引言

/Foreword

鑒于自動駕駛系統(tǒng)（Automated Driving System, ADS）和交通環(huán)境的復雜性以及安全事件的偶發(fā)性，自動駕駛系統(tǒng)需要安全、可靠地處理由外界和自身變化帶來的多種不確定性，才能有效保障智能網(wǎng)聯(lián)汽車安全合規(guī)地行駛，并逐步提升舒適性和智能性。因此，在智能網(wǎng)聯(lián)汽車開發(fā)設計流程中，測試驗證評價是必不可少的環(huán)節(jié)——這需要基于智能網(wǎng)聯(lián)汽車的設計運行條件（Operational Design Condition，ODC）、安全邊界及最小風險策略等，對自動駕駛功能開展全面的測試驗證工作。[1]

為確保智能網(wǎng)聯(lián)汽車產(chǎn)品測試方案的可行性和測試結果的一致性，以及合理調配測試資源、有效降低測試成本，賽目科技參考國內(nèi)外相關法規(guī)和技術標準，基于長期積累的智能網(wǎng)聯(lián)汽車測試經(jīng)驗，提出智能網(wǎng)聯(lián)汽車產(chǎn)品測試策略——構建場景集，解決智能網(wǎng)聯(lián)汽車產(chǎn)品測試“測什么”的問題；提出智能網(wǎng)聯(lián)汽車測試場景和“三支柱”的匹配方法，解決智能網(wǎng)聯(lián)汽車產(chǎn)品測試“怎么測”的問題。

本系列文章將分上、下兩篇，分別闡釋賽目科技提出的測試策略研究如何解決智能網(wǎng)聯(lián)汽車測試“測什么”和“怎么測”兩個核心問題。

測什么？

場景集構建！

對自動駕駛系統(tǒng)進行測試，其目的是測試其在實際運行過程中，面對各種工況下的安全性、合規(guī)性、舒適性、智能性等，因此自動駕駛系統(tǒng)測試的場景集應至少能覆蓋系統(tǒng)的設計運行條件，并充分考慮自動駕駛系統(tǒng)工況中可能出現(xiàn)的危險場景和失效場景。基于此，賽目科技提出，應通過多種來源構建測試場景集，以確保智能網(wǎng)聯(lián)汽車測試的科學性、充分性，主要包括：標準法規(guī)類場景、預期功能安全場景以及實車采集數(shù)據(jù)轉換場景。通過以上多種分析途徑得到的場景作為ADS測試場景集的輸入，構成ADS測試場景集。

1

標準法規(guī)場景構建

標準法規(guī)類測試場景主要參考國內(nèi)外在自動駕駛測試領域發(fā)布的政策標準法規(guī)，包括GB/T 41798-2022《智能網(wǎng)聯(lián)汽車 自動駕駛功能場地試驗方法及要求》[2]、UN Regulation No. 157 - Automated Lane Keeping Systems (ALKS)[3]、A Framework for Automated Driving System Testable Cases and Scenarios[4]等。基于其中提出的測試場景，通過提取場景中的關鍵要素，與ADS的關鍵元素進行匹配，以匹配程度作為依據(jù)，決定是否對該場景進行測試。

標準法規(guī)場景關鍵元素分析匹配流程如圖 1所示：

圖1 關鍵元素分析流程

（點擊查看大圖）

如圖 1所示，首先分析并提取出ADS所有關鍵元素，構造有且僅有ADS全部關鍵元素的集合。同理，分析并提取標準法規(guī)類場景中的關鍵元素，構造集合并判斷：

如成立，說明場景在ADS功能的ODC范圍內(nèi)，即ADS可以在場景中正常運行，故確定場景為必測場景，并將場景加入到標準法規(guī)場景集中；

反之，如果存在任意元素，但，則說明場景不在ADS的設計運行范圍內(nèi)，所以為非必測場景。

下文將通過一個實際案例，更直觀地展示關鍵元素分析法的思路。

本案例選取ADS功能交通擁堵輔助自動駕駛功能（Traffic Jam Pilot, TJP）為分析對象，選取TJP功能描述中聲明的ODC元素構建關鍵元素集合。TJP功能描述[5]以及ODC元素如下表 1所示：

