SOTIF：一个高度自动化汽车的安全验证架构(2)-绵羊汽车生活记录

一个具有充实性的太平验证安排务必起码治理以下类型的缺陷，这些缺陷包罗了体系、境遇和体系行使中的潜正在毛病:

•需求缺陷:体系被请求做差池的事项(缺陷)，不被请求做确切的事项(缺口)，或者有一个运转计划域类型的缺口。

•计划缺陷:体系未能满意其太平请求(比如，因为达成缺陷)，或未能确切反应所界说的运转计划域。

•鲁棒性题目:无效的输入或损坏的体系状况会导致担心全的体系作为或毛病(比如，传感器噪音、组件毛病、软件缺陷)，或因为外力导致的胜过平常规模的偏移。

HAV验证面对的寻事包罗不完美的需求以及需乞降计划的隐式流露。不确定的体系作为进一步使题目繁复化。这些寻事肯定会影响体系测试的形式和对象(以前的著作鸠集于确定正在验证主动驾驶、运转时看守形式和毛病操作形式方面的寻事。咱们正在前面的劳动的根蒂上商量了验证形式的各个局限)。

通常来说，将守旧的效力性太平形式使用到某些HAV效力上的区别会促使咱们思量测试正在一共太平性验证流程中或者饰演的区别脚色，以及执掌需求不全体的题目。

HAV验证的一个要害寻事是，需求开拓一组完美的作为需求，然后技能丈量作为确切性，从而为测试供应通过/障碍的圭表。比如,即使勤苦正正在记实车辆作为和场景(比如,飞马项目),没有一个完美的、民众的呆板——可鉴定的交通原则,包罗相当执掌章程(比如,何时以及何如能够车辆交叉中央分界线,假若存正在,为了避免车道壅塞?)。咱们正在本文中行使术语需求要紧是指体系级的作为需求，即使这些观念也能够使用于其他方面。

需求缺口是道途车辆数据搜聚操作的要紧动机，有时称为车辆测试。从道途测试数据臆度体系需求的通常计谋也影响了测试安排的完美性，由于正在体系作为需求(比如，未知的，所以缺失的作为场景)中会有与之对应的测试缺口。

需求提神的是，庄敬地说，行使道途数据行为熬炼呆板练习根蒂的体系一贯不会识别需求自身。相反，培训数据集是好像于需求的代庖。正在其他环境下，对道途数据的说明或者被用来构修某种水平的了了声明的需求。获胜地验证HAV需求测试安排缉捕并实践所需的作为，纵然是隐式表达的。不管采用何种表面，对待很众初始HAV安放来说，这些需求或需求代庖都或者是不完美的。

体系级测试的一个常睹观念是，它是一种涌现软件缺陷(bug)并删除它们的形式。然而，正在了了85个车辆秤谌测试的对象方面存正在一个快速降低的题目。一朝涌现了涉及楷模驾驶场景的bug，就会戏剧性地涌现更众的缺陷。十分是对待那些需求至极正确地指定初始条款的缺陷，包罗时序竞赛条款，或者从策画运转时毛病中收复的缺陷，这些缺陷很难用大凡的车辆接口来诱导。这一题目正在呆板人界限更为首要，咱们仍然考察到，光辉和几何形态的渺小改观会触发无法复制的bug。通常来说，能够预期，正在任何合理数目的车辆测试中，很众这种渺小的bug将无法被检测和诊断，而且正在现实使用中是不行重现的。然而，它们决定会正在诸如汽车体系等高曝光使用界限展示。

除了效用题目外，任何行使车辆测试行为其要紧缺陷打消机制的项目正在其太平宇宙观中都有一个根蒂题目。测试能够证据bug的存正在，但不行证据它们没有。另外，当通过测试涌现的全面bug都被修复后，剩下的bug即是那些测试顺序没有计划来涌现的bug(农药悖论)。所以，纵然车辆级此外测试没有涌现任何题目，这并不料味着车辆的软件肯定是太平的。这条推理线只是得出结论的另一条旅途，即仅举行车辆级此外测试是证据体系太平性的一种站不住脚的形式。

极少表面的“车辆测试”现实上是针对需求涌现的。尚未成熟的HAV开拓劳动很或者存正在需求缺口的界限包罗:

HAV计划职员应当针对已知的需求举行计划，而正在可意料的异日，正在实际宇宙中陆续展示新的操作不料是不行避免的。第4级主动化而不是第5级全体自治的一个基础道理是，HAV不必执掌全面或者的场景。相反，4级主动化的一个紧急的可行性好处是，只须毛病反应是太平的，就容许它正在运转计划域毛病以外再现出此类的毛病。本相上，从永远来看，假若5级主动化依然是一个难以捉摸的对象，4级主动化正在渐渐靠近它，但现实上从未正在全面或者的操作条款和场景中达成全体主动化，这并不怪异。

需求指出的是，4级主动化并不行解任HAV太平包管的讨论，由于它务必执掌全面或者的场景，包罗运转计划域的违规和别致的场景。运转计划域的通常观念彷佛假定下列两种环境之一为线) HAV将不会碰到因为高牢靠的运转计划域束缚而不行很好地执掌的环境(比如, 北美民众道途上平常不需求对袋鼠的道途危急作为举行稳当预测),（2)HAV会牢靠地检测到外面的环境,使车辆维系太平的状况(比如,未被列入袋鼠公途危急品级的车辆或者被用土墙隔绝正在野灵便物公园和澳大利亚大陆以外)。正在实际中，因为对运转计划域的完美规模的分解存正在区别(比如，计划者从未最初思量过袋鼠)，或者验证安排中漏掉了对子系运转计划域束缚的测试，因而运转计划域有或者正在未被检测到的环境下被破损。

正在公途上功课的一个相宜的用处是涌现需求缺口。碰到极少意念不到的场景将导致需求更新，而其他的将导致运转计划域参数或冲突检测需求的编削。紧急的是，当它第一次碰到如许一个不料时，务必是能够承担的太平。达成这一点是有题目的，由于通过界说，如许的场景是预料以外的，所以不是任何测试安排的计划局限。

因为没有一种验证形式是完善的，极少计划缺陷很或者会通过道途测试，以至正在已安放的车辆中被涌现。然而，这应当是体系中涌现的缺陷总数中至极小的一局限，而且这些缺陷应当导致太平作为，纵然该作为确实导致了体系太平闭塞或其他可用性耗费。假若过众的缺陷局限正在开拓周期中遁脱了检测，而且直到道途测试才被涌现，那么这就表清楚需求、测试安排或验证形式的其他极少元素存正在体系题目。与任何太平要害的计划流程相似，缺陷搬动到分娩体系应当惹起庞大反应，以改正导致这种环境的任何太平流程题目。

合于道途测试的效力，一个紧急的观念是，为了寻找需求上的缺陷而累积的里程根蒂不是守旧旨趣上的车辆测试。这是一个需求搜聚和验证进修。另一方面，无论是道途数据依然模仿、归纳数据和记实数据的某种组合，是测试特定HAV计划的要紧伎俩，更众的是由计划团队决议的。只须依据充满完美的需求集对计划举行验证，就不需求(现实上也不应当)举行现场测试。

所以，淘汰HAV验证的时期和用度的一种形式是将(1)正在途上的需求搜聚与(2)计划和达成验证分散。要念寻得分外且危急、需求通过体系太平请求加以缓解的事变，分明没有要领绕过需求数十亿英里的道途阅历。但这并不料味着计划验证需求对每一次计划更改从新举行数十亿英里的测试，起码正在采用了比蛮力体系级测试更繁复的形式的环境下是如斯。

咱们能够实行如许的观念，即道途测试应当要紧夸大需求验证，而较初级此外模仿和测试应当夸大计划和达成的验证。通常来说，任何级此外模仿(包罗车辆测试的模仿方面)都具有前面商量过的特定级此外牢靠性。这意味着它也是差池的，就像全面的模子正在某些方面都是差池的，由于它的简化和假设。

降低测试效用的形式是将测试安排鸠集正在各个主意的测试上，检讨仿真的低主意的假设和简化。同时，尽或者地将仿真劳动推到最低的现实秤谌，能够消浸仿真本钱。比如，应当正在子体系模仿中涌现粗略的编码缺陷(或者以至通过守旧的软件单位测试和同行评审举行预模仿)。另一方面，假若它们是由不行意料的成分惹起的，那么正在途上测试中涌现的罕睹事变需求缺口或者是最好的。正如下面一节所商量的，它导致了一种基于消浸每个级此外模仿牢靠性的结余危险的形式。

