一篇關(guān)于自動(dòng)駕駛測(cè)試的文獻(xiàn)翻譯。

摘要

一般來(lái)說(shuō)軟件測(cè)試常常只是尋找bug，而不是通過(guò)精密的實(shí)驗(yàn)來(lái)保證產(chǎn)品質(zhì)量。一個(gè)相比簡(jiǎn)單的系統(tǒng)級(jí)的測(cè)試，即測(cè)試—失敗—補(bǔ)?。ǜ倪M(jìn)）—測(cè)試更好的方法已經(jīng)開(kāi)始大規(guī)模部署在無(wú)人駕駛汽車(chē)上。ISO26262的v模型建立了一個(gè)框架，該框架將每種類(lèi)型的測(cè)試與相應(yīng)的設(shè)計(jì)或需求文檔聯(lián)系起來(lái)，但該模式在處理自動(dòng)駕駛汽車(chē)面臨的各種新測(cè)試問(wèn)題時(shí)會(huì)遇到挑戰(zhàn)。本文根據(jù)自主車(chē)輛的V模型確定了測(cè)試中的五個(gè)主要挑戰(zhàn)領(lǐng)域:駕駛員不在環(huán)、復(fù)雜需求、非確定性算法、歸納學(xué)習(xí)算法和故障操作系統(tǒng)。

有希望在這些不同的挑戰(zhàn)領(lǐng)域中實(shí)現(xiàn)的通用解決方案包括:使用逐步減少約束的操作場(chǎng)景進(jìn)行分階段部署，使用觀測(cè)器/執(zhí)行器架構(gòu)把復(fù)雜的自動(dòng)駕駛功能從相對(duì)簡(jiǎn)單的安全功能分離出來(lái)，采用故障注入來(lái)執(zhí)行更多的的邊緣案例測(cè)試。盡管為高等級(jí)的自動(dòng)駕駛算法提供安全認(rèn)證安全仍然存在重大的挑戰(zhàn)，但似乎可以采用現(xiàn)有的軟件安全方法來(lái)構(gòu)建系統(tǒng)和與其相對(duì)應(yīng)的設(shè)計(jì)過(guò)程。

引言

最近自動(dòng)駕駛汽車(chē)成為一個(gè)熱門(mén)話題，不過(guò)實(shí)際上它們背后的技術(shù)已經(jīng)發(fā)展了幾十年了，最早可追溯到自動(dòng)化公路系統(tǒng)項(xiàng)目。從這些早期的示范算起，自動(dòng)駕駛技術(shù)已經(jīng)發(fā)展了成熟的駕駛員輔助系統(tǒng)(ADAS)。像自動(dòng)車(chē)道保持和智能巡航控制也已經(jīng)是許多車(chē)輛的標(biāo)準(zhǔn)了。除此之外，現(xiàn)在還有許多處于不同的發(fā)展階段的不同級(jí)別的自動(dòng)駕駛車(chē)輛項(xiàng)目。

如果有人相信所謂專(zhuān)家的話，那么無(wú)人駕駛汽車(chē)好像呼之欲出。但事實(shí)上，搞傳統(tǒng)汽車(chē)行業(yè)的都知道，在擁有專(zhuān)業(yè)的安全駕駛?cè)藛T的情況下，制造幾輛車(chē)以在合理且有利的條件下運(yùn)行，與在不受約束的世界里運(yùn)行數(shù)百萬(wàn)輛車(chē)之間，有著巨大的鴻溝。

有人會(huì)說(shuō)，（自動(dòng)駕駛汽車(chē)）成功的示范和幾千公里(甚至幾十萬(wàn)公里)的成功駕駛里程意味著自動(dòng)駕駛技術(shù)基本上已經(jīng)做好全面部署的準(zhǔn)備。但是，很難僅僅從這樣的測(cè)試就能得出這足以確保安全性的結(jié)論。實(shí)際上，至少有一些開(kāi)發(fā)人員已經(jīng)在做更多相關(guān)的測(cè)試工作，但問(wèn)題是還需要做多少工作，以及我們?nèi)绾尾拍苤垃F(xiàn)在的車(chē)輛已經(jīng)足夠安全到可以上路了呢？

在本文中，我們將探討一些正在等待開(kāi)發(fā)人員解決的挑戰(zhàn)，這些開(kāi)發(fā)人員正試圖開(kāi)發(fā)完全自主的L4級(jí)別車(chē)輛并進(jìn)行大規(guī)模部署。因此，我們跳過(guò)了過(guò)去可能采用的半自動(dòng)化方法，即在這種情形下，司機(jī)根本不用負(fù)責(zé)操作車(chē)輛。對(duì)研究對(duì)象我們進(jìn)行了進(jìn)一步限制了范圍，只考慮在ISO26262v框架內(nèi)設(shè)計(jì)和驗(yàn)證的車(chē)輛。采取這種限制的原因是這是一種可接受的確保安全的框架。

完全基于計(jì)算機(jī)的系統(tǒng)應(yīng)該是不安全的，這是一個(gè)可以確認(rèn)的，除非你有令人信服的相反論點(diǎn)來(lái)論證?？傊詣?dòng)駕駛汽車(chē)不能被認(rèn)為是安全的，除非它們能被顯示符合或可以被映射到ISO26262或其他一些合適的、被廣泛接受的軟件安全標(biāo)準(zhǔn)。

完全測(cè)試的不可行性

人們?cè)缇椭啦豢赡軓氐椎販y(cè)試系統(tǒng)以確保系統(tǒng)的可靠性（冗余）。例如，假設(shè)有一個(gè)100萬(wàn)輛汽車(chē)的車(chē)隊(duì)每天運(yùn)行一個(gè)小時(shí)。如果安全目標(biāo)是這個(gè)車(chē)隊(duì)每1000天發(fā)生一次災(zāi)難性的計(jì)算故障，即每次發(fā)生災(zāi)難性故障之間的平均時(shí)間應(yīng)該為10億小時(shí)，這與飛機(jī)的允許故障率相當(dāng)。

為了驗(yàn)證發(fā)生災(zāi)難性事故的頻率，最少得進(jìn)行長(zhǎng)達(dá)十億小時(shí)的測(cè)試，更有甚者也可能是幾倍的時(shí)間，重復(fù)多次測(cè)試可以達(dá)到統(tǒng)計(jì)學(xué)意義。但即使這樣，這也是假定測(cè)試環(huán)境是基于真實(shí)世界部署的，具有高度代表性的并且導(dǎo)致錯(cuò)誤的環(huán)境部署以隨機(jī)的、獨(dú)立的方式出現(xiàn)。

但是，建造一個(gè)足夠大的、能夠在具有代表性的測(cè)試環(huán)境中運(yùn)行數(shù)十億小時(shí)而又不會(huì)危及公眾的車(chē)隊(duì)是不切實(shí)際的。因此，我們需要替代的驗(yàn)證方法，可能包括模擬仿真、故障注入、面向不斷增加的車(chē)隊(duì)規(guī)模的自適應(yīng)、在非極端工況中獲得組件的實(shí)際工作狀況以及人工評(píng)審等方法。（組件級(jí)的測(cè)試也發(fā)揮了作用，但是為物理硬件設(shè)備積累十億小時(shí)的部署前測(cè)試仍然是不切實(shí)際的)

