基于關鍵場景的預期功能安全雙閉環測試驗證方法 *

吳思宇，于文浩，邢星宇，張玉新，李楚照，4，李雪軻，古昕昱，李云巍，馬小涵，路 偉，王 政，郝圳茂，王 紅，李 駿

（1. 清華大學車輛與運載學院，北京 100084；2. 同濟大學汽車學院，上海 201804；3. 吉林大學，汽車仿真與控制國家重點實驗室，長春 130025；4. 中國汽車工程研究院股份有限公司，重慶 401122；5. 燕山大學電氣工程學院，秦皇島 066000；6. 北京理工大學機械與車輛學院，北京 100081；7. 北京航跡科技有限公司，北京 100193；8. 新加坡國立大學系統科學學院，新加坡 119077）

前言

汽車是交通中廣泛應用的運載工具。隨著科學技術的發展和變革，汽車成為前沿技術集成的最佳載體之一，正在加速向新四化轉型。作為新一代復雜的工業化產品，智能網聯汽車集控制技術、信息技術、智能技術于一體，在帶來舒適、節能和高效運載能力的同時，其安全性也受到社會公眾的廣泛關注。

預期功能安全是道路運行安全的關鍵組成，與智能網聯汽車的電氣電子系統和信息智能算法強相關。隨著智能網聯汽車向著高級別發展，預期功能安全問題逐漸暴露，是制約技術應用和推廣的嚴峻挑戰，相關保障技術成為業界和學術關注的熱點研究。其中，測試驗證是預期功能安全保障的關鍵技術，支撐智能網聯汽車安全開發的全生命周期［1］。

近年來，國際組織相繼推出的智能網聯汽車相關標準都明確包含了預期功能安全的測試驗證。聯合國自動駕駛驗證方法工作組提出了自動駕駛的評估測試框架，以多支柱法為核心建立可重復、客觀和可循證的框架說明自動駕駛的安全性，并將預期功能安全作為重要要求之一；國際標準化組織聯合多家企業發布了自動駕駛標準ISO/TR 4804［2］，提供了產品安全評估、監管和協作標準，并在其中確定了預期功能安全設計流程；國際標準化組織下屬的自動駕駛測試場景工作組，建立圍繞場景的自動駕駛評估框架3450X 系列標準［3-7］，旨在提供從場景構建、分類到測試的標準化規程，并在場景構建過程中重點考慮了預期功能安全的典型觸發條件；歐盟針對L3 及以上自動駕駛級別建立了ECE R155-157［8-10］系列標準，提供了網絡、軟件更新、自動車道保持系統的安全驗證工程實踐，并將預期功能安全作為基本要求；UL 4600［11］建立的面向安全目標評估標準，包含了對預期功能安全的評估。目前，智能網聯汽車諸多標準中均提及了預期功能安全的必要性。然而，預期功能安全作為前沿技術概念，相應接受準則和論證方法尚處于研制和實踐中，未在標準中進行具體規定。

國內外相關企業和項目組結合研發經驗，在系統開發的工程實踐中引入多樣的測試方法和內容。Waymo 公司提出了自動駕駛28 個核心能力測試，并對整車級別進行公共道路測試、避碰能力測試、硬件可靠性和耐久性測試；Tesla 公司通過影子模式對特定駕駛行為及其場景數據進行識別和提取，積累數據用于支撐相關研發和測試［12］；Continental 公司引入了安全分析工具對產品進行評估［13］；寶馬公司牽頭的PEGASUS 項目組提供六層場景模型［14］來支持測試用例的構建，并綜合因果分析［15］、多支柱方法和分層驗證［16］等理念建立測試驗證方法［17］；美國交通部NHTSA 基于21448 預期功能安全標準對L3 級及以上的高速巡航系統進行安全分析實踐，并提供了風險評估方案［18］；歐盟的ENSEMBLE 項目提供從功能危害分析到風險評估的具體指導，并將功能失效按照系統進行歸類［19］；日本的SAKURA 項目面向L3級及以上的高速運行自動駕駛系統建立明確流程，并提供了具體測試場景分類［20］。上述工程實踐面向自動駕駛系統或整車，將經典測試方法和專家經驗分析進行充分結合，形成具有較強可操作的測試方案，并一定程度上考慮了預期功能安全問題。然而，上述方法大多基于專家經驗分析，缺少系統的論證過程和充分的理論支撐。Zhang 等為避免不同基準數據集對測試評價的影響，設計級聯坦克模型建立不同細粒度的難度等級［21］；Huang 等基于共克里金模型（co-Kiriging model）綜合分析了不同可信程度的測試結果［22］；Xu 等開發了基于場景的測試平臺SafeBench，集成多個關鍵測試場景和測試指標［23］；此外，多個文獻也綜述了當前自動駕駛測試技術和應用進展［24-26］。上述測試方法主要面向自動駕駛算法，然而預期功能安全具有特殊性和復雜性，不能簡單復用經典測試方案和框架，須根據其特征設計新的方法論和技術手段。

智能網聯汽車系統的復雜性和道路運行語境的開放性給預期功能安全測試驗證提出了新的挑戰。因此，需要一個兼具高效性和通用性的框架支持預期功能安全系統性測試驗證。具體而言，智能網聯汽車預期功能安全測試驗證方法應考慮預期功能安全特點，建立通用的框架支撐完整的系統性論證過程，并將基于經驗的分析方法和前沿的智能方法相結合形成兼具可操作性和可靠性的測試驗證技術。

本文從預期功能安全概念分析出發，結合智能網聯汽車特點創新性提出一種雙閉環框架，分為封閉驗證和開放論證兩個階段進行測試驗證（第1節）。進一步地，本文針對關鍵場景和接受準則兩個核心問題，設計了關鍵用例和交互環境的構建流程并綜合論述具體實現技術，同時提出雙層接受準則的量化方式并引入了人類駕駛員模型作為接受準線。最后，本文從場景構建實踐、測試工具、數據積累3 個方面對預期功能安全測試驗證領域面臨的挑戰進行總結和展望。

1 預期功能安全測試驗證框架

隨著智能網聯汽車對電氣電子系統和復雜算法依賴性的增加，ISO 21448標準定義了預期功能安全概念，對功能安全（functional safety， FuSa）［27］所定義的電氣電子故障之外的安全風險進行補充。本節從智能網聯汽車特點和預期功能安全概念分析出發，說明測試驗證目標和需求，并提出一種全新的雙閉環框架。

1.1 智能網聯汽車預期功能安全分析

智 能 網 聯 汽 車（intelligent connected vehicle，ICV）是一種搭載傳感器、控制器和執行器等先進裝置，融合現代通信與網絡技術，進行人、車、路的信息交換共享并具有不同級別自動駕駛能力的新一代運載設備。環境感知、地圖定位、決策規劃、控制執行、網聯通訊、人機交互是ICV 典型6 大系統［28-29］。此外，也有研究和應用將部分系統功能整合，形成端到端的黑盒系統［30-31］。ICV 集成了復雜多樣的軟硬件技術。從頂層技術框架到具體的算法參數設置，不同ICV 配置具有較大差異。另一方面，ICV 系統軟件和算法深度應用人工智能技術，在建立自動駕駛的同時也帶來了不可解釋的特點，其行為動機在部分案例下與人類駕駛模式具有一定差異性。因此，無法只依賴人類駕駛經驗或系統結構分析對ICV 的封閉系統進行故障排查和測試驗證。

