文/王瀟屹 李俊成 劉建泉

港城運(yùn)輸是自動(dòng)駕駛的應(yīng)用落地場(chǎng)景之一，具有切實(shí)的市場(chǎng)需求和巨大的經(jīng)濟(jì)效益。港城自動(dòng)駕駛因特殊的地理位置、作業(yè)狀況（如集裝箱堆積、團(tuán)霧、橫風(fēng)）和智能重型卡車(chē)（以下簡(jiǎn)稱(chēng)“重卡”）的特點(diǎn)（如總質(zhì)量大且質(zhì)量變化范圍大），會(huì)觸發(fā)一些特定的安全問(wèn)題。因此，本文采用《道路車(chē)輛預(yù)期功能安全》ISO 21448：2022中的方法論，從預(yù)期功能安全（SOTIF）的角度出發(fā)，研究港城運(yùn)輸場(chǎng)景下智能重卡特有的安全問(wèn)題，并提出測(cè)試和評(píng)價(jià)方法，助力企業(yè)通過(guò)測(cè)試，更全面、高效地發(fā)現(xiàn)自動(dòng)駕駛系統(tǒng)的不足，指導(dǎo)企業(yè)提出改進(jìn)措施。

一、港城運(yùn)輸場(chǎng)景下的智能重卡SOTIF測(cè)試評(píng)估方案設(shè)計(jì)思路

自動(dòng)駕駛汽車(chē)的安全性與其自動(dòng)駕駛等級(jí)、自動(dòng)駕駛功能、設(shè)計(jì)運(yùn)行條件（ODC）密切相關(guān)。本文研究的智能重卡搭載了L3級(jí)別的自動(dòng)駕駛功能，具備在設(shè)計(jì)運(yùn)行域（ODD）范圍內(nèi)完成車(chē)道保持、行駛時(shí)躲避障礙物、自動(dòng)超車(chē)等功能，當(dāng)駕駛員提出接管請(qǐng)求時(shí)，會(huì)移交控制權(quán)。ODD主要為天氣狀態(tài)良好下的港城大橋、部分港內(nèi)道路等。

根據(jù)ISO 21448：2022中的方法論，引發(fā)自動(dòng)駕駛SOTIF問(wèn)題有3個(gè)重要因素：觸發(fā)條件（包含自動(dòng)駕駛各系統(tǒng)存在的功能不足、性能局限和人為誤用）；引發(fā)安全問(wèn)題的特定場(chǎng)景；一旦發(fā)生危害事件是否可控（見(jiàn)圖1）。

圖1 SOTIF相關(guān)的危害事件模型

從圖1中可以看出，解決自動(dòng)駕駛汽車(chē)SOTIF可以從這3個(gè)引發(fā)安全問(wèn)題的因素入手。本文所提出的智能重卡SOTIF測(cè)試評(píng)估方案（見(jiàn)圖2），通過(guò)耦合特定的測(cè)試場(chǎng)景和觸發(fā)條件，有針對(duì)性地設(shè)計(jì)測(cè)試用例并執(zhí)行相應(yīng)測(cè)試，最終通過(guò)選定的評(píng)價(jià)指標(biāo)對(duì)測(cè)試結(jié)果進(jìn)行評(píng)價(jià)，找出上述3個(gè)因素中切實(shí)引起問(wèn)題的原因，從而對(duì)自動(dòng)駕駛的設(shè)計(jì)提出改進(jìn)措施。

圖2 智能重卡SOTIF測(cè)試評(píng)估流程

二、測(cè)試方案設(shè)計(jì)

由于本次研究暫未考慮車(chē)輛與人的交互，故在進(jìn)行測(cè)試需求分析和測(cè)試用例設(shè)計(jì)時(shí)，著重考慮對(duì)觸發(fā)條件的分析和測(cè)試場(chǎng)景的研究。

