自動化測試在SOTIF開發中的應用

尚世亮 崔海峰 郭夢鴿 楊春偉

（泛亞汽車技術中心有限公司,上海 201201）

主題詞：自動駕駛 安全 SOTIF 自動化測試

1 前言

目前，自動駕駛汽車的安全問題已成為汽車行業乃至全社會關注的熱點。相比傳統汽車，替代人類駕駛員工作的自動駕駛車輛系統，其安全風險的主要來源已不再是系統故障，而是系統功能設計不足等導致的非失效風險。為應對這種變化，在ISO 26262[1]定義車輛電子電氣系統失效安全技術的基礎上，2015年起，國際標準化組織啟動了ISO PAS 21448預期功能安全(SOTIF)標準的制定，旨在指導自動駕駛車輛的非失效安全技術發展。SOTIF技術標準著重強調了在各種場景和輸入條件下，對自動駕駛車輛系統的驗證和確認要求[2]。在實際開發中，如何將這些要求集成到現有開發測試體系中，同時兼顧效率、成本等因素，是汽車企業量產自動駕駛產品前必須解決的問題[3]。

2 SOTIF對驗證和確認的要求

2.1 SOTIF技術特點

SOTIF是指不存在因預期功能的不足或合理可預見的人員誤用導致的整車不合理風險。通常車輛系統開發會基于運行場景的假設，從安全性和已知性角度將運行場景分為已知安全場景、已知不安全場景、未知不安全場景和未知安全場景4個區域，如圖1所示。

圖1 自動駕駛運行場景分類[2]

由于自動駕駛車輛運行場景的復雜性，在開發之初，圖1中區域2和區域3的比例可能較高，而SOTIF技術通過對已知場景及用例的評估，可發現系統設計不足，可將區域2轉化為區域1，并證明殘留區域2的風險足夠低；對于未知不安全場景（區域3），SOTIF技術基于真實使用場景及用例測試、隨機輸入測試等，可將發現的設計不足轉化為區域2，同時基于統計數據和測試結果，間接證明區域3已經控制到一個合理可接受的水平。由此可實現對已知和未知風險的合理控制，完成自動駕駛車輛系統的安全發布。

2.2 SOTIF驗證和確認的要求

SOTIF的驗證和確認過程主要是對區域2和區域3的探測和轉化過程。為此，SOTIF標準分別針對自動駕駛系統的傳感器、控制器、執行器以及集成后的系統和車輛提出了驗證和確認要求。相比于傳統車輛電子電氣系統的驗證和確認手段，增加了典型的SOTIF驗證和確認方法，如表1所列。

表1 SOTIF典型驗證和確認方法示例

表1說明：

a.SOTIF標準強調整車測試和在環測試并重。這是因為在自動駕駛車輛系統的驗證和確認過程中，對于區域2需要進行大量已知輸入和場景組合的測試，依靠在環測試能顯著提升測試效率；而對于區域3中未知輸入、未知場景及駕駛員交互影響等，依靠整車測試更易實現，準確性更高。

b.SOTIF標準強調測試的全面性。這是因為自動駕駛車輛系統的測試要確保充分覆蓋已知工況和條件，以將區域2減小到可接受的程度，這需建立大量的測試案例。

c.SOTIF標準強調測試的多樣性。這是因為自動駕駛車輛系統的測試需要考慮比傳統汽車更為復雜的內外部影響因素及其組合，包含噪聲、故障注入、隨機性測試等，以此充分覆蓋組件和系統的運行工況，找出潛在的功能設計不足。

SOTIF標準要求的測試條目數量眾多，并且有相當大一部分是運行條件和接口輸入的覆蓋性測試，依靠人工測試難以滿足當前汽車行業迭代開發的時間需求。為此，必須建立自動化測試系統。

3 自動化測試系統方案

3.1 自動化測試系統需求分析

自動化測試是通過計算機程序及設備，替代人工完成相關測試工作[4-5]，為滿足SOTIF標準對測試提出的新要求，需要建立新的自動化測試系統。表2為SOTIF測試的需求、自動化測試系統應具備的功能及潛在的解決方案。

表2 滿足SOTIF測試需要的自動化測試系統方案

3.2 自動化測試系統方案

根據表2建立的自動化測試系統如圖2所示。該系統實現了從測試案例建立到測試腳本的自動轉化，并基于上位機自動化測試系統軟件程序和硬件測試設備，實現了實車和硬件在環測試平臺上的測試自動執行，以及測試結果的自動判斷和報告的自動生成。

