搭載自動駕駛功能的智能網聯汽車安全測試與評估方法研究

劉法旺，徐曉慶，陳 貞，李艷文，李京泰，潘 鵬，張晉崇，張志強

（1.工業和信息化部裝備工業發展中心，北京 100846；2.中國汽車工程研究院股份有限公司，重慶 401122；3.北京鏑石數據科技有限公司，北京 100176；4.襄陽達安汽車檢測中心有限公司，湖北，襄陽 441004；5.國汽（北京）智能網聯汽車研究院有限公司，北京 100176；6.中國汽車技術研究中心有限公司，天津 300300）

智能網聯汽車是汽車產業轉型升級的重要戰略方向，正處于技術快速演進、產業加速布局的商業化前期階段。隨著搭載自動駕駛功能的智能網聯汽車技術及產業的快速發展，功能安全、預期功能安全、網絡安全等安全風險更加凸顯。安全測試與評估是推動車輛產品量產、保障車輛安全運行的關鍵環節。然而，搭載自動駕駛功能的智能網聯汽車安全測試與評估方法還不成熟，傳統的車輛測試驗證方法無法覆蓋新的安全風險，這也為其規模化安全應用帶來了挑戰。

針對智能網聯汽車的安全管理，國內外行業管理部門均高度重視并持續開展研究，通過制定相關政策、法規、標準等不斷完善智能網聯汽車安全管理體系，促進智能網聯汽車產業生態的迭代優化。聯合國世界車輛法規協調論壇自動駕駛工作組（WP.29/GRVA）審議通過了《自動駕駛框架文件》，針對搭載自動駕駛功能的智能網聯汽車，明確工作原則、安全愿景以及優先關注的原則性要求，為附屬工作組提供工作指導。歐盟、美國、日本等國家或組織積極參與聯合國法規研討，并先后頒布了多部智能網聯汽車相關政策和法規，初步建立了對智能網聯汽車產品的安全要求框架，明確了各相關管理部門的職責和協同機制，加速智能網聯汽車的開發與部署，為搭載自動駕駛功能的智能網聯汽車獲得型式批準奠定了基礎。為助力智能網聯汽車的研發測試和示范應用，我國有關部委發布了智能網聯汽車相關政策，明確管理的原則要求及基本框架，引導地方開展智能網聯汽車道路測試與示范應用，為智能網聯汽車產業營造了良好的測試和示范應用環境，為搭載自動駕駛功能智能網聯汽車的規模化應用管理積累了經驗。

對搭載自動駕駛功能的智能網聯汽車開展安全測試及評估，是一項復雜的系統工程，面臨諸多挑戰。例如，智能網聯汽車應用場景復雜，無法保障場景覆蓋、邏輯覆蓋等測試要求；自動駕駛功能依賴人工智能技術，測試驗證面臨黑箱難題；預期功能安全、數據安全等領域，面臨從理論研究到技術實踐的落地問題。目前看，很難通過傳統的測試方法全面有效地驗證智能網聯汽車的安全性。

對于智能網聯汽車安全測試與評估方法，國內外相關機構都在不斷研究探索。聯合國自動駕駛驗證方法非正式工作組（VMAD IWG）提出一種新的測試評估方法，包括場景目錄和五類技術手段（模擬仿真測試、封閉場地測試、實際道路測試、審核評估和在用監測報告），逐步獲得行業共識，整體框架也在不斷完善。我國工業和信息化部也在持續推進智能網聯汽車準入管理研究，逐步明確智能網聯汽車產品準入在產品過程保障、測試驗證等方面的要求。

參考國內外測試評估方法研究，結合我國智能網聯汽車的安全管理需求，本文以搭載3級和4級自動駕駛功能的智能網聯汽車作為研究對象，重點針對車輛在智能化、網聯化背景下面臨的功能安全、預期功能安全、網絡安全、數據安全等安全風險，從第三方視角出發，研究提出一種系統、可復用、可擴展的安全測試與評估方法，實現對特定設計運行條件（Operational Design Condition，ODC）下搭載自動駕駛功能智能網聯汽車的綜合安全評估。

