1、2023 年(第 45 卷)第 9 期汽车工程Automotive Engineering2023(Vol.45 )No.9基于关键场景的预期功能安全双闭环测试验证方法*吴思宇1,于文浩1,邢星宇2,张玉新3,李楚照1,4,李雪轲5,古昕昱5,李云巍1,马小涵6,路伟7,王政7,郝圳茂8,王红1,李骏1(1.清华大学车辆与运载学院,北京 100084;2.同济大学汽车学院,上海 201804;3.吉林大学,汽车仿真与控制国家重点实验室,长春 130025;4.中国汽车工程研究院股份有限公司,重庆 401122;5.燕山大学电气工程学院,秦皇岛 066000;6.北京理工大学机械与车辆学院,北京
2、 100081;7.北京航迹科技有限公司,北京 100193;8.新加坡国立大学系统科学学院,新加坡 119077)摘要 预期功能安全作为道路运行安全的重要组成,是智能网联汽车的核心挑战。全面高效的预期功能安全测试验证方法能够有效支撑系统安全开发流程。本文提出一种以关键场景为载体、由封闭验证和开放论证双闭环构建的测试验证框架,并综合论述关键场景构建技术,进一步建立接受准则的量化方法。最后,本文展望在预期功能安全测试验证领域亟待推进的关键研究。本文旨在为智能网联汽车预期功能安全测试验证的工程实践提供兼具可操作性和理论充分性的参考依据。关键词:智能网联汽车;预期功能安全;测试验证;关键场景;接受准
3、则Methodology of Critical Scenarios-Based Dual-Loop Testing and Verification for Safety of the Intended FunctionalityWu Siyu1,Yu Wenhao1,Xing Xingyu2,Zhang Yuxin3,Li Chuzhao1,4,Li Xueke5,Gu Xinyu5,Li Yunwei1,Ma Xiaohan6,Lu Wei7,Wang Zheng7,Hao Zhenmao8,Wang Hong1&Li Jun11.School of Vehicle and Mobili
4、ty,Tsinghua University,Beijing 100084;2.School of Automotive Studies,Tongji University,Shanghai 201804;3.Jilin University,State Key Laboratory of Automotive Simulation and Control,Changchun 130025;4.China Automotive Engineering Research Institute,Chongqing 401122;5.Institute of Electrical Engineerin
5、g,Yanshan University,Qinhuangdao 066000;6.School of Mechanical Engineering,Beijing Institute of Technology,Beijing 100081;7.Voyager(Beijing)Tech.Co.,Limited,Beijing 100193;8.Institute of Systems Science,National University of Singapore,Singapore 119077Abstract Safety of the Intended Functionality(SO
6、TIF)is a vital part of autonomous driving and poses a significant challenge for intelligent connected vehicles,which requires comprehensive and high-efficiency testing and verification methodology to effectively assist the safety development process of the system.Based on critical scenarios,this pap
7、er proposes a dual-loop framework with close loop verification and dynamic evaluation,summarizes the technologies for critical scenarios construction,and further formulizes a quantitative method for acceptance criterion.Finally,this article looks forward to key researches in the area of SOTIF testin
8、g and verification.The paper aims to provide a maneuverable and theoretical reference for the engineering practice on the SOTIF for intelligent connected vehicle.Keywords:intelligent connected vehicle;safety of the intended functionality;testing and verification;doi:10.19562/j.chinasae.qcgc.2023.09.