預期功能安全（safety of the intended functionality，SOTIF）定義為不存在因預期功能不足引起的危害而導致不合理風險［32］。其中，預期功能是在整車層面定義的功能，在考慮能力局限下的標稱功能界定為預期行為。功能不足既包括規范定義的不足（如不完整的規范定義），也包括性能局限（如技術局限）。功能不足的指向范圍既有整車層面的預期功能，也包含電氣電子要素的實現（包括硬件、算法等）。功能不足會導致危害行為或無法防止、探測及減輕合理可預見誤用。

圖1 展示了智能網聯汽車傷害（harm）觸發路徑。運行環境中未知或已知的風險要素形成觸發條件，導致整車或系統層面對預期功能的規范不足，亦或是系統組件的性能存在局限無法滿足功能定義的期望，形成SOTIF 風險。SOTIF 和FuSa 造成的危害（hazardous）行為包括直接產生風險（如造成新的損傷或原有損失的嚴重度增加），或間接使風險的控制能力降低（如原有的控制措施失效，或危害事件發生概率提高）。如果定義的控制措施無法有效控制危害行為，則危害行為轉為危害事件，對交通參與者、道路設施等具體實體對象產生傷害。

圖1 智能網聯汽車傷害觸發路徑

SOTIF危害來源于ICV，在運行環境中產生和演化，最終又影響ICV 整車和系統。ICV 需要面對人-車-環境高度耦合的動態場景，豐富的時變要素共同構成了“維度爆炸”問題［33］。隨著ICV 向著高級別自動駕駛發展，運行范圍逐步擴大，“長尾效應”帶來的稀有事件影響進一步放大。因此，ICV 的SOTIF 測試驗證離不開系統本身和運行環境。

1.2 SOTIF測試驗證要求分析

測試驗證貫穿從定義到確認的完整研發流程，是保障道路運行安全的必要環節。測試驗證通過觀察被測對象在設置條件下的系統響應，評估被測對象在實際運行條件下的狀態。

SOTIF 測試驗證重點論證系統“未失效”情況下的“不完美”的程度。SOTIF 測試驗證通過一定流程對ICV 系統及整車潛在的功能不足和危害行為進行暴露，促進研發流程中對相關功能的維護以及整車或系統運行范圍的規范，為監管部門提供安全狀態的確認證據，并向市場客觀評價性能水平。

因此，ICV 的SOTIF 測試驗證目標定義為在一定的框架范式中綜合各類技術手段，應用有限資源，高效、可信地暴露系統功能不足，規范整車安全運行范圍，提供相應證據確認風險在可接受范圍內。進一步地，對ICV 的安全性能進行說明。綜合考量ICV 產品快速迭代的特性以及測試驗證對于安全保障的重要地位，論證的可操作性和嚴謹性是測試驗證方案的主要導向，細化的要求包括但不限于如下內容。

通用性：測試驗證應具有通用可擴展的流程框架，能夠適應不同的測試對象和層級，兼容不同技術手段以充分支撐測試內容。

高效性：測試驗證方案設計應兼顧覆蓋度和效率，提高具體方案的效能，減少不必要的成本。其中，低冗余是提高效能的關鍵，包括但不限于減少測試用例的重疊、非必要技術手段和輪次的重復。

客觀性：測試過程應保持客觀中立，方案設計和實施流程應統一、明確；驗證目標需要通過全面、有效的證據說明；確認準線或閾值的設定不應隨被測對象的具體配置或結構更改。

完備性：測試對象應包括從軟硬件系統到整車集成的多個層級；測試內容應覆蓋所有必要的考量因素；評價指標應避免單一安全指標，綜合考慮不同評價維度。

一致性：測試驗證結果應和現實道路運行具有一致性，包括具有一定保真度的技術實施手段、與現實環境相同的交通運行邏輯等。

可循證：論證過程應明確可靠，包括合理的假設與前提、嚴密的理論說明、可重復的執行過程、可回溯的證據鏈條等。

除了上述要求外，測試驗證方案設計還應關注過程的規范性、實施的安全性等。

不同于FuSa 等安全驗證思路，SOTIF 與系統功能、運行環境強相關。ICV 的系統組成具有多樣性、封閉性，且與人類駕駛邏輯存在一定差異。運行環境的開放性導致了時變高維和長尾場景?？紤]上述挑戰，本文提出如下SOTIF測試驗證要點。

（1）基于關鍵場景的執行載體

ICV 在特定交通環境下引發SOTIF 風險。將特定運行條件轉化為關鍵場景作為外部條件，獲取測試對象的系統響應，分析評估實際運行范圍內功能情況，判斷潛在的SOTIF 安全風險是否可接受。其中，關鍵場景可以是精心設計的時序片段用例，也可以是一定運行范圍內的連續交互環境。

（2）分層次的多支柱技術手段

完全依賴開放道路進行SOTIF 測試會產生高昂的成本和不可控的安全風險。結合測試目的和技術特點，引入多種仿真手段和封閉場地構建多支柱測試平臺?？紤]被測對象的特點、測試的成本和需求，匹配相應的技術手段進行分層次、分周期的綜合測試，在誤差允許范圍內提供高保真的結果。

（3）數據驅動的可循論證

數據支撐嚴謹可信的SOTIF 論證過程?；诼凡蓴祿?，能夠設計出與現實環境一致的場景要素（如運動分布），進而構建合理、符合現實運行邏輯（如交互規律）的場景；基于測試過程獲得的數據（如指標），能夠為測試目標的驗證和確認提供具有說服力的證據；基于統計數據，可以進一步為接受準線的設定提供有效支撐。

1.3 基于關鍵場景的雙閉環測試驗證框架

蘭德公司在報告中指出，需要進行百萬公里的測試里程才可證明被測系統在95%的置信度下具有和人類駕駛員相同的安全水平［34］。在開放環境下論證無條件的絕對安全難免落入西西弗斯的困境。因此，測試驗證的方案設計應兼顧論證充分性和執行的可操作性。具體而言，有兩個核心問題：

（1） 如何設計測試內容，在保證充分性的前提下提高測試效率？

（2） 如何確定測試終止條件，從而保證驗證內容的充分性可被接受？

考慮SOTIF 特點和前述挑戰，從二八定律得到啟發，本文提出一種基于關鍵場景的SOTIF 雙閉環測試驗證框架，如圖2 所示?？蚣芊譃榉忾]驗證和開放論證兩個階段，第一階段對80%以上的已知典型風險場景進行快速驗證，以優秀謹慎人類駕駛員為基準確認基本安全；第二階段構造非定式的交互環境，通過挖掘被測對象的長尾場景持續論證等價于百萬公里及以上里程的殘余風險情況。

圖2 基于關鍵場景的雙閉環測試框架

封閉驗證階段基于待測對象的聲明，將已知運行風險轉化為代表性測試用例，綜合多種測試技術安全可控、高效全面地對潛在SOTIF 危害進行驗證。進一步地，對標優秀、謹慎的人類駕駛員確認安全運行范圍，對SOTIF潛在危害進行說明。

