[发明专利]基于零日漏洞的自动驾驶预期功能安全危害评估方法

权利要求书

1.一种基于零日漏洞的自动驾驶预期功能安全危害评估方法，其特征在于，包括以下步骤：

步骤一：对预期功能安全系统进行分析，针对特定的情景S基于零日漏洞的攻击图创建危害图模型HG；

步骤二：基于所述危害图模型HG依次找出所有场景的危害路径；所述危害路径经过可达性验证后视为成立，所述危害路径由一系列的已知和未知的触发事件依次组成；

步骤三：分别计算已知触发事件的安全值SK和未知触发事件的安全值SUK，所述已知触发事件和所述未知触发事件安全值的计算将定性的安全问题转换为定量的安全值；

步骤四：基于动态权重的方式，计算预期功能安全系统的安全值svs，实现对预期功能安全系统的整体安全评估；

步骤五：基于所述预期功能安全系统的安全值svs，对预期功能安全系统架构进行动态调整，并对调整后的预期功能安全系统进行再次评估，直到所得已知触发事件安全值SK、未知触发事件安全值SUK和预期功能安全系统安全值svs全部小于所设定的对应阈值，即全部符合设定的安全要求。

2.根据权利要求1所述的基于零日漏洞的自动驾驶预期功能安全危害评估方法，其特征在于，步骤一中，所述危害图模型HG包含已知触发事件集合T'、未知触发事件集合T”、触发事件的前置条件C_pre和后置条件集合C_post；定义一个发生在场景sc₁上的触发事件为一个三元组其中sc₁指源场景，sc₂指目标场景，当触发事件发生在源场景sc₁上后，场景sc₁将会产生一个后置条件所述后置条件为目标场景sc₂的前置条件定义预设关系蕴含关系其中T'是已知触发事件集合，C'是已知触发事件的前置条件和后置条件的总集合。

3.根据权利要求1所述的基于零日漏洞的自动驾驶预期功能安全危害评估方法，其特征在于，步骤二中，在危害图模型HG中，初始条件c₀不是任何触发事件的后置条件；初始条件c₀是由于任何系统的性能限制或驾乘人员误操作引起；在任何危害路径中，初始条件c₀都会通过一系列触发事件的响应使预期功能安全系统处于危险状态；这些触发事件的关系为先后顺序的关系、或的关系、与的关系中的一种；前一个触发事件的后置条件c_post视为下一个触发事件的前置条件c_pre。

4.根据权利要求1所述的基于零日漏洞的自动驾驶预期功能安全危害评估方法，其特征在于，步骤三中，计算已知触发事件的安全值SK包括：使用四个安全参数，触发频率TF，伤害频率FTI，伤害程度D和重要性IM；

所述触发频率TF指根据行驶一定公里数中的触发事件被触发的次数；

所述伤害频率FTI指在行驶一定公里数后发生伤害事故的次数；

所述伤害程度D指每次伤害中受伤的平均人数；

重要性IM指触发事件的重要性，该事件用于描述不同触发事件影响系统预期功能安全性的程度；重要性IM由触发事件的中心性centrality和中位数median确定；所述中心性centrality指与触发事件相邻的触发事件的数量，并且相邻的触发事件包括触发事件的预触发事件和后触发事件；中位数指由触发事件建立的危害序列数与危害序列总数之比；使用重要性函数f_IM来计算重要性IM：IM＝f_IM(centrality,median)。

5.根据权利要求1所述的基于零日漏洞的自动驾驶预期功能安全危害评估方法，其特征在于，步骤三中，计算未知触发事件的安全值SUK包括：在给定情景S的情况下，执行算法UkteValue来计算此情景的未知触发事件安全值SUK；在算法UkteValue中，每个场景的逻辑命题首先从触发事件中得出；在派生命题的析取范式中，每个合取子句将对应于可以共同危害资产的最小资产集；在该算法中，输入危害图模型HG，一组触发事件T和一组条件C，并输出安全值SUK的值。