龐智恒，唐春蓬，李光平

（1.中國(guó)汽車工程研究院股份有限公司，重慶 401147；2.智能汽車電子信息安全評(píng)價(jià)技術(shù)重慶市工業(yè)和信息化重點(diǎn)實(shí)驗(yàn)室，重慶 401147）

自動(dòng)駕駛汽車因安全問題導(dǎo)致危害的主要原因包括兩方面：（1）由于電子電器故障或軟件系統(tǒng)失效而導(dǎo)致的危害。對(duì)于該原因，ISO 提出了ISO 26262《道路車輛—功能安全標(biāo)準(zhǔn)》，而國(guó)內(nèi)提出了對(duì)應(yīng)的GB/T 34590《道路車輛—功能安全標(biāo)準(zhǔn)》。（2）由于系統(tǒng)性能不足或合理預(yù)見的人為誤用而導(dǎo)致的危害。對(duì)于該原因，ISO 提出了ISO/PAS 21448 Safety of the Intended Functionality，簡(jiǎn)稱SOTIF 標(biāo)準(zhǔn)。

在SOTIF 標(biāo)準(zhǔn)中，將自動(dòng)駕駛汽車行駛時(shí)面臨的場(chǎng)景分為4 類：已知安全場(chǎng)景、已知不安全場(chǎng)景、未知安全場(chǎng)景以及未知不安全場(chǎng)景，如圖1 所示。對(duì)于已知安全場(chǎng)景和未知安全場(chǎng)景，在SOTIF 標(biāo)準(zhǔn)中并未給予關(guān)注。對(duì)于已知危險(xiǎn)場(chǎng)景，SOTIF 標(biāo)準(zhǔn)提出了一套方法論。其目的是提高自動(dòng)駕駛汽車相關(guān)系統(tǒng)的性能或縮小相關(guān)系統(tǒng)的運(yùn)行區(qū)域范圍，并基于相關(guān)場(chǎng)景庫(kù)進(jìn)行測(cè)試與驗(yàn)證，即將已知危險(xiǎn)場(chǎng)景轉(zhuǎn)化為已知安全場(chǎng)景。而對(duì)于未知危險(xiǎn)場(chǎng)景，則可以基于場(chǎng)景庫(kù)進(jìn)行大量的試驗(yàn)，以此發(fā)現(xiàn)和探測(cè)出相關(guān)系統(tǒng)存在的安全隱患場(chǎng)景，即將未知危險(xiǎn)場(chǎng)景轉(zhuǎn)化成已知危險(xiǎn)場(chǎng)景。最后，基于上述方法論，將已知危險(xiǎn)場(chǎng)景轉(zhuǎn)化為已知安全場(chǎng)景?？傊琒OTIF 標(biāo)準(zhǔn)的目標(biāo)是盡可能地?cái)U(kuò)大自動(dòng)駕駛汽車相關(guān)系統(tǒng)在運(yùn)行時(shí)所面臨的已知安全和未知安全場(chǎng)景的范圍，從而盡可能地縮小已知危險(xiǎn)和未知危險(xiǎn)場(chǎng)景的范圍，如圖2 所示。要實(shí)現(xiàn)上述目標(biāo)，其中一個(gè)關(guān)鍵因素是構(gòu)建高質(zhì)量的預(yù)期功能安全場(chǎng)景庫(kù)。

