[发明专利]一种无人集卡安全完整性等级评估方法

说明书

本申请涉及一种无人集卡安全完整性等级评估方法，包括：确定可能使所述无人集卡发生潜在危害的失效事件和失效时的运营场景；基于所述失效事件和运营场景，评估在失效事件发生时，所述无人集卡的严重度等级、暴露率等级、可控性等级；基于所述严重度等级、暴露率等级、可控性等级，判断所述无人集卡的安全完整性等级。本申请通过对严重度等级重新定义，有效解决无人集卡车辆在发生事故时，由于现场没有人的参与导致的ASIL等级评估不准确，在设计开发过程中不能有效指导开发的问题，同时有利于指导车辆概念设计阶段的研发及车辆安全性能的测试验证，帮助降低无人集卡车辆发生电气功能失效时导致的事故概率及损失，提升无人集卡的安全性。

技术领域

本申请涉及无人集卡领域，具体来说，涉及无人集卡安全完整性等级评估领域。

背景技术

随着科技的进步，无人驾驶技术逐渐走入大众的视线。目前，虽然离无人驾驶应用到公共道路上运行的乘用车上还具有一定距离，但将L4级（高度自动驾驶）自动驾驶车辆应用于一些限定园区中已经成为现实，如港口、码头的无人集卡（无人驾驶集装箱卡车）。

无人集卡一方面需要完成高度自动驾驶，另一方面需要与港口、码头的起重机、龙门吊等设备合作，以完成集装箱的装卸工作。因此，无人集卡需要由众多的电气设备配合才能支撑上述功能。然而，随着汽车电气设备增多，在提升车辆性能的同时也提升了整车的故障风险。

ISO 26262标准中提出了ASIL（Automotive Safety Integration Level）汽车安全完整性等级的概念，可以对失效（故障）后带来的风险进行评估和量化以达到安全目标。在产品概念设计阶段对系统进行危害分析和风险评估，识别出系统的危害，如果系统的安全风险越大，对应的安全要求级别就越高，其具有的ASIL的等级也越高。虽然ISO 26262-2018能够有效解决车辆全生命周期中由电气故障带来的危害，但是，其危害性（严重度）更多的是强调危害发生时对人的危害，根据人员伤亡情况确认危害性的大小，其不能适用于无人集卡中。原因在于，无人集卡在港口实际运营过程中，首先车辆实际可能发生事故的类型中，与堆场集装箱相撞、与桥吊相撞、冲出海面等没有人员参与的事故概率更大，所以发生事故时对人员是没有伤害的；另外，即便有人员参与到了事故中，由于工作人员接受的安全培训以及一些安全措施，人员是有能力避开危险的。上述两种情况时若沿用传统的ASIL的方法，则评估出的危害性为低，安全完整性等级基本也为低。这会使得评估符合ISO标准的功能安全要求，但显然对于无人集卡而言，该车辆还是处于危险之中的。这样的结果对于车辆开发公司和港口车辆运营使用公司是无法接受的。由此可见，ISO 26262的标准应用在无人集卡上并未取得显著成果，部分与人不相关但严重影响车辆、集装箱等资产安全的危害应用功能安全的分析方法无法避免。

现有技术中还没有一套完善的针对无人集卡的安全完整性评估和有效指导无人集卡开发的方法。一套如何合理的评估关于无人集卡的安全完整性并有效指导无人集卡开发的方法是很重要的。

上述问题成为亟需解决的问题。

发明内容

本申请的目的在于克服现有技术的不足，提供一种针对无人集卡的安全完整性等级评估方法，通过对严重度等级重新定义，结合功能安全标准中E、C的取值定义，来适应ASIL等级评估标准在无人集卡中的应用，得到了一套更适用于无人集卡这种特殊车辆的车辆安全完整性等级ASIL的评估标准，解决了无人集卡发生事故时，由于评估标准的不合理导致ASIL等级为QM无法有效指导开发的问题，且本发明中提出了一套无人集卡车辆ASIL等级评估方法，可以更合理的评估无人集卡车辆安全完整性等级，利于指导车辆概念设计阶段的研发及车辆安全性能的测试验证，提升了无人集卡的安全性。

本申请的目的是通过以下技术方案来实现的：

本申请提出一种无人集卡安全完整性等级评估方法，包括：

确定可能使所述无人集卡发生潜在危害的失效事件和失效时的运营场景；