一种自动驾驶系统在环的故障树分析和验证方法及设备与流程

阅读：评论：0

1.本发明涉及一种自动驾驶系统在环的故障树分析和验证方法及设备。

背景技术：

2.随着人工智能技术的快速发展，自动驾驶技术也进入了快车道，汽车行业纷纷开展自动驾驶技术的相关研究，然而相比于传统汽车技术，自动驾驶技术的落地难度较高，除了技术的瓶颈，自动驾驶的安全性及如何追责也是一个问题。自动驾驶的安全性除了主动安全与被动安全外，还应包括信息安全、功能安全和预期功能安全等方面。
3.功能安全主要关注由于汽车上电子电气故障所导致的危害，旨在通过安全机制来将危害的风险降低至可接受范围内。为了给汽车功能安全分析提供方向，iso组织发布了iso 26262标准，其是iec 61508标准在汽车上的有效应用，包含概念分析、系统设计、硬件设计、软件设计、测试验证等内容。
4.其中，故障树分析（fta: fault tree analysis）是iso 26262所推荐的一种概念分析方法论，也被称为事件树分析，是一种由上至下的演绎式失效分析方法，其利用布林逻辑组合低阶事件，一层层寻与顶事件相关的原因事件，直至到基本原因事件，并进一步提取相应的功能安全需求。
5.然而，故障树分析可能涉及复杂的系统架构和功能逻辑，树的结构比较复杂，现阶段故障树分析主要由工程师完成，工作量较大且容易绘制错误。
6.此外，现有概念分析和测试验证工作均为独立进行，二者之间缺少关联，导致需求无法及时被验证，且追溯性较差。

技术实现要素：

7.本发明涉及一种自动驾驶系统在环的故障树分析和验证方法及设备。
8.本发明提供一种自动驾驶系统在环的故障树分析和验证方法，包括：确定自动驾驶系统所涉及的关联件及各个关联件的交互信号；基于自动驾驶系统所涉及的关联件及各个关联件的交互信号，确定自动驾驶系统的各个功能的实现逻辑；基于自动驾驶系统的各个功能的实现逻辑，进行hara分析，以提取各个功能的安全目标及其对应的信号值或执行器动作；将每个功能的安全目标作为故障树的顶事件，将每个功能的安全目标对应的信号值或执行器动作，作为该安全目标的底事件，依次生成信号值或执行器动作的各下一层底事件，其中，信号值或执行器动作的每下一层底事件，包括：通讯错误底事件和收到错误的输入信号底事件，所述通讯错误底事件无下一层底事件；除最后一层收到错误的输入信号底事件之外，每一层收到错误的输入信号底事件包括下一层底事件；对每一层的底事件，提取功能安全需求；基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，
以仿真验证所述功能安全需求是否正确。
9.进一步的，上述自动驾驶系统在环的故障树分析和验证方法中，基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，以仿真验证所述功能安全需求是否正确，包括：基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，判断是否会引发所述故障树的顶事件，若引发顶事件，则将该条功能安全需求、对应的一层的通讯错误底事件和安全目标均标红。
10.进一步的，上述自动驾驶系统在环的故障树分析和验证方法中，判断是否会引发所述故障树的顶事件之后，还包括：若未引发顶事件，则标记对应的一层的通讯错误底事件已被安全机制覆盖。
11.进一步的，上述自动驾驶系统在环的故障树分析和验证方法中，若未引发顶事件，则标记对应的一层的通讯错误底事件已被安全机制覆盖之后，还包括：记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的acc系统版本和仿真结果。
12.根据本发明的另一方面，还提供一种自动驾驶系统在环的故障树分析和验证设备，其中，该设备包括：第一模块，用于确定自动驾驶系统所涉及的关联件及各个关联件的交互信号；第二模块，用于基于自动驾驶系统所涉及的关联件及各个关联件的交互信号，确定自动驾驶系统的各个功能的实现逻辑；第三模块，用于基于自动驾驶系统的各个功能的实现逻辑，进行hara分析，以提取各个功能的安全目标及其对应的信号值或执行器动作；第四模块，用于将每个功能的安全目标作为故障树的顶事件，将每个功能的安全目标对应的信号值或执行器动作，作为该安全目标的底事件，依次生成信号值或执行器动作的各下一层底事件，其中，信号值或执行器动作的每下一层底事件，包括：通讯错误底事件和收到错误的输入信号底事件，所述通讯错误底事件无下一层底事件；除最后一层收到错误的输入信号底事件之外，每一层收到错误的输入信号底事件包括下一层底事件；第五模块，用于对每一层的底事件，提取功能安全需求；第六模块，用于基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，以仿真验证所述功能安全需求是否正确。
