保护系统免遭错误不触发
背景技术:
1.技术系统可以具有例如在特定条件下(例如,根据第一预定标准,见下文)被触发的功能。这种特定条件通常取决于所述系统的边界条件和/或环境数据,这些边界条件和/或环境数据例如由所述系统或另外的系统的传感器检测并随后处理。基于传感器数据的例如时间序列和/或从传感器数据导出的数据的例如时间序列,可以随时检查是否满足特定条件,并且由此检查是否应当触发所述系统的功能。
2.所述系统可以被置于环境中,该环境在所述系统运行期间可能发生变化。从而例如该系统可以是驾驶系统,特别是车辆的驾驶系统,其环境在驾驶期间动态变化。通常,尝试通过边界条件和/或环境数据获得对环境的一定自动化的理解,以便能够决定在特定时间点触发系统功能是否代表适当的系统反应。什么是适当的系统响应例如可以取决于系统的规范和/或与环境的交互。即使在使用大量和/或不同的传感器来检测环境(例如用于计算机视觉)的情况下,对环境的自动化理解也是一种开放的背景的问题,因为通常环境几乎可以任意改变。因此,即使使用泛化算法(例如机器学习算法),也不能完全排除错误的自动化理解。
3.因此根据对环境(和/或特定条件)的自动化理解的质量,在某个时间点触发系统的功能可能是正确的或错误的:如果系统的功能在所述某个时间点被正确(例如从更明智的观察者的角度)触发,则存在正确触发(英语:true positive)。相反,如果系统的功能在所述某个时间点被错误地(例如同样从更明智的角度)触发,则存在错误触发(英语:false positive)。此外,根据对环境(和/或特定条件)的自动化理解的质量,在某个时间点不触发系统的功能可能是正确的或错误的:如果系统的功能在所述某个时间点正确地(例如,从更明智的观察者的角度)未触发,则存在正确不触发(英语:true negative)。相反,如果系统的功能在所述某个时间点错误地未触发(例如,同样从更明智的角度),则存在错误不触发(英语:false negative)。
4.理想情况下,系统在运行过程中应当具有尽可能少的错误触发和尽可能少的错误不触发。因此,系统的开发或系统的功能通常已经旨在减少或很大程度上消除错误触发和/或错误不触发。一方面明确希望在系统运行中尽可能避免错误触发和/或错误不触发,而另一方面,在释放测试中(可以)测量的错误触发和/或错误不触发越少,在这种释放测试中证明低错误触发率和/或低错误不触发率就越困难。这通常导致释放测试是漫长而耗时的持续运行测试。如果在至少一个持续运行中,即在某个时间段内不能确定错误触发和/或错误不触发(或对应的频率低于特定阈值),则例如可以发布对系统或系统功能的释放。
5.保护系统免遭错误触发和/或错误不触发在安全关键系统中尤为重要,特别是当通过错误触发或错误不触发产生的不适当系统反应可能导致无法弥补的损害(例如,存在人身伤害或死亡结果的事故)时。例如,该系统可以是安全关键的驾驶员辅助系统(fas)或自动驾驶系统,特别是高度自动驾驶系统(haf)。这里,这种系统的功能例如可以像紧急制动助手(英语:autonomous emergency braking(自动紧急制动),aeb)那样旨在避免碰撞。在另一个示例中,特别是在haf中,用于避免碰撞的系统功能还可以包括规避或制动和规避
的组合。这种系统在投放市场之前必须被保护(即验证)以防止由于不完整的系统规范而导致的风险。根据安全架构,在不同的安全层(英语:safety layers)上也可能需要这种保护。典型地执行广泛的试驾(持续运行)以进行保护。替代地或附加地,可以模拟虚拟的试驾。然而,由于环境影响的复杂性和多样性以及多种多样且通常未知的驾驶状况,在这种虚拟试驾(模拟)中对检测环境的fas或haf的保护可能不够充分,特别是在模拟本身无法得到验证或只能不够充分地验证并且因此仅不够充分地代表现实的情况下。
6.避免事故的系统——如紧急制动助手或haf中用于避免碰撞的系统——通常仅允许在少数(和例外)状况下干预车辆引导(例如紧急制动机动/紧急规避机动)。
7.其中实现了所述系统的车辆以及其他道路参与者例如在不合理干预(错误触发)的情况下可能会有风险,例如当系统不合理地在前方行驶的车辆中启动紧急制动并且由此导致追尾事故时。允许出现不合理干预的最大可容忍率(错误触发率)一般取决于干预的严重性和可控性,并且例如可以通过客观化的危险和风险分析来予以确定。一般来说,可以假设永远不允许错误触发比正确触发更频繁地出现。可以根据允许的误触发率确定要行驶的连续里程。于是例如在持续运行期间不允许观察到错误触发。通常,仅评估(未)出现的不合理触发,并且不对系统进行更深入的评估,例如在系统内部接口处。由于(接近)事故在真实驾驶情况下很少发生,因此可以在释放测试中证明非常低的发生率或两次错误触发之间的长时间间隔。
8.另一方面,其中实现了该系统的车辆以及其他道路参与者的风险也可能由于错过本应合理且必要的干预而产生,即通过错误不触发产生,例如当系统在车辆中错过足够的制动时,而该制动本应是合理且必要的,以防止与行驶在前并且急剧减速的车辆发生追尾。相对于应当进行干预的时间点而言延迟的干预也可以被评估为错过的干预并且因此被评估为错误不触发。允许错过合理的干预的最大可容忍率(错误不触发率)一般取决于系统的类型和所使用的环境。一般而言,可以假设永远不允许错误不触发出现得比所使用区域中的典型事故数量更频繁。专业界正在讨论准确的目标值,并且在任何情况下都在错误不触发率非常低的情况下,必须证明这一点。通常,仅针对一些系统(例如自动紧急制动)基于测试路段上的专门测试(例如euroncap)来检查对系统错误不触发的防护,而不会直接指示在真实交通情况中的性能。在haf的情况下会收集大量数据,然而这些数据一般不足以作为统计证明或保护真实必要的目标值所必需的指示。可以根据允许的错误不触发率来确定要行驶的连续里程。
技术实现要素:
9.本公开的第一一般方面涉及一种用于保护系统免遭错误不触发的计算机实现的方法。该方法可以包括接收临界性的时间序列,其中所述系统可以包括当所述临界性满足第一预定标准时被触发的功能。该方法还可以包括计算参考的时间序列,其中所述参考可以是用于触发所述系统的功能的比较临界性。该方法还可以包括至少基于所述临界性的时间序列和所述参考的时间序列来计算错误度量的时间序列,其中如果所述错误度量的时间序列的一部分满足第二预定标准,则可以将不触发系统的功能评估为错误不触发。该方法还可以包括标识至少一个接近错误不触发,其中如果所述错误度量的时间序列的一部分满足第三预定标准但不满足所述第二预定标准,则可以将不触发所述系统的功能评估为接近
错误不触发。
