术通过定义功能安全中s（severity）的评估标准，结合功能安全标准中e、c的取值定义，得到了一套更适用于无人集卡这种特殊车辆的基于功能安全的无人集卡安全完整性等级（asil）的评估标准，对无人集卡例如软硬件功能、电气功能出现失效后带来的风险进行评估和量化，以达到安全目标，有效指导无人集卡的开发和测试。
35.可选地，参见图3，暴露率等级包括：e0、e1、e2、e3、e4；其中，e0表示不可能，e1表示极低概率；e2表示低概率；e3表示中等概率；e4表示高概率。如前所述，暴露率可以表示风险出现时，人员或者财产可能受到影响的概率。可以理解地，e0表示人员或财产不会受到影响，e1表示人员或者财产可能受到影响的概率极低，e2表示人员或者财产可能受到影响低；e3表示人员或者财产可能受到影响为中等可能；e4表示人员或者财产可能受到影响概率高。具体的概率例如可以是，极低概率表示受到影响的概率小于0.01%，低概率表示受到影响概率介于极低概率的阈值与1%之间；中等概率表示受到影响概率介于1%-10%之间；高概率表示受到影响概率大于10%。当然地，实际中各个等级的概率对应的阈值各个厂商之间可
能存在差异。本技术在此不进行限制。
36.可选地，参见图4，可控性等级包括：c0、c1、c2、c3；其中，c0表示可控；c1表示简单可控；c2表示一般可控；c3表示难以控制或不可控。本技术中，可控性（controllability）表示避免伤害的能力水平。例如，可以是，c0表示通常来说是可控的，即，即使发生了一些失效，但是不会影响车辆运行或不会引起事故；c1表示通常来说99%的交通参与者可避免造成伤害；c2表示90%-99%的交通参与者可避免造成伤害；c3表示低于90%的交通参与者能避免造成伤害。当然地，实际中，上述概率或等级的划分各个厂商之间可能略有不同。
37.可以理解地，可能使所述无效集卡发生潜在危害的失效事件主要来自软件失效和硬件失效两方面。其中，硬件失效包括控制器失效、执行器失效、传感器失效等。
38.可选地，失效事件为电气功能失效。当车辆存在失效事件时，并非意味着必然存在危害事件或危险。当失效事件存在于特定的驾驶场景或运营场景时，危害可能性才会加大或出现。因此，需要结合所述失效事件和具体运营场景来进行危害的风险级别，即安全完整性等级。其中，运营场景包括晴天、白天、雨天、夜晚、路面湿滑、转向、直行、去堆场、去充电区、去桥吊等所有场景。特别地，可以针对性选择个别场景，比如在失效时较为危险的运营场景，例如在运营场景为转向时，转向灯失效；在雨天路滑时刹车失灵等。
39.一种可能的实施方式中，基于所述严重度等级、暴露率等级、可控性等级，判断所述无人集卡的安全完整性等级，包括：根据计算得到的所述严重度等级对应的第一数值s、所述暴露率等级对应的第二数值e和所述可控性等级对应的第三数值c，获取所述安全完整性等级对应的数值，根据所述安全完整性等级对应的数值获得最终的安全完整性等级。
40.一种实施方式中提出了一种判断无人集卡安全完整性等级的具体方式，其采用以下方式实现：获得所述严重度等级对应的第一数值s、所述暴露率等级对应的第二数值e和所述可控性等级对应的第三数值c后，对三者进行求和并进行下述判断：当（s e c）《=第一阈值时，或，当s*e*c=0时，所述无人集卡安全完整性等级为第一等级；当（s e c）=第二阈值时，所述无人集卡安全完整性等级为第二等级；当（s e c）=第三阈值时，所述无人集卡安全完整性等级为第三等级；当（s e c）=第四阈值时，所述无人集卡安全完整性等级为第四等级；当（s e c）=第五阈值时，所述无人集卡安全完整性等级为第五等级；其中，所述第一阈值、第二阈值、第三阈值、第四阈值、第五阈值依次递增，对应的第一等级、第二等级、第三等级、第四等级和第五等级对功能安全的要求也依次递增。第五等级是最高的汽车安全完整性等级，对功能安全要求最高。可以理解为依次对应传统的asil等级的qm、a、b、c、d五个等级。