9、008*国 家 自 然 科 学 基 金 联 合 基 金(U1964203)、国 家 自 然 科 学 基 金 面 上 基 金(52072215)、科 技 部 重 点 研 发 项 目(2022YFB2503003)和智能绿色车辆与交通国家重点实验室资助。原稿收到日期为 2023 年 07 月 08 日,修改稿收到日期为 2023 年 08 月 12 日。通信作者:王红,副研究员,博士,E-mail:hong_。汽车工程2023 年(第 45 卷)第 9 期critical scenario;acceptance criterion前言汽车是交通中广泛应用的运载工具。随着科学技术的发展和变革,汽车成
10、为前沿技术集成的最佳载体之一,正在加速向新四化转型。作为新一代复杂的工业化产品,智能网联汽车集控制技术、信息技术、智能技术于一体,在带来舒适、节能和高效运载能力的同时,其安全性也受到社会公众的广泛关注。预期功能安全是道路运行安全的关键组成,与智能网联汽车的电气电子系统和信息智能算法强相关。随着智能网联汽车向着高级别发展,预期功能安全问题逐渐暴露,是制约技术应用和推广的严峻挑战,相关保障技术成为业界和学术关注的热点研究。其中,测试验证是预期功能安全保障的关键技术,支撑智能网联汽车安全开发的全生命周期1。近年来,国际组织相继推出的智能网联汽车相关标准都明确包含了预期功能安全的测试验证。联合国自动驾
11、驶验证方法工作组提出了自动驾驶的评估测试框架,以多支柱法为核心建立可重复、客观和可循证的框架说明自动驾驶的安全性,并将预期功能安全作为重要要求之一;国际标准化组织联合多家企业发布了自动驾驶标准ISO/TR 48042,提供了产品安全评估、监管和协作标准,并在其中确定了预期功能安全设计流程;国际标准化组织下属的自动驾驶测试场景工作组,建立围绕场景的自动驾驶评估框架3450X系列标准3-7,旨在提供从场景构建、分类到测试的标准化规程,并在场景构建过程中重点考虑了预期功能安全的典型触发条件;欧盟针对L3及以上自动驾驶级别建立了ECE R155-157 8-10系列标准,提供了网络、软件更新、自动车道
12、保持系统的安全验证工程实践,并将预期功能安全作为基本要求;UL 460011建立的面向安全目标评估标准,包含了对预期功能安全的评估。目前,智能网联汽车诸多标准中均提及了预期功能安全的必要性。然而,预期功能安全作为前沿技术概念,相应接受准则和论证方法尚处于研制和实践中,未在标准中进行具体规定。国内外相关企业和项目组结合研发经验,在系统开发的工程实践中引入多样的测试方法和内容。Waymo公司提出了自动驾驶28个核心能力测试,并对整车级别进行公共道路测试、避碰能力测试、硬件可靠性和耐久性测试;Tesla公司通过影子模式对特定驾驶行为及其场景数据进行识别和提取,积累数据用于支撑相关研发和测试12;Co
13、ntinental公司引入了安全分析工具对产品进行评估13;宝马公司牵头的PEGASUS项目组提供六层场景模型14来支持测试用例的构建,并综合因果分析15、多支柱方法和分层验证16等理念建立测试验证方法17;美国交通部NHTSA基于21448预期功能安全标准对L3级及以上的高速巡航系统进行安全分析实践,并提供了风险评估方案18;欧盟的ENSEMBLE项目提供从功能危害分析到风险评估的具体指导,并将功能失效按照系统进行归类19;日本的SAKURA项目面向L3级及以上的高速运行自动驾驶系统建立明确流程,并提供了具体测试场景分类20。上述工程实践面向自动驾驶系统或整车,将经典测试方法和专家经验分析进
14、行充分结合,形成具有较强可操作的测试方案,并一定程度上考虑了预期功能安全问题。然而,上述方法大多基于专家经验分析,缺少系统的论证过程和充分的理论支撑。Zhang等为避免不同基准数据集对测试评价的影响,设计级联坦克模型建立不同细粒度的难度等级21;Huang等基于共克里金模型(co-Kiriging model)综合分析了不同可信程度的测试结果22;Xu 等开发了基于场景的测试平台SafeBench,集成多个关键测试场景和测试指标23;此外,多个文献也综述了当前自动驾驶测试技术和应用进展24-26。上述测试方法主要面向自动驾驶算法,然而预期功能安全具有特殊性和复杂性,不能简单复用经典测试方案和框
