如何解决智能网联汽车测试问题

 

引言

/Foreword

鉴于自动驾驶系统（Automated Driving System, ADS）和交通环境的复杂性以及安全事件的偶发性，自动驾驶系统需要安全、可靠地处理由外界和自身变化带来的多种不确定性，才能有效保障智能网联汽车安全合规地行驶，并逐步提升舒适性和智能性。因此，在智能网联汽车开发设计流程中，测试验证评价是必不可少的环节——这需要基于智能网联汽车的设计运行条件（Operational Design Condition，ODC）、安全边界及最小风险策略等，对自动驾驶功能开展全面的测试验证工作。[1]

为确保智能网联汽车产品测试方案的可行性和测试结果的一致性，以及合理调配测试资源、有效降低测试成本，赛目科技参考国内外相关法规和技术标准，基于长期积累的智能网联汽车测试经验，提出智能网联汽车产品测试策略——构建场景集，解决智能网联汽车产品测试“测什么”的问题；提出智能网联汽车测试场景和“三支柱”的匹配方法，解决智能网联汽车产品测试“怎么测”的问题。

本系列文章将分上、下两篇，分别阐释赛目科技提出的测试策略研究如何解决智能网联汽车测试“测什么”和“怎么测”两个核心问题。

 

测什么？

场景集构建！

对自动驾驶系统进行测试，其目的是测试其在实际运行过程中，面对各种工况下的安全性、合规性、舒适性、智能性等，因此自动驾驶系统测试的场景集应至少能覆盖系统的设计运行条件，并充分考虑自动驾驶系统工况中可能出现的危险场景和失效场景。基于此，赛目科技提出，应通过多种来源构建测试场景集，以确保智能网联汽车测试的科学性、充分性，主要包括：标准法规类场景、预期功能安全场景以及实车采集数据转换场景。通过以上多种分析途径得到的场景作为ADS测试场景集的输入，构成ADS测试场景集。

1

标准法规场景构建   

标准法规类测试场景主要参考国内外在自动驾驶测试领域发布的政策标准法规，包括GB/T 41798-2022《智能网联汽车 自动驾驶功能场地试验方法及要求》[2]、UN Regulation No. 157 - Automated Lane Keeping Systems (ALKS)[3]、A Framework for Automated Driving System Testable Cases and Scenarios[4]等。基于其中提出的测试场景，通过提取场景中的关键要素，与ADS的关键元素进行匹配，以匹配程度作为依据，决定是否对该场景进行测试。

标准法规场景关键元素分析匹配流程如图 1所示：

图1 关键元素分析流程

（点击查看大图）

如图 1所示，首先分析并提取出ADS所有关键元素，构造有且仅有ADS全部关键元素的集合  。同理，分析并提取标准法规类场景  中的关键元素，构造集合  并判断：

如  成立，说明场景  在ADS功能的ODC范围内，即ADS可以在场景  中正常运行，故确定场景  为必测场景，并将场景  加入到标准法规场景集  中；

反之，如果存在任意元素  ，但  ，则说明场景  不在ADS的设计运行范围内，所以为非必测场景。

下文将通过一个实际案例，更直观地展示关键元素分析法的思路。

本案例选取ADS功能交通拥堵辅助自动驾驶功能（Traffic Jam Pilot, TJP）为分析对象，选取TJP功能描述中声明的ODC元素构建关键元素集合。TJP功能描述[5]以及ODC元素如下表 1所示：

表1 自动驾驶TJP功能说明

ADS功能	交通拥堵辅助自动驾驶功能（Traffic Jam Pilot, TJP）
功能概述	交通拥堵辅助自动驾驶功能（Traffic Jam Pilot, TJP）在拥堵的高速公路上驾驶员可以放开双手双脚，同时注意力可在较长时间内从驾驶环境中转移，系统最高工作速度为60km/h。
功能描述	系统能在可识别的车道内持续横向控制，保持车辆中轴线与车道边界的横向位置稳定以避免误导其他道路使用者。 在没有目标车辆时，系统能根据驾驶员设定的车速最终稳定在自车道内匀速行驶。 系统具备稳定跟随目标车辆行驶的功能，控制试验车辆与目标车辆保持合理的跟车距离。 由于其他道路使用者行驶动态（例如车辆切入、目标车辆急减速等）而暂时造成跟车距离小于最小跟车间距，则试验车辆应及时调减车速以重新使实际跟车距离不小于最小跟车距离，除需要紧急刹车的情况外，调整过程中车辆应保持平稳。 系统能使试验车辆在合理范围内有稳定跟随目标车辆行驶及起停的能力。在驾驶员注意力在环的情况下，试验车辆单次起停的最长停止时间应不大于5min。
ODC元素	高速公路，本车道和相邻车道目标车识别，可脱手，注意力可转移，最高工作速度60km/h。

