AEB精度指標(biāo)中概率分布的取值計(jì)算方法

導(dǎo)語(yǔ)：

SASETECH，Safety and Security Technology，是國(guó)內(nèi)首個(gè)由汽車功能安全、信息安全專家發(fā)起組建的技術(shù)社區(qū)，致力于為汽車安全的從業(yè)者提供交流、學(xué)習(xí)、合作的中立性平臺(tái)。安全是汽車的基石，安全從業(yè)者是人們生命及財(cái)產(chǎn)的守護(hù)者。我們希望SASETECH 打破高大上的壁壘，讓更多工程師參與討論、共同成長(zhǎng);讓安全成為一個(gè)話題，是一個(gè)讓大家討論和思考的技術(shù)方向;讓安全成為一種文化，是一個(gè)讓企業(yè)和監(jiān)管機(jī)構(gòu)愈發(fā)重視的領(lǐng)域;建立安全的生態(tài)，讓企業(yè)/從業(yè)者都能夠有所收獲、有所思考。

SOTIF中的定量分析(一)

前言

在上一篇中，我們以誤制動(dòng)為例做了SOTIF的定量分析，根據(jù)誤制動(dòng)的風(fēng)險(xiǎn)場(chǎng)景以及AEB算法，計(jì)算得到了對(duì)感知系統(tǒng)相對(duì)距離和相對(duì)速度的精度指標(biāo)要求的函數(shù)，并取了一組數(shù)據(jù)：距離精度要求29.2%，速度精度要求20%。

但是這個(gè)精度指標(biāo)是不完整的，因?yàn)楦兄欢〞?huì)有誤差，誰(shuí)都不能保證傳感器能百分之百達(dá)到這個(gè)要求。所以在定義精度時(shí)，會(huì)有一個(gè)與之相對(duì)應(yīng)的概率值，通常假設(shè)誤差滿足正態(tài)分布，概率值一般取 2 sigma或3 sigma。其含義是感知輸出誤差分布在精度指標(biāo)范圍內(nèi)的概率為95.4%(2 sigma)或99.7%(3 sigma)。

本篇文章將繼續(xù)以AEB誤制動(dòng)為例，探討這個(gè)概率的取值方法。

總體思路

首先，AEB有一個(gè)指標(biāo)叫誤報(bào)率，即在單位時(shí)間內(nèi)誤制動(dòng)發(fā)生的概率，單位是h^-1。在ISO21448附錄B中有關(guān)于AEB誤報(bào)率指標(biāo)計(jì)算的示例，其總體思想是要保證AEB系統(tǒng)誤制動(dòng)導(dǎo)致追尾的概率要小于人開車發(fā)生追尾的概率，即機(jī)器至少要比人開的好，這不是這篇文章討論的重點(diǎn)，只要明白誤報(bào)率的指標(biāo)是可以知道的。

那么在多大的概率內(nèi)滿足精度指標(biāo)才能滿足整車AEB誤報(bào)率的要求呢?有兩個(gè)思路。

思路一是將誤報(bào)率指標(biāo)分解到各個(gè)參數(shù)(自上而下)。思路二是先給定一個(gè)概率(比如2 sigma),計(jì)算這個(gè)概率會(huì)導(dǎo)致的誤報(bào)率(自下而上)，看是否滿足誤報(bào)率目標(biāo)。這里我們用第二種思路。

如果一個(gè)參數(shù)可以保證2 sigma滿足精度指標(biāo)，就意味著每一幀信號(hào)都會(huì)有95.4%的概率在精度閾值內(nèi)，4.6%的概率超過(guò)閾值。我們可把超過(guò)閾值的信號(hào)認(rèn)為是“失效”，那么4.6%就理解為信號(hào)的失效率。但是直覺告訴我們，一幀信號(hào)的“失效”不一定會(huì)導(dǎo)致危害發(fā)生。我們需要知道信號(hào)怎樣的“失效”會(huì)導(dǎo)致整車層級(jí)的危害，才能探究信號(hào)的失效率和AEB誤報(bào)率的關(guān)系。