表1 自動駕駛TJP功能說明

以GB/T 41798-2022《智能網(wǎng)聯(lián)汽車 自動駕駛功能場地試驗方法及要求》[2]中推薦的場景為例進行分析，標準場景“施工車道”和“前方車輛切入”的分析過程見下表2：

表2 標準法規(guī)場景匹配程度分析示例

參照上述分析思路，對標準法規(guī)中涉及的場景進行遍歷分析，篩選測試場景，形成標準法規(guī)場景集。

2

預期功能安全場景集構建

預期功能安全（Safety Of The Intended Functionality, SOTIF）重點關注“預期功能”的安全性，即：滿足預期設計要求的功能所具有的安全水平。由于自動駕駛系統(tǒng)本身和運行工況的復雜性與未知性，自動駕駛功能即使?jié)M足設計要求，仍可能存在大量的安全運行風險，故需要對ADS進行SOTIF分析，并對風險控制方案進行測試驗證。[6]因此，為了支撐驗證測試，需要基于SOTIF分析構建預期功能安全測試場景集。

圖2 預期功能安全分析與場景構造流程

（點擊查看大圖）

SOTIF分析流程如圖2所示，首先基于ADS系統(tǒng)的ODC分析，明確ADS的系統(tǒng)邊界，同時需要對系統(tǒng)功能及ODC等進行明確定義。

隨后，依次從整車層面、系統(tǒng)層面以及組件層面，分析識別預期功能的潛在危害行為，并對已識別出的危害事件進行風險評估，并定義相應的風險可接受準則。

如果證明危害事件不會導致不合理的風險，則不需應用額外的修改措施。若危害事件會導致不合理風險，需要識別可能導致預期功能危害行為的根本原因，并評估潛在功能不足和觸發(fā)條件引起的風險是否合理。

根據(jù)前期的活動，如果必要，則對功能進行修改（如：改進傳感器的能力，系統(tǒng)降級，進一步限制ODC，提示接管等），以改進預期功能安全。若評估系統(tǒng)對觸發(fā)條件的響應為可接受，則構造相應的測試場景，通過“三支柱”測試證明與SOTIF相關的整車層面殘余風險在功能修改后已滿足風險可接受水平。為了能夠收集所需的證據(jù)，可以從該策略中導出相應的測試用例，且保證ODC上的測試用例具有足夠高的覆蓋率。

下表3是分析示例，分別分析了ADS的TJP功能的功能不足和性能局限，并以“攝像頭識別標志線”和“攝像頭識別目標物”為例，基于危害行為分析、危害分析，構造預期功能安全場景：

表3 自動駕駛TJP功能說明

功能分層	攝像頭識別標志線	攝像頭識別目標物
危害行為	攝像頭無法識別磨損車道線，導致車道線識別率下降，試驗車未識別到車道線，轉向系統(tǒng)輸出力矩，制動系統(tǒng)未輸出制動力。	前方目標車顏色（橘黃色）與當前背景顏色（黃昏時）相近，攝像頭對前方目標物識別準確度下降，試驗車未識別前方目標車輛，制動系統(tǒng)未輸出制動力，轉向系統(tǒng)未輸出力矩。
危害	試驗車與目標車存在碰撞風險	與前方目標車存在碰撞風險
場景設計	直道，雙向4車道，右側存在目標車。試驗車以35km/h保持車道內(nèi)行駛，目標車以30km/h行駛，兩車縱向距離10m、橫向距離1.75m，車道線磨損。	雙向4車道，試驗車以40km/h保持車道內(nèi)行駛，相同車道前方目標車以30km/h保持車道內(nèi)行駛，兩車縱向距離>15.6m，目標車橘黃色，時間18:00，試驗車逆光行駛。
場景圖示
可接受風險準則	車輛不越過車道邊線，橫向加速度變化率在 0.5s 內(nèi)的平均值不超過5m/s3。	不發(fā)生碰撞，且制動減速度<3m/s2，減速后保持與前車最小安全距離>10.8m。或感知系統(tǒng)識別為ODC范圍外場景，提示接管并減速。

賽目科技自主研發(fā)了安全分析工具Safety Pro，按照標準化的流程執(zhí)行SOTIF閉環(huán)分析。Safety Pro整合了ISO 21448標準提及的所有分析方法，包括HAZOP、FTA、SPTA、GSN和FMEA，并在核心分析環(huán)節(jié)匹配雙重分析方法，形成互查、互補，充分保證分析結果的完整性，可分析產(chǎn)品的局限性和潛在不足，實現(xiàn)了SOTIF分析和邏輯場景自動化搭建。

