引言 浅谈自动驾驶安全评估

作者简介：小南郭，某OEM 智驾功能安全工程师，负责高低速智驾功能安全开发与流程管理。4年系统功能安全开发经验，熟悉智驾产品功能安全&SOTIF方案。

自动驾驶安全性的评估一直是行业发展的重点，如何对自动驾驶进行完整的安全论证，目前业界有哪些成熟或在研的方法？本文将就这些内容展开讨论。

自动驾驶汽车什么时候上市？这个问题多年来一直困扰着汽车行业和社会。自动驾驶技术的发展及实施在过去十年中取得了快速进展，但如何证明这些系统安全性的挑战尚未解决。

由于没有安全证明_（proof of safety）_的市场投放，既不会被社会接受，也不会被立法者接受，因此近年来研究学者，企业等已投入大量时间和资源进行安全评估，以开发有效评估的新方法。[1]在上一篇文章里有提到几种安全评估的方法：real world test，scenario based test，formal verification，还提到MiR_(Microscopic Risk,微观风险)_指标是针对scenario based test定义的指标。本文将延续之前对可接受准则的介绍，继续探讨如何对自动驾驶功能进行safety assessment_（安全评估）_。后面将主要介绍现在业界常见的自动驾驶安全评估方法以及其优缺点。

Note：上一篇文章《ADS可接受准则探索》
➡本文（约5500字，18钟阅读）

在评估自动驾驶汽车的安全性时，必须考虑各个方面。首先，必须确保安全功能_（即所谓的预期功能安全，SOTIF）_，它侧重于在没有EE故障的情况下可能因功能不足而引发危险的预期功能。另一方面是确保预期功能不会因系统硬件或软件中的随机和系统故障_（功能安全）_，而引起危害。本文确定将主要关注前者，即预期功能安全评估。[1]

目前业界有多种方法可用于评估ADS的预期功能安全，如图 1 所示。包括Real world test，Scenario based test，Formal verification，Shadow mode，Function based test，Function based testing。这些方法可用来评估自动驾驶系统，但各自有其优缺点。

值得注意的是，在Scenario based test方法中，首先需对系统的安全性做出微观评估，即MiR指标评估，然后必须将其转化为宏观评估，MaR_（Macroscopic Risk）_评估，对应上一篇文章提到的可接受准则，比如ADS事故率。这里可能不太好理解，举个例子，比如我们要评估ADS功能导致追尾这类危害场景的事故率，使用TTC作为风险评估的MiR危险度量_（critical metric）_，通过对场景数据的采集，分层，泛化得到具体场景，然后对ADS算法进行仿真测试，可以得到各参数_（距离，速度等）_概率分布下具体场景的危急指标_（critical metric）_。然后基于场景的概率以及critical metric，推导出ADS功能引起追尾的总体事故率MaR。

如何推导，可以采用极值理论_（extreme value theory，EVT）_来推测极端事件_（在这里指交通事故）_发生的概率。极值理论 (EVT) 通常用于将测量结果_（这里可以理解为critical metric）_外推到观察时间内未发生的不太可能的事件，核心思想利用统计学中的概率分布。它在金融和保险数学中很流行。而AD 安全评估的挑战与此示例类似：很难收集足够的数据来估计严重事故的概率，因为它们极为罕见。如果发现危急指标从危急情况指向某一类别的事故，则可以使用 EVT 推断其可能性。收集足够危急情况所需的里程低于收集事故信息所需的里程。[10]

MaR指系统的平均风险，例如致命事故的发生率，被称为宏观风险_（Macroscopic Risk，MaR）_。我们可以用单位时间_（每年）_事故发生的次数，如10^-6/a，或者单位里程事故发生的次数，如10^-6/Km。MiR指单一交通场景_（如cut in，crossroads）_中的风险称为微观风险_（Microscopic Risk，MiR）_，比如我们常见的纵向风险指标TTC_（Time to collision）_，横向指标TTLC_（Time to lane change）_。

回到安全评估，以下将介绍图1中各类方法的优缺点。

Real world test

实际道路测试指使用带ADS功能的测试车辆在真实环境中测试，需要预先设计测试的里程以及测试场景。测试里程通常由可接受准则推导得出，而测试场景中应考虑目标物的类型，目标物动态行为，道路与车道结构类型，光线，天气等要素及其比例。在实际交通中测试足够里程的情况下，可以估计两次事故之间的平均距离_（例如，使用泊松分布）_。为了能够充分说明ADS在一定程度上优于人类，根据论文[8]的数据，则需要大约88亿英里的测试。

