龐智恒，唐春蓬，李光平

（1.中國汽車工程研究院股份有限公司，重慶 401147；2.智能汽車電子信息安全評價技術(shù)重慶市工業(yè)和信息化重點實驗室，重慶 401147）

自動駕駛汽車因安全問題導(dǎo)致危害的主要原因包括兩方面：（1）由于電子電器故障或軟件系統(tǒng)失效而導(dǎo)致的危害。對于該原因，ISO 提出了ISO 26262《道路車輛—功能安全標準》，而國內(nèi)提出了對應(yīng)的GB/T 34590《道路車輛—功能安全標準》。（2）由于系統(tǒng)性能不足或合理預(yù)見的人為誤用而導(dǎo)致的危害。對于該原因，ISO 提出了ISO/PAS 21448 Safety of the Intended Functionality，簡稱SOTIF 標準。

在SOTIF 標準中，將自動駕駛汽車行駛時面臨的場景分為4 類：已知安全場景、已知不安全場景、未知安全場景以及未知不安全場景，如圖1 所示。對于已知安全場景和未知安全場景，在SOTIF 標準中并未給予關(guān)注。對于已知危險場景，SOTIF 標準提出了一套方法論。其目的是提高自動駕駛汽車相關(guān)系統(tǒng)的性能或縮小相關(guān)系統(tǒng)的運行區(qū)域范圍，并基于相關(guān)場景庫進行測試與驗證，即將已知危險場景轉(zhuǎn)化為已知安全場景。而對于未知危險場景，則可以基于場景庫進行大量的試驗，以此發(fā)現(xiàn)和探測出相關(guān)系統(tǒng)存在的安全隱患場景，即將未知危險場景轉(zhuǎn)化成已知危險場景。最后，基于上述方法論，將已知危險場景轉(zhuǎn)化為已知安全場景?？傊?，SOTIF 標準的目標是盡可能地擴大自動駕駛汽車相關(guān)系統(tǒng)在運行時所面臨的已知安全和未知安全場景的范圍，從而盡可能地縮小已知危險和未知危險場景的范圍，如圖2 所示。要實現(xiàn)上述目標，其中一個關(guān)鍵因素是構(gòu)建高質(zhì)量的預(yù)期功能安全場景庫。

圖1 行駛場景

圖2 優(yōu)化后的行駛場景

目前，許多企業(yè)和組織都構(gòu)建了自己的預(yù)期功能安全場景庫。例如：Kitti 場景庫、NuScenes場景庫、Lyft 自動駕駛汽車場景庫等。大多數(shù)企業(yè)和組織在場景庫的構(gòu)建過程中重點關(guān)注場景庫數(shù)據(jù)的收集，而對收集到的場景數(shù)據(jù)質(zhì)量卻缺乏合理的量化指標。這無疑帶來了兩個問題：（1）場景庫中可能包含著大量重復(fù)且低質(zhì)量的場景數(shù)據(jù)，導(dǎo)致基于場景庫的試驗時間過長，甚至無法發(fā)現(xiàn)自動駕駛汽車的性能缺陷，降低了試驗結(jié)果可信度。（2）不同場景庫之間無法進行優(yōu)劣性比較，導(dǎo)致自動駕駛汽車場景庫試驗無法選擇最優(yōu)的場景庫數(shù)據(jù)。因此，采用一種科學(xué)合理的場景庫質(zhì)量量化方法是十分必要的。

場景數(shù)據(jù)越復(fù)雜，對相關(guān)系統(tǒng)的挑戰(zhàn)越大，探測出相關(guān)系統(tǒng)性能缺陷的可能性就越大。因此，可以認為場景數(shù)據(jù)的復(fù)雜度是影響場景庫質(zhì)量的關(guān)鍵因素之一。本文提出了一種量化場景數(shù)據(jù)復(fù)雜度的方法。該方法是基于德國Pegasus 項目的場景分層體系，對場景中的要素進行分類統(tǒng)計，以計算場景數(shù)據(jù)中要素的復(fù)雜度，并以此評估場景數(shù)據(jù)的質(zhì)量。

1 Pegasus 場景分層體系

Pegasus 項目由德國汽車行業(yè)相關(guān)企業(yè)和研究機構(gòu)共同發(fā)起，以制定與自動駕駛汽車相關(guān)的一系列測試標準為目的。該項目提出了一種場景分層體系，即在場景中根據(jù)場景要素的不同將其分為6 層場景，見表1。

表1 場景分層

場景數(shù)據(jù)如圖3 所示?；赑egasus 場景分層體系，可以將場景數(shù)據(jù)進行分層，見表2。

圖3 場景數(shù)據(jù)