1 安全測試與評估方法

1.1 總體思路

由于具有ODC要素組合多樣、應用場景復雜、安全問題動態等特點，僅靠傳統測試手段難以實現對搭載自動駕駛功能智能網聯汽車安全性的科學全面評估。本方法將智能網聯汽車的安全測試與評估分為基礎測評和監測調整兩個階段，即在基礎測評階段綜合評估產品對過程保障及測試要求的滿足情況，在監測調整階段對車輛實際安全狀態進行監測，根據監測結果適時調整評估結果。智能網聯汽車安全測試與評估方法的框架，如圖1所示。

圖1 智能網聯汽車安全測試與評估方法框架

3級和4級自動駕駛功能是基于ODC設計開發的，汽車生產企業應建立相適應的功能安全、預期功能安全、網絡安全、數據安全和軟件升級等安全保障能力，并應在科學規范的產品過程保障要求下開展產品的研發及測試驗證。對于搭載自動駕駛功能的智能網聯汽車的產品安全要求，也是基于ODC提出的，主要包含技術要求、過程保障要求和測試要求3個方面。其中，技術要求包含動態駕駛任務執行和后援、人機交互等；過程保障要求包含功能安全、預期功能安全、網絡安全和數據安全等，重點針對駕駛自動化系統，應覆蓋產品開發過程中要求的軟硬件級、系統級和整車級；測試要求包含模擬仿真、封閉場地、實際道路、網絡安全和數據安全、軟件升級、數據記錄等，用于支撐整車級產品測試驗證和安全評估。

在基礎測評階段，應結合汽車生產企業和檢驗檢測機構的差異化功能定位，綜合發揮兩者的比較優勢，對智能網聯汽車開展基于場景的測試，以及網絡安全和數據安全測試、數據記錄測試、軟件升級測試等，測試驗證應具備足夠的覆蓋度。在此基礎上，綜合考慮產品對過程保障及測試要求的滿足情況，形成對智能網聯汽車產品的綜合安全評估結果。

在監測調整階段，通過對車輛實際安全狀態進行有針對性的監測分析，適時修正評估結果，并不斷細化完善智能網聯汽車安全測試與評估體系。同時，通過狀態監測，也有利于加強對汽車生產企業軟件升級活動的監督管理，保障車輛產品持續滿足相關安全管理要求及產品生產一致性要求。

1.2 基于場景的測試

基于場景的測試方法，圍繞產品安全分析輸出的測試場景，采用模擬仿真、封閉場地和實際道路等測試方法，測試評估搭載自動駕駛功能智能網聯汽車的行駛安全性。模擬仿真、封閉場地和實際道路3種測試方法的優缺點，見表1。

表1 基于場景的測試方法優缺點對比

3種測試方法各有側重，實際測試中需要遵循一定的邏輯關系，實現三者優勢互補。基于自動駕駛功能的ODC，構建充分合理的場景數據集，通過模擬仿真測試，初步評估智能網聯汽車的行駛安全性并驗證ODC邊界，識別出危險場景；通過封閉場地測試，基于選定的典型場景，驗證智能網聯汽車的功能；通過實際道路測試，基于足夠的測試里程及測試場景要素覆蓋，評估智能網聯汽車應對實際交通的安全性和可靠性，并將實際道路中有價值的新場景更新到場景數據集中。

在實際測試過程中，需評估自動駕駛功能及ODC、測試項目以及測試環境（軟件、硬件、車輛、駕駛員、道路環境等），綜合研究制定測試策略，通常按照模擬仿真測試、封閉場地測試、實際道路測試的順序依次開展測試工作，但也可以針對特定的安全測試需求進行調整和補充。

1.3 安全評估

智能網聯汽車安全評估是實現車輛產品安全管理的關鍵支撐，主要采用系統工程方法，開展產品過程保障、測試驗證等審核工作。安全評估應充分考慮產品開發過程中對功能安全、預期功能安全、網絡安全和數據安全等過程保障要求的滿足情況，同時應保障產品測試驗證策略具備足夠的覆蓋度。測試驗證應充分考慮汽車生產企業為滿足產品過程保障要求開展的研發測試，以及必要的檢驗檢測結果。

