駕駛自動(dòng)化技術(shù)的快速發(fā)展顯著拓展了車輛功能范疇、提升了車輛性能，但也對(duì)道路安全提出了更高要求，尤其是在復(fù)雜交通場(chǎng)景下功能不足可能導(dǎo)致非預(yù)期風(fēng)險(xiǎn)。ISO 21448預(yù)期功能安全標(biāo)準(zhǔn)作為核心框架，通過(guò)系統(tǒng)化活動(dòng)（覆蓋系統(tǒng)定義、開(kāi)發(fā)、測(cè)試驗(yàn)證環(huán)節(jié)）確保這些風(fēng)險(xiǎn)處于可控范圍。從該標(biāo)準(zhǔn)中我們可以引申出三個(gè)關(guān)鍵概念：理想系統(tǒng)代表零事故完美狀態(tài)，定義系統(tǒng)為工程定義、規(guī)范基準(zhǔn)與設(shè)計(jì)，實(shí)現(xiàn)系統(tǒng)是現(xiàn)實(shí)中的最終產(chǎn)品；三者隨相互關(guān)聯(lián)但客觀上存在差異，這意味著工程實(shí)踐中的定義系統(tǒng)與實(shí)現(xiàn)系統(tǒng)存在缺陷，在功能層面可以體現(xiàn)為功能不足或功能缺陷，由此構(gòu)成了風(fēng)險(xiǎn)來(lái)源。SOTIF強(qiáng)調(diào)全流程管理，包括場(chǎng)景定義、風(fēng)險(xiǎn)識(shí)別和閉環(huán)驗(yàn)證等環(huán)節(jié)，為行業(yè)提供了可落地的技術(shù)路徑，目標(biāo)是將由于功能不足而產(chǎn)生的不合理風(fēng)險(xiǎn)進(jìn)行排除，使得功能對(duì)應(yīng)的危險(xiǎn)場(chǎng)景占比壓縮至安全閾值內(nèi)。

2025年7月22日，Vector商業(yè)開(kāi)發(fā)經(jīng)理（網(wǎng)絡(luò)及分布式系統(tǒng)開(kāi)發(fā)及測(cè)試）關(guān)明曦在第八屆智能輔助駕駛大會(huì)上表示："基于場(chǎng)景的測(cè)試方法（Scenario-Based Testing）是實(shí)現(xiàn)SOTIF目標(biāo)的關(guān)鍵路徑，通過(guò)多輪迭代的場(chǎng)景擴(kuò)充、風(fēng)險(xiǎn)識(shí)別、系統(tǒng)修改及閉環(huán)驗(yàn)證可有效消除功能不足引起的不合理風(fēng)險(xiǎn)，使得功能達(dá)到安全釋放的準(zhǔn)則"。這一觀點(diǎn)源自Vector工具鏈實(shí)踐，支持從模型在環(huán)到實(shí)車在環(huán)的多層級(jí)測(cè)試，通過(guò)場(chǎng)景分析及泛化實(shí)現(xiàn)測(cè)試場(chǎng)景庫(kù)的建立和不斷擴(kuò)充，部分測(cè)試用例及測(cè)試環(huán)境在不同環(huán)節(jié)、層級(jí)測(cè)試中的復(fù)用，確保驗(yàn)證過(guò)程的可靠性及效率。

關(guān)明曦 | Vector 商業(yè)開(kāi)發(fā)經(jīng)理（網(wǎng)絡(luò)及分布式系統(tǒng)開(kāi)發(fā)及測(cè)試）

預(yù)期功能安全的核心邏輯

ISO 21448標(biāo)準(zhǔn)開(kāi)宗明義指出：“道路車輛安全是道路車輛產(chǎn)業(yè)的首要關(guān)切”，強(qiáng)調(diào)駕駛自動(dòng)化系統(tǒng)（L0~L5全部等級(jí)）的一個(gè)核心目標(biāo)是普遍性降低交通事故率，尤其減少因人為失誤導(dǎo)致的傷亡事件。從該標(biāo)準(zhǔn)中可以看到三個(gè)關(guān)鍵概念：理想系統(tǒng)（Desired System）代表零事故的完美狀態(tài)，即完全避免所有交通事故；定義系統(tǒng)（Specified System）是工程實(shí)現(xiàn)中的規(guī)范基準(zhǔn)，包括預(yù)期功能定義、技術(shù)要求和設(shè)計(jì)；實(shí)現(xiàn)系統(tǒng)（Implemented System）為通過(guò)工程實(shí)現(xiàn)得到的最終落地產(chǎn)品。由于認(rèn)知局限、當(dāng)前技術(shù)發(fā)展水平約束和工程開(kāi)發(fā)、測(cè)試過(guò)程的不完美性，導(dǎo)致三者間必然存在差異，即在功能層面我們實(shí)踐產(chǎn)生的系統(tǒng)存在不足或者缺陷，即系統(tǒng)可能無(wú)法安全處理特定場(chǎng)景，導(dǎo)致非預(yù)期行為，并在特定條件下最終造成對(duì)人員的傷害。

