AEB精度指標(biāo)中概率分布的取值計(jì)算方法

導(dǎo)語：

SASETECH，Safety and Security Technology，是國內(nèi)首個由汽車功能安全、信息安全專家發(fā)起組建的技術(shù)社區(qū)，致力于為汽車安全的從業(yè)者提供交流、學(xué)習(xí)、合作的中立性平臺。安全是汽車的基石，安全從業(yè)者是人們生命及財(cái)產(chǎn)的守護(hù)者。我們希望SASETECH 打破高大上的壁壘，讓更多工程師參與討論、共同成長;讓安全成為一個話題，是一個讓大家討論和思考的技術(shù)方向;讓安全成為一種文化，是一個讓企業(yè)和監(jiān)管機(jī)構(gòu)愈發(fā)重視的領(lǐng)域;建立安全的生態(tài)，讓企業(yè)/從業(yè)者都能夠有所收獲、有所思考。

SOTIF中的定量分析(一)

前言

在上一篇中，我們以誤制動為例做了SOTIF的定量分析，根據(jù)誤制動的風(fēng)險(xiǎn)場景以及AEB算法，計(jì)算得到了對感知系統(tǒng)相對距離和相對速度的精度指標(biāo)要求的函數(shù)，并取了一組數(shù)據(jù)：距離精度要求29.2%，速度精度要求20%。

但是這個精度指標(biāo)是不完整的，因?yàn)楦兄欢〞姓`差，誰都不能保證傳感器能百分之百達(dá)到這個要求。所以在定義精度時，會有一個與之相對應(yīng)的概率值，通常假設(shè)誤差滿足正態(tài)分布，概率值一般取 2 sigma或3 sigma。其含義是感知輸出誤差分布在精度指標(biāo)范圍內(nèi)的概率為95.4%(2 sigma)或99.7%(3 sigma)。

本篇文章將繼續(xù)以AEB誤制動為例，探討這個概率的取值方法。

總體思路

首先，AEB有一個指標(biāo)叫誤報(bào)率，即在單位時間內(nèi)誤制動發(fā)生的概率，單位是h^-1。在ISO21448附錄B中有關(guān)于AEB誤報(bào)率指標(biāo)計(jì)算的示例，其總體思想是要保證AEB系統(tǒng)誤制動導(dǎo)致追尾的概率要小于人開車發(fā)生追尾的概率，即機(jī)器至少要比人開的好，這不是這篇文章討論的重點(diǎn)，只要明白誤報(bào)率的指標(biāo)是可以知道的。

那么在多大的概率內(nèi)滿足精度指標(biāo)才能滿足整車AEB誤報(bào)率的要求呢?有兩個思路。

思路一是將誤報(bào)率指標(biāo)分解到各個參數(shù)(自上而下)。思路二是先給定一個概率(比如2 sigma),計(jì)算這個概率會導(dǎo)致的誤報(bào)率(自下而上)，看是否滿足誤報(bào)率目標(biāo)。這里我們用第二種思路。

如果一個參數(shù)可以保證2 sigma滿足精度指標(biāo)，就意味著每一幀信號都會有95.4%的概率在精度閾值內(nèi)，4.6%的概率超過閾值。我們可把超過閾值的信號認(rèn)為是“失效”，那么4.6%就理解為信號的失效率。但是直覺告訴我們，一幀信號的“失效”不一定會導(dǎo)致危害發(fā)生。我們需要知道信號怎樣的“失效”會導(dǎo)致整車層級的危害，才能探究信號的失效率和AEB誤報(bào)率的關(guān)系。

注：

筆者這里參考了ISO26262硬件部分的概念。失效率：指單位時間內(nèi)元器件失效的概率。PMHF(Probabilistic Metric for random Hardware Failure)：單位時間內(nèi)發(fā)生單點(diǎn)故障或多點(diǎn)故障中多點(diǎn)都發(fā)生故障的概率。一個元器件失效不一定會導(dǎo)致危害，只有發(fā)生單點(diǎn)故障，或者多點(diǎn)故障中的“多點(diǎn)”都發(fā)生故障，才會導(dǎo)致危害。PMHF就是用來度量導(dǎo)致危害的硬件失效概率密度的指標(biāo)。信號“失效率”與AEB誤報(bào)率的關(guān)系，就可以類比成硬件元器件的失效率和PMHF的關(guān)系。

問題一

問：哪幾種信號失效的組合會導(dǎo)致危害。

這涉及到在該場景下，誤制動發(fā)生與幾種信號相關(guān)。我們稱與誤制動風(fēng)險(xiǎn)相關(guān)的信號為安全相關(guān)信號。若誤制動和一個以上參數(shù)相關(guān)，在一個信號周期內(nèi)，多個安全相關(guān)信號同時失效的概率(P)為這幾個信號的失效概率相乘。

(1)

n為安全相關(guān)信號的個數(shù);

為每個安全相關(guān)信號單幀的失效率。

問題二

問：上述失效信號的組合發(fā)幾幀會導(dǎo)致危害。

此時需要定義危害，ISO21448附錄B中對非預(yù)期制動的定義是非預(yù)期制動持續(xù)時間超過340ms。我認(rèn)為這里的340ms是和制動系統(tǒng)的性能相關(guān)的，制動系統(tǒng)建壓需要一定時間，而340ms就是制動建壓達(dá)到某個減速度閾值的時間，這個減速度閾值就是危害發(fā)生的邊界，或者S>0的邊界。340ms是個參考值，制動系統(tǒng)建壓速率越快，這個時間越小。

然后往前推導(dǎo)，制動系統(tǒng)建壓340ms，需要AEB連續(xù)發(fā)送制動請求信號340ms。那么感知系統(tǒng)連續(xù)發(fā)幾幀失效信號，才會導(dǎo)致AEB系統(tǒng)持續(xù)發(fā)340ms制動信號?