10.本公开的第二一般方面涉及一种用于保护系统免遭错误不触发的计算机实现的方法,该方法可以独立于根据第一一般方面(或其实施方式)的计算机实现的方法或在该方法之后执行,其中该系统包括可在临界性满足(所述)第一预定标准时被触发的功能,并且其中该系统可以包括具有至少一个子系统的子系统系统。该方法可以包括为所述系统的每个子系统接收子临界性的时间序列,其中所述临界性可以取决于所述系统的子系统的子临界性,可选地其中所述临界性取决于至少一个子临界性是否满足或在何种程度上满足相关联的第一预定子标准。该方法还可以包括为所述系统的每个子系统计算子参考的时间序列,其中所述子参考分别是与所述子系统的子临界性相比的比较子临界性。该方法还可以包括为所述系统的每个子系统至少基于所述子系统的子临界性的时间序列和所述子系统的子参考的时间序列来计算子错误度量的时间序列,其中可以产生子错误度量的向量的时间序列。如果子错误度量的时间序列的一部分满足相关联的(例如每个子系统一个)第二预定子标准,则子系统中可能存在评估错误。如果子错误度量的时间序列的一部分满足相关联的第三预定子标准但不满足相关联的第二预定子标准,则子系统中可能存在接近评估错误。该方法还可以包括为所述系统的每个子系统标识至少一个接近评估错误和/或至少一个评估错误。
11.替代地,根据本公开的第一一般方面(或其实施方式)的用于保护系统免遭错误不触发的方法可以在根据本公开的的第二一般方面(或其实施方式)的用于保护系统免遭错误不触发的计算机实现的方法之后执行。
12.本公开的第三一般方面涉及一种系统,其根据按照第一和/或第二一般方面(或其实施方式)的用于保护系统免遭错误不触发的计算机实现的方法受到保护。
13.如现有技术中所讨论的,保护系统免遭错误不触发对于系统和/或系统环境的可靠运行是重要的。错误不触发对系统和/或其环境的影响越大,这种保护就越重要。在本公开中提出的根据第一和/或第二一般方面(或其实施方式)的用于保护系统免遭错误不触发的方法可用于释放功能或系统。替代地或附加地,这些方法可以在系统(例如车辆的驾驶系统)运行期间用于诊断目的——即用于(持续)监视。在这种情况下,可以例如在控制设备中(或在控制单元中)实现用于保护系统免遭错误不触发的方法。替代地,也可以将相应的时间序列传输到云服务器并由云服务器进行评估。在这种情况下,本公开中描述的方法可以在计算机系统中实现,该计算机系统例如包括系统中的至少一个控制单元、云服务器以及用于在至少一个控制单元和所述云服务器之间进行数据通信的对应网络。
14.如同样在现有技术中已经讨论的,系统中可能很少出现不触发和/或错误不触发。特别是在安全关键系统中,特别是在驾驶系统中,例如在紧急制动助手和/或用于避免碰撞的规避助手中,系统通常仅在错误不触发很少且例如少于所使用区域内的典型事故数量的情况下才被证明是实用的。低错误不触发率(或错误不触发概率)——尽管追求它是正确的——的缺点可能在于,例如在持续运行测试中不能或几乎不能测量出错误不触发。因此,实际的错误不触发率根本不能或者只能以很大的误差/很大的不确定性外推到系统的具体运行时间,特别是在系统的开发期间。同样无法对大量这种系统(例如现场的车队)进行可靠的外推。由此使得功能和/或系统的必要释放变得更加困难。
15.在本公开中提出的用于保护系统免遭错误不触发的方法的优点可能在于:除了错
误不触发之外还可以标识和评估接近错误不触发,和/或除了子系统中的评估错误之外还可以标识和评估子系统中的接近评估错误。接近错误不触发可以表示系统已经显示出不当行为的迹象但该不当行为尚未在错误不触发中表现出来的状况。子系统中的接近评估错误同样可以表示子系统已经显示出不当行为的迹象,但该不当行为尚未在评估错误中表现出来的状况。事实上,接近错误不触发可能比错误不触发更频繁地出现。由此(由于数据量更大)可以更好和更准确地确定错误不触发率。此外,由此可以改进系统运行期间的诊断。例如,如果接近错误不触发累积,则系统的用户(例如车辆的乘员或驾驶员)可以在错误不触发可能出现并例如可能触发严重事故之前就得到通知和警告。该警告可以包括例如错误指示和/或访问服务的请求。在云服务器的情况下,例如可以将识别出的错误不触发和/或识别出的接近错误不触发传送回系统,特别是传送回驾驶系统。因此,对接近错误不触发的标识代表了对系统运行状态的分析。该分析可以有助于标识系统中的错误。
16.子系统中的评估错误可能但不一定是罕见的(至少不像错误不触发那样罕见)。系统包括的子系统越多和/或系统的子系统越不同,相应子系统的不同评估和因此评估错误的概率就越大。例如,系统可以包括至少两个子系统(例如雷达子系统和视频子系统),其中临界性可以由这些子系统的子临界性的或(veroderung)得出。在这种特别是可以在安全关键系统中使用的或融合(英语:or-fusion)中,例如仅当至少一个子系统基于相应的子临界性而决定触发时才触发系统的功能。因此,这里不太可能出现错误不触发。另一方面,完全可能出现以下配置,其中例如一个子系统决定不触发,而至少一个其他子系统决定触发。于是在这种情况下,在至少有一个子系统中存在评估错误。
17.在任何情况下,在子系统中接近评估错误可能再次比评估错误更频繁地出现。同样在计算错误不触发率时可以考虑接近评估错误和/或评估错误。由此可以进一步提高错误不触发率的准确度或置信度。在系统运行期间也可以考虑子系统中的评估错误和/或接近评估错误。例如,当子系统中的评估错误和/或接近评估错误累积时(例如,当相机传感器变脏并且相机子系统不能再分析有说服力的图像时),可以停用所述子系统。评估错误可能比错误不触发更频繁,和/或接近评估错误可能比接近错误不触发更频繁。(因此)通过考虑评估错误和/或接近评估错误,可能产生更大量的数据,在这些数据的基础上可以进行错误不触发率的计算和/或进行诊断。由此通过根据第二一般方面(或其实施方式)的方法可以改善对错误不触发的防护,并且附加地也可以在子系统的级别上改善系统理解。
18.识别接近错误不触发和/或接近评估错误的一种可能性可以基于以下事实:临界性、参考和/或错误度量的时间序列或子临界性、子参考和/或子错误度量的时间序列是(准)连续的,即例如非二进制的。由此例如可以分析和评估触发与不触发之间、正确不触发与错误不触发之间等的中间状态。
19.虽然在本公开中提出的根据第一和/或第二方面(或其实施方式)的方法可以如所描述的那样用于增加数据量,但另一方面,这些方法也可以用于缩短释放所需的持续运行测试(例如,为了在缩短持续运行测试的情况下生成与现有技术中相同数量的数据/说服力)。由此可以节省开发中的工作量和/或成本。此外可能有利的是,在不同但有时相似的项目(例如在后续应用中)的系统中比较接近错误不触发和/或接近评估错误。当系统处于早期开发阶段并且没有足够的持续运行数据时,这种比较可能特别有利。
20.如果允许的错误不触发率例如根据规范低到使得持续运行测试的长度必须在技
术和/或经济上不再有意义或有时(例如在时间紧迫的产品开发周期中)根本不再可行,则可以有利地应用所提出的根据第二方面(或其实施方式)的方法(这里例如没有所提出的根据第一方面的方法)。此外有利地,如果例如在所提出的根据第一方面(或其实施方式)的方法中已经表明错误不触发和/或接近错误不触发的数量太小以至于无法可靠地计算错误不触发率,则可以应用所提出的根据第二方面(或其实施方式)的方法。系统的开发状态越成熟,这种情况就越可能出现。如果例如在所提出的根据第一方面(或其实施方式)的方法中已经表明在错误度量中在接近错误不触发中出现分层或不均匀性,则也可以有利地应用所提出的根据第二方面(或其实施方式)的方法。例如,分层或不均匀性可能是由于状况的错误度量分布由至少两个分布(例如,系统的至少两个子系统的子误差度量)产生。例如,当观察到的接近错误不触发的错误度量分布在错误度量的集合/区间的非连续子集上(例如,在两个或更多个不相交的错误度量集群上)时,可能存在分层/不均匀性。替代地或附加地,例如当分布函数与状况的错误度量的适配不令人满意时(尽管有理由相信建模是正确的),也可能存在分层/不均匀性。例如,在融合系统(例如or融合)中可能出现分层/不均匀性。于是在根据第二方面(或其实施方式)的方法中,通常可以向类似错误度量的状况(例如,错误度量的不相交集群)分配子系统之一中的评估错误和/或接近评估错误。由此可以有针对性地优化子系统,以进一步降低错误不触发率,并由此使系统更加鲁棒。此外,可以从中导出后续应用的设计决定。
