内容提要：在上部分中我们已经了解了规则手册和SOTIF之间的链接等具体方法内容。在本文中我们将针对规则手册在SOTIF流程中的具体应用案例及结论进行分析。

《基于规则手册的自动驾驶预期功能安全性开发》专题连载共分为“上、下”两个部分。此文为该连载系列的“下”部分，在上部分中我们已经了解了规则手册和SOTIF之间的链接等具体方法内容。那么，在本文中我们将针对规则手册在SOTIF流程中的具体应用案例及结论进行分析。

点击阅读“基于规则手册的自动驾驶预期功能安全性开发（上）：SOTIF规则手册”。

5.应用案例

A.功能规范

为了定义一个非常简单的假设驾驶功能，我们考虑一个最小ODD，它仅由双向车道组成，每个方向都有一条车道。为了指定行为，我们选择了三个具有以下优先级降序的规则（图4）：

•R1：尊重与其他物体的间隙。我们给予这条规则最高优先级，因为打破它直接关系到与其他物体碰撞的概率。

•R2：留在车道上。自动驾驶汽车应具有可预测的行为，并尽可能保持在车道上，这也降低了与迎面而来的车辆发生碰撞的风险。

•R3：0分钟内达到目标。这个规则是不可能满足的，但有必要表达满足其他两个规则的轨迹之间的偏好（例如，偏好无延迟到达目标的轨迹与零速度轨迹）。

规则手册将违规度量与这些规则中的每一个相关联。对于R1，可以考虑与任何物体的间隙低于所需最小间隙的时间步长的分数。进一步的改进可以计算自动驾驶汽车低于所需最小间隙的量的平均值，并且可以使所需最小间隙成为对象类型，或自动驾驶汽车与对象之间的速度差的函数。类似地，R2的违规度量可以是我们在车道之外的时间步长的一部分，或者是其改进。R3可能是达到目标所需的时间步数。R3的制定意味着自动驾驶汽车必然违反规则；这并不意味着轨迹本质上是坏的，它只是有助于使违规指标清晰。更模糊的规则，例如“在最短时间达到目标”将阻碍量化违规指标，因为最短时间取决于场景，而我们的公式与场景无关。通过这三个规则，我们在这个最小ODD中完全指定了假设自动驾驶汽车的所需驾驶行为。

图4：规则手册示例，在本示例中用于评估轨迹。开发人员可能要求规则手册是一个总顺序，但它仍应与"本专题上部分图2"中显示的一般顺序一致。

定义规则公式、违规指标和优先级结构是一个迭代过程。在自动驾驶汽车上实施规则手册，或将其纳入系统工程和SOTIF流程之前，自动驾驶汽车开发人员可能想要评估规则手册是否确实指定了所需的驾驶行为。自动驾驶汽车开发人员，可以通过评估许多不同场景中的大量轨迹来做到这一点，规则手册是否确实导致了达到自动驾驶汽车高级要求（例如，安全性、合法性、可预测性、舒适性、效率）的轨迹排名。

B.SOTIF的确认

SOTIF的确认考虑了已知场景。为了说明的目的，我们在这里考虑一个非常有限的样本。图5显示了两种驾驶场景。这两种情况都涉及停在我们车道上的汽车，并假设自动驾驶汽车的目标就在停放的汽车之外。我们进一步假设存在禁止车道边界交叉的交通法（美国的双线），该法可追溯到R2。在场景1（图5(i)）中，我们的车道足够宽，可以通过停放的汽车，同时遵守所需的间隙。相反，在场景2（图5(ii)）中，车道太窄。要通过停放的汽车，自动驾驶汽车必须要么越过车道分隔线，要么不满足许可规则。

我们在两种情况下评估三个轨迹：在轨迹(a)中，自车在到达右侧停放的汽车之前直行、减速和停止。在轨迹（b）中，自车继续直线行驶，在两种情况下都没有遵守几个时间步长的间隙规则。在轨迹（c）中，自车偏向左侧，在两种情况下都遵守与停放车辆的间隙规则。但是，这种行为会导致在场景2中越过车道边界。

图5：两个相似的驾驶场景，绿色显示自车，灰色和路线显示停在我们车道上的汽车。停放的汽车周围的灰色框显示了我们需要避开以保持间隙的区域。交通法禁止穿越车道边界。在这两种情况下，顶部的黑色十字架都是目标。两种情况之间的唯一区别是车道宽度。

规则手册使用字典比较来确定哪个轨迹最好，方法是按照规则手册的优先级结构。在场景1中，(b)违反了R1，而(a)和(c)没有，因此(b)是最不优选的轨迹。(a)和(c)都尊重R2，但(a)比(c)违反R3的量更大。因此，场景1中的轨迹排名为c>a>b。请注意，违反规则本身并不是拒绝的理由，因为所有轨迹都违反了R3。