41.可选地，e0、e1、e2、e3、e4对应的数值依次为0、1、2、3、4；c0、c1、c2、c3对应的数值依次为0、1、2、3；同样地，s0、s1、s2、s3对应的数值依次为0、1、2、3。此时，第一阈值取值为6，第二阈值、第三阈值、第四阈值、第五阈值依次取值为7、8、9、10。当然地，本技术并不以此为限，实际上还可根据需要来配置上述各个阈值。
42.基于上述方法，图5中给出了asil等级的映射表，其并未考虑严重度等级、可控性
等级、暴露率等级为0时的情况，即严重度等级为s0、可控性等级为c0、暴露率等级为e0时，认为该失效情况在某特定的驾驶场景中不会造成伤害或损失。为了便于评估，一种可选的方式是，对严重度等级、可控性等级、暴露率等级进行评估后，直接对照图5中表格，根据映射关系直接获取最终的安全完整性等级。当然地，也可以根据上述判断公式来进行判断。本技术在此不做限定。
43.可选地，所述失效事件包括电气功能失效。随着车辆自动化程度的提高，车载的电气设备在数量上越来越多，功能上越来越复杂，电气功能失效成为车辆设计中不容忽视的项。对电气功能失效在特定场景下进行安全完整性评估，是提升无人集卡安全性的必然。
44.本技术另一实施例提出了一种简化了的严重度等级的确认方法，其在获得失效事件和运营场景后，还包括如下步骤：p1：判断失效事件发生时，是否可能导致事故；若否，则所述严重度等级为s0；若是，则进入p2；p2：判断在不进行维修的情况下是否影响车辆继续运营或环境中物体继续使用；若否，则所述严重度等级为s1；若是，则进入p3；p3：判断所需的维修是否复杂，若是，则所述严重度等级为s3，若否，则进入p4；p4：判断维修成本情况或判断所需更换的零部件是否涉及高成本零部件，若维修成本大于预设值或所需更换的零部件涉及高成本零部件，则所述严重度等级为s3，否则，所述严重度等级为s2。
45.可以理解地，在步骤p1之前，需要确定可能使整车发生潜在危害的电气功能失效（或其它失效）及其失效时较为危险的运营场景。当p1判断车辆可能出现事故后，表明其严重度等级高，此时需要判断车辆是否不需要维修就可以继续运营或环境中物体是否不需要维修就可继续使用，若是则判断严重度等级为s1，若否，即需要维修，则进一步判断维修的复杂程度，例如，考虑维修时间及参与维修人数，是否简单维修就可满足需求，需要说明的是，更换零部件属于简单维修，简单维修若无法满足需求，则认为严重度等级为最高级s3，且安全完整性等级最高级，为d级。若简单维修可以满足使用需求，此时，进一步判断维修成本，具体地，判断维修成本是否高于一预设成本，例如一万元（该成本阈值可根据需要来调整），或，判断所需更换的零部件是否涉及高成本零部件，例如激光雷达、组合惯导、自动驾驶控制器等成本较高的传感器、控制器。判断维修成本高于一定值后，或者，判断所需更换零部件成本高，则认为严重度等级较高，为s3，否则为s2。需要说明的是，实际上判断零部件成本高低也是判断成本的一种方式，实际中也可以仅仅进行成本判断而不必特意进行零部件成本的判断。
46.可以理解地，在无人集卡运营过程中，其正常使用的场景如晴天、白天、夜晚、转向、直行、去堆场、去充电区、去桥吊等所有场景，其最高暴露率都可达到e4水平；在故障发生时，由于无人集卡非驾驶员操作，平台操控存在网络延时及通讯可靠性，安全员手柄接管不会全程跟着一辆车，所以车辆发生事故的可控性较差，最高可控性水平都可以达到c3水平。
47.此时，对于安全完整性等级，参考图5，在p1中，若判定所述严重度等级为s0，则所述安全完整性等级为第一等级；在p2中，若判定所述严重度等级为s1，则所述安全完整性等级为第三等级；在p3中，若判定所述严重度等级为s3，则所述安全完整性等级为第五等级；
在p4中，若判定所述严重度等级为s2，则所述安全完整性等级为第四等级，若判定所述严重度等级为s3，则所述安全完整性等级为第五等级。
48.本技术另一方面还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被执行时实现前述的无人集卡安全完整性等级评估方法。
49.以上所述仅为本技术的优选实施方式而已，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。