首先，基于待測對象所聲明的設計運行條件、駕駛動態任務和相關系統確定場景要素、預期行為和潛在功能局限，從而獲取觸發條件和潛在危害行為并轉化為有限時長的最優測試集。其中，最優測試集覆蓋已知觸發條件，并根據驗證目標賦予關鍵要素代表性數值。接著，綜合被測系統響應和測試需求，分配軟件在環、硬件在環和整車實測等實施技術和周期頻次。最后，分析危害行為并設計恰當的指標進行評價，對標人類駕駛員通過情況設立測試準線，驗證被測對象是否滿足基本安全要求并確認合理的運行條件。若在封閉驗證階段有充分證據說明被測對象滿足基本要求，則進入開放論證階段。

開放論證階段構建了非定式的交互環境，在不影響整車操作運行的前提下進行數據采集和脫敏、關鍵信息提取以及安全評估與防護，通過“監-測”并行在動態監管的同時履行后測試的論證工作，進而暴露游離在封閉驗證之外的觸發條件、識別新的危害行為，并確認SOTIF累計殘余風險。

開放論證階段首先需要構建具有真實性的交互環境作為論證對象的運行空間，包括高保真的本體和一致的交互邏輯。其中，高保真的本體應具有和現實世界相同的交互過程、特征分布，而一致的交互環境則應包含合理的運行邏輯、信息傳遞以及逼真的畸變等趨向于現實世界的物理局限。特別地，開放道路是構建真實的交互環境最直接的方式，但成本和安全風險較高。在此基礎上，通過加速測試技術在不改變環境真實性和論證置信度的前提下加快危害事件暴露。運行過程中，設計合理的動態監管過程，基于實時狀態數據確認系統安全情況。

若系統正常運行，可基于連續運行里程直接計算殘余風險；若系統觸發異常狀態（包括潛在危害、交通違規等情況），則啟動安全防護策略并以最低風險形式暫停運行。同理，對于升級等系統變更情況，也需要暫停開放論證運行。與此同時，基于采集的數據信息和異常狀態，提取觸發條件與其誘發的危害行為。當系統完成維護后應對變更部分進行重聲明和補充的封閉驗證。若相關驗證結果滿足預設的接受準線，則可再次進入開放論證階段。

封閉驗證面向已知場景構建最優測試用例集，在有限測試資源下對風險進行快速、高效地暴露，并結合危害行為對標優秀、謹慎的人類駕駛員驗證基本安全，確認合理運行范圍；開放論證通過構建非定式的交互環境，挖掘被測對象未在封閉驗證階段暴露的觸發條件和危害行為，確認等價連續里程的殘余風險，進一步加強論證置信度和覆蓋率。雙閉環框架用最小資源成本快速完成主體驗證內容，確?；景踩?；進一步通過持續論證來接近理想安全情況，減少危害事件。同時，以人類駕駛員為準線來兼顧論證的充分性和執行的可操作性。

2 雙閉環SOTIF場景構建

場景是SOTIF 測試驗證的基本載體。雙閉環兩階段分別將關鍵場景設置為測試用例和交互環境，誘導SOTIF 風險，通過觀察被測對象狀態進行安全驗證。本節將對SOTIF 場景關鍵概念進行定義，并建立觸發條件的提取路徑，對雙閉環中測試用例和交互環境的構建技術和平臺進行綜述。

2.1 SOTIF場景定義

在交通領域，場景通常包含道路、交通流和相關影響因素。當前，多位學者從不同角度給出了場景定義［26，35-40］，可以總結為場景是現實交通語境的描述與再現?；诒倔w論，本文對場景概念定義如下。

定義1：場景（scenario）是時間序列下的環境、交通參與者、觀察者自我的組合表征以及各自的實體關系的描述，數學模型如下：

式中：Object表示組成場景SA，T的所有實體概念，具有一組描述物理特征及其傳遞信息的屬性；Relation表示場景實體間存在的物理或信息關系，可以是兩個特定實體關聯或一組實體共有的聯系。

定義2：自車Ego表示場景中重點關注的實體，通常設置為被測對象，是一種特殊的Object。

定義3：觀測途徑View表示場景中實體（被觀測者）和實體（觀測者）在特定物理條件下的映射關系，是一種特殊的Relation，受到觀測角度δ、觀測設備Equipment、采樣精度Δ共同影響。

基于場景定義，綜合信息熵（information entropy）和語義層次（semantic level）將場景表達建立為數據-本體的雙層表達結構。

本體層通過領域知識，提取場景信息中的類和關系，在概念層面構建場景的時空圖，數學模型為

式中：O對應場景本體中Object的具體要素類型，對應面向對象方法中“類（class）和實例（instance）”；R對應場景本體中的Relation的具體關系數據。

特別地，O和R在地理空間范圍A、時域范圍T內具有一定動態演變邏輯，通過狀態特征集X表示。其中，樣本x(i)滿足分布x(i)～ΠX。

數據層基于觀測途徑，將場景實體集合的觀測信息映射到特定維度，形成一定格式的時序數據文件，數學模型為

數據層的具體表達形式與觀測設備、角度強相關，具有多模態特點。數據層所捕獲的模態越豐富，采樣頻率越小，信息量越豐富。本體層記錄場景中所包含的類和關系，并形成語義和知識層級的理解。從數據層到本體層，信息被不斷提取、理解，抽象程度增加；從本體層到數據層，概念被逐步具象、記錄，信息量升高。

預期功能安全場景（SOTIF scenarioes）為能夠引發SOTIF 風險，且在實施不恰當控制的情況下會引發危害的場景。

SOTIF 場景架構從SOTIF 角度劃分并形成層次關系的場景要素集合及描述方式，包含所有可能會引起SOTIF風險的場景要素及其組合。

基于Groh 等學者對于交通場景架構設計［41-44］，本文提出一種SOTIF 場景架構設計，如圖3 所示，包含道路結構、道路設施、道路臨時改變、交通參與者、天氣環境、數字信息和自車狀態共計7層。

圖3 預期功能安全場景架構

基于場景抽象層次［45］，被測對象確定功能場景類型；進一步，邏輯場景給定m個場景要素，第i個要素有ni個狀態且滿足分布ΠXni，進一步按一定演化方式ξ確定場景狀態序列。

2.2 SOTIF觸發條件提取

觸發條件（trigger condition）是引發SOTIF 風險的來源，由場景中特定的實體O*、關系R*或其組合構成，數學模型為

從本體語義角度考慮觸發條件來源為環境態勢理解、應對的不足；從多模態數據角度考慮來源于觀測數據的不充分或錯誤。特別地，觸發條件中實體和關系的關鍵特征可能滿足特定分布范圍，進而引起SOTIF風險。

特別地，Ego系統作為實體本身或特定View關系也是一種典型的觸發條件，通常由固有的物理局限性產生SOTIF 風險，不由外部特定實體組合引發。前者和人機交互規范與誤用情況相關，后者包括但不限于觀測角度產生畸變導致識別錯誤、采樣精度不足產生的漏檢或誤檢、觀測設備噪聲和反射帶來的問題。

觸發條件暴露ICV 系統功能不足，導致了危害行為或無法防止、探測及減輕合理可預見的間接誤用［3］，概率模型表示為

式中：H表示危害行為；P(tc)表示觸發條件概率分布；P(H)對應風險發生概率；P(H|tc)表示觸發條件tc到危害行為H的轉化概率，顯化了觸發路徑。

特別地，觸發條件引起前序系統的功能不足或危害行為后，會隨著駕駛流程向后續系統傳遞放大直到被安全策略阻斷。

基于上述模型，觸發條件本質上是對場景要素和系統危害行為進行因果推斷（casual inference）。觸發條件提取可以視為為結構方程構建（structural equation models）和因果效應估計（casual effort estimation）兩個主要問題［46］。

