吳思宇，于文浩，邢星宇，張玉新，李楚照，4，李雪軻，古昕昱，李云巍，馬小涵，路 偉，王 政，郝圳茂，王 紅，李 駿

（1. 清華大學(xué)車輛與運(yùn)載學(xué)院，北京 100084；2. 同濟(jì)大學(xué)汽車學(xué)院，上海 201804；3. 吉林大學(xué)，汽車仿真與控制國家重點(diǎn)實(shí)驗(yàn)室，長春 130025；4. 中國汽車工程研究院股份有限公司，重慶 401122；5. 燕山大學(xué)電氣工程學(xué)院，秦皇島 066000；6. 北京理工大學(xué)機(jī)械與車輛學(xué)院，北京 100081；7. 北京航跡科技有限公司，北京 100193；8. 新加坡國立大學(xué)系統(tǒng)科學(xué)學(xué)院，新加坡 119077）

前言

汽車是交通中廣泛應(yīng)用的運(yùn)載工具。隨著科學(xué)技術(shù)的發(fā)展和變革，汽車成為前沿技術(shù)集成的最佳載體之一，正在加速向新四化轉(zhuǎn)型。作為新一代復(fù)雜的工業(yè)化產(chǎn)品，智能網(wǎng)聯(lián)汽車集控制技術(shù)、信息技術(shù)、智能技術(shù)于一體，在帶來舒適、節(jié)能和高效運(yùn)載能力的同時，其安全性也受到社會公眾的廣泛關(guān)注。

預(yù)期功能安全是道路運(yùn)行安全的關(guān)鍵組成，與智能網(wǎng)聯(lián)汽車的電氣電子系統(tǒng)和信息智能算法強(qiáng)相關(guān)。隨著智能網(wǎng)聯(lián)汽車向著高級別發(fā)展，預(yù)期功能安全問題逐漸暴露，是制約技術(shù)應(yīng)用和推廣的嚴(yán)峻挑戰(zhàn)，相關(guān)保障技術(shù)成為業(yè)界和學(xué)術(shù)關(guān)注的熱點(diǎn)研究。其中，測試驗(yàn)證是預(yù)期功能安全保障的關(guān)鍵技術(shù)，支撐智能網(wǎng)聯(lián)汽車安全開發(fā)的全生命周期［1］。

近年來，國際組織相繼推出的智能網(wǎng)聯(lián)汽車相關(guān)標(biāo)準(zhǔn)都明確包含了預(yù)期功能安全的測試驗(yàn)證。聯(lián)合國自動駕駛驗(yàn)證方法工作組提出了自動駕駛的評估測試框架，以多支柱法為核心建立可重復(fù)、客觀和可循證的框架說明自動駕駛的安全性，并將預(yù)期功能安全作為重要要求之一；國際標(biāo)準(zhǔn)化組織聯(lián)合多家企業(yè)發(fā)布了自動駕駛標(biāo)準(zhǔn)ISO/TR 4804［2］，提供了產(chǎn)品安全評估、監(jiān)管和協(xié)作標(biāo)準(zhǔn)，并在其中確定了預(yù)期功能安全設(shè)計(jì)流程；國際標(biāo)準(zhǔn)化組織下屬的自動駕駛測試場景工作組，建立圍繞場景的自動駕駛評估框架3450X 系列標(biāo)準(zhǔn)［3-7］，旨在提供從場景構(gòu)建、分類到測試的標(biāo)準(zhǔn)化規(guī)程，并在場景構(gòu)建過程中重點(diǎn)考慮了預(yù)期功能安全的典型觸發(fā)條件；歐盟針對L3 及以上自動駕駛級別建立了ECE R155-157［8-10］系列標(biāo)準(zhǔn)，提供了網(wǎng)絡(luò)、軟件更新、自動車道保持系統(tǒng)的安全驗(yàn)證工程實(shí)踐，并將預(yù)期功能安全作為基本要求；UL 4600［11］建立的面向安全目標(biāo)評估標(biāo)準(zhǔn)，包含了對預(yù)期功能安全的評估。目前，智能網(wǎng)聯(lián)汽車諸多標(biāo)準(zhǔn)中均提及了預(yù)期功能安全的必要性。然而，預(yù)期功能安全作為前沿技術(shù)概念，相應(yīng)接受準(zhǔn)則和論證方法尚處于研制和實(shí)踐中，未在標(biāo)準(zhǔn)中進(jìn)行具體規(guī)定。

國內(nèi)外相關(guān)企業(yè)和項(xiàng)目組結(jié)合研發(fā)經(jīng)驗(yàn)，在系統(tǒng)開發(fā)的工程實(shí)踐中引入多樣的測試方法和內(nèi)容。Waymo 公司提出了自動駕駛28 個核心能力測試，并對整車級別進(jìn)行公共道路測試、避碰能力測試、硬件可靠性和耐久性測試；Tesla 公司通過影子模式對特定駕駛行為及其場景數(shù)據(jù)進(jìn)行識別和提取，積累數(shù)據(jù)用于支撐相關(guān)研發(fā)和測試［12］；Continental 公司引入了安全分析工具對產(chǎn)品進(jìn)行評估［13］；寶馬公司牽頭的PEGASUS 項(xiàng)目組提供六層場景模型［14］來支持測試用例的構(gòu)建，并綜合因果分析［15］、多支柱方法和分層驗(yàn)證［16］等理念建立測試驗(yàn)證方法［17］；美國交通部NHTSA 基于21448 預(yù)期功能安全標(biāo)準(zhǔn)對L3 級及以上的高速巡航系統(tǒng)進(jìn)行安全分析實(shí)踐，并提供了風(fēng)險評估方案［18］；歐盟的ENSEMBLE 項(xiàng)目提供從功能危害分析到風(fēng)險評估的具體指導(dǎo)，并將功能失效按照系統(tǒng)進(jìn)行歸類［19］；日本的SAKURA 項(xiàng)目面向L3級及以上的高速運(yùn)行自動駕駛系統(tǒng)建立明確流程，并提供了具體測試場景分類［20］。上述工程實(shí)踐面向自動駕駛系統(tǒng)或整車，將經(jīng)典測試方法和專家經(jīng)驗(yàn)分析進(jìn)行充分結(jié)合，形成具有較強(qiáng)可操作的測試方案，并一定程度上考慮了預(yù)期功能安全問題。然而，上述方法大多基于專家經(jīng)驗(yàn)分析，缺少系統(tǒng)的論證過程和充分的理論支撐。Zhang 等為避免不同基準(zhǔn)數(shù)據(jù)集對測試評價的影響，設(shè)計(jì)級聯(lián)坦克模型建立不同細(xì)粒度的難度等級［21］；Huang 等基于共克里金模型（co-Kiriging model）綜合分析了不同可信程度的測試結(jié)果［22］；Xu 等開發(fā)了基于場景的測試平臺SafeBench，集成多個關(guān)鍵測試場景和測試指標(biāo)［23］；此外，多個文獻(xiàn)也綜述了當(dāng)前自動駕駛測試技術(shù)和應(yīng)用進(jìn)展［24-26］。上述測試方法主要面向自動駕駛算法，然而預(yù)期功能安全具有特殊性和復(fù)雜性，不能簡單復(fù)用經(jīng)典測試方案和框架，須根據(jù)其特征設(shè)計(jì)新的方法論和技術(shù)手段。

智能網(wǎng)聯(lián)汽車系統(tǒng)的復(fù)雜性和道路運(yùn)行語境的開放性給預(yù)期功能安全測試驗(yàn)證提出了新的挑戰(zhàn)。因此，需要一個兼具高效性和通用性的框架支持預(yù)期功能安全系統(tǒng)性測試驗(yàn)證。具體而言，智能網(wǎng)聯(lián)汽車預(yù)期功能安全測試驗(yàn)證方法應(yīng)考慮預(yù)期功能安全特點(diǎn)，建立通用的框架支撐完整的系統(tǒng)性論證過程，并將基于經(jīng)驗(yàn)的分析方法和前沿的智能方法相結(jié)合形成兼具可操作性和可靠性的測試驗(yàn)證技術(shù)。

本文從預(yù)期功能安全概念分析出發(fā)，結(jié)合智能網(wǎng)聯(lián)汽車特點(diǎn)創(chuàng)新性提出一種雙閉環(huán)框架，分為封閉驗(yàn)證和開放論證兩個階段進(jìn)行測試驗(yàn)證（第1節(jié)）。進(jìn)一步地，本文針對關(guān)鍵場景和接受準(zhǔn)則兩個核心問題，設(shè)計(jì)了關(guān)鍵用例和交互環(huán)境的構(gòu)建流程并綜合論述具體實(shí)現(xiàn)技術(shù)，同時提出雙層接受準(zhǔn)則的量化方式并引入了人類駕駛員模型作為接受準(zhǔn)線。最后，本文從場景構(gòu)建實(shí)踐、測試工具、數(shù)據(jù)積累3 個方面對預(yù)期功能安全測試驗(yàn)證領(lǐng)域面臨的挑戰(zhàn)進(jìn)行總結(jié)和展望。

1 預(yù)期功能安全測試驗(yàn)證框架

隨著智能網(wǎng)聯(lián)汽車對電氣電子系統(tǒng)和復(fù)雜算法依賴性的增加，ISO 21448標(biāo)準(zhǔn)定義了預(yù)期功能安全概念，對功能安全（functional safety， FuSa）［27］所定義的電氣電子故障之外的安全風(fēng)險進(jìn)行補(bǔ)充。本節(jié)從智能網(wǎng)聯(lián)汽車特點(diǎn)和預(yù)期功能安全概念分析出發(fā)，說明測試驗(yàn)證目標(biāo)和需求，并提出一種全新的雙閉環(huán)框架。

1.1 智能網(wǎng)聯(lián)汽車預(yù)期功能安全分析

智 能 網(wǎng) 聯(lián) 汽 車（intelligent connected vehicle，ICV）是一種搭載傳感器、控制器和執(zhí)行器等先進(jìn)裝置，融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù)，進(jìn)行人、車、路的信息交換共享并具有不同級別自動駕駛能力的新一代運(yùn)載設(shè)備。環(huán)境感知、地圖定位、決策規(guī)劃、控制執(zhí)行、網(wǎng)聯(lián)通訊、人機(jī)交互是ICV 典型6 大系統(tǒng)［28-29］。此外，也有研究和應(yīng)用將部分系統(tǒng)功能整合，形成端到端的黑盒系統(tǒng)［30-31］。ICV 集成了復(fù)雜多樣的軟硬件技術(shù)。從頂層技術(shù)框架到具體的算法參數(shù)設(shè)置，不同ICV 配置具有較大差異。另一方面，ICV 系統(tǒng)軟件和算法深度應(yīng)用人工智能技術(shù)，在建立自動駕駛的同時也帶來了不可解釋的特點(diǎn)，其行為動機(jī)在部分案例下與人類駕駛模式具有一定差異性。因此，無法只依賴人類駕駛經(jīng)驗(yàn)或系統(tǒng)結(jié)構(gòu)分析對ICV 的封閉系統(tǒng)進(jìn)行故障排查和測試驗(yàn)證。

