道路车辆 自动驾驶系统测试场景 基于场景的安全评估框架 征求意见稿

1本文件为自动驾驶系统（ADS）基于场景的安全评估框架提供了指导。该框架阐述了在产品开发过本文件未涉及包括误用、人机交互和信息安本文件未涉及包括舒适性、能源效率或交通效率GB/T34590.2-2022道路车GB/T34590.7-2022道路车辆功能安全第7部分：生产、运行、服务和报废（ISO26262-GB/T34590.8-2022道路GB/T34590.9-2022道路车辆功能安全第9部分：以汽车安2GB/T43267-2023道路车辆预期功能安全（ISO21448:203.1），3.23.33.4注3：根据安全测试目标的类型，安全测试目安全任务及内容概述3其分析出发点是属于系统功能相关的场景空间,通过分析相关场景空间来识别风险因素。本文件仅考虑虑范围内。这些系统执行方面的问题利用基于系统的方法来进行分析可统（例如，传感器的确切数量和位置）还是会对场景风险因注1：在执行一种方法（如基于系统的方法）过程中获得的知识可用于支持另一种方法（如基于场景的方法）的分4——任务1.1.2：推导一组典型的测试场）；示例：对抗性攻击，也被称为“物理的非法侵入”，比如在交通标志5——左侧第一列阐述了本文件中基于场景的安全评估流程的输入；——左侧第三列提供了相关场景空间的规范，并根据安全评估框架识别了安全评估的风险因素和——左侧第四列展示了安全分析阶段中基于场景的安全测试和评估流程与其余产品开发阶段之间——左侧第五列阐述了基于场景的安全评估框架的输出如何适应包括其他安全确认步骤在内的整——线条表示迭代循环和作用条件，它们可以包含新的发现并触发必要的调整，例如由于安全原674.5确定需要测试的具体场景及其相应的平台，有助于支撑GB/T4——GB/T43267-2023。4.2安全测试目标安全测试目标可以由通用的风险接受准则推导得到，例如最低合理可行风险水平（ALARP例如GB/T43267-2023等标准或相关法规[18]。安全测试目标通常通过以下两种方法之一来表示：b)将安全测试目标规定为一种性能参考模型。这种性能参考模型给出了自动驾驶系统在安全地示例4：参考合格且专注的驾驶员行为模型（见附录A自动驾驶安全测试目标的选择应确保其能够支持自动驾驶系统的整体安全论证。安全测注：为了整体安全论证有效，除实现安全测试目标外，8——相关标准，例如GB/T43267-2023、GB/T34590-202——设计运行范围（ODD其他支持信息——交通规则和条例（例如，参考文献[18]——政府管理指南文件（例如，参考文献[19]、[20]、[21]4.2.5工作成果4.3相关场景空间规范——ODD；——其他安全相关场景目录（例如，NCAP9——法规（例如，参考文献[18]——政府管理指导文件（例如，参考文献[19]、[20]、[21]——区域性规范（例如，参考文献[22]注2：技术表达方式可采用诸如ASAMOpenSCENARIO4.3.5工作成果4.4基于风险因素的关键场景推导其他支持信息——先前测试场景的测试结果。基于风险因素的关键场景注3：区域、国家和国际的法规、指南和条例可用于确定参4.4.5工作成果4.5基于覆盖相关场景空间的目标推导测试场景其他支持信息——先前测试场景的测试结果。如果安全测试目标是基于性能参考模型，则应在考虑性能参考模型的情况下详细列举一组测应详细列举一组测试场景，以确保充分覆盖相关场景空间（见4.2.2）。4.5.5工作成果4.6具体测试场景的推导和测试场景分配——有关所用测试平台能力的信息（示例见附录G）。其他支持信息——先前测试场景的测试结果；.1为了满足达到安全目标所需的场景空间的覆盖度，应定义场景的参数范围及其组合以用于下雪天气、不利的光线条件以及周围车辆的强行切入，综合所有这些因注1：使用随机选择的具体测试场景可以支持针对未知危害场注2：参数变值法也有助于识别新的风险因素或这些风险因素导致的最坏情况，详见附录H。