13.进一步的，上述自动驾驶系统在环的故障树分析和验证设备中，所述第六模块，用于基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，判断是否会引发所述故障树的顶事件，若引发顶事件，则将该条功能安全需求、对应的一层的通讯错误底事件和安全目标均标红。
14.进一步的，上述自动驾驶系统在环的故障树分析和验证设备中，所述第六模块，用于若未引发顶事件，则标记对应的一层的通讯错误底事件已被安全机制覆盖。
15.进一步的，上述自动驾驶系统在环的故障树分析和验证设备中，所述第六模块，用于若未引发顶事件，则标记对应的一层的通讯错误底事件已被安全机制覆盖之后，还包括：
记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的acc系统版本和仿真结果。
16.根据本发明的另一方面，还提供一种计算机可读介质，其上存储有计算机可读指令，所述计算机可读指令可被处理器执行以实现上述任一项所述的方法。
17.根据本发明的另一方面，还提供一种用于在网络设备端信息处理的设备，该设备包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该设备执行上述任一项所述的方法。
附图说明
18.图1是本发明一实施例的自动驾驶系统在环的故障树分析和验证方法的原理图；图2是本发明一实施例的自动驾驶系统在环的故障树分析和验证设备的原理图；图3是本发明一实施例的系统架构和交互信号的示意图；图4是本发明一实施例的acc功能的功能逻辑的示意图；图5是本发明一实施例的故障树的示意图；图6是本发明一实施例的自动驾驶系统在环的故障树分析和验证设备的结构图。
具体实施方式
19.下面结合附图对本发明作进一步详细描述。
20.在本技术一个典型的配置中，终端、服务网络的设备和可信方均包括一个或多个处理器 (cpu)、输入/输出接口、网络接口和内存。
21.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器 (ram) 和/或非易失性内存等形式，如只读存储器 (rom) 或闪存(flash ram)。内存是计算机可读介质的示例。
22.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存 (pram)、静态随机存取存储器 (sram)、动态随机存取存储器 (dram)、其他类型的随机存取存储器 (ram)、只读存储器 (rom)、电可擦除可编程只读存储器 (eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器 (cd-rom)、数字多功能光盘 (dvd) 或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体 (transitory media)，如调制的数据信号和载波。
23.如图1~6所示，本发明提供一种自动驾驶系统在环的故障树分析和验证方法，包括：步骤s1~步骤s6。
24.步骤s1，确定自动驾驶系统所涉及的关联件及各个关联件的交互信号；在此，可以定义自动驾驶系统的整体架构，需要明确涉及的关联件、各个关联件的交互信号等内容，用于后续自动化的故障树分析；例如，定义acc系统（（adaptivecruisecontrol,汽车自适应巡航控制））的系统架构和交互信号如图3所示。
25.步骤s2，基于自动驾驶系统所涉及的关联件及各个关联件的交互信号，确定自动驾驶系统的各个功能的实现逻辑；在此，在系统架构的基础上，可以进一步定义清晰自动驾驶系统的包含的功能，并明确各个功能的实现逻辑，该部分的逻辑将直接影响故障树的结构；例如，定义acc功能的功能逻辑如图4所示。
26.步骤s3，基于自动驾驶系统的各个功能的实现逻辑，进行hara分析，以提取各个功能的安全目标及其对应的信号值或执行器动作；在此，可以进行hara分析（hazard analysis and risk assessment, 危害分析及风险评估），提取各个功能的安全目标及其对应的信号值或执行器动作，该部分得到的安全目标，后续将作为故障树分析的顶事件，同时也作为仿真验证的评判标准；例如，hara分析得到的一个安全目标为：车辆应避免非预期加速（asil b），对应的执行器动作为：扭矩控制器输出非预期的扭矩。
