自动驾驶合规宝典5～ADS安全评估和验证概述

1.文件和审核

2.仿真测试

3.场地内轨道测试

4.真实道路测试

5.在役检测和报告

前文讲了ADS的安全要求，评估ADS是否符合这些安全要求，取决于五个验证支柱：

（a）文件和审核

（b）仿真测试

（c）场地内轨道测试

（d）真实道路测试

（e）在役检测和报告

安全需求、ODD分析和场景生成以及验证支柱之间的关系：

五个支柱需要结合使用，以对ADS符合安全要求的情况进行有效、全面和一致的评估。每种测试方法都有其自身的优势和局限性，例如应考虑的不同级别的环境控制、环境保真度、可扩展性和成本。在某些情况下，需要应用多种方法来评估ADS应对现实世界中可能出现的各种情况的能力。使用多种方法可以灵活地组合、排序和跨ADS功能测试，同时避免不必要的冗余和重叠。上图说明了ADS安全要求、ODD分析和情景生成以及验证支柱之间的关系。

1. 文件和审核

不同的ADS技术产生不同的车辆配置、预期用途和跨操作环境的使用限制。因此，对ADS车辆的评估必须基于对要评估的ADS的明确理解。制造商应具备相应的文档，对自动驾驶系统的功能、设计运行条件、人机交互、感知系统、决策系统等进行详细描述，以便在需要时进行追溯和验证。

根据上述要求，制造商必须提供以下留档材料：

（a）每个ADS功能的ODD；

（b）与每个ODD相关的交通场景；

（c）制造商对ADS的验证；

（d）ADS安全设计；

（e）制造商的ADS安全管理体系。

审核支柱涉及对上述留档材料的评估，以验证制造商开发的鲁棒性，并验证ADS的能力，以确保ADS部署后的安全性。

2.  仿真测试

仿真测试提供了有效评估各种交通场景下的ADS性能的手段。R171-DCAS、（EU）2022/1426-ADS、联合国ADS验证五支柱指南中均提了评估制造商仿真测试方法和工具链可靠性的程序。这种置信度评估使人们有信心将这些工具和方法及其产生的证据应用于ADS安全性评估。

测试使用不同类型的仿真工具链来评估ADS在各种交通场景中是否符合安全要求，其中包括一些难以（不太可能）在物理环境中重现的场景。

工具链方法包括（但不限于）：

（a）模型在环MIL（Model-In-the-Loop）：对控制算法模型在模型的开发环境下（如SIMUlink）进行仿真，通过输入一系列的测试用例，验证控制算法模型是否准确地实现了功能需求。

（b）软件在环SIL（Software-In-the-Loop）：是指在通计算机的建模环境中评估执行代码（如算法、整个控制器策略或完整实现软件）的方法论。是一种等效性测试，测试的目的是验证代码与控制模型在所有功能上是完全一致的。其基本原则一般是使用与MIL完全相同的测试用例输入，将MIL的测试输出与SIL的测试输出进行对比，考察二者的偏差是否在可接受的范围之内。

（c）硬件在环HIL（Hardware-In-the-Loop）：是指运行软件的特定车辆子系统的硬件，其输入和输出连接到利用计算机仿真技术模拟的真实环境中，以在最终系统集成之前连接电子控制单元（ECU）的所有输入/输出的方式复制传感器、执行器和/或机械部件。

（d）车辆在环VIL（Vehicle-In-the-Loop）：是指真实世界和仿真环境的融合，以在与真实世界测试相同的水平上评估车辆测试台或测试轨道上的真实ADS车辆的动力学。

（e）驾驶员在环DIL（Driver-In-the-Loop）：是指驾驶模拟器，其具有使驾驶员能够在仿真环境中操作并与仿真环境通信的组件，并且用于评估人机界面HMI交互设计。

仿真测试可以有效地评估正常场景、紧急场景和故障场景以及与ADS配置、预期用途和使用限制相关的场景内的参数范围，包括确定碰撞避免和碰撞缓解之间的边界。仿真测试还可以评估与用户交互相关的安全要求的合规性，特别是通过驾驶员在环DIL和类似的“用户在环”方法。

当需要改变测试参数并且需要执行大量考试数量以支持有效的场景覆盖（例如：用于路径规划和控制、使用预先记录的传感器数据评估感知质量等）时，仿真测试更合适。

仿真测试还能够识别导致正常DDT性能要求“例外”的场景（例如：偏离交通规则、规避机动、碰撞发生等），以便基于安全模型进行评估。

参数和场景组合的随机化方法使得紧急场景（低概率事件）下的ADS性能评估成为可能。

仿真测试能够识别可应用于轨道测试的高价值场景。ADS部署后，仿真测试有助于分析与原始评估期间展示的行为能力不一致的ADS行为。

3.  场地内轨道测试

轨道测试涉及对封闭场地受控条件下ADS性能的物理评估。因此，轨道测试最适合评估“若ADS性能无法满足要求，则会带来重大安全风险”的场景。在这些情况下，ADS性能可以通过离散的物理测试（只有标准场景）来评估，并且测试受益于控制条件的能力（例如，在紧急场景下的HMI和后备响应）。

在仿真测试中确定了ADS避免碰撞和降低风险的性能边界后，可以根据相应仿真场景的参数为轨道测试定义具体的测试场景。在执行相同场景时，仿真测试和轨道测试之间的性能比较可以评估仿真测试工具链的准确性。

4. 真实道路测试

真实道路测试的主要目的是验证：在ADS正常运行和真实道路条件下的DDT性能，以及ADS与其使用者的交互是否符合安全要求。

虽然真实道路测试为测试ADS提供了高度的环境保真度，但时间、成本、可控性、可重复性和安全限制等因素限制了完全覆盖交通场景的可行性。因此，该方法需要注意设计测试路线，以捕捉ODD内可预测的场景（例如，道路类型和几何形状）、ODD相关的正常场景中发现的元素（例如，其他道路使用者、标志和信号）和典型动态条件（例如，高/低交通密度）。测试路线还应能够验证ADS与用户交互的安全要求，包括在进入/退出ADS功能的ODD之前、当时和之后。

如果ADS在真实道路测试过程中遇到紧急或故障情况，ADS的响应（包括紧急场景下正常性能要求的例外）应与场地内轨道测试和仿真测试的结果一致。

5. 在役检测和报告

制造商应监控其在役ADS车辆的表现，并向安全监管当局报告与安全有关的资料。

在役检测要求制造商收集和分析代表在役ADS性能的信息，以：

（a）识别安全相关问题，包括预测新兴风险的趋势；

（b）识别ADS性能表现与最初认证测试期间显示的安全要求和/或行为能力不一致的情况；

（c）描述有利和不利事件；

（d）安全概念的持续验证。

报告要求制造商短期和定期地通知安全监管当局，以便：

（a）确保实施补救措施以解决已识别的安全问题;

（b）评估ADS使用对道路安全的影响;

（c）改进ADS安全认证，包括增加新的交通情景;

（d）有效地传播信息，使ADS安全性能不断提高。