考慮到自主系統(tǒng)的測(cè)試比日常軟件系統(tǒng)的測(cè)試更困難，這會(huì)讓事情會(huì)變得更糟。

對(duì)于相對(duì)非關(guān)鍵的計(jì)算系統(tǒng)來(lái)說(shuō)，可以將測(cè)試作為確認(rèn)其安全級(jí)別的主要依據(jù)。這是因?yàn)榈蛧?yán)重程度和低暴露性的故障相比災(zāi)難性故障更容易發(fā)生。例如，如果每1000小時(shí)發(fā)生一次特定類(lèi)型的故障是可以接受的(因?yàn)檫@種故障會(huì)導(dǎo)致最低成本的事故或輕微的中斷)，那么通過(guò)數(shù)千小時(shí)的測(cè)試，就可以可靠地驗(yàn)證該故障的故障率。這并不是說(shuō)對(duì)這些系統(tǒng)而言，所有的（必要）保證軟件質(zhì)量的步驟可以放著不管了，而是一個(gè)合適的測(cè)試和故障監(jiān)控策略可能能夠驗(yàn)證一個(gè)事實(shí)，即如果平均故障間隔時(shí)間要求相對(duì)寬松的話，一個(gè)質(zhì)量合適的組件確實(shí)已經(jīng)被確認(rèn)為擁有一個(gè)可以接受的低故障率。

作為起點(diǎn)的V模型

因?yàn)橄到y(tǒng)級(jí)測(cè)試不能完成上述工作，我們需要更多相關(guān)測(cè)試，這正是創(chuàng)建更健壯的安全軟件的開(kāi)發(fā)框架的意義所在。V軟件開(kāi)發(fā)模型長(zhǎng)期以來(lái)一直適用于汽車(chē)。它是20多年前納入MISRA指導(dǎo)方針的發(fā)展參考模型之一。最近，它被推廣為構(gòu)成ISO26262基礎(chǔ)的參考模型。

通常，V模型表示一個(gè)有條理的創(chuàng)建過(guò)程和驗(yàn)證過(guò)程。V的左側(cè)包括從需求到設(shè)計(jì)再到實(shí)現(xiàn)的過(guò)程。在每個(gè)步驟中，系統(tǒng)被劃分為并行處理的典型的子系統(tǒng)（例如，有一組系統(tǒng)需求，但是每個(gè)子系統(tǒng)都有單獨(dú)的設(shè)計(jì))。V的右側(cè)迭代地驗(yàn)證和驗(yàn)證越來(lái)越大的系統(tǒng)，它是從小的組件過(guò)渡到到系統(tǒng)級(jí)的評(píng)估的一個(gè)過(guò)程。雖然ISO2626262對(duì)這個(gè)模型進(jìn)行了詳細(xì)的闡述，但是我們這里保留一些通用的框架，以方便討論拓展。

盡管ISO 26262和它的V框架已經(jīng)明朗了在確保汽車(chē)安全方面的公認(rèn)做法，但在將全自動(dòng)車(chē)輛的技術(shù)映射到V方法這方面依然有很多挑戰(zhàn)。

駕駛員不在環(huán)

在全自動(dòng)駕駛汽車(chē)中，最明顯的挑戰(zhàn)可能就是司機(jī)不再真正駕駛汽車(chē)。這意味著，根據(jù)定義，不能再指望司機(jī)在運(yùn)行過(guò)程中為車(chē)輛提供控制輸入。

可控性挑戰(zhàn)

對(duì)于低完整性設(shè)備來(lái)說(shuō)，典型的汽車(chē)安全可能取決于駕駛員的控制能力。例如，在一個(gè)高級(jí)驅(qū)動(dòng)輔助系統(tǒng)(ADAS)中，如果一個(gè)軟件故障導(dǎo)致一個(gè)潛在的危險(xiǎn)情況，司機(jī)可能會(huì)被期望越過(guò)軟件功能直接將車(chē)輛恢復(fù)到安全狀態(tài)。司機(jī)有時(shí)候也被希望能把汽車(chē)從嚴(yán)重的機(jī)械故障中恢復(fù)過(guò)來(lái)，比如輪胎爆裂等問(wèn)題。換句話說(shuō)，在人類(lèi)駕駛的汽車(chē)中，司機(jī)會(huì)負(fù)責(zé)采取正確的糾正措施。但在現(xiàn)在這種情況下，司機(jī)沒(méi)有能力采取糾正措施，也就是說(shuō)車(chē)輛缺乏可控性，因此必須設(shè)計(jì)更高的汽車(chē)安全完整性水平，或汽車(chē)安全完整性等級(jí)。

一款完全自動(dòng)化駕駛的汽車(chē)不指望司機(jī)處理特殊情況。當(dāng)故障發(fā)生時(shí)和出現(xiàn)超出指定的操作條件能處理的情況時(shí)，計(jì)算機(jī)系統(tǒng)必須被指定為故障的處理者。與ADAS系統(tǒng)相比，讓計(jì)算機(jī)負(fù)責(zé)異常處理會(huì)顯著增加自動(dòng)化的復(fù)雜性。組合的ADAS系統(tǒng)技術(shù)如車(chē)道保持和智能巡航控制，似乎非常接近全自動(dòng)操作，然而，完全自動(dòng)駕駛的車(chē)輛必須處理所有可能出現(xiàn)的問(wèn)題，它具有更高的復(fù)雜性。因?yàn)?，現(xiàn)在確實(shí)已經(jīng)沒(méi)有接管方向盤(pán)和踩剎車(chē)的司機(jī)了。

自主架構(gòu)方法

在ISO2626262環(huán)境下的自主體系結(jié)構(gòu)方法中，讓計(jì)算機(jī)負(fù)責(zé)管理需要以下兩種評(píng)估風(fēng)險(xiǎn)的策略之一。

一種策略是將風(fēng)險(xiǎn)評(píng)估的可控性部分設(shè)置為C3，即難以控制或無(wú)法控制。如果嚴(yán)重程度和暴露度很低，這可能是一個(gè)可行的選擇。但是，在嚴(yán)重程度中等或高的情況下，系統(tǒng)必須設(shè)計(jì)成更高的汽車(chē)安全完整性水平(汽車(chē)安全完整性等級(jí))。(有人可能會(huì)認(rèn)為應(yīng)該有更高的可控性分類(lèi)C4，因?yàn)樽詣?dòng)化系統(tǒng)有可能采取主動(dòng)的危險(xiǎn)行動(dòng)，而不是簡(jiǎn)單地不能提供安全功能。)但我們假設(shè)現(xiàn)有的C3就足夠了。

另一種處理潛在的汽車(chē)高安全完整性等級(jí)自主功能的方法是使用分解，具體方法要接著觀測(cè)器/執(zhí)行器架構(gòu)和冗余的組合。觀測(cè)/執(zhí)行器架構(gòu)是指主要功能為：一個(gè)模塊(執(zhí)行器)負(fù)責(zé)執(zhí)行，而另一個(gè)模塊(監(jiān)視器)執(zhí)行驗(yàn)收測(cè)試或其他行為驗(yàn)證。如果執(zhí)行器行為不當(dāng)，觀測(cè)器會(huì)關(guān)閉整個(gè)功能(兩個(gè)模塊)，從而形成一個(gè)故障靜默系統(tǒng)。

如果觀測(cè)器/執(zhí)行器對(duì)(圖2)設(shè)計(jì)正確，那么只要觀測(cè)器有足夠高的汽車(chē)安全完整性等級(jí)并檢測(cè)所有可能的故障，執(zhí)行器就可以設(shè)計(jì)成低汽車(chē)安全完整性等級(jí)。(還要求檢測(cè)觀測(cè)器中的潛在故障，以避免損壞的觀測(cè)器未能檢測(cè)到驅(qū)動(dòng)器故障的問(wèn)題。)如果可以使觀測(cè)器比執(zhí)行器簡(jiǎn)單得多，則可以減少觀測(cè)器的規(guī)模，并允許將大部分復(fù)雜功能放置到較低的汽車(chē)安全完整性等級(jí)執(zhí)行器中，這種體系結(jié)構(gòu)模式是相當(dāng)有利。

