内容提要：本专题连载提出了规则手册框架和SOTIF流程之间的链接。我们确定了提供自动驾驶汽车路径规划任务的功能描述，并讨论了该方法在确认和验证上的应用。此文为该连载系列的“上”部分，从规则手册原则、规则手册和SOTIF之间的链接等方面进行具体方法的阐述。

摘要：自动驾驶汽车是一种复杂的系统，可在不确定的环境中行驶，并可能在不可预见的情况下导航。这些系统的安全性不仅需要没有故障，还需要在许多不同场景下的高性能。ISO/PAS 21448指南推荐了一种流程来确保道路车辆的预期功能安全(SOTIF)。此过程从完整描述预期功能的功能规范开始，最后验证和确认自动驾驶汽车是否符合此规范。对于路径规划，在所有潜在驾驶场景下为每辆车定义正确的控制动作顺序是棘手的。本专题连载提出了规则手册框架和SOTIF流程之间的链接。我们确定了提供自动驾驶汽车路径规划任务的功能描述，并讨论了该方法在确认和验证上的应用。

《基于规则手册的自动驾驶预期功能安全性开发》专题连载共分为“上、下”两个部分。此文为该连载系列的“上”部分，从规则手册原则、规则手册和SOTIF之间的链接等方面进行具体方法的阐述。

1.引言

尽管完全无人驾驶汽车的设计、评估和验证研究正在增加，但自动驾驶汽车行业认识到现有的方法不足以证明自动驾驶汽车的性能和安全性。具体而言，汽车功能安全的现行标准仅关注与电气和电子失效相关的危害，但不考虑功能不足造成的危害。与传统汽车不同，自动驾驶汽车负责整个动态驾驶任务，包括感知和决策。这种责任增加了安全性和功能性能的相关性。

为解决潜在功能不足而进行的方法标准化工作推动了ISO/PAS 21448指南的出版，该指南定义了预期功能的安全性(SOTIF)的概念。SOTIF被定义为“不存在由于潜在的与系统的预期功能或性能限制相关的危险行为，不存在ISO 26262中解决的故障”。推荐的SOTIF流程从功能和系统规范开始。然而，定义自动驾驶汽车系统的功能，对于城市驾驶和许多其他应用程序来说，仍然是一个悬而未决的问题，其复杂性超过了处理一些明确定义的任务（例如，机器人在工厂中按照预先定义的路径移动箱子，而不会遇到动态障碍）。事实上，汽车行业在很大程度上应用系统工程流程来定义单个组件或功能的功能。自动驾驶汽车带来了另一个层次的复杂性，这可能会影响安全性。使用一系列条件和动作，例如“如果发生中度至重度碰撞，则安全气囊应展开”，与从业者想要赋予自动驾驶汽车的人工智能不兼容。反之，验证完全机器学习的自动驾驶汽车系统具有挑战性，因为这样的系统不包含任何明确的规范。事实上，如果发生碰撞，车辆的行为将无法追溯到特定的规范，这可能是社会无法接受的。

此外，即使在高度受限的运行中，完全覆盖自动驾驶汽车城市驾驶任务的运行设计域（ODD，即车辆设计运行的域）所需的驾驶场景数量也是数不胜数。如果将场景定义为动作和场景的时间序列，那么可能场景的组合数量实际上不可能在每个场景中定义期望的行为。除了在大量场景中指定行为所需的工作之外，此方法可能会漏掉自动驾驶汽车无法满足预期行为，或预期行为仍未定义的场景或特定规范组合。除了每英里的人工干预数量之外，缺乏通用性能指标阻碍了对系统可衡量要求的定义，并导致开发过程中学习反馈循环缓慢。

定义和验证自动驾驶汽车功能规范的另一个障碍是，缺乏对不同场景下正确驾驶行为的统一定义。现有的交通法规以人类驾驶员为目标，并依赖于人类的解释。在许多国家，道路的官方规则仅针对少数特定情况（例如制动距离）定义了数量限制。大多数交通法规并不精确，并且有些相互冲突，因此要由驾驶员做出最佳判断，以确保所有道路使用者的安全。此外，不同的驾驶风格存在并导致不同的行为。规则手册框架显示了自动驾驶汽车的预定义逻辑规则的顺序，是如何选择首选轨迹。本专题连载展示了这种形式化逻辑框架在行为规范中的潜在用途。