1.觸發(fā)條件分析

觸發(fā)條件是場(chǎng)景中的特定條件，這些條件引發(fā)了系統(tǒng)的后續(xù)反應(yīng)，促成了危害行為或無(wú)法防止、探測(cè)和減輕合理可預(yù)見(jiàn)的間接誤用。因此，觸發(fā)條件和應(yīng)用場(chǎng)景、自動(dòng)駕駛的特定功能、組成自動(dòng)駕駛系統(tǒng)的部件和整個(gè)系統(tǒng)的功能和性能局限高度相關(guān)。本文從兩個(gè)方面來(lái)研究港城運(yùn)輸場(chǎng)景下智能重卡的觸發(fā)條件。

① 基于智能重卡搭載的感知、決策和執(zhí)行系統(tǒng)已知的性能局限

基于智能重卡搭載的感知、決策和執(zhí)行系統(tǒng)已知的性能局限，本文推導(dǎo)出可能導(dǎo)致的危害行為場(chǎng)景的通用觸發(fā)條件（見(jiàn)表1）。

表1 部分感知系統(tǒng)的性能局限

如在雨雪天氣狀態(tài)下感知系統(tǒng)中的雷達(dá)性能會(huì)下降，攝像頭會(huì)由于太陽(yáng)眩光看不清；決策系統(tǒng)由于機(jī)器學(xué)習(xí)不足，導(dǎo)致情況誤判；執(zhí)行機(jī)構(gòu)如制動(dòng)系統(tǒng)的最大可用制動(dòng)壓力存在上限值，導(dǎo)致當(dāng)汽車(chē)總質(zhì)量過(guò)大時(shí)，無(wú)法在一定的距離內(nèi)制動(dòng)并停車(chē)等。

② 基于港城運(yùn)輸特有的運(yùn)行環(huán)境

基于港城運(yùn)輸特有的運(yùn)行環(huán)境，本文推導(dǎo)可能對(duì)感知、決策和執(zhí)行系統(tǒng)的影響范圍，從而獲得可能導(dǎo)致危害行為場(chǎng)景的觸發(fā)條件（見(jiàn)表2）。

表2 基于特定環(huán)境推導(dǎo)出部分觸發(fā)條件

2.測(cè)試場(chǎng)景選取

在進(jìn)行測(cè)試用例基礎(chǔ)場(chǎng)景選取時(shí)，考慮干線物流常規(guī)道路條件、港城運(yùn)輸特有道路條件和交通參與者的交互情況，本文結(jié)合中國(guó)智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)創(chuàng)新聯(lián)盟SOTIF工作組提出的自動(dòng)駕駛SOTIF研究的7層場(chǎng)景庫(kù)架構(gòu)[1]，進(jìn)行測(cè)試場(chǎng)景關(guān)鍵要素的提?。ㄒ?jiàn)圖3）。

圖3 港城運(yùn)輸特有的部分道路場(chǎng)景

3.測(cè)試用例構(gòu)建

如圖2所示，測(cè)試用例構(gòu)建的基本要素包括觸發(fā)條件和測(cè)試場(chǎng)景。在測(cè)試用例的設(shè)計(jì)時(shí)，考慮到測(cè)試數(shù)量對(duì)于待驗(yàn)證目標(biāo)的覆蓋率和對(duì)未知不安全的場(chǎng)景的挖掘，本文結(jié)合模擬仿真測(cè)試可對(duì)場(chǎng)景參數(shù)值進(jìn)行大量泛化的優(yōu)勢(shì)，進(jìn)行測(cè)試用例的構(gòu)建（見(jiàn)圖4）。

圖4 通過(guò)場(chǎng)景參數(shù)泛化生成覆蓋率更全面的測(cè)試用例示例

三、測(cè)試執(zhí)行

圍繞所設(shè)計(jì)的SOTIF測(cè)試用例，本文采用模擬仿真、封閉場(chǎng)地和實(shí)際道路測(cè)試等方法對(duì)智能重卡的SOTIF進(jìn)行測(cè)試。3種測(cè)試方法的優(yōu)缺點(diǎn)見(jiàn)表3。

表3 SOTIF測(cè)試方法對(duì)比[2]