15、架,须根据其特征设计新的方法论和技术手段。智能网联汽车系统的复杂性和道路运行语境的开放性给预期功能安全测试验证提出了新的挑战。因此,需要一个兼具高效性和通用性的框架支持预期功能安全系统性测试验证。具体而言,智能网联汽车预期功能安全测试验证方法应考虑预期功能安全特点,建立通用的框架支撑完整的系统性论证过程,并将基于经验的分析方法和前沿的智能方法相结合形成兼具可操作性和可靠性的测试验证技术。本文从预期功能安全概念分析出发,结合智能网联汽车特点创新性提出一种双闭环框架,分为封闭验证和开放论证两个阶段进行测试验证(第 1节)。进一步地,本文针对关键场景和接受准则两个 15842023(Vol.45)N
16、o.9吴思宇,等:基于关键场景的预期功能安全双闭环测试验证方法核心问题,设计了关键用例和交互环境的构建流程并综合论述具体实现技术,同时提出双层接受准则的量化方式并引入了人类驾驶员模型作为接受准线。最后,本文从场景构建实践、测试工具、数据积累3个方面对预期功能安全测试验证领域面临的挑战进行总结和展望。1预期功能安全测试验证框架随着智能网联汽车对电气电子系统和复杂算法依赖性的增加,ISO 21448标准定义了预期功能安全概念,对功能安全(functional safety,FuSa)27所定义的电气电子故障之外的安全风险进行补充。本节从智能网联汽车特点和预期功能安全概念分析出发,说明测试验证目标和
17、需求,并提出一种全新的双闭环框架。1.1智能网联汽车预期功能安全分析智 能 网 联 汽 车(intelligent connected vehicle,ICV)是一种搭载传感器、控制器和执行器等先进装置,融合现代通信与网络技术,进行人、车、路的信息交换共享并具有不同级别自动驾驶能力的新一代运载设备。环境感知、地图定位、决策规划、控制执行、网联通讯、人机交互是 ICV 典型 6 大系统28-29。此外,也有研究和应用将部分系统功能整合,形成端到端的黑盒系统30-31。ICV集成了复杂多样的软硬件技术。从顶层技术框架到具体的算法参数设置,不同 ICV配置具有较大差异。另一方面,ICV系统软件和算法
18、深度应用人工智能技术,在建立自动驾驶的同时也带来了不可解释的特点,其行为动机在部分案例下与人类驾驶模式具有一定差异性。因此,无法只依赖人类驾驶经验或系统结构分析对ICV的封闭系统进行故障排查和测试验证。预期功能安全(safety of the intended functionality,SOTIF)定义为不存在因预期功能不足引起的危害而导致不合理风险32。其中,预期功能是在整车层面定义的功能,在考虑能力局限下的标称功能界定为预期行为。功能不足既包括规范定义的不足(如不完整的规范定义),也包括性能局限(如技术局限)。功能不足的指向范围既有整车层面的预期功能,也包含电气电子要素的实现(包括硬件、
19、算法等)。功能不足会导致危害行为或无法防止、探测及减轻合理可预见误用。图 1 展示了智能网联汽车伤害(harm)触发路径。运行环境中未知或已知的风险要素形成触发条件,导致整车或系统层面对预期功能的规范不足,亦或是系统组件的性能存在局限无法满足功能定义的期望,形成SOTIF风险。SOTIF和FuSa造成的危害(hazardous)行为包括直接产生风险(如造成新的损伤或原有损失的严重度增加),或间接使风险的控制能力降低(如原有的控制措施失效,或危害事件发生概率提高)。如果定义的控制措施无法有效控制危害行为,则危害行为转为危害事件,对交通参与者、道路设施等具体实体对象产生伤害。SOTIF危害来源于I
20、CV,在运行环境中产生和演化,最终又影响ICV整车和系统。ICV需要面对人-车-环境高度耦合的动态场景,丰富的时变要素共同构成了“维度爆炸”问题33。随着ICV向着高级别自动驾驶发展,运行范围逐步扩大,“长尾效应”带来的稀有事件影响进一步放大。因此,ICV的 SOTIF测试验证离不开系统本身和运行环境。图 1智能网联汽车伤害触发路径 1585汽车工程2023 年(第 45 卷)第 9 期1.2SOTIF测试验证要求分析测试验证贯穿从定义到确认的完整研发流程,是保障道路运行安全的必要环节。测试验证通过观察被测对象在设置条件下的系统响应,评估被测对象在实际运行条件下的状态。SOTIF测试验证重点论