歸納方法（inductive method）從研發或運行過程采集的大量數據中識別歸納觸發條件，如圖4 所示。首先，對場景的組成要素進行分析、拆解，包括但不限于與危害事件相關的實體、關系以及自車受到影響的系統。接著，排除混雜因子（cofounder）并提取因果模型的關鍵要素。最后，綜合基于約束［47-48］、基于分數［49-50］、基于結構模型［51-53］等推斷方法或基于人工智能［54-58］建立因果模型或提取因果效應。

圖4 歸納方法分析路徑

歸納方法本質上是基于大數據的統計學方法，對危害發生的過程和程度進行歸因。若系統結構和行為范式不了解、危害發生的機理不明確、缺少充分先驗知識，可以采用歸納方法提取觸發條件。

演繹方法（deductive method），從系統功能屬性出發推演危害行為并獲取觸發條件，如圖5 所示。首先，從場景要素的特征分布中選擇初始狀態X0，基于一定轉化策略P確定場景演化過程并記錄狀態。進一步地，基于專家分析等方法［59-60］確定危害判定條件并提取關鍵狀態。最后，綜合對關鍵要素進行分析、提取，確定產生危害的因變量和特征分布，并估計因果效應［61-63］。

圖5 演繹方法分析路徑

演繹方法的本質是基于確定的演化策略進行事件推演，從而對危害事件和因果模型進行補充。演繹方法適用于缺少樣本的觸發條件分析，但需要有充分先驗知識以支持系統演化和關鍵狀態判定。

最后，基于上述方法獲得的因果關系對當前觸發條件框架進行補充和完善：對同型觸發條件進行合并、重構和擴展，如要素類型優化、特征分布調整；對新型觸發條件進行補充、規范和泛化，如框架分支增加、關鍵因素泛化；此外，還可以對要素的特征分布進行因果分析，在要素基礎上進一步挖掘從特征分布到危害的因果關系。

2.3 封閉驗證測試用例的構建

封閉驗證將已知場景構建為有限資源條件下最優測試用例集合，本質上是將運行條件進行重構采樣，通過被測系統對有限采樣用例中的風險應對情況，充分、有效地還原在實際道路上的狀態響應并暴露潛在風險?；趫鼍氨倔w模型，封閉驗證的最優測試集合可以建模為如下優化問題：

式中：LS表示所構建邏輯場景類型總數；Numls表示第ls個邏輯場景類型下采樣的具體場景數目；Xlns表示具體場景要素屬性的狀態采樣，滿足分布Xlns～ΠXS；sys(Xlns)表示被測系統在具體測試用例Xlns中的響應操作；Critical(*)表示場景關鍵性評價公式；Cost(*)表示測試成本量化方式；Coverage(*)表示場景覆蓋度評價公式；Costmax表示測試資源的限制；Coveragemin表示場景覆蓋度的最低要求。優化問題的目標為最大化測試用例集合關鍵性，約束條件分別代表測試資源限制和論證充分性要求。最優測試集合的構建需要通過合理的場景建模、準確的指標設計和高效的采樣技術共同實現。

上述方法中，覆蓋度、風險度是測試用例集合評價的主要維度。對于覆蓋度而言，多因子組合（Twise）［64-69］和修正判定條件覆蓋（modified condition/decision coverage， MC/DC）［70-72］提供了結構化的充分性量化方法；相似性從另一個角度衡量覆蓋度［73］，在此基礎上可以通過添加相似度較低的新場景來提高測試集合覆蓋情況［74-76］；風險度是安全驗證的核心指標，也是測試用例效用的直接體現。場景風險評估指標主要基于代理模型的安全狀態進行評估［77］。學者從反應時間［78］、意圖［79］、不確定性［80］等角度量化碰撞風險；Malin 基于統計學分析場景條件組合和事故風險的概率關系［81］；Althoff 將生成場景風險與可達解空間關聯［82］；此外，復雜度也是衡量場景風險的一種間接指標，通常認為危害行為在復雜場景下更容易產生危害。復雜度可以基于對系統產生關鍵影響的因子數量和耦合情況進行量化［83-86］。

數據重構場景的方法提取現實道路運行中的關鍵事件、分類并重構為測試用例。實際交通事故通常包含一定危害條件，從關鍵數據重建模擬場景并進行測試驗證是基本的評估路線方法［76，87］。隨著數據采集技術的豐富，提取、分類和聚類方法研究提供了更有價值的場景信息。Zhang 等結合高斯速度場給出了俯瞰視角下場景軌跡時變交互趨勢的表示方式［88］；Oeljeklaus 等提出了兩路集成的深度神經網絡對視頻數據同時進行圖像語義分割和道路拓撲識別［89］；Zofka 等從傳感器中導出軌跡數據提取道路布局［90］；Bolte 等針對感知系統定義邊緣場景為無法預測類別，并結合語義分割和圖像檢測從視頻輸入提取邊緣場景［91］；Siami等對手機獲取的軌跡數據依次進行自組織映射、深度編碼器和分區聚類實現無監督的行為識別［92］；Ries 等將場景用頂視圖網格（topview grid）表示，并通過卷積神經網絡和長短期記憶神經網絡提取場景的時空特征［93］；Mavrogiannis 等提出采用拓撲編織（topological braids）來捕獲場景的關鍵交互情況［94］；Erdogan 等提供了基于規則、有監督和無監督3 類從傳感器數據提取場景的方法［95］；Gruner等綜述不同場景的表示方法和基于神經網絡的分類技術［96］；考慮到隱馬爾可夫能夠有效處理非定長數據，Wang 等和Martinssor 等分別基于該模型提取場景基元［97］并進行分類［98］；Beglerovic 等展示了深度學習在場景分類上的應用［99］；此外，隨機森林［100-101］、基于距離［102-103］等方法也能對場景數據進行主動聚類。

數據重構場景方法主要對采集的關鍵事件進行再現，或在原有事件基礎上進行擴展泛化。然而，實際道路中關鍵事件的稀缺性，數據采集的成本和安全性給這一類方法路線帶來較大的負擔和壓力。機理建模場景的方法在一定目標和約束下，通過場景模型的建立和相關參數的選擇完成測試用例的生成，提供了一種低成本、高效率的場景構造方法，且可能挖掘到實際運行過程未發現的長尾場景。

本體表示對客觀事物的系統性描述，是機理建模場景方法的重要基礎。早期場景本體建模主要服務于自動駕駛系統，將知識轉化為概念以便自動駕駛系統能夠理解場景，從而更好地進行風險辨識［104-105］、推理［106-107］、感知［108-109］、決策和規劃［110-112］。隨著相關研究的推進，學者們逐步優化交通參與者［113］、道路地圖［114-115］、空間關系［116］、交通規則［117，28］等本體模型，并引入面向對象語言［35，118］、領域特定語言［119，40］、圖數據庫［120］等進行技術實現。進一步地，學者將場景本體應用于場景數據標注和提?。?21-123］、場景庫存儲［124］和聚類［125，37］、測試用例的導出［126-127］等相關工作。