觀測(cè)器/執(zhí)行器對(duì)的優(yōu)點(diǎn)和缺點(diǎn)都是它創(chuàng)建了一個(gè)故障靜默構(gòu)建塊(如果有錯(cuò)誤，它就會(huì)關(guān)閉)。異構(gòu)冗余的使用，即觀測(cè)器和執(zhí)行器的使用是為了防止由于執(zhí)行器故障而發(fā)出危險(xiǎn)的命令。
至少，提供故障操作行為需要更多的冗余(即多個(gè)觀測(cè)/執(zhí)行器對(duì))，并且需要滿(mǎn)足多樣性，從而使同一模式的軟件設(shè)計(jì)故障不會(huì)造成整個(gè)系統(tǒng)故障。這對(duì)于避免出現(xiàn)Arianne5航班501的丟失這樣的情況是很重要的，這是由于主系統(tǒng)和備份系統(tǒng)都出現(xiàn)了相同的未處理異常操作條件而導(dǎo)致的故障。

應(yīng)該指出的是，因?yàn)槔鐚?shí)現(xiàn)不同的組件時(shí)有脆弱性等問(wèn)題，實(shí)現(xiàn)多樣性并不一定是簡(jiǎn)單的，對(duì)于非自主軟件也是如此。還需要注意的是，故障/執(zhí)行器對(duì)的故障沉默需求是基于故障獨(dú)立性的假設(shè)。
一個(gè)關(guān)鍵的點(diǎn)是無(wú)論采用什么方法，總需要有一種方法來(lái)檢測(cè)當(dāng)自主功能不正常工作的狀態(tài)(無(wú)論是由于硬件故障、軟件故障，還是需求缺陷)，并以某種方式把系統(tǒng)轉(zhuǎn)移到一個(gè)安全的狀態(tài)。

復(fù)雜的需求

V開(kāi)發(fā)模型的一個(gè)基本特征是，V的右側(cè)提供了一種可追溯的方式來(lái)檢查左側(cè)的結(jié)果(驗(yàn)證和驗(yàn)證)。但是，這種檢查的概念是基于一個(gè)假設(shè)，即需求實(shí)際上是已知的，正確的、完整的、明確指定的。這種假設(shè)給自動(dòng)駕駛汽車(chē)帶來(lái)了挑戰(zhàn)。

需求挑戰(zhàn)

如前所述，從控制系統(tǒng)中去掉司機(jī)意味著軟件必須能處理異常，包括天氣、環(huán)境危害和設(shè)備故障。會(huì)有很多不同類(lèi)型的故障，從惡劣天氣(洪水、霧、雪、煙，龍卷風(fēng))，違反交通規(guī)則(錯(cuò)誤的方向公路上一個(gè)汽車(chē)，其他司機(jī)闖紅燈，被偷走的交通標(biāo)志),到當(dāng)?shù)伛{駛約定（靠左行駛），動(dòng)物危害(蝗災(zāi)、鹿、犰狳)。

任何一個(gè)開(kāi)了足夠長(zhǎng)時(shí)間車(chē)的人，都會(huì)有自己的故事，他們會(huì)講述他們?cè)诼飞峡吹竭^(guò)的怪異事件。總的來(lái)說(shuō)，車(chē)輛數(shù)目多的話很可能會(huì)經(jīng)歷所有這類(lèi)事件，甚至更多。更糟糕的是，惡性事件和駕駛條件的組合可能會(huì)出現(xiàn)，而在經(jīng)典的書(shū)面需求規(guī)范中，這些組合實(shí)在是太多了。如果這些組合的結(jié)果可能是無(wú)害的，那么可能不需要涵蓋所有這種極其罕見(jiàn)的組合，但是需求應(yīng)該清楚地知道什么是系統(tǒng)設(shè)計(jì)范圍內(nèi)的要處理的故障，什么不是。因此，以列舉所有系統(tǒng)需求的文檔為起點(diǎn)的經(jīng)典V進(jìn)程似乎不太可能以狹義的方式擴(kuò)展到自動(dòng)車(chē)輛異常處理系統(tǒng)上，至少在不久的將來(lái)會(huì)一直是這樣。

操作概念的方法

管理需求的復(fù)雜性的一種方法是約束操作概念并進(jìn)行需求的分階段擴(kuò)展。這已經(jīng)由開(kāi)發(fā)人員完成了，他們可能會(huì)在特定的地理區(qū)域集中進(jìn)行道路測(cè)試（例如，僅在硅谷的高速公路上進(jìn)行白天的駕駛，因?yàn)槟抢锏慕邓邢蓿鞖夂?。采用約束概念的想法可以從多個(gè)維度擴(kuò)展

典型的可以利用限制操作概念軸（維度）包括:

道路可達(dá):限制到達(dá)的高速公路，共乘車(chē)道，農(nóng)村道路、郊區(qū)，封閉校園，城市街道，等。
可見(jiàn)性:白天，晚上，霧，霾、吸煙，雨，雪
車(chē)載環(huán)境:在一個(gè)封閉的車(chē)庫(kù)內(nèi)沒(méi)有其他車(chē)輛移動(dòng)，僅允許自動(dòng)駕駛的車(chē)道，非自動(dòng)駕駛車(chē)輛上的標(biāo)記應(yīng)答器等。
外部環(huán)境:基礎(chǔ)設(shè)施的支持，預(yù)先規(guī)劃的道路，由人駕駛的汽車(chē)
速度:較低的速度可能產(chǎn)生更小的故障后果和更大的恢復(fù)空間
雖然上述自由度仍然有很多組合(當(dāng)然還有更多的組合是不可想象的)，但是從可能的操作概念中進(jìn)行選擇的目的不是增加復(fù)雜性，而是減少?gòu)?fù)雜性。減少需求的復(fù)雜性可以通過(guò)在特定的情況下應(yīng)用自主系統(tǒng)來(lái)實(shí)現(xiàn)，在這些情況下的需求應(yīng)該是完全被理解的(并確保對(duì)這些有效的操作條件的識(shí)別是正確的)

因此，限制操作概念成為一種引導(dǎo)策略，用于在逐漸復(fù)雜的操作中部署更復(fù)雜的技術(shù)能力。一旦確定對(duì)某一特定業(yè)務(wù)概念的需求有了充分的了解，就會(huì)有更多類(lèi)似的需求。隨著時(shí)間的推移，可以添加操作概念來(lái)擴(kuò)展允許的自動(dòng)化場(chǎng)景的范圍。但這并不能完全消除復(fù)雜需求的問(wèn)題，但是它可以幫助減輕組合爆炸的需求和例外情況。

安全需求和約束條件

即使使用了受限的操作概念，使用傳統(tǒng)的與安全相關(guān)的需求方法似乎也是不切實(shí)際的。這種方法或多或少是按以下這種方式進(jìn)行的：首先創(chuàng)建功能需求。在執(zhí)行了一些風(fēng)險(xiǎn)評(píng)估過(guò)程后，對(duì)安全性相關(guān)的需求進(jìn)行評(píng)注(annotation)。將這些與安全相關(guān)的需求分配給安全關(guān)鍵子系統(tǒng)。設(shè)計(jì)安全關(guān)鍵子系統(tǒng)以滿(mǎn)足分配的需求。最后，通過(guò)重復(fù)循環(huán)來(lái)找到并減少不在預(yù)期內(nèi)的緊急子系統(tǒng)表現(xiàn)。

對(duì)安全關(guān)鍵需求進(jìn)行評(píng)注對(duì)于自主應(yīng)用程序來(lái)說(shuō)可能不切實(shí)際，這里至少有兩個(gè)原因。