对场景2使用相同的过程；(b)仍然违反R1，而(a)和(c)没有，消除(b)。(c)现在违反R2而(a)没有。因此，场景2中的轨迹排名是a>c>b。最佳轨迹(a)无限期停止，这是图4中指定行为的逻辑结果。如果这实际上不是我们想要的行为，那么我们将需要改进规则优先级结构或违规指标。例如，所需的最小间隙可以是自我车辆速度的函数，而不是一个常数。这可以允许以低速通过停放的汽车。此步骤对应于ISO/PAS 21448中的第8条，其中修改了功能定义以降低SOTIF风险，或者在此处提高利益相关者的满意度，以在不牺牲SOTIF的情况下达到目标。

这个简化的例子表明了拥有一个通用框架的力量。只有三个规则，自车的名义行为在两种情况下是合法的，从几何角度来看，这两种情况可能看起来相似，但实际上会引发两种不同的驾驶行为。我们可以构建轨迹的排名，而不必手动指定大量条件，例如“如果车道不够宽，则停止”。相反，所需的通过或停止行为是分层规则交叉的直接结果。

由于实施不完善，规则手册的实际实施（即通过在规划中直接实施和/或从行为规范派生的系统要求）可能不会完全遵循最高等级的轨迹。但是，规则手册框架提供了一种对仿真或道路车辆行为进行评分的方法。由于较高的规则更为关键，因此自动驾驶汽车轨迹的通过标准，可能是它不违反R1或R2。如果自动驾驶汽车在验证测试中的轨迹，在两种情况下都类似于(b)，那么自动驾驶汽车将无法通过行为评估。这可能会促使架构或系统组件的适当更改，以提高未来迭代的性能。

C.SOTIF的验证

车辆在驾驶行为方面的性能，可以作为在不可预见的情况下，表现出正确行为的概率的指标。既然行为是可解释的，并且可以追溯到原子元素，我们就可以识别不安全的场景。

例如，如果自车在涉及许可规则的仿真测试中，表现出更高的违规分数，那么工程师就会知道，对于自动驾驶汽车，这条特定规则比其他规则更难遵守。因此，我们可以假设未来涉及违反此规则的场景，对于自动驾驶汽车来说更加困难，我们可以专注于它们，以更快地评估和提高自动驾驶汽车的安全性。我们还可以将许可的困难追溯到系统的特定组件，例如映射和定位子系统的性能限制。

如本专题连载的“上部分第4-C小节”所述，还可以使用规则手册框架来快速评估SOTIF。例如，与自动驾驶汽车危险地靠近其他物体的实际安全关键接管事件相比，频繁违反R1可能会出现得更早。相反，在公共道路测试期间（或在自动驾驶汽车暴露于仿真中的新场景期间）出现的先前未知场景中观察到R1和R2的一致满意度，提供了自动驾驶汽车的驾驶行为的置信度，证明可以进行统计安全验证的里程积累的努力。

6.讨论和结论

本专题展示了自动驾驶汽车开发人员，如何将规则手册框架作为其SOTIF流程的一部分。规则手册通过规则的精确定义，及规则之间的优先级结构来指定驾驶行为。规则手册提供的轨迹违规指标可以指导确认过程，并有助于识别特定的不安全场景，以加快车辆驾驶行为确认。

本专题介绍的规则手册方法不仅与场景无关，而且与实现无关。事实上，我们希望在驾驶规则中指定优先级，可以帮助促进关于指导自动驾驶汽车的原则的对话，无论具体公司做出哪种车辆平台或算法选择。尽管规则手册行为规范是无需实现的，但人们始终可以将与特定设计相关的限制合并到规则手册的实用版本中。例如，如果车辆没有良好的识别或预测能力，实用版本将无法让车辆开得那么快。此外，规则手册方法不强制要求任何特定算法。只要结果行为遵守其层次结构中的规则，任何用于对象检测、行为预测或运动规划的解决方案都是可能的。

这种方法的主要限制是达到可接受的规则集，以及优先级结构所需的时间和资源。道路测试和仿真可能会促使重新考虑规则或其层次结构，这与系统需求编写活动没有什么不同。但是，在开发阶段解决这些问题，可能会通过在自动驾驶汽车的设计阶段建立良好的行为来节省时间。

尽管仅使用此方法不足以证明安全性，但我们认为它为实现ISO/PAS 21448的建议提供了重要而具体的步骤。该方法不需要对ODD中可能出现的每个场景进行单独的行为定义。该框架进一步提供了自动驾驶汽车驾驶行为的透明度、可追溯性和可解释性。

未来的工作可能会探索如何最好地吸引自动驾驶所有利益相关者的兴趣，包括其他道路使用者、政策制定者、当地社区和自动驾驶行业。规则手册将自动驾驶汽车行为定义的负担，从开发团队中解放出来，并为希望自动驾驶汽车如何运行的更广泛讨论打开了社会大门，欢迎加入牛喀网讨论，添加牛小喀微信：NewCarRen。    

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！