預(yù)期功能安全（safety of the intended functionality，SOTIF）定義為不存在因預(yù)期功能不足引起的危害而導(dǎo)致不合理風(fēng)險［32］。其中，預(yù)期功能是在整車層面定義的功能，在考慮能力局限下的標(biāo)稱功能界定為預(yù)期行為。功能不足既包括規(guī)范定義的不足（如不完整的規(guī)范定義），也包括性能局限（如技術(shù)局限）。功能不足的指向范圍既有整車層面的預(yù)期功能，也包含電氣電子要素的實(shí)現(xiàn)（包括硬件、算法等）。功能不足會導(dǎo)致危害行為或無法防止、探測及減輕合理可預(yù)見誤用。

圖1 展示了智能網(wǎng)聯(lián)汽車傷害（harm）觸發(fā)路徑。運(yùn)行環(huán)境中未知或已知的風(fēng)險要素形成觸發(fā)條件，導(dǎo)致整車或系統(tǒng)層面對預(yù)期功能的規(guī)范不足，亦或是系統(tǒng)組件的性能存在局限無法滿足功能定義的期望，形成SOTIF 風(fēng)險。SOTIF 和FuSa 造成的危害（hazardous）行為包括直接產(chǎn)生風(fēng)險（如造成新的損傷或原有損失的嚴(yán)重度增加），或間接使風(fēng)險的控制能力降低（如原有的控制措施失效，或危害事件發(fā)生概率提高）。如果定義的控制措施無法有效控制危害行為，則危害行為轉(zhuǎn)為危害事件，對交通參與者、道路設(shè)施等具體實(shí)體對象產(chǎn)生傷害。

圖1 智能網(wǎng)聯(lián)汽車傷害觸發(fā)路徑

SOTIF危害來源于ICV，在運(yùn)行環(huán)境中產(chǎn)生和演化，最終又影響ICV 整車和系統(tǒng)。ICV 需要面對人-車-環(huán)境高度耦合的動態(tài)場景，豐富的時變要素共同構(gòu)成了“維度爆炸”問題［33］。隨著ICV 向著高級別自動駕駛發(fā)展，運(yùn)行范圍逐步擴(kuò)大，“長尾效應(yīng)”帶來的稀有事件影響進(jìn)一步放大。因此，ICV 的SOTIF 測試驗(yàn)證離不開系統(tǒng)本身和運(yùn)行環(huán)境。

1.2 SOTIF測試驗(yàn)證要求分析

測試驗(yàn)證貫穿從定義到確認(rèn)的完整研發(fā)流程，是保障道路運(yùn)行安全的必要環(huán)節(jié)。測試驗(yàn)證通過觀察被測對象在設(shè)置條件下的系統(tǒng)響應(yīng)，評估被測對象在實(shí)際運(yùn)行條件下的狀態(tài)。

SOTIF 測試驗(yàn)證重點(diǎn)論證系統(tǒng)“未失效”情況下的“不完美”的程度。SOTIF 測試驗(yàn)證通過一定流程對ICV 系統(tǒng)及整車潛在的功能不足和危害行為進(jìn)行暴露，促進(jìn)研發(fā)流程中對相關(guān)功能的維護(hù)以及整車或系統(tǒng)運(yùn)行范圍的規(guī)范，為監(jiān)管部門提供安全狀態(tài)的確認(rèn)證據(jù)，并向市場客觀評價性能水平。

因此，ICV 的SOTIF 測試驗(yàn)證目標(biāo)定義為在一定的框架范式中綜合各類技術(shù)手段，應(yīng)用有限資源，高效、可信地暴露系統(tǒng)功能不足，規(guī)范整車安全運(yùn)行范圍，提供相應(yīng)證據(jù)確認(rèn)風(fēng)險在可接受范圍內(nèi)。進(jìn)一步地，對ICV 的安全性能進(jìn)行說明。綜合考量ICV 產(chǎn)品快速迭代的特性以及測試驗(yàn)證對于安全保障的重要地位，論證的可操作性和嚴(yán)謹(jǐn)性是測試驗(yàn)證方案的主要導(dǎo)向，細(xì)化的要求包括但不限于如下內(nèi)容。

通用性：測試驗(yàn)證應(yīng)具有通用可擴(kuò)展的流程框架，能夠適應(yīng)不同的測試對象和層級，兼容不同技術(shù)手段以充分支撐測試內(nèi)容。

高效性：測試驗(yàn)證方案設(shè)計(jì)應(yīng)兼顧覆蓋度和效率，提高具體方案的效能，減少不必要的成本。其中，低冗余是提高效能的關(guān)鍵，包括但不限于減少測試用例的重疊、非必要技術(shù)手段和輪次的重復(fù)。

客觀性：測試過程應(yīng)保持客觀中立，方案設(shè)計(jì)和實(shí)施流程應(yīng)統(tǒng)一、明確；驗(yàn)證目標(biāo)需要通過全面、有效的證據(jù)說明；確認(rèn)準(zhǔn)線或閾值的設(shè)定不應(yīng)隨被測對象的具體配置或結(jié)構(gòu)更改。

完備性：測試對象應(yīng)包括從軟硬件系統(tǒng)到整車集成的多個層級；測試內(nèi)容應(yīng)覆蓋所有必要的考量因素；評價指標(biāo)應(yīng)避免單一安全指標(biāo)，綜合考慮不同評價維度。

一致性：測試驗(yàn)證結(jié)果應(yīng)和現(xiàn)實(shí)道路運(yùn)行具有一致性，包括具有一定保真度的技術(shù)實(shí)施手段、與現(xiàn)實(shí)環(huán)境相同的交通運(yùn)行邏輯等。

可循證：論證過程應(yīng)明確可靠，包括合理的假設(shè)與前提、嚴(yán)密的理論說明、可重復(fù)的執(zhí)行過程、可回溯的證據(jù)鏈條等。

除了上述要求外，測試驗(yàn)證方案設(shè)計(jì)還應(yīng)關(guān)注過程的規(guī)范性、實(shí)施的安全性等。

不同于FuSa 等安全驗(yàn)證思路，SOTIF 與系統(tǒng)功能、運(yùn)行環(huán)境強(qiáng)相關(guān)。ICV 的系統(tǒng)組成具有多樣性、封閉性，且與人類駕駛邏輯存在一定差異。運(yùn)行環(huán)境的開放性導(dǎo)致了時變高維和長尾場景?？紤]上述挑戰(zhàn)，本文提出如下SOTIF測試驗(yàn)證要點(diǎn)。

（1）基于關(guān)鍵場景的執(zhí)行載體

ICV 在特定交通環(huán)境下引發(fā)SOTIF 風(fēng)險。將特定運(yùn)行條件轉(zhuǎn)化為關(guān)鍵場景作為外部條件，獲取測試對象的系統(tǒng)響應(yīng)，分析評估實(shí)際運(yùn)行范圍內(nèi)功能情況，判斷潛在的SOTIF 安全風(fēng)險是否可接受。其中，關(guān)鍵場景可以是精心設(shè)計(jì)的時序片段用例，也可以是一定運(yùn)行范圍內(nèi)的連續(xù)交互環(huán)境。

（2）分層次的多支柱技術(shù)手段

完全依賴開放道路進(jìn)行SOTIF 測試會產(chǎn)生高昂的成本和不可控的安全風(fēng)險。結(jié)合測試目的和技術(shù)特點(diǎn)，引入多種仿真手段和封閉場地構(gòu)建多支柱測試平臺?？紤]被測對象的特點(diǎn)、測試的成本和需求，匹配相應(yīng)的技術(shù)手段進(jìn)行分層次、分周期的綜合測試，在誤差允許范圍內(nèi)提供高保真的結(jié)果。

（3）數(shù)據(jù)驅(qū)動的可循論證

數(shù)據(jù)支撐嚴(yán)謹(jǐn)可信的SOTIF 論證過程。基于路采數(shù)據(jù)，能夠設(shè)計(jì)出與現(xiàn)實(shí)環(huán)境一致的場景要素（如運(yùn)動分布），進(jìn)而構(gòu)建合理、符合現(xiàn)實(shí)運(yùn)行邏輯（如交互規(guī)律）的場景；基于測試過程獲得的數(shù)據(jù)（如指標(biāo)），能夠?yàn)闇y試目標(biāo)的驗(yàn)證和確認(rèn)提供具有說服力的證據(jù)；基于統(tǒng)計(jì)數(shù)據(jù)，可以進(jìn)一步為接受準(zhǔn)線的設(shè)定提供有效支撐。

1.3 基于關(guān)鍵場景的雙閉環(huán)測試驗(yàn)證框架

蘭德公司在報(bào)告中指出，需要進(jìn)行百萬公里的測試?yán)锍滩趴勺C明被測系統(tǒng)在95%的置信度下具有和人類駕駛員相同的安全水平［34］。在開放環(huán)境下論證無條件的絕對安全難免落入西西弗斯的困境。因此，測試驗(yàn)證的方案設(shè)計(jì)應(yīng)兼顧論證充分性和執(zhí)行的可操作性。具體而言，有兩個核心問題：

（1） 如何設(shè)計(jì)測試內(nèi)容，在保證充分性的前提下提高測試效率？

（2） 如何確定測試終止條件，從而保證驗(yàn)證內(nèi)容的充分性可被接受？

考慮SOTIF 特點(diǎn)和前述挑戰(zhàn)，從二八定律得到啟發(fā)，本文提出一種基于關(guān)鍵場景的SOTIF 雙閉環(huán)測試驗(yàn)證框架，如圖2 所示?？蚣芊譃榉忾]驗(yàn)證和開放論證兩個階段，第一階段對80%以上的已知典型風(fēng)險場景進(jìn)行快速驗(yàn)證，以優(yōu)秀謹(jǐn)慎人類駕駛員為基準(zhǔn)確認(rèn)基本安全；第二階段構(gòu)造非定式的交互環(huán)境，通過挖掘被測對象的長尾場景持續(xù)論證等價于百萬公里及以上里程的殘余風(fēng)險情況。

圖2 基于關(guān)鍵場景的雙閉環(huán)測試框架

封閉驗(yàn)證階段基于待測對象的聲明，將已知運(yùn)行風(fēng)險轉(zhuǎn)化為代表性測試用例，綜合多種測試技術(shù)安全可控、高效全面地對潛在SOTIF 危害進(jìn)行驗(yàn)證。進(jìn)一步地，對標(biāo)優(yōu)秀、謹(jǐn)慎的人類駕駛員確認(rèn)安全運(yùn)行范圍，對SOTIF潛在危害進(jìn)行說明。