一個(gè)原因是，許多需求可能只與部分安全相關(guān)，并且與功能性能密不可分。例如，當(dāng)汽車(chē)行駛時(shí)，使用停車(chē)制動(dòng)的許多條件可能是一組初始(基礎(chǔ))需求。然而這些需求的某些方面實(shí)際上是安全的關(guān)鍵，而這些方面在很大程度上是受其他交互功能的緊急影響?？紤]停車(chē)制動(dòng)的情況，停車(chē)制動(dòng)很可能被許多功能需求所描述。但是讓我們來(lái)簡(jiǎn)化問(wèn)題，在減速模式中唯一安全的關(guān)鍵操作可能是在其他需求的緊急交互下必須避免在減速過(guò)程中鎖住車(chē)輪。

用于識(shí)別安全相關(guān)需求的需求注釋可能失敗的第二個(gè)原因是，在使用機(jī)器學(xué)習(xí)技術(shù)時(shí)是不可能進(jìn)行評(píng)注的。這是因?yàn)樾枨蟛捎昧艘唤M訓(xùn)練數(shù)據(jù)的形式，這些數(shù)據(jù)列舉了一組輸入值和正確的系統(tǒng)輸出。這些通常不是傳統(tǒng)需求的形式，因此需要對(duì)需求管理和驗(yàn)證采用不同的方法。

與其試圖在安全性和非安全性子系統(tǒng)之間分配功能需求，不如創(chuàng)建一組嚴(yán)格與安全性相關(guān)的獨(dú)立的、并行的需求集。這些需求的形式往往是約束條件，它們指定了安全所需的系統(tǒng)狀態(tài)。這種方法可以解決性能和優(yōu)化問(wèn)題(最短路徑是什么?或者最優(yōu)燃料消耗的速度是多少?)從安全的角度來(lái)看(我們會(huì)撞上什么東西嗎?)

使用這種方法可以將需求集劃分為V模型的兩個(gè)部分。第一組的需求將是一組非安全相關(guān)的功能需求，這可能是傳統(tǒng)的格式或一種非傳統(tǒng)的格式如機(jī)器學(xué)習(xí)訓(xùn)練集。

第二組需求將是一組純粹的安全需求，它們完全明確地定義了安全對(duì)于系統(tǒng)的意義，相對(duì)獨(dú)立于最優(yōu)系統(tǒng)行為的細(xì)節(jié)。這種需求可以采取安全操作信封的形式，適用于不同的操作模式，系統(tǒng)可以自由地在操作信封內(nèi)優(yōu)化其性能。顯然，這樣的信封至少可以在某些情況下使用(例如，執(zhí)行速度限制或設(shè)置最小的跟隨距離。這個(gè)概念是相當(dāng)籠統(tǒng)的，但也說(shuō)明這可能是未來(lái)的工作。

采用一組與功能需求正交的安全需求的一個(gè)令人信服的理由是，這種方法可以清晰地映射到觀測(cè)/執(zhí)行器體系結(jié)構(gòu)上。功能需求可以分配給低汽車(chē)安全完整性等級(jí)執(zhí)行器功能塊，而安全需求可以分配給高汽車(chē)安全完整性等級(jí)監(jiān)視器。這個(gè)想法作為監(jiān)視器/執(zhí)行器設(shè)計(jì)模式的一部分已經(jīng)被非正式地使用多年了。我們建議將這種方法提升為一種主要的策略，用于設(shè)計(jì)自動(dòng)車(chē)輛的設(shè)計(jì)、需求和安全案例，而不是降級(jí)為一種詳細(xì)的實(shí)現(xiàn)冗余策略。

非確定性和統(tǒng)計(jì)算法

自動(dòng)駕駛車(chē)輛使用的一些技術(shù)本質(zhì)上是統(tǒng)計(jì)的。一般來(lái)說(shuō)，它們往往是不確定的(不可重復(fù)的)，并且可能只在一個(gè)概率可以被分配的情況下給出基于概率正確的答案。驗(yàn)證這樣的系統(tǒng)會(huì)帶來(lái)一些挑戰(zhàn)，這些挑戰(zhàn)通常不會(huì)出現(xiàn)在更確定的、傳統(tǒng)的汽車(chē)控制系統(tǒng)中

隨機(jī)系統(tǒng)的挑戰(zhàn)

隨機(jī)系統(tǒng)非確定性計(jì)算的挑戰(zhàn)包括一些算法，如規(guī)劃算法，它們可能通過(guò)對(duì)許多隨機(jī)選擇的候選者的結(jié)果進(jìn)行排名來(lái)工作。由于該算法的核心操作是基于隨機(jī)生成，因此很難進(jìn)行復(fù)制。雖然在單元測(cè)試中使用可重復(fù)的偽隨機(jī)數(shù)流等技術(shù)可能有幫助，但是在集成系統(tǒng)中創(chuàng)建完全確定的行為可能是不現(xiàn)實(shí)的，尤其是當(dāng)初始條件的微小變化導(dǎo)致系統(tǒng)行為的發(fā)散狀態(tài)時(shí)。這意味著，盡管?chē)L試使用名義上相同的測(cè)試用例，但每一輛車(chē)測(cè)試都可能導(dǎo)致不同的結(jié)果。

成功的感知算法也往往是概率的。例如，證據(jù)網(wǎng)格框架(evidence grid framework)將來(lái)自單個(gè)、不確定的傳感器讀數(shù)的擴(kuò)散累積，使得機(jī)器人對(duì)周?chē)h(huán)境越來(lái)越能建立一個(gè)更加詳細(xì)的地圖。這種方法產(chǎn)生一個(gè)對(duì)象存在的可能性，但是時(shí)候不能完全保證的。此外，這些算法基于先前的傳感器物理模型(如多路徑返回)和噪聲模型本身就是概率性的，對(duì)環(huán)境條件的微小變化敏感。

除了對(duì)環(huán)境的幾何建模之外，其他算法還從感知到的數(shù)據(jù)中提取標(biāo)簽。其中突出的例子包括行人檢測(cè)。這樣的系統(tǒng)即使在無(wú)噪聲數(shù)據(jù)的情況下，也可能出現(xiàn)潛在的不可預(yù)測(cè)的故障模式。例如，視覺(jué)系統(tǒng)可能難以消除由于陰影而產(chǎn)生的顏色變化，而且在大型反射表面的存在中，視覺(jué)系統(tǒng)很難確定物體的位置。(公平地說(shuō)，這些對(duì)人類(lèi)來(lái)說(shuō)都是挑戰(zhàn)。)此外，任何分類(lèi)過(guò)程都顯示了假陰性和假陽(yáng)性之間的權(quán)衡，其中一個(gè)的數(shù)量越少，另一個(gè)的數(shù)量就越多。測(cè)試的含義是這樣的算法不會(huì)在百分之百的時(shí)間內(nèi)有效，而且根據(jù)構(gòu)造的不同，它們可能會(huì)報(bào)告一個(gè)特定的情況是真實(shí)的，而這個(gè)情況實(shí)際是真實(shí)的可能性只是中等。