27.步骤s4，将每个功能的安全目标作为故障树的顶事件，将每个功能的安全目标对应的信号值或执行器动作，作为该安全目标的底事件，依次生成信号值或执行器动作的各下一层底事件，其中，信号值或执行器动作的每下一层底事件，包括：通讯错误底事件和收到错误的输入信号底事件，所述通讯错误底事件无下一层底事件；除最后一层收到错误的输入信号底事件之外，每一层收到错误的输入信号底事件包括下一层底事件；在此，可以依据安全目标和安全目标对应的信号值或执行器动作，自动化地完成针对所有安全目标的故障树分析，其中，每个事件的底事件均包含通讯错误、收到错误的输入信号两大类，而收到错误的信号可以包含全部涉及的有用信号以保证树的完整性，最后可以输出完整的故障树；例如，可以自动化地进行故障树分析，得到针对车辆应避免非预期加速的安全目标的故障树如图3所示；图3中，顶事件是车辆应避免非预期加速（安全目标）e224，车辆应避免非预期加速（安全目标）e224的底事件是扭矩控制器输出非预期扭矩（执行器动作）e225，扭矩控制器输出预期扭矩（执行器动作）e225下包含4层底事件，其中，扭矩控制器输出预期扭矩（执行器动作）e225的第一层底事件分别为：扭矩控制器故障（通讯错误底事件）e226和扭矩控制器收到非预期扭矩信号（收到错误的输入信号底事件）e227；扭矩控制器输出预期扭矩（执行器动作）e225的第二层底事件即扭矩控制器收到非预期扭矩信号（收到错误的输入信号底事件）e227的底事件分别为：扭矩控制器与acc系统通讯故障（通讯错误底事件）e228和acc系统请求非预期扭矩（收到错误的输入信号底事件）e229；扭矩控制器输出预期扭矩（执行器动作）e225的第三层底事件即acc系统请求非预期扭矩（收到错误的输入信号底事件）e229的底事件分别为： acc系统通讯故障（通讯错误底事件）e230和acc系统收到错误障碍物信息（收到错误的输入信号底事件）e231；扭矩控制器输出预期扭矩（执行器动作）e225的第四层底事件即acc系统收到错误障碍物信息（收到错误的输入信号底事件）e231的底事件分别为： acc系统与摄像头/雷达通讯错误（通讯错误底事件）e232和摄像头/雷达内部故障（收到错误的输入信号底事件）e233。
28.步骤s5，对每一层的底事件，提取功能安全需求；在此，所述功能安全需求即每一层的底事件对应的安全解决方案；
例如，可以对每一层的底事件提取功能安全需求，例如对底事件e232提取的一条功能安全需求为：acc系统应对摄像头/雷达的障碍物信息/类型信号增加e2e保护，如rc和crc校验等。
29.步骤s6，基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，以仿真验证所述功能安全需求是否正确。
30.在此，在提交所有的安全需求后，可以自动化重新进行仿真验证，以确保安全需求的正确性和完整性，最后可以输出错误的功能安全需求，以及安全需求错误的安全目标。
31.本发明建立了自动驾驶系统在环的故障树分析方法，能够基于定义的系统架构、信号交互和功能逻辑自动地完成故障树分析，保证故障树的完整性和正确性；另外，本发明将功能安全概念分析和测试验证工作结合在一起，能够及时有效地进行功能安全相关测试，验证安全需求的有效性，并建立需求与安全机制的良好追溯性。
32.本发明的自动驾驶系统在环的故障树分析和验证方法一实施例中，步骤s6，基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，以仿真验证所述功能安全需求是否正确，包括：基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，判断是否会引发所述故障树的顶事件，若引发顶事件，则将该条功能安全需求、对应的一层的通讯错误底事件和安全目标均标红。
33.例如，在分析验证系统中进行仿真验证，对于该条功能安全需求，系统对摄像头/雷达的障碍物信息/类型信号注入故障模式，导致can报文的rc和crc值错误，看是否会引发顶事件。若引发顶事件，则该条功能安全需求、对应的一层的通讯错误底事件和安全目标均被标红。
34.本发明的自动驾驶系统在环的故障树分析和验证方法一实施例中，判断是否会引发所述故障树的顶事件之后，还包括：若未引发顶事件，则标记对应的一层的通讯错误底事件已被安全机制覆盖。
35.在此，通过标记对应的一层的通讯错误底事件已被安全机制覆盖，可以准确的告知通讯错误底事件对应的功能安全需求是错误的。