注：

筆者這里參考了ISO26262硬件部分的概念。失效率：指單位時(shí)間內(nèi)元器件失效的概率。PMHF(Probabilistic Metric for random Hardware Failure)：?jiǎn)挝粫r(shí)間內(nèi)發(fā)生單點(diǎn)故障或多點(diǎn)故障中多點(diǎn)都發(fā)生故障的概率。一個(gè)元器件失效不一定會(huì)導(dǎo)致危害，只有發(fā)生單點(diǎn)故障，或者多點(diǎn)故障中的“多點(diǎn)”都發(fā)生故障，才會(huì)導(dǎo)致危害。PMHF就是用來(lái)度量導(dǎo)致危害的硬件失效概率密度的指標(biāo)。信號(hào)“失效率”與AEB誤報(bào)率的關(guān)系，就可以類比成硬件元器件的失效率和PMHF的關(guān)系。

問(wèn)題一

問(wèn)：哪幾種信號(hào)失效的組合會(huì)導(dǎo)致危害。

這涉及到在該場(chǎng)景下，誤制動(dòng)發(fā)生與幾種信號(hào)相關(guān)。我們稱與誤制動(dòng)風(fēng)險(xiǎn)相關(guān)的信號(hào)為安全相關(guān)信號(hào)。若誤制動(dòng)和一個(gè)以上參數(shù)相關(guān)，在一個(gè)信號(hào)周期內(nèi)，多個(gè)安全相關(guān)信號(hào)同時(shí)失效的概率(P)為這幾個(gè)信號(hào)的失效概率相乘。

(1)

n為安全相關(guān)信號(hào)的個(gè)數(shù);

為每個(gè)安全相關(guān)信號(hào)單幀的失效率。

問(wèn)題二

問(wèn)：上述失效信號(hào)的組合發(fā)幾幀會(huì)導(dǎo)致危害。

此時(shí)需要定義危害，ISO21448附錄B中對(duì)非預(yù)期制動(dòng)的定義是非預(yù)期制動(dòng)持續(xù)時(shí)間超過(guò)340ms。我認(rèn)為這里的340ms是和制動(dòng)系統(tǒng)的性能相關(guān)的，制動(dòng)系統(tǒng)建壓需要一定時(shí)間，而340ms就是制動(dòng)建壓達(dá)到某個(gè)減速度閾值的時(shí)間，這個(gè)減速度閾值就是危害發(fā)生的邊界，或者S>0的邊界。340ms是個(gè)參考值，制動(dòng)系統(tǒng)建壓速率越快，這個(gè)時(shí)間越小。

然后往前推導(dǎo)，制動(dòng)系統(tǒng)建壓340ms，需要AEB連續(xù)發(fā)送制動(dòng)請(qǐng)求信號(hào)340ms。那么感知系統(tǒng)連續(xù)發(fā)幾幀失效信號(hào)，才會(huì)導(dǎo)致AEB系統(tǒng)持續(xù)發(fā)340ms制動(dòng)信號(hào)?

這里就需要知道AEB算法里的判斷邏輯，比如判定制動(dòng)的debounce次數(shù)，判定停止制動(dòng)的debounce次數(shù)，接收感知信號(hào)的周期，算法運(yùn)行周期等。結(jié)果為感知系統(tǒng)連續(xù)發(fā)N幀失效信號(hào)，會(huì)導(dǎo)致AEB發(fā)送超過(guò)340ms的制動(dòng)請(qǐng)求信號(hào)，進(jìn)而導(dǎo)致危害發(fā)生。

問(wèn)題三

通過(guò)前兩個(gè)問(wèn)題，已經(jīng)知道發(fā)生危害的條件是所有安全相關(guān)信號(hào)同時(shí)發(fā)生“失效”連續(xù)若干幀。那么第三個(gè)問(wèn)題是：

車輛運(yùn)行多長(zhǎng)時(shí)間才會(huì)發(fā)生一次“連續(xù)N個(gè)信號(hào)周期發(fā)生n個(gè)安全相關(guān)信號(hào)都失效”的事件?

