【好文推荐】基于关键场景的预期功能安全双闭环测试验证方法

一、研究背景

1. 预期功能安全测试验证框架

（2）SOTIF 测试验证要求分析：测试验证贯穿从定义到确认的完整研发流程，是保障道路运行安全的必要环节。基于关键场景的执行载体、分层次的多支柱技术手段以及数据驱动的可循论证是SOTIF 测试验证的要点。

（2）SOTIF 触发条件提取: 触发条件本质上是对场景要素和系统危害行为进行因果推断，可以通过归纳方法从研发或运行过程采集的大量数据中识别归纳触发条件，或通过演绎方法，从系统功能属性出发推演危害行为并获取触发条件。

3. SOTIF接受准则：

（1）危害行为接受准则：危害行为通过整车或系统的状态情况指明了相关功能响应的不恰当或不充分。封闭验证重点确认被测系统在有限测试用例的危害行为接受情况。以人类驾驶员为基线的危害行为接受准则要求，对于选定的场景范围，被测系统应通过所有人类驾驶员能够通过的用例；且对于人类驾驶员未能通过的用例，被测系统应造成不高于人类驾驶员的危害结果。

（2）残余风险接受准则：SOTIF测试验证的最终论证目标是系统残余风险的期望能够被接受。以人类驾驶员为基线的危害行为接受准则要求被测系统的实际运行造成不高于人类驾驶员的平均累积危害率。特别地，残余风险的置信度与折算的运行里程呈正相关，即所测试验证的有效运行里程越长，残余风险置信度越高。一般地，论证可信的等价连续运行里程应在百万公里及以上。

三、结论与展望

（3）持续推进运行数据采集，完善统计论证的理论方法：持续推进有效、多样的交通场景数据采集，支撑包括高保真环境模型构建、基于人类驾驶员的接受准则设定等关键环节；建立广泛、持续的数据共享机制，构建具有理论基础的SOTIF数据驱动论证方案；完善场景暴露度和接受准则的概率统计方法，基于业界和政府一致共识形成兼具理论充分性和工程可行性的SOTIF接受准线。