測(cè)試中的非決定論

處理測(cè)試中的非決定論很困難至少有兩個(gè)原因。

第一個(gè)是很難實(shí)施特定的邊緣情況。這是因?yàn)?，只有?dāng)系統(tǒng)接收到來(lái)自世界的非常特定的輸入序列時(shí)，系統(tǒng)才可能以激活邊緣情況的方式運(yùn)行。由于前面討論過(guò)的一些因素，例如計(jì)時(shí)器對(duì)輸入的微小變化的響應(yīng)可能存在顯著差異，因此很難設(shè)計(jì)出一種情況，在這種情況下，環(huán)境可靠地提供適當(dāng)?shù)臈l件來(lái)運(yùn)行特定所需的測(cè)試用例。作為一個(gè)簡(jiǎn)單的例子，車(chē)輛可能更喜歡在寬闊的道路上行駛更迂回的路線，而不是在一條狹窄的巷子里走捷徑。為了評(píng)估在狹窄的巷道中導(dǎo)航的性能，測(cè)試人員需要設(shè)計(jì)一種使寬闊的巷道對(duì)計(jì)劃者沒(méi)有吸引力的情況。但是，這樣做需要對(duì)測(cè)試計(jì)劃給予額外的成本，并且可能(手動(dòng)地)將車(chē)輛移動(dòng)到它通常不會(huì)進(jìn)入的情況以強(qiáng)制執(zhí)行所需的響應(yīng)。

測(cè)試中不確定性的第二個(gè)困難是很難評(píng)估測(cè)試結(jié)果是否正確，因?yàn)閷?duì)于一個(gè)給定的測(cè)試用例來(lái)說(shuō)，沒(méi)有唯一的正確系統(tǒng)行為。因此，正確性標(biāo)準(zhǔn)可能必須采用與前面討論的安全信封類(lèi)似的形式，如果最終系統(tǒng)狀態(tài)在可接受的測(cè)試通行信封內(nèi)，則測(cè)試通過(guò)。一般情況下可能需要多個(gè)測(cè)試來(lái)建立信任。
概率系統(tǒng)行為對(duì)驗(yàn)證提出了類(lèi)似的挑戰(zhàn)，因?yàn)橥ㄟ^(guò)一次測(cè)試并不意味著每次都能通過(guò)測(cè)試。事實(shí)上，有了概率行為我們可能會(huì)認(rèn)為至少某些類(lèi)型的測(cè)試會(huì)在一定程度上失敗。因此，測(cè)試可能不是為了確定行為是否正確，而是為了驗(yàn)證行為的統(tǒng)計(jì)特征是否被精確地指定(例如，假陰性檢出率不大于相關(guān)安全參數(shù)中假定的檢出率)。比起簡(jiǎn)單的功能驗(yàn)證，這可能需要更多的測(cè)試，特別是如果問(wèn)題中的行為是關(guān)鍵的安全部分且在預(yù)期中會(huì)有極低的失敗率。

從概率系統(tǒng)中獲得極高的性能可能需要多個(gè)子系統(tǒng)在發(fā)生完全獨(dú)立的故障時(shí)有低的失敗率。例如，可以將復(fù)合雷達(dá)和視覺(jué)系統(tǒng)結(jié)合起來(lái)，以確保在極低的概率范圍內(nèi)沒(méi)有遺漏的障礙物。這種方法不僅適用于傳感模式，而且也適用于規(guī)劃和執(zhí)行中的其他各種算法方案。如果這樣的方法是成功的，那么很有可能失敗的概率非常低，以至于測(cè)試驗(yàn)證復(fù)合性能幾乎是不可行的。例如，如果兩個(gè)系統(tǒng)必須每十億次檢測(cè)就會(huì)遺漏一次障礙，那么必須運(yùn)行數(shù)十億次有代表性的測(cè)試來(lái)驗(yàn)證這種性能。為了驗(yàn)證復(fù)合不同算法的低故障率，可以嘗試分別驗(yàn)證每種算法更頻繁的允許故障率。但這是不夠的。我們還必須驗(yàn)證失敗之間獨(dú)立的假設(shè)，這很可能必須基于分析和測(cè)試才能進(jìn)行。

機(jī)器學(xué)習(xí)系統(tǒng)

只有在正確地做出一系列復(fù)雜的感知和控制決策的情況下，自動(dòng)駕駛汽車(chē)才有可能采取正確的行為。要實(shí)現(xiàn)這一目標(biāo)，通常需要對(duì)參數(shù)進(jìn)行適當(dāng)?shù)恼{(diào)整，包括從每個(gè)相機(jī)鏡頭的校準(zhǔn)模型，到為避免高速公路上的障礙而轉(zhuǎn)向或停車(chē)的風(fēng)險(xiǎn)的適當(dāng)加權(quán)。這里的挑戰(zhàn)是找到校準(zhǔn)模型或權(quán)重的比值，從而使某些誤差函數(shù)最小化。近年來(lái)，大多數(shù)機(jī)器人應(yīng)用都轉(zhuǎn)向機(jī)器學(xué)習(xí)來(lái)實(shí)現(xiàn)這一點(diǎn)，因?yàn)槎嗑S優(yōu)化的復(fù)雜性使得手工工作不太可能產(chǎn)生理想的性能水平。

機(jī)器學(xué)習(xí)方法的細(xì)節(jié)有很多，例如，有監(jiān)督學(xué)習(xí)、強(qiáng)化學(xué)習(xí)等，但總之所有這些方法都涉及歸納學(xué)習(xí)，在歸納學(xué)習(xí)中，訓(xùn)練集被用來(lái)推導(dǎo)一個(gè)模型。

例如，考慮在單目圖像中檢測(cè)行人的情況。使用一組大型圖像訓(xùn)練集，分類(lèi)器可以學(xué)習(xí)一種決策規(guī)則，該規(guī)則將行人在一組單獨(dú)的圖像驗(yàn)證集中被檢測(cè)到的概率降至最低。為了我們的目的，一個(gè)基本要素是訓(xùn)練集實(shí)際上是系統(tǒng)的需求集合，而規(guī)則是系統(tǒng)設(shè)計(jì)的結(jié)果。(機(jī)器學(xué)習(xí)算法本身和分類(lèi)器算法都比傳統(tǒng)的驗(yàn)證技術(shù)更容易修改。然而，這些都是通用的軟件引擎，最終的系統(tǒng)行為是由用于學(xué)習(xí)的訓(xùn)練數(shù)據(jù)決定的。)

可以嘗試通過(guò)創(chuàng)建一組訓(xùn)練數(shù)據(jù)的需求來(lái)回避訓(xùn)練集數(shù)據(jù)形成實(shí)際需求的問(wèn)題。但這最終只是將同樣的挑戰(zhàn)推到了一個(gè)抽象層次上。需求不應(yīng)是典型V系統(tǒng)本身的一組功能需求，而是以一組訓(xùn)練數(shù)據(jù)或收集訓(xùn)練數(shù)據(jù)集的計(jì)劃的形式

驗(yàn)證歸納學(xué)習(xí)的挑戰(zhàn)

歸納學(xué)習(xí)方法的性能可以通過(guò)從收集的總體數(shù)據(jù)集中保留一些樣本并使用這些樣本進(jìn)行驗(yàn)證來(lái)測(cè)試。假設(shè)有以下這種情況，如果把訓(xùn)練集作為系統(tǒng)需求(V的左邊)看，可以用一組獨(dú)立的驗(yàn)證數(shù)據(jù)來(lái)確保滿(mǎn)足測(cè)試的需求(V的右邊)。訓(xùn)練數(shù)據(jù)不能有意外的相關(guān)性與所需的行為，否則系統(tǒng)將過(guò)擬合。類(lèi)似地，驗(yàn)證數(shù)據(jù)必須獨(dú)立于訓(xùn)練數(shù)據(jù)，并且在除所需的特性之外的所有方面都與訓(xùn)練數(shù)據(jù)不同，否則在驗(yàn)證過(guò)程中會(huì)檢測(cè)到過(guò)擬合。當(dāng)然目前尚不清楚如何論證機(jī)器學(xué)習(xí)系統(tǒng)沒(méi)有產(chǎn)生過(guò)擬合。