這個(gè)問(wèn)題可以簡(jiǎn)化成一道概率題：已知某事件X發(fā)生的概率為P，那么使事件X連續(xù)發(fā)生N次所需嘗試次數(shù)是多少?通過(guò)解答問(wèn)題一和問(wèn)題二，P和N都是已知的。

假設(shè)E(n)為事件X連續(xù)發(fā)生N次所需嘗試次數(shù)的期望，那么E(N)和E(N-1)有如下關(guān)系：

E(N)=E(N-1)+1+P*0+(1-P)*E(N);

經(jīng)過(guò)轉(zhuǎn)換可得到公式：

(2)

將P和N代入，即可求解嘗試次數(shù)的期望。次數(shù)乘以信號(hào)周期就可以簡(jiǎn)單轉(zhuǎn)換成時(shí)間、時(shí)間取倒數(shù)就是誤報(bào)率。

可得誤報(bào)率公式：

(3)

R為誤報(bào)率，單位h^-1;t為信號(hào)周期，單位ms。

注：公式(2)解釋和推導(dǎo)：連續(xù)發(fā)生N次的前提是先連續(xù)發(fā)生N-1次，然后再發(fā)生一次。但是發(fā)生N-1次之后的這次嘗試有兩種可能，一是事件X發(fā)生了，則不需再次嘗試(對(duì)應(yīng)公式中P*0)，二是事件X未發(fā)生，則需要從頭開始再嘗試E(N)次(對(duì)應(yīng)公式中(1-P)*E(N))。

可整理得到：E(N)=(E(N-1)+1)/P;

已知E(1)=1/P;E(2)=(1+P)/P^2;

E(N)=(1+P+P^2+…+P^N-1)/P^N

分子為等比數(shù)列求和，可化簡(jiǎn)得：

E(N)=(1-P^N)/(P^N-P^N+1)

計(jì)算結(jié)果

以車輛在直道中的發(fā)生誤制動(dòng)這個(gè)場(chǎng)景為例。已知風(fēng)險(xiǎn)場(chǎng)景與相對(duì)距離和相對(duì)速度兩個(gè)參數(shù)相關(guān)，相對(duì)距離和相對(duì)速度精度指標(biāo)的概率都取2 sigma。那么，P=4.6%*4.6%=0.21%。

假設(shè)導(dǎo)致危害需要的連續(xù)幀數(shù)N=5，信號(hào)發(fā)送周期t=10ms。

得：E=2.45*10^13;R=(1.47*10^-8)h^-1。

即每發(fā)送2.45*10^13幀信號(hào)，會(huì)出現(xiàn)一次連續(xù)5幀距離速度兩個(gè)信號(hào)都失效的事件。轉(zhuǎn)換成時(shí)間就是6.82*10^7小時(shí)發(fā)生一次;誤報(bào)率1.47*10^-8。拿這個(gè)值與誤報(bào)率指標(biāo)比較大小，若不能滿足則提高精度要求(精度值或概率值)。

下面給出幾組計(jì)算結(jié)果供參考。

表1：一個(gè)安全相關(guān)信號(hào)(2 sigma)

表2：兩個(gè)安全相關(guān)信號(hào)(2 sigma)

由上表可見，與危害相關(guān)的信號(hào)越多，誤報(bào)率越低。導(dǎo)致危害所需的信號(hào)連續(xù)失效次數(shù)越多，誤報(bào)率越低。而且都是呈指數(shù)降低。這也對(duì)AEB的算法優(yōu)化提供了參考。

總結(jié)

本文以誤制動(dòng)為例，探討了精度指標(biāo)中概率分布的取值計(jì)算方法。首先確定了總體思路是分析信號(hào)的失效率如何滿足整車級(jí)誤報(bào)率指標(biāo);然后將問(wèn)題抽象成一個(gè)概率問(wèn)題并推出誤報(bào)率的計(jì)算公式;最后列出了幾組計(jì)算結(jié)果。不足之處請(qǐng)指正。

作者簡(jiǎn)介

田野

曾任功能安全工程師，參與高低速智駕系統(tǒng)功能安全開發(fā)，底盤零件功能安全開發(fā)，以及預(yù)期功能安全預(yù)研項(xiàng)目，熟悉功能安全和預(yù)期功能安全分析方法，現(xiàn)從事嵌入式軟件開發(fā)工作。

原文標(biāo)題：SOTIF的定量分析(二)

文章出處：【微信公眾號(hào)：SAE International】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

審核編輯：湯梓紅