這里就需要知道AEB算法里的判斷邏輯，比如判定制動的debounce次數(shù)，判定停止制動的debounce次數(shù)，接收感知信號的周期，算法運(yùn)行周期等。結(jié)果為感知系統(tǒng)連續(xù)發(fā)N幀失效信號，會導(dǎo)致AEB發(fā)送超過340ms的制動請求信號，進(jìn)而導(dǎo)致危害發(fā)生。

問題三

通過前兩個問題，已經(jīng)知道發(fā)生危害的條件是所有安全相關(guān)信號同時發(fā)生“失效”連續(xù)若干幀。那么第三個問題是：

車輛運(yùn)行多長時間才會發(fā)生一次“連續(xù)N個信號周期發(fā)生n個安全相關(guān)信號都失效”的事件?

這個問題可以簡化成一道概率題：已知某事件X發(fā)生的概率為P，那么使事件X連續(xù)發(fā)生N次所需嘗試次數(shù)是多少?通過解答問題一和問題二，P和N都是已知的。

假設(shè)E(n)為事件X連續(xù)發(fā)生N次所需嘗試次數(shù)的期望，那么E(N)和E(N-1)有如下關(guān)系：

E(N)=E(N-1)+1+P*0+(1-P)*E(N);

經(jīng)過轉(zhuǎn)換可得到公式：

(2)

將P和N代入，即可求解嘗試次數(shù)的期望。次數(shù)乘以信號周期就可以簡單轉(zhuǎn)換成時間、時間取倒數(shù)就是誤報(bào)率。

可得誤報(bào)率公式：

(3)

R為誤報(bào)率，單位h^-1;t為信號周期，單位ms。

注：公式(2)解釋和推導(dǎo)：連續(xù)發(fā)生N次的前提是先連續(xù)發(fā)生N-1次，然后再發(fā)生一次。但是發(fā)生N-1次之后的這次嘗試有兩種可能，一是事件X發(fā)生了，則不需再次嘗試(對應(yīng)公式中P*0)，二是事件X未發(fā)生，則需要從頭開始再嘗試E(N)次(對應(yīng)公式中(1-P)*E(N))。

可整理得到：E(N)=(E(N-1)+1)/P;

已知E(1)=1/P;E(2)=(1+P)/P^2;

E(N)=(1+P+P^2+…+P^N-1)/P^N

分子為等比數(shù)列求和，可化簡得：

E(N)=(1-P^N)/(P^N-P^N+1)

計(jì)算結(jié)果

以車輛在直道中的發(fā)生誤制動這個場景為例。已知風(fēng)險(xiǎn)場景與相對距離和相對速度兩個參數(shù)相關(guān)，相對距離和相對速度精度指標(biāo)的概率都取2 sigma。那么，P=4.6%*4.6%=0.21%。

假設(shè)導(dǎo)致危害需要的連續(xù)幀數(shù)N=5，信號發(fā)送周期t=10ms。

得：E=2.45*10^13;R=(1.47*10^-8)h^-1。

即每發(fā)送2.45*10^13幀信號，會出現(xiàn)一次連續(xù)5幀距離速度兩個信號都失效的事件。轉(zhuǎn)換成時間就是6.82*10^7小時發(fā)生一次;誤報(bào)率1.47*10^-8。拿這個值與誤報(bào)率指標(biāo)比較大小，若不能滿足則提高精度要求(精度值或概率值)。

下面給出幾組計(jì)算結(jié)果供參考。

表1：一個安全相關(guān)信號(2 sigma)

表2：兩個安全相關(guān)信號(2 sigma)

由上表可見，與危害相關(guān)的信號越多，誤報(bào)率越低。導(dǎo)致危害所需的信號連續(xù)失效次數(shù)越多，誤報(bào)率越低。而且都是呈指數(shù)降低。這也對AEB的算法優(yōu)化提供了參考。

總結(jié)

本文以誤制動為例，探討了精度指標(biāo)中概率分布的取值計(jì)算方法。首先確定了總體思路是分析信號的失效率如何滿足整車級誤報(bào)率指標(biāo);然后將問題抽象成一個概率問題并推出誤報(bào)率的計(jì)算公式;最后列出了幾組計(jì)算結(jié)果。不足之處請指正。

作者簡介

田野

曾任功能安全工程師，參與高低速智駕系統(tǒng)功能安全開發(fā)，底盤零件功能安全開發(fā)，以及預(yù)期功能安全預(yù)研項(xiàng)目，熟悉功能安全和預(yù)期功能安全分析方法，現(xiàn)從事嵌入式軟件開發(fā)工作。

原文標(biāo)題：SOTIF的定量分析(二)

文章出處：【微信公眾號：SAE International】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

審核編輯：湯梓紅