21、证系统“未失效”情况下的“不完美”的程度。SOTIF测试验证通过一定流程对ICV系统及整车潜在的功能不足和危害行为进行暴露,促进研发流程中对相关功能的维护以及整车或系统运行范围的规范,为监管部门提供安全状态的确认证据,并向市场客观评价性能水平。因此,ICV 的 SOTIF 测试验证目标定义为在一定的框架范式中综合各类技术手段,应用有限资源,高效、可信地暴露系统功能不足,规范整车安全运行范围,提供相应证据确认风险在可接受范围内。进一步地,对ICV的安全性能进行说明。综合考量 ICV 产品快速迭代的特性以及测试验证对于安全保障的重要地位,论证的可操作性和严谨性是测试验证方案的主要导向,细化的要求包
22、括但不限于如下内容。通用性:测试验证应具有通用可扩展的流程框架,能够适应不同的测试对象和层级,兼容不同技术手段以充分支撑测试内容。高效性:测试验证方案设计应兼顾覆盖度和效率,提高具体方案的效能,减少不必要的成本。其中,低冗余是提高效能的关键,包括但不限于减少测试用例的重叠、非必要技术手段和轮次的重复。客观性:测试过程应保持客观中立,方案设计和实施流程应统一、明确;验证目标需要通过全面、有效的证据说明;确认准线或阈值的设定不应随被测对象的具体配置或结构更改。完备性:测试对象应包括从软硬件系统到整车集成的多个层级;测试内容应覆盖所有必要的考量因素;评价指标应避免单一安全指标,综合考虑不同评价维度。
23、一致性:测试验证结果应和现实道路运行具有一致性,包括具有一定保真度的技术实施手段、与现实环境相同的交通运行逻辑等。可循证:论证过程应明确可靠,包括合理的假设与前提、严密的理论说明、可重复的执行过程、可回溯的证据链条等。除了上述要求外,测试验证方案设计还应关注过程的规范性、实施的安全性等。不同于FuSa等安全验证思路,SOTIF与系统功能、运行环境强相关。ICV的系统组成具有多样性、封闭性,且与人类驾驶逻辑存在一定差异。运行环境的开放性导致了时变高维和长尾场景。考虑上述挑战,本文提出如下SOTIF测试验证要点。(1)基于关键场景的执行载体ICV在特定交通环境下引发SOTIF风险。将特定运行条件转
24、化为关键场景作为外部条件,获取测试对象的系统响应,分析评估实际运行范围内功能情况,判断潜在的SOTIF安全风险是否可接受。其中,关键场景可以是精心设计的时序片段用例,也可以是一定运行范围内的连续交互环境。(2)分层次的多支柱技术手段完全依赖开放道路进行SOTIF测试会产生高昂的成本和不可控的安全风险。结合测试目的和技术特点,引入多种仿真手段和封闭场地构建多支柱测试平台。考虑被测对象的特点、测试的成本和需求,匹配相应的技术手段进行分层次、分周期的综合测试,在误差允许范围内提供高保真的结果。(3)数据驱动的可循论证数据支撑严谨可信的SOTIF论证过程。基于路采数据,能够设计出与现实环境一致的场景要
25、素(如运动分布),进而构建合理、符合现实运行逻辑(如交互规律)的场景;基于测试过程获得的数据(如指标),能够为测试目标的验证和确认提供具有说服力的证据;基于统计数据,可以进一步为接受准线的设定提供有效支撑。1.3基于关键场景的双闭环测试验证框架兰德公司在报告中指出,需要进行百万公里的测试里程才可证明被测系统在 95%的置信度下具有和人类驾驶员相同的安全水平34。在开放环境下论证无条件的绝对安全难免落入西西弗斯的困境。因此,测试验证的方案设计应兼顾论证充分性和执行的可操作性。具体而言,有两个核心问题:(1)如何设计测试内容,在保证充分性的前提下提高测试效率?(2)如何确定测试终止条件,从而保证验
26、证内容的充分性可被接受?考虑SOTIF特点和前述挑战,从二八定律得到启发,本文提出一种基于关键场景的SOTIF双闭环测试验证框架,如图2所示。框架分为封闭验证和开放论证两个阶段,第一阶段对80%以上的已知典 15862023(Vol.45)No.9吴思宇,等:基于关键场景的预期功能安全双闭环测试验证方法型风险场景进行快速验证,以优秀谨慎人类驾驶员为基准确认基本安全;第二阶段构造非定式的交互环境,通过挖掘被测对象的长尾场景持续论证等价于百万公里及以上里程的残余风险情况。封闭验证阶段基于待测对象的声明,将已知运行风险转化为代表性测试用例,综合多种测试技术安全可控、高效全面地对潜在SOTIF危害进行