36.本发明的自动驾驶系统在环的故障树分析和验证方法一实施例中，若未引发顶事件，则标记对应的一层的通讯错误底事件已被安全机制覆盖之后，还包括：记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的acc系统版本和仿真结果。
37.在此，若未引发顶事件，在标记已被安全机制覆盖已被安全机制覆盖之外，还可以记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的acc系统版本、仿真结果等信息，以建立良好的追溯机制。
38.如图2所示，根据本发明的另一方面，还提供一种自动驾驶系统在环的故障树分析和验证设备，其中，该设备包括：第一模块，用于确定自动驾驶系统所涉及的关联件及各个关联件的交互信号；在此，可以定义自动驾驶系统的整体架构，需要明确涉及的关联件、各个关联件的交互信号等内容，用于后续自动化的故障树分析；
例如，定义acc系统（（adaptivecruisecontrol,汽车自适应巡航控制））的系统架构和交互信号如图3所示；第二模块，用于基于自动驾驶系统所涉及的关联件及各个关联件的交互信号，确定自动驾驶系统的各个功能的实现逻辑；在此，在系统架构的基础上，可以进一步定义清晰自动驾驶系统的包含的功能，并明确各个功能的实现逻辑，该部分的逻辑将直接影响故障树的结构；例如，定义acc功能的功能逻辑如图4所示；第三模块，用于基于自动驾驶系统的各个功能的实现逻辑，进行hara分析，以提取各个功能的安全目标及其对应的信号值或执行器动作；在此，可以进行hara分析（hazard analysis and risk assessment, 危害分析及风险评估），提取各个功能的安全目标及其对应的信号值或执行器动作，该部分得到的安全目标，后续将作为故障树分析的顶事件，同时也作为仿真验证的评判标准；例如，hara分析得到的一个安全目标为：车辆应避免非预期加速（asil b），对应的执行器动作为：扭矩控制器输出非预期的扭矩；第四模块，用于将每个功能的安全目标作为故障树的顶事件，将每个功能的安全目标对应的信号值或执行器动作，作为该安全目标的底事件，依次生成信号值或执行器动作的各下一层底事件，其中，信号值或执行器动作的每下一层底事件，包括：通讯错误底事件和收到错误的输入信号底事件，所述通讯错误底事件无下一层底事件；除最后一层收到错误的输入信号底事件之外，每一层收到错误的输入信号底事件包括下一层底事件；在此，可以依据安全目标和安全目标对应的信号值或执行器动作，自动化地完成针对所有安全目标的故障树分析，其中，每个事件的底事件均包含通讯错误、收到错误的输入信号两大类，而收到错误的信号可以包含全部涉及的有用信号以保证树的完整性，最后可以输出完整的故障树；例如，可以自动化地进行故障树分析，得到针对车辆应避免非预期加速的安全目标的故障树如图3所示；图3中，顶事件是车辆应避免非预期加速（安全目标）e224，车辆应避免非预期加速（安全目标）e224的底事件是扭矩控制器输出非预期扭矩（执行器动作）e225，扭矩控制器输出预期扭矩（执行器动作）e225下包含4层底事件，其中，扭矩控制器输出预期扭矩（执行器动作）e225的第一层底事件分别为：扭矩控制器故障（通讯错误底事件）e226和扭矩控制器收到非预期扭矩信号（收到错误的输入信号底事件）e227；扭矩控制器输出预期扭矩（执行器动作）e225的第二层底事件即扭矩控制器收到非预期扭矩信号（收到错误的输入信号底事件）e227的底事件分别为：扭矩控制器与acc系统通讯故障（通讯错误底事件）e228和acc系统请求非预期扭矩（收到错误的输入信号底事件）e229；扭矩控制器输出预期扭矩（执行器动作）e225的第三层底事件即acc系统请求非预期扭矩（收到错误的输入信号底事件）e229的底事件分别为： acc系统通讯故障（通讯错误底事件）e230和acc系统收到错误障碍物信息（收到错误的输入信号底事件）e231；扭矩控制器输出预期扭矩（执行器动作）e225的第四层底事件即acc系统收到错误障碍物信息（收到错误的输入信号底事件）e231的底事件分别为： acc系统与摄像头/雷达通讯错误（通讯错误底事件）e232和摄像头/雷达内部故障（收到错误的输入信号底事件）e233；
第五模块，用于对每一层的底事件，提取功能安全需求；在此，所述功能安全需求即每一层的通讯错误底事件对应的安全解决方案；例如，可以对每一层的底事件提取功能安全需求，例如对底事件e232提取的一条功能安全需求为：acc系统应对摄像头/雷达的障碍物信息/类型信号增加e2e保护，如rc和crc校验等；第六模块，用于基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，以仿真验证所述功能安全需求是否正确。