組合和優化是機理建模場景的主要路徑。前者通過對場景要素的合理組合實現邏輯場景及更高層次的用例構建；后者則將用例生成的目標和要求建模為優化問題并對最優參數進行搜索。

組合測試將前述本體轉化為被測系統輸入算法，通過組合方法生成邏輯場景［128］，并通過參數采樣形成具體用例；Gao 等提出一種基于復雜度的組合測試算法，進一步構建聯合仿真測試平臺實現測試閉環［129-130］；Fujikura 等引入時序邏輯語言對場景演化狀態進行形式化描述并通過路徑窮舉構建高覆蓋度危險場景［131］；Manna 等關注到場景交互的關鍵性，從模態序列圖中組合構建最小測試集［132］；Gladisch 等面向感知系統將領域知識進行表達，并通過環境特征組合進行覆蓋度確認，識別缺少的測試場景［133］；優化方法通常在給定場景范式下，采用隨機優化迭代［134］、梯度下降［135］、非線性優化［136］、模擬退火［137-138］、快速搜索隨機樹［139］、粒子群算法［140］、隨機森林［141］、貝葉斯優化［142-144］等方法加快對參數采樣空間的搜索；進一步地，進化算法為場景生成提供一種兼顧多樣性和關鍵性的優化方法，能夠較好處理多參數耦合的復雜場景問題［145-147］；Scheibler 等提供了一個i-SAT 算法，對待約束空間的場景優化生成問題進行求解［148］；Zhu 等結合社會認知優化算法（social cognitive optimization， SCO）、密度峰值聚類和（density peak clustering， DPC）冷卻調度函數在邏輯場景層面進行全局搜索，同時采用多維卷積算法在具體場景進行局部采樣［149］；此外，Zhu等開發了一個由探索和利用模塊、移動概率確定模塊、步長確定模塊、內存模塊和結果分析模塊5 個部分組成的場景強化搜索方法［150］；Olivares 等結合馬爾科夫鏈和蒙特卡洛采樣方法生成場景道路結構［151］；Jesenski等引入貝葉斯網絡允許場景在任意道路拓撲上建模［152］；Rocklage 等將軌跡規劃器作為場景可行性檢查工具，同時引入回溯算法對約束進行處理［153］；考慮到復雜場景的高維空間耦合導致測試樣點分布更加稀疏，Yang 等使用多元線性回歸技術調整測試場景，實現關鍵變量的稀疏控制［154］；Geld 等提出奇異值分解（singular value decomposition， SVD）來降低場景參數向量維度［155］。

如圖6 所示，開環場景構建方法通常假設代理模型和被測系統具有一致性。自適應測試可根據系統響應主動調整環境并構成閉環反饋，通過響應情況定制化測試過程從而減少代理模型和黑盒被測系統的響應差異。

圖6 開環場景構建樣本偏差

Mullins 等針對黑箱自動駕駛系統，提出了基于仿真結果的自適應場景搜索，并進一步通過無監督聚類對測試場景進行分類［156-157］；Koren 等在自適應壓力測試框架下，用深度強化學習代替蒙特卡洛提高搜索效率［158］，提出Go-Explore 算法來避免依賴特定的啟發式獎勵［159］，并通過遞歸神經網絡減少計算復雜度，建立相似初始條件的潛在關系［160］；Du 等將域知識［158］和軌跡相異性［161］引入獎勵函數引導自適應搜索；Feng等為補償代理模型和被測系統的差異，基于貝葉斯優化方法建立一個自適應場景庫生成測試框架，采用基于分類的高斯過程回歸估計非固定的差異度函數并設計捕捉函數來確定的新增測試場景，具有更高測試效率和魯棒性［162-164］；Yang 等考慮場景高維問題，在自適應測試中應用基于控制變量的多元線性回歸技術對測試過程進行優化［154］；Ding等基于一組自回歸場景構建塊并通過聯合采樣生成不同場景，同時分別將場景和被測系統視為智能體，以風險為獎勵通過策略梯度強化學習方法對其進行訓練優化［165］；進一步地，Ding 等提出了一種基于流的多模態安全關鍵場景生成器，通過最大化加權似然函數來優化生成模型，并基于生成器的學習進度反饋自適應地調整采樣區域，形成對抗性訓練框架［166］；此外，Ding 等將知識分為對象的性質和關系，提出樹結構變分編碼器（tree-structured variational auto-encoder， T-VAE），通過對節點和邊的屬性施加語義規則提高了場景生成過程的可控性和可解釋性，從而利用深度生成模型將領域知識顯式地集成到生成過程中［161］。

封閉驗證場景延續經典測試方法理論，將先驗知識和理論技術方法相結合構造具體的有限測試用例，旨在通過最小測試資源最大化完成驗證需求。封閉驗證對基本的SOTIF 安全情況進行說明，將一致性、殘余風險等論證過程后置到開放論證中。

2.4 開放論證交互環境的實現

開放論證基于現實交通情況構建非定式的交互環境，本質是將場景要素按照與現實環境一致合理的分布和運行規律進行演化，通過被測對象和外部場景要素的持續交互，全面、直接還原系統對運行條件的響應情況，對低概率危害或系統異常響應進行暴露并計算性能水平?；趫鼍氨倔w模型，開放論證的交互環境可以建模為如下數學模型：

式中：xis和xisys分別表示交互環境和被測系統的狀態采樣；t標識進程時間；sys(*)表示狀態空間到動作空間映射，即被測系統基于指定時刻t自身狀態和外部環境狀態情況所執行的操作；?(*)表示由于不確定性、觀察誤差等所造成的噪聲項；ξ(*)表示被測系統下一時刻狀態的轉換映射(X)表示被測系統Sys在特征X構成交互環境中的性能情況；H表示安全評估所關注的危害事件；μsHys表示系統殘余風險，為被測系統Sys在真實運行條件下危害事件H出現的概率期望［167］。上述公式依次代表合理場景、系統響應和殘余風險的理論概率模型，也是構建交互環境的核心內容。

數據驅動的交通參與者建模為構建和現實場景具有一致性的運行邏輯提供重要基礎。早期研究分析跟車［168-171］、變道［172-173］、擁堵環境［174］、交叉路口［175］等不同語境下的交互特征從而建立駕駛行為模型，并基于現實數據對模型進行校準［176-178］；為捕捉人類駕駛的宏觀特征和個體不確定性，學者們基于隨機過程理論應用高斯過程［179-180］、分段混合分布［181］等概率模型對駕駛行為進行建模，并引入高斯噪聲項［182-184］；Bar?o 等將高斯隨機場和K 均值聚類方法結合，從觀測軌跡中估計多個動態模型［185］；Guo等基于隨機向量場建立多車交互模型，利用非參貝葉斯學習潛在運動模型，并通過高斯過程和狄利克雷過程模擬多車交互并匹配到特定場景［186］；Zhang 等通過非參貝葉斯學習將場景劃分為可解釋的軌跡基元，并將基元變化點擬合到規劃算法獲取的期望路徑以生成無碰撞的交互軌跡，進一步引入高斯過程回歸控制生成軌跡的方差和平滑度［187］；Ding 等基于變分貝葉斯方法提出一個基于數據的軌跡合成框架，將安全和碰撞的數據潛在空間分布通過生成模型進行連接，并通過條件概率匹配到不同道路結構上［188］。