27、验证。进一步地,对标优秀、谨慎的人类驾驶员确认安全运行范围,对SOTIF潜在危害进行说明。首先,基于待测对象所声明的设计运行条件、驾驶动态任务和相关系统确定场景要素、预期行为和潜在功能局限,从而获取触发条件和潜在危害行为并转化为有限时长的最优测试集。其中,最优测试集覆盖已知触发条件,并根据验证目标赋予关键要素代表性数值。接着,综合被测系统响应和测试需求,分配软件在环、硬件在环和整车实测等实施技术和周期频次。最后,分析危害行为并设计恰当的指标进行评价,对标人类驾驶员通过情况设立测试准线,验证被测对象是否满足基本安全要求并确认合理的运行条件。若在封闭验证阶段有充分证据说明被测对象满足基本要求,则进
28、入开放论证阶段。开放论证阶段构建了非定式的交互环境,在不影响整车操作运行的前提下进行数据采集和脱敏、关键信息提取以及安全评估与防护,通过“监-测”并行在动态监管的同时履行后测试的论证工作,进而暴露游离在封闭验证之外的触发条件、识别新的危害行为,并确认SOTIF累计残余风险。开放论证阶段首先需要构建具有真实性的交互环境作为论证对象的运行空间,包括高保真的本体和一致的交互逻辑。其中,高保真的本体应具有和现实世界相同的交互过程、特征分布,而一致的交互环境则应包含合理的运行逻辑、信息传递以及逼真的畸变等趋向于现实世界的物理局限。特别地,开放道路是构建真实的交互环境最直接的方式,但成本和安全风险较高。在
29、此基础上,通过加速测试技术在不改变环境真实性和论证置信度的前提下加快危害事件暴露。运行过程中,设计合理的动态监管过程,基于实时状态数据确认系统安全情况。若系统正常运行,可基于连续运行里程直接计算残余风险;若系统触发异常状态(包括潜在危害、交通违规等情况),则启动安全防护策略并以最低风险形式暂停运行。同理,对于升级等系统变更情况,也需要暂停开放论证运行。与此同时,基于采集的图 2基于关键场景的双闭环测试框架 1587汽车工程2023 年(第 45 卷)第 9 期数据信息和异常状态,提取触发条件与其诱发的危害行为。当系统完成维护后应对变更部分进行重声明和补充的封闭验证。若相关验证结果满足预设的接受
30、准线,则可再次进入开放论证阶段。封闭验证面向已知场景构建最优测试用例集,在有限测试资源下对风险进行快速、高效地暴露,并结合危害行为对标优秀、谨慎的人类驾驶员验证基本安全,确认合理运行范围;开放论证通过构建非定式的交互环境,挖掘被测对象未在封闭验证阶段暴露的触发条件和危害行为,确认等价连续里程的残余风险,进一步加强论证置信度和覆盖率。双闭环框架用最小资源成本快速完成主体验证内容,确保基本安全;进一步通过持续论证来接近理想安全情况,减少危害事件。同时,以人类驾驶员为准线来兼顾论证的充分性和执行的可操作性。2双闭环SOTIF场景构建场景是SOTIF测试验证的基本载体。双闭环两阶段分别将关键场景设置为
31、测试用例和交互环境,诱导SOTIF风险,通过观察被测对象状态进行安全验证。本节将对SOTIF场景关键概念进行定义,并建立触发条件的提取路径,对双闭环中测试用例和交互环境的构建技术和平台进行综述。2.1SOTIF场景定义在交通领域,场景通常包含道路、交通流和相关影响因素。当前,多位学者从不同角度给出了场景定义26,35-40,可以总结为场景是现实交通语境的描述与再现。基于本体论,本文对场景概念定义如下。定义1:场景(scenario)是时间序列下的环境、交通参与者、观察者自我的组合表征以及各自的实体关系的描述,数学模型如下:SA,T=Object,Relation(1)式中:Object表示组成
32、场景SA,T的所有实体概念,具有一组描述物理特征及其传递信息的属性;Relation表示场景实体间存在的物理或信息关系,可以是两个特定实体关联或一组实体共有的联系。定义2:自车Ego表示场景中重点关注的实体,通常设置为被测对象,是一种特殊的Object。定义3:观测途径View表示场景中实体(被观测者)和实体(观测者)在特定物理条件下的映射关系,是一种特殊的Relation,受到观测角度、观测设备Equipment、采样精度共同影响。基 于 场 景 定 义,综 合 信 息 熵(information entropy)和语义层次(semantic level)将场景表达建立为数据-本体的双层表达