首先，基于待測對象所聲明的設(shè)計(jì)運(yùn)行條件、駕駛動態(tài)任務(wù)和相關(guān)系統(tǒng)確定場景要素、預(yù)期行為和潛在功能局限，從而獲取觸發(fā)條件和潛在危害行為并轉(zhuǎn)化為有限時長的最優(yōu)測試集。其中，最優(yōu)測試集覆蓋已知觸發(fā)條件，并根據(jù)驗(yàn)證目標(biāo)賦予關(guān)鍵要素代表性數(shù)值。接著，綜合被測系統(tǒng)響應(yīng)和測試需求，分配軟件在環(huán)、硬件在環(huán)和整車實(shí)測等實(shí)施技術(shù)和周期頻次。最后，分析危害行為并設(shè)計(jì)恰當(dāng)?shù)闹笜?biāo)進(jìn)行評價，對標(biāo)人類駕駛員通過情況設(shè)立測試準(zhǔn)線，驗(yàn)證被測對象是否滿足基本安全要求并確認(rèn)合理的運(yùn)行條件。若在封閉驗(yàn)證階段有充分證據(jù)說明被測對象滿足基本要求，則進(jìn)入開放論證階段。

開放論證階段構(gòu)建了非定式的交互環(huán)境，在不影響整車操作運(yùn)行的前提下進(jìn)行數(shù)據(jù)采集和脫敏、關(guān)鍵信息提取以及安全評估與防護(hù)，通過“監(jiān)-測”并行在動態(tài)監(jiān)管的同時履行后測試的論證工作，進(jìn)而暴露游離在封閉驗(yàn)證之外的觸發(fā)條件、識別新的危害行為，并確認(rèn)SOTIF累計(jì)殘余風(fēng)險。

開放論證階段首先需要構(gòu)建具有真實(shí)性的交互環(huán)境作為論證對象的運(yùn)行空間，包括高保真的本體和一致的交互邏輯。其中，高保真的本體應(yīng)具有和現(xiàn)實(shí)世界相同的交互過程、特征分布，而一致的交互環(huán)境則應(yīng)包含合理的運(yùn)行邏輯、信息傳遞以及逼真的畸變等趨向于現(xiàn)實(shí)世界的物理局限。特別地，開放道路是構(gòu)建真實(shí)的交互環(huán)境最直接的方式，但成本和安全風(fēng)險較高。在此基礎(chǔ)上，通過加速測試技術(shù)在不改變環(huán)境真實(shí)性和論證置信度的前提下加快危害事件暴露。運(yùn)行過程中，設(shè)計(jì)合理的動態(tài)監(jiān)管過程，基于實(shí)時狀態(tài)數(shù)據(jù)確認(rèn)系統(tǒng)安全情況。

若系統(tǒng)正常運(yùn)行，可基于連續(xù)運(yùn)行里程直接計(jì)算殘余風(fēng)險；若系統(tǒng)觸發(fā)異常狀態(tài)（包括潛在危害、交通違規(guī)等情況），則啟動安全防護(hù)策略并以最低風(fēng)險形式暫停運(yùn)行。同理，對于升級等系統(tǒng)變更情況，也需要暫停開放論證運(yùn)行。與此同時，基于采集的數(shù)據(jù)信息和異常狀態(tài)，提取觸發(fā)條件與其誘發(fā)的危害行為。當(dāng)系統(tǒng)完成維護(hù)后應(yīng)對變更部分進(jìn)行重聲明和補(bǔ)充的封閉驗(yàn)證。若相關(guān)驗(yàn)證結(jié)果滿足預(yù)設(shè)的接受準(zhǔn)線，則可再次進(jìn)入開放論證階段。

封閉驗(yàn)證面向已知場景構(gòu)建最優(yōu)測試用例集，在有限測試資源下對風(fēng)險進(jìn)行快速、高效地暴露，并結(jié)合危害行為對標(biāo)優(yōu)秀、謹(jǐn)慎的人類駕駛員驗(yàn)證基本安全，確認(rèn)合理運(yùn)行范圍；開放論證通過構(gòu)建非定式的交互環(huán)境，挖掘被測對象未在封閉驗(yàn)證階段暴露的觸發(fā)條件和危害行為，確認(rèn)等價連續(xù)里程的殘余風(fēng)險，進(jìn)一步加強(qiáng)論證置信度和覆蓋率。雙閉環(huán)框架用最小資源成本快速完成主體驗(yàn)證內(nèi)容，確?；景踩?；進(jìn)一步通過持續(xù)論證來接近理想安全情況，減少危害事件。同時，以人類駕駛員為準(zhǔn)線來兼顧論證的充分性和執(zhí)行的可操作性。

2 雙閉環(huán)SOTIF場景構(gòu)建

場景是SOTIF 測試驗(yàn)證的基本載體。雙閉環(huán)兩階段分別將關(guān)鍵場景設(shè)置為測試用例和交互環(huán)境，誘導(dǎo)SOTIF 風(fēng)險，通過觀察被測對象狀態(tài)進(jìn)行安全驗(yàn)證。本節(jié)將對SOTIF 場景關(guān)鍵概念進(jìn)行定義，并建立觸發(fā)條件的提取路徑，對雙閉環(huán)中測試用例和交互環(huán)境的構(gòu)建技術(shù)和平臺進(jìn)行綜述。

2.1 SOTIF場景定義

在交通領(lǐng)域，場景通常包含道路、交通流和相關(guān)影響因素。當(dāng)前，多位學(xué)者從不同角度給出了場景定義［26，35-40］，可以總結(jié)為場景是現(xiàn)實(shí)交通語境的描述與再現(xiàn)?；诒倔w論，本文對場景概念定義如下。

定義1：場景（scenario）是時間序列下的環(huán)境、交通參與者、觀察者自我的組合表征以及各自的實(shí)體關(guān)系的描述，數(shù)學(xué)模型如下：

式中：Object表示組成場景SA，T的所有實(shí)體概念，具有一組描述物理特征及其傳遞信息的屬性；Relation表示場景實(shí)體間存在的物理或信息關(guān)系，可以是兩個特定實(shí)體關(guān)聯(lián)或一組實(shí)體共有的聯(lián)系。

定義2：自車Ego表示場景中重點(diǎn)關(guān)注的實(shí)體，通常設(shè)置為被測對象，是一種特殊的Object。

定義3：觀測途徑View表示場景中實(shí)體（被觀測者）和實(shí)體（觀測者）在特定物理?xiàng)l件下的映射關(guān)系，是一種特殊的Relation，受到觀測角度δ、觀測設(shè)備Equipment、采樣精度Δ共同影響。

基于場景定義，綜合信息熵（information entropy）和語義層次（semantic level）將場景表達(dá)建立為數(shù)據(jù)-本體的雙層表達(dá)結(jié)構(gòu)。

本體層通過領(lǐng)域知識，提取場景信息中的類和關(guān)系，在概念層面構(gòu)建場景的時空圖，數(shù)學(xué)模型為

式中：O對應(yīng)場景本體中Object的具體要素類型，對應(yīng)面向?qū)ο蠓椒ㄖ小邦悾╟lass）和實(shí)例（instance）”；R對應(yīng)場景本體中的Relation的具體關(guān)系數(shù)據(jù)。

特別地，O和R在地理空間范圍A、時域范圍T內(nèi)具有一定動態(tài)演變邏輯，通過狀態(tài)特征集X表示。其中，樣本x(i)滿足分布x(i)～ΠX。

數(shù)據(jù)層基于觀測途徑，將場景實(shí)體集合的觀測信息映射到特定維度，形成一定格式的時序數(shù)據(jù)文件，數(shù)學(xué)模型為

數(shù)據(jù)層的具體表達(dá)形式與觀測設(shè)備、角度強(qiáng)相關(guān)，具有多模態(tài)特點(diǎn)。數(shù)據(jù)層所捕獲的模態(tài)越豐富，采樣頻率越小，信息量越豐富。本體層記錄場景中所包含的類和關(guān)系，并形成語義和知識層級的理解。從數(shù)據(jù)層到本體層，信息被不斷提取、理解，抽象程度增加；從本體層到數(shù)據(jù)層，概念被逐步具象、記錄，信息量升高。

預(yù)期功能安全場景（SOTIF scenarioes）為能夠引發(fā)SOTIF 風(fēng)險，且在實(shí)施不恰當(dāng)控制的情況下會引發(fā)危害的場景。

SOTIF 場景架構(gòu)從SOTIF 角度劃分并形成層次關(guān)系的場景要素集合及描述方式，包含所有可能會引起SOTIF風(fēng)險的場景要素及其組合。

基于Groh 等學(xué)者對于交通場景架構(gòu)設(shè)計(jì)［41-44］，本文提出一種SOTIF 場景架構(gòu)設(shè)計(jì)，如圖3 所示，包含道路結(jié)構(gòu)、道路設(shè)施、道路臨時改變、交通參與者、天氣環(huán)境、數(shù)字信息和自車狀態(tài)共計(jì)7層。

圖3 預(yù)期功能安全場景架構(gòu)

基于場景抽象層次［45］，被測對象確定功能場景類型；進(jìn)一步，邏輯場景給定m個場景要素，第i個要素有ni個狀態(tài)且滿足分布ΠXni，進(jìn)一步按一定演化方式ξ確定場景狀態(tài)序列。

2.2 SOTIF觸發(fā)條件提取

觸發(fā)條件（trigger condition）是引發(fā)SOTIF 風(fēng)險的來源，由場景中特定的實(shí)體O*、關(guān)系R*或其組合構(gòu)成，數(shù)學(xué)模型為

從本體語義角度考慮觸發(fā)條件來源為環(huán)境態(tài)勢理解、應(yīng)對的不足；從多模態(tài)數(shù)據(jù)角度考慮來源于觀測數(shù)據(jù)的不充分或錯誤。特別地，觸發(fā)條件中實(shí)體和關(guān)系的關(guān)鍵特征可能滿足特定分布范圍，進(jìn)而引起SOTIF風(fēng)險。

特別地，Ego系統(tǒng)作為實(shí)體本身或特定View關(guān)系也是一種典型的觸發(fā)條件，通常由固有的物理局限性產(chǎn)生SOTIF 風(fēng)險，不由外部特定實(shí)體組合引發(fā)。前者和人機(jī)交互規(guī)范與誤用情況相關(guān)，后者包括但不限于觀測角度產(chǎn)生畸變導(dǎo)致識別錯誤、采樣精度不足產(chǎn)生的漏檢或誤檢、觀測設(shè)備噪聲和反射帶來的問題。