人工智能技術為深入表征和提取交通參與者模型提供了新的思路。Tan 等結合神經自回歸模型對交通場景進行高保真建模［189］；Jenkins 等結合遞歸神經網絡從實際事故數據中生成碰撞軌跡［190］；基于對抗神經網絡和變分自動編碼器兩種架構，Krajewski等設計無監督軌跡學習模型［90］并引入貝塞爾曲線作為輸出層優化軌跡的重構誤差和平滑性［191］，Ding 等則在架構基礎上設計雙向編碼器和多分支解碼器生成更加合理的多車交互場景［192］；長短期記憶神經網絡能夠有效捕捉駕駛行為的非對稱性［193］，并同深度神經網絡［194］、深度信念網絡［195］和混合重訓練約束［196］等方法相結合展現了良好的可擴展性和精度；Yoon 等在學習嵌入空間聯合優化過程中引入監督和對抗目標，從而在生成時序數據過程中兼具無監督模型的通用性和監督模型的強控制［197］；Demetriou等基于循環條件生成對抗網絡和遞歸自動編碼生成對抗網絡分別構造軌跡生成器，并引入自動編碼器進行特征提取和聚類［198-199］；Zhu 等應用深度強化學習框架從歷史數據模仿類人駕駛策略，展示出良好的精度和泛化能力［200］；進一步，研究通過獎勵的設置來提高模仿學習過程中對于差異性和風險性的偏好，以適應生成多樣且危險的場景［201-203］；此外，對抗生成網絡提供了模仿學習的另一種方法，從而減少軌跡擾動的誤差積累，建立可靠人類駕駛模型［204-205］。

交互性是交通場景的重要特征，上述方法將交互過程通過交通參與者相對關系隱含地建立在模型中。博弈將交通參與者視為多智能體，顯式地對場景交互過程進行描述。Talebpour 等將車道變換通過合作與零和兩類博弈過程描述［206］； Oyler 等將駕駛行為建立為部分可觀測馬爾可夫過程，結合層次推理和強化學習完成駕駛員模型構建［207］；Li 等提出了基于層次推理的交互行為建模方法［208］，并對斯塔克伯格（Stackelberg）和決策樹兩類博弈策略進行比較［209］；Albaba 等將深度強化學習和k 層博弈方法結合構建駕駛員模型框架［210］；Wang等通過k層博弈和社會價值理論描述交互行為，進一步將關鍵主車設置為博弈代理，通過強化學習進行策略訓練［211］；Na等則以納什均衡為基礎建立駕駛員模型并通過實驗提取關鍵參數［212］。

數據驅動的交通參與者模型和多智能體的博弈過程構建出合理交互的環境。然而，稀有但高風險事件是從一般代理環境中獲取完整響應的重要挑戰。在此基礎上，加速測試的技術手段能夠加快對問題的暴露，提高單位測試時長或里程的效能。

在博弈理論基礎上，自適應調整技術能夠對智能體的對抗性進行強化，提高系統危害條件的出現概率。Qin 等通過信號時序邏輯將對智能體的動態約束轉化為層次序列規則，從而控制環境對抗性程度，并進一步結合信號聚類技術區分不同類別關鍵事件［213］；Xie 等提出了一種主動驅動算法控制智能體，并引入系數引導迭代方法是算法能夠在不同條件下運行［214］；Chen 等考慮危險場景多模態特性，使用集成模型表示局部最優值并通過非參數貝葉斯對環境對抗策略進行聚類［215］；基于深度強化學習框架訓練對抗環境，Behzadan 等在訓練過程中引入自適應探測的機制［216］，Sun 等則應用特征提取和聚類技術，識別有價值的邊緣場景［217］；Mullins 等基于深度神經網絡構造代理模型，并結合單一多層感知結構編碼和控制多個任務級行為，同時通過分位數拖拽方法（quantile-dagger， Q-DAgger）刪除對最終策略沒有貢獻的樣本［218］。

上述方法能夠有效加強測試驗證環境的對抗性，提高危害行為論證效率并能夠挖掘一部分長尾場景。進一步地，以風險論證為目標，重要度采樣提供了統計學方法，能夠在保證無偏性的前提下加速測試進程，更高效、準確地獲得系統響應情況。

Zhao 等將重要度采樣方法應用于切入［219］、跟車［220］以及高速［221-222］等場景進行測試，取得良好的加速效果；Huang 等分別使用高斯混合分布［223］和多項式核方法［224］構造重要度抽樣分布，并基于克里金模型進行采樣以減少需要評估的用例數量［225］，改進了梯度估計量來搜索最佳測試場景［226］； Wang 等將可達集和重要性采樣相結合，并通過截斷高斯混合模型提取交互作用［227］；Xu 等基于加速策略評估方法，建立零方差抽樣分布，并引入函數逼近器，討論了在正則條件下的收斂性［228］；針對系統黑箱問題，Arief基于深度概率加速評估框架，在主導點附近生成場景樣本［229］，將黑箱采樣器轉化為松弛效率可信框架［230］，通過深度重要性采樣計算失效率上界，并用深度神經網絡逼近估計值［231］；Yan 等從大規模自然駕駛數據中得到不同條件下人類駕駛行為的基本經驗分布，并進一步結合馬爾可夫過程將模擬的固定分布和真值進行匹配從而優化模型的誤差累積［167］；在此基礎上，Feng 等基于數據分布建立了自然駕駛環境 （naturalistic driving environment， NDE），同時，通過機動挑戰識別關鍵變量并應用強化學習進行對抗性策略訓練從而構建自然對抗駕駛環境（naturalistic and adversarial driving environment，NADE），最終基于粗蒙特卡洛理論進行無偏加速估計［232］；Feng 等提出一種密集深度強化學習（dense deep-reinforcement-learning， D2RL）從安全關鍵事件的密集信息中學習對抗性代理模型，進一步加速測試［233］；進一步地，Yan等針對多智能體交互行為提出了沖突批評模型和安全映射網絡，建立Neural NDE 的深度學習框架改進安全關鍵事件的生成過程［234］。

開放論證通過一致性場景環境的重構，基于系統對交互環境的運行情況還原狀態響應，并在此基礎上計算運行風險情況。在封閉驗證安全確認的前提下，開放論證通過真實合理的場景構建和無偏充分的加速論證過程，重點確認封閉黑箱系統的非預期響應場景挖掘，以及兩階段系統響應分布和風險情況的一致性，從而實現全面、可信的SOTIF論證。

2.5 SOTIF場景技術實現

可信的SOTIF 測試驗證除了要求測試過程的充分性外，還要求測試結果能夠如實反映現實運行空間系統響應情況，即測試論證結果的可信度。一方面，合理的場景要素特征分布和運行邏輯從場景角度提供了構建的一致性；另一方面，高保真的測試手段平臺從技術角度提供了實施的一致性。同時，考慮測試的成本和效率，應綜合測試目標、被測對象特點和測試用例需求，選擇合適的技術手段構建分層、分頻次的多支柱測試技術平臺。

圖7 所示為基于場景的測試驗證平臺框架。其中，左側為測試場景工具，支撐雙閉環中測試用例和交互環境的實現。右側為被測系統，包括軟硬件、系統集成到整車的不同層級。特別地，左右側通過信息傳遞途徑將場景和被測系統耦合。具體而言，場景采樣的狀態信息（真值）通過觀測途徑映射為數據（點云、圖像等）提供給被測系統；被測系統基于獲取的數據和自身狀態選擇合適的操作，并轉化為響應狀態提供給場景進行下一輪采樣。