33、结构。本体层通过领域知识,提取场景信息中的类和关系,在概念层面构建场景的时空图,数学模型为G=O,R(2)式中:O对应场景本体中Object的具体要素类型,对应面向对象方法中“类(class)和实例(instance)”;R对应场景本体中的Relation的具体关系数据。特别地,O和R在地理空间范围A、时域范围T内具有一定动态演变逻辑,通过状态特征集X表示。其中,样本x(i)满足分布x(i)X。数据层基于观测途径,将场景实体集合的观测信息映射到特定维度,形成一定格式的时序数据文件,数学模型为Datat=O|View(3)数据层的具体表达形式与观测设备、角度强相关,具有多模态特点。数据层所捕获的
34、模态越丰富,采样频率越小,信息量越丰富。本体层记录场景中所包含的类和关系,并形成语义和知识层级的理解。从数据层到本体层,信息被不断提取、理解,抽象程度增加;从本体层到数据层,概念被逐步具象、记录,信息量升高。预期功能安全场景(SOTIF scenarioes)为能够引发SOTIF风险,且在实施不恰当控制的情况下会引发危害的场景。SOTIF场景架构从SOTIF角度划分并形成层次关系的场景要素集合及描述方式,包含所有可能会引起SOTIF风险的场景要素及其组合。基于Groh等学者对于交通场景架构设计41-44,本文提出一种SOTIF场景架构设计,如图3所示,包含道路结构、道路设施、道路临时改变、交通
35、参与者、天气环境、数字信息和自车状态共计7层。基于场景抽象层次45,被测对象确定功能场景类型;进一步,逻辑场景给定m个场景要素,第i个要素有ni个状态且满足分布Xni,进一步按一定演化方式确定场景状态序列。2.2SOTIF触发条件提取触发条件(trigger condition)是引发 SOTIF 风险的来源,由场景中特定的实体O*、关系R*或其组合构成,数学模型为TC=O*,R*(4)从本体语义角度考虑触发条件来源为环境态势 15882023(Vol.45)No.9吴思宇,等:基于关键场景的预期功能安全双闭环测试验证方法理解、应对的不足;从多模态数据角度考虑来源于观测数据的不充分或错误。特别
36、地,触发条件中实体和关系的关键特征可能满足特定分布范围,进而引起SOTIF风险。特别地,Ego系统作为实体本身或特定View关系也是一种典型的触发条件,通常由固有的物理局限性产生SOTIF风险,不由外部特定实体组合引发。前者和人机交互规范与误用情况相关,后者包括但不限于观测角度产生畸变导致识别错误、采样精度不足产生的漏检或误检、观测设备噪声和反射带来的问题。触发条件暴露ICV系统功能不足,导致了危害行为或无法防止、探测及减轻合理可预见的间接误用3,概率模型表示为P()H=tc TCP()H|tc P()tc(5)式中:H表示危害行为;P()tc表示触发条件概率分布;P()H对应风险发生概率;P
37、()H|tc表示触发条件tc到危害行为H的转化概率,显化了触发路径。特别地,触发条件引起前序系统的功能不足或危害行为后,会随着驾驶流程向后续系统传递放大直到被安全策略阻断。基于上述模型,触发条件本质上是对场景要素和系统危害行为进行因果推断(casual inference)。触发条件提取可以视为为结构方程构建(structural equation models)和 因 果 效 应 估 计(casual effort estimation)两个主要问题46。归纳方法(inductive method)从研发或运行过程采集的大量数据中识别归纳触发条件,如图4所示。首先,对场景的组成要素进行分析、
38、拆解,包括但不限于与危害事件相关的实体、关系以及自车受到影响的系统。接着,排除混杂因子(cofounder)并提取因果模型的关键要素。最后,综合基于约束47-48、基于分数49-50、基于结构模型51-53等推断方法或基于人工智能54-58建立因果模型或提取因果效应。归纳方法本质上是基于大数据的统计学方法,对危害发生的过程和程度进行归因。若系统结构和行为范式不了解、危害发生的机理不明确、缺少充分先验知识,可以采用归纳方法提取触发条件。演绎方法(deductive method),从系统功能属性出发推演危害行为并获取触发条件,如图 5 所示。首先,从场景要素的特征分布中选择初始状态X0,基于一定