觸發(fā)條件暴露ICV 系統(tǒng)功能不足，導(dǎo)致了危害行為或無法防止、探測及減輕合理可預(yù)見的間接誤用［3］，概率模型表示為

式中：H表示危害行為；P(tc)表示觸發(fā)條件概率分布；P(H)對應(yīng)風(fēng)險發(fā)生概率；P(H|tc)表示觸發(fā)條件tc到危害行為H的轉(zhuǎn)化概率，顯化了觸發(fā)路徑。

特別地，觸發(fā)條件引起前序系統(tǒng)的功能不足或危害行為后，會隨著駕駛流程向后續(xù)系統(tǒng)傳遞放大直到被安全策略阻斷。

基于上述模型，觸發(fā)條件本質(zhì)上是對場景要素和系統(tǒng)危害行為進(jìn)行因果推斷（casual inference）。觸發(fā)條件提取可以視為為結(jié)構(gòu)方程構(gòu)建（structural equation models）和因果效應(yīng)估計(jì)（casual effort estimation）兩個主要問題［46］。

歸納方法（inductive method）從研發(fā)或運(yùn)行過程采集的大量數(shù)據(jù)中識別歸納觸發(fā)條件，如圖4 所示。首先，對場景的組成要素進(jìn)行分析、拆解，包括但不限于與危害事件相關(guān)的實(shí)體、關(guān)系以及自車受到影響的系統(tǒng)。接著，排除混雜因子（cofounder）并提取因果模型的關(guān)鍵要素。最后，綜合基于約束［47-48］、基于分?jǐn)?shù)［49-50］、基于結(jié)構(gòu)模型［51-53］等推斷方法或基于人工智能［54-58］建立因果模型或提取因果效應(yīng)。

圖4 歸納方法分析路徑

歸納方法本質(zhì)上是基于大數(shù)據(jù)的統(tǒng)計(jì)學(xué)方法，對危害發(fā)生的過程和程度進(jìn)行歸因。若系統(tǒng)結(jié)構(gòu)和行為范式不了解、危害發(fā)生的機(jī)理不明確、缺少充分先驗(yàn)知識，可以采用歸納方法提取觸發(fā)條件。

演繹方法（deductive method），從系統(tǒng)功能屬性出發(fā)推演危害行為并獲取觸發(fā)條件，如圖5 所示。首先，從場景要素的特征分布中選擇初始狀態(tài)X0，基于一定轉(zhuǎn)化策略P確定場景演化過程并記錄狀態(tài)。進(jìn)一步地，基于專家分析等方法［59-60］確定危害判定條件并提取關(guān)鍵狀態(tài)。最后，綜合對關(guān)鍵要素進(jìn)行分析、提取，確定產(chǎn)生危害的因變量和特征分布，并估計(jì)因果效應(yīng)［61-63］。

圖5 演繹方法分析路徑

演繹方法的本質(zhì)是基于確定的演化策略進(jìn)行事件推演，從而對危害事件和因果模型進(jìn)行補(bǔ)充。演繹方法適用于缺少樣本的觸發(fā)條件分析，但需要有充分先驗(yàn)知識以支持系統(tǒng)演化和關(guān)鍵狀態(tài)判定。

最后，基于上述方法獲得的因果關(guān)系對當(dāng)前觸發(fā)條件框架進(jìn)行補(bǔ)充和完善：對同型觸發(fā)條件進(jìn)行合并、重構(gòu)和擴(kuò)展，如要素類型優(yōu)化、特征分布調(diào)整；對新型觸發(fā)條件進(jìn)行補(bǔ)充、規(guī)范和泛化，如框架分支增加、關(guān)鍵因素泛化；此外，還可以對要素的特征分布進(jìn)行因果分析，在要素基礎(chǔ)上進(jìn)一步挖掘從特征分布到危害的因果關(guān)系。

2.3 封閉驗(yàn)證測試用例的構(gòu)建

封閉驗(yàn)證將已知場景構(gòu)建為有限資源條件下最優(yōu)測試用例集合，本質(zhì)上是將運(yùn)行條件進(jìn)行重構(gòu)采樣，通過被測系統(tǒng)對有限采樣用例中的風(fēng)險應(yīng)對情況，充分、有效地還原在實(shí)際道路上的狀態(tài)響應(yīng)并暴露潛在風(fēng)險?；趫鼍氨倔w模型，封閉驗(yàn)證的最優(yōu)測試集合可以建模為如下優(yōu)化問題：

式中：LS表示所構(gòu)建邏輯場景類型總數(shù)；Numls表示第ls個邏輯場景類型下采樣的具體場景數(shù)目；Xlns表示具體場景要素屬性的狀態(tài)采樣，滿足分布Xlns～ΠXS；sys(Xlns)表示被測系統(tǒng)在具體測試用例Xlns中的響應(yīng)操作；Critical(*)表示場景關(guān)鍵性評價公式；Cost(*)表示測試成本量化方式；Coverage(*)表示場景覆蓋度評價公式；Costmax表示測試資源的限制；Coveragemin表示場景覆蓋度的最低要求。優(yōu)化問題的目標(biāo)為最大化測試用例集合關(guān)鍵性，約束條件分別代表測試資源限制和論證充分性要求。最優(yōu)測試集合的構(gòu)建需要通過合理的場景建模、準(zhǔn)確的指標(biāo)設(shè)計(jì)和高效的采樣技術(shù)共同實(shí)現(xiàn)。

上述方法中，覆蓋度、風(fēng)險度是測試用例集合評價的主要維度。對于覆蓋度而言，多因子組合（Twise）［64-69］和修正判定條件覆蓋（modified condition/decision coverage， MC/DC）［70-72］提供了結(jié)構(gòu)化的充分性量化方法；相似性從另一個角度衡量覆蓋度［73］，在此基礎(chǔ)上可以通過添加相似度較低的新場景來提高測試集合覆蓋情況［74-76］；風(fēng)險度是安全驗(yàn)證的核心指標(biāo)，也是測試用例效用的直接體現(xiàn)。場景風(fēng)險評估指標(biāo)主要基于代理模型的安全狀態(tài)進(jìn)行評估［77］。學(xué)者從反應(yīng)時間［78］、意圖［79］、不確定性［80］等角度量化碰撞風(fēng)險；Malin 基于統(tǒng)計(jì)學(xué)分析場景條件組合和事故風(fēng)險的概率關(guān)系［81］；Althoff 將生成場景風(fēng)險與可達(dá)解空間關(guān)聯(lián)［82］；此外，復(fù)雜度也是衡量場景風(fēng)險的一種間接指標(biāo)，通常認(rèn)為危害行為在復(fù)雜場景下更容易產(chǎn)生危害。復(fù)雜度可以基于對系統(tǒng)產(chǎn)生關(guān)鍵影響的因子數(shù)量和耦合情況進(jìn)行量化［83-86］。

數(shù)據(jù)重構(gòu)場景的方法提取現(xiàn)實(shí)道路運(yùn)行中的關(guān)鍵事件、分類并重構(gòu)為測試用例。實(shí)際交通事故通常包含一定危害條件，從關(guān)鍵數(shù)據(jù)重建模擬場景并進(jìn)行測試驗(yàn)證是基本的評估路線方法［76，87］。隨著數(shù)據(jù)采集技術(shù)的豐富，提取、分類和聚類方法研究提供了更有價值的場景信息。Zhang 等結(jié)合高斯速度場給出了俯瞰視角下場景軌跡時變交互趨勢的表示方式［88］；Oeljeklaus 等提出了兩路集成的深度神經(jīng)網(wǎng)絡(luò)對視頻數(shù)據(jù)同時進(jìn)行圖像語義分割和道路拓?fù)渥R別［89］；Zofka 等從傳感器中導(dǎo)出軌跡數(shù)據(jù)提取道路布局［90］；Bolte 等針對感知系統(tǒng)定義邊緣場景為無法預(yù)測類別，并結(jié)合語義分割和圖像檢測從視頻輸入提取邊緣場景［91］；Siami等對手機(jī)獲取的軌跡數(shù)據(jù)依次進(jìn)行自組織映射、深度編碼器和分區(qū)聚類實(shí)現(xiàn)無監(jiān)督的行為識別［92］；Ries 等將場景用頂視圖網(wǎng)格（topview grid）表示，并通過卷積神經(jīng)網(wǎng)絡(luò)和長短期記憶神經(jīng)網(wǎng)絡(luò)提取場景的時空特征［93］；Mavrogiannis 等提出采用拓?fù)渚幙棧╰opological braids）來捕獲場景的關(guān)鍵交互情況［94］；Erdogan 等提供了基于規(guī)則、有監(jiān)督和無監(jiān)督3 類從傳感器數(shù)據(jù)提取場景的方法［95］；Gruner等綜述不同場景的表示方法和基于神經(jīng)網(wǎng)絡(luò)的分類技術(shù)［96］；考慮到隱馬爾可夫能夠有效處理非定長數(shù)據(jù)，Wang 等和Martinssor 等分別基于該模型提取場景基元［97］并進(jìn)行分類［98］；Beglerovic 等展示了深度學(xué)習(xí)在場景分類上的應(yīng)用［99］；此外，隨機(jī)森林［100-101］、基于距離［102-103］等方法也能對場景數(shù)據(jù)進(jìn)行主動聚類。

數(shù)據(jù)重構(gòu)場景方法主要對采集的關(guān)鍵事件進(jìn)行再現(xiàn)，或在原有事件基礎(chǔ)上進(jìn)行擴(kuò)展泛化。然而，實(shí)際道路中關(guān)鍵事件的稀缺性，數(shù)據(jù)采集的成本和安全性給這一類方法路線帶來較大的負(fù)擔(dān)和壓力。機(jī)理建模場景的方法在一定目標(biāo)和約束下，通過場景模型的建立和相關(guān)參數(shù)的選擇完成測試用例的生成，提供了一種低成本、高效率的場景構(gòu)造方法，且可能挖掘到實(shí)際運(yùn)行過程未發(fā)現(xiàn)的長尾場景。

本體表示對客觀事物的系統(tǒng)性描述，是機(jī)理建模場景方法的重要基礎(chǔ)。早期場景本體建模主要服務(wù)于自動駕駛系統(tǒng)，將知識轉(zhuǎn)化為概念以便自動駕駛系統(tǒng)能夠理解場景，從而更好地進(jìn)行風(fēng)險辨識［104-105］、推理［106-107］、感知［108-109］、決策和規(guī)劃［110-112］。隨著相關(guān)研究的推進(jìn)，學(xué)者們逐步優(yōu)化交通參與者［113］、道路地圖［114-115］、空間關(guān)系［116］、交通規(guī)則［117，28］等本體模型，并引入面向?qū)ο笳Z言［35，118］、領(lǐng)域特定語言［119，40］、圖數(shù)據(jù)庫［120］等進(jìn)行技術(shù)實(shí)現(xiàn)。進(jìn)一步地，學(xué)者將場景本體應(yīng)用于場景數(shù)據(jù)標(biāo)注和提?。?21-123］、場景庫存儲［124］和聚類［125，37］、測試用例的導(dǎo)出［126-127］等相關(guān)工作。