圖7 基于場景的測試驗證平臺框架

以被測對象為核心，測試驗證的一致性表示為左側場景的要素滿足一定分布，通過前述場景構建方法實現；測試驗證技術的保真度則表示為右側被測系統的輸入輸出和現實運行環境下相同，可視為信息傳遞途徑的噪聲分布和現實環境無偏。

開放道路測試（road test）信息傳遞途徑均為真實，包括噪聲分布在內的各項信息即為論證的真值。然而，開放道路的高昂成本和測試過程安全不可控，難以滿足SOTIF測試驗證的工程可操作性。

封閉場地測試（field of test， FOT），類似開放道路測試，信息傳遞途徑均為真實，且由于在封閉區域，測試過程相對安全可控。然而，封閉場地測試往往需要測試設備的安裝、調試，測試的成本較高、效率較低。此外，盡管相比開放道路測試，封閉場地具有能夠編排測試內容的優點。但是由于場地設施約束，實際上能夠覆蓋的場景相對有限。

硬件在環仿真（hardware in loop， HIL）的平臺部分組件（通常為被測系統或整車）為真實設備，往往被測系統到場景的狀態響應和現實道路情況具有一致性；HIL 通常對場景進行部分或完全的仿真，場景到系統信息傳遞的Path A 有一定程度的失真。工控機-實時機聯合仿真、室內臺架模擬儀仿真、混合現實封閉場測試都屬于廣義上HIL，具有不同真實程度的要素仿真。HIL 具有測試效率較高、成本相對固定、兼有模擬極端場景工況的優勢，能夠滿足硬件測試的真實性需求。然而，HIL 的場景到系統的信息傳遞途徑仍和現實情況有一定差距。

軟件在環仿真（simulation in loop，SIL）通過仿真重建場景和被測對象相關要素。SIL 平臺中被測對象的輸入信息傳遞途徑Path A 和狀態響應途徑Path B 均通過仿真手段實現，與現實環境具有一定偏差，特別是對傳感器的模擬保真度有限。SIL支持并行測試，能夠快速部署以算法為主體的被測對象，大幅降低測試成本，能夠滿足快速迭代更新的測試需求。此外，SIL能夠覆蓋包括極端工況在內的各類場景，不會造成安全隱患和額外的成本消耗，具有較高測試覆蓋度。

基于上述分析，各測試技術手段優缺點總結如圖8 所示。在具體的測試驗證過程中，首先應根據測試對象、測試目標和測試用例實現的要求，確定可用的測試技術。在滿足基本要求前提下，綜合低成本、高效率、測試過程安全性最終確定響應的測試技術和周期頻次。

圖8 測試技術優缺點總結

仿真器的保真度是SIL 層面的主要挑戰，限制了以SIL 為支柱的測試可信度。一方面，高質量的光影效果是提高仿真質量的重要途徑［235-238］。另一方面，高保真傳感器數據建模也是優化仿真器的重要環節。Arnelid 等基于改進遞歸條件生成對抗網絡模擬傳感器輸出，能夠處理任意長度的時間序列，并引入長短期記憶網絡來產生時序傳感器的誤差噪聲［239］；Yang 等提出UniSim 模擬器，通過神經特征網絡重建場景中的靜態背景和動態角色，結合動態對象學習先驗知識并通過卷積網絡完成未知區域的渲染實現模型的組合外推，以更低的域間隙生成逼真的傳感器數據［240］；Xiong 等將點云的幾何結構進行編碼，通過和稠密點云的表示對齊實現稀疏點云進行致密化，以較低成本生成多樣逼真的場景級激光點云數據［241］；Yang等將物體表面信息標識為神經符號距離函數，并用反射率模擬物理外觀，從稀疏原生數據中重建三維場景［242］?；趯嶋H數據的定向合成是提供高保真場景感知數據生成的新方法。Mildenhall 等基于神經輻射場（neural radiance fields，NeRF）建立復雜場景的隱式表達，結合體渲染和新的位置編碼實現不同視角的逼真圖像合成［243］；進一步地，學者們將其擴展為Block-NeRF［244］、iNeRF［245］、BARF［246］、Climate NeRF［247］等 形 式；Wang 等 基 于CAD 模型和感知對象的幾何與語義先驗信息，結合能力模型優化遷移先驗知識重建車輛視覺信息，可微繪制生成可編輯網格，實現形狀、紋理和動態的創建和調整［248］。

混合現實和數字孿生為HIL 和FOT 擴展可測試場景范圍、提高測試效率提供了一種可行方式。Wang 等提出并行測試的智能網聯汽車測試方案和具體的技術方法［249-253］，并與多家企業共同完成實地項目的建成和實驗［254］；Feng 等將測試場景生成方法集成到增強現實測試平臺，在實地測試軌道上生成模擬背景交通與真實的被測對象交互，并在M-city中得到實踐應用［255］。

高保真測試驗證技術平臺實質是支撐被測系統噪聲濾除能力和應對不確定性魯棒能力的進一步確認。ICV 測試驗證涉及不同系統層級、不同場景尺度。為實現可信、高效的測試驗證過程，SOTIF 測試驗證方案應協同多樣的技術支柱，在雙閉環中集成恰當的用例構建、測試周期頻次。

3 SOTIF接受準則

ICV 作為未來重要的道路交通參與者，應保證風險應該在合理可行的運行范圍內盡可能低（as low as reasonable practice， ALARP）。SOTIF 接受準則（acceptance criterion）說明了由SOTIF 觸發ICV 危害的合理風險水平標準，可以分為危害行為和殘余風險兩個層級。其中，危害行為是SOTIF 接受準則的底層基本單元，判定場景中ICV 的操作是否造成危害或產生風險；殘余風險作為上層目標，從統計角度量化ICV持續運行過程中整體的累積風險情況。

優秀、謹慎的人類駕駛員是一種具有說服力的SOTIF 接受準則基線［256］。一方面，優于人類駕駛員的ICV 的性能情況和殘余風險能夠說明ICV 運行過程不會導致現有交通情況事故率的提高；另一方面，人駕車輛是到目前為止主流交通方式，且仍將持續一段時間，因此相關數據較為充分、豐富［257-259］，能夠支撐建立明確、合理的具體閾值。

3.1 危害行為接受準則

SOTIF 的核心是ICV 預期功能不足以及由此引發整車層面危害行為，并在相應場景環境中導致傷害。其中，危害行為通過整車或系統的狀態情況指明了相關功能響應的不恰當或不充分：

式中：XH表示危害狀態，包括危害發生時刻外部場景狀態xHs和被測系統狀態xHsys；μH表示危害行為，即導致危害發生的前序操作；φ(*)為評價指標，基于可觀測狀態確定當前時刻特定維度的性能情況；ΨH為危害閾值，超過該閾值說明特定危害產生。

危害行為既包含以碰撞為代表的傷害發生，又包含潛在導致傷害的狀態情況，同時還可以拆解為部件和整車兩個層級。因此，基于危害行為的形式化定義，轉化為以狀態為變量的多維度安全評價指標體系。其中，整車層級的危害行為定義為造成自車內部或對外部交通的碰撞或干擾，或違反相關法律法規，可以將其歸納為安全性和合規性兩個維度。部件層級的危害行為設定為部件性能表現與預期的偏差或出現規范行為之外的動作或狀態。