以GB/T 41798-2022《智能网联汽车 自动驾驶功能场地试验方法及要求》[2]中推荐的场景为例进行分析，标准场景“施工车道”和“前方车辆切入”的分析过程见下表2：

表2 标准法规场景匹配程度分析示例

	标准场景1	标准场景2
场景类型	施工车道	前方车辆切入
场景说明	试验道路：至少为具备单向双车道的长直道； 标志标线：中间车道线为虚线，外侧车道依据道路施工长期作业区的交通控制要求摆放交通锥及交通标志等。	试验道路：至少包含两条车道的长直道； 标志标线：中间车道线为虚线; 试验环境：测试车辆右前方存在目标车辆，目标车辆以初始速度匀速行驶，随后完整完成整个切入动作。
场景ODC元素	长直道路，道路施工	长直道路，目标车辆（机动车）
ODC元素分析	长直道路：在TJP功能的ODC中，未明确说明道路线形元素，但长直道路是高速公路常见的道路几何线型，因此判断该元素在TJP的ODC范围内。 道路施工：TJP功能的ODC中未包括对道路施工的识别与响应，因此判断该元素不在TJP的ODC范围内。	长直道路：在TJP功能的ODC中，未明确说明道路线形元素，但长直道路是高速公路常见的道路几何线型，因此判断该元素在TJP的ODC范围内。 目标车辆：TJP功能的ODC中未包括对目标车辆的识别与响应，因此判断该元素在TJP的ODC范围内。
是否测试	两个ODC元素中，有一个元素超出TJP的ODC范围。该场景为非必测场景	两个ODC元素均在TJP的ODC范围。该场景为必测场景

参照上述分析思路，对标准法规中涉及的场景进行遍历分析，筛选测试场景，形成标准法规场景集。

2

预期功能安全场景集构建  

预期功能安全（Safety Of The Intended Functionality, SOTIF）重点关注“预期功能”的安全性，即：满足预期设计要求的功能所具有的安全水平。由于自动驾驶系统本身和运行工况的复杂性与未知性，自动驾驶功能即使满足设计要求，仍可能存在大量的安全运行风险，故需要对ADS进行SOTIF分析，并对风险控制方案进行测试验证。[6]因此，为了支撑验证测试，需要基于SOTIF分析构建预期功能安全测试场景集。

图2 预期功能安全分析与场景构造流程

（点击查看大图）

SOTIF分析流程如图2所示，首先基于ADS系统的ODC分析，明确ADS的系统边界，同时需要对系统功能及ODC等进行明确定义。

随后，依次从整车层面、系统层面以及组件层面，分析识别预期功能的潜在危害行为，并对已识别出的危害事件进行风险评估，并定义相应的风险可接受准则。

如果证明危害事件不会导致不合理的风险，则不需应用额外的修改措施。若危害事件会导致不合理风险，需要识别可能导致预期功能危害行为的根本原因，并评估潜在功能不足和触发条件引起的风险是否合理。

根据前期的活动，如果必要，则对功能进行修改（如：改进传感器的能力，系统降级，进一步限制ODC，提示接管等），以改进预期功能安全。若评估系统对触发条件的响应为可接受，则构造相应的测试场景，通过“三支柱”测试证明与SOTIF相关的整车层面残余风险在功能修改后已满足风险可接受水平。为了能够收集所需的证据，可以从该策略中导出相应的测试用例，且保证ODC上的测试用例具有足够高的覆盖率。

下表3是分析示例，分别分析了ADS的TJP功能的功能不足和性能局限，并以“摄像头识别标志线”和“摄像头识别目标物”为例，基于危害行为分析、危害分析，构造预期功能安全场景：