此方法的优点是，整个系统是在现实条件下测试的，可以反映ADS在真实环境的系统表现。然而，经济代价较大，可以触发具有挑战性的情况但难以找全。

Staged introduction of AVs

分阶段引入ADS的方法，首先仍然是基于real world test，其目的是通过限制车辆的ODD，以限制发生的交通状况的数量，从而以经济可行的方式逐步增加功能可用的区域。比较严格的ODD例如，只有在良好的环境条件下，路中有物理隔离带的结构化道路的固定路段_（如G2京沪高速）_。在固定路段完成足够的现场测试里程后再逐步推广到其他高速公路。此外，也可以在测试车辆上配置安全员，如果系统出错时，他可以立即干预。经过一定里程后车辆被评估为安全的，则可以逐渐增加ODD和／或取消安全员。许多传统的Tier1，OEM，主要采用此方式，比如戴姆勒和博世。很多L4的公司，也在固定区域配置安全员进行无人载客的尝试。但其实此方法仍然需要大量的实际道路测试，总体成本较高。[1]

Formal verification

形式验证为系统提供了抽象数学模型的形式证明，换句话说，如果系统表现能满足设计的数学模型，则认为其是安全可靠的。比较有代表性的是 Mobileye的RSS模型与英伟Safety Force Field_（安全力场理论）_。

RSS定义了自动驾驶汽车应遵循的五大准则，这些准则参照主流交通规则和驾驶常识，同时形式化定义了自动驾驶的危险场景，形式化定义了自动驾驶汽车在危险场景下应做出的合理行为，并声称如果所有车辆_（包括人类驾驶的车）_都遵循RSS模型，则不会出现任何事故。

规则1：保持纵向安全距离_（Safety Distance）_

规则2：保持横向安全距离_（Cutting in）_

规则3：不要抢路权_（Right of Way）_

规则4：要注意视野被遮挡的情况_（Limited Visibility）_

规则5：如果能避免碰撞，要尽力避免，可以突破规则1-4，但不能引发新的碰撞_（Avoid Crashes）_[6]

形式验证是简单有效的方法，但RSS基于的假设是感知输入的数据不会出错，因此更适合对决策规划进行安全评估，或者与其他评估方法联合使用。

Scenario-based Testing

基于场景的测试是目前安全评估研究的重要方向。首先要区分几个概念，scene，scenario，situation_（详见文献[4]）_，scenario是scene的时间序列，场景包括静态和动态元素，以及所有交通参与者，和这些参与者之间的关系。基于场景的测试将被测对象暴露于_（预）_定义的场景，并评估其反应[2]。国外比较有名的PEGASUS项目就是基于场景的测试方法，其主要步骤如下：

1. 建立场景数据集：基于实际数据与知识经验得到数据集；
2. 构建具体测试场景：由功能场景，逻辑场景，逐步细化得到可执行测试的具体场景，其中涉及到危险场景的识别与具体场景参数的泛化；
3. 测试评估自动驾驶功能：通过合理分配仿真测试，场地测试，现场测试，验证ADS功能；
4. 安全论证：收集论点，对ADS功能安全性形式化论证。

基于场景的测试在汽车行业中已经是一种比较成熟的测试方法，用于开发、认证和评级目的，尽管它的名称不同。基于场景的 ADAS 和 AD 测试之间的主要区别在于场景抽象级别_（相关参数的数量）_和定义相关场景的来源。ADAS 场景主要基于事故统计数据，出于评级目的 _(NCAP)_，场景被显著简化_（例如，理想的传感条件、广阔的试验场等）_。AD 场景基于各种来源，事故统计的经验数据、现场测试/自然驾驶研究和以前的测试_（包括模拟）_结果，以及基于头脑风暴、经验、演绎。[2]

个人理解，基于场景的测试有以下几个难点和重点：

1. 不论是实际路采数据，专家经验还是事故数据，组成的场景数据库，如何保证场景库_（scenario database）_的完整性？
2. 以高速公路为例，单调低风险的场景占大多数，如何从场景数据集中筛选出危险场景构建场景库？比如通过 critical metric_（类似TTC这些指标）_筛选场景，如何设计 critical metric以适应各类场景下的危险度量？
3. 当筛选出危险场景后，如何对场景特征参数泛化以达到足够的场景覆盖度，以及场景的概率分布如何提取，特征参数之间的物理约束如何考虑？
4. 测试方式包括基于仿真，场地，实际道路测试，仿真环境下如何保证传感器模型与实际
5. 物理表现一致，需要做哪些 qualification？实际道路测试又需要对哪些场景采样，对应的比例需要如何设计？
6. 测试覆盖度如何保证，才能声明基于场景的ADS功能测试是充分的？
7. 基于场景的测试得到的是具体场景的危险度量，也就是微观指标_（MiR）_，如何推导出系统的平均风险度量_（MaR）_？

