文/王潇屹 李俊成 刘建泉

港城运输是自动驾驶的应用落地场景之一，具有切实的市场需求和巨大的经济效益。港城自动驾驶因特殊的地理位置、作业状况（如集装箱堆积、团雾、横风）和智能重型卡车（以下简称“重卡”）的特点（如总质量大且质量变化范围大），会触发一些特定的安全问题。因此，本文采用《道路车辆预期功能安全》ISO 21448：2022中的方法论，从预期功能安全（SOTIF）的角度出发，研究港城运输场景下智能重卡特有的安全问题，并提出测试和评价方法，助力企业通过测试，更全面、高效地发现自动驾驶系统的不足，指导企业提出改进措施。

一、港城运输场景下的智能重卡SOTIF测试评估方案设计思路

自动驾驶汽车的安全性与其自动驾驶等级、自动驾驶功能、设计运行条件（ODC）密切相关。本文研究的智能重卡搭载了L3级别的自动驾驶功能，具备在设计运行域（ODD）范围内完成车道保持、行驶时躲避障碍物、自动超车等功能，当驾驶员提出接管请求时，会移交控制权。ODD主要为天气状态良好下的港城大桥、部分港内道路等。

根据ISO 21448：2022中的方法论，引发自动驾驶SOTIF问题有3个重要因素：触发条件（包含自动驾驶各系统存在的功能不足、性能局限和人为误用）；引发安全问题的特定场景；一旦发生危害事件是否可控（见图1）。

图1 SOTIF相关的危害事件模型

从图1中可以看出，解决自动驾驶汽车SOTIF可以从这3个引发安全问题的因素入手。本文所提出的智能重卡SOTIF测试评估方案（见图2），通过耦合特定的测试场景和触发条件，有针对性地设计测试用例并执行相应测试，最终通过选定的评价指标对测试结果进行评价，找出上述3个因素中切实引起问题的原因，从而对自动驾驶的设计提出改进措施。

图2 智能重卡SOTIF测试评估流程

二、测试方案设计

由于本次研究暂未考虑车辆与人的交互，故在进行测试需求分析和测试用例设计时，着重考虑对触发条件的分析和测试场景的研究。

1.触发条件分析

触发条件是场景中的特定条件，这些条件引发了系统的后续反应，促成了危害行为或无法防止、探测和减轻合理可预见的间接误用。因此，触发条件和应用场景、自动驾驶的特定功能、组成自动驾驶系统的部件和整个系统的功能和性能局限高度相关。本文从两个方面来研究港城运输场景下智能重卡的触发条件。

① 基于智能重卡搭载的感知、决策和执行系统已知的性能局限

基于智能重卡搭载的感知、决策和执行系统已知的性能局限，本文推导出可能导致的危害行为场景的通用触发条件（见表1）。

表1 部分感知系统的性能局限

如在雨雪天气状态下感知系统中的雷达性能会下降，摄像头会由于太阳眩光看不清；决策系统由于机器学习不足，导致情况误判；执行机构如制动系统的最大可用制动压力存在上限值，导致当汽车总质量过大时，无法在一定的距离内制动并停车等。

② 基于港城运输特有的运行环境

基于港城运输特有的运行环境，本文推导可能对感知、决策和执行系统的影响范围，从而获得可能导致危害行为场景的触发条件（见表2）。

表2 基于特定环境推导出部分触发条件

2.测试场景选取

在进行测试用例基础场景选取时，考虑干线物流常规道路条件、港城运输特有道路条件和交通参与者的交互情况，本文结合中国智能网联汽车产业创新联盟SOTIF工作组提出的自动驾驶SOTIF研究的7层场景库架构[1]，进行测试场景关键要素的提取（见图3）。

图3 港城运输特有的部分道路场景

3.测试用例构建

如图2所示，测试用例构建的基本要素包括触发条件和测试场景。在测试用例的设计时，考虑到测试数量对于待验证目标的覆盖率和对未知不安全的场景的挖掘，本文结合模拟仿真测试可对场景参数值进行大量泛化的优势，进行测试用例的构建（见图4）。

图4 通过场景参数泛化生成覆盖率更全面的测试用例示例

三、测试执行

围绕所设计的SOTIF测试用例，本文采用模拟仿真、封闭场地和实际道路测试等方法对智能重卡的SOTIF进行测试。3种测试方法的优缺点见表3。

表3 SOTIF测试方法对比[2]

模拟仿真、封闭场地和实际道路3种测试方法各有侧重。基于模拟仿真测试低成本、高效率和高覆盖度的优势，大部分的SOTIF测试用例通过模拟仿真测试开展，进而对智能重卡的SOTIF特性进行全面性的评估，识别尽可能多的已知不安全场景，并推断未知不安全场景。模拟仿真测试中无法可信模拟的SOTIF场景及其所识别的不安全场景，可通过封闭场地进行进一步测试，结合模拟仿真测试结果，形成更为全面且可信的测试结果。实际道路测试重点关注关键触发条件的覆盖度，通过测试路段的选择、测试里程和测试时长的制定，开展相应的测试工作，通过真实交通场景下的测试，评估待测车辆的SOTIF，并可反馈补充所设计的SOTIF测试用例。

四、测试评价

对于SOTIF测试结果，本文从碰撞风险、碰撞是否发生和碰撞严重程度等维度出发，通过如表4所列碰撞时间、潜在碰撞严重指数、潜在碰撞时长、最小安全距离因子、制动安全阈值和碰撞指标等指标，对智能重卡在特定场景下所发生危害事件的严重度和可控性进行评价。针对存在不合理风险的测试结果，笔者需进一步分析其是否满足智能重卡在对应场景下的残余风险接收准则。根据ISO 21448：2022建议，残余风险接收准则可通过风险容忍原则、正向风险平衡原则、风险可接受（ALARP）原则或最小内源性死亡率原则中的一种或多种综合考虑得到。对于不能接受的残余风险，可通过减少触发条件、合理定义ODC以及增加可控性措施等方法进行设计改进。

表4 SOTIF测试评价指标

五、结语

本文基于SOTIF的方法论，研究了港城运输场景下可能引起智能重卡潜在安全问题的触发条件，并结合实际驾驶场景，提出了测试用例的设计方法。在考虑了测试用例的可复现性、可执行性和对安全目标覆盖度等因素，本文结合模拟仿真、封闭场地和实际道路的测试特点，提出了测试执行环境的分配原则，并选取了测试评价指标，形成测试评价方法，目的是助力企业通过测试，更全面、更高效地发现自动驾驶系统的不足，指导企业改进，使自动驾驶智能重卡在港城运输场景下更好更快地落地应用。