不同测试平台的测试场景对测试平台（包括模型）能力的鉴.1VTP和场地测试平台应在合理公差范围内提供相同的.2VTP、场地测试平台、道路测试平台应提供可追溯的结果。.4平台提供的所有必要功能应具有足够的注：根据不同架构，VTP可包含多个系统（例如，场景生成系统、测试管理系统、数据管理系统、仿真系统、系统应检查这些系统的功能是否达到执行.5为了确保使用的平台正常工作，可以通过与更接近真实的平台（例如车辆）或先前确认的4.6.5工作成果4.7测试执行b)为高效测试提供相关信息。——测试的结束标准（例如，实现正风险平衡的逻辑、具体场景比例x%或置信度达到y%.2如果测试场景集中未实现完全覆盖，则应至少使用一种参数变化变值方法以充分覆盖仿真测试.1执行场地测试，测试场景必须可重复并具有足够的.3用于场地测试的车辆应装备相应的合格测量.1执行道路测试时，可考虑路线选择、天气.3用于道路测试的车辆应装备相应的合格测量测试场景及相关场景空间的测试4.7.4工作成果每个测试场景对应的测4.8安全评估a)定义用于评估单个测试场景的一般b)定义总体风险评估的一般要求。4.8.2概述通常可以使用不同的方法进行安全评估，并评估安全——其他要求（如区域特定要求其他支持信息应根据相应的安全测试目标来制定评估各个测试场景通过/未通过的4.8.5工作成果A.1概述合格且专注的驾驶员是指执行驾驶任务过程中持续预判和识别风险因素，且能够及时作出合理应失稳且不发生碰撞的安全目标或者在碰撞不可避免的通过合格且专注的驾驶员行为模型对执行驾驶任务过程中遇到的可合理预见场景进行分类的流程见图A.2。在可合理预见场景中，经由是否存在真实风险点和/或潜在风景又可根据是否满足各驾驶阶段的行为目标划分为合格且专注的驾驶员可安全处理的场景与不可安全注：经合格且专注的驾驶员行为模型分类后的场景可合理预见场景的定义见A.2，主动防御阶段的驾驶员行为模型定义见A.可合理预见场景是车辆驾驶过程中驾驶环境中的场景元素基于符合常识的变化趋势产生的所有可相应地，一个合格且专注的驾驶员能在驾驶过程中认知到这些场景元素的变化趋势以及其中的风注1：风险因素是场景存在真实/潜在风险点的A.3.1主动防御阶段的驾驶员行为模型主动防御阶段的驾驶员行为是指合格且专注的驾驶员为控制潜在风险所采取的驾驶行为，是指在潜在风险点是指在可合理预见场景中，除非自车改变当前的行驶状态或者其他交通参与者改变其A.3.3.1行为准则一：保持车辆前方有可以确保的足够通行空间，使得车辆在当前状态下的预期制动注1：预期制动距离是指车辆在当前状态下，假设以最大制动减速度制动至注2：前方确保的安全距离是指在道路条件和交通指挥信号所允许的安全通行A.3.3.2行为准则二：保持车辆在车道内稳定行驶，不发生车辆滑移、侧翻，并与其他交通参与者保A.3.4典型的潜在风险点及主动防御阶段驾驶行为则一，驾驶员可采取的行为包括：减速行为，从而减小制动距离至前方确保的安全距离以下；在车道内靠右驾驶行为，从而减小盲区面积，使自车前方出现其他交通参与者的概率减小，进而增加前方确保的安全距离至预期制动距离以上；通过操纵车辆声光等方式提示其他交通参与者自身驾驶意图，从而提醒其他交通参与者避免出现交通参与者的概率，达到前方确保的安全坡度变化以及存在横向风等横向力因素时，A.4.1被动避险阶段的驾驶员行为模被动避险阶段的驾驶员行为模型是指合格且专注的驾驶员在真实风险点出现后为避免碰撞风险所避免碰撞行为目标的时刻。真实风险点与自车以及环境车辆的驾驶状态直接相关也与驾驶员的驾驶能措施改变当前驾驶状态。真实风险点为环境车辆发生明显的切入动作的时刻。若切入车在切启了转向灯，一种可参考的方法是可选取刚开始有横向偏移动作的起点为真实风险点；若未决策响应时间主要是指从真实风险点出现时刻开始，到合格且专注驾驶员采取相应风险减缓动作示例：对于前方车辆切出后，自车遭遇静止车辆的场景下，若驾示为真实风险点时刻至由驾驶员制动行为产生制动减速度时刻之A.4.5是否能够避免碰撞发生的场景参数边界确示例：以前车切入场景为例，将紧急制动模型代入到自车速度分别为40km/h及50km/h的场景中理场景可用图A.7中未发生碰撞的点的集据库对应模式的关系的方法实现场景的结构化。