读书笔记：《智能网联汽车预期功能安全测试评价关键技术》

“ 经常有朋友问有没有学习仿真的相关书籍推荐，于是搜集和阅读了一些，记录在这里，向大家分享。如果大家有觉得好的书籍，也请留言推荐，不胜感激。”

李骏，王长君，程洪主编，CAICV智能网联汽车预期功能安全工作组组编. 北京：机械工业出版社，2022.09

该书介绍了中国特色智能网联汽车预期功能安全场景库的建设思路与现状，并介绍了整车级、系统级和算法级预期功能安全分析、测试方法。全书共分为6章，概述如下：

第1章介绍了智能网联汽车和预期功能安全的基础知识。

智能网联汽车的智能化水平可分为5个等级，网联化水平可分为3个等级；智能网联汽车的安全包括功能安全、预期功能安全和信息安全。

预期功能安全（SOTIF）研究避免系统的功能不足和性能局限被恶劣天气、交通参与者的极端行为和驾乘人员的误操作等条件触发而造成危险。预期功能安全活动的目标是通过最小化已知危险和未知危险场景的比例来最大化已知安全场景。标准ISO 21448规定SOTIF的基本活动包括：规范和设计、危害识别与评估、潜在功能不足和触发条件识别与评估、功能改进、验证和确认策略定义、已知危险场景评估、未知场景评估、发布标准、运行阶段活动。

第2章介绍了预期功能安全研究的政策、标准和技术现状。

目前各国的智能网联汽车政策法规主要解决的是测试、试运营和与现有法规冲突的问题。ISO 21448是主要的预期功能安全标准，并与ISO 26262和ISO34502等标准相关联。

典型的安全分析方法有故障树分析FTA、系统理论过程分析STPA等演绎法和失效陌生与影响分析FEMA、危险与可操作性分析HAZOP等归纳法。风险评估可参考功能安全的ASIL评价体系，但并不完全适用。

SOTIF验证指提供客观证据证明对规定要求的满足，主要用于评估已知危险场景；SOTIF确认指通过适当的确认目标和采用特定的确认方法，评估在已知和未知危险场景下残余风险是否可接受。基于场景的验证确认的基本流程包括场景生成/提取、场景库建立、场景选择、测试执行和评价指标等内容。

第3章介绍预期功能安全场景库的场景架构、建设思路和现状。

预期功能安全场景库是以预期功能研究为导向的场景集 合，包括静态部分和动态部分。静态场景要素按照七层架构：道路结构、交通基础设施、道路和设施临时改变、交通参与者、气候环境、通信状态和自车状态。动态场景要素包括轨迹信息和动作信息。

场景库通过标签进行分类、筛选、聚类和分析，其中一级标签为感知、决策、AVP、NOP等功能模块，二级标签为道路曲折、人车混流、光线不足等静态场景七层要素的细分。

目前已从7个中国典型场景中收集了超过千例预期功能安全场景，并在仿真软件中搭建了300余个测试用例。其中感知系统195个、决策系统36个，NOP功能31个、HWP功能26个、AVP功能20个。

第4章介绍了感知系统、感知算法、决策算法、定位系统、HMI系统和控制系统的预期功能安全评价方法。重点阐述了感知系统的相关内容，包括研究现状、感知系统局限性与触发条件分析、评价体系、测试方法和改进措施研究。

首先综述了激光雷达、摄像头和毫米波雷达的预期功能安全影响因素，主要是传感器特性、天气（传播过程和介质）、被测对象反射率等；然后是感知过程和认知过程的量化评价指标；接着介绍了感知系统的测试方法，包括回灌测试、仿真测试、封闭场地测试和公开道路测试；感知系统的改进目前包括传感器硬件结构的改进和算法改进。

触发条件是导致自动驾驶系统后续出现危害行为的特定场景条件。触发条件（外因）和性能局限（内因）是导致非预期行为的根本原因。触发条件与性能局限的识别方法包括基于知识和基于数据两种方式。基于知识的方法：首先通过分析感知系统组成架构和传感器工作原理，分析出可能的性能局限，如激光雷达可能表面存在遮挡物、光束被大气分散和衰减、目标物反射异常等；然后采用基于事件链的分析框架，按照触发源、触发机制和触发效果三个部分得到触发条件生成矩阵。基于数据的方法：在试验场设定典型场景，并测试在不同光照、天气等条件下的表现，得到触发条件，如降雨是激光雷达的典型触发条件之一，降雨条件下的小尺寸目标物是毫米波雷达的典型触发条件之一，小目标物是摄像头的典型触发条件之一。

感知系统的评价包括传感器输出感知数据的质量和认知过程的目标检测能力，可通过传感器部件级性能评价、特定场景下的感知系统性能评价两个方面进行。综合量化评价体系分为多场景评价、单场景评价和单层级评价三个层面进行，每个层面有不同的评价内容和权重。

测试用例是测试的核心，由功能定义的基础场景与前面分析得到的触发条件相结合得到。测试方式包括仿真测试和封闭场地测试两种方法。

感知系统性能局限改进措施的基本原则为避免风险和减轻风险，基本思路有系统改进（部署不同的传感器、识别ODD等）、功能限制（降级或者限制功能）和权力移交（用户通知和交互等）。

第5章以城市巡航系统NOP、高速巡航系统HWP和自主代客泊车系统AVP为例，介绍了整车级预期功能安全测试评价的内容，其内容包括功能定义和危害分析、典型场景选取、数据采集、量化评价体系和测试规程。

首先明确系统的功能定义、系统架构和设计运行条件ODC等内容，然后采用HAZOP等方法分析非预期行为和合理可预见的误用场景造成的整车级危害，并进行严重度和可控性评估，也可分析因功能不足可能引起的危害事件。

之后结合功能定义、实际运行场景和触发条件选择典型场景，并通过七层场景模型描述。然后通过实地的数据采集，明确场景中的参数选择。

量化评价体系中根据功能运行的不同阶段（如进入路口前、路口中、驶离路口或舒适驾驶区、紧急驾驶区、无法应对区等）分配不同的评价内容，评价内容包括安全性、合规性、效率等方面。

最后拟定测试规程，明确测试对象、测试步骤和内容、测试手段，选用前述的场景和评价体系进行测试和评价。

以上是对全书的简单总结，核心在于触发条件（外因）和性能局限（内因）是导致非预期行为的根本原因。

不过有两个问题暂时还没有想明白：（1）如何对未知危险场景进行测试和评估？毕竟都不知道是啥场景。

（2）第5章中的危害分析与场景选取有什么联系？看来还是要去看看标准原文。如有明白的大佬也请不吝赐教。