圖1 行駛場(chǎng)景

圖2 優(yōu)化后的行駛場(chǎng)景

目前，許多企業(yè)和組織都構(gòu)建了自己的預(yù)期功能安全場(chǎng)景庫(kù)。例如：Kitti 場(chǎng)景庫(kù)、NuScenes場(chǎng)景庫(kù)、Lyft 自動(dòng)駕駛汽車場(chǎng)景庫(kù)等。大多數(shù)企業(yè)和組織在場(chǎng)景庫(kù)的構(gòu)建過程中重點(diǎn)關(guān)注場(chǎng)景庫(kù)數(shù)據(jù)的收集，而對(duì)收集到的場(chǎng)景數(shù)據(jù)質(zhì)量卻缺乏合理的量化指標(biāo)。這無(wú)疑帶來(lái)了兩個(gè)問題：（1）場(chǎng)景庫(kù)中可能包含著大量重復(fù)且低質(zhì)量的場(chǎng)景數(shù)據(jù)，導(dǎo)致基于場(chǎng)景庫(kù)的試驗(yàn)時(shí)間過長(zhǎng)，甚至無(wú)法發(fā)現(xiàn)自動(dòng)駕駛汽車的性能缺陷，降低了試驗(yàn)結(jié)果可信度。（2）不同場(chǎng)景庫(kù)之間無(wú)法進(jìn)行優(yōu)劣性比較，導(dǎo)致自動(dòng)駕駛汽車場(chǎng)景庫(kù)試驗(yàn)無(wú)法選擇最優(yōu)的場(chǎng)景庫(kù)數(shù)據(jù)。因此，采用一種科學(xué)合理的場(chǎng)景庫(kù)質(zhì)量量化方法是十分必要的。

場(chǎng)景數(shù)據(jù)越復(fù)雜，對(duì)相關(guān)系統(tǒng)的挑戰(zhàn)越大，探測(cè)出相關(guān)系統(tǒng)性能缺陷的可能性就越大。因此，可以認(rèn)為場(chǎng)景數(shù)據(jù)的復(fù)雜度是影響場(chǎng)景庫(kù)質(zhì)量的關(guān)鍵因素之一。本文提出了一種量化場(chǎng)景數(shù)據(jù)復(fù)雜度的方法。該方法是基于德國(guó)Pegasus 項(xiàng)目的場(chǎng)景分層體系，對(duì)場(chǎng)景中的要素進(jìn)行分類統(tǒng)計(jì)，以計(jì)算場(chǎng)景數(shù)據(jù)中要素的復(fù)雜度，并以此評(píng)估場(chǎng)景數(shù)據(jù)的質(zhì)量。

1 Pegasus 場(chǎng)景分層體系

Pegasus 項(xiàng)目由德國(guó)汽車行業(yè)相關(guān)企業(yè)和研究機(jī)構(gòu)共同發(fā)起，以制定與自動(dòng)駕駛汽車相關(guān)的一系列測(cè)試標(biāo)準(zhǔn)為目的。該項(xiàng)目提出了一種場(chǎng)景分層體系，即在場(chǎng)景中根據(jù)場(chǎng)景要素的不同將其分為6 層場(chǎng)景，見表1。

表1 場(chǎng)景分層

場(chǎng)景數(shù)據(jù)如圖3 所示?；赑egasus 場(chǎng)景分層體系，可以將場(chǎng)景數(shù)據(jù)進(jìn)行分層，見表2。

圖3 場(chǎng)景數(shù)據(jù)

表2 場(chǎng)景分層示例

2 場(chǎng)景數(shù)據(jù)復(fù)雜度量化方法

Pegasus 場(chǎng)景分層體系將場(chǎng)景要素進(jìn)行分層。本文進(jìn)一步對(duì)每一層要素進(jìn)行分析，量化每層要素復(fù)雜度。

道路層的復(fù)雜度主要由車道線的可視性決定，見表3。對(duì)于清晰的車道線，其復(fù)雜度規(guī)定為1；被遮擋或磨損的車道線，會(huì)影響車道線的識(shí)別，其復(fù)雜度為2；路面積水、覆冰覆蓋車道線，不但影響車道線識(shí)別，還會(huì)造成行車?yán)щy，其復(fù)雜度為3；不規(guī)則的車道線可能會(huì)引起車道線誤識(shí)別，導(dǎo)致車輛行駛方向錯(cuò)誤，其復(fù)雜度為4；無(wú)車道線場(chǎng)景可能影響車輛行駛方向，其復(fù)雜度為5。