该规范将自动驾驶汽车行为追溯到设计人员的预期功能。因此，规则手册框架解决了SOTIF流程的功能规范、验证和确认步骤。本专题连载重点介绍SAE 4级自动驾驶汽车，它可以在定义的ODD内无需人工协助即可运行。虽然我们认识到与自动驾驶汽车感知功能相关的SOTIF挑战，但本专题侧重于自动驾驶汽车的路径规划功能；主要目标是在完美信息（标称行为）的背景下指定自动驾驶汽车的期望行为，并能够评估自动驾驶汽车在多大程度上满足这种期望行为（图1）。

图1：“感知-规划-执行”范式下的规则手册，其中机器人每次移动都需要重新评估其环境。规则手册获取规划功能的理想性能。

2.相关工作和贡献

目前存在几个与自动驾驶汽车的安全和行为规范相关的框架。ISO/PAS 21448指南提供了一个流程和工作产品，来演示自动驾驶汽车系统的SOTIF，但没有描述如何定义行为本身。总结了SAE 3级和4级自动驾驶汽车系统的安全和验证的完整方法，但也没有提供行为定义的具体方法的详细信息。另一项仍在努力制定的飞行器安全分析工具和技术的综合标准，强调需要可接受的规划能力、文档、确认、验证和风险缓解，但没有提供实现这一目标的方法。

责任敏感安全(RSS)模型定义了道路使用者在涉及与其他主体发生碰撞风险的特定情况下的责任和行为。安全力场为避障提供了一种计算机制。这些方法是在没有完全恢复场景中所有变量的情况下，解决自动驾驶汽车行为规范的少数方法之一，但是它们没有提供任何解决交通法规或其他要求之间冲突的方法。

有一些方法可以在开发过程中，根据每个危险场景定义的机动列表来跟踪自动驾驶汽车的能力。这种方法的一个限制是，由此产生的能力和机动只能解决列举的危险场景，而不是自动驾驶汽车可能遇到的新情况。新加坡标准委员会的《技术参考68》承认立法中可能出现的有关冲突规则的“困境”，并建议通过规则层次结构采用最低限度的违规政策。这种方法与我们在这项工作中的建议非常吻合，但没有提供与安全指南（如SOTIF）的关系的上下文。

许多研究讨论了验证和自动驾驶汽车验证的挑战。这些方法大致涉及ISO/PAS 21448中确定的两种互补类型的方法。首先，定量方法使用随机和统计上具有代表性的暴露于公共道路上不同驾驶场景（或可能在仿真中）的证据，以对未知危险场景中的自动驾驶汽车安全性进行统计推断。这种方法带来了挑战，因为(1)需要大量驾驶才能对自动驾驶汽车的罕见事件率（如致命碰撞）获得高度信心，(2)可接受的统计安全水平的不确定性，(3)统计数据不明确自动驾驶汽车系统或其ODD变化的影响，(4)在有安全驾驶员的情况下进行测试时无法直接观测碰撞，以及(5)在21448推荐的迭代循环过程中缺乏用于快速评估安全性（即主要措施）的指标。虽然定量方法有助于安全验证，并且一些研究探索了统计方法来应对定量方法的挑战，但仅基于统计证据的安全论据可能仍然不够充分。

其次，基于场景的定性测试方法使用仿真或封闭过程中的受控测试，以证明已知场景中的高安全性能。基于场景的测试面临的挑战包括（1）难以将分阶段测试的结果推断为现实世界的安全性能，（2）对所需的场景数量缺乏共识，以及（3）缺乏通用标准评估场景中的自动驾驶汽车行为是否可接受。虽然迄今为止的研究提供了生成场景和定义适当完整性指标的方法，但没有一个提供通用方法来定义不同场景中所需的自动驾驶汽车行为。与当前的主流一致，我们认为解决SOTIF需要一种互补的方法，将统计和基于场景的测试相结合，以解决每种方法的局限性。

大量研究集中在定义并在合理的时间内找到自动驾驶汽车在特定场景下的理想轨迹，从而在碰撞不可避免的情况下，最小化碰撞行为的严重性。比如处理交叉路口和变道，每个都对应于一个解决方案，强制执行特定规则，但是，都没有提供将这些定义组合成行为管理规则的框架。相比之下，实时快速探索随机树(RRT*)等基于成本的规划算法，可以根据驾驶行为明确规则进行规划。虽然先前关于基于规则的行为的工作，侧重于实时规划，但本专题提出的方法侧重于开发期间的行为定义和事后评估。引入的规则手册提供了一个组合规则的框架。主要贡献是：

