驾驶自动化技术的快速发展显著拓展了车辆功能范畴、提升了车辆性能,但也对道路安全提出了更高要求,尤其是在复杂交通场景下功能不足可能导致非预期风险。ISO 21448预期功能安全标准作为核心框架,通过系统化活动(覆盖系统定义、开发、测试验证环节)确保这些风险处于可控范围。从该标准中我们可以引申出三个关键概念:理想系统代表零事故完美状态,定义系统为工程定义、规范基准与设计,实现系统是现实中的最终产品;三者随相互关联但客观上存在差异,这意味着工程实践中的定义系统与实现系统存在缺陷,在功能层面可以体现为功能不足或功能缺陷,由此构成了风险来源。SOTIF强调全流程管理,包括场景定义、风险识别和闭环验证等环节,为行业提供了可落地的技术路径,目标是将由于功能不足而产生的不合理风险进行排除,使得功能对应的危险场景占比压缩至安全阈值内。

2025年7月22日,Vector商业开发经理(网络及分布式系统开发及测试)关明曦在第八届智能辅助驾驶大会上表示:"基于场景的测试方法(Scenario-Based Testing)是实现SOTIF目标的关键路径,通过多轮迭代的场景扩充、风险识别、系统修改及闭环验证可有效消除功能不足引起的不合理风险,使得功能达到安全释放的准则"。这一观点源自Vector工具链实践,支持从模型在环到实车在环的多层级测试,通过场景分析及泛化实现测试场景库的建立和不断扩充,部分测试用例及测试环境在不同环节、层级测试中的复用,确保验证过程的可靠性及效率。

 

关明曦 | Vector 商业开发经理(网络及分布式系统开发及测试)

预期功能安全的核心逻辑

ISO 21448标准开宗明义指出:“道路车辆安全是道路车辆产业的首要关切”,强调驾驶自动化系统(L0~L5全部等级)的一个核心目标是普遍性降低交通事故率,尤其减少因人为失误导致的伤亡事件。从该标准中可以看到三个关键概念:理想系统(Desired System)代表零事故的完美状态,即完全避免所有交通事故;定义系统(Specified System)是工程实现中的规范基准,包括预期功能定义、技术要求和设计;实现系统(Implemented System)为通过工程实现得到的最终落地产品。由于认知局限、当前技术发展水平约束和工程开发、测试过程的不完美性,导致三者间必然存在差异,即在功能层面我们实践产生的系统存在不足或者缺陷,即系统可能无法安全处理特定场景,导致非预期行为,并在特定条件下最终造成对人员的伤害。

 

图源:演讲嘉宾素材

SOTIF的实质是消除这些功能不足导致的不合理风险,其正式定义为"不存在因功能不足引发危险行为而造成的不合理风险"。通过场景四象限模型,可将驾驶自动化系统需要面对的场景(交通环境系统)化划分为:已知不危险区(区域1,功能可安全应对且已知的场景)、已知危险区(区域2,功能不足且已知的危险场景)、未知危险区(区域3,功能不足但未知的危险场景)和未知不危险区(区域4,功能可安全应对但未知的场景)。验证的核心目标是通过多轮迭代的预期功能安全活动过程,包括功能变更和约束随机测试场景序列,逐步识别一个又一个功能不足并消除其所对应的不合理风险,将区域2和区域3(已知和未知危险场景区)的占比压缩至安全阈值内,确保残余风险可控、可接受。

 

图源:演讲嘉宾素材

场景化测试的技术实现

场景作为验证功能不足的基本单元,包含静态道路要素(如道路拓扑、交通标志)与动态交互对象(如车辆、行人行为,光照、天气等)。要实现对于测试场景的高效分析、管理及生成,其核心在于对场景描述不同抽象层级的划分,其抽象程度由高到低可以分为三个层级:功能场景(Functional Scenario)描述抽象、概略行为及道路,逻辑场景(Logical Scenario)定义参数化框架(如速度、天气等可变参数),具体场景(Concrete Scenario)对应参数化之后、可执行测试的场景实例(实际道路交互模拟)。抽象程度越高,对应的所有可能场景数量越少,反之场景数量激增。故工程人员可以从功能场景、逻辑场景层面入手,分析场景可能性,就可以对数量有限且较少的抽象场景进行较为充分的分析、描述和管理,再使用泛化的方式,自动化地、快速地从逻辑场景生成充分多的具体场景,用于具体的测试执行中。例如NCAP测试中从逻辑场景到具体场景的数量呈指数级增长。