安全評估在考慮產品滿足各類測試要求的基礎上，還應綜合考慮不同測試方法的優缺點，實現不同測試方法之間的相互補充，提高安全評估的科學性、針對性和有效性。

1.4 監測評估

監測評估可以分為基礎測評和監測調整兩個階段。基礎測評階段主要針對計劃量產的研發測試車輛，支撐對車輛開展綜合性安全評估。監測調整階段則是針對已投入使用的車輛，主要發揮3個方面的作用。一是基于監測結果，及時發現前期安全評估

2 過程保障及測試方法

結果與車輛實際安全狀態之間的偏差，適時調整評估結果；二是基于車輛運行數據的反饋分析，有效支撐對產品安全要求、測試與評估方法等管理體系的評估與調整；三是車輛實際使用過程中可能會遇到新的有價值場景，可用于更新和完善場景數據集。

2.1 功能安全過程保障

功能安全定義為不存在由電子電氣系統的功能異常行為引起的危害而導致不合理的風險。對于搭載自動駕駛功能的智能網聯汽車，駕駛權可能發生轉移，功能安全風險更加突出。

為保障智能網聯汽車達到一定的功能安全水平，需要對智能網聯汽車，尤其是自動駕駛系統，提出功能安全保障要求。一是設計方面，要滿足失效識別、危害分析和風險評估、安全分析等要求；二是驗證方面，要滿足功能安全集成測試和確認要求；三是開發接口方面，要保障系統、硬件和軟件各層級滿足整車功能安全要求。功能安全過程保障側重對產品開發過程提出要求，核心是保障智能網聯汽車安全運行的魯棒性。

2.2 預期功能安全過程保障

預期功能安全定義為不存在因設計不足、性能局限或人員誤用引起的危害而導致不合理的風險。對于搭載自動駕駛功能的智能網聯汽車，由于場景的復雜性、性能局限導致的非失效風險增多，預期功能安全的重要性更加凸顯。

為保障智能網聯汽車達到一定的預期功能安全水平，需要對智能網聯汽車，尤其是自動駕駛系統，提出預期功能安全保障要求。一是開發過程方面，提出規范設計、功能不足和觸發條件的識別評估、功能改進等迭代設計要求；二是驗證確認方面，要滿足已知危害場景和未知危害場景驗證確認要求；三是開發接口要求方面，要保障零部件符合對應的預期功能安全設計開發、驗證、確認等規定。預期功能安全過程保障的核心是通過迭代開發、驗證確認等方式，滿足對已知和未知風險的合理控制，保障智能網聯汽車安全。

2.3 網絡安全和數據安全過程保障

網絡安全是指通過采取必要措施，使汽車的電子電氣系統、組件和功能免受網絡威脅，確保車輛及其功能處于被保護的狀態。數據安全是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

按照網絡安全和數據安全管理要求，針對汽車產品概念、開發、生產、運維和報廢5個階段，汽車生產企業應有針對性地建立管理體系，規范產品的開發流程并指導產品開發。同時，企業應落實管理體系要求，保障產品滿足相應的網絡安全和數據安全管理要求。

2.4 模擬仿真測試

模擬仿真測試是指以實際采集、計算推理等建模的方式將搭載自動駕駛功能智能網聯汽車及其應用場景進行數字化還原，建立盡可能接近真實世界的車輛和環境仿真模型，通過對車輛在仿真環境中的運行分析，評估計算ODC內的失效概率，以達到對智能網聯汽車進行有效測試的目的。對于模擬仿真測試，應說明測試過程中所涉及的測試方法、通過條件等，并確保模擬仿真測試結果的可追溯性。

模擬仿真測試可用于評估智能網聯汽車在多樣化場景和復雜條件下的功能及性能，對全面評估智能網聯汽車的安全性具有重要作用，與實車測試等共同構建形成完備的測試評估體系。模擬仿真測試場景應至少包括充分、合理的標稱場景、危險場景和邊緣場景，以支撐驗證智能網聯汽車是否滿足安全要求。同時，應使用高置信度的模擬仿真測試工具鏈，在仿真環境中評估智能網聯汽車是否滿足安全要求，尤其是針對危險場景及邊緣場景下功能實現的安全驗證。