39、转化策略P确定场景演化过程并记录状态。进一步地,基于专家分析等方法59-60确定危害判定条件并提取关键状态。最后,综合对关键要素进行分析、提取,确定产生危害的因变量和特征分布,并估计因果效应61-63。演绎方法的本质是基于确定的演化策略进行事件推演,从而对危害事件和因果模型进行补充。演ATE=Emm=Em sysOim O11,OiiRi=pj(O1)sysm=pm(Oi,Rj)图 4归纳方法分析路径图 3预期功能安全场景架构 1589汽车工程2023 年(第 45 卷)第 9 期绎方法适用于缺少样本的触发条件分析,但需要有充分先验知识以支持系统演化和关键状态判定。最后,基于上述方法获得的因果
40、关系对当前触发条件框架进行补充和完善:对同型触发条件进行合并、重构和扩展,如要素类型优化、特征分布调整;对新型触发条件进行补充、规范和泛化,如框架分支增加、关键因素泛化;此外,还可以对要素的特征分布进行因果分析,在要素基础上进一步挖掘从特征分布到危害的因果关系。2.3封闭验证测试用例的构建封闭验证将已知场景构建为有限资源条件下最优测试用例集合,本质上是将运行条件进行重构采样,通过被测系统对有限采样用例中的风险应对情况,充分、有效地还原在实际道路上的状态响应并暴露潜在风险。基于场景本体模型,封闭验证的最优测试集合可以建模为如下优化问题:maxXils ls=1LSn=1NumlsCritical
41、()Xnls,sys()Xnlss.t.ls=1LSn=1NumlsCost()Xnls Costmax ls=1LSn=1NumlsCoverage()Xnls Coveragemin(6)式中:LS表示所构建逻辑场景类型总数;Numls表示第ls个逻辑场景类型下采样的具体场景数目;Xnls表示 具 体 场 景 要 素 属 性 的 状 态 采 样,满 足 分 布XnlsXS;sys(Xnls)表示被测系统在具体测试用例Xnls中的响应操作;Critical(*)表示场景关键性评价公式;Cost(*)表示测试成本量化方式;Coverage(*)表示场景覆盖度评价公式;Costmax表示测试资源
42、的限制;Coveragemin表示场景覆盖度的最低要求。优化问题的目标为最大化测试用例集合关键性,约束条件分别代表测试资源限制和论证充分性要求。最优测试集合的构建需要通过合理的场景建模、准确的指标设计和高效的采样技术共同实现。上述方法中,覆盖度、风险度是测试用例集合评价的主要维度。对于覆盖度而言,多因子组合(T-wise)64-69和修正判定条件覆盖(modified condition/decision coverage,MC/DC)70-72提供了结构化的充分性量化方法;相似性从另一个角度衡量覆盖度73,在此基础上可以通过添加相似度较低的新场景来提高测试集合覆盖情况74-76;风险度是安全
43、验证的核心指标,也是测试用例效用的直接体现。场景风险评估指标主要基于代理模型的安全状态进行评估77。学者从反应时间78、意图79、不确定性80等角度量化碰撞风险;Malin基于统计学分析场景条件组合和事故风险的概率关系81;Althoff将生成场景风险与可达解空间关联82;此外,复杂度也是衡量场景风险的一种间接指标,通常认为危害行为在复杂场景下更容易产生危害。复杂度可以基于对系统产生关键影响的因子数量和耦合情况进行量化83-86。数据重构场景的方法提取现实道路运行中的关键事件、分类并重构为测试用例。实际交通事故通常包含一定危害条件,从关键数据重建模拟场景并进行测试验证是基本的评估路线方法76,
44、87。随着数据采集技术的丰富,提取、分类和聚类方法研究提供了更有价值的场景信息。Zhang等结合高斯速度场给出了俯瞰视角下场景轨迹时变交互趋势的表示方式88;Oeljeklaus等提出了两路集成的深度神经网络对视频数据同时进行图像语义分割和道路拓扑识别89;Zofka等从传感器中导出轨迹数据提取道路布局90;Bolte等针对感知系统定义边缘场景为无法预测类别,并结合语义分割和图像检测从视频输入提取边缘场景91;Siami等对手机获取的轨迹数据依次进行自组织映射、深度编码器和分区聚类实现无监督的行为识别92;Ries等将场景用顶视图网格(top-view grid)表示,并通过卷积神经网络和长短