機(jī)器學(xué)習(xí)在實(shí)踐中的一個(gè)重要限制是，如果使用帶標(biāo)簽的數(shù)據(jù)，每個(gè)數(shù)據(jù)點(diǎn)都可能很昂貴。(創(chuàng)建標(biāo)簽必須由某人或某物來(lái)完成。無(wú)監(jiān)督學(xué)習(xí)技術(shù)也是可能的，但需要一個(gè)巧妙的映射來(lái)解決特定的問(wèn)題。此外，如果訓(xùn)練集有問(wèn)題或所學(xué)習(xí)的規(guī)則有問(wèn)題，那么就需要收集更多的驗(yàn)證數(shù)據(jù)并用于驗(yàn)證更新的系統(tǒng)。這是必要的，因?yàn)榧词箤?duì)訓(xùn)練數(shù)據(jù)做一個(gè)小的更改，也會(huì)產(chǎn)生一個(gè)完全不同的學(xué)習(xí)規(guī)則集。

由于自主系統(tǒng)的需求非常復(fù)雜，很可能會(huì)出現(xiàn)一些罕見(jiàn)的邊緣案例，在那里學(xué)習(xí)將會(huì)發(fā)生問(wèn)題。然而，由于它們的稀缺性，收集描述這種不尋常情況的數(shù)據(jù)可能是昂貴的，而且很難衡量。(模擬和合成數(shù)據(jù)可以幫助解決這一問(wèn)題，但在模擬數(shù)據(jù)中存在偏差的風(fēng)險(xiǎn)，以及對(duì)仿真工件的過(guò)度擬合。)

驗(yàn)證機(jī)器學(xué)習(xí)的另一個(gè)問(wèn)題是，一般來(lái)說(shuō)，人類(lèi)不能直觀地理解過(guò)程。例如，卷積神經(jīng)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)可能不能讓人類(lèi)觀察者更直觀地了解已經(jīng)學(xué)會(huì)的決策規(guī)則。雖然可能有一些特殊的情況，但一般來(lái)說(shuō)，機(jī)器學(xué)習(xí)的易讀性問(wèn)題即能夠用人類(lèi)的術(shù)語(yǔ)解釋系統(tǒng)的行為這個(gè)問(wèn)題還沒(méi)有解決辦法。這使得除了昂貴的蠻力測(cè)試之外很難預(yù)測(cè)的技術(shù)如何應(yīng)用于機(jī)器學(xué)習(xí)系統(tǒng)的驗(yàn)證。(也許有些組織確實(shí)有資源進(jìn)行廣泛的蠻力測(cè)試。但即使在這種情況下，訓(xùn)練數(shù)據(jù)的準(zhǔn)確性、有效性和代表性也必須被證明為是安全論證的一部分。)

由于機(jī)器學(xué)習(xí)系統(tǒng)的易讀性一般較差，而且由于過(guò)度擬合的危險(xiǎn)是真實(shí)存在的，因此在這樣的系統(tǒng)中存在著嚴(yán)重影響安全性的失效模式。特別值得關(guān)注的是在訓(xùn)練集數(shù)據(jù)中出現(xiàn)的偶然相關(guān)性，但人類(lèi)往往注意不到這種相關(guān)性。例如，考慮使用經(jīng)過(guò)訓(xùn)練的可變形部件模型來(lái)檢測(cè)圖像中的行人的方法，這在現(xiàn)實(shí)世界的數(shù)據(jù)集中已被證明是相當(dāng)有效的。如果訓(xùn)練數(shù)據(jù)集中沒(méi)有(或很少)行人坐輪椅的圖像，那么這樣的系統(tǒng)很可能會(huì)將行人的標(biāo)簽與用兩條腿走路的人錯(cuò)誤地聯(lián)系起來(lái)。

歸納學(xué)習(xí)的解決方案

歸納學(xué)習(xí)怎么進(jìn)行測(cè)試是很困難的。首先是黑天鵝問(wèn)題，故事是這樣的，在18世紀(jì)末之前，在歐洲觀察到的所有的天鵝都是白色的，因此一個(gè)使用歸納邏輯的觀察者會(huì)得出結(jié)論，所有的天鵝都是白色的。然而，這名觀察者在訪問(wèn)澳大利亞時(shí)，會(huì)經(jīng)歷這種信念的挑戰(zhàn)，因?yàn)槟抢镉写罅康暮谔禊Z。換句話說(shuō)，如果系統(tǒng)沒(méi)有看到一個(gè)特殊的情況，它就不能學(xué)習(xí)這個(gè)情況。這是對(duì)歸納學(xué)習(xí)方法的一個(gè)基本限制。此外，由于機(jī)器學(xué)習(xí)嚴(yán)重缺乏易讀性，人類(lèi)審查員很難或不可能想象在這樣一個(gè)系統(tǒng)中出現(xiàn)類(lèi)似黑天鵝的偏差。

驗(yàn)證一個(gè)歸納學(xué)習(xí)系統(tǒng)似乎是一個(gè)極具挑戰(zhàn)性的問(wèn)題。我們可能會(huì)使用廣泛的測(cè)試，但需要保證黑天鵝數(shù)據(jù)隨機(jī)獨(dú)立到達(dá)率的假設(shè)，并對(duì)相應(yīng)大小的數(shù)據(jù)集進(jìn)行測(cè)試。如果有足夠的資源，這可能是可行的，但是總會(huì)有新的黑天鵝，所以需要對(duì)大量的操作場(chǎng)景和輸入值進(jìn)行概率評(píng)估，以確保系統(tǒng)故障的低水平。

另一種驗(yàn)證歸納學(xué)習(xí)系統(tǒng)到高汽車(chē)安全完整性等級(jí)水平的方法是將一種基于歸納的低汽車(chē)安全完整性等級(jí)算法配對(duì)，該算法將命令發(fā)送給執(zhí)行器，并使用基于高汽車(chē)安全完整性等級(jí)演繹的監(jiān)視器。這將回避驅(qū)動(dòng)算法的大部分驗(yàn)證問(wèn)題，因?yàn)榭刂茍?zhí)行器的誘導(dǎo)算法的失敗將被基于演繹生成的安全信封等概念的非感應(yīng)監(jiān)視器捕獲。因此，執(zhí)行器算法失敗將是一個(gè)可用性問(wèn)題(假定有足夠的故障轉(zhuǎn)移能力，系統(tǒng)安全關(guān)閉)，而不是安全問(wèn)題。

關(guān)鍵任務(wù)的操作需求

現(xiàn)在讓我們回到先前討論過(guò)的地方，即計(jì)算機(jī)最終控制著車(chē)輛，而不是控制著人。這意味著至少部分車(chē)輛必須是基于故障操作而不是面對(duì)故障停止。

故障操作系統(tǒng)設(shè)計(jì)的挑戰(zhàn)

故障操作系統(tǒng)設(shè)計(jì)已經(jīng)在航空航天和其他環(huán)境中成功地完成了幾十年，但是由于以下幾個(gè)原因仍然是困難的。第一個(gè)原因是顯而易見(jiàn)的，即必須提供冗余，以便當(dāng)一個(gè)組件失敗時(shí)，另一個(gè)組件可以接管。實(shí)現(xiàn)這一點(diǎn)需要至少兩個(gè)獨(dú)立的、冗余的故障停止行為子系統(tǒng)。

實(shí)現(xiàn)故障操作系統(tǒng)反過(guò)來(lái)需要至少三個(gè)冗余的故障任意組件，以便在發(fā)出不正確的輸出而不是在組件級(jí)別發(fā)出靜默失敗的情況下確定故障源。對(duì)于必須容忍任意錯(cuò)誤故障的系統(tǒng)，根據(jù)相關(guān)的故障模型，可能需要一個(gè)具有4個(gè)冗余組件的復(fù)雜容錯(cuò)系統(tǒng)。