表3 自动驾驶TJP功能说明

功能分层	摄像头识别标志线	摄像头识别目标物
危害行为	摄像头无法识别磨损车道线，导致车道线识别率下降，试验车未识别到车道线，转向系统输出力矩，制动系统未输出制动力。	前方目标车颜色（橘黄色）与当前背景颜色（黄昏时）相近，摄像头对前方目标物识别准确度下降，试验车未识别前方目标车辆，制动系统未输出制动力，转向系统未输出力矩。
危害	试验车与目标车存在碰撞风险	与前方目标车存在碰撞风险
场景设计	直道，双向4车道，右侧存在目标车。试验车以35km/h保持车道内行驶，目标车以30km/h行驶，两车纵向距离10m、横向距离1.75m，车道线磨损。	双向4车道，试验车以40km/h保持车道内行驶，相同车道前方目标车以30km/h保持车道内行驶，两车纵向距离>15.6m，目标车橘黄色，时间18:00，试验车逆光行驶。
场景图示
可接受风险准则	车辆不越过车道边线，横向加速度变化率在 0.5s 内的平均值不超过5m/s³。	不发生碰撞，且制动减速度<3m/s²，减速后保持与前车最小安全距离>10.8m。或感知系统识别为ODC范围外场景，提示接管并减速。

赛目科技自主研发了安全分析工具Safety Pro，按照标准化的流程执行SOTIF闭环分析。Safety Pro整合了ISO 21448标准提及的所有分析方法，包括HAZOP、FTA、SPTA、GSN和FMEA，并在核心分析环节匹配双重分析方法，形成互查、互补，充分保证分析结果的完整性，可分析产品的局限性和潜在不足，实现了SOTIF分析和逻辑场景自动化搭建。

图3 SOTIF闭环分析流程

（点击查看大图）

图 3为SOTIF闭环分析流程，关于安全分析工具Safety Pro的详细介绍可参看往期文章《预期功能安全的闭环实践——基于算法驱动的验证体系》。

3

实车采集数据场景集构建

实车采集数据转化而来的测试场景能够保留真实交通场景的随机性、复杂性，是扩充场景集中自然驾驶场景、边缘场景、失效场景的主要途径。

实车采集数据场景构建的主要方法是搭建采集车采集真实的交通数据信息，通过对采集信息的进一步处理和转换，生成仿真场景。目前，赛目科技已有自主研发的场景采集与生成工具链，如图4所示该工具链集成了场景数据采集车、数据清洗、感知数据融合、场景识别与提取工具，并支持自动化生成OpenX标准格式的场景文件，实现了真实交通场景数据到模拟仿真场景文件的转化。

图4 场景采集与生成工具链结构图

（点击查看大图）

工具链中的场景识别与提取功能基于自编码、聚类算法、算法融合等机器学习和深度学习方法，采用时间和数据多维度聚合和聚类算法，已能实现精确提取各种逻辑场景。自然驾驶场景有：主车/环境车切入切出，跟车等；危险工况场景有：超车、紧急制动、连续变速、行人横穿、行人主车同向、盲区遮挡等。场景自动化标注工具还可以根据KPI（Key Performance Indicator）安全性指标执行场景提取标注，常用的KPI安全性指标有：碰撞时间、安全距离等。

此外，赛目科技还提供可与场景采集与生成工具配套的场景管理平台，支持导入OpenX标准格式场景文件，以及场景文件标签标注，大大提高场景采集与生成的效率。

4

场景泛化与用例生成

为了保证自动驾驶系统测试场景的有效性和覆盖度，测试场景中的要素都被定义了取值范围，可以是连续或离散，也可以是无限或有限。从场景角度来看，为了避免产生无限多场景，需对样本空间进行采样，并通过尽量少的样本，覆盖设计运行范围。

场景空间样本生成的方法有以全因子法、中心组合法和二次最优法为代表的确定性样本策略，以及以蒙特卡洛采样、拉丁超立方采样为代表的随机样本策略。

目前赛目科技研发的场景空间分析工具可实现逻辑场景采样泛化——通过样本空间生成方法，输出具体场景，并能根据自动驾驶系统的安全要求和接受准则进行敏感性分析，实现参数空间维度降低，最终得到覆盖被测自动驾驶系统功能和ODC的充分合理的测试用例集，如图 5所示。

图5 赛目科技测试空间分析工具示意图

(点击查看大图）

除场景测试空间采样泛化外，图 5中还包括了测试空间分析工具的其他功能：

#

KPI初步分析

观察整体表现，快速基于方差/概率的整体鲁棒性分析。

#

敏感度分析

对测试空间进行降维，提升测试效率；建立拟合模型，提供先验知识及近似求解器，提升可靠性分析效率。

#

可靠性分析

用可接受的成本对系统失败概率的准确估计。

#

临界面鲁棒性分析

基于可靠性分析寻找到的失败临界面，判断系统在失败临界面的表现。

结语

本文是《智能网联汽车测试策略研究》系列的上篇，主要回答了智能网联汽车测试策略中“测什么”的问题，基于赛目科技的实践经验和研究成果，提出测试策略研究的场景集构建方法，以及场景泛化与用例生成的方法。