无论是从ADS内部还是外部，都可以通过诸如ASAM相比于在实际交通中ADS可能面临的近乎无限的安全相关与感知相关的风险因素导致自车的ADS可能无法正确感知周围状态，进而可能导致与感与交通相关的风险因素导致自车的ADS可能无法正确判断周围交通状况，进而可能导致是车辆内部因素（例如总质量、质量分布）和车辆外部因素（例如路面坑洞、风），本附录的目的是根据附录B提出的基于物理原理的分析方法，定义特定的交通相关风险因素以及注：本附录将十字交叉口按逆时针方向以A～D编号，车辆行为按照入口车道和目标出口车道标记。按照以上思路，可构建路段区域周围车辆位置和运动风险因素，图C.5展示了同向行驶的构建示交叉口区域场景结构中周围车辆位置需要增加各个方向入口车道的来车，这些车辆在驶向其目标C.2.5一般车辆适用的交通相关关车可能出现在高速或城区场景，非机动车在城区和周围摩托车或非机动车位置和运动（图C.12）来构建摩托车或非机动车适用的交通相关关键场景的C.3.2摩托车或非机动车适用的交通相关关（路线b）、或者从周围位置3、4、5、6、7或8变道（路线c），运动到摩托车e）、后退到后方位置（路线f），驶出位置左（L）和右（R）。交叉口区域补充增加非机动车在非机动车道行驶的情况，交叉口区域非机动车在非机动车道上的行为如图C.14所示，思路与一般车辆相同，考虑各个C.3.3摩托车或非机动车适用的交通相关关构成的关键场景，可以通过简化一般车辆的场景并用相应的交通参与者或障碍物代替周围车辆定义通本附录的目的是根据附录B提出的基于物理原理的分析方法，定义特定的感知相关风险因素以及与其对应的结构化关键场景。本附录的输出是结构化的感知局限相关的关键场景由感知局限相关的风险因素组合而成，这些风险因素依赖系统的物理特形结构的方式列举了感知局限相关的影响因素分类，顶部是根据不同传感器类别的感知相关的物理原自车—传感器相关的风险因素分为三类：自车因素、传感器因素和由传感器的前表面导致的因素根据与传感器本身相关的因素和与传感器安装相关的因素将传感器因素进行分类。前者包括传感——感知过程中产生的风险因素分为来自目标物的信号（S）和改变目标物信号的条件（包括噪D.2.4通过影响因素和物理原理交叉针对毫米波雷达，由影响因素和传感器物理原理归纳形成的感知相关关键场景如表毫米波雷达物理原理（感知信号/传感器定位）物理原理（识别）条目数感知目标的信号（S）其他信号频率相位功率声（N)非期望信号（U）探测方向的改变传播延迟变化无信号（部分信号）高强度信差异大反射（间接波）折射混叠谐波低信噪比有效信号比例低非期望信号增加识别过程感知干扰的影响因素自车/传感器车身姿态改变////////○○○/3传感器装配松动//○○////○○○/5传感器失效○/○○/○○/○/○/7传感器前表面黏附物//○○////○///3物理特性变化//○○////○///3环境结构化物体道路表面形状////////〇〇〇/3道路情况/////////○○/2材料/////////○○/2路边物体反射/〇///〇///○○/4遮挡////〇///〇///2背景////////////0上方物体反射/////////〇〇/2遮挡////〇///////1背景////////////0空间空间物体////〇///〇〇〇/4空间电磁波和光线/////////〇○/2移动物体反射/〇///〇〇//○○/5遮挡////////////0背景////////////0感知目标道路车道颜色、材料////////////0形状////////////0脏污/模糊////////////0相对位置////////////0具有一定高度的结构化物体颜色、材料////////〇///1形状–反射强度大/////〇〇〇////3形状–反射强度小////////〇///1脏污////////〇///1相对位置////////〇///1道路边缘道路边缘（平坦）颜色、材料////////〇///1形状////////〇///1脏污////////〇///1相对位置////////〇///1道路边缘（不