組合和優(yōu)化是機(jī)理建模場景的主要路徑。前者通過對場景要素的合理組合實(shí)現(xiàn)邏輯場景及更高層次的用例構(gòu)建；后者則將用例生成的目標(biāo)和要求建模為優(yōu)化問題并對最優(yōu)參數(shù)進(jìn)行搜索。

組合測試將前述本體轉(zhuǎn)化為被測系統(tǒng)輸入算法，通過組合方法生成邏輯場景［128］，并通過參數(shù)采樣形成具體用例；Gao 等提出一種基于復(fù)雜度的組合測試算法，進(jìn)一步構(gòu)建聯(lián)合仿真測試平臺實(shí)現(xiàn)測試閉環(huán)［129-130］；Fujikura 等引入時序邏輯語言對場景演化狀態(tài)進(jìn)行形式化描述并通過路徑窮舉構(gòu)建高覆蓋度危險場景［131］；Manna 等關(guān)注到場景交互的關(guān)鍵性，從模態(tài)序列圖中組合構(gòu)建最小測試集［132］；Gladisch 等面向感知系統(tǒng)將領(lǐng)域知識進(jìn)行表達(dá)，并通過環(huán)境特征組合進(jìn)行覆蓋度確認(rèn)，識別缺少的測試場景［133］；優(yōu)化方法通常在給定場景范式下，采用隨機(jī)優(yōu)化迭代［134］、梯度下降［135］、非線性優(yōu)化［136］、模擬退火［137-138］、快速搜索隨機(jī)樹［139］、粒子群算法［140］、隨機(jī)森林［141］、貝葉斯優(yōu)化［142-144］等方法加快對參數(shù)采樣空間的搜索；進(jìn)一步地，進(jìn)化算法為場景生成提供一種兼顧多樣性和關(guān)鍵性的優(yōu)化方法，能夠較好處理多參數(shù)耦合的復(fù)雜場景問題［145-147］；Scheibler 等提供了一個i-SAT 算法，對待約束空間的場景優(yōu)化生成問題進(jìn)行求解［148］；Zhu 等結(jié)合社會認(rèn)知優(yōu)化算法（social cognitive optimization， SCO）、密度峰值聚類和（density peak clustering， DPC）冷卻調(diào)度函數(shù)在邏輯場景層面進(jìn)行全局搜索，同時采用多維卷積算法在具體場景進(jìn)行局部采樣［149］；此外，Zhu等開發(fā)了一個由探索和利用模塊、移動概率確定模塊、步長確定模塊、內(nèi)存模塊和結(jié)果分析模塊5 個部分組成的場景強(qiáng)化搜索方法［150］；Olivares 等結(jié)合馬爾科夫鏈和蒙特卡洛采樣方法生成場景道路結(jié)構(gòu)［151］；Jesenski等引入貝葉斯網(wǎng)絡(luò)允許場景在任意道路拓?fù)渖辖＃?52］；Rocklage 等將軌跡規(guī)劃器作為場景可行性檢查工具，同時引入回溯算法對約束進(jìn)行處理［153］；考慮到復(fù)雜場景的高維空間耦合導(dǎo)致測試樣點(diǎn)分布更加稀疏，Yang 等使用多元線性回歸技術(shù)調(diào)整測試場景，實(shí)現(xiàn)關(guān)鍵變量的稀疏控制［154］；Geld 等提出奇異值分解（singular value decomposition， SVD）來降低場景參數(shù)向量維度［155］。

如圖6 所示，開環(huán)場景構(gòu)建方法通常假設(shè)代理模型和被測系統(tǒng)具有一致性。自適應(yīng)測試可根據(jù)系統(tǒng)響應(yīng)主動調(diào)整環(huán)境并構(gòu)成閉環(huán)反饋，通過響應(yīng)情況定制化測試過程從而減少代理模型和黑盒被測系統(tǒng)的響應(yīng)差異。

圖6 開環(huán)場景構(gòu)建樣本偏差

Mullins 等針對黑箱自動駕駛系統(tǒng)，提出了基于仿真結(jié)果的自適應(yīng)場景搜索，并進(jìn)一步通過無監(jiān)督聚類對測試場景進(jìn)行分類［156-157］；Koren 等在自適應(yīng)壓力測試框架下，用深度強(qiáng)化學(xué)習(xí)代替蒙特卡洛提高搜索效率［158］，提出Go-Explore 算法來避免依賴特定的啟發(fā)式獎勵［159］，并通過遞歸神經(jīng)網(wǎng)絡(luò)減少計(jì)算復(fù)雜度，建立相似初始條件的潛在關(guān)系［160］；Du 等將域知識［158］和軌跡相異性［161］引入獎勵函數(shù)引導(dǎo)自適應(yīng)搜索；Feng等為補(bǔ)償代理模型和被測系統(tǒng)的差異，基于貝葉斯優(yōu)化方法建立一個自適應(yīng)場景庫生成測試框架，采用基于分類的高斯過程回歸估計(jì)非固定的差異度函數(shù)并設(shè)計(jì)捕捉函數(shù)來確定的新增測試場景，具有更高測試效率和魯棒性［162-164］；Yang 等考慮場景高維問題，在自適應(yīng)測試中應(yīng)用基于控制變量的多元線性回歸技術(shù)對測試過程進(jìn)行優(yōu)化［154］；Ding等基于一組自回歸場景構(gòu)建塊并通過聯(lián)合采樣生成不同場景，同時分別將場景和被測系統(tǒng)視為智能體，以風(fēng)險為獎勵通過策略梯度強(qiáng)化學(xué)習(xí)方法對其進(jìn)行訓(xùn)練優(yōu)化［165］；進(jìn)一步地，Ding 等提出了一種基于流的多模態(tài)安全關(guān)鍵場景生成器，通過最大化加權(quán)似然函數(shù)來優(yōu)化生成模型，并基于生成器的學(xué)習(xí)進(jìn)度反饋?zhàn)赃m應(yīng)地調(diào)整采樣區(qū)域，形成對抗性訓(xùn)練框架［166］；此外，Ding 等將知識分為對象的性質(zhì)和關(guān)系，提出樹結(jié)構(gòu)變分編碼器（tree-structured variational auto-encoder， T-VAE），通過對節(jié)點(diǎn)和邊的屬性施加語義規(guī)則提高了場景生成過程的可控性和可解釋性，從而利用深度生成模型將領(lǐng)域知識顯式地集成到生成過程中［161］。

封閉驗(yàn)證場景延續(xù)經(jīng)典測試方法理論，將先驗(yàn)知識和理論技術(shù)方法相結(jié)合構(gòu)造具體的有限測試用例，旨在通過最小測試資源最大化完成驗(yàn)證需求。封閉驗(yàn)證對基本的SOTIF 安全情況進(jìn)行說明，將一致性、殘余風(fēng)險等論證過程后置到開放論證中。

2.4 開放論證交互環(huán)境的實(shí)現(xiàn)

開放論證基于現(xiàn)實(shí)交通情況構(gòu)建非定式的交互環(huán)境，本質(zhì)是將場景要素按照與現(xiàn)實(shí)環(huán)境一致合理的分布和運(yùn)行規(guī)律進(jìn)行演化，通過被測對象和外部場景要素的持續(xù)交互，全面、直接還原系統(tǒng)對運(yùn)行條件的響應(yīng)情況，對低概率危害或系統(tǒng)異常響應(yīng)進(jìn)行暴露并計(jì)算性能水平?；趫鼍氨倔w模型，開放論證的交互環(huán)境可以建模為如下數(shù)學(xué)模型：

式中：xis和xisys分別表示交互環(huán)境和被測系統(tǒng)的狀態(tài)采樣；t標(biāo)識進(jìn)程時間；sys(*)表示狀態(tài)空間到動作空間映射，即被測系統(tǒng)基于指定時刻t自身狀態(tài)和外部環(huán)境狀態(tài)情況所執(zhí)行的操作；?(*)表示由于不確定性、觀察誤差等所造成的噪聲項(xiàng)；ξ(*)表示被測系統(tǒng)下一時刻狀態(tài)的轉(zhuǎn)換映射(X)表示被測系統(tǒng)Sys在特征X構(gòu)成交互環(huán)境中的性能情況；H表示安全評估所關(guān)注的危害事件；μsHys表示系統(tǒng)殘余風(fēng)險，為被測系統(tǒng)Sys在真實(shí)運(yùn)行條件下危害事件H出現(xiàn)的概率期望［167］。上述公式依次代表合理場景、系統(tǒng)響應(yīng)和殘余風(fēng)險的理論概率模型，也是構(gòu)建交互環(huán)境的核心內(nèi)容。

數(shù)據(jù)驅(qū)動的交通參與者建模為構(gòu)建和現(xiàn)實(shí)場景具有一致性的運(yùn)行邏輯提供重要基礎(chǔ)。早期研究分析跟車［168-171］、變道［172-173］、擁堵環(huán)境［174］、交叉路口［175］等不同語境下的交互特征從而建立駕駛行為模型，并基于現(xiàn)實(shí)數(shù)據(jù)對模型進(jìn)行校準(zhǔn)［176-178］；為捕捉人類駕駛的宏觀特征和個體不確定性，學(xué)者們基于隨機(jī)過程理論應(yīng)用高斯過程［179-180］、分段混合分布［181］等概率模型對駕駛行為進(jìn)行建模，并引入高斯噪聲項(xiàng)［182-184］；Bar?o 等將高斯隨機(jī)場和K 均值聚類方法結(jié)合，從觀測軌跡中估計(jì)多個動態(tài)模型［185］；Guo等基于隨機(jī)向量場建立多車交互模型，利用非參貝葉斯學(xué)習(xí)潛在運(yùn)動模型，并通過高斯過程和狄利克雷過程模擬多車交互并匹配到特定場景［186］；Zhang 等通過非參貝葉斯學(xué)習(xí)將場景劃分為可解釋的軌跡基元，并將基元變化點(diǎn)擬合到規(guī)劃算法獲取的期望路徑以生成無碰撞的交互軌跡，進(jìn)一步引入高斯過程回歸控制生成軌跡的方差和平滑度［187］；Ding 等基于變分貝葉斯方法提出一個基于數(shù)據(jù)的軌跡合成框架，將安全和碰撞的數(shù)據(jù)潛在空間分布通過生成模型進(jìn)行連接，并通過條件概率匹配到不同道路結(jié)構(gòu)上［188］。