模擬仿真、封閉場(chǎng)地和實(shí)際道路3種測(cè)試方法各有側(cè)重。基于模擬仿真測(cè)試低成本、高效率和高覆蓋度的優(yōu)勢(shì)，大部分的SOTIF測(cè)試用例通過(guò)模擬仿真測(cè)試開(kāi)展，進(jìn)而對(duì)智能重卡的SOTIF特性進(jìn)行全面性的評(píng)估，識(shí)別盡可能多的已知不安全場(chǎng)景，并推斷未知不安全場(chǎng)景。模擬仿真測(cè)試中無(wú)法可信模擬的SOTIF場(chǎng)景及其所識(shí)別的不安全場(chǎng)景，可通過(guò)封閉場(chǎng)地進(jìn)行進(jìn)一步測(cè)試，結(jié)合模擬仿真測(cè)試結(jié)果，形成更為全面且可信的測(cè)試結(jié)果。實(shí)際道路測(cè)試重點(diǎn)關(guān)注關(guān)鍵觸發(fā)條件的覆蓋度，通過(guò)測(cè)試路段的選擇、測(cè)試?yán)锍毯蜏y(cè)試時(shí)長(zhǎng)的制定，開(kāi)展相應(yīng)的測(cè)試工作，通過(guò)真實(shí)交通場(chǎng)景下的測(cè)試，評(píng)估待測(cè)車(chē)輛的SOTIF，并可反饋補(bǔ)充所設(shè)計(jì)的SOTIF測(cè)試用例。

四、測(cè)試評(píng)價(jià)

對(duì)于SOTIF測(cè)試結(jié)果，本文從碰撞風(fēng)險(xiǎn)、碰撞是否發(fā)生和碰撞嚴(yán)重程度等維度出發(fā)，通過(guò)如表4所列碰撞時(shí)間、潛在碰撞嚴(yán)重指數(shù)、潛在碰撞時(shí)長(zhǎng)、最小安全距離因子、制動(dòng)安全閾值和碰撞指標(biāo)等指標(biāo)，對(duì)智能重卡在特定場(chǎng)景下所發(fā)生危害事件的嚴(yán)重度和可控性進(jìn)行評(píng)價(jià)。針對(duì)存在不合理風(fēng)險(xiǎn)的測(cè)試結(jié)果，筆者需進(jìn)一步分析其是否滿(mǎn)足智能重卡在對(duì)應(yīng)場(chǎng)景下的殘余風(fēng)險(xiǎn)接收準(zhǔn)則。根據(jù)ISO 21448：2022建議，殘余風(fēng)險(xiǎn)接收準(zhǔn)則可通過(guò)風(fēng)險(xiǎn)容忍原則、正向風(fēng)險(xiǎn)平衡原則、風(fēng)險(xiǎn)可接受（ALARP）原則或最小內(nèi)源性死亡率原則中的一種或多種綜合考慮得到。對(duì)于不能接受的殘余風(fēng)險(xiǎn)，可通過(guò)減少觸發(fā)條件、合理定義ODC以及增加可控性措施等方法進(jìn)行設(shè)計(jì)改進(jìn)。

表4 SOTIF測(cè)試評(píng)價(jià)指標(biāo)

五、結(jié)語(yǔ)

本文基于SOTIF的方法論，研究了港城運(yùn)輸場(chǎng)景下可能引起智能重卡潛在安全問(wèn)題的觸發(fā)條件，并結(jié)合實(shí)際駕駛場(chǎng)景，提出了測(cè)試用例的設(shè)計(jì)方法。在考慮了測(cè)試用例的可復(fù)現(xiàn)性、可執(zhí)行性和對(duì)安全目標(biāo)覆蓋度等因素，本文結(jié)合模擬仿真、封閉場(chǎng)地和實(shí)際道路的測(cè)試特點(diǎn)，提出了測(cè)試執(zhí)行環(huán)境的分配原則，并選取了測(cè)試評(píng)價(jià)指標(biāo)，形成測(cè)試評(píng)價(jià)方法，目的是助力企業(yè)通過(guò)測(cè)試，更全面、更高效地發(fā)現(xiàn)自動(dòng)駕駛系統(tǒng)的不足，指導(dǎo)企業(yè)改進(jìn)，使自動(dòng)駕駛智能重卡在港城運(yùn)輸場(chǎng)景下更好更快地落地應(yīng)用。