均匀）颜色、材料////////〇///1形状////////〇///1脏污////////〇///1相对位置////////〇///1交通信息交通信号灯/////////////0交通标志/////////////0人行横道标志/////////////0毫米波雷达物理原理（感知信号/传感器定位）物理原理（识别）条目数感知目标的信号（S）其他信号频率相位功率声（N)非期望信号（U）探测方向的改变传播延迟变化无信号（部分信号）高强度信差异大反射（间接波）折射混叠谐波低信噪比有效信号比例低非期望信号增加识别过程车道上的障碍物掉落物体颜色、材料////////〇///1形状////////〇///1相对位置/运动////////〇///1动物颜色、材料////////////0形状////////〇///1相对位置/运动////////〇///1临时设施颜色、材料////////〇///1形状–反射强度大/////〇〇〇////3形状–反射强度小////////〇///1脏污////////〇///1相对位置////////〇///1移动物体其他车辆颜色、材料////////////0形状–反射强度大/////〇〇/////2形状–反射强度小////////〇///1脏污////////〇///1相对位置////////〇///1摩托车颜色、材料////////〇///1形状、大小////////〇///1黏附物////////〇///1相对位置////////〇///1颜色、材料////////〇///1形状、大小////////〇///1形状、大小////////〇///1相对位置////////〇///1行人颜色、材料////////〇///1形状、大小////////〇///1相对位置////////〇///1条目数1244365243//盲区相关的关键场景分为三个子类：盲区车辆、道个新的位置，如图D.13所示。每个周围车辆都可能产生盲11、13、15、16、20和21）。这些位置被评估为能够安全地应对在盲区位置13（与自车位置更近，反应时间更短）处可能发生的危险动作，），以减少安全分析中要考虑的组合数量（如图D.18所示）。8、10、12、14、18、19、23、24）的减速动作由于对自车不构成任何风险而被舍弃。图中的圆圈表示盲区车辆和相应车辆动作的组合可能会干扰自车，因此它们需要在自车行为、盲区车辆和周围车辆动作的组合）。这个结构由一个总共包含48种可能组合的矩阵表示，道路结构元素相关的盲区场景定义，考虑了造成遮挡的道路结构元素位置以及自车和被遮挡车辆时，由于盲区车辆（车辆2）位于其斜后方，这一情况下会存在安全问题。类似于外部屏障这种道路结构会在弯道中造成盲区，如图车对盲区内车辆（被遮挡车辆）的感知。被遮挡车辆如数字地图、V2X和其他传感器产生的信静态实体涉及路边物体（如建筑、树木、隧道）、上方物体（如其相应的与车辆控制相关的结构化的关键场景。本附录的输出是结构化的与车辆控制相关的关键功能a——弯道半径r（曲率）轮胎输入相关的车辆控制相关风险因素分为与路面状态和轮胎状态相关的两个子类别。路面子类a)通过分析可能的潜在因果关系，对关键性现象作出c)在分类的基础上构建一个抽象场景的目录，包括有d)为关键性现象、解释和场景找到一个适来推导出对潜在因果关系的解释，建立一个假设，评估因果效应，最b)相关的关键性现象在不断增长的信息基础上留下痕迹。由于相关的关键性现象在某种程度上确实存在于人类的意识中，因此有可能利用由各种传感器技术记们也会随着自动驾驶数据的积累而留下痕迹，因此证明了假设b）的合理性。a)汽车公路交通领域，包括车辆基础设施和天气等b)关键性分析领域，包括关键性现象、因果关系等。——是连接工作流程与仿真工具和现实世界驱动的粘合剂。对这些决策模型与已确定的因果关系和关键性现象之间的相互作用的分析，能够确定一个合适的抽象层次，以获得一套可管理的相关因果关系。然后，场景路测试中。