39.在此，在提交所有的安全需求后，可以自动化重新进行仿真验证，以确保安全需求的正确性和完整性，最后可以输出错误的功能安全需求，以及安全需求错误的安全目标。
40.本发明建立了自动驾驶系统在环的故障树分析设备，能够基于定义的系统架构、信号交互和功能逻辑自动地完成故障树分析，保证故障树的完整性和正确性；另外，本发明将功能安全概念分析和测试验证工作结合在一起，能够及时有效地进行功能安全相关测试，验证安全需求的有效性，并建立需求与安全机制的良好追溯性。
41.进一步的，上述自动驾驶系统在环的故障树分析和验证设备中，所述第六模块，用于基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，判断是否会引发所述故障树的顶事件，若引发顶事件，则将该条功能安全需求、对应的一层的通讯错误底事件和安全目标均标红。
42.例如，在分析验证系统中进行仿真验证，对于该条功能安全需求，系统对摄像头/雷达的障碍物信息/类型信号注入故障模式，导致can报文的rc和crc值错误，看是否会引发顶事件。若引发顶事件，则该条功能安全需求、对应的一层的通讯错误底事件和安全目标均被标红。
43.进一步的，上述自动驾驶系统在环的故障树分析和验证设备中，所述第六模块，用于若未引发顶事件，则标记对应的一层的通讯错误底事件已被安全机制覆盖。
44.在此，通过标记对应的一层的通讯错误底事件已被安全机制覆盖，可以准确的告知通讯错误底事件对应的功能安全需求是错误的。
45.进一步的，上述自动驾驶系统在环的故障树分析和验证设备中，所述第六模块，用于若未引发顶事件，则标记对应的一层的通讯错误底事件已被安全机制覆盖之后，还包括：记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的acc系统版本和仿真结果。
46.在此，若未引发顶事件，在标记已被安全机制覆盖已被安全机制覆盖之外，还可以记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的acc系统版本、仿真结果等信息，以建立良好的追溯机制。图6是本发明一实施例的自动驾驶系统在环的故障树分析和验证设备的结构图。
47.根据本发明的另一方面，还提供一种计算机可读介质，其上存储有计算机可读指令，所述计算机可读指令可被处理器执行以实现上述任一项所述的方法。
48.根据本发明的另一方面，还提供一种用于在网络设备端信息处理的设备，该设备包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该设备执行上述任一项所述的方法。
49.本发明各设备实施例的详细内容具体可参见各方法实施例的对应部分，在此，不再赘述。
50.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。
51.需要注意的是，本发明可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路（asic）、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中，本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本发明的软件程序（包括相关的数据结构）可以被存储到计算机可读记录介质中，例如，ram存储器，磁或光驱动器或软磁盘及类似设备。另外，本发明的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。
52.另外，本发明的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令，可能被存储在固定的或可移动的记录介质中，和/或通过广播或其他信号承载媒体中的数据流而被传输，和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此，根据本发明的一个实施例包括一个装置，该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
53.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。

技术特征：