表3 道路層復(fù)雜度

交通設(shè)施層的復(fù)雜度主要由交通設(shè)施的可視性決定，見表4。無(wú)交通設(shè)施的場(chǎng)景，其復(fù)雜度為1；交通設(shè)施清晰的場(chǎng)景，其復(fù)雜度為2；交通設(shè)施距離過遠(yuǎn)導(dǎo)致無(wú)法清晰識(shí)別的場(chǎng)景，其復(fù)雜度為3；交通設(shè)施反光、臟污等導(dǎo)致難以識(shí)別的場(chǎng)景，其復(fù)雜度為4；交通設(shè)施不規(guī)則，可能引起錯(cuò)誤識(shí)別，導(dǎo)致車輛闖紅燈等危險(xiǎn)行為，其復(fù)雜度為5。

表4 交通設(shè)施層復(fù)雜度

臨時(shí)交通事件層的復(fù)雜度主要由其事件的偶然性和可預(yù)見性決定，見表5。無(wú)臨時(shí)交通事件，其復(fù)雜度為1；交通管制等有專人維護(hù)現(xiàn)場(chǎng)的臨時(shí)交通事件，其復(fù)雜度為2；道路施工等有警告指示牌的臨時(shí)交通事件，其復(fù)雜度為3；交通事故等對(duì)行車有較大影響的臨時(shí)交通事件，其復(fù)雜度為4；落石、掉落的車輪等偶發(fā)性很強(qiáng)且難以預(yù)見的臨時(shí)交通事件，其復(fù)雜度為5。

表5 臨時(shí)交通事件層復(fù)雜度

交通參與者層的復(fù)雜度由參與者的常見性和合規(guī)性決定，見表6。無(wú)交通參與者，其復(fù)雜度為1；只包含車輛的場(chǎng)景，其復(fù)雜度為2；包含行人、自行車等常見參與者且位于法規(guī)規(guī)定位置（如人行道、自行車道等），其復(fù)雜度為3；包含行人、自行車等常見參與者且不位于法規(guī)規(guī)定位置（行人橫穿馬路、自行車行駛在機(jī)動(dòng)車道上等），其復(fù)雜度為4；不常見的交通參與者（如拖著大象的貨車、騎著馬的行人等），其復(fù)雜度為5。

表6 交通參與者層復(fù)雜度

環(huán)境條件層的復(fù)雜度主要由可見度決定，見表7。晴天高可見度，其復(fù)雜度為1；雨天、傍晚中可見度，其復(fù)雜度為2；夜晚有環(huán)境燈光，其復(fù)雜度為3；夜晚無(wú)環(huán)境燈光，可見度較低，其復(fù)雜度為4；濃霧天可見度極低，其復(fù)雜度為5。

表7 環(huán)境條件層復(fù)雜度

信息層的復(fù)雜度主要由是否有交通信息決定，見表8。有高精度地圖或V2X 提供交通信息，則復(fù)雜度為1；無(wú)高精度地圖或V2X 提供交通信息，則復(fù)雜度為2。

表8 信息層復(fù)雜度

通過上述分層方式以及每層的復(fù)雜度量化方式，可以計(jì)算出單個(gè)場(chǎng)景數(shù)據(jù)的復(fù)雜度，即每層復(fù)雜度之和。例如：圖3 場(chǎng)景數(shù)據(jù)，其復(fù)雜度為18（每層復(fù)雜度見表9）。

表9 場(chǎng)景數(shù)據(jù)復(fù)雜度

對(duì)于整個(gè)場(chǎng)景庫(kù)而言，將每個(gè)場(chǎng)景數(shù)據(jù)的復(fù)雜度相加再除以場(chǎng)景庫(kù)中場(chǎng)景數(shù)據(jù)總數(shù)，得到整個(gè)場(chǎng)景庫(kù)的復(fù)雜度。根據(jù)場(chǎng)景庫(kù)復(fù)雜度可對(duì)比不同場(chǎng)景庫(kù)的質(zhì)量。