圖源：演講嘉賓素材

SOTIF的實(shí)質(zhì)是消除這些功能不足導(dǎo)致的不合理風(fēng)險(xiǎn)，其正式定義為"不存在因功能不足引發(fā)危險(xiǎn)行為而造成的不合理風(fēng)險(xiǎn)"。通過(guò)場(chǎng)景四象限模型，可將駕駛自動(dòng)化系統(tǒng)需要面對(duì)的場(chǎng)景（交通環(huán)境系統(tǒng)）化劃分為：已知不危險(xiǎn)區(qū)（區(qū)域1，功能可安全應(yīng)對(duì)且已知的場(chǎng)景）、已知危險(xiǎn)區(qū)（區(qū)域2，功能不足且已知的危險(xiǎn)場(chǎng)景）、未知危險(xiǎn)區(qū)（區(qū)域3，功能不足但未知的危險(xiǎn)場(chǎng)景）和未知不危險(xiǎn)區(qū)（區(qū)域4，功能可安全應(yīng)對(duì)但未知的場(chǎng)景）。驗(yàn)證的核心目標(biāo)是通過(guò)多輪迭代的預(yù)期功能安全活動(dòng)過(guò)程，包括功能變更和約束隨機(jī)測(cè)試場(chǎng)景序列，逐步識(shí)別一個(gè)又一個(gè)功能不足并消除其所對(duì)應(yīng)的不合理風(fēng)險(xiǎn)，將區(qū)域2和區(qū)域3（已知和未知危險(xiǎn)場(chǎng)景區(qū)）的占比壓縮至安全閾值內(nèi)，確保殘余風(fēng)險(xiǎn)可控、可接受。

圖源：演講嘉賓素材

場(chǎng)景化測(cè)試的技術(shù)實(shí)現(xiàn)

場(chǎng)景作為驗(yàn)證功能不足的基本單元，包含靜態(tài)道路要素（如道路拓?fù)?、交通?biāo)志）與動(dòng)態(tài)交互對(duì)象（如車輛、行人行為，光照、天氣等）。要實(shí)現(xiàn)對(duì)于測(cè)試場(chǎng)景的高效分析、管理及生成，其核心在于對(duì)場(chǎng)景描述不同抽象層級(jí)的劃分，其抽象程度由高到低可以分為三個(gè)層級(jí)：功能場(chǎng)景（Functional Scenario）描述抽象、概略行為及道路，邏輯場(chǎng)景（Logical Scenario）定義參數(shù)化框架（如速度、天氣等可變參數(shù)），具體場(chǎng)景（Concrete Scenario）對(duì)應(yīng)參數(shù)化之后、可執(zhí)行測(cè)試的場(chǎng)景實(shí)例（實(shí)際道路交互模擬）。抽象程度越高，對(duì)應(yīng)的所有可能場(chǎng)景數(shù)量越少，反之場(chǎng)景數(shù)量激增。故工程人員可以從功能場(chǎng)景、邏輯場(chǎng)景層面入手，分析場(chǎng)景可能性，就可以對(duì)數(shù)量有限且較少的抽象場(chǎng)景進(jìn)行較為充分的分析、描述和管理，再使用泛化的方式，自動(dòng)化地、快速地從邏輯場(chǎng)景生成充分多的具體場(chǎng)景，用于具體的測(cè)試執(zhí)行中。例如NCAP測(cè)試中從邏輯場(chǎng)景到具體場(chǎng)景的數(shù)量呈指數(shù)級(jí)增長(zhǎng)。

