基于場景的智能網聯汽車“三支柱”安全測試評估方法研究

劉法旺， 曹建永， 張志強， 徐曉慶， 陳 貞

（1. 工業和信息化部 裝備工業發展中心，北京 100846；2. 上海機動車檢測認證技術研究中心有限公司，上海 201805；3. 中國汽車技術研究中心有限公司，天津 300300；4. 中國汽車工程研究院股份有限公司，重慶 401122；5. 北京鏑石數據科技有限公司，北京 100176）

近年來，汽車智能化技術發展迅猛，產品快速迭代，奔馳、本田等公司已有搭載自動駕駛功能的系統或車型獲得型式批準。但是，自動駕駛技術目前仍不成熟，因車輛自動駕駛系統安全性不足導致的交通事故仍然時有發生［1-2］。為保障智能網聯汽車在實際應用中的安全性，建立系統、科學、有效的智能網聯汽車安全測試評估方法非常必要。

鑒于自動駕駛系統和交通環境的復雜性以及安全事件的偶發性，自動駕駛系統需要安全、可靠地處理由外界和自身變化帶來的多種不確定性，才能有效保障智能網聯汽車行駛安全。這就需要對自動駕駛系統的設計運行條件（Operational Design Condition，ODC）及安全邊界、最小風險策略等開展全面的測試驗證工作。由于這些新特點和新要求，針對智能網聯汽車安全性、可靠性的測試驗證必須在高維、復雜的設計運行條件下進行，因此，基于場景的智能網聯汽車安全測試評估方法成為國內外相關機構和學者的研究熱點。SePIA［3］和Pegasus［4］相關研究項目為自動駕駛系統測試評估提供了場景庫搭建的理論框架和實踐參考。STELLET［5］和PIERSON［6］的研究成果表明，自動駕駛測試場景的選擇可通過系統功能分析、專家經驗知識和風險評估等方法開展。BATSCH［7］的研究成果表明，在選擇自動駕駛測試場景時，必須關注自動駕駛系統的挑戰性任務，例如關鍵交通場景和環境影響等。GELDER等［8］提出了一種基于蒙特卡洛方法生成自動駕駛測試用例的方法，該方法以自然駕駛數據為輸入，可生成與實際情況高度相似的測試用例。國際汽車制造商協會（OICA）［9］在分析自動駕駛的技術特性和安全特征的基礎上，提出了由實際道路測試、封閉場地測試和審核/評估（包含模擬仿真測試）組成的智能網聯汽車“三支柱”測試認證方法。聯合國自動駕駛驗證方法非正式工作組（VMAD IWG）［10］提出一種包含場景目錄，以及模擬仿真測試、封閉場地測試、實際道路測試、審核評估和在用監測報告等5類技術手段的測試評估方法，獲得了行業的廣泛認可。中國工業和信息化部也在持續推進智能網聯汽車準入管理研究［11］，逐步明確智能網聯汽車在產品過程保障、測試驗證等方面的要求。國內相關機構［12］聯合研究提出了一種系統、可復用、可拓展的智能網聯汽車安全測試與評估方法，將智能網聯汽車的安全測試與評估分為基礎測評和監測調整兩個階段，為實現特定ODC下智能網聯汽車的綜合安全評估提供參考。上述工作雖然為自動駕駛測試評估提供了重要理論依據，但在實際應用中還需要重點從可操作性的角度進一步深入開展研究，以適應自動駕駛技術的快速發展，滿足智能網聯汽車的安全測試評估需要。

本文在汽車生產企業研發測試的基礎上，從第三方視角出發，以搭載自動駕駛功能的智能網聯汽車為研究對象，聚焦模擬仿真、封閉場地和實際道路三種測試方法的定位及關系，研究提出一種基于場景的智能網聯汽車“三支柱”綜合安全測試評估方法，重點針對安全分析、測試環境構建、測試評估方法等開展研究，致力于為系統、科學地測試評估智能網聯汽車的安全性提供技術支持。

1 測試對象及輸入

1.1 測試對象

智能網聯汽車通過自動駕駛系統執行動態駕駛任務，因此，自動駕駛系統安全性是智能網聯汽車安全的關鍵。本方法的測試對象為搭載自動駕駛功能的智能網聯汽車，如圖1所示，重點通過對車輛自動駕駛系統開展測試來綜合評估智能網聯汽車的安全性。

圖1 測試對象分析

1.2 測試輸入

在測試之前，應對智能網聯汽車ODC、功能定義、安全目標、潛在安全風險以及已開展的研發測試活動等信息進行系統梳理，重點針對功能安全、預期功能安全等相關要求［13-14］，提煉形成汽車安全測試評估的關鍵輸入：

（1）自動駕駛系統描述。主要包括功能描述、ODC清單［15］、接口、內部包含的子要素、外部關聯要素和系統布局等信息，用以明確被測車輛所具備的自動駕駛功能，分析車輛的安全范圍，制定測試方案。