值得注意的是，由于篇幅限制，上述每層復(fù)雜度表中并沒有列舉和覆蓋所有要素。對(duì)于沒有列舉或覆蓋的要素，應(yīng)根據(jù)所在層復(fù)雜度的決定因素來(lái)確定其復(fù)雜度。例如：環(huán)境條件層復(fù)雜度的決定因素是可見度，那么對(duì)于沒有列舉出的濃度較低的霧天，其可見度與夜晚有環(huán)境燈光的可見度相當(dāng)，因此其復(fù)雜度為3。

3 場(chǎng)景數(shù)據(jù)復(fù)雜度修正

在采用上述復(fù)雜度量化方法構(gòu)建場(chǎng)景庫(kù)時(shí)，容易出現(xiàn)“過復(fù)雜”現(xiàn)象，即為了追求場(chǎng)景庫(kù)復(fù)雜度，場(chǎng)景庫(kù)只收集高復(fù)雜度的場(chǎng)景，致使場(chǎng)景庫(kù)復(fù)雜度雖然很高卻都是出現(xiàn)概率很低的場(chǎng)景，最終導(dǎo)致不能發(fā)現(xiàn)系統(tǒng)的性能缺陷。為了避免“過復(fù)雜”現(xiàn)象，本文提出“母子庫(kù)”和“系統(tǒng)場(chǎng)景概率”兩個(gè)概念。

3.1 母子庫(kù)

在實(shí)際場(chǎng)景庫(kù)收集過程中，采取隨機(jī)地點(diǎn)、隨機(jī)時(shí)間段、隨機(jī)氣候等的隨機(jī)收集方式收集到的數(shù)據(jù)構(gòu)成“母庫(kù)”。然后，針對(duì)相關(guān)系統(tǒng)的特性與運(yùn)行域，從“母庫(kù)”中提取出“子庫(kù)”。例如：對(duì)于只適用于高速公路的自動(dòng)駕駛系統(tǒng)，從“母庫(kù)”中提取高速公路的場(chǎng)景數(shù)據(jù)，并形成“子庫(kù)”。例如：針對(duì)特定城市開發(fā)的自動(dòng)駕駛系統(tǒng)，從“母庫(kù)”中提取出該城市的場(chǎng)景數(shù)據(jù)，形成針對(duì)該系統(tǒng)的“子庫(kù)”。

值得注意的是：理論上，既可以先構(gòu)建“母庫(kù)”，再提取“子庫(kù)”，也可以先構(gòu)建“子庫(kù)”，再匯集成“母庫(kù)”。但本文建議采用“先母后子”的方法。因?yàn)椤澳笌?kù)”的構(gòu)建是隨機(jī)的，所以從“母庫(kù)”中提取的“子庫(kù)”也具有隨機(jī)的屬性。如果先構(gòu)建“子庫(kù)”，又因?yàn)椤白訋?kù)”是針對(duì)特定系統(tǒng)的，那么在構(gòu)建過程中難以做到完全隨機(jī)。

3.2 系統(tǒng)場(chǎng)景概率

對(duì)于從“母庫(kù)”中提取出的“子庫(kù)”，進(jìn)一步分析其場(chǎng)景中每層要素在系統(tǒng)運(yùn)行過程中出現(xiàn)的概率，即系統(tǒng)場(chǎng)景概率。例如：對(duì)于只適應(yīng)于高速公路的自動(dòng)駕駛系統(tǒng)，交通參與者層中出現(xiàn)只包含車輛的概率（復(fù)雜度2）是遠(yuǎn)高于出現(xiàn)行人、自行車的概率（復(fù)雜度3）。因此，在評(píng)估該層要素的復(fù)雜度時(shí)，還需要將復(fù)雜度乘以一個(gè)概率系數(shù)，得出該層最終的復(fù)雜度。其公式為：