圖3 SOTIF閉環(huán)分析流程

（點擊查看大圖）

圖 3為SOTIF閉環(huán)分析流程，關于安全分析工具Safety Pro的詳細介紹可參看往期文章《預期功能安全的閉環(huán)實踐——基于算法驅動的驗證體系》。

3

實車采集數(shù)據(jù)場景集構建

實車采集數(shù)據(jù)轉化而來的測試場景能夠保留真實交通場景的隨機性、復雜性，是擴充場景集中自然駕駛場景、邊緣場景、失效場景的主要途徑。

實車采集數(shù)據(jù)場景構建的主要方法是搭建采集車采集真實的交通數(shù)據(jù)信息，通過對采集信息的進一步處理和轉換，生成仿真場景。目前，賽目科技已有自主研發(fā)的場景采集與生成工具鏈，如圖4所示該工具鏈集成了場景數(shù)據(jù)采集車、數(shù)據(jù)清洗、感知數(shù)據(jù)融合、場景識別與提取工具，并支持自動化生成OpenX標準格式的場景文件，實現(xiàn)了真實交通場景數(shù)據(jù)到模擬仿真場景文件的轉化。

圖4 場景采集與生成工具鏈結構圖

（點擊查看大圖）

工具鏈中的場景識別與提取功能基于自編碼、聚類算法、算法融合等機器學習和深度學習方法，采用時間和數(shù)據(jù)多維度聚合和聚類算法，已能實現(xiàn)精確提取各種邏輯場景。自然駕駛場景有：主車/環(huán)境車切入切出，跟車等；危險工況場景有：超車、緊急制動、連續(xù)變速、行人橫穿、行人主車同向、盲區(qū)遮擋等。場景自動化標注工具還可以根據(jù)KPI（Key Performance Indicator）安全性指標執(zhí)行場景提取標注，常用的KPI安全性指標有：碰撞時間、安全距離等。

此外，賽目科技還提供可與場景采集與生成工具配套的場景管理平臺，支持導入OpenX標準格式場景文件，以及場景文件標簽標注，大大提高場景采集與生成的效率。

4

場景泛化與用例生成

為了保證自動駕駛系統(tǒng)測試場景的有效性和覆蓋度，測試場景中的要素都被定義了取值范圍，可以是連續(xù)或離散，也可以是無限或有限。從場景角度來看，為了避免產(chǎn)生無限多場景，需對樣本空間進行采樣，并通過盡量少的樣本，覆蓋設計運行范圍。

場景空間樣本生成的方法有以全因子法、中心組合法和二次最優(yōu)法為代表的確定性樣本策略，以及以蒙特卡洛采樣、拉丁超立方采樣為代表的隨機樣本策略。

目前賽目科技研發(fā)的場景空間分析工具可實現(xiàn)邏輯場景采樣泛化——通過樣本空間生成方法，輸出具體場景，并能根據(jù)自動駕駛系統(tǒng)的安全要求和接受準則進行敏感性分析，實現(xiàn)參數(shù)空間維度降低，最終得到覆蓋被測自動駕駛系統(tǒng)功能和ODC的充分合理的測試用例集，如圖 5所示。

圖5 賽目科技測試空間分析工具示意圖

(點擊查看大圖）

除場景測試空間采樣泛化外，圖 5中還包括了測試空間分析工具的其他功能：

#

KPI初步分析

觀察整體表現(xiàn)，快速基于方差/概率的整體魯棒性分析。

#

敏感度分析

對測試空間進行降維，提升測試效率；建立擬合模型，提供先驗知識及近似求解器，提升可靠性分析效率。

#

可靠性分析

用可接受的成本對系統(tǒng)失敗概率的準確估計。

#

臨界面魯棒性分析

基于可靠性分析尋找到的失敗臨界面，判斷系統(tǒng)在失敗臨界面的表現(xiàn)。

結語

本文是《智能網(wǎng)聯(lián)汽車測試策略研究》系列的上篇，主要回答了智能網(wǎng)聯(lián)汽車測試策略中“測什么”的問題，基于賽目科技的實踐經(jīng)驗和研究成果，提出測試策略研究的場景集構建方法，以及場景泛化與用例生成的方法。