人工智能技術(shù)為深入表征和提取交通參與者模型提供了新的思路。Tan 等結(jié)合神經(jīng)自回歸模型對交通場景進(jìn)行高保真建模［189］；Jenkins 等結(jié)合遞歸神經(jīng)網(wǎng)絡(luò)從實(shí)際事故數(shù)據(jù)中生成碰撞軌跡［190］；基于對抗神經(jīng)網(wǎng)絡(luò)和變分自動編碼器兩種架構(gòu)，Krajewski等設(shè)計(jì)無監(jiān)督軌跡學(xué)習(xí)模型［90］并引入貝塞爾曲線作為輸出層優(yōu)化軌跡的重構(gòu)誤差和平滑性［191］，Ding 等則在架構(gòu)基礎(chǔ)上設(shè)計(jì)雙向編碼器和多分支解碼器生成更加合理的多車交互場景［192］；長短期記憶神經(jīng)網(wǎng)絡(luò)能夠有效捕捉駕駛行為的非對稱性［193］，并同深度神經(jīng)網(wǎng)絡(luò)［194］、深度信念網(wǎng)絡(luò)［195］和混合重訓(xùn)練約束［196］等方法相結(jié)合展現(xiàn)了良好的可擴(kuò)展性和精度；Yoon 等在學(xué)習(xí)嵌入空間聯(lián)合優(yōu)化過程中引入監(jiān)督和對抗目標(biāo)，從而在生成時序數(shù)據(jù)過程中兼具無監(jiān)督模型的通用性和監(jiān)督模型的強(qiáng)控制［197］；Demetriou等基于循環(huán)條件生成對抗網(wǎng)絡(luò)和遞歸自動編碼生成對抗網(wǎng)絡(luò)分別構(gòu)造軌跡生成器，并引入自動編碼器進(jìn)行特征提取和聚類［198-199］；Zhu 等應(yīng)用深度強(qiáng)化學(xué)習(xí)框架從歷史數(shù)據(jù)模仿類人駕駛策略，展示出良好的精度和泛化能力［200］；進(jìn)一步，研究通過獎勵的設(shè)置來提高模仿學(xué)習(xí)過程中對于差異性和風(fēng)險性的偏好，以適應(yīng)生成多樣且危險的場景［201-203］；此外，對抗生成網(wǎng)絡(luò)提供了模仿學(xué)習(xí)的另一種方法，從而減少軌跡擾動的誤差積累，建立可靠人類駕駛模型［204-205］。

交互性是交通場景的重要特征，上述方法將交互過程通過交通參與者相對關(guān)系隱含地建立在模型中。博弈將交通參與者視為多智能體，顯式地對場景交互過程進(jìn)行描述。Talebpour 等將車道變換通過合作與零和兩類博弈過程描述［206］； Oyler 等將駕駛行為建立為部分可觀測馬爾可夫過程，結(jié)合層次推理和強(qiáng)化學(xué)習(xí)完成駕駛員模型構(gòu)建［207］；Li 等提出了基于層次推理的交互行為建模方法［208］，并對斯塔克伯格（Stackelberg）和決策樹兩類博弈策略進(jìn)行比較［209］；Albaba 等將深度強(qiáng)化學(xué)習(xí)和k 層博弈方法結(jié)合構(gòu)建駕駛員模型框架［210］；Wang等通過k層博弈和社會價值理論描述交互行為，進(jìn)一步將關(guān)鍵主車設(shè)置為博弈代理，通過強(qiáng)化學(xué)習(xí)進(jìn)行策略訓(xùn)練［211］；Na等則以納什均衡為基礎(chǔ)建立駕駛員模型并通過實(shí)驗(yàn)提取關(guān)鍵參數(shù)［212］。

數(shù)據(jù)驅(qū)動的交通參與者模型和多智能體的博弈過程構(gòu)建出合理交互的環(huán)境。然而，稀有但高風(fēng)險事件是從一般代理環(huán)境中獲取完整響應(yīng)的重要挑戰(zhàn)。在此基礎(chǔ)上，加速測試的技術(shù)手段能夠加快對問題的暴露，提高單位測試時長或里程的效能。

在博弈理論基礎(chǔ)上，自適應(yīng)調(diào)整技術(shù)能夠?qū)χ悄荏w的對抗性進(jìn)行強(qiáng)化，提高系統(tǒng)危害條件的出現(xiàn)概率。Qin 等通過信號時序邏輯將對智能體的動態(tài)約束轉(zhuǎn)化為層次序列規(guī)則，從而控制環(huán)境對抗性程度，并進(jìn)一步結(jié)合信號聚類技術(shù)區(qū)分不同類別關(guān)鍵事件［213］；Xie 等提出了一種主動驅(qū)動算法控制智能體，并引入系數(shù)引導(dǎo)迭代方法是算法能夠在不同條件下運(yùn)行［214］；Chen 等考慮危險場景多模態(tài)特性，使用集成模型表示局部最優(yōu)值并通過非參數(shù)貝葉斯對環(huán)境對抗策略進(jìn)行聚類［215］；基于深度強(qiáng)化學(xué)習(xí)框架訓(xùn)練對抗環(huán)境，Behzadan 等在訓(xùn)練過程中引入自適應(yīng)探測的機(jī)制［216］，Sun 等則應(yīng)用特征提取和聚類技術(shù)，識別有價值的邊緣場景［217］；Mullins 等基于深度神經(jīng)網(wǎng)絡(luò)構(gòu)造代理模型，并結(jié)合單一多層感知結(jié)構(gòu)編碼和控制多個任務(wù)級行為，同時通過分位數(shù)拖拽方法（quantile-dagger， Q-DAgger）刪除對最終策略沒有貢獻(xiàn)的樣本［218］。

上述方法能夠有效加強(qiáng)測試驗(yàn)證環(huán)境的對抗性，提高危害行為論證效率并能夠挖掘一部分長尾場景。進(jìn)一步地，以風(fēng)險論證為目標(biāo)，重要度采樣提供了統(tǒng)計(jì)學(xué)方法，能夠在保證無偏性的前提下加速測試進(jìn)程，更高效、準(zhǔn)確地獲得系統(tǒng)響應(yīng)情況。

Zhao 等將重要度采樣方法應(yīng)用于切入［219］、跟車［220］以及高速［221-222］等場景進(jìn)行測試，取得良好的加速效果；Huang 等分別使用高斯混合分布［223］和多項(xiàng)式核方法［224］構(gòu)造重要度抽樣分布，并基于克里金模型進(jìn)行采樣以減少需要評估的用例數(shù)量［225］，改進(jìn)了梯度估計(jì)量來搜索最佳測試場景［226］； Wang 等將可達(dá)集和重要性采樣相結(jié)合，并通過截?cái)喔咚够旌夏Ｐ吞崛〗换プ饔茫?27］；Xu 等基于加速策略評估方法，建立零方差抽樣分布，并引入函數(shù)逼近器，討論了在正則條件下的收斂性［228］；針對系統(tǒng)黑箱問題，Arief基于深度概率加速評估框架，在主導(dǎo)點(diǎn)附近生成場景樣本［229］，將黑箱采樣器轉(zhuǎn)化為松弛效率可信框架［230］，通過深度重要性采樣計(jì)算失效率上界，并用深度神經(jīng)網(wǎng)絡(luò)逼近估計(jì)值［231］；Yan 等從大規(guī)模自然駕駛數(shù)據(jù)中得到不同條件下人類駕駛行為的基本經(jīng)驗(yàn)分布，并進(jìn)一步結(jié)合馬爾可夫過程將模擬的固定分布和真值進(jìn)行匹配從而優(yōu)化模型的誤差累積［167］；在此基礎(chǔ)上，F(xiàn)eng 等基于數(shù)據(jù)分布建立了自然駕駛環(huán)境 （naturalistic driving environment， NDE），同時，通過機(jī)動挑戰(zhàn)識別關(guān)鍵變量并應(yīng)用強(qiáng)化學(xué)習(xí)進(jìn)行對抗性策略訓(xùn)練從而構(gòu)建自然對抗駕駛環(huán)境（naturalistic and adversarial driving environment，NADE），最終基于粗蒙特卡洛理論進(jìn)行無偏加速估計(jì)［232］；Feng 等提出一種密集深度強(qiáng)化學(xué)習(xí)（dense deep-reinforcement-learning， D2RL）從安全關(guān)鍵事件的密集信息中學(xué)習(xí)對抗性代理模型，進(jìn)一步加速測試［233］；進(jìn)一步地，Yan等針對多智能體交互行為提出了沖突批評模型和安全映射網(wǎng)絡(luò)，建立Neural NDE 的深度學(xué)習(xí)框架改進(jìn)安全關(guān)鍵事件的生成過程［234］。

開放論證通過一致性場景環(huán)境的重構(gòu)，基于系統(tǒng)對交互環(huán)境的運(yùn)行情況還原狀態(tài)響應(yīng)，并在此基礎(chǔ)上計(jì)算運(yùn)行風(fēng)險情況。在封閉驗(yàn)證安全確認(rèn)的前提下，開放論證通過真實(shí)合理的場景構(gòu)建和無偏充分的加速論證過程，重點(diǎn)確認(rèn)封閉黑箱系統(tǒng)的非預(yù)期響應(yīng)場景挖掘，以及兩階段系統(tǒng)響應(yīng)分布和風(fēng)險情況的一致性，從而實(shí)現(xiàn)全面、可信的SOTIF論證。

2.5 SOTIF場景技術(shù)實(shí)現(xiàn)

可信的SOTIF 測試驗(yàn)證除了要求測試過程的充分性外，還要求測試結(jié)果能夠如實(shí)反映現(xiàn)實(shí)運(yùn)行空間系統(tǒng)響應(yīng)情況，即測試論證結(jié)果的可信度。一方面，合理的場景要素特征分布和運(yùn)行邏輯從場景角度提供了構(gòu)建的一致性；另一方面，高保真的測試手段平臺從技術(shù)角度提供了實(shí)施的一致性。同時，考慮測試的成本和效率，應(yīng)綜合測試目標(biāo)、被測對象特點(diǎn)和測試用例需求，選擇合適的技術(shù)手段構(gòu)建分層、分頻次的多支柱測試技術(shù)平臺。

圖7 所示為基于場景的測試驗(yàn)證平臺框架。其中，左側(cè)為測試場景工具，支撐雙閉環(huán)中測試用例和交互環(huán)境的實(shí)現(xiàn)。右側(cè)為被測系統(tǒng)，包括軟硬件、系統(tǒng)集成到整車的不同層級。特別地，左右側(cè)通過信息傳遞途徑將場景和被測系統(tǒng)耦合。具體而言，場景采樣的狀態(tài)信息（真值）通過觀測途徑映射為數(shù)據(jù)（點(diǎn)云、圖像等）提供給被測系統(tǒng)；被測系統(tǒng)基于獲取的數(shù)據(jù)和自身狀態(tài)選擇合適的操作，并轉(zhuǎn)化為響應(yīng)狀態(tài)提供給場景進(jìn)行下一輪采樣。