因为完美的人类可注明的计划和需求音信正在短期内不太或者用于HAV，所以务必行使守旧的V模子以外的其他形式来举行验证。要做到这一点，咱们需求起码从一套(或者不完美的)太平请求首先。然后咱们务必找到一种形式，将道途测试、紧闭流程测试和模仿结果的某些组合追溯到那些太平请求。

正在第一流别上，咱们需求某品种型的体系需求来确定测试是否真正通过或障碍。假若效力需求没有被全体阐明，那么咱们需求极少其他的东西。好音讯是，供应太平性或者不需求最优职能。更粗略的请求或者足以防御太平操作。

比如，咱们涌现基于太平信封的担心全作为列表对待某些主动驾驶车辆作为是足够的。正在这种环境下，测试能够追溯到了了声明的太平需求，纵然效力需求自身是不透后的或没有文档记实的。指定太平信封的一种形式是行使分拨给区别太平检讨器效力块的运转时稳定量。举个粗略的例子，车道维系的太平规模能够是车辆逗留正在它的车道范围内，加上极少太平系数。这比检讨一个繁复算法的完善达成要粗略得众，该算法依据道途几何形态和交通景遇优化车辆的车道名望。

固然依据轨则的太平请求跟踪测试或者是有助助的，但咱们通过阅历涌现，人们并不分解太平需求，以至没有以有效的周到水平记实下来。固然抗御产生车祸的混沌观念是一个起始，但也务必有一个实在的、分外的形式来确定一个测试是否表清楚一个别系是太平的。正在实习中，咱们涌现一组指定太平与担心全的体系状况空间信封组合的局限运转时，稳定量能够跟着时期的推移正在反应测试和仿真结果的络续订正形式中获得演化。换句话说，治理太平需求缺失题目的一种形式是从粗略的章程集首先，并跟着时期的推移对违反这些粗略章程的测试举行周到的声明。假阳性和假阴性的违反章程的作为能够细化章程集。通常来说，假若一首先就对太平操作的信封（加添高假阳性率）有一个较低的近似值，而且正在说明解说如许做是加添信封可容性的一种太平形式时，逐渐加添特别的信封面积，那么这种演进的功效最好。

假若HAV计划团队试图通过基于呆板练习的形式来确定太平需求，那么对他们来说，以一种可被人类太平参数评审员分解的格式来表达结果将利害常紧急的。然而，目前还不了然这将何如达成。正在这一点上，咱们倡导行使更守旧的工程形式来防御太平需求，以避免同样的难以想象的题目落正在基于MLB的效力上。

固然太平信封形式能够简化创修用于通过/障碍圭表的需求模子的繁复性，可是HAV测试依然需求运转多量的场景来取得合理的掩盖率。理念环境下，尽或者众地行使本钱较低、低保真度的模仿。该形式不单要思量未划分的“实际主义”，况且要思量淘汰由低保真度模仿的简化所带来的结余危险。

高保真度和低保真度模仿运转之间的紧急合连不应当是完美性检讨或统计抽样，而应当是夸大正在低保真度秤谌上假设和简化实在切性和有用性。换句话说，对待某一特定级此外牢靠性模子正在某些方面存正在差池的每个方面，高保真度模仿(包罗或者的各品种型的物理车辆测试)应当负责起减轻结余太平验证危险的负担。

这种形式正在紧急方面区别于平常的模子验证观念。较高的保真度仿真不单用于验证较低保真度模子实在切性，况且还务必了了地计划来夸大对假设和简化的检讨，这些假设和简化是正在运转仿真时展示的。高保真度模子的一个要紧对象应当是通过检讨低保真度模仿结果的无误性，以及检讨正在举行高保真度模仿时，低保真度模子所做的假设是否被违背，从而消浸结余危险。作一个粗略的例子，假若一个简化的模子假设80%的雷达脉冲探测到一个对象，假若只要75%的脉冲探测到一个对象，那么高保真度模子或车辆测试应当会展示毛病——纵然车辆刚巧服从高保线%的检出率是一个有结余危险的低保真度模仿。违反这一假设将使太平论证无效，纵然特定的测试场景可巧红运地避免了事情。