圖2 自動化測試系統

相比于傳統自動化測試系統，該測試系統具有如下優勢：

a.實現了一個系統同時支持實車和在環測試。傳統自動化測試系統大多基于在環測試平臺實現。為了滿足SOTIF測試的要求，該系統選用dSPACE公司的MicroAutoBox作為系統載體，其便攜性和豐富的接口特點，一方面可實現與在環測試平臺的對接，同時也可以方便地連接到實車待測系統上開展實車測試，另外配合AutomationDesk等工程軟件可實現自動化測試。

b.實現了測試案例的自動轉化。為實現自動化測試，首先需要將測試案例轉化為計算機可自動執行的測試腳本程序。傳統自動化測試系統需要預先針對每條測試案例編寫測試腳本文件，一旦測試案例發生更改就需要更新測試腳本，其效率低，不能滿足SOTIF測試的需要。dSAPCE公司的AutomationDesk軟件采用框架化的測試腳本結構，實現了相似測試案例共用測試腳本。基于該軟件進行了二次開發，如圖3所示，以Excel宏文件的形式將測試案例參數化，通過宏將相關參數及控制指令與AutomationDesk軟件中建立的腳本框架及軟件指令相關聯，實現了只要完成測試案例的Excel文本輸入，即實現測試腳本的自動生成，大大提升了自動化測試效率，并且通過掃頻函數實現了測試案例在取值范圍內自動取值，滿足了SOTIF標準的全面性要求。

圖3 測試案例自動轉化過程

c. 支持對CAN總線信號、弱電信號、強電信號等多種類型的測試。CAN總線信號、傳感器信號等弱電信號是自動駕駛車輛系統的重要接口，而供電是系統運行的重要環境因素。如圖4所示，通過開發電氣信號注入模塊(FIU)，結合MicroAutoBox和大功率程控電源，可實現對這些輸入的多種模擬測試。同時，配合上位機AutomationDesk程序，實現跨類型接口的自動化測試。

圖4 支持多類型測試的系統硬件方案

4 自動化測試示例

4.1 自動化硬件在環測試

基于某硬件在環測試平臺，針對自動駕駛車輛系統及其組件開展自動化測試，如圖5所示。測試過程中可通過上方窗口觀察車輛參數和運動狀態，通過下方窗口觀察自動化測試進程和測試結果。

圖5 自動化硬件在環測試

基于硬件在環測試平臺的模擬環境條件，自動化測試系統實現了對真實系統CAN總線信號值及通信保護位的自主定義、對傳感器輸入信號波形和系統供電電壓的自主控制，如圖6所示，由此實現了針對系統接口的全面化、自動化測試。

圖6 可測試的系統接口類型

4.2 自動化實車測試

實車測試時，由于車輛系統處于真實環境中，相關場景和車輛運行狀態不受程序控制。為進行自動化測試，可通過程序中增加預設條件等方法實現，如，當轉向盤轉角為60°時，自動觸發測試程序并判斷結果。

以車道保持功能(LKA)的SOTIF測試為例。該功能通過攝像頭探測車道線位置，由LKA控制單元決策和發送轉向扭矩指令給車輛電動助力轉向系統(EPS)，實現對車道偏離的糾正。為保證LKA具有足夠的偏離糾正能力，需要LKA發給EPS的轉向扭矩指令盡可能大；但同時為確保LKA的安全性，特別是考慮LKA控制單元對車道偏離的判斷可能不準確時，此時LKA發給EPS的轉向扭矩指令將會對車輛的正常駕駛造成干擾，所以LKA的轉向扭矩應處于駕駛員可控的合理范圍內，不應過大。為平衡這種矛盾，建立了典型的彎道工況測試場景，如圖7所示，以驗證合適的LKA轉向扭矩指令門限值。

圖7 自動化實車測試場景

測試時，駕駛員進行正常轉彎操作，由測試系統通過CAN總線按一定步長（1 N·m）向EPS系統自動注入反向的LKA轉向扭矩指令（模擬非預期的LKA功能），然后監測車輛轉向盤扭矩表現，以駕駛員能將車輛繼續保持在車道線內行駛為安全上限，如圖8所示。

圖8 LKA功能實車測試曲線

測試結果如表3所示。測試過程中，駕駛員為抵消反向LKA扭矩完成轉彎操作，需要施加的轉向力矩不斷增大。當LKA扭矩達到4 N·m時，駕駛員仍可將車輛控制在車道線內（此時施加的手力矩達到17.88 N·m）；當LKA扭矩達到5 N·m時車輛會偏出車道線。為此，選取最大安全扭矩值4 N·m作為LKA功能的扭矩上限。通過該測試也驗證了該扭矩上限的安全性。

表3 LKA轉向扭矩指令測試結果

5 結束語

SOTIF作為首個自動駕駛汽車安全技術標準，強調了驗證和確認工作對發現系統設計不足、提升產品安全水平的重要作用。為了滿足SOTIF開發的需要，同時提升驗證和確認環節的迭代效率，開發了一種自動化測試系統。該系統不僅能同時支持實車和在環測試，而且可以實現測試案例的快速建立和自動轉化，并支持多種類型的測試，滿足了SOTIF標準對測試的新要求。