附图说明
21.图1a-c示意性地示出了根据第一方面(或其实施方式)的用于保护系统免遭错误不触发的计算机实现的方法。
22.图1d示意性地示出了根据第二方面(或其实施方式)的用于保护系统免遭错误不触发的计算机实现的方法。
23.图2a-b示出了传感器系统和/或另外的传感器系统的临界性或参考的示例性依赖关系。
24.图3图示了包括两个子系统的系统。
25.图4a-b可视化了错误度量依赖于临界性和参考的示例性函数关系。
26.图5可视化了基于错误度量的分布函数的错误不触发率的计算(外推)。
具体实施方式
27.本公开中提出的方法100、101旨在保护系统200免遭系统功能的错误不触发。如现有技术中所讨论的,错误不触发(英语:false negative)是功能的不触发,尽管例如从更明智的观察者的角度来看该功能本应当进行。因此,功能的错过触发可能是错误不触发。相对于本应当进行干预的时间点延迟的干预也可以被评估为错过的干预,因此被评估为错误不触发。在下文中,可以将错误不触发称为关键事件或关键状况。
28.首先公开了一种用于保护系统200免遭错误不触发的计算机实现的方法100,该方法可以包括接收110临界性(krit)时间序列,其中系统200可以包括可以在临界性(在临界性时间序列的时间点;或临界性时间序列的一部分,例如该时间序列的最后三个时间点)满足第一预定标准时。对时间序列的每个时间点,可以由至少两个数值(例如二进制:0和1;或
三进制:0、1和2;或具有大量数值,例如在matlab向量表示法中:[0.00:0.01:1.00])来对临界性(krit)编码。换言之:临界性可以被视为基于第一预定标准对于触发或不触发具有决定性的数值度量。高临界值可以但不一定(即根据第一预定标准)导致触发。在其功能旨在避免碰撞的驾驶系统的背景下,临界性可以例如由变量导出,如碰撞时间(英语:time to collision,tcc)、避免事故所需的成比例减速(英语:brake threat number,制动威胁数btn)和/或基于时间/距离的用于状况评估的度量。如果临界性(在临界性的时间序列的某个时间点或该时间序列的一部分)满足第一预定标准,则触发功能。相反,如果临界性不满足第一预定标准,则不触发。例如,当临界性(krit)在临界性(krit)的时间序列的一个或多个时间上连续的时间点超过第一预定阈值时,可以满足第一预定标准。对于时间序列的每个时间点,临界性(krit)可以是基于第一预定标准对于触发或不触发具有决定性的多维数值度量。换句话说,临界性(krit)的时间序列可以是多维的。该多维数值度量(时间序列的每个时间点)例如可以包括向量、矩阵和/或张量。替代地,临界性的多维时间序列可以包括一维时间序列(多维时间序列的每个分量有一个)。
[0029]
方法100还可以包括计算120参考(ref)的时间序列,其中参考(ref)可以是用于触发系统200的功能的比较临界性。对时间序列的每个时间点,也可以由至少两个数值(例如二进制:0和1;或三进制:0、1和2;或具有大量数值,例如在matlab向量表示法中:[0.00:0.01:1.00])来对参考(ref)编码。特别地,参考(ref)可以以与临界性(krit)相同的方式进行编码。这样的编码可能是有利的,因为随后可以根据相同的第一预定标准检查触发是否合理。有利的是,参考(见下文)例如在时间方面和/或通过额外的传感器系统编码了更大的系统理解。对于时间序列的每个时间点并且例如类似于临界性(krit),参考(ref)可以是多维数值度量。换句话说,参考(ref)的时间序列可以是多维的。多维数值度量(对于时间序列的每个时间点)例如可以包括向量、矩阵和/或张量。替代地,参考的多维时间序列可以包括一维时间序列(多维时间序列的每个分量有一个)。
[0030]
方法100还可以包括至少基于临界性(krit)的时间序列和参考(ref)的时间序列计算130错误度量(tpi)(也称为整个系统tpi)的时间序列,其中如果错误度量(tpi)的时间序列的一部分(例如,时间序列的最后一个时间点或最后三个时间点)满足第二预定标准,则可以将不触发系统200的功能评估为错误不触发。错误度量(英文:technical performance indicator(技术性能指标),tpi)也可以替代地称为评估度量。例如,当错误度量(tpi)在错误度量(tpi)的时间序列的一个或多个时间上连续的时间点超过第二预定阈值(也称为错误阈值,)时,可以满足第二预定标准。替代地或附加地,如果错误度量(tpi)的时间序列具有局部极值(例如,在另外的第二阈值之上的最大值),则可以满足第二预定标准。对时间序列的每个时间点,也可以由至少两个数值(例如二进制:0和1;或三进制:0、1和2;或具有大量数值,例如在matlab向量表示法中:[0.00:0.01:1.00])来对错误度量(tpi)编码。
[0031]
从临界性(krit)和参考(ref)计算的错误度量(tpi)可以被看作关于系统潜在故障的统计可评估信息。换言之,这两个变量(krit,ref)在此可以使用智能规则逻辑关联为错误度量(tpi),所述错误度量例如在具有相应阈值的第一、第二和第三预定标准的示例中至少可以满足以下条件:-如果系统不存在错误,则tpi可以很小或对应于所选择的标准值(例如tpi=0)。例
如,在系统(例如aeb系统)中,krit≥ref的情况将是非关键的,并且如果应当只评估错误不触发而不评估错误触发,则将会映射为tpi=0。krit≥ref可能意味着系统对状况的评估比客观合理的情况更严格。因此,这种情况往往会导致进行触发(例如在aeb中:会触发紧急制动),尽管该触发并不合理。
[0032]-在krit恒定且ref增加的情况下,tpi可能增加,随着ref的降低,tpi可能降低。
[0033]-在ref恒定和krit增加的情况下,tpi可能降低,随着krit的降低,tpi可能增加。
[0034]-如果tpi超过第二预定阈值,则可能涉及错误的系统响应(即,涉及错误不触发)。
[0035]
原则上,这些条件可以由大量函数来满足。因此,可以选择合适的函数,其例如可以使用合适的参数来确保反映当前状况下临界性的部分主观的错误性。例如考虑aeb系统,其在krit值大于第一预定阈值(例如0.9或1)的情况下启动紧急制动。然后例如必须回答以下问题:将哪个tpi值分配给临界性为0.4和参考为0.6的状况,以及临界性为0.7和参考为0.9的另一个状况是否应当获得相同值。在这两种情况下,krit和ref之间的差异虽然是相同的,但在第二种状况下,一方面由于krit值较高,系统更接近于触发,另一方面由于ref值相对较高该触发大部分也可能是合理的。