圖源：演講嘉賓素材

測(cè)試方法演進(jìn)呈現(xiàn)三大趨勢(shì)：首先，仿真測(cè)試支持全天候模擬與驗(yàn)證（包括雨雪霧等極端條件），可安全復(fù)現(xiàn)碰撞臨界場(chǎng)景（如近距障礙物避讓），且具備不依賴硬件、實(shí)車即可進(jìn)行高并發(fā)、短時(shí)間完成大批量場(chǎng)景的閉環(huán)測(cè)試等特點(diǎn)；其次，采用行業(yè)內(nèi)廣泛使用的標(biāo)準(zhǔn)標(biāo)準(zhǔn)化場(chǎng)景文件，例如ASAM OpenDRIVE標(biāo)準(zhǔn)構(gòu)建靜態(tài)道路模型（描述道路拓?fù)洹⒌缆菲露取⒔煌?biāo)志等）和OpenSCENARIO標(biāo)準(zhǔn)定義動(dòng)態(tài)交通環(huán)境（車輛軌跡、行為序列、時(shí)間序列、天氣環(huán)境等），形成可參數(shù)化的邏輯場(chǎng)景庫(kù)；其三，通過(guò)泛化技術(shù)可從邏輯場(chǎng)景庫(kù)中基于邏輯場(chǎng)景自動(dòng)生成數(shù)量充分多的具體場(chǎng)景，提升覆蓋率，例如使用開(kāi)源Python工具生成不同起伏度道路場(chǎng)景，實(shí)現(xiàn)地形多樣性泛化；OpenSCENARIO標(biāo)準(zhǔn)本身就支持邏輯場(chǎng)景描述，當(dāng)然也可以實(shí)現(xiàn)對(duì)動(dòng)態(tài)交通環(huán)境的泛化，交通參與者的外觀、行為，天氣的變化等。

圖源：演講嘉賓素材

圖源：演講嘉賓素材

場(chǎng)景泛化過(guò)程概述：基礎(chǔ)場(chǎng)景中聲明可變參數(shù)及其默認(rèn)值（如標(biāo)準(zhǔn)道路寬度）→衍生具體場(chǎng)景（實(shí)際測(cè)試用例），獨(dú)立參數(shù)變異文件定義邏輯場(chǎng)景（如隨機(jī)化天氣參數(shù)）→工具無(wú)關(guān)的Python腳本實(shí)現(xiàn)自動(dòng)化泛化。

場(chǎng)景庫(kù)中的邏輯場(chǎng)景建設(shè)存在三種路徑：基于NCAP規(guī)范或者公司、行業(yè)測(cè)試規(guī)范人工構(gòu)建（手動(dòng)定義風(fēng)險(xiǎn)場(chǎng)景），實(shí)車日志數(shù)據(jù)自動(dòng)轉(zhuǎn)換，商業(yè)工具生成場(chǎng)景庫(kù)基礎(chǔ)。

工具鏈驅(qū)動(dòng)的驗(yàn)證閉環(huán)

功能安全（ISO 26262）關(guān)注電子電氣系統(tǒng)失效引發(fā)的風(fēng)險(xiǎn)，例如電子轉(zhuǎn)向系統(tǒng)在行駛中產(chǎn)生非預(yù)期轉(zhuǎn)向?qū)е萝囕v失控，或電子駐車制動(dòng)在行駛中意外激活；網(wǎng)絡(luò)安全（ISO 21434）則針對(duì)網(wǎng)絡(luò)攻擊可能導(dǎo)致的功能異常，如通過(guò)車載通信接口實(shí)施的惡意操控。二者與SOTIF共同構(gòu)成系統(tǒng)的安全保障鐵三角，覆蓋硬件（或系統(tǒng)性）失效、網(wǎng)絡(luò)威脅及功能不足三大風(fēng)險(xiǎn)維度。