冗余的結(jié)構(gòu)變化取決于設(shè)計(jì)方法，和可能包括配置如三冗余系統(tǒng)成員(在這種情況下，成員必須確保不被一個(gè)單點(diǎn)故障)，或兩個(gè)二對(duì)二系統(tǒng)，或者使用四臺(tái)電腦。這些方法除了引入的明顯開(kāi)銷(xiāo)之外，還存在一個(gè)測(cè)試問(wèn)題，即如何確保故障檢測(cè)和恢復(fù)工作的有效性，確保故障的獨(dú)立性，并確保在驅(qū)動(dòng)任務(wù)開(kāi)始時(shí)所有冗余組件都是無(wú)故障的。冗余似乎不太可能被避免，但為了確保安全，可能會(huì)降低提供足夠冗余的復(fù)雜性和成本

在典型的故障操作系統(tǒng)(如飛機(jī))中，所有冗余部件本質(zhì)上都是相同的，它都能夠執(zhí)行擴(kuò)展任務(wù)。例如，商用飛機(jī)通常配置兩個(gè)噴氣發(fā)動(dòng)機(jī)，每個(gè)噴氣發(fā)動(dòng)機(jī)至少有一個(gè)雙冗余計(jì)算機(jī)控制。如果一臺(tái)發(fā)動(dòng)機(jī)上的兩臺(tái)計(jì)算機(jī)由于持續(xù)的交叉檢測(cè)故障而關(guān)閉，那么就會(huì)有第二個(gè)獨(dú)立的引擎來(lái)維持飛機(jī)的飛行。即便如此，對(duì)引擎可靠性的要求還是非常嚴(yán)格的，因?yàn)樵诘谝粋€(gè)引擎故障后，飛機(jī)可能需要飛行幾個(gè)小時(shí)才能到達(dá)最近的機(jī)場(chǎng)。這就對(duì)每個(gè)引擎提出了顯著的可靠性要求，從而增加了組件成本。

雖然汽車(chē)是出了名的價(jià)格敏感的，但它們也有一個(gè)優(yōu)勢(shì)，即故障轉(zhuǎn)移任務(wù)的時(shí)間可以很短(例如，把車(chē)停在路邊，或者在必要時(shí)停在一條旅游線路上)，故障轉(zhuǎn)移任務(wù)的持續(xù)時(shí)間是以秒而不是小時(shí)為單位度量的。此外，用于停止車(chē)輛的故障轉(zhuǎn)移任務(wù)可能比完全自主操作的功能要少得多。這可以簡(jiǎn)化需求復(fù)雜性、計(jì)算冗余、傳感器需求和驗(yàn)證需求。(作為一個(gè)簡(jiǎn)單的例子，故障轉(zhuǎn)移任務(wù)控制系統(tǒng)可能不支持變道，這極大地簡(jiǎn)化了傳感器需求和控制算法)因此，設(shè)計(jì)一個(gè)具有故障停止主控制器和更簡(jiǎn)單的故障操作故障轉(zhuǎn)移控制器的自動(dòng)車(chē)輛可能在硬件成本和設(shè)計(jì)/驗(yàn)證成本方面都具有吸引力。

它也可能不是基于完全的自主系統(tǒng)，而是就是完全的自主系統(tǒng)，在完全的自主系統(tǒng)中有一個(gè)檢測(cè)器.這將使故障探測(cè)器本身?yè)碛懈咚?，但可能允許正常的自主功能為低汽車(chē)安全完整性等級(jí)。這種方法可以很好地映射到主自主系統(tǒng)的監(jiān)視/執(zhí)行器體系結(jié)構(gòu)。故障轉(zhuǎn)移的自主性也必須以安全的方式設(shè)計(jì)，并根據(jù)其復(fù)雜性和計(jì)算的可靠性需求采用適當(dāng)?shù)捏w系結(jié)構(gòu)方法。如果僅持續(xù)幾秒鐘的短暫故障轉(zhuǎn)移任務(wù)中發(fā)生故障的可能性足夠低，那么甚至可以使用單通道故障轉(zhuǎn)移系統(tǒng)。

非技術(shù)性因素

在部署自動(dòng)駕駛時(shí)遇到的一些挑戰(zhàn)是非技術(shù)性的，例如經(jīng)常提到的責(zé)任問(wèn)題(當(dāng)發(fā)生事故時(shí)誰(shuí)負(fù)責(zé)賠償?)以及法律通常如何對(duì)待所有權(quán)、操作、維護(hù)和其他方面的車(chē)輛的問(wèn)題。深入研究這個(gè)問(wèn)題顯然超出了本文的范圍。然而，對(duì)非技術(shù)挑戰(zhàn)的決議很可能對(duì)技術(shù)解決方案產(chǎn)生影響。例如，對(duì)事故重建數(shù)據(jù)的自主系統(tǒng)可能有法律要求，需要對(duì)這些數(shù)據(jù)的來(lái)源進(jìn)行仔細(xì)的分析，以確保正確使用這些數(shù)據(jù)。舉個(gè)簡(jiǎn)單的例子，假設(shè)雷達(dá)探測(cè)概率為95%，那么它的輸出可能仍然會(huì)被記錄在系統(tǒng)中，以判斷是否檢測(cè)到障礙物，表面上這意味著探測(cè)的確定性。

重要的是要確保法分析考慮到，僅僅因?yàn)槔走_(dá)沒(méi)有探測(cè)到行人，并不意味著行人不在那里(例如95%檢測(cè)可能意味著每20個(gè)行人中就有一個(gè)不會(huì)被檢測(cè)到)。

看起來(lái)，由于自動(dòng)車(chē)輛的固有復(fù)雜性，以及無(wú)法通過(guò)測(cè)試證明完備性，開(kāi)發(fā)人員必須以保證案例的形式創(chuàng)建安全保證參數(shù)。這樣的保證論證對(duì)于維護(hù)和解釋系統(tǒng)的完整性是必要的，并且它能夠可靠地解釋系統(tǒng)對(duì)不可避免的危險(xiǎn)情況的反應(yīng)。確保證據(jù)的完整性是應(yīng)該解決的一個(gè)特殊問(wèn)題，因?yàn)榻璐丝纱_定由于發(fā)生特殊情況而造成的事故是否是不可避免的。其他需要關(guān)注的重要的問(wèn)題是，事故是否由系統(tǒng)需求的缺陷、合理可預(yù)見(jiàn)和可避免的設(shè)計(jì)缺陷、實(shí)施的缺陷或其他原因引起的。

故障注入

從前面的討論中可以明顯看出，傳統(tǒng)的功能測(cè)試在面對(duì)一個(gè)完整的系統(tǒng)時(shí)會(huì)遇到困難，尤其是在不尋常的操作條件下，很難去執(zhí)行異常的組合。雖然測(cè)試人員可以定義一些非名義上的測(cè)試用例，但由于異常、操作場(chǎng)景和其他相關(guān)因素的組合爆炸，該測(cè)試的可擴(kuò)展性存在問(wèn)題。

此外，研究還表明，即使是非常優(yōu)秀的設(shè)計(jì)人員，在相對(duì)簡(jiǎn)單的軟件系統(tǒng)中，也經(jīng)常會(huì)出現(xiàn)盲點(diǎn)和錯(cuò)過(guò)異常情況。

故障注入和魯棒性測(cè)試是在異常情況下評(píng)估系統(tǒng)性能的較為成熟的技術(shù)，在測(cè)試異常情況響應(yīng)時(shí)可以避免設(shè)計(jì)人員和測(cè)試人員的盲點(diǎn)。傳統(tǒng)的故障注入包括將位翻轉(zhuǎn)插入到內(nèi)存和通信網(wǎng)絡(luò)中。最近的技術(shù)增加了抽象的層次，包括基于數(shù)據(jù)類(lèi)型的故障字典，并確保了故障的代表性。這些技術(shù)已經(jīng)被成功地用于自動(dòng)駕駛汽車(chē)的缺陷的發(fā)現(xiàn)和特征。