表2 場景分層示例

2 場景數(shù)據(jù)復(fù)雜度量化方法

Pegasus 場景分層體系將場景要素進行分層。本文進一步對每一層要素進行分析，量化每層要素復(fù)雜度。

道路層的復(fù)雜度主要由車道線的可視性決定，見表3。對于清晰的車道線，其復(fù)雜度規(guī)定為1；被遮擋或磨損的車道線，會影響車道線的識別，其復(fù)雜度為2；路面積水、覆冰覆蓋車道線，不但影響車道線識別，還會造成行車困難，其復(fù)雜度為3；不規(guī)則的車道線可能會引起車道線誤識別，導(dǎo)致車輛行駛方向錯誤，其復(fù)雜度為4；無車道線場景可能影響車輛行駛方向，其復(fù)雜度為5。

表3 道路層復(fù)雜度

交通設(shè)施層的復(fù)雜度主要由交通設(shè)施的可視性決定，見表4。無交通設(shè)施的場景，其復(fù)雜度為1；交通設(shè)施清晰的場景，其復(fù)雜度為2；交通設(shè)施距離過遠導(dǎo)致無法清晰識別的場景，其復(fù)雜度為3；交通設(shè)施反光、臟污等導(dǎo)致難以識別的場景，其復(fù)雜度為4；交通設(shè)施不規(guī)則，可能引起錯誤識別，導(dǎo)致車輛闖紅燈等危險行為，其復(fù)雜度為5。

表4 交通設(shè)施層復(fù)雜度

臨時交通事件層的復(fù)雜度主要由其事件的偶然性和可預(yù)見性決定，見表5。無臨時交通事件，其復(fù)雜度為1；交通管制等有專人維護現(xiàn)場的臨時交通事件，其復(fù)雜度為2；道路施工等有警告指示牌的臨時交通事件，其復(fù)雜度為3；交通事故等對行車有較大影響的臨時交通事件，其復(fù)雜度為4；落石、掉落的車輪等偶發(fā)性很強且難以預(yù)見的臨時交通事件，其復(fù)雜度為5。

表5 臨時交通事件層復(fù)雜度

交通參與者層的復(fù)雜度由參與者的常見性和合規(guī)性決定，見表6。無交通參與者，其復(fù)雜度為1；只包含車輛的場景，其復(fù)雜度為2；包含行人、自行車等常見參與者且位于法規(guī)規(guī)定位置（如人行道、自行車道等），其復(fù)雜度為3；包含行人、自行車等常見參與者且不位于法規(guī)規(guī)定位置（行人橫穿馬路、自行車行駛在機動車道上等），其復(fù)雜度為4；不常見的交通參與者（如拖著大象的貨車、騎著馬的行人等），其復(fù)雜度為5。

表6 交通參與者層復(fù)雜度

環(huán)境條件層的復(fù)雜度主要由可見度決定，見表7。晴天高可見度，其復(fù)雜度為1；雨天、傍晚中可見度，其復(fù)雜度為2；夜晚有環(huán)境燈光，其復(fù)雜度為3；夜晚無環(huán)境燈光，可見度較低，其復(fù)雜度為4；濃霧天可見度極低，其復(fù)雜度為5。

表7 環(huán)境條件層復(fù)雜度

信息層的復(fù)雜度主要由是否有交通信息決定，見表8。有高精度地圖或V2X 提供交通信息，則復(fù)雜度為1；無高精度地圖或V2X 提供交通信息，則復(fù)雜度為2。

表8 信息層復(fù)雜度

通過上述分層方式以及每層的復(fù)雜度量化方式，可以計算出單個場景數(shù)據(jù)的復(fù)雜度，即每層復(fù)雜度之和。例如：圖3 場景數(shù)據(jù)，其復(fù)雜度為18（每層復(fù)雜度見表9）。

表9 場景數(shù)據(jù)復(fù)雜度

對于整個場景庫而言，將每個場景數(shù)據(jù)的復(fù)雜度相加再除以場景庫中場景數(shù)據(jù)總數(shù)，得到整個場景庫的復(fù)雜度。根據(jù)場景庫復(fù)雜度可對比不同場景庫的質(zhì)量。

值得注意的是，由于篇幅限制，上述每層復(fù)雜度表中并沒有列舉和覆蓋所有要素。對于沒有列舉或覆蓋的要素，應(yīng)根據(jù)所在層復(fù)雜度的決定因素來確定其復(fù)雜度。例如：環(huán)境條件層復(fù)雜度的決定因素是可見度，那么對于沒有列舉出的濃度較低的霧天，其可見度與夜晚有環(huán)境燈光的可見度相當，因此其復(fù)雜度為3。

3 場景數(shù)據(jù)復(fù)雜度修正

在采用上述復(fù)雜度量化方法構(gòu)建場景庫時，容易出現(xiàn)“過復(fù)雜”現(xiàn)象，即為了追求場景庫復(fù)雜度，場景庫只收集高復(fù)雜度的場景，致使場景庫復(fù)雜度雖然很高卻都是出現(xiàn)概率很低的場景，最終導(dǎo)致不能發(fā)現(xiàn)系統(tǒng)的性能缺陷。為了避免“過復(fù)雜”現(xiàn)象，本文提出“母子庫”和“系統(tǒng)場景概率”兩個概念。