[0036]
作为示例,如下地计算130错误度量(tpi)的时间序列:其中
ϑ
是错误度量,p1、p2、p3可以是预定参数。这种函数关系示例性地针对p1=0.6、p2=0.4、p3=0.8在图4b中可视化(其中~0处的阴影与在图例中一样必须更暗)。图4a示出了不同的一种函数关系(例如,对于反转的tpi,对于不同的第二和第三预定标准)。
[0037]
方法100还可以包括标识140至少一个接近错误不触发(也称为子临界事件或子临界状况),其中如果错误度量(tpi)的时间序列的一部分(例如,时间序列的最后一个时间点或时间序列的最后三个时间点)满足第三预定标准但不满足第二预定标准,则可以将不触发系统200的功能评估为接近错误不触发。例如,如果错误度量(tpi)在错误度量(tpi)的时间序列的一个或多个时间上连续的时间点超过第三预定阈值(也称为接近错误阈值)并且例如不超过第二预定阈值(错误阈值),则可以满足第三预定标准。替代地或附加地,如果错误度量(tpi)的时间序列具有局部极值(例如,在另外的第三阈值之上的最大值),则可以满足第三预定标准。
[0038]
术语“接近错误不触发”可以理解为“接近”涉及整体上的“错误不触发”。接近错误不触发可以特别是(并且根据定义是)不触发。
[0039]
图1a-c中示意性地示出了根据第一方面(或其实施方式)的用于保护系统免遭错误不触发的计算机实现的方法100。与所示的不同,例如步骤110和120可以以任何顺序执行,这里可选的步骤111和121也可以以任何顺序执行。
[0040]
临界性(krit)的时间序列可以是(准)连续的。替代地或附加地,参考(ref)的时间序列可以是(准)连续的。替代地或附加地,错误度量(tpi)的时间序列可以是(准)连续的。如果值(即这里:krit、ref和/或tpi)可以位于连续统(kontinuum)中,例如在实数区间(例如[0,1])中,则时间序列可以是连续的。替代地,连续统或者更准确地说是准连续统也可以由实数区间中足够多的离散值给出。例如,matlab向量表示法中的数值[0.00:0.01:1.00]可以看作是(准)连续统。典型地,在时间序列中还例如以等距(例如100hz时钟)或非等距的
时间间隔给出时间上的进一步连续性。此外,在一些系统中,(准)连续临界性(krit)可以用于设定系统功能的触发强度,即触发强度(例如aeb系统中的制动强度)有时可以取决于(准)连续临界性(krit)在干预决定的时间点的部分(例如,取决于时间序列的最后一个时间点或时间序列的最后三个时间点)。例如,临界性越大,可以选择的制动强度就越大。
[0041]
至少一个接近错误不触发可以用于系统200运行期间的诊断。由此可以影响系统的控制和/或可以通知和/或警告系统的用户。系统200可以是驾驶系统,可选地是车辆的驾驶系统。驾驶系统可以是驾驶员辅助系统(fas,例如aeb)或自动驾驶系统,特别是高度自动驾驶系统(haf)。特别是在安全关键和/或检测环境的系统(例如,用于避免碰撞)中,通过所述诊断可以提高系统、其用户和/或系统环境的安全性。
[0042]
替代地,系统200可以是不一定是驾驶系统的系统。这样的系统例如可以是警报系统,其功能包括触发警报。该系统也可以是安全关键的和/或检测环境的(通过至少一个传感器系统)。
[0043]
如图1a-b中所示,方法100还可以包括至少基于至少一个接近错误不触发对错误度量的(单变量)分布函数或对错误度量的(单变量)密度函数的函数关系建模150。例如,参数(单变量)分布函数的参数可以与至少一个接近错误不触发和/或实际上与多个接近错误不触发适配。图5示出了这种建模的示例,其中垂直条表示接近错误不触发的(相对)频率,并且已对(连续、单变量)分布函数进行了适配。图5示出了该分布函数的密度函数。
[0044]
此外如图1a-b中所示,方法100可以包括基于在(通用)错误度量(tpi)集合上的错误度量的分布函数计算160错误不触发率,在该错误度量集合上满足第二预定标准。换句话说,可以在关键事件的集合上评估错误度量的分布函数。例如,如图5中所示,错误度量(tpi)的该集合可以由高于第二预定阈值(即,高于错误阈值
ϑ0)的所有错误度量来定义。例如,可以将错误不触发率用于将系统与其他可能已经释放和/或成功测试的系统的错误不触发率进行比较。对分布函数的函数关系建模150和在关键事件的集合上进行评估的组合可以称为外推,因为不必测量错误不触发并且仍然可以对错误不触发的概率做出说明。如果错误度量(tpi)的时间序列是(准)连续的,则外推特别有说服力。
[0045]
函数关系可以是可参数化的统计模型,可选地是来自极值理论的可参数化统计模型。为了选择错误度量的分布函数的函数关系,即统计模型,起决定作用的可能是关键事件以及子临界事件在系统中都很少出现并且这两种类型的事件都可以例如通过变量(这里为tpi)的特别大/小的值或极值和/或tpi的局部极值来描述,例如通过超过/低于相应的合适的高/低阈值。在这种情况下,可以将来自极值理论的一系列一般性的、非特定于系统的统计模型用于外推。一般来说,用于描述系统错误分布的统计模型(例如概率分布)可能是特定于系统的,因此不可一般化。然而,由于这里的目标具体地说是对出现特别少的错误事件进行外推,因此只有那些足够接近临界阈值并且因此也仅以非常低的概率假设(子临界事件)的错误度量区间可能是相关的。在这些前提条件下,可以使用罕见事件的一般统计特性来代替特定于系统的模型。特别地,在足够大的记录区间(块最大值)内的错误度量最大值或超过选择得足够高的阈值(峰值超过阈值)可以通过所谓的极值模型来描述,例如通过所谓的极值分布或广义帕累托(pareto)分布。外推的有效性与假设的错误度量统计模型的有效性相关。如果标识了匹配的模型,则可以基于所测量的错误度量(tpi)的变化过程将相关联的模型参数与系统相适配。于是经过适配的模型描述了错误度量超过预给定值的概率。
外推包括借助于该模型可以创建关于关键错误(例如在超过第二预定阈值/错误阈值
ϑ0的情况下)出现得有多频繁的预测,尽管在获得的持续运行数据中不一定存在这种错误。
[0046]
如图1a-b中所示,方法100还可以包括检查170错误不触发率(和/或错误不触发率的置信区间的上限)是否满足第四预定标准。该方法还可以包括如果错误不触发率满足第四预定标准则释放180系统200的功能,可选地其中如果错误不触发率(和/或错误不触发率的置信区间)小于预定允许率则满足第四预定标准。因此,方法100提供了可量化的释放标准,该释放标准可用于系统的开发(例如在haf的情况下)和/或用于系统的运行(例如在具有驾驶员辅助系统的车辆中)。
[0047]