當前指標研究主要關注整車級的安全性評價，通過整車風險進行量化。碰撞時間（time to collision）通過計算預期碰撞的時間量化風險程度［260-261］，并進一步延伸出修正碰撞時間［262-263］、最壞碰撞時間［264］、碰撞時間積分［265］、停止時間［266］、行車間隔時間［267］等變體指標；此外，受到TTC 啟發，權重風險水平［268］、碰撞指數［269］、事故發生時間［270］、入侵后時間［271］等指標從時間維度上衡量關注危害事件的風險情況；責任敏感安全模型（responsibility sensitive safety， RSS）基于可避免碰撞距離衡量安全程度［272］，設計了最小安全距離違規、最小安全距離系數、適當反應行動［273］、預測最小距離［274］等指標，也啟發了包括緊急減速碰撞潛在指數［275-276］、停車距離比例［277-278］、碰撞裕度［279］、臨近間隙［280］等一系列基于距離的指標；進一步地，避免碰撞減速率、潛在碰撞指數［281］、臨界指數［282］等從加速度角度對風險進行評價；此外，潛在碰撞嚴重指數［283］、人工勢場［284］、臨界沖擊次數［285］等從不同角度擴展了安全評估的范疇；特別地，道路違章規則、人工交通控制違規率［272］等指標建立了合規性評價；Pek 等提出了一種形式化變道交通規則安全性驗證［286］；Yu等基于原子命題建立層次化的合規性評價方法和監測應用［287］。

封閉驗證重點確認被測系統在有限測試用例的危害行為接受情況。以人類駕駛員為基線的危害行為接受準則要求，對于選定的場景范圍，被測系統應通過所有人類駕駛員能夠通過的用例；且對于人類駕駛員未能通過的用例，被測系統應造成不高于人類駕駛員的危害結果。

3.2 殘余風險接受準則

SOTIF 測試驗證的最終論證目標是系統殘余風險的期望能夠被接受。其中，殘余風險通過合理運行區間內危害行為累積發生次數進行量化：

在開放論證階段，若構建的交互環境和現實環境具有一致性，即各場景要素狀態滿足分布，則被測系統的殘余風險計算為

式中：L表示測試驗證的累計運行里程，對于開放論證則可直接通過累積運行里程或運行時長T進行換算；Xl表示測試驗證累積運行里程中采樣的場景和系統狀態數據。

對于基于重要度采樣的無偏加速測試驗證環境，殘余風險可以表示為

開放論證重點確認被測系統在實際運行環境下的殘余風險接受情況。以人類駕駛員為基線的危害行為接受準則要求被測系統的實際運行造成不高于人類駕駛員的平均累積危害率。特別地，殘余風險的置信度與折算的運行里程呈正相關，即所測試驗證的有效運行里程越長，殘余風險置信度越高。一般地，論證可信的等價連續運行里程應在百萬公里及以上。

在封閉驗證階段，假設系統響應滿足李普希茲條件，即系統響應對狀態分布是概率連續的。那么，系統在完成測試驗證后殘余風險為

式中：φs為安全閾值；P(φ(xis，sys(xis))≤ΨS)表示系統在測試用例xis下的安全概率；E(Xs=xis)表示測試用例xis暴露度，即組成要素在實際運行環境中的出現概率［42］。

同樣的，測試用例樣本數所覆蓋的暴露度越高，論證結果的充分性越高。

總體而言，系統風險可接受的基本要求為車輛行為對自身或外界不構成不可接受的危害：除了場景中本身不存在造成危害條件的情況外，場景中危害出現概率小、嚴重度低，或危害出現的概率大但能夠被控制、危害較強但出現概率罕見等情況，上述情況下危害可接受。

4 研究展望與總結

ICV 正逐步進行產業落地和應用并朝著高級別自動駕駛邁進，SOTIF 是允許道路運行必不可少的安全考量和要求之一。測試評價是SOTIF 重要保障基礎之一，在促進系統性能優化、規范系統運行范圍、確認產品通過等環節起到重要作用。本文從SOTIF概念和ICV 特點出發，分析了SOTIF測試驗證的目標和需求，提出了基于關鍵場景的雙閉環測試驗證框架，結合場景模型細化了兩個閉環的場景構建和實施方法以及面向接受準則的論證說明。

本質上，基于場景的SOTIF 測試驗證是通過系統對樣本響應情況，還原系統在實際運行條件下的狀態分布，并通過風險評價和接受準則論證系統性能情況。SOTIF 雙閉環框架基于具有不同測試定位的雙閉環，通過合理設置場景樣本和高保真的技術手段，高效、充分地完成系統的論證過程。封閉驗證面向已知場景構建有限的最優測試用例集，充分暴露系統功能不足，基于危害行為接受準則驗證基本安全情況；開放論證則面向場景開放性和未知性構建趨同于現實世界的交互環境，通過持續運行對未知的觸發條件進行挖掘和歸納，同時對殘余風險進行直接論證。

SOTIF 測試驗證作為ICV 研發的重要一環，理論研究和實踐應用仍有許多工作需要推進。以基于關鍵場景的SOTIF 雙閉環測試驗證框架為路線，綜合關鍵挑戰和難點，提出如下研究展望。

（1）推動基于關鍵場景的測試驗證方法論研究與實踐：考慮ICV 的復雜性和場景的開放性，仍有包括基于因果推斷的觸發條件分析、封閉黑箱系統的分布還原與長尾場景的挖掘、無偏加速的場景構建等諸多問題亟待解決；此外，需要進一步應用場景構建理論方法和技術，打造典型SOTIF 場景庫，完善多維安全評價指標體系，通過產學研結合在工程實踐中打通不同系統層級的雙閉環測試驗證流程，形成具有中國特色的SOTIF測試驗證方案。

（2）建立高保真、高效率測試技術手段：優化包括傳感器模擬在內的仿真組件保真度，增強仿真部分和現實世界的一致性，提高相應測試手段的可靠性；引入數字孿生、混合現實等方法，進一步豐富多支柱測試手段，降低測試成本、提高測試效率、擴展技術手段的可用性，為可信、可靠的SOTIF 測試驗證提供有力支撐證據。

（3）持續推進運行數據采集，完善統計論證的理論方法：持續推進有效、多樣的交通場景數據采集，支撐包括高保真環境模型構建、基于人類駕駛員的接受準則設定等關鍵環節；建立廣泛、持續的數據共享機制，構建具有理論基礎的SOTIF 數據驅動論證方案；完善場景暴露度和接受準則的概率統計方法，基于業界和政府一致共識形成兼具理論充分性和工程可行性的SOTIF接受準線。

總之，SOTIF 測試驗證是安全開發的重要支撐，也是運行安全保障的關鍵技術。然而，當前行業內關于SOTIF 測試驗證的標準化工作剛剛起步，相關工程實踐也正處于積極的探索階段，但缺乏系統性框架和可操作的理論技術支撐。本文提出了一個基于關鍵場景的預期功能安全雙閉環測試驗證框架，將廣泛理論技術研究和工程實踐經驗納入到框架之中，并對SOTIF 測試驗證的關鍵問題進行梳理。本文將標準中的關鍵概念和理論方法轉化為工程實踐可用的技術流程，從而助力智能網聯汽車預期功能安全測試驗證后續進一步的理論研究和工程實踐。