3.1 母子庫

在實際場景庫收集過程中，采取隨機地點、隨機時間段、隨機氣候等的隨機收集方式收集到的數(shù)據(jù)構(gòu)成“母庫”。然后，針對相關(guān)系統(tǒng)的特性與運行域，從“母庫”中提取出“子庫”。例如：對于只適用于高速公路的自動駕駛系統(tǒng)，從“母庫”中提取高速公路的場景數(shù)據(jù)，并形成“子庫”。例如：針對特定城市開發(fā)的自動駕駛系統(tǒng)，從“母庫”中提取出該城市的場景數(shù)據(jù)，形成針對該系統(tǒng)的“子庫”。

值得注意的是：理論上，既可以先構(gòu)建“母庫”，再提取“子庫”，也可以先構(gòu)建“子庫”，再匯集成“母庫”。但本文建議采用“先母后子”的方法。因為“母庫”的構(gòu)建是隨機的，所以從“母庫”中提取的“子庫”也具有隨機的屬性。如果先構(gòu)建“子庫”，又因為“子庫”是針對特定系統(tǒng)的，那么在構(gòu)建過程中難以做到完全隨機。

3.2 系統(tǒng)場景概率

對于從“母庫”中提取出的“子庫”，進一步分析其場景中每層要素在系統(tǒng)運行過程中出現(xiàn)的概率，即系統(tǒng)場景概率。例如：對于只適應(yīng)于高速公路的自動駕駛系統(tǒng)，交通參與者層中出現(xiàn)只包含車輛的概率（復(fù)雜度2）是遠高于出現(xiàn)行人、自行車的概率（復(fù)雜度3）。因此，在評估該層要素的復(fù)雜度時，還需要將復(fù)雜度乘以一個概率系數(shù)，得出該層最終的復(fù)雜度。其公式為：

式中：為該場景數(shù)據(jù)的最終復(fù)雜度；C為第層場景要素的復(fù)雜度；P為第層場景要素在相關(guān)系統(tǒng)運行時出現(xiàn)的概率系數(shù)。

3.3 防止“過復(fù)雜”現(xiàn)象

通過“母子庫”和“系統(tǒng)場景概率”可以避免“過復(fù)雜”現(xiàn)象。主要原因有：（1）在構(gòu)建“母庫”時，采用了隨機地點、隨機時間段、隨機氣候等的隨機收集方式，降低了“母庫”收集過程中的人為因素。（2）針對特定系統(tǒng)，從“母庫”中提取相關(guān)“子庫”，間接避免了“子庫”中的人為因素。（3）根據(jù)該系統(tǒng)運行時場景出現(xiàn)概率及其復(fù)雜度，計算出最終場景復(fù)雜度。將復(fù)雜度與概率這個客觀因素結(jié)合，避免了人為因素的影響。例如：對于高復(fù)雜度、低概率的場景要素或?qū)τ诘蛷?fù)雜度、高概率的場景要素，其最終場景復(fù)雜度的值可能較低。

3.4 概率系數(shù)取值

針對不同系統(tǒng)，其概率系數(shù)是不一樣的。例如：僅限于高速公路使用的系統(tǒng)，交通參與者層中出現(xiàn)只包含車輛的概率系數(shù)大于出現(xiàn)行人、自行車的概率系數(shù)；對于可以用于城市交通場景的系統(tǒng)，交通參與者層中出現(xiàn)行人、自行車的概率系數(shù)大于只包含車輛的概率系數(shù)。此外，對于相同系統(tǒng)，處在無人駕駛發(fā)展進程的不同階段，其概率系數(shù)也可能是不相同的。例如：現(xiàn)階段，信息層中有高精度地圖或V2X 的系統(tǒng)，其概率系數(shù)低于沒有高精度地圖或V2X 的系統(tǒng)的概率系數(shù)。而在無人駕駛發(fā)展進程后期，有高精度地圖或V2X 的系統(tǒng)，其概率系數(shù)可能高于沒有高精度地圖或V2X 的系統(tǒng)的概率系數(shù)。

因此，針對不同系統(tǒng)，需要從其運行范圍、地點、時間、目標市場以及整體市場水平等多方面進行考量，以此來確定其不同場景要素的概率系數(shù)。

4 結(jié)論

為了滿足ISO/PAS 21448 的要求，需要構(gòu)建預(yù)期功能安全場景庫。而場景庫的構(gòu)建質(zhì)量缺乏相應(yīng)的量化指標，本文基于Pegasus 場景分層體系，量化每層要素的復(fù)雜度，以此評定場景庫的質(zhì)量。同時，為了避免“過復(fù)雜度”現(xiàn)象，提出了“母子庫”和“系統(tǒng)場景概率”兩個概念，闡述了如何構(gòu)建“母子庫”以及如何計算“系統(tǒng)場景概率”，并以此提出了最終復(fù)雜度的計算方法。本文中提到的量化方法以及防止“過復(fù)雜度”方法對預(yù)期功能安全場景庫的建立和推進起到指示作用。