•在遵循ISO/PAS 21448流程的同时，将理论框架转换为定义自动驾驶汽车预期驾驶功能的方法。

•通过基于规则手册框架的评估工具，验证自动驾驶汽车行为是否符合安全考虑、交通法规、舒适度和当地驾驶习惯的具体方法。

•将验证从行为测试引导到更难的场景。

3.规则手册原则

许多因素会影响驾驶行为。除了安全性之外，自动驾驶汽车行为规范还应考虑交通法规、当地驾驶文化和驾驶性能（例如，舒适度、到达目的地的时间）。此外，采用可预测的驾驶方式，可以与共享道路的所有参与者建立更安全的互动。在某些驾驶场景下，这些因素并不能完全定义驾驶行为，而是将轨迹的选择留给公司甚至个人判断。对于其他驾驶场景，遵守所有规则就没有可行的轨迹，可能导致汽车停车并扰乱交通。规则手册方法考虑了所有因素，并通过保留一定程度的灵活性，来解决后一种情况（即，可能扰乱交通流）。

规则手册提供了一种正式的方法，来指定自动驾驶汽车的期望行为。规则手册包含一组源自交通法规、当地可接受的驾驶行为和自动驾驶汽车利益相关者需求的正式规则。每个规则在可能的轨迹上都有一个相关的违规度量。违反度量表示轨迹相对于规则的违反程度。规则手册提供了规则的优先级结构。一种建议的优先级结构是预定。松散地制定，这种分层优先级结构指定了规则的重要性顺序。在预先排序的集合中，两个或多个规则可能保持不可比较，这意味着我们没有指定哪个规则最重要。或者，如果有一个明确的优先级偏好，规则手册可以通过在规则手册中强制一个顺序来传达这一点，在需要的地方提供特异性。规则手册表达了自动驾驶汽车行为的一组实现和场景无关的偏好：如果它将安全置于舒适之上，那么规则手册不关心自动驾驶汽车如何满足规范，并且偏好不会突然改变，因为我们处于不同的场景中。

证明预先排序的规则集导致轨迹集的预先排序。这意味着，如果我们在规则手册中定义了一组通用规则，那么我们可以将任何一组轨迹，排列成一个反映规则手册中定义的偏好的预排序集。鉴于规则手册规范与场景无关，我们可以基于相同的规则手册，对任何场景中的候选轨迹进行排名。这不仅消除了编写特定场景行为要求的需要，而且还确保基于规则手册的自动驾驶汽车做出内部一致的决策。由于规则手册提供了轨迹的预定，一些轨迹可以保持无法比较，从而为自动驾驶汽车提供了在这些轨迹中进行选择的灵活性。

图2提供了规则手册的说明性示例。

图2：规则手册示例。它为讨论所需的驾驶行为提供了具体的基础。

请注意，进一步提供有关完善规则手册的指南。允许的细化包括优先级细化（即，澄清以前无法比较的规则之间的优先级）、规则聚合（即，折叠两个或多个同等排名的规则）和规则扩充（即，在最低优先级添加另一个规则）。这些操作可以适用于地方与联邦立法的地理细化，或者可以允许自动驾驶汽车开发人员，为交通法律或法规之外的特殊行为指定“内部规则”。

请注意，规则应该是第三方可观察的，这意味着它们独立于自动驾驶汽车的内部信息状态，例如其可见性区域。规划算法可能需要对世界的未来状态做出一些明智的预测，以最好地降低违反规则的风险，但给定的执行轨迹的违反度量应该来自对实际世界状态的观察。这使得算法实现灵活；虽然开发人员可以选择根据规则手册基于明确的预测和成本评估来告知他们的方法，但他们也可以自由选择严重依赖机器学习方法，只要结果轨迹在低违反规则手册的意义上表现良好。