这种形式从根蒂上影响了模仿和测试的计划。比如，思量一个模仿，它寻求视野中的报复名望。该模仿以至极正确的分袂率安置境遇中的报复物，但仅行使粗疏的粘胶状物体模仿固定倾向的静态行人物体。正在区别的报复物安排环境下，举行数千次特别的高保真度车辆测试，相对待精细的模仿结果而言，预期将形成较低的边际验证收益，十分是当模仿运转现实的几那儿理代码时，这些代码将安放正在HAV中。这是由于正在这个例子中，报复物相对待车辆的名望并不是模仿实行后结余危险的要紧起源。要紧的结余危险环绕着行人。低保真模仿假设是假人，所以纰漏了率领大型物体的人、穿戴会首要扭曲传感器信号的衣服的人、车辆传感器的区别扭转名望等等。

同样地，任何对仿真才力的订正，都不应仅仅是力争使仿真正在每个或者的维度上都具有更高的牢靠性。比如，将道途报复的安排修模到纳米级别，而不是毫米级别，不太或者有用地行使模仿资源。相反，仿真保真度的订正应当用仿真取代所需的体系级测试(比如，为前面的简笔画示例增添外观纹理效力以及更普及的几何形态和倾向)。

这并不料味着仿真模子验证和校验应当被纰漏。相反，要害是纵然正在特定空洞级别上的一个完善验证的模子也会留下结余危险。危险的一局限是因为一个不完美的测试营谋的或者性，这等于没有全体淘汰从低保真模仿担当的危险，或者没有全体掩盖分拨给题目保真级此外区域。危险的另一局限是因为正在特定空洞级别上蓄意消除的太平思量，这对应于向上转达到下一个更高级此外危险。

所以，行使各类模仿保真度的史册深远的形式依然对HAV蓄意义。其要害之处正在于确保低保真度测试中的简化被了了地治理，并行为验证危险而减轻。

通过对区别场景的偏置测试来加快评估的形式是对结余危险形式的增补。夸大贫乏的场景是为了从测试鸠集筛选冗余的表面旅途测试，同时依然掩盖表面作为、角落环境和繁复的境遇交互效力。另一方面，因为模仿和测试安排的较低牢靠性层简化和未经检讨的假设，结余危险消浸治理了潜正在的危险题目。

表1显示了正在HAV测试和模仿安排中应当思量的结余危险的简化示例。表格顶部的结余危险方向于需求缺口(不料的场景和不料的境遇条款)。比拟之下，其他结余危险方向于正在中级秤谌上由速率/牢靠性模仿来往(比如，传感器数据质地)驱动的简化和正在最低秤谌上的潜正在计划题目(比如，子体系交互)的组合。

回首前面的报复物检测示例，这意味着更高的保真度级别(如物理车辆测试)不应当要紧合心区别的巨细和报复物的名望。相反，他们应当一心于物体和传感器上的污垢，以及其他或者无法由纯软件仿真器材执掌的方面。换句话说，车辆测试的中心不应当是再现仿真结果，而应当是寻事仿真形式的任何已知弱点。细节会有所区别。要害是全面的仿真器材都有极少需求进一步验证的限度。

对待表1所示的示例，紧闭门途测试不应当合提神外的人类驾驶员作为、退化的根蒂措施或道途危急，由于减轻这些恫吓是举行安放前道途测试的要紧原由。应当通过测试和模仿来执掌预期的作为、道途危急等。它是无法执掌的不料题目，由于依据界说，不料题目不是能够显式包罗正在测试安排中的东西。

正在执掌应当正在较初级别相宜执掌的危险时，避免给较高级此外体系测试带来担任是很紧急的。一直这个例子，紧闭流程测试不应当与平常的车辆动力学、传感器数据质地和实践器影响等大凡题目亲昵联系，由于这些题目能够通过基于软件的仿真来治理。车辆测试也不应当被用于暴力测试报复的名望和几何形态，能够用更节流本钱的格式执掌，简化的车辆和境遇模仿，只进修车辆的报复执掌代码。正在验证仿真才力时，正在紧闭的赛道上行使确切车辆举行原型测试或者是蓄意义的。但实践现实车辆仿真保真度的各个方面的测试安排，尽或者淘汰时期和本钱。

总体思念是，每一层验证的要紧中心应当是下一层遗留下来的危险，十分是正在已编削的体系上从新运转现有的模仿测试套件以确保体系依然是太平的时间。假若随机抽样不行掩盖结余的危险，那么多量的反复低保真模仿和测试结果的抽样正在最好的环境下是无用的，正在最坏的环境下会给人一种差池的太平感。