（2）危害分析和風險評估結果。主要包括安全目標、整車層面危害、危害行為的風險評估和接受準則等信息，為后續測試明確安全目標及相關整車危害。

（3）安全分析結果。主要包括自動駕駛系統與車輛其他系統的交互可能導致的潛在安全風險及應對的安全措施，功能異常表現引起的整車安全風險及對應的安全措施有效性，系統層級要素的潛在安全相關失效模式和失效后果，以及已識別出的潛在規范定義不足、性能局限和觸發條件等信息，為后續測試場景的設計提供潛在風險要素，確定可能觸發系統潛在危害行為的系統邊界。

（4）整車層面的確認計劃和確認結果。主要包括確認目的、確認結果測試方法、測試場景和測試設備等信息，對企業已開展的確認活動進行清晰的描述，為后續測試工作提供重要參考。

2 總體研究思路

2.1 測試評估方法分析

為了對智能網聯汽車安全性開展科學有效的測試評估，基于功能定義、安全目標以及ODC范圍分析，給出標稱場景、危險場景和邊緣場景，如圖2a所示，并采用基于場景的“三支柱”測試方法進行驗證。

基于場景的測試方法是實現智能網聯汽車安全測試評估的重要方法，按照測試手段可以分為3種，即模擬仿真測試、封閉場地測試和實際道路測試。模擬仿真測試通過建立仿真場景和模型對系統進行測試評估［16］，通過發現危險場景和邊緣場景支撐封閉場地測試和實際道路測試；封閉場地測試通過在封閉測試場內搭建典型場景對系統進行測試評估［17］，不僅對模擬仿真測試進行驗證，同時支撐實際道路測試的開展；實際道路測試是在真實道路交通中通過隨機交通場景對系統進行測試評估［18］，發現實際道路運行中的危險場景和邊緣場景。

針對產品安全目標，為保障智能網聯汽車安全性得到科學、充分的測試評估，進行模擬仿真、封閉場地和實際道路測試，如圖2b所示。其中，模擬仿真測試可基于自動駕駛功能和ODC的安全分析，生成合理的隨機場景，通過模擬仿真測試，發現自動駕駛系統的潛在危險場景和邊緣場景（如圖2b中紅點所示）；封閉場地測試主要針對標準規范中的典型標稱場景、安全分析過程中發現存在安全風險的場景、模擬仿真測試發現的危險場景及邊緣場景進行實車測試驗證；實際道路測試基于對行駛里程、時長以及ODC要素的充分覆蓋，進行真實隨機交通流下的實車測試，并給出危險場景和邊緣場景評估。3種測試方法相互融合、補充和驗證，支撐實現對智能網聯汽車安全性的綜合測試與評估。

圖2 基于“三支柱”方法的安全測試目標分解

2.2 測試評估框架

智能網聯汽車安全測試評估可以分為測試對象及輸入、安全分析、測試環境構建、測試實施、綜合評價等5個階段開展，如圖3所示。

圖3 測試評估框架

總體來看，本方法針對測試對象及相應測試評估輸入開展安全分析，評估解析出產品的安全風險區域，并重點對此進行模擬仿真、封閉場地及實際道路測試，最后根據“三支柱”測試的測試結果以及產品安全目標和接受準則，對智能網聯汽車安全性做出綜合評估。

3 測試評估方法

3.1 測試環境構建

3.1.1 測試方法分析

（1）模擬仿真測試可信度評估

以車輛建模、環境模擬和數值計算為核心的模擬仿真測試可通過選擇合適的仿真工具鏈實現。由于仿真工具、車輛模型和環境模擬的準確性問題，仿真測試結果與現實結果存在一定的差異，需要對模擬仿真測試進行可信度評估，應至少從仿真場景保真度、車輛模型精度、接口數據正確性、傳輸穩定性等幾個維度綜合評估［15］。

（2）封閉場地測試不確定度評估

由于封閉場地測試是在測試環境、測試設備、測試方法及流程等方面較為可控的情況下以實車的方式開展測試評估，所以測試實施主體可以針對相對可控的因素按照相對統一的標準和要求施加必要的約束，從而有力保障封閉場地測試結果的一致性、準確性和可追溯性［19］。

在測試環境方面，重點針對應用場景中天氣、光照、風速等自然環境因素，以及平整度、彎道半徑、摩擦因數、交通基礎設施等場地要素提出一致性要求；在測試設備方面，主要根據設備類型對定位精度、控制精度、目標物的擬真度、數據采集精度和頻率等提出一致性要求；在測試方法及流程方面，可以基于行業實踐，提出形成覆蓋封閉場地測試全過程的科學、規范、一致的基本測試方法與流程要求。

（3）實際測試道路與ODC要素匹配性分析

影響實際道路測試結果有效性的主要因素是所選測試道路的場景要素覆蓋度，因此，測試道路應該充分覆蓋被測車輛的ODC。為了實現對自動駕駛系統開展充分有效的安全測試，測試道路選擇應滿足相應匹配需求［20-21］。

實際工作中，可以通過對實際道路中存在的場景要素進行分析，得出實際道路要素集，并與被測車輛ODC中所描述的要素集進行對比，若對比結果滿足要求，則說明該道路選擇能夠支撐實現測試需求，反之則需重新選擇測試道路。