方法100还可以包括接收系统200的数据时间记录(例如,车辆数据时间记录),可选地其中数据时间记录包括基于借助于系统200的传感器系统210进行的测量的至少一个数据时间序列。如图2a中示意性所示,接收110临界性(krit)的时间序列可以包括从数据时间记录接收临界性(krit)的时间序列。例如,在驾驶系统的情况下,可以通过该驾驶系统的至少一个(can)接口接收临界性(krit)的时间序列。一般来说,数据时间记录可以是系统的一个或多个持续运行测试的数据时间记录,其中所述系统可以被激活和/或停用。数据时间记录也可以在运行中实时获得和处理,或者在过去的时间点已获得过。当临界性正好与在系统运行中负责触发决定和/或不触发决定的临界性对应时,从数据时间记录接收临界性(krit)的时间序列是有利的。由此可以确保系统的实际功能得到验证。
[0048]
替代地或附加地,接收110临界性(krit)的时间序列可以包括基于数据时间记录计算临界性(krit)的时间序列。在此情况下,临界性(krit)在时间序列的每个时间点可以取决于数据时间记录在同一时间点的数据。替代或附加地,临界性(krit)在时间序列的每个时间点可以取决于数据时间记录在至少一个先前时间点的数据。换句话说,在这种情况下,临界性可能仅取决于现在(例如,最后一个时间点)和/或过去。
[0049]
如图2a中示意性所示,计算120参考(ref)的时间序列也可以基于数据时间记录。参考(ref)可以在时间序列的每个时间点取决于数据时间记录在同一时间点的数据。替代或附加地,参考(ref)在时间序列的每个时间点可以取决于数据时间记录在至少一个先前时间点的数据。替代或附加地,参考(ref)在时间序列的每个时间点可以取决于数据时间记录在至少一个后续时间点的数据。换句话说:在这种情况下,参考可以取决于现在、过去和/或未来。通过参考可以特别是取决于未来的至少一个数据点,只能时间延迟地(即不是在干预决定的时间点)计算参考。另一方面,参考可以由此比临界性更好地评估事件/状况,因为参考可以考虑事件/状况如何发展。因此,参考可以表示比临界性更有说服力的比较临界性,并对应于更明智的观察者的观点。在许多情况下,几秒的时间延迟(例如《1s、《2s、《5s、《10s、《30s、《60s)就足以最终评估事件/状况。这样的时间延迟仍然可以被证明在诊断中(特别是为了通知和/或警告的目的)以及在系统的运行中都是自然的。替代地,与图2a中所示的不同,方法步骤110、120、130也可以在系统200内执行。
[0050]
如图2b中示意性所示,方法100还可以包括接收另外的数据时间记录,可选地其中所述另外的数据时间记录包括至少一个另外的数据时间序列,其基于借助于另外的传感器系统310进行的另外的测量。所述另外的传感器系统可以但不必是系统的一部分。所述另外的传感器系统例如可以是用于在持续运行中测试的系统的特殊系统。所述另外的传感器系统可以有助于使参考对应于更明智的观察者的角度。替代地,与图2b中所示的不同,方法步
骤110、120、130也可以在系统200内执行。
[0051]
方法100还可以包括由数据时间记录和/或另外的数据时间记录形成总数据时间记录。计算120参考(ref)的时间序列可以基于总数据时间记录(即基于车辆数据时间记录和/或另外的车辆数据时间记录)。参考(ref)可以在时间序列的每个时间点取决于总数据时间记录在同一时间点的数据。替代或附加地,在时间序列的每个时间点的参考(ref)可以取决于总数据时间记录在至少一个先前时间点的数据。替代或附加地,在时间序列的每个时间点的参考(ref)可以取决于总数据时间记录在至少一个后续时间点的数据。由于参考例如与临界性相反地可以替代地或附加地取决于另外的传感器系统,因此参考可以比临界性更好地评估事件/状况,因此成为比临界性更有说服力的比较临界性。特别地,已经证明可以自动计算参考是有利的。由此,即使是长时间的持续运行测试也可以得到有效的评估和在错误不触发率方面得到分析。
[0052]
在不需要环境传感器数据的aeb系统的示例性实施方式中,可以使用关于车辆未来的实际行为的信息(例如,通过车辆状态传感器),以分别回顾性地评估临界性的估计(以及因此触发/不触发)是否正确。虽然例如在真实持续运行测试的后期模拟情况下该功能不是(真正)激活的并且因此无法干预,但这里仍然可以分析系统本应做什么。假设系统基于0.4(在从0到1的临界性刻度上)的临界性决定现在(例如在时间点t=0)根据0.4的临界性进行干预/触发(例如以40%制动压力进行制动)以避免事故——例如因为系统相信它已经识别出前面行驶的车辆在前面稍微刹车并且必须做出反应,可以分析驾驶员是否在例如t=0至大约t=3s的时间段内实际上执行了类似强度的制动机动(例如,对应于0.4的临界值)。然后可以在时间点t=0的参考(参考a)中考虑该信息。
[0053]-如果驾驶员例如在该时间段内完全没有做出反应,则40%的临界性可能被认为是不合适的,因此被认为是错误的。然后可以将时间点t=0(或在以后的时间点)的参考值a例如设置为0。这里,可以为时间点t=0的tpi例如计算/定义为0.4的值。
[0054]-另一方面,如果驾驶员例如反应非常强烈,例如执行紧急制动,则可以将临界性评估为过低,或者例如可以证明驾驶员反应过度。在这两种情况下,都不存在过高的临界性。然后可以将时间点t=0(或在以后的时间点)的参考值a例如设置为1。可以为时间点t=0的tpi例如计算/定义为0的值。
[0055]
例如,在任何时间点(例如t=0),参考a可以确定如下:-对于未来的时间,例如t=(0.1,0.2,...,3.0),例如以秒为单位,可以计算从时间点0到时间点t的速度降低。
[0056]-在现有制动模型的基础上(在考虑等待时间、最大加加速度(ruck)等的情况下),可以计算系统将输出哪个临界值,以便能够从0到t执行这样的速度降低。由此可以在t=(0.1,0.2,...,3.0)中的任何时间点计算出参考候选。
[0057]-然后,例如可以将时间点t=0的参考a的参考值计算为时间点t=(0.1,0.2,...,3.0)的所有参考候选的最大值。这样的过程可能是有利的,因为这里考虑到驾驶员可能迟早做出反应并为此以更少或更大的力行动。还可以检查驾驶员是否也做出了非纵向(即横向)反应,其方式是驾驶员例如转向另一条行驶道路。为此,可以检查驾驶员是否从t=0到t=(0.1,0.2,...,3.0)进行了横向运动。如有必要,必须例如基于来自(车辆)数据时间记录的转向角变化过程来考虑额外的转弯。
[0058]
关于对可能的错误不触发的分析,在本示例中计算的参考(参考a)可以具有空缺,但是可以通过附加参考(参考b)来填补所述空缺。然而,在上面的临界性将40%的干预评估为必要的示例中,驾驶员可能会做出超出必要的反应。这里于是参考a给出的值高于客观需要的值。如果现在用这个值来评估临界性,则该功能将被错误地指责为预测了太低的临界性。在另一个该功能可以/应当只对车辆做出反应的示例中,例如由于行人或速度陷阱,驾驶员可能会急刹车。因此,参考a获得高值,而临界性实际上合理地应当为0(因为临界性不应当/不能对这些对象做出反应)。在这种情况下可能有助的是,将另外的数据(在“第二意见”的意义上)引入分析中,以便能够检查驾驶员的实际机动是否应当与系统的功能相关。为此,可以使用另外的传感器系统310(其例如不必在串联系统中使用,并且例如仅在关于释放系统的持续运行测试中使用),所述另外的传感器系统比在系统中按照标准使用的传感器系统210更费事和/或可以检测另外的数据(例如,用于不同视角的另外的相机系统)。因此可以更可靠地评估所述机动并且可以计算更可靠的参考(参考b)。由此于是例如可能触发驾驶员的过度反应。由于参考b可能比临界性更准确,因此可以将参考b与临界性进行比较并且计算错误度量。附加传感器系统或由此得到的参考传感器图像也可以用于另外的计算,以例如通过所谓的反向跟踪来丰富数据。