1.一种自动驾驶系统在环的故障树分析和验证方法，其中，该方法包括：确定自动驾驶系统所涉及的关联件及各个关联件的交互信号；基于自动驾驶系统所涉及的关联件及各个关联件的交互信号，确定自动驾驶系统的各个功能的实现逻辑；基于自动驾驶系统的各个功能的实现逻辑，进行hara分析，以提取各个功能的安全目标及其对应的信号值或执行器动作；将每个功能的安全目标作为故障树的顶事件，将每个功能的安全目标对应的信号值或执行器动作，作为该安全目标的底事件，依次生成信号值或执行器动作的各下一层底事件，其中，信号值或执行器动作的每下一层底事件，包括：通讯错误底事件和收到错误的输入信号底事件，所述通讯错误底事件无下一层底事件；除最后一层收到错误的输入信号底事件之外，每一层收到错误的输入信号底事件包括下一层底事件；对每一层的底事件，提取功能安全需求；基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，以仿真验证所述功能安全需求是否正确。2.根据权利要求1所述的自动驾驶系统在环的故障树分析和验证方法，其中，基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，以仿真验证所述功能安全需求是否正确，包括：基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，判断是否会引发所述故障树的顶事件，若引发顶事件，则将该条功能安全需求、对应的一层的通讯错误底事件和安全目标均标红。3.根据权利要求2所述的自动驾驶系统在环的故障树分析和验证方法，其中，判断是否会引发所述故障树的顶事件之后，还包括：若未引发顶事件，则标记对应的一层的通讯错误底事件已被安全机制覆盖。4.根据权利要求3所述的自动驾驶系统在环的故障树分析和验证方法，其中，若未引发顶事件，则标记对应的一层的通讯错误底事件已被安全机制覆盖之后，还包括：记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的acc系统版本和仿真结果。5.一种自动驾驶系统在环的故障树分析和验证设备，其中，该设备包括：第一模块，用于确定自动驾驶系统所涉及的关联件及各个关联件的交互信号；第二模块，用于基于自动驾驶系统所涉及的关联件及各个关联件的交互信号，确定自动驾驶系统的各个功能的实现逻辑；第三模块，用于基于自动驾驶系统的各个功能的实现逻辑，进行hara分析，以提取各个功能的安全目标及其对应的信号值或执行器动作；第四模块，用于将每个功能的安全目标作为故障树的顶事件，将每个功能的安全目标对应的信号值或执行器动作，作为该安全目标的底事件，依次生成信号值或执行器动作的各下一层底事件，其中，信号值或执行器动作的每下一层底事件，包括：通讯错误底事件和收到错误的输入信号底事件，所述通讯错误底事件无下一层底事件；除最后一层收到错误的输入信号底事件之外，每一层收到错误的输入信号底事件包括下一层底事件；
第五模块，用于对每一层的底事件，提取功能安全需求；第六模块，用于基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，以仿真验证所述功能安全需求是否正确。6.根据权利要求5所述的自动驾驶系统在环的故障树分析和验证设备，其中，所述第六模块，用于基于所述功能安全需求确定对应的故障模式，将所述故障模式注入所述故障树，判断是否会引发所述故障树的顶事件，若引发顶事件，则将该条功能安全需求、对应的一层的通讯错误底事件和安全目标均标红。7.根据权利要求6所述的自动驾驶系统在环的故障树分析和验证设备，其中，所述第六模块，用于若未引发顶事件，则标记对应的一层的通讯错误底事件已被安全机制覆盖。8.根据权利要求7所述的自动驾驶系统在环的故障树分析和验证设备，其中，所述第六模块，用于若未引发顶事件，则标记对应的一层的通讯错误底事件已被安全机制覆盖之后，还包括：记录对应的故障树、顶事件、通讯错误底事件、功能安全需求、需求解决的acc系统版本和仿真结果。9.一种计算机可读介质，其上存储有计算机可读指令，所述计算机可读指令可被处理器执行以实现权利要求1至4中任一项所述的方法。10.一种用于在网络设备端信息处理的设备，该设备包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该设备执行权利要求1至4中任一项所述的方法。

技术总结

本发明的目的是提供一种自动驾驶系统在环的故障树分析和验证方法及设备，本发明能够基于定义的系统架构、信号交互和功能逻辑自动地完成故障树分析，保证故障树的完整性和正确性；另外，本发明将功能安全概念分析和测试验证工作结合在一起，能够及时有效地进行功能安全相关测试，验证安全需求的有效性，并建立需求与安全机制的良好追溯性。求与安全机制的良好追溯性。求与安全机制的良好追溯性。