这种有代表性的实例可以是逻辑场景的形式，也可以是场景分支的最后一步是开发一个包含出现场景的目录，因为保存和记录关键性分析中出现的场景此外，有必要跟踪场景中的关键性现象或因果关系，以便在出现变化时可仿真/虚拟测试平台（VTP如软件在环（SiL）、硬件在环（HiL）、车辆在环（ViL）或模型在环（MiL），通常用于评估在实车测试平台（RWTP）上（如封闭场地、实际道路）不可行的测试场景，的自动驾驶系统和单独的传感器模型进行测试），以增加可信度。图G.2显示了一个外推示例，包括对VTP的偏差根据预定的测试标准（KPI）进行量化。带有通过或失败准则的KPI需要有明确的依据，同时要有明确的陈述，以用于对测试结果进行评估。KPI可以是宏观的（例如，在确定的场景中避小碰撞时间，TTC）。为了增强结果的可信度，仿真过程的最终和中间信号都可以通过KPI进行评估。由于KPI通常是几个VTP或RWTP输出信号的函数（例如相对目标的位置和速度），建议在各自的信号应的参考数据（图G.5）。一个标签可以与一个参数范围相关联。开发过程中的测试集更改会影响确认结果，从而使验证结果无效。因此，ODD、边界条件、假设和测试集的分配都应构建一个支持安全评估全流程的场景数据库，其基本思想是将该数据库作为安全评估流程中的一图H.1展示了从测试场景目录中以标准化格式生成图H.2显示了测试场景数据库的方案，包括将真实仿真中测试场景参数变值可以通过多种方式实现，例如在人工选择或对仿真相关场景分析的基础一个确定的场景数据模型需要包含所有相关参数空间及基于数据库得到的关于参数空间的附加先临的所有场景进行完整探索的一种方法是在所有相关的场景空间内进行参数的随机变化。这种参数变对于一个确定的测试场景，场景参数确定的目的——计算在所定义参数空间中威胁安全性的概率（如近似值如果可能，也需要计算概率值的——计算整个参数空间的覆盖度（如近似值如果可能，也需要计算在差异范围内的置信度。——将测试空间缩小至主要影响和可预见的场景范围，例如基于所定义的ODD；——基于场景属性的外推或变值，提高覆盖率；中每一项准则的要求。下文提出了一种方法可以基于每个准则的评估结果来判断单个测试场景是否通是否符合安全指标（如TTC）所要求的安全距离。图中矩形代表步骤，正方形代表判断，椭圆形代还是由其他交通参与者引起。第一阶段是否采用，取决于测试如何定义，故驶极限下都不能避免碰撞情况的发生，就需要成了碰撞与此无关。这是因为如果在物理上可实现，ADS被果根据是否由ADS造成碰撞（是为0，否为1）而有所不同，这表明行为安全评估的一个核心问题是，从图J.2的单个测试结果中可以得出哪些结论。最基本或更改软件/系统或由于功能安全中的极低暴露概率论证而忽略该场景，即该行为安全评估输入结果测试失败情况的频率()测试场景π在被测半具体/逻辑场景中的重要性，其中注：最后一行是前述对单个测试场景的基本评估结果。其他几行是为推导出更充分的结果所需的额外输入据单个测试方案的结果进行推断在理论上可行，但额外所需输入的参数可能只有在真实世界进行广泛正风险平衡是在道德层面上可接受的安全水平的主要衡量标准，但其本身并不是在社会层面上可式中：i代表测试场景编号；n代表测试场景总数；j代表测试场景i的影响参数的编号，影响参数是指与测试场景i的结果有关的参数；minfl,para代表测试场景i中影响参数的总数；pji代表影响参数j在测b——事故比较：有无ADS。规避不合理的风险是图2展示了基于场景的安全评估流程的总体过程。方法，目的是通过在安全评估过程中获得的知识以及对已知关键场景的识别来实现减少未知关键场景的空间。该方法利用约束随机测试来改变参数范围和组合，以增加覆盖空间。），间离散化。期望的覆盖空间应尽可能与ODD相匹配。systems—Design,verificat[15]ISO/TR21934-1:2021Roadvehicles—pre-crashtechnologybyvirtualsimulation—Par[16]ISO19364:2016Pa-statecirculardrivi[18]UN/WP29/157.ProposalfovalofvehicleswithregardtoAutomatedLane