圖源：演講嘉賓素材

圖源：演講嘉賓素材

Vector工具鏈可實(shí)現(xiàn)四層測(cè)試深度貫通：模型在環(huán)（MIL）專注于算法驗(yàn)證與桌面標(biāo)定，通過(guò)高并發(fā)及加速仿真支持每小時(shí)完成千級(jí)測(cè)試用例的自動(dòng)化執(zhí)行；軟件在環(huán)（SIL）處理混合臨界系統(tǒng)調(diào)試與日志數(shù)據(jù)注入，可維持與MIL測(cè)試同等測(cè)試效率；硬件在環(huán)（HIL）驗(yàn)證系統(tǒng)集成與通信質(zhì)量，效率降至百級(jí)用例/小時(shí)；實(shí)車在環(huán)（VIL）完成實(shí)車動(dòng)態(tài)校準(zhǔn)與真實(shí)ECU系統(tǒng)集成測(cè)試，效率為十級(jí)用例/小時(shí)。形成測(cè)試效率逐級(jí)遞減但真實(shí)性遞增的驗(yàn)證閉環(huán)，各個(gè)層級(jí)測(cè)試均有各自的測(cè)試重點(diǎn)，測(cè)試左移實(shí)現(xiàn)問(wèn)題早發(fā)現(xiàn)、早解決，降低產(chǎn)品開(kāi)發(fā)落地成本和周期，提高產(chǎn)品軟硬件及系統(tǒng)質(zhì)量。

圖源：演講嘉賓素材

核心價(jià)值在于三大復(fù)用機(jī)制：測(cè)試場(chǎng)景庫(kù)（ASAM OpenDRIVE及OpenSCENARIO標(biāo)準(zhǔn)）跨MIL/SIL/HIL層級(jí)復(fù)用消除重復(fù)建設(shè)，測(cè)試環(huán)境組件化復(fù)用縮短各測(cè)試層級(jí)平臺(tái)搭建周期，測(cè)試用例標(biāo)準(zhǔn)化復(fù)用確保驗(yàn)證一致性。通過(guò)CANoe與DYNA4的協(xié)同方案，構(gòu)建從需求分析、場(chǎng)景生成到自動(dòng)化測(cè)試執(zhí)行的端到端追溯鏈，實(shí)現(xiàn)危險(xiǎn)場(chǎng)景識(shí)別率提升與驗(yàn)證周期壓縮的工程實(shí)效。

未來(lái)展望與挑戰(zhàn)

隨著輔助駕駛系統(tǒng)復(fù)雜度提升，特別是在多傳感器融合場(chǎng)景中，場(chǎng)景覆蓋率不足已成為一個(gè)主要技術(shù)瓶頸，導(dǎo)致功能驗(yàn)證不充分和不合理的安全風(fēng)險(xiǎn)殘留。建議行業(yè)共建、共享場(chǎng)景庫(kù)生態(tài)體系，通過(guò)三項(xiàng)關(guān)鍵工作突破瓶頸：建立危險(xiǎn)場(chǎng)景數(shù)據(jù)共享機(jī)制，鼓勵(lì)車企間交換非敏感事故數(shù)據(jù)以豐富場(chǎng)景庫(kù)；開(kāi)發(fā)AI驅(qū)動(dòng)的場(chǎng)景自動(dòng)生成引擎，利用機(jī)器學(xué)習(xí)技術(shù)自動(dòng)衍生復(fù)雜交互場(chǎng)景；制定中國(guó)典型的、特色的道路場(chǎng)景標(biāo)準(zhǔn)，針對(duì)國(guó)內(nèi)特有交通環(huán)境定制化驗(yàn)證框架。同時(shí)，機(jī)器學(xué)習(xí)和人工智能技術(shù)的引入也給駕駛自動(dòng)化事業(yè)的發(fā)展進(jìn)行帶來(lái)了機(jī)遇與挑戰(zhàn)，需要注意到的是，于2024年發(fā)布的《ISO 8800 道路車輛 安全性與人工智能》這一國(guó)際標(biāo)準(zhǔn)，在L3級(jí)及以上自動(dòng)駕駛的開(kāi)發(fā)和驗(yàn)證過(guò)程中，或許也值得被了解、學(xué)習(xí)和關(guān)注。

Vector擁有豐富的產(chǎn)品體系并將持續(xù)完善，為行業(yè)提供涵蓋軟硬件開(kāi)發(fā)與測(cè)試工具、定制化本地項(xiàng)目服務(wù)、以及ISO 26262/21434/SOTIF標(biāo)準(zhǔn)本地咨詢、支持的完整解決方案，助力行業(yè)實(shí)現(xiàn)駕駛自動(dòng)化功能的開(kāi)發(fā)與測(cè)試驗(yàn)證效率提升，達(dá)到三大安全標(biāo)準(zhǔn)明確的殘余安全風(fēng)險(xiǎn)可控、可接受的要求，使功能最終達(dá)成“讓駕駛更安全”的核心目標(biāo)。