3.1.2 測試場景構建

（1）模擬仿真測試場景

模擬仿真測試場景的要素組成包括交通環境參數、測試車輛基礎信息參數和交通參與者的狀態。測試場景的構建，首先是根據車輛設計開發的過程文件，包括智能網聯汽車的ODC、功能定義等，輸出交通環境參數、測試車輛基礎信息參數和交通參與者的狀態。其中，交通環境參數包括光照環境（時間、天氣、光線變化等）、標志標線參數（車道清晰度、車道線完整度、車道線數量和顏色、交通標志和路面標志等）和道路參數（道路曲率、坡度、路邊設施等）；測試車輛基礎信息參數包括車輛基礎屬性、車輛運動狀態信息、車輛駕駛任務信息以及傳感器信息；交通參與者的狀態包括其他車輛、行人等的狀態信息、交通信號燈的狀態信息以及障礙物等靜止物體的信息。

其次，通過分析安全目標、整車層面危害、危害行為的風險評估和接受準則，制定仿真場景觸發條件、仿真場景測試通過條件和判別危險及邊緣場景的條件［22］。

最后，結合場景信息變化量，賦予場景相應的參數范圍；通過場景要素的組合，滿足場景覆蓋度要求。

（2）封閉場地測試場景

對于智能網聯汽車封閉場地測試，目前已經基于自然駕駛數據、專家經驗等形成了部分在一定程度上代表中國真實交通狀況的典型場景，具體包括交通信號識別及響應、行人與非機動車識別及響應、周邊車輛行駛狀態識別及響應等信息。典型場景下的產品安全是對智能網聯汽車安全的基本要求，封閉場地測試需要對典型場景進行全面有效的覆蓋。

對于智能網聯汽車在危險場景和邊緣場景下的封閉場地測試評估，需要基于車輛安全分析和模擬仿真的測試結果及其接受準則，結合封閉場地的道路與基礎設施條件、測試設備和不確定度等信息，對測試場景的合理性和可實施性進行評估，篩選出在封閉場地中可以實施且能夠保障測試結果準確、可追溯的代表性場景集作為封閉場地測試的場景輸入，對基于自然駕駛數據、專家經驗等形成的典型場景進行有效補充。

（3）實際道路測試場景

實際道路測試重點關注的是實際交通場景下ODC要素覆蓋度、車輛動態駕駛任務執行情況、交通規則符合性等問題，并結合ODC、模擬仿真與封閉場地測試等需求綜合選擇測試道路，保障實際道路測試的可靠性和充分性。

在綜合分析的基礎上，選擇高匹配度的測試道路，通過有效的測試里程或時長，保障ODC要素的覆蓋度。其中，有效測試里程或時長是保障場景出現的關鍵指標之一，需要結合模擬仿真測試可信度分析、仿真危險及邊緣場景要素覆蓋、被測車輛ODC特殊要求等關鍵影響因素進行必要的動態調整。

3.2 測試評估實施

3.2.1 測試流程

測試流程以安全分析輸入的測試場景為基礎，開展模擬仿真測試、封閉場地測試和實際道路測試，如圖4所示。

圖4 智能網聯汽車安全性測試流程

模擬仿真測試以高可信度的仿真工具鏈為支撐，充分發揮其在測試執行效率、靈活度、成本等方面的優勢，對自動駕駛系統開展高覆蓋度的場景測試，以評估智能網聯汽車安全性，并基于測試結果識別出自動駕駛系統存在潛在風險的危險場景和邊緣場景，作為封閉場地測試和實際道路測試的重要場景輸入；封閉場地測試根據其測試場景需求開展場景搭建、不確定性評估及測試工作，通過單一場景測試、組合場景測試等方式在可控的環境下對自動駕駛系統的實車表現和模擬仿真的可信度進行評估；實際道路測試則在針對期望覆蓋的場景要素集合，重點圍繞測試路段、測試時長等因素制定有針對性的測試方案，并開展相關測試工作，以評估智能網聯汽車在真實交通場景中的產品安全性。

3.2.2 綜合評估

在模擬仿真、封閉場地和實際道路三種測試結果的基礎上，結合各測試方法的特點及其在測試評估體系中的定位，重點針對ODC內的安全要求、失效與安全響應要求、人機交互安全和最小風險策略等的測試結果開展綜合評估，著力提高測試評估的科學性、系統性和有效性。

4 結語

本文系統地調研了國內外智能網聯汽車測試評估的研究及實踐進展，梳理提出基于場景的智能網聯汽車“三支柱”安全測試評估方法。針對車輛自動駕駛功能、ODC等關鍵要素，遴選測試場景和測試工具，融合模擬仿真、封閉場地和實際道路測試的優勢，對標稱場景、危險場景、邊緣場景等多種場景下的車輛安全性進行綜合測試評估，在有效驗證智能網聯汽車安全性的同時，努力提高測試評估的針對性及工作效率。隨著車輛智能化、網聯化和自動駕駛技術的迭代更新，以及測試評價技術、工具的快速發展，針對智能網聯汽車安全性的測試評估方法也需要持續更新完善，以更好地適應產業發展和行業管理需要。