其中有些问题PEGASUS及其他类似项目已经给出部分解决方案，有些仍然还在探索，涉及的内容较多，在这里暂不展开讨论。

Shadow Mode

影子模式是特斯拉测试新功能的常用方法，指在有人驾驶状态下，系统包括传感器仍然运行但并不参与车辆控制，只是对决策算法进行验证——系统的算法在“影子模式”下做持续模拟决策，并且把决策与驾驶员的行为进行对比，一旦两者不一致，该场景便被判定为“极端工况”，进而触发数据回传。

然而，在模拟环境中其他道路使用者的行为与现实不相符，所以在验证ADS算法是有一定局限性。主要因为其他道路使用者也根据自动驾驶的行为规划他们的行动。如果某种情况下的人驾做出的决定与ADS不同，那么可能另一个道路使用者会做出不同的决定。

Function based test

在基于功能的测试中，首先根据需求定义系统功能与use case，然后在测试场或模拟环境中进行测试。这是ADAS测试过程中常用的方式。当前的 ISO 标准_（例如自适应巡航控制的 ISO 15622）_和 UN ECE 法规_（例如高级紧急制动系统的 UN ECE R131）_遵循基于功能的方法，为各个系统定义了一些固定测试。但对ADS来说很难，因为不可能在每个可能的场景下定义ADS所需的功能。[1]

此外多种测试方式共同用于ADS的安全评估也得到越来越多的共识，有些传感器供应商对其产品的安全验证结合了Scenario-based Testing与Real world test，如图，Ibeo激光雷达的考虑了随机道路测试与基于场景测试，以达到最终的安全论证，发现基于场景的测试能更好地发现长尾场景。

总结

所有方法都有不能忽视的缺点。在实际交通中进行的测试可能具有最好的有效性，但在SOP之前完成这项工作是不可行的。形式验证可以对决策与规划算法有较好的评估，但无法解决感知的limitation。基于场景的测试是一种经济有效的方法，但是需要有效的仿真模型，并且需要将微观指标转换为系统平均风险度量。个人认为，需要采用一种综合方法来最终安全论证引入ADS的残余风险是可接受的。以上就是个人的粗见，如有疏漏，还请各位专家见谅。

参考文献

[1]STEFAN RIEDMAIER.etc. Survey on Scenario-Based Safety Assessment of Automated Vehicles. Received March 19, 2020, accepted April 23, 2020, date of publication May 11, 2020, date of current version May 21, 2020

[2]Philipp Junietz, etc. Evaluation of Different Approaches to Address Safety Validation of Automated Driving 2018 21st International Conference on Intelligent Transportation Systems (ITSC) Maui, Hawaii, USA, November 4-7, 2018

[3]N. Kalra and S. M. Paddock, “Driving to safety: How many miles of driving would it take to demonstrate autonomous vehicle reliability?” Transp. Res. A, Policy Pract., vol. 94, pp. 182–193, Dec. 2016. [Online]. Available: 

[4]Simon Ulbrich, Till Menzel, etc. Defining and Substantiating the Terms Scene, Situation, and Scenario for Automated Driving. 2015 IEEE 18th International Conference on Intelligent Transportation Systems

[5]Philipp Matthias Junietz, M.Sc. Microscopic and Macroscopic Risk Metrics for the Safety Validation of Automated Driving. Ph.D. dissertation, Tech. Univ. Darmstadt, Darmstadt, Germany, 2019 Bibliography

[6]Shai Shalev-Shwartz, Shaked Shammah & Amnon Shashua (2017): On a Formal Model of Safe and Scalable Self-driving Cars. arXiv:1708.06374.

[7] An Introduction to the Safety Force Field David Nistér, Hon-Leung Lee, Julia Ng, Yizhou Wang. NVIDIA Corporation 2788 San Tomas Expressway, Santa Clara, CA 95051 http://www.nvidia.com.

[8] Nidhi Kalra , Susan M. Paddock. Driving to safety: How many miles of driving would it take to demonstrate autonomous vehicle reliability?

[9] https://www.pegasusprojekt.de/en/

[10] Praprut Songchitruksa. The extreme value theory approach to safety estimation. Accident Analysis and Prevention 38 (2006) 811–822

作者：小南郭
校阅：冯亚军、James Bian
文章来源：sasetech

推荐阅读
特约专栏 | EGAS概念及其应用分析
玩转机密计算从 secGear 开始
特约专栏 | 浅析机器学习如何保证安全性

更多物联网安全，PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信（id:aijishu20)加入PSA技术交流群，请备注研究方向。