2.5 封閉場地測試

封閉場地測試是指在封閉場地內開展的針對搭載自動駕駛功能智能網聯汽車的實車測試，用于驗證車輛在典型場景下的功能和性能。封閉場地測試具有交通參與者與目標物可控、場景可復現等特點，測試過程中可以確保測試環境、設備、方法及流程的一致性，能夠有效保證測試結果的準確性和可追溯性。

封閉場地測試應充分結合車輛自動駕駛功能及ODC，提出封閉場地測試的典型場景，以及對應的測試方法和通過條件，搭建封閉場地測試場景，有針對性地開展相應測試工作，同時驗證模擬仿真測試結果。

2.6 實際道路測試

實際道路測試是指在公開道路上開展的針對搭載自動駕駛功能智能網聯汽車的實車測試。實際道路測試應在車輛通過了充分的模擬仿真和封閉場地測試后開展，可以測試車輛在真實交通環境中的行為表現，同時可以用于驗證模擬仿真和封閉場地測試結果。基于測試里程、測試場景要素等，驗證車輛應對真實交通環境的能力。

實際道路測試應選取與ODC相匹配的道路開展測試。在實際道路測試過程中，被測車輛應在ODC下持續執行動態駕駛任務；應遵守道路交通通行規則；應對測試車輛進行監測和對測試過程進行記錄，確保測試結果的可追溯性。

2.7 網絡安全和數據安全測試

網絡安全和數據安全測試，重點針對車輛已經實施的網絡安全和數據安全技術或者風險處置措施，驗證與車輛安全目標的匹配情況，主要用于確認產品網絡安全和數據安全達到規定要求。

網絡安全測試重點保障產品網絡安全管理目標的落實，以整車為試驗對象，從車輛的外部連接接口、通信信道、數據代碼安全等層面開展。數據安全測試側重于保障數據處理活動的安全性，主要針對車輛數據丟失、數據泄漏的威脅以及關鍵數據非法盜取、破壞、越權訪問的威脅。

2.8 數據記錄測試

搭載自動駕駛功能的智能網聯汽車應具備事件數據等關鍵數據的記錄功能，并能存儲記錄自動駕駛功能激活期間的車輛實時工作狀態。存儲記錄的數據可用于自動駕駛相關的事故重建與分析、責任主體判定、功能優化升級等。

目前，智能網聯汽車數據記錄功能主要通過汽車事件數據記錄系統（Events Data Recorder，EDR）和自動駕駛數據記錄系統（Date Storage System for Autonomous Driving Vehicle，DSSAD）實現。EDR測試應包含對碰撞事件、數據記錄、記錄功能、數據提取等的測試，DSSAD測試應包含對記錄元素種類、觸發驗證機制、數據存儲機制、數據安全讀取機制等的測試。

2.9 軟件升級測試

軟件升級是指將某版本的軟件程序或配置參數更新到另一個版本的過程，軟件是指電子控制系統中由數字數據和指令組成的部分。智能網聯汽車軟件升級日益頻繁，部分軟件會影響車輛的功能和性能，進而帶來車輛行駛安全風險。

為保障軟件升級過程的安全性與可靠性，汽車生產企業應針對軟件升級建立管理體系，提升車輛安全保障能力。此外，還應針對車輛軟件升級進行必要的測試驗證工作，至少包括升級包的真實性和完整性、車輛安全、升級失敗處理等測試。

3 結語

本文從第三方視角出發，參考國內外測評方法研究，結合我國智能網聯汽車安全管理需要，針對特定ODC下搭載自動駕駛功能的智能網聯汽車面臨的主要安全風險，研究提出了一種安全測試與評估方法。該方法從基礎測評和監測調整兩個階段，分別基于車輛研發測試過程中對過程保障和測試要求的滿足情況，以及車輛實際使用過程中安全狀態的監測情況，有針對性地開展安全綜合評估。此外，還對功能安全、預期功能安全、網絡安全和數據安全等過程保障方法及主要要求，以及模擬仿真、封閉場地、實際道路、網絡安全和數據安全、軟件升級、數據記錄等測試驗證方法及主要要求，分別進行了闡述。

本文對搭載自動駕駛功能的智能網聯汽車安全測試與評估方法進行了初步探索，致力于為智能網聯汽車的安全管理提供方法參考。