45、期记忆神经网络提取场景的时空特征93;Mavrogiannis等提出采用拓扑编织(topological braids)来捕获场景的关键交互情况94;Erdogan等提供了基于规则、有监督和无监督 3 类从传感器数据提取场景的方法95;Gruner等综述不同场景的表示方法和基于神经网络图 5演绎方法分析路径 15902023(Vol.45)No.9吴思宇,等:基于关键场景的预期功能安全双闭环测试验证方法的分类技术96;考虑到隐马尔可夫能够有效处理非定长数据,Wang等和Martinssor等分别基于该模型提取场景基元97并进行分类98;Beglerovic等展示了深度学习在场景分类上的应用99
46、;此外,随机森林100-101、基于距离102-103等方法也能对场景数据进行主动聚类。数据重构场景方法主要对采集的关键事件进行再现,或在原有事件基础上进行扩展泛化。然而,实际道路中关键事件的稀缺性,数据采集的成本和安全性给这一类方法路线带来较大的负担和压力。机理建模场景的方法在一定目标和约束下,通过场景模型的建立和相关参数的选择完成测试用例的生成,提供了一种低成本、高效率的场景构造方法,且可能挖掘到实际运行过程未发现的长尾场景。本体表示对客观事物的系统性描述,是机理建模场景方法的重要基础。早期场景本体建模主要服务于自动驾驶系统,将知识转化为概念以便自动驾驶系统能够理解场景,从而更好地进行风险
47、辨识104-105、推理106-107、感知108-109、决策和规划110-112。随着相关研究的推进,学者们逐步优化交通参与者113、道路地图114-115、空间关系116、交通规则117,28等本体模型,并引入面向对象语言35,118、领域特定语言119,40、图数据库120等进行技术实现。进一步地,学者将场景本体应用于场景数据标注和提取121-123、场景库存储124和聚类125,37、测试用例的导出126-127等相关工作。组合和优化是机理建模场景的主要路径。前者通过对场景要素的合理组合实现逻辑场景及更高层次的用例构建;后者则将用例生成的目标和要求建模为优化问题并对最优参数进行搜索。
48、组合测试将前述本体转化为被测系统输入算法,通过组合方法生成逻辑场景128,并通过参数采样形成具体用例;Gao等提出一种基于复杂度的组合测试算法,进一步构建联合仿真测试平台实现测试闭环129-130;Fujikura等引入时序逻辑语言对场景演化状态进行形式化描述并通过路径穷举构建高覆盖度危险场景131;Manna等关注到场景交互的关键性,从模态序列图中组合构建最小测试集132;Gladisch等面向感知系统将领域知识进行表达,并通过环境特征组合进行覆盖度确认,识别缺少的测试场景133;优化方法通常在给定场景范式下,采用随机优化迭代134、梯度下降135、非线性优化136、模拟退火137-138、
49、快速搜索随机树139、粒子群算法140、随机森林141、贝叶斯优化142-144等方法加快对参数采样空间的搜索;进一步地,进化算法为场景生成提供一种兼顾多样性和关键性的优化方法,能够较好处理多参数耦合的复杂场景问题145-147;Scheibler等提供了一个i-SAT算法,对待约束空间的场景优化生成问题进行求解148;Zhu等结合社会认知优化算法(social cognitive optimization,SCO)、密度峰值聚类和(density peak clustering,DPC)冷却调度函数在逻辑场景层面进行全局搜索,同时采用多维卷积算法在具体场景进行局部采样149;此外,Zhu等开
50、发了一个由探索和利用模块、移动概率确定模块、步长确定模块、内存模块和结果分析模块5个部分组成的场景强化搜索方法150;Olivares等结合马尔科夫链和蒙特卡洛采样方法生成场景道路结构151;Jesenski等引入贝叶斯网络允许场景在任意道路拓扑上建模152;Rocklage等将轨迹规划器作为场景可行性检查工具,同时引入回溯算法对约束进行处理153;考虑到复杂场景的高维空间耦合导致测试样点分布更加稀疏,Yang等使用多元线性回归技术调整测试场景,实现关键变量的稀疏控制154;Geld等提出奇异值分解(singular value decomposition,SVD)来降低场景参数向量维度155
浙ICP备2021020529号-1 | 浙B2-20240490 