圖7 基于場景的測試驗(yàn)證平臺框架

以被測對象為核心，測試驗(yàn)證的一致性表示為左側(cè)場景的要素滿足一定分布，通過前述場景構(gòu)建方法實(shí)現(xiàn)；測試驗(yàn)證技術(shù)的保真度則表示為右側(cè)被測系統(tǒng)的輸入輸出和現(xiàn)實(shí)運(yùn)行環(huán)境下相同，可視為信息傳遞途徑的噪聲分布和現(xiàn)實(shí)環(huán)境無偏。

開放道路測試（road test）信息傳遞途徑均為真實(shí)，包括噪聲分布在內(nèi)的各項(xiàng)信息即為論證的真值。然而，開放道路的高昂成本和測試過程安全不可控，難以滿足SOTIF測試驗(yàn)證的工程可操作性。

封閉場地測試（field of test， FOT），類似開放道路測試，信息傳遞途徑均為真實(shí)，且由于在封閉區(qū)域，測試過程相對安全可控。然而，封閉場地測試往往需要測試設(shè)備的安裝、調(diào)試，測試的成本較高、效率較低。此外，盡管相比開放道路測試，封閉場地具有能夠編排測試內(nèi)容的優(yōu)點(diǎn)。但是由于場地設(shè)施約束，實(shí)際上能夠覆蓋的場景相對有限。

硬件在環(huán)仿真（hardware in loop， HIL）的平臺部分組件（通常為被測系統(tǒng)或整車）為真實(shí)設(shè)備，往往被測系統(tǒng)到場景的狀態(tài)響應(yīng)和現(xiàn)實(shí)道路情況具有一致性；HIL 通常對場景進(jìn)行部分或完全的仿真，場景到系統(tǒng)信息傳遞的Path A 有一定程度的失真。工控機(jī)-實(shí)時機(jī)聯(lián)合仿真、室內(nèi)臺架模擬儀仿真、混合現(xiàn)實(shí)封閉場測試都屬于廣義上HIL，具有不同真實(shí)程度的要素仿真。HIL 具有測試效率較高、成本相對固定、兼有模擬極端場景工況的優(yōu)勢，能夠滿足硬件測試的真實(shí)性需求。然而，HIL 的場景到系統(tǒng)的信息傳遞途徑仍和現(xiàn)實(shí)情況有一定差距。

軟件在環(huán)仿真（simulation in loop，SIL）通過仿真重建場景和被測對象相關(guān)要素。SIL 平臺中被測對象的輸入信息傳遞途徑Path A 和狀態(tài)響應(yīng)途徑Path B 均通過仿真手段實(shí)現(xiàn)，與現(xiàn)實(shí)環(huán)境具有一定偏差，特別是對傳感器的模擬保真度有限。SIL支持并行測試，能夠快速部署以算法為主體的被測對象，大幅降低測試成本，能夠滿足快速迭代更新的測試需求。此外，SIL能夠覆蓋包括極端工況在內(nèi)的各類場景，不會造成安全隱患和額外的成本消耗，具有較高測試覆蓋度。

基于上述分析，各測試技術(shù)手段優(yōu)缺點(diǎn)總結(jié)如圖8 所示。在具體的測試驗(yàn)證過程中，首先應(yīng)根據(jù)測試對象、測試目標(biāo)和測試用例實(shí)現(xiàn)的要求，確定可用的測試技術(shù)。在滿足基本要求前提下，綜合低成本、高效率、測試過程安全性最終確定響應(yīng)的測試技術(shù)和周期頻次。

圖8 測試技術(shù)優(yōu)缺點(diǎn)總結(jié)

仿真器的保真度是SIL 層面的主要挑戰(zhàn)，限制了以SIL 為支柱的測試可信度。一方面，高質(zhì)量的光影效果是提高仿真質(zhì)量的重要途徑［235-238］。另一方面，高保真?zhèn)鞲衅鲾?shù)據(jù)建模也是優(yōu)化仿真器的重要環(huán)節(jié)。Arnelid 等基于改進(jìn)遞歸條件生成對抗網(wǎng)絡(luò)模擬傳感器輸出，能夠處理任意長度的時間序列，并引入長短期記憶網(wǎng)絡(luò)來產(chǎn)生時序傳感器的誤差噪聲［239］；Yang 等提出UniSim 模擬器，通過神經(jīng)特征網(wǎng)絡(luò)重建場景中的靜態(tài)背景和動態(tài)角色，結(jié)合動態(tài)對象學(xué)習(xí)先驗(yàn)知識并通過卷積網(wǎng)絡(luò)完成未知區(qū)域的渲染實(shí)現(xiàn)模型的組合外推，以更低的域間隙生成逼真的傳感器數(shù)據(jù)［240］；Xiong 等將點(diǎn)云的幾何結(jié)構(gòu)進(jìn)行編碼，通過和稠密點(diǎn)云的表示對齊實(shí)現(xiàn)稀疏點(diǎn)云進(jìn)行致密化，以較低成本生成多樣逼真的場景級激光點(diǎn)云數(shù)據(jù)［241］；Yang等將物體表面信息標(biāo)識為神經(jīng)符號距離函數(shù)，并用反射率模擬物理外觀，從稀疏原生數(shù)據(jù)中重建三維場景［242］?；趯?shí)際數(shù)據(jù)的定向合成是提供高保真場景感知數(shù)據(jù)生成的新方法。Mildenhall 等基于神經(jīng)輻射場（neural radiance fields，NeRF）建立復(fù)雜場景的隱式表達(dá)，結(jié)合體渲染和新的位置編碼實(shí)現(xiàn)不同視角的逼真圖像合成［243］；進(jìn)一步地，學(xué)者們將其擴(kuò)展為Block-NeRF［244］、iNeRF［245］、BARF［246］、Climate NeRF［247］等 形 式；Wang 等 基 于CAD 模型和感知對象的幾何與語義先驗(yàn)信息，結(jié)合能力模型優(yōu)化遷移先驗(yàn)知識重建車輛視覺信息，可微繪制生成可編輯網(wǎng)格，實(shí)現(xiàn)形狀、紋理和動態(tài)的創(chuàng)建和調(diào)整［248］。

混合現(xiàn)實(shí)和數(shù)字孿生為HIL 和FOT 擴(kuò)展可測試場景范圍、提高測試效率提供了一種可行方式。Wang 等提出并行測試的智能網(wǎng)聯(lián)汽車測試方案和具體的技術(shù)方法［249-253］，并與多家企業(yè)共同完成實(shí)地項(xiàng)目的建成和實(shí)驗(yàn)［254］；Feng 等將測試場景生成方法集成到增強(qiáng)現(xiàn)實(shí)測試平臺，在實(shí)地測試軌道上生成模擬背景交通與真實(shí)的被測對象交互，并在M-city中得到實(shí)踐應(yīng)用［255］。

高保真測試驗(yàn)證技術(shù)平臺實(shí)質(zhì)是支撐被測系統(tǒng)噪聲濾除能力和應(yīng)對不確定性魯棒能力的進(jìn)一步確認(rèn)。ICV 測試驗(yàn)證涉及不同系統(tǒng)層級、不同場景尺度。為實(shí)現(xiàn)可信、高效的測試驗(yàn)證過程，SOTIF 測試驗(yàn)證方案應(yīng)協(xié)同多樣的技術(shù)支柱，在雙閉環(huán)中集成恰當(dāng)?shù)挠美龢?gòu)建、測試周期頻次。

3 SOTIF接受準(zhǔn)則

ICV 作為未來重要的道路交通參與者，應(yīng)保證風(fēng)險應(yīng)該在合理可行的運(yùn)行范圍內(nèi)盡可能低（as low as reasonable practice， ALARP）。SOTIF 接受準(zhǔn)則（acceptance criterion）說明了由SOTIF 觸發(fā)ICV 危害的合理風(fēng)險水平標(biāo)準(zhǔn)，可以分為危害行為和殘余風(fēng)險兩個層級。其中，危害行為是SOTIF 接受準(zhǔn)則的底層基本單元，判定場景中ICV 的操作是否造成危害或產(chǎn)生風(fēng)險；殘余風(fēng)險作為上層目標(biāo)，從統(tǒng)計(jì)角度量化ICV持續(xù)運(yùn)行過程中整體的累積風(fēng)險情況。

優(yōu)秀、謹(jǐn)慎的人類駕駛員是一種具有說服力的SOTIF 接受準(zhǔn)則基線［256］。一方面，優(yōu)于人類駕駛員的ICV 的性能情況和殘余風(fēng)險能夠說明ICV 運(yùn)行過程不會導(dǎo)致現(xiàn)有交通情況事故率的提高；另一方面，人駕車輛是到目前為止主流交通方式，且仍將持續(xù)一段時間，因此相關(guān)數(shù)據(jù)較為充分、豐富［257-259］，能夠支撐建立明確、合理的具體閾值。

3.1 危害行為接受準(zhǔn)則

SOTIF 的核心是ICV 預(yù)期功能不足以及由此引發(fā)整車層面危害行為，并在相應(yīng)場景環(huán)境中導(dǎo)致傷害。其中，危害行為通過整車或系統(tǒng)的狀態(tài)情況指明了相關(guān)功能響應(yīng)的不恰當(dāng)或不充分：

式中：XH表示危害狀態(tài)，包括危害發(fā)生時刻外部場景狀態(tài)xHs和被測系統(tǒng)狀態(tài)xHsys；μH表示危害行為，即導(dǎo)致危害發(fā)生的前序操作；φ(*)為評價指標(biāo)，基于可觀測狀態(tài)確定當(dāng)前時刻特定維度的性能情況；ΨH為危害閾值，超過該閾值說明特定危害產(chǎn)生。

危害行為既包含以碰撞為代表的傷害發(fā)生，又包含潛在導(dǎo)致傷害的狀態(tài)情況，同時還可以拆解為部件和整車兩個層級。因此，基于危害行為的形式化定義，轉(zhuǎn)化為以狀態(tài)為變量的多維度安全評價指標(biāo)體系。其中，整車層級的危害行為定義為造成自車內(nèi)部或?qū)ν獠拷煌ǖ呐鲎不蚋蓴_，或違反相關(guān)法律法規(guī)，可以將其歸納為安全性和合規(guī)性兩個維度。部件層級的危害行為設(shè)定為部件性能表現(xiàn)與預(yù)期的偏差或出現(xiàn)規(guī)范行為之外的動作或狀態(tài)。