式中：為該場(chǎng)景數(shù)據(jù)的最終復(fù)雜度；C為第層場(chǎng)景要素的復(fù)雜度；P為第層場(chǎng)景要素在相關(guān)系統(tǒng)運(yùn)行時(shí)出現(xiàn)的概率系數(shù)。

3.3 防止“過復(fù)雜”現(xiàn)象

通過“母子庫(kù)”和“系統(tǒng)場(chǎng)景概率”可以避免“過復(fù)雜”現(xiàn)象。主要原因有：（1）在構(gòu)建“母庫(kù)”時(shí)，采用了隨機(jī)地點(diǎn)、隨機(jī)時(shí)間段、隨機(jī)氣候等的隨機(jī)收集方式，降低了“母庫(kù)”收集過程中的人為因素。（2）針對(duì)特定系統(tǒng)，從“母庫(kù)”中提取相關(guān)“子庫(kù)”，間接避免了“子庫(kù)”中的人為因素。（3）根據(jù)該系統(tǒng)運(yùn)行時(shí)場(chǎng)景出現(xiàn)概率及其復(fù)雜度，計(jì)算出最終場(chǎng)景復(fù)雜度。將復(fù)雜度與概率這個(gè)客觀因素結(jié)合，避免了人為因素的影響。例如：對(duì)于高復(fù)雜度、低概率的場(chǎng)景要素或?qū)τ诘蛷?fù)雜度、高概率的場(chǎng)景要素，其最終場(chǎng)景復(fù)雜度的值可能較低。

3.4 概率系數(shù)取值

針對(duì)不同系統(tǒng)，其概率系數(shù)是不一樣的。例如：僅限于高速公路使用的系統(tǒng)，交通參與者層中出現(xiàn)只包含車輛的概率系數(shù)大于出現(xiàn)行人、自行車的概率系數(shù)；對(duì)于可以用于城市交通場(chǎng)景的系統(tǒng)，交通參與者層中出現(xiàn)行人、自行車的概率系數(shù)大于只包含車輛的概率系數(shù)。此外，對(duì)于相同系統(tǒng)，處在無(wú)人駕駛發(fā)展進(jìn)程的不同階段，其概率系數(shù)也可能是不相同的。例如：現(xiàn)階段，信息層中有高精度地圖或V2X 的系統(tǒng)，其概率系數(shù)低于沒有高精度地圖或V2X 的系統(tǒng)的概率系數(shù)。而在無(wú)人駕駛發(fā)展進(jìn)程后期，有高精度地圖或V2X 的系統(tǒng)，其概率系數(shù)可能高于沒有高精度地圖或V2X 的系統(tǒng)的概率系數(shù)。

因此，針對(duì)不同系統(tǒng)，需要從其運(yùn)行范圍、地點(diǎn)、時(shí)間、目標(biāo)市場(chǎng)以及整體市場(chǎng)水平等多方面進(jìn)行考量，以此來(lái)確定其不同場(chǎng)景要素的概率系數(shù)。

4 結(jié)論

為了滿足ISO/PAS 21448 的要求，需要構(gòu)建預(yù)期功能安全場(chǎng)景庫(kù)。而場(chǎng)景庫(kù)的構(gòu)建質(zhì)量缺乏相應(yīng)的量化指標(biāo)，本文基于Pegasus 場(chǎng)景分層體系，量化每層要素的復(fù)雜度，以此評(píng)定場(chǎng)景庫(kù)的質(zhì)量。同時(shí)，為了避免“過復(fù)雜度”現(xiàn)象，提出了“母子庫(kù)”和“系統(tǒng)場(chǎng)景概率”兩個(gè)概念，闡述了如何構(gòu)建“母子庫(kù)”以及如何計(jì)算“系統(tǒng)場(chǎng)景概率”，并以此提出了最終復(fù)雜度的計(jì)算方法。本文中提到的量化方法以及防止“過復(fù)雜度”方法對(duì)預(yù)期功能安全場(chǎng)景庫(kù)的建立和推進(jìn)起到指示作用。