這是一種很有希望幫助驗(yàn)證自主性的方法，它在組件的抽象級(jí)別執(zhí)行故障注入，作為試圖偽造安全性聲明的策略的一部分。這不僅涉及到對(duì)主要傳感器輸入的對(duì)象進(jìn)行模擬，還涉及到插入異常條件以測(cè)試系統(tǒng)的健壯性(例如，在映射中插入無(wú)效數(shù)據(jù))。執(zhí)行此類(lèi)故障注入的目的不是驗(yàn)證功能，而是通過(guò)探查不可預(yù)見(jiàn)的情況激活弱點(diǎn)。這種故障注入也可以ISO 26262過(guò)程中跨層執(zhí)行。

結(jié)論

根據(jù)V過(guò)程開(kāi)發(fā)的安全自主車(chē)輛會(huì)遇到很多大挑戰(zhàn)。但是為了確保車(chē)輛是安全的，仍然需要遵循ISO26262v流程，或者證明一套同樣嚴(yán)格的流程和技術(shù)實(shí)踐。假設(shè)應(yīng)用了V過(guò)程，有一下三種看起來(lái)比較有意義的方法。

分階段部署

在不受限制的真實(shí)環(huán)境中(包括特殊情況)，開(kāi)發(fā)和部署一輛自動(dòng)駕駛汽車(chē)來(lái)處理所有可能的場(chǎng)景組合似乎是不切實(shí)際的。當(dāng)下正如在汽車(chē)系統(tǒng)中常見(jiàn)的那樣，基于當(dāng)前開(kāi)發(fā)人員實(shí)踐的分階段部署方法似乎是一種更為合理的方法。

可以將分階段部署綁定到V流程，通過(guò)指定良好的操作概念來(lái)限制操作范圍，從而限制必要的需求范圍。這會(huì)包括環(huán)境、系統(tǒng)和操作約束的限制，這些限制必須用于滿(mǎn)足于實(shí)現(xiàn)自主操作。驗(yàn)證這些操作約束是否被執(zhí)行是確保安全性的重要部分，在V過(guò)程中它必須顯示為一組包括操作需求、驗(yàn)證和潛在運(yùn)行時(shí)的機(jī)制。

例如，在運(yùn)行時(shí)監(jiān)控不僅需要監(jiān)控系統(tǒng)狀態(tài)是否允許自主授權(quán)，而且需要假設(shè)關(guān)于安全的操作場(chǎng)景參數(shù)實(shí)際上是否滿(mǎn)足，以及操作場(chǎng)景的系統(tǒng)實(shí)際上是否認(rèn)為它是被滿(mǎn)足的。

需要特別注意的受限操作概念的一個(gè)方面是，需要確保在操作場(chǎng)景突然失效時(shí)維護(hù)安全性，例如，由于意外的天氣事件或基礎(chǔ)設(shè)施故障引起的操作場(chǎng)景失效。當(dāng)系統(tǒng)偏移在允許的自主操作場(chǎng)景之外時(shí)，異常轉(zhuǎn)換機(jī)制需要成功地執(zhí)行系統(tǒng)恢復(fù)或故障轉(zhuǎn)移任務(wù)，

目前尚不清楚的是，分階段部署方法是否為實(shí)現(xiàn)自主駕駛提供一條完整的道路。但是，這樣的方法至少提供了一種方法來(lái)取得進(jìn)展，而且?guī)?lái)了一些好處，與此同時(shí)因?yàn)橄到y(tǒng)看到了更多的現(xiàn)實(shí)世界的情況。這種方法幫我們對(duì)困難的邊界情況和未預(yù)料到的情況有更多的了解。

監(jiān)控/執(zhí)行機(jī)構(gòu)

使用監(jiān)控/執(zhí)行機(jī)構(gòu)架構(gòu)是一種常見(jiàn)的方法，可以幫助減輕自動(dòng)車(chē)輛安全的許多挑戰(zhàn)。正如所討論的，這種架構(gòu)風(fēng)格能滿(mǎn)足很高的復(fù)雜性需求(只有監(jiān)視器本質(zhì)上是完美的)，并部署歸納算法(通過(guò)限制對(duì)執(zhí)行器的使用，并使用基于演繹的監(jiān)視器)。此外，使用故障轉(zhuǎn)移任務(wù)策略可以允許自主系統(tǒng)監(jiān)視器檢測(cè)主系統(tǒng)故障，而不必確保故障操作行為。更簡(jiǎn)單、高度完整性的故障轉(zhuǎn)移自主系統(tǒng)可以使車(chē)輛到達(dá)安全狀態(tài)。這樣的系統(tǒng)可能具有足夠短的故障轉(zhuǎn)移任務(wù)，只要能夠確保在啟動(dòng)故障轉(zhuǎn)移任務(wù)時(shí)整個(gè)系統(tǒng)是無(wú)故障的，就可以使故障轉(zhuǎn)移操作的冗余最小化。

故障注入

為了確保系統(tǒng)的可靠性，單獨(dú)的故障注入測(cè)試是不可行的。自動(dòng)駕駛汽車(chē)增加了這一問(wèn)題的復(fù)雜困難性，因?yàn)樽詣?dòng)駕駛汽車(chē)能自動(dòng)對(duì)高度復(fù)雜的環(huán)境做出反應(yīng)，并引入諸如機(jī)器學(xué)習(xí)等難以測(cè)試和測(cè)試費(fèi)用高昂的技術(shù)。因此由于缺乏人駕駛監(jiān)督，自動(dòng)駕駛系統(tǒng)必須有一個(gè)很高的汽車(chē)安全完整性等級(jí)。制作普通的系統(tǒng)測(cè)試，似乎很難獲得對(duì)合理的水平的保證。故障注入可以作為驗(yàn)證策略的一部分發(fā)揮相當(dāng)?shù)淖饔?，?yàn)證策略包括傳統(tǒng)的測(cè)試和非測(cè)試驗(yàn)證。特別是當(dāng)故障注入應(yīng)用于多個(gè)抽象級(jí)別，而不僅僅是在電氣連接器的層面上時(shí)，這一點(diǎn)就顯得尤為重要。

未來(lái)工作

本文討論了如何在基于ISO 26262的V框架內(nèi)實(shí)現(xiàn)自動(dòng)車(chē)輛安全的保障。但是，事實(shí)上使用架構(gòu)模式(如監(jiān)視/執(zhí)行器方法)和通過(guò)故障注入進(jìn)行驗(yàn)證將限制操作性能。換句話說(shuō)，我們可能需要通過(guò)收束自動(dòng)駕駛汽車(chē)的功能，以適應(yīng)當(dāng)下的測(cè)試技術(shù)的限制。如果想放寬這些限制，需要在以下方面取得進(jìn)展：描述與預(yù)期操作環(huán)境相符的機(jī)器學(xué)習(xí)訓(xùn)練數(shù)據(jù)的覆蓋范圍，對(duì)基于異常駕駛條件的安全需求有信心，以及能夠驗(yàn)證帶有冗余的歸納系統(tǒng)中故障的獨(dú)立性。

本文作者： 鯊魚(yú)觀海
本文鏈接： http://iamwxy.com/自動(dòng)駕駛測(cè)試與驗(yàn)證的挑戰(zhàn).html
版權(quán)聲明： 本博客所有文章除特別聲明外，均采用 CC BY-NC-SA 3.0 許可協(xié)議。轉(zhuǎn)載請(qǐng)注明出處！