當(dāng)前指標(biāo)研究主要關(guān)注整車級的安全性評價，通過整車風(fēng)險進(jìn)行量化。碰撞時間（time to collision）通過計(jì)算預(yù)期碰撞的時間量化風(fēng)險程度［260-261］，并進(jìn)一步延伸出修正碰撞時間［262-263］、最壞碰撞時間［264］、碰撞時間積分［265］、停止時間［266］、行車間隔時間［267］等變體指標(biāo)；此外，受到TTC 啟發(fā)，權(quán)重風(fēng)險水平［268］、碰撞指數(shù)［269］、事故發(fā)生時間［270］、入侵后時間［271］等指標(biāo)從時間維度上衡量關(guān)注危害事件的風(fēng)險情況；責(zé)任敏感安全模型（responsibility sensitive safety， RSS）基于可避免碰撞距離衡量安全程度［272］，設(shè)計(jì)了最小安全距離違規(guī)、最小安全距離系數(shù)、適當(dāng)反應(yīng)行動［273］、預(yù)測最小距離［274］等指標(biāo)，也啟發(fā)了包括緊急減速碰撞潛在指數(shù)［275-276］、停車距離比例［277-278］、碰撞裕度［279］、臨近間隙［280］等一系列基于距離的指標(biāo)；進(jìn)一步地，避免碰撞減速率、潛在碰撞指數(shù)［281］、臨界指數(shù)［282］等從加速度角度對風(fēng)險進(jìn)行評價；此外，潛在碰撞嚴(yán)重指數(shù)［283］、人工勢場［284］、臨界沖擊次數(shù)［285］等從不同角度擴(kuò)展了安全評估的范疇；特別地，道路違章規(guī)則、人工交通控制違規(guī)率［272］等指標(biāo)建立了合規(guī)性評價；Pek 等提出了一種形式化變道交通規(guī)則安全性驗(yàn)證［286］；Yu等基于原子命題建立層次化的合規(guī)性評價方法和監(jiān)測應(yīng)用［287］。

封閉驗(yàn)證重點(diǎn)確認(rèn)被測系統(tǒng)在有限測試用例的危害行為接受情況。以人類駕駛員為基線的危害行為接受準(zhǔn)則要求，對于選定的場景范圍，被測系統(tǒng)應(yīng)通過所有人類駕駛員能夠通過的用例；且對于人類駕駛員未能通過的用例，被測系統(tǒng)應(yīng)造成不高于人類駕駛員的危害結(jié)果。

3.2 殘余風(fēng)險接受準(zhǔn)則

SOTIF 測試驗(yàn)證的最終論證目標(biāo)是系統(tǒng)殘余風(fēng)險的期望能夠被接受。其中，殘余風(fēng)險通過合理運(yùn)行區(qū)間內(nèi)危害行為累積發(fā)生次數(shù)進(jìn)行量化：

在開放論證階段，若構(gòu)建的交互環(huán)境和現(xiàn)實(shí)環(huán)境具有一致性，即各場景要素狀態(tài)滿足分布，則被測系統(tǒng)的殘余風(fēng)險計(jì)算為

式中：L表示測試驗(yàn)證的累計(jì)運(yùn)行里程，對于開放論證則可直接通過累積運(yùn)行里程或運(yùn)行時長T進(jìn)行換算；Xl表示測試驗(yàn)證累積運(yùn)行里程中采樣的場景和系統(tǒng)狀態(tài)數(shù)據(jù)。

對于基于重要度采樣的無偏加速測試驗(yàn)證環(huán)境，殘余風(fēng)險可以表示為

開放論證重點(diǎn)確認(rèn)被測系統(tǒng)在實(shí)際運(yùn)行環(huán)境下的殘余風(fēng)險接受情況。以人類駕駛員為基線的危害行為接受準(zhǔn)則要求被測系統(tǒng)的實(shí)際運(yùn)行造成不高于人類駕駛員的平均累積危害率。特別地，殘余風(fēng)險的置信度與折算的運(yùn)行里程呈正相關(guān)，即所測試驗(yàn)證的有效運(yùn)行里程越長，殘余風(fēng)險置信度越高。一般地，論證可信的等價連續(xù)運(yùn)行里程應(yīng)在百萬公里及以上。

在封閉驗(yàn)證階段，假設(shè)系統(tǒng)響應(yīng)滿足李普希茲條件，即系統(tǒng)響應(yīng)對狀態(tài)分布是概率連續(xù)的。那么，系統(tǒng)在完成測試驗(yàn)證后殘余風(fēng)險為

式中：φs為安全閾值；P(φ(xis，sys(xis))≤ΨS)表示系統(tǒng)在測試用例xis下的安全概率；E(Xs=xis)表示測試用例xis暴露度，即組成要素在實(shí)際運(yùn)行環(huán)境中的出現(xiàn)概率［42］。

同樣的，測試用例樣本數(shù)所覆蓋的暴露度越高，論證結(jié)果的充分性越高。

總體而言，系統(tǒng)風(fēng)險可接受的基本要求為車輛行為對自身或外界不構(gòu)成不可接受的危害：除了場景中本身不存在造成危害條件的情況外，場景中危害出現(xiàn)概率小、嚴(yán)重度低，或危害出現(xiàn)的概率大但能夠被控制、危害較強(qiáng)但出現(xiàn)概率罕見等情況，上述情況下危害可接受。

4 研究展望與總結(jié)

ICV 正逐步進(jìn)行產(chǎn)業(yè)落地和應(yīng)用并朝著高級別自動駕駛邁進(jìn)，SOTIF 是允許道路運(yùn)行必不可少的安全考量和要求之一。測試評價是SOTIF 重要保障基礎(chǔ)之一，在促進(jìn)系統(tǒng)性能優(yōu)化、規(guī)范系統(tǒng)運(yùn)行范圍、確認(rèn)產(chǎn)品通過等環(huán)節(jié)起到重要作用。本文從SOTIF概念和ICV 特點(diǎn)出發(fā)，分析了SOTIF測試驗(yàn)證的目標(biāo)和需求，提出了基于關(guān)鍵場景的雙閉環(huán)測試驗(yàn)證框架，結(jié)合場景模型細(xì)化了兩個閉環(huán)的場景構(gòu)建和實(shí)施方法以及面向接受準(zhǔn)則的論證說明。

本質(zhì)上，基于場景的SOTIF 測試驗(yàn)證是通過系統(tǒng)對樣本響應(yīng)情況，還原系統(tǒng)在實(shí)際運(yùn)行條件下的狀態(tài)分布，并通過風(fēng)險評價和接受準(zhǔn)則論證系統(tǒng)性能情況。SOTIF 雙閉環(huán)框架基于具有不同測試定位的雙閉環(huán)，通過合理設(shè)置場景樣本和高保真的技術(shù)手段，高效、充分地完成系統(tǒng)的論證過程。封閉驗(yàn)證面向已知場景構(gòu)建有限的最優(yōu)測試用例集，充分暴露系統(tǒng)功能不足，基于危害行為接受準(zhǔn)則驗(yàn)證基本安全情況；開放論證則面向場景開放性和未知性構(gòu)建趨同于現(xiàn)實(shí)世界的交互環(huán)境，通過持續(xù)運(yùn)行對未知的觸發(fā)條件進(jìn)行挖掘和歸納，同時對殘余風(fēng)險進(jìn)行直接論證。

SOTIF 測試驗(yàn)證作為ICV 研發(fā)的重要一環(huán)，理論研究和實(shí)踐應(yīng)用仍有許多工作需要推進(jìn)。以基于關(guān)鍵場景的SOTIF 雙閉環(huán)測試驗(yàn)證框架為路線，綜合關(guān)鍵挑戰(zhàn)和難點(diǎn)，提出如下研究展望。

（1）推動基于關(guān)鍵場景的測試驗(yàn)證方法論研究與實(shí)踐：考慮ICV 的復(fù)雜性和場景的開放性，仍有包括基于因果推斷的觸發(fā)條件分析、封閉黑箱系統(tǒng)的分布還原與長尾場景的挖掘、無偏加速的場景構(gòu)建等諸多問題亟待解決；此外，需要進(jìn)一步應(yīng)用場景構(gòu)建理論方法和技術(shù)，打造典型SOTIF 場景庫，完善多維安全評價指標(biāo)體系，通過產(chǎn)學(xué)研結(jié)合在工程實(shí)踐中打通不同系統(tǒng)層級的雙閉環(huán)測試驗(yàn)證流程，形成具有中國特色的SOTIF測試驗(yàn)證方案。

（2）建立高保真、高效率測試技術(shù)手段：優(yōu)化包括傳感器模擬在內(nèi)的仿真組件保真度，增強(qiáng)仿真部分和現(xiàn)實(shí)世界的一致性，提高相應(yīng)測試手段的可靠性；引入數(shù)字孿生、混合現(xiàn)實(shí)等方法，進(jìn)一步豐富多支柱測試手段，降低測試成本、提高測試效率、擴(kuò)展技術(shù)手段的可用性，為可信、可靠的SOTIF 測試驗(yàn)證提供有力支撐證據(jù)。

（3）持續(xù)推進(jìn)運(yùn)行數(shù)據(jù)采集，完善統(tǒng)計(jì)論證的理論方法：持續(xù)推進(jìn)有效、多樣的交通場景數(shù)據(jù)采集，支撐包括高保真環(huán)境模型構(gòu)建、基于人類駕駛員的接受準(zhǔn)則設(shè)定等關(guān)鍵環(huán)節(jié)；建立廣泛、持續(xù)的數(shù)據(jù)共享機(jī)制，構(gòu)建具有理論基礎(chǔ)的SOTIF 數(shù)據(jù)驅(qū)動論證方案；完善場景暴露度和接受準(zhǔn)則的概率統(tǒng)計(jì)方法，基于業(yè)界和政府一致共識形成兼具理論充分性和工程可行性的SOTIF接受準(zhǔn)線。

總之，SOTIF 測試驗(yàn)證是安全開發(fā)的重要支撐，也是運(yùn)行安全保障的關(guān)鍵技術(shù)。然而，當(dāng)前行業(yè)內(nèi)關(guān)于SOTIF 測試驗(yàn)證的標(biāo)準(zhǔn)化工作剛剛起步，相關(guān)工程實(shí)踐也正處于積極的探索階段，但缺乏系統(tǒng)性框架和可操作的理論技術(shù)支撐。本文提出了一個基于關(guān)鍵場景的預(yù)期功能安全雙閉環(huán)測試驗(yàn)證框架，將廣泛理論技術(shù)研究和工程實(shí)踐經(jīng)驗(yàn)納入到框架之中，并對SOTIF 測試驗(yàn)證的關(guān)鍵問題進(jìn)行梳理。本文將標(biāo)準(zhǔn)中的關(guān)鍵概念和理論方法轉(zhuǎn)化為工程實(shí)踐可用的技術(shù)流程，從而助力智能網(wǎng)聯(lián)汽車預(yù)期功能安全測試驗(yàn)證后續(xù)進(jìn)一步的理論研究和工程實(shí)踐。