图源:演讲嘉宾素材

测试方法演进呈现三大趋势:首先,仿真测试支持全天候模拟与验证(包括雨雪雾等极端条件),可安全复现碰撞临界场景(如近距障碍物避让),且具备不依赖硬件、实车即可进行高并发、短时间完成大批量场景的闭环测试等特点;其次,采用行业内广泛使用的标准标准化场景文件,例如ASAM OpenDRIVE标准构建静态道路模型(描述道路拓扑、道路坡度、交通标志等)和OpenSCENARIO标准定义动态交通环境(车辆轨迹、行为序列、时间序列、天气环境等),形成可参数化的逻辑场景库;其三,通过泛化技术可从逻辑场景库中基于逻辑场景自动生成数量充分多的具体场景,提升覆盖率,例如使用开源Python工具生成不同起伏度道路场景,实现地形多样性泛化;OpenSCENARIO标准本身就支持逻辑场景描述,当然也可以实现对动态交通环境的泛化,交通参与者的外观、行为,天气的变化等。

 

图源:演讲嘉宾素材

 

图源:演讲嘉宾素材

场景泛化过程概述:基础场景中声明可变参数及其默认值(如标准道路宽度)→衍生具体场景(实际测试用例),独立参数变异文件定义逻辑场景(如随机化天气参数)→工具无关的Python脚本实现自动化泛化。

场景库中的逻辑场景建设存在三种路径:基于NCAP规范或者公司、行业测试规范人工构建(手动定义风险场景),实车日志数据自动转换,商业工具生成场景库基础。

工具链驱动的验证闭环

功能安全(ISO 26262)关注电子电气系统失效引发的风险,例如电子转向系统在行驶中产生非预期转向导致车辆失控,或电子驻车制动在行驶中意外激活;网络安全(ISO 21434)则针对网络攻击可能导致的功能异常,如通过车载通信接口实施的恶意操控。二者与SOTIF共同构成系统的安全保障铁三角,覆盖硬件(或系统性)失效、网络威胁及功能不足三大风险维度。

 

图源:演讲嘉宾素材

 

图源:演讲嘉宾素材

Vector工具链可实现四层测试深度贯通:模型在环(MIL)专注于算法验证与桌面标定,通过高并发及加速仿真支持每小时完成千级测试用例的自动化执行;软件在环(SIL)处理混合临界系统调试与日志数据注入,可维持与MIL测试同等测试效率;硬件在环(HIL)验证系统集成与通信质量,效率降至百级用例/小时;实车在环(VIL)完成实车动态校准与真实ECU系统集成测试,效率为十级用例/小时。形成测试效率逐级递减但真实性递增的验证闭环,各个层级测试均有各自的测试重点,测试左移实现问题早发现、早解决,降低产品开发落地成本和周期,提高产品软硬件及系统质量。

 

图源:演讲嘉宾素材

核心价值在于三大复用机制:测试场景库(ASAM OpenDRIVE及OpenSCENARIO标准)跨MIL/SIL/HIL层级复用消除重复建设,测试环境组件化复用缩短各测试层级平台搭建周期,测试用例标准化复用确保验证一致性。通过CANoe与DYNA4的协同方案,构建从需求分析、场景生成到自动化测试执行的端到端追溯链,实现危险场景识别率提升与验证周期压缩的工程实效。

未来展望与挑战

随着辅助驾驶系统复杂度提升,特别是在多传感器融合场景中,场景覆盖率不足已成为一个主要技术瓶颈,导致功能验证不充分和不合理的安全风险残留。建议行业共建、共享场景库生态体系,通过三项关键工作突破瓶颈:建立危险场景数据共享机制,鼓励车企间交换非敏感事故数据以丰富场景库;开发AI驱动的场景自动生成引擎,利用机器学习技术自动衍生复杂交互场景;制定中国典型的、特色的道路场景标准,针对国内特有交通环境定制化验证框架。同时,机器学习和人工智能技术的引入也给驾驶自动化事业的发展进行带来了机遇与挑战,需要注意到的是,于2024年发布的《ISO 8800 道路车辆 安全性与人工智能》这一国际标准,在L3级及以上自动驾驶的开发和验证过程中,或许也值得被了解、学习和关注。

Vector拥有丰富的产品体系并将持续完善,为行业提供涵盖软硬件开发与测试工具、定制化本地项目服务、以及ISO 26262/21434/SOTIF标准本地咨询、支持的完整解决方案,助力行业实现驾驶自动化功能的开发与测试验证效率提升,达到三大安全标准明确的残余安全风险可控、可接受的要求,使功能最终达成“让驾驶更安全”的核心目标。

(以上内容来自于Vector 商业开发经理(网络及分布式系统开发及测试)关明曦于2025年7月22日在2025第八届智能辅助驾驶大会上进行的发表的《通过测试保证智能辅助驾驶功能满足安全标准》主题演讲。)