4.SOTIF规则手册

本节描述了规则手册和SOTIF之间的链接，用于图3中所示的步骤。

图3：规则手册与ISO/PAS 21448活动和系统工程中的V模型的集成。彩色数字表示相关条款编号。

A.功能规范 

ISO/PAS 21448建议，与驾驶行为相关的危害的安全评估，从定义行为本身开始。规则手册通过以下方式支持此定义。

第一，规则手册提供其规则和道路规则之间的可追溯性。与人类驾驶员一样，自动驾驶汽车应遵守当地交通法规和道路规则，即使与避免碰撞没有直接关系。除了交通法规，规则手册还明确规定了调节舒适性、驾驶风格和其他利益相关者需求的规则。如框架中所述，规则手册方法将所需的行为与指定的行为对齐。单个规则编码了自动驾驶汽车应如何与道路基础设施和其他用户交互，优先级结构提供了在无法满足所有规则的情况下，预期驾驶功能的完整规范。单个规则和优先级结构的组合定义了可能轨迹之间的偏好。这涵盖了ISO/PAS第5.2段中列出的自动驾驶汽车的大部分功能描述，即预期功能的目标和描述，以及与其他道路使用者、环境条件和道路基础设施的依赖关系及相互作用。自动驾驶汽车的行为规范仅在特定的ODD中有效。这反映在规则本身中，这将根据适用的司法管辖区和当地驾驶习惯而改变。

第二，规则手册可以通过提供一种根据规则和优先级对整体车辆的驾驶性能进行评分的方法，来帮助阐明架构要求。然后，通过将子系统性能与整体驾驶性能相关联，可以得出对子系统的要求，例如定位和映射以及感知。

第三，鉴于行为规范独立于规划的实际实现，可以在实车测试之前验证规范本身的优点。这有效地将由于规范不当导致的错误，与由于实施不当导致的错误分离。在实施之前对规则手册进行验证增加了一层安全性，并缩短了开发周期。

以下段落描述了规则手册如何支持SOTIF的确认和验证。我们使用ISO/PAS 21448指南中描述的术语确认和验证：“确认活动主要针对区域2[已知不安全场景]，而验证活动主要针对区域3[未知不安全场景]，包括在未知情况下验证SOTIF用例”。

B.SOTIF的确认

规则手册对SOTIF确认的主要贡献，是能够根据已知场景中的行为规范对车辆的轨迹进行评分。实际上，如图所示，规则的优先级结构推导出潜在轨迹的排序，表明了哪一个最符合行为规范。此外，可以指定每条规则的可接受违规程度，并验证自动驾驶汽车的任何违规行为是否与规则手册的优先级结构一致。

这些场景可以来自各种来源，包括系统理论过程分析(STPA)、自适应测试、正交阵列或人类驾驶工况。

C.SOTIF的验证

规则手册对场景无关驾驶行为的定义，减少了在不可预见的场景中驾驶行为的不确定性，因为自动驾驶汽车在遇到的任何场景中，都会优先考虑层次结构中的更高规则。与基于场景特定行为规范的方法相比，这应该会在未知场景中产生更好的性能，从而增加统计验证期间的成功机会。

此外，规则手册可以帮助评估和改进自动驾驶汽车在未知场景下（即在具有统计代表性的公共道路和模拟测试期间）的统计性能。将行为分解为原子元素（规则）可以将性能不足与违反个别规则联系起来。如果自动驾驶汽车在许多不同情况下被证明无法遵循规则手册规范，开发人员可以确定最难遵循的规则。这可以帮助标记验证测试期间遇到的场景，并根据违反规则的数量和优先级确定关键程度。标记关键场景可以指导道路或虚拟驾驶活动，以更快地减少未知的不安全场景。可以将此策略和自适应压力测试中通过仿真获得的马尔可夫过程等效。

如上所述，在验证的最后阶段更改自动驾驶汽车可能会使该测试的统计推断无效。因此，后一个优势仅适用于未知场景下自动驾驶汽车的SOTIF验证的早期阶段。然而，在迭代测试期间，根据规则手册对驾驶性能的评估，可以作为一项主要措施，在最终统计验证之前提供对自动驾驶汽车的SOTIF的信心。在最后的统计验证阶段，基于规则手册的驾驶行为评估可以帮助及早发现不足之处。这不仅可以避免在公共道路上行驶很多英里，通过安全关键接管等罕见事件来发现这些不足之处，而且还可以防止与这些事件相关的风险。

在此专题连载的“下”部分，具体通过展示简化的规则手册在SOTIF流程中的应用，来说明本节中提出的概念。

更多内容，请关注“基于规则手册的自动驾驶预期功能安全性开发（下）：应用案例及结论”，关注牛喀网，学习更多汽车科技。有兴趣的朋友，可以添加牛小喀微信：NewCarRen，加入专家社群参与讨论。     

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！