[0059]
可能会产生以下过程:-如果驾驶员没有反应,即如果参考a等于0,则由此可以将整个参考设置为0。因此,可以将所述机动评估为没有必要。
[0060]-如果驾驶员做出反应,则可以确定反应类型(例如规避/制动或组合)。然后可以针对特定类型的反应评估参考a和参考b的值。
[0061]-从而可以通过参考a和参考b的比较来确定参考值。为了识别过度反应而不是错误地评估过度反应,可以选择最小值。但是,这里也可以考虑其他运算(例如求平均)。
[0062]
参考b可以是以下参考(ref),其时间序列在用于保护系统免遭错误不触发的计算机实现的方法100的步骤120中予以计算。替代地,计算(120)参考(ref)的时间序列可以包括从参考a和参考b中计算参考。
[0063]
计算130错误度量(tpi)的时间序列可以包括按照以下方式计算错误度量的时间序列,即,使得在时间序列的至少一个时间点的错误度量(tpi)取决于临界性(krit)和参考(ref)的时间序列的不同时间点。
[0064]
计算130错误度量(tpi)的时间序列还可以基于数据时间记录和/或总数据时间记录的数据。
[0065]
由此可以考虑可能导致krit和ref差异的时间效应。例如,如果在aeb的情况下系统识别出状况中的某种临界性,但驾驶员稍晚(但更强烈)才将该状况降级,则先前的krit不是太高,而是合理的。这意味着必要时需要按时间分配krit和ref值,以便尽可能关联相同的底层事件。这种分配例如可以通过分别分析临界值周围的时间窗口来进行。
[0066]
方法100还可以包括识别至少一个错误不触发,可选地其中对错误度量的分布函数或对错误度量的(单变量)密度函数的函数关系的建模150仍然基于关于至少一个错误不触发地进行。如果错误不触发尽管很罕见仍然出现,则可以有利地将它们用于计算错误不触发。
[0067]
还公开了一种(根据第二方面的)用于保护系统免遭错误不触发的计算机实现的
方法100、101,其中该系统包括当临界性满足于第一预定标准时被触发的功能,并且其中系统200包括具有至少一个子系统220的子系统220、221的系统。例如,系统200可以包括1个子系统(例如,于是所述一个子系统可以是所述系统)、多于1个、多于2个、多于3个、多于4个、多于5个、多于10个或多于20个子系统。方法100、101可以包括针对系统200的每个子系统220、221接收111子临界性(krit1,krit2)的时间序列,其中临界性(krit)可以取决于系统200的子系统220、221的子临界性(krit1,krit2)。临界性(krit)可以取决于至少一个子临界性(krit1、krit2)是否满足或在何种程度上满足相关联的(对于每个子系统)第一预定子标准。替代地,临界性(krit)可以取决于所有子临界性(krit1、krit2)是否分别满足或在何种程度上分别满足相关联的第一预定子标准。例如,临界性(krit)可以取决于至少两个子临界性(krit1、krit2、krit3)是否分别满足或在何种程度上分别满足相关联的(对于每个子系统)预定第一子标准(“3选2融合”)。此外,例如临界性(krit)可以取决于至少m个子临界性(krit1,krit2,...,kritn)是否分别或在何种程度上分别满足相关联的(对于每个子系统)预定第一子标准(“n选m融合"),其中m小于或等于n。此外,例如临界性(krit)可以取决于所有子临界性的组合或子临界性的子集是否或在多大程度上满足预定的(共同的)第一子标准。示例可以是所有子临界的乘积,最大或最小m个子临界的乘积等。特别地,于是一个或多个子临界满足相关联的(对于每个子系统)预定第一子标准不是绝对必要的。
[0068]
子临界性的时间序列可以与临界性的时间序列一样是(准)连续的和/或具有相同的(可能的)值范围。此外,在(每个)子系统中,子临界性的时间序列可以是多维的(例如向量、矩阵或张量)。例如,临界性可以由子临界性的乘积产生:krit=krit1
×
krit2
×⋯
其中在至少一个(准)连续子临界性的情况下可能产生(准)连续的临界性。替代地,临界性可以由例如子临界性的联合(与融合,英语:and-fusion)产生:krit=krit1&krit2&
⋯
其中导致离散(和二进制的)临界性。在替代的联合(与融合)中,临界性可以例如由krit=min(krit1,krit2,
⋯
)产生,其中可能导致(准)连续的临界性。替代地,临界性可以由例如子临界性的或(或融合)产生:krit=krit1|krit2|
⋯
其中导致离散(和二进制的)临界性。在替代的或(或融合)中,临界性可以例如由产生,其中可能导致(准)连续的临界性。
[0069]
此外,还可能出现例如“混合形式”,其中例如临界性(krit)在其值范围的一部分上是(准)连续的,而在另一部分上是离散的。另一方面,整个值范围也可以是离散的。子临界性和/或子错误度量(见下文)也可以分别具有这样的“混合形式”。此外,根据第一一般方面(或其实施方式)的方法100中的临界性(krit)、参考(ref)和/或错误度量(tpi)也可以分别具有这样的“混合形式”。
[0070]
方法100、101还可以包括对系统200的每个子系统220、221计算121子参考(ref1、ref2)的时间序列,其中子参考可以分别是与子系统220、221的子临界性(krit1、krit2)的
比较子临界性。子参考的时间序列可以与参考的时间序列一样是(准)连续的和/或具有相同的(可能的)值范围。此外,在(每个)子系统中子参考的时间序列可以是多维的(例如向量、矩阵或张量)。事实上,子参考(ref1,ref2)的至少一个时间序列(或子参考的所有时间序列)可以是参考(ref)的时间序列。特别是如果每个子系统基于其子临界性做出相同的触发决定或不触发决定(例如在与融合中),则可能会出现这种情况。
[0071]
方法100、101还可以包括对系统200的每个子系统220、221至少基于该子系统220、221的子临界性(krit1、krit2)的时间序列和该子系统220、221的子参考(ref1、ref2)的时间序列计算131子错误度量(tpi1、tpi2)的时间序列,其中(从该子系统的子错误度量的时间序列中)可以产生子错误度量的向量的时间序列。换言之,子错误度量的向量的每个分量可以包括子系统的子错误度量(也称为子系统tpi)。子错误度量的向量可以称为整个系统tpi。与错误度量的时间序列一样,子错误度量的时间序列可以是(准)连续的和/或具有相同的(可能的)值范围。
[0072]
(根据第二方面的)方法100、101可以独立于(根据第一方面的)方法100执行。替代地,也可以附加地、特别是在(根据第一方面的)方法100之后执行。图1d中示意性地示出了用于保护系统免遭错误不触发的计算机实现的方法100、101的示例性实施方式。图3示意性地示出了具有两个子系统220、221的系统200。如果(根据第二方面的)方法100、101独立于(根据第一方面的)方法100执行,则如图1d所示,方法100、101可以包括接收110临界性(krit)的时间序列,其中系统200包括当临界性满足第一预定标准时被触发的功能。接收110临界性(krit)的时间序列可以包括对系统的每个子系统从子临界性的时间序列中计算临界性(krit)的时间序列。
[0073]
在由子错误度量的向量所跨越的向量空间中,可以定义对应于错误不触发的临界子集。换句话说,这里可以将错误不触发分解到子系统级别。特别是在或融合的情况下,临界子集可以是第一笛卡尔乘积,例如其中
ϑ
1,0
、
ϑ
2,0
分别表示第一子系统和第二子系统中的子错误阈值。特别是在与融合的情况下,临界子集可以是第一笛卡尔乘积的补集,例如其中
ϑ
1,0
、
ϑ
2,0
分别表示第一子系统和第二子系统中的子错误阈值。
[0074]
此外,可以在由向量子错误度量跨越的向量空间中定义子临界子集,使得子临界子集的每个元素不是临界子集的元素,而是根据预定的距离标准(例如,基于欧几里得距离)分别接近临界子集的至少一个元素。替代地或附加地,可以通过以下方式定义子临界子集,即该子临界子集对应于分解到子系统级别的接近错误不触发。替代地或附加地,子临界子集可以定义为与第二笛卡尔乘积的补集与临界子集的差,其中例如和 。例如,这可以对应于至少一个子系统具有接近评估错误(参见相关联的第三预定子标准)并且同时没有子系统具有评估错误(参见相关联的第二预定子标准)的情况。子临界子集也可以与融合的类型无关。在这方面,这里描述的子临界子集不一定对应于或融合。
[0075]
替代地或附加地,临界子集和子临界子集的并集可以是第二笛卡尔乘积其中例如和 。
[0076]
替代地或附加地,临界子集和子临界子集的并集可以是第二笛卡尔乘积的补集[-。
[0077]
在此,例如至少一个子系统可能具有接近评估错误(参见相关联的第三预定子标准)。
[0078]
如果子错误度量(tpi1、tpi2)的时间序列的一部分满足相关联的第二预定子标准,则子系统220、221中可能存在评估错误。相应的第二预定子标准可以由第一笛卡尔乘积的边界超曲面得出(例如
ϑ1≥
ϑ
1,0
,其中例如
ϑ1是第一个子系统中的子错误度量(tpi))。换言之,如果子错误度量超过相关联的第二预定子阈值(, ),则可以例如针对每个子系统满足相关联的第二预定子标准。替代地或附加地,如果子错误度量(tpi)的相关联时间序列具有局部极值(例如,在另外的相关联第二子阈值之上的最大值),则可以在子系统中满足第二预定子标准。
[0079]
此外,如果子错误度量(tpi1、tpi2)的时间序列的一部分(例如时间序列的最后一个时间点或时间序列的最后三个时间点)满足相关联的第三预定子标准,但不满足相关联的第二预定子标准,则子系统220、221中可能存在接近评估错误。相应的第三预定子标准可以由第一和第二笛卡尔乘积的差的边界超曲面得出(例如,)。换言之,如果子错误度量超过相关联的第三预定子阈值(, ) 但没有超过相关联的第二子阈值(, ),则例如对于每个子系统可以满足相关联的第三预定子标准。替代地或附加地,如果子错误度量(tpi)的相关联时间序列具有局部极值(例如,在另外的相关联第三子阈值之上的最大值),则可以在子系统中满足第三预定子标准。
[0080]
方法100、101还可以包括对系统200的每个子系统220、221标识141至少一个接近评估错误。替代地或附加地,方法100、101可以包括对系统200的每个子系统220、221标识141至少一个评估错误。如前所述,子系统中的评估错误不一定像错误不触发那样罕见。
[0081]
子系统220、221的至少一个接近评估错误(或另外的)可以用于系统200运行期间的诊断,特别是系统200的子系统220、221运行期间的诊断。替代地或附加地,子系统220、221的至少一个评估错误(或另外的)可以用于系统200运行期间的诊断,特别是系统200的子系统220、221运行期间的诊断。由此诊断可以在子系统级别上进行。如有必要,例如可以停用子系统。
[0082]
方法100、101还可以包括:为系统200的每个子系统220、221,基于子系统220、221中的至少一个接近评估错误和/或至少一个评估错误对该子系统220、221的子错误度量(tpi1、tpi2)的(单变量)分布函数(即,子错误度量的向量的每个分量)或该子系统的子错误度量的(单变量)密度函数的函数关系建模151 。例如,对于每个子系统,将参数化的(单变量)分布函数的参数与至少一个接近评估错误适配和/或实际上与多个接近评估错误适配。在参数的这种适配中,替代或附加地可以考虑子系统中的至少一个评估错误和/或必要时多个评估错误。与对错误度量的分布函数(或密度函数)的函数关系建模150一样,子系统
的子错误度量的(单变量)分布函数(或密度函数)的函数关系可以是可参数化统计模型,可选的是来自极值理论的可参数化统计模型。
[0083]
方法100、101还可以包括基于每个子系统220、221的子错误度量的分布函数来标识153需要优化的至少一个子系统220、221。
[0084]
方法100、101还可以包括基于系统200的子系统220、221的分布函数计算152子错误度量向量的(多变量)分布函数的函数关系。计算152子错误度量向量的(多变量)分布函数的函数关系可以根据sklar定理来进行。在此,在温和的前提条件下可以产生子错误度量向量的明确多变量分布函数(例如通过copula)。替代地,无需事先计算每个子系统的(单变量)分布函数就可以计算子错误度量向量的(多变量)分布函数。
[0085]
以下解释可以涉及计算152子错误度量向量的(多变量)分布函数的函数关系:具体来说,目标是在连续尺度上为向量值错误度量的统计外推形成模型(与现有技术对错误不触发的离散计数相反),并且作为(根据第一方面的)计算机实现的方法100的扩展或替代。在此,每个子系统可以例如在融合系统中由整个系统tpi中的一个分量代表,并且每个向量分量可以自己形成相关联子系统的一维错误度量(子系统tpi)。此外,每个子系统tpi可以被定义为,使得超过特定的、已知的(必要时单独的)阈值对应于在该子系统中出现评估错误。在这里考虑的情况下,在各个子系统中例如很少发生评估错误,从而有时无法在收集的数据中观察到子系统中的评估错误。(在数据中完全可以看到子系统级别的评估错误。但是,不期望出现错误不触发。)不一定会期望子系统中出现评估错误;但如果评估错误出现,则预期评估错误在现有的数据材料中并没有以错误不触发表现出来。因此,如在迄今为止的方法100(根据第一方面)的统计推断中一样,也可以为各个子错误度量的统计描述假设极值模型。(也可以考虑一些子系统更频繁地提供错误事件并且对此不需要外推的情况——例如,通过将多个子系统组合成很少有错误的“虚拟”子系统,或者例如通过首先如下面所述对其余子系统建模,然后将具有更频繁错误的子系统集成到整体论证中,例如作为整体模型中的附加维度。)然而,由此不一定能够推断出作为整体的融合系统的错误不触发概率(或错误不触发率)。
[0086]
在上述或融合示例中,例如对于aeb,可能的是:雷达子系统和视频子系统单独很少做出不合理的不触发决定,以至于不可能在记录的数据中观察到这样的子系统错误(即子系统中的评估错误)。然而,仍然可能预期两个子系统都具有一定数量的接近评估错误——即一个子系统错误地未能为触发做准备,所述接近评估错误可以用于外推。虽然可以如在迄今为止的方法(根据第一方面或其实施方式)中那样通过单独的一维外推来分别估计雷达子系统或视频子系统本身的评估错误频率。然而,由此并没有获得关于两个子系统同时出现错误的频率的说明,并且只有在这种情况下,在该融合系统中才会出现错误不触发。此外,为了能够推断出整个系统的错误不触发率,各个子错误度量之间的随机依赖关系(通常由所谓的copulas表示)也被吸收到建模中——重点是极限范围。例如,这可以是其中(至少一个)子系统具有(接近)评估错误的范围。基于数理统计极限值定理,可以在弱前提条件下推导出极值范围内随机向量内的渐近依赖结构。由此,可以近似地确定多变量极值分布(类似于迄今为止的方法100中的一维块最大值法)、多变量广义帕累托分布(类似于迄今为止的方法100中的一维峰值超过阈值法)或者在这种分布的所谓的吸引力区域(domain of attraction)中的分布。所有这些分布的共同点是,随机依赖关系可以由一个
中心模型组件表示或近似,根据来源,该中心模型组件具有各种等价的表示形式,这些表示形式以例如“d范数”、“稳定尾依赖函数”、“pickands依赖函数”、“最大稳定copula”、“极值copula”、“广义帕累托copula”、“指数测度”、“光谱测度”、“角度测度”和“(多变量)正则变化函数”的概念已知。这种类型的模型可以用于描述向量值整个系统tpi在极值范围中的依赖结构。
[0087]
因此,整个系统tpi的随机整体模型包括各个子系统tpi的一维外推模型(类似于迄今为止的方法100)和/或依赖模型(与(根据第一方面或其实施方式的)迄今为止的方法相比的明显扩展),所述依赖模型描述了各个子系统之间的(随机)交互并且特别适应于分布的极值范围。该整体模型可以适配于现有数据集(例如适配于子临界事件)并用于从子临界子集外推到临界子集(例如在步骤161中)。
[0088]
方法100、101还可以包括基于子错误度量向量在临界子集上的分布函数计算161另外的错误不触发率(即,另外的错误不触发率估计器)。可以以与根据方法100(根据第一方面)的错误不触发率相同的方式使用所述另外的错误不触发率,例如用于与其他系统进行比较。
[0089]
与在(根据第一方面的)方法100中一样,方法100、101还可以包括检查171所述另外的错误不触发率是否满足另外的第四预定标准。方法100、101还可以包括:如果所述另外的错误不触发率(和/或所述另外的错误不触发率的置信区间的上限)满足所述另外的第四预定标准,则释放181系统200的功能,可选地其中如果所述另外的错误不触发率(和/或所述另外的错误不触发率的置信区间的上限)小于另外的预定允许率,则满足所述另外的第四预定标准。所述另外的预定允许率可以是所述预定允许率。
[0090]
例如,可以逐步估计或整体估计所述整体模型(通过其各个组成部分)。即使将整体模型视为单元,所描述的方面一般也至少隐含地存在。替代地,子错误度量的各个分布函数或copula可以由其他模型来描述,这些模型不一定来自极值理论的背景。
[0091]
在方法100、101的替代实施方式中,如果子错误度量向量的时间序列的一部分(即整个系统tpi)满足第二预定标准,则可能存在错误不触发,可选地其中第二预定标准由可以由第一笛卡尔乘积的边界超曲面得出。换言之,第二预定标准例如是子错误度量向量的时间序列的一部分位于临界子集中(例如在第一笛卡尔乘积中)。如果子错误度量向量的时间序列的一部分(即,整个系统tpi)满足第三预定标准但不满足所述第二预定标准,则可能存在接近错误不触发,可选地其中所述第三预定标准可以由与第一笛卡尔乘积和第二个笛卡尔乘积的差异的边界超曲面得出。换言之,所述第三预定标准例如是子错误度量向量的时间序列的一部分位于子临界子集中。
[0092]
方法100、101还可以包括至少基于至少一个接近错误不触发来计算子错误度量向量的(多变量)分布函数的函数关系。替代地或附加地,计算(多变量)分布函数的函数关系可以基于至少一个错误不触发(如果有的话)。替代地或附加地,计算(多变量)分布函数的函数关系可以基于子系统中的至少一个评估错误(如果有的话)。替代地或附加地,计算(多变量)分布函数的函数关系可以基于子系统中的至少一个接近评估错误(如果有的话)。换言之,于是这里例如不必对系统的每个子系统计算子错误度量的单变量分布。另一方面,系统的每个子系统的误差子度量的单变量分布可以从多变量分布函数中计算出来(如果需要)。
[0093]
还公开了一种系统200,该系统根据用于保护系统200免遭错误不触发的计算机实现的方法100(根据第一方面或其实施方式)和/或计算机实现的方法100、101(根据第二方面)来得到保护。例如,可以在开发时在释放的范围中进行该保护。替代或附加地,可以在系统运行期间通过诊断进行所述保护。
[0094]
公开了至少一个计算机程序,其被设计为执行用于保护系统200免遭错误触发的计算机实现的方法100(根据第一方面或其实施方式)或计算机实现的方法100、101(根据第二方面)。所述计算机程序例如可以以可解释的形式或编译形式存在。所述计算机程序可以例如作为位序列或字节序列加载到控制设备或计算机的ram中以用于执行。
[0095]
还公开了一种存储和/或包含所述计算机程序的计算机可读介质或信号。所述介质例如可以包括其中存储所述信号的ram、rom、eprom、...之一。
[0096]
还公开了一种被设计为执行所述计算机程序的计算机系统。特别地,所述计算机系统可以包括至少一个处理器和至少一个工作存储器。此外,所述计算机系统可以包括存储器。
[0097]
用于保护系统200免遭错误不触发的计算机实现的方法100(根据第一方面或其实施方式)或计算机实现的方法100、101(根据第二方面)可以包括一个或多个用户输入算法,其中一个或多个用户输入算法(分别)被设计为从用户请求和/或接收用户输入(例如,通过控制设备或计算机的用户接口)。通过用户输入可以对所述方法进行适配(与硬编码参数相反)。由此可以改进所述保护。用户输入例如可以涉及统计模型与数据的适配:例如通常根据特定标准选择开始拦截子临界事件的阈值,使得尽可能好地满足模型假设。对于不需要阈值的方法可以类似地进行;在这些方法中一般决定有多少来自极值范围的数据进入模型适配中。另一方面可以想到,对于给定的系统只需要一次性做出这个决定;在这种情况下,可以想到为这个系统“硬”实现所